您可以透過Cisco 交換機連線器為裝置設定自動網路存取控制。這種類型的連線器與交換機交換訊息,以傳送命令來新增或刪除連線到交換機的裝置的網路存取拒絕規則(限制)。
裝置的網路存取控制由其狀態驅動。連線器在交換機上為具有“未授權”狀態的裝置建立拒絕規則,並在為裝置指派“已授權”狀態後刪除規則。
每個連線器只能與一個網路交換機交換資訊。
Cisco 交換機連線器用於僅限制那些詳細資訊包含其 MAC 位址的裝置的網路存取。而且,這些MAC 位址必須儲存在網路交換機的 ARP 表中。也就是說,具有這些 MAC 位址的裝置必須連線到連線器所連線的網路交換機。
連線器可以使用各種方法來限制裝置的網路存取。應用程式提供了基於 MAC 位址(MAC ACL)、IP 位址(IP ACL)在交換機存取控制清單中建立拒絕規則的方法,以及透過停用裝置連線到的乙太網路連接埠的方法。
若要使用停用乙太網路連接埠的方法,請設定交換機連線以防止多個裝置連線到一個連接埠。否則,停用乙太網路連接埠以阻止一個裝置也會阻止使用該連接埠連線到網路的所有裝置的網路存取。
為了最大限度地降低連線器影響裝置的網路輔助功能的風險,您可以在配置連線器時啟用以下設定:
連線器透過 SSH 與網路交換機連接。SSH 連線憑證在連線器設定中指定並儲存。為了防護這些對於識別和身分驗證至關重要的敏感憑證,連線器會根據儲存的值驗證它收到的交換機公鑰,以防止交換機欺騙。在驗證收到的公鑰與連線器中儲存的公鑰匹配後,識別和身分驗證詳細資訊將傳送到交換機。
連線器根據其操作的結果記錄應用程式內的事件。這些事件類型透過外部技術記錄。產生以下事件標頭:
重設<交換機名稱>的裝置拒絕規則當連線器因網路存取限制方法的變更而重設裝置先前定義的拒絕規則時,會記錄此類事件。
根據來自<交換機名稱>的資料,更新了關於<裝置名稱>的資訊,位址為<裝置 MAC 位址>此類事件表示連線器從交換機接收到某個裝置連線到某個連接埠的資訊。
在<交換機名稱>上為<裝置名稱>新增了裝置拒絕規則當連線器限制未經授權的裝置的網路存取時,會記錄此類事件。
刪除了<交換機名稱>上<裝置名稱>的拒絕規則當連線器成功刪除特定裝置的網路存取限制時,會記錄此類事件。
<交換機名稱>先前已新增拒絕規則此類事件表明,連線器在開啟或重新啟動時發現特定交換機上存在預先存在的拒絕規則。
在未驗證公鑰的情況下與<交換機名稱>建立了 SSH 連接當連線器成功與交換機建立 SSH 連線但無法驗證其公鑰時,會記錄此類事件。我們建議驗證網路上沒有欺騙裝置,然後在連線器設定中儲存新的公鑰。
偵測到<交換機名稱>的公鑰不匹配當連線器偵測到交換機儲存的公鑰和接收的公鑰不符時,就會記錄此類事件。這會阻止與交換機的 SSH 連線。我們建議驗證網路上沒有欺騙裝置,並且交換機公鑰確實已變更,然後在連線器設定中儲存新的公鑰。
無法與交換機<交換機名稱>建立 SSH 連線:憑證不正確當連線器因連線器設定中指定的憑證(使用者名稱或密碼)不正確而無法與交換機建立 SSH 連線時,會記錄此事件。
未對交換機<交換機名稱>執行特權模式操作:密碼不正確當連線器沒有特權模式功能來新增和刪除交換機上的裝置拒絕規則時,會記錄此事件。這種情況下,請在連線器設定中輸入正確的特權模式密碼。