IP 주소를 기반으로 Cisco 스위치에 대한 액세스 제한

보안을 강화하기 위해 Cisco SG300-10(Cisco SG300-10) 스위치에 대한 액세스를 로컬 서브넷의 하나의 IP 주소로만 제한하고 싶었습니다 . 몇 주 전에 새 스위치를 처음 구성한(initially configuring my new switch)LAN 또는 WLAN 에 연결된 모든 사람 이 장치의 IP 주소를 아는 것만으로 로그인 페이지에 액세스할 수 있다는 사실에 만족하지 못했습니다.

관리 액세스를 위해 원하는 주소를 제외한 모든 IP 주소를 차단하는 방법을 알아내기 위해 500페이지에 달하는 매뉴얼을 샅샅이 뒤졌습니다. 테스트를 많이 하고 Cisco(Cisco) 포럼 에 여러 게시물을 올린 후 알아냈습니다! 이 기사에서는 Cisco(Cisco) 스위치 에 대한 액세스 프로필 및 프로필 규칙을 구성하는 단계를 안내합니다 .

참고: 내가 설명할 다음 방법을 사용하면 스위치에서 활성화된 서비스에 대한 액세스를 제한할 수도 있습니다. 예를 들어 SSH, HTTP, HTTPS, Telnet 또는 이러한 모든 서비스에 대한 액세스를 IP 주소로 제한할 수 있습니다. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

관리 액세스 프로필(Create Management Access Profile)규칙 만들기(Rules)

시작하려면 스위치의 웹 인터페이스에 로그인하고 보안(Security) 을 확장한 다음 Mgmt Access Method 를 확장 합니다. 계속해서 액세스 프로필(Access Profiles) 을 클릭하십시오 .

가장 먼저 해야 할 일은 새 액세스 프로필을 만드는 것입니다. 기본적으로 콘솔 전용(Console Only) 프로필만 표시되어야 합니다. 또한 상단에서 Active Access Profile 옆에 없음(None) 이 선택되어 있음을 알 수 있습니다. 프로필과 규칙을 만든 후 활성화하려면 여기에서 프로필 이름을 선택해야 합니다.

이제 추가(Add) 버튼을 클릭하면 새 프로필의 이름을 지정하고 새 프로필에 대한 첫 번째 규칙을 추가할 수 있는 대화 상자가 나타납니다.

상단에서 새 프로필의 이름을 지정합니다. 다른 모든 필드는 새 프로필에 추가될 첫 번째 규칙과 관련됩니다. Rule Priority 의 경우 1에서 65535 사이의 값을 선택해야 합니다. Cisco 가 작동하는 방식은 우선 순위가 가장 낮은 규칙이 먼저 적용되는 것입니다. 일치하지 않으면 우선 순위가 가장 낮은 다음 규칙이 적용됩니다.

내 예에서는 이 규칙이 먼저 처리되기를 원하기 때문에 우선 순위 1 을 선택했습니다. (1)이 규칙은 스위치에 대한 액세스 권한을 부여하려는 IP 주소를 허용하는 규칙입니다. 관리 방법(Management Method) 에서 특정 서비스를 선택하거나 모두를 선택하여 모든 것을 제한할 수 있습니다. 제 경우에는 SSHHTTPS 만 활성화되어 있고 한 컴퓨터에서 두 서비스를 모두 관리하기 때문에 모두 선택했습니다.

SSHHTTPS 만 보호 하려면 두 개의 개별 규칙을 생성해야 합니다. 작업(Action)Deny 또는 Permit 만 될 수 있습니다 . 내 예에서는 허용된 IP에 대한 것이기 때문에 허용 을 선택했습니다. (Permit)다음(Next) 으로 장치의 특정 인터페이스에 규칙을 적용하거나 모든 포트에 적용되도록 모두 그대로 둘 수 있습니다.(All)

소스 IP 주소 에 적용(Applies to Source IP Address) 아래에서 여기에서 사용자 정의 를 선택한 다음 ( User Defined)버전 4 를 선택해야 합니다. 단, (Version 4)IPv6 환경에서 작업하는 경우 버전 6(Version 6) 을 선택하는 경우 는 예외 입니다. 이제 액세스가 허용될 IP 주소를 입력하고 보려는 모든 관련 비트와 일치하는 네트워크 마스크를 입력합니다.

예를 들어, 내 IP 주소가 192.168.1.233이므로 전체 IP 주소를 검사해야 하므로 255.255.255.255의 네트워크 마스크가 필요합니다. 전체 서브넷의 모든 사람에게 규칙을 적용하려면 255.255.255.0의 마스크를 사용합니다. 이는 192.168.1.x 주소를 가진 모든 사람이 허용된다는 것을 의미합니다. 내가 하고 싶은 것은 분명히 아니지만 네트워크 마스크를 사용하는 방법을 설명하기를 바랍니다. 네트워크 마스크는 네트워크의 서브넷 마스크가 아닙니다. 네트워크 마스크는 단순히 규칙을 적용할 때 Cisco 가 살펴보아야 하는 비트를 나타냅니다.

적용(Apply) 을 클릭 하면 이제 새 액세스 프로필과 규칙이 생깁니다! 왼쪽 메뉴에서 프로필 규칙을 클릭하면 상단에 새 규칙이 나열되는 것을 볼 수 있습니다 ( Profile Rules).(Click)

이제 두 번째 규칙을 추가해야 합니다. 이렇게 하려면 프로필 규칙 테이블(Profile Rule Table) 아래에 표시된 추가(Add) 버튼을 클릭합니다 .

두 번째 규칙은 정말 간단합니다. 먼저 액세스 프로필 이름(Access Profile Name) 이 방금 만든 이름과 동일한 지 확인합니다 . 이제 규칙에 우선 순위를 2 로 지정하고 (2)작업 에 대해 (Action)거부(Deny) 를 선택합니다 . 다른 모든 항목이 모두(All) 로 설정되어 있는지 확인 합니다. 즉, 모든 IP 주소가 차단됩니다. 그러나 첫 번째 규칙이 먼저 처리되므로 해당 IP 주소가 허용됩니다. 규칙이 일치하면 다른 규칙은 무시됩니다. IP 주소가 첫 번째 규칙과 일치하지 않으면 이 두 번째 규칙에 도달하여 일치하고 차단됩니다. 멋진!

마지막으로 새 액세스 프로필을 활성화해야 합니다. 그렇게 하려면 액세스 프로필( Access Profiles) 로 돌아가서 상단의 드롭다운 목록( Active Access 프로필(Active Access Profile) 옆 )에서 새 프로필을 선택합니다. 적용(Apply) 을 클릭했는지 확인 하고 이동해야 합니다.

구성(Remember) 은 현재 실행 중인 구성에만 저장됩니다. 관리(Administration)파일 관리( File Management)Copy/Save Configuration 으로 이동 하여 실행 중인 구성을 시작 구성으로 복사해야 합니다.

스위치에 대한 둘 이상의 IP 주소 액세스를 허용하려면 첫 번째 규칙과 같은 다른 규칙을 생성하되 더 높은 우선 순위를 지정하십시오. 또한 모든 허용(Permit) 규칙 보다 우선 순위가 더 높도록 거부(Deny) 규칙 의 우선 순위를 변경해야 합니다 . 문제가 발생하거나 작동하지 않는 경우 언제든지 댓글에 게시해 주시면 도와드리겠습니다. 즐기다!



About the author

안녕! 제 이름은 하드웨어 해커입니다. 저는 10년 이상의 컴퓨터 수리 및 개조 경험이 있습니다. 노트북에서 태블릿, 스마트 TV에 이르기까지 거의 모든 것을 고칠 수 있습니다. 내 기술을 통해 고객이 문제를 빠르고 효율적으로 해결하도록 도울 수 있습니다. 내 블로그는 사람들이 올바른 도구를 사용하여 컴퓨터와 가전제품을 수리하는 방법을 배울 수 있도록 돕는 데 전념하고 있습니다. 그리고 내 Facebook 페이지는 컴퓨터와 관련된 모든 것에 대한 팁, 트릭 및 통찰력을 공유하는 곳입니다!



Related posts