IPアドレスに基づいてCiscoスイッチへのアクセスを制限する

セキュリティを強化するために、CiscoSG300-10スイッチへのアクセスをローカルサブネット内の1つのIPアドレスのみに制限したいと思いました。数週間前に新しいスイッチを最初に構成した後、LANまたはWLANに接続している人が、デバイスのIPアドレスを知っているだけでログインページにアクセスできることを知り、満足していませんでした。

結局、500ページのマニュアルを調べて、管理アクセスに必要なものを除くすべてのIPアドレスをブロックする方法を見つけました。多くのテストとCiscoフォーラムへのいくつかの投稿の後、私はそれを理解しました！この記事では、Ciscoスイッチのアクセスプロファイルとプロファイルルールを設定する手順について説明します。

注 ：これから説明する次の方法では、スイッチで有効になっているサービスへのアクセスを制限することもできます。たとえば、SSH、HTTP、HTTPS、Telnet、またはこれらすべてのサービスへのアクセスをIPアドレスで制限できます。

管理アクセスプロファイルとルールの作成

開始するには、スイッチのWebインターフェイスにログインし、セキュリティを展開します 次に、管理アクセス方法を展開します 。先に進み、アクセスプロファイルをクリックします 。

最初に行う必要があるのは、新しいアクセスプロファイルを作成することです。デフォルトでは、コンソールのみのみが表示されます。 プロフィール。また、上部になしがあることに気付くでしょう。 アクティブアクセスプロファイルの横で選択されています 。プロファイルとルールを作成したら、プロファイルをアクティブ化するために、ここでプロファイルの名前を選択する必要があります。

次に、追加をクリックします ボタンをクリックすると、新しいプロファイルに名前を付けたり、新しいプロファイルの最初のルールを追加したりできるダイアログボックスが表示されます。

上部に、新しいプロファイルに名前を付けます。他のすべてのフィールドは、新しいプロファイルに追加される最初のルールに関連しています。 ルールの優先度の場合 、1〜65535の値を選択する必要があります。シスコの仕組みでは、優先度が最も低いルールが最初に適用されます。一致しない場合は、優先度が最も低い次のルールが適用されます。

私の例では、 1の優先度を選択しました このルールを最初に処理したいからです。このルールは、スイッチへのアクセスを許可するIPアドレスを許可するルールになります。 管理方法の下 、特定のサービスを選択するか、すべてを選択することができます。これにより、すべてが制限されます。私の場合、SSHとHTTPSしか有効にしておらず、1台のコンピューターから両方のサービスを管理しているため、すべてを選択しました。

SSHとHTTPSのみを保護する場合は、2つの別個のルールを作成する必要があることに注意してください。 アクション 拒否のみ可能 または許可 。私の例では、許可を選択しました これは許可されたIP用であるためです。次に、ルールをデバイスの特定のインターフェースに適用するか、すべてのままにすることができます すべてのポートに適用されるようにします。

[送信元IPアドレスに適用]の下 、ユーザー定義を選択する必要があります ここで、バージョン4を選択します 、IPv6環境で作業している場合を除き、バージョン6を選択します。次に、アクセスを許可するIPアドレスを入力し、関連するすべてのビットに一致するネットワークマスクを入力します。

たとえば、私のIPアドレスは192.168.1.233であるため、IPアドレス全体を調べる必要があります。したがって、255.255.255.255のネットワークマスクが必要です。ルールをサブネット全体のすべての人に適用したい場合は、255.255.255.0のマスクを使用します。つまり、192.168.1.xアドレスを持つすべての人が許可されます。それは明らかに私がやりたいことではありませんが、うまくいけば、それがネットワークマスクの使用方法を説明しています。ネットワークマスクは、ネットワークのサブネットマスクではないことに注意してください。ネットワークマスクは、ルールを適用するときにシスコがどのビットを確認する必要があるかを示しているだけです。

適用をクリックします これで、新しいアクセスプロファイルとルールが作成されます。 プロファイルルールをクリックします 左側のメニューに、上部に新しいルールが表示されているはずです。

次に、2番目のルールを追加する必要があります。これを行うには、追加をクリックします プロファイルルールテーブルの下に表示されるボタン 。

2番目のルールは本当に簡単です。まず、アクセスプロファイル名が先ほど作成したものと同じであることを確認します。ここで、ルールに 2の優先順位を与えるだけです。 拒否を選択します アクションの場合 。他のすべてがすべてに設定されていることを確認してください 。これは、すべてのIPアドレスがブロックされることを意味します。ただし、最初のルールが最初に処理されるため、そのIPアドレスは許可されます。ルールが一致すると、他のルールは無視されます。 IPアドレスが最初のルールと一致しない場合、この2番目のルールに到達し、そこで一致してブロックされます。いいね！

最後に、新しいアクセスプロファイルをアクティブ化する必要があります。これを行うには、アクセスプロファイルに戻ります。 上部のドロップダウンリスト（アクティブアクセスプロファイルの横）から新しいプロファイルを選択します ）。必ず適用をクリックしてください そして、あなたは行ってもいいはずです。

現在、構成は実行中の構成にのみ保存されていることに注意してください。必ず管理に移動してください –ファイル管理 –構成のコピー/保存 実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーします。

スイッチへの複数のIPアドレスアクセスを許可する場合は、最初のルールと同様に別のルールを作成しますが、優先度を高くします。また、拒否の優先度を変更する必要があります すべての許可よりも優先度が高くなるようにルールを設定します ルール。問題が発生した場合、またはこれを機能させることができない場合は、コメントに投稿してください。サポートさせていただきます。お楽しみください！