Configuración de la gestión del control de autorización de dispositivos (DAC) a través de Smart Network Application (SNA)

Opciones de descarga

  • PDF     (629.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (620.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (539.6 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de diciembre de 2018
ID del documento:SMB5365

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Configuración de la gestión del control de autorización de dispositivos (DAC) a través de Smart Network Application (SNA)

Objetivo

El sistema Smart Network Application (SNA) muestra una descripción general de la topología de red, incluida información de supervisión detallada para dispositivos y tráfico. SNA permite ver y modificar configuraciones globalmente en todos los dispositivos compatibles de la red.

SNA tiene una función conocida como Control de autorización de dispositivos (DAC) que permite configurar una lista de dispositivos cliente autorizados en la red. DAC activa las funciones 802.1X en los dispositivos SNA de la red y se puede configurar un servicio de usuario de acceso telefónico de autenticación remota (RADIUS) o un servidor host RADIUS integrado en uno de los dispositivos SNA. El DAC se realiza mediante la autenticación de control de acceso a medios (MAC).

En este artículo se proporcionan instrucciones sobre cómo configurar DAC Management a través de SNA.

Dispositivos aplicables

  • Serie Sx350
  • Serie SG350X
  • Serie Sx550X

Nota: Los dispositivos de la serie Sx250 pueden proporcionar información SNA cuando se conectan a la red, pero SNA no se puede iniciar desde estos dispositivos.

Versión del software

  • 2.2.5.68

Flujo de trabajo de DAC

Puede configurar la administración de DAC mediante los siguientes pasos:

Activar DAC

Para acceder y activar DAC, siga estos pasos:

Paso 1. Haga clic en el menú Opciones de la esquina superior izquierda de la página SNA para mostrar las opciones disponibles.

Paso 2. Elija Editar modo DAC.

El modo de edición DAC ya está activado. Debería ver la trama azul debajo del mapa de topología y el panel de control en la parte inferior de la pantalla.

Paso 3. (Opcional) Para salir del modo de edición DAC, haga clic en el botón Salir.

Configuración del servidor RADIUS y los clientes

Paso 1. En la vista Topología, elija uno de los dispositivos SNA y haga clic en su menú Opciones.

Paso 2. Haga clic en + Establecer como servidor DAC.

Paso 3. Si el dispositivo tiene más de una sola dirección IP, elija una de esas direcciones como la que utilizará DAC. En este ejemplo, 192.168.1.127 | Estático.

Nota: La lista de direcciones indica si la interfaz IP es estática o dinámica. Se le advertirá de que elegir una IP dinámica puede provocar una conexión inestable.

Paso 4. Haga clic en Done (Listo).

Nota: Al editar un servidor DAC existente, se preselecciona la dirección que utilizan actualmente sus clientes.

El servidor RADIUS DAC se resalta en sólido en la vista Topología.

Paso 5. Elija uno de los dispositivos SNA y haga clic en su menú Opciones.

Nota: Si no se selecciona ningún cliente, no podrá aplicar la configuración.

Si un switch ya es cliente del servidor RADIUS DAC, su dirección IP está en la tabla NAS del servidor RADIUS y el servidor RADIUS está configurado en su tabla de servidor RADIUS con el tipo de uso 802.1X o todos en la prioridad 0. Este switch está preseleccionado.

Si se elige un cliente, que ya tiene un servidor RADIUS configurado para 802.1X que no sea el servidor seleccionado anteriormente, se le notificará que el procedimiento interrumpirá la operación del servidor RADIUS existente.

Si se elige un cliente, que tiene un servidor RADIUS configurado para 802.1X en la prioridad 0 diferente del servidor seleccionado anteriormente, se muestra un mensaje de error y DAC no se configura en este cliente.

Paso 6. Haga clic en + Establecer como cliente.

Paso 7. Marque la casilla de verificación o casillas de verificación del puerto o puertos del switch cliente para aplicar las autenticaciones 802.1X.

Nota: En este ejemplo, se verifican los puertos GE1/1, GE1/2, GE1/3 y GE1/4.

Nota: El SNA recomienda una lista de todos los puertos de borde o de todos los puertos que no se sabe que están conectados a otros switches o nubes.

Paso 8. (Opcional) Haga clic en el botón Seleccionar recomendado para verificar todos los puertos recomendados.

Paso 9. Haga clic en Done (Listo). El cliente DAC RADIUS se resalta en azul discontinuo en la vista Topología.

Paso 10. Haga clic en Aplicar para guardar los cambios.

Paso 11. Introduzca una cadena de clave que utilizará el servidor RADIUS DAC con todos sus clientes en la red.

Nota: En este ejemplo, se utiliza Cisco1234.

Paso 12. (Opcional) Cambie el botón a Generado automáticamente para utilizar una cadena de clave generada automáticamente.

Paso 13. Haga clic en Continuar en la esquina superior derecha de la página.

Paso 14. Revise los cambios y haga clic en APLICAR CAMBIOS.

Paso 15. (Opcional) Desmarque la casilla de verificación Guardar en la configuración de inicio si no desea guardar la configuración en el archivo de configuración.

Paso 16. (Opcional) Si utiliza una cuenta de sólo lectura, se le puede solicitar que introduzca sus credenciales para continuar. Ingrese la contraseña en el campo Password y luego haga clic en SUBMIT.

Paso 17. La columna Estado debe contener casillas de verificación verdes que confirmen la correcta aplicación de los cambios. Haga clic en Done (Listo).

Después de configurar el DAC, se muestra una alerta cada vez que se rechaza un nuevo dispositivo no incluido en la lista de bloqueo en la red a través de un servidor RADIUS habilitado para DAC. Se le preguntará si desea agregar este dispositivo a la lista de dispositivos autorizados para permitir o enviarlo a una lista de bloqueo para que no reciba una nueva alerta.

Al informar al usuario del nuevo dispositivo, SNA proporciona la dirección MAC del dispositivo y el puerto al que el dispositivo intentó acceder a la red.

Si se recibe un evento de rechazo de un dispositivo que no es un servidor RADIUS DAC, se omite el mensaje y se ignoran todos los mensajes adicionales de este dispositivo durante los próximos 20 minutos. Después de 20 minutos, SNA verifica de nuevo si el dispositivo es un servidor RADIUS DAC. Si se agrega un usuario a la lista de permitidos, el dispositivo se agrega al grupo DAC de todos los servidores DAC. Cuando se guarda esta configuración, puede elegir si guardar esta configuración inmediatamente en la configuración de inicio del servidor. Esta opción está seleccionada de forma predeterminada.

Hasta que no se agregue un dispositivo a la lista de permitidos, no se le permite el acceso a la red. Puede ver y cambiar las listas de permitidos y bloqueados en cualquier momento, siempre y cuando se defina y alcance un servidor RADIUS DAC. Para configurar la Administración de lista DAC, vaya directamente a Administración de lista DAC.

Al aplicar la configuración de DAC, se le presenta un informe que enumera las acciones que se aplicarán a los dispositivos participantes. Después de aprobar los cambios, puede decidir si los ajustes se deben copiar adicionalmente al archivo de configuración de inicio de los dispositivos configurados. Por último, aplique las configuraciones.

El informe muestra advertencias si no se cumplen algunos pasos del proceso de configuración de DAC, junto con el estado de las acciones tal como las manejan los dispositivos.

Campo Valor Comentarios

Dispositivo

Identificadores de dispositivo (nombre de host o dirección IP)

  

Acción

Acciones posibles para el servidor DAC:

  • Activar servidor RADIUS
  • Deshabilitar servidor RADIUS
  • Actualizar lista de clientes
  • Crear grupo de servidores RADIUS
  • Eliminar grupo de servidores RADIUS

Acciones posibles para el cliente DAC:

  • Agregar conexión del servidor RADIUS
  • Actualizar conexión del servidor RADIUS
  • Eliminar conexión del servidor RADIUS
  • Actualizar configuración 802.1x
  • Actualizar configuración de autenticación de la interfaz
  • Actualizar la configuración del host de la interfaz y de la sesión

Es posible (y probable) que aparezcan varias acciones para cada dispositivo.

Cada acción puede tener su propio estado.

Advertencias    

Las advertencias posibles para el servidor DAC incluyen:

  • La interfaz IP seleccionada es dinámica.

Entre las posibles advertencias para los clientes DAC se incluyen:

  • El dispositivo ya es cliente de un servidor RADIUS diferente.
  • No hay puertos seleccionados.

Las advertencias también contienen enlaces a las secciones del CAD en las que se pueden abordar.

Los cambios se pueden aplicar cuando hay advertencias.

Estado
  • Pendiente
  • Éxito
  • Falla

Cuando el estado es una falla, se muestra el mensaje de error para la acción.

Administración de listas DAC

Una vez que haya agregado los dispositivos cliente y haya seleccionado cuáles de sus puertos se autenticarán, todos los dispositivos no autenticados detectados en esos puertos se agregarán a la lista de dispositivos no autenticados.

DAC admite las siguientes listas de dispositivos:

  • Permitir lista: contiene la lista de todos los clientes que se pueden autenticar.
  • Lista de bloqueo: Contiene la lista de clientes que nunca se deben autenticar.

Si desea que los dispositivos y sus puertos se autenticen, deben agregarse a las listas de permitidos. Si no desea que se autenticen, no se requiere ninguna acción, ya que se agregarán a la lista de bloqueo de forma predeterminada.

Consulte el glosario para obtener información adicional.

Agregar dispositivos a la lista Permitir o a la lista Bloquear

Para agregar dispositivos a la lista de permitidos o de bloqueo, siga estos pasos:

Paso 1. Haga clic en el menú Opciones de la esquina superior izquierda de la página SNA para mostrar las opciones disponibles.

Paso 2. Elija Administración de lista DAC.

Paso 3. Haga clic en la pestaña DISPOSITIVOS NO AUTENTICADOS. Esta página mostrará la lista de todos los dispositivos no autenticados.

Nota: De manera alternativa, puede hacer clic en el icono del sistema de administración de listas DAC en la esquina superior derecha de la página SNA.

Paso 4. (Opcional) Marque la casilla de verificación junto a la dirección MAC del dispositivo o dispositivos que desea agregar a la lista de permitidos y haga clic en Agregar a la lista Permitir.

Paso 5. (Opcional) Marque la casilla de verificación junto a la dirección MAC del dispositivo o dispositivos que desea agregar a la lista de bloqueo y haga clic en Agregar a la lista de bloqueo.

Paso 6. (Opcional) Marque la casilla de verificación junto a la dirección MAC del dispositivo o dispositivos que desea descartar y haga clic en Descartar.

Nota: Todos los paquetes que ingresan en los puertos del dispositivo se autentican en el servidor RADIUS.

Ahora debería haber agregado un dispositivo a la lista Permitir o Bloquear.

Administrar dispositivos en la lista Permitir o en la lista Bloquear

Para administrar las listas de permitidos o bloqueados, haga clic en la pestaña ALLOW LIST o BLOCK LIST en consecuencia.

Puede realizar las tareas siguientes en estas páginas:

  • Eliminar de la lista: esta acción elimina el dispositivo o dispositivos seleccionados de la lista.
  • Mover a la lista Bloquear o Mover a la lista Permitir: esta acción mueve el dispositivo o dispositivos seleccionados a la lista especificada.
  • Agregar un dispositivo: esta acción agrega un dispositivo al bloque o a la lista de permitidos ingresando su dirección MAC y haciendo clic en el botón ADD+.
  • Buscar un dispositivo mediante la dirección MAC: introduzca una dirección MAC y haga clic en el botón Buscar  para abrir el Navegador.

Ahora debería haber administrado los dispositivos de la lista DAC.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco