IPアドレスに基づいてCiscoスイッチへのアクセスを制限する

セキュリティを強化するために、 CiscoSG300-10(Cisco SG300-10)スイッチへのアクセスをローカルサブネット内の1つのIPアドレスのみに制限したいと思いました。数週間前に新しいスイッチを最初に構成(initially configuring my new switch)した後、 LANまたはWLANに接続している人が、デバイスのIPアドレスを知っているだけでログインページにアクセスできることを知り、満足していませんでした。

結局、500ページのマニュアルを調べて、管理アクセスに必要なものを除くすべてのIPアドレスをブロックする方法を見つけました。多くのテストとCisco(Cisco)フォーラムへのいくつかの投稿の後、私はそれを理解しました!この記事では、 Cisco(Cisco)スイッチのアクセスプロファイルとプロファイルルールを設定する手順について説明します。

注:これから説明する次の方法では、スイッチで有効になっている任意の数のサービスへのアクセスを制限することもできます。たとえば、SSH、HTTP、HTTPS、Telnet、またはこれらすべてのサービスへのアクセスをIPアドレスで制限できます。 (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

管理アクセスプロファイル(Create Management Access Profile)ルールを作成する(Rules)

開始するには、スイッチのWebインターフェイスにログインし、[セキュリティ(Security)]を展開してから、[管理アクセス方法](Mgmt Access Method)を展開します。先に進み、[アクセスプロファイル(Access Profiles)]をクリックします。

最初に行う必要があるのは、新しいアクセスプロファイルを作成することです。デフォルトでは、コンソールのみ(Console Only)のプロファイルのみが表示されます。また、上部にある[アクティブアクセスプロファイル]( Active Access Profile)の横にある[なし](None)が選択されていることがわかります。プロファイルとルールを作成したら、プロファイルをアクティブ化するために、ここでプロファイルの名前を選択する必要があります。

次に、[追加(Add)]ボタンをクリックすると、新しいプロファイルに名前を付けたり、新しいプロファイルの最初のルールを追加したりできるダイアログボックスが表示されます。

上部に、新しいプロファイルに名前を付けます。他のすべてのフィールドは、新しいプロファイルに追加される最初のルールに関連しています。Rule Priorityの場合、1〜65535の値を選択する必要があります。シスコ(Cisco)の仕組みでは、優先度が最も低いルールが最初に適用されます。一致しない場合は、優先度が最も低い次のルールが適用されます。

私の例では、このルールを最初に処理するため、優先度1を選択しました。(1)このルールは、スイッチへのアクセスを許可するIPアドレスを許可するルールになります。[管理方法](Management Method)で、特定のサービスを選択するか、すべてを選択することができます。これにより、すべてが制限されます。私の場合、SSHHTTPSしか有効にしておらず、1台のコンピューターから両方のサービスを管理しているため、すべてを選択しました。

SSHHTTPSのみを保護する場合は、2つの別個のルールを作成する必要があることに注意してください。アクション(Action)は、拒否(Deny)または許可(Permit)のみにすることができます。私の例では、許可されたIPに対して許可されるため、許可を選択しました。(Permit)次に(Next)、ルールをデバイスの特定のインターフェイスに適用するか、すべてのポートに適用されるように[すべて(All)]のままにすることができます。

[送信元IPアドレスに適用(Applies to Source IP Address)]で、[ここでユーザー定義]( User Defined)を選択してから、 [バージョン4 ]を選択する必要があります。ただし、 (Version 4)IPv6環境で作業している場合は、 [バージョン6](Version 6)を選択します。次に、アクセスを許可するIPアドレスを入力し、関連するすべてのビットに一致するネットワークマスクを入力します。

たとえば、私のIPアドレスは192.168.1.233であるため、IPアドレス全体を調べる必要があります。したがって、255.255.255.255のネットワークマスクが必要です。ルールをサブネット全体のすべての人に適用したい場合は、255.255.255.0のマスクを使用します。つまり、192.168.1.xアドレスを持つすべての人が許可されます。それは明らかに私がやりたいことではありませんが、うまくいけば、それがネットワークマスクの使用方法を説明しています。ネットワークマスクは、ネットワークのサブネットマスクではないことに注意してください。ネットワークマスクは、ルールを適用するときにシスコがどのビットを確認する必要があるかを示しています。(Cisco)

[適用](Apply)をクリックすると、新しいアクセスプロファイルとルールが作成されます。左側のメニューで[(Click)プロファイルルール( Profile Rules)]をクリックすると、上部に新しいルールが表示されます。

次に、2番目のルールを追加する必要があります。これを行うには、プロファイルルールテーブル(Profile Rule Table)の下に表示される[追加(Add)]ボタンをクリックします。

2番目のルールは本当に簡単です。まず、アクセスプロファイル名(Access Profile Name)が先ほど作成したものと同じであることを確認します。ここで、ルールに優先度2を指定し、アクションに[(Action)拒否](Deny)を選択します。他のすべてがAll(All)に設定されていることを確認してください。これは、すべてのIPアドレスがブロックされることを意味します。ただし、最初のルールが最初に処理されるため、そのIPアドレスは許可されます。ルールが一致すると、他のルールは無視されます。IPアドレスが最初のルールと一致しない場合、この2番目のルールに到達し、そこで一致してブロックされます。良い!

最後に、新しいアクセスプロファイルをアクティブ化する必要があります。これを行うには、アクセスプロファイル( Access Profiles)に戻り、上部のドロップダウンリスト(アクティブアクセスプロファイル(Active Access Profile)の横)から新しいプロファイルを選択します。必ず[適用(Apply)]をクリックしてください。

現在(Remember)、構成は実行中の構成にのみ保存されていることに注意してください。必ず[ Administration][File Management ] – [ Copy/Save Configuration ]に移動して、実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーしてください。

スイッチへの複数のIPアドレスアクセスを許可する場合は、最初のルールと同様に別のルールを作成しますが、優先度を高くします。また、すべての許可(Permit)ルールよりも優先度が高くなるように、拒否(Deny)ルールの優先度を変更する必要があります。問題が発生した場合、またはこれを機能させることができない場合は、コメントに投稿してください。サポートさせていただきます。楽しみ!



翔太 三宅

About the author

私はオーディオとユーザー アカウントの分野で長年働いてきた技術者です。Windows と Mac の両方のコンピューター、およびアップル製品の経験があります。また、2007 年からは Apple 製品の使い方についても教えています。主な専門分野は、ユーザー アカウントと家族の安全です。これに加えて、Windows 7 Home Premium、8.1 Pro、10 Pro、12.9 Mojave など、さまざまなソフトウェア プログラムの経験があります。


Related posts