Per una maggiore sicurezza, volevo limitare l'accesso al mio switch Cisco SG300-10 a un solo indirizzo IP nella mia sottorete locale. Dopo aver inizialmente configurato il mio nuovo switch^{(initially configuring my new switch)} qualche settimana fa, non ero felice di sapere che chiunque fosse connesso alla mia LAN o WLAN potesse accedere alla pagina di accesso semplicemente conoscendo l'indirizzo IP del dispositivo.

Ho finito per setacciare il manuale di 500 pagine per capire come fare per bloccare tutti gli indirizzi IP tranne quelli che volevo per l'accesso alla gestione. Dopo molti test e diversi post sui forum Cisco , l'ho capito! In questo articolo, ti guiderò attraverso i passaggi per configurare i profili di accesso e le regole dei profili per il tuo switch Cisco .

Nota: il metodo seguente che descriverò consente inoltre di limitare l'accesso a un numero qualsiasi di servizi abilitati sullo switch. Ad esempio, puoi limitare l'accesso a SSH, HTTP, HTTPS, Telnet o a tutti questi servizi in base all'indirizzo IP. ^{(Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )}

Crea profilo^{(Create Management Access Profile)} e regole di accesso per la gestione^(Rules)

Per iniziare, accedi all'interfaccia web del tuo switch ed espandi Sicurezza^(Security) , quindi espandi Metodo di accesso Mgmt^{(Mgmt Access Method)} . Vai avanti e fai clic su Profili di accesso^{(Access Profiles)} .

La prima cosa che dobbiamo fare è creare un nuovo profilo di accesso. Per impostazione predefinita, dovresti vedere solo il profilo Solo console^{(Console Only)} . Inoltre, noterai in alto che Nessuno^(None) è selezionato accanto a Profilo di accesso attivo^{( Active Access Profile)} . Una volta creato il nostro profilo e le nostre regole, dovremo selezionare qui il nome del profilo per attivarlo.

Ora fai clic sul pulsante Aggiungi^(Add) e questo dovrebbe far apparire una finestra di dialogo in cui sarai in grado di nominare il tuo nuovo profilo e anche aggiungere la prima regola per il nuovo profilo.

In alto, dai un nome al tuo nuovo profilo. Tutti gli altri campi sono relativi alla prima regola che verrà aggiunta al nuovo profilo. Per Rule Priority , devi scegliere un valore compreso tra 1 e 65535. Il modo in cui Cisco funziona è che la regola con la priorità più bassa viene applicata per prima. Se non corrisponde, viene applicata la regola successiva con la priorità più bassa.

Nel mio esempio, ho scelto una priorità di 1 perché voglio che questa regola venga prima elaborata. Questa regola sarà quella che consente all'indirizzo IP che voglio dare accesso allo switch. In Metodo di gestione^{(Management Method)} , puoi scegliere un servizio specifico o scegliere tutto, il che limiterà tutto. Nel mio caso, ho scelto tutto perché ho comunque abilitato solo SSH e HTTPS e gestisco entrambi i servizi da un computer.

Tieni presente che se desideri proteggere solo SSH e HTTPS , dovrai creare due regole separate. L' Azione^(Action) può essere solo Nega^(Deny) o Consenti^(Permit) . Per il mio esempio, ho scelto Consenti^(Permit) poiché questo sarà per l'IP consentito. Successivamente^(Next) , puoi applicare la regola a un'interfaccia specifica sul dispositivo o puoi semplicemente lasciarla su Tutti^(All) in modo che si applichi a tutte le porte.

In Si applica all'indirizzo IP di origine^{(Applies to Source IP Address)} , dobbiamo scegliere Definito dall'utente^{( User Defined)} qui e quindi scegliere la versione 4^{(Version 4)} , a meno che non si stia lavorando in un ambiente IPv6 , nel qual caso si dovrebbe scegliere la versione 6^{(Version 6)} . Ora digita l'indirizzo IP a cui sarà consentito l'accesso e digita una maschera di rete che corrisponda a tutti i bit rilevanti da guardare.

Ad esempio, poiché il mio indirizzo IP è 192.168.1.233, è necessario esaminare l'intero indirizzo IP e quindi ho bisogno di una maschera di rete di 255.255.255.255. Se volessi che la regola si applicasse a tutti nell'intera sottorete, userei una maschera di 255.255.255.0. Ciò significherebbe che chiunque abbia un indirizzo 192.168.1.x sarebbe autorizzato. Non è quello che voglio fare, ovviamente, ma spero che spieghi come usare la maschera di rete. Si noti che la maschera di rete non è la maschera di sottorete per la rete. La maschera di rete dice semplicemente quali bit Cisco dovrebbe guardare quando applica la regola.

Fai clic su Applica^(Apply) e ora dovresti avere un nuovo profilo di accesso e una nuova regola! Fai clic^(Click) su Regole del profilo^{( Profile Rules)} nel menu a sinistra e dovresti vedere la nuova regola elencata in alto.

Ora dobbiamo aggiungere la nostra seconda regola. Per fare ciò, fai clic sul pulsante Aggiungi^(Add) mostrato sotto la Tabella delle regole del profilo^{(Profile Rule Table)} .

La seconda regola è davvero semplice. Innanzitutto, assicurati che il nome del profilo di accesso^{(Access Profile Name)} sia lo stesso che abbiamo appena creato. Ora, diamo alla regola una priorità di 2 e scegliamo Deny per l' azione^(Action) . Assicurati che tutto il resto sia impostato su All . Ciò significa che tutti gli indirizzi IP verranno bloccati. Tuttavia, poiché la nostra prima regola verrà elaborata per prima, quell'indirizzo IP sarà consentito. Una volta che una regola viene soddisfatta, le altre regole vengono ignorate. Se un indirizzo IP non corrisponde alla prima regola, arriverà a questa seconda regola, dove corrisponderà e verrà bloccato. Simpatico!

Infine, dobbiamo attivare il nuovo profilo di accesso. Per farlo, torna a Profili di accesso^{( Access Profiles)} e seleziona il nuovo profilo dall'elenco a discesa in alto (accanto a Profilo di accesso attivo^{(Active Access Profile)} ). Assicurati di fare clic su Applica^(Apply) e dovresti essere a posto.

Ricorda^(Remember) che la configurazione è attualmente salvata solo nella configurazione in esecuzione. Assicurati di andare su Amministrazione^{(Administration)} – Gestione file^{( File Management)} – Copy/Save Configuration per copiare la configurazione in esecuzione nella configurazione di avvio.

Se vuoi consentire a più indirizzi IP di accedere allo switch, crea un'altra regola come la prima, ma assegnagli una priorità più alta. Dovrai anche assicurarti di modificare la priorità per la regola Nega^(Deny) in modo che abbia una priorità più alta rispetto a tutte le regole di autorizzazione . ^(Permit)Se riscontri problemi o non riesci a farlo funzionare, sentiti libero di postare nei commenti e cercherò di aiutarti. Divertiti!

Restrict Access to Cisco Switch Based on IP Address

For added security, I wanted to restrict access to my Cisco SG300-10 switch to only one IP address in my local subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.

I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.

Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address.

Create Management Access Profile & Rules

To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.

The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.

Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.

At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.

In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.

Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.

Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.

For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.

Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.

Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.

The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!

Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.

Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.

If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!

Samuele Milani

About the author

ingegnere audiofilo e specialista di prodotti audio con oltre 10 anni di esperienza. Sono specializzato nella creazione di altoparlanti e cuffie per musica di qualità dall'inizio alla fine. Sono un esperto nella risoluzione dei problemi audio e nella progettazione di nuovi altoparlanti e sistemi di cuffie. La mia esperienza va oltre la semplice realizzazione di buoni prodotti; Ho anche una passione per aiutare gli altri a essere il meglio di sé possibile, sia attraverso l'istruzione che il servizio alla comunità.

Limita l'accesso allo switch Cisco in base all'indirizzo IP

Crea profilo^{(Create Management Access Profile)} e regole di accesso per la gestione^(Rules)

Restrict Access to Cisco Switch Based on IP Address

Create Management Access Profile & Rules

Samuele Milani

About the author

Related posts

Come trovare l'indirizzo IP della tua stampante WiFi su Windows e Mac

Come abilitare l'accesso SSH per gli switch Cisco SG300

Come impostare uno IP Address statica in Windows 10

Come trovare My Router IP Address?

Come assegnare un indirizzo IP statico a un PC Windows 11/10

Come accedere e modificare le impostazioni del router WiFi

8 delle migliori idee tecnologiche per far fronte all'autoisolamento

Installazione dei plugin GIMP: una guida pratica

Apri Blocco note come amministratore per evitare "Accesso negato"

Come accedere alle partizioni Linux in Windows

Recensione del libro - La guida pratica per geek a Windows 8

Come trovare Router IP address su Windows 10 - IP Address Lookup

Come tracciare la posizione originale di un'e-mail tramite il suo indirizzo IP

Come modificare il tuo indirizzo IP su Windows 10 (e perché vorresti farlo)

HDG spiega: che cos'è un indirizzo IP e può davvero rintracciarmi fino alla mia porta?

Che cos'è 192.168.0.1 e perché è l'indirizzo IP predefinito per la maggior parte dei router?

Impedisci l'accesso al prompt dei comandi in Windows

Router vs Switch vs Hub vs Modem vs Access Point vs Gateway

Come accedere a Samsung Cloud e ottenere il massimo dal servizio

Come trovare l'indirizzo MAC su iPhone (iOS) e dispositivi Android

Limita l'accesso allo switch Cisco in base all'indirizzo IP

Crea profilo(Create Management Access Profile) e regole di accesso per la gestione(Rules)

Restrict Access to Cisco Switch Based on IP Address

Create Management Access Profile & Rules

Samuele Milani

About the author

Related posts

Come trovare l'indirizzo IP della tua stampante WiFi su Windows e Mac

Come abilitare l'accesso SSH per gli switch Cisco SG300

Come impostare uno IP Address statica in Windows 10

Come trovare My Router IP Address?

Come assegnare un indirizzo IP statico a un PC Windows 11/10

Come accedere e modificare le impostazioni del router WiFi

8 delle migliori idee tecnologiche per far fronte all'autoisolamento

Installazione dei plugin GIMP: una guida pratica

Apri Blocco note come amministratore per evitare "Accesso negato"

Come accedere alle partizioni Linux in Windows

Recensione del libro - La guida pratica per geek a Windows 8

Come trovare Router IP address su Windows 10 - IP Address Lookup

Come tracciare la posizione originale di un'e-mail tramite il suo indirizzo IP

Come modificare il tuo indirizzo IP su Windows 10 (e perché vorresti farlo)

HDG spiega: che cos'è un indirizzo IP e può davvero rintracciarmi fino alla mia porta?

Che cos'è 192.168.0.1 e perché è l'indirizzo IP predefinito per la maggior parte dei router?

Impedisci l'accesso al prompt dei comandi in Windows

Router vs Switch vs Hub vs Modem vs Access Point vs Gateway

Come accedere a Samsung Cloud e ottenere il massimo dal servizio

Come trovare l'indirizzo MAC su iPhone (iOS) e dispositivi Android

Crea profilo^{(Create Management Access Profile)} e regole di accesso per la gestione^(Rules)