您可以通过 Cisco 交换机连接器为设备配置自动网络访问控制。这种类型的连接器与交换机交换信息,以发送命令来添加或删除连接到交换机的设备的网络访问拒绝规则(限制)。
设备的网络访问控制由其状态驱动。连接器在交换机上为具有“未授权”状态的设备创建拒绝规则,并在为设备分配“已授权”状态后删除规则。
每个连接器只能与一个网络交换机交换信息。
Cisco 交换机连接器用于仅限制那些详细信息包含其 MAC 地址的设备的网络访问。而且,这些 MAC 地址必须存储在网络交换机的 ARP 表中。也就是说,具有这些 MAC 地址的设备必须连接到连接器所连接的网络交换机。
连接器可以使用各种方法来限制设备的网络访问。应用程序提供了基于 MAC 地址(MAC ACL)、IP 地址(IP ACL)在交换机访问控制列表中创建拒绝规则的方法,以及通过禁用设备连接到的以太网端口的方法。
要使用禁用以太网端口的方法,请配置交换机连接以防止多个设备连接到一个端口。否则,禁用以太网端口以阻止一个设备也会阻止使用该端口连接到网络的所有设备的网络访问。
为了最大限度地降低连接器影响设备的网络辅助功能的风险,您可以在配置期间启用以下设置:
连接器通过 SSH 与网络交换机连接。SSH 连接凭证在连接器配置中指定并存储。为了保护这些对于识别和身份验证至关重要的敏感凭证,连接器会根据存储的值验证它收到的交换机公钥,以防止交换机欺骗。在验证收到的公钥与连接器中保存的公钥匹配后,识别和身份验证详细信息将发送到交换机。
连接器根据其操作的结果记录应用程序内的事件。这些事件类型通过外部技术记录。生成以下事件标头:
重置<交换机名称>的设备拒绝规则当连接器由于网络访问限制方法的改变而重置设备先前定义的拒绝规则时,会记录此类事件。
根据来自<交换机名称>的数据,更新了关于<设备名称>的信息,地址为<设备 MAC 地址>此类事件表示连接器从交换机接收到某个设备连接到某个端口的信息。
在<交换机名称>上为<设备名称>添加了设备拒绝规则当连接器限制未经授权的设备的网络访问时,会记录此类事件。
删除了<交换机名称>上<设备名称>的拒绝规则当连接器成功删除特定设备的网络访问限制时,会记录此类事件。
<交换机名称>先前已添加拒绝规则此类事件表明,连接器在打开或重新启动时发现特定交换机上存在预先存在的拒绝规则。
在未验证公钥的情况下与<交换机名称>建立了 SSH 连接当连接器成功与交换机建立 SSH 连接但无法验证其公钥时,会记录此类事件。我们建议验证网络上没有欺骗设备,然后在连接器设置中保存新的公钥。
检测到<交换机名称>的公钥不匹配当连接器检测到交换机存储的公钥和接收的公钥不匹配时,就会记录此类事件。这会阻止与交换机的 SSH 连接。我们建议验证网络上没有欺骗设备,并且交换机公钥确实已更改,然后在连接器设置中保存新的公钥。
无法与交换机<交换机名称>建立 SSH 连接:凭据不正确当连接器由于连接器设置中指定的凭证(用户名或密码)不正确而无法与交换机建立 SSH 连接时,会记录此事件。
未对交换机<交换机名称>执行特权模式操作:密码不正确当连接器没有特权模式功能来添加和删除交换机上的设备拒绝规则时,会记录此事件。这种情况下,请在连接器设置中输入正确的特权模式密码。