Para aumentar a segurança, queria restringir o acesso ao meu switch Cisco SG300-10 para apenas um endereço IP na minha sub-rede local. Depois de configurar inicialmente o meu novo switch algumas semanas atrás, não fiquei feliz em saber que qualquer pessoa ligada à minha LAN ou WLAN poderia acessar a página de login apenas conhecendo o endereço IP do dispositivo.

Eu acabei peneirando o manual de 500 páginas para descobrir como fazer o bloqueio de todos os endereços IP, exceto aqueles que eu queria para acesso de gerenciamento. Após muitos testes e várias postagens para os fóruns da Cisco, descobri! Neste artigo, guiá-lo-ei pelas etapas para configurar os perfis de acesso e as regras de perfis para sua chave Cisco.

Nota : O seguinte método que vou descrever também permite restringir o acesso a qualquer número de serviços habilitados em sua opção. Por exemplo, você pode restringir o acesso a SSH, HTTP, HTTPS, Telnet ou a todos esses serviços por endereço IP.

Criar perfil de acesso de gerenciamento e regras

Para começar, inicie sessão na interface web para a sua mudança e expanda Segurança e, em seguida, expanda Mgmt Access Method . Vá em frente e clique em Perfis de acesso .

A primeira coisa que precisamos fazer é criar um novo perfil de acesso. Por padrão, você só deve ver o perfil do Console Only . Além disso, você notará no topo que Nenhum é selecionado ao lado do Perfil de Acesso Ativo . Uma vez que criamos nosso perfil e regras, teremos que selecionar o nome do perfil aqui para ativá-lo.

Agora, clique no botão Adicionar e isso deve abrir uma caixa de diálogo onde você poderá nomear seu novo perfil e também adicionar a primeira regra para o novo perfil.

No topo, dê ao seu novo perfil um nome. Todos os outros campos se relacionam com a primeira regra que será adicionada ao novo perfil. Para a prioridade da regra , você deve escolher um valor entre 1 e 65535. A maneira como a Cisco funciona é que a regra com a prioridade mais baixa é aplicada primeiro. Se não corresponder, a próxima regra com a menor prioridade é aplicada.

No meu exemplo, escolhi uma prioridade de 1 porque eu quero que esta regra seja processada primeiro. Esta regra será aquela que permite o endereço IP que eu quero dar acesso ao switch. Em Método de Gerenciamento , você pode escolher um serviço específico ou escolher tudo, o que restringirá tudo. No meu caso, escolhi tudo porque eu só tenho SSH e HTTPS ativados de qualquer forma e administrai ambos os serviços a partir de um computador.

Observe que, se você deseja proteger somente SSH e HTTPS, então você precisará criar duas regras separadas. ação só pode ser negada ou autorizada . Para o meu exemplo, escolhi Permissão, pois isso será para o IP permitido. Em seguida, você pode aplicar a regra a uma interface específica no dispositivo ou você pode simplesmente deixá-la em Tudo para que ela se aplique a todas as portas.

Em Aplica-se ao Endereço IP de Origem , temos que escolher Definido pelo Usuário aqui e depois selecionar Versão 4 , a menos que você esteja trabalhando em um ambiente IPv6, caso em que você escolheria a Versão 6. Agora digite o endereço IP que será permitido acessar e digitar Em uma máscara de rede que corresponde a todos os bits relevantes a serem vistos.

Por exemplo, como meu endereço IP é 192.168.1.233, o endereço IP inteiro precisa ser examinado e, portanto, preciso de uma máscara de rede do 255.255.255.255. Se eu quisesse que a regra fosse aplicada a todos em toda a sub-rede, então eu usaria uma máscara de 255.255.255.0. Isso significaria que qualquer pessoa com um endereço 192.168.1.x seria permitida. Isso não é o que eu quero fazer, obviamente, mas espero que explique como usar a máscara de rede. Observe que a máscara de rede não é a máscara de sub-rede para sua rede. A máscara de rede simplesmente diz quais bits que a Cisco deve observar ao aplicar a regra.

Clique em Aplicar e agora você deve ter um novo perfil de acesso e regra! Clique nas Regras do perfil no menu à esquerda e você deve ver a nova regra listada no topo.

Agora, precisamos adicionar nossa segunda regra. Para fazer isso, clique no botão Adicionarmostrado na Tabela de Regras do Perfil .

A segunda regra é realmente simples. Em primeiro lugar, certifique-se de que o Nome do Perfil de Acesso seja o mesmo que acabamos de criar. Agora, damos à regra uma prioridade de 2 e escolha Negar para a Ação . Certifique-se de que tudo o mais está definido para Todos . Isso significa que todos os endereços IP serão bloqueados. No entanto, uma vez que nossa primeira regra será processada primeiro, esse endereço IP será permitido. Uma vez que uma regra é correspondida, as outras regras são ignoradas. Se um endereço IP não coincide com a primeira regra, ele virá para esta segunda regra, onde ele irá combinar e ser bloqueado. Agradável!

Finalmente, temos que ativar o novo perfil de acesso. Para fazer isso, volte aos Perfis de Acesso e selecione o novo perfil na lista suspensa na parte superior (ao lado do Perfil de Acesso Ativo ). Certifique-se de clicar em Aplicar e você deve ser bom para ir.

Lembre-se de que a configuração atualmente só é salva na configuração em execução.Certifique-se de ir para Administração – Gerenciamento de arquivos – Copiar / Salvar configuração para copiar a configuração em execução para a configuração de inicialização.

Se você quiser permitir mais de um endereço IP, acesse a opção, basta criar outra regra como a primeira, mas dê uma prioridade maior. Você também precisará se certificar de que você altera a prioridade da regra Deny para que ela tenha uma prioridade maior do que todas as regras de permissão . Se você tiver problemas ou não conseguir isso funcionar, sinta-se à vontade para publicar nos comentários e vou tentar ajudar. Apreciar!

Anúncios