セキュリティを強化するために、Cisco SG300-10スイッチへのアクセスを、ローカルサブネット内の1つのIPアドレスだけに制限したいと考えていました。 数週間前に新しいスイッチを初期設定した後、私は自分のLANまたはWLANに接続している人がそのデバイスのIPアドレスを知っているだけでログインページにアクセスできることに気づきませんでした。
私は、管理アクセスのために望んでいたものを除いて、すべてのIPアドレスをブロックする方法を見つけ出すために500ページのマニュアルを調べました。 たくさんのテストとシスコフォーラムへのいくつかの投稿の後、私はそれを考え出しました! この記事では、シスコ製スイッチにアクセスプロファイルとプロファイルルールを設定する手順を説明します。
注 :これから説明する方法では、スイッチ上で有効になっている任意の数のサービスへのアクセスを制限することもできます。 たとえば、SSH、HTTP、HTTPS、Telnet、またはこれらすべてのサービスへのアクセスをIPアドレスで制限できます。
管理アクセスプロファイルとルールの作成
開始するには、スイッチのWebインターフェイスにログインして[ Security] 、[ Mgmt Access Method]の順に展開します 。 さあ、 アクセスプロファイルをクリックしてください。
最初にしなければならないことは、新しいアクセスプロファイルを作成することです。 デフォルトでは、 Console Onlyプロファイルのみが表示されます。 また、上部には[ Active Access Profile]の横に[ None]が選択されていることがわかります。 プロファイルとルールを作成したら、それを有効にするためにここでプロファイルの名前を選択する必要があります。
[ 追加 ]ボタンをクリックすると、ダイアログボックスが表示され、そこで新しいプロファイルに名前を付けたり、新しいプロファイルに最初のルールを追加したりできます。
一番上に、新しいプロフィールに名前を付けます。 他のすべてのフィールドは、新しいプロファイルに追加される最初のルールに関連しています。 ルールの優先順位には 、1から65535の間の値を選択する必要があります。シスコの機能は、優先順位が最も低いルールが最初に適用されることです。 一致しない場合は、優先順位が最も低い次のルールが適用されます。
私の例では、このルールを最初に処理したいので、優先順位1を選択しました。 この規則は私がスイッチにアクセスを与えたいIPアドレスを許可するものになるでしょう。 [ 管理方法]では、特定のサービスを選択するか、すべて選択することができます。これにより、すべてが制限されます。 私の場合は、SSHとHTTPSのみを有効にし、両方のサービスを1台のコンピューターから管理するため、allを選択しました。
SSHとHTTPSのみを保護したい場合は、2つの別々のルールを作成する必要があります。 アクションは拒否または許可のみです。 私の例では、これは許可されたIPに対するものなので、 許可を選択しました。 次に、デバイス上の特定のインターフェイスにルールを適用するか、すべてのポートに適用されるように[ All]のままにします。
IPv6環境で作業している場合はバージョン6を選択しますが、ここではソースIPアドレスに適用の下で、ここでユーザー定義を選択してからバージョン4を選択する必要があります。ネットワークマスク内で、調べるべきすべての関連ビットと一致します。
たとえば、私のIPアドレスは192.168.1.233なので、IPアドレス全体を調べる必要があり、したがって255.255.255.255のネットワークマスクが必要です。 サブネット全体の全員にルールを適用したい場合は、255.255.255.0のマスクを使用します。 つまり、192.168.1.xというアドレスを持つ人はだれでも許可されます。 それは私がやりたいことではないことは明らかですが、うまくいけばネットワークマスクの使い方を説明します。 ネットワークマスクはネットワークのサブネットマスクではありません。 ネットワークマスクは、ルールを適用するときにシスコがどのビットを確認する必要があるかを単に示します。
[ 適用]をクリックすると、新しいアクセスプロファイルとルールが作成されました。 左側のメニューで[ Profile Rules ]をクリックすると、上部に新しいルールが表示されます。
今度は私達の2番目のルールを追加する必要があります。 これを行うには、 Profile Rule Tableの下に表示されているAddボタンをクリックします。
2番目のルールは本当に簡単です。 まず、アクセスプロファイル名が先ほど作成したものと同じであることを確認してください。 ここでは、ルールに2の優先順位を付けて、[ アクションの 拒否]を選択します。 他のすべてがAllに設定されていることを確認してください。 これは、すべてのIPアドレスがブロックされることを意味します。 ただし、最初のルールが最初に処理されるため、そのIPアドレスは許可されます。 規則が一致すると、他の規則は無視されます。 IPアドレスが最初のルールと一致しない場合は、この2番目のルールが適用され、そこで一致してブロックされます。 いいね!
最後に、新しいアクセスプロファイルを有効にする必要があります。 これを行うには、 アクセスプロファイルに戻り、上部( アクティブアクセスプロファイルの横)のドロップダウンリストから新しいプロファイルを選択します。 必ず[ 適用 ]をクリックしてください。
設定は現在実行中の設定にのみ保存されることを忘れないでください。 必ず[管理] - [ファイル管理] - [ 設定のコピー/保存]に移動して、実行中の設定を起動設定にコピーしてください。
スイッチへの複数のIPアドレスアクセスを許可したいと思う場合最初のもののような別のルールを作成して下さい、しかしそれに高い優先順位を与えて下さい。 また、 Denyルールの優先度を変更して、すべてのPermitルールよりも優先度が高くなるようにする必要があります。 あなたが何か問題に遭遇するか、これを働かせることができないならば、コメントに自由に投稿してください、そして、私は助けようとします。 楽しい!