Beschränken Sie den Zugriff auf Cisco Switch basierend auf der IP-Adresse

Aus Sicherheitsgründen wollte ich den Zugriff auf meinen Cisco SG300-10- Switch auf nur eine IP-Adresse in meinem lokalen Subnetz beschränken. Nachdem ich meinen neuen Switch(initially configuring my new switch) vor ein paar Wochen zum ersten Mal konfiguriert hatte, war ich nicht glücklich zu wissen, dass jeder, der mit meinem LAN oder WLAN verbunden war, auf die Anmeldeseite gelangen konnte, indem er nur die IP-Adresse des Geräts kannte.

Am Ende habe ich das 500-seitige Handbuch durchgesehen, um herauszufinden, wie ich alle IP-Adressen blockieren kann, mit Ausnahme derjenigen, die ich für den Verwaltungszugriff haben wollte. Nach vielen Tests und mehreren Beiträgen in den Cisco - Foren habe ich es herausgefunden! In diesem Artikel führe ich Sie durch die Schritte zum Konfigurieren von Zugriffsprofilen und Profilregeln für Ihren Cisco -Switch.

Hinweis: Mit der folgenden Methode, die ich beschreiben werde, können Sie auch den Zugriff auf eine beliebige Anzahl aktivierter Dienste auf Ihrem Switch einschränken. Beispielsweise können Sie den Zugriff auf SSH, HTTP, HTTPS, Telnet oder alle diese Dienste nach IP-Adresse einschränken. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

Erstellen Sie Verwaltungszugriffsprofile (Create Management Access Profile)und(Rules) -regeln

Melden Sie sich zunächst bei der Webschnittstelle für Ihren Switch an und erweitern Sie Sicherheit(Security) und erweitern Sie dann Mgmt Access Method . Fahren Sie fort und klicken Sie auf Zugangsprofile(Access Profiles) .

Als erstes müssen wir ein neues Zugangsprofil erstellen. Standardmäßig sollten Sie nur das Profil „ Nur Konsole “ sehen. (Console Only)Außerdem werden Sie oben bemerken, dass neben Active Access Profile Keine(None) ausgewählt ist . Nachdem wir unser Profil und unsere Regeln erstellt haben, müssen wir hier den Namen des Profils auswählen, um es zu aktivieren.

Klicken Sie nun auf die Schaltfläche Hinzufügen(Add) und dies sollte ein Dialogfeld öffnen, in dem Sie Ihr neues Profil benennen und auch die erste Regel für das neue Profil hinzufügen können.

Geben Sie oben Ihrem neuen Profil einen Namen. Alle anderen Felder beziehen sich auf die erste Regel, die dem neuen Profil hinzugefügt wird. Für Rule Priority müssen Sie einen Wert zwischen 1 und 65535 wählen . Cisco arbeitet so, dass die Regel mit der niedrigsten Priorität zuerst angewendet wird. Wenn sie nicht übereinstimmt, wird die nächste Regel mit der niedrigsten Priorität angewendet.

In meinem Beispiel habe ich eine Priorität von 1 gewählt, weil ich möchte, dass diese Regel zuerst verarbeitet wird. Diese Regel ist diejenige, die der IP-Adresse, der ich Zugriff auf den Switch gewähren möchte, erlaubt. Unter Verwaltungsmethode(Management Method) können Sie entweder einen bestimmten Dienst auswählen oder alle auswählen, wodurch alles eingeschränkt wird. In meinem Fall habe ich alle gewählt, weil ich sowieso nur SSH und HTTPS aktiviert habe und ich beide Dienste von einem Computer aus verwalte.

Beachten Sie, dass Sie zwei separate Regeln erstellen müssen , wenn Sie nur SSH und HTTPS sichern möchten . Die Aktion(Action) kann nur Deny oder Permit sein . Für mein Beispiel habe ich Permit gewählt, da dies für die erlaubte IP gilt. Als Nächstes(Next) können Sie die Regel auf eine bestimmte Schnittstelle auf dem Gerät anwenden oder sie einfach bei All belassen, damit sie für alle Ports gilt.

Unter Gilt für Quell-IP-Adresse(Applies to Source IP Address) müssen wir hier Benutzerdefiniert( User Defined) auswählen und dann Version 4 auswählen , es sei denn, Sie arbeiten in einer IPv6 -Umgebung, in diesem Fall würden Sie (IPv6)Version 6 wählen . Geben Sie nun die IP-Adresse ein, der der Zugriff gewährt werden soll, und geben Sie eine Netzwerkmaske ein, die mit allen relevanten zu betrachtenden Bits übereinstimmt.

Da meine IP-Adresse beispielsweise 192.168.1.233 lautet, muss die gesamte IP-Adresse untersucht werden, und daher benötige ich eine Netzwerkmaske von 255.255.255.255. Wenn ich wollte, dass die Regel für alle im gesamten Subnetz gilt, würde ich eine Maske von 255.255.255.0 verwenden. Das würde bedeuten, dass jeder mit einer 192.168.1.x-Adresse zugelassen wäre. Das ist natürlich nicht das, was ich tun möchte, aber hoffentlich erklärt das, wie man die Netzwerkmaske verwendet. Beachten Sie, dass die Netzwerkmaske nicht die Subnetzmaske für Ihr Netzwerk ist. Die Netzwerkmaske sagt einfach, welche Bits Cisco beim Anwenden der Regel betrachten soll.

Klicken Sie auf Übernehmen(Apply) und Sie sollten jetzt ein neues Zugangsprofil und eine neue Regel haben! Klicken Sie(Click) im linken Menü auf Profilregeln und Sie sollten die neue Regel oben aufgelistet sehen.( Profile Rules)

Jetzt müssen wir unsere zweite Regel hinzufügen. Klicken Sie dazu auf die unter der Profilregeltabelle(Profile Rule Table) angezeigte Schaltfläche Hinzufügen(Add) .

Die zweite Regel ist wirklich einfach. Stellen Sie zunächst sicher, dass der Zugriffsprofilname(Access Profile Name) derselbe ist, den wir gerade erstellt haben. Jetzt geben wir der Regel einfach eine Priorität von 2 und wählen Deny für die Aktion(Action) . Stellen Sie sicher, dass alles andere auf All eingestellt ist . Das bedeutet, dass alle IP-Adressen gesperrt werden. Da jedoch unsere erste Regel zuerst verarbeitet wird, wird diese IP-Adresse zugelassen. Sobald eine Regel zutrifft, werden die anderen Regeln ignoriert. Wenn eine IP-Adresse nicht mit der ersten Regel übereinstimmt, kommt sie zu dieser zweiten Regel, wo sie übereinstimmt und blockiert wird. Hübsch!

Abschließend müssen wir das neue Zugangsprofil aktivieren. Gehen Sie dazu zurück zu Zugriffsprofile( Access Profiles) und wählen Sie das neue Profil aus der Dropdown-Liste oben (neben Active Access Profile ). Stellen Sie sicher, dass Sie auf Übernehmen klicken, und(Apply) Sie sollten bereit sein.

Denken Sie daran(Remember) , dass die Konfiguration derzeit nur in der laufenden Konfiguration gespeichert wird. Stellen Sie sicher, dass Sie zu AdministrationDateiverwaltung( File Management)Copy/Save Configuration gehen, um die laufende Konfiguration in die Startkonfiguration zu kopieren.

Wenn Sie mehr als einer IP-Adresse den Zugriff auf den Switch erlauben möchten, erstellen Sie einfach eine weitere Regel wie die erste, aber geben Sie ihr eine höhere Priorität. Sie müssen auch sicherstellen, dass Sie die Priorität für die Deny- Regel so ändern, dass sie eine höhere Priorität als alle Permit- Regeln hat. Wenn Sie auf Probleme stoßen oder dies nicht zum Laufen bringen können, können Sie dies gerne in den Kommentaren posten, und ich werde versuchen, Ihnen zu helfen. Genießen!



Friederich Brandt

About the author

Ich bin ein Computerprogrammierer, der sich auf die Entwicklung von MacOS-Software spezialisiert hat. Ich nutze meine Fähigkeiten, um professionelle Rezensionen zu schreiben und Tipps zu geben, wie Sie Ihre Programmierkenntnisse auf dem Mac verbessern können. Ich habe auch eine Website, die detaillierte Schritt-für-Schritt-Anleitungen für die Erstellung einer erfolgreichen Website bietet.


Related posts