จำกัดการเข้าถึงสวิตช์ Cisco ตามที่อยู่ IP

เพื่อเพิ่มความปลอดภัย ฉันต้องการจำกัดการเข้าถึงสวิตช์ Cisco SG300-10(Cisco SG300-10) ของฉัน เป็นที่อยู่ IP เพียงที่อยู่เดียวในซับเน็ตในเครื่องของฉัน หลังจากกำหนดค่าสวิตช์ใหม่ของฉัน(initially configuring my new switch)เมื่อไม่กี่สัปดาห์ก่อน ฉันไม่พอใจที่รู้ว่าใครก็ตามที่เชื่อมต่อกับLANหรือWLAN ของฉัน สามารถไปที่หน้าเข้าสู่ระบบได้เพียงแค่รู้ที่อยู่ IP สำหรับอุปกรณ์

ฉันลงเอยด้วยการกลั่นกรองคู่มือ 500 หน้าเพื่อหาวิธีบล็อกที่อยู่ IP ทั้งหมด ยกเว้นที่ฉันต้องการสำหรับการเข้าถึงการจัดการ หลังจากทดสอบและโพสต์หลายรายการในฟอรัม ของ Cisco ฉันก็พบว่ามัน! (Cisco)ในบทความนี้ ฉันจะแนะนำขั้นตอนต่างๆ ในการกำหนดค่าโปรไฟล์การเข้าถึงและกฎโปรไฟล์สำหรับสวิตช์Cisco ของคุณ(Cisco)

หมายเหตุ: วิธีการต่อไปนี้ที่ฉันจะอธิบายยังช่วยให้คุณสามารถจำกัดการเข้าถึงบริการที่เปิดใช้งานจำนวนเท่าใดก็ได้บนสวิตช์ของคุณ ตัวอย่างเช่น คุณสามารถจำกัดการเข้าถึง SSH, HTTP, HTTPS, Telnet หรือบริการทั้งหมดเหล่านี้ตามที่อยู่ IP (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

สร้างโปรไฟล์(Create Management Access Profile)และกฎ การเข้าถึงการจัดการ(Rules)

ในการเริ่มต้นใช้งาน ให้เข้าสู่ระบบเว็บอินเทอร์เฟซสำหรับสวิตช์ของคุณและขยายความปลอดภัย(Security)จากนั้นขยาย Mgmt Access Method (Mgmt Access Method)ไปข้างหน้าและคลิกที่โปรไฟล์การ(Access Profiles)เข้าถึง

สิ่งแรกที่เราต้องทำคือสร้างโปรไฟล์การเข้าถึงใหม่ โดยค่าเริ่มต้น คุณควรเห็น เฉพาะ โปรไฟล์Console เท่านั้น (Console Only)นอกจากนี้ คุณจะสังเกตเห็นที่ด้านบนว่าไม่มี(None)ถูกเลือกถัดจากโปรไฟล์การเข้าถึง( Active Access Profile) ที่ใช้งาน อยู่ เมื่อเราสร้างโปรไฟล์และกฎเกณฑ์แล้ว เราจะต้องเลือกชื่อโปรไฟล์ที่นี่เพื่อเปิดใช้งาน

ตอนนี้ คลิกที่ ปุ่ม เพิ่ม(Add)และสิ่งนี้ควรเปิดกล่องโต้ตอบซึ่งคุณจะสามารถตั้งชื่อโปรไฟล์ใหม่ของคุณ และเพิ่มกฎข้อแรกสำหรับโปรไฟล์ใหม่

ที่ด้านบน ตั้งชื่อโปรไฟล์ใหม่ของคุณ ฟิลด์อื่นๆ ทั้งหมดเกี่ยวข้องกับกฎข้อแรกที่จะเพิ่มในโปรไฟล์ใหม่ สำหรับRule Priorityคุณต้องเลือกค่าระหว่าง 1 ถึง 65535 วิธีการ ทำงานของ Ciscoคือใช้กฎที่มีลำดับความสำคัญต่ำสุดก่อน หากไม่ตรงกัน ระบบจะใช้กฎถัดไปที่มีลำดับความสำคัญต่ำสุด

ในตัวอย่างของฉัน ฉันเลือกลำดับความสำคัญเป็น1เนื่องจากฉันต้องการให้ดำเนินการกฎนี้ก่อน กฎนี้จะเป็นกฎที่อนุญาตให้ใช้ที่อยู่ IP ที่ฉันต้องการให้การเข้าถึงสวิตช์ ภายใต้วิธีการจัดการ(Management Method)คุณสามารถเลือกบริการเฉพาะหรือเลือกทั้งหมด ซึ่งจะจำกัดทุกอย่าง ในกรณีของฉัน ฉันเลือกทั้งหมดเพราะฉัน เปิดใช้งาน SSHและHTTPS เท่านั้น และฉันจัดการทั้งสองบริการจากคอมพิวเตอร์เครื่องเดียว

โปรดทราบว่าหากคุณต้องการรักษาความปลอดภัยเฉพาะSSHและHTTPSคุณจะต้องสร้างกฎสองกฎแยกกัน การดำเนินการ(Action)สามารถปฏิเสธ(Deny)หรืออนุญาต(Permit)เท่านั้น สำหรับตัวอย่างของฉัน ฉันเลือกPermitเนื่องจากจะเป็น IP ที่อนุญาต ถัดไป(Next)คุณสามารถใช้กฎกับอินเทอร์เฟซเฉพาะบนอุปกรณ์ หรือปล่อยไว้ที่"ทั้งหมด"(All)เพื่อให้กฎมีผลกับพอร์ตทั้งหมด

ภายใต้Applies to Source IP Addressเราต้องเลือกUser Definedที่นี่ จากนั้นเลือกเวอร์ชัน 4(Version 4)เว้นแต่คุณจะทำงานใน สภาพแวดล้อม IPv6ซึ่งในกรณีนี้ คุณจะต้องเลือกเวอร์ชัน(Version 6) 6 ตอนนี้พิมพ์ที่อยู่ IP ที่จะได้รับอนุญาตให้เข้าถึงและพิมพ์ในเน็ตเวิร์กมาสก์ที่ตรงกับบิตที่เกี่ยวข้องทั้งหมดที่จะดู

ตัวอย่างเช่น เนื่องจากที่อยู่ IP ของฉันคือ 192.168.1.233 จึงต้องตรวจสอบที่อยู่ IP ทั้งหมดและด้วยเหตุนี้ฉันจึงต้องใช้เน็ตเวิร์กมาสก์ 255.255.255.255 ถ้าฉันต้องการให้กฎมีผลกับทุกคนในเครือข่ายย่อยทั้งหมด ฉันจะใช้มาสก์ 255.255.255.0 นั่นหมายความว่าทุกคนที่มีที่อยู่ 192.168.1.x จะได้รับอนุญาต นั่นไม่ใช่สิ่งที่ฉันต้องการทำ แต่หวังว่าจะอธิบายวิธีใช้เน็ตเวิร์กมาสก์ได้ โปรดทราบว่าเน็ตเวิร์กมาสก์ไม่ใช่ซับเน็ตมาสก์สำหรับเครือข่ายของคุณ มาสก์เครือข่ายบอกว่าบิตใดที่Ciscoควรดูเมื่อใช้กฎ

คลิกสมัคร(Apply)และตอนนี้คุณควรมีโปรไฟล์และกฎการเข้าถึงใหม่! คลิก(Click)กฎของโปรไฟล์( Profile Rules)ในเมนูด้านซ้าย และคุณจะเห็นกฎใหม่แสดงอยู่ที่ด้านบน

ตอนนี้เราต้องเพิ่มกฎข้อที่สองของเรา ในการดำเนินการนี้ ให้คลิก ปุ่ม เพิ่ม(Add) ที่ แสดงอยู่ใต้ตารางกฎ(Profile Rule Table)ของ โปรไฟล์

กฎข้อที่สองนั้นง่ายมาก ประการแรก ตรวจสอบให้แน่ใจว่าชื่อโปรไฟล์การเข้าถึง(Access Profile Name)เป็นชื่อเดียวกับที่เราเพิ่งสร้างขึ้น ตอนนี้ เราแค่ให้กฎมีลำดับความสำคัญเป็น2และเลือกปฏิเสธ(Deny)สำหรับการดำเนิน(Action)การ ตรวจสอบให้แน่ใจว่าตั้งค่าอย่างอื่น ทั้งหมด เป็นทั้งหมด (All)ซึ่งหมายความว่าที่อยู่ IP ทั้งหมดจะถูกบล็อก อย่างไรก็ตาม เนื่องจากกฎข้อแรกของเราจะได้รับการประมวลผลก่อน ที่อยู่ IP นั้นจะได้รับอนุญาต เมื่อกฎถูกจับคู่แล้ว กฎอื่นๆ จะถูกละเว้น หากที่อยู่ IP ไม่ตรงกับกฎข้อแรก ที่อยู่ IP นั้นจะมาที่กฎข้อที่สอง ซึ่งจะจับคู่และถูกบล็อก ดี!

สุดท้าย เราต้องเปิดใช้งานโปรไฟล์การเข้าถึงใหม่ ในการทำเช่นนั้น กลับไปที่Access Profilesและเลือกโปรไฟล์ใหม่จากรายการดรอปดาวน์ที่ด้านบน (ถัดจากActive Access Profile ) ตรวจสอบให้แน่ใจว่าได้คลิกสมัคร(Apply)และคุณน่าจะไปได้ดี

โปรดจำไว้(Remember)ว่า การกำหนดค่าจะถูกบันทึกในการกำหนดค่าที่ทำงานอยู่เท่านั้น ตรวจสอบให้แน่ใจว่าคุณไปที่การดูแลระบบ(Administration) - การจัดการไฟล์( File Management) - Copy/Save Configurationเพื่อคัดลอกการกำหนดค่าที่ทำงานอยู่ไปยังการกำหนดค่าเริ่มต้น

หากคุณต้องการอนุญาตให้มีการเข้าถึงสวิตช์มากกว่าหนึ่งที่อยู่ IP ให้สร้างกฎอื่นเช่นกฎแรก แต่ให้ลำดับความสำคัญสูงกว่า นอกจากนี้ คุณจะต้องตรวจสอบให้แน่ใจว่าคุณได้เปลี่ยนลำดับความสำคัญสำหรับ กฎการ ปฏิเสธ(Deny)เพื่อให้มีลำดับความสำคัญสูงกว่ากฎ การ อนุญาต ทั้งหมด (Permit)หากคุณประสบปัญหาหรือใช้งานไม่ได้ โปรดโพสต์ในความคิดเห็นและเราจะพยายามช่วยเหลือ สนุก!



มงคล กาญจนวิภู

About the author

ฉันเป็นมืออาชีพด้านคอมพิวเตอร์ที่มีประสบการณ์การทำงานกับซอฟต์แวร์ Microsoft Office รวมถึง Excel และ PowerPoint ฉันยังมีประสบการณ์กับ Chrome ซึ่งเป็นเบราว์เซอร์ของ Google ทักษะของฉันรวมถึงการสื่อสารที่เป็นลายลักษณ์อักษรและด้วยวาจา การแก้ปัญหา และการคิดอย่างมีวิจารณญาณ


Related posts