El sistema Smart Network Application (SNA) muestra una descripción general de la topología de red, incluida información de supervisión detallada para dispositivos y tráfico. SNA permite ver y modificar configuraciones globalmente en todos los dispositivos compatibles de la red.
SNA tiene una función conocida como Control de autorización de dispositivos (DAC) que permite configurar una lista de dispositivos cliente autorizados en la red. DAC activa las funciones 802.1X en los dispositivos SNA de la red y se puede configurar un servicio de usuario de acceso telefónico de autenticación remota (RADIUS) o un servidor host RADIUS integrado en uno de los dispositivos SNA. El DAC se realiza mediante la autenticación de control de acceso a medios (MAC).
En este artículo se proporcionan instrucciones sobre cómo configurar DAC Management a través de SNA.
Nota: Los dispositivos de la serie Sx250 pueden proporcionar información SNA cuando se conectan a la red, pero SNA no se puede iniciar desde estos dispositivos.
Puede configurar la administración de DAC mediante los siguientes pasos:
Para acceder y activar DAC, siga estos pasos:
Paso 1. Haga clic en el menú Opciones de la esquina superior izquierda de la página SNA para mostrar las opciones disponibles.
Paso 2. Elija Editar modo DAC.
El modo de edición DAC ya está activado. Debería ver la trama azul debajo del mapa de topología y el panel de control en la parte inferior de la pantalla.
Paso 3. (Opcional) Para salir del modo de edición DAC, haga clic en el botón Salir.
Paso 1. En la vista Topología, elija uno de los dispositivos SNA y haga clic en su menú Opciones.
Paso 2. Haga clic en + Establecer como servidor DAC.
Paso 3. Si el dispositivo tiene más de una sola dirección IP, elija una de esas direcciones como la que utilizará DAC. En este ejemplo, 192.168.1.127 | Estático.
Nota: La lista de direcciones indica si la interfaz IP es estática o dinámica. Se le advertirá de que elegir una IP dinámica puede provocar una conexión inestable.
Paso 4. Haga clic en Done (Listo).
Nota: Al editar un servidor DAC existente, se preselecciona la dirección que utilizan actualmente sus clientes.
El servidor RADIUS DAC se resalta en sólido en la vista Topología.
Paso 5. Elija uno de los dispositivos SNA y haga clic en su menú Opciones.
Nota: Si no se selecciona ningún cliente, no podrá aplicar la configuración.
Si un switch ya es cliente del servidor RADIUS DAC, su dirección IP está en la tabla NAS del servidor RADIUS y el servidor RADIUS está configurado en su tabla de servidor RADIUS con el tipo de uso 802.1X o todos en la prioridad 0. Este switch está preseleccionado.
Si se elige un cliente, que ya tiene un servidor RADIUS configurado para 802.1X que no sea el servidor seleccionado anteriormente, se le notificará que el procedimiento interrumpirá la operación del servidor RADIUS existente.
Si se elige un cliente, que tiene un servidor RADIUS configurado para 802.1X en la prioridad 0 diferente del servidor seleccionado anteriormente, se muestra un mensaje de error y DAC no se configura en este cliente.
Paso 6. Haga clic en + Establecer como cliente.
Paso 7. Marque la casilla de verificación o casillas de verificación del puerto o puertos del switch cliente para aplicar las autenticaciones 802.1X.
Nota: En este ejemplo, se verifican los puertos GE1/1, GE1/2, GE1/3 y GE1/4.
Nota: El SNA recomienda una lista de todos los puertos de borde o de todos los puertos que no se sabe que están conectados a otros switches o nubes.
Paso 8. (Opcional) Haga clic en el botón Seleccionar recomendado para verificar todos los puertos recomendados.
Paso 9. Haga clic en Done (Listo). El cliente DAC RADIUS se resalta en azul discontinuo en la vista Topología.
Paso 10. Haga clic en Aplicar para guardar los cambios.
Paso 11. Introduzca una cadena de clave que utilizará el servidor RADIUS DAC con todos sus clientes en la red.
Nota: En este ejemplo, se utiliza Cisco1234.
Paso 12. (Opcional) Cambie el botón a Generado automáticamente para utilizar una cadena de clave generada automáticamente.
Paso 13. Haga clic en Continuar en la esquina superior derecha de la página.
Paso 14. Revise los cambios y haga clic en APLICAR CAMBIOS.
Paso 15. (Opcional) Desmarque la casilla de verificación Guardar en la configuración de inicio si no desea guardar la configuración en el archivo de configuración.
Paso 16. (Opcional) Si utiliza una cuenta de sólo lectura, se le puede solicitar que introduzca sus credenciales para continuar. Ingrese la contraseña en el campo Password y luego haga clic en SUBMIT.
Paso 17. La columna Estado debe contener casillas de verificación verdes que confirmen la correcta aplicación de los cambios. Haga clic en Done (Listo).
Después de configurar el DAC, se muestra una alerta cada vez que se rechaza un nuevo dispositivo no incluido en la lista de bloqueo en la red a través de un servidor RADIUS habilitado para DAC. Se le preguntará si desea agregar este dispositivo a la lista de dispositivos autorizados para permitir o enviarlo a una lista de bloqueo para que no reciba una nueva alerta.
Al informar al usuario del nuevo dispositivo, SNA proporciona la dirección MAC del dispositivo y el puerto al que el dispositivo intentó acceder a la red.
Si se recibe un evento de rechazo de un dispositivo que no es un servidor RADIUS DAC, se omite el mensaje y se ignoran todos los mensajes adicionales de este dispositivo durante los próximos 20 minutos. Después de 20 minutos, SNA verifica de nuevo si el dispositivo es un servidor RADIUS DAC. Si se agrega un usuario a la lista de permitidos, el dispositivo se agrega al grupo DAC de todos los servidores DAC. Cuando se guarda esta configuración, puede elegir si guardar esta configuración inmediatamente en la configuración de inicio del servidor. Esta opción está seleccionada de forma predeterminada.
Hasta que no se agregue un dispositivo a la lista de permitidos, no se le permite el acceso a la red. Puede ver y cambiar las listas de permitidos y bloqueados en cualquier momento, siempre y cuando se defina y alcance un servidor RADIUS DAC. Para configurar la Administración de lista DAC, vaya directamente a Administración de lista DAC.
Al aplicar la configuración de DAC, se le presenta un informe que enumera las acciones que se aplicarán a los dispositivos participantes. Después de aprobar los cambios, puede decidir si los ajustes se deben copiar adicionalmente al archivo de configuración de inicio de los dispositivos configurados. Por último, aplique las configuraciones.
El informe muestra advertencias si no se cumplen algunos pasos del proceso de configuración de DAC, junto con el estado de las acciones tal como las manejan los dispositivos.
Campo | Valor | Comentarios |
---|---|---|
Dispositivo |
Identificadores de dispositivo (nombre de host o dirección IP) |
|
Acción |
Acciones posibles para el servidor DAC:
Acciones posibles para el cliente DAC:
|
Es posible (y probable) que aparezcan varias acciones para cada dispositivo. Cada acción puede tener su propio estado. |
Advertencias |
Las advertencias posibles para el servidor DAC incluyen:
Entre las posibles advertencias para los clientes DAC se incluyen:
|
Las advertencias también contienen enlaces a las secciones del CAD en las que se pueden abordar. Los cambios se pueden aplicar cuando hay advertencias. |
Estado |
|
Cuando el estado es una falla, se muestra el mensaje de error para la acción. |
Una vez que haya agregado los dispositivos cliente y haya seleccionado cuáles de sus puertos se autenticarán, todos los dispositivos no autenticados detectados en esos puertos se agregarán a la lista de dispositivos no autenticados.
DAC admite las siguientes listas de dispositivos:
Si desea que los dispositivos y sus puertos se autenticen, deben agregarse a las listas de permitidos. Si no desea que se autenticen, no se requiere ninguna acción, ya que se agregarán a la lista de bloqueo de forma predeterminada.
Consulte el glosario para obtener información adicional.
Para agregar dispositivos a la lista de permitidos o de bloqueo, siga estos pasos:
Paso 1. Haga clic en el menú Opciones de la esquina superior izquierda de la página SNA para mostrar las opciones disponibles.
Paso 2. Elija Administración de lista DAC.
Paso 3. Haga clic en la pestaña DISPOSITIVOS NO AUTENTICADOS. Esta página mostrará la lista de todos los dispositivos no autenticados.
Nota: De manera alternativa, puede hacer clic en el icono del sistema de administración de listas DAC en la esquina superior derecha de la página SNA.
Paso 4. (Opcional) Marque la casilla de verificación junto a la dirección MAC del dispositivo o dispositivos que desea agregar a la lista de permitidos y haga clic en Agregar a la lista Permitir.
Paso 5. (Opcional) Marque la casilla de verificación junto a la dirección MAC del dispositivo o dispositivos que desea agregar a la lista de bloqueo y haga clic en Agregar a la lista de bloqueo.
Paso 6. (Opcional) Marque la casilla de verificación junto a la dirección MAC del dispositivo o dispositivos que desea descartar y haga clic en Descartar.
Nota: Todos los paquetes que ingresan en los puertos del dispositivo se autentican en el servidor RADIUS.
Ahora debería haber agregado un dispositivo a la lista Permitir o Bloquear.
Para administrar las listas de permitidos o bloqueados, haga clic en la pestaña ALLOW LIST o BLOCK LIST en consecuencia.
Puede realizar las tareas siguientes en estas páginas:
Ahora debería haber administrado los dispositivos de la lista DAC.