SNA(Smart Network Application)를 통해 DAC(Device Authorization Control) 관리 구성

목표

SNA(Smart Network Application) 시스템은 디바이스 및 트래픽에 대한 자세한 모니터링 정보를 포함하여 네트워크 토폴로지의 개요를 표시합니다.SNA를 사용하면 네트워크에서 지원되는 모든 디바이스에서 컨피그레이션을 전체적으로 보고 수정할 수 있습니다.

SNA에는 네트워크에서 인증된 클라이언트 장치 목록을 구성할 수 있는 DAC(Device Authorization Control)라는 기능이 있습니다.DAC는 네트워크의 SNA 디바이스에서 802.1X 기능을 활성화하며, SNA 디바이스 중 하나에 내장된 RADIUS(Remote Authentication Dial-In User Service) 또는 RADIUS 호스트 서버를 구성할 수 있습니다.DAC는 MAC(Media Access Control) 인증을 통해 수행됩니다.

이 문서에서는 SNA를 통해 DAC 관리를 구성하는 방법에 대한 지침을 제공합니다.

적용 가능한 디바이스

• SX350 시리즈
• SG350X 시리즈
• SX550X 시리즈

참고:Sx250 Series의 디바이스는 네트워크에 연결되었을 때 SNA 정보를 제공할 수 있지만 이러한 디바이스에서 SNA를 시작할 수는 없습니다.

소프트웨어 버전

• 2.2.5.68

DAC 워크플로

다음 단계를 통해 DAC 관리를 구성할 수 있습니다.

• DAC 활성화
• RADIUS 서버 및 클라이언트 구성
• DAC 목록 관리

DAC 활성화

DAC에 액세스하고 활성화하려면 다음 단계를 수행합니다.

1단계. 사용 가능한 옵션을 표시하려면 SAN 페이지의 왼쪽 위 모서리에 있는 옵션 메뉴를 클릭합니다.

2단계. Edit DAC mode(DAC 모드 편집)를 선택합니다.

이제 DAC 편집 모드가 활성화됩니다.토폴로지 맵 아래의 파란색 프레임과 화면 하단의 컨트롤 패널이 표시됩니다.

3단계. (선택 사항) DAC 편집 모드를 종료하려면 Exit 버튼을 클릭합니다.

RADIUS 서버 및 클라이언트 구성

1단계. Topology(토폴로지) 보기에서 SNA 디바이스 중 하나를 선택하고 Options(옵션) 메뉴를 클릭합니다.

2단계. + Set as DAC server를 클릭합니다.

3단계. 디바이스에 하나 이상의 IP 주소가 있는 경우 DAC에서 사용할 주소 중 하나를 선택합니다.이 예에서는 192.168.1.127 | Static을 선택합니다.

참고:주소 목록은 IP 인터페이스가 정적인지 동적인지 나타냅니다.동적 IP를 선택하면 연결이 불안정해질 수 있다는 경고가 표시됩니다.

4단계. 완료를 클릭합니다.

참고:기존 DAC 서버를 편집할 때 클라이언트에서 현재 사용하는 주소가 미리 선택됩니다.

DAC RADIUS 서버는 Topology(토폴로지) 보기에서 솔리드로 강조 표시됩니다.

5단계. SNA 디바이스 중 하나를 선택하고 Options 메뉴를 클릭합니다.

참고:클라이언트를 선택하지 않으면 설정을 적용할 수 없습니다.

스위치가 이미 DAC RADIUS 서버의 클라이언트인 경우 IP 주소는 RADIUS 서버의 NAS 테이블에 있고 RADIUS 서버는 사용 유형 802.1X 또는 모두 우선순위 0으로 RADIUS 서버 테이블에 구성됩니다. 이 스위치는 미리 선택되어 있습니다.

이전에 선택한 서버 이외의 802.1X에 대해 구성된 RADIUS 서버가 있는 클라이언트를 선택한 경우 절차에서는 기존 RADIUS 서버 작업을 중단한다는 알림이 표시됩니다.

이전에 선택한 서버 이외의 우선순위 0에서 802.1X에 대해 구성된 RADIUS 서버가 있는 클라이언트를 선택한 경우 오류 메시지가 표시되고 이 클라이언트에 DAC가 구성되지 않습니다.

6단계. + Set as client를 클릭합니다.

7단계. 802.1X 인증을 적용하려면 클라이언트 스위치에서 포트 또는 포트의 확인란 또는 확인란을 선택합니다.

참고:이 예에서는 GE1/1, GE1/2, GE1/3 및 GE1/4 포트를 확인합니다.

참고:SNA는 모든 에지 포트 또는 다른 스위치나 클라우드에 연결되지 않은 모든 포트의 목록을 권장합니다.

8단계. (선택 사항) Select Recommended(권장 선택) 버튼을 클릭하여 모든 권장 포트를 확인합니다.

9단계. 완료를 클릭합니다.DAC RADIUS 클라이언트는 Topology(토폴로지) 보기에서 파선으로 강조 표시됩니다.

10단계. 적용을 눌러 변경 사항을 저장합니다.

11단계. DAC RADIUS 서버가 네트워크의 모든 클라이언트와 함께 사용할 키 문자열을 입력합니다.

참고:이 예에서는 Cisco1234가 사용됩니다.

12단계(선택 사항) 자동 생성 키 문자열을 사용하려면 버튼을 자동 생성으로 전환합니다.

13단계. 페이지 오른쪽 상단 모서리에서 계속을 클릭합니다.

14단계. 변경 사항을 검토한 다음 변경 사항 적용을 누릅니다.

15단계. (선택 사항) 컨피그레이션 파일에 설정을 저장하지 않으려면 Save to startup configuration(시작 컨피그레이션에 저장) 확인란의 선택을 취소합니다.

16단계. (선택 사항) 읽기 전용 계정을 사용하는 경우 계속하려면 자격 증명을 입력하라는 메시지가 표시될 수 있습니다.Password(비밀번호) 필드에 비밀번호를 입력한 다음 SUBMIT(제출)을 클릭합니다.

17단계. Status(상태) 열에는 성공적인 변경 사항 적용을 확인하는 녹색 확인란이 포함되어야 합니다.완료를 클릭합니다.

DAC를 구성한 후에는 DAC 지원 RADIUS 서버를 통해 네트워크에서 새 비차단 목록에 나열된 디바이스가 거부될 때마다 알림이 표시됩니다.이 디바이스를 승인된 디바이스 허용 목록에 추가할지 아니면 차단 목록에 전송할지를 묻는 메시지가 표시됩니다. 그러면 다시 알림을 받지 않습니다.

새 디바이스의 사용자에게 알릴 때 SNA는 디바이스의 MAC 주소와 디바이스가 네트워크에 액세스하려고 시도한 포트를 제공합니다.

DAC RADIUS 서버가 아닌 디바이스에서 거부 이벤트가 수신되면 메시지는 무시되고 앞으로 20분 동안 이 디바이스에서 오는 모든 추가 메시지는 무시됩니다.20분 후 SNA는 디바이스가 DAC RADIUS 서버인지 다시 확인합니다.사용자가 허용 목록에 추가되면 디바이스가 모든 DAC 서버의 DAC 그룹에 추가됩니다.이 컨피그레이션이 저장되면 이 설정을 서버의 시작 컨피그레이션에 즉시 저장할지 여부를 선택할 수 있습니다.이 옵션은 기본적으로 선택되어 있습니다.

장치가 허용 목록에 추가될 때까지 네트워크에 대한 액세스가 허용되지 않습니다.DAC RADIUS 서버가 정의되고 도달할 수 있는 한 언제든지 허용 및 차단 목록을 보고 변경할 수 있습니다.DAC 목록 관리를 구성하려면 DAC 목록 관리로 건너뜁니다.

DAC 설정을 적용할 때 참여 디바이스에 적용될 작업을 나열하는 보고서가 표시됩니다.변경 사항을 승인하면 설정을 구성된 디바이스의 시작 컨피그레이션 파일에 추가로 복사할지 여부를 결정할 수 있습니다.마지막으로 컨피그레이션을 적용합니다.

DAC 컨피그레이션 프로세스의 일부 단계가 누락되면 디바이스에서 처리한 작업의 상태와 함께 경고가 표시됩니다.

필드	가치	설명
장치	디바이스 식별자(호스트 이름 또는 IP 주소)
작업	DAC 서버에 가능한 작업: RADIUS 서버 활성화 RADIUS 서버 비활성화 클라이언트 목록 업데이트 RADIUS 서버 그룹 생성 RADIUS 서버 그룹 삭제 DAC 클라이언트에 가능한 작업: RADIUS 서버 연결 추가 RADIUS 서버 연결 업데이트 RADIUS 서버 연결 제거 802.1x 설정 업데이트 인터페이스 인증 설정 업데이트 인터페이스 호스트 및 세션 설정 업데이트	각 디바이스에 대해 여러 작업이 나타날 수 있으며 그럴 가능성이 있습니다. 각 작업은 고유한 상태를 가질 수 있습니다.
경고	DAC 서버에 대한 가능한 경고: 선택한 IP 인터페이스는 동적입니다. DAC 클라이언트에 대해 다음과 같은 경고가 발생할 수 있습니다. 디바이스가 이미 다른 RADIUS 서버의 클라이언트입니다. 포트를 선택하지 않았습니다.	경고에는 DAC의 섹션으로 연결되는 링크도 포함되어 있습니다. 여기서 이 링크를 해결할 수 있습니다. 경고가 있을 경우 변경 사항을 적용할 수 있습니다.
상태	보류 중 성공 실패	상태가 오류인 경우 작업에 대한 오류 메시지가 표시됩니다.

DAC 목록 관리

클라이언트 디바이스를 추가하고 해당 포트 중 인증할 포트를 선택하면 해당 포트에서 탐지된 인증되지 않은 모든 디바이스가 인증되지 않은 디바이스 목록에 추가됩니다.

DAC는 다음 디바이스 목록을 지원합니다.

• 허용 목록 — 인증할 수 있는 모든 클라이언트의 목록이 포함됩니다.
• 차단 목록 — 인증되지 않아야 하는 클라이언트 목록을 포함합니다.

디바이스와 해당 포트를 인증하려면 허용 목록에 추가해야 합니다.인증되지 않도록 하려면 기본적으로 차단 목록에 추가되므로 어떤 작업도 필요하지 않습니다.

자세한 내용은 용어집을 참조하십시오.

허용 목록 또는 차단 목록에 장치 추가

허용 목록 또는 차단 목록에 디바이스를 추가하려면 다음 단계를 수행합니다.

1단계. 사용 가능한 옵션을 표시하려면 SAN 페이지의 왼쪽 위 모서리에 있는 옵션 메뉴를 클릭합니다.

2단계. DAC 목록 관리를 선택합니다.

3단계. UNAUTHENTICATED DEVICES(인증되지 않은 디바이스) 탭을 클릭합니다.이 페이지에는 인증되지 않은 모든 디바이스의 목록이 표시됩니다.

참고:또는 SAN 페이지의 오른쪽 위에 있는 DAC List Management System 아이콘을 클릭할 수 있습니다.

4단계. (선택 사항) 허용 목록에 추가할 디바이스의 MAC 주소 옆에 있는 확인란을 선택하고 Add to Allow 목록을 클릭합니다.

5단계. (선택 사항) 차단 목록에 추가할 디바이스의 MAC 주소 옆에 있는 확인란을 선택하고 Add to Block 목록을 클릭합니다.

6단계. (선택 사항) 해제할 디바이스의 MAC 주소 옆에 있는 확인란을 선택하고 Dismiss를 클릭합니다.

참고:디바이스의 포트에 들어오는 모든 패킷은 RADIUS 서버에서 인증됩니다.

이제 허용 목록 또는 차단 목록에 디바이스를 추가해야 합니다.

허용 목록 또는 차단 목록의 장치 관리

허용 목록 또는 차단 목록을 관리하려면 ALLOW LIST 또는 BLOCK LIST 탭을 적절히 클릭합니다.

이 페이지에서 다음 작업을 수행할 수 있습니다.

• 목록에서 제거 — 이 작업은 선택한 장치를 목록에서 제거합니다.
• Move to Block(차단 목록) 또는 Move to Allow(허용 목록으로 이동) 목록 — 이 작업을 수행하면 선택한 디바이스 또는 디바이스가 지정된 목록으로 이동합니다.
• 디바이스 추가 — 이 작업은 해당 MAC 주소를 입력하고 ADD+ 버튼을 클릭하여 차단 또는 허용 목록에 디바이스를 추가합니다.
• MAC 주소를 사용하여 디바이스 검색 — MAC 주소를 입력하고 검색  단추를 클릭합니다.

이제 DAC 목록에서 디바이스를 관리해야 합니다.