เพื่อเพิ่มความปลอดภัย ฉันต้องการจำกัดการเข้าถึงสวิตช์ Cisco SG300-10 ของฉันเป็นที่อยู่ IP เพียงที่อยู่เดียวในซับเน็ตในเครื่องของฉัน หลังจากกำหนดค่าสวิตช์ใหม่ของฉันเมื่อไม่กี่สัปดาห์ก่อน ฉันไม่พอใจที่รู้ว่าใครก็ตามที่เชื่อมต่อกับ LAN หรือ WLAN ของฉันสามารถไปที่หน้าเข้าสู่ระบบได้เพียงแค่รู้ที่อยู่ IP สำหรับอุปกรณ์
ฉันลงเอยด้วยการกลั่นกรองคู่มือ 500 หน้าเพื่อหาวิธีบล็อกที่อยู่ IP ทั้งหมด ยกเว้นที่ฉันต้องการสำหรับการเข้าถึงการจัดการ หลังจากทดสอบและโพสต์หลายรายการในฟอรัมของ Cisco ฉันก็พบว่ามัน! ในบทความนี้ ฉันจะแนะนำขั้นตอนต่างๆ ในการกำหนดค่าโปรไฟล์การเข้าถึงและกฎโปรไฟล์สำหรับสวิตช์ Cisco ของคุณ
หมายเหตุ :วิธีการต่อไปนี้ที่ฉันจะอธิบายยังช่วยให้คุณสามารถจำกัดการเข้าถึงบริการที่เปิดใช้งานจำนวนเท่าใดก็ได้บนสวิตช์ของคุณ ตัวอย่างเช่น คุณสามารถจำกัดการเข้าถึง SSH, HTTP, HTTPS, Telnet หรือบริการทั้งหมดเหล่านี้ตามที่อยู่ IP
สร้างโปรไฟล์และกฎการเข้าถึงการจัดการ
ในการเริ่มต้น ให้ลงชื่อเข้าใช้อินเทอร์เฟซเว็บสำหรับสวิตช์ของคุณและขยายความปลอดภัย แล้วขยายวิธีการเข้าถึงการจัดการ . ไปข้างหน้าและคลิกที่ เข้าถึงโปรไฟล์ .
สิ่งแรกที่เราต้องทำคือสร้างโปรไฟล์การเข้าถึงใหม่ โดยค่าเริ่มต้น คุณควรเห็นเฉพาะ คอนโซลเท่านั้น ข้อมูลส่วนตัว. นอกจากนี้ คุณจะสังเกตเห็นที่ด้านบนว่า ไม่มี ถูกเลือกถัดจากโปรไฟล์การเข้าถึงที่ใช้งานอยู่ . เมื่อเราสร้างโปรไฟล์และกฎเกณฑ์แล้ว เราจะต้องเลือกชื่อโปรไฟล์ที่นี่เพื่อเปิดใช้งาน
ตอนนี้คลิกที่ เพิ่ม ปุ่มนี้จะแสดงกล่องโต้ตอบซึ่งคุณจะสามารถตั้งชื่อโปรไฟล์ใหม่และเพิ่มกฎข้อแรกสำหรับโปรไฟล์ใหม่ได้
ที่ด้านบน ตั้งชื่อโปรไฟล์ใหม่ของคุณ ฟิลด์อื่นๆ ทั้งหมดเกี่ยวข้องกับกฎข้อแรกที่จะเพิ่มในโปรไฟล์ใหม่ สำหรับลำดับความสำคัญของกฎ คุณต้องเลือกค่าระหว่าง 1 ถึง 65535 วิธีการทำงานของ Cisco คือใช้กฎที่มีลำดับความสำคัญต่ำสุดก่อน หากไม่ตรงกัน ระบบจะใช้กฎถัดไปที่มีลำดับความสำคัญต่ำสุด
ในตัวอย่างของฉัน ฉันเลือกลำดับความสำคัญ 1 เพราะฉันต้องการให้กฎนี้ดำเนินการก่อน กฎนี้จะเป็นกฎที่อนุญาตที่อยู่ IP ที่ฉันต้องการให้เข้าถึงสวิตช์ ภายใต้ วิธีการจัดการ คุณสามารถเลือกบริการเฉพาะหรือเลือกทั้งหมด ซึ่งจะจำกัดทุกอย่าง ในกรณีของฉัน ฉันเลือกทั้งหมดเพราะฉันเปิดใช้งาน SSH และ HTTPS เท่านั้น และฉันจัดการบริการทั้งสองจากคอมพิวเตอร์เครื่องเดียว
โปรดทราบว่าหากคุณต้องการรักษาความปลอดภัยเฉพาะ SSH และ HTTPS คุณจะต้องสร้างกฎสองข้อแยกกัน การกระทำ ทำได้เพียง ปฏิเสธ หรือ อนุญาต . ตัวอย่างเช่น ฉันเลือก อนุญาต เนื่องจากจะเป็นสำหรับ IP ที่อนุญาต ต่อไป คุณสามารถใช้กฎกับอินเทอร์เฟซเฉพาะบนอุปกรณ์ หรือปล่อยไว้ที่ทั้งหมด เพื่อให้ใช้ได้กับทุกพอร์ต
ภายใต้ นำไปใช้กับที่อยู่ IP ต้นทาง เราต้องเลือก User Defined ที่นี่แล้วเลือก เวอร์ชัน 4 เว้นแต่ว่าคุณกำลังทำงานในสภาพแวดล้อม IPv6 ซึ่งในกรณีนี้ คุณจะเลือกเวอร์ชัน 6 ตอนนี้ให้พิมพ์ที่อยู่ IP ที่จะได้รับอนุญาตให้เข้าถึงและพิมพ์ในเน็ตเวิร์กมาสก์ที่ตรงกับบิตที่เกี่ยวข้องทั้งหมดที่จะดู
ตัวอย่างเช่น เนื่องจากที่อยู่ IP ของฉันคือ 192.168.1.233 จึงต้องตรวจสอบที่อยู่ IP ทั้งหมดและด้วยเหตุนี้ฉันจึงต้องใช้เน็ตเวิร์กมาสก์ 255.255.255.255 ถ้าฉันต้องการให้กฎมีผลกับทุกคนในเครือข่ายย่อยทั้งหมด ฉันจะใช้มาสก์ 255.255.255.0 นั่นหมายความว่าทุกคนที่มีที่อยู่ 192.168.1.x จะได้รับอนุญาต นั่นไม่ใช่สิ่งที่ฉันต้องการทำ แต่หวังว่าจะอธิบายวิธีใช้เน็ตเวิร์กมาสก์ได้ โปรดทราบว่าเน็ตเวิร์กมาสก์ไม่ใช่ซับเน็ตมาสก์สำหรับเครือข่ายของคุณ เน็ตเวิร์กมาสก์บอกว่า Cisco ควรดูบิตใดเมื่อใช้กฎ
คลิกสมัคร และตอนนี้คุณควรมีโปรไฟล์และกฎการเข้าถึงใหม่! คลิกที่กฎของโปรไฟล์ ในเมนูด้านซ้ายมือ และคุณจะเห็นกฎใหม่แสดงอยู่ที่ด้านบนสุด
ตอนนี้เราต้องเพิ่มกฎข้อที่สองของเรา ในการดำเนินการนี้ ให้คลิกที่ เพิ่ม ปุ่มที่แสดงอยู่ใต้ ตารางกฎโปรไฟล์ .
กฎข้อที่สองนั้นง่ายมาก ประการแรก ตรวจสอบให้แน่ใจว่าชื่อโปรไฟล์การเข้าถึงเป็นชื่อเดียวกับที่เราเพิ่งสร้างขึ้น ตอนนี้ เราแค่ให้ลำดับความสำคัญของกฎเป็น 2 แล้วเลือกปฏิเสธ สำหรับ การกระทำ . ตรวจสอบว่าตั้งค่าอย่างอื่นเป็น ทั้งหมด . ซึ่งหมายความว่าที่อยู่ IP ทั้งหมดจะถูกบล็อก อย่างไรก็ตาม เนื่องจากกฎข้อแรกของเราจะได้รับการประมวลผลก่อน ที่อยู่ IP นั้นจะได้รับอนุญาต เมื่อกฎถูกจับคู่แล้ว กฎอื่นๆ จะถูกละเว้น หากที่อยู่ IP ไม่ตรงกับกฎข้อแรก มันจะมาที่กฎข้อที่สอง ซึ่งจะจับคู่และถูกบล็อก เยี่ยมเลย!
สุดท้าย เราต้องเปิดใช้งานโปรไฟล์การเข้าถึงใหม่ โดยกลับไปที่เข้าถึงโปรไฟล์ และเลือกโปรไฟล์ใหม่จากรายการแบบเลื่อนลงที่ด้านบน (ถัดจาก โปรไฟล์การเข้าถึงที่ใช้งานอยู่ ). อย่าลืมคลิกใช้ และคุณควรจะไปได้ดี
โปรดจำไว้ว่า การกำหนดค่าจะถูกบันทึกในการกำหนดค่าที่ทำงานอยู่เท่านั้น อย่าลืมไปที่การดูแลระบบ – การจัดการไฟล์ – คัดลอก/บันทึกการกำหนดค่า เพื่อคัดลอกการกำหนดค่าที่ทำงานอยู่ไปยังการกำหนดค่าเริ่มต้น
หากคุณต้องการอนุญาตให้มีการเข้าถึงสวิตช์มากกว่าหนึ่งที่อยู่ IP ให้สร้างกฎอื่นเช่นกฎแรก แต่ให้ลำดับความสำคัญสูงกว่า นอกจากนี้ คุณจะต้องตรวจสอบให้แน่ใจว่าคุณได้เปลี่ยนลำดับความสำคัญของ ปฏิเสธ เพื่อให้มีลำดับความสำคัญสูงกว่า ใบอนุญาต . ทั้งหมด กฎ. หากคุณประสบปัญหาหรือใช้งานไม่ได้ โปรดโพสต์ในความคิดเห็นและเราจะพยายามช่วยเหลือ สนุก!
