Hạn chế quyền truy cập vào Switch Cisco dựa trên địa chỉ IP

Để tăng cường bảo mật, tôi muốn giới hạn quyền truy cập vào bộ chuyển mạch Cisco SG300-10 của mình thành chỉ một địa chỉ IP trong mạng con cục bộ của tôi. Sau khi định cấu hình ban đầu công tắc mới của tôi(initially configuring my new switch) vài tuần trở lại đây, tôi không hài lòng khi biết rằng bất kỳ ai được kết nối với mạng LAN(LAN) hoặc WLAN của tôi đều có thể truy cập trang đăng nhập chỉ bằng cách biết địa chỉ IP của thiết bị.

Cuối cùng, tôi đã sàng lọc qua sổ tay 500 trang để tìm ra cách chặn tất cả các địa chỉ IP ngoại trừ những địa chỉ mà tôi muốn truy cập quản lý. Sau rất nhiều thử nghiệm và một số bài đăng lên các diễn đàn của Cisco , tôi đã tìm ra! Trong bài viết này, tôi sẽ hướng dẫn bạn các bước để định cấu hình cấu hình truy cập và quy tắc cấu hình cho bộ chuyển mạch Cisco của bạn .

Lưu ý: Phương pháp tôi sẽ mô tả sau đây cũng cho phép bạn hạn chế quyền truy cập vào bất kỳ số lượng dịch vụ được bật trên công tắc của bạn. Ví dụ: bạn có thể hạn chế quyền truy cập vào SSH, HTTP, HTTPS, Telnet hoặc tất cả các dịch vụ này theo địa chỉ IP. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

Tạo (Create Management Access Profile)Quy tắc(Rules) & Hồ sơ Truy cập Quản lý

Để bắt đầu, hãy đăng nhập vào giao diện web cho công tắc của bạn và mở rộng Bảo mật(Security) rồi mở rộng Phương thức truy cập Mgmt(Mgmt Access Method) . Tiếp tục và nhấp vào Hồ sơ truy cập(Access Profiles) .

Điều đầu tiên chúng ta cần làm là tạo một hồ sơ truy cập mới. Theo mặc định, bạn sẽ chỉ thấy cấu hình Chỉ bảng điều khiển(Console Only) . Ngoài ra, bạn sẽ nhận thấy ở trên cùng rằng Không có gì(None) được chọn bên cạnh Hồ sơ truy cập đang hoạt động( Active Access Profile) . Khi chúng tôi đã tạo hồ sơ và các quy tắc của mình, chúng tôi sẽ phải chọn tên của hồ sơ ở đây để kích hoạt nó.

Bây giờ hãy nhấp vào nút Thêm(Add) và thao tác này sẽ xuất hiện một hộp thoại nơi bạn có thể đặt tên cho cấu hình mới của mình và cũng có thể thêm quy tắc đầu tiên cho cấu hình mới.

Ở trên cùng, hãy đặt tên cho hồ sơ mới của bạn. Tất cả các trường khác liên quan đến quy tắc đầu tiên sẽ được thêm vào hồ sơ mới. Đối với Mức độ ưu tiên quy tắc( Rule Priority) , bạn phải chọn giá trị từ 1 đến 65535. Cách thức hoạt động của Cisco là quy tắc có mức độ ưu tiên thấp nhất được áp dụng trước. Nếu nó không khớp, thì quy tắc tiếp theo có mức độ ưu tiên thấp nhất sẽ được áp dụng.

Trong ví dụ của tôi, tôi đã chọn mức độ ưu tiên là 1 vì tôi muốn quy tắc này được xử lý trước. Quy tắc này sẽ là quy tắc cho phép địa chỉ IP mà tôi muốn cấp quyền truy cập cho công tắc. Trong Phương pháp quản lý(Management Method) , bạn có thể chọn một dịch vụ cụ thể hoặc chọn tất cả, điều này sẽ hạn chế mọi thứ. Trong trường hợp của tôi, tôi chọn tất cả vì dù sao tôi cũng chỉ bật SSHHTTPS và tôi quản lý cả hai dịch vụ từ một máy tính.

Lưu ý rằng nếu bạn chỉ muốn bảo mật SSHHTTPS , thì bạn sẽ cần tạo hai quy tắc riêng biệt. Hành động(Action) chỉ có thể là Từ chối(Deny) hoặc Cho phép(Permit) . Đối với ví dụ của tôi, tôi đã chọn Permit vì điều này sẽ dành cho IP được phép. Tiếp theo(Next) , bạn có thể áp dụng quy tắc cho một giao diện cụ thể trên thiết bị hoặc bạn có thể để nguyên ở Tất cả(All) để áp dụng cho tất cả các cổng.

Trong Áp dụng cho địa chỉ IP nguồn(Applies to Source IP Address) , chúng tôi phải chọn Người dùng xác định( User Defined) tại đây và sau đó chọn Phiên bản 4(Version 4) , trừ khi bạn đang làm việc trong môi trường IPv6 , trong trường hợp đó bạn sẽ chọn Phiên bản 6(Version 6) . Bây giờ, hãy nhập địa chỉ IP sẽ được phép truy cập và nhập mặt nạ mạng khớp với tất cả các bit có liên quan sẽ được xem xét.

Ví dụ: vì địa chỉ IP của tôi là 192.168.1.233, toàn bộ địa chỉ IP cần được kiểm tra và do đó tôi cần mặt nạ mạng là 255.255.255.255. Nếu tôi muốn quy tắc áp dụng cho tất cả mọi người trên toàn bộ mạng con, thì tôi sẽ sử dụng mặt nạ 255.255.255.0. Điều đó có nghĩa là bất kỳ ai có địa chỉ 192.168.1.x đều được phép. Đó không phải là những gì tôi muốn làm, rõ ràng, nhưng hy vọng rằng điều đó giải thích cách sử dụng mặt nạ mạng. Lưu ý rằng mặt nạ mạng không phải là mặt nạ mạng con cho mạng của bạn. Mặt nạ mạng chỉ đơn giản cho biết những bit nào Cisco nên xem xét khi áp dụng quy tắc.

Nhấp vào Áp dụng(Apply) và bây giờ bạn sẽ có một hồ sơ và quy tắc truy cập mới! Nhấp(Click) vào Quy tắc hồ sơ( Profile Rules) ở menu bên trái và bạn sẽ thấy quy tắc mới được liệt kê ở trên cùng.

Bây giờ chúng ta cần thêm quy tắc thứ hai của mình. Để thực hiện việc này, hãy nhấp vào nút Thêm(Add) được hiển thị bên dưới Bảng quy tắc hồ sơ(Profile Rule Table) .

Quy tắc thứ hai thực sự đơn giản. Trước tiên, hãy đảm bảo rằng Tên hồ sơ truy cập(Access Profile Name) giống với tên mà chúng tôi vừa tạo. Bây giờ, chúng tôi chỉ đặt ưu tiên cho quy tắc là 2 và chọn Từ chối(Deny) cho Hành động(Action) . Đảm bảo mọi thứ khác được đặt thành Tất cả(All) . Điều này có nghĩa là tất cả các địa chỉ IP sẽ bị chặn. Tuy nhiên, vì quy tắc đầu tiên của chúng tôi sẽ được xử lý trước nên địa chỉ IP đó sẽ được phép. Khi một quy tắc được khớp, các quy tắc khác sẽ bị bỏ qua. Nếu một địa chỉ IP không khớp với quy tắc đầu tiên, nó sẽ đến với quy tắc thứ hai này, nơi nó sẽ khớp và bị chặn. Tốt đẹp!

Cuối cùng, chúng ta phải kích hoạt hồ sơ truy cập mới. Để làm điều đó, hãy quay lại Hồ sơ Access( Access Profiles) và chọn hồ sơ mới từ danh sách thả xuống ở trên cùng (bên cạnh Hồ sơ truy cập đang hoạt động(Active Access Profile) ). Đảm bảo nhấp vào Áp dụng(Apply) và bạn sẽ sẵn sàng.

Hãy nhớ(Remember) rằng cấu hình hiện chỉ được lưu trong cấu hình đang chạy. Đảm bảo rằng bạn đi tới Quản trị(Administration) - Quản lý tệp( File Management) - Copy/Save Configuration để sao chép cấu hình đang chạy vào cấu hình khởi động.

Nếu bạn muốn cho phép nhiều hơn một địa chỉ IP truy cập vào công tắc, chỉ cần tạo một quy tắc khác giống như quy tắc đầu tiên, nhưng ưu tiên cao hơn cho quy tắc đó. Bạn cũng sẽ phải đảm bảo rằng bạn thay đổi mức độ ưu tiên cho quy tắc Từ chối(Deny) để nó có mức độ ưu tiên cao hơn tất cả các quy tắc Giấy phép(Permit) . Nếu bạn gặp bất kỳ sự cố nào hoặc không thể giải quyết vấn đề này, vui lòng đăng nhận xét và tôi sẽ cố gắng trợ giúp. Vui thích!



About the author

Tôi là một kỹ sư phần cứng với hơn 10 năm kinh nghiệm trong lĩnh vực này. Tôi chuyên về bộ điều khiển và cáp USB, cũng như nâng cấp BIOS và hỗ trợ ACPI. Trong thời gian rảnh rỗi, tôi cũng thích viết blog về các chủ đề khác nhau liên quan đến công nghệ và kỹ thuật.



Related posts