Direkomendasikan, 2021

Pilihan Editor

Batasi Akses ke Cisco Switch Berdasarkan Alamat IP

Untuk keamanan tambahan, saya ingin membatasi akses ke switch Cisco SG300-10 saya hanya ke satu alamat IP di subnet lokal saya. Setelah awalnya mengkonfigurasi switch baru saya beberapa minggu yang lalu, saya tidak senang mengetahui bahwa ada orang yang terhubung ke LAN atau WLAN saya bisa masuk ke halaman login dengan hanya mengetahui alamat IP untuk perangkat.

Saya akhirnya memilah-milah manual 500 halaman untuk mencari tahu bagaimana cara memblokir semua alamat IP kecuali yang saya inginkan untuk akses manajemen. Setelah banyak pengujian dan beberapa posting ke forum Cisco, saya menemukan jawabannya! Pada artikel ini, saya akan memandu Anda melalui langkah-langkah untuk mengonfigurasi profil akses dan aturan profil untuk switch Cisco Anda.

Catatan : Metode berikut yang akan saya jelaskan juga memungkinkan Anda untuk membatasi akses ke sejumlah layanan yang diaktifkan di sakelar Anda. Misalnya, Anda dapat membatasi akses ke SSH, HTTP, HTTPS, Telnet, atau semua layanan ini berdasarkan alamat IP.

Buat Profil & Aturan Akses Manajemen

Untuk memulai, masuk ke antarmuka web untuk sakelar Anda dan rentangkan Keamanan lalu rentangkan Metode Akses Mgmt . Silakan dan klik pada Akses Profil .

Hal pertama yang perlu kita lakukan adalah membuat profil akses baru. Secara default, Anda hanya akan melihat profil Konsol Saja . Juga, Anda akan melihat di bagian atas bahwa Tidak Ada yang dipilih di sebelah Profil Akses Aktif . Setelah kami membuat profil dan aturan kami, kami harus memilih nama profil di sini untuk mengaktifkannya.

Sekarang klik pada tombol Add dan ini akan memunculkan kotak dialog di mana Anda akan dapat memberi nama profil baru Anda dan juga menambahkan aturan pertama untuk profil baru.

Di bagian atas, beri nama profil baru Anda. Semua bidang lainnya berhubungan dengan aturan pertama yang akan ditambahkan ke profil baru. Untuk Prioritas Aturan, Anda harus memilih nilai antara 1 dan 65535. Cara kerja Cisco adalah bahwa aturan dengan prioritas terendah diterapkan terlebih dahulu. Jika tidak cocok, maka aturan berikutnya dengan prioritas terendah diterapkan.

Dalam contoh saya, saya memilih prioritas 1 karena saya ingin aturan ini diproses terlebih dahulu. Aturan ini akan menjadi yang memungkinkan alamat IP yang ingin saya akses ke sakelar. Di bawah Metode Manajemen, Anda dapat memilih layanan tertentu atau memilih semua, yang akan membatasi semuanya. Dalam kasus saya, saya memilih semua karena saya hanya mengaktifkan SSH dan HTTPS dan saya mengelola kedua layanan dari satu komputer.

Perhatikan bahwa jika Anda ingin mengamankan hanya SSH dan HTTPS, maka Anda harus membuat dua aturan terpisah. Tindakannya hanya bisa Menolak atau Izin . Sebagai contoh, saya memilih Izin karena ini untuk IP yang diizinkan. Selanjutnya, Anda dapat menerapkan aturan tersebut ke antarmuka tertentu pada perangkat atau Anda dapat membiarkannya sama sekali sehingga berlaku untuk semua port.

Di bawah Berlaku untuk Sumber Alamat IP, kita harus memilih Ditentukan Pengguna di sini dan kemudian pilih Versi 4, kecuali Anda bekerja di lingkungan IPv6 dalam hal ini Anda akan memilih Versi 6. Sekarang ketik alamat IP yang akan diizinkan akses dan ketik dalam topeng jaringan yang cocok dengan semua bit yang relevan untuk dilihat.

Misalnya, karena alamat IP saya adalah 192.168.1.233, seluruh alamat IP perlu diperiksa dan karenanya saya memerlukan masker jaringan 255.255.255.255. Jika saya ingin aturan berlaku untuk semua orang di seluruh subnet, maka saya akan menggunakan topeng 255.255.255.0. Itu berarti siapa pun yang memiliki alamat 192.168.1.x akan diizinkan. Jelas bukan itu yang ingin saya lakukan, tetapi mudah-mudahan itu menjelaskan cara menggunakan topeng jaringan. Perhatikan bahwa topeng jaringan bukan topeng subjaringan untuk jaringan Anda. Mask jaringan hanya mengatakan bit mana yang harus dilihat Cisco ketika menerapkan aturan tersebut.

Klik Terapkan dan Anda sekarang harus memiliki profil dan aturan akses baru! Klik pada Aturan Profil di menu sebelah kiri dan Anda akan melihat aturan baru yang tercantum di atas.

Sekarang kita perlu menambahkan aturan kedua. Untuk melakukan ini, klik tombol Tambah yang ditunjukkan di bawah Tabel Aturan Profil .

Aturan kedua sangat sederhana. Pertama, pastikan bahwa Access Profile Name sama dengan yang baru saja kita buat. Sekarang, kami hanya memberikan aturan prioritas 2 dan memilih Tolak untuk Aksi . Pastikan semuanya diatur ke Semua . Ini berarti bahwa semua alamat IP akan diblokir. Namun, karena aturan pertama kami akan diproses terlebih dahulu, alamat IP itu akan diizinkan. Setelah aturan dicocokkan, aturan lainnya diabaikan. Jika alamat IP tidak cocok dengan aturan pertama, itu akan sampai pada aturan kedua ini, di mana ia akan cocok dan diblokir. Bagus!

Akhirnya, kita harus mengaktifkan profil akses baru. Untuk melakukannya, kembali ke Access Profiles dan pilih profil baru dari daftar drop-down di bagian atas (di sebelah Active Access Profile ). Pastikan untuk mengklik Terapkan dan Anda harus siap.

Ingatlah bahwa konfigurasi saat ini hanya disimpan dalam konfigurasi yang sedang berjalan. Pastikan Anda pergi ke Administrasi - Manajemen File - Salin / Simpan Konfigurasi untuk menyalin konfigurasi yang sedang berjalan ke konfigurasi startup.

Jika Anda ingin mengizinkan lebih dari satu alamat IP mengakses switch, buat saja aturan lain seperti yang pertama, tetapi berikan prioritas yang lebih tinggi. Anda juga harus memastikan bahwa Anda mengubah prioritas untuk aturan Tolak sehingga memiliki prioritas yang lebih tinggi daripada semua aturan Izin . Jika Anda mengalami masalah atau tidak bisa menyelesaikannya, jangan ragu untuk mengirim komentar dan saya akan mencoba membantu. Nikmati!

Top