Tech-JP

技術情報とインターネットガイド

IP アドレスに基づいて Cisco スイッチへのアクセスを制限する

セキュリティを強化するために、スイッチへのアクセスを制限したかった Cisco SG300-10 ローカルサブネットの単一の IP アドレスに。 新しいスイッチを最初にセットアップした後(最初に新しいスイッチを構成します) 数週間前、誰かが私に接続したことを知ってうれしく思いませんでした LAN また Wi-Fi デバイスの IP アドレスを知るだけで、ログイン ページにアクセスできます。

管理者アクセスに必要な IP アドレス以外のすべての IP アドレスをブロックする方法を見つけるために、500 ページのマニュアルに目を通すことになりました。 多くのテストとフォーラムへのいくつかの投稿の後 シスコ 、 私は発見した! この記事では、スイッチのアクセス プロファイルとプロファイル ルールを構成する手順を説明します。 シスコ。

注: 次に説明する方法では、スイッチで有効になっている任意の数のサービスへのアクセスを制限することもできます。 たとえば、SSH、HTTP、HTTPS、Telnet、またはこれらすべてのサービスへのアクセスを IP アドレスで制限できます。 (注: これから説明する次の方法では、スイッチで有効になっている任意の数のサービスへのアクセスを制限することもできます。たとえば、SSH、HTTP、HTTPS、Telnet、またはこれらすべてのサービスへのアクセスを IP で制限できます。住所。 )

プロフィール作成(管理アクセス プロファイルの作成)管理アクセス規則(ルール)

開始するには、スイッチの Web インターフェイスにログインして展開します 安全(安全) そして拡大する 管理アクセス方法(管理アクセス方式) . 先に進み、クリックしてください アクセス プロファイル(アクセスプロファイル) .

最初に、新しいアクセス プロファイルを作成する必要があります。 デフォルトでは、プロファイルのみが表示されます コンソールのみ。 (コンソールのみ)また、上部にあることに気付くでしょう なし(なし) の隣で選択されています アクティブ アクセス プロファイル(アクティブ アクセス プロファイル) . プロファイルとルールが作成されたら、ここでプロファイルの名前を選択してアクティブ化できるようにする必要があります。

今すぐボタンをクリックしてください 追加(追加) これにより、新しいプロファイルに名前を付け、新しいプロファイルの最初のルールを追加できるダイアログが表示されます。

上部で、新しいプロファイルに名前を付けます。 他のすべてのフィールドは、新しいプロファイルに追加される最初のルールに関連しています。 為に ルール優先度 、1 から 65535 の間の値を選択する必要があります。 シスコ 優先度が最も低いルールが最初に適用されるという点で機能します。 一致しない場合は、優先順位が最も低い次のルールが適用されます。

私の例では、優先度を選択しました 1 このルールを最初に処理したいからです。 このルールは、スイッチへのアクセスを許可する IP アドレスを許可するルールになります。 の 管理方法(管理方法) 、特定のサービスを選択するか、すべてを制限するすべてを選択できます。 私の場合、とにかく有効にしただけなので、すべてを選択しました SSHHTTPS 両方のサービスを 1 台のコンピューターから管理しています。

のみを保護する場合は注意してください SSHHTTPS 、2 つの個別のルールを作成する必要があります。 の アクション(アクション) しかできない 拒否(拒否) また 許可する(許可する) . 私の例では、私は選択しました 許可する(許可する) 許可されたIP用になるためです。 (次) 、デバイスの特定のインターフェイスにルールを適用するか、そのままにしておくことができます 全て(全て) すべてのポートに適用されるようにします。

送信元 IP アドレスに適用(送信元 IP アドレスに適用) 、選択する必要があります ユーザー定義の(ユーザー定義の) ここで、次に選択します バージョン 4(バージョン 4) 、環境で作業している場合を除きます IPv6 、その場合、私は バージョン 6(バージョン 6) . ここで、アクセスを許可する IP アドレスを入力し、参照するすべての関連ビットに一致するネットマスクを入力します。

たとえば、私の IP アドレスは 192.168.1.233 であるため、IP アドレス全体を調べる必要があるため、255.255.255.255 のネットマスクが必要です。 ルールをサブネット全体の全員に適用する場合は、255.255.255.0 のマスクを使用します。 つまり、192.168.1.x のアドレスを持つ人なら誰でも許可されます。 明らかに、それは私がやりたいことではありませんが、ネットマスクの使用方法が説明されていることを願っています. ネットマスクはネットワークのサブネット マスクではないことに注意してください。 ネットマスクは、監視するビットを単純に示します。 シスコ ルールを適用するとき。

クリック 申し込み(適用) これで、新しいプロファイルとアクセス ルールが作成されました。 クリック(クリック)プロファイル ルール(プロファイル ルール) をクリックすると、上部に新しいルールが表示されます。

次に、2 番目のルールを追加する必要があります。 これを行うには、ボタンをクリックします 追加(追加) の下に表示される プロファイル ルール テーブル(プロファイルルールテーブル) .

2 番目のルールは非常に単純です。 まず、次のことを確認してください。 アクセスプロファイル名(アクセスプロファイル名) 作成したものと同じになります。 ここで、ルールに優先順位を付けます 2 そして私たちは選びます 拒否(拒否) のために アクション(アクション) . 他のすべてがに設定されていることを確認してください 全て(全て) . これは、すべての IP アドレスがブロックされることを意味します。 ただし、最初のルールが最初に処理されるため、その IP アドレスは許可されます。 ルールが一致すると、他のルールは無視されます。 IP アドレスが最初のルールと一致しない場合、この 2 番目のルールに到達し、そこで一致してブロックされます。 かわいい!

最後に、新しいアクセス プロファイルを有効にする必要があります。 それを行うには、に戻ります アクセス プロファイル(アクセスプロファイル) 上部のドロップダウン リストから新しいプロファイルを選択します ( アクティブ アクセス プロファイル(アクティブ アクセス プロファイル) )。 必ずクリックしてください 申し込み(適用) これで準備完了です。

覚えて(覚えて) 現在、設定は実行中の設定にのみ保存されています。 必ず行ってください 管理(管理) – の管理 記録(ファイル管理)構成のコピー/保存 実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

複数の IP アドレスがスイッチにアクセスできるようにする場合は、最初のルールと同様に別のルールを作成しますが、優先度を高くします。 また、ルールの優先度を変更する必要があります 拒否(拒否) すべてのルールよりも優先されるように 許可する 。 (許可する)何か問題がある場合、またはこれを機能させることができない場合は、お気軽にコメントに投稿してください。私がお手伝いします. 楽しみ!


コメントを残す 0

あなたのメールアドレスが公開されることはありません。 必須フィールドは、マークされています *