スマートネットワークアプリケーション(SNA)によるデバイス承認制御(DAC)管理の設定

ダウンロードオプション

PDF (705.4 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (608.2 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (529.1 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2018 年 12 月 13 日

Document ID:SMB5365

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

スマートネットワークアプリケーション(SNA)によるデバイス承認制御(DAC)管理の設定

目的

スマートネットワークアプリケーション(SNA)システムは、デバイスとトラフィックの詳細なモニタリング情報を含むネットワークトポロジの概要を表示します。SNAを使用すると、ネットワーク内でサポートされているすべてのデバイス上の設定をグローバルに表示および変更できます。

SNAには、デバイス認証制御(DAC)と呼ばれる機能があり、ネットワーク内の許可されたクライアントデバイスのリストを設定できます。DACはネットワーク内のSNAデバイス上で802.1X機能をアクティブ化し、組み込みのリモート認証ダイヤルインユーザサービス(RADIUS)またはRADIUSホストサーバは、いずれかのSNAデバイス上で設定できます。DACはMedia Access Control(MAC)認証を介して実行されます。

この記事では、SNAを使用してDAC管理を設定する方法について説明します。

該当するデバイス

Sx350シリーズ
SG350Xシリーズ
Sx550Xシリーズ

注：Sx250シリーズのデバイスは、ネットワークに接続するとSNA情報を提供できますが、これらのデバイスからSNAを起動することはできません。

[Software Version]

2.2.5.68

DACワークフロー

DAC管理は、次の手順で設定できます。

DACの有効化
RADIUSサーバとクライアントの設定
DACリスト管理

DACの有効化

DACにアクセスしてアクティブにするには、次の手順を実行します。

ステップ1:SNAページの左上の[オプション]メニューをクリックして、使用可能なオプションを表示します。

ステップ2:[Edit DAC mode]を選択します。

DAC編集モードがアクティブになりました。トポロジマップの下に青いフレームが表示され、画面下部にコントロールパネルが表示されます。

ステップ3: （オプション）DAC編集モードを終了するには、[終了]ボタンをクリックします。

RADIUSサーバとクライアントの設定

ステップ1:[Topology]ビューで、SNAデバイスのいずれかを選択し、[Options]メニューをクリックします。

ステップ2:[+ Set as DAC server]をクリックします。

ステップ3：デバイスに複数のIPアドレスがある場合は、それらのアドレスのいずれかをDACで使用するアドレスとして選択します。この例では、192.168.1.127です |静的が選択されています。

注：アドレスのリストは、IPインターフェイスがスタティックかダイナミックかを示します。ダイナミックIPを選択すると、接続が不安定になる可能性があることに注意してください。

ステップ4:[完了]をクリックします。

注：既存のDACサーバを編集する場合、そのクライアントによって現在使用されているアドレスが事前に選択されます。

DAC RADIUSサーバは、[Topology]ビューでソリッドで強調表示されます。

ステップ5:SNAデバイスの1つを選択し、[Options]メニューをクリックします。

注：クライアントが選択されていない場合は、設定を適用できません。

スイッチが既にDAC RADIUSサーバのクライアントである場合、そのIPアドレスはRADIUSサーバのNASテーブルにあり、RADIUSサーバは使用タイプ802.1Xまたはすべてプライオリティ0でRADIUSサーバテーブルに設定されます。

すでに802.1X用に設定されているRADIUSサーバが先に選択したサーバ以外のクライアントを選択すると、既存のRADIUSサーバの動作が中断されることが通知されます。

以前に選択したサーバ以外の優先度0で802.1Xに設定されたRADIUSサーバを持つクライアントを選択すると、エラーメッセージが表示され、DACはこのクライアントで設定されません。

ステップ6:[+ Set as client]をクリックします。

ステップ7:802.1X認証を適用するには、クライアントスイッチのポートのチェックボックスまたはチェックボックスをオンにします。

注：この例では、GE1/1、GE1/2、GE1/3、およびGE1/4ポートがチェックされています。

注：SNAでは、すべてのエッジポート、または他のスイッチやクラウドに接続されていないすべてのポートのリストを推奨しています。

ステップ8:（オプション）すべての推奨ポートを確認するには、[Select Recommended]ボタンをクリックします。

ステップ9:[完了]をクリックします。DAC RADIUSクライアントは、[Topology]ビューで青色の破線で強調表示されます。

ステップ10:[Apply]をクリックして、変更を保存します。

ステップ11：ネットワーク上のすべてのクライアントでDAC RADIUSサーバが使用するキーストリングを入力します。

注：この例では、Cisco1234が使用されています。

ステップ12:（オプション）自動生成されたキーストリングを使用するには、ボタンを[自動生成]に切り替えます。

ステップ13：ページの右上隅にある[Continue]をクリックします。

ステップ14：変更を確認し、[APPLY CHANGES]をクリックします。

ステップ15:（オプション）設定ファイルに設定を保存しない場合は、[スタートアップコンフィギュレーションに保存]チェックボックスをオフにします。

ステップ16:（オプション）読み取り専用アカウントを使用している場合は、続行するために資格情報の入力を求められます。[パスワード]フィールドにパスワードを入力し、[送信]をクリックします。

ステップ17:[Status（ステータス）]列に、変更の適用が成功したことを確認する緑色のチェックボックスが表示されます。[Done] をクリックします。

DACの設定後、DAC対応RADIUSサーバを介してネットワーク上の新しい非ブロックリストのデバイスが拒否されるたびにアラートが表示されます。このデバイスを承認されたデバイスの許可リストに追加するか、ブロックのリストに送信して再び警告を受けないようにするかを尋ねられます。

新しいデバイスをユーザに通知すると、SNAはデバイスのMACアドレスと、デバイスがネットワークにアクセスしようとしたポートを提供します。

DAC RADIUSサーバ以外のデバイスから拒否イベントが受信された場合、メッセージは無視され、このデバイスからの今後の20分間のメッセージはすべて無視されます。20分後、SNAはデバイスがDAC RADIUSサーバであるかどうかを再度確認します。ユーザが許可リストに追加されると、デバイスはすべてのDACサーバのDACグループに追加されます。この設定を保存すると、この設定をサーバのスタートアップコンフィギュレーションに即座に保存するかどうかを選択できます。このオプションはデフォルトで選択されています。

デバイスが許可リストに追加されるまで、ネットワークへのアクセスは許可されません。DAC RADIUSサーバが定義され、到達可能である限り、許可リストとブロックリストはいつでも表示および変更できます。DACリスト管理を構成するには、DACリスト管理に進んでください。

DAC設定を適用すると、参加デバイスに適用されるアクションを示すレポートが表示されます。変更を承認したら、設定を設定済みデバイスのスタートアップコンフィギュレーションファイルに追加でコピーするかどうかを決定できます。最後に、設定を適用します。

このレポートには、DAC設定プロセスの一部のステップが失われた場合に、デバイスが処理したアクションのステータスとともに警告が表示されます。

フィールド	値	注
デバイス	デバイスID（ホスト名またはIPアドレス）
アクション	DACサーバーで可能な操作： RADIUSサーバの有効化 RADIUSサーバの無効化クライアントリストの更新 RADIUSサーバグループの作成 RADIUSサーバグループの削除 DACクライアントで可能なアクション： RADIUSサーバ接続の追加 RADIUSサーバ接続の更新 RADIUSサーバ接続の削除 802.1x設定の更新インターフェイス認証設定の更新インターフェイスホストとセッション設定の更新	各デバイスに対して複数のアクションが表示される可能性があります。各アクションには独自のステータスがあります。
警告	DACサーバに関する警告には、次のものがあります。選択したIPインターフェイスはダイナミックです。 DACクライアントに関する警告には、次のものがあります。デバイスはすでに別のRADIUSサーバのクライアントです。ポートが選択されていません。	警告には、対処できるDACのセクションへのリンクも含まれます。変更は、警告が存在する場合に適用できます。
ステータス	Pending 成功失敗	ステータスが障害の場合、アクションのエラーメッセージが表示されます。

DACリスト管理

クライアントデバイスを追加し、どのポートを認証するかを選択すると、それらのポートで検出されたすべての非認証デバイスが非認証デバイスのリストに追加されます。

DACは、次のデバイスのリストをサポートしています。

[Allow List]：認証可能なすべてのクライアントのリストが含まれます。
Block List：認証を受けないクライアントのリストが含まれます。

デバイスとそのポートを認証するには、許可リストに追加する必要があります。これらのユーザを認証したくない場合は、デフォルトでブロックリストに追加されるため、アクションは必要ありません。

詳細については、用語集を参照してください。

許可リストまたはブロックリストへのデバイスの追加

許可リストまたはブロックリストにデバイスを追加するには、次の手順を実行します。

ステップ1:SNAページの左上の[オプション]メニューをクリックして、使用可能なオプションを表示します。

ステップ2:[DAC List Management]を選択します。

ステップ3:[UNAUTHENTICATED DEVICES]タブをクリックします。このページには、すべての非認証デバイスのリストが表示されます。

注：または、SNAページの右上隅にある[DAC List Management System]アイコンをクリックすることもできます。

ステップ4:（オプション）許可リストに追加するデバイスのMACアドレスの横にあるチェックボックスをオンにし、[許可リストに追加(Add to Allow list)]をクリックします。

ステップ5:（オプション）ブロックリストに追加する1つ以上のデバイスのMACアドレスの横にあるチェックボックスをオンにし、[ブロックリストに追加]をクリックします。

ステップ6:（オプション）終了するデバイスのMACアドレスの横にあるチェックボックスをオンにし、[Dismiss]をクリックします。

注：デバイスのポートに入るすべてのパケットは、RADIUSサーバで認証されます。

これで、許可リストまたはブロックリストにデバイスが追加されました。

許可リストまたはブロックリストでのデバイスの管理

許可リストまたはブロックリストを管理するには、「許可リスト」(ALLOW LIST)タブまたは「ブロックリスト」(BLOCK LIST)タブを適宜選択します。

これらのページでは、次のタスクを実行できます。

[リストから削除(Remove from list)]：選択した1つ以上のデバイスをリストから削除します。
[ブロックリストに移動(Move to Block list)]または[許可リストに移動(Move to Allow list)]：このアクションは、選択した1つまたは複数のデバイスを指定したリストに移動します。
デバイスの追加：このアクションは、MACアドレスを入力し、[ADD +]ボタンをクリックして、ブロックまたは許可リストのいずれかにデバイスを追加します。
MACアドレスを使用したデバイスの検索：MACアドレスを入力し、検索をクリックして、クエリーを実行します。