لمزيد من الأمان ، أردت تقييد الوصول إلى محوّل Cisco SG300-10 الخاص بي إلى عنوان IP واحد فقط في الشبكة الفرعية المحلية الخاصة بي. بعد في البداية تكوين بلدي التبديل الجديد قبل بضعة أسابيع ، لم أكن سعيدًا عندما علمت أن أي شخص متصل بشبكة LAN أو شبكة WLAN يمكنه الوصول إلى صفحة تسجيل الدخول بمجرد معرفة عنوان IP الخاص بالجهاز.
انتهيت من البحث في دليل مكون من 500 صفحة للتعرف على كيفية منع جميع عناوين IP باستثناء العناوين التي أرغب في الوصول إليها. بعد الكثير من الاختبارات وعدة مشاركات في منتديات Cisco ، اكتشفت ذلك! في هذه المقالة ، سوف أطلعك على الخطوات اللازمة لإعداد قواعد توصيف الوصول والملفات الشخصية لمحول Cisco الخاص بك.
ملاحظة: الطريقة التالية سوف أقوم بها كما يسمح لك الوصف بتقييد الوصول إلى أي عدد من الخدمات الممكّنة على المحول الخاص بك. على سبيل المثال ، يمكنك تقييد الوصول إلى SSH أو HTTP أو HTTPS أو Telnet أو جميع هذه الخدمات بواسطة عنوان IP.
إنشاء ملف الوصول إلى الإدارة & amp؛ القواعد
للبدء ، قم بتسجيل الدخول إلى واجهة الويب الخاصة بمفتاحك وقم بتوسيع الأمانثم قم بتوسيع طريقة الوصول إلى Mgmt. المضي قدما وانقر على ملفات تعريف الوصول.
أول شيء يتعين علينا القيام به هو إنشاء ملف تعريف وصول جديد . بشكل افتراضي ، يجب أن تشاهد فقط ملف تعريف وحدة التحكم فقط. أيضًا ، ستلاحظ في الأعلى أنه تم تحديد بلابجوار الملف الشخصي للوصول النشط. بعد إنشاء ملفنا الشخصي وقواعدنا ، سيتعين علينا تحديد اسم الملف الشخصي هنا لتنشيطه.
انقر الآن على الزر إضافةوهذا يجب أن عرض مربع حوار يمكنك من خلاله تسمية ملفك الشخصي الجديد وإضافة القاعدة الأولى لملف التعريف الجديد.
في في الأعلى ، امنح ملفك الشخصي اسمًا. ترتبط جميع الحقول الأخرى بالقاعدة الأولى التي ستتم إضافتها إلى ملف التعريف الجديد. بالنسبة إلى أولوية القاعدة، يجب عليك اختيار قيمة تتراوح بين 1 و 65535. والطريقة التي تعمل بها شركة Cisco هي أن القاعدة ذات الأولوية الأقل يتم تطبيقها أولاً. إذا لم يتطابق ، فسيتم تطبيق القاعدة التالية ذات الأولوية الأقل.
في المثال الخاص بي ، اخترت أولوية 1لأنني أريد معالجة هذه القاعدة أول. ستكون هذه القاعدة هي التي تسمح لعنوان IP الذي أريد منحه حق الوصول إلى المحول. ضمن طريقة الإدارة، يمكنك إما اختيار خدمة معينة أو اختيار الكل ، مما سيحد من كل شيء. في حالتي ، اخترت كل شيء لأنني قمت بتمكين SSH و HTTPS فقط على أي حال وأدير كلتا الخدمتين من جهاز كمبيوتر واحد.
لاحظ أنه إذا كنت ترغب في تأمين SSH و HTTPS فقط ، فستحتاج إلى إنشاء قاعدتين منفصلتين. يمكن أن يكون الإجراءفقط رفضأو تصريح. على سبيل المثال ، اخترت تصريحلأن هذا سيكون لـ IP المسموح به. بعد ذلك ، يمكنك تطبيق القاعدة على واجهة معينة على الجهاز أو يمكنك تركها في الكلبحيث تنطبق على جميع المنافذ.
ضمن تنطبق على عنوان IP المصدر، يتعين علينا اختيار معرف من قِبل المستخدمهنا ثم اختيار الإصدار 4، ما لم تكن تعمل في بيئة IPv6 في هذه الحالة ، يمكنك اختيار الإصدار 6. الآن اكتب عنوان IP الذي سيسمح له بالوصول وكتابة قناع شبكة يطابق جميع البتات ذات الصلة التي يجب النظر إليها.
على سبيل المثال ، منذ عنوان IP الخاص بي هو 192.168.1.233 ، يجب فحص عنوان IP بالكامل ومن ثم أحتاج إلى قناع شبكة 255.255.255.255. إذا كنت أرغب في تطبيق القاعدة على كل شخص على الشبكة الفرعية بأكملها ، عندها سأستخدم قناع 255.255.255.0. وهذا يعني أن أي شخص لديه عنوان 192.168.1.x مسموح به. هذا ليس ما أريد القيام به ، من الواضح ، ولكن نأمل أن يشرح كيفية استخدام قناع الشبكة. لاحظ أن قناع الشبكة ليس هو قناع الشبكة الفرعية لشبكتك. يشير قناع الشبكة بكل بساطة إلى الأجزاء التي يجب أن تنظر إليها شركة Cisco عند تطبيق القاعدة.
انقر على تطبيقويجب أن يكون لديك الآن ملف تعريف وصول وحكم جديد! انقر على قواعد الملف الشخصيفي القائمة اليمنى ، ومن المفترض أن ترى القاعدة الجديدة المدرجة في الجزء العلوي.
الآن نحن بحاجة إلى إضافة القاعدة الثانية لدينا. للقيام بذلك ، انقر فوق الزر إضافةالموضح أسفل جدول قاعدة البيانات الشخصية.
القاعدة الثانية بسيطة للغاية. أولاً ، تأكد من أن اسم ملف تعريف الوصول هو نفس الاسم الذي أنشأناه للتو. الآن ، نحن نعطي القاعدة أولوية لـ 2واختر رفضلـ الإجراء. تأكد من تعيين كل شيء آخر على الكل. هذا يعني أنه سيتم حظر جميع عناوين IP. ومع ذلك ، نظرًا لأنه سيتم معالجة قاعدتنا الأولى أولاً ، فسيتم السماح باستخدام عنوان IP هذا. بمجرد مطابقة القاعدة ، يتم تجاهل القواعد الأخرى. إذا لم يتطابق عنوان IP مع القاعدة الأولى ، فسيأتي إلى القاعدة الثانية هذه ، حيث ستتم مطابقتها والحظر. جيد!
وأخيرًا ، يجب علينا تنشيط ملف الوصول الجديد. لإجراء ذلك ، ارجع إلى ملفات تعريف الوصولوحدد الملف الشخصي الجديد من القائمة المنسدلة في الجزء العلوي (بجوار الملف الشخصي للوصول النشط). تأكد من النقر على تطبيقويجب أن تكون جيدًا.
تذكر أن التهيئة لا يتم حفظها حاليًا إلا في التكوين قيد التشغيل. تأكد من الانتقال إلى الإدارة- إدارة الملفات- نسخ / حفظ التهيئةلنسخ التهيئة قيد التشغيل إلى تهيئة بدء التشغيل.
إذا كنت تريد السماح لأكثر من عنوان IP واحد بالتبديل ، فقم فقط بإنشاء قاعدة أخرى مثل القاعدة الأولى ، ولكن أعطها أولوية أعلى. سيتعين عليك أيضًا التأكد من تغيير الأولوية لقاعدة الرفضبحيث يكون لها أولوية أعلى من جميع قواعد الترخيص. إذا واجهتك أي مشاكل أو تعذر عليك تشغيلها ، فلا تتردد في النشر في التعليقات وسأحاول تقديم المساعدة. استمتع!