セキュリティを強化するために、 CiscoSG300-10(Cisco SG300-10)スイッチへのアクセスをローカルサブネット内の1つのIPアドレスのみに制限したいと思いました。数週間前に新しいスイッチを最初に構成(initially configuring my new switch)した後、 LANまたはWLANに接続している人が、デバイスのIPアドレスを知っているだけでログインページにアクセスできることを知り、満足していませんでした。
結局、500ページのマニュアルを調べて、管理アクセスに必要なものを除くすべてのIPアドレスをブロックする方法を見つけました。多くのテストとCisco(Cisco)フォーラムへのいくつかの投稿の後、私はそれを理解しました!この記事では、 Cisco(Cisco)スイッチのアクセスプロファイルとプロファイルルールを設定する手順について説明します。
注:これから説明する次の方法では、スイッチで有効になっている任意の数のサービスへのアクセスを制限することもできます。たとえば、SSH、HTTP、HTTPS、Telnet、またはこれらすべてのサービスへのアクセスをIPアドレスで制限できます。 (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )
管理アクセスプロファイル(Create Management Access Profile)とルールを作成する(Rules)
開始するには、スイッチのWebインターフェイスにログインし、[セキュリティ(Security)]を展開してから、[管理アクセス方法](Mgmt Access Method)を展開します。先に進み、[アクセスプロファイル(Access Profiles)]をクリックします。
最初に行う必要があるのは、新しいアクセスプロファイルを作成することです。デフォルトでは、コンソールのみ(Console Only)のプロファイルのみが表示されます。また、上部にある[アクティブアクセスプロファイル]( Active Access Profile)の横にある[なし](None)が選択されていることがわかります。プロファイルとルールを作成したら、プロファイルをアクティブ化するために、ここでプロファイルの名前を選択する必要があります。
次に、[追加(Add)]ボタンをクリックすると、新しいプロファイルに名前を付けたり、新しいプロファイルの最初のルールを追加したりできるダイアログボックスが表示されます。
上部に、新しいプロファイルに名前を付けます。他のすべてのフィールドは、新しいプロファイルに追加される最初のルールに関連しています。Rule Priorityの場合、1〜65535の値を選択する必要があります。シスコ(Cisco)の仕組みでは、優先度が最も低いルールが最初に適用されます。一致しない場合は、優先度が最も低い次のルールが適用されます。
私の例では、このルールを最初に処理するため、優先度1を選択しました。(1)このルールは、スイッチへのアクセスを許可するIPアドレスを許可するルールになります。[管理方法](Management Method)で、特定のサービスを選択するか、すべてを選択することができます。これにより、すべてが制限されます。私の場合、SSHとHTTPSしか有効にしておらず、1台のコンピューターから両方のサービスを管理しているため、すべてを選択しました。
SSHとHTTPSのみを保護する場合は、2つの別個のルールを作成する必要があることに注意してください。アクション(Action)は、拒否(Deny)または許可(Permit)のみにすることができます。私の例では、許可されたIPに対して許可されるため、許可を選択しました。(Permit)次に(Next)、ルールをデバイスの特定のインターフェイスに適用するか、すべてのポートに適用されるように[すべて(All)]のままにすることができます。
[送信元IPアドレスに適用(Applies to Source IP Address)]で、[ここでユーザー定義]( User Defined)を選択してから、 [バージョン4 ]を選択する必要があります。ただし、 (Version 4)IPv6環境で作業している場合は、 [バージョン6](Version 6)を選択します。次に、アクセスを許可するIPアドレスを入力し、関連するすべてのビットに一致するネットワークマスクを入力します。
たとえば、私のIPアドレスは192.168.1.233であるため、IPアドレス全体を調べる必要があります。したがって、255.255.255.255のネットワークマスクが必要です。ルールをサブネット全体のすべての人に適用したい場合は、255.255.255.0のマスクを使用します。つまり、192.168.1.xアドレスを持つすべての人が許可されます。それは明らかに私がやりたいことではありませんが、うまくいけば、それがネットワークマスクの使用方法を説明しています。ネットワークマスクは、ネットワークのサブネットマスクではないことに注意してください。ネットワークマスクは、ルールを適用するときにシスコがどのビットを確認する必要があるかを示しています。(Cisco)
[適用](Apply)をクリックすると、新しいアクセスプロファイルとルールが作成されます。左側のメニューで[(Click)プロファイルルール( Profile Rules)]をクリックすると、上部に新しいルールが表示されます。
次に、2番目のルールを追加する必要があります。これを行うには、プロファイルルールテーブル(Profile Rule Table)の下に表示される[追加(Add)]ボタンをクリックします。
2番目のルールは本当に簡単です。まず、アクセスプロファイル名(Access Profile Name)が先ほど作成したものと同じであることを確認します。ここで、ルールに優先度2を指定し、アクションに[(Action)拒否](Deny)を選択します。他のすべてがAll(All)に設定されていることを確認してください。これは、すべてのIPアドレスがブロックされることを意味します。ただし、最初のルールが最初に処理されるため、そのIPアドレスは許可されます。ルールが一致すると、他のルールは無視されます。IPアドレスが最初のルールと一致しない場合、この2番目のルールに到達し、そこで一致してブロックされます。良い!
最後に、新しいアクセスプロファイルをアクティブ化する必要があります。これを行うには、アクセスプロファイル( Access Profiles)に戻り、上部のドロップダウンリスト(アクティブアクセスプロファイル(Active Access Profile)の横)から新しいプロファイルを選択します。必ず[適用(Apply)]をクリックしてください。
現在(Remember)、構成は実行中の構成にのみ保存されていることに注意してください。必ず[ Administration] – [File Management ] – [ Copy/Save Configuration ]に移動して、実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーしてください。
スイッチへの複数のIPアドレスアクセスを許可する場合は、最初のルールと同様に別のルールを作成しますが、優先度を高くします。また、すべての許可(Permit)ルールよりも優先度が高くなるように、拒否(Deny)ルールの優先度を変更する必要があります。問題が発生した場合、またはこれを機能させることができない場合は、コメントに投稿してください。サポートさせていただきます。楽しみ!
Restrict Access to Cisco Switch Based on IP Address
For added security, I wanted to restrict access to my Cisco SG300-10 switch to only one IP addresѕ in my local subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.
I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.
Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address.
Create Management Access Profile & Rules
To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.
The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.
Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.
At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.
In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.
Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.
Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.
For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.
Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.
Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.
The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!
Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.
Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.
If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!