Pour plus de sécurité, je voulais limiter l'accès à mon commutateur Cisco SG300-10^{(Cisco SG300-10)} à une seule adresse IP dans mon sous-réseau local. Après avoir initialement configuré mon nouveau commutateur^{(initially configuring my new switch)} il y a quelques semaines, je n'étais pas content de savoir que toute personne connectée à mon LAN ou WLAN pouvait accéder à la page de connexion en connaissant simplement l'adresse IP de l'appareil.

J'ai fini par parcourir le manuel de 500 pages pour comprendre comment bloquer toutes les adresses IP, à l'exception de celles que je voulais pour l'accès à la gestion. Après de nombreux tests et plusieurs messages sur les forums Cisco , j'ai compris ! ^(Cisco)Dans cet article, je vais vous guider à travers les étapes de configuration des profils d'accès et des règles de profil pour votre commutateur Cisco .

Remarque : La méthode suivante que je vais décrire vous permet également de restreindre l'accès à n'importe quel nombre de services activés sur votre commutateur. Par exemple, vous pouvez restreindre l'accès à SSH, HTTP, HTTPS, Telnet ou à tous ces services par adresse IP. ^{(Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )}

Créer un profil^{(Create Management Access Profile)} et des règles d'accès de gestion^(Rules)

Pour commencer, connectez-vous à l'interface Web de votre commutateur et développez Sécurité^(Security) , puis développez Mgmt Access Method . Allez-y et cliquez sur Accéder aux profils^{(Access Profiles)} .

La première chose que nous devons faire est de créer un nouveau profil d'accès. Par défaut, vous ne devriez voir que le profil Console uniquement^{(Console Only)} . De plus, vous remarquerez en haut que Aucun^(None) est sélectionné à côté de Profil d'accès actif^{( Active Access Profile)} . Une fois que nous aurons créé notre profil et nos règles, nous devrons sélectionner le nom du profil ici afin de l'activer.

Cliquez maintenant sur le bouton Ajouter^(Add) et cela devrait faire apparaître une boîte de dialogue dans laquelle vous pourrez nommer votre nouveau profil et également ajouter la première règle pour le nouveau profil.

En haut, donnez un nom à votre nouveau profil. Tous les autres champs concernent la première règle qui sera ajoutée au nouveau profil. Pour Rule Priority , vous devez choisir une valeur entre 1 et 65535. La façon dont Cisco fonctionne est que la règle avec la priorité la plus basse est appliquée en premier. Si elle ne correspond pas, la règle suivante avec la priorité la plus basse est appliquée.

Dans mon exemple, j'ai choisi une priorité de 1 car je veux que cette règle soit traitée en premier. Cette règle sera celle qui autorise l'adresse IP que je souhaite donner accès au switch. Sous Management Method , vous pouvez soit choisir un service spécifique, soit tout choisir, ce qui limitera tout. Dans mon cas, j'ai tout choisi car je n'ai de toute façon activé que SSH et HTTPS et je gère les deux services à partir d'un seul ordinateur.

Notez que si vous souhaitez sécuriser uniquement SSH et HTTPS , vous devrez créer deux règles distinctes. L' action ne peut être que Refuser^(Deny) ou Autoriser^(Permit) . Pour mon exemple, j'ai choisi Autoriser^(Permit) car ce sera pour l'adresse IP autorisée. Ensuite^(Next) , vous pouvez appliquer la règle à une interface spécifique sur l'appareil ou vous pouvez simplement la laisser sur All afin qu'elle s'applique à tous les ports.

Sous S'applique à l'adresse IP source^{(Applies to Source IP Address)} , nous devons choisir Défini par l'utilisateur^{( User Defined)} ici, puis choisir la version 4 , sauf si vous travaillez dans un environnement IPv6 , auquel cas vous choisirez la version 6 . Tapez maintenant l'adresse IP qui sera autorisée à accéder et tapez un masque de réseau qui correspond à tous les bits pertinents à examiner.

Par exemple, puisque mon adresse IP est 192.168.1.233, toute l'adresse IP doit être examinée et j'ai donc besoin d'un masque de réseau de 255.255.255.255. Si je voulais que la règle s'applique à tout le monde sur l'ensemble du sous-réseau, j'utiliserais un masque de 255.255.255.0. Cela signifierait que toute personne ayant une adresse 192.168.1.x serait autorisée. Ce n'est pas ce que je veux faire, évidemment, mais j'espère que cela explique comment utiliser le masque de réseau. Notez que le masque de réseau n'est pas le masque de sous-réseau de votre réseau. Le masque de réseau indique simplement quels bits Cisco doit examiner lors de l'application de la règle.

Cliquez sur Appliquer^(Apply) et vous devriez maintenant avoir un nouveau profil d'accès et une nouvelle règle ! Cliquez^(Click) sur Règles de profil^{( Profile Rules)} dans le menu de gauche et vous devriez voir la nouvelle règle répertoriée en haut.

Maintenant, nous devons ajouter notre deuxième règle. Pour ce faire, cliquez sur le bouton Ajouter^(Add) affiché sous le tableau des règles de profil^{(Profile Rule Table)} .

La deuxième règle est très simple. Tout d'abord, assurez-vous que le nom du profil d'accès^{(Access Profile Name)} est le même que celui que nous venons de créer. Maintenant, nous donnons simplement à la règle une priorité de 2 et choisissons Refuser^(Deny) pour l' Action . Assurez-vous que tout le reste est défini sur All . Cela signifie que toutes les adresses IP seront bloquées. Cependant, puisque notre première règle sera traitée en premier, cette adresse IP sera autorisée. Une fois qu'une règle correspond, les autres règles sont ignorées. Si une adresse IP ne correspond pas à la première règle, elle viendra à cette deuxième règle, où elle correspondra et sera bloquée. Joli!

Enfin, nous devons activer le nouveau profil d'accès. Pour ce faire, revenez à Profils d'accès^{( Access Profiles)} et sélectionnez le nouveau profil dans la liste déroulante en haut (à côté de Profil d'accès actif^{(Active Access Profile)} ). Assurez-vous de cliquer sur Appliquer^(Apply) et vous devriez être prêt à partir.

N'oubliez^(Remember) pas que la configuration n'est actuellement enregistrée que dans la configuration en cours. Assurez-vous d'aller dans Administration - Gestion des fichiers^{( File Management)} - Copy/Save Configuration pour copier la configuration en cours dans la configuration de démarrage.

Si vous souhaitez autoriser plusieurs adresses IP à accéder au commutateur, créez simplement une autre règle comme la première, mais donnez-lui une priorité plus élevée. Vous devrez également vous assurer que vous modifiez la priorité de la règle Refuser^(Deny) afin qu'elle ait une priorité plus élevée que toutes les règles Autoriser . ^(Permit)Si vous rencontrez des problèmes ou si vous ne parvenez pas à le faire fonctionner, n'hésitez pas à poster dans les commentaires et j'essaierai de vous aider. Profitez!

Restrict Access to Cisco Switch Based on IP Address

For added security, I wanted to restriсt access to my Cisco SG300-10 switch to only one IP address in my local ѕubnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.

I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.

Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. 

Create Management Access Profile & Rules

To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.

The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.

Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.

At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.

In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.

Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.

Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.

For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.

Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.

Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.

The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!

Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.

Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.

If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!

Related posts

• Comment trouver l'adresse IP de votre imprimante WiFi sur Windows et Mac

• Comment activer l'accès SSH pour les commutateurs Cisco SG300

• Comment définir une IP Address statique Windows 10

• Comment trouver la IP Address de My Router?

• Comment attribuer une adresse IP statique à un PC Windows 11/10

• Comment masquer votre adresse IP sur Android

• Installation des plugins GIMP : un guide pratique

• Cinq choses à faire après avoir branché votre nouveau commutateur Cisco

• HDG explique : Qu'est-ce qu'une adresse IP dédiée et dois-je en obtenir une ?

• 8 des meilleures idées technologiques pour faire face à l'auto-isolement

• Comment connecter une Nintendo Switch à un PC

• Comment trouver une adresse IP de point d'accès sans fil

• Désactiver le contrôle de compte d'utilisateur (UAC) pour une application spécifique

• Comment accéder à iMessage sur Windows 10/11

• Comment déplacer Google Authenticator vers un nouveau téléphone sans perdre l'accès

• Comment télécharger le programme d'installation de Google Chrome hors ligne (autonome)

• Comment réparer l'erreur "L'adresse IP du serveur est introuvable" dans Google Chrome

• Comment accéder aux partitions Linux sous Windows

• Qu'est-ce que 192.168.0.1 et pourquoi est-ce l'adresse IP par défaut de la plupart des routeurs ?

• Comment faire des captures d'écran sur Nintendo Switch