Buenas! volvemos otra vez con este contenido que deseamos que te sea de gran utilidad y solucione tus preguntas ¡Comenzamos!
Para mayor seguridad, quería restringir el acceso a mi conmutador Cisco SG300-10 a una sola dirección IP en mi subred local. Después de configurar inicialmente mi nuevo conmutador hace unas semanas, no estaba contento de saber que cualquier persona conectada a mi LAN o WLAN podría acceder a la página de inicio de sesión simplemente conociendo la dirección IP del dispositivo.
Terminé revisando el manual de 500 páginas para averiguar cómo bloquear todas las direcciones IP, excepto las que quería para el acceso de administración. Después de muchas pruebas y varias publicaciones en los foros de Cisco, ¡lo descubrí! En este artículo, lo guiaré a través de los pasos para configurar perfiles de acceso y reglas de perfiles para su conmutador Cisco.
Nota: El siguiente método que voy a describir también le permite restringir el acceso a cualquier número de servicios habilitados en su conmutador. Por ejemplo, puede restringir el acceso a SSH, HTTP, HTTPS, Telnet o todos estos servicios por dirección IP.
Crear perfil y reglas de acceso de administración
Para comenzar, inicie sesión en la interfaz web de su conmutador y expanda Seguridad y luego expandir Método de acceso de administración. Adelante, haga clic en Perfiles de acceso.
Lo primero que debemos hacer es crear un nuevo perfil de acceso. De forma predeterminada, solo debería ver el Consola solamente perfil. Además, notarás en la parte superior que Ninguna está seleccionado junto a Perfil de acceso activo. Una vez que hayamos creado nuestro perfil y reglas, tendremos que seleccionar aquí el nombre del perfil para poder activarlo.
Ahora haga clic en el Añadir y esto debería abrir un cuadro de diálogo donde podrá nombrar su nuevo perfil y también agregar la primera regla para el nuevo perfil.
En la parte superior, asigne un nombre a su nuevo perfil. Todos los demás campos se relacionan con la primera regla que se agregará al nuevo perfil. por Prioridad de regla, debe elegir un valor entre 1 y 65535. La forma en que funciona Cisco es que se aplica primero la regla con la prioridad más baja. Si no coincide, se aplica la siguiente regla con la prioridad más baja.
En mi ejemplo, elegí una prioridad de 1 porque quiero que esta regla se procese primero. Esta regla será la que permita la dirección IP a la que quiero dar acceso al switch. Debajo Método de gestión, puede elegir un servicio específico o elegir todos, lo que restringirá todo. En mi caso, elegí todos porque solo tengo SSH y HTTPS habilitados de todos modos y administro ambos servicios desde una computadora.
Tenga en cuenta que si desea proteger solo SSH y HTTPS, deberá crear dos reglas independientes. los Acción Solo puede ser Negar o Permiso. Por mi ejemplo, elegí Permiso ya que será para la IP permitida. A continuación, puede aplicar la regla a una interfaz específica en el dispositivo o simplemente puede dejarla en Todas para que se aplique a todos los puertos.
Debajo Se aplica a la dirección IP de origen, tenemos que elegir Usuario definido aquí y luego elige Versión 4, a menos que esté trabajando en un entorno IPv6, en cuyo caso elegiría la Versión 6. Ahora escriba la dirección IP a la que se le permitirá el acceso y escriba una máscara de red que coincida con todos los bits relevantes que se van a examinar.
Por ejemplo, dado que mi dirección IP es 192.168.1.233, es necesario examinar toda la dirección IP y, por lo tanto, necesito una máscara de red de 255.255.255.255. Si quisiera que la regla se aplicara a todos en toda la subred, usaría una máscara de 255.255.255.0. Eso significaría que se permitiría a cualquier persona con una dirección 192.168.1.x. Eso no es lo que quiero hacer, obviamente, pero espero que eso explique cómo usar la máscara de red. Tenga en cuenta que la máscara de red no es la máscara de subred de su red. La máscara de red simplemente dice qué bits debe mirar Cisco al aplicar la regla.
Hacer clic Aplicar ¡y ahora debería tener un nuevo perfil de acceso y una regla! Haga clic en Reglas de perfil en el menú de la izquierda y debería ver la nueva regla en la parte superior.
Ahora necesitamos agregar nuestra segunda regla. Para hacer esto, haga clic en el Añadir botón que se muestra debajo del Tabla de reglas de perfil.
La segunda regla es realmente simple. En primer lugar, asegúrese de que el nombre del perfil de acceso sea el mismo que acabamos de crear. Ahora, le damos a la regla una prioridad de 2 y elige Negar Para el Acción. Asegúrese de que todo lo demás esté configurado en Todas. Esto significa que se bloquearán todas las direcciones IP. Sin embargo, dado que nuestra primera regla se procesará primero, se permitirá esa dirección IP. Una vez que una regla coincide, las demás reglas se ignoran. Si una dirección IP no coincide con la primera regla, llegará a esta segunda regla, donde coincidirá y se bloqueará. ¡Agradable!
Finalmente, tenemos que activar el nuevo perfil de acceso. Para hacer eso, vuelve a Perfiles de acceso y seleccione el nuevo perfil de la lista desplegable en la parte superior (junto a Perfil de acceso activo). Asegúrate de hacer clic Aplicar y deberías estar listo para empezar.
Recuerde que la configuración actualmente solo se guarda en la configuración en ejecución. Asegúrate de ir a Administración – Gestión de archivos – Copiar / Guardar configuración para copiar la configuración en ejecución a la configuración de inicio.
Si desea permitir el acceso de más de una dirección IP al conmutador, simplemente cree otra regla como la primera, pero déle una prioridad más alta. También deberá asegurarse de cambiar la prioridad de la Negar regla para que tenga una prioridad más alta que todas las Permiso reglas. Si tiene algún problema o no puede hacer que esto funcione, no dude en publicar en los comentarios e intentaré ayudarlo. ¡Disfrutar!