Para maior segurança, eu queria restringir o acesso ao meu switch Cisco SG300-10 a apenas um endereço IP na minha sub-rede local. Depois de configurar meu novo switch^{(initially configuring my new switch)} algumas semanas atrás, não fiquei feliz em saber que qualquer pessoa conectada à minha LAN ou WLAN poderia acessar a página de login apenas sabendo o endereço IP do dispositivo.

Acabei vasculhando o manual de 500 páginas para descobrir como bloquear todos os endereços IP, exceto os que eu queria para acesso de gerenciamento. Depois de muitos testes e vários posts nos fóruns da Cisco , descobri! Neste artigo, mostrarei as etapas para configurar perfis de acesso e regras de perfis para seu switch Cisco .

Nota: O método a seguir que vou descrever também permite restringir o acesso a qualquer número de serviços habilitados em seu switch. Por exemplo, você pode restringir o acesso a SSH, HTTP, HTTPS, Telnet ou todos esses serviços por endereço IP. ^{(Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )}

Criar perfil^{(Create Management Access Profile)} e regras de acesso de gerenciamento^(Rules)

Para começar, faça login na interface da Web do seu switch e expanda Security e depois expanda Mgmt Access Method . Vá em frente e clique em Perfis de Acesso^{(Access Profiles)} .

A primeira coisa que precisamos fazer é criar um novo perfil de acesso. Por padrão, você deve ver apenas o perfil Console Only . Além disso, você notará na parte superior que Nenhum^(None) está selecionado ao lado de Perfil de Acesso Ativo^{( Active Access Profile)} . Depois de criar nosso perfil e regras, teremos que selecionar o nome do perfil aqui para ativá-lo.

Agora clique no botão Adicionar^(Add) e isso deve abrir uma caixa de diálogo onde você poderá nomear seu novo perfil e também adicionar a primeira regra para o novo perfil.

Na parte superior, dê um nome ao seu novo perfil. Todos os outros campos estão relacionados à primeira regra que será adicionada ao novo perfil. Para Rule Priority , você deve escolher um valor entre 1 e 65535. A maneira como a Cisco funciona é que a regra com a prioridade mais baixa é aplicada primeiro. Se não corresponder, a próxima regra com a prioridade mais baixa será aplicada.

No meu exemplo, escolhi a prioridade 1 porque quero que essa regra seja processada primeiro. Essa regra será a que permitirá o endereço IP que eu quero dar acesso ao switch. Em Método de gerenciamento^{(Management Method)} , você pode escolher um serviço específico ou escolher todos, o que restringirá tudo. No meu caso, escolhi todos porque só tenho SSH e HTTPS habilitados e gerencio os dois serviços em um computador.

Observe que, se você quiser proteger apenas SSH e HTTPS , precisará criar duas regras separadas. A Ação^(Action) só pode ser Negar^(Deny) ou Permitir^(Permit) . Para o meu exemplo, escolhi Permit , pois isso será para o IP permitido. Em seguida^(Next) , você pode aplicar a regra a uma interface específica no dispositivo ou simplesmente deixá-la em All para que ela se aplique a todas as portas.

Em Aplica-se ao endereço IP de origem^{(Applies to Source IP Address)} , temos que escolher Definido pelo usuário^{( User Defined)} aqui e, em seguida, escolher a Versão 4^{(Version 4)} , a menos que você esteja trabalhando em um ambiente IPv6 , caso em que escolheria a Versão 6^{(Version 6)} . Agora digite o endereço IP que terá permissão de acesso e digite uma máscara de rede que corresponda a todos os bits relevantes a serem observados.

Por exemplo, como meu endereço IP é 192.168.1.233, todo o endereço IP precisa ser examinado e, portanto, preciso de uma máscara de rede 255.255.255.255. Se eu quisesse que a regra se aplicasse a todos em toda a sub-rede, usaria uma máscara de 255.255.255.0. Isso significaria que qualquer pessoa com um endereço 192.168.1.x seria permitida. Isso não é o que eu quero fazer, obviamente, mas espero que isso explique como usar a máscara de rede. Observe que a máscara de rede não é a máscara de sub-rede da sua rede. A máscara de rede simplesmente diz quais bits a Cisco deve observar ao aplicar a regra.

Clique em Aplicar^(Apply) e agora você deve ter um novo perfil e regra de acesso! Clique^(Click) em Regras de perfil^{( Profile Rules)} no menu à esquerda e você verá a nova regra listada na parte superior.

Agora precisamos adicionar nossa segunda regra. Para fazer isso, clique no botão Adicionar^(Add) mostrado na Tabela de regras de perfil^{(Profile Rule Table)} .

A segunda regra é muito simples. Em primeiro lugar, certifique-se de que o Nome do Perfil de Acesso^{(Access Profile Name)} seja o mesmo que acabamos de criar. Agora, apenas damos prioridade 2 à regra e escolhemos Negar^(Deny) para a Ação^(Action) . Certifique-se de que todo o resto esteja definido como All . Isso significa que todos os endereços IP serão bloqueados. No entanto, como nossa primeira regra será processada primeiro, esse endereço IP será permitido. Depois que uma regra é correspondida, as outras regras são ignoradas. Se um endereço IP não corresponder à primeira regra, ele chegará a esta segunda regra, onde corresponderá e será bloqueado. Legal!

Por fim, temos que ativar o novo perfil de acesso. Para fazer isso, volte para Perfis de Acesso^{( Access Profiles)} e selecione o novo perfil na lista suspensa na parte superior (ao lado de Perfil de Acesso Ativo^{(Active Access Profile)} ). Certifique-se de clicar em Aplicar^(Apply) e você deve estar pronto para ir.

Lembre^(Remember) -se de que a configuração atualmente é salva apenas na configuração em execução. Certifique-se de ir para Administração^{(Administration)} – Gerenciamento de Arquivos^{( File Management)} – Copy/Save Configuration para copiar a configuração em execução para a configuração de inicialização.

Se você quiser permitir o acesso de mais de um endereço IP ao switch, basta criar outra regra como a primeira, mas dar a ela uma prioridade mais alta. Você também precisará certificar-se de alterar a prioridade da regra Negar^(Deny) para que ela tenha uma prioridade mais alta do que todas as regras de Permissão . ^(Permit)Se você tiver algum problema ou não conseguir fazer isso funcionar, sinta-se à vontade para postar nos comentários e tentarei ajudar. Aproveitar!

Restrict Access to Cisco Switch Based on IP Address

For added sеcurity, I wanted to restrict access to my Cisco SG300-10 ѕwіtch to only one IP address in my local subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.

I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.

Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address.

Create Management Access Profile & Rules

To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.

The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.

Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.

At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.

In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.

Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.

Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.

For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.

Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.

Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.

The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!

Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.

Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.

If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!

Suzana Brito

About the author

Sou um técnico que atua na área de áudio e contas de usuários há muitos anos. Tenho experiência com computadores Windows e Mac, bem como com produtos da Apple. Também ensino o uso de produtos Apple desde 2007. Minhas principais áreas de especialização são contas de usuário e segurança familiar. Além disso, tenho experiência com vários programas de software, incluindo Windows 7 Home Premium, 8.1 Pro, 10 Pro e 12.9 Mojave.

Restrinja o acesso ao switch Cisco com base no endereço IP

Criar perfil^{(Create Management Access Profile)} e regras de acesso de gerenciamento^(Rules)

Restrict Access to Cisco Switch Based on IP Address

Create Management Access Profile & Rules

Suzana Brito

About the author

Related posts

Como encontrar o endereço IP da sua impressora WiFi no Windows e Mac

Como habilitar o acesso SSH para switches Cisco SG300

Como definir uma estática IP Address em Windows 10

Como encontrar My Router's IP Address?

Como atribuir um endereço IP estático a um PC com Windows 11/10

Como Fix IP Address Conflict

HDG explica: O que é um endereço IP dedicado e devo obter um?

Desativar o controle de conta de usuário (UAC) para um aplicativo específico

Como tirar screenshots no Nintendo Switch

Change IP Address and DNS Servers using the Command Prompt

Como acessar o iMessage no Windows 10/11

Como ocultar seu endereço IP no Android

O que é 192.168.0.1 e por que é o endereço IP padrão para a maioria dos roteadores?

Como abrir um arquivo bloqueado quando outro programa está usando

Como alterar seu endereço IP no Windows 10 (e por que você deseja)

Atribuir um endereço IP estático a uma impressora ou qualquer dispositivo de rede

Como encontrar seu endereço IP público

Abra o bloco de notas como administrador para evitar “acesso negado”

Como encontrar o Router IP address em Windows 10 - IP Address Lookup

Impedir o acesso ao prompt de comando no Windows

Restrinja o acesso ao switch Cisco com base no endereço IP

Criar perfil(Create Management Access Profile) e regras de acesso de gerenciamento(Rules)

Restrict Access to Cisco Switch Based on IP Address

Create Management Access Profile & Rules

Suzana Brito

About the author

Related posts

Como encontrar o endereço IP da sua impressora WiFi no Windows e Mac

Como habilitar o acesso SSH para switches Cisco SG300

Como definir uma estática IP Address em Windows 10

Como encontrar My Router's IP Address?

Como atribuir um endereço IP estático a um PC com Windows 11/10

Como Fix IP Address Conflict

HDG explica: O que é um endereço IP dedicado e devo obter um?

Desativar o controle de conta de usuário (UAC) para um aplicativo específico

Como tirar screenshots no Nintendo Switch

Change IP Address and DNS Servers using the Command Prompt

Como acessar o iMessage no Windows 10/11

Como ocultar seu endereço IP no Android

O que é 192.168.0.1 e por que é o endereço IP padrão para a maioria dos roteadores?

Como abrir um arquivo bloqueado quando outro programa está usando

Como alterar seu endereço IP no Windows 10 (e por que você deseja)

Atribuir um endereço IP estático a uma impressora ou qualquer dispositivo de rede

Como encontrar seu endereço IP público

Abra o bloco de notas como administrador para evitar “acesso negado”

Como encontrar o Router IP address em Windows 10 - IP Address Lookup

Impedir o acesso ao prompt de comando no Windows

Criar perfil^{(Create Management Access Profile)} e regras de acesso de gerenciamento^(Rules)