تقييد الوصول إلى مفتاح Cisco بواسطة عنوان IP

-الوصول-إلى-مفتاح-Cisco-بواسطة-عنوان-IP.png


لأسباب أمنية ، أردت تقييد الوصول إلى محوّل Cisco SG300-10 الخاص بي إلى عنوان IP واحد فقط على شبكتي الفرعية المحلية. بعد الإعداد الأولي للمحول الجديد الخاص بي قبل بضعة أسابيع ، لم أكن سعيدًا بمعرفة أن أي شخص متصل بشبكة LAN أو WLAN الخاص بي يمكنه الوصول إلى صفحة تسجيل الدخول بمجرد معرفة عنوان IP الخاص بالجهاز.

انتهى بي الأمر إلى قراءة دليل مؤلف من 500 صفحة لمعرفة كيفية حظر جميع عناوين IP باستثناء تلك التي أردت إدارتها. بعد الكثير من الاختبارات وبعض المنشورات على منتديات Cisco ، حصلت عليها! في هذه المقالة ، سوف أطلعك على إعداد ملفات تعريف الوصول وقواعد الملف الشخصي لمحول Cisco.

انتباه: الطريقة التالية التي سأصفها تسمح لك أيضًا بتقييد الوصول إلى أي عدد من الخدمات الممكّنة على المحول. على سبيل المثال ، يمكنك تقييد الوصول إلى SSH أو HTTP أو HTTPS أو Telnet أو كل هذه الخدمات بناءً على عنوان IP الخاص بك.

إنشاء ملف تعريف وقواعد وصول الإدارة

للبدء ، قم بتسجيل الدخول إلى واجهة الويب الخاصة بالمحول وقم بالتوسيع الأمان ثم توسع طريقة الوصول إلى الإدارة. انطلق وانقر ملفات تعريف الوصول.

أول شيء يتعين علينا القيام به هو إنشاء ملف تعريف وصول جديد. بشكل افتراضي ، يجب أن ترى الملف فقط وحدة التحكم فقط الملف الشخصي. ستلاحظ أيضًا في الأعلى لا بجانبه ملف تعريف الوصول النشط. بعد إنشاء ملف التعريف والقواعد الخاصة بنا ، سيتعين علينا تحديد اسم ملف التعريف هنا لتنشيطه.

انقر الآن أضف ويجب أن يؤدي ذلك إلى ظهور مربع حوار حيث يمكنك تسمية ملف التعريف الجديد الخاص بك وإضافة القاعدة الأولى لملف التعريف الجديد.

في الجزء العلوي ، قم بتسمية ملف التعريف الجديد الخاص بك. تشير جميع الحقول الأخرى إلى القاعدة الأولى التي ستتم إضافتها إلى ملف التعريف الجديد. إلى عن على حكم الأولوية، يجب تحديد قيمة من 1 إلى 65535. تعمل Cisco بحيث يتم تطبيق القاعدة ذات الأولوية الأقل أولاً. إذا لم تتطابق ، فسيتم تطبيق القاعدة التالية ذات الأولوية الأقل.

في المثال الخاص بي ، اخترت الأولوية 1 لأنني أريد معالجة هذه القاعدة أولاً. ستكون هذه القاعدة هي التي تسمح بعنوان IP الذي أريد منحه حق الوصول إلى المحول. تحت طريقة الإدارة، يمكنك اختيار خدمة معينة أو اختيار كل ما سيحد من كل شيء. في حالتي ، اخترت كل شيء لأنني أمتلك SSH و HTTPS فقط على أي حال وأديرهما من جهاز كمبيوتر واحد.

لاحظ أنه إذا كنت تريد فقط تأمين SSH و HTTPS ، فأنت بحاجة إلى إنشاء قاعدتين منفصلتين. ملف شارك يمكن أن يكون فقط أنكر أو دع. على سبيل المثال ، اخترت دع لأنه سيكون لعنوان IP مسموح به. ثم يمكنك تطبيق القاعدة على واجهة معينة على الجهاز أو تركها قيد التشغيل الكل بحيث ينطبق على جميع المنافذ.

تحت يشير إلى عنوان IP المصدر، علينا أن نختار تعريف المستخدم هنا واختيار الإصدار 4ما لم تكن تعمل في بيئة IPv6 ، ففي هذه الحالة ستختار الإصدار 6. الآن أدخل عنوان IP الذي تريد الوصول إليه وأدخل قناع الشبكة الذي يطابق جميع وحدات البت ذات الصلة ليتم عرضها.

على سبيل المثال ، نظرًا لأن عنوان IP الخاص بي هو 192.168.1.233 ، يجب التحقق من عنوان IP بالكامل ، وبالتالي أحتاج إلى قناع الشبكة 255.255.255.255.255.255.255. إذا أردت تطبيق القاعدة على الجميع عبر الشبكة الفرعية بأكملها ، فسأستخدم 255.255.255.0. هذا يعني أنه سيتم السماح لأي شخص بالعنوان 192.168.1.x. من الواضح أن هذا ليس ما أريد القيام به ، ولكن آمل أن يشرح ذلك كيفية استخدام قناع الشبكة. لاحظ أن قناع الشبكة ليس قناع الشبكة الفرعية لشبكتك. يخبرك قناع الشبكة ببساطة بالبتات التي يجب على Cisco الانتباه إليها عند تطبيق القاعدة.

انقر هنا تطبيق ويجب أن يكون لديك الآن ملف تعريف وصول جديد وقاعدة! انقر هنا قواعد الملف الشخصي في القائمة على اليسار وستظهر القاعدة الجديدة في الأعلى.

الآن علينا إضافة القاعدة الثانية. للقيام بذلك ، انقر فوق أضف الزر الموضح أدناه جدول قواعد الملف الشخصي.

القاعدة الثانية بسيطة حقًا. أولاً ، تأكد من أن اسم ملف تعريف الوصول هو نفسه الذي أنشأناه للتو. سنعطي الأولوية الآن لهذه القاعدة 2 و اختار أنكر إلى عن على شارك. تأكد من ضبط كل شيء آخر على الكل. هذا يعني أنه سيتم حظر جميع عناوين IP. ومع ذلك ، نظرًا لأن قاعدتنا الأولى ستتم معالجتها أولاً ، فسيتم السماح بعنوان IP هذا. بعد مطابقة القاعدة ، يتم تجاهل القواعد المتبقية. إذا كان عنوان IP لا يتطابق مع القاعدة الأولى ، فسوف ينتقل إلى القاعدة الثانية حيث سيتم مطابقته وحظره. جميلة!

أخيرًا ، نحتاج إلى تنشيط ملف تعريف الوصول الجديد. للقيام بذلك ، ارجع إلى ملفات تعريف الوصول وحدد ملف تعريف جديدًا من القائمة المنسدلة في الأعلى (بجوار ملف تعريف الوصول النشط). تذكر أن تنقر تطبيق ويجب أن تكون جاهزًا.

لاحظ أن التكوين محفوظ حاليًا فقط في التكوين الحالي. تأكد من أن تذهب إلى الادارة إدارة الملفاتنسخ / حفظ التكوين لنسخ التكوين الحالي إلى تكوين بدء التشغيل.

إذا كنت ترغب في السماح لأكثر من عنوان IP بالوصول إلى المحول ، فما عليك سوى إنشاء قاعدة أخرى مثل القاعدة الأولى ولكن أعطها أولوية أعلى. تحتاج أيضًا إلى التأكد من تغيير الأولوية لـ أنكر حكم لتأخذ الأولوية على جميع الملفات دع قواعد. إذا واجهت أي مشاكل أو لم تتمكن من تشغيلها ، فقم بنشرها في التعليقات وسأحاول مساعدتك. استمتع!

scroll to top