Néhány hónappal ezelőtt megvásároltam egy új Cisco SG300 10 portos Gigabit Ethernet kezelt kapcsolót, és ez volt az egyik legjobb befektetés a kis otthoni hálózatomhoz. A Cisco kapcsolók olyan sok funkcióval és opcióval rendelkeznek, amelyekkel konfigurálhatja a hálózatot. A biztonság szempontjából termékeik kiemelkednek.
Ezzel azt mondta, nagyon érdekes, hogy a Cisco kapcsoló nem biztonságos a dobozból. Ha bekapcsolja, akkor megragad egy IP-címet egy DHCP-kiszolgálóról, vagy IP-címet rendel (általában 192.168.1.254), és a cisco-t használja a felhasználónév és jelszó használatához. Ajjaj!
Mivel a legtöbb hálózat a 192.168.1.x hálózati azonosítót használja, a kapcsoló teljesen hozzáférhető a hálózat bármely személyéhez. Ebben a cikkben öt közvetlen lépést fogok beszélni a kapcsoló csatlakoztatása után. Ez biztosítja, hogy a készülék biztonságos és megfelelően konfigurálva legyen.
Megjegyzés: Ez a cikk az otthoni vagy kis irodai felhasználóknak szól, akik újak a Cisco kapcsolóknak. Ha Cisco mérnök vagy, akkor mindezt nagyon egyszerűnek találja.
1. lépés - Alapértelmezett felhasználónév és jelszó módosítása
Ez nyilvánvalóan az első lépés és a legfontosabb. Miután bejelentkezett a kapcsolóba, bontsa ki az Adminisztrációt, majd kattintson a Felhasználói fiókokra .
Az első dolog, amit szeretne tenni, egy másik felhasználói fiók hozzáadása, hogy azután törölhesse az eredeti cisco felhasználói fiókot. Győződjön meg róla, hogy az új fiók teljes hozzáférést biztosít, amely a Cisco parlance-ban található Read / Write Management Access (15) . Használjon erős jelszót, majd jelentkezzen ki a cisco fiókból, és jelentkezzen be az új fiókjával. Most már képesnek kell lennie eltávolítani az alapértelmezett fiókot.
Valószínűleg jó ötlet, hogy engedélyezze a jelszó-helyreállítási szolgáltatást, csak abban az esetben, ha elfelejtette a beállított jelszót. A jelszó visszaállításához konzolhozzáférés szükséges.
2. lépés - Statikus IP-cím hozzárendelése
Alapértelmezés szerint a kapcsolónak statikus IP-címmel kell rendelkeznie, de ha nem, manuálisan kell beállítania. Szükséges lesz akkor is, ha nem használja a 192.168.1 hálózati azonosítót. Ehhez bontsa ki az Adminisztráció - Kezelőfelület - IPv4 interfész lehetőséget .
Válassza a Static for IP Address Type ( IP-cím típusa) lehetőséget, és adjon meg egy statikus IP-címet. Ez sokkal könnyebbé teszi a kapcsoló kezelését is. Ha ismeri a hálózat alapértelmezett átjáróját, menjen előre, és adja hozzá ezt az adminisztratív alapértelmezett átjáró alatt is.
Érdemes megjegyezni, hogy az IP-cím egy virtuális LAN-interfészhez van hozzárendelve, ami azt jelenti, hogy az IP-címet használva hozzáférhet az eszközhöz, függetlenül attól, hogy melyik port van csatlakoztatva a kapcsolóhoz, amíg ezek a portok a VLAN-on vannak kiválasztva . Alapértelmezés szerint ez VLAN 1, és az összes port alapértelmezés szerint a VLAN 1-ben van.
3. lépés - Frissítse a firmware-t
Mivel az olcsó Netgear útválasztóom ellenőrizheti az internetet egy szoftverfrissítéshez, és automatikusan letöltheti és telepítheti azt, azt gondolná, hogy egy Cisco kapcsoló is megteheti. De tévedsz! Valószínűleg biztonsági okok miatt nem teszik ezt meg, de még mindig bosszantó.
A Cisco kapcsoló új firmware-hez történő frissítéséhez le kell töltenie a Cisco webhelyéről, majd feltöltheti azt a kapcsolóra. Ezenkívül meg kell változtatnia az aktív képet az új firmware verzióra. Nagyon szeretem ezt a funkciót, mivel egy kicsit védelmet nyújt, ha valami rosszul megy.
Az új firmware megkereséséhez csak a Google a kapcsoló modell a firmware szóval a végén. Például az én esetemben csak a Cisco SG300-10 firmware-t dolgoztam be.
Egy másik cikket írok arról, hogyan frissíthetem a Cisco router firmware-jét, mivel van néhány dolog, amiről tudni akarod, mielőtt ezt megtennéd.
4. lépés - Biztonságos hozzáférés konfigurálása
A következő lépés, amit ajánlom, csak biztonságos hozzáférést tesz lehetővé a kapcsolóhoz. Ha egy parancssori pro, akkor tényleg le kell tiltania a webes GUI-t, és csak bekapcsolnia kell az SSH-hozzáférést. Ha azonban szüksége van a grafikus felületre, akkor legalább a HTTPS-t kell használni a HTTP helyett.
Nézze meg az előző hozzászólásomat, hogyan engedélyezheti az SSH hozzáférést a kapcsolóhoz, majd jelentkezzen be egy olyan eszközzel, mint a puTTY. A még nagyobb biztonság érdekében bekapcsolhatja a nyilvános kulcs hitelesítését SSH-val, és egy privát kulcs használatával jelentkezhet be. A kezelőfelülethez való hozzáférést IP-címmel is korlátozhatja, amelyet egy későbbi bejegyzésben írok.
5. lépés - A Config futtatása a Startup Config-re
Az utolsó dolog, amivel megszoktál, amikor bármilyen Cisco-eszközt használsz, a futó konfiguráció másolása az indítási konfigurációra. Alapvetően az összes módosítást csak RAM-ban tárolja, ami azt jelenti, hogy az eszköz újraindításakor az összes beállítás elvész.
A konfiguráció végleges mentéséhez meg kell másolni a futó konfigurációt az indítási konfigurációra, amely utóbbit NVRAM vagy nem illékony RAM-ban tárolja. Ehhez bontsa ki az Adminisztráció, majd a Fájlkezelés elemet, majd kattintson a Konfiguráció másolása / mentése elemre.
Az alapértelmezett beállításoknak helyeseknek kell lenniük, így csak annyit kell tennie, hogy az Alkalmaz gombra kattint. Ismét győződjön meg róla, hogy ezt bármikor megteheti, ha bármilyen változtatást végez a kapcsolón.
Ezek voltak néhány alapvető konfigurációs lépés a kapcsoló kezdeti beállításához és biztosításához. Hamarosan fejlettebb oktatóanyagokat teszek közzé a kapcsoló egyéb szempontjairól. Ha bármilyen kérdése van, ne habozzon megjegyzést tenni. Élvez!