Konfigurieren des DAC-Managements (Device Authorization Control) über eine Smart Network Application (SNA)

Download-Optionen

  • PDF     (630.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (618.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (539.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. Dezember 2018
Dokument-ID:SMB5365

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Konfigurieren des DAC-Managements (Device Authorization Control) über eine Smart Network Application (SNA)

Ziel

Das SNA-System (Smart Network Application) bietet einen Überblick über die Netzwerktopologie mit detaillierten Überwachungsinformationen für Geräte und Datenverkehr. SNA ermöglicht das globale Anzeigen und Ändern von Konfigurationen auf allen unterstützten Geräten im Netzwerk.

SNA verfügt über eine Funktion, die als Device Authorization Control (DAC) bezeichnet wird und mit der Sie eine Liste der autorisierten Client-Geräte im Netzwerk konfigurieren können. DAC aktiviert 802.1X-Funktionen auf SNA-Geräten im Netzwerk. Auf einem der SNA-Geräte kann ein integrierter Remote Authentication Dial-In User Service (RADIUS) oder RADIUS Host Server konfiguriert werden. DAC wird mittels MAC-Authentifizierung (Media Access Control) durchgeführt.

Dieser Artikel enthält Anweisungen zur Konfiguration der DAC-Verwaltung über SNA.

Anwendbare Geräte

  • Serie Sx350
  • SG350X-Serie
  • Serie Sx550X

Hinweis: Geräte der Serie Sx250 können SNA-Informationen bereitstellen, wenn sie mit dem Netzwerk verbunden sind. SNA kann jedoch nicht von diesen Geräten aus gestartet werden.

Softwareversion

  • 2,2 5,68

DAC-Workflow

Sie können die DAC-Verwaltung wie folgt konfigurieren:

DAC aktivieren

Um auf das DAC zuzugreifen und es zu aktivieren, gehen Sie wie folgt vor:

Schritt 1: Klicken Sie auf das Menü Optionen in der linken oberen Ecke der SNA-Seite, um die verfügbaren Optionen anzuzeigen.

Schritt 2: Wählen Sie DAC-Modus bearbeiten aus.

Der DAC-Bearbeitungsmodus ist jetzt aktiviert. Sie sollten den blauen Rahmen unter der Topologieübersicht und das Bedienfeld am unteren Bildschirmrand sehen.

Schritt 3: (Optional) Um den DAC-Bearbeitungsmodus zu beenden, klicken Sie auf die Schaltfläche Beenden.

Konfigurieren von RADIUS-Servern und -Clients

Schritt 1: Wählen Sie in der Topologieansicht eines der SNA-Geräte aus, und klicken Sie auf das entsprechende Menü Optionen.

Schritt 2: Klicken Sie auf + Als DAC-Server festlegen.

Schritt 3: Wenn das Gerät mehr als eine IP-Adresse hat, wählen Sie eine dieser Adressen als die von DAC zu verwendende Adresse aus. In diesem Beispiel wird 192.168.1.127 | Statisch ausgewählt.

Hinweis: Die Liste der Adressen gibt an, ob die IP-Schnittstelle statisch oder dynamisch ist. Sie werden gewarnt, dass die Auswahl einer dynamischen IP-Adresse zu einer instabilen Verbindung führen kann.

Schritt 4: Klicken Sie auf Fertig.

Hinweis: Beim Bearbeiten eines vorhandenen DAC-Servers wird die aktuell von den Clients verwendete Adresse vorausgewählt.

Der DAC RADIUS-Server wird in der Topologieansicht durchgehend hervorgehoben.

Schritt 5: Wählen Sie eines der SNA-Geräte aus, und klicken Sie auf das Menü Optionen.

Hinweis: Wenn keine Clients ausgewählt sind, können Sie die Einstellungen nicht übernehmen.

Wenn ein Switch bereits ein Client des DAC RADIUS-Servers ist, befindet sich seine IP-Adresse in der NAS-Tabelle des RADIUS-Servers, und der RADIUS-Server ist in seiner RADIUS-Servertabelle mit dem Auslastungstyp 802.1X oder mit der Priorität 0 konfiguriert. Dieser Switch ist vorausgewählt.

Wenn ein Client ausgewählt ist, für den bereits ein RADIUS-Server für 802.1X konfiguriert ist, der nicht der zuvor ausgewählte Server ist, werden Sie darüber informiert, dass der Vorgang den vorhandenen RADIUS-Serverbetrieb unterbricht.

Wenn ein Client ausgewählt wird, auf dem ein RADIUS-Server für 802.1X mit der Priorität 0 konfiguriert ist, der nicht der zuvor ausgewählte Server ist, wird eine Fehlermeldung angezeigt, und auf diesem Client wird kein DAC konfiguriert.

Schritt 6: Klicken Sie auf + Als Client festlegen.

Schritt 7: Aktivieren Sie das Kontrollkästchen oder Kontrollkästchen des Ports oder der Ports des Client-Switches, um 802.1X-Authentifizierungen anzuwenden.

Hinweis: In diesem Beispiel werden GE1/1-, GE1/2-, GE1/3- und GE1/4-Ports überprüft.

Hinweis: Die SNA empfiehlt eine Liste aller Edge-Ports oder aller Ports, die nicht mit anderen Switches oder Clouds verbunden sind.

Schritt 8: (Optional) Klicken Sie auf die Schaltfläche Select Recommended (Empfohlen auswählen), um alle empfohlenen Ports zu überprüfen.

Schritt 9: Klicken Sie auf Fertig. Der DAC RADIUS-Client wird in der Topologieansicht in gestricheltem Blau hervorgehoben.

Schritt 10: Klicken Sie auf Übernehmen, um die Änderungen zu speichern.

Schritt 11: Geben Sie einen Keystring ein, der vom DAC RADIUS-Server mit allen Clients im Netzwerk verwendet wird.

Hinweis: In diesem Beispiel wird Cisco1234 verwendet.

Schritt 12: (Optional) Schalten Sie die Schaltfläche auf Automatisch generiert um, um einen automatisch generierten Keystring zu verwenden.

Schritt 13: Klicken Sie in der rechten oberen Ecke der Seite auf Weiter.

Schritt 14: Überprüfen Sie die Änderungen, und klicken Sie dann auf ÄNDERUNGEN ANWENDEN.

Schritt 15: (Optional) Deaktivieren Sie das Kontrollkästchen In Startkonfiguration speichern, wenn Sie die Einstellungen in der Konfigurationsdatei nicht speichern möchten.

Schritt 16: (Optional) Wenn Sie ein schreibgeschütztes Konto verwenden, werden Sie möglicherweise aufgefordert, Ihre Anmeldeinformationen einzugeben, um fortzufahren. Geben Sie das Kennwort in das Feld Kennwort ein, und klicken Sie dann auf SENDEN.

Schritt 17: Die Spalte Status sollte grüne Kontrollkästchen enthalten, die die erfolgreiche Anwendung der Änderungen bestätigen. Klicken Sie auf Fertig.

Nach der Konfiguration des DAC wird immer dann eine Warnmeldung angezeigt, wenn ein neues, nicht in der Sperrliste enthaltenes Gerät über einen RADIUS-Server mit DAC-Unterstützung im Netzwerk abgelehnt wird. Sie werden gefragt, ob Sie dieses Gerät der Zulassungsliste der autorisierten Geräte hinzufügen oder es in eine Sperrliste senden möchten, damit Sie nicht erneut benachrichtigt werden.

Wenn der Benutzer über das neue Gerät informiert wird, stellt SNA die MAC-Adresse des Geräts und den Port bereit, auf den das Gerät versucht hat, auf das Netzwerk zuzugreifen.

Wenn ein Ablehnungsereignis von einem Gerät empfangen wird, das kein DAC RADIUS-Server ist, wird die Meldung ignoriert, und alle weiteren Meldungen dieses Geräts für die nächsten 20 Minuten werden ignoriert. Nach 20 Minuten überprüft SNA erneut, ob es sich bei dem Gerät um einen DAC RADIUS-Server handelt. Wenn ein Benutzer der Zulassungsliste hinzugefügt wird, wird das Gerät der DAC-Gruppe aller DAC-Server hinzugefügt. Wenn diese Konfiguration gespeichert wird, können Sie festlegen, ob diese Einstellung sofort in der Startkonfiguration des Servers gespeichert werden soll. Diese Option ist standardmäßig ausgewählt.

Bis ein Gerät der Zulassungsliste hinzugefügt wird, ist der Zugriff auf das Netzwerk nicht zulässig. Sie können die Zulassen- und Blocklisten jederzeit anzeigen und ändern, solange ein RADIUS-Server des DAC definiert und erreichbar ist. Zum Konfigurieren der DAC-Listenverwaltung fahren Sie mit DAC List Management fort.

Beim Anwenden der DAC-Einstellungen wird Ihnen ein Bericht mit Aktionen angezeigt, die auf die teilnehmenden Geräte angewendet werden. Nachdem Sie die Änderungen genehmigt haben, können Sie entscheiden, ob die Einstellungen zusätzlich in die Startkonfigurationsdatei der konfigurierten Geräte kopiert werden sollen. Wenden Sie schließlich die Konfigurationen an.

Der Bericht zeigt Warnungen, wenn einige Schritte des DAC-Konfigurationsprozesses verpasst wurden, sowie den Status der Aktionen, die von den Geräten verarbeitet wurden.

Feld Wert Kommentare

Gerät

Die Geräte-IDs (Hostname oder IP-Adresse)

  

Aktion

Mögliche Aktionen für den DAC-Server:

  • RADIUS-Server aktivieren
  • RADIUS-Server deaktivieren
  • Clientliste aktualisieren
  • RADIUS-Servergruppe erstellen
  • RADIUS-Servergruppe löschen

Mögliche Aktionen für den DAC-Client:

  • RADIUS-Serververbindung hinzufügen
  • RADIUS-Serververbindung aktualisieren
  • Entfernen der RADIUS-Serververbindung
  • 802.1x-Einstellungen aktualisieren
  • Einstellungen für die Schnittstellenauthentifizierung aktualisieren
  • Aktualisieren der Host- und Sitzungseinstellungen der Schnittstelle

Es ist möglich (und wahrscheinlich), dass für jedes Gerät mehrere Aktionen angezeigt werden.

Jede Aktion kann ihren eigenen Status haben.

Warnungen    

Zu den möglichen Warnungen für den DAC-Server gehören:

  • Die ausgewählte IP-Schnittstelle ist dynamisch.

Zu den möglichen Warnungen für DAC-Clients gehören:

  • Das Gerät ist bereits ein Client eines anderen RADIUS-Servers.
  • Es sind keine Ports ausgewählt.

Warnungen enthalten auch Links zu den Abschnitten des DAC, in denen sie behandelt werden können.

Änderungen können angewendet werden, wenn Warnungen vorhanden sind.

Status
  • Ausstehend
  • Erfolg
  • Fehler

Wenn der Status ein Fehler ist, wird die Fehlermeldung für die Aktion angezeigt.

DAC-Listenverwaltung

Wenn Sie Clientgeräte hinzugefügt und ausgewählt haben, welche Ports authentifiziert werden sollen, werden alle auf diesen Ports erkannten nicht authentifizierten Geräte der Liste der nicht authentifizierten Geräte hinzugefügt.

DAC unterstützt die folgenden Gerätelisten:

  • Zulassungsliste - Enthält die Liste aller Clients, die authentifiziert werden können.
  • Sperrliste - Enthält die Liste der Clients, die nie authentifiziert werden dürfen.

Wenn Geräte und ihre Ports authentifiziert werden sollen, müssen sie den Zulassungslisten hinzugefügt werden. Wenn sie nicht authentifiziert werden sollen, ist keine Aktion erforderlich, da sie standardmäßig der Blockliste hinzugefügt werden.

Weitere Informationen finden Sie im Glossar.

Hinzufügen von Geräten zur Liste Zulassen oder Sperrliste

So fügen Sie Geräte zur Zulassungsliste oder Sperrliste hinzu:

Schritt 1: Klicken Sie auf das Menü Optionen in der linken oberen Ecke der SNA-Seite, um die verfügbaren Optionen anzuzeigen.

Schritt 2: Wählen Sie DAC List Management aus.

Schritt 3: Klicken Sie auf die Registerkarte UNAUTHENTIFIZIERTE GERÄTE. Auf dieser Seite wird die Liste aller nicht authentifizierten Geräte angezeigt.

Hinweis: Sie können auch auf das Symbol DAC List Management System (DAC-Listenverwaltungssystem) in der rechten oberen Ecke der SNA-Seite klicken.

Schritt 4: (Optional) Aktivieren Sie das Kontrollkästchen neben der MAC-Adresse des Geräts (der Geräte), das (die) Sie der Zulassungsliste hinzufügen möchten, und klicken Sie auf Zu Zulassungsliste hinzufügen.

Schritt 5: (Optional) Aktivieren Sie das Kontrollkästchen neben der MAC-Adresse des Geräts oder der Geräte, das bzw. die Sie der Sperrliste hinzufügen möchten, und klicken Sie auf Zu Sperrliste hinzufügen.

Schritt 6: (Optional) Aktivieren Sie das Kontrollkästchen neben der MAC-Adresse des Geräts bzw. der Geräte, das bzw. die Sie entfernen möchten, und klicken Sie auf "Ablehnen".

Hinweis: Alle Pakete, die auf den Ports des Geräts eingehen, werden auf dem RADIUS-Server authentifiziert.

Sie sollten jetzt ein Gerät zur Zulassungsliste oder Sperrliste hinzugefügt haben.

Verwalten von Geräten in der Liste Zulassen oder Sperrliste

Zum Verwalten der Zulassen- oder Blocklisten klicken Sie auf die Registerkarte LIST ZULASSEN oder BLOCKLISTE.

Auf diesen Seiten können Sie die folgenden Aufgaben ausführen:

  • Aus Liste entfernen: Mit dieser Aktion werden die ausgewählten Geräte aus der Liste entfernt.
  • Zur Sperrliste verschieben oder In Zulassungsliste verschieben: Mit dieser Aktion werden die ausgewählten Geräte in die angegebene Liste verschoben.
  • Gerät hinzufügen: Mit dieser Aktion wird dem Block oder der Zulassungsliste ein Gerät hinzugefügt, indem die MAC-Adresse eingegeben und die ADD+-Schaltfläche angeklickt wird.
  • Suchen Sie ein Gerät mithilfe der MAC-Adresse. Geben Sie eine MAC-Adresse ein, und klicken Sie auf Suchen  -Taste.

Sie sollten jetzt die Geräte in der DAC-Liste verwalten.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren