Để tăng cường bảo mật, tôi muốn giới hạn quyền truy cập vào bộ chuyển mạch Cisco SG300-10 của mình thành chỉ một địa chỉ IP trong mạng con cục bộ của tôi. Sau khi định cấu hình ban đầu công tắc mới của tôi^{(initially configuring my new switch)} vài tuần trở lại đây, tôi không hài lòng khi biết rằng bất kỳ ai được kết nối với mạng LAN^(LAN) hoặc WLAN của tôi đều có thể truy cập trang đăng nhập chỉ bằng cách biết địa chỉ IP của thiết bị.

Cuối cùng, tôi đã sàng lọc qua sổ tay 500 trang để tìm ra cách chặn tất cả các địa chỉ IP ngoại trừ những địa chỉ mà tôi muốn truy cập quản lý. Sau rất nhiều thử nghiệm và một số bài đăng lên các diễn đàn của Cisco , tôi đã tìm ra! Trong bài viết này, tôi sẽ hướng dẫn bạn các bước để định cấu hình cấu hình truy cập và quy tắc cấu hình cho bộ chuyển mạch Cisco của bạn .

Lưu ý: Phương pháp tôi sẽ mô tả sau đây cũng cho phép bạn hạn chế quyền truy cập vào bất kỳ số lượng dịch vụ được bật trên công tắc của bạn. Ví dụ: bạn có thể hạn chế quyền truy cập vào SSH, HTTP, HTTPS, Telnet hoặc tất cả các dịch vụ này theo địa chỉ IP. ^{(Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )}

Tạo ^{(Create Management Access Profile)}Quy tắc^(Rules) & Hồ sơ Truy cập Quản lý

Để bắt đầu, hãy đăng nhập vào giao diện web cho công tắc của bạn và mở rộng Bảo mật^(Security) rồi mở rộng Phương thức truy cập Mgmt^{(Mgmt Access Method)} . Tiếp tục và nhấp vào Hồ sơ truy cập^{(Access Profiles)} .

Điều đầu tiên chúng ta cần làm là tạo một hồ sơ truy cập mới. Theo mặc định, bạn sẽ chỉ thấy cấu hình Chỉ bảng điều khiển^{(Console Only)} . Ngoài ra, bạn sẽ nhận thấy ở trên cùng rằng Không có gì^(None) được chọn bên cạnh Hồ sơ truy cập đang hoạt động^{( Active Access Profile)} . Khi chúng tôi đã tạo hồ sơ và các quy tắc của mình, chúng tôi sẽ phải chọn tên của hồ sơ ở đây để kích hoạt nó.

Bây giờ hãy nhấp vào nút Thêm^(Add) và thao tác này sẽ xuất hiện một hộp thoại nơi bạn có thể đặt tên cho cấu hình mới của mình và cũng có thể thêm quy tắc đầu tiên cho cấu hình mới.

Ở trên cùng, hãy đặt tên cho hồ sơ mới của bạn. Tất cả các trường khác liên quan đến quy tắc đầu tiên sẽ được thêm vào hồ sơ mới. Đối với Mức độ ưu tiên quy tắc^{( Rule Priority)} , bạn phải chọn giá trị từ 1 đến 65535. Cách thức hoạt động của Cisco là quy tắc có mức độ ưu tiên thấp nhất được áp dụng trước. Nếu nó không khớp, thì quy tắc tiếp theo có mức độ ưu tiên thấp nhất sẽ được áp dụng.

Trong ví dụ của tôi, tôi đã chọn mức độ ưu tiên là 1 vì tôi muốn quy tắc này được xử lý trước. Quy tắc này sẽ là quy tắc cho phép địa chỉ IP mà tôi muốn cấp quyền truy cập cho công tắc. Trong Phương pháp quản lý^{(Management Method)} , bạn có thể chọn một dịch vụ cụ thể hoặc chọn tất cả, điều này sẽ hạn chế mọi thứ. Trong trường hợp của tôi, tôi chọn tất cả vì dù sao tôi cũng chỉ bật SSH và HTTPS và tôi quản lý cả hai dịch vụ từ một máy tính.

Lưu ý rằng nếu bạn chỉ muốn bảo mật SSH và HTTPS , thì bạn sẽ cần tạo hai quy tắc riêng biệt. Hành động^(Action) chỉ có thể là Từ chối^(Deny) hoặc Cho phép^(Permit) . Đối với ví dụ của tôi, tôi đã chọn Permit vì điều này sẽ dành cho IP được phép. Tiếp theo^(Next) , bạn có thể áp dụng quy tắc cho một giao diện cụ thể trên thiết bị hoặc bạn có thể để nguyên ở Tất cả^(All) để áp dụng cho tất cả các cổng.

Trong Áp dụng cho địa chỉ IP nguồn^{(Applies to Source IP Address)} , chúng tôi phải chọn Người dùng xác định^{( User Defined)} tại đây và sau đó chọn Phiên bản 4^{(Version 4)} , trừ khi bạn đang làm việc trong môi trường IPv6 , trong trường hợp đó bạn sẽ chọn Phiên bản 6^{(Version 6)} . Bây giờ, hãy nhập địa chỉ IP sẽ được phép truy cập và nhập mặt nạ mạng khớp với tất cả các bit có liên quan sẽ được xem xét.

Ví dụ: vì địa chỉ IP của tôi là 192.168.1.233, toàn bộ địa chỉ IP cần được kiểm tra và do đó tôi cần mặt nạ mạng là 255.255.255.255. Nếu tôi muốn quy tắc áp dụng cho tất cả mọi người trên toàn bộ mạng con, thì tôi sẽ sử dụng mặt nạ 255.255.255.0. Điều đó có nghĩa là bất kỳ ai có địa chỉ 192.168.1.x đều được phép. Đó không phải là những gì tôi muốn làm, rõ ràng, nhưng hy vọng rằng điều đó giải thích cách sử dụng mặt nạ mạng. Lưu ý rằng mặt nạ mạng không phải là mặt nạ mạng con cho mạng của bạn. Mặt nạ mạng chỉ đơn giản cho biết những bit nào Cisco nên xem xét khi áp dụng quy tắc.

Nhấp vào Áp dụng^(Apply) và bây giờ bạn sẽ có một hồ sơ và quy tắc truy cập mới! Nhấp^(Click) vào Quy tắc hồ sơ^{( Profile Rules)} ở menu bên trái và bạn sẽ thấy quy tắc mới được liệt kê ở trên cùng.

Bây giờ chúng ta cần thêm quy tắc thứ hai của mình. Để thực hiện việc này, hãy nhấp vào nút Thêm^(Add) được hiển thị bên dưới Bảng quy tắc hồ sơ^{(Profile Rule Table)} .

Quy tắc thứ hai thực sự đơn giản. Trước tiên, hãy đảm bảo rằng Tên hồ sơ truy cập^{(Access Profile Name)} giống với tên mà chúng tôi vừa tạo. Bây giờ, chúng tôi chỉ đặt ưu tiên cho quy tắc là 2 và chọn Từ chối^(Deny) cho Hành động^(Action) . Đảm bảo mọi thứ khác được đặt thành Tất cả^(All) . Điều này có nghĩa là tất cả các địa chỉ IP sẽ bị chặn. Tuy nhiên, vì quy tắc đầu tiên của chúng tôi sẽ được xử lý trước nên địa chỉ IP đó sẽ được phép. Khi một quy tắc được khớp, các quy tắc khác sẽ bị bỏ qua. Nếu một địa chỉ IP không khớp với quy tắc đầu tiên, nó sẽ đến với quy tắc thứ hai này, nơi nó sẽ khớp và bị chặn. Tốt đẹp!

Cuối cùng, chúng ta phải kích hoạt hồ sơ truy cập mới. Để làm điều đó, hãy quay lại Hồ sơ Access^{( Access Profiles)} và chọn hồ sơ mới từ danh sách thả xuống ở trên cùng (bên cạnh Hồ sơ truy cập đang hoạt động^{(Active Access Profile)} ). Đảm bảo nhấp vào Áp dụng^(Apply) và bạn sẽ sẵn sàng.

Hãy nhớ^(Remember) rằng cấu hình hiện chỉ được lưu trong cấu hình đang chạy. Đảm bảo rằng bạn đi tới Quản trị^{(Administration)} - Quản lý tệp^{( File Management)} - Copy/Save Configuration để sao chép cấu hình đang chạy vào cấu hình khởi động.

Nếu bạn muốn cho phép nhiều hơn một địa chỉ IP truy cập vào công tắc, chỉ cần tạo một quy tắc khác giống như quy tắc đầu tiên, nhưng ưu tiên cao hơn cho quy tắc đó. Bạn cũng sẽ phải đảm bảo rằng bạn thay đổi mức độ ưu tiên cho quy tắc Từ chối^(Deny) để nó có mức độ ưu tiên cao hơn tất cả các quy tắc Giấy phép^(Permit) . Nếu bạn gặp bất kỳ sự cố nào hoặc không thể giải quyết vấn đề này, vui lòng đăng nhận xét và tôi sẽ cố gắng trợ giúp. Vui thích!

Restrict Access to Cisco Switch Based on IP Address

For added security, I wanted to restrict access to my Cisco SG300-10 switch to оnly one IP аddress in my local subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.

I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.

Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. 

Create Management Access Profile & Rules

To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.

The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.

Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.

At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.

In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.

Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.

Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.

For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.

Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.

Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.

The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!

Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.

Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.

If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!

Related posts

• Cách tìm địa chỉ IP của máy in WiFi của bạn trên Windows và Mac

• Cách bật quyền truy cập SSH cho thiết bị chuyển mạch Cisco SG300

• Làm thế nào để thiết lập một IP Address tĩnh trong Windows 10

• Làm cách nào để tìm IP Address My Router?

• Cách gán địa chỉ IP tĩnh cho PC chạy Windows 11/10

• Cách hủy bỏ và gia hạn địa chỉ IP

• Bộ định tuyến so với Switch so với Hub so với Modem so với Access Point và Gateway

• Địa chỉ IP Raspberry Pi của tôi là gì?

• Cài đặt các Plugin GIMP: Hướng dẫn Cách thực hiện

• Tạo lối tắt bàn phím để truy cập hộp thoại loại bỏ phần cứng một cách an toàn

• Cách chuyển Google Authenticator sang điện thoại mới mà không mất quyền truy cập

• Cách khắc phục lỗi “Không tìm thấy địa chỉ IP máy chủ” trong Google Chrome

• Gán một địa chỉ IP tĩnh cho một máy in hoặc bất kỳ thiết bị mạng nào

• Cách tìm Router IP address trên Windows 10 - IP Address Lookup

• HDG Giải thích: Địa chỉ IP chuyên dụng là gì và tôi có nên lấy địa chỉ IP không?

• Năm điều bạn nên làm sau khi cắm thiết bị chuyển mạch Cisco mới của mình

• Thay đổi địa chỉ IP và máy chủ DNS bằng Command Prompt

• Cách tìm địa chỉ IP công cộng của bạn

• Cách truy cập Samsung Cloud và khai thác tối đa dịch vụ

• Cách chuyển đổi một đĩa động thành một đĩa cơ bản