IE3x00 MACsec kaj la MACsec Key Agreement Protocol
Produktaj Informoj
Specifoj
- Normo: IEEE 802.1AE
- Subtenataj Havenoj: 1 gigabit-eterretaj malsuprenligaj havenoj
- Ĉifrado: 802.1AE ĉifrado kun MACsec Ŝlosila Interkonsento
(MKA)
Produktaj Uzado-Instrukcioj
Ebligante MACsec kaj MKA
Por ebligi MACsec kaj MKA sur interfaco, sekvu ĉi tiujn
paŝoj:
- Apliki difinitan MKA-politikon al la interfaco.
- Agordu la deziratajn eblojn por MKA.
Politikoj de MKA
MKA-politikoj difinas la konduton de MACsec kaj MKA sur an
interfaco. Vi povas agordi la jenajn eblojn:
- Unu-Gastiga Reĝimo: Ĉi tiu reĝimo sekurigas ununuran EAP aŭtentikigitan
sesio uzante MACsec kaj MKA.
MKA-Statistiko
Vi povas akiri informojn pri la stato de MKA-sesioj kaj
view MKA-statistiko. Kelkaj gravaj nombriloj kaj informoj
inkluzivas:
- Totalaj MKA-Sesioj: La totala nombro de aktiva MKA
kunsidoj. - Sekurigitaj Sesioj: La nombro de nuntempe sekurigitaj MKA
kunsidoj. - Pritraktataj Sesioj: La nombro da pritraktataj MKA-sesioj.
Example Komanda Eligo:
Ŝaltilo# montru mka-sesiojn Totalaj MKA-sesioj....... 1 Sekurigitaj Sesioj... 1 Pritraktataj Sesioj... 0 Interfaco Loka-TxSCI Politiko-Nomo Heredita Ŝlosilo-Servilo Port-ID Peer-RxSCI MACsec-Samideanoj Statuso CKN Gi1/0/1 204c.9e85.ede4/002b p2 NE JES 43 c800.8459.e764/002a 1 Sekurigita 0100000000000000000000000000000000000000000000000000000000000000
MKA Detala Statuso
Vi povas akiri detalajn statusinformojn por specifa MKA
kunsido. La informoj inkluzivas:
- Statuso: La nuna stato de la MKA-sesio (ekz.
SECURITA). - Loka Tx-SCI: La loka Transmit Secure Channel
Identigilo. - Interfaco MAC-adreso: La MAC-adreso de la interfaco.
- MKA Port Identifier: La havenidentigilo por MKA.
- Audit Session ID: La revizia sesio-ID.
- CAK Nomo (CKN): La nomo de la Connectivity Association Key
(CKN). - Member Identifier (MI): La membroidentigilo.
- Mesaĝnumero (MN): La mesaĝnumero.
- EAP Role: La EAP-rolo.
- Ŝlosila Servilo: Indikas ĉu la aparato estas ŝlosila servilo (JES
aŭ NE). - MKA Cipher Suite: La ĉifrsuito uzita fare de MKA.
- Plej nova SAK-Statuso: La stato de la plej nova Sekura Asocio
Ŝlosilo (SAK) por ricevi kaj transdoni. - Plej nova SAK AN: La plej nova SAK-Asocio-Numero.
- Plej nova SAK KI (KN): La plej nova SAK Key Identifier (KN).
- Old SAK Status: La statuso de la malnova SAK.
- Malnova SAK AN: La malnova SAK-Asocio-Numero.
- Malnova SAK KI (KN): La malnova SAK Key Identifier (KN).
Example Komanda Eligo:
Ŝaltilo#montri interfacon de MKA-sesioj G1/0/1 de MKA Detala Statuso por MKA-Sesio ================================ === Statuso: SECURIDA - Sekurigita MKA-Sesio kun MACsec Loka Tx-SCI............. 204c.9e85.ede4/002b Interfaco MAC-Adreso.... 204c.9e85.ede4 MKA Haveno Identifier...... 43 Interfaco-Nomo........... GigabitEthernet1/0/1 Audit Session ID......... CAK-Nomo (CKN)....... .... 0100000000000000000000000000000000000000000000000000000000000000 ............. JES MKA Cipher Suite......... AES-46-CMAC Plej lasta SAK-Stato........ Rx & Tx Plej lasta SAK AN.. .......... 05 Plej lasta SAK KI (KN)....... D5CBEC67594543D89567D128CEAE0 (46) Malnova SAK-Stato........... UNUA-SAK Malnova SAK AN.. ............. 05 Malnova SAK KI (KN).......... UNUA-SAK (5)
Oftaj Demandoj (Oftaj Demandoj)
Q: Kiuj havenoj subtenas MACsec sur la ESS-3300?
R: MACsec estas subtenata sur 1 gigabit-eterretaj malsuprenligaj havenoj
nur.
D: Kion signifas MKA?
R: MKA signifas MACsec Key Agreement.
Q: Kiel mi povas ebligi MACsec kaj MKA sur interfaco?
R: Por ebligi MACsec kaj MKA sur interfaco, apliku difinitan MKA
politiko al la interfaco kaj agordi la deziratajn elektojn por
MKA.
Q: Kio estas la celo de MKA-politiko?
A: MKA-politiko difinas la konduton de MACsec kaj MKA sur an
interfaco.
Q: Kiel mi povas view MKA-statistiko?
R: Vi povas uzi la komandon "montri mka statistikon". view MKA
statistikoj, inkluzive de la totala nombro de MKA-sesioj, sekurigitaj
sesioj, kaj pritraktataj sesioj.
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Ĉi tiu ĉapitro enhavas la sekvajn sekciojn: · MACsec kaj la MACsec Ŝlosila Interkonsento (MKA) Protokolo, sur paĝo 1 · Atestilo Bazita MACsec , sur paĝo 2 · MKA Politikoj, sur paĝo 2 · Single-Host Mode, sur paĝo 2 · MKA-Statistiko, sur paĝo 3 · Kiel Agordi MACsec Ĉifradon, sur paĝo 8
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
MACsec estas la IEEE 802.1AE normo por aŭtentikigi kaj ĉifri pakaĵetojn inter du MACsec-kapablaj aparatoj. La ŝaltilo subtenas 802.1AE-ĉifradon kun MACsec Key Agreement (MKA) sur malsuprenligaj havenoj por ĉifrado inter la ŝaltilo kaj gastigaj aparatoj. La MKA-protokolo disponigas la postulatajn sesiajn ŝlosilojn kaj administras la postulatajn ĉifradŝlosilojn.
Grava Sur la ESS-3300, MACsec estas subtenata nur sur 1 gigabit-eterretaj malsuprenligaj havenoj.
MACsec kaj MACsec Key Agreement (MKA) estas efektivigitaj post sukcesa aŭtentigo uzante atestil-bazitan MACsec aŭ Pre Shared Key (PSK) kadron. Vi povas kontroli la konduton de neĉifritaj pakaĵoj sur interfaco kiam MACsec estas ebligita uzante la komandon macsec access-control {must-secure | devus-sekurigi}. Kiam MACsec estas ebligita sur interfaco, la tuta interfaca trafiko estas sekurigita defaŭlte (tio estas, nepre sekura estas la defaŭlta agordo). La macsec-alirkontrolo devas-sekura agordo ne permesas iujn ajn neĉifritajn pakaĵetojn esti transdonitaj aŭ ricevitaj de la sama fizika interfaco. Trafiko estas ĉesigita ĝis la MKA-sesio estas sekurigita. Tamen, por ebligi MACsec sur elektitaj interfacoj, vi povas elekti permesi neĉifritajn pakaĵojn esti transdonitaj aŭ ricevitaj de la sama fizika interfaco agordante macsec-alirkontrolon al devus-sekura. Ĉi tiu opcio permesas neĉifritan trafikon flui ĝis la MKA-sesio estas sekurigita. Post kiam la MKA-sesio estas sekurigita, nur ĉifrita trafiko povas flui. Por agordaj detaloj, vidu Agordi MACsec MKA sur Interfaco uzante PSK, sur paĝo 15.
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 1
Atestilo Bazita MACsec
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Atestilo Bazita MACsec
La Atestilo-bazita MACsec Ĉifrado-trajto uzas 802.1X haven-bazitan aŭtentikigon kun Extensible Authentication Protocol Transport Layer Security (EAP-TLS) por porti Atestojn por havenoj kie MACsec-ĉifrado estas postulata. EAP-TLS-mekanismo estas uzita por la reciproka aŭtentikigo kaj por ricevi la Master Session Key (MSK) de kiu la Connectivity Association Key (CAK) estas derivita por la MACsec Key Agreement (MKA) protokolo. Ĉi tiu funkcio permesas al ŝlosiloj esti administritaj ĉe alcentrigita servilo (CA) super PSK (Pre-Shared Key) bazita MACsec. Ŝaltilo por ŝanĝi MACsec estas subtenata. Vidu Agordo de Atestilo Bazita MACsec, sur paĝo 16 por pliaj informoj.
Limigoj kaj Limigoj
Atestilo bazita MACsec havas ĉi tiujn limigojn kaj restriktojn: · Havenoj devus esti en alirreĝimo aŭ trunkreĝimo. · MKA ne estas subtenata sur havenaj kanaloj. · Alta Havebleco por MKA ne estas subtenata. · Havenoj kun neniu switchport ne estas subtenataj. · ESS3300-suprenligaj havenoj ne havas PHY kaj tial ne subtenas MACSec.
Politikoj de MKA
Por ebligi MKA sur interfaco, difinita MKA-politiko devus esti aplikita al la interfaco. Vi povas agordi ĉi tiujn opciojn:
· Politiknomo, ne superi 16 ASCII-signojn. · Konfidenco (ĉifrado) kompenso de 0, 30, aŭ 50 bajtoj por ĉiu fizika interfaco
Unu-Gastiga Reĝimo
La figuro montras kiel ununura EAP aŭtentikigita sesio estas sekurigita de MACsec uzante MKA.
Figuro 1: MACsec en Unu-Gastiga Reĝimo kun Sekurigita Datuma Sesio
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 2
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
MKA-Statistiko
MKA-Statistiko
Kelkaj MKA-nombriloj estas agregitaj tutmonde, dum aliaj estas ĝisdatigitaj kaj tutmonde kaj per sesio. Vi ankaŭ povas akiri informojn pri la stato de MKA-sesioj.
Ĉi tio estas eksampla eligo de la komando show mka statistics:
Ŝaltilo# montri mka-sesiojn
Tutaj MKA-Sesioj……. 1 Sekurigitaj Sesioj... 1 Pritraktataj Sesioj... 0
================================================== ==================================================
Interfaco
Loka-TxSCI
Politiko-Nomo
Heredita
Ŝlosilo-Servilo
Haveno-ID
Peer-RxSCI
MACsec-Samideanoj
Statuso
CKN
================================================== ==================================================
Gi1/0/1
204c.9e85.ede4/002b p2
NE
JES
43
c800.8459.e764/002a 1
Sekurigita
0100000000000000000000000000000000000000000000000000000000000000
Ŝaltilo#montri interfacon de mka-sesioj G1/0/1
Resumo de Ĉiuj Nuntempe Aktivaj MKA-Sesioj sur Interfaco GigabitEthernet1/0/1...
================================================== ==================================================
Interfaco
Loka-TxSCI
Politiko-Nomo
Heredita
Ŝlosilo-Servilo
Haveno-ID
Peer-RxSCI
MACsec-Samideanoj
Statuso
CKN
================================================== ==================================================
Gi1/0/1
204c.9e85.ede4/002b p2
NE
JES
43
c800.8459.e764/002a 1
Sekurigita
0100000000000000000000000000000000000000000000000000000000000000
Ŝaltilo#montri mka-sesiajn interfacon G1/0/1 de
MKA Detala Statuso por MKA -Sesio ===================================== Statuso: Sekurigita - Sekurigita MKA -Sesio kun MacSec
Loka Tx-SCI…………. 204c.9e85.ede4/002b Interfaco MAC-adreso... 204c.9e85.ede4 MKA Port Identifier…… 43 Interfaco-Nomo……….. GigabitEthernet1/0/1 Audit Session ID……… CAK-Nomo (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 46 Membro-Identigilo (MI)... D05CBEC5D67594543D89567CEAE Mesaĝnumero ( MN)…… 128 EAP-Rolo…………….. NA Key Server…………… JES MKA Cipher Suite……… AES-XNUMX-CMAC
Plej lasta SAK-Stato…….. Rx & Tx Plej lasta SAK AN………… 0 Plej lasta SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) Malnova SAK-Stato……….. UNUA-SAK Malnova SAK AN…………… 0 Malnova SAK KI (KN)………. UNUA SAK (0)
SAK Transsend Wait Time... 0s (Ne atendante ke iuj samuloj respondu) SAK Retire Time………. 0s (Neniu Malnova SAK por retiriĝi)
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 3
MKA-Statistiko
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Nomo de Politiko de MKA………. p2 Ŝlosila Servilo Prioritato…… 2 Prokrasto Protekto……… NE Reludi Protekto…….. JES Ripeti Fenestra Grandeco……. 0 Konfidenca Ofseto... 0 Algoritmo-Lerteco... .. 80C201 Sendi Sekura Anonco.. HABILITA SAK Cipher Suite……… 0080C20001000001 (GCM-AES-128) MACsec Kapablo…….. 3 (MACsec Integriteco, Malsaneco de MACsec) ……….. JES
Nombro de MACsec Kapablaj Vivaj Samuloj Respondis.. 1
Listo de Vivaj Kunuloj:
MI
MN
Rx-SCI (kunulo)
KS Prioritato
————————————————————————-
38046BA37D7DA77E06D006A9 89555
c800.8459.e764/002a 10
Listo de Eblaj Kunuloj:
MI
MN
Rx-SCI (kunulo)
KS Prioritato
————————————————————————-
Listo de Dormaj Kunuloj:
MI
MN
Rx-SCI (kunulo)
KS Prioritato
————————————————————————-
Ŝaltilo#montri mka-sesiojn de Ŝaltilo#montri mka-sesiojn detalojn
MKA Detala Statuso por MKA -Sesio ===================================== Statuso: Sekurigita - Sekurigita MKA -Sesio kun MacSec
Loka Tx-SCI…………. 204c.9e85.ede4/002b Interfaco MAC-adreso... 204c.9e85.ede4 MKA Port Identifier…… 43 Interfaco-Nomo……….. GigabitEthernet1/0/1 Audit Session ID……… CAK-Nomo (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 46 Membro-Identigilo (MI)... D05CBEC5D67594543D89572CEAE Mesaĝnumero ( MN)…… 128 EAP-Rolo…………….. NA Key Server…………… JES MKA Cipher Suite……… AES-XNUMX-CMAC
Plej lasta SAK-Stato…….. Rx & Tx Plej lasta SAK AN………… 0 Plej lasta SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) Malnova SAK-Stato……….. UNUA-SAK Malnova SAK AN…………… 0 Malnova SAK KI (KN)………. UNUA SAK (0)
SAK Transsend Wait Time... 0s (Ne atendante ke iuj samuloj respondu) SAK Retire Time………. 0s (Neniu Malnova SAK por retiriĝi)
Nomo de Politiko de MKA………. p2 Ŝlosila Servilo Prioritato…… 2 Prokrasto Protekto……… NE Reludi Protekto…….. JES Ripeti Fenestra Grandeco……. 0 Konfidenca kompenso... 0 Algoritma lerteco... 80C201
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 4
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
MKA-Statistiko
SAK Cipher Suite……… 0080C20001000001 (GCM-AES-128) MACsec Kapablo…….. 3 (MACsec Integreco, Konfidenco, & Ofseto) MACsec Dezirata……….. JES
Nombro de MACsec Kapablaj Vivaj Samuloj Respondis.. 1
Listo de Vivaj Kunuloj:
MI
MN
Rx-SCI (kunulo)
KS Prioritato
————————————————————————-
38046BA37D7DA77E06D006A9 89560
c800.8459.e764/002a 10
Listo de Eblaj Kunuloj:
MI
MN
Rx-SCI (kunulo)
KS Prioritato
————————————————————————-
Listo de Dormaj Kunuloj:
MI
MN
Rx-SCI (kunulo)
KS Prioritato
————————————————————————-
Ŝaltilo#sh mka pol
Resumo de Politiko de MKA...
Politiko
KS
Malfrua Reludi Fenestron Konf-ĉifro
Interfacoj
Nomo
Priority Protect Protect Size Offset Suite(j)
Aplikita
==================================================== ==================================================== ==
*DEFORTA POLITIKO* 0
FALSA VERA 0
0
GCM-AES-128
p1
1
FALSA VERA 0
0
GCM-AES-128
p2
2
FALSA VERA 0
0
GCM-AES-128
Gi1/0/1
Switch#sh mka poli
Ŝaltilo#sh mka politiko p2
Ŝaltilo#sh mka politiko p2 ?
detalo Detala agordo/informoj por MKA-Politiko
sesioj Resumo de ĉiuj aktivaj MKA-Sesioj kun politiko aplikata
|
Eligo-modifiloj
Ŝaltilo#sh mka politiko p2 de
MKA-Politiko-Agordo ("p2") ========================= MKA-Politika Nomo…….. p2 Ŝlosila Servilo Prioritato…. 2 Konfidencialeco Offset. 0 Sendu Sekuran Anoncon..MABILITITA(j) Cipher Suite(j)…….. GCM-AES-128
Aplikataj Interfacoj... GigabitEthernet1/0/1
Ŝaltilo#sh mka politiko p2
Resumo de Politiko de MKA...
Politiko
KS
Malfrua Reludi Fenestron Konf-ĉifro
Interfacoj
Nomo
Priority Protect Protect Size Offset Suite(j)
Aplikita
==================================================== ==================================================== ==
p2
2
FALSA VERA 0
0
GCM-AES-128
Gi1/0/1
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 5
MKA-Statistiko
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Ŝalti#sh mka se? kunsidoj
Ŝaltilo#sh mka ? defaŭlta-politiko ŝlosilĉenoj politiko antaŭdividitaj ŝlosiloj sesioj statistika resumo
Detaloj pri defaŭltaj politikoj de MKA MKA Antaŭdividitaj ŝlosiloj Ŝlosilĉenoj MKA-politikaj agordaj informoj MKA Antaŭdividitaj ŝlosiloj MKA Resumo de sesioj Tutmonda MKA-statistiko Resumo de sesioj de MKA kaj tutmondaj statistikoj
Ŝaltigu#sh mka statis
Ŝalti#sh mka statistiko ?
interfaco Statistiko por MKA-Sesio sur interfaco
local-sci Statistiko por MKA-Sesio identigita per ĝia Loka Tx-SCI
|
Eligo-modifiloj
Ŝaltilo#sh mka statistiko inter Ŝaltilo#montri mka statistika interfaco G1/0/1
MKA-Statistiko por Sesio ========================== Reaŭtentikigaj Provoj.. 0
CA Statistiko Duopaj CAK-oj Derivitaj... 0 Duopaj CAK-Reŝlosiloj... 0 Grupoj CAK-oj Generitaj.... 0 Grupo CAK-oj Ricevitaj... 0
SA Statistiko SAK-oj Generataj………. 1 SAK-oj Reŝlositaj………… 0 SAK-oj Ricevitaj……….. 0 SAK-Respondoj Ricevitaj.. 1
MKPDU-Statistiko MKPDU-oj Validigitaj & Rx... 89585 "Distribuita SAK".. 0 "Distribuita CAK".. 0 MKPDU-oj Transdonitaj...… 89596 "Distribuita SAK".. 1 "Distribuita CAK".. 0
Ŝaltilo#montri mka ?
default-policy Detaloj pri Defaŭlta Politiko de MKA
ŝlosilĉenoj
MKA Antaŭ-Dividita-Ŝlosilo-Ŝlosilĉenoj
politiko
Informoj pri agorda politiko de MKA
presharedkeys MKA Antaŭdividitaj Ŝlosiloj
kunsidoj
Resumo de MKA Sesioj
statistiko
Tutmonda MKA-statistiko
resumo
Resumo de MKA-Sesioj kaj tutmondaj statistikoj
Ŝaltilo#montri mka summ Ŝaltilo#montri mka resumon
Tutaj MKA-Sesioj……. 1 Sekurigitaj Sesioj... 1 Pritraktataj Sesioj... 0
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 6
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
MKA-Statistiko
================================================== ==================================================
Interfaco
Loka-TxSCI
Politiko-Nomo
Heredita
Ŝlosilo-Servilo
Haveno-ID
Peer-RxSCI
MACsec-Samideanoj
Statuso
CKN
================================================== ==================================================
Gi1/0/1
204c.9e85.ede4/002b p2
NE
JES
43
c800.8459.e764/002a 1
Sekurigita
0100000000000000000000000000000000000000000000000000000000000000
MKA Tutmonda Statistiko ===================== MKA Sesiaj Totaloj
Sekurigita……………….. 1 Reaŭtentikigaj Provoj.. 0
Forigita (Sekurigita)………. 0 Keepalive Timeouts……… 0
CA Statistiko Duopaj CAK-oj Derivitaj…… 0 Duopaj CAK-Reŝlosiloj…….. 0 Grupoj CAK-oj Generataj……. 0 Grupo CAK-oj Ricevitaj…….. 0
SA Statistiko SAK-oj Generataj…………. 1 SAK-oj Reŝlositaj…………… 0 SAK-oj Ricevitaj………….. 0 SAK-Respondoj Ricevitaj….. 1
MKPDU-Statistiko MKPDU-oj Validigitaj & Rx…… 89589 “Distribuita SAK”….. 0 “Distribuita CAK”….. 0 MKPDU-aj Transdonitaj……… 89600 “Distribuita SAK”….. 1 “Distribuita CAK”….. 0
MKA-Eraro-Nombrilo-Tumoj ========================= Sesiaj fiaskoj
Alkondukaj Fiaskoj……………. 0 Reaŭtentikiga Fiaskoj…….. 0 Duobligi Auth-Mgr Handle…….. 0
SAK Fiaskoj SAK-Generacio………………. 0 Hash Key Generation………….. 0 SAK Ĉifrado/Envolvi………….. 0 SAK Malĉifrado/Unwrap………… 0 SAK Cipher Miskongruo………….. 0
CA Failures Group CAK Generacio…………. 0 Grupo CAK Ĉifrado/Envolvi…….. 0 Grupo CAK Malĉifrado/Unwrap…… 0 Duopa CAK Derivado………. 0 CKN-Derivado………………. 0 ICK-Derivado………………. 0 KEK Derivado………………. 0 Nevalida Kunula MACsec Kapableco... 0
MACsec Fiaskoj Rx SC-Kreado………………. 0
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 7
Kiel agordi MACsec-ĉifradon
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Kreado de Tx SC………………. 0 Instalado de Rx SA…………… 0 Instalado de Tx SA…………… 0
MKPDU Fiaskoj MKPDU Tx………………………………. 0 MKPDU Rx Validation………….. 0 MKPDU Rx Malbona Samulo MN…………. 0 MKPDU Rx Ne-lastatempa Peerlist MN.. 0
Ŝaltilo#
Kiel agordi MACsec-ĉifradon
Antaŭkondiĉoj por MACsec Ĉifrado
Antaŭkondiĉoj por MACsec Ĉifrado: · Certigu, ke 802.1x aŭtentikigo kaj AAA estas agorditaj en via aparato.
Agordante MKA kaj MACsec
Defaŭlta MACsec MKA-Agordo
MACsec estas malŝaltita. Neniuj MKA-politikoj estas agordita.
MKA-PSK: Ŝanĝo de Konduto de CKN
Por interfunkciigi kun Cisco-ŝaltiloj kurantaj Classic Cisco IOS, la CKN-agordo devas esti nul-remburita. De Cisco IOS XE Everest Release 16.6.1 pluen, por MKA-PSK-sesioj, anstataŭ fiksitaj 32 bajtoj, la Connectivity Association Key-nomo (CKN) uzas precize la saman ĉenon kiel la CKN, kiu estas agordita kiel la heks-ŝnuro por la ŝlosilo. Ekzample-agordo:
agordi terminalan ŝlosilĉenon KEYCHAINONE macsec-ŝlosilo 1234 kriptografika-algoritmo aes-128-cmac-ŝlosilĉeno 123456789ABCDEF0123456789ABCDEF0 vivdaŭro loka 12:21:00 9 sep 2015 senfina fino
Por ĉi-supraj ekzample, jen la eligo por la komando show mka session:
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 8
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
MKA-PSK: Ŝanĝo de Konduto de CKN
Notu, ke la CKN-ŝlosilo estas ekzakte la sama, kiu estis agordita por la ŝlosilo kiel heks-ŝnuro. Por kunfunkciebleco inter platformoj funkciantaj IOS XE kaj platformoj funkciantaj klasika IOS, unu havanta la CKN-kondutŝanĝon kaj unu sen la CKN-kondutŝanĝo, la deksess-ŝnuro por la ŝlosilo devas esti 64-karaktera heks-ŝnuro remburita kun nuloj por labori sur aparato kiu havas bildon kun la CKN-kondutŝanĝo. Vidu la eksample suba: Agordo sen CKN-ŝlosila kondutŝanĝo:
konfig t ŝlosilĉeno KEYCHAINONE macsec-ŝlosilo 1234 kriptografika-algoritmo aes-128-cmac-ŝlosilĉeno 123456789ABCDEF0123456789ABCDEF0 dumviva loka 12:21:00 9 sep 2015 senfina
Eligo:
Agordo kun CKN-ŝlosila kondutŝanĝo:
konfig t ŝlosilĉeno KEYCHAINONE macsec-ŝlosilo 1234000000000000000000000000000000000000000000000000000000000000 kriptografika-algoritmo aes-128-cmac-ŝlosilĉeno 123456789ABCDEF0123456789ABCDEF0 dumviva loka 12:21:00 9 sep 2015 senfina
Eligo:
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 9
Agordante MKA-Politiko
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Agordante MKA-Politiko
RESUMOPAŜOJ
1. agordi terminalon 2. mka-politika nomo de politiko 3. send-secure-announcements 4. ŝlosilservila prioritato 5. include-icv-indikilo 6. macsec-cipher-suite gcm-aes-128 7. konfidenco-offset Offset-valoro 8 fino 9. montri mka politikon
DETALAJ PAŜOJ
Paŝo 1
Komando aŭ Ago agordi terminalon
Paŝo 2 mka politika politiko nomo
Paŝo 3 sendu-sekurajn-anoncojn
Celo Enigu tutmondan agordan reĝimon.
Identigu MKA-politikon, kaj enigu MKA-politikan agordan reĝimon. La maksimuma longo de la politika nomo estas 16 signoj.
Notu
La defaŭlta MACsec-ĉifro en la MKA
politiko ĉiam estos "GCM-AES-128". Se la
aparato subtenas ambaŭ "GCM-AES-128" kaj
"GCM-AES-256" ĉifroj, ĝi estas altagrade
rekomendita difini kaj uzi uzanton difinitan
MKA-politiko inkluzivi kaj 128 kaj 256 bitojn
ĉifroj aŭ nur 256 bitoj ĉifroj, kiel eble
postulata.
Ebligitaj sekuraj anoncoj.
Notu
Defaŭlte, sekuraj anoncoj estas
malfunkciigita.
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 10
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Agordante MACsec sur Interfaco
Paŝo 4
Prioritato pri komando aŭ Ago-ŝlosilo-servilo
Paŝo 5 include-icv-indicator Paŝo 6 macsec-cipher-suite gcm-aes-128 Paŝo 7 konfidenco-offset Offset-valoro
Paŝo 8 Paŝo 9
end show mka politiko
Celo
Agordi MKA-ŝlosilajn servilojn kaj starigu prioritaton (inter 0-255).
Notu
Kiam valoro de ŝlosila servila prioritato estas agordita al 255,
la samulo ne povas fariĝi la ŝlosila servilo. La
la prioritatvaloro de ŝlosila servilo validas nur por
MKA PSK; kaj ne por MKA EAPTLS.
Ebligas la ICV-indikilon en MKPDU. Uzu la neniun formon de ĉi tiu komando por malŝalti la ICV-indikilon — no include-icv-indicator.
Agordas ĉifraron por derivi SAK kun 128-bita ĉifrado.
Agordu la Konfidencialecon (ĉifrado) ofseton por ĉiu fizika interfaco
Notu
Offset Valoro povas esti 0, 30 aŭ 50. Se vi estas
uzante Anyconnect sur la kliento, ĝi estas
rekomendite uzi Offset 0.
Revenas al privilegia EXEC-reĝimo.
Kontrolu viajn enskribojn.
Example
Ĉi tiu ekzample agordas la MKA-politikon:
Ŝaltilo (config)# mka policy mka_policy Ŝaltilo (config-mka-policy)# ŝlosilservila prioritato 200 Ŝaltilo (config-mka-policy)# macsec-cipher-suite gcm-aes-128 Ŝaltilo (config-mka-policy)# confidentiality-offset 30 Ŝaltilo(config-mka-policy)# fino
Agordante MACsec sur Interfaco
Sekvu ĉi tiujn paŝojn por agordi MACsec sur interfaco kun unu MACsec-sesio por voĉo kaj unu por datumoj:
RESUMOPAŜOJ
1. ebligi 2. agordi terminalon 3. interfaco interfaco-id 4. switchport aliro vlan vlan-id 5. switchport reĝimo aliro 6. macsec 7. aŭtentikiga evento linksec malsukcesa ago rajtigi vlan vlan-id 8. aŭtentikigo gastiganto-reĝimo multi-domajno
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 11
Agordante MACsec sur Interfaco
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
9. aŭtentikiga linksec-politiko devas-sekurigi 10. aŭtentikigo havenkontrolo aŭtomata 11. aŭtentikigo perioda 12. aŭtentikiga temporigilo reaŭtentikigi 13. aŭtentikigmalobservo protekti 14. mka-politiknomo nomo 15. dot1x pae aŭtentikisto 16. haveno fino spanning-arbo 17. Montri aŭtentikigseancan interfacon-identigilon 18. montri aŭtentikigantan seancan interfacon interfaco-id detalojn 19. montri macsec-interfacon interfaco-id 20. montri mka-sesiojn 21. kopii running-config startup-config
DETALAJ PAŜOJ
Paŝo 1
Komando aŭ Ago ebligas Ekzample:
Ŝaltilo> ebligi
Celo
Ebligas privilegian EXEC-reĝimon. Enigu la pasvorton se oni petas.
Paŝo 2
agordi terminalon Ekzample:
Ŝaltilo> agordi terminalon
Enigu tutmondan agordan reĝimon.
Paŝo 3
interfaco interfaco-id
Identigu la MACsec-interfacon, kaj enigu interfacan agordan reĝimon. La interfaco devas esti fizika interfaco.
Paŝo 4
switchport access vlan vlan-id
Agordu la aliron VLAN por la haveno.
Paŝo 5
switchport reĝimo aliro
Agordu la interfacon kiel alirhavenon.
Paŝo 6
macsec
Ebligu 802.1ae MACsec sur la interfaco. La macsec-komando ebligas MKA MACsec nur ĉe ŝaltil-al-gastigaj ligiloj (malsuprenligaj havenoj).
Paŝo 7
aŭtentikiga evento linksec malsukcesa ago rajtigi vlan (Laŭvola) Specifi ke la ŝaltilo procesas aŭtentikigon
vlan-id
lig-sekurecaj misfunkciadoj rezultantaj de nerekonita uzanto
akreditaĵojn rajtigante limigitan VLAN sur la haveno
post malsukcesa aŭtentiga provo.
Paŝo 8
aŭtentikigo gastiganta reĝimo multi-domajno
Agordu aŭtentikigmanaĝeran reĝimon sur la haveno por permesi kaj gastiganto kaj voĉa aparato esti aŭtentikigitaj sur la 802.1x-rajtigita haveno. Se ne agordita, la defaŭlta gastiga reĝimo estas ununura.
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 12
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Agordante MACsec sur Interfaco
Paŝo 9 Paŝo 10 Paŝo 11 Paŝo 12 Paŝo 13
Paŝo 14
Paŝo 15 Paŝo 16
Paŝo 17
Paŝo 18 Paŝo 19 Paŝo 20 Paŝo 21 Paŝo 22
Komando aŭ Aga aŭtentikiga politiko linksec devas-sekura
Celo
Agordu la sekurecan politikon de LinkSec por sekurigi la sesion kun MACsec se la samulo disponeblas. Se ne agordita, la defaŭlta estas sekura.
aŭtentikigo port-control auto
Ebligu 802.1x-aŭtentikigon sur la haveno. La haveno ŝanĝiĝas al la rajtigita aŭ neaŭtorizita stato surbaze de la konfirminterŝanĝo inter la ŝaltilo kaj la kliento.
aŭtentigo perioda
Ebligu aŭ Malebligu Reaŭtentikigon por ĉi tiu haveno.
aŭtentikiga tempigilo reaŭtentikigi
Enigu valoron inter 1 kaj 65535 (en sekundoj). Akiras re-aŭtentikigtempovaloron de la servilo. Defaŭlta re-aŭtentikiga tempo estas 3600 sekundoj.
aŭtentikigo malobservo protekti
Agordu la havenon por faligi neatenditajn envenantajn MAC-adresojn kiam nova aparato konektas al haveno aŭ kiam aparato konektas al haveno post kiam la maksimuma nombro da aparatoj estas konektita al tiu haveno. Se ne agordita, la defaŭlto estas fermi la havenon.
mka politika politiko nomo
Apliku ekzistantan MKA-protokolpolitikon al la interfaco, kaj ebligu MKA sur la interfaco. Se neniu MKA-politiko estis agordita (enmetante la mka-politikan tutmondan agordan komandon).
dot1x pae aŭtentikigilo
Agordu la havenon kiel 802.1x havenalira ento (PAE) aŭtentikigilo.
branĉ-arba portfast
Ebligu spanningarban Port Fast sur la interfaco en ĉiuj ĝiaj rilataj VLANoj. Kiam Port Rapida funkcio estas ebligita, la interfaco ŝanĝiĝas rekte de bloka stato al plusenda stato sen fari la mezajn spanning-arban statoŝanĝojn.
fino Ekzample:
Ŝaltilo (agordo)#fino
Revenas al privilegia EXEC-reĝimo.
montri aŭtentikan seancan interfacon interfaco-id
Kontrolu la rajtigitan sean sekurecan staton.
montri aŭtentikan seancan interfacon interface-id-detalojn Kontrolu la detalojn pri la sekureca stato de la rajtigita sesio.
montri macsec interfaco interfaco-id
Kontrolu MacSec-statuson sur la interfaco.
montri mka-sesiojn
Kontrolu la establitajn mka-sesiojn.
kopii running-config startup-config Ekzample:
Ŝaltilo#kopi running-config startup-config
(Laŭvola) Konservas viajn enskribojn en la agordo file.
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 13
Agordante MACsec MKA per Pre Kundividita Ŝlosilo (PSK)
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Agordante MACsec MKA per Pre Kundividita Ŝlosilo (PSK)
RESUMOPAŜOJ
1. agordi terminalon 2. ŝlosilĉeno ŝlosilĉeno-nomo macsec 3. ŝlosilo hex-ŝnuro 4. kriptografika-algoritmo {gcm-aes-128 | gcm-aes-256} 5. ŝlosilĉeno { [0|6|7] pwd-ĉeno | pwd-string} 6. dumviva loka [komenco tempostamp {hh::mm::ss | tago | monato | jaro}] [daŭro sekundoj | fintempoamp
{hh::mm::ss | tago | monato | jaro}] 7. fino
DETALAJ PAŜOJ
Paŝo 1
Komando aŭ Ago agordi terminalon
Paŝo 2 ŝlosilĉeno ŝlosilĉeno-nomo macsec
Paŝo 3 klavo heks-ŝnuro
Celo Enigu tutmondan agordan reĝimon.
Agordas ŝlosilĉenon kaj eniras la agordan reĝimon de ŝlosilĉeno.
Agordas unikan identigilon por ĉiu ŝlosilo en la ŝlosilĉeno kaj eniras la ŝlosilan agordan reĝimon de la ŝlosilĉeno.
Notu
Por 128-bita ĉifrado, uzu 32-heksan ciferon
ŝlosilĉeno. Por 256-bita ĉifrado, uzu 64 heks
cifera ŝlosilĉeno.
Paŝo 4 Paŝo 5 Paŝo 6 Paŝo 7
kriptografika-algoritmo {gcm-aes-128 | gcm-aes-256} Agordu kriptografan aŭtentikigan algoritmon kun 128-bita aŭ 256-bita ĉifrado.
ŝlosilĉeno { [0|6|7] pwd-ĉeno | pwd-ŝnuro}
Agordas la pasvorton por ŝlosilĉeno. Nur deksestsignoj devas esti enigitaj..
vivdaŭro loka [komenco tempostamp {hh::mm::ss | tago | monato Agordas la vivdaŭron de la antaŭdividita ŝlosilo. | jaro}] [daŭro sekundoj | fintempoamp {hh::mm::ss | tago | monato | jaro}]
fino
Revenas al privilegia EXEC-reĝimo.
Example
Sekvas indika ekzample:
Ŝaltilo (agordo)# Ŝlosilĉeno-ŝlosilĉeno1 macsec Ŝaltilo (agordo-ŝlosilĉeno)# ŝlosilo 1000 Ŝaltilo (agordo-ŝlosilĉeno)# kriptografa-algoritmo gcm-aes-128 Ŝaltilo (agordo-ŝlosilĉeno)# ŝlosilo-ŝnuro 12345678901234567890123456789012 Ŝaltilo(config-keychain-key)# vivdaŭro loka 12:12:00 la 28-an de julio 2016 12:19:00 la 28-an de julio 2016 Ŝaltilo(config-keychain-key)# fino
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 14
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Agordante MACsec MKA sur Interfaco uzante PSK
Agordante MACsec MKA sur Interfaco uzante PSK
Noto Por eviti trafikan falon tra sesioj, la mka-politika komando devas esti agordita antaŭ la mka-antaŭdividita ŝlosila ŝlosila komando.
RESUMOPAŜOJ
1. agordi terminalon 2. interfaco interfaco-id 3. macsec alirkontrolo {devas-sekurigi | devus-sekurigi} 4. macsec 5. mka-politiko-nomo-politiko 6. mka antaŭdividita-ŝlosila ŝlosilĉeno ŝlosilĉeno nomo 7. macsec-reludi-protekto fenestrogranda kadro numero 8. fino
DETALAJ PAŜOJ
Paŝo 1
Komando aŭ Ago agordi terminalon
Paŝo 2 interfaco interfaco-id
Paŝo 3 macsec alirkontrolo {devas-sekurigi | devus certigi}
Celo
Enigu tutmondan agordan reĝimon.
Eniras interfacan agordan reĝimon.
(Laŭvola) Kontrolas la konduton de neĉifritaj pakaĵoj.
· devus-sekura : Permesas neĉifritan trafikon flui ĝis la MKA-sesio estas sekurigita. Post kiam la MKA-sesio estas sekurigita, nur ĉifrita trafiko povas flui.
· nepre sekura : Trudas ke nur MACsec ĉifrita trafiko povas flui. Tial, ĝis la MKA-sesio estas sekurigita, trafiko estas forigita.
Paŝo 4 Paŝo 5 Paŝo 6 Paŝo 7 Paŝo 8
macsec mka politiko politiko-nomo mka antaŭdividita ŝlosilo ŝlosilĉeno ŝlosilĉeno nomo macsec replay-protection fenestrogranda kadro nombro fino
Ebligas MACsec sur la interfaco. Agordas politikon de MKA. Agordas MKA-antaŭdividitan ŝlosilan ŝlosilĉennomon. Agordas la fenestrograndecon de MACsec por reluda protekto. Revenas al privilegia EXEC-reĝimo.
Example
La sekva ekzample agordas MKA-politikon kaj MKA-antaŭdividitan ŝlosilan ŝlosilĉennomon, kaj fiksas la MACsec-fenestran grandecon por reludprotekto:
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 15
Agordante Atestilon Bazita MACsec
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Ŝaltilo (config)# interfaco GigabitEthernet 1/1 Ŝaltilo (config-if)# mka politiko mka_policy Ŝaltilo (config-if)# mka antaŭdividita ŝlosila ŝlosilĉeno ŝlosilĉeno nomo Ŝaltilo (konfig-se)# macsec-reludo -protection window-size 10 Ŝaltilo(config-if)# fino
Noto Ne rekomendas ŝanĝi la MKA-politikon sur interfaco kun MKA PSK agordita kiam la sesio funkcias. Tamen, se ŝanĝo estas postulata, vi devas reagordi la politikon jene: 1. Malŝaltu la ekzistantan sesion per forigo de macsec-agordo sur ĉiu el la partoprenantaj nodoj uzante la komandon no macsec. 2. Agordu la MKA-politikon sur la interfaco sur ĉiu el la partoprenantaj nodoj uzante la komandon mka policy policy-name. 3. Ebligu la novan sesion sur ĉiu el la partoprenantaj nodoj uzante la komandon macsec.
La sekva ekzamples montras kiel agordi la interfacon por uzi should-secure anstataŭ la defaŭltan must-secure kaj kiel ŝanĝi ĝin reen al la defaŭlta must-secure.
Noto Modifi alirkontrolon ne estas permesita kiam la sesio funkcias. Vi unue devas forigi la MACsec-agordon per la komando neniu macsec, kaj poste agordi alirkontrolon.
Example 1: Por ŝanĝi de nepre sekura al devus sekura:
Ŝaltilo (config-if)#no macsec Ŝaltilo (config-if)#macsec alirkontrolo devus-secure Ŝaltilo (config-if)#macsec // ĉi tio ŝanĝas la alirkontrolon de must-secure & rekomencas la macsec-sesion kun nova konduto.
Example 2: Por ŝanĝi de sekura al nepre sekura:
Ŝaltilo (agordo-se)#sen macsec Ŝaltilo (agordo-se)#ne macsec alirkontrolo Ŝaltilo (agordo-se)#macsec
Agordante Atestilon Bazita MACsec
Por agordi MACsec kun MKA sur punkt-al-punktaj ligiloj, faru ĉi tiujn taskojn: · Generado de Ŝlosilparoj · Agordo de enskribo per SCEP · Agordo de enskribo permane · Agordo de Ŝaltilo-al-ŝanĝa MACsec-Ĉifrado, sur paĝo 23
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 16
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Antaŭkondiĉoj por Atestilo Bazita MACsec
Antaŭkondiĉoj por Atestilo Bazita MACsec
· Certigu, ke vi havas servilon de Atestila Aŭtoritato (CA) agordita por via reto. · Generu CA-atestilon. · Certigu, ke vi agordis Cisco Identity Services Engine (ISE). · Certigu, ke 802.1x aŭtentigo kaj AAA estas agordita en via aparato.
Generante Ŝlosilparojn
RESUMOPAŜOJ
1. ebligi 2. agordi terminalon 3. kripta ŝlosilo generi rsa etikedon etikedo-nomo ĝenerala-ŝlosiloj modula grandeco 4. fino 5. montri aŭtentikigon seanca interfaco interfaco-id
DETALAJ PAŜOJ
Paŝo 1
Komando aŭ Ago ebligas Ekzample:
Aparato> ebligi
Celo Ebligas privilegian EXEC-reĝimon. Enigu vian pasvorton, se oni petas.
Paŝo 2
agordi terminalon Ekzample:
Aparato# agordu terminalon
Eniras tutmondan agordan reĝimon.
Paŝo 3
kripta ŝlosilo generi rsa etikedo etikedo-nomo ĝenerala-ŝlosiloj modulo grandeco
Example:
Aparato (agordo) # kripta ŝlosilo generi rsa-etikedon ĝenerala-ŝlosilojn modulo 2048
Generas RSA-ŝlosilparon por subskribo kaj ĉifrado.
Vi ankaŭ povas asigni etikedon al ĉiu ŝlosilparo per la etikedo-ŝlosilvorto. La etikedo estas referenceita per la fidpunkto kiu uzas la ŝlosilparon. Se vi ne asignas etikedon, la ŝlosilparo estas aŭtomate etikedita .
Se vi ne uzas kromajn ŝlosilvortojn, ĉi tiu komando generas unu ĝeneraluzeblan RSA-ŝlosilparon. Se la modulo ne estas specifita, la defaŭlta ŝlosila modulo de 1024 estas uzata. Vi povas specifi aliajn modulajn grandecojn per la modula ŝlosilvorto.
Paŝo 4
fino Ekzample:
Aparato (agordo)# fino
Eliras tutmondan agordan reĝimon kaj revenas al privilegia EXEC-reĝimo.
Paŝo 5
montri aŭtentikan seancan interfacon interface-id Ekzample:
Kontrolas la rajtigitan sean sekurecan staton.
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 17
Agordante Enskribon per SCEP
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Komando aŭ Ago
Aparato # montru aŭtentikigitan seaninterfacon gigabitethernet 0/1/1
Celo
Agordante Enskribon per SCEP
Simpla Certificate Enrollment Protocol (SCEP) estas Cisco-evoluinta enskriba protokolo kiu uzas HTTP por komuniki kun la atestila aŭtoritato (CA) aŭ registra aŭtoritato (RA). SCEP estas la plej ofte uzata metodo por sendi kaj ricevi petojn kaj atestojn.
Paŝo 1 Paŝo 2 Paŝo 3 Paŝo 4
Paŝo 5 Paŝo 6 Paŝo 7 Paŝo 8
Proceduro
Komando aŭ Ago ebligas Ekzample:
Aparato> ebligi
Celo Ebligas privilegian EXEC-reĝimon. Enigu vian pasvorton, se oni petas.
agordi terminalon Ekzample:
Aparato# agordu terminalon
Eniras tutmondan agordan reĝimon.
crypto pki trustpoint servilo nomo Ekzample:
Aparato (agordo)# crypto pki trustpoint ka
Deklaras la fidpunkton kaj personan nomon kaj eniras ca-trustpoint-agordan reĝimon.
aliĝo url url nomo pem
Example:
Aparato (ca-trustpoint)# aliĝo url http://url:80
Specifas la URL de la CA sur kiu via aparato devus sendi atestpetojn.
IPv6-adreso povas esti aldonita en la URL enfermita inter krampoj. Por ekzample: http:// [2001:DB8:1:1::1]:80.
La ŝlosilvorto pem aldonas privatec-plifortigitan poŝton (PEM) limojn al la atestilpeto.
rsakeypair-etikedo
Specifas kiun ŝlosilparon asocii kun la atestilo.
Example:
Notu
Aparato (ca-trustpoint)# rsakeypair ekzampleCAkeys
La nomo rsakeypair devas kongrui kun la nomo de fidpunkto.
seria numero neniu Ekzample:
Aparato (ca-trustpoint)# seria numero neniu
ip-adreso neniu Ekzample:
Aparato (ca-trustpoint)# ip-adreso neniu
revocation-check crl Ekzample:
La nenia ŝlosilvorto specifas, ke seria numero ne estos inkluzivita en la atestilpeto.
La nenia ŝlosilvorto specifas, ke neniu IP-adreso estu inkluzivita en la atestilpeto.
Specifas CRL kiel la metodon por certigi ke la atestilo de kunulo ne estis revokita.
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 18
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Agordante Enskribon Mane
Paŝo 9
Paŝo 10 Paŝo 11 Paŝo 12 Paŝo 13
Komando aŭ Ago
Aparato (ca-trustpoint)# revocation-check crl
Celo
aŭtomate enskribi procenton regeneriĝi
Ebligas aŭtomatan enskribon, permesante al la kliento
Example:
aŭtomate petu ŝanĝan atestilon de la CA.
Aparato(ca-trustpoint)# aŭtomata enskribiĝo 90 regeneri Se aŭtomata enskribo ne estas ebligita, la kliento devas esti mane reenskribita en via PKI post atestilo
eksvalidiĝo.
Defaŭlte, nur la Domajna Nomsistemo (DNS) nomo de la aparato estas inkluzivita en la atestilo.
Uzu la procentan argumenton por specifi, ke nova atestilo estos petita post la procentotage de la vivdaŭro de la nuna atestilo estas atingita.
Uzu la regenera ŝlosilvorto por generi novan ŝlosilon por la atestilo eĉ se nomita ŝlosilo jam ekzistas.
Se la ŝlosilparo renversita estas eksportebla, la nova ŝlosilparo ankaŭ estos eksportebla. La sekva komento aperos en la agordo de fidpunkto por indiki ĉu la ŝlosilparo estas eksportebla: “! RSA-ŝlosilparo asociita kun trustpoint estas eksportebla."
Oni rekomendas krei novan ŝlosilparon pro sekurecaj kialoj.
eliro Ekzample:
Aparato (ca-trustpoint)# eliro
Eliras ca-trustpoint-agordan reĝimon kaj revenas al tutmonda agorda reĝimo.
crypto pki aŭtentikigi nomon Ekzample:
Aparato (agordo)# crypto pki aŭtentikigi myca
Prenas la CA-atestilon kaj aŭtentikigas ĝin.
fino Ekzample:
Aparato (agordo)# fino
Eliras tutmondan agordan reĝimon kaj revenas al privilegia EXEC-reĝimo.
montri crypto pki-atestilon fidpunktonomon Ekzample:
Aparato# montru kriptan pki-atestilon ka
Montras informojn pri la atestilo por la fidpunkto.
Agordante Enskribon Mane
Se via CA ne subtenas SCEP aŭ se retkonekto inter la enkursigilo kaj CA ne eblas. Faru la sekvan taskon por agordi manan atestilenskribon:
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 19
Agordante Enskribon Mane
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Paŝo 1 Paŝo 2 Paŝo 3 Paŝo 4
Paŝo 5 Paŝo 6 Paŝo 7 Paŝo 8 Paŝo 9 Paŝo 10
Proceduro
Komando aŭ Ago ebligas Ekzample:
Aparato> ebligi
Celo Ebligas privilegian EXEC-reĝimon. Enigu vian pasvorton, se oni petas.
agordi terminalon Ekzample:
Aparato# agordu terminalon
Eniras tutmondan agordan reĝimon.
crypto pki trustpoint servilo nomo Ekzample:
Aparato# crypto pki trustpoint ka
Deklaras la fidpunkton kaj personan nomon kaj eniras ca-trustpoint-agordan reĝimon.
aliĝo url url-nomo
Example:
Aparato (ca-trustpoint)# aliĝo url http://url:80
Specifas la URL de la CA sur kiu via aparato devus sendi atestpetojn.
IPv6-adreso povas esti aldonita en la URL enfermita inter krampoj. Por ekzample: http:// [2001:DB8:1:1::1]:80.
La ŝlosilvorto pem aldonas privatec-plifortigitan poŝton (PEM) limojn al la atestilpeto.
rsakeypair-etikedo
Specifas kiun ŝlosilparon asocii kun la atestilo.
Example:
Aparato (ca-trustpoint)# rsakeypair ekzampleCAkeys
seria numero neniu Ekzample:
Aparato (ca-trustpoint)# seria numero neniu
Specifas ke seriaj numeroj ne estos inkluzivitaj en la atestilpeto.
ip-adreso neniu Ekzample:
Aparato (ca-trustpoint)# ip-adreso neniu
La nenia ŝlosilvorto specifas, ke neniu IP-adreso estu inkluzivita en la atestilpeto.
revocation-check crl Ekzample:
Aparato (ca-trustpoint)# revocation-check crl
Specifas CRL kiel la metodon por certigi ke la atestilo de kunulo ne estis revokita.
eliro Ekzample:
Aparato (ca-trustpoint)# eliro
Eliras ca-trustpoint-agordan reĝimon kaj revenas al tutmonda agorda reĝimo.
crypto pki aŭtentikigi nomon Ekzample:
Aparato (agordo)# crypto pki aŭtentikigi myca
Prenas la CA-atestilon kaj aŭtentikigas ĝin.
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 20
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Ebligante 802.1x Aŭtentigon kaj Agordi AAA
Paŝo 11 Paŝo 12
Paŝo 13 Paŝo 14
Komando aŭ Ago crypto pki enskribi nomo Ekzample:
Aparato (agordo)# crypto pki enskribi myca
Celo
Generas atestilpeton kaj montras la peton por kopii kaj alglui en la atestilservilon.
Enigu informojn pri enskribo kiam oni petas vin. Por ekzample, specifu ĉu inkluzivi la aparaton FQDN kaj IP-adreson en la atestilpeto.
Vi ankaŭ havas la elekton pri montri la atestilpeton al la konzola terminalo.
La bazo-64 kodita atestilo kun aŭ sen PEM-kapoj kiel petita estas montrata.
kripta pki importnomo atestilo
Importas atestilon per TFTP ĉe la konzola terminalo,
Example:
kiu reakiras la donitan atestilon.
Device(config)# crypto pki import myca-atestilo La aparato provas preni la donitan atestilon per TFTP uzante la saman filenomo uzata por sendi la peton,
krom la etendaĵo estas ŝanĝita de ".req" al ".crt". Por
uzaj ŝlosilaj atestiloj, la etendaĵoj “-sign.crt” kaj
"-encr.crt" estas uzataj.
La aparato analizas la ricevitan files, kontrolas la atestilojn, kaj enmetas la atestojn en la internan atestildatumbazon sur la ŝaltilo.
Notu
Iuj CA-oj ignoras la uzajn ŝlosilajn informojn
en la atestilpeto kaj temo ĝenerala
atestiloj pri uzado de celo. Se via CA ignoras
la uzŝlosilinformojn en la atestilo
peto, nur importu la ĝeneralan celon
atestilo. La enkursigilo ne uzos unu el la
du ŝlosilparoj generitaj.
fino Ekzample:
Aparato (agordo)# fino
montri crypto pki-atestilon fidpunktonomon Ekzample:
Aparato# montru kriptan pki-atestilon ka
Eliras tutmondan agordan reĝimon kaj revenas al privilegia EXEC-reĝimo.
Montras informojn pri la atestilo por la fidpunkto.
Ebligante 802.1x Aŭtentigon kaj Agordi AAA
RESUMOPAŜOJ
1. ebligi 2. agordi terminalon 3. aaa nova-modelo 4. dot1x sistemo-aŭtokontrolo
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 21
Ebligante 802.1x Aŭtentigon kaj Agordi AAA
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
5. radius-servilo nomo 6. adreso ip-adreso aŭth-port haveno-numero acct-port haveno-numero 7. automate-tester uzantnomo uzantnomo 8. ŝlosilĉeno 9. radius-servilo deadtime minutoj 10. eliro 11. aaa grupo servila radiuso grupo-nomo 12. servila nomo 13. eliro 14. aaa aŭtentigo dot1x defaŭlta grupo grupo-nomo 15. aaa rajtigo reto defaŭlta grupo grupo-nomo
DETALAJ PAŜOJ
Paŝo 1
Komando aŭ Ago ebligas Ekzample:
Aparato> ebligi
Celo Ebligas privilegian EXEC-reĝimon. Enigu vian pasvorton se oni petas.
Paŝo 2
agordi terminalon Ekzample:
Aparato# agordu terminalon
Eniras tutmondan agordan reĝimon.
Paŝo 3
aaa novmodela Ekzample:
Aparato (agordo)# aaa nova modelo
Ebligas AAA.
Paŝo 4
dot1x system-auth-control Example:
Aparato (agordo) # dot1x system-auth-control
Ebligas 802.1X sur via aparato.
Paŝo 5
radiusa servilo nomo Ekzample:
Aparato(agordo)# radiusservilo ISE
Specifas la nomon de la RADIUS-servila agordo por Protektita Aliro-Akreditaĵo (PAC) provizo kaj eniras RADIUS-servilan agordan reĝimon.
Paŝo 6
adreso ip-adreso aŭth-port haveno-numero akct-haveno haveno-numero
Agordas la IPv4-adreson por la parametroj de kontado kaj aŭtentikigo de RADIUS-servilo.
Example:
Aparato (config-radius-server)# adreso ipv4 aŭth-port 4 akct-port 1645
Paŝo 7
automate-tester uzantnomo uzantnomo
Example:
Aparato (config-radius-server)# automate-tester uzantnomo imitaĵo
Ebligas la aŭtomatan testan funkcion por la RADIUS-servilo.
Kun ĉi tiu praktiko, la aparato sendas periodajn testajn aŭtentigajn mesaĝojn al la RADIUS-servilo. Ĝi serĉas RADIUS-respondon de la servilo. Sukceso
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 22
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Agordo de Ŝaltilo al Ŝaltilo MACsec Ĉifrado
Paŝo 8 Paŝo 9 Paŝo 10 Paŝo 11 Paŝo 12 Paŝo 13 Paŝo 14 Paŝo 15
Komando aŭ Ago
Celo
mesaĝo ne estas necesa – malsukcesa aŭtentigo sufiĉas, ĉar ĝi montras, ke la servilo vivas.
ŝlosilĉeno Ekzample:
Aparato (agordo-radius-servilo)# klavo dummy123
Agordas la aŭtentikigon kaj ĉifradan ŝlosilon por ĉiuj RADIUS-komunikadoj inter la aparato kaj la RADIUS-servilo.
radius-servilo deadtime minutoj
Example:
Aparato (agordo-radius-servilo)# radius-server deadtime 2
Plibonigas la respondtempon de RADIUS kiam iuj serviloj eble estos nehaveblaj kaj tuj preterlasas nehaveblajn servilojn.
eliro Ekzample:
Aparato (agordo-radius-servilo)# eliro
Revenas al tutmonda agorda reĝimo.
aaa grupo servilo radiuso grupo-nomo Ekzample:
Aparato(agordo)# aaa grupa servila radiuso ISEGRP
Grupoj malsamaj RADIUS-servilgastigantoj en apartajn listojn kaj apartajn metodojn, kaj eniras servilan grupan agordan reĝimon.
servilo nomo Ekzample:
Aparato(config-sg)# servila nomo ISE
Atribuas la nomon de RADIUS-servilo.
eliro Ekzample:
Aparato (config-sg)# eliro
Revenas al tutmonda agorda reĝimo.
aaa aŭtentigo dot1x defaŭlta grupo grupo-nomo Ekzample:
Agordas la defaŭltan aŭtentigan servilgrupon por IEEE 802.1x.
Aparato (agordo)# aaa aŭtentikigo dot1x defaŭlta grupo ISEGRP
aaa rajtigo reto defaŭlta grupo grupo-nomo Ekzample:
aaa rajtigo reto defaŭlta grupo ISEGRP
Agordas la defaŭltan grupon pri rajtigo de la reto.
Agordo de Ŝaltilo al Ŝaltilo MACsec Ĉifrado
Por apliki MACsec MKA uzante atestil-bazitan MACsec-ĉifradon al interfacoj, faru la sekvan taskon:
Paŝo 1
Procedura Komando aŭ Ago ebligas
Celo Ebligas privilegian EXEC-reĝimon.
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 23
Agordo de Ŝaltilo al Ŝaltilo MACsec Ĉifrado
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Paŝo 2 Paŝo 3 Paŝo 4 Paŝo 5 Paŝo 6 Paŝo 7 Paŝo 8 Paŝo 9 Paŝo 10 Paŝo 11
Komando aŭ Ago Ekzample:
Aparato> ebligi
Celo Enigu vian pasvorton, se oni petas.
agordi terminalon Ekzample:
Aparato# agordu terminalon
Eniras tutmondan agordan reĝimon.
interfaco interfaco-id Ekzample:
Aparato (agordo)# interfaco gigabitethernet 2/9
Identigas la MACsec-interfacon, kaj eniras interfacan agordan reĝimon. La interfaco devas esti fizika interfaco.
macsec reto-ligo Ekzample:
Aparato (config-if)# macsec reto-ligo
Ebligas MACsec sur la interfaco.
aŭtentikiga perioda Ekzample:
Aparato (config-if) # aŭtentikiga periodaĵo
(Laŭvola) Ebligas reaŭtentikigon por ĉi tiu haveno.
aŭtentikiga temporigilo reaŭtentikigi intervalon
Example:
Aparato (config-if)# aŭtentikiga tempigilo reaŭtentikigi intervalon
(Laŭvola) Agordas la reaŭtentikigintervalon.
alir-sesio gastiganto-reĝimo multi-gastiganto
Example:
Aparato (config-if)# alir-sesio gastiganto-reĝimo multi-gastiganto
Permesas al gastigantoj akiri aliron al la interfaco.
aliro-sesio fermita Ekzample:
Aparato(config-if)# alir-sesio fermiĝis
Malhelpas antaŭaŭtentigan aliron sur la interfaco.
aliro-sesio haveno-kontrolo aŭtomata
Example:
Aparato (config-if)# aliro-sesio haveno-kontrolo aŭtomate
Agordas la rajtigan staton de haveno.
dot1x pae ambaŭ Ekzample:
Aparato (agordo-se)# dot1x pae ambaŭ
Agordas la havenon kiel 802.1X havenalira ento (PAE) petanta kaj aŭtentikigilo.
dot1x akreditaĵoj profile Example:
Aparato (config-if)# dot1x akreditaĵoj profile
Atribuas 802.1x akreditaĵojn profesionfile al la interfaco.
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 24
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Example: Ŝaltilo al Ŝaltilo-Atestilo Bazita MACsec
Paŝo 12 Paŝo 13 Paŝo 14 Paŝo 15
Komando aŭ Ago fino Ekzample:
Aparato (agordo-se)# fino
Celo
Eliras interfaco-agordado mdoe kaj revenas al privilegia EXEC-reĝimo.
montri macsec interfaco interfaco-id
Montras MACsec-detalojn por la interfaco.
Example:
Aparato # montri macsec-interfacon GigabitEthernet 2/9
montri alir-seancan interfacon interfaco-id detalojn
Example:
Aparato # montru alir-sesian interfacon GigabitEthernet 2/9 detalojn
Kontrolas sukcesan aŭtentikigon kaj rajtigon de dot1x. Ĉi tio estas la unua afero por kontroli. Se dot1x-aŭtentigo malsukcesas, tiam MKA neniam komenciĝos.
montri detalojn pri interfaco-identigilo de mka-sesio
Montras detalan staton de sesio de MKA.
Example:
Aparato# montru detalojn pri mka-sesio-interfaco GigabitEthernet 2/9
Example: Ŝaltilo al Ŝaltilo-Atestilo Bazita MACsec
Eksampla agordo de ŝaltilo al ŝanĝa atestilo bazita MACsec estas montrita sube.
agordi terminalon aaa nova modelo aaa loka aŭtentikigo defaŭlta rajtigo defaŭlta ! ! aaa aŭtentigo dot1x defaŭlta grupo radiuso loka aaa rajtigo exec defaŭlta loka aaa rajtigo reto defaŭlta grupo radiuso loka aaa rajtigo aŭth-proxy defaŭlta grupo radiuso aaa rajtigo credential-download defaŭlta loka aaa kontada identeco defaŭlta start-stop grupo radiuso ! ! aaa atributlisto DEVOJ
atributtipo linksec-policy must-secure ! aaa atributlisto macsec-dot1-akreditaĵoj
atributtipo linksec-policy must-secure ! aaa atributlisto MUTS_CA
atributtipo linksec-policy must-secure ! aaa atributlisto SHOULDS_CA
atributa tipo linksec-policy should-secure ! aaa atributlisto mkadt_CA
atributtipo linksec-policy must-secure ! aaa session-id komuna
uzantnomo MUST aaa atributlisto MUTS_CA uzantnomo MUTS.mkadt.cisco.com
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 25
Agordante MKA/MACsec por Port Channel
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
crypto pki trustpoint demo enskribo terminalo seria numero fqdn MUSTS.mkadt.cisco.com temo-nomo cn=MUSTS.mkadt.cisco.com,OU=CSG Security,O=Cisco Systems,L=Bengaluru,ST=KA,C= EN
subject-alt-name MUSTS.mkadt.cisco.com revocation-check neniu rsakeypair demo 2048 hash sha256
eap profile EAP_P metodo tls
pki-trustpoint-demo
dot1x system-auth-control dot1x akreditaĵoj MUTS-CA
uzantnomo MUST pasvorto 0 MUST_CA ! dot1x akreditaĵoj MUSTS uzantnomo MUSTS.mkadt.cisco.comcrypto pki aŭtentikigi demo
crypto pki aŭtentikigi crypto pki enskribi demo crypto pki importo demo atestilo
politiko-mapo tipo kontrolo abonanto MUSTS_1 evento sesio-komencita kongrui-ĉion 10 klaso ĉiam fari-ĝis-malsukceso 10 aŭtentikigi per dot1x ambaŭ evento aŭtentikigo-malsukceso kongrui-ĉion 10 klaso ĉiam fari-ĝis-malsukceso 10 fini dot1x 20 aŭtentikigo-restarti 10 evento aŭtentigo-sukceso kongrui kun ĉiuj 10 klaso ĉiam fari-ĝis-malsukceso 10 aktivigi servo-ŝablonon DEFAULT_LINKSEC_POLICY_MUST_SECURE
interfaco GigabitEthernet2/9 switchport reĝimo aliro macsec aliro-sesio gastiganto-reĝimo multi-gastiganto aliro-sesio fermita aliro-sesio havenkontrolo aŭtomata dot1x pae ambaŭ dot1x aŭtentikisto eap profile EAP_P dot1x akreditaĵoj DEVAS dot1x petantan eap profile EAP_P abonanto pri kontrolo-tipa servo-politiko MUTS_1
Agordante MKA/MACsec por Port Channel
Agordante MKA/MACsec por Havena Kanalo Uzante PSK
RESUMOPAŜOJ
1. agordi terminalon 2. interfaco interfaco-id 3. macsec
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 26
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Agordante Logikajn Interfacojn de Portkanalo por Tavolo 2 EtherChannels
4. mka-politiko-nomo-politiko 5. mka-antaŭdividita-ŝlosilo-ŝlosilĉeno-ŝlosil-nomo 6. kanal-grupo kanal-grupo-numero reĝimo {aktiva | pasiva } | {on } 7. fino
DETALAJ PAŜOJ
Paŝo 1
Komando aŭ Ago agordi terminalon
Paŝo 2 interfaco interfaco-id
Paŝo 3 macsec
Paŝo 4 Paŝo 5
mka policy policy-name mka pre-shared-key ŝlosilĉeno ŝlosilĉeno-nomo
Celo Enigu tutmondan agordan reĝimon.
Eniras interfacan agordan reĝimon.
Ebligas MACsec sur la interfaco. Subtenas mantelon 2 kaj tavolon 3 havenkanalojn.
Agordas politikon de MKA.
Agordas MKA-antaŭdividitan ŝlosilan ŝlosilĉennomon.
Notu
La MKA-antaŭdividita ŝlosilo povas esti agordita
sur aŭ fizika interfaco aŭ sub-interfacoj
kaj ne sur ambaŭ.
Paŝo 6
kanal-grupo kanal-grupo-numero reĝimo {aktiva | pasiva } | {sur }
Agordas la havenon en kanalgrupo kaj fiksas la reĝimon. La kanal-numera gamo estas de 1 ĝis 4096. La havenkanalo asociita kun ĉi tiu kanalgrupo estas aŭtomate kreita se la havena kanalo ne jam ekzistas.Por reĝimo, elektu unu el la sekvaj ŝlosilvortoj:
· on — Devigas la havenon enkanaligi sen PAgP aŭ LACP. En la sur-reĝimo, EtherChannel ekzistas nur kiam havengrupo en la sur-reĝimo estas konektita al alia havengrupo en la sur-reĝimo.
· aktiva — Ebligas LACP nur se LACP-aparato estas detektita. Ĝi metas la havenon en aktivan intertraktantan staton en kiu la haveno komencas intertraktadojn kun aliaj havenoj sendante LACP-pakaĵetojn.
· pasiva — Ebligas LACP sur la haveno kaj metas ĝin en pasivan intertraktan staton en kiu la haveno respondas al LACP-pakaĵetoj kiujn ĝi ricevas, sed ne komencas LACP-pakaĵintertraktadon.
Paŝo 7 fino
Revenas al privilegia EXEC-reĝimo.
Agordante Logikajn Interfacojn de Portkanalo por Tavolo 2 EtherChannels
Por krei havenan kanalinterfacon por Tavolo 2 EtherChannel, faru ĉi tiun taskon:
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 27
Agordante Logikajn Interfacojn de Portkanalo por Tavolo 3 EtherChannels
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
RESUMOPAŜOJ
1. agordi terminalon 2. [ne] interfaco haveno-kanalo kanalo-grupo-numero 3. switchport 4. switchport mode {aliro | trunko } 5. fino
DETALAJ PAŜOJ
Paŝo 1
Komando aŭ Ago agordi terminalon
Paŝo 2 [neniu] interfaco haveno-kanalo kanalo-grupo-numero
Celo Enigu tutmondan agordan reĝimon.
Kreas la havenkanala interfaco.
Notu
Uzu la neniun formon de ĉi tiu komando por forigi la
portkanala interfaco.
Paŝo 3 switchport Paŝo 4 switchport reĝimo {aliro | trunko } Paŝo 5 fino
Ŝaltas interfacon kiu estas en Tavolo 3-reĝimo en Tavolon 2-reĝimon por Tavolo 2-agordo.
Atribuas ĉiujn havenojn kiel senmo-alirajn havenojn en la sama VLAN, aŭ agordas ilin kiel trunkojn.
Revenas al privilegia EXEC-reĝimo.
Agordante Logikajn Interfacojn de Portkanalo por Tavolo 3 EtherChannels
Por krei havenan kanalinterfacon por Tavolo 3 EtherChannel, faru ĉi tiun taskon:
RESUMOPAŜOJ
1. agordi terminalon 2. interfaco haveno-kanalo interfaco-id 3. neniu switchport 4. ip-adreso ip-adreso subnet_mask 5. fino
DETALAJ PAŜOJ
Paŝo 1
Komando aŭ Ago agordi terminalon
Paŝo 2 interfaco haveno-kanalo interfaco-id
Paŝo 3 neniu switchport
Paŝo 4 Paŝo 5
ip-adreso ip-adreso subreto_masko fino
Celo Enigu tutmondan agordan reĝimon. Eniras interfacan agordan reĝimon. Ŝaltas interfacon kiu estas en Tavolo 2-reĝimo en Tavolon 3-reĝimon por Tavolo 3-agordo. Atribuas IP-adreson kaj subretan maskon al la EtherChannel. Revenas al privilegia EXEC-reĝimo.
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 28
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Example: Agordante MACsec MKA por Port Channel uzante PSK
Example: Agordante MACsec MKA por Port Channel uzante PSK
Etherchannel-Reĝimo - Senmova/Sur
La sekvanta estas kielample-agordo sur Aparato 1 kaj Aparato 2 kun EtherChannel Mode ŝaltita.
ŝlosilĉeno KC macsec-ŝlosilo 1000 kriptografa-algoritmo aes-128-cmac-ŝlosilo FC8F5B10557C192F03F60198413D7D45 fino
mka-politiko POLITIKO ŝlosil-servilo prioritato 0 macsec-cipher-suite gcm-aes-128 konfidenco-offset 0 fino
interfaco Te1/0/1 kanalgrupo 2 reĝimo sur macsec mka politiko POLITIKO mka antaŭdividita ŝlosila ŝlosilĉeno KC fino
interfaco Te1/0/2 kanalgrupo 2 reĝimo sur macsec mka politiko POLITIKO mka antaŭdividita ŝlosila ŝlosilĉeno KC fino
Tavolo 2 EtherChannel Agordo
Aparato 1
interfaco haveno-kanalo 2 switchport switchport reĝimo trunko neniu haltigo fino
Aparato 2
interfaco haveno-kanalo 2 switchport switchport reĝimo trunko neniu haltigo fino
La sekvanta montras kielample eligo de show etherchannel resuma komando.
Flagoj: D - malsupren
P - pakigita en haveno-kanalo
I – memstaraj s – suspendita
H - Varmega servo (LACP nur)
R - Tavolo 3
S - Tavolo 2
U – en uzo
f – malsukcesis asigni agreganton
M - ne uzata, minimumaj ligiloj ne plenumitaj
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 29
Example: Agordante MACsec MKA por Port Channel uzante PSK
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
u – maltaŭga por pakigi w – atendanta esti aldonita d – defaŭlta haveno
A - formita de Aŭtomata LAG
Nombro de kanalgrupoj uzataj: 1
Nombro da agregantoj:
1
Grupo Haveno-kanalo Protokolo Havenoj
——+————-+———–+———————————————–
2
Po2(RU)
–
Tavolo 3 EtherChannel Agordo
Aparato 1
Te1/0/1(P) Te1/0/2(P)
interfaco haveno-kanalo 2 sen switchport ip-adreso 10.25.25.3 255.255.255.0 sen haltigo fino
Aparato 2
interfaco haveno-kanalo 2 sen switchport ip-adreso 10.25.25.4 255.255.255.0 sen haltigo fino
La sekvanta montras kielample eligo de show etherchannel resuma komando.
Flagoj: D - malsupren
P - pakigita en haveno-kanalo
I – memstaraj s – suspendita
H - Varmega servo (LACP nur)
R - Tavolo 3
S - Tavolo 2
U – en uzo
f – malsukcesis asigni agreganton
M - ne uzata, minimumaj ligiloj ne renkontitaj u - maltaŭga por kunigo w - atendante esti agregita d - defaŭlta haveno
A - formita de Aŭtomata LAG
Nombro de kanalgrupoj uzataj: 1
Nombro da agregantoj:
1
Grupo Haveno-kanalo Protokolo Havenoj
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 30
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Example: Agordante MACsec MKA por Port Channel uzante PSK
——+————-+———–+———————————————–
2
Po2(RU)
–
Te1/0/1(P) Te1/0/2(P)
Etherkanala Reĝimo - LACP
La sekvanta estas kielampla agordo sur Aparato 1 kaj Aparato 2 kun EtherChannel Mode kiel LACP.
ŝlosilĉeno KC macsec-ŝlosilo 1000 kriptografa-algoritmo aes-128-cmac-ŝlosilo FC8F5B10557C192F03F60198413D7D45 fino
mka-politiko POLITIKO ŝlosil-servilo prioritato 0 macsec-cipher-suite gcm-aes-128 konfidenco-offset 0 fino
interfaco Te1/0/1 kanalgrupo 2 reĝimo aktiva macsec mka politiko POLITIKO mka antaŭdividita ŝlosila ŝlosilĉeno KC fino
interfaco Te1/0/2 kanalgrupo 2 reĝimo aktiva macsec mka politiko POLITIKO mka antaŭdividita ŝlosila ŝlosilĉeno KC fino
Tavolo 2 EtherChannel Agordo
Aparato 1
interfaco haveno-kanalo 2 switchport switchport reĝimo trunko neniu haltigo fino
Aparato 2
interfaco haveno-kanalo 2 switchport switchport reĝimo trunko neniu haltigo fino
La sekvanta montras kielample eligo de show etherchannel resuma komando.
Flagoj: D - malsupren
P - pakigita en haveno-kanalo
I – memstaraj s – suspendita
H - Varmega servo (LACP nur)
R - Tavolo 3
S - Tavolo 2
U – en uzo
f – malsukcesis asigni agreganton
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 31
Example: Agordante MACsec MKA por Port Channel uzante PSK
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
M - ne uzata, minimumaj ligiloj ne renkontitaj u - maltaŭga por kunigo w - atendante esti agregita d - defaŭlta haveno
A - formita de Aŭtomata LAG
Nombro de kanalgrupoj uzataj: 1
Nombro da agregantoj:
1
——+————-+———–+———————————————–
2
Po2 (SU)
LACP
Tavolo 3 EtherChannel Agordo
Aparato 1
Te1/1/1(P) Te1/1/2(P)
interfaco haveno-kanalo 2 sen switchport ip-adreso 10.25.25.3 255.255.255.0 sen haltigo fino
Aparato 2
interfaco haveno-kanalo 2 sen switchport ip-adreso 10.25.25.4 255.255.255.0 ne fermita
La sekvanta montras kielample eligo de show etherchannel resuma komando.
Flagoj: D - malsupren
P - pakigita en haveno-kanalo
I – memstaraj s – suspendita
H - Varmega servo (LACP nur)
R - Tavolo 3
S - Tavolo 2
U – en uzo
f – malsukcesis asigni agreganton
M - ne uzata, minimumaj ligiloj ne renkontitaj u - maltaŭga por kunigo w - atendante esti agregita d - defaŭlta haveno
A - formita de Aŭtomata LAG
Nombro de kanalgrupoj uzataj: 1
Nombro da agregantoj:
1
Grupo Haveno-kanalo Protokolo Havenoj
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 32
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Agordi MACsec Ĉifro-Anoncon
——+————-+———–+———————————————–
2
Po2(RU)
LACP
Te1/1/1(P) Te1/1/2(P)
Montrante Aktivajn MKA-Sesiojn
La sekvanta montras ĉiujn aktivajn MKA-sesiojn.
# montri mka-sesiajn interfacon Te1/0/1
================================================== ==================================================
Interfaco
Loka-TxSCI
Politiko-Nomo
Heredita
Ŝlosilo-Servilo
Haveno-ID
Peer-RxSCI
MACsec-Samideanoj
Statuso
CKN
================================================== ==================================================
Te1/0/1
00a3.d144.3364/0025 POLITIKO
NE
NE
37 1000
701f.539b.b0c6/0032 1
Sekurigita
Agordi MACsec Ĉifro-Anoncon
Agordante MKA-Politiko por Sekura Anonco
RESUMOPAŜOJ
1. agordi terminalon 2. mka-politiko-politiko-nomo 3. ŝlosilservila prioritato 4. [ne] send-secure-announcements 5. macsec-cipher-suite {gcm-aes-128 | gcm-aes-256} 6. end 7. montri mka politikon
DETALAJ PAŜOJ
Paŝo 1
Komando aŭ Ago agordi terminalon
Paŝo 2 mka politika politiko-nomo
Celo
Enigu tutmondan agordan reĝimon.
Identigu MKA-politikon, kaj enigu MKA-politikan agordan reĝimon. La maksimuma longo de la politika nomo estas 16 signoj.
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 33
Agordi Sekuran Anoncon Tutmonde (Tra ĉiuj MKA-politikoj)
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Komando aŭ Ago
Paŝo 3 ŝlosil-servilo prioritato
Paŝo 4 [neniu] sendu-sekurajn-anoncojn
Paŝo 5 macsec-cipher-suite {gcm-aes-128 | gcm-aes-256}
Paŝo 6 Paŝo 7
end show mka politiko
Celo Noto
La defaŭlta MACsec-ĉifro en la MKA-politiko ĉiam estos "GCM-AES-128". Se la aparato subtenas kaj "GCM-AES-128" kaj "GCM-AES-256" ĉifrojn, estas tre rekomendite difini kaj uzi uzantan difinitan MKA-politikon por inkludi ambaŭ 128 kaj 256 bitajn ĉifrojn aŭ nur 256 bitan ĉifron, kiel povas esti postulata.
Agordi MKA-ŝlosilajn servilojn kaj starigu prioritaton (inter 0-255).
Notu
Kiam valoro de ŝlosila servila prioritato estas agordita al 255,
la samulo ne povas fariĝi la ŝlosila servilo. La
la prioritatvaloro de ŝlosila servilo validas nur por
MKA PSK; kaj ne por MKA EAPTLS.
Ebligas sendon de sekuraj anoncoj. Uzu la neniun formon de la komando por malebligi sendon de sekuraj anoncoj. Defaŭlte, sekuraj anoncoj estas malŝaltitaj.
Agordas ĉifraron por derivi SAK kun 128-bita aŭ 256-bita ĉifrado.
Revenas al privilegia EXEC-reĝimo.
Kontrolu viajn enskribojn.
Agordi Sekuran Anoncon Tutmonde (Tra ĉiuj MKA-politikoj)
RESUMOPAŜOJ
1. agordi terminalon 2. [ne] mka defaŭltaj politiko send-secure-announcements 3. fino
DETALAJ PAŜOJ
Paŝo 1
Komando aŭ Ago agordi terminalon
Celo Enigu tutmondan agordan reĝimon.
Paŝo 2
[ne] mka defaŭltaj politiko send-secure-announcementsEbligas sendon de sekuraj anoncoj en MKPDU-oj trans MKA-politikoj. Defaŭlte, sekuraj anoncoj estas malŝaltitaj.
Paŝo 3 fino
Revenas al privilegia EXEC-reĝimo.
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 34
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Agordi EAPoL Anoncoj sur interfaco
Agordi EAPoL Anoncoj sur interfaco
RESUMOPAŜOJ
1. agordi terminalon 2. interfaco interfaco-id 3. [ne] eapol anonco 4. fino
DETALAJ PAŜOJ
Paŝo 1
Komando aŭ Ago agordi terminalon
Paŝo 2 interfaco interfaco-id
Paŝo 3 [ne] eapol anonco
Paŝo 4 fino
Celo
Enigu tutmondan agordan reĝimon.
Identigas la MACsec-interfacon, kaj eniras interfacan agordan reĝimon. La interfaco devas esti fizika interfaco.
Ebligu anoncojn de EAPoL. Uzu la neniun formon de la komando por malŝalti anoncojn de EAPoL. Defaŭlte, la anoncoj de EAPoL estas malŝaltitaj.
Revenas al privilegia EXEC-reĝimo.
Examples: Agordi MACsec Ĉifro-Anoncon
Ĉi tiu ekzample montras kiel agordi MKA-politikon por Sekura Anonco:
# agordi terminalon (config)# mka policy mka_policy (config-mka-policy)# ŝlosilservilo 2 (config-mka-policy)# send-secure-announcements (config-mka-policy)#macsec-cipher-suite gcm- aes-128confidentiality-offset 0 (config-mka-policy)# fino
Ĉi tiu ekzample montras kiel agordi Sekuran Anoncon tutmonde:
# agordi terminalon (config)# mka defaults policy send-secure-announcements (config)# fin
Ĉi tiu ekzample montras kiel agordi EAPoL Anoncoj sur interfaco:
# agordi terminalon (config)# interfaco GigabitEthernet 1/0/1 (config-if)# eapol-anonco (config-if)# fino
La sekvanta estas kielample eligo por show running-config interface interface-name komando kun EAPoL-anonco ebligita.
# montru rul-agordan interfacon GigabitEthernet 1/0/1
switchport mode access macsec aliro-sesio gastiganto-reĝimo multi-gastiganto aliro-sesio fermita
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 35
Examples: Agordi MACsec Ĉifro-Anoncon
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
alir-sesio havenkontrolo aŭtomata dot1x pae aŭtentikilo dot1x timeout kvieta periodo 10 dot1x timeout tx-period 5 dot1x timeout supp-timeout 10 dot1x petante eap profile peap eapol anonco spanning-tree portfast servo-politiko tipo kontrolo abonanto Dot1X
La sekvanta estas kielample eligo de la komando show mka sessions interface interface-name detalo kun sekura anonco malŝaltita.
# montru mka-sesian interfacon GigabitEthernet 1/0/1 detalon
MKA Detala Statuso por MKA -Sesio ===================================== Statuso: Sekurigita - Sekurigita MKA -Sesio kun MacSec
Loka Tx-SCI…………. 204c.9e85.ede4/002b Interfaco MAC-adreso... 204c.9e85.ede4 MKA Port Identifier…… 43 Interfaco-Nomo……….. GigabitEthernet1/0/1 Audit Session ID……… CAK-Nomo (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 46 Membro-Identigilo (MI)... D05CBEC5D67594543D89567CEAE Mesaĝnumero ( MN)…… 128 EAP-Rolo…………….. NA Key Server…………… JES MKA Cipher Suite……… AES-XNUMX-CMAC
Plej lasta SAK-Stato…….. Rx & Tx Plej lasta SAK AN………… 0 Plej lasta SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) Malnova SAK-Stato……….. UNUA-SAK Malnova SAK AN…………… 0 Malnova SAK KI (KN)………. UNUA SAK (0)
SAK Transsend Wait Time... 0s (Ne atendante ke iuj samuloj respondu) SAK Retire Time………. 0s (Neniu Malnova SAK por retiriĝi)
Nomo de Politiko de MKA………. p2 Ŝlosila Servilo Prioritato…… 2 Prokrasto Protekto……… NE Reludi Protekto…….. JES Ripeti Fenestra Grandeco……. 0 Konfidenco-Ofseto... 0 Algoritmo-Lerteco... .. 80C201 Sendi Sekuran Anoncon.. MALAPABITA SAK Ĉifro-Suite...…… 0080C20001000001 (GCM-AES-128) MACsec Kapableco…….. 3 (MACsec Integriteco, & Offset)
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 36
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Examples: Agordi MACsec Ĉifro-Anoncon
MACsec Dezirita……….. JES
Nombro de MACsec Kapablaj Vivaj Samuloj Respondis.. 1
Listo de Vivaj Kunuloj:
MI
MN
Rx-SCI (kunulo)
KS Prioritato
————————————————————————-
38046BA37D7DA77E06D006A9 89555
c800.8459.e764/002a 10
Listo de Eblaj Kunuloj:
MI
MN
Rx-SCI (kunulo)
KS Prioritato
————————————————————————-
Listo de Dormaj Kunuloj:
MI
MN
Rx-SCI (kunulo)
KS Prioritato
————————————————————————-
La sekvanta estas kielample eligo de la komando show mka sessions details kun sekura anonco malŝaltita.
# montri detalojn pri mka-sesioj
MKA Detala Statuso por MKA -Sesio ===================================== Statuso: Sekurigita - Sekurigita MKA -Sesio kun MacSec
Loka Tx-SCI…………. 204c.9e85.ede4/002b Interfaco MAC-adreso... 204c.9e85.ede4 MKA Port Identifier…… 43 Interfaco-Nomo……….. GigabitEthernet1/0/1 Audit Session ID……… CAK-Nomo (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 46 Membro-Identigilo (MI)... D05CBEC5D67594543D89572CEAE Mesaĝnumero ( MN)…… 128 EAP-Rolo…………….. NA Key Server…………… JES MKA Cipher Suite……… AES-XNUMX-CMAC
Plej lasta SAK-Stato…….. Rx & Tx Plej lasta SAK AN………… 0 Plej lasta SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) Malnova SAK-Stato……….. UNUA-SAK Malnova SAK AN…………… 0 Malnova SAK KI (KN)………. UNUA SAK (0)
SAK Transsend Wait Time... 0s (Ne atendante ke iuj samuloj respondu) SAK Retire Time………. 0s (Neniu Malnova SAK por retiriĝi)
Nomo de Politiko de MKA………. p2 Ŝlosila Servilo Prioritato…… 2 Prokrasto Protekto……… NE Reluda Protekto…….. JES
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 37
Examples: Agordi MACsec Ĉifro-Anoncon
MACsec kaj la MACsec Key Agreement (MKA) Protokolo
Ripeti Fenestra Grandeco……. 0 Konfidenca Ofseto... 0 Algoritmo-Lerteco... .. 80C201 Sendi Sekura Anonco.. HABILITA SAK Cipher Suite……… 0080C20001000001 (GCM-AES-128) MACsec Kapablo…….. 3 (MACsec Integriteco, Malsaneco de MACsec) ……….. JES
Nombro de MACsec Kapablaj Vivaj Samuloj Respondis.. 1
Listo de Vivaj Kunuloj:
MI
MN
Rx-SCI (kunulo)
KS Prioritato
————————————————————————-
38046BA37D7DA77E06D006A9 89560
c800.8459.e764/002a 10
Listo de Eblaj Kunuloj:
MI
MN
Rx-SCI (kunulo)
KS Prioritato
————————————————————————-
Listo de Dormaj Kunuloj:
MI
MN
Rx-SCI (kunulo)
KS Prioritato
————————————————————————-
La sekvanta estas kielample eligo de la komando show mka policy policy-name detail kun sekura anonco malŝaltita.
# montri detalon pri mka-politiko p2
MKA-Politiko-Agordo ("p2") ========================= MKA-Politika Nomo…….. p2 Ŝlosila Servilo Prioritato…. 2 Konfidencialeco Offset. 0 Sendu Sekuran Anoncon..MABILITITA(j) Cipher Suite(j)…….. GCM-AES-128
Aplikataj Interfacoj... GigabitEthernet1/0/1
MACsec kaj la MACsec Key Agreement (MKA) Protokolo 38
Dokumentoj/Rimedoj
 |
Cisco IE3x00 MACsec kaj la MACsec Key Agreement Protocol [pdf] Uzantogvidilo IE3x00 MACsec kaj la MACsec Key Agreement Protocol, IE3x00, MACsec kaj la MACsec Key Agreement Protocol, MACsec Key Agreement Protocol, Key Agreement Protocol, Agreement Protocol, Protokolo |
