透過智慧網路應用程式(SNA)設定裝置授權控制(DAC)管理

目標

智慧網路應用(SNA)系統顯示網路拓撲的概述，包括裝置和流量的詳細監控資訊。SNA支援全域性檢視和修改網路中所有受支援裝置上的配置。

SNA具有稱為裝置授權控制(DAC)的功能，允許您在網路中配置授權客戶端裝置的清單。DAC啟用網路中SNA裝置上的802.1X功能，並且可以在其中一個SNA裝置上配置嵌入式遠端身份驗證撥入使用者服務(RADIUS)或RADIUS主機伺服器。DAC是通過介質訪問控制(MAC)身份驗證完成的。

本文提供有關如何通過SNA配置DAC管理的說明。

適用裝置

• Sx350系列
• SG350X系列
• Sx550X系列

附註：Sx250系列中的裝置連線到網路時可以提供SNA資訊，但無法從這些裝置啟動SNA。

軟體版本

• 2.2.5.68

DAC工作流

您可以通過以下步驟配置DAC管理：

• 啟用DAC
• 設定RADIUS伺服器和使用者端
• DAC清單管理

啟用DAC

要訪問並啟用DAC，請執行以下步驟：

步驟1.按一下SNA頁面左上角的Options選單以顯示可用的選項。

步驟2.選擇「編輯DAC模式」。

DAC編輯模式現在已啟用。您應該會看到拓撲圖下方的藍色幀和螢幕底部的控制面板。

步驟3.（可選）要退出DAC編輯模式，請按一下退出按鈕。

設定RADIUS伺服器和使用者端

步驟1。在拓撲檢視中，選擇其中一個SNA裝置，然後按一下其選項選單。

步驟2.按一下+ Set as DAC server。

步驟3.如果裝置有多個IP地址，請選擇其中一個地址作為DAC使用的地址。在本示例中，192.168.1.127 已選擇|靜態。

附註：地址清單指示IP介面是靜態介面還是動態介面。系統將警告您選擇動態IP可能會導致連線不穩定。

步驟4.按一下「DONE」。

附註：編輯現有DAC伺服器時，會預先選擇其客戶端當前使用的地址。

DAC RADIUS伺服器在拓撲檢視中以實體突出顯示。

步驟5.選擇其中一個SNA裝置，然後按一下其選項選單。

附註：如果未選擇客戶端，您將無法應用設定。

如果交換機已經是DAC RADIUS伺服器的客戶端，則其IP地址在RADIUS伺服器的NAS表中，並且RADIUS伺服器在其RADIUS伺服器表中配置為使用型別802.1X或優先順序為0的所有。此交換機是預先選擇的。

如果選擇了客戶端（該客戶端已經配置了802.1X的RADIUS伺服器，而不是以前選擇的伺服器），將通知您進程將中斷現有的RADIUS伺服器操作。

如果選擇了客戶端（該客戶端的優先順序為0的802.1X配置了RADIUS伺服器，而不是以前選擇的伺服器），則會顯示一條錯誤消息，並且此客戶端上未配置DAC。

步驟6.按一下+ Set as client。

步驟7.選中客戶端交換機的一個或多個埠的覈取方塊以應用802.1X身份驗證。

附註：在本示例中，會檢查GE1/1、GE1/2、GE1/3和GE1/4埠。

附註：SNA建議列出所有邊緣連線埠或所有未知連線到其他交換器或雲的連線埠。

步驟8。（可選）按一下Select Recommended按鈕檢查所有建議的埠。

步驟9.按一下「DONE」。在拓撲檢視中，DAC RADIUS客戶端以淡藍色突出顯示。

步驟10.按一下Apply以儲存變更。

步驟11.輸入DAC RADIUS伺服器及其所有客戶端在網路中使用的金鑰字串。

附註：本例中使用的是Cisco1234。

步驟12。（可選）將按鈕切換到Auto Generated，以使用自動生成的金鑰字串。

步驟13.按一下頁面右上角的Continue。

步驟14.檢查變更，然後按一下APPLY CHANGES。

步驟15.（可選）如果您不希望將設定儲存在配置檔案中，請取消選中Save to startup configuration覈取方塊。

步驟16.（可選）如果您使用的是只讀帳戶，可能會提示您輸入憑據以繼續。在Password欄位中輸入密碼，然後按一下SUBMIT。

步驟17. 「狀態」列應包含綠色覈取方塊，用於確認更改的成功應用。按一下「完成」。

配置DAC後，每當網路中通過啟用了DAC的RADIUS伺服器拒絕新的未阻止清單裝置時，都會顯示警報。系統將詢問您是否將此裝置新增到授權裝置的允許清單，或者將其傳送到阻止清單，以便不再向您發出警報。

在通知使用者新裝置時，SNA會提供裝置的MAC地址以及裝置嘗試訪問網路的埠。

如果從非DAC RADIUS伺服器的裝置收到拒絕事件，則忽略該消息，並且忽略此裝置在未來20分鐘內發出的所有其他消息。20分鐘後，SNA再次檢查裝置是否為DAC RADIUS伺服器。如果將使用者新增到允許清單，則裝置將新增到所有DAC伺服器的DAC組中。儲存此配置後，您可以選擇是否立即將此設定儲存到伺服器的啟動配置中。預設情況下選中此選項。

在將裝置新增到允許清單之前，不允許該裝置訪問網路。只要定義了DAC RADIUS伺服器並且可訪問，就可以隨時檢視和更改允許清單和阻止清單。要配置DAC清單管理，請跳至DAC清單管理。

應用DAC設定時，將顯示一個報告，其中列出了將應用於參與裝置的操作。批准更改後，您可以決定是否應另外將設定複製到已配置裝置的啟動配置檔案中。最後，應用配置。

如果錯過了DAC配置流程的某些步驟，報告將顯示警告，以及裝置所處理操作的狀態。

欄位	價值	意見
裝置	裝置識別符號（主機名或IP地址）
動作	DAC伺服器的可能操作： 啟用RADIUS伺服器 禁用RADIUS伺服器 更新客戶端清單 建立RADIUS伺服器組 刪除RADIUS伺服器組 DAC客戶端的可能操作： 新增RADIUS伺服器連線 更新RADIUS伺服器連線 刪除RADIUS伺服器連線 更新802.1x設定 更新介面身份驗證設定 更新介面主機和會話設定	每個裝置可能（而且可能）出現多個操作。 每個操作都可以有自己的狀態。
警告	DAC伺服器的可能警告包括： 所選IP介面是動態的。 DAC客戶端的可能警告包括： 裝置已經是不同RADIUS伺服器的客戶端。 未選擇埠。	警告還包含指向DAC中可處理警告的部分的連結。 出現警告時可以應用更改。
狀態	待定 成功 失敗	當狀態為失敗時，將顯示該操作的錯誤消息。

DAC清單管理

新增客戶端裝置並選擇要進行身份驗證的埠後，這些埠上檢測到的所有未經身份驗證的裝置都將新增到未經身份驗證裝置的清單中。

DAC支援以下裝置清單：

• Allow List — 包含可以驗證的所有使用者端的清單。
• 阻止清單 — 包含絕不能進行驗證的客戶端清單。

如果要對裝置及其埠進行身份驗證，則必須將它們新增到允許清單中。如果不希望它們通過身份驗證，則不需要執行任何操作，因為預設情況下它們將被新增到阻止清單中。

請參閱辭彙表以瞭解其他資訊。

將裝置新增到允許清單或阻止清單

要將裝置新增到允許清單或阻止清單，請執行以下步驟：

步驟1.按一下SNA頁面左上角的Options選單以顯示可用的選項。

步驟2.選擇DAC List Management。

步驟3.按一下UNAUTHENTICATED DEVICES索引標籤。此頁將顯示所有未經身份驗證的裝置的清單。

附註：或者，也可以按一下SNA頁面右上角的DAC清單管理系統圖示。

步驟4.（可選）選中您要新增到允許清單的一個或多個裝置的MAC地址旁邊的覈取方塊，然後點選新增到允許清單。

步驟5.（可選）選中要新增到阻止清單中的一個或多個裝置的MAC地址旁邊的覈取方塊，然後點選Add to Block list。

步驟6.（可選）選中您要關閉的一個或多個裝置的MAC地址旁邊的覈取方塊，然後點選Dismiss。

附註：所有進入裝置埠的資料包都在RADIUS伺服器上進行身份驗證。

現在，您應該已經將裝置新增到允許清單或阻止清單中。

管理允許清單或阻止清單上的裝置

要管理允許或阻止清單，請相應地按一下ALLOW LIST或BLOCK LIST頁籤。

您可以在這些頁面中執行以下任務：

• 從清單中刪除 — 此操作從清單中刪除選定的裝置。
• 移動到阻止清單或移動到允許清單 — 此操作可將所選裝置移動到指定清單。
• 新增裝置 — 此操作通過輸入裝置的MAC地址並按一下ADD+按鈕將裝置新增到阻止或允許清單。
• 使用MAC地址搜尋裝置 — 輸入MAC地址並按一下 搜尋  按鈕。

現在，您應該已經管理了DAC清單中的裝置。