برای امنیت بیشتر، می‌خواستم دسترسی به سوئیچ Cisco SG300-10 را به تنها یک آدرس IP در زیرشبکه محلی خود محدود کنم. پس از پیکربندی اولیه سوئیچ جدیدم^{(initially configuring my new switch)} چند هفته پیش، خوشحال نبودم که بدانم هر کسی که به LAN یا WLAN من متصل است می‌تواند تنها با دانستن آدرس IP دستگاه به صفحه ورود به سیستم برسد.

من در نهایت کتابچه راهنمای 500 صفحه‌ای را بررسی کردم تا بفهمم چگونه می‌توان تمام آدرس‌های IP را به جز آدرس‌هایی که برای دسترسی مدیریت می‌خواستم مسدود کرد. بعد از تست های زیاد و ارسال چندین پست به انجمن های سیسکو^(Cisco) ، متوجه شدم! در این مقاله، من شما را از طریق مراحل پیکربندی پروفایل های دسترسی و قوانین پروفایل برای سوئیچ سیسکو خود راهنمایی می کنم.^(Cisco)

توجه: روش زیر که می‌خواهم توضیح دهم به شما امکان می‌دهد دسترسی به هر تعداد سرویس فعال روی سوئیچ خود را محدود کنید. به عنوان مثال، می توانید دسترسی به SSH، HTTP، HTTPS، Telnet یا همه این خدمات را با آدرس IP محدود کنید. ^{(Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )}

نمایه^{(Create Management Access Profile)} و قوانین دسترسی مدیریت ایجاد کنید^(Rules)

برای شروع، وارد رابط وب سوئیچ خود شوید و Security را گسترش دهید و سپس Mgmt Access Method را گسترش دهید . ادامه دهید و روی Access Profiles کلیک کنید .

اولین کاری که باید انجام دهیم این است که یک پروفایل دسترسی جدید ایجاد کنیم. به طور پیش فرض، فقط باید نمایه Console Only را ببینید. ^{(Console Only)}همچنین، در بالا متوجه خواهید شد که None در کنار نمایه دسترسی فعال^{( Active Access Profile)} انتخاب شده است . هنگامی که نمایه و قوانین خود را ایجاد کردیم، باید نام نمایه را در اینجا انتخاب کنیم تا بتوانیم آن را فعال کنیم.

اکنون روی دکمه افزودن^(Add) کلیک کنید و این باید یک کادر محاوره ای ظاهر شود که در آن می توانید نام پروفایل جدید خود را انتخاب کنید و همچنین اولین قانون را برای نمایه جدید اضافه کنید.

در بالا، به نمایه جدید خود یک نام بدهید. تمام فیلدهای دیگر مربوط به اولین قانون است که به نمایه جدید اضافه می شود. برای Rule Priority ، باید مقداری بین 1 و 65535 انتخاب کنید. روش کار سیسکو^(Cisco) این است که ابتدا قانون با کمترین اولویت اعمال می شود. اگر مطابقت نداشته باشد، قانون بعدی با کمترین اولویت اعمال می شود.

در مثالم، اولویت 1 را انتخاب کردم زیرا می‌خواهم ابتدا این قانون پردازش شود. این قانون همانی است که به آدرس IP که می خواهم به سوییچ دسترسی داشته باشد اجازه می دهد. تحت روش مدیریت^{(Management Method)} ، می توانید یک سرویس خاص را انتخاب کنید یا همه را انتخاب کنید، که همه چیز را محدود می کند. در مورد من، من همه را انتخاب کردم زیرا به هر حال فقط SSH و HTTPS را فعال کرده ام و هر دو سرویس را از یک کامپیوتر مدیریت می کنم.

توجه داشته باشید که اگر می‌خواهید فقط SSH و HTTPS را ایمن کنید، باید دو قانون جداگانه ایجاد کنید. اقدام فقط^(Action) می تواند رد^(Deny) یا مجوز^(Permit) باشد. برای مثال، من Permit را انتخاب کردم زیرا این برای IP مجاز خواهد بود. در مرحله بعد^(Next) ، می‌توانید این قانون را روی یک رابط خاص روی دستگاه اعمال کنید یا می‌توانید آن را در همه^(All) بگذارید تا برای همه پورت‌ها اعمال شود.

در قسمت Applies to Source IP Address^{(Applies to Source IP Address)} ، ما باید User Defined را در اینجا انتخاب کرده و سپس نسخه 4^{(Version 4)} را انتخاب کنیم ، مگر اینکه در محیط IPv6 کار می کنید که در این صورت نسخه 6^{(Version 6)} را انتخاب کنید . اکنون آدرس IP را که مجاز به دسترسی است تایپ کنید و یک ماسک شبکه را تایپ کنید که با تمام بیت های مربوطه مطابقت دارد.

به عنوان مثال، از آنجایی که آدرس IP من 192.168.1.233 است، کل آدرس IP باید بررسی شود و از این رو من به ماسک شبکه 255.255.255.255 نیاز دارم. اگر می‌خواستم این قانون برای همه افراد در کل زیرشبکه اعمال شود، از ماسک 255.255.255.0 استفاده می‌کردم. این بدان معناست که هر کسی با آدرس 192.168.1.x مجاز خواهد بود. بدیهی است که این چیزی نیست که من می خواهم انجام دهم، اما امیدوارم که نحوه استفاده از ماسک شبکه را توضیح دهد. توجه داشته باشید که ماسک شبکه ماسک زیر شبکه برای شبکه شما نیست. ماسک شبکه به سادگی می گوید که سیسکو^(Cisco) هنگام اعمال قانون باید به کدام بیت ها نگاه کند.

روی Apply کلیک کنید و اکنون باید یک نمایه و قانون دسترسی جدید داشته باشید! روی ^(Click)قوانین پروفایل^{( Profile Rules)} در منوی سمت چپ کلیک کنید و باید قانون جدید را در بالا مشاهده کنید.

اکنون باید قانون دوم خود را اضافه کنیم. برای انجام این کار، روی دکمه افزودن^(Add) نشان داده شده در جدول قوانین نمایه^{(Profile Rule Table)} کلیک کنید .

قانون دوم واقعا ساده است. ابتدا مطمئن شوید که نام پروفایل دسترسی^{(Access Profile Name)} همان نامی است که ما ایجاد کردیم. اکنون، فقط به قانون اولویت 2 می دهیم و Deny را برای Action انتخاب می کنیم . مطمئن شوید که همه چیز روی همه^(All) تنظیم شده است . این بدان معنی است که تمام آدرس های IP مسدود خواهند شد. با این حال، از آنجایی که اولین قانون ما ابتدا پردازش می شود، آن آدرس IP مجاز خواهد بود. هنگامی که یک قانون مطابقت دارد، قوانین دیگر نادیده گرفته می شوند. اگر یک آدرس IP با قانون اول مطابقت نداشته باشد، به قانون دوم می رسد، جایی که مطابقت دارد و مسدود می شود. خوب!

در نهایت باید پروفایل دسترسی جدید را فعال کنیم. برای انجام این کار، به Access Profiles برگردید و نمایه جدید را از لیست کشویی در بالا (در کنار Active Access Profile ) انتخاب کنید. مطمئن شوید که روی Apply کلیک کرده اید و باید آماده باشید.

به یاد داشته باشید^(Remember) که پیکربندی در حال حاضر فقط در پیکربندی در حال اجرا ذخیره شده است. مطمئن شوید که برای کپی کردن پیکربندی در حال اجرا در پیکربندی راه اندازی، به بخش Administration – File Management – Copy/Save Configuration

اگر می خواهید به بیش از یک آدرس IP اجازه دسترسی به سوئیچ را بدهید، کافی است قانون دیگری مانند قانون اول ایجاد کنید، اما اولویت بیشتری به آن بدهید. همچنین باید مطمئن شوید که اولویت قانون انکار^(Deny) را تغییر داده اید تا اولویت بالاتری نسبت به همه قوانین مجوز داشته باشد. ^(Permit)اگر به مشکلی برخوردید یا نتوانستید این کار را انجام دهید، در نظرات ارسال کنید و من سعی خواهم کرد کمک کنم. لذت بردن!

Restrict Access to Cisco Switch Based on IP Address

For аdded ѕecurity, I wanted to restrict access to my Cisco SG300-10 switch to only one IP address in my local subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.

I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.

Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address.

Create Management Access Profile & Rules

To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.

The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.

Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.

At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.

In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.

Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.

Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.

For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.

Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.

Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.

The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!

Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.

Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.

If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!

آتشبند بدخشانی

About the author

من یک متخصص کامپیوتر هستم که تجربه کار با نرم افزارهای Microsoft Office از جمله Excel و PowerPoint را دارم. من همچنین با کروم که یک مرورگر متعلق به گوگل است، تجربه دارم. مهارت های من شامل ارتباط نوشتاری و کلامی عالی، حل مسئله و تفکر انتقادی است.

دسترسی به سوئیچ سیسکو را بر اساس آدرس IP محدود کنید

نمایه^{(Create Management Access Profile)} و قوانین دسترسی مدیریت ایجاد کنید^(Rules)

Restrict Access to Cisco Switch Based on IP Address

Create Management Access Profile & Rules

آتشبند بدخشانی

About the author

Related posts

چگونه آدرس IP چاپگر وای فای خود را در ویندوز و مک پیدا کنیم

نحوه فعال کردن دسترسی SSH برای سوئیچ های سیسکو SG300

نحوه تنظیم IP Address استاتیک در Windows 10

چگونه My Router IP Address My Router را پیدا کنیم؟

نحوه اختصاص یک آدرس IP ثابت به رایانه شخصی ویندوز 11/10

نحوه تبدیل دیسک پویا به دیسک پایه

نحوه به روز رسانی Raspberry Pi

نقد و بررسی کتاب - راهنمای گیک برای ویندوز 8

5 بهترین برنامه IP Address Hider برای اندروید 2022

نحوه انتشار و تمدید یک آدرس IP

چگونه Google Authenticator را به یک تلفن جدید بدون از دست دادن دسترسی منتقل کنیم

نحوه دسترسی به iMessage در ویندوز 10/11

نحوه دسترسی و تغییر تنظیمات روتر وای فای

کنترل حساب کاربری (UAC) را برای یک برنامه خاص خاموش کنید

چگونه برای پیدا کردن Router IP address در Windows 10 - IP Address Lookup

192.168.0.1 چیست و چرا آدرس IP پیش فرض برای اکثر روترها است؟

چگونه می توان به Samsung Cloud دسترسی پیدا کرد و بیشترین بهره را از این سرویس برد

به صورت دستی یک مخاطب را به دفترچه آدرس ایمیل Windows Live اضافه کنید

احراز هویت کلید عمومی را برای SSH در سوئیچ های Cisco SG300 فعال کنید

نحوه یافتن آدرس IP نقطه دسترسی بی سیم

دسترسی به سوئیچ سیسکو را بر اساس آدرس IP محدود کنید

نمایه(Create Management Access Profile) و قوانین دسترسی مدیریت ایجاد کنید(Rules)

Restrict Access to Cisco Switch Based on IP Address

Create Management Access Profile & Rules

آتشبند بدخشانی

About the author

Related posts

چگونه آدرس IP چاپگر وای فای خود را در ویندوز و مک پیدا کنیم

نحوه فعال کردن دسترسی SSH برای سوئیچ های سیسکو SG300

نحوه تنظیم IP Address استاتیک در Windows 10

چگونه My Router IP Address My Router را پیدا کنیم؟

نحوه اختصاص یک آدرس IP ثابت به رایانه شخصی ویندوز 11/10

نحوه تبدیل دیسک پویا به دیسک پایه

نحوه به روز رسانی Raspberry Pi

نقد و بررسی کتاب - راهنمای گیک برای ویندوز 8

5 بهترین برنامه IP Address Hider برای اندروید 2022

نحوه انتشار و تمدید یک آدرس IP

چگونه Google Authenticator را به یک تلفن جدید بدون از دست دادن دسترسی منتقل کنیم

نحوه دسترسی به iMessage در ویندوز 10/11

نحوه دسترسی و تغییر تنظیمات روتر وای فای

کنترل حساب کاربری (UAC) را برای یک برنامه خاص خاموش کنید

چگونه برای پیدا کردن Router IP address در Windows 10 - IP Address Lookup

192.168.0.1 چیست و چرا آدرس IP پیش فرض برای اکثر روترها است؟

چگونه می توان به Samsung Cloud دسترسی پیدا کرد و بیشترین بهره را از این سرویس برد

به صورت دستی یک مخاطب را به دفترچه آدرس ایمیل Windows Live اضافه کنید

احراز هویت کلید عمومی را برای SSH در سوئیچ های Cisco SG300 فعال کنید

نحوه یافتن آدرس IP نقطه دسترسی بی سیم

نمایه^{(Create Management Access Profile)} و قوانین دسترسی مدیریت ایجاد کنید^(Rules)