Restringir el acceso a Cisco Switch basado en la dirección IP

Para mayor seguridad, quería restringir el acceso a mi switch Cisco SG300-10 a solo una dirección IP en mi subred local. Después de configurar inicialmente mi nuevo conmutador hace unas semanas, no estaba contento de saber que cualquier persona conectada a mi LAN o WLAN podría acceder a la página de inicio de sesión simplemente al conocer la dirección IP del dispositivo.

Terminé revisando el manual de 500 páginas para descubrir cómo bloquear todas las direcciones IP, excepto las que quería para el acceso de administración. Después de muchas pruebas y varias publicaciones en los foros de Cisco, ¡lo descubrí! En este artículo, lo guiaré a través de los pasos para configurar los perfiles de acceso y las reglas de perfiles para su conmutador Cisco.

Nota: El siguiente método que voy a describir también le permite restringir el acceso a cualquier número de servicios habilitados en su conmutador. Por ejemplo, puede restringir el acceso a SSH, HTTP, HTTPS, Telnet o todos estos servicios por dirección IP.

Crear perfil de acceso de administración y reglas

Para comenzar, inicie sesión en la interfaz web de su conmutador y expanda Seguridad y luego expandir Método de acceso de gestión. Adelante y haga clic en Perfiles de acceso.

Lo primero que debemos hacer es crear un nuevo perfil de acceso. Por defecto, solo deberías ver el Solo consola perfil. Además, notarás en la parte superior que Ninguna se selecciona al lado de Perfil de acceso activo. Una vez que hayamos creado nuestro perfil y nuestras reglas, tendremos que seleccionar el nombre del perfil aquí para activarlo.

Ahora haga clic en el Añadir y esto debería mostrar un cuadro de diálogo donde podrá nombrar su nuevo perfil y también agregar la primera regla para el nuevo perfil.

En la parte superior, dale un nombre a tu nuevo perfil. Todos los demás campos se relacionan con la primera regla que se agregará al nuevo perfil. por Regla de Prioridad, debe elegir un valor entre 1 y 65535. La forma en que Cisco trabaja es que la regla con la prioridad más baja se aplica primero. Si no coincide, se aplica la siguiente regla con la prioridad más baja.

En mi ejemplo, elegí una prioridad de 1 Porque quiero que esta regla sea procesada primero. Esta regla será la que permita la dirección IP a la que quiero dar acceso al conmutador. Debajo Método de gestión, puede elegir un servicio específico o elegir todo, lo que restringirá todo. En mi caso, elegí todos porque solo tengo SSH y HTTPS habilitados de todos modos y administro ambos servicios desde una computadora.

Tenga en cuenta que si desea proteger solo SSH y HTTPS, deberá crear dos reglas separadas. los Acción Solo puede ser Negar o Permiso. Para mi ejemplo, elegí Permiso ya que esto será para la IP permitida. A continuación, puede aplicar la regla a una interfaz específica en el dispositivo o simplemente dejarla en Todos para que se aplique a todos los puertos.

Debajo Se aplica a la dirección IP de origen, tenemos que elegir Usuario definido aquí y luego elegir Versión 4, a menos que esté trabajando en un entorno IPv6, en cuyo caso elegiría la Versión 6. Ahora escriba la dirección IP a la que se permitirá el acceso y escriba una máscara de red que coincida con todos los bits relevantes que se verán.

Por ejemplo, como mi dirección IP es 192.168.1.233, se debe examinar la dirección IP completa y, por lo tanto, necesito una máscara de red de 255.255.255.255. Si quisiera que la regla se aplicara a todos en la subred completa, entonces usaría una máscara de 255.255.255.0. Eso significaría que cualquier persona con una dirección 192.168.1.x estaría permitido. Eso no es lo que quiero hacer, obviamente, pero espero que eso explique cómo usar la máscara de red. Tenga en cuenta que la máscara de red no es la máscara de subred para su red. La máscara de red simplemente dice qué bits debe mirar Cisco al aplicar la regla.

Hacer clic Aplicar y ahora deberías tener un nuevo perfil de acceso y regla! Haga clic en Reglas de perfil en el menú de la izquierda y debería ver la nueva regla en la parte superior.

Ahora necesitamos añadir nuestra segunda regla. Para ello, haga clic en el Añadir botón mostrado debajo de Tabla de reglas de perfil.

La segunda regla es realmente simple. En primer lugar, asegúrese de que el nombre del perfil de acceso sea el mismo que acabamos de crear. Ahora, solo le damos a la regla una prioridad de 2 y elige Negar Para el Acción. Asegúrese de que todo lo demás está configurado para Todos. Esto significa que todas las direcciones IP serán bloqueadas. Sin embargo, dado que nuestra primera regla se procesará primero, se permitirá esa dirección IP. Una vez que una regla coincide, las otras reglas se ignoran. Si una dirección IP no coincide con la primera regla, llegará a esta segunda regla, donde coincidirá y se bloqueará. ¡Bonito!

Finalmente, tenemos que activar el nuevo perfil de acceso. Para hacer eso, vuelve a Perfiles de acceso y seleccione el nuevo perfil de la lista desplegable en la parte superior (al lado de Perfil de acceso activo). Asegúrese de hacer clic Aplicar y usted debe ser bueno para ir

Recuerde que la configuración actualmente solo se guarda en la configuración en ejecución. Asegúrate de ir a Administración - Gestión de archivos - Copiar / Guardar configuración para copiar la configuración en ejecución a la configuración de inicio.

Si desea permitir que más de una dirección IP acceda al conmutador, simplemente cree otra regla como la primera, pero dale una prioridad más alta. También deberá asegurarse de cambiar la prioridad para el Negar gobernar para que tenga una prioridad más alta que todas las Permiso reglas. Si tiene algún problema o no puede hacer que esto funcione, no dude en publicar en los comentarios e intentaré ayudar. ¡Disfrutar!