보안을 강화하기 위해 Cisco SG300-10(Cisco SG300-10) 스위치에 대한 액세스를 로컬 서브넷의 하나의 IP 주소로만 제한하고 싶었습니다 . 몇 주 전에 새 스위치를 처음 구성한(initially configuring my new switch) 후 LAN 또는 WLAN 에 연결된 모든 사람 이 장치의 IP 주소를 아는 것만으로 로그인 페이지에 액세스할 수 있다는 사실에 만족하지 못했습니다.
관리 액세스를 위해 원하는 주소를 제외한 모든 IP 주소를 차단하는 방법을 알아내기 위해 500페이지에 달하는 매뉴얼을 샅샅이 뒤졌습니다. 테스트를 많이 하고 Cisco(Cisco) 포럼 에 여러 게시물을 올린 후 알아냈습니다! 이 기사에서는 Cisco(Cisco) 스위치 에 대한 액세스 프로필 및 프로필 규칙을 구성하는 단계를 안내합니다 .
참고: 내가 설명할 다음 방법을 사용하면 스위치에서 활성화된 서비스에 대한 액세스를 제한할 수도 있습니다. 예를 들어 SSH, HTTP, HTTPS, Telnet 또는 이러한 모든 서비스에 대한 액세스를 IP 주소로 제한할 수 있습니다. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )
관리 액세스 프로필(Create Management Access Profile) 및 규칙 만들기(Rules)
시작하려면 스위치의 웹 인터페이스에 로그인하고 보안(Security) 을 확장한 다음 Mgmt Access Method 를 확장 합니다. 계속해서 액세스 프로필(Access Profiles) 을 클릭하십시오 .
가장 먼저 해야 할 일은 새 액세스 프로필을 만드는 것입니다. 기본적으로 콘솔 전용(Console Only) 프로필만 표시되어야 합니다. 또한 상단에서 Active Access Profile 옆에 없음(None) 이 선택되어 있음을 알 수 있습니다. 프로필과 규칙을 만든 후 활성화하려면 여기에서 프로필 이름을 선택해야 합니다.
이제 추가(Add) 버튼을 클릭하면 새 프로필의 이름을 지정하고 새 프로필에 대한 첫 번째 규칙을 추가할 수 있는 대화 상자가 나타납니다.
상단에서 새 프로필의 이름을 지정합니다. 다른 모든 필드는 새 프로필에 추가될 첫 번째 규칙과 관련됩니다. Rule Priority 의 경우 1에서 65535 사이의 값을 선택해야 합니다. Cisco 가 작동하는 방식은 우선 순위가 가장 낮은 규칙이 먼저 적용되는 것입니다. 일치하지 않으면 우선 순위가 가장 낮은 다음 규칙이 적용됩니다.
내 예에서는 이 규칙이 먼저 처리되기를 원하기 때문에 우선 순위 1 을 선택했습니다. (1)이 규칙은 스위치에 대한 액세스 권한을 부여하려는 IP 주소를 허용하는 규칙입니다. 관리 방법(Management Method) 에서 특정 서비스를 선택하거나 모두를 선택하여 모든 것을 제한할 수 있습니다. 제 경우에는 SSH 와 HTTPS 만 활성화되어 있고 한 컴퓨터에서 두 서비스를 모두 관리하기 때문에 모두 선택했습니다.
SSH 및 HTTPS 만 보호 하려면 두 개의 개별 규칙을 생성해야 합니다. 작업(Action) 은 Deny 또는 Permit 만 될 수 있습니다 . 내 예에서는 허용된 IP에 대한 것이기 때문에 허용 을 선택했습니다. (Permit)다음(Next) 으로 장치의 특정 인터페이스에 규칙을 적용하거나 모든 포트에 적용되도록 모두 그대로 둘 수 있습니다.(All)
소스 IP 주소 에 적용(Applies to Source IP Address) 아래에서 여기에서 사용자 정의 를 선택한 다음 ( User Defined)버전 4 를 선택해야 합니다. 단, (Version 4)IPv6 환경에서 작업하는 경우 버전 6(Version 6) 을 선택하는 경우 는 예외 입니다. 이제 액세스가 허용될 IP 주소를 입력하고 보려는 모든 관련 비트와 일치하는 네트워크 마스크를 입력합니다.
예를 들어, 내 IP 주소가 192.168.1.233이므로 전체 IP 주소를 검사해야 하므로 255.255.255.255의 네트워크 마스크가 필요합니다. 전체 서브넷의 모든 사람에게 규칙을 적용하려면 255.255.255.0의 마스크를 사용합니다. 이는 192.168.1.x 주소를 가진 모든 사람이 허용된다는 것을 의미합니다. 내가 하고 싶은 것은 분명히 아니지만 네트워크 마스크를 사용하는 방법을 설명하기를 바랍니다. 네트워크 마스크는 네트워크의 서브넷 마스크가 아닙니다. 네트워크 마스크는 단순히 규칙을 적용할 때 Cisco 가 살펴보아야 하는 비트를 나타냅니다.
적용(Apply) 을 클릭 하면 이제 새 액세스 프로필과 규칙이 생깁니다! 왼쪽 메뉴에서 프로필 규칙을 클릭하면 상단에 새 규칙이 나열되는 것을 볼 수 있습니다 ( Profile Rules).(Click)
이제 두 번째 규칙을 추가해야 합니다. 이렇게 하려면 프로필 규칙 테이블(Profile Rule Table) 아래에 표시된 추가(Add) 버튼을 클릭합니다 .
두 번째 규칙은 정말 간단합니다. 먼저 액세스 프로필 이름(Access Profile Name) 이 방금 만든 이름과 동일한 지 확인합니다 . 이제 규칙에 우선 순위를 2 로 지정하고 (2)작업 에 대해 (Action)거부(Deny) 를 선택합니다 . 다른 모든 항목이 모두(All) 로 설정되어 있는지 확인 합니다. 즉, 모든 IP 주소가 차단됩니다. 그러나 첫 번째 규칙이 먼저 처리되므로 해당 IP 주소가 허용됩니다. 규칙이 일치하면 다른 규칙은 무시됩니다. IP 주소가 첫 번째 규칙과 일치하지 않으면 이 두 번째 규칙에 도달하여 일치하고 차단됩니다. 멋진!
마지막으로 새 액세스 프로필을 활성화해야 합니다. 그렇게 하려면 액세스 프로필( Access Profiles) 로 돌아가서 상단의 드롭다운 목록( Active Access 프로필(Active Access Profile) 옆 )에서 새 프로필을 선택합니다. 적용(Apply) 을 클릭했는지 확인 하고 이동해야 합니다.
구성(Remember) 은 현재 실행 중인 구성에만 저장됩니다. 관리(Administration) – 파일 관리( File Management) – Copy/Save Configuration 으로 이동 하여 실행 중인 구성을 시작 구성으로 복사해야 합니다.
스위치에 대한 둘 이상의 IP 주소 액세스를 허용하려면 첫 번째 규칙과 같은 다른 규칙을 생성하되 더 높은 우선 순위를 지정하십시오. 또한 모든 허용(Permit) 규칙 보다 우선 순위가 더 높도록 거부(Deny) 규칙 의 우선 순위를 변경해야 합니다 . 문제가 발생하거나 작동하지 않는 경우 언제든지 댓글에 게시해 주시면 도와드리겠습니다. 즐기다!
Restrict Access to Cisco Switch Based on IP Address
For added security, I wanted to restrict access to my Cisco SG300-10 switch to onlу one IP address in my local subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.
I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.
Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address.
Create Management Access Profile & Rules
To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.
The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.
Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.
At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.
In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.
Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.
Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.
For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.
Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.
Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.
The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!
Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.
Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.
If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!