موصى به, 2024

اختيار المحرر

تقييد الوصول إلى Cisco Switch استنادًا إلى عنوان IP

لمزيد من الأمان ، أردت تقييد الوصول إلى محوّل Cisco SG300-10 الخاص بي إلى عنوان IP واحد فقط في الشبكة الفرعية المحلية الخاصة بي. بعد تكوين محولي الجديد منذ بضعة أسابيع ، لم أكن سعيدًا في معرفة أن أي شخص متصل بشبكة LAN أو شبكة WLAN يمكنه الوصول إلى صفحة تسجيل الدخول بمجرد معرفة عنوان IP للجهاز.

انتهيت من البحث في دليل مكون من 500 صفحة للتعرف على كيفية منع جميع عناوين IP باستثناء العناوين التي أريدها للوصول إلى الإدارة. بعد الكثير من الاختبارات وعدة مشاركات في منتديات Cisco ، اكتشفت ذلك! في هذه المقالة ، سوف أطلعك على الخطوات اللازمة لإعداد قواعد توصيف الوصول والملفات الشخصية لمحول Cisco الخاص بك.

ملاحظة : تسمح لك الطريقة التالية التي سأصفها أيضًا بتقييد الوصول إلى أي عدد من الخدمات الممكّنة على المحول الخاص بك. على سبيل المثال ، يمكنك تقييد الوصول إلى SSH أو HTTP أو HTTPS أو Telnet أو جميع هذه الخدمات بواسطة عنوان IP.

إنشاء ملف الوصول إلى الإدارة والقواعد

للبدء ، قم بتسجيل الدخول إلى واجهة الويب للتبديل وتوسيع الأمان ثم قم بتوسيع Mgmt Access Method . المضي قدما وانقر على ملفات تعريف الوصول .

أول شيء يتعين علينا القيام به هو إنشاء ملف تعريف وصول جديد. بشكل افتراضي ، يجب أن تشاهد فقط ملف تعريف وحدة التحكم فقط . ستلاحظ أيضًا في الجزء العلوي أنه لم يتم تحديد "بلا" بجوار "ملف تعريف الوصول النشط" . بعد إنشاء ملفنا الشخصي وقواعدنا ، سيتعين علينا تحديد اسم الملف الشخصي هنا لتفعيله.

انقر الآن على الزر " إضافة" وسيؤدي ذلك إلى إظهار مربع حوار يمكنك من خلاله تسمية ملفك الشخصي الجديد وإضافة القاعدة الأولى لملف التعريف الجديد.

في الجزء العلوي ، امنح ملفك الشخصي اسمًا. ترتبط جميع الحقول الأخرى بالقاعدة الأولى التي ستتم إضافتها إلى ملف التعريف الجديد. من أجل أولوية القاعدة ، يجب عليك اختيار قيمة بين 1 و 65535. الطريقة التي يعمل بها Cisco هي أن القاعدة ذات الأولوية الأقل يتم تطبيقها أولاً. إذا لم يتطابق ، فسيتم تطبيق القاعدة التالية ذات الأولوية الأقل.

في المثال الخاص بي ، اخترت أولوية 1 لأنني أريد معالجة هذه القاعدة أولاً. ستكون هذه القاعدة هي التي تسمح لعنوان IP الذي أريد منحه حق الوصول إلى المحول. تحت أسلوب الإدارة ، يمكنك إما اختيار خدمة معينة أو اختيار الكل ، مما سيحد من كل شيء. في حالتي ، اخترت كل شيء لأن لدي SSH و HTTPS ممكّنًا على أي حال وأدير كلا الخدمتين من جهاز كمبيوتر واحد.

لاحظ أنه إذا كنت ترغب في تأمين SSH و HTTPS فقط ، فستحتاج إلى إنشاء قاعدتين منفصلتين. يمكن أن يكون الإجراء رفض أو تصريح فقط . على سبيل المثال ، اخترت تصريح لأن هذا سيكون لبروتوكول الإنترنت المسموح به. بعد ذلك ، يمكنك تطبيق القاعدة على واجهة معينة على الجهاز أو يمكنك تركها على الكل بحيث تنطبق على جميع المنافذ.

ضمن " تنطبق على عنوان IP المصدر" ، يجب علينا اختيار " معرف المستخدم" هنا ثم اختر الإصدار 4 ، ما لم تكن تعمل في بيئة IPv6 في هذه الحالة ، يمكنك اختيار الإصدار 6. قم الآن بكتابة عنوان IP الذي سيسمح له بالوصول والنوع في قناع الشبكة الذي يطابق جميع البتات ذات الصلة التي يجب النظر إليها.

على سبيل المثال ، نظرًا لأن عنوان IP الخاص بي هو 192.168.1.233 ، يجب فحص عنوان IP بالكامل ، وبالتالي أحتاج إلى قناع شبكة 255.255.255.255. إذا كنت أرغب في تطبيق القاعدة على كل شخص على الشبكة الفرعية بأكملها ، فإنني سأستخدم قناع 255.255.255.0. وهذا يعني أن أي شخص لديه عنوان 192.168.1.x مسموح به. هذا ليس ما أريد القيام به ، من الواضح ، ولكن نأمل أن يشرح كيفية استخدام قناع الشبكة. لاحظ أن قناع الشبكة ليس قناع الشبكة الفرعية لشبكتك. يخفي قناع الشبكة ببساطة الأجزاء التي يجب على Cisco مشاهدتها عند تطبيق القاعدة.

انقر فوق تطبيق ويجب أن يكون لديك الآن ملف تعريف وصول وحكم جديد! انقر على قواعد الملفات الشخصية في القائمة الموجودة على اليسار ، ومن المفترض أن ترى القاعدة الجديدة مدرجة في الجزء العلوي.

الآن نحن بحاجة إلى إضافة القاعدة الثانية لدينا. للقيام بذلك ، انقر فوق الزر " إضافة" الموضح أسفل جدول قاعدة البيانات الشخصية .

القاعدة الثانية بسيطة حقا. أولاً ، تأكد من أن اسم ملف تعريف الوصول هو نفس الاسم الذي أنشأناه للتو. الآن ، نحن فقط نعطي القاعدة أولوية من 2 واختر رفض الإجراء . تأكد من تعيين كل شيء على الكل . هذا يعني أنه سيتم حظر جميع عناوين IP. ومع ذلك ، نظرًا لأنه سيتم معالجة قاعدتنا الأولى أولاً ، فسيتم السماح باستخدام عنوان IP هذا. بمجرد مطابقة القاعدة ، يتم تجاهل القواعد الأخرى. إذا لم يتطابق عنوان IP مع القاعدة الأولى ، فسيأتي إلى القاعدة الثانية ، حيث ستتم مطابقتها والحظر. لطيف!

وأخيرًا ، يتعين علينا تنشيط ملف الوصول الجديد. للقيام بذلك ، ارجع إلى ملفات تعريف Access وحدد ملف التعريف الجديد من القائمة المنسدلة الموجودة بالجزء العلوي (بجانب ملف تعريف الوصول النشط ). تأكد من النقر فوق تطبيق ويجب أن تكون على ما يرام.

تذكر أنه يتم حفظ التكوين حاليًا في التهيئة قيد التشغيل فقط. تأكد من الذهاب إلى الإدارة - إدارة الملفات - نسخ / حفظ التكوين لنسخ التكوين قيد التشغيل لتكوين بدء التشغيل.

إذا كنت تريد السماح لأكثر من عنوان IP واحد بالتبديل ، فما عليك سوى إنشاء قاعدة أخرى مثل القاعدة الأولى ، ولكن اعطها أولوية أعلى. سيتعين عليك أيضًا التأكد من تغيير الأولوية لقاعدة الرفض بحيث يكون لها أولوية أعلى من جميع قواعد التصريح . إذا واجهت أي مشاكل أو لا تستطيع تشغيلها ، فلا تتردد في نشر التعليقات وسأحاول تقديم المساعدة. استمتع!

Top