Pour plus de sécurité, je voulais limiter l'accès à mon commutateur Cisco SG300-10 à une seule adresse IP dans mon sous-réseau local. Après initialement configurer mon nouvel interrupteur il y a quelques semaines, je n'étais pas content de savoir que toute personne connectée à mon LAN ou WLAN pouvait accéder à la page de connexion en connaissant simplement l'adresse IP de l'appareil.
J'ai fini par passer au crible le manuel de 500 pages pour savoir comment bloquer toutes les adresses IP à l'exception de celles que je voulais pour l'accès à la gestion. Après beaucoup de tests et plusieurs messages sur les forums de Cisco, je l'ai compris! Dans cet article, je vais vous guider à travers les étapes pour configurer les profils d'accès et les règles de profils pour votre commutateur Cisco.
Remarque: La méthode suivante que je vais describe vous permet également de restreindre l'accès à un nombre illimité de services activés sur votre commutateur. Par exemple, vous pouvez restreindre l'accès à SSH, HTTP, HTTPS, Telnet ou à tous ces services par adresse IP.
Créer un profil d'accès à la gestion & amp; Règles
Pour commencer, connectez-vous à l'interface Web de votre commutateur et développez Sécurité, puis développez Méthode d'accès à Mgmt. Allez-y et cliquez sur Profils d'accès.
La première chose à faire est de créer un nouveau profil d'accès . Par défaut, vous ne devriez voir que le profil Console Only. En outre, vous remarquerez en haut que Aucunest sélectionné à côté du profil d'accès actif. Une fois que nous aurons créé notre profil et nos règles, nous devrons sélectionner le nom du profil ici pour l'activer.
Maintenant, cliquez sur le bouton Ajouter. afficher une boîte de dialogue dans laquelle vous pourrez nommer votre nouveau profil et ajouter la première règle pour le nouveau profil.
En haut, donnez un nom à votre nouveau profil. Tous les autres champs se rapportent à la première règle qui sera ajoutée au nouveau profil. Pour Règle prioritaire, vous devez choisir une valeur comprise entre 1 et 65535. La façon dont Cisco fonctionne est que la règle avec la priorité la plus basse est appliquée en premier. S'il ne correspond pas, alors la règle suivante avec la priorité la plus basse est appliquée.
Dans mon exemple, j'ai choisi une priorité de 1parce que je veux que cette règle soit traitée premier. Cette règle sera celle qui permet l'adresse IP que je veux donner accès au commutateur. Sous Méthode de gestion, vous pouvez choisir un service spécifique ou tout sélectionner, ce qui limitera tout. Dans mon cas, j'ai tout choisi parce que je n'ai que SSH et HTTPS activés de toute façon et je gère les deux services depuis un ordinateur.
Notez que si vous voulez seulement sécuriser SSH et HTTPS, alors vous devrez créer deux règles distinctes. L'action ne peut être que Refuserou Autoriser. Pour mon exemple, j'ai choisi Autorisercar ce sera pour l'adresse IP autorisée. Ensuite, vous pouvez appliquer la règle à une interface spécifique sur le périphérique ou vous pouvez simplement la laisser sur Tousafin qu'elle s'applique à tous les ports.
Sous S'applique à l'adresse IP source, nous devons sélectionner Défini par l'utilisateurici, puis choisir Version 4, sauf si vous travaillez dans un Dans ce cas, vous devez choisir la version 6. Tapez maintenant l'adresse IP qui sera autorisée à accéder et entrez un masque de réseau correspondant à tous les bits pertinents à consulter.
Par exemple, depuis mon adresse IP est 192.168.1.233, l'adresse IP entière doit être examinée et donc j'ai besoin d'un masque réseau de 255.255.255.255. Si je voulais que la règle s'applique à tout le monde sur le sous-réseau entier, j'utiliserais un masque de 255.255.255.0. Cela signifierait que toute personne ayant une adresse 192.168.1.x serait autorisée. Ce n'est pas ce que je veux faire, évidemment, mais j'espère que cela explique comment utiliser le masque de réseau. Notez que le masque de réseau n'est pas le masque de sous-réseau pour votre réseau. Le masque de réseau indique simplement quels bits Cisco doit examiner lors de l'application de la règle.
Cliquez sur Appliqueret vous devriez maintenant avoir un nouveau profil d'accès et une nouvelle règle! Cliquez sur Règles de profildans le menu de gauche et vous verrez apparaître la nouvelle règle en haut.
Maintenant, nous devons ajouter notre deuxième règle. Pour ce faire, cliquez sur le bouton Ajouteraffiché dans la Table des règles de profil.
La deuxième règle est vraiment simple. Tout d'abord, assurez-vous que le nom du profil d'accès est le même que celui que nous venons de créer. Maintenant, nous donnons à la règle une priorité de 2et choisissez Refuserpour l'action . Assurez-vous que tout le reste est défini sur Tous. Cela signifie que toutes les adresses IP seront bloquées. Cependant, puisque notre première règle sera traitée en premier, cette adresse IP sera permise. Une fois qu'une règle est mise en correspondance, les autres règles sont ignorées. Si une adresse IP ne correspond pas à la première règle, elle arrivera à cette seconde règle, où elle correspondra et sera bloquée. Nice!
Enfin, nous devons activer le nouveau profil d'accès. Pour ce faire, revenez à Profils d'accèset sélectionnez le nouveau profil dans la liste déroulante située en haut (à côté de Profil d'accès actif). Assurez-vous de cliquer sur Appliqueret vous devriez être prêt à partir.
N'oubliez pas que la configuration est actuellement enregistrée dans la configuration courante. Assurez-vous d'aller dans Administration- Gestion de fichiers- Copier / Enregistrer la configurationpour copier la configuration en cours dans la configuration de démarrage.
Si vous voulez autoriser plus d'un accès par adresse IP au commutateur, créez simplement une autre règle comme la première, mais donnez-lui une priorité plus élevée. Vous devez également vous assurer que vous modifiez la priorité de la règle Refuserafin qu'elle ait une priorité plus élevée que toutes les règles Autoriser. Si vous rencontrez des problèmes ou que vous n'arrivez pas à faire fonctionner cela, n'hésitez pas à poster dans les commentaires et je vais essayer de vous aider. Profitez-en!