برای امنیت بیشتر، من می خواستم دسترسی به سوئیچ سیسکو SG300-10 را به تنها یک آدرس IP در زیر شبکه محلی من محدود کنم. بعد از اینکه در ابتدا پیکربندی سوئیچ جدید من چند هفته پشت سر گذاشت، خوشحال نشدم که هر کسی به شبکه من و یا WLAN متصل می شود، فقط می داند که آدرس آی پی برای دستگاه است.
من از طریق کتابچه راهنمای 500 صفحه ای سر و کار داشتم تا نحوه برطرف کردن مسدود کردن تمامی آدرس های IP را به جز مواردی که برای دسترسی به مدیریت مورد نیاز بودم، بیابم. پس از چندین آزمایش و ارسال چندین پست به انجمن سیسکو، من آن را کشف کردم!
توجه:: روش زیر که من قصد دارم به شما در این مرحله بپردازم: توصیف همچنین اجازه می دهد تا شما را محدود به دسترسی به هر تعداد از خدمات فعال در سوئیچ خود را. به عنوان مثال، شما می توانید دسترسی به SSH، HTTP، HTTPS، Telnet یا تمام این خدمات را با آدرس IP محدود کنید.
ایجاد دسترسی به مدیریت دسترسی & amp؛ قوانین
برای شروع، وارد شوید به رابط وب برای سوئیچ خود و گسترش امنیتو سپس روش دسترسی به Mgmtرا گسترش دهید.
اولین کاری که باید انجام دهیم این است که یک پروفایل دسترسی جدید ایجاد کنیم. . به طور پیشفرض فقط باید نمایه کنسولرا ببینید. همچنین در بالای صفحه هیچیک ازدر کنار نمای دسترسی فعالانتخاب نشده است. هنگامی که ما نمایه و قوانین خود را ایجاد کردیم، باید نام نمایه را برای فعال سازی آن انتخاب کنیم.
اکنون روی دکمه افزودنکلیک کنید و این باید
در بالا، مشخصات جدید خود را به نام. تمام زمینه های دیگر مربوط به اولین قانون است که به نمایه جدید اضافه می شود. برای اولویت قانون، شما باید یک مقدار را بین 1 و 65535 انتخاب کنید. راه کار سیسکو این است که اولا با کمترین اولویت اعمال می شود. اگر آن مطابقت نداشته باشد، قانون بعدی با کمترین اولویت اعمال می شود.
در مثال من اولویت 1را انتخاب کردم زیرا می خواهم این قانون را پردازش کند اولین. این قانون همان چیزی است که اجازه می دهد آدرس IP که میخواهم به آن سوئیچ دسترسی داشته باشم. تحت روش مدیریت، شما می توانید یک سرویس خاص را انتخاب کنید یا همه را انتخاب کنید، که همه چیز را محدود می کند. در مورد من، من همه را انتخاب کردم چون فقط SSH و HTTPS را فعال می کنم و هر دو سرویس را از یک کامپیوتر مدیریت می کنند.
توجه داشته باشید که اگر شما فقط می خواهید تنها SSH و HTTPS را ایمن کنید، باید دو قانون جداگانه ایجاد کنید. عملفقط میتواند Denyیا مجازباشد. برای مثال من، مجوزرا انتخاب کردم چون این برای IP مجاز است. بعدا می توانید این قاعده را به یک رابط خاص در دستگاه اعمال کنید یا فقط می توانید آن را در همهدر قسمت همه پورت ها اعمال کنید.
در زیر به آدرس منبع منبعاعمال می شود، ما باید کاربر تعریف شدهرا در اینجا انتخاب کرده و سپس نسخه 4را انتخاب کنید، مگر اینکه در یک محیط IPv6 که در آن صورت نسخه 6 را انتخاب می کنید. در حال حاضر آدرس IP را که مجاز به دسترسی می باشد تایپ کنید و در یک ماسک شبکه تایپ کنید که همه بیت های مربوطه را بررسی می کند را تایپ کنید.
به عنوان مثال، آدرس IP من 192.168.1.233 است، کل آدرس IP باید بررسی شود و از این رو من به یک ماسک شبکه 255.255.255.255 نیاز دارم. اگر من بخواهم حکومت را برای همه در کل زیر شبکه اعمال کنم، سپس از یک ماسک 255.255.255.0 استفاده می کنم. این به معنای هر کسی با آدرس 192.168.1.x خواهد بود مجاز خواهد بود. این چیزی نیست که من میخواهم انجام دهم، بدیهی است، اما امیدوارم توضیح دهید که چگونه از ماسک شبکه استفاده کنید. توجه داشته باشید که ماسک شبکه ماسک زیر شبکه برای شبکه شما نیست. ماسک شبکه به سادگی می گوید کدام بیت ها هنگام استفاده از قانون باید نگاه کنند.
روی درخواستکلیک کنید و اکنون باید یک نمایه دسترسی جدید و قوانین داشته باشید!در منوی سمت چپ قوانین پروفایلکلیک کنید و باید قوانین جدید را در بالا ببینید.
حالا ما باید دومین قانون را اضافه کنیم. برای انجام این کار، بر روی دکمه افزودنکه در زیر جدول جدول مقررات نمایهکلیک کنید
حکم دوم واقعا ساده است. ابتدا اطمینان حاصل کنید که نام مشخصات دسترسی همان است که ما فقط ایجاد کردیم. اکنون، ما فقط اولویت 2را به قواعد ارائه میدهیم و برای عملDenyرا انتخاب کنید. اطمینان حاصل کنید که همه چیز دیگر به همهتنظیم شده است. این به این معنی است که تمام آدرس های IP مسدود خواهند شد. با این حال، از آنجایی که اولین قاعده ما برای اولین بار پردازش می شود، آن آدرس IP مجاز خواهد بود. هنگامی که یک قاعده مطابقت دارد، قوانین دیگر نادیده گرفته می شوند. اگر یک آدرس IP با قانون اول مطابقت نداشته باشد، به این قانون دوم می رسد، جایی که آن را مطابقت و مسدود می کند. خوب!
در نهایت ما باید مشخصات دسترسی جدید را فعال کنیم. برای انجام این کار، به دسترسی به پروفایل هابروید و نمایه جدید را از لیست کشویی در بالا (کنار نمای دسترسی فعال) انتخاب کنید. مطمئن شوید که روی درخواستکلیک کنید و باید به خوبی بروید.
به یاد داشته باشید که تنظیمات در حال حاضر تنها ذخیره می شود در پیکربندی در حال اجرا مدیریت- مدیریت فایل- کپی / ذخیره سازی پیکربندیبه کپی کردن پیکربندی در حال اجرا به پیکربندی راه اندازی بروید.
اگر میخواهید دسترسی بیش از یک آدرس IP را به سوئیچ بگذارید، فقط یک قانون دیگر مانند اول را ایجاد کنید، اما اولویت بالاتر آن را بدهید. شما همچنین باید مطمئن شوید که اولویت را برای قانون رد کنیدتغییر دهید تا اولویت بالاتر از همه قوانین مجوزباشد. اگر به هر مشکلی رجوع کنید یا نمیتوانید این کار را بکنید، احساس رایگان در نظرات را داشته باشید و سعی میکنم به شما کمک کنم. لذت ببرید!