अतिरिक्त सुरक्षा के लिए, मैं अपने सिस्को एसजी300-10 स्विच तक पहुंच को अपने स्थानीय सबनेट में केवल एक आईपी पते पर प्रतिबंधित करना चाहता था। कुछ हफ़्ते पहले अपने नए स्विच को शुरू में कॉन्फ़िगर करने के बाद, मुझे यह जानकर खुशी नहीं हुई कि मेरे लैन या डब्ल्यूएलएएन से जुड़ा कोई भी व्यक्ति केवल डिवाइस के आईपी पते को जानकर लॉगिन पेज पर पहुंच सकता है।
मैंने 500-पृष्ठ के मैनुअल के माध्यम से यह पता लगाने के लिए समाप्त कर दिया कि सभी आईपी पतों को कैसे अवरुद्ध किया जाए, सिवाय उन लोगों को छोड़कर जिन्हें मैं प्रबंधन पहुंच के लिए चाहता था। सिस्को मंचों पर बहुत सारे परीक्षण और कई पोस्ट के बाद, मैंने इसे समझ लिया! इस लेख में, मैं आपके सिस्को स्विच के लिए एक्सेस प्रोफाइल और प्रोफाइल नियमों को कॉन्फ़िगर करने के चरणों के बारे में बताऊंगा।
नोट :निम्नलिखित विधि जिसका मैं वर्णन करने जा रहा हूं, आपको अपने स्विच पर किसी भी संख्या में सक्षम सेवाओं तक पहुंच को प्रतिबंधित करने की अनुमति देता है। उदाहरण के लिए, आप आईपी पते द्वारा एसएसएच, एचटीटीपी, एचटीटीपीएस, टेलनेट, या इन सभी सेवाओं तक पहुंच को प्रतिबंधित कर सकते हैं।
प्रबंधन पहुंच प्रोफ़ाइल और नियम बनाएं
आरंभ करने के लिए, अपने स्विच के लिए वेब इंटरफ़ेस में लॉग इन करें और सुरक्षा . का विस्तार करें और फिर Mgmt पहुँच विधि . को विस्तृत करें . आगे बढ़ें और प्रोफाइल एक्सेस करें . पर क्लिक करें ।
पहली चीज़ जो हमें करने की ज़रूरत है वह है एक नई एक्सेस प्रोफ़ाइल बनाना। डिफ़ॉल्ट रूप से, आपको केवल केवल कंसोल . देखना चाहिए प्रोफ़ाइल। साथ ही, आप सबसे ऊपर देखेंगे कि कोई नहीं सक्रिय पहुंच प्रोफ़ाइल . के आगे चयनित है . एक बार जब हम अपनी प्रोफ़ाइल और नियम बना लेते हैं, तो हमें इसे सक्रिय करने के लिए प्रोफ़ाइल के नाम का चयन यहाँ करना होगा।
अब जोड़ें . पर क्लिक करें बटन और यह एक डायलॉग बॉक्स लाएगा जहां आप अपनी नई प्रोफ़ाइल को नाम दे सकेंगे और नई प्रोफ़ाइल के लिए पहला नियम भी जोड़ सकेंगे।
सबसे ऊपर, अपनी नई प्रोफ़ाइल को एक नाम दें. अन्य सभी फ़ील्ड पहले नियम से संबंधित हैं जिसे नई प्रोफ़ाइल में जोड़ा जाएगा। नियम प्राथमिकता . के लिए , आपको 1 और 65535 के बीच एक मान चुनना होगा। सिस्को जिस तरह से काम करता है वह यह है कि सबसे कम प्राथमिकता वाला नियम पहले लागू होता है। यदि यह मेल नहीं खाता है, तो निम्नतम प्राथमिकता वाला अगला नियम लागू किया जाता है।
मेरे उदाहरण में, मैंने 1 . की प्राथमिकता को चुना क्योंकि मैं चाहता हूं कि इस नियम को पहले संसाधित किया जाए। यह नियम वह होगा जो उस आईपी पते की अनुमति देता है जिसे मैं स्विच तक पहुंच देना चाहता हूं। प्रबंधन विधि . के अंतर्गत , आप या तो एक विशिष्ट सेवा चुन सकते हैं या सभी को चुन सकते हैं, जो सब कुछ प्रतिबंधित कर देगा। मेरे मामले में, मैंने सभी को चुना क्योंकि मेरे पास वैसे भी केवल SSH और HTTPS सक्षम हैं और मैं एक कंप्यूटर से दोनों सेवाओं का प्रबंधन करता हूं।
ध्यान दें कि यदि आप केवल SSH और HTTPS को सुरक्षित करना चाहते हैं, तो आपको दो अलग-अलग नियम बनाने होंगे। कार्रवाई केवल अस्वीकार किया जा सकता है या अनुमति . मेरे उदाहरण के लिए, मैंने परमिट . चुना है चूंकि यह अनुमत आईपी के लिए होगा। इसके बाद, आप डिवाइस पर किसी विशिष्ट इंटरफ़ेस पर नियम लागू कर सकते हैं या आप इसे केवल सभी पर छोड़ सकते हैं ताकि यह सभी बंदरगाहों पर लागू हो।
स्रोत IP पते पर लागू होता है . के अंतर्गत , हमें उपयोगकर्ता परिभाषित . चुनना होगा यहां और फिर संस्करण 4 . चुनें , जब तक कि आप IPv6 वातावरण में काम नहीं कर रहे हैं, उस स्थिति में आप संस्करण 6 चुनेंगे। अब IP पता टाइप करें जिसे एक्सेस की अनुमति होगी और एक नेटवर्क मास्क टाइप करें जो देखने के लिए सभी प्रासंगिक बिट्स से मेल खाता हो।
उदाहरण के लिए, चूंकि मेरा आईपी पता 192.168.1.233 है, इसलिए पूरे आईपी पते की जांच की जानी चाहिए और इसलिए मुझे 255.255.255.255 के नेटवर्क मास्क की आवश्यकता है। अगर मैं चाहता था कि नियम पूरे सबनेट पर सभी पर लागू हो, तो मैं 255.255.255.0 के मास्क का उपयोग करूंगा। इसका मतलब यह होगा कि 192.168.1.x पते वाले किसी भी व्यक्ति को अनुमति दी जाएगी। यह वह नहीं है जो मैं करना चाहता हूं, जाहिर है, लेकिन उम्मीद है कि यह बताता है कि नेटवर्क मास्क का उपयोग कैसे करें। ध्यान दें कि नेटवर्क मास्क आपके नेटवर्क के लिए सबनेट मास्क नहीं है। नेटवर्क मास्क केवल यह बताता है कि नियम लागू करते समय सिस्को को किन बिट्स को देखना चाहिए।
लागू करें Click क्लिक करें और अब आपके पास एक नया एक्सेस प्रोफ़ाइल और नियम होना चाहिए! प्रोफ़ाइल नियम . पर क्लिक करें बाईं ओर मेनू में और आपको शीर्ष पर सूचीबद्ध नया नियम देखना चाहिए।
अब हमें अपना दूसरा नियम जोड़ने की जरूरत है। ऐसा करने के लिए, जोड़ें . पर क्लिक करें प्रोफ़ाइल नियम तालिका के अंतर्गत दिखाया गया बटन ।
दूसरा नियम वास्तव में सरल है। सबसे पहले, सुनिश्चित करें कि एक्सेस प्रोफ़ाइल नाम वही है जो हमने अभी बनाया है। अब, हम नियम को केवल 2 . की प्राथमिकता देते हैं और अस्वीकार करें choose चुनें कार्रवाई . के लिए . सुनिश्चित करें कि बाकी सब कुछ सभी पर सेट है . इसका मतलब है कि सभी आईपी पते ब्लॉक कर दिए जाएंगे। हालांकि, चूंकि हमारे पहले नियम को पहले संसाधित किया जाएगा, इसलिए उस आईपी पते की अनुमति होगी। एक बार एक नियम का मिलान हो जाने के बाद, अन्य नियमों की उपेक्षा की जाती है। यदि कोई आईपी पता पहले नियम से मेल नहीं खाता है, तो वह इस दूसरे नियम पर आ जाएगा, जहां यह मेल खाएगा और अवरुद्ध हो जाएगा। बढ़िया!
अंत में, हमें नई एक्सेस प्रोफ़ाइल को सक्रिय करना होगा। ऐसा करने के लिए, प्रोफ़ाइल एक्सेस करें . पर वापस जाएं और शीर्ष पर स्थित ड्रॉप डाउन सूची से नई प्रोफ़ाइल का चयन करें (सक्रिय पहुंच प्रोफ़ाइल के बगल में ) लागू करें . क्लिक करना सुनिश्चित करें और आपको जाने के लिए अच्छा होना चाहिए।
याद रखें कि कॉन्फ़िगरेशन वर्तमान में केवल चल रहे कॉन्फ़िगरेशन में सहेजा गया है। सुनिश्चित करें कि आप प्रशासन . पर जाएं – फ़ाइल प्रबंधन - कॉन्फ़िगरेशन कॉपी/सहेजें चल रहे कॉन्फ़िगर को स्टार्टअप कॉन्फ़िगर में कॉपी करने के लिए।
यदि आप एक से अधिक IP पते को स्विच तक पहुंच की अनुमति देना चाहते हैं, तो पहले वाले की तरह ही दूसरा नियम बनाएं, लेकिन इसे उच्च प्राथमिकता दें। आपको यह भी सुनिश्चित करना होगा कि आप अस्वीकार करें . के लिए प्राथमिकता बदलते हैं नियम ताकि सभी परमिट . की तुलना में इसकी उच्च प्राथमिकता हो नियम। यदि आपको कोई समस्या आती है या यह काम नहीं कर पाता है, तो बेझिझक टिप्पणियों में पोस्ट करें और मैं मदद करने की कोशिश करूंगा। आनंद लें!