Để tăng cường bảo mật, tôi muốn giới hạn quyền truy cập vào bộ chuyển mạch Cisco SG300-10 của mình thành chỉ một địa chỉ IP trong mạng con cục bộ của tôi. Sau khi định cấu hình ban đầu công tắc mới của tôi vài tuần trở lại đây, tôi không hài lòng khi biết rằng bất kỳ ai được kết nối với mạng LAN hoặc WLAN của tôi đều có thể truy cập trang đăng nhập chỉ bằng cách biết địa chỉ IP của thiết bị.
Cuối cùng, tôi đã sàng lọc qua sổ tay 500 trang để tìm ra cách chặn tất cả các địa chỉ IP ngoại trừ những địa chỉ mà tôi muốn truy cập quản lý. Sau rất nhiều thử nghiệm và một số bài đăng lên các diễn đàn của Cisco, tôi đã tìm ra! Trong bài viết này, tôi sẽ hướng dẫn bạn các bước để định cấu hình cấu hình truy cập và quy tắc cấu hình cho bộ chuyển mạch Cisco của bạn.
Lưu ý :Phương pháp tôi sẽ mô tả sau đây cũng cho phép bạn hạn chế quyền truy cập vào bất kỳ số lượng dịch vụ được bật trên công tắc của bạn. Ví dụ:bạn có thể hạn chế quyền truy cập vào SSH, HTTP, HTTPS, Telnet hoặc tất cả các dịch vụ này theo địa chỉ IP.
Tạo Quy tắc &Hồ sơ Truy cập Quản lý
Để bắt đầu, hãy đăng nhập vào giao diện web cho nút chuyển của bạn và mở rộng Bảo mật và sau đó mở rộng Phương pháp truy cập Mgmt . Tiếp tục và nhấp vào Truy cập hồ sơ .
Điều đầu tiên chúng ta cần làm là tạo một hồ sơ truy cập mới. Theo mặc định, bạn sẽ chỉ thấy Chỉ bảng điều khiển Hồ sơ. Ngoài ra, bạn sẽ nhận thấy ở trên cùng rằng Không có được chọn bên cạnh Cấu hình truy cập đang hoạt động . Khi chúng tôi đã tạo hồ sơ và các quy tắc của mình, chúng tôi sẽ phải chọn tên của hồ sơ ở đây để kích hoạt nó.
Bây giờ hãy nhấp vào nút Thêm và điều này sẽ hiển thị một hộp thoại nơi bạn có thể đặt tên cho cấu hình mới của mình và cũng có thể thêm quy tắc đầu tiên cho cấu hình mới.
Ở trên cùng, hãy đặt tên cho hồ sơ mới của bạn. Tất cả các trường khác liên quan đến quy tắc đầu tiên sẽ được thêm vào hồ sơ mới. Đối với Mức độ ưu tiên của quy tắc , bạn phải chọn một giá trị từ 1 đến 65535. Cách thức hoạt động của Cisco là quy tắc có mức độ ưu tiên thấp nhất được áp dụng trước. Nếu nó không khớp, thì quy tắc tiếp theo có mức độ ưu tiên thấp nhất sẽ được áp dụng.
Trong ví dụ của tôi, tôi đã chọn mức độ ưu tiên là 1 vì tôi muốn quy tắc này được xử lý trước. Quy tắc này sẽ là quy tắc cho phép địa chỉ IP mà tôi muốn cấp quyền truy cập cho công tắc. Theo Phương pháp quản lý , bạn có thể chọn một dịch vụ cụ thể hoặc chọn tất cả, điều này sẽ hạn chế mọi thứ. Trong trường hợp của tôi, tôi chọn tất cả vì dù sao tôi cũng chỉ bật SSH và HTTPS và tôi quản lý cả hai dịch vụ từ một máy tính.
Lưu ý rằng nếu bạn chỉ muốn bảo mật SSH và HTTPS, thì bạn cần tạo hai quy tắc riêng biệt. Hành động chỉ có thể là Từ chối hoặc Giấy phép . Đối với ví dụ của tôi, tôi đã chọn Giấy phép vì điều này sẽ dành cho IP được phép. Tiếp theo, bạn có thể áp dụng quy tắc cho một giao diện cụ thể trên thiết bị hoặc bạn có thể để nó ở Tất cả để nó áp dụng cho tất cả các cổng.
Trong Áp dụng cho địa chỉ IP nguồn , chúng tôi phải chọn Người dùng xác định tại đây, sau đó chọn Phiên bản 4 , trừ khi bạn đang làm việc trong môi trường IPv6, trong trường hợp đó bạn sẽ chọn Phiên bản 6. Bây giờ, hãy nhập địa chỉ IP sẽ được phép truy cập và nhập mặt nạ mạng khớp với tất cả các bit có liên quan sẽ được xem xét.
Ví dụ:vì địa chỉ IP của tôi là 192.168.1.233, toàn bộ địa chỉ IP cần được kiểm tra và do đó tôi cần mặt nạ mạng là 255.255.255.255. Nếu tôi muốn quy tắc áp dụng cho tất cả mọi người trên toàn bộ mạng con, thì tôi sẽ sử dụng mặt nạ 255.255.255.0. Điều đó có nghĩa là bất kỳ ai có địa chỉ 192.168.1.x đều được phép. Rõ ràng đó không phải là điều tôi muốn làm, nhưng hy vọng điều đó giải thích cách sử dụng mặt nạ mạng. Lưu ý rằng mặt nạ mạng không phải là mặt nạ mạng con cho mạng của bạn. Mặt nạ mạng chỉ đơn giản cho biết những bit nào Cisco nên xem xét khi áp dụng quy tắc.
Nhấp vào Áp dụng và bây giờ bạn sẽ có một hồ sơ và quy tắc truy cập mới! Nhấp vào Quy tắc hồ sơ trong menu bên trái và bạn sẽ thấy quy tắc mới được liệt kê ở trên cùng.
Bây giờ chúng ta cần thêm quy tắc thứ hai. Để thực hiện việc này, hãy nhấp vào nút Thêm được hiển thị bên dưới Bảng quy tắc cấu hình .
Quy tắc thứ hai thực sự đơn giản. Trước tiên, hãy đảm bảo rằng Tên hồ sơ truy cập giống với tên mà chúng tôi vừa tạo. Bây giờ, chúng tôi chỉ ưu tiên cho quy tắc là 2 và chọn Từ chối cho Hành động . Đảm bảo mọi thứ khác được đặt thành Tất cả . Điều này có nghĩa là tất cả các địa chỉ IP sẽ bị chặn. Tuy nhiên, vì quy tắc đầu tiên của chúng tôi sẽ được xử lý trước nên địa chỉ IP đó sẽ được phép. Khi một quy tắc được khớp, các quy tắc khác sẽ bị bỏ qua. Nếu một địa chỉ IP không khớp với quy tắc đầu tiên, nó sẽ đi đến quy tắc thứ hai này, nơi nó sẽ khớp và bị chặn. Tốt!
Cuối cùng, chúng ta phải kích hoạt hồ sơ truy cập mới. Để làm điều đó, hãy quay lại Truy cập hồ sơ và chọn cấu hình mới từ danh sách thả xuống ở trên cùng (bên cạnh Cấu hình truy cập đang hoạt động ). Đảm bảo nhấp vào Áp dụng và bạn nên đi.
Hãy nhớ rằng cấu hình hiện chỉ được lưu trong cấu hình đang chạy. Đảm bảo bạn đi tới Quản trị - Quản lý tệp - Sao chép / Lưu cấu hình để sao chép cấu hình đang chạy vào cấu hình khởi động.
Nếu bạn muốn cho phép nhiều hơn một địa chỉ IP truy cập vào công tắc, chỉ cần tạo một quy tắc khác giống như quy tắc đầu tiên, nhưng ưu tiên cao hơn cho quy tắc đó. Bạn cũng sẽ phải đảm bảo rằng bạn thay đổi mức độ ưu tiên cho Từ chối để nó có mức độ ưu tiên cao hơn tất cả Giấy phép quy tắc. Nếu bạn gặp bất kỳ sự cố nào hoặc không thể giải quyết vấn đề này, vui lòng đăng nhận xét và tôi sẽ cố gắng trợ giúp. Hãy tận hưởng!