Apparaatautorisatie-beheer (DAC) configureren via Smart Network Application (SNA)

Downloadopties

PDF (629.5 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (615.3 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (535.3 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:13 december 2018

Document-id:SMB5365

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Apparaatautorisatie-beheer (DAC) configureren via Smart Network Application (SNA)

Doel

Het Smart Network Application (SNA)-systeem toont een overzicht van de netwerktopologie, inclusief gedetailleerde bewakingsinformatie voor apparaten en verkeer. SNA maakt het mogelijk om configuraties wereldwijd te bekijken en te wijzigen op alle ondersteunde apparaten in het netwerk.

SNA heeft een eigenschap die bekend staat als de Controle van de Apparatuur (DAC) die u toestaat om een lijst van geautoriseerde clientapparaten in het netwerk te vormen. DAC activeert 802.1X-functies op SNA-apparaten in het netwerk en een ingesloten afstandsbediening voor verificatie met inbelverbinding (RADIUS) of RADIUS-hostserver kan op een van de SNA-apparaten worden geconfigureerd. DAC wordt uitgevoerd via Media Access Control (MAC)-verificatie.

Dit artikel bevat instructies voor het configureren van het DAC-beheer via SNA.

Toepasselijke apparaten

Sx350 Series
SG350X Series
Sx550X Series

Opmerking: Apparaten van de Sx250 Series kunnen SNA informatie verstrekken wanneer zij met het netwerk worden verbonden, maar SNA kan niet van deze apparaten worden gelanceerd.

Softwareversie

2.2.5.68

DAC Werkstroom

U kunt het DAC-beheer in de volgende stappen configureren:

DAC activeren
RADIUS-server en -clients configureren
DAC-lijstbeheer

DAC activeren

Om DAC te activeren en toegankelijk te maken, volgt u de volgende stappen:

Stap 1. Klik in het menu Opties op de linker bovenhoek van de SNA pagina om de beschikbare opties weer te geven.

Stap 2. Kies de DAC-modus bewerken.

De modus DAC Bewerken is nu geactiveerd. U dient het blauwe kader onder de topologie-kaart en het bedieningspaneel onder op het scherm te zien.

Stap 3. (Optioneel) Klik op de knop Afsluiten om de DAC Processing te verlaten.

RADIUS-server en -clients configureren

Stap 1. Kies een van de SNA-apparaten in de weergave Topologie en klik op het menu Opties.

Stap 2. Klik op + Set als DAC server.

Stap 3. Als het apparaat meer dan één IP-adres heeft, kiest u een van die adressen als de adressen die door DAC worden gebruikt. In dit voorbeeld, 192.168.1.127 | Statisch wordt gekozen.

Opmerking: De lijst van adressen geeft aan of de IP interface statisch of dynamisch is. U zult worden gewaarschuwd dat het kiezen van een dynamische IP een onstabiele verbinding kan veroorzaken.

Stap 4. Klik op GEDAAN.

Opmerking: Wanneer u een bestaande DAC-server bewerkt, is het adres dat momenteel door de klanten wordt gebruikt, vooraf geselecteerd.

De DAC RADIUS-server wordt in de deelvenster met onderwerpen met de diepte gemarkeerd.

Stap 5. Kies een van de SNA-apparaten en klik op het menu Opties.

Opmerking: Als er geen clients zijn geselecteerd, kunt u de instellingen niet toepassen.

Als een switch al een client is van de DAC RADIUS-server, is het IP-adres ervan in de NAS-tabel van de RADIUS-server aanwezig en wordt de RADIUS-server ingesteld in de RADIUS-servertabel met gebruikstype 802.1X of in prioriteit 0. Deze switch is vooraf geselecteerd.

Als een client is geselecteerd en die al een RADIUS-server heeft die is geconfigureerd voor 802.1X, anders dan de eerder geselecteerde server, wordt er op de hoogte gebracht dat de procedure de bestaande RADIUS-serverhandeling zal onderbreken.

Als een client is gekozen en die een RADIUS-server heeft die met prioriteit 0 voor 802.1X is ingesteld, anders dan de eerder geselecteerde server, wordt er een foutmelding weergegeven en wordt DAC niet op deze client ingesteld.

Stap 6. Klik op + als client.

Stap 7. Controleer het aankruisvakje of de aankruisvakjes van de poort of poorten vanaf de clientschakelaar om 802.1X-authenticaties toe te passen.

Opmerking: In dit voorbeeld worden GE1/1, GE1/2, GE1/3 en GE1/4 poorten gecontroleerd.

Opmerking: SNA adviseert een lijst van alle randhavens of alle havens die niet gekend zijn om op andere switches of wolken te worden aangesloten.

Stap 8. (Optioneel) Klik op de knop Aanbevolen selecteren om alle aanbevolen poorten te controleren.

Stap 9. Klik op GEDAAN. De DAC RADIUS-client wordt in de Topologie-weergave gemarkeerd in stippelblauw.

Stap 10. Klik op Toepassen om de wijzigingen op te slaan.

Stap 1. Voer een Keystring in die door de DAC RADIUS-server gebruikt zal worden met al zijn clients in het netwerk.

Opmerking: In dit voorbeeld wordt Cisco1234 gebruikt.

Stap 12. (Optioneel) Schakelt de knop automatisch in om een automatisch gegenereerd toetsenbord te gebruiken.

Stap 13. Klik op Doorgaan op de rechterbovenhoek van de pagina.

Stap 14. Controleer de wijzigingen en klik vervolgens op PASSEN WIJZIGINGEN.

Stap 15. (Optioneel) Schakel het vakje Opslaan naar startconfiguratie uit als u de instellingen niet in het configuratiebestand wilt opslaan.

Stap 16. (Optioneel) Als u een account Lezen gebruikt, kan u worden gevraagd om uw aanmeldingsgegevens in te voeren om verder te gaan. Typ het wachtwoord in het veld Wachtwoord en klik vervolgens op Invoegen.

Stap 17. De statuskolom moet groene vinkjes bevatten die de succesvolle toepassing van wijzigingen bevestigen. Klik op GEDAAN.

Nadat de DAC is ingesteld, wordt er een waarschuwing weergegeven wanneer een nieuw niet-geblokkeerd apparaat op het netwerk wordt afgewezen via een RADIUS-server met DAC. U wordt gevraagd of u dit apparaat aan de lijst met toegestane apparaten wilt toevoegen of dat u het naar een lijst met geblokkeerde apparaten wilt doorsturen, zodat u niet opnieuw gewaarschuwd wordt.

Wanneer u de gebruiker van het nieuwe apparaat op de hoogte stelt, verstrekt SNA het MAC-adres van het apparaat en de poort die het apparaat probeert te bereiken.

Als een afwijzingsgebeurtenis wordt ontvangen van een apparaat dat geen DAC RADIUS-server is, wordt het bericht genegeerd en worden alle verdere berichten van dit apparaat voor de volgende 20 minuten genegeerd. Na 20 minuten controleert SNA opnieuw of het apparaat een DAC RADIUS-server is. Als een gebruiker wordt toegevoegd aan de lijst met toegestane versies, wordt het apparaat toegevoegd aan de DAC-groep van alle DAC-servers. Wanneer deze configuratie wordt opgeslagen, kunt u kiezen of u deze instelling direct in de opstartconfiguratie van de server wilt opslaan. Deze optie wordt standaard geselecteerd.

Totdat een apparaat aan de allow list wordt toegevoegd, is toegang tot het netwerk niet toegestaan. U kunt de lijsten op elk moment bekijken en wijzigen, zolang een DAC RADIUS-server is gedefinieerd en bereikbaar. Om het DAC List Management te configureren slaat u de DAC List Management over.

Wanneer u de DAC instellingen toepast, wordt u een rapport met acties gepresenteerd dat op de deelnemende apparaten zal worden toegepast. Nadat u de wijzigingen goedkeurt, kunt u besluiten of de instellingen daarnaast naar het opstartconfiguratiebestand van de geconfigureerde apparaten moeten worden gekopieerd. Ten slotte, pas de configuraties toe.

Het rapport geeft waarschuwingen weer als bepaalde stappen van het DAC-configuratieproces zijn gemist, samen met de status van de acties zoals die door de apparaten zijn verwerkt.

Veld	Waarde	Opmerkingen
Apparaat	Het apparaat identificeert (Host name of IP-adres)
Handeling	Mogelijke acties voor DAC server: RADIUS-server inschakelen RADIUS-server uitschakelen Lijst met klanten bijwerken RADIUS-servergroep maken RADIUS-servergroep verwijderen Mogelijke acties voor DAC-cliënt: RADIUS-serververbinding toevoegen RADIUS-serververbinding bijwerken RADIUS-serververbinding verwijderen Instellingen voor bijwerken 802.1x Verificatieinstellingen van interface bijwerken Instellingen interfacehost en -sessie bijwerken	Het is mogelijk (en waarschijnlijk) voor meerdere acties om voor elk apparaat te verschijnen. Elke actie kan zijn eigen status hebben.
Waarschuwingen	Mogelijke waarschuwingen voor DAC-server zijn: De geselecteerde IP-interface is dynamisch. Mogelijke waarschuwingen voor DAC-cliënten zijn: Het apparaat is al een client voor een andere RADIUS-server. Er worden geen poorten geselecteerd.	De waarschuwingen bevatten ook links naar de afdelingen van de DAC waar zij kunnen worden behandeld. Er kunnen wijzigingen worden aangebracht wanneer er waarschuwingen aanwezig zijn.
Status	In behandeling succes falen	Wanneer de status een fout is, wordt de foutmelding voor de actie weergegeven.

DAC-lijstbeheer

Zodra u clientapparaten hebt toegevoegd en hebt geselecteerd welke poorten voor authenticatie geschikt zijn, worden alle niet-geauthentiseerde apparaten die op deze poorten zijn gedetecteerd, toegevoegd aan de lijst met niet-geauthentiseerde apparaten.

DAC ondersteunt de volgende lijsten van hulpmiddelen:

Sta lijst toe — Bevat de lijst van alle cliënten die voor authentiek kunnen worden verklaard.
Bloklijst — Bevat de lijst van klanten die nooit echt geauthentiseerd mogen worden.

Als u wil dat apparaten en hun poorten echt worden verklaard, moeten ze aan de lijst met toegestane apparaten worden toegevoegd. Als u wilt dat deze niet worden geauthentiseerd, is geen actie vereist aangezien zij standaard aan de bloklijst worden toegevoegd.

Zie de woordenlijst voor aanvullende informatie.

Apparaten toevoegen om lijst toe te staan of lijst te blokkeren

U kunt apparaten aan de lijst Toestaan of blokkeren toevoegen door deze stappen te volgen:

Stap 1. Klik in het menu Opties op de linker bovenhoek van de SNA pagina om de beschikbare opties weer te geven.

Stap 2. Kies DAC-lijstbeheer.

Stap 3. Klik op het tabblad ONGEAUTHENTICEERD APPARAAT. Deze pagina zal de lijst van alle niet-echt bevonden apparaten weergeven.

Opmerking: U kunt ook op het pictogram DAC List Management System klikken in de rechterbovenhoek van de SNA-pagina.

Stap 4. (Optioneel) Controleer het aanvinkvakje naast het MAC-adres van het apparaat of de apparaten dat u aan de lijst met toegangsrechten wilt toevoegen en klik op Toevoegen om lijst toe te staan.

Stap 5. (Optioneel) Controleer het aanvinkvakje naast het MAC-adres van het apparaat of de apparaten dat u aan de bloklijst wilt toevoegen en klik op Toevoegen aan de lijst blokkeren.

Stap 6. (Optioneel) Controleer het aanvinkvakje naast het MAC-adres van het apparaat of de apparaten dat u wilt afwijzen en klik op Verwijderen.

Opmerking: Alle pakketten die op de poorten op het apparaat worden ingevoerd, zijn op de RADIUS-server echt bevonden.

U hebt nu een apparaat toegevoegd aan de lijst Toestaan of Blok.

Apparaten beheren in lijst toestaan of lijst blokkeren

U kunt de lijsten toestaan of blokkeren door op het tabblad LIJST TOEWIJZEN of LIJST BLOKKEREN dienovereenkomstig te klikken.

U kunt de volgende taken op deze pagina's uitvoeren:

Verwijder uit de lijst - Deze actie verwijdert het gekozen apparaat of de gekozen apparaten uit de lijst.
Beweeg om lijst te blokkeren of Verplaatsen om lijst toe te staan — Deze actie verplaatst het gekozen apparaat of de geselecteerde apparaten naar de gespecificeerde lijst.
Voeg een apparaat toe — Deze actie voegt een apparaat toe aan of het blok of staat een lijst toe door zijn adres van MAC in te voeren en op de knop ADD+ te klikken.
Een apparaat zoeken met een MAC-adres — Voer een MAC-adres in en klik op Zoeken -toets.

U had nu de apparaten op de DAC-lijst moeten beheren.

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)