Tôi đã mua một bộ chuyển mạch được quản lý Cisco SG300 10 cổng Gigabit Ethernet mới vài tháng trước và đó là một trong những khoản đầu tư tốt nhất cho mạng gia đình nhỏ của tôi. Thiết bị chuyển mạch của Cisco có rất nhiều tính năng và tùy chọn mà bạn có thể định cấu hình để kiểm soát chi tiết mạng của mình. Về mặt bảo mật, sản phẩm của họ nổi bật.
Với điều đó đã nói, thật thú vị khi một thiết bị chuyển mạch Cisco không an toàn mới xuất xưởng. Khi bạn cắm nó vào, nó sẽ lấy địa chỉ IP từ máy chủ DHCP hoặc tự gán địa chỉ IP (thường là 192.168.1.254) và sử dụng cisco cho tên người dùng và mật khẩu. Rất tiếc!
Vì hầu hết các mạng đều sử dụng ID mạng 192.168.1.x, nên bất kỳ ai trong mạng cũng có thể truy cập công tắc của bạn. Trong bài viết này, tôi sẽ nói về năm bước ngay lập tức bạn nên thực hiện sau khi cắm công tắc của mình. Điều này sẽ đảm bảo thiết bị của bạn được bảo mật và được định cấu hình đúng cách.
Lưu ý: Bài viết này hướng tới người dùng gia đình hoặc văn phòng nhỏ, những người mới sử dụng thiết bị chuyển mạch của Cisco. Nếu bạn là kỹ sư của Cisco, bạn sẽ thấy tất cả những điều này rất đơn giản.
Nội dung bài viết
Bước 1 – Thay đổi tên người dùng và mật khẩu mặc định
Đây rõ ràng là bước đầu tiên và quan trọng nhất. Sau khi bạn đăng nhập vào công tắc, hãy mở rộng Hành chính và sau đó nhấp vào Tài khoản người dùng.
Điều đầu tiên bạn sẽ muốn làm là thêm một tài khoản người dùng khác để sau đó bạn có thể xóa tài khoản người dùng cisco ban đầu. Đảm bảo rằng bạn cấp cho tài khoản mới đầy đủ quyền truy cập, đó là Quyền truy cập quản lý đọc / ghi (15) theo cách nói của Cisco. Sử dụng một mật khẩu mạnh và sau đó đăng xuất khỏi cisco tài khoản và đăng nhập bằng tài khoản mới của bạn. Bây giờ bạn có thể xóa tài khoản mặc định.
Nó cũng có thể là một ý tưởng hay để kích hoạt Dịch vụ khôi phục mật khẩu, đề phòng trường hợp bạn quên mật khẩu đã đặt. Bạn sẽ cần quyền truy cập bảng điều khiển vào thiết bị để đặt lại mật khẩu.
Bước 2 – Chỉ định địa chỉ IP tĩnh
Theo mặc định, công tắc phải có địa chỉ IP tĩnh, nhưng nếu không, bạn nên đặt thủ công. Nó cũng sẽ cần thiết nếu bạn không sử dụng ID mạng 192.168.1. Để làm điều này, hãy mở rộng Hành chính – Giao diện quản lý – Giao diện IPv4.
Chọn Tĩnh cho Loại địa chỉ IP và nhập địa chỉ IP tĩnh. Điều này cũng sẽ giúp bạn quản lý công tắc của mình dễ dàng hơn nhiều. Nếu bạn biết cổng mặc định cho mạng của mình, hãy tiếp tục và thêm cổng đó vào trong Cổng mặc định quản trị.
Cũng cần lưu ý rằng địa chỉ IP được gán cho giao diện mạng LAN ảo, có nghĩa là bạn có thể truy cập thiết bị bằng địa chỉ IP bất kể cổng nào được kết nối trên công tắc miễn là các cổng đó được gán cho Quản lý VLAN được chọn ở trên cùng. Theo mặc định, đây là VLAN 1 và tất cả các cổng theo mặc định trong VLAN 1.
Bước 3 – Cập nhật chương trình cơ sở
Vì bộ định tuyến Netgear giá rẻ của tôi có thể kiểm tra Internet để tìm bản cập nhật phần mềm và tự động tải xuống và cài đặt nó, bạn sẽ nghĩ rằng một bộ chuyển mạch Cisco ưa thích cũng có thể làm được như vậy. Nhưng bạn đã nhầm! Có thể vì lý do bảo mật mà họ không làm điều này, nhưng nó vẫn gây khó chịu.
Để cập nhật một thiết bị chuyển mạch Cisco với chương trình cơ sở mới, bạn phải tải xuống từ trang web của Cisco và sau đó tải nó lên thiết bị chuyển mạch. Ngoài ra, sau đó bạn phải thay đổi hình ảnh hoạt động sang phiên bản phần sụn mới. Tôi thực sự thích tính năng này vì nó cung cấp một chút bảo vệ trong trường hợp xảy ra sự cố.
Để tìm chương trình cơ sở mới, chỉ cần Google mô hình công tắc của bạn với chương trình cơ sở từ ở cuối. Ví dụ: trong trường hợp của tôi, tôi chỉ tìm kiếm trên Google chương trình cơ sở Cisco SG300-10.
Tôi sẽ viết một bài viết khác về cách nâng cấp phần sụn cho bộ định tuyến Cisco vì có một số điều bạn muốn biết trước khi thực hiện.
Bước 4 – Định cấu hình quyền truy cập an toàn
Bước tiếp theo tôi khuyên bạn nên chỉ bật quyền truy cập an toàn vào công tắc của bạn. Nếu bạn là một chuyên gia dòng lệnh, bạn thực sự nên tắt hoàn toàn GUI web và chỉ bật quyền truy cập SSH. Tuy nhiên, nếu bạn cần giao diện GUI, ít nhất bạn nên đặt nó để sử dụng HTTPS chứ không phải HTTP.
Hãy xem bài đăng trước của tôi về cách bật quyền truy cập SSH cho công tắc của bạn và sau đó đăng nhập bằng một công cụ như puTTY. Để bảo mật hơn nữa, bạn có thể bật xác thực khóa công khai bằng SSH và đăng nhập bằng khóa riêng tư. Bạn cũng có thể hạn chế quyền truy cập vào giao diện quản lý theo địa chỉ IP mà tôi sẽ viết trong một bài sau.
Bước 5 – Sao chép cấu hình đang chạy sang cấu hình khởi động
Điều cuối cùng bạn muốn làm quen khi sử dụng bất kỳ thiết bị Cisco nào là sao chép cấu hình đang chạy vào cấu hình khởi động. Về cơ bản, tất cả các thay đổi bạn thực hiện chỉ được lưu trữ trong RAM, có nghĩa là khi bạn khởi động lại thiết bị, tất cả các cài đặt sẽ bị mất.
Để lưu vĩnh viễn cấu hình, bạn phải sao chép cấu hình đang chạy sang cấu hình khởi động, cấu hình sau được lưu trữ trong NVRAM hoặc RAM không bay hơi. Để làm điều này, hãy mở rộng Hành chính, sau đó Quản lý tệp và sau đó nhấp vào Sao chép / Lưu cấu hình.
Cài đặt mặc định phải chính xác, vì vậy tất cả những gì bạn phải làm là nhấp vào Ứng dụng. Một lần nữa, hãy đảm bảo rằng bạn làm điều này bất cứ lúc nào bạn thực hiện bất kỳ loại thay đổi nào đối với công tắc của mình.
Đó là một số bước cấu hình thực sự cơ bản để thiết lập và bảo mật công tắc của bạn ban đầu. Tôi sẽ sớm đăng các hướng dẫn nâng cao hơn về các khía cạnh khác của công tắc. Nếu bạn có bất kỳ câu hỏi nào, hãy bình luận. Thưởng thức!
