Para mayor seguridad, quería restringir el acceso a mi conmutador Cisco SG300-10 a una sola dirección IP en mi subred local. Después de configurar inicialmente mi nuevo conmutador^{(initially configuring my new switch)} hace unas semanas, no estaba feliz de saber que cualquier persona conectada a mi LAN o WLAN podría acceder a la página de inicio de sesión con solo conocer la dirección IP del dispositivo.

Terminé revisando el manual de 500 páginas para descubrir cómo bloquear todas las direcciones IP, excepto las que quería para el acceso de administración. Después de muchas pruebas y varias publicaciones en los foros de Cisco , ¡lo descubrí! En este artículo, lo guiaré a través de los pasos para configurar perfiles de acceso y reglas de perfiles para su conmutador Cisco .

Nota: El siguiente método que voy a describir también le permite restringir el acceso a cualquier cantidad de servicios habilitados en su conmutador. Por ejemplo, puede restringir el acceso a SSH, HTTP, HTTPS, Telnet o todos estos servicios por dirección IP. ^{(Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )}

Crear perfil^{(Create Management Access Profile)} y reglas de acceso a la administración^(Rules)

Para comenzar, inicie sesión en la interfaz web de su conmutador y expanda Seguridad^(Security) y luego expanda Método de acceso de gestión^{(Mgmt Access Method)} . Adelante, haz clic en Acceder a Perfiles^{(Access Profiles)} .

Lo primero que debemos hacer es crear un nuevo perfil de acceso. De forma predeterminada, solo debería ver el perfil Solo consola . ^{(Console Only)}Además, notará en la parte superior que Ninguno^(None) está seleccionado junto a Perfil de acceso activo^{( Active Access Profile)} . Una vez creado nuestro perfil y reglas, tendremos que seleccionar aquí el nombre del perfil para poder activarlo.

Ahora haga clic en el botón Agregar^(Add) y esto debería abrir un cuadro de diálogo donde podrá nombrar su nuevo perfil y también agregar la primera regla para el nuevo perfil.

En la parte superior, dale un nombre a tu nuevo perfil. Todos los demás campos se relacionan con la primera regla que se agregará al nuevo perfil. Para Rule Priority , debe elegir un valor entre 1 y 65535. La forma en que Cisco funciona es que la regla con la prioridad más baja se aplica primero. Si no coincide, se aplica la siguiente regla con la prioridad más baja.

En mi ejemplo, elegí una prioridad de 1 porque quiero que esta regla se procese primero. Esta regla será la que permita a la dirección IP que quiero dar acceso al switch. En Método de gestión^{(Management Method)} , puede elegir un servicio específico o elegir todos, lo que restringirá todo. En mi caso, elegí todos porque de todos modos solo tengo habilitados SSH y HTTPS y administro ambos servicios desde una computadora.

Tenga en cuenta que si desea proteger solo SSH y HTTPS , deberá crear dos reglas separadas. La Acción^(Action) solo puede ser Denegar^(Deny) o Permitir^(Permit) . Para mi ejemplo, elegí Permitir^(Permit) ya que será para la IP permitida. A continuación^(Next) , puede aplicar la regla a una interfaz específica en el dispositivo o puede dejarla en Todos^(All) para que se aplique a todos los puertos.

En Se aplica a la dirección IP de origen^{(Applies to Source IP Address)} , tenemos que elegir Definido por el usuario^{( User Defined)} aquí y luego elegir la Versión 4^{(Version 4)} , a menos que esté trabajando en un entorno IPv6 , en cuyo caso elegiría la Versión 6^{(Version 6)} . Ahora escriba la dirección IP a la que se permitirá el acceso y escriba una máscara de red que coincida con todos los bits relevantes que se van a mirar.

Por ejemplo, dado que mi dirección IP es 192.168.1.233, se debe examinar toda la dirección IP y, por lo tanto, necesito una máscara de red de 255.255.255.255. Si quisiera que la regla se aplicara a todos en la subred completa, usaría una máscara de 255.255.255.0. Eso significaría que cualquier persona con una dirección 192.168.1.x estaría permitida. Eso no es lo que quiero hacer, obviamente, pero espero que eso explique cómo usar la máscara de red. Tenga en cuenta que la máscara de red no es la máscara de subred de su red. La máscara de red simplemente dice qué bits debe observar Cisco al aplicar la regla.

Haga clic en Aplicar^(Apply) y ahora debería tener un nuevo perfil y regla de acceso. Haga clic^(Click) en Reglas de perfil^{( Profile Rules)} en el menú de la izquierda y debería ver la nueva regla en la parte superior.

Ahora necesitamos agregar nuestra segunda regla. Para hacer esto, haga clic en el botón Agregar^(Add) que se muestra debajo de la Tabla de reglas de perfil^{(Profile Rule Table)} .

La segunda regla es realmente simple. En primer lugar, asegúrese de que el nombre del perfil de acceso^{(Access Profile Name)} sea el mismo que acabamos de crear. Ahora, le damos a la regla una prioridad de 2 y elegimos Denegar^(Deny) para la Acción^(Action) . Asegúrese de que todo lo demás esté configurado en Todo^(All) . Esto significa que todas las direcciones IP serán bloqueadas. Sin embargo, dado que nuestra primera regla se procesará primero, se permitirá esa dirección IP. Una vez que una regla coincide, las demás reglas se ignoran. Si una dirección IP no coincide con la primera regla, llegará a esta segunda regla, donde coincidirá y se bloqueará. ¡Lindo!

Por último, tenemos que activar el nuevo perfil de acceso. Para hacer eso, regrese a Perfiles de acceso^{( Access Profiles)} y seleccione el nuevo perfil de la lista desplegable en la parte superior (junto a Perfil de acceso activo^{(Active Access Profile)} ). Asegúrese de hacer clic en Aplicar^(Apply) y debería estar listo para comenzar.

Recuerde^(Remember) que la configuración actualmente solo se guarda en la configuración en ejecución. Asegúrese de ir a Administración^{(Administration)} - Administración de archivos^{( File Management)} - Copy/Save Configuration para copiar la configuración en ejecución a la configuración de inicio.

Si desea permitir que más de una dirección IP acceda al conmutador, simplemente cree otra regla como la primera, pero asígnele una prioridad más alta. También deberá asegurarse de cambiar la prioridad de la regla Denegar^(Deny) para que tenga una prioridad más alta que todas las reglas Permitir . ^(Permit)Si tiene algún problema o no puede hacer que esto funcione, no dude en publicarlo en los comentarios e intentaré ayudarlo. ¡Disfrutar!

Restrict Access to Cisco Switch Based on IP Address

For added securitу, I wanted to restriсt access to mу Cisco SG300-10 switch to only one IP address in my local subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.

I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.

Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. 

Create Management Access Profile & Rules

To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.

The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.

Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.

At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.

In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.

Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.

Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.

For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.

Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.

Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.

The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!

Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.

Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.

If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!

Related posts

• Cómo encontrar la dirección IP de su impresora WiFi en Windows y Mac

• Cómo habilitar el acceso SSH para los switches Cisco SG300

• Cómo establecer un STRICT IP Address en Windows 10

• ¿Cómo encontrar IP Address de My Router?

• Cómo asignar una dirección IP estática a una PC con Windows 11/10

• Cómo construir tu propia computadora portátil

• Impedir el acceso al símbolo del sistema en Windows

• Abra el Bloc de notas como administrador para evitar "Acceso denegado"

• ¿Qué es 192.168.0.1 y por qué es la dirección IP predeterminada para la mayoría de los enrutadores?

• Cómo encontrar su dirección IP pública

• Cómo solucionar el error "Error al obtener la dirección IP" en Android

• Cómo rastrear la ubicación original de un correo electrónico a través de su dirección IP

• 8 de las mejores ideas tecnológicas para hacer frente al autoaislamiento

• Cómo liberar y renovar una dirección IP

• Habilite la autenticación de clave pública para SSH en los switches Cisco SG300

• Cómo abrir un archivo bloqueado cuando otro programa lo está usando

• Las 5 mejores aplicaciones para ocultar direcciones IP para Android 2022

• Cómo descargar el instalador de Google Chrome sin conexión (independiente)

• Cómo configurar la dirección de su casa en Google Maps

• Cómo tomar capturas de pantalla en Nintendo Switch