IE3x00 MACsec និង MACsec Key Agreement Protocol
ព័ត៌មានអំពីផលិតផល
លក្ខណៈបច្ចេកទេស
- ស្តង់ដារ៖ IEEE 802.1AE
- ច្រកដែលគាំទ្រ៖ ច្រកតំណចុះក្រោមអ៊ីសឺរណិត 1 ជីហ្គាបៃ
- ការអ៊ិនគ្រីប៖ ការអ៊ិនគ្រីប 802.1AE ជាមួយកិច្ចព្រមព្រៀងសោ MACsec
(MKA)
ការណែនាំអំពីការប្រើប្រាស់ផលិតផល
បើកដំណើរការ MACsec និង MKA
ដើម្បីបើកដំណើរការ MACsec និង MKA នៅលើចំណុចប្រទាក់ សូមអនុវត្តតាមទាំងនេះ
ជំហាន៖
- អនុវត្តគោលការណ៍ MKA ដែលបានកំណត់ទៅចំណុចប្រទាក់។
- កំណត់រចនាសម្ព័ន្ធជម្រើសដែលចង់បានសម្រាប់ MKA ។
គោលការណ៍ MKA
គោលការណ៍ MKA កំណត់ឥរិយាបថរបស់ MACsec និង MKA លើ
ចំណុចប្រទាក់។ អ្នកអាចកំណត់រចនាសម្ព័ន្ធជម្រើសខាងក្រោម៖
- របៀបម៉ាស៊ីនតែមួយ៖ របៀបនេះធានាការផ្ទៀងផ្ទាត់ EAP តែមួយ
សម័យប្រើ MACsec និង MKA ។
ស្ថិតិ MKA
អ្នកអាចទទួលបានព័ត៌មានអំពីស្ថានភាពនៃវគ្គ MKA និង
view ស្ថិតិ MKA ។ បញ្ជរ និងព័ត៌មានសំខាន់ៗមួយចំនួន
រួមមាន៖
- វគ្គ MKA សរុប៖ ចំនួនសរុបនៃ MKA សកម្ម
វគ្គ។ - វគ្គសុវត្ថិភាព៖ ចំនួននៃ MKA ដែលធានាបច្ចុប្បន្ន
វគ្គ។ - វគ្គដែលមិនទាន់សម្រេច៖ ចំនួនវគ្គ MKA ដែលមិនទាន់សម្រេច។
Exampលទ្ធផលពាក្យបញ្ជា៖
Switch# បង្ហាញវគ្គ mka សរុប MKA Sessions....... 1 Secured Sessions... 1 Sessions Pending... 0 Interface Local-TxSCI Policy-Name Inherited Key-Server Port-ID Peer-RxSCI MACsec-Peers Status CKN Gi1/0/1 204c.9e85.ede4/002b p2 NO YES 43 c800.8459.e764/002a 1 ធានា 0100000000000000000000000000000000000000000000000000000000000000
ស្ថានភាពលម្អិត MKA
អ្នកអាចទទួលបានព័ត៌មានស្ថានភាពលម្អិតសម្រាប់ MKA ជាក់លាក់មួយ។
សម័យ។ ព័ត៌មានរួមមាន:
- ស្ថានភាព៖ ស្ថានភាពបច្ចុប្បន្ននៃសម័យ MKA (ឧ.
សុវត្ថិភាព)។ - Local Tx-SCI: បណ្តាញបញ្ជូនសុវត្ថិភាពក្នុងស្រុក
អ្នកកំណត់អត្តសញ្ញាណ។ - អាសយដ្ឋាន MAC ចំណុចប្រទាក់៖ អាសយដ្ឋាន MAC នៃចំណុចប្រទាក់។
- MKA Port Identifier៖ ឧបករណ៍សម្គាល់ច្រកសម្រាប់ MKA ។
- លេខសម្គាល់វគ្គសវនកម្ម៖ លេខសម្គាល់សម័យសវនកម្ម។
- ឈ្មោះ CAK (CKN)៖ ឈ្មោះនៃគន្លឹះនៃសមាគមតភ្ជាប់
(CKN) ។ - អត្តសញ្ញាណសមាជិក (MI)៖ អ្នកកំណត់អត្តសញ្ញាណសមាជិក។
- លេខសារ (MN)៖ លេខសារ។
- តួនាទី EAP៖ តួនាទី EAP ។
- ម៉ាស៊ីនមេគន្លឹះ៖ បង្ហាញថាតើឧបករណ៍នេះគឺជាម៉ាស៊ីនមេសោរ (បាទ/ចាស
ឬទេ)។ - MKA Cipher Suite៖ ឈុត cipher ដែលប្រើដោយ MKA។
- ស្ថានភាព SAK ចុងក្រោយ៖ ស្ថានភាពនៃសមាគមសុវត្ថិភាពចុងក្រោយបង្អស់
សោ (SAK) សម្រាប់ទទួល និងបញ្ជូន។ - SAK AN ចុងក្រោយ៖ លេខសមាគម SAK ចុងក្រោយបង្អស់។
- SAK KI (KN) ចុងក្រោយបង្អស់៖ SAK Key Identifier (KN) ចុងក្រោយបង្អស់។
- ស្ថានភាព SAK ចាស់៖ ស្ថានភាពនៃ SAK ចាស់។
- Old SAK AN: លេខសមាគម SAK ចាស់។
- Old SAK KI (KN) : The old SAK Key Identifier (KN).
Exampលទ្ធផលពាក្យបញ្ជា៖
ប្តូរ#show mka sessions interface G1/0/1 de MKA ស្ថានភាពលម្អិតសម្រាប់ MKA Session ================================ === ស្ថានភាព៖ SECURED - Secured MKA Session with MACsec Local Tx-SCI............. 204c.9e85.ede4/002b ចំណុចប្រទាក់ MAC Address.... 204c.9e85.ede4 MKA Port Identifier...... 43 Interface Name........... GigabitEthernet1/0/1 Audit Session ID......... CAK Name (CKN)....... .... 0100000000000000000000000000000000000000000000000000000000000000 លេខសម្គាល់សមាជិក (MI)... D46CBEC05D5D67594543CEE. .............YES MKA Cipher Suite......... AES-89567-CMAC ស្ថានភាព SAK ចុងក្រោយ........ Rx & Tx ចុងក្រោយ SAK AN.. .......... 128 Last SAK KI (KN)....... D0CBEC46D05D5CEAE67594543 (00000001) Old SAK Status........... FIRST-SAK Old SAK AN.. ............. 1 Old SAK KI (KN).......... FIRST-SAK (0)
FAQ (សំណួរដែលសួរញឹកញាប់)
សំណួរ៖ តើច្រកណាដែលគាំទ្រ MACsec នៅលើ ESS-3300?
A: MACsec ត្រូវបានគាំទ្រនៅលើច្រក downlink អ៊ីសឺរណិត 1 gigabit
តែប៉ុណ្ណោះ។
សំណួរ៖ តើ MKA តំណាងឱ្យអ្វី?
ចម្លើយ៖ MKA តំណាងឱ្យកិច្ចព្រមព្រៀងគន្លឹះ MACsec ។
សំណួរ៖ តើខ្ញុំអាចបើកដំណើរការ MACsec និង MKA លើចំណុចប្រទាក់ដោយរបៀបណា?
ចម្លើយ៖ ដើម្បីបើកដំណើរការ MACsec និង MKA នៅលើចំណុចប្រទាក់ សូមអនុវត្ត MKA ដែលបានកំណត់
គោលការណ៍ទៅកាន់ចំណុចប្រទាក់ និងកំណត់រចនាសម្ព័ន្ធជម្រើសដែលចង់បានសម្រាប់
MKA
សំណួរ៖ តើអ្វីជាគោលបំណងនៃគោលនយោបាយ MKA?
ចម្លើយ៖ គោលនយោបាយ MKA កំណត់ឥរិយាបថរបស់ MACsec និង MKA នៅលើ
ចំណុចប្រទាក់។
សំណួរ៖ តើខ្ញុំអាចធ្វើដូចម្តេច view ស្ថិតិ MKA?
ចម្លើយ៖ អ្នកអាចប្រើពាក្យបញ្ជា "បង្ហាញស្ថិតិ mka" ទៅ view MKA
ស្ថិតិ រួមទាំងចំនួនសរុបនៃវគ្គ MKA ត្រូវបានធានា
វគ្គ និងវគ្គដែលមិនទាន់សម្រេច។
MACsec និង MACsec Key Agreement (MKA) Protocol
ជំពូកនេះមានផ្នែកដូចខាងក្រោម៖ · MACsec និងពិធីការ MACsec Key Agreement (MKA) នៅទំព័រ 1 · Certificate Based MACsec នៅទំព័រ 2 · MKA Policies នៅទំព័រ 2 · Single-Host Mode នៅទំព័រ 2 · MKA Statistics, នៅលើទំព័រទី 3 · របៀបកំណត់រចនាសម្ព័ន្ធការអ៊ិនគ្រីប MACsec នៅទំព័រទី 8
MACsec និង MACsec Key Agreement (MKA) Protocol
MACsec គឺជាស្តង់ដារ IEEE 802.1AE សម្រាប់ផ្ទៀងផ្ទាត់ និងអ៊ិនគ្រីបកញ្ចប់ព័ត៌មានរវាងឧបករណ៍ដែលមានសមត្ថភាព MACsec ពីរ។ កុងតាក់គាំទ្រការអ៊ិនគ្រីប 802.1AE ជាមួយនឹងកិច្ចព្រមព្រៀងគន្លឹះ MACsec (MKA) នៅលើច្រកចុះក្រោមសម្រាប់ការអ៊ិនគ្រីបរវាងឧបករណ៍ប្តូរ និងម៉ាស៊ីន។ ពិធីការ MKA ផ្តល់នូវសោសម័យដែលត្រូវការ និងគ្រប់គ្រងសោអ៊ិនគ្រីបដែលត្រូវការ។
សំខាន់នៅលើ ESS-3300 MACsec ត្រូវបានគាំទ្រលើច្រក downlink អ៊ីសឺរណិត 1 gigabit ប៉ុណ្ណោះ។
MACsec និង MACsec Key Agreement (MKA) ត្រូវបានអនុវត្តបន្ទាប់ពីការផ្ទៀងផ្ទាត់ដោយជោគជ័យដោយប្រើ MACsec ឬក្របខ័ណ្ឌ Pre Shared Key (PSK) ដែលមានមូលដ្ឋានលើវិញ្ញាបនបត្រ។ អ្នកអាចគ្រប់គ្រងឥរិយាបថនៃកញ្ចប់ព័ត៌មានដែលមិនបានអ៊ិនគ្រីបនៅលើចំណុចប្រទាក់នៅពេលដែល MACsec ត្រូវបានបើកដោយប្រើពាក្យបញ្ជា macsec access-control {must-secure | គួរតែមានសុវត្ថិភាព } ។ នៅពេលដែល MACsec ត្រូវបានបើកនៅលើចំណុចប្រទាក់ ចរាចរណ៍ចំណុចប្រទាក់ទាំងអស់ត្រូវបានធានាសុវត្ថិភាពតាមលំនាំដើម (នោះគឺត្រូវតែមានសុវត្ថិភាពគឺជាការកំណត់លំនាំដើម)។ ការកំណត់ការគ្រប់គ្រងការចូលដំណើរការត្រូវតែធានារបស់ macsec មិនអនុញ្ញាតឱ្យកញ្ចប់ព័ត៌មានដែលមិនបានអ៊ិនគ្រីបត្រូវបានបញ្ជូន ឬទទួលពីចំណុចប្រទាក់រូបវន្តដូចគ្នានោះទេ។ ចរាចរណ៍ត្រូវបានទម្លាក់រហូតដល់វគ្គ MKA ត្រូវបានធានា។ ទោះយ៉ាងណាក៏ដោយ ដើម្បីបើកដំណើរការ MACsec នៅលើចំណុចប្រទាក់ដែលបានជ្រើសរើស អ្នកអាចជ្រើសរើសអនុញ្ញាតឱ្យកញ្ចប់ព័ត៌មានដែលមិនបានអ៊ិនគ្រីបត្រូវបានបញ្ជូន ឬទទួលពីចំណុចប្រទាក់រូបវន្តដូចគ្នា ដោយកំណត់ការគ្រប់គ្រងការចូលប្រើរបស់ macsec ទៅគួរមានសុវត្ថិភាព។ ជម្រើសនេះអនុញ្ញាតឱ្យចរាចរដែលមិនបានអ៊ិនគ្រីបហូររហូតដល់វគ្គ MKA ត្រូវបានធានា។ បន្ទាប់ពីវគ្គ MKA ត្រូវបានធានា មានតែចរាចរណ៍ដែលបានអ៊ិនគ្រីបប៉ុណ្ណោះដែលអាចហូរបាន។ សម្រាប់ព័ត៌មានលម្អិតអំពីការកំណត់ សូមមើលការកំណត់រចនាសម្ព័ន្ធ MACsec MKA នៅលើចំណុចប្រទាក់ដោយប្រើ PSK នៅទំព័រ 15។
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
វិញ្ញាបនប័ត្រផ្អែកលើ MACsec
MACsec និង MACsec Key Agreement (MKA) Protocol
វិញ្ញាបនប័ត្រផ្អែកលើ MACsec
លក្ខណៈពិសេសការអ៊ិនគ្រីប MACsec ដែលមានមូលដ្ឋានលើវិញ្ញាបនបត្រប្រើប្រាស់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវផ្អែកលើច្រក 802.1X ជាមួយនឹង Extensible Authentication Protocol Transport Layer Security (EAP-TLS) ដើម្បីយកវិញ្ញាបនបត្រសម្រាប់ច្រកដែលតម្រូវឱ្យមានការអ៊ិនគ្រីប MACsec ។ យន្តការ EAP-TLS ត្រូវបានប្រើសម្រាប់ការផ្ទៀងផ្ទាត់គ្នាទៅវិញទៅមក និងដើម្បីទទួលបាន Master Session Key (MSK) ដែល Connectivity Association Key (CAK) ត្រូវបានយកមកសម្រាប់ពិធីការ MACsec Key Agreement (MKA)។ មុខងារនេះអនុញ្ញាតឱ្យសោគ្រប់គ្រងនៅម៉ាស៊ីនមេកណ្តាល (CA) លើ PSK (Pre-Shared Key) ដែលមានមូលដ្ឋានលើ MACsec ។ ប្តូរទៅប្តូរ MACsec ត្រូវបានគាំទ្រ។ សូមមើលការកំណត់រចនាសម្ព័ន្ធវិញ្ញាបនប័ត្រផ្អែកលើ MACsec នៅទំព័រ 16 សម្រាប់ព័ត៌មានបន្ថែម។
ដែនកំណត់ និងការរឹតបន្តឹង
MACsec ដែលមានមូលដ្ឋានលើវិញ្ញាបនបត្រមានដែនកំណត់ និងការរឹតបន្តឹងទាំងនេះ៖ · ច្រកគួរតែស្ថិតនៅក្នុងរបៀបចូលប្រើ ឬទម្រង់ដើម។ · MKA មិនត្រូវបានគាំទ្រនៅលើច្រក-channels ទេ។ · ភាពអាចរកបានខ្ពស់សម្រាប់ MKA មិនត្រូវបានគាំទ្រទេ។ · ច្រកដែលមិនមាន switchport មិនត្រូវបានគាំទ្រទេ។ · ច្រកឡើងលើ ESS3300 មិនមាន PHY ទេ ដូច្នេះហើយមិនគាំទ្រ MACSec ទេ។
គោលការណ៍ MKA
ដើម្បីបើកដំណើរការ MKA នៅលើចំណុចប្រទាក់ គោលការណ៍ MKA ដែលបានកំណត់គួរតែត្រូវបានអនុវត្តចំពោះចំណុចប្រទាក់។ អ្នកអាចកំណត់រចនាសម្ព័ន្ធជម្រើសទាំងនេះ៖
· ឈ្មោះគោលការណ៍មិនត្រូវលើសពី 16 តួអក្សរ ASCII ។ · ការសម្ងាត់ (ការអ៊ិនគ្រីប) អុហ្វសិតនៃ 0, 30, ឬ 50 បៃសម្រាប់ចំណុចប្រទាក់រូបវន្តនីមួយៗ
របៀបម៉ាស៊ីនតែមួយ
តួលេខបង្ហាញពីរបៀបដែលវគ្គផ្ទៀងផ្ទាត់ EAP តែមួយត្រូវបានធានាដោយ MACsec ដោយប្រើ MKA ។
រូបភាពទី 1៖ MACsec នៅក្នុង Single-Host Mode ជាមួយនឹង Secured Data Session
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
ស្ថិតិ MKA
ស្ថិតិ MKA
បញ្ជរ MKA មួយចំនួនត្រូវបានប្រមូលផ្តុំជាសកល ខណៈពេលដែលអ្នកផ្សេងទៀតត្រូវបានធ្វើបច្ចុប្បន្នភាពទាំងជាសកល និងក្នុងមួយវគ្គ។ អ្នកក៏អាចទទួលបានព័ត៌មានអំពីស្ថានភាពនៃវគ្គ MKA ផងដែរ។
នេះគឺជាអតីតample នៃ show mka ស្ថិតិលទ្ធផលពាក្យបញ្ជា៖
ប្តូរ # បង្ហាញវគ្គ mka
វគ្គ MKA សរុប……. វគ្គសុវត្ថិភាព 1… 1 វគ្គដែលមិនទាន់សម្រេច… 0
======================================================================= =======================================================================
ចំណុចប្រទាក់
ក្នុងស្រុក-TxSCI
ឈ្មោះគោលនយោបាយ
ទទួលមរតក
សោ-ម៉ាស៊ីនមេ
លេខសម្គាល់ច្រក
Peer-RxSCI
MACsec-Peers
ស្ថានភាព
CKN
======================================================================= =======================================================================
Gi1/0/1
204c.9e85.ede4/002b p2
ទេ
បាទ
43
c800.8459.e764/002a ១
ធានា
0100000000000000000000000000000000000000000000000000000000000000
ប្តូរ#show mka sessions interface G1/0/1
សេចក្តីសង្ខេបនៃវគ្គ MKA ដែលសកម្មបច្ចុប្បន្នទាំងអស់នៅលើ Interface GigabitEthernet1/0/1…
======================================================================= =======================================================================
ចំណុចប្រទាក់
ក្នុងស្រុក-TxSCI
ឈ្មោះគោលនយោបាយ
ទទួលមរតក
សោ-ម៉ាស៊ីនមេ
លេខសម្គាល់ច្រក
Peer-RxSCI
MACsec-Peers
ស្ថានភាព
CKN
======================================================================= =======================================================================
Gi1/0/1
204c.9e85.ede4/002b p2
ទេ
បាទ
43
c800.8459.e764/002a ១
ធានា
0100000000000000000000000000000000000000000000000000000000000000
ប្តូរ#show mka sessions interface G1/0/1 de
ស្ថានភាពលម្អិតរបស់ MKA សម្រាប់វគ្គ MKA =================================== ស្ថានភាព៖ SECURED – Secured MKA Session ជាមួយ MACsec
ក្នុងស្រុក Tx-SCI…………. 204c.9e85.ede4/002b ចំណុចប្រទាក់ MAC អាសយដ្ឋាន…. 204c.9e85.ede4 MKA Port Identifier…… 43 Interface Name……….. GigabitEthernet1/0/1 Audit Session ID……… CAK Name (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 លេខសម្គាល់ (MI)… D46CBEC05D5D67594543CEAE លេខសារ ( MN)…… 89567 EAP តួនាទី…………….. NA Key Server…………… YES MKA Cipher Suite……… AES-128-CMAC
ស្ថានភាព SAK ចុងក្រោយ…….. Rx & Tx ចុងក្រោយ SAK AN………… 0 ចុងក្រោយ SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) ស្ថានភាពសាក់ចាស់………..FIRST- Sak Old Sak AN……………0 Old Sak KI (KN)………. FIRST-SAK (0)
SAK Transmit Wait Time… 0s (មិនរង់ចាំមិត្តភ័ក្តិណាមួយឆ្លើយតប) SAK Retire Time………. 0s (គ្មាន SAK ចាស់ដែលត្រូវចូលនិវត្តន៍)
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
ស្ថិតិ MKA
MACsec និង MACsec Key Agreement (MKA) Protocol
ឈ្មោះគោលនយោបាយ MKA ………. p2 Key Server Priority…… 2 Delay Protection……… NO Replay Protection……..YES Replay Window Size……. 0 Confidentiality Offset… 0 Algorithm Agility…….. 80C201 Send Secure Announcement.. DISABLED SAK Cipher Suite……… 0080C20001000001 (GCM-AES-128) MACsec Capability…….. 3 (MACsec Consetredity, MACsec Integrity, MACsec) ………..បាទ
# of MACsec Capable Live Peers………… 1 # of MACsec Capable Live Peers ឆ្លើយតប.. 1
បញ្ជីមិត្តភក្ដិបន្តផ្ទាល់៖
MI
MN
Rx-SCI (មិត្តភ័ក្តិ)
អាទិភាព KS
————————————————————————-
38046BA37D7DA77E06D006A9 89555
c800.8459.e764/002a ១
បញ្ជីមិត្តភ័ក្តិដែលមានសក្តានុពល៖
MI
MN
Rx-SCI (មិត្តភ័ក្តិ)
អាទិភាព KS
————————————————————————-
បញ្ជីឈ្មោះមិត្តភ័ក្ដិដែលនៅស្ងៀម៖
MI
MN
Rx-SCI (មិត្តភ័ក្តិ)
អាទិភាព KS
————————————————————————-
Switch#show mka sessions de Switch#show mka sessions detail
ស្ថានភាពលម្អិតរបស់ MKA សម្រាប់វគ្គ MKA =================================== ស្ថានភាព៖ SECURED – Secured MKA Session ជាមួយ MACsec
ក្នុងស្រុក Tx-SCI…………. 204c.9e85.ede4/002b ចំណុចប្រទាក់ MAC អាសយដ្ឋាន…. 204c.9e85.ede4 MKA Port Identifier…… 43 Interface Name……….. GigabitEthernet1/0/1 Audit Session ID……… CAK Name (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 លេខសម្គាល់ (MI)… D46CBEC05D5D67594543CEAE លេខសារ ( MN)…… 89572 EAP តួនាទី…………….. NA Key Server…………… YES MKA Cipher Suite……… AES-128-CMAC
ស្ថានភាព SAK ចុងក្រោយ…….. Rx & Tx ចុងក្រោយ SAK AN………… 0 ចុងក្រោយ SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) ស្ថានភាពសាក់ចាស់………..FIRST- Sak Old Sak AN……………0 Old Sak KI (KN)………. FIRST-SAK (0)
SAK Transmit Wait Time… 0s (មិនរង់ចាំមិត្តភ័ក្តិណាមួយឆ្លើយតប) SAK Retire Time………. 0s (គ្មាន SAK ចាស់ដែលត្រូវចូលនិវត្តន៍)
ឈ្មោះគោលនយោបាយ MKA ………. p2 Key Server Priority…… 2 Delay Protection……… NO Replay Protection……..YES Replay Window Size……. 0 អុហ្វសិតការសម្ងាត់… 0 Algorithm Agility…….. 80C201
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
ស្ថិតិ MKA
SAK Cipher Suite……… 0080C20001000001 (GCM-AES-128) MACsec Capability…….. 3 (MACsec Integrity, Confidentiality, & Offset) MACsec Desired……….. YES
# of MACsec Capable Live Peers………… 1 # of MACsec Capable Live Peers ឆ្លើយតប.. 1
បញ្ជីមិត្តភក្ដិបន្តផ្ទាល់៖
MI
MN
Rx-SCI (មិត្តភ័ក្តិ)
អាទិភាព KS
————————————————————————-
38046BA37D7DA77E06D006A9 89560
c800.8459.e764/002a ១
បញ្ជីមិត្តភ័ក្តិដែលមានសក្តានុពល៖
MI
MN
Rx-SCI (មិត្តភ័ក្តិ)
អាទិភាព KS
————————————————————————-
បញ្ជីឈ្មោះមិត្តភ័ក្ដិដែលនៅស្ងៀម៖
MI
MN
Rx-SCI (មិត្តភ័ក្តិ)
អាទិភាព KS
————————————————————————-
ប្តូរ #sh mka pol
សេចក្តីសង្ខេបគោលនយោបាយ MKA…
គោលនយោបាយ
KS
ពន្យាពេលការចាក់ឡើងវិញ Window Conf Cipher
ចំណុចប្រទាក់
ឈ្មោះ
Priority Protect Protect Size Offset Suite(s)
បានអនុវត្ត
======================================================================= ======================================================================= ==
*គោលនយោបាយលំនាំដើម* 0
មិនពិត ០
0
GCM-AES-128
p1
1
មិនពិត ០
0
GCM-AES-128
p2
2
មិនពិត ០
0
GCM-AES-128
Gi1/0/1
ប្តូរ #sh mka poli
ប្តូរគោលការណ៍ #sh mka p2
ប្តូរ #sh mka policy p2 ?
ព័ត៌មានលម្អិត ការកំណត់រចនាសម្ព័ន្ធ/ព័ត៌មានលម្អិតសម្រាប់គោលការណ៍ MKA
វគ្គសង្ខេបនៃវគ្គ MKA សកម្មទាំងអស់ជាមួយនឹងគោលការណ៍ត្រូវបានអនុវត្ត
|
ឧបករណ៍កែប្រែទិន្នផល
ប្តូរ#sh mka policy p2 de
ការកំណត់រចនាសម្ព័ន្ធគោលការណ៍ MKA (“p2”) ======================== ឈ្មោះគោលការណ៍ MKA…….. p2 អាទិភាពម៉ាស៊ីនមេ…. 2 អុហ្វសិតការសម្ងាត់។ 0 ផ្ញើការប្រកាសប្រកបដោយសុវត្ថិភាព..Disabled Cipher Suite(s)…….. GCM-AES-128
ចំណុចប្រទាក់ដែលបានអនុវត្ត… GigabitEthernet1/0/1
ប្តូរគោលការណ៍ #sh mka p2
សេចក្តីសង្ខេបគោលនយោបាយ MKA…
គោលនយោបាយ
KS
ពន្យាពេលការចាក់ឡើងវិញ Window Conf Cipher
ចំណុចប្រទាក់
ឈ្មោះ
Priority Protect Protect Size Offset Suite(s)
បានអនុវត្ត
======================================================================= ======================================================================= ==
p2
2
មិនពិត ០
0
GCM-AES-128
Gi1/0/1
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
ស្ថិតិ MKA
MACsec និង MACsec Key Agreement (MKA) Protocol
ប្តូរ #sh mka se? វគ្គ
ប្តូរ #sh mka ? គោលការណ៍ default-policy keychains policy presharedkeys sessions សង្ខេបស្ថិតិ
ព័ត៌មានលម្អិតអំពីគោលការណ៍លំនាំដើម MKA MKA Pre-Shared-Key Key-Chains MKA ព័ត៌មានអំពីការកំណត់រចនាសម្ព័ន្ធគោលការណ៍ MKA MKA Preshared Keys MKA Sessions សង្ខេបស្ថិតិ MKA សកល MKA Sessions សង្ខេប និងស្ថិតិសកល
ប្តូរ#sh mka ស្ថិតិ
ប្តូរ #sh mka ស្ថិតិ ?
ស្ថិតិចំណុចប្រទាក់សម្រាប់សម័យ MKA នៅលើចំណុចប្រទាក់មួយ។
local-sci Statistics សម្រាប់ MKA Session កំណត់ដោយ Local Tx-SCI របស់ខ្លួន។
|
ឧបករណ៍កែប្រែទិន្នផល
ប្តូរ#sh mka statistics inter Switch#show mka statistics interface G1/0/1
MKA Statistics for Session ========================== ការព្យាយាមផ្ទៀងផ្ទាត់ឡើងវិញ.. 0
CA Statistics Pairwise CAKs បានមកពី… 0 Pairwise CAK Rekeys….. 0 Group CAKs បានបង្កើត…. 0 CAKs ក្រុមទទួលបាន.... 0
SA Statistics SAKs បង្កើត………. 1 SAKs Rekeyed………… 0 SAKs ទទួលបាន……….. 0 SAK Responses ទទួលបាន.. 1
ស្ថិតិ MKPDU MKPDUs Validated & Rx… 89585 “ចែកចាយ SAK”.. 0 “ចែកចាយ CAK”.. 0 MKPDUs បានបញ្ជូន…… 89596 “ចែកចាយ SAK”.. 1 “CAK ចែកចាយ”.. 0
ប្តូរ #show mka ?
សេចក្តីលម្អិតគោលការណ៍លំនាំដើម MKA គោលនយោបាយលំនាំដើម
កូនសោ
MKA Pre-Shared-Key-Chains
គោលនយោបាយ
ព័ត៌មានអំពីការកំណត់រចនាសម្ព័ន្ធគោលនយោបាយ MKA
presharedkeys MKA គ្រាប់ចុចដែលបានចែករំលែកជាមុន
វគ្គ
សេចក្តីសង្ខេបនៃវគ្គ MKA
ស្ថិតិ
ស្ថិតិ MKA សកល
សង្ខេប
សង្ខេប MKA Sessions និងស្ថិតិសកល
ប្តូរ#show mka summ Switch#show mka summ
វគ្គ MKA សរុប……. វគ្គសុវត្ថិភាព 1… 1 វគ្គដែលមិនទាន់សម្រេច… 0
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
ស្ថិតិ MKA
======================================================================= =======================================================================
ចំណុចប្រទាក់
ក្នុងស្រុក-TxSCI
ឈ្មោះគោលនយោបាយ
ទទួលមរតក
សោ-ម៉ាស៊ីនមេ
លេខសម្គាល់ច្រក
Peer-RxSCI
MACsec-Peers
ស្ថានភាព
CKN
======================================================================= =======================================================================
Gi1/0/1
204c.9e85.ede4/002b p2
ទេ
បាទ
43
c800.8459.e764/002a ១
ធានា
0100000000000000000000000000000000000000000000000000000000000000
MKA Global Statistics ===================== សរុបវគ្គ MKA
ធានា……………….. 1 ការព្យាយាមផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ.. 0
លុបចោល (ធានា)………. 0 Keepalive Timeouts ……… 0
CA Statistics Pairwise CAKs បានមកពី…… 0 Pairwise CAK Rekeys…….. 0 Group CAKs បានបង្កើត……. 0 CAKs ក្រុមទទួលបាន…….. 0
SA Statistics SAKs បង្កើត…………. 1 SAKs Rekeyed…………… 0 SAKs ទទួលបាន………….. 0 SAK Responses បានទទួល….. 1
ស្ថិតិ MKPDU MKPDUs Validated & Rx…… 89589 “ចែកចាយ SAK”….. 0 “ចែកចាយ CAK”….. 0 MKPDUs បានបញ្ជូន……… 89600 “ចែកចាយ SAK”….. 1 “CAK ចែកចាយ”….. 0
MKA Error Counter Totals ======================== វគ្គបរាជ័យ
ការបរាជ័យក្នុងការលើកឡើង ……………. 0 ការបរាជ័យក្នុងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ …….. 0 ស្ទួន Auth-Mgr Handle …….. 0
SAK បរាជ័យ SAK Generation………………. 0 Hash Key Generation…………..0 SAK Encryption/Wrap…………..0 SAK Decryption/Unwrap………… 0 SAK Cipher Mismatch…………..0
CA Failures Group CAK ជំនាន់…………. 0 Group CAK Encryption/Wrap…….. 0 Group CAK Decryption/Unwrap…… 0 Pairwise CAK Derivation………. 0 CKN ដេរីវេ………………. 0 ICK ដេរីវេ………………. 0 KEK ដេរីវេ………………. 0 សមត្ថភាព Peer MACsec មិនត្រឹមត្រូវ… 0
MACsec បរាជ័យ ការបង្កើត Rx SC ………………. 0
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
របៀបកំណត់រចនាសម្ព័ន្ធការអ៊ិនគ្រីប MACsec
MACsec និង MACsec Key Agreement (MKA) Protocol
Tx SC ការបង្កើត………………. 0 Rx SA ការដំឡើង…………… 0 Tx SA ការដំឡើង…………… 0
MKPDU បរាជ័យ MKPDU Tx……………………. 0 MKPDU Rx សុពលភាព………….. 0 MKPDU Rx Bad Peer MN…………. 0 MKPDU Rx បញ្ជីរាយនាមមិនថ្មីៗនេះ MN.. 0
ប្តូរ#
របៀបកំណត់រចនាសម្ព័ន្ធការអ៊ិនគ្រីប MACsec
តម្រូវការជាមុនសម្រាប់ការអ៊ិនគ្រីប MACsec
តម្រូវការជាមុនសម្រាប់ការអ៊ិនគ្រីប MACsec៖ · ត្រូវប្រាកដថាការផ្ទៀងផ្ទាត់ 802.1x និង AAA ត្រូវបានតំឡើងនៅលើឧបករណ៍របស់អ្នក។
ការកំណត់រចនាសម្ព័ន្ធ MKA និង MACsec
ការកំណត់រចនាសម្ព័ន្ធ MACsec MKA លំនាំដើម
MACsec ត្រូវបានបិទ។ មិនមានគោលការណ៍ MKA ត្រូវបានកំណត់រចនាសម្ព័ន្ធទេ។
MKA-PSK: ការផ្លាស់ប្តូរអាកប្បកិរិយា CKN
ដើម្បីធ្វើអន្តរកម្មជាមួយឧបករណ៍ប្តូរ Cisco ដែលដំណើរការ Classic Cisco IOS ការកំណត់រចនាសម្ព័ន្ធ CKN ត្រូវតែគ្មានទ្រនាប់។ ចាប់ពី Cisco IOS XE Everest Release 16.6.1 តទៅ សម្រាប់វគ្គ MKA-PSK ជំនួសឱ្យ 32 bytes ថេរ Connectivity Association Key name (CKN) ប្រើខ្សែអក្សរដូចគ្នាទៅនឹង CKN ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធជា hex-string សម្រាប់ គន្លឹះ។ ឧampការកំណត់រចនាសម្ព័ន្ធ៖
កំណត់រចនាសម្ព័ន្ធខ្សែសង្វាក់សោស្ថានីយ KEYCHAINONE macsec key 1234 cryptographic-algorithm aes-128-cmac key-string 123456789ABCDEF0123456789ABCDEF0 lifetime local 12:21:00 កញ្ញា 9 2015 ទីបញ្ចប់គ្មានកំណត់
សម្រាប់ example ខាងក្រោមនេះគឺជាលទ្ធផលសម្រាប់ពាក្យបញ្ជា show mka session៖
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
MKA-PSK: ការផ្លាស់ប្តូរអាកប្បកិរិយា CKN
ចំណាំថា CKN key-string គឺដូចគ្នាបេះបិទ ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធសម្រាប់ key ជា hex-string។ សម្រាប់អន្តរប្រតិបត្តិការរវាងវេទិកាដែលដំណើរការ IOS XE និងវេទិកាដែលដំណើរការ IOS បុរាណ មួយមានការផ្លាស់ប្តូរឥរិយាបថ CKN និងមួយទៀតដោយគ្មានការផ្លាស់ប្តូរឥរិយាបថ CKN ខ្សែអក្សរគោលដប់ប្រាំមួយសម្រាប់សោត្រូវតែជាអក្សរគោលប្រាំមួយ 64 តួអក្សរដែលមានលេខសូន្យដើម្បីដំណើរការលើ ឧបករណ៍ដែលមានរូបភាពជាមួយនឹងការផ្លាស់ប្តូរឥរិយាបថ CKN ។ មើលអតីតampខាងក្រោម៖ ការកំណត់រចនាសម្ព័ន្ធដោយគ្មានការផ្លាស់ប្តូរឥរិយាបថខ្សែអក្សរ CKN៖
config t key chain KEYCHAINONE macsec key 1234 cryptographic-algorithm aes-128-cmac key-string 123456789ABCDEF0123456789ABCDEF0 lifetime local 12:21:00 Sep 9 2015 infinite
លទ្ធផល៖
ការកំណត់រចនាសម្ព័ន្ធជាមួយការផ្លាស់ប្តូរឥរិយាបថខ្សែអក្សរ CKN៖
config t key chain KEYCHAINONE macsec key 1234000000000000000000000000000000000000000000000000000000000000 cryptographic-algorithm aes-128-cmac key-string 123456789ABCDEF0123456789ABCDEF0 lifetime local 12:21:00 Sep 9 2015 infinite
លទ្ធផល៖
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
កំណត់រចនាសម្ព័ន្ធគោលការណ៍ MKA
MACsec និង MACsec Key Agreement (MKA) Protocol
កំណត់រចនាសម្ព័ន្ធគោលការណ៍ MKA
ជំហានសង្ខេប
1. កំណត់រចនាសម្ព័ន្ធស្ថានីយ 2. ឈ្មោះគោលនយោបាយ mka 3. ផ្ញើ-secure-announcements 4. key-server priority 5. include-icv-indicator 6. macsec-cipher-suite gcm-aes-128 7. ការសម្ងាត់-offset តម្លៃអុហ្វសិត 8 បញ្ចប់ 9. បង្ហាញគោលការណ៍ mka
ជំហានលម្អិត
ជំហានទី 1
ពាក្យបញ្ជាឬសកម្មភាពកំណត់រចនាសម្ព័ន្ធស្ថានីយ
ជំហានទី 2 ឈ្មោះគោលនយោបាយ mka
ជំហានទី 3 ផ្ញើ-secure-ប្រកាស
គោលបំណង បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
កំណត់គោលការណ៍ MKA ហើយបញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធគោលការណ៍ MKA ។ ប្រវែងឈ្មោះគោលការណ៍អតិបរមាគឺ 16 តួអក្សរ។
ចំណាំ
សំណុំកូដសម្ងាត់ MACsec លំនាំដើមនៅក្នុង MKA
គោលការណ៍នឹងតែងតែជា "GCM-AES-128" ។ ប្រសិនបើ
ឧបករណ៍គាំទ្រទាំង "GCM-AES-128" និង
លេខកូដ "GCM-AES-256" វាមានកម្រិតខ្ពស់
បានផ្តល់អនុសាសន៍ឱ្យកំណត់ និងប្រើប្រាស់អ្នកប្រើប្រាស់ដែលបានកំណត់
គោលការណ៍ MKA ដើម្បីរួមបញ្ចូលទាំង 128 និង 256 ប៊ីត
ciphers ឬមានតែ 256 ប៊ីត cipher ដូចដែលអាចមាន
ទាមទារ។
បានបើកការប្រកាសសុវត្ថិភាព។
ចំណាំ
តាមលំនាំដើម ការប្រកាសសុវត្ថិភាពគឺ
ពិការ។
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
ការកំណត់រចនាសម្ព័ន្ធ MACsec នៅលើចំណុចប្រទាក់
ជំហានទី 4
អាទិភាពម៉ាស៊ីនមេ គ្រាប់ចុចបញ្ជា ឬសកម្មភាព
ជំហានទី 5 រួមបញ្ចូល-icv-indicator ជំហានទី 6 macsec-cipher-suite gcm-aes-128 ជំហានទី 7 ការសម្ងាត់- offset តម្លៃអុហ្វសិត
ជំហានទី 8 ជំហានទី 9
បញ្ចប់ការបង្ហាញគោលការណ៍ mka
គោលបំណង
កំណត់រចនាសម្ព័ន្ធជម្រើសម៉ាស៊ីនមេ MKA និងកំណត់អាទិភាព (ចន្លោះពី 0-255)។
ចំណាំ
នៅពេលដែលតម្លៃនៃអាទិភាពម៉ាស៊ីនមេត្រូវបានកំណត់ទៅ 255,
មិត្តភ័ក្តិមិនអាចក្លាយជាម៉ាស៊ីនមេសោរបានទេ។ នេះ។
តម្លៃអាទិភាពម៉ាស៊ីនមេមានសុពលភាពសម្រាប់តែ
MKA PSK; ហើយមិនមែនសម្រាប់ MKA EAPTLS ទេ។
បើកសូចនាករ ICV នៅក្នុង MKPDU ។ ប្រើទម្រង់បែបបទនៃពាក្យបញ្ជានេះដើម្បីបិទសូចនាករ ICV — គ្មានរួមបញ្ចូល-icv-indicator ។
កំណត់រចនាសម្ព័ន្ធឈុតអក្សរសម្ងាត់សម្រាប់ការទាញយក SAK ជាមួយនឹងការអ៊ិនគ្រីប 128 ប៊ីត។
កំណត់ការសម្ងាត់ (ការអ៊ិនគ្រីប) អុហ្វសិតសម្រាប់ចំណុចប្រទាក់រូបវន្តនីមួយៗ
ចំណាំ
តម្លៃអុហ្វសិតអាចជា 0, 30 ឬ 50។ ប្រសិនបើអ្នកមាន
ការប្រើប្រាស់ Anyconnect នៅលើម៉ាស៊ីនភ្ញៀវវាគឺជា
ណែនាំអោយប្រើ Offset 0 ។
ត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
ផ្ទៀងផ្ទាត់ធាតុរបស់អ្នក។
Example
អតីតample កំណត់រចនាសម្ព័ន្ធគោលការណ៍ MKA៖
Switch(config)# mka policy mka_policy Switch(config-mka-policy)# key-server priority 200 Switch(config-mka-policy)# macsec-cipher-suite gcm-aes-128 Switch(config-mka-policy)# ការសម្ងាត់-អុហ្វសិត 30 Switch(config-mka-policy)# បញ្ចប់
ការកំណត់រចនាសម្ព័ន្ធ MACsec នៅលើចំណុចប្រទាក់
អនុវត្តតាមជំហានទាំងនេះដើម្បីកំណត់រចនាសម្ព័ន្ធ MACsec នៅលើចំណុចប្រទាក់ជាមួយសម័យ MACsec មួយសម្រាប់សំឡេង និងមួយទៀតសម្រាប់ទិន្នន័យ៖
ជំហានសង្ខេប
1. បើកដំណើរការ 2. កំណត់រចនាសម្ព័ន្ធស្ថានីយ 3. interface interface-id 4. switchport access vlan vlan-id 5. switchport mode access 6. macsec 7. authentication event linksec fail action authorize vlan vlan-id 8. authentication host-mode multi-domain
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
ការកំណត់រចនាសម្ព័ន្ធ MACsec នៅលើចំណុចប្រទាក់
MACsec និង MACsec Key Agreement (MKA) Protocol
9. authentication linksec policy must-secure 10. authentication port-control auto 11. authentication periodic 12. authentication timer authenticate reauthenticate 13. authenticationချိုးဖောက်ការពារ 14. mka policy policy 15. dotf1x pae authenticator portning 16.tree . show authentication session interface interface-id 17. show authentication session interface interface-id details 18. show macsec interface interface-id 19. show mka sessions 20. copy running-config startup-config
ជំហានលម្អិត
ជំហានទី 1
Command ឬ Action បើក Exampលេ៖
ប្តូរ> បើក
គោលបំណង
បើកមុខងារ EXEC ដែលមានសិទ្ធិ។ បញ្ចូលពាក្យសម្ងាត់ប្រសិនបើត្រូវបានសួរ។
ជំហានទី 2
កំណត់រចនាសម្ព័ន្ធស្ថានីយ Exampលេ៖
ប្តូរ>កំណត់រចនាសម្ព័ន្ធស្ថានីយ
បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
ជំហានទី 3
ចំណុចប្រទាក់ - លេខសម្គាល់
កំណត់ចំណុចប្រទាក់ MACsec ហើយបញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។ ចំណុចប្រទាក់ត្រូវតែជាចំណុចប្រទាក់រូបវន្ត។
ជំហានទី 4
ច្រកចូល vlan vlan-id
កំណត់រចនាសម្ព័ន្ធការចូលប្រើ VLAN សម្រាប់ច្រក។
ជំហានទី 5
ការចូលប្រើមុខងារ switchport
កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ជាច្រកចូល។
ជំហានទី 6
ម៉ាក់សេក
បើកដំណើរការ 802.1ae MACsec នៅលើចំណុចប្រទាក់។ ពាក្យបញ្ជា macsec បើកដំណើរការ MKA MACsec នៅលើតំណភ្ជាប់ប្តូរទៅម៉ាស៊ីន (ច្រកចុះក្រោម) ប៉ុណ្ណោះ។
ជំហានទី 7
ព្រឹត្តិការណ៍ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ linksec បរាជ័យ សកម្មភាពអនុញ្ញាត vlan (ស្រេចចិត្ត) បញ្ជាក់ថាកុងតាក់ដំណើរការការផ្ទៀងផ្ទាត់
vlan-id
link-security បរាជ័យដែលបណ្តាលមកពីអ្នកប្រើប្រាស់មិនស្គាល់អត្តសញ្ញាណ
កំណត់អត្តសញ្ញាណដោយការអនុញ្ញាត VLAN ដែលត្រូវបានរឹតបន្តឹងនៅលើច្រក
បន្ទាប់ពីការព្យាយាមផ្ទៀងផ្ទាត់បរាជ័យ។
ជំហានទី 8
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃរបៀបម៉ាស៊ីនពហុដែន
កំណត់រចនាសម្ព័ន្ធរបៀបកម្មវិធីគ្រប់គ្រងការផ្ទៀងផ្ទាត់នៅលើច្រក ដើម្បីអនុញ្ញាតឱ្យទាំងម៉ាស៊ីន និងឧបករណ៍សំឡេងត្រូវបានផ្ទៀងផ្ទាត់នៅលើច្រកដែលមានការអនុញ្ញាត 802.1x ។ ប្រសិនបើមិនបានកំណត់រចនាសម្ព័ន្ធទេ របៀបម៉ាស៊ីនលំនាំដើមគឺនៅលីវ។
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
ការកំណត់រចនាសម្ព័ន្ធ MACsec នៅលើចំណុចប្រទាក់
ជំហានទី 9 ជំហានទី 10 ជំហានទី 11 ជំហានទី 12 ជំហានទី 13
ជំហានទី 14
ជំហានទី 15 ជំហានទី 16
ជំហានទី 17
ជំហានទី 18 ជំហានទី 19 ជំហានទី 20 ជំហានទី 21 ជំហានទី 22
គោលការណ៍នៃការផ្ទៀងផ្ទាត់ពាក្យបញ្ជា ឬសកម្មភាពនៃការផ្ទៀងផ្ទាត់តំណភ្ជាប់ sec ត្រូវតែមានសុវត្ថិភាព
គោលបំណង
កំណត់គោលការណ៍សុវត្ថិភាព LinkSec ដើម្បីធានាវគ្គជាមួយ MACsec ប្រសិនបើមិត្តភ័ក្តិអាចរកបាន។ ប្រសិនបើមិនបានកំណត់ទេ លំនាំដើមគួរតែមានសុវត្ថិភាព។
ការផ្ទៀងផ្ទាត់ច្រក-គ្រប់គ្រងដោយស្វ័យប្រវត្តិ
បើកដំណើរការការផ្ទៀងផ្ទាត់ 802.1x នៅលើច្រក។ ច្រកផ្លាស់ប្តូរទៅជារដ្ឋដែលមានការអនុញ្ញាត ឬគ្មានការអនុញ្ញាត ដោយផ្អែកលើការផ្លាស់ប្តូរការផ្ទៀងផ្ទាត់រវាងកុងតាក់ និងម៉ាស៊ីនភ្ញៀវ។
ការផ្ទៀងផ្ទាត់តាមកាលកំណត់
បើក ឬបិទការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវសម្រាប់ច្រកនេះ។
កម្មវិធីកំណត់ពេលវេលាផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ
បញ្ចូលតម្លៃរវាង 1 និង 65535 (គិតជាវិនាទី)។ ទទួលបានតម្លៃអស់ពេលនៃការផ្ទៀងផ្ទាត់ឡើងវិញពីម៉ាស៊ីនមេ។ ពេលវេលាផ្ទៀងផ្ទាត់លំនាំដើមឡើងវិញគឺ 3600 វិនាទី។
ការការពារការរំលោភលើការផ្ទៀងផ្ទាត់
កំណត់រចនាសម្ព័ន្ធច្រកដើម្បីទម្លាក់អាសយដ្ឋាន MAC ចូលដែលមិនរំពឹងទុក នៅពេលដែលឧបករណ៍ថ្មីភ្ជាប់ទៅច្រក ឬនៅពេលដែលឧបករណ៍ភ្ជាប់ទៅច្រកមួយ បន្ទាប់ពីចំនួនអតិបរមានៃឧបករណ៍ត្រូវបានភ្ជាប់ទៅច្រកនោះ។ ប្រសិនបើមិនបានកំណត់រចនាសម្ព័ន្ធទេ លំនាំដើមគឺត្រូវបិទច្រក។
ឈ្មោះគោលនយោបាយ mka
អនុវត្តគោលការណ៍ពិធីការ MKA ដែលមានស្រាប់ទៅកាន់ចំណុចប្រទាក់ ហើយបើកដំណើរការ MKA នៅលើចំណុចប្រទាក់។ ប្រសិនបើមិនមានគោលការណ៍ MKA ត្រូវបានកំណត់រចនាសម្ព័ន្ធទេ (ដោយបញ្ចូលពាក្យបញ្ជាកំណត់រចនាសម្ព័ន្ធសកលនៃគោលការណ៍ mka) ។
dot1x pae authenticator
កំណត់រចនាសម្ព័ន្ធច្រកជា 802.1x port access entity (PAE) authenticator។
spanning-tree portfast
បើកដំណើរការ spanning tree Port Fast នៅលើចំណុចប្រទាក់នៅក្នុង VLANs ដែលពាក់ព័ន្ធទាំងអស់របស់វា។ នៅពេលដែលមុខងារ Port Fast ត្រូវបានបើក ចំណុចប្រទាក់នឹងផ្លាស់ប្តូរដោយផ្ទាល់ពីស្ថានភាពទប់ស្កាត់ទៅជាស្ថានភាពបញ្ជូនបន្តដោយមិនធ្វើឱ្យមានការផ្លាស់ប្តូរស្ថានភាពកម្រិតមធ្យម spanning-tree
បញ្ចប់ Exampលេ៖
ប្តូរ (កំណត់រចនាសម្ព័ន្ធ) # បញ្ចប់
ត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
បង្ហាញការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវសម័យចំណុចប្រទាក់ interface-id
ផ្ទៀងផ្ទាត់ស្ថានភាពសុវត្ថិភាពសម័យដែលបានអនុញ្ញាត។
បង្ហាញព័ត៌មានលម្អិតអំពីចំណុចប្រទាក់ ចំណុចប្រទាក់ វគ្គផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ផ្ទៀងផ្ទាត់ព័ត៌មានលម្អិតនៃស្ថានភាពសុវត្ថិភាពនៃសម័យដែលបានអនុញ្ញាត។
បង្ហាញ macsec interface interface-id
ផ្ទៀងផ្ទាត់ស្ថានភាព MacSec នៅលើចំណុចប្រទាក់។
បង្ហាញវគ្គ mka
ផ្ទៀងផ្ទាត់វគ្គ mka ដែលបានបង្កើតឡើង។
ចម្លងដំណើរការ-config startup-config Exampលេ៖
ប្តូរ#ចម្លងដំណើរការ-កំណត់រចនាសម្ព័ន្ធការចាប់ផ្តើម-កំណត់រចនាសម្ព័ន្ធ
(ជាជម្រើស) រក្សាទុកធាតុរបស់អ្នកនៅក្នុងការកំណត់រចនាសម្ព័ន្ធ file.
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
កំណត់រចនាសម្ព័ន្ធ MACsec MKA ដោយប្រើសោដែលបានចែករំលែកជាមុន (PSK)
MACsec និង MACsec Key Agreement (MKA) Protocol
កំណត់រចនាសម្ព័ន្ធ MACsec MKA ដោយប្រើសោដែលបានចែករំលែកជាមុន (PSK)
ជំហានសង្ខេប
1. កំណត់រចនាសម្ព័ន្ធស្ថានីយ 2. key chain key-chain-name macsec 3. key hex-string 4. cryptographic-algorithm {gcm-aes-128 | gcm-aes-256} 5. key-string { [0|6|7] pwd-string | pwd-string} 6. lifetime local [start timestamp {hh::mm::ss | ថ្ងៃ | ខែ | year}] [រយៈពេលវិនាទី | ពេលវេលាចុងក្រោយamp
{hh::mm::ss | ថ្ងៃ | ខែ | ឆ្នាំ }] 7. បញ្ចប់
ជំហានលម្អិត
ជំហានទី 1
ពាក្យបញ្ជាឬសកម្មភាពកំណត់រចនាសម្ព័ន្ធស្ថានីយ
ជំហានទី 2 key chain key-chain-name macsec
ជំហានទី 3 key hex-string
គោលបំណង បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
កំណត់រចនាសម្ព័ន្ធខ្សែសង្វាក់គន្លឹះ និងចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធខ្សែសង្វាក់គន្លឹះ។
កំណត់រចនាសម្ព័ន្ធអត្តសញ្ញាណតែមួយគត់សម្រាប់កូនសោនីមួយៗនៅក្នុង keychain ហើយចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធ keychain ។
ចំណាំ
សម្រាប់ការអ៊ិនគ្រីប 128 ប៊ីត ប្រើ 32 ខ្ទង់ hex
ខ្សែអក្សរ។ សម្រាប់ការអ៊ិនគ្រីប 256 ប៊ីត ប្រើ 64 hex
ខ្សែអក្សរលេខខ្ទង់។
ជំហានទី 4 ជំហានទី 5 ជំហានទី 6 ជំហានទី 7
គ្រីប-ក្បួនដោះស្រាយ {gcm-aes-128 | gcm-aes-256} កំណត់ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់លេខសម្ងាត់ជាមួយនឹងការអ៊ិនគ្រីប 128 ប៊ីត ឬ 256 ប៊ីត។
key-string { [0|6|7] pwd-string | pwd-string}
កំណត់ពាក្យសម្ងាត់សម្រាប់ខ្សែអក្សរគន្លឹះ។ ត្រូវតែបញ្ចូលតួអក្សរគោលប្រាំមួយតែប៉ុណ្ណោះ។
ពេញមួយជីវិតក្នុងស្រុក [ពេលវេលាចាប់ផ្តើមamp {hh::mm::ss | ថ្ងៃ | ខែកំណត់អាយុកាលនៃសោដែលបានចែករំលែកជាមុន។ | year}] [រយៈពេលវិនាទី | ពេលវេលាចុងក្រោយamp {hh::mm::ss | ថ្ងៃ | ខែ | ឆ្នាំ}]
ចប់
ត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
Example
ខាងក្រោមនេះគឺជាការបង្ហាញពីអតីតampលេ៖
Switch(config)# keychain keychain1 macsec Switch(config-key-chain)# key 1000 Switch(config-keychain-key)# cryptographic-algorithm gcm-aes-128 Switch(config-keychain-key)# key-string 12345678901234567890123456789012 Switch(config-keychain-key)# lifetime local 12:12:00 ថ្ងៃទី 28 ខែកក្កដា ឆ្នាំ 2016 12:19:00 ថ្ងៃទី 28 ខែកក្កដា ឆ្នាំ 2016 Switch(config-keychain-key)# end
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
កំណត់រចនាសម្ព័ន្ធ MACsec MKA នៅលើចំណុចប្រទាក់ដោយប្រើ PSK
កំណត់រចនាសម្ព័ន្ធ MACsec MKA នៅលើចំណុចប្រទាក់ដោយប្រើ PSK
ចំណាំ ដើម្បីជៀសវាងការធ្លាក់ចរាចរឆ្លងកាត់វគ្គនីមួយៗ ពាក្យបញ្ជាគោលការណ៍ mka ត្រូវតែកំណត់រចនាសម្ព័ន្ធមុនពេល mka pre-shared-key key-chain command ។
ជំហានសង្ខេប
1. configure terminal 2. interface interface-id 3. macsec access-control {must-secure | should-secure} 4. macsec 5. mka policy policy-name 6. mka pre-shared-key key-chain key-chain name 7. macsec replay-protection window-size frame number 8. បញ្ចប់
ជំហានលម្អិត
ជំហានទី 1
ពាក្យបញ្ជាឬសកម្មភាពកំណត់រចនាសម្ព័ន្ធស្ថានីយ
ជំហានទី 2 interface-id
ជំហានទី 3 macsec access-control {must-secure | គួរតែធានា}
គោលបំណង
បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។
(ជាជម្រើស) គ្រប់គ្រងឥរិយាបថនៃកញ្ចប់ព័ត៌មានដែលមិនបានអ៊ិនគ្រីប។
· គួរមានសុវត្ថិភាព៖ អនុញ្ញាតឱ្យចរាចរដែលមិនបានអ៊ិនគ្រីបហូររហូតដល់វគ្គ MKA ត្រូវបានធានា។ បន្ទាប់ពីវគ្គ MKA ត្រូវបានធានា មានតែចរាចរណ៍ដែលបានអ៊ិនគ្រីបប៉ុណ្ណោះដែលអាចហូរបាន។
· must-secure : កំណត់ថាមានតែចរាចរដែលបានអ៊ិនគ្រីប MACsec ប៉ុណ្ណោះដែលអាចហូរបាន។ ដូច្នេះ រហូតដល់វគ្គ MKA ត្រូវបានធានា ចរាចរណ៍ត្រូវបានធ្លាក់ចុះ។
ជំហានទី 4 ជំហានទី 5 ជំហានទី 6 ជំហានទី 7 ជំហានទី 8
macsec mka policy policy-name mka pre-shared-key key-chain key-chain name macsec replay-protection window-size frame number end
បើកដំណើរការ MACsec នៅលើចំណុចប្រទាក់។ កំណត់រចនាសម្ព័ន្ធគោលការណ៍ MKA ។ កំណត់រចនាសម្ព័ន្ធឈ្មោះខ្សែសង្វាក់កូនសោដែលបានចែករំលែកជាមុន MKA ។ កំណត់ទំហំបង្អួច MACsec សម្រាប់ការការពារការចាក់ឡើងវិញ។ ត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
Example
ខាងក្រោមនេះ example កំណត់រចនាសម្ព័ន្ធគោលការណ៍ MKA និងឈ្មោះខ្សែសង្វាក់គន្លឹះដែលបានចែករំលែកមុន MKA ហើយកំណត់ទំហំបង្អួច MACsec សម្រាប់ការការពារការចាក់ឡើងវិញ៖
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
កំណត់រចនាសម្ព័ន្ធវិញ្ញាបនប័ត្រផ្អែកលើ MACsec
MACsec និង MACsec Key Agreement (MKA) Protocol
Switch(config)# ចំណុចប្រទាក់ GigabitEthernet 1/1 Switch(config-if)# mka policy mka_policy Switch(config-if)# mka pre-shared-key key-chain key-chain-name Switch(config-if)# macsec replay -protection window-size 10 Switch(config-if)# end
ចំណាំ វាមិនត្រូវបានផ្តល់អនុសាសន៍ឱ្យផ្លាស់ប្តូរគោលការណ៍ MKA នៅលើចំណុចប្រទាក់ជាមួយ MKA PSK ដែលបានកំណត់រចនាសម្ព័ន្ធនៅពេលវគ្គកំពុងដំណើរការ។ ទោះយ៉ាងណាក៏ដោយ ប្រសិនបើការផ្លាស់ប្តូរត្រូវបានទាមទារ អ្នកត្រូវតែកំណត់រចនាសម្ព័ន្ធគោលការណ៍ឡើងវិញដូចខាងក្រោម៖ 1. បិទវគ្គដែលមានស្រាប់ដោយលុបការកំណត់ macsec នៅលើថ្នាំងដែលចូលរួមនីមួយៗដោយប្រើពាក្យបញ្ជា no macsec។ 2. កំណត់រចនាសម្ព័ន្ធគោលការណ៍ MKA នៅលើចំណុចប្រទាក់នៅលើថ្នាំងដែលចូលរួមនីមួយៗ ដោយប្រើពាក្យបញ្ជាឈ្មោះគោលនយោបាយ mka ។ 3. បើកវគ្គថ្មីនៅលើថ្នាំងដែលចូលរួមនីមួយៗដោយប្រើពាក្យបញ្ជា macsec ។
ខាងក្រោមនេះ examples បង្ហាញពីរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ដែលត្រូវប្រើគួរតែមានសុវត្ថិភាពជំនួសឱ្យលំនាំដើមត្រូវតែមានសុវត្ថិភាព និងរបៀបផ្លាស់ប្តូរវាត្រឡប់ទៅលំនាំដើមត្រូវតែមានសុវត្ថិភាព។
ចំណាំ ការកែប្រែការគ្រប់គ្រងការចូលប្រើមិនត្រូវបានអនុញ្ញាតទេ នៅពេលដែលវគ្គនេះឡើង និងដំណើរការ។ ដំបូងអ្នកត្រូវលុបការកំណត់រចនាសម្ព័ន្ធ MACsec ដោយប្រើពាក្យបញ្ជាគ្មាន macsec ហើយបន្ទាប់មកកំណត់រចនាសម្ព័ន្ធការចូលដំណើរការ។
Example 1: ដើម្បីផ្លាស់ប្តូរពី must-secure ទៅ should-secure:
Switch(config-if)#no macsec Switch(config-if)#macsec access-control should-secure Switch(config-if)#macsec // វាប្តូរការគ្រប់គ្រងការចូលប្រើពី must-secure & ចាប់ផ្តើមវគ្គ macsec ឡើងវិញជាមួយថ្មី អាកប្បកិរិយា។
Example 2: ដើម្បីផ្លាស់ប្តូរពីគួរ-secure ទៅ must-secure:
Switch(config-if)#no macsec Switch(config-if)#no macsec access-control Switch(config-if)#macsec
កំណត់រចនាសម្ព័ន្ធវិញ្ញាបនប័ត្រផ្អែកលើ MACsec
ដើម្បីកំណត់រចនាសម្ព័ន្ធ MACsec ជាមួយ MKA នៅលើតំណពីចំណុចមួយទៅចំណុច សូមអនុវត្តកិច្ចការទាំងនេះ៖ · ការបង្កើតគូសោរ · កំណត់រចនាសម្ព័ន្ធការចុះឈ្មោះដោយប្រើ SCEP · កំណត់រចនាសម្ព័ន្ធការចុះឈ្មោះដោយដៃ · កំណត់រចនាសម្ព័ន្ធការបម្លែងទៅការសម្ងាត់ MACsec នៅទំព័រ 23
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
តម្រូវការជាមុនសម្រាប់ MACsec ផ្អែកលើវិញ្ញាបនបត្រ
តម្រូវការជាមុនសម្រាប់ MACsec ផ្អែកលើវិញ្ញាបនបត្រ
· ត្រូវប្រាកដថាអ្នកមានម៉ាស៊ីនមេ Certificate Authority (CA) ដែលបានកំណត់រចនាសម្ព័ន្ធសម្រាប់បណ្តាញរបស់អ្នក។ · បង្កើតវិញ្ញាបនបត្រ CA ។ · ត្រូវប្រាកដថាអ្នកបានកំណត់រចនាសម្ព័ន្ធ Cisco Identity Services Engine (ISE)។ · ត្រូវប្រាកដថាការផ្ទៀងផ្ទាត់ 802.1x និង AAA ត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅលើឧបករណ៍របស់អ្នក។
ការបង្កើតគូគន្លឹះ
ជំហានសង្ខេប
1. បើក 2. កំណត់រចនាសម្ព័ន្ធ terminal 3. crypto key បង្កើត rsa label label-name general-keys modulus size 4. end 5. show authentication session interface interface-id
ជំហានលម្អិត
ជំហានទី 1
Command ឬ Action បើក Exampលេ៖
ឧបករណ៍> បើក
គោលបំណង បើកមុខងារ EXEC ដែលមានសិទ្ធិ។ បញ្ចូលពាក្យសម្ងាត់របស់អ្នក ប្រសិនបើត្រូវបានសួរ។
ជំហានទី 2
កំណត់រចនាសម្ព័ន្ធស្ថានីយ Exampលេ៖
ឧបករណ៍ # កំណត់រចនាសម្ព័ន្ធស្ថានីយ
ចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
ជំហានទី 3
កូនសោគ្រីបតូបង្កើត rsa label label-name general-keys modulus size
Exampលេ៖
Device(config)# crypto key បង្កើត rsa label general-keys modulus 2048
បង្កើតគូសោ RSA សម្រាប់ការចុះហត្ថលេខា និងការអ៊ិនគ្រីប។
អ្នកក៏អាចកំណត់ស្លាកមួយទៅគូគន្លឹះនីមួយៗដោយប្រើពាក្យគន្លឹះស្លាក។ ស្លាកត្រូវបានយោងដោយចំណុចទុកចិត្តដែលប្រើគូសោ។ ប្រសិនបើអ្នកមិនកំណត់ស្លាកទេ គូសោត្រូវបានដាក់ស្លាកដោយស្វ័យប្រវត្តិ .
ប្រសិនបើអ្នកមិនប្រើពាក្យគន្លឹះបន្ថែមពាក្យបញ្ជានេះបង្កើតគូសោ RSA គោលបំណងទូទៅមួយ។ ប្រសិនបើម៉ូឌុលមិនត្រូវបានបញ្ជាក់ទេ ម៉ូឌុលសោលំនាំដើមនៃ 1024 ត្រូវបានប្រើ។ អ្នកអាចបញ្ជាក់ទំហំម៉ូឌុលផ្សេងទៀតដោយប្រើពាក្យគន្លឹះម៉ូឌុល។
ជំហានទី 4
បញ្ចប់ Exampលេ៖
ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # បញ្ចប់
ចេញពីរបៀបកំណត់រចនាសម្ព័ន្ធសកល ហើយត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
ជំហានទី 5
បង្ហាញចំណុចប្រទាក់សម័យការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ-id Exampលេ៖
ផ្ទៀងផ្ទាត់ស្ថានភាពសុវត្ថិភាពសម័យដែលបានអនុញ្ញាត។
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
កំណត់រចនាសម្ព័ន្ធការចុះឈ្មោះដោយប្រើ SCEP
MACsec និង MACsec Key Agreement (MKA) Protocol
ពាក្យបញ្ជាឬសកម្មភាព
ឧបករណ៍# បង្ហាញចំណុចប្រទាក់សម័យការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ gigabitethernet 0/1/1
គោលបំណង
កំណត់រចនាសម្ព័ន្ធការចុះឈ្មោះដោយប្រើ SCEP
Simple Certificate Enrollment Protocol (SCEP) គឺជាពិធីការចុះឈ្មោះដែលបង្កើតដោយ Cisco ដែលប្រើ HTTP ដើម្បីទំនាក់ទំនងជាមួយអាជ្ញាធរវិញ្ញាបនបត្រ (CA) ឬអាជ្ញាធរចុះឈ្មោះ (RA)។ SCEP គឺជាវិធីសាស្ត្រដែលប្រើជាទូទៅបំផុតសម្រាប់ការផ្ញើ និងទទួលសំណើ និងវិញ្ញាបនបត្រ។
ជំហានទី 1 ជំហានទី 2 ជំហានទី 3 ជំហានទី 4
ជំហានទី 5 ជំហានទី 6 ជំហានទី 7 ជំហានទី 8
នីតិវិធី
Command ឬ Action បើក Exampលេ៖
ឧបករណ៍> បើក
គោលបំណង បើកមុខងារ EXEC ដែលមានសិទ្ធិ។ បញ្ចូលពាក្យសម្ងាត់របស់អ្នក ប្រសិនបើត្រូវបានសួរ។
កំណត់រចនាសម្ព័ន្ធស្ថានីយ Exampលេ៖
ឧបករណ៍ # កំណត់រចនាសម្ព័ន្ធស្ថានីយ
ចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
crypto pki trustpoint server ឈ្មោះ Exampលេ៖
Device(config)# crypto pki trustpoint ka
ប្រកាសចំណុចទុកចិត្ត និងឈ្មោះដែលបានផ្ដល់ ហើយចូលក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធ ca-trustpoint។
ការចុះឈ្មោះ url url ឈ្មោះភីម
Exampលេ៖
ឧបករណ៍(ca-trustpoint)# ការចុះឈ្មោះ url http://url:២៥
បញ្ជាក់ URL នៃ CA ដែលឧបករណ៍របស់អ្នកគួរផ្ញើសំណើវិញ្ញាបនបត្រ។
អាសយដ្ឋាន IPv6 អាចត្រូវបានបន្ថែមនៅក្នុង URL រុំព័ទ្ធក្នុងតង្កៀប។ សម្រាប់អតីតample: http:// [2001:DB8:1:1::1]:80.
ពាក្យគន្លឹះ pem បន្ថែមព្រំដែននៃសំបុត្រដែលបង្កើនភាពឯកជន (PEM) ទៅនឹងសំណើវិញ្ញាបនបត្រ។
ស្លាក rsakeypair
បញ្ជាក់ថាតើគូសោមួយណាដែលត្រូវភ្ជាប់ជាមួយវិញ្ញាបនបត្រ។
Exampលេ៖
ចំណាំ
ឧបករណ៍(ca-trustpoint)# rsakeypair exampleCAkeys
ឈ្មោះ rsakeypair ត្រូវតែផ្គូផ្គងឈ្មោះចំណុចទុកចិត្ត។
លេខសៀរៀល គ្មាន ឧampលេ៖
ឧបករណ៍(ca-trustpoint)# លេខសៀរៀល គ្មាន
ip-address គ្មាន Exampលេ៖
ឧបករណ៍(ca-trustpoint)# ip-address គ្មាន
ការដកហូត-ពិនិត្យ crl ឧampលេ៖
គ្មានពាក្យគន្លឹះណាមួយបញ្ជាក់ថាលេខសៀរៀលនឹងមិនត្រូវបានបញ្ចូលក្នុងសំណើវិញ្ញាបនបត្រទេ។
គ្មានពាក្យគន្លឹះបញ្ជាក់ថាគ្មានអាសយដ្ឋាន IP គួរត្រូវបានបញ្ចូលក្នុងសំណើវិញ្ញាបនបត្រ។
បញ្ជាក់ CRL ជាវិធីសាស្រ្តដើម្បីធានាថាវិញ្ញាបនបត្ររបស់មិត្តភ័ក្តិមិនត្រូវបានដកហូតទេ។
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
កំណត់រចនាសម្ព័ន្ធការចុះឈ្មោះដោយដៃ
ជំហានទី 9
ជំហានទី 10 ជំហានទី 11 ជំហានទី 12 ជំហានទី 13
ពាក្យបញ្ជាឬសកម្មភាព
Device(ca-trustpoint)# revocation-check crl
គោលបំណង
ភាគរយនៃការចុះឈ្មោះដោយស្វ័យប្រវត្តិបង្កើតឡើងវិញ
បើកការចុះឈ្មោះដោយស្វ័យប្រវត្តិ អនុញ្ញាតឱ្យអតិថិជនធ្វើ
Exampលេ៖
ស្នើសុំវិញ្ញាបនបត្រវិលជុំដោយស្វ័យប្រវត្តិពី CA ។
ឧបករណ៍(ca-trustpoint)# ចុះឈ្មោះដោយស្វ័យប្រវត្តិ 90 បង្កើតឡើងវិញ ប្រសិនបើការចុះឈ្មោះដោយស្វ័យប្រវត្តិមិនត្រូវបានបើកទេ អតិថិជនត្រូវតែចុះឈ្មោះឡើងវិញដោយដៃនៅក្នុង PKI របស់អ្នកតាមវិញ្ញាបនបត្រ
ការផុតកំណត់។
តាមលំនាំដើម មានតែឈ្មោះ Domain Name System (DNS) របស់ឧបករណ៍ប៉ុណ្ណោះដែលត្រូវបានបញ្ចូលក្នុងវិញ្ញាបនបត្រ។
ប្រើអាគុយម៉ង់ភាគរយដើម្បីបញ្ជាក់ថាវិញ្ញាបនបត្រថ្មីនឹងត្រូវបានស្នើសុំបន្ទាប់ពីភាគរយtage នៃអាយុកាលនៃវិញ្ញាបនបត្របច្ចុប្បន្នត្រូវបានឈានដល់។
ប្រើពាក្យគន្លឹះបង្កើតឡើងវិញ ដើម្បីបង្កើតកូនសោថ្មីសម្រាប់វិញ្ញាបនបត្រ បើទោះបីជាគ្រាប់ចុចដែលមានឈ្មោះរួចហើយក៏ដោយ។
ប្រសិនបើគូសោដែលកំពុងត្រូវបានរមៀលចេញគឺអាចនាំចេញបាន នោះគូសោថ្មីក៏នឹងអាចនាំចេញផងដែរ។ មតិយោបល់ខាងក្រោមនឹងបង្ហាញនៅក្នុងការកំណត់រចនាសម្ព័ន្ធ trustpoint ដើម្បីបង្ហាញថាតើគូគន្លឹះអាចនាំចេញបានឬអត់៖ “! គូសោ RSA ដែលភ្ជាប់ជាមួយ trustpoint គឺអាចនាំចេញបាន។"
វាត្រូវបានណែនាំឱ្យបង្កើតគូសោថ្មីសម្រាប់ហេតុផលសុវត្ថិភាព។
ចេញ Exampលេ៖
ឧបករណ៍(ca-trustpoint)# ចេញ
ចេញពីរបៀបកំណត់រចនាសម្ព័ន្ធ ca-trustpoint ហើយត្រឡប់ទៅរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
crypto pki ផ្ទៀងផ្ទាត់ឈ្មោះ Exampលេ៖
ឧបករណ៍(កំណត់រចនាសម្ព័ន្ធ)# crypto pki ផ្ទៀងផ្ទាត់ myca
ទាញយកវិញ្ញាបនបត្រ CA និងផ្ទៀងផ្ទាត់វា។
បញ្ចប់ Exampលេ៖
ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # បញ្ចប់
ចេញពីរបៀបកំណត់រចនាសម្ព័ន្ធសកល ហើយត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
បង្ហាញ Crypto Pki ឈ្មោះ trustpoint ឈ្មោះ Exampលេ៖
ឧបករណ៍# បង្ហាញវិញ្ញាបនបត្រ crypto pki ka
បង្ហាញព័ត៌មានអំពីវិញ្ញាបនបត្រសម្រាប់ចំណុចជឿទុកចិត្ត។
កំណត់រចនាសម្ព័ន្ធការចុះឈ្មោះដោយដៃ
ប្រសិនបើ CA របស់អ្នកមិនគាំទ្រ SCEP ឬប្រសិនបើការតភ្ជាប់បណ្តាញរវាងរ៉ោតទ័រ និង CA មិនអាចធ្វើទៅបាន។ អនុវត្តកិច្ចការខាងក្រោមដើម្បីរៀបចំការចុះឈ្មោះវិញ្ញាបនបត្រដោយដៃ៖
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
កំណត់រចនាសម្ព័ន្ធការចុះឈ្មោះដោយដៃ
MACsec និង MACsec Key Agreement (MKA) Protocol
ជំហានទី 1 ជំហានទី 2 ជំហានទី 3 ជំហានទី 4
ជំហានទី ១ ជំហានទី ២ ជំហានទី ៣ ជំហានទី ៤ ជំហានទី ៥ ជំហានទី ៦
នីតិវិធី
Command ឬ Action បើក Exampលេ៖
ឧបករណ៍> បើក
គោលបំណង បើកមុខងារ EXEC ដែលមានសិទ្ធិ។ បញ្ចូលពាក្យសម្ងាត់របស់អ្នក ប្រសិនបើត្រូវបានសួរ។
កំណត់រចនាសម្ព័ន្ធស្ថានីយ Exampលេ៖
ឧបករណ៍ # កំណត់រចនាសម្ព័ន្ធស្ថានីយ
ចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
crypto pki trustpoint server ឈ្មោះ Exampលេ៖
ឧបករណ៍# crypto pki trustpoint ka
ប្រកាសចំណុចទុកចិត្ត និងឈ្មោះដែលបានផ្ដល់ ហើយចូលក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធ ca-trustpoint។
ការចុះឈ្មោះ url url- ឈ្មោះ
Exampលេ៖
ឧបករណ៍(ca-trustpoint)# ការចុះឈ្មោះ url http://url:២៥
បញ្ជាក់ URL នៃ CA ដែលឧបករណ៍របស់អ្នកគួរផ្ញើសំណើវិញ្ញាបនបត្រ។
អាសយដ្ឋាន IPv6 អាចត្រូវបានបន្ថែមនៅក្នុង URL រុំព័ទ្ធក្នុងតង្កៀប។ សម្រាប់អតីតample: http:// [2001:DB8:1:1::1]:80.
ពាក្យគន្លឹះ pem បន្ថែមព្រំដែននៃសំបុត្រដែលបង្កើនភាពឯកជន (PEM) ទៅនឹងសំណើវិញ្ញាបនបត្រ។
ស្លាក rsakeypair
បញ្ជាក់ថាតើគូសោមួយណាដែលត្រូវភ្ជាប់ជាមួយវិញ្ញាបនបត្រ។
Exampលេ៖
ឧបករណ៍(ca-trustpoint)# rsakeypair exampleCAkeys
លេខសៀរៀល គ្មាន ឧampលេ៖
ឧបករណ៍(ca-trustpoint)# លេខសៀរៀល គ្មាន
បញ្ជាក់ថាលេខសៀរៀលនឹងមិនត្រូវបានបញ្ចូលក្នុងសំណើវិញ្ញាបនបត្រទេ។
ip-address គ្មាន Exampលេ៖
ឧបករណ៍(ca-trustpoint)# ip-address គ្មាន
គ្មានពាក្យគន្លឹះបញ្ជាក់ថាគ្មានអាសយដ្ឋាន IP គួរត្រូវបានបញ្ចូលក្នុងសំណើវិញ្ញាបនបត្រ។
ការដកហូត-ពិនិត្យ crl ឧampលេ៖
Device(ca-trustpoint)# revocation-check crl
បញ្ជាក់ CRL ជាវិធីសាស្រ្តដើម្បីធានាថាវិញ្ញាបនបត្ររបស់មិត្តភ័ក្តិមិនត្រូវបានដកហូតទេ។
ចេញ Exampលេ៖
ឧបករណ៍(ca-trustpoint)# ចេញ
ចេញពីរបៀបកំណត់រចនាសម្ព័ន្ធ ca-trustpoint ហើយត្រឡប់ទៅរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
crypto pki ផ្ទៀងផ្ទាត់ឈ្មោះ Exampលេ៖
ឧបករណ៍(កំណត់រចនាសម្ព័ន្ធ)# crypto pki ផ្ទៀងផ្ទាត់ myca
ទាញយកវិញ្ញាបនបត្រ CA និងផ្ទៀងផ្ទាត់វា។
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
បើកដំណើរការការផ្ទៀងផ្ទាត់ 802.1x និងការកំណត់រចនាសម្ព័ន្ធ AAA
ជំហានទី 11 ជំហានទី 12
ជំហានទី 13 ជំហានទី 14
ពាក្យបញ្ជាឬសកម្មភាព crypto pki ចុះឈ្មោះឈ្មោះ Exampលេ៖
Device(config)# crypto pki ចុះឈ្មោះ myca
គោលបំណង
បង្កើតសំណើវិញ្ញាបនបត្រ និងបង្ហាញសំណើសម្រាប់ការចម្លង និងបិទភ្ជាប់ទៅក្នុងម៉ាស៊ីនមេវិញ្ញាបនបត្រ។
បញ្ចូលព័ត៌មានចុះឈ្មោះនៅពេលអ្នកត្រូវបានសួរ។ សម្រាប់អតីតample សូមបញ្ជាក់ថាតើត្រូវបញ្ចូលឧបករណ៍ FQDN និងអាសយដ្ឋាន IP នៅក្នុងសំណើវិញ្ញាបនបត្រដែរឬទេ។
អ្នកក៏ត្រូវបានផ្តល់ជម្រើសផងដែរអំពីការបង្ហាញសំណើវិញ្ញាបនបត្រទៅស្ថានីយកុងសូល។
វិញ្ញាបនបត្រដែលបានអ៊ិនកូដមូលដ្ឋាន-64 ដោយមានឬគ្មានបឋមកថា PEM ដូចដែលបានស្នើត្រូវបានបង្ហាញ។
វិញ្ញាបនបត្រឈ្មោះ crypto pki នាំចូល
នាំចូលវិញ្ញាបនបត្រតាមរយៈ TFTP នៅកុងសូលស្ថានីយ
Exampលេ៖
ដែលទាញយកវិញ្ញាបនបត្រដែលបានផ្តល់។
Device(config)# crypto pki នាំចូលវិញ្ញាបនបត្រ myca ឧបករណ៍ព្យាយាមទាញយកវិញ្ញាបនបត្រដែលបានផ្តល់តាមរយៈ TFTP ដោយប្រើដូចគ្នា fileឈ្មោះដែលប្រើដើម្បីផ្ញើសំណើ
លើកលែងតែផ្នែកបន្ថែមត្រូវបានប្តូរពី “.req” ទៅ “.crt”។ សម្រាប់
វិញ្ញាបនបត្រគន្លឹះប្រើប្រាស់ ផ្នែកបន្ថែម “-sign.crt” និង
"-encr.crt" ត្រូវបានប្រើ។
ឧបករណ៍វិភាគការទទួល files ផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ និងបញ្ចូលវិញ្ញាបនបត្រទៅក្នុងមូលដ្ឋានទិន្នន័យវិញ្ញាបនបត្រខាងក្នុងនៅលើកុងតាក់។
ចំណាំ
CAs មួយចំនួនមិនអើពើព័ត៌មានគន្លឹះប្រើប្រាស់
នៅក្នុងការស្នើសុំវិញ្ញាបនបត្រ និងបញ្ហាទូទៅ
វិញ្ញាបនបត្រប្រើប្រាស់គោលបំណង។ ប្រសិនបើ CA របស់អ្នកមិនអើពើ
ព័ត៌មានសំខាន់នៃការប្រើប្រាស់នៅក្នុងវិញ្ញាបនបត្រ
ស្នើសុំ, នាំចូលតែគោលបំណងទូទៅ
វិញ្ញាបនបត្រ។ រ៉ោតទ័រនឹងមិនប្រើមួយក្នុងចំណោម
គូសំខាន់ពីរត្រូវបានបង្កើតឡើង។
បញ្ចប់ Exampលេ៖
ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # បញ្ចប់
បង្ហាញ Crypto Pki ឈ្មោះ trustpoint ឈ្មោះ Exampលេ៖
ឧបករណ៍# បង្ហាញវិញ្ញាបនបត្រ crypto pki ka
ចេញពីរបៀបកំណត់រចនាសម្ព័ន្ធសកល ហើយត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
បង្ហាញព័ត៌មានអំពីវិញ្ញាបនបត្រសម្រាប់ចំណុចជឿទុកចិត្ត។
បើកដំណើរការការផ្ទៀងផ្ទាត់ 802.1x និងការកំណត់រចនាសម្ព័ន្ធ AAA
ជំហានសង្ខេប
1. បើកដំណើរការ 2. កំណត់រចនាសម្ព័ន្ធស្ថានីយ 3. aaa new-model 4. dot1x system-auth-control
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
បើកដំណើរការការផ្ទៀងផ្ទាត់ 802.1x និងការកំណត់រចនាសម្ព័ន្ធ AAA
MACsec និង MACsec Key Agreement (MKA) Protocol
5. radius server name 6. address ip-address auth-port port-number acct-port port-number 7. automate-tester username username 8. key string 9. radius-server deadtime minutes 10. exit 11. aaa group server radius group-name 12. server name 13. exit 14. aaa authentication dot1x default group-name 15. aaa authorization network default group-name group
ជំហានលម្អិត
ជំហានទី 1
Command ឬ Action បើក Exampលេ៖
ឧបករណ៍> បើក
គោលបំណង បើកមុខងារ EXEC ដែលមានសិទ្ធិ។ បញ្ចូលពាក្យសម្ងាត់របស់អ្នកប្រសិនបើត្រូវបានសួរ។
ជំហានទី 2
កំណត់រចនាសម្ព័ន្ធស្ថានីយ Exampលេ៖
ឧបករណ៍ # កំណត់រចនាសម្ព័ន្ធស្ថានីយ
ចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
ជំហានទី 3
AA ម៉ូដែលថ្មី Exampលេ៖
Device(config)# aaa new-model
បើកដំណើរការ AAA ។
ជំហានទី 4
dot1x system-auth-control Exampលេ៖
ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # dot1x system-auth-control
បើកដំណើរការ 802.1X នៅលើឧបករណ៍របស់អ្នក។
ជំហានទី 5
ឈ្មោះម៉ាស៊ីនមេកាំ Exampលេ៖
ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ម៉ាស៊ីនមេកាំ ISE
បញ្ជាក់ឈ្មោះនៃការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ RADIUS សម្រាប់ការផ្តល់ព័ត៌មានសម្ងាត់ការចូលប្រើការពារ (PAC) ហើយចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ RADIUS ។
ជំហានទី 6
អាសយដ្ឋាន ip-address auth-port port-number acct-port port-number
កំណត់រចនាសម្ព័ន្ធអាសយដ្ឋាន IPv4 សម្រាប់ប៉ារ៉ាម៉ែត្រគណនេយ្យ និងផ្ទៀងផ្ទាត់ម៉ាស៊ីនមេ RADIUS ។
Exampលេ៖
ឧបករណ៍(config-radius-server)# អាសយដ្ឋាន ipv4 auth-port 4 acct-port 1645
ជំហានទី 7
ឈ្មោះអ្នកប្រើ automate-tester ឈ្មោះអ្នកប្រើ
Exampលេ៖
ឧបករណ៍(config-radius-server)# automate-tester username dummy
បើកដំណើរការមុខងារសាកល្បងស្វ័យប្រវត្តិសម្រាប់ម៉ាស៊ីនមេ RADIUS ។
ជាមួយនឹងការអនុវត្តនេះ ឧបករណ៍បញ្ជូនសារការផ្ទៀងផ្ទាត់តាមកាលកំណត់ទៅម៉ាស៊ីនមេ RADIUS ។ វាស្វែងរកការឆ្លើយតប RADIUS ពីម៉ាស៊ីនមេ។ ជោគជ័យមួយ។
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
កំណត់រចនាសម្ព័ន្ធការអ៊ិនគ្រីបប្តូរទៅប្តូរ MACsec
ជំហានទី ១ ជំហានទី ២ ជំហានទី ៣ ជំហានទី ៤ ជំហានទី ៥ ជំហានទី ៦ ជំហានទី ៧ ជំហានទី ៨
ពាក្យបញ្ជាឬសកម្មភាព
គោលបំណង
សារមិនចាំបាច់ទេ – ការផ្ទៀងផ្ទាត់ដែលបរាជ័យគឺគ្រប់គ្រាន់ហើយ ព្រោះវាបង្ហាញថាម៉ាស៊ីនមេនៅរស់។
ខ្សែអក្សរគន្លឹះ Exampលេ៖
ឧបករណ៍(config-radius-server)# key dummy123
កំណត់រចនាសម្ព័ន្ធការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងការអ៊ិនគ្រីបសោសម្រាប់ការទំនាក់ទំនង RADIUS ទាំងអស់រវាងឧបករណ៍ និងម៉ាស៊ីនមេ RADIUS ។
កាំ-ម៉ាស៊ីនបម្រើនាទីពេលវេលាស្លាប់
Exampលេ៖
Device(config-radius-server)# radius-server deadtime 2
ធ្វើឱ្យប្រសើរឡើងនូវពេលវេលាឆ្លើយតប RADIUS នៅពេលដែលម៉ាស៊ីនមេមួយចំនួនប្រហែលជាមិនអាចប្រើបាន ហើយរំលងម៉ាស៊ីនមេដែលមិនអាចប្រើបានភ្លាមៗ។
ចេញ Exampលេ៖
ឧបករណ៍(config-radius-server)# ចេញ
ត្រឡប់ទៅរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
aaa group server radius ឈ្មោះក្រុម Exampលេ៖
ឧបករណ៍(កំណត់រចនាសម្ព័ន្ធ)# កាំម៉ាស៊ីនមេក្រុម aaa ISEGRP
ដាក់ក្រុមម៉ាស៊ីនមេ RADIUS ផ្សេងគ្នាទៅក្នុងបញ្ជីដាច់ដោយឡែក និងវិធីសាស្រ្តផ្សេងគ្នា ហើយចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធក្រុមម៉ាស៊ីនមេ។
ឈ្មោះម៉ាស៊ីនមេ Exampលេ៖
ឧបករណ៍(config-sg)# ឈ្មោះម៉ាស៊ីនមេ ISE
កំណត់ឈ្មោះម៉ាស៊ីនមេ RADIUS ។
ចេញ Exampលេ៖
ឧបករណ៍(config-sg)# ចេញ
ត្រឡប់ទៅរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
aaa ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ dot1x ឈ្មោះក្រុមលំនាំដើម Exampលេ៖
កំណត់ក្រុមម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់លំនាំដើមសម្រាប់ IEEE 802.1x ។
ឧបករណ៍(កំណត់រចនាសម្ព័ន្ធ)# ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ aaa dot1x ក្រុមលំនាំដើម ISEGRP
aaa បណ្តាញការអនុញ្ញាតជាក្រុមលំនាំដើមឈ្មោះក្រុម Exampលេ៖
ក្រុមលំនាំដើមបណ្តាញអនុញ្ញាត aaa ISEGRP
កំណត់ក្រុមលំនាំដើមនៃការអនុញ្ញាតបណ្តាញ។
កំណត់រចនាសម្ព័ន្ធការអ៊ិនគ្រីបប្តូរទៅប្តូរ MACsec
ដើម្បីអនុវត្ត MACsec MKA ដោយប្រើការអ៊ិនគ្រីប MACsec ដែលមានមូលដ្ឋានលើវិញ្ញាបនបត្រទៅកាន់ចំណុចប្រទាក់ សូមអនុវត្តកិច្ចការខាងក្រោម៖
ជំហានទី 1
បើកដំណើរការពាក្យបញ្ជា ឬសកម្មភាព
គោលបំណង បើកមុខងារ EXEC ដែលមានសិទ្ធិ។
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
កំណត់រចនាសម្ព័ន្ធការអ៊ិនគ្រីបប្តូរទៅប្តូរ MACsec
MACsec និង MACsec Key Agreement (MKA) Protocol
ជំហានទី ១ ជំហានទី ២ ជំហានទី ៣ ជំហានទី ៤ ជំហានទី ៥ ជំហានទី ៦ ជំហានទី ៧ ជំហានទី ៨ ជំហានទី ៩ ជំហានទី ១០
ពាក្យបញ្ជា ឬសកម្មភាព Exampលេ៖
ឧបករណ៍> បើក
គោលបំណង បញ្ចូលពាក្យសម្ងាត់របស់អ្នក ប្រសិនបើត្រូវបានសួរ។
កំណត់រចនាសម្ព័ន្ធស្ថានីយ Exampលេ៖
ឧបករណ៍ # កំណត់រចនាសម្ព័ន្ធស្ថានីយ
ចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
ចំណុចប្រទាក់ interface-id Exampលេ៖
ឧបករណ៍ (កំណត់រចនាសម្ព័ន្ធ) # ចំណុចប្រទាក់ gigabitethernet 2/9
កំណត់ចំណុចប្រទាក់ MACsec ហើយបញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។ ចំណុចប្រទាក់ត្រូវតែជាចំណុចប្រទាក់រូបវន្ត។
macsec network-link Exampលេ៖
ឧបករណ៍(config-if)# macsec network-link
បើកដំណើរការ MACsec នៅលើចំណុចប្រទាក់។
ការផ្ទៀងផ្ទាត់តាមកាលកំណត់ Exampលេ៖
Device(config-if)# ការផ្ទៀងផ្ទាត់តាមកាលកំណត់
(ជាជម្រើស) បើកការផ្ទៀងផ្ទាត់ឡើងវិញសម្រាប់ច្រកនេះ។
កម្មវិធីកំណត់ពេលវេលាផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ចន្លោះពេលផ្ទៀងផ្ទាត់
Exampលេ៖
ឧបករណ៍(config-if)# កម្មវិធីកំណត់ពេលវេលាផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ចន្លោះពេលផ្ទៀងផ្ទាត់ឡើងវិញ
(ជាជម្រើស) កំណត់ចន្លោះពេលការផ្ទៀងផ្ទាត់ឡើងវិញ។
ពិធីចូលដំណើរការ-របៀបម៉ាស៊ីនពហុម៉ាស៊ីន
Exampលេ៖
Device(config-if)# access-session host-mode multi-host
អនុញ្ញាតឱ្យម៉ាស៊ីនចូលប្រើចំណុចប្រទាក់។
វគ្គចូលដំណើរការបានបិទ Exampលេ៖
ឧបករណ៍(config-if)# វគ្គចូលដំណើរការបានបិទ
រារាំងការចូលប្រើការផ្ទៀងផ្ទាត់ជាមុននៅលើចំណុចប្រទាក់។
ការគ្រប់គ្រងច្រកចូលដំណើរការដោយស្វ័យប្រវត្តិ
Exampលេ៖
Device(config-if)# access-session port-control auto
កំណត់ស្ថានភាពអនុញ្ញាតនៃច្រក។
dot1x pae ទាំងពីរ Exampលេ៖
ឧបករណ៍(config-if)# dot1x pae ទាំងពីរ
កំណត់រចនាសម្ព័ន្ធច្រកជាអង្គភាពផ្គត់ផ្គង់ចូលដំណើរការច្រក 802.1X (PAE) និងអ្នកផ្ទៀងផ្ទាត់។
dot1x credentials profile Exampលេ៖
ឧបករណ៍(config-if)# dot1x credentials profile
ចាត់តាំង 802.1x credentials profile ទៅកាន់ចំណុចប្រទាក់។
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
Example៖ ប្តូរទៅប្តូរវិញ្ញាបនប័ត្រផ្អែកលើ MACsec
ជំហានទី 12 ជំហានទី 13 ជំហានទី 14 ជំហានទី 15
Command ឬ Action End Exampលេ៖
ឧបករណ៍(config-if)# បញ្ចប់
គោលបំណង
ចាកចេញពីការកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ mdoe ហើយត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
បង្ហាញ macsec interface interface-id
បង្ហាញព័ត៌មានលម្អិត MACsec សម្រាប់ចំណុចប្រទាក់។
Exampលេ៖
ឧបករណ៍# បង្ហាញចំណុចប្រទាក់ macsec GigabitEthernet 2/9
បង្ហាញព័ត៌មានលម្អិតអំពីចំណុចប្រទាក់ ចំណុចប្រទាក់ចូលដំណើរការ-សម័យ
Exampលេ៖
ឧបករណ៍# បង្ហាញព័ត៌មានលម្អិតអំពីចំណុចប្រទាក់ចូលដំណើរការ GigabitEthernet 2/9
ផ្ទៀងផ្ទាត់ការផ្ទៀងផ្ទាត់ dot1x ជោគជ័យ និងការអនុញ្ញាត។ នេះជារឿងដំបូងដែលត្រូវពិនិត្យ។ ប្រសិនបើការផ្ទៀងផ្ទាត់ dot1x បរាជ័យ នោះ MKA នឹងមិនចាប់ផ្តើមទេ។
បង្ហាញព័ត៌មានលម្អិតនៃចំណុចប្រទាក់ចំណុចប្រទាក់សម័យ mka
បង្ហាញស្ថានភាពសម័យ MKA លម្អិត។
Exampលេ៖
ឧបករណ៍# បង្ហាញចំណុចប្រទាក់សម័យ mka ព័ត៌មានលម្អិត GigabitEthernet 2/9
Example៖ ប្តូរទៅប្តូរវិញ្ញាបនប័ត្រផ្អែកលើ MACsec
អតីតមួយampការកំណត់រចនាសម្ព័ន្ធនៃវិញ្ញាបនបត្រប្តូរទៅប្តូរដែលមានមូលដ្ឋានលើ MACsec ត្រូវបានបង្ហាញខាងក្រោម។
កំណត់រចនាសម្ព័ន្ធស្ថានីយ aaa ម៉ូដែលថ្មី aaa ការផ្ទៀងផ្ទាត់មូលដ្ឋាន ការផ្ទៀងផ្ទាត់លំនាំដើម ការអនុញ្ញាតលំនាំដើម ! ! aaa ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ dot1x ក្រុមលំនាំដើម កាំមូលដ្ឋាន ការអនុញ្ញាត aaa exec លំនាំដើម បណ្តាញការអនុញ្ញាត aaa មូលដ្ឋាន មូលដ្ឋានក្រុម លំនាំដើម កាំមូលដ្ឋាន aaa ការផ្តល់សិទ្ធិប្រូកស៊ី លំនាំដើមក្រុម កាំផ្តល់សិទ្ធិ aaa លិខិតបញ្ជាក់-ទាញយកលំនាំដើម អត្តសញ្ញាណគណនីមូលដ្ឋាន aaa លំនាំដើម កាំក្រុមចាប់ផ្តើមបញ្ឈប់ ! ! បញ្ជីគុណលក្ខណៈ AA MUSTS
ប្រភេទ attribute linksec-policy must-secure ! បញ្ជីគុណលក្ខណៈ aaa macsec-dot1-credentials
ប្រភេទ attribute linksec-policy must-secure ! បញ្ជីគុណលក្ខណៈ aaa MUSTS_CA
ប្រភេទ attribute linksec-policy must-secure ! បញ្ជីគុណលក្ខណៈ AA SHOULDS_CA
ប្រភេទ attribute linksec-policy គួរតែធានា ! បញ្ជីគុណលក្ខណៈ aaa mkadt_CA
ប្រភេទ attribute linksec-policy must-secure ! aaa session-id ទូទៅ
ឈ្មោះអ្នកប្រើត្រូវតែ aaa បញ្ជីគុណលក្ខណៈ MUSTS_CA ឈ្មោះអ្នកប្រើ MUSTS.mkadt.cisco.com
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
កំណត់រចនាសម្ព័ន្ធ MKA/MACsec សម្រាប់ច្រកច្រក
MACsec និង MACsec Key Agreement (MKA) Protocol
crypto pki trustpoint demo enrollment terminal serial-number fqdn MUSTS.mkadt.cisco.com subject-name cn=MUSTS.mkadt.cisco.com,OU=CSG Security,O=Cisco Systems,L=Bengaluru,ST=KA,C= IN
subject-alt-name MUSTS.mkadt.cisco.com revocation-check none rsakeypair demo 2048 hash sha256
អេបប្រូfile វិធីសាស្ត្រ EAP_P tls
ការបង្ហាញ pki-trustpoint
dot1x system-auth-control dot1x credentials MUSTS-CA
ឈ្មោះអ្នកប្រើត្រូវតែពាក្យសម្ងាត់ 0 MUST_CA ! dot1x credentials MUSTS ឈ្មោះអ្នកប្រើប្រាស់ MUSTS.mkadt.cisco.comcrypto pki ផ្ទៀងផ្ទាត់ការបង្ហាញសាកល្បង
crypto pki ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ crypto pki ចុះឈ្មោះសាកល្បង crypto pki នាំចូលវិញ្ញាបនបត្រសាកល្បង
policy-map type control subscriber MUSTS_1 event session-started match-all 10 class តែងតែធ្វើ-រហូតដល់បរាជ័យ 10 authenticate ដោយប្រើ dot1x ទាំងពីរ event authentication-failure match- class 10 តែងតែ do-until-failure 10 បញ្ចប់ dot1x 20 authentication-restart 10 ការផ្គូផ្គងការផ្ទៀងផ្ទាត់ព្រឹត្តិការណ៍ - ជោគជ័យ - ថ្នាក់ទាំង 10 តែងតែធ្វើរហូតដល់បរាជ័យ 10 ធ្វើឱ្យសេវាកម្មគំរូ DEFAULT_LINKSEC_POLICY_MUST_SECURE សកម្ម
ចំណុចប្រទាក់ GigabitEthernet2/9 switchport mode ចូលដំណើរការ macsec access-session host-mode multi-host access-session closed access-session port-control auto dot1x pae ទាំង dot1x authenticator eap profile EAP_P dot1x credentials MUSTS dot1x supplicant eap profile អ្នកជាវសេវាគ្រប់គ្រងប្រភេទគោលការណ៍ EAP_P MUSTS_1
កំណត់រចនាសម្ព័ន្ធ MKA/MACsec សម្រាប់ច្រកច្រក
កំណត់រចនាសម្ព័ន្ធ MKA/MACsec សម្រាប់ច្រកច្រកដោយប្រើ PSK
ជំហានសង្ខេប
1. កំណត់រចនាសម្ព័ន្ធ terminal 2. interface interface-id 3. macsec
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ឡូជីខលច្រកច្រកសម្រាប់ស្រទាប់ 2 EtherChannels
4. mka policy policy-name 5. mka pre-shared-key key-chain key-chain-name 6. channel-group channel-group-number mode {សកម្ម | អកម្ម } | {on } 7. ចប់
ជំហានលម្អិត
ជំហានទី 1
ពាក្យបញ្ជាឬសកម្មភាពកំណត់រចនាសម្ព័ន្ធស្ថានីយ
ជំហានទី 2 interface-id
ជំហានទី 3 macsec
ជំហានទី 4 ជំហានទី 5
mka policy policy-name mka pre-shared-key key-chain key-chain-name
គោលបំណង បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។
បើកដំណើរការ MACsec នៅលើចំណុចប្រទាក់។ គាំទ្រឆានែលច្រកស្រទាប់ 2 និងស្រទាប់ 3 ។
កំណត់រចនាសម្ព័ន្ធគោលការណ៍ MKA ។
កំណត់រចនាសម្ព័ន្ធឈ្មោះខ្សែសង្វាក់កូនសោដែលបានចែករំលែកជាមុន MKA ។
ចំណាំ
សោ MKA ដែលចែករំលែកជាមុនអាចត្រូវបានកំណត់រចនាសម្ព័ន្ធ
នៅលើចំណុចប្រទាក់រូបវន្ត ឬចំណុចប្រទាក់រង
និងមិននៅលើទាំងពីរ។
ជំហានទី 6
channel-group channel-group-number mode {សកម្ម | អកម្ម } | {នៅលើ }
កំណត់រចនាសម្ព័ន្ធច្រកនៅក្នុងក្រុមឆានែល និងកំណត់របៀប។ ជួរលេខឆានែលគឺចាប់ពី 1 ដល់ 4096។ ច្រកច្រកដែលភ្ជាប់ជាមួយក្រុមឆានែលនេះត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិ ប្រសិនបើប៉ុស្តិ៍ច្រកមិនទាន់មាន។ សម្រាប់របៀប សូមជ្រើសរើសពាក្យគន្លឹះមួយក្នុងចំណោមពាក្យគន្លឹះខាងក្រោម៖
· បើក — បង្ខំច្រកទៅឆានែលដោយគ្មាន PAgP ឬ LACP ។ នៅក្នុងរបៀបបើក ប៉ុស្តិ៍ EtherChannel មាននៅពេលដែលក្រុមច្រកនៅក្នុងរបៀបបើកត្រូវបានភ្ជាប់ទៅក្រុមច្រកផ្សេងទៀតនៅក្នុងរបៀបបើក។
· សកម្ម — បើក LACP លុះត្រាតែឧបករណ៍ LACP ត្រូវបានរកឃើញ។ វាដាក់ច្រកចូលទៅក្នុងស្ថានភាពចរចារសកម្មដែលច្រកចាប់ផ្តើមការចរចាជាមួយច្រកផ្សេងទៀតដោយផ្ញើកញ្ចប់ LACP ។
· អកម្ម - បើក LACP នៅលើច្រក ហើយដាក់វាចូលទៅក្នុងស្ថានភាពចរចាអកម្ម ដែលច្រកឆ្លើយតបទៅនឹងកញ្ចប់ព័ត៌មាន LACP ដែលវាទទួលបាន ប៉ុន្តែមិនចាប់ផ្តើមការចរចាកញ្ចប់ព័ត៌មាន LACP ទេ។
ជំហានទី 7 បញ្ចប់
ត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ឡូជីខលច្រកច្រកសម្រាប់ស្រទាប់ 2 EtherChannels
ដើម្បីបង្កើតចំណុចប្រទាក់ច្រកច្រកសម្រាប់ Layer 2 EtherChannel អនុវត្តកិច្ចការនេះ៖
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ឡូជីខលច្រកច្រកសម្រាប់ស្រទាប់ 3 EtherChannels
MACsec និង MACsec Key Agreement (MKA) Protocol
ជំហានសង្ខេប
1. configure terminal 2. [no] interface port-channel-group-number 3. switchport 4. switchport mode {access | trunk } 5. ចប់
ជំហានលម្អិត
ជំហានទី 1
ពាក្យបញ្ជាឬសកម្មភាពកំណត់រចនាសម្ព័ន្ធស្ថានីយ
ជំហានទី 2 [ទេ] ចំណុចប្រទាក់ច្រក-ឆានែលឆានែល-ក្រុម-លេខ
គោលបំណង បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
បង្កើតចំណុចប្រទាក់ឆានែលច្រក។
ចំណាំ
ប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ ដើម្បីលុបពាក្យបញ្ជា
ចំណុចប្រទាក់ឆានែលច្រក។
ជំហានទី 3 switchport ជំហានទី 4 របៀប switchport { access | trunk } ជំហានទី 5 បញ្ចប់
ប្តូរចំណុចប្រទាក់ដែលមាននៅក្នុងរបៀបស្រទាប់ 3 ទៅជារបៀបស្រទាប់ 2 សម្រាប់ការកំណត់រចនាសម្ព័ន្ធស្រទាប់ 2 ។
កំណត់ច្រកទាំងអស់ជាច្រកចូលដំណើរការឋិតិវន្តនៅក្នុង VLAN ដូចគ្នា ឬកំណត់រចនាសម្ព័ន្ធពួកវាជាច្រក។
ត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ឡូជីខលច្រកច្រកសម្រាប់ស្រទាប់ 3 EtherChannels
ដើម្បីបង្កើតចំណុចប្រទាក់ច្រកច្រកសម្រាប់ Layer 3 EtherChannel អនុវត្តកិច្ចការនេះ៖
ជំហានសង្ខេប
1. configure terminal 2. interface port-channel interface-id 3. no switchport 4. ip address ip-address subnet_mask 5. end
ជំហានលម្អិត
ជំហានទី 1
ពាក្យបញ្ជាឬសកម្មភាពកំណត់រចនាសម្ព័ន្ធស្ថានីយ
ជំហានទី 2 ចំណុចប្រទាក់ច្រក-ឆានែលចំណុចប្រទាក់-id
ជំហានទី 3 គ្មានច្រក
ជំហានទី 4 ជំហានទី 5
អាសយដ្ឋាន ip ip-address subnet_mask បញ្ចប់
គោលបំណង បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធសកល។ បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។ ប្តូរចំណុចប្រទាក់ដែលមាននៅក្នុងរបៀបស្រទាប់ 2 ទៅជារបៀបស្រទាប់ 3 សម្រាប់ការកំណត់រចនាសម្ព័ន្ធស្រទាប់ 3 ។ កំណត់អាសយដ្ឋាន IP និងរបាំងបណ្តាញរងទៅ EtherChannel ។ ត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
Example ៖ កំណត់រចនាសម្ព័ន្ធ MACsec MKA សម្រាប់ Port Channel ដោយប្រើ PSK
Example ៖ កំណត់រចនាសម្ព័ន្ធ MACsec MKA សម្រាប់ Port Channel ដោយប្រើ PSK
របៀប Etherchannel — ឋិតិវន្ត/បើក
ខាងក្រោមនេះគឺដូចampការកំណត់រចនាសម្ព័ន្ធនៅលើឧបករណ៍ទី 1 និងឧបករណ៍ទី 2 ដោយបើករបៀប EtherChannel ។
ខ្សែសង្វាក់គន្លឹះ KC macsec key 1000 cryptographic-algorithm aes-128-cmac key-string FC8F5B10557C192F03F60198413D7D45 end
គោលនយោបាយ mka គោលនយោបាយអាទិភាពម៉ាស៊ីនមេ 0 macsec-cipher-suite gcm-aes-128 ការសម្ងាត់-អុហ្វសិត 0 បញ្ចប់
ចំណុចប្រទាក់ Te1/0/1 channel-group mode 2 នៅលើ macsec mka policy POLICY mka pre-shared-key key-chain KC end
ចំណុចប្រទាក់ Te1/0/2 channel-group mode 2 នៅលើ macsec mka policy POLICY mka pre-shared-key key-chain KC end
ស្រទាប់ 2 ការកំណត់រចនាសម្ព័ន្ធ EtherChannel
ឧបករណ៍ 1
interface port-channel 2 switchport switchport mode trunk no shutdown end
ឧបករណ៍ 2
interface port-channel 2 switchport switchport mode trunk no shutdown end
ខាងក្រោមនេះបង្ហាញជាample លទ្ធផលនៃ show etherchannel summary command ។
ទង់៖ ឃ - ចុះក្រោម
P - ខ្ចប់ក្នុងច្រកច្រក
ខ្ញុំ - ឯករាជ្យ s - ផ្អាក
H - រង់ចាំក្តៅ (LACP តែប៉ុណ្ណោះ)
R - ស្រទាប់ 3
S - ស្រទាប់ 2
U - កំពុងប្រើ
f - បរាជ័យក្នុងការបែងចែកឧបករណ៍ប្រមូលផ្តុំ
M - មិនត្រូវបានប្រើ, តំណអប្បបរមាមិនបានជួប
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
Example ៖ កំណត់រចនាសម្ព័ន្ធ MACsec MKA សម្រាប់ Port Channel ដោយប្រើ PSK
MACsec និង MACsec Key Agreement (MKA) Protocol
u – មិនស័ក្តិសមសម្រាប់ការបាច់ w – រង់ចាំការសរុប d – ច្រកលំនាំដើម
ក - បង្កើតឡើងដោយ Auto LAG
ចំនួនឆានែល-ក្រុមដែលកំពុងប្រើប្រាស់៖ 1
ចំនួនអ្នកប្រមូលផ្តុំ៖
1
Group Port-channel Protocol Ports
——+————-+———–+————————————————–
2
Po2(RU)
–
ស្រទាប់ 3 ការកំណត់រចនាសម្ព័ន្ធ EtherChannel
ឧបករណ៍ 1
Te1/0/1(P) Te1/0/2(P)
interface port-channel 2 no switchport ip address 10.25.25.3 255.255.255.0 គ្មានការបិទបញ្ចប់
ឧបករណ៍ 2
interface port-channel 2 no switchport ip address 10.25.25.4 255.255.255.0 គ្មានការបិទបញ្ចប់
ខាងក្រោមនេះបង្ហាញជាample លទ្ធផលនៃ show etherchannel summary command ។
ទង់៖ ឃ - ចុះក្រោម
P - ខ្ចប់ក្នុងច្រកច្រក
ខ្ញុំ - ឯករាជ្យ s - ផ្អាក
H - រង់ចាំក្តៅ (LACP តែប៉ុណ្ណោះ)
R - ស្រទាប់ 3
S - ស្រទាប់ 2
U - កំពុងប្រើ
f - បរាជ័យក្នុងការបែងចែកឧបករណ៍ប្រមូលផ្តុំ
M – មិនត្រូវបានប្រើទេ តំណអប្បបរមាមិនបានជួបអ្នក – មិនស័ក្តិសមសម្រាប់ការបាច់ w – រង់ចាំការសរុប d – ច្រកលំនាំដើម
ក - បង្កើតឡើងដោយ Auto LAG
ចំនួនឆានែល-ក្រុមដែលកំពុងប្រើប្រាស់៖ 1
ចំនួនអ្នកប្រមូលផ្តុំ៖
1
Group Port-channel Protocol Ports
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
Example ៖ កំណត់រចនាសម្ព័ន្ធ MACsec MKA សម្រាប់ Port Channel ដោយប្រើ PSK
——+————-+———–+————————————————–
2
Po2(RU)
–
Te1/0/1(P) Te1/0/2(P)
របៀប Etherchannel - LACP
ខាងក្រោមនេះគឺដូចampការកំណត់រចនាសម្ព័ន្ធនៅលើឧបករណ៍ទី 1 និងឧបករណ៍ទី 2 ជាមួយនឹងរបៀប EtherChannel ជា LACP ។
ខ្សែសង្វាក់គន្លឹះ KC macsec key 1000 cryptographic-algorithm aes-128-cmac key-string FC8F5B10557C192F03F60198413D7D45 end
គោលនយោបាយ mka គោលនយោបាយអាទិភាពម៉ាស៊ីនមេ 0 macsec-cipher-suite gcm-aes-128 ការសម្ងាត់-អុហ្វសិត 0 បញ្ចប់
ចំណុចប្រទាក់ Te1/0/1 channel-group 2 mode សកម្ម macsec mka policy POLICY mka pre-shared-key key-chain KC end
ចំណុចប្រទាក់ Te1/0/2 channel-group 2 mode សកម្ម macsec mka policy POLICY mka pre-shared-key key-chain KC end
ស្រទាប់ 2 ការកំណត់រចនាសម្ព័ន្ធ EtherChannel
ឧបករណ៍ 1
interface port-channel 2 switchport switchport mode trunk no shutdown end
ឧបករណ៍ 2
interface port-channel 2 switchport switchport mode trunk no shutdown end
ខាងក្រោមនេះបង្ហាញជាample លទ្ធផលនៃ show etherchannel summary command ។
ទង់៖ ឃ - ចុះក្រោម
P - ខ្ចប់ក្នុងច្រកច្រក
ខ្ញុំ - ឯករាជ្យ s - ផ្អាក
H - រង់ចាំក្តៅ (LACP តែប៉ុណ្ណោះ)
R - ស្រទាប់ 3
S - ស្រទាប់ 2
U - កំពុងប្រើ
f - បរាជ័យក្នុងការបែងចែកឧបករណ៍ប្រមូលផ្តុំ
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
Example ៖ កំណត់រចនាសម្ព័ន្ធ MACsec MKA សម្រាប់ Port Channel ដោយប្រើ PSK
MACsec និង MACsec Key Agreement (MKA) Protocol
M – មិនត្រូវបានប្រើទេ តំណអប្បបរមាមិនបានជួបអ្នក – មិនស័ក្តិសមសម្រាប់ការបាច់ w – រង់ចាំការសរុប d – ច្រកលំនាំដើម
ក - បង្កើតឡើងដោយ Auto LAG
ចំនួនឆានែល-ក្រុមដែលកំពុងប្រើប្រាស់៖ 1
ចំនួនអ្នកប្រមូលផ្តុំ៖
1
——+————-+———–+————————————————–
2
Po2(SU)
LACP
ស្រទាប់ 3 ការកំណត់រចនាសម្ព័ន្ធ EtherChannel
ឧបករណ៍ 1
Te1/1/1(P) Te1/1/2(P)
interface port-channel 2 no switchport ip address 10.25.25.3 255.255.255.0 គ្មានការបិទបញ្ចប់
ឧបករណ៍ 2
interface port-channel 2 no switchport ip address 10.25.25.4 255.255.255.0 គ្មានបិទ
ខាងក្រោមនេះបង្ហាញជាample លទ្ធផលនៃ show etherchannel summary command ។
ទង់៖ ឃ - ចុះក្រោម
P - ខ្ចប់ក្នុងច្រកច្រក
ខ្ញុំ - ឯករាជ្យ s - ផ្អាក
H - រង់ចាំក្តៅ (LACP តែប៉ុណ្ណោះ)
R - ស្រទាប់ 3
S - ស្រទាប់ 2
U - កំពុងប្រើ
f - បរាជ័យក្នុងការបែងចែកឧបករណ៍ប្រមូលផ្តុំ
M – មិនត្រូវបានប្រើទេ តំណអប្បបរមាមិនបានជួបអ្នក – មិនស័ក្តិសមសម្រាប់ការបាច់ w – រង់ចាំការសរុប d – ច្រកលំនាំដើម
ក - បង្កើតឡើងដោយ Auto LAG
ចំនួនឆានែល-ក្រុមដែលកំពុងប្រើប្រាស់៖ 1
ចំនួនអ្នកប្រមូលផ្តុំ៖
1
Group Port-channel Protocol Ports
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
ការកំណត់រចនាសម្ព័ន្ធ MACsec Cipher ប្រកាស
——+————-+———–+————————————————–
2
Po2(RU)
LACP
Te1/1/1(P) Te1/1/2(P)
បង្ហាញវគ្គ MKA សកម្ម
ខាងក្រោមបង្ហាញពីវគ្គ MKA សកម្មទាំងអស់។
# បង្ហាញចំណុចប្រទាក់ mka sessions Te1/0/1
======================================================================= =======================================================================
ចំណុចប្រទាក់
ក្នុងស្រុក-TxSCI
ឈ្មោះគោលនយោបាយ
ទទួលមរតក
សោ-ម៉ាស៊ីនមេ
លេខសម្គាល់ច្រក
Peer-RxSCI
MACsec-Peers
ស្ថានភាព
CKN
======================================================================= =======================================================================
Te1/0/1
00a3.d144.3364/0025 គោលនយោបាយ
ទេ
ទេ
៦៧ ៨
701f.539b.b0c6/0032 1
ធានា
ការកំណត់រចនាសម្ព័ន្ធ MACsec Cipher ប្រកាស
ការកំណត់រចនាសម្ព័ន្ធគោលនយោបាយ MKA សម្រាប់ការប្រកាសប្រកបដោយសុវត្ថិភាព
ជំហានសង្ខេប
1. កំណត់រចនាសម្ព័ន្ធស្ថានីយ 2. mka policy policy-name 3. key-server priority 4. [no] send-secure-announcements 5. macsec-cipher-suite {gcm-aes-128 | gcm-aes-256} 6. បញ្ចប់ 7. បង្ហាញគោលការណ៍ mka
ជំហានលម្អិត
ជំហានទី 1
ពាក្យបញ្ជាឬសកម្មភាពកំណត់រចនាសម្ព័ន្ធស្ថានីយ
ជំហានទី 2 mka policy policy-name
គោលបំណង
បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
កំណត់គោលការណ៍ MKA ហើយបញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធគោលការណ៍ MKA ។ ប្រវែងឈ្មោះគោលការណ៍អតិបរមាគឺ 16 តួអក្សរ។
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
ការកំណត់រចនាសម្ព័ន្ធការប្រកាសដែលមានសុវត្ថិភាពជាសាកល (នៅទូទាំងគោលនយោបាយ MKA)
MACsec និង MACsec Key Agreement (MKA) Protocol
ពាក្យបញ្ជាឬសកម្មភាព
ជំហានទី 3 អាទិភាពម៉ាស៊ីនមេ
ជំហានទី 4 [ទេ] ផ្ញើ-secure-ប្រកាស
ជំហានទី 5 macsec-cipher-suite {gcm-aes-128 | gcm-aes-256}
ជំហានទី 6 ជំហានទី 7
បញ្ចប់ការបង្ហាញគោលការណ៍ mka
កំណត់ចំណាំគោលបំណង
ឈុតកូដសម្ងាត់ MACsec លំនាំដើមនៅក្នុងគោលការណ៍ MKA នឹងតែងតែជា "GCM-AES-128"។ ប្រសិនបើឧបករណ៍នេះគាំទ្រទាំងអក្សរសម្ងាត់ “GCM-AES-128” និង “GCM-AES-256” វាត្រូវបានផ្ដល់អនុសាសន៍យ៉ាងខ្លាំងឱ្យកំណត់ និងប្រើប្រាស់គោលការណ៍ MKA ដែលបានកំណត់ដោយអ្នកប្រើប្រាស់ ដើម្បីរួមបញ្ចូលទាំងការសរសេរកូដ 128 និង 256 ប៊ីត ឬត្រឹមតែ 256 ប៊ីត អាចត្រូវបានទាមទារ។
កំណត់រចនាសម្ព័ន្ធជម្រើសម៉ាស៊ីនមេ MKA និងកំណត់អាទិភាព (ចន្លោះពី 0-255)។
ចំណាំ
នៅពេលដែលតម្លៃនៃអាទិភាពម៉ាស៊ីនមេត្រូវបានកំណត់ទៅ 255,
មិត្តភ័ក្តិមិនអាចក្លាយជាម៉ាស៊ីនមេសោរបានទេ។ នេះ។
តម្លៃអាទិភាពម៉ាស៊ីនមេមានសុពលភាពសម្រាប់តែ
MKA PSK; ហើយមិនមែនសម្រាប់ MKA EAPTLS ទេ។
បើកការផ្ញើសេចក្តីប្រកាសដែលមានសុវត្ថិភាព។ ប្រើទម្រង់គ្មានពាក្យបញ្ជា ដើម្បីបិទការផ្ញើសេចក្តីប្រកាសដែលមានសុវត្ថិភាព។ តាមលំនាំដើម ការប្រកាសសុវត្ថិភាពត្រូវបានបិទ។
កំណត់រចនាសម្ព័ន្ធឈុតអក្សរសម្ងាត់សម្រាប់ការទាញយក SAK ជាមួយនឹងការអ៊ិនគ្រីប 128 ប៊ីត ឬ 256 ប៊ីត។
ត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
ផ្ទៀងផ្ទាត់ធាតុរបស់អ្នក។
ការកំណត់រចនាសម្ព័ន្ធការប្រកាសដែលមានសុវត្ថិភាពជាសាកល (នៅទូទាំងគោលនយោបាយ MKA)
ជំហានសង្ខេប
1. កំណត់រចនាសម្ព័ន្ធស្ថានីយ 2. [ទេ] mka defaults policy send-secure- Announcements 3. បញ្ចប់
ជំហានលម្អិត
ជំហានទី 1
ពាក្យបញ្ជាឬសកម្មភាពកំណត់រចនាសម្ព័ន្ធស្ថានីយ
គោលបំណង បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
ជំហានទី 2
[ទេ] mka លំនាំដើមគោលការណ៍ផ្ញើ-secure-ប្រកាសបើកដំណើរការការផ្ញើសេចក្តីប្រកាសដែលមានសុវត្ថិភាពនៅក្នុង MKPDUs នៅទូទាំងគោលការណ៍ MKA ។ តាមលំនាំដើម ការប្រកាសសុវត្ថិភាពត្រូវបានបិទ។
ជំហានទី 3 បញ្ចប់
ត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
ការកំណត់រចនាសម្ព័ន្ធការប្រកាសរបស់ EAPoL នៅលើចំណុចប្រទាក់មួយ។
ការកំណត់រចនាសម្ព័ន្ធការប្រកាសរបស់ EAPoL នៅលើចំណុចប្រទាក់មួយ។
ជំហានសង្ខេប
1. កំណត់រចនាសម្ព័ន្ធ terminal 2. interface interface-id 3. [no] eapol annoucement 4. end
ជំហានលម្អិត
ជំហានទី 1
ពាក្យបញ្ជាឬសកម្មភាពកំណត់រចនាសម្ព័ន្ធស្ថានីយ
ជំហានទី 2 interface-id
ជំហានទី 3 [ទេ] ការប្រកាសរបស់ eapol
ជំហានទី 4 បញ្ចប់
គោលបំណង
បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
កំណត់ចំណុចប្រទាក់ MACsec ហើយបញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។ ចំណុចប្រទាក់ត្រូវតែជាចំណុចប្រទាក់រូបវន្ត។
បើកការប្រកាសរបស់ EAPoL ។ ប្រើទម្រង់គ្មានពាក្យបញ្ជា ដើម្បីបិទការប្រកាសរបស់ EAPoL ។ តាមលំនាំដើម សេចក្តីប្រកាសរបស់ EAPoL ត្រូវបានបិទ។
ត្រឡប់ទៅរបៀប EXEC ដែលមានសិទ្ធិ។
Examples: កំណត់រចនាសម្ព័ន្ធការប្រកាស MACsec Cipher
អតីតample បង្ហាញពីរបៀបកំណត់រចនាសម្ព័ន្ធគោលការណ៍ MKA សម្រាប់ការប្រកាសសុវត្ថិភាព៖
# កំណត់រចនាសម្ព័ន្ធស្ថានីយ (កំណត់រចនាសម្ព័ន្ធ)# គោលការណ៍ mka mka_policy (config-mka-policy)# សោម៉ាស៊ីនមេ 2 (config-mka-policy)# ផ្ញើ-ការប្រកាសសុវត្ថិភាព (កំណត់រចនាសម្ព័ន្ធ-mka-policy) # macsec-cipher-suite gcm- aes-128confidentiality-offset 0 (config-mka-policy)# បញ្ចប់
អតីតample បង្ហាញពីរបៀបកំណត់រចនាសម្ព័ន្ធការប្រកាសសុវត្ថិភាពជាសកល៖
# កំណត់រចនាសម្ព័ន្ធស្ថានីយ (កំណត់រចនាសម្ព័ន្ធ) # mka defaults policy send-secure-announcements (config)# end
អតីតample បង្ហាញពីរបៀបកំណត់រចនាសម្ព័ន្ធការប្រកាសរបស់ EAPoL នៅលើចំណុចប្រទាក់៖
# កំណត់រចនាសម្ព័ន្ធស្ថានីយ (កំណត់រចនាសម្ព័ន្ធ)# ចំណុចប្រទាក់ GigabitEthernet 1/0/1 (config-if)# ការប្រកាស eapol (config-if)# បញ្ចប់
ខាងក្រោមនេះគឺដូចample លទ្ធផលសម្រាប់បង្ហាញពាក្យបញ្ជាដែលកំពុងដំណើរការ-កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់-ឈ្មោះចំណុចប្រទាក់ជាមួយនឹងការប្រកាស EAPoL ត្រូវបានបើកដំណើរការ។
# បង្ហាញចំណុចប្រទាក់ដែលកំពុងដំណើរការ-កំណត់រចនាសម្ព័ន្ធ GigabitEthernet 1/0/1
របៀប switchport ចូលដំណើរការ macsec access-session host-mode multi-host access-session បានបិទ
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
Examples: កំណត់រចនាសម្ព័ន្ធការប្រកាស MACsec Cipher
MACsec និង MACsec Key Agreement (MKA) Protocol
access-session port-control auto dot1x pae authenticator dot1x timeout quiet-period 10 dot1x timeout tx-period 5 dot1x អស់ពេល supp-timeout 10 dot1x supplicant eap profile សេចក្តីប្រកាស peap eapol spanning-tree portfast service-policy type control subscriber Dot1X
ខាងក្រោមនេះគឺដូចample លទ្ធផលនៃ show mka sessions interface-name detail command ជាមួយនឹងការប្រកាសសុវត្ថិភាពត្រូវបានបិទ។
# បង្ហាញចំណុចប្រទាក់ mka sessions GigabitEthernet 1/0/1 លម្អិត
ស្ថានភាពលម្អិតរបស់ MKA សម្រាប់វគ្គ MKA =================================== ស្ថានភាព៖ SECURED – Secured MKA Session ជាមួយ MACsec
ក្នុងស្រុក Tx-SCI…………. 204c.9e85.ede4/002b ចំណុចប្រទាក់ MAC អាសយដ្ឋាន…. 204c.9e85.ede4 MKA Port Identifier…… 43 Interface Name……….. GigabitEthernet1/0/1 Audit Session ID……… CAK Name (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 លេខសម្គាល់ (MI)… D46CBEC05D5D67594543CEAE លេខសារ ( MN)…… 89567 EAP តួនាទី…………….. NA Key Server…………… YES MKA Cipher Suite……… AES-128-CMAC
ស្ថានភាព SAK ចុងក្រោយ…….. Rx & Tx ចុងក្រោយ SAK AN………… 0 ចុងក្រោយ SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) ស្ថានភាពសាក់ចាស់………..FIRST- Sak Old Sak AN……………0 Old Sak KI (KN)………. FIRST-SAK (0)
SAK Transmit Wait Time… 0s (មិនរង់ចាំមិត្តភ័ក្តិណាមួយឆ្លើយតប) SAK Retire Time………. 0s (គ្មាន SAK ចាស់ដែលត្រូវចូលនិវត្តន៍)
ឈ្មោះគោលនយោបាយ MKA ………. p2 Key Server Priority…… 2 Delay Protection……… NO Replay Protection……..YES Replay Window Size……. 0 Confidentiality Offset… 0 Algorithm Agility…….. 80C201 Send Secure Announcement.. DISABLED SAK Cipher Suite……… 0080C20001000001 (GCM-AES-128) MACsec Capability…….. 3 (MACsec Consetiality, Integrity,
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
MACsec និង MACsec Key Agreement (MKA) Protocol
Examples: កំណត់រចនាសម្ព័ន្ធការប្រកាស MACsec Cipher
MACsec ប្រាថ្នា………..បាទ
# of MACsec Capable Live Peers………… 1 # of MACsec Capable Live Peers ឆ្លើយតប.. 1
បញ្ជីមិត្តភក្ដិបន្តផ្ទាល់៖
MI
MN
Rx-SCI (មិត្តភ័ក្តិ)
អាទិភាព KS
————————————————————————-
38046BA37D7DA77E06D006A9 89555
c800.8459.e764/002a ១
បញ្ជីមិត្តភ័ក្តិដែលមានសក្តានុពល៖
MI
MN
Rx-SCI (មិត្តភ័ក្តិ)
អាទិភាព KS
————————————————————————-
បញ្ជីឈ្មោះមិត្តភ័ក្ដិដែលនៅស្ងៀម៖
MI
MN
Rx-SCI (មិត្តភ័ក្តិ)
អាទិភាព KS
————————————————————————-
ខាងក្រោមនេះគឺដូចample លទ្ធផលនៃកម្មវិធី show mka sessions detail commands ជាមួយនឹងការប្រកាសសុវត្ថិភាពត្រូវបានបិទ។
# បង្ហាញព័ត៌មានលម្អិតនៃវគ្គ mka
ស្ថានភាពលម្អិតរបស់ MKA សម្រាប់វគ្គ MKA =================================== ស្ថានភាព៖ SECURED – Secured MKA Session ជាមួយ MACsec
ក្នុងស្រុក Tx-SCI…………. 204c.9e85.ede4/002b ចំណុចប្រទាក់ MAC អាសយដ្ឋាន…. 204c.9e85.ede4 MKA Port Identifier…… 43 Interface Name……….. GigabitEthernet1/0/1 Audit Session ID……… CAK Name (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 លេខសម្គាល់ (MI)… D46CBEC05D5D67594543CEAE លេខសារ ( MN)…… 89572 EAP តួនាទី…………….. NA Key Server…………… YES MKA Cipher Suite……… AES-128-CMAC
ស្ថានភាព SAK ចុងក្រោយ…….. Rx & Tx ចុងក្រោយ SAK AN………… 0 ចុងក្រោយ SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) ស្ថានភាពសាក់ចាស់………..FIRST- Sak Old Sak AN……………0 Old Sak KI (KN)………. FIRST-SAK (0)
SAK Transmit Wait Time… 0s (មិនរង់ចាំមិត្តភ័ក្តិណាមួយឆ្លើយតប) SAK Retire Time………. 0s (គ្មាន SAK ចាស់ដែលត្រូវចូលនិវត្តន៍)
ឈ្មោះគោលនយោបាយ MKA ………. p2 Key Server Priority…… 2 Delay Protection……… NO Replay Protection…….. បាទ/ចាស
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
Examples: កំណត់រចនាសម្ព័ន្ធការប្រកាស MACsec Cipher
MACsec និង MACsec Key Agreement (MKA) Protocol
ចាក់ឡើងវិញទំហំបង្អួច ...... 0 Confidentiality Offset… 0 Algorithm Agility…….. 80C201 Send Secure Announcement.. DISABLED SAK Cipher Suite……… 0080C20001000001 (GCM-AES-128) MACsec Capability…….. 3 (MACsec Consetredity, MACsec Integrity, MACsec) ………..បាទ
# of MACsec Capable Live Peers………… 1 # of MACsec Capable Live Peers ឆ្លើយតប.. 1
បញ្ជីមិត្តភក្ដិបន្តផ្ទាល់៖
MI
MN
Rx-SCI (មិត្តភ័ក្តិ)
អាទិភាព KS
————————————————————————-
38046BA37D7DA77E06D006A9 89560
c800.8459.e764/002a ១
បញ្ជីមិត្តភ័ក្តិដែលមានសក្តានុពល៖
MI
MN
Rx-SCI (មិត្តភ័ក្តិ)
អាទិភាព KS
————————————————————————-
បញ្ជីឈ្មោះមិត្តភ័ក្ដិដែលនៅស្ងៀម៖
MI
MN
Rx-SCI (មិត្តភ័ក្តិ)
អាទិភាព KS
————————————————————————-
ខាងក្រោមនេះគឺដូចample លទ្ធផលនៃពាក្យបញ្ជាលម្អិតនៃគោលនយោបាយ-ឈ្មោះគោលនយោបាយ mka ជាមួយនឹងការប្រកាសសុវត្ថិភាពត្រូវបានបិទ។
# បង្ហាញព័ត៌មានលម្អិតអំពីគោលនយោបាយ mka p2
ការកំណត់រចនាសម្ព័ន្ធគោលការណ៍ MKA (“p2”) ======================== ឈ្មោះគោលការណ៍ MKA…….. p2 អាទិភាពម៉ាស៊ីនមេ…. 2 អុហ្វសិតការសម្ងាត់។ 0 ផ្ញើការប្រកាសប្រកបដោយសុវត្ថិភាព..Disabled Cipher Suite(s)…….. GCM-AES-128
ចំណុចប្រទាក់ដែលបានអនុវត្ត… GigabitEthernet1/0/1
ពិធីសារ MACsec និង MACsec Key Agreement (MKA) ១
ឯកសារ/ធនធាន
 |
Cisco IE3x00 MACsec និង MACsec Key Agreement Protocol [pdf] ការណែនាំអ្នកប្រើប្រាស់ IE3x00 MACsec និង MACsec Key Agreement Protocol, IE3x00, MACsec និង MACsec Key Agreement Protocol, MACsec Key Agreement Protocol, Key Agreement Protocol, Agreement Protocol, Protocol |
