보안을 강화하기 위해 Cisco SG300-10 스위치에 대한 액세스를 로컬 서브넷의 하나의 IP 주소로만 제한하고 싶었습니다. 몇 주 전에 새 스위치를 처음 구성한 후 내 LAN 또는 WLAN에 연결된 모든 사람이 장치의 IP 주소를 아는 것만으로 로그인 페이지에 액세스할 수 있다는 사실에 만족하지 못했습니다.
관리 액세스를 위해 원하는 주소를 제외한 모든 IP 주소를 차단하는 방법을 알아내기 위해 500페이지에 달하는 매뉴얼을 샅샅이 뒤졌습니다. 테스트를 많이 하고 Cisco 포럼에 여러 게시물을 올린 후 알아냈습니다! 이 기사에서는 Cisco 스위치에 대한 액세스 프로필 및 프로필 규칙을 구성하는 단계를 안내합니다.
참고 :내가 설명할 다음 방법을 사용하면 스위치에서 활성화된 서비스에 대한 액세스를 제한할 수도 있습니다. 예를 들어 SSH, HTTP, HTTPS, Telnet 또는 이러한 모든 서비스에 대한 액세스를 IP 주소로 제한할 수 있습니다.
관리 액세스 프로필 및 규칙 만들기
시작하려면 스위치의 웹 인터페이스에 로그인하고 보안을 확장합니다. 그런 다음 관리 액세스 방법을 확장합니다. . 계속해서 프로필 액세스를 클릭하세요. .
가장 먼저 해야 할 일은 새 액세스 프로필을 만드는 것입니다. 기본적으로 콘솔만만 표시됩니다. 프로필. 또한 상단에 없음 Active Access 프로필 옆에 선택됨 . 프로필과 규칙을 만든 후 활성화하려면 여기에서 프로필 이름을 선택해야 합니다.
이제 추가를 클릭합니다. 버튼을 누르면 새 프로필의 이름을 지정하고 새 프로필에 대한 첫 번째 규칙을 추가할 수 있는 대화 상자가 나타납니다.
상단에서 새 프로필의 이름을 지정합니다. 다른 모든 필드는 새 프로필에 추가될 첫 번째 규칙과 관련됩니다. 규칙 우선순위의 경우 , 1에서 65535 사이의 값을 선택해야 합니다. Cisco가 작동하는 방식은 우선 순위가 가장 낮은 규칙이 먼저 적용되는 것입니다. 일치하지 않으면 우선 순위가 가장 낮은 다음 규칙이 적용됩니다.
내 예에서는 1의 우선순위를 선택했습니다. 이 규칙이 먼저 처리되기를 원하기 때문입니다. 이 규칙은 스위치에 대한 액세스 권한을 부여하려는 IP 주소를 허용하는 규칙입니다. 관리 방법 아래 , 특정 서비스를 선택하거나 모두를 선택하여 모든 것을 제한할 수 있습니다. 제 경우에는 SSH와 HTTPS만 활성화되어 있고 한 컴퓨터에서 두 서비스를 모두 관리하기 때문에 모두 선택했습니다.
SSH와 HTTPS만 보호하려면 두 개의 별도 규칙을 만들어야 합니다. 액션 거부만 가능 또는 허용 . 내 예에서는 허용을 선택했습니다. 이것은 허용된 IP에 대한 것이기 때문입니다. 그런 다음 기기의 특정 인터페이스에 규칙을 적용하거나 전체로 그대로 둘 수 있습니다. 모든 포트에 적용되도록 합니다.
소스 IP 주소에 적용 아래 , 사용자 정의를 선택해야 합니다. 여기에서 버전 4를 선택합니다. , IPv6 환경에서 작업하지 않는 한 버전 6을 선택합니다. 이제 액세스가 허용될 IP 주소를 입력하고 보려는 모든 관련 비트와 일치하는 네트워크 마스크를 입력합니다.
예를 들어, 내 IP 주소가 192.168.1.233이므로 전체 IP 주소를 검사해야 하므로 255.255.255.255의 네트워크 마스크가 필요합니다. 전체 서브넷의 모든 사람에게 규칙을 적용하려면 255.255.255.0의 마스크를 사용합니다. 이는 192.168.1.x 주소를 가진 모든 사람이 허용된다는 것을 의미합니다. 내가 하고 싶은 것은 분명히 아니지만 네트워크 마스크를 사용하는 방법을 설명하기를 바랍니다. 네트워크 마스크는 네트워크의 서브넷 마스크가 아닙니다. 네트워크 마스크는 단순히 Cisco가 규칙을 적용할 때 어떤 비트를 살펴보아야 하는지 알려줍니다.
적용을 클릭합니다. 이제 새 액세스 프로필과 규칙이 있어야 합니다! 프로필 규칙을 클릭합니다. 왼쪽 메뉴에서 상단에 나열된 새 규칙을 볼 수 있습니다.
이제 두 번째 규칙을 추가해야 합니다. 이렇게 하려면 추가 프로필 규칙 표 아래에 표시된 버튼 .
두 번째 규칙은 정말 간단합니다. 먼저 액세스 프로필 이름이 방금 만든 이름과 동일한지 확인합니다. 이제 규칙에 2의 우선순위를 부여합니다. 거부를 선택합니다. 액션 . 다른 모든 항목이 모두로 설정되어 있는지 확인합니다. . 즉, 모든 IP 주소가 차단됩니다. 그러나 첫 번째 규칙이 먼저 처리되므로 해당 IP 주소가 허용됩니다. 규칙이 일치하면 다른 규칙은 무시됩니다. IP 주소가 첫 번째 규칙과 일치하지 않으면 이 두 번째 규칙에 도달하여 일치하고 차단됩니다. 좋아요!
마지막으로 새 액세스 프로필을 활성화해야 합니다. 그렇게 하려면 프로필 액세스로 돌아가세요. 상단의 드롭다운 목록에서 새 프로필을 선택합니다(Active Access 프로필 옆 ). 적용을 클릭해야 합니다. 가시면 됩니다.
구성은 현재 실행 중인 구성에만 저장됩니다. 관리로 이동해야 합니다. – 파일 관리 – 구성 복사/저장 실행 중인 구성을 시작 구성으로 복사합니다.
스위치에 대한 둘 이상의 IP 주소 액세스를 허용하려면 첫 번째 규칙과 같은 다른 규칙을 생성하되 더 높은 우선 순위를 지정하십시오. 또한 거부의 우선순위를 변경해야 합니다. 모든 허가보다 높은 우선순위를 갖도록 규칙 규칙. 문제가 발생하거나 작동하지 않는 경우 언제든지 댓글에 게시해 주시면 도와드리겠습니다. 즐기세요!