Вы можете настроить автоматическое управление сетевым доступом устройств с помощью коннекторов типа Cisco Switch. Коннекторы этого типа соединяются с сетевыми коммутаторами и отправляют на эти коммутаторы команды, добавляющие или удаляющие правила блокировки (ограничения) сетевого доступа для устройств, которые подключены к коммутаторам.
Управление сетевым доступом устройств осуществляется в зависимости от их статусов. Коннектор создает на сетевом коммутаторе правила блокировки для устройств со статусом Неразрешенное и удаляет такие правила после присвоения устройствам статуса Разрешенное.
Каждый коннектор может устанавливать соединение только с одним сетевым коммутатором.
Ограничение сетевого доступа с помощью коннектора типа Cisco Switch выполняется для тех устройств, в сведениях о которых указаны их MAC-адреса. Также эти MAC-адреса должны храниться в ARP-таблице сетевого коммутатора. То есть, устройства с этими MAC-адресами должны быть подключены к сетевому коммутатору, с которым соединяется коннектор.
Коннектор может использовать различные методы для ограничения сетевого доступа устройств. Предусмотрены методы создания правил блокировки в списках контроля доступа коммутатора по MAC-адресам (MAC ACL), по IP-адресам (IP ACL), а также с отключением Ethernet-портов, к которым подключены устройства.
Для использования метода отключения Ethernet-портов вам нужно настроить конфигурацию подключений к сетевому коммутатору таким образом, чтобы исключить соединение нескольких устройств через один порт. Иначе при отключении Ethernet-порта для блокировки одного устройства сетевой доступ будет также заблокирован для всех устройств, которые соединены с сетью через этот порт.
Для минимизации рисков влияния коннектора на сетевую доступность устройств, правомерно участвующих в технологическом процессе, вы можете включить следующие параметры при настройке коннектора:
Коннектор соединяется с сетевым коммутатором путем установки SSH-соединения. Учетные данные для установки SSH-соединения указываются при настройке параметров коннектора и сохраняются в нем. Эти учетные данные, представляющие идентификационную и аутентификационную информацию, требуется защищать от компрометации. Для защиты от компрометации, которая возможна в случае подмены сетевого коммутатора, в коннекторе предусмотрена функция проверки сохраненного открытого ключа коммутатора и полученного открытого ключа. Передача идентификационной и аутентификационной информации на сетевой коммутатор происходит после проверки идентичности полученного открытого ключа и открытого ключа, сохраненного в коннекторе.
В процессе работы коннектор регистрирует в программе события по результатам выполненных действий. События регистрируются по технологии Внешние системы. Предусмотрены события со следующими заголовками:
Для коммутатора <имя коммутатора> сброшены правила блокировки устройствЭто событие регистрируется, если при изменении метода ограничения сетевого доступа в коннекторе сброшены правила, которые ранее были заданы для блокировки устройств.
Обновлены сведения об устройстве <имя устройства> с адресом <MAC-адрес устройства> по данным от коммутатора <имя коммутатора>Это событие регистрируется, если от сетевого коммутатора получена информация о подключении устройства к определенному порту.
Добавлено правило блокировки устройства <имя устройства> на коммутаторе <имя коммутатора>Это событие регистрируется, если ограничен сетевой доступ неразрешенного устройства.
Удалено правило блокировки устройства <имя устройства> на коммутаторе <имя коммутатора>Это событие регистрируется, если снято ограничение сетевого доступа устройства.
На коммутаторе <имя коммутатора> есть правила блокировки устройств, добавленные ранееЭто событие регистрируется, если после включения или перезапуска коннектора найдены устройства, для которых ранее были применены ограничения сетевого доступа.
Установлено SSH-соединение с коммутатором <имя коммутатора> без проверки открытого ключаЭто событие регистрируется, если коннектор установил SSH-соединение с сетевым коммутатором, однако проверка полученного открытого ключа коммутатора не выполнена. В этом случае вам нужно убедиться в отсутствии подменного устройства в сети и после этого сохранить в параметрах коннектора полученный открытый ключ.
Обнаружено несовпадение открытого ключа коммутатора <имя коммутатора>Это событие регистрируется, если при проверке полученного открытого ключа сетевого коммутатора обнаружено несовпадение со значением, сохраненным в параметрах коннектора. Из-за этого SSH-соединение с коммутатором не установлено. В этом случае вам нужно убедиться как в отсутствии подменного устройства в сети, так и в действительном изменении открытого ключа коммутатора и после этого сохранить в параметрах коннектора полученный открытый ключ.
Отказ в установке SSH-соединения с коммутатором <имя коммутатора>: неверные учетные данныеЭто событие регистрируется, если коннектору не удалось установить SSH-соединение с коммутатором из-за неверно указанных учетных данных в параметрах коннектора (имя пользователя и/или пароль).
На коммутаторе <имя коммутатора> не выполнено действие для привилегированного режима: неверный парольЭто событие регистрируется, если коннектору недоступны функции привилегированного режима для выполнения действий по добавлению и удалению правил блокировки устройств на коммутаторе. В этом случае вам нужно ввести правильный пароль привилегированного режима в параметрах коннектора.