Ek güvenlik için Cisco SG300-10^{(Cisco SG300-10)} anahtarıma erişimi yerel alt ağımda yalnızca bir IP adresiyle kısıtlamak istedim . Birkaç hafta önce yeni anahtarımı ilk kez yapılandırdıktan^{(initially configuring my new switch)} sonra , LAN'ıma^(LAN) veya WLAN'ıma^(WLAN) bağlanan herhangi birinin yalnızca cihazın IP adresini bilerek oturum açma sayfasına ulaşabileceğini bilmek beni mutlu etmedi.

Yönetim erişimi için istediklerim dışındaki tüm IP adreslerini nasıl bloke edeceğimi bulmak için 500 sayfalık kılavuzu gözden geçirdim. Pek çok testten ve Cisco forumlarına yapılan birkaç gönderiden sonra, anladım! Bu makalede, Cisco^(Cisco) anahtarınız için erişim profillerini ve profil kurallarını yapılandırma adımlarında size yol göstereceğim .

Not: Aşağıda anlatacağım yöntem, anahtarınızdaki herhangi bir sayıda etkin hizmete erişimi kısıtlamanıza da olanak tanır. Örneğin, SSH, HTTP, HTTPS, Telnet veya tüm bu hizmetlere erişimi IP adresine göre kısıtlayabilirsiniz. ^{(Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )}

Yönetim Erişim Profili^{(Create Management Access Profile)} ve Kuralları Oluşturun^(Rules)

Başlamak için anahtarınız için web arayüzünde oturum açın ve Güvenlik'i^(Security) genişletin ve ardından Yönetim Erişim Yöntemi'ni^{(Mgmt Access Method)} genişletin . Devam edin ve Erişim Profillerine^{(Access Profiles)} tıklayın .

Yapmamız gereken ilk şey yeni bir erişim profili oluşturmak. Varsayılan olarak, yalnızca Yalnızca Konsol^{(Console Only)} profilini görmelisiniz. Ayrıca, en üstte Aktif Erişim Profili'nin^{( Active Access Profile)} yanında Yok'un^(None) seçili olduğunu fark edeceksiniz . Profilimizi ve kurallarımızı oluşturduktan sonra, etkinleştirmek için profilin adını buradan seçmemiz gerekecek.

Şimdi Ekle^(Add) düğmesine tıklayın ve bu, yeni profilinizi adlandırabileceğiniz ve ayrıca yeni profil için ilk kuralı ekleyebileceğiniz bir iletişim kutusu açacaktır.

En üstte, yeni profilinize bir ad verin. Diğer tüm alanlar, yeni profile eklenecek ilk kuralla ilgilidir. Kural Önceliği^{( Rule Priority)} için 1 ile 65535 arasında bir değer seçmeniz gerekir. Cisco'nun^(Cisco) çalışma şekli, önce en düşük önceliğe sahip kuralın uygulanmasıdır. Eşleşmiyorsa, en düşük önceliğe sahip sonraki kural uygulanır.

Örneğimde önceliği 1⁽¹⁾ olarak seçtim çünkü önce bu kuralın işlenmesini istiyorum. Bu kural, anahtara erişim vermek istediğim IP adresine izin veren kural olacaktır. Yönetim Yöntemi^{(Management Method)} altında , belirli bir hizmeti seçebilir veya tümünü seçebilirsiniz, bu da her şeyi kısıtlayacaktır. Benim durumumda hepsini seçtim çünkü zaten yalnızca SSH ve HTTPS'yi^(HTTPS) etkinleştirdim ve her iki hizmeti de tek bir bilgisayardan yönetiyorum.

Yalnızca SSH^(SSH) ve HTTPS'nin^(HTTPS) güvenliğini sağlamak istiyorsanız iki ayrı kural oluşturmanız gerekeceğini unutmayın. Eylem yalnızca Reddet^(Deny) veya İzin ^(Action)Ver^(Permit) olabilir . Örneğimde , izin verilen IP için olacağından İzin Ver'i^(Permit) seçtim . Ardından^(Next) , kuralı cihazdaki belirli bir arabirime uygulayabilir veya tüm^(All) bağlantı noktalarına uygulanması için Tümü'nde bırakabilirsiniz.

Kaynak IP Adresine Uygulanır^{(Applies to Source IP Address)} altında , burada Kullanıcı Tanımlı'yı^{( User Defined)} seçmemiz ve ardından Sürüm 4'ü^{(Version 4)} seçmemiz gerekir , eğer bir IPv6 ortamında çalışmıyorsanız, bu durumda ^(IPv6)Sürüm 6'yı^{(Version 6)} seçersiniz . Şimdi erişime izin verilecek IP adresini yazın ve bakılacak tüm ilgili bitlerle eşleşen bir ağ maskesi yazın.

Örneğin, IP adresim 192.168.1.233 olduğundan, tüm IP adresinin incelenmesi gerekiyor ve bu nedenle 255.255.255.255 ağ maskesine ihtiyacım var. Kuralın tüm alt ağdaki herkese uygulanmasını isteseydim, 255.255.255.0 maskesi kullanırdım. Bu, 192.168.1.x adresine sahip herkese izin verileceği anlamına gelir. Açıkçası yapmak istediğim bu değil, ama umarım bu, ağ maskesinin nasıl kullanılacağını açıklar. Ağ maskesinin ağınızın alt ağ maskesi olmadığını unutmayın. Ağ maskesi , kuralı uygularken Cisco'nun^(Cisco) hangi bitlere bakması gerektiğini söyler.

Uygula'yı^(Apply) tıklayın ve şimdi yeni bir erişim profiliniz ve kuralınız olmalıdır! Soldaki menüden Profil Kuralları'na ^{( Profile Rules)}tıklayın^(Click) ve en üstte yeni kuralın listelendiğini görmelisiniz.

Şimdi ikinci kuralımızı eklememiz gerekiyor. Bunu yapmak için Profil Kural Tablosu^{(Profile Rule Table)} altında gösterilen Ekle^(Add) düğmesine tıklayın .

İkinci kural gerçekten çok basit. İlk olarak, Erişim Profili Adının^{(Access Profile Name)} az önce oluşturduğumuzla aynı olduğundan emin olun . Şimdi, kurala 2⁽²⁾ önceliği veriyoruz ve Eylem^(Action) için Reddet'i^(Deny) seçiyoruz . Diğer her şeyin All olarak ayarlandığından emin olun . Bu, tüm IP adreslerinin engelleneceği anlamına gelir. Ancak ilk kuralımız önce işleneceği için o IP adresine izin verilecektir. Bir kural eşleştirildiğinde, diğer kurallar yok sayılır. Bir IP adresi ilk kuralla eşleşmezse, bu ikinci kurala gelir, burada eşleşir ve engellenir. Güzel!

Son olarak, yeni erişim profilini etkinleştirmemiz gerekiyor. Bunu yapmak için Access Profiles'a^{( Access Profiles)} geri dönün ve üstteki açılır listeden yeni profili seçin ( Active Access Profile'ın^{(Active Access Profile)} yanında ). Uygula'yı^(Apply) tıkladığınızdan emin olun ve gitmeniz iyi olur.

^(Remember)Yapılandırmanın şu anda yalnızca çalışan yapılandırmaya kaydedildiğini unutmayın . Çalışan yapılandırmayı başlangıç yapılandırmasına kopyalamak için Yönetim^{(Administration)} – Dosya Yönetimi^{( File Management)} – Copy/Save Configuration gittiğinizden emin olun .

Anahtara birden fazla IP adresi erişimine izin vermek istiyorsanız, ilki gibi başka bir kural oluşturun, ancak ona daha yüksek bir öncelik verin. Ayrıca, Reddetme kuralının önceliğini, tüm ^(Deny)İzin^(Permit) kurallarından daha yüksek bir önceliğe sahip olacak şekilde değiştirdiğinizden emin olmanız gerekir . Herhangi bir sorunla karşılaşırsanız veya bunu çalıştıramazsanız, yorumlara yazmaktan çekinmeyin, yardım etmeye çalışacağım. Zevk almak!

Restrict Access to Cisco Switch Based on IP Address

For added security, I wanted to restrict access to my Cisco SG300-10 switch to only one IP address in my local subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.

I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.

Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address.

Create Management Access Profile & Rules

To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.

The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.

Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.

At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.

In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.

Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.

Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.

For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.

Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.

Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.

The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!

Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.

Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.

If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!

Metin Aksoy

About the author

Excel ve PowerPoint dahil olmak üzere Microsoft Office yazılımlarıyla çalışma deneyimine sahip bir bilgisayar uzmanıyım. Ayrıca Google'a ait bir tarayıcı olan Chrome ile de deneyimim var. Becerilerim arasında mükemmel yazılı ve sözlü iletişim, problem çözme ve eleştirel düşünme yer alır.

IP Adresine Göre Cisco Anahtarına Erişimi Kısıtla

Yönetim Erişim Profili^{(Create Management Access Profile)} ve Kuralları Oluşturun^(Rules)

Restrict Access to Cisco Switch Based on IP Address

Create Management Access Profile & Rules

Metin Aksoy

About the author

Related posts

Windows ve Mac'te WiFi Yazıcınızın IP Adresini Nasıl Bulunur?

Cisco SG300 Anahtarları için SSH Erişimi Nasıl Etkinleştirilir

Windows 10 bir statik IP Address nasıl ayarlanır

Nasıl My Router en IP Address Bulma?

Windows 11/10 PC'ye Statik IP Adresi Nasıl Atılır

Windows 10'da IP Adresinizi Nasıl Değiştirirsiniz (& Neden Yapmak İstiyorsunuz)

Bir IP Adresi Nasıl Serbest Bırakılır ve Yenilenir

GIMP Eklentilerini Yükleme: Nasıl Yapılır Kılavuzu

Cisco SG300 Anahtarlarında SSH için Genel Anahtar Kimlik Doğrulamasını Etkinleştirin

Bir Yazıcıya veya Herhangi Bir Ağ Aygıtına Statik IP Adresi Atayın

Dinamik Diski Temel Diske Dönüştürme

Google Chrome'da "Sunucu IP Adresi Bulunamadı" Hatası Nasıl Düzeltilir

Google Authenticator Erişimi Kaybetmeden Yeni Bir Telefona Nasıl Taşınır?

Fix IP Address Conflict Nasıl Yapılır

Raspberry Pi'min IP Adresi Nedir?

Kitap İnceleme - Windows 8 için Nasıl Yapılır Geek Kılavuzu

Komut İstemini kullanarak IP Adresini ve DNS Sunucularını Değiştirin

Bir IP Adresi Çakışması Nasıl Onarılır

Android 2022 için En İyi 5 IP Adresi Gizleyici Uygulaması

Yönlendirici vs Anahtar vs Hub vs Modem vs Erişim Noktası vs Ağ Geçidi

IP Adresine Göre Cisco Anahtarına Erişimi Kısıtla

Yönetim Erişim Profili(Create Management Access Profile) ve Kuralları Oluşturun(Rules)

Restrict Access to Cisco Switch Based on IP Address

Create Management Access Profile & Rules

Metin Aksoy

About the author

Related posts

Windows ve Mac'te WiFi Yazıcınızın IP Adresini Nasıl Bulunur?

Cisco SG300 Anahtarları için SSH Erişimi Nasıl Etkinleştirilir

Windows 10 bir statik IP Address nasıl ayarlanır

Nasıl My Router en IP Address Bulma?

Windows 11/10 PC'ye Statik IP Adresi Nasıl Atılır

Windows 10'da IP Adresinizi Nasıl Değiştirirsiniz (& Neden Yapmak İstiyorsunuz)

Bir IP Adresi Nasıl Serbest Bırakılır ve Yenilenir

GIMP Eklentilerini Yükleme: Nasıl Yapılır Kılavuzu

Cisco SG300 Anahtarlarında SSH için Genel Anahtar Kimlik Doğrulamasını Etkinleştirin

Bir Yazıcıya veya Herhangi Bir Ağ Aygıtına Statik IP Adresi Atayın

Dinamik Diski Temel Diske Dönüştürme

Google Chrome'da "Sunucu IP Adresi Bulunamadı" Hatası Nasıl Düzeltilir

Google Authenticator Erişimi Kaybetmeden Yeni Bir Telefona Nasıl Taşınır?

Fix IP Address Conflict Nasıl Yapılır

Raspberry Pi'min IP Adresi Nedir?

Kitap İnceleme - Windows 8 için Nasıl Yapılır Geek Kılavuzu

Komut İstemini kullanarak IP Adresini ve DNS Sunucularını Değiştirin

Bir IP Adresi Çakışması Nasıl Onarılır

Android 2022 için En İyi 5 IP Adresi Gizleyici Uygulaması

Yönlendirici vs Anahtar vs Hub vs Modem vs Erişim Noktası vs Ağ Geçidi

Yönetim Erişim Profili^{(Create Management Access Profile)} ve Kuralları Oluşturun^(Rules)