Batasi Akses ke Cisco Switch Berdasarkan Alamat IP

Untuk keamanan tambahan, saya ingin membatasi akses ke sakelar Cisco SG300-10(Cisco SG300-10) saya hanya ke satu alamat IP di subnet lokal saya. Setelah awalnya mengonfigurasi sakelar baru saya(initially configuring my new switch) beberapa minggu yang lalu, saya tidak senang mengetahui bahwa siapa pun yang terhubung ke LAN atau WLAN saya dapat membuka halaman login hanya dengan mengetahui alamat IP perangkat.

Saya akhirnya memilah-milah manual 500 halaman untuk mencari tahu bagaimana cara memblokir semua alamat IP kecuali yang saya inginkan untuk akses manajemen. Setelah banyak pengujian dan beberapa posting ke forum Cisco , saya menemukan jawabannya! Pada artikel ini, saya akan memandu Anda melalui langkah-langkah untuk mengonfigurasi profil akses dan aturan profil untuk sakelar Cisco Anda.(Cisco)

Catatan: Metode berikut yang akan saya jelaskan juga memungkinkan Anda membatasi akses ke sejumlah layanan yang diaktifkan di sakelar Anda. Misalnya, Anda dapat membatasi akses ke SSH, HTTP, HTTPS, Telnet, atau semua layanan ini berdasarkan alamat IP. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

(Create Management Access Profile)Buat Profil & Aturan (Rules)Akses Manajemen

Untuk memulai, masuk ke antarmuka web untuk sakelar Anda dan perluas Keamanan(Security) lalu perluas Metode Akses Mgmt(Mgmt Access Method) . Silakan dan klik Access Profiles .

Hal pertama yang perlu kita lakukan adalah membuat profil akses baru. Secara default, Anda hanya akan melihat profil Konsol Saja . (Console Only)Selain itu, Anda akan melihat di bagian atas bahwa None dipilih di sebelah Active Access Profile . Setelah kami membuat profil dan aturan kami, kami harus memilih nama profil di sini untuk mengaktifkannya.

Sekarang klik tombol Tambah(Add) dan ini akan memunculkan kotak dialog di mana Anda akan dapat memberi nama profil baru Anda dan juga menambahkan aturan pertama untuk profil baru.

Di bagian atas, beri nama profil baru Anda. Semua bidang lain terkait dengan aturan pertama yang akan ditambahkan ke profil baru. Untuk Prioritas Aturan( Rule Priority) , Anda harus memilih nilai antara 1 dan 65535. Cara kerja Cisco adalah aturan dengan prioritas terendah diterapkan terlebih dahulu. Jika tidak cocok, maka aturan berikutnya dengan prioritas terendah diterapkan.

Dalam contoh saya, saya memilih prioritas 1 karena saya ingin aturan ini diproses terlebih dahulu. Aturan ini akan menjadi aturan yang memungkinkan alamat IP yang ingin saya berikan akses ke sakelar. Di bawah Metode Manajemen(Management Method) , Anda dapat memilih layanan tertentu atau memilih semua, yang akan membatasi semuanya. Dalam kasus saya, saya memilih semua karena saya hanya mengaktifkan SSH dan HTTPS dan saya mengelola kedua layanan dari satu komputer.

Perhatikan bahwa jika Anda hanya ingin mengamankan SSH dan HTTPS , Anda harus membuat dua aturan terpisah. Action hanya bisa Deny atau Permit . Sebagai contoh saya, saya memilih Izin(Permit) karena ini untuk IP yang diizinkan. Selanjutnya(Next) , Anda dapat menerapkan aturan ke antarmuka tertentu pada perangkat atau Anda dapat membiarkannya di Semua(All) sehingga berlaku untuk semua port.

Di bawah Berlaku untuk Alamat IP Sumber(Applies to Source IP Address) , kita harus memilih Ditentukan Pengguna( User Defined) di sini dan kemudian memilih Versi 4(Version 4) , kecuali jika Anda bekerja di lingkungan IPv6 dalam hal ini Anda akan memilih Versi 6(Version 6) . Sekarang ketik alamat IP yang akan diizinkan akses dan ketik network mask yang cocok dengan semua bit yang relevan untuk dilihat.

Misalnya, karena alamat IP saya adalah 192.168.1.233, seluruh alamat IP perlu diperiksa dan karenanya saya memerlukan network mask 255.255.255.255. Jika saya ingin aturan berlaku untuk semua orang di seluruh subnet, maka saya akan menggunakan topeng 255.255.255.0. Itu berarti siapa pun dengan alamat 192.168.1.x akan diizinkan. Bukan itu yang ingin saya lakukan, tentu saja, tetapi mudah-mudahan itu menjelaskan cara menggunakan topeng jaringan. Perhatikan bahwa network mask bukanlah subnet mask untuk jaringan Anda. Masker jaringan hanya mengatakan bit mana yang harus dilihat Cisco saat menerapkan aturan.

Klik Terapkan(Apply) dan Anda sekarang harus memiliki profil dan aturan akses baru! Klik (Click)Aturan Profil( Profile Rules) di menu sebelah kiri dan Anda akan melihat aturan baru tercantum di bagian atas.

Sekarang kita perlu menambahkan aturan kedua kita. Untuk melakukan ini, klik tombol Tambah(Add) yang ditunjukkan di bawah Tabel Aturan Profil(Profile Rule Table) .

Aturan kedua sangat sederhana. Pertama, pastikan Nama Profil Akses(Access Profile Name) sama dengan yang baru saja kita buat. Sekarang, kita hanya memberikan aturan prioritas 2 dan memilih Deny untuk Action . Pastikan semuanya diatur ke Semua(All) . Ini berarti bahwa semua alamat IP akan diblokir. Namun, karena aturan pertama kami akan diproses terlebih dahulu, alamat IP itu akan diizinkan. Setelah aturan cocok, aturan lain diabaikan. Jika alamat IP tidak cocok dengan aturan pertama, itu akan datang ke aturan kedua ini, di mana itu akan cocok dan diblokir. Bagus!

Terakhir, kita harus mengaktifkan profil akses baru. Untuk melakukannya, kembali ke Access Profiles dan pilih profil baru dari daftar drop-down di bagian atas (di sebelah Active Access Profile ). Pastikan untuk mengklik Terapkan(Apply) dan Anda harus siap.

Ingatlah(Remember) bahwa konfigurasi saat ini hanya disimpan di konfigurasi yang sedang berjalan. Pastikan Anda pergi ke Administrasi(Administration)Manajemen File( File Management)Copy/Save Configuration untuk menyalin konfigurasi yang sedang berjalan ke konfigurasi startup.

Jika Anda ingin mengizinkan lebih dari satu alamat IP mengakses sakelar, buat saja aturan lain seperti yang pertama, tetapi berikan prioritas yang lebih tinggi. Anda juga harus memastikan bahwa Anda mengubah prioritas untuk aturan Tolak(Deny) sehingga memiliki prioritas yang lebih tinggi daripada semua aturan Izin(Permit) . Jika Anda mengalami masalah atau tidak dapat menjalankan ini, jangan ragu untuk memposting di komentar dan saya akan mencoba membantu. Menikmati!



Bakda Sitorus

About the author

audiophile engineer dan spesialis produk audio dengan pengalaman lebih dari 10 tahun. Saya mengkhususkan diri dalam menciptakan speaker musik dan headphone berkualitas dari awal hingga akhir. Saya ahli dalam memecahkan masalah audio serta merancang pengeras suara dan sistem headphone baru. Pengalaman saya lebih dari sekadar membuat produk yang bagus; Saya juga memiliki hasrat untuk membantu orang lain menjadi diri mereka yang terbaik, baik itu melalui pendidikan atau pengabdian masyarakat.


Related posts