보안을 강화하기 위해 Cisco SG300-10 스위치에 대한 액세스를 로컬 서브넷의 하나의 IP 주소로만 제한하려고했습니다. 처음 몇 주 전에 새로운 스위치를 구성한 후 LAN이나 WLAN에 연결된 사람이 장치의 IP 주소를 알면 로그인 페이지로 이동할 수 있다는 사실을 알지 못했습니다.
500 페이지 분량의 매뉴얼을 통해 관리 액세스를 원했던 IP 주소를 제외한 모든 IP 주소를 차단하는 방법을 알아 냈습니다. 많은 테스트와 시스코 포럼에 대한 여러 게시물을 통해 알게되었습니다. 이 기사에서는 시스코 스위치에 대한 액세스 프로필 및 프로필 규칙을 구성하는 단계를 안내합니다.
참고 : 아래에서 설명 할 방법을 사용하면 스위치에서 활성화 된 여러 서비스에 대한 액세스를 제한 할 수 있습니다. 예를 들어, SSH, HTTP, HTTPS, Telnet 또는이 모든 서비스에 대한 액세스를 IP 주소로 제한 할 수 있습니다.
관리 액세스 프로필 및 규칙 만들기
시작하려면 스위치의 웹 인터페이스에 로그인하고 보안 을 확장 한 다음 액세스 방법 관리 를 확장 하십시오 . 계속해서 액세스 프로파일을 클릭하십시오.
우리가해야 할 첫 번째 일은 새로운 액세스 프로파일을 만드는 것입니다. 기본적으로 콘솔 전용 프로필 만 표시되어야합니다. 또한 맨 위에는 활성 액세스 프로파일 옆에 없음 이 선택되어 있음을 알 수 있습니다. 프로필과 규칙을 만든 후에는 프로필을 활성화하기 위해 프로필의 이름을 선택해야합니다.
이제 Add 버튼을 클릭하면 새 프로파일의 이름을 지정하고 새 프로파일의 첫 번째 규칙을 추가 할 수있는 대화 상자가 나타납니다.
상단에서 새 프로필의 이름을 지정하십시오. 다른 모든 필드는 새 프로파일에 추가 될 첫 번째 규칙과 관련이 있습니다. 규칙 우선 순위의 경우 1에서 65535 사이의 값을 선택해야합니다. Cisco의 작동 방식은 우선 순위가 가장 낮은 규칙이 먼저 적용된다는 것입니다. 일치하지 않으면 우선 순위가 가장 낮은 다음 규칙이 적용됩니다.
예를 들어, 이 규칙을 먼저 처리하기 때문에 우선 순위를 1로 선택했습니다. 이 규칙은 스위치에 액세스 권한을 부여하려는 IP 주소를 허용하는 규칙입니다. 관리 방법 에서는 특정 서비스를 선택하거나 모두 선택하여 모든 것을 제한 할 수 있습니다. 내 경우에는 SSH와 HTTPS 만 사용하도록 설정했기 때문에 모든 것을 선택했으며 한 대의 컴퓨터에서 두 서비스를 모두 관리합니다.
SSH와 HTTPS 만 보호하려면 두 개의 별도 규칙을 만들어야합니다. 작업 은 거부 또는 허용 만 가능합니다. 필자는 허용 된 IP에 대한 것이므로 Permit을 선택했습니다. 그런 다음 장치의 특정 인터페이스에 규칙을 적용하거나 모든 포트에 적용되도록 All을 그대로 둘 수 있습니다.
소스 IP 주소에 적용에서 사용자 정의 를 선택하고 버전 4 를 선택해야합니다. IPv6 환경에서 작업하는 경우가 아니면 버전 6을 선택해야합니다. 이제 액세스가 허용 될 IP 주소를 입력하고 다음을 입력하십시오. 보려는 모든 관련 비트와 일치하는 네트워크 마스크에서
예를 들어 내 IP 주소가 192.168.1.233이므로 전체 IP 주소를 조사해야하므로 네트워크 마스크 255.255.255.255가 필요합니다. 규칙을 전체 서브넷의 모든 사용자에게 적용하려면 255.255.255.0의 마스크를 사용합니다. 즉, 192.168.1.x 주소를 가진 사람이 허용됩니다. 그건 분명히하고 싶은 것이 아니라 네트워크 마스크를 사용하는 방법을 설명하기를 바랍니다. 네트워크 마스크는 네트워크의 서브넷 마스크가 아닙니다. 네트워크 마스크는 규칙을 적용 할 때 시스코가 봐야 할 비트를 간단히 말합니다.
적용을 클릭하면 이제 새로운 액세스 프로필과 규칙이 생깁니다! 왼쪽 메뉴에서 프로파일 규칙 을 클릭하면 맨 위에 새 규칙이 나열됩니다.
이제 두 번째 규칙을 추가해야합니다. 이렇게하려면 프로파일 규칙 표 아래에 표시된 추가 버튼을 클릭하십시오.
두 번째 규칙은 정말 간단합니다. 먼저 액세스 프로파일 이름이 방금 생성 한 것과 동일한 지 확인하십시오. 이제는 규칙의 우선 순위를 2로 설정 하고 작업에 대해 거부 를 선택합니다. 다른 모든 항목이 모두로 설정되어 있는지 확인하십시오. 즉, 모든 IP 주소가 차단됩니다. 그러나 첫 번째 규칙이 먼저 처리되므로 IP 주소가 허용됩니다. 규칙이 일치하면 다른 규칙은 무시됩니다. IP 주소가 첫 번째 규칙과 일치하지 않으면이 두 번째 규칙에 따라 일치하고 차단됩니다. 좋은!
마지막으로 새 액세스 프로필을 활성화해야합니다. 이를 수행하려면 액세스 프로파일 로 돌아가 맨 위의 활성 액세스 프로파일 옆에있는 드롭 다운 목록에서 새 프로파일을 선택하십시오. 적용 을 클릭 하십시오. 그러면 가야합니다.
구성은 현재 실행중인 구성에만 저장된다는 점을 기억하십시오. 운영 - 파일 관리 - 구성 복사 / 저장으로 이동 하여 실행 구성을 시작 구성 으로 복사하십시오.
스위치에 둘 이상의 IP 주소 액세스를 허용하려면 첫 번째 것과 같이 다른 규칙을 작성하되 더 높은 우선 순위를 부여하십시오. 또한 거부 규칙의 우선 순위를 변경하여 모든 허용 규칙보다 높은 우선 순위를 갖도록해야합니다. 문제가 생겼거나 제대로 작동하지 않으면 의견을 게시 해주세요. 도와 드리겠습니다. 즐겨!