보안을 강화하기 위해 Cisco SG300-10 스위치에 대한 액세스를 로컬 서브넷의 하나의 IP 주소로만 제한하려고했습니다. 몇 주 뒤 처음에 새 스위치 구성 후에 LAN이나 WLAN에 연결된 사람이 장치의 IP 주소를 알면 로그인 페이지를 볼 수 있다는 사실을 알지 못했습니다.
500 페이지 분량의 매뉴얼을 통해 관리 액세스를 원했던 IP 주소를 제외한 모든 IP 주소를 차단하는 방법을 알아 냈습니다. 많은 테스트와 Cisco 포럼에 대한 여러 게시물을 통해 알게되었습니다. 이 기사에서는 시스코 스위치에 대한 액세스 프로필과 프로필 규칙을 구성하는 단계를 안내합니다.
참고: 설명을 사용하면 스위치에서 활성화 된 여러 서비스에 대한 액세스를 제한 할 수 있습니다. 예를 들어, SSH, HTTP, HTTPS, Telnet 또는이 모든 서비스에 대한 액세스를 IP 주소로 제한 할 수 있습니다.
관리 액세스 프로파일 만들기 & amp; 규칙
시작하려면 스위치의 웹 인터페이스에 로그인하고 보안을 확장 한 다음 관리 접근 방법을 확장하십시오. 액세스 프로필을 클릭하십시오.
먼저 액세스 프로필을 새로 만들어야합니다. . 기본적으로 콘솔 만프로필 만 표시됩니다. 또한 상단에서 활성 액세스 프로필옆에 없음이 선택되어 있음을 알 수 있습니다. 프로필과 규칙을 작성한 후에는 프로필을 활성화하기 위해 프로필 이름을 선택해야합니다.
이제 추가버튼을 클릭해야합니다. 새 프로필의 이름을 지정하고 새 프로필의 첫 번째 규칙을 추가 할 수있는 대화 상자를 엽니 다.
상단에 새 프로필 이름을 지정하십시오. 다른 모든 필드는 새 프로파일에 추가 될 첫 번째 규칙과 관련이 있습니다. 규칙 우선 순위의 경우 1에서 65535 사이의 값을 선택해야합니다. Cisco의 작동 방식은 우선 순위가 가장 낮은 규칙이 먼저 적용된다는 것입니다. 일치하지 않으면 가장 낮은 우선 순위를 가진 다음 규칙이 적용됩니다.
이 예는이 규칙을 처리하기 위해 1의 우선 순위를 선택했습니다. 먼저. 이 규칙은 스위치에 액세스 권한을 부여하려는 IP 주소를 허용하는 규칙입니다. 관리 방법에서 특정 서비스를 선택하거나 모두 선택하여 모든 것을 제한 할 수 있습니다. 내 경우에는 SSH와 HTTPS 만 사용 가능하고 모든 컴퓨터를 하나의 컴퓨터에서 관리하기 때문에 모두 선택했습니다.
SSH와 HTTPS 만 안전하게하려면 다음을 수행해야합니다. 두 개의 별도 규칙을 작성하십시오. 작업은 거부또는 허가일 수 있습니다. 필자는 허용 된 IP에 대한 것이므로 허가를 선택했습니다. 그런 다음 기기의 특정 인터페이스에 규칙을 적용하거나 모든 포트에 적용되도록 모두에 규칙을 남겨 둘 수 있습니다.
소스 IP 주소에 적용아래에서 사용자 정의를 선택하고 버전 4를 선택해야합니다. IPv6 환경을 선택하십시오.이 경우 버전 6을 선택하십시오. 이제 액세스가 허용 될 IP 주소를 입력하고보고자하는 모든 관련 비트와 일치하는 네트워크 마스크를 입력하십시오.
예를 들어, 내 IP 주소는 192.168.1.233이므로 전체 IP 주소를 검사해야하므로 255.255.255.255의 네트워크 마스크가 필요합니다. 규칙을 전체 서브넷의 모든 사용자에게 적용하려면 255.255.255.0의 마스크를 사용합니다. 즉, 192.168.1.x 주소를 가진 사람은 누구나 사용할 수 있습니다. 그건 분명히하고 싶은 것이 아니지만 네트워크 마스크를 사용하는 방법을 설명하기를 바랍니다. 네트워크 마스크는 네트워크의 서브넷 마스크가 아닙니다. 네트워크 마스크는 규칙을 적용 할 때 시스코가 어떤 비트를 조사해야 하는지를 간단히 말해줍니다.
적용을 클릭하면 이제 새로운 액세스 프로필과 규칙이 생깁니다! 왼쪽 메뉴에서 프로필 규칙을 클릭하면 상단에 새 규칙이 표시됩니다.
이제 두 번째 규칙을 추가해야합니다. 이렇게하려면 프로필 규칙 표아래에 표시된 추가버튼을 클릭하십시오.
p>두 번째 규칙은 정말 간단합니다. 첫째, 액세스 프로파일 이름이 방금 생성 한 것과 동일한 지 확인하십시오. 이제 규칙에 2우선 순위를 부여하고 액션에 대해 거부를 선택하십시오. 그 외 모든 항목이 모두로 설정되어 있는지 확인하십시오. 즉, 모든 IP 주소가 차단됩니다. 그러나 첫 번째 규칙이 먼저 처리되므로 해당 IP 주소가 허용됩니다. 규칙이 일치하면 다른 규칙은 무시됩니다. IP 주소가 첫 번째 규칙과 일치하지 않으면 두 번째 규칙에 따라 일치하고 차단됩니다. Nice!마지막으로 새 액세스 프로필을 활성화해야합니다. 이를 수행하려면 액세스 프로필으로 돌아가 상단의 드롭 다운 목록 (활성 액세스 프로필옆에 있음)에서 새 프로필을 선택하십시오. Apply (적용)를 클릭하십시오. 그러면 잘 가야합니다.
실행중인 구성에서. 관리- 파일 관리- 복사 / 저장 구성으로 이동하여 실행 구성을 시작 구성으로 복사하십시오.
p>스위치에 둘 이상의 IP 주소 액세스를 허용하려면 첫 번째 규칙과 같은 다른 규칙을 작성하되 더 높은 우선 순위를 부여하십시오. 또한 거부규칙의 우선 순위를 변경하여 모든 허용규칙보다 높은 우선 순위를 지정해야합니다. 문제가 생기거나 제대로 작동하지 않으면 의견을 게시 해주십시오. 도와 드리겠습니다. 즐기십시오!