セキュリティを強化するために、私は自分のローカルサブネット内の1つのIPアドレスだけにCisco SG300-10スイッチへのアクセスを制限したいと考えました。 最初に新しいスイッチを設定する の数週間後、私は自分のLANやWLANに接続している人がデバイスのIPアドレスを知るだけでログインページにアクセスできることを知ってうれしくありませんでした。
私は500ページのマニュアルを読んで、管理アクセスのために必要なIPアドレス以外のすべてのIPアドレスをブロックする方法を見つけました。シスコフォーラムへの多数のテストといくつかの投稿の後、私はそれを理解しました!この記事では、シスコスイッチのアクセスプロファイルとプロファイルルールを設定する手順について説明します。
注:次の方法また、スイッチ上の任意の数の有効なサービスへのアクセスを制限することもできます。たとえば、SSH、HTTP、HTTPS、Telnet、またはこれらすべてのサービスへのアクセスをIPアドレスで制限することができます。
管理アクセスプロファイルを作成&ルール
開始するには、スイッチのウェブインターフェースにログインして[セキュリティ]を展開し、[管理アクセス方法]を展開します。 アクセスプロファイルをクリックしてください。
最初に行う必要があるのは、 。デフォルトでは、Console Onlyプロフィールのみが表示されます。また、上部にある[アクティブなアクセスプロフィール]の横に[なし]が選択されていることがわかります。
追加ボタンをクリックしてください。これで、プロファイルのルールを作成することができます。
ここでは、新しいプロファイルの名前を付けることができるダイアログボックスを表示します。一番上に、あなたの新しいプロフィールに名前をつけてください。他のすべてのフィールドは、新しいプロファイルに追加される最初のルールに関連しています。 ルールの優先度では、1〜65535の値を選択する必要があります。シスコの仕組みは、優先度が最も低いルールが最初に適用される仕組みです。一致しない場合は、優先度が最も低い次のルールが適用されます。
このルールを処理したいので、私の例では1の優先度を選択しました最初。このルールは、スイッチにアクセスを許可するIPアドレスを許可するルールになります。 [管理方法]で、特定のサービスを選択するか、すべてを選択することができます。すべてが制限されます。私の場合、SSHとHTTPSのみを有効にして、両方のサービスを1台のコンピュータから管理するので、私はすべてを選択しました。
SSHとHTTPSだけを保護したい場合は、 2つの別々のルールを作成します。 操作は拒否または許可のみ可能です。私の例では、許可されたIPのために許可を選択しました。次に、デバイスの特定のインターフェイスにルールを適用するか、すべてのポートに適用されるようにすべてに設定するだけです。
ソースIPアドレスに適用の下でユーザー定義を選択し、バージョン4を選択する必要があります。 IPv6環境の場合は、バージョン6を選択します。次に、アクセスが許可されるIPアドレスを入力し、参照するすべての関連ビットに一致するネットワークマスクを入力します。
たとえば、私のIPアドレスは192.168.1.233なので、IPアドレス全体を調べる必要があります。したがって、255.255.255.255のネットワークマスクが必要です。ルールをサブネット全体の全員に適用したい場合は、255.255.255.0のマスクを使用します。つまり、192.168.1.xのアドレスを持つ人は許可されます。それは明らかに私がやりたいことではありませんが、うまくいけばネットワークマスクの使い方が説明されています。ネットワークマスクはネットワークのサブネットマスクではありません。
[適用]をクリックすると、新しいアクセスプロファイルとルールが作成されます。左側のメニューの[プロファイルルール]をクリックすると、新しいルールが上部に表示されます。
次に、2番目のルールを追加する必要があります。これを行うには、プロファイルルールテーブルの下にある追加ボタンをクリックします。
p>第2のルールは本当にシンプルです。まず、アクセスプロファイル名が作成したものと同じであることを確認します。 2のルールに優先度を与え、アクションに対して拒否を選択するだけです。その他すべてがすべてに設定されていることを確認します。つまり、すべてのIPアドレスがブロックされます。ただし、最初のルールが最初に処理されるため、そのIPアドレスが許可されます。ルールが一致すると、他のルールは無視されます。 IPアドレスが最初のルールと一致しない場合は、この2番目のルールに入り、一致してブロックされます。ニース!
最後に、新しいアクセスプロファイルをアクティブ化する必要があります。これを行うには、アクセスプロファイルに戻り、上部の(アクティブアクセスプロファイルの横にある)ドロップダウンリストから新しいプロファイルを選択します。
設定が現在保存されていることを覚えておいてください実行コンフィギュレーションで。実行設定をスタートアップ設定にコピーするには、管理 - ファイル管理 - 設定をコピー/保存p>スイッチに複数のIPアドレスアクセスを許可する場合は、最初のルールと同じように別のルールを作成しますが、優先順位を高くします。 拒否ルールの優先度を変更して、すべての許可ルールより優先度が高くなるようにする必要があります。何か問題が発生した場合、またはこれが機能しない場合は、コメントに投稿してください。私は助けてください。お楽しみください!