កម្មវិធីគ្រប់គ្រងឥតខ្សែកាតាលីករស៊េរី 9800
ការណែនាំអ្នកប្រើប្រាស់
គ្រប់គ្រងឧបករណ៍បញ្ឆោតទាំងឡាយ
ការរកឃើញក្លែងក្លាយ
ឧបករណ៍បញ្ឆោត
ចំណុចចូលប្រើក្លែងក្លាយអាចរំខានដល់ប្រតិបត្តិការ LAN ឥតខ្សែដោយការលួចយកអតិថិជនស្របច្បាប់ និងប្រើប្រាស់អត្ថបទធម្មតា ឬបដិសេធសេវាកម្មផ្សេងទៀត ឬការវាយប្រហារដោយមនុស្សនៅកណ្តាល។ នោះគឺថាពួក Hacker អាចប្រើចំណុចចូលប្រើបញ្ឆោត ដើម្បីចាប់យកព័ត៌មានរសើប ដូចជាឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ជាដើម។ បន្ទាប់មកពួក Hacker អាចបញ្ជូនស៊ុម Clear to Send (CTS) ជាបន្តបន្ទាប់។ សកម្មភាពនេះធ្វើត្រាប់តាមចំណុចចូលដំណើរការ ជូនដំណឹងដល់អតិថិជនជាក់លាក់មួយដើម្បីបញ្ជូន និងណែនាំអតិថិជនផ្សេងទៀតទាំងអស់ឱ្យរង់ចាំ ដែលនាំឱ្យអតិថិជនស្របច្បាប់មិនអាចចូលប្រើធនធានបណ្តាញបាន។ អ្នកផ្តល់សេវា LAN ឥតខ្សែមានចំណាប់អារម្មណ៍យ៉ាងខ្លាំងក្នុងការហាមឃាត់ចំណុចចូលប្រើក្លែងក្លាយពីលំហអាកាស។
ដោយសារតែចំណុចចូលប្រើបញ្ឆោតទាំងឡាយមានតម្លៃថោក និងអាចរកបានយ៉ាងងាយស្រួល បុគ្គលិកពេលខ្លះដោតចំណុចចូលប្រើបញ្ឆោតទាំងឡាយដែលគ្មានការអនុញ្ញាតទៅក្នុង LANs ដែលមានស្រាប់ និងបង្កើតបណ្តាញឥតខ្សែ ad hoc ដោយគ្មានចំណេះដឹង ឬការយល់ព្រមពីនាយកដ្ឋាន IT របស់ពួកគេ។ ចំណុចចូលប្រើដ៏អាក្រក់ទាំងនេះអាចជាការបំពានយ៉ាងធ្ងន់ធ្ងរនៃសុវត្ថិភាពបណ្តាញ ព្រោះវាអាចត្រូវបានដោតចូលទៅក្នុងច្រកបណ្តាញនៅពីក្រោយជញ្ជាំងភ្លើងសាជីវកម្ម។ ដោយសារតែនិយោជិតជាទូទៅមិនបើកការកំណត់សុវត្ថិភាពណាមួយនៅលើចំណុចចូលប្រើបញ្ឆោតនោះ វាងាយស្រួលសម្រាប់អ្នកប្រើប្រាស់ដែលគ្មានការអនុញ្ញាតក្នុងការប្រើប្រាស់ចំណុចចូលដំណើរការដើម្បីស្ទាក់ចាប់ចរាចរណ៍បណ្តាញ និងលួចចូលវគ្គអតិថិជន។ មានឱកាសកើនឡើងនៃការរំលោភបំពានសុវត្ថិភាពសហគ្រាស នៅពេលដែលអ្នកប្រើប្រាស់ឥតខ្សែភ្ជាប់ទៅកាន់ចំណុចចូលដំណើរការនៅក្នុងបណ្តាញសហគ្រាស។
ខាងក្រោមនេះជាគោលការណ៍ណែនាំមួយចំនួនដើម្បីគ្រប់គ្រងឧបករណ៍បញ្ឆោតទាំងឡាយ៖
- ចំណុចចូលដំណើរការត្រូវបានរចនាឡើងដើម្បីបម្រើអតិថិជនដែលពាក់ព័ន្ធ។ ចំណុចចូលប្រើទាំងនេះចំណាយពេលវេលាតិចជាងក្នុងការអនុវត្តការស្កេនក្រៅប៉ុស្តិ៍៖ ប្រហែល 50 មីលីវិនាទីនៅលើប៉ុស្តិ៍នីមួយៗ។ ប្រសិនបើអ្នកចង់រកឃើញ AP បញ្ឆោតទាំងឡាយ និងអតិថិជនដែលមានភាពប្រែប្រួលខ្ពស់ ចំណុចចូលប្រើរបៀបម៉ូនីទ័រត្រូវតែប្រើ។ ជាជម្រើស អ្នកអាចកាត់បន្ថយចន្លោះពេលស្កេនពី 180 វិនាទីទៅតម្លៃតិចជាងនេះ ឧទាហរណ៍ample, 120 ឬ 60 វិនាទី, ធានាថាវិទ្យុបានបិទឆានែលញឹកញាប់ជាងមុន, ដែលធ្វើអោយប្រសើរឡើងនូវឱកាសនៃការរកឃើញបញ្ឆោតទាំងឡាយ។ ទោះជាយ៉ាងណាក៏ដោយ ចំណុចចូលដំណើរការបន្តចំណាយប្រហែល 50 មីលីវិនាទីនៅលើប៉ុស្តិ៍នីមួយៗ។
- ការរកឃើញក្លែងក្លាយត្រូវបានបិទតាមលំនាំដើមសម្រាប់ចំណុចចូលប្រើប្រាស់ Office Extend ដោយសារតែចំណុចចូលដំណើរការទាំងនេះ ដែលត្រូវបានដាក់ពង្រាយនៅក្នុងបរិយាកាសក្នុងផ្ទះ ទំនងជាអាចរកឃើញឧបករណ៍បញ្ឆោតទាំងឡាយជាច្រើន។
- ការអនុវត្តកាតអតិថិជនអាចកាត់បន្ថយប្រសិទ្ធភាពនៃការទប់ស្កាត់។ ជាធម្មតា វាកើតឡើងនៅពេលដែលអតិថិជនអាចភ្ជាប់បណ្តាញឡើងវិញបានយ៉ាងឆាប់រហ័ស បន្ទាប់ពីទទួលបានស៊ុម "de-association/de-authentication" ដូច្នេះវាអាចនៅតែអាចឆ្លងកាត់ចរាចរណ៍មួយចំនួនបាន។ ទោះជាយ៉ាងណាក៏ដោយ បទពិសោធន៍រុករករបស់ម៉ាស៊ីនភ្ញៀវបញ្ឆោតទាំងឡាយនឹងរងផលប៉ះពាល់យ៉ាងធ្ងន់ធ្ងរនៅពេលដែលវាមាន។
- វាអាចធ្វើទៅបានដើម្បីចាត់ថ្នាក់ និងរាយការណ៍ចំណុចចូលប្រើបញ្ឆោតទាំងឡាយ ដោយប្រើរដ្ឋបញ្ឆោតទាំងឡាយ និងច្បាប់ចាត់ថ្នាក់ដែលកំណត់ដោយអ្នកប្រើប្រាស់ ដែលអនុញ្ញាតឱ្យបញ្ឆោតទាំងឡាយផ្លាស់ទីដោយស្វ័យប្រវត្តិរវាងរដ្ឋ។
- ឧបករណ៍បញ្ជានីមួយៗកំណត់ចំនួនឧបករណ៍បញ្ឆោតទាំងឡាយដល់បី និងប្រាំមួយក្នុងមួយវិទ្យុសម្រាប់ចំណុចចូលដំណើរការនៅក្នុងរបៀបម៉ូនីទ័រ។
- នៅពេលដែលការទប់ស្កាត់ដោយដៃត្រូវបានអនុវត្តដោយប្រើការកំណត់រចនាសម្ព័ន្ធ ធាតុបញ្ឆោតទាំងឡាយត្រូវបានរក្សាទុកសូម្បីតែបន្ទាប់ពីធាតុបញ្ឆោតទាំងឡាយផុតកំណត់។
- នៅពេលដែលធាតុបញ្ឆោតទាំងឡាយផុតកំណត់ ចំណុចចូលដំណើរការដែលបានគ្រប់គ្រងត្រូវបានណែនាំឱ្យបញ្ឈប់ការទប់ស្កាត់សកម្មណាមួយនៅលើវា។
- នៅពេលដែល Validate Rogue AP Against AAA ត្រូវបានបើក ឧបករណ៍បញ្ជាស្នើសុំម៉ាស៊ីនមេ AAA សម្រាប់ការចាត់ថ្នាក់ AP បញ្ឆោតទាំងឡាយ ជាមួយនឹងចន្លោះពេលដែលបានកំណត់។
- ដើម្បីធ្វើឱ្យមានសុពលភាព Rogue AP ប្រឆាំងនឹង AAA បន្ថែម AP MAC ដ៏អាក្រក់ទៅមូលដ្ឋានទិន្នន័យអ្នកប្រើប្រាស់ AAA ជាមួយនឹងការកំណត់ព្រំដែន ឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ដែលពាក់ព័ន្ធជាអាសយដ្ឋាន MAC ជាមួយនឹងការកំណត់ព្រំដែនពាក់ព័ន្ធ។ Access-Accept មានគូ Cisco-AV-pair ជាមួយនឹងពាក្យគន្លឹះមួយក្នុងចំណោមពាក្យគន្លឹះខាងក្រោម៖
- rogue-ap-state=រដ្ឋ
ចំណាំ
នៅទីនេះ ស្ថានភាពអាចជាប្រភេទណាមួយ ដូចជា៖ ការជូនដំណឹង ផ្ទុក ខាងក្នុង ខាងក្រៅ ឬការគំរាមកំហែង។
- rogue-ap-class=ថ្នាក់
ចំណាំ
នៅទីនេះ ថ្នាក់អាចជាប្រភេទណាមួយ ដូចជា៖ មិនចាត់ថ្នាក់ ព្យាបាទ ឬមិត្តភាព។
ខាងក្រោមនេះគឺជាបន្សំដែលអនុញ្ញាតនៃថ្នាក់ ឬរដ្ឋ៖
- unclassified : ដាស់តឿន, មាន, ឬការគំរាមកំហែង។
- ព្យាបាទ៖ ដាស់តឿន ផ្ទុក ឬគំរាមកំហែង។
- រួសរាយរាក់ទាក់៖ ដាស់តឿន ខាងក្នុង ឬខាងក្រៅ។
Radius Access-Reject សម្រាប់សុពលភាព AP AAA បញ្ឆោតទាំងឡាយ មិនត្រូវបានអើពើទេ។
- នៅពេលបើកដំណើរការ Validate Rogue Clients Against AAA នោះឧបករណ៍បញ្ជាស្នើសុំម៉ាស៊ីនមេ AAA សម្រាប់សុពលភាពអតិថិជនបញ្ឆោតទាំងឡាយតែម្តងប៉ុណ្ណោះ។ ជាលទ្ធផល ប្រសិនបើការផ្ទៀងផ្ទាត់ម៉ាស៊ីនភ្ញៀវបញ្ឆោតទាំងឡាយបរាជ័យក្នុងការប៉ុនប៉ងលើកដំបូង នោះម៉ាស៊ីនភ្ញៀវបញ្ឆោតនឹងមិនត្រូវបានរកឃើញថាជាការគំរាមកំហែងទៀតទេ។ ដើម្បីជៀសវាងបញ្ហានេះ សូមបន្ថែមធាតុម៉ាស៊ីនភ្ញៀវដែលមានសុពលភាពនៅក្នុងម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ មុនពេលបើកដំណើរការម៉ាស៊ីនភ្ញៀវបោកប្រាស់ប្រឆាំងនឹង AAA ។
ការដាក់កម្រិតលើការរកឃើញក្លែងក្លាយ
- ការទប់ស្កាត់បញ្ឆោតទាំងឡាយមិនត្រូវបានគាំទ្រនៅលើបណ្តាញ DFS ទេ។
ចំណុចចូលប្រើបញ្ឆោតត្រូវផ្លាស់ទីទៅរដ្ឋដែលមានទាំងដោយស្វ័យប្រវត្តិ ឬដោយដៃ។ ឧបករណ៍បញ្ជាជ្រើសរើសចំណុចចូលដំណើរការដែលល្អបំផុតសម្រាប់ផ្ទុក ហើយរុញព័ត៌មានទៅចំណុចចូលដំណើរការ។ ចំណុចចូលដំណើរការរក្សាទុកបញ្ជីនៃការផ្ទុកក្នុងមួយវិទ្យុ។ សម្រាប់ការផ្ទុកដោយស្វ័យប្រវត្តិ អ្នកអាចកំណត់រចនាសម្ព័ន្ធឧបករណ៍បញ្ជាឱ្យប្រើតែចំណុចចូលដំណើរការរបៀបម៉ូនីទ័រប៉ុណ្ណោះ។ ប្រតិបត្តិការបង្រ្កាបកើតឡើងតាមពីរវិធីដូចខាងក្រោមៈ
- ចំណុចចូលប្រើកុងតឺន័រឆ្លងកាត់បញ្ជីផ្ទុកតាមកាលកំណត់ ហើយផ្ញើស៊ុមផ្ទុក unicast ។ សម្រាប់ការផ្ទុកចំណុចចូលប្រើក្លែងក្លាយ ស៊ុមត្រូវបានផ្ញើលុះត្រាតែអតិថិជនបញ្ឆោតទាំងឡាយត្រូវបានភ្ជាប់។
- នៅពេលណាដែលមានសកម្មភាពបញ្ឆោតទាំងឡាយត្រូវបានរកឃើញ ស៊ុមផ្ទុកត្រូវបានបញ្ជូន។
ការទប់ស្កាត់ការបញ្ឆោតទាំងឡាយបុគ្គលពាក់ព័ន្ធនឹងការផ្ញើលំដាប់នៃការផ្តាច់ទំនាក់ទំនង unicast និងស៊ុមការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវឡើងវិញ។
ចាប់ពីការចេញផ្សាយ 17.7.1 តទៅ ហត្ថលេខា Beacon DS Attack និង Beacon Wrong Channel ត្រូវបានណែនាំ។
Beacon DS Attack- នៅពេលដែល APs ដែលត្រូវបានគ្រប់គ្រង និងបញ្ឆោតទាំងឡាយប្រើ BSSID ដូចគ្នានោះ APs បញ្ឆោតទាំងឡាយត្រូវបានគេហៅថាជាអ្នកក្លែងបន្លំ។ អ្នកវាយប្រហារអាចបន្ថែមធាតុកំណត់ប៉ារ៉ាម៉ែត្រ Direct-Sequence ព័ត៌មានជាមួយនឹងលេខឆានែលណាមួយ។ ប្រសិនបើលេខឆានែលដែលបានបន្ថែមខុសពីលេខឆានែលដែលប្រើដោយ AP ដែលបានគ្រប់គ្រង ការវាយប្រហារត្រូវបានគេហៅថា Beacon DS Attack ។
Beacon Wrong Channel—នៅពេលដែល APs ដែលត្រូវបានគ្រប់គ្រង និងបញ្ឆោតទាំងឡាយប្រើ BSSID ដូចគ្នានោះ APs បញ្ឆោតទាំងឡាយត្រូវបានគេហៅថាជាអ្នកក្លែងបន្លំ AP ។ ប្រសិនបើអ្នកក្លែងបន្លំ AP ប្រើលេខឆានែលដែលខុសពីលេខដែលប្រើដោយ AP ដែលបានគ្រប់គ្រងជាមួយ BSSID ដូចគ្នា ការវាយប្រហារត្រូវបានគេហៅថា Beacon Wrong Channel។ ក្នុងករណីបែបនេះ ធាតុព័ត៌មានលំដាប់ផ្ទាល់អាចនឹងមិនមានវត្តមាននៅក្នុងស៊ុម Beacon ទេ។
Cisco Prime Infrastructure Interaction និង Rogue Detection
Cisco Prime Infrastructure គាំទ្រការចាត់ថ្នាក់ផ្អែកលើច្បាប់ និងប្រើប្រាស់ច្បាប់ចាត់ថ្នាក់ដែលបានកំណត់រចនាសម្ព័ន្ធនៅលើឧបករណ៍បញ្ជា។ ឧបករណ៍បញ្ជាបញ្ជូនអន្ទាក់ទៅកាន់ Cisco Prime Infrastructure បន្ទាប់ពីព្រឹត្តិការណ៍ដូចខាងក្រោម៖
- ប្រសិនបើចំណុចចូលប្រើប្រាស់មិនស្គាល់ផ្លាស់ទីទៅស្ថានភាពមិត្តភាពជាលើកដំបូង ឧបករណ៍បញ្ជាបញ្ជូនអន្ទាក់ទៅ Cisco Prime Infrastructure លុះត្រាតែស្ថានភាពបញ្ឆោតទាំងឡាយមានការជូនដំណឹង។ វាមិនបញ្ជូនអន្ទាក់ទេ ប្រសិនបើស្ថានភាពបញ្ឆោតទាំងឡាយគឺខាងក្នុង ឬខាងក្រៅ។
- ប្រសិនបើធាតុបញ្ឆោតទាំងឡាយត្រូវបានដកចេញបន្ទាប់ពីអស់ពេលផុតកំណត់ ឧបករណ៍បញ្ជានឹងបញ្ជូនអន្ទាក់ទៅ Cisco Prime Infrastructure សម្រាប់ចំណុចចូលប្រើបញ្ឆោតទាំងឡាយដែលត្រូវបានចាត់ថាជាព្យាបាទ (ការជូនដំណឹង ការគំរាមកំហែង) ឬមិនចាត់ថ្នាក់ (ការជូនដំណឹង)។ ឧបករណ៍បញ្ជាមិនលុបធាតុបញ្ឆោតទាំងឡាយដែលមានស្ថានភាពបញ្ឆោតទាំងឡាយខាងក្រោមទេ៖ មានផ្ទុក ជាប់រង់ចាំ ខាងក្នុង និងខាងក្រៅ។
ព័ត៌មានអំពីការឃុំឃាំងបញ្ឆោត (ស៊ុមគ្រប់គ្រងការពារ (PMF) ត្រូវបានបើក)
ចាប់ពី Cisco IOS XE Amsterdam, 17.3.1 តទៅ ឧបករណ៍បញ្ឆោតទាំងឡាយដែលត្រូវបានបើកជាមួយ 802.11w Protected Management Frames (PMF) គឺមិនមានទេ។ ជំនួសមកវិញ ឧបករណ៍បញ្ឆោតទាំងឡាយត្រូវបានសម្គាល់ថាមានជាប់រង់ចាំ ហើយសំឡេងរោទិ៍ WSA ត្រូវបានលើកឡើងដើម្បីជូនដំណឹងអំពីព្រឹត្តិការណ៍ដែលមិនទាន់មានផ្ទុក។ ដោយសារតែឧបករណ៍ផ្ទុកមិនត្រូវបានអនុវត្ត ធនធានចំណុចចូលដំណើរការ (AP) មិនត្រូវបានប្រើប្រាស់ដោយមិនចាំបាច់នោះទេ។
ចំណាំ
មុខងារនេះត្រូវបានគាំទ្រតែនៅលើ Wave 2 APs ប៉ុណ្ណោះ។
ដំណើរការពាក្យបញ្ជាលម្អិត show wireless wps rogue ap ដើម្បីផ្ទៀងផ្ទាត់ឧបករណ៍ផ្ទុក នៅពេលដែល PMF ត្រូវបានបើកនៅលើឧបករណ៍បញ្ឆោតទាំងឡាយ។
ការរកឃើញការក្លែងបន្លំ AP
វិធីសាស្រ្តផ្សេងៗក្នុងការរកឃើញការក្លែងបន្លំ AP គឺ៖
- ការក្លែងបន្លំ AP អាចត្រូវបានរកឃើញប្រសិនបើ AP ដែលត្រូវបានគ្រប់គ្រងរាយការណ៍ថាខ្លួនជា Rogue ។ វិធីសាស្ត្រនេះតែងតែត្រូវបានបើក ហើយមិនចាំបាច់មានការកំណត់រចនាសម្ព័ន្ធទេ។
- ការរកឃើញការក្លែងបន្លំ AP គឺផ្អែកលើ MFP ។
- ការរកឃើញការក្លែងបន្លំ AP ផ្អែកលើការផ្ទៀងផ្ទាត់ AP ។
Infrastructure MFP ការពារមុខងារគ្រប់គ្រងវគ្គ 802.11 ដោយបន្ថែមធាតុព័ត៌មានពិនិត្យភាពត្រឹមត្រូវនៃសារ (MIC) ទៅកាន់ស៊ុមគ្រប់គ្រងដែលបានផ្ញើដោយ APs (និងមិនមែនអ្វីដែលផ្ញើដោយអតិថិជន) ដែលបន្ទាប់មកត្រូវបានផ្ទៀងផ្ទាត់ដោយ APs ផ្សេងទៀតនៅក្នុងបណ្តាញ។ ប្រសិនបើហេដ្ឋារចនាសម្ព័ន្ធ MFP ត្រូវបានបើក APs ដែលត្រូវបានគ្រប់គ្រងពិនិត្យមើលថាតើធាតុព័ត៌មាន MIC មានវត្តមានដែរឬទេ ហើយប្រសិនបើធាតុព័ត៌មាន MIC គឺដូចដែលរំពឹងទុក។ ប្រសិនបើលក្ខខណ្ឌមួយក្នុងចំណោមលក្ខខណ្ឌទាំងនេះមិនត្រូវបានបំពេញទេ AP ដែលបានគ្រប់គ្រងផ្ញើរបាយការណ៍ AP បញ្ឆោតទាំងឡាយជាមួយនឹងបញ្ជរការបរាជ័យនៃការផ្ទៀងផ្ទាត់ AP ដែលបានធ្វើបច្ចុប្បន្នភាព។
មុខងារផ្ទៀងផ្ទាត់ AP អនុញ្ញាតឱ្យអ្នករកឃើញការក្លែងបន្លំ AP ។ នៅពេលអ្នកបើកដំណើរការមុខងារនេះ ឧបករណ៍បញ្ជាបង្កើតការសម្ងាត់ដែន AP ហើយចែករំលែកវាជាមួយ APs ផ្សេងទៀតនៅក្នុងបណ្តាញតែមួយ។ នេះអនុញ្ញាតឱ្យ APs ផ្ទៀងផ្ទាត់គ្នាទៅវិញទៅមក។
ធាតុព័ត៌មានការផ្ទៀងផ្ទាត់ AP ត្រូវបានភ្ជាប់ទៅ beacon និងស៊ុមឆ្លើយតបការស៊ើបអង្កេត។ ប្រសិនបើធាតុព័ត៌មានការផ្ទៀងផ្ទាត់ AP មានវាលហត្ថលេខាមិនត្រឹមត្រូវ ឬពេលវេលាបំផុត។amp ត្រូវបានបិទ ឬប្រសិនបើធាតុព័ត៌មានការផ្ទៀងផ្ទាត់ AP ត្រូវបានបាត់ នោះ AP ដែលបានរកឃើញលក្ខខណ្ឌបែបនេះនឹងបង្កើនវាលរាប់ការបរាជ័យក្នុងការផ្ទៀងផ្ទាត់ AP ។ ការជូនដំណឹងអំពីការក្លែងបន្លំត្រូវបានលើកឡើងបន្ទាប់ពីការបរាជ័យក្នុងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរបស់ AP បានបំពានកម្រិតរបស់វា។ AP បញ្ឆោតទាំងឡាយត្រូវបានចាត់ថ្នាក់ថាជា Malicious with state Threat។
ដំណើរការពាក្យបញ្ជា show wireless wps rogue ap detail ដើម្បីមើលនៅពេលដែលការក្លែងបន្លំត្រូវបានរកឃើញដោយសារតែកំហុសក្នុងការផ្ទៀងផ្ទាត់។
កំណត់រចនាសម្ព័ន្ធការរកឃើញក្លែងក្លាយ (GUI)
នីតិវិធី
| ជំហានទី 1 | ជ្រើសរើស ការកំណត់> Tags គាំទ្រfiles > AP ចូលរួម។ |
| ជំហានទី 2 | ចុច AP Join Profile ឈ្មោះដើម្បីកែសម្រួល AP ចូលរួមគាំទ្រfile លក្ខណៈសម្បត្តិ។ |
| ជំហានទី 3 | នៅក្នុង Edit AP Join Profile បង្អួចចុចលើផ្ទាំង Rogue AP ។ |
| ជំហានទី 4 | ធីកប្រអប់ធីក Rogue Detection ដើម្បីបើកការរកឃើញបញ្ឆោតទាំងឡាយ។ |
| ជំហានទី 5 | នៅក្នុងវាល RSSI អប្បរមា ការរកឃើញ Rogue បញ្ចូលតម្លៃ RSSI ។ |
| ជំហានទី 6 | នៅក្នុងវាល Rogue Detection Transient Interval បញ្ចូលចន្លោះពេលជាវិនាទី។ |
| ជំហានទី 7 | នៅក្នុងវាលចន្លោះពេលរបាយការណ៍រកឃើញ Rogue បញ្ចូលតម្លៃចន្លោះពេលរបាយការណ៍គិតជាវិនាទី។ |
| ជំហានទី 8 | នៅក្នុងវាល Rogue Detection Client Number Threshold បញ្ចូលកម្រិតចាប់ផ្ដើមសម្រាប់ការរកឃើញម៉ាស៊ីនភ្ញៀវបញ្ឆោត។ |
| ជំហានទី 9 | ធីកប្រអប់ធីក Auto Containment នៅលើ Flex Connect Standalone ដើម្បីបើកការផ្ទុកដោយស្វ័យប្រវត្តិ។ |
| ជំហានទី 10 | ចុចអាប់ដេត និងអនុវត្តទៅឧបករណ៍។ |
កំណត់រចនាសម្ព័ន្ធការរកឃើញក្លែងក្លាយ (CLI)
នីតិវិធី
| ពាក្យបញ្ជាឬសកម្មភាព | គោលបំណង | |
| ជំហានទី 1 | កំណត់រចនាសម្ព័ន្ធស្ថានីយ Exampលេ៖ ឧបករណ៍# កំណត់រចនាសម្ព័ន្ធស្ថានីយ | ចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ជំហានទី 2 | ap profile គាំទ្រfile- ឈ្មោះ ការរកឃើញដ៏អាក្រក់ min-rssi rssi ក្នុង dBm Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ap profile គាំទ្រfile1 ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ការរកឃើញកំហុស min-rssi -100 |
បញ្ជាក់តម្លៃ RSSI អប្បបរមាដែលអ្នកបញ្ឆោតទាំងឡាយគួរតែមានសម្រាប់ APs ដើម្បីរកឃើញ និងសម្រាប់ធាតុបញ្ឆោតទាំងឡាយដែលត្រូវបង្កើតនៅក្នុងឧបករណ៍។ ជួរត្រឹមត្រូវសម្រាប់ rssi ក្នុងប៉ារ៉ាម៉ែត្រ dBm គឺ -128 dBm ទៅ -70 dBm ហើយតម្លៃលំនាំដើមគឺ -128 dBm ។ ចំណាំ មុខងារនេះអាចអនុវត្តបានចំពោះទម្រង់ AP ទាំងអស់។ វាអាចមានអ្នកបញ្ឆោតជាច្រើនដែលមានតម្លៃ RSSI ខ្សោយខ្លាំង ដែលមិនផ្តល់ព័ត៌មានដ៏មានតម្លៃណាមួយនៅក្នុងការវិភាគបញ្ឆោតទាំងឡាយ។ ដូច្នេះ អ្នកអាចប្រើជម្រើសនេះដើម្បីត្រងអ្នកបញ្ឆោតទាំងឡាយដោយបញ្ជាក់តម្លៃ RSSI អប្បបរមាដែល APs គួរតែរកឃើញបញ្ឆោតទាំងឡាយ។ |
| ជំហានទី 3 | ap profile គាំទ្រfile- ឈ្មោះ ការទប់ស្កាត់ការរកឃើញក្លែងក្លាយ {អត្រាស្វ័យប្រវត្តិ | អត្រាបត់បែន} Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ap profile គាំទ្រfile1 ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # អត្រា flex-rate ការរកឃើញបញ្ឆោតទាំងឡាយ |
បញ្ជាក់ជម្រើសនៃការទប់ស្កាត់បញ្ឆោតទាំងឡាយ។ នេះ។ អត្រាស្វ័យប្រវត្តិ ជម្រើសបើកអត្រាស្វ័យប្រវត្តិសម្រាប់ការទប់ស្កាត់បញ្ឆោតទាំងឡាយ។ នេះ។ អត្រាបត់បែន ជម្រើសអនុញ្ញាតឱ្យមានការគ្រប់គ្រងបញ្ឆោតទាំងឡាយនៃ flexconnect APs ឯករាជ្យ។ |
| ជំហានទី 4 | ap គាំទ្រfile គាំទ្រfile- ឈ្មោះ បញ្ឆោត ការរកឃើញ បើក Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ap profile គាំទ្រfile1 ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # បើកការរកឃើញក្លែងក្លាយ |
បើកការរកឃើញក្លែងក្លាយនៅលើ APs ទាំងអស់។ |
| ជំហានទី 5 | ap profile គាំទ្រfile- ឈ្មោះ ចន្លោះពេលរបាយការណ៍រកឃើញក្លែងក្លាយ ពេលវេលាគិតជាវិនាទី Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ap profile គាំទ្រfile1 ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ចន្លោះពេលរបាយការណ៍រកឃើញបញ្ឆោត - 120 |
កំណត់រចនាសម្ព័ន្ធចន្លោះពេលរបាយការណ៍បញ្ឆោតទាំងឡាយសម្រាប់របៀបម៉ូនីទ័រ Cisco APs ។ ជួរត្រឹមត្រូវសម្រាប់ការរាយការណ៍ចន្លោះពេលគិតជាវិនាទីគឺពី 10 វិនាទីទៅ 300 វិនាទី។ |
កំណត់រចនាសម្ព័ន្ធការជូនដំណឹងគម្លាត RSSI សម្រាប់ Rogue APs (CLI)
នីតិវិធី
| ពាក្យបញ្ជាឬសកម្មភាព | គោលបំណង | |
| ជំហានទី 1 | កំណត់រចនាសម្ព័ន្ធស្ថានីយ Exampលេ៖ ឧបករណ៍# កំណត់រចនាសម្ព័ន្ធស្ថានីយ |
ចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ជំហានទី 2 | ឥតខ្សែ wps បញ្ឆោតទាំងឡាយ ap ជូនដំណឹង-rssi-គម្លាត Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ឥតខ្សែ wps បញ្ឆោតទាំងឡាយ ap ជូនដំណឹង-rssi-គម្លាត |
កំណត់កម្រិតនៃការជូនដំណឹងគម្លាត RSSI សម្រាប់ Rogue APs ។ |
| ជំហានទី 3 | ចប់ Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ចប់ |
ត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។ ជាជម្រើសអ្នកក៏អាចចុចផងដែរ។ Ctrl-Z ដើម្បីចេញពីរបៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
កំណត់រចនាសម្ព័ន្ធការការពារស៊ុមគ្រប់គ្រង (GUI)
នីតិវិធី
| ជំហានទី 1 | ជ្រើសរើសការកំណត់រចនាសម្ព័ន្ធ > សុវត្ថិភាព > គោលការណ៍ការពារឥតខ្សែ។ |
| ជំហានទី 2 | នៅក្នុងផ្ទាំង Rogue Policy នៅក្រោមផ្នែកការកំណត់រចនាសម្ព័ន្ធ MFP សូមធីកប្រអប់ធីក Global MFP State និងប្រអប់ធីកប្រអប់ធីក AP Impersonation Detection ដើម្បីបើកស្ថានភាព MFP សកល និងការរកឃើញការក្លែងបន្លំ AP រៀងគ្នា។ |
| ជំហានទី 3 | នៅក្នុងវាល MFP Key Refresh Interval បញ្ជាក់ចន្លោះពេលធ្វើឱ្យស្រស់ជាម៉ោង។ |
| ជំហានទី 4 | ចុចអនុវត្ត។ |
ការកំណត់រចនាសម្ព័ន្ធការគ្រប់គ្រងស៊ុមការពារ (CLI)
| ពាក្យបញ្ជាឬសកម្មភាព | គោលបំណង | |
| ជំហានទី 1 | កំណត់រចនាសម្ព័ន្ធស្ថានីយ Exampលេ៖ ឧបករណ៍ # កំណត់រចនាសម្ព័ន្ធស្ថានីយ |
ចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ជំហានទី 2 | ឥតខ្សែ wps mfp Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # wps mfp ឥតខ្សែ |
កំណត់រចនាសម្ព័ន្ធការការពារស៊ុមគ្រប់គ្រង។ |
| ជំហានទី 3 | ឥតខ្សែ wps mfp {ap-ក្លែងបន្លំ | key-refresh-interval} Exampលេ៖ ឧបករណ៍(កំណត់រចនាសម្ព័ន្ធ)# ការក្លែងបន្លំ wps mfp ឥតខ្សែ Device(config)# wps mfp key-refresh-interval ឥតខ្សែ |
កំណត់រចនាសម្ព័ន្ធការរកឃើញការក្លែងបន្លំ ap (ឬ) ចន្លោះពេលនៃការធ្វើឱ្យស្រស់គ្រាប់ចុច MFP ជាម៉ោង។ key-refresh-interval—សំដៅលើចន្លោះពេលនៃការធ្វើឱ្យស្រស់គ្រាប់ចុច MFP ជាម៉ោង។ ជួរត្រឹមត្រូវគឺពី 1 ដល់ 24 ។ តម្លៃលំនាំដើមគឺ 24 ។ |
| ជំហានទី 4 | ចប់ Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # បញ្ចប់ |
រក្សាទុកការកំណត់រចនាសម្ព័ន្ធ ហើយចេញពីរបៀបកំណត់រចនាសម្ព័ន្ធ ហើយត្រឡប់ទៅមានសិទ្ធិ EXEC របៀប។ |
បើកដំណើរការការផ្ទៀងផ្ទាត់ចំណុចចូលដំណើរការ
នីតិវិធី
| ពាក្យបញ្ជាឬសកម្មភាព | គោលបំណង | |
| ជំហានទី 1 | កំណត់រចនាសម្ព័ន្ធស្ថានីយ Exampលេ៖ ឧបករណ៍ # កំណត់រចនាសម្ព័ន្ធស្ថានីយ |
ចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ជំហានទី 2 | wps ap-authentication ឥតខ្សែ Exampលេ៖ Device(config)# wireless wps ap-authentication |
កំណត់រចនាសម្ព័ន្ធការផ្ទៀងផ្ទាត់ WPS AP ឥតខ្សែ។ |
| ជំហានទី 3 | កម្រិតកំណត់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ wps ap-ឥតខ្សែ កម្រិត Exampលេ៖ Device(config)# wireless wps ap-authentication threshold 100 |
កំណត់រចនាសម្ព័ន្ធការផ្ទៀងផ្ទាត់អ្នកជិតខាង AP និងកំណត់កម្រិតសម្រាប់ការបរាជ័យក្នុងការផ្ទៀងផ្ទាត់ AP ។ |
| ជំហានទី 4 | wlan wlan-name wlan-id SSID-name Exampលេ៖ ឧបករណ៍(កំណត់រចនាសម្ព័ន្ធ)# wlan wlan-demo 1 ssid-demo |
កំណត់រចនាសម្ព័ន្ធ WLAN ។ |
| ជំហានទី 5 | ccx aironet-iesupport Exampលេ៖ ឧបករណ៍(config-wlan)# ccx aironet-iesupport |
បើកដំណើរការជំនួយសម្រាប់ធាតុព័ត៌មាន Aironet នៅលើ WLAN នេះ។ |
| ជំហានទី 6 | ចប់ Exampលេ៖ ឧបករណ៍ # បញ្ចប់ | ត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។ |
ការផ្ទៀងផ្ទាត់ការការពារស៊ុមគ្រប់គ្រង
ដើម្បីផ្ទៀងផ្ទាត់ថាតើមុខងារគ្រប់គ្រងស៊ុមការពារ (MFP) ត្រូវបានបើកឬអត់ សូមប្រើពាក្យបញ្ជាខាងក្រោម៖
ទៅ view ព័ត៌មានលម្អិត MFP ប្រើពាក្យបញ្ជាខាងក្រោម៖
ការផ្ទៀងផ្ទាត់ព្រឹត្តិការណ៍បញ្ឆោតទាំងឡាយ
ដើម្បីផ្ទៀងផ្ទាត់ប្រវត្តិព្រឹត្តិការណ៍បញ្ឆោតទាំងឡាយ សូមដំណើរការបង្ហាញពាក្យបញ្ជាលម្អិត wps បញ្ឆោត AP ឥតខ្សែ៖
ការផ្ទៀងផ្ទាត់ការរកឃើញមនុស្សក្លែងក្លាយ
ផ្នែកនេះពិពណ៌នាអំពីពាក្យបញ្ជាថ្មីសម្រាប់ការរកឃើញក្លែងក្លាយ។
ពាក្យបញ្ជាខាងក្រោមអាចត្រូវបានប្រើដើម្បីផ្ទៀងផ្ទាត់ការរកឃើញបញ្ឆោតទាំងឡាយនៅលើឧបករណ៍។
តារាងទី១៖ ការផ្ទៀងផ្ទាត់ព័ត៌មានអាដហុក
| បញ្ជា | គោលបំណង |
| បង្ហាញ ឥតខ្សែ wps បញ្ឆោត អាដហុក លម្អិត mac_អាសយដ្ឋាន | បង្ហាញព័ត៌មានលំអិតសម្រាប់អាដហុកបញ្ឆោតទាំងឡាយ។ |
| បង្ហាញការសង្ខេបរបស់អាដហុកបញ្ឆោតទាំងឡាយ wps ឥតខ្សែ | បង្ហាញបញ្ជីឈ្មោះអាដហុកទាំងអស់ ។ |
តារាងទី 2៖ ការផ្ទៀងផ្ទាត់ព័ត៌មាន Rogue AP
| បញ្ជា | គោលបំណង |
| បង្ហាញអតិថិជនឥតខ្សែ wps rogue ap mac_អាសយដ្ឋាន | បង្ហាញបញ្ជីអតិថិជនបញ្ឆោតទាំងឡាយដែលទាក់ទងនឹងអ្នកបញ្ឆោត។ |
| បង្ហាញការសង្ខេប wps បញ្ឆោតទាំងឡាយឥតខ្សែ ap ផ្ទាល់ខ្លួន | បង្ហាញព័ត៌មាន AP បញ្ឆោតទាំងឡាយផ្ទាល់ខ្លួន។ |
| បង្ហាញ wps បញ្ឆោត AP ឥតខ្សែលម្អិត mac_អាសយដ្ឋាន | បង្ហាញព័ត៌មានលំអិតសម្រាប់ AP បញ្ឆោតទាំងឡាយ។ |
| បង្ហាញ wps បញ្ឆោតទាំងឡាយឥតខ្សែ ap សេចក្តីសង្ខេបមិត្តភាព | បង្ហាញព័ត៌មាន AP បញ្ឆោតទាំងឡាយជាមិត្ត។ |
| បង្ហាញបញ្ជី wps បញ្ឆោត ap ឥតខ្សែ mac_អាសយដ្ឋាន | បង្ហាញបញ្ជី AP បញ្ឆោតទាំងឡាយដែលបានរកឃើញដោយ AP ដែលបានផ្តល់ឱ្យ។ |
| បង្ហាញ wps បញ្ឆោតទាំងឡាយឥតខ្សែ ap សង្ខេបព្យាបាទ | បង្ហាញព័ត៌មាន AP បញ្ឆោតទាំងឡាយដែលមានគំនិតអាក្រក់។ |
| បង្ហាញការសង្ខេប wps rogue ap ឥតខ្សែ | បង្ហាញបញ្ជីនៃ Rogue APs ទាំងអស់។ |
| បង្ហាញ ឥតខ្សែ wps បញ្ឆោត ap មិនបានចាត់ថ្នាក់ សង្ខេប | បង្ហាញព័ត៌មាន AP បញ្ឆោតទាំងឡាយដែលមិនបានចាត់ថ្នាក់។ |
តារាងទី 3៖ ការផ្ទៀងផ្ទាត់ព័ត៌មាននៃការផ្ទុកដោយស្វ័យប្រវត្តិ Rogue
| បញ្ជា | គោលបំណង |
| បង្ហាញ ឥតខ្សែ wps បញ្ឆោត ផ្ទុកដោយស្វ័យប្រវត្តិ | បង្ហាញព័ត៌មាននៃការផ្ទុកដោយស្វ័យប្រវត្តិបញ្ឆោតទាំងឡាយ។ |
តារាងទី 4៖ ការផ្ទៀងផ្ទាត់ព័ត៌មានអំពីវិធាននៃការចាត់ថ្នាក់
| បញ្ជា | គោលបំណង |
| បង្ហាញ ឥតខ្សែ wps បញ្ឆោត ក្បួន លម្អិត rule_name | បង្ហាញព័ត៌មានលំអិតសម្រាប់ក្បួនចាត់ថ្នាក់។ |
| បង្ហាញការសង្ខេបច្បាប់បញ្ឆោតទាំងឡាយ wps ឥតខ្សែ | បង្ហាញបញ្ជីនៃច្បាប់បញ្ឆោតទាំងឡាយ។ |
តារាងទី 5៖ ការផ្ទៀងផ្ទាត់ស្ថិតិក្លែងក្លាយ
| បញ្ជា | គោលបំណង |
| បង្ហាញ ឥតខ្សែ wps បញ្ឆោត ស្ថិតិ | បង្ហាញស្ថិតិបញ្ឆោតទាំងឡាយ។ |
តារាងទី ៦៖ ការផ្ទៀងផ្ទាត់ព័ត៌មានអតិថិជនក្លែងក្លាយ
| បញ្ជា | គោលបំណង |
| បង្ហាញ ឥតខ្សែ wps បញ្ឆោត អតិថិជន លម្អិត mac_អាសយដ្ឋាន | បង្ហាញព័ត៌មានលម្អិតសម្រាប់អតិថិជន Rogue ។ |
| បង្ហាញការសង្ខេបម៉ាស៊ីនភ្ញៀវបញ្ឆោត wps ឥតខ្សែ | បង្ហាញបញ្ជីអតិថិជន Rogue ទាំងអស់។ |
តារាងទី 7៖ ការផ្ទៀងផ្ទាត់បញ្ជីមិនអើពើ Rogue
| បញ្ជា | គោលបំណង |
| បង្ហាញ ឥតខ្សែ wps បញ្ឆោត បញ្ជីមិនអើពើ | បង្ហាញបញ្ជីមិនអើពើបញ្ឆោតទាំងឡាយ។ |
Examples: ការកំណត់រចនាសម្ព័ន្ធការរកឃើញក្លែងក្លាយ
អតីតample បង្ហាញពីរបៀបកំណត់ RSSI អប្បបរមាដែល AP បញ្ឆោតទាំងឡាយដែលបានរកឃើញត្រូវតែមាន ដើម្បីឱ្យមានធាតុដែលបានបង្កើតនៅក្នុងឧបករណ៍៖
កំណត់រចនាសម្ព័ន្ធគោលការណ៍បញ្ឆោត (GUI)
នីតិវិធី
| ជំហានទី 1 | ជ្រើសរើសការកំណត់រចនាសម្ព័ន្ធ > សុវត្ថិភាព > គោលការណ៍ការពារឥតខ្សែ។ |
| ជំហានទី 2 | នៅក្នុងផ្ទាំង Rogue Policy សូមប្រើបញ្ជីទម្លាក់ចុះកម្រិតសុវត្ថិភាព Rogue Detection ដើម្បីជ្រើសរើសកម្រិតសុវត្ថិភាព។ |
| ជំហានទី 3 | នៅក្នុងវាលផុតកំណត់ផុតកំណត់សម្រាប់ Rogue APs (វិនាទី) បញ្ចូលតម្លៃអស់ពេល។ |
| ជំហានទី 4 | ជ្រើសរើសប្រអប់ធីក Validate Rogue Clients ប្រឆាំងនឹង AAA ដើម្បីធ្វើសុពលភាពអតិថិជនក្លែងក្លាយប្រឆាំងនឹង AAA server។ |
| ជំហានទី 5 | ជ្រើសរើសប្រអប់ធីក Validate Rogue APs ប្រឆាំងនឹង AAA ដើម្បីធ្វើសុពលភាពចំណុចចូលប្រើបញ្ឆោតទាំងឡាយប្រឆាំងនឹងម៉ាស៊ីនមេ AAA ។ |
| ជំហានទី 6 | នៅក្នុងវាល Rogue Polling Interval (វិនាទី) សូមបញ្ចូលចន្លោះពេលដើម្បីស្ទង់មតិលើម៉ាស៊ីនមេ AAA សម្រាប់ព័ត៌មានបញ្ឆោតទាំងឡាយ។ |
| ជំហានទី 7 | ជ្រើសរើសប្រអប់ធីក Detect and Report Adhoc Networks ដើម្បីបើកការរកឃើញបណ្តាញអាដហុកបញ្ឆោតទាំងឡាយ។ |
| ជំហានទី 8 | នៅក្នុងវាល កម្រិតចាប់ផ្ដើម លេខម៉ាស៊ីនភ្ញៀវ Rogue Detection បញ្ចូលកម្រិត ដើម្បីបង្កើតអន្ទាក់ SNMP ។ |
| ជំហានទី 9 | នៅក្នុងផ្នែក Auto Contain សូមបញ្ចូលព័ត៌មានលម្អិតខាងក្រោម។ |
| ជំហានទី 10 | ប្រើបញ្ជីទម្លាក់ចុះកម្រិតផ្ទុកដោយស្វ័យប្រវត្តិ ដើម្បីជ្រើសរើសកម្រិត។ |
| ជំហានទី 11 | ជ្រើសរើសប្រអប់ធីកសម្រាប់តែរបៀបម៉ូនីទ័រ APs ដើម្បីកំណត់ការផ្ទុកដោយស្វ័យប្រវត្តិសម្រាប់តែម៉ូនីទ័រ APs ប៉ុណ្ណោះ។ |
| ជំហានទី 12 | ជ្រើសរើសប្រអប់ធីក Rogue on Wire ដើម្បីកំណត់ការផ្ទុកដោយស្វ័យប្រវត្តិចំពោះតែ AP បញ្ឆោតទាំងឡាយនៅលើខ្សែប៉ុណ្ណោះ។ |
| ជំហានទី 13 | ជ្រើសរើសប្រអប់ធីក ការប្រើប្រាស់ SSID របស់យើង ដើម្បីកំណត់ការផ្ទុកដោយស្វ័យប្រវត្តិចំពោះតែ APs បញ្ឆោតទាំងឡាយ ដោយប្រើ SSID មួយក្នុងចំណោម SSID ដែលបានកំណត់នៅលើឧបករណ៍បញ្ជា។ |
| ជំហានទី 14 | ជ្រើសរើសប្រអប់ធីក Adhoc Rogue AP ដើម្បីកំណត់ការផ្ទុកដោយស្វ័យប្រវត្តិចំពោះតែ APs បញ្ឆោតអាដហុកប៉ុណ្ណោះ។ |
| ជំហានទី 15 | ចុចអនុវត្ត។ |
កំណត់រចនាសម្ព័ន្ធគោលការណ៍បញ្ឆោត (CLI)
នីតិវិធី
| ពាក្យបញ្ជាឬសកម្មភាព | គោលបំណង | |
| ជំហានទី 1 | កំណត់រចនាសម្ព័ន្ធស្ថានីយ Exampលេ៖ ឧបករណ៍# កំណត់រចនាសម្ព័ន្ធស្ថានីយ |
ចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ជំហានទី 2 | Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ការកំណត់កម្រិតសុវត្ថិភាព wps បញ្ឆោតទាំងឡាយឥតខ្សែ |
កំណត់រចនាសម្ព័ន្ធកម្រិតសុវត្ថិភាពនៃការរកឃើញបញ្ឆោតទាំងឡាយ។ អ្នកអាចជ្រើសរើស រិះគន់ សម្រាប់ការដាក់ពង្រាយដែលមានភាពរសើបខ្លាំង ផ្ទាល់ខ្លួន សម្រាប់កម្រិតសុវត្ថិភាពដែលអាចប្ដូរតាមបំណងបាន ខ្ពស់។ សម្រាប់ការដាក់ពង្រាយខ្នាតមធ្យម និង ទាប សម្រាប់ការដាក់ពង្រាយខ្នាតតូច។ |
| ជំហានទី 3 | ឥតខ្សែ wps បញ្ឆោតទាំងឡាយ ap អស់ពេល ចំនួនវិនាទី Exampលេ៖ Device(config)# wireless wps rogue ap timeout 250 | កំណត់រចនាសម្ព័ន្ធពេលវេលាផុតកំណត់សម្រាប់ធាតុបញ្ឆោតទាំងឡាយគិតជាវិនាទី។ ជួរដែលមានសុពលភាពសម្រាប់ពេលវេលាគិតជាវិនាទីពី 240 វិនាទីទៅ 3600 វិនាទី។ |
| ជំហានទី 4 | Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ម៉ាស៊ីនភ្ញៀវបោកបញ្ឆោត wps ឥតខ្សែ aaa |
កំណត់រចនាសម្ព័ន្ធការប្រើប្រាស់ AAA ឬមូលដ្ឋានទិន្នន័យមូលដ្ឋានដើម្បីស្វែងរកអាសយដ្ឋាន MAC ត្រឹមត្រូវ។ |
| ជំហានទី 5 | Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ឥតខ្សែ wps ម៉ាស៊ីនភ្ញៀវបញ្ឆោតទាំងឡាយ mse |
កំណត់រចនាសម្ព័ន្ធការប្រើប្រាស់ MSE ដើម្បីស្វែងរកអាសយដ្ឋាន MAC ត្រឹមត្រូវ។ |
| ជំហានទី 6 | ម៉ាស៊ីនភ្ញៀវបញ្ឆោត wps ឥតខ្សែជូនដំណឹង-min-rssi កម្រិត RSSI Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ម៉ាស៊ីនភ្ញៀវបញ្ឆោត wps ឥតខ្សែជូនដំណឹង-min-rssi -128 |
កំណត់កម្រិតកំណត់ការជូនដំណឹង RSSI អប្បបរមាសម្រាប់អតិថិជនបញ្ឆោត។ ជួរដែលមានសុពលភាពសម្រាប់កម្រិត RSSI ក្នុង dB គឺ -128 - dB ទៅ -70 dB ។ |
| ជំហានទី 7 | ម៉ាស៊ីនភ្ញៀវបោកបញ្ឆោត wps ឥតខ្សែ ជូនដំណឹង - នាទី - គម្លាត កម្រិត RSSI Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ម៉ាស៊ីនភ្ញៀវបញ្ឆោត wps ឥតខ្សែជូនដំណឹង - គម្លាតអប្បបរមា 4 |
កំណត់កម្រិតកំណត់ការជូនដំណឹងគម្លាត RSSI សម្រាប់អតិថិជនបញ្ឆោត។ ជួរដែលមានសុពលភាពសម្រាប់កម្រិត RSSI ក្នុង dB គឺ 0 dB ដល់ 10 dB ។ |
| ជំហានទី 8 | ឥតខ្សែ wps បញ្ឆោតអាប aaa Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ឥតខ្សែ wps បញ្ឆោតអាប aaa |
កំណត់រចនាសម្ព័ន្ធការប្រើប្រាស់ AAA ឬមូលដ្ឋានទិន្នន័យមូលដ្ឋានដើម្បីចាត់ថ្នាក់ AP បញ្ឆោតទាំងឡាយ ដោយផ្អែកលើអាសយដ្ឋាន AP MAC បញ្ឆោតទាំងឡាយ។ |
| ជំហានទី 9 | ចន្លោះពេលបោះឆ្នោត wps ឥតខ្សែ ap aaa ចន្លោះពេល AP AAA Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ឥតខ្សែ wps បញ្ឆោតអាប aaa ចន្លោះពេលបោះឆ្នោត 120 |
កំណត់រចនាសម្ព័ន្ធចន្លោះពេលសុពលភាព AP AAA ក្លែងក្លាយ។ ជួរត្រឹមត្រូវសម្រាប់ចន្លោះពេល AP AAA គិតជាវិនាទីគឺ 60 វិនាទីទៅ 86400 វិនាទី។ |
| ជំហានទី 10 | ឥតខ្សែ wps បញ្ឆោតអាដហុក Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ឥតខ្សែ wps បញ្ឆោត អាដហុក |
បើកការរកឃើញ និងការរាយការណ៍អំពីអាដហុកបញ្ឆោតទាំងឡាយ (IBSS)។ |
| ជំហានទី 11 | wireless wps ម៉ាស៊ីនភ្ញៀវបញ្ឆោតទាំងឡាយ-កម្រិតចាប់ផ្ដើម កម្រិត Exampលេ៖ ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ម៉ាស៊ីនភ្ញៀវបញ្ឆោត wps ឥតខ្សែ 100 |
កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនភ្ញៀវបញ្ឆោតទាំងឡាយតាមកម្រិតបញ្ឆោត AP SNMP អន្ទាក់។ ជួរត្រឹមត្រូវសម្រាប់កម្រិតគឺ 0 ដល់ 256។ |
| ជំហានទី 12 | ឥតខ្សែ wps rogue ap នៅក្នុងកម្មវិធីកំណត់ម៉ោង Example: Device(config)# wireless wps rogue ap នៅក្នុង it-timer 180 | កំណត់រចនាសម្ព័ន្ធកម្មវិធីកំណត់ពេលវេលានៅក្នុងវាសម្រាប់ APs បញ្ឆោតទាំងឡាយ។ តម្លៃកម្មវិធីកំណត់ម៉ោងលំនាំដើមត្រូវបានកំណត់ទៅ 180 វិនាទី។ ចំណាំ នៅពេលរកឃើញ AP បញ្ឆោតទាំងឡាយ កម្មវិធីកំណត់ពេលវេលានៅក្នុងវាត្រូវបានចាប់ផ្តើម ហើយច្បាប់ត្រូវបានអនុវត្តនៅពេលដែលកម្មវិធីកំណត់ម៉ោងនេះផុតកំណត់។ នេះអនុញ្ញាតឱ្យព័ត៌មាន AP បញ្ឆោតទាំងឡាយមានស្ថេរភាព មុនពេលអនុវត្តច្បាប់ណាមួយ។ ទោះយ៉ាងណាក៏ដោយ អ្នកអាចផ្លាស់ប្តូរតម្លៃនៃកម្មវិធីកំណត់ម៉ោងនេះដោយប្រើពាក្យបញ្ជានេះ។ ឧទាហរណ៍ កម្មវិធីកំណត់ពេលវេលានៅក្នុងវាអាចត្រូវបានកំណត់ទៅ 0 ប្រសិនបើច្បាប់ត្រូវអនុវត្តភ្លាមៗនៅពេលដែលរកឃើញ AP បញ្ឆោតទាំងឡាយថ្មី។ |
កម្រិតសុវត្ថិភាពនៃការរកឃើញក្លែងក្លាយ
ការកំណត់រចនាសម្ព័ន្ធកម្រិតសុវត្ថិភាពនៃការរកឃើញបញ្ឆោតទាំងឡាយអនុញ្ញាតឱ្យអ្នកកំណត់ប៉ារ៉ាម៉ែត្រនៃការរកឃើញបញ្ឆោតទាំងឡាយ។
កម្រិតសុវត្ថិភាពដែលមានគឺ៖
- សំខាន់៖ ការរកឃើញក្លែងក្លាយជាមូលដ្ឋានសម្រាប់ការដាក់ពង្រាយដែលមានលក្ខណៈរសើបខ្លាំង។
- ខ្ពស់៖ ការរកឃើញបញ្ឆោតទាំងឡាយជាមូលដ្ឋានសម្រាប់ការដាក់ពង្រាយខ្នាតមធ្យម។
- កម្រិតទាប៖ ការរកឃើញក្លែងក្លាយជាមូលដ្ឋានសម្រាប់ការដាក់ពង្រាយខ្នាតតូច។
- ផ្ទាល់ខ្លួន៖ កម្រិតសុវត្ថិភាពលំនាំដើម ដែលប៉ារ៉ាម៉ែត្ររកឃើញទាំងអស់អាចកំណត់រចនាសម្ព័ន្ធបាន។
ចំណាំ
នៅពេលស្ថិតក្នុងកម្រិតសំខាន់ ខ្ពស់ ឬទាប ប៉ារ៉ាម៉ែត្របញ្ឆោតទាំងឡាយត្រូវបានជួសជុល ហើយមិនអាចកំណត់រចនាសម្ព័ន្ធបានទេ។
តារាងខាងក្រោមបង្ហាញព័ត៌មានលម្អិតអំពីប៉ារ៉ាម៉ែត្រសម្រាប់កម្រិតដែលបានកំណត់ជាមុនចំនួនបី៖
តារាងទី 8៖ ការរកឃើញក្លែងក្លាយ៖ កម្រិតដែលបានកំណត់ជាមុន
| ប៉ារ៉ាម៉ែត្រ | រិះគន់ | ខ្ពស់។ | ទាប |
| កម្មវិធីកំណត់ម៉ោងសម្អាត | 3600 | 1200 | 240 |
| AAA ធ្វើឱ្យអតិថិជនមានសុពលភាព | ពិការ | ពិការ | ពិការ |
| AAA ធ្វើឱ្យ AP មានសុពលភាព | ពិការ | ពិការ | ពិការ |
| របាយការណ៍របស់អាដហុក | បានបើក | បានបើក | បានបើក |
| Monitor-Mode Report Interval | 10 វិនាទី | 30 វិនាទី | 60 វិនាទី |
| RSSI អប្បបរមា | -១៦២ dBm | -១៦២ dBm | -១៦២ dBm |
| ចន្លោះពេលបណ្តោះអាសន្ន | 600 វិនាទី | 300 វិនាទី | 120 វិនាទី |
| Auto Contain ដំណើរការតែលើ Monitor Mode APs ប៉ុណ្ណោះ។ | ពិការ | ពិការ | ពិការ |
| កម្រិតផ្ទុកដោយស្វ័យប្រវត្តិ | 1 | 1 | 1 |
| ស្វ័យប្រវត្តិមាន SSID ដូចគ្នា។ | ពិការ | ពិការ | ពិការ |
| ផ្ទុកអតិថិជនដែលមានសុពលភាពដោយស្វ័យប្រវត្តិនៅលើ Rogue AP | ពិការ | ពិការ | ពិការ |
| ស្វ័យប្រវត្តិ មានអាដហុក | ពិការ | ពិការ | ពិការ |
| Containment អត្រាស្វ័យប្រវត្តិ | បានបើក | បានបើក | បានបើក |
| ធ្វើឱ្យអតិថិជនមានសុពលភាពជាមួយ CMX | បានបើក | បានបើក | បានបើក |
| Containment Flex Connect | បានបើក | បានបើក | បានបើក |
ការកំណត់កម្រិតសុវត្ថិភាពនៃការរកឃើញក្លែងក្លាយ
អនុវត្តតាមនីតិវិធីដែលបានផ្តល់ឱ្យខាងក្រោមដើម្បីកំណត់កម្រិតសុវត្ថិភាពនៃការរកឃើញបញ្ឆោតទាំងឡាយ៖
នីតិវិធី
| ពាក្យបញ្ជាឬសកម្មភាព | គោលបំណង | |
| ជំហានទី 1 | កំណត់រចនាសម្ព័ន្ធស្ថានីយ Exampលេ៖ ឧបករណ៍ # កំណត់រចនាសម្ព័ន្ធស្ថានីយ |
ចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ជំហានទី 2 | ការកំណត់កម្រិតសុវត្ថិភាព wps បញ្ឆោតទាំងឡាយឥតខ្សែ Exampលេ៖ Device(config)# wireless wps បញ្ឆោតទាំងឡាយកម្រិតសុវត្ថិភាពផ្ទាល់ខ្លួន |
កំណត់កម្រិតសុវត្ថិភាពការរកឃើញបញ្ឆោតទាំងឡាយជាលក្ខណៈផ្ទាល់ខ្លួន។ |
| ជំហានទី 3 | កម្រិតសុវត្ថិភាពឥតខ្សែ wps បញ្ឆោតទាំងឡាយទាប Exampលេ៖ Device(config)# wireless wps បញ្ឆោតទាំងឡាយកម្រិតសុវត្ថិភាពទាប |
កំណត់រចនាសម្ព័ន្ធកម្រិតសុវត្ថិភាពនៃការរកឃើញបញ្ឆោតទាំងឡាយសម្រាប់ការដំឡើងការរកឃើញបញ្ឆោតទាំងឡាយជាមូលដ្ឋានសម្រាប់ការដាក់ពង្រាយទ្រង់ទ្រាយតូច។ |
| ជំហានទី 4 | កម្រិតសុវត្ថិភាព wps បញ្ឆោតទាំងឡាយឥតខ្សែ ខ្ពស់។ Exampលេ៖ Device(config)# wireless wps បញ្ឆោតទាំងឡាយកម្រិតសុវត្ថិភាពខ្ពស់។ |
កំណត់រចនាសម្ព័ន្ធកម្រិតសុវត្ថិភាពនៃការរកឃើញបញ្ឆោតទាំងឡាយសម្រាប់ការដំឡើងការរកឃើញបញ្ឆោតទាំងឡាយសម្រាប់ការដាក់ពង្រាយខ្នាតមធ្យម។ |
| ជំហានទី 5 | ឥតខ្សែ wps បញ្ឆោតទាំងឡាយ កម្រិតសុវត្ថិភាព ឧampលេ៖ Device(config)# wireless wps បញ្ឆោតទាំងឡាយកម្រិតសុវត្ថិភាពសំខាន់ |
កំណត់រចនាសម្ព័ន្ធកម្រិតសុវត្ថិភាពនៃការរកឃើញមិនត្រឹមត្រូវសម្រាប់ការរៀបចំការរកឃើញបញ្ឆោតទាំងឡាយសម្រាប់ការដាក់ពង្រាយដែលរសើបខ្លាំង។ |
ការធានាសេវាកម្មឥតខ្សែ ព្រឹត្តិការណ៍បញ្ឆោតទាំងឡាយ
Wireless Service Assurance (WSA) ព្រឹត្តិការណ៍បញ្ឆោតទាំងឡាយ ដែលត្រូវបានគាំទ្រនៅក្នុងការចេញផ្សាយ 16.12.x និងការចេញផ្សាយនៅពេលក្រោយ រួមមានការជូនដំណឹងតាមតេឡេម៉ែត្រសម្រាប់សំណុំរងនៃអន្ទាក់ SNMP ។ ព្រឹត្តិការណ៍បញ្ឆោតទាំងឡាយ WSA ចម្លងព័ត៌មានដូចគ្នាដែលជាផ្នែកមួយនៃអន្ទាក់ SNMP ដែលត្រូវគ្នា។
សម្រាប់ព្រឹត្តិការណ៍ដែលបាននាំចេញទាំងអស់ ព័ត៌មានលម្អិតខាងក្រោមត្រូវបានផ្តល់ជូនដល់ហេដ្ឋារចនាសម្ព័ន្ធធានាសេវាឥតខ្សែ (WSA)៖
- អាសយដ្ឋាន MAC របស់ AP បញ្ឆោតទាំងឡាយ
- ព័ត៌មានលម្អិតនៃ AP ដែលបានគ្រប់គ្រង និងវិទ្យុដែលរកឃើញ AP បញ្ឆោតទាំងឡាយជាមួយ RSSI ខ្លាំងបំផុត។
- ទិន្នន័យជាក់លាក់នៃព្រឹត្តិការណ៍ដូចជា SSID ឆានែលសម្រាប់ព្រឹត្តិការណ៍ honeypot សក្តានុពល និងអាសយដ្ឋាន MAC នៃ AP ដែលក្លែងបន្លំសម្រាប់ព្រឹត្តិការណ៍ក្លែងបន្លំ
លក្ខណៈពិសេសព្រឹត្តិការណ៍បញ្ឆោតទាំងឡាយ WSA អាចធ្វើមាត្រដ្ឋានរហូតដល់ XNUMX ដងនៃចំនួនអតិបរមានៃ APs ដែលបានគាំទ្រ និងពាក់កណ្តាលនៃចំនួនអតិបរមានៃអតិថិជនដែលបានគាំទ្រ។
លក្ខណៈពិសេសព្រឹត្តិការណ៍បញ្ឆោតទាំងឡាយ WSA ត្រូវបានគាំទ្រនៅលើ Cisco DNA Center និងហេដ្ឋារចនាសម្ព័ន្ធភាគីទីបីផ្សេងទៀត។
នីតិវិធី
| ពាក្យបញ្ជាឬសកម្មភាព | គោលបំណង | |
| ជំហានទី 1 | កំណត់រចនាសម្ព័ន្ធស្ថានីយ Exampលេ៖ ឧបករណ៍ # កំណត់រចនាសម្ព័ន្ធស្ថានីយ |
ចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ជំហានទី 2 | បើកការធានាបណ្តាញ Exampលេ៖ ឧបករណ៍# បើកការធានាបណ្តាញ |
បើកការធានាសេវាកម្មឥតខ្សែ។ |
| ជំហានទី 3 | ឥតខ្សែ wps បញ្ឆោត ការធានាបណ្តាញ បើក Exampលេ៖ ឧបករណ៍# ឥតខ្សែ wps បញ្ឆោតទាំងឡាយបណ្តាញ-ធានាបានបើក |
បើកការធានាសេវាកម្មឥតខ្សែសម្រាប់ឧបករណ៍បញ្ឆោត។ នេះធានាថាព្រឹត្តិការណ៍បញ្ឆោតទាំងឡាយ WSA ត្រូវបានបញ្ជូនទៅជួរព្រឹត្តិការណ៍។ |
ការតាមដានព្រឹត្តិការណ៍ការធានាសេវាកម្មឥតខ្សែ
នីតិវិធី
- បង្ហាញស្ថិតិបញ្ឆោត wps ឥតខ្សែ
Exampលេ៖
នៅក្នុងនេះ អតីតampដូច្នេះ ព្រឹត្តិការណ៍ចំនួនប្រាំបួនត្រូវបានបង្កឡើង ប៉ុន្តែមានតែ XNUMX ប៉ុណ្ណោះដែលត្រូវបានតម្រង់ជួរ។ នេះគឺដោយសារតែព្រឹត្តិការណ៍ចំនួនបីត្រូវបានបង្កឡើង មុនពេលមុខងារបញ្ឆោត WSA ត្រូវបានបើក។
- បង្ហាញស្ថិតិបញ្ឆោត wps ឥតខ្សែខាងក្នុង បង្ហាញឥតខ្សែ wps rogue ap លម្អិតបញ្ឆោត-ap-mac-addr
ពាក្យបញ្ជាទាំងនេះបង្ហាញព័ត៌មានទាក់ទងនឹងព្រឹត្តិការណ៍ WSA ទៅក្នុងប្រវត្តិព្រឹត្តិការណ៍។
ឯកសារ/ធនធាន
 |
កម្មវិធីគ្រប់គ្រងឥតខ្សែ CISCO Catalyst 9800 Series [pdf] ការណែនាំអ្នកប្រើប្រាស់ កម្មវិធីគ្រប់គ្រងឥតខ្សែកាតាលីករ 9800 ស៊េរី កាតាលីករ 9800 ស៊េរី កម្មវិធីឧបករណ៍បញ្ជាឥតខ្សែ កម្មវិធីឧបករណ៍បញ្ជា កម្មវិធី |
 |
កម្មវិធីគ្រប់គ្រងឥតខ្សែ CISCO Catalyst 9800 Series [pdf] ការណែនាំអ្នកប្រើប្រាស់ កម្មវិធីគ្រប់គ្រងឥតខ្សែកាតាលីករ 9800 ស៊េរី កាតាលីករ 9800 ស៊េរី កម្មវិធីឧបករណ៍បញ្ជាឥតខ្សែ កម្មវិធីឧបករណ៍បញ្ជា កម្មវិធី |