JUNIPER NETWORKS Junos OS FIPS ការណែនាំអ្នកប្រើប្រាស់ឧបករណ៍វាយតម្លៃ

ភាពសាមញ្ញនៃវិស្វកម្ម
Junos® OS
ការណែនាំអំពីការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ FIPS សម្រាប់
ឧបករណ៍ MX960, MX480, និង MX240

មាតិកា លាក់

1 JUNIPER NETWORKS Junos OS FIPS ឧបករណ៍វាយតម្លៃ

2 ជាងview

3 ការកំណត់អត្តសញ្ញាណ និងសិទ្ធិរដ្ឋបាល

4 កំណត់រចនាសម្ព័ន្ធតួនាទី និងវិធីសាស្ត្រផ្ទៀងផ្ទាត់

5 ការកំណត់រចនាសម្ព័ន្ធ SSH និងការតភ្ជាប់កុងសូល។

6 ការកំណត់រចនាសម្ព័ន្ធ MACsec

7 ការកំណត់រចនាសម្ព័ន្ធ MACsec ជាមួយ keychain សម្រាប់ស្រទាប់ទី 2 ចរាចរណ៍

8 កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍

9 ការធ្វើតេស្តដោយខ្លួនឯងនៅលើឧបករណ៍

10 ពាក្យបញ្ជាប្រតិបត្តិការ

11 ឯកសារ/ធនធាន

11.1 ឯកសារយោង

JUNIPER NETWORKS Junos OS FIPS ឧបករណ៍វាយតម្លៃ

ដោះលែង
20.3X75-D30

Juniper Networks, Inc.
1133 វិធីនៃការច្នៃប្រឌិត
Sunnyvale រដ្ឋ California 94089
សហរដ្ឋអាមេរិក
៨៦៦-៤៤៧-២១៩៤
www.juniper.net
Juniper Networks និមិត្តសញ្ញា Juniper Networks Juniper និង Junos គឺជាពាណិជ្ជសញ្ញាដែលបានចុះបញ្ជីរបស់ Juniper Networks, Inc.
នៅសហរដ្ឋអាមេរិក និងប្រទេសដទៃទៀត។ រាល់ពាណិជ្ជសញ្ញា សញ្ញាសេវាកម្ម ម៉ាកដែលបានចុះបញ្ជី ឬសញ្ញាសម្គាល់សេវាកម្មដែលបានចុះបញ្ជី គឺជាកម្មសិទ្ធិរបស់ម្ចាស់រៀងៗខ្លួន។
Juniper Networks មិនទទួលខុសត្រូវចំពោះភាពមិនត្រឹមត្រូវណាមួយនៅក្នុងឯកសារនេះទេ។ Juniper Networks រក្សាសិទ្ធិក្នុងការផ្លាស់ប្តូរ កែប្រែ ផ្ទេរ ឬកែប្រែការបោះពុម្ពនេះដោយមិនមានការជូនដំណឹងជាមុន។
ការណែនាំអំពីការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ Junos® OS FIPS សម្រាប់ឧបករណ៍ MX960, MX480 និង MX240 20.3X75-D30
រក្សាសិទ្ធិ © 2023 Juniper Networks, Inc. រក្សាសិទ្ធិគ្រប់យ៉ាង។
ព័ត៌មាននៅក្នុងឯកសារនេះគឺបច្ចុប្បន្នគិតត្រឹមកាលបរិច្ឆេទនៅលើទំព័រចំណងជើង។
សេចក្តីជូនដំណឹងឆ្នាំ 2000
ផលិតផលផ្នែករឹង និងសូហ្វវែរ Juniper Networks គឺស្របតាមឆ្នាំ 2000 ។ Junos OS មិនមានការកំណត់ទាក់ទងនឹងពេលវេលាដែលគេស្គាល់រហូតដល់ឆ្នាំ 2038។ ទោះជាយ៉ាងណាក៏ដោយ កម្មវិធី NTP ត្រូវបានគេដឹងថាមានការលំបាកខ្លះក្នុងឆ្នាំ 2036។
បញ្ចប់កិច្ចព្រមព្រៀងអាជ្ញាប័ណ្ណអ្នកប្រើប្រាស់
ផលិតផល Juniper Networks ដែលជាកម្មវត្ថុនៃឯកសារបច្ចេកទេសនេះមាន (ឬត្រូវបានបម្រុងទុកសម្រាប់ប្រើជាមួយ) កម្មវិធី Juniper Networks ។ ការប្រើប្រាស់កម្មវិធីបែបនេះគឺស្ថិតនៅក្រោមលក្ខខណ្ឌនៃកិច្ចព្រមព្រៀងអាជ្ញាប័ណ្ណអ្នកប្រើប្រាស់ចុងក្រោយ ("EULA") ដែលបានបង្ហោះនៅ https://support.juniper.net/support/eula/. តាមរយៈការទាញយក ដំឡើង ឬប្រើប្រាស់កម្មវិធីបែបនេះ អ្នកយល់ព្រមនឹងលក្ខខណ្ឌនៃ EULA នោះ។

អំពីការណែនាំនេះ
ប្រើការណែនាំនេះដើម្បីដំណើរការឧបករណ៍ MX960, MX480, និង MX240 នៅក្នុងបរិស្ថាន Federal Information Processing Standards (FIPS) 140-2 Level 1។ FIPS 140-2 កំណត់កម្រិតសុវត្ថិភាពសម្រាប់ Hardware និង Software ដែលអនុវត្តមុខងារគ្រីបគ្រីប។
ឯកសារពាក់ព័ន្ធ
លក្ខណៈវិនិច្ឆ័យទូទៅ និងវិញ្ញាបនប័ត្រ FIPS

ជាងview

ការយល់ដឹងអំពី Junos OS នៅក្នុងរបៀប FIPS
នៅក្នុងផ្នែកនេះ។

វេទិកា និងផ្នែករឹងដែលគាំទ្រ | ២
អំពីព្រំដែននៃការគ្រីបនៅលើឧបករណ៍របស់អ្នក | ៣
របៀប FIPS ខុសពីរបៀបមិនមែន FIPS | ៣
កំណែដែលមានសុពលភាពនៃ Junos OS នៅក្នុងរបៀប FIPS | ៣

ស្តង់ដារដំណើរការព័ត៌មានសហព័ន្ធ (FIPS) 140-2 កំណត់កម្រិតសុវត្ថិភាពសម្រាប់ផ្នែករឹង និងកម្មវិធីដែលអនុវត្តមុខងារគ្រីប។ រ៉ោតទ័រ Juniper Networks នេះដំណើរការប្រព័ន្ធប្រតិបត្តិការ Juniper Networks Junos (Junos OS) នៅក្នុងរបៀប FIPS អនុលោមតាមស្តង់ដារ FIPS 140-2 Level 1 ។
ដំណើរការរ៉ោតទ័រនេះនៅក្នុងបរិយាកាស FIPS 140-2 កម្រិត 1 តម្រូវឱ្យបើក និងកំណត់រចនាសម្ព័ន្ធរបៀប FIPS នៅលើឧបករណ៍ពីចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា Junos OS (CLI) ។
Crypto Officer បើកមុខងារ FIPS នៅក្នុង Junos OS ហើយដំឡើងសោ និងពាក្យសម្ងាត់សម្រាប់ប្រព័ន្ធ និងអ្នកប្រើប្រាស់ FIPS ផ្សេងទៀត។
វេទិកា និងផ្នែករឹងដែលគាំទ្រ
សម្រាប់លក្ខណៈពិសេសដែលបានពិពណ៌នានៅក្នុងឯកសារនេះ វេទិកាខាងក្រោមត្រូវបានប្រើដើម្បីបំពេញវិញ្ញាបនប័ត្រ FIPS ដែលមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់៖

ឧបករណ៍ MX960, MX480, និង MX240 ត្រូវបានដំឡើងជាមួយ RE-S-1800X4 និង LC MPC7E-10G (https://www.juniper.net/us/en/products/routers/mx-series/mx960-universal-routing-platform.html,
https://www.juniper.net/us/en/products/routers/mx-series/mx480-universal-routing-platform.html, និង
https://www.juniper.net/us/en/products/routers/mx-series/mx240-universal-routing-platform.html).
ឧបករណ៍ MX960, MX480, និង MX240 ដែលបានដំឡើងជាមួយ RE-S-X6 និង LC MPC7E-10G (https://www.juniper.net/us/en/products/routers/mx-series/mx960-universal-routing-platform.html, https://www.juniper.net/us/en/products/routers/mx-series/mx480-universal-routing-platform.html, និង
https://www.juniper.net/us/en/products/routers/mx-series/mx240-universal-routing-platform.html).

អំពីព្រំដែននៃការគ្រីបនៅលើឧបករណ៍របស់អ្នក។
ការអនុលោមតាម FIPS 140-2 ទាមទារព្រំដែនគ្រីបដែលបានកំណត់ជុំវិញម៉ូឌុលគ្រីបគ្រីបនីមួយៗនៅលើឧបករណ៍។ Junos OS នៅក្នុងរបៀប FIPS ការពារម៉ូឌុលគ្រីបពីដំណើរការកម្មវិធីណាមួយដែលមិនមែនជាផ្នែកនៃការចែកចាយដែលមានការបញ្ជាក់ FIPS ហើយអនុញ្ញាតឱ្យប្រើតែក្បួនដោះស្រាយគ្រីបដែលអនុម័តដោយ FIPS ប៉ុណ្ណោះ។ គ្មានប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ៗ (CSPs) ដូចជាពាក្យសម្ងាត់ និងសោអាចឆ្លងកាត់ព្រំដែនគ្រីបនៃម៉ូឌុលក្នុងទម្រង់ដែលមិនបានអ៊ិនគ្រីប។
ប្រយ័ត្ន៖ មុខងារ Virtual Chassis មិនត្រូវបានគាំទ្រនៅក្នុងរបៀប FIPS ទេ។ កុំកំណត់រចនាសម្ព័ន្ធតួនិម្មិតនៅក្នុងរបៀប FIPS ។

របៀប FIPS ខុសពីរបៀបមិនមែន FIPS
Junos OS នៅក្នុងរបៀប FIPS ខុសគ្នាតាមវិធីខាងក្រោមពី Junos OS នៅក្នុងរបៀបមិនមែន FIPS៖

ការធ្វើតេស្តដោយខ្លួនឯងនៃក្បួនដោះស្រាយគ្រីបទាំងអស់ត្រូវបានអនុវត្តនៅពេលចាប់ផ្តើម។
ការធ្វើតេស្តដោយខ្លួនឯងនៃចំនួនចៃដន្យ និងការបង្កើតកូនសោត្រូវបានអនុវត្តជាបន្តបន្ទាប់។
ក្បួនដោះស្រាយការគ្រីបខ្សោយដូចជាស្តង់ដារការអ៊ិនគ្រីបទិន្នន័យ (DES) និង MD5 ត្រូវបានបិទ។

ការតភ្ជាប់ការគ្រប់គ្រងខ្សោយ ឬមិនបានអ៊ិនគ្រីបមិនត្រូវកំណត់រចនាសម្ព័ន្ធទេ។
ពាក្យសម្ងាត់ត្រូវតែត្រូវបានអ៊ិនគ្រីបជាមួយនឹងក្បួនដោះស្រាយផ្លូវមួយដ៏ខ្លាំងដែលមិនអនុញ្ញាតឱ្យឌិគ្រីប។
ពាក្យសម្ងាត់អ្នកគ្រប់គ្រងត្រូវតែមានយ៉ាងហោចណាស់ 10 តួអក្សរ។

កំណែដែលមានសុពលភាពនៃ Junos OS នៅក្នុងរបៀប FIPS
ដើម្បីកំណត់ថាតើការចេញផ្សាយ Junos OS ត្រូវបានបញ្ជាក់ដោយ NIST ដែរឬទេ សូមមើលទំព័រទីប្រឹក្សាការអនុលោមតាម Juniper Networks Web គេហទំព័រ (https://apps.juniper.net/compliance/).
ឯកសារពាក់ព័ន្ធ
កំណត់អត្តសញ្ញាណការដឹកជញ្ជូនផលិតផលប្រកបដោយសុវត្ថិភាព | ៨

ការយល់ដឹងអំពីពាក្យ FIPS និងក្បួនដោះស្រាយគ្រីបតូគ្រីបដែលបានគាំទ្រ
នៅក្នុងផ្នែកនេះ។
វាក្យសព្ទ | ៤
គាំទ្រក្បួនដោះស្រាយគ្រីបតូ | ៥
ប្រើនិយមន័យនៃពាក្យ FIPS និងក្បួនដោះស្រាយដែលបានគាំទ្រ ដើម្បីជួយអ្នកឱ្យយល់ពី Junos OS នៅក្នុងរបៀប FIPS ។

វាក្យសព្ទ
ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ (CSP)
ព័ត៌មានទាក់ទងនឹងសុវត្ថិភាព - សម្រាប់ឧample, លេខកូដសម្ងាត់ និងឯកជន និងទិន្នន័យផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដូចជាពាក្យសម្ងាត់ និងលេខអត្តសញ្ញាណផ្ទាល់ខ្លួន (PIN) — ដែលការបង្ហាញ ឬការកែប្រែអាចប៉ះពាល់ដល់សុវត្ថិភាពនៃម៉ូឌុលគ្រីបគ្រីប ឬព័ត៌មានដែលវាការពារ។ សម្រាប់ព័ត៌មានលម្អិត សូមមើល “ការយល់ដឹងអំពីបរិស្ថានប្រតិបត្តិការសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS” នៅទំព័រ 16 ។
ម៉ូឌុលគ្រីប
សំណុំនៃផ្នែករឹង កម្មវិធី និងកម្មវិធីបង្កប់ដែលអនុវត្តមុខងារសុវត្ថិភាពដែលបានអនុម័ត (រួមទាំងក្បួនដោះស្រាយការគ្រីប និងការបង្កើតកូនសោ) ហើយមាននៅក្នុងព្រំដែននៃគ្រីបគ្រីប។
FIPS
ស្តង់ដារដំណើរការព័ត៌មានសហព័ន្ធ។ FIPS 140-2 បញ្ជាក់តម្រូវការសម្រាប់ម៉ូឌុលសុវត្ថិភាព និងគ្រីបគ្រីប។ Junos OS នៅក្នុងរបៀប FIPS អនុលោមតាម FIPS 140-2 កម្រិត 1។
តួនាទីថែទាំ FIPS
តួនាទីដែលមន្រ្តី Crypto សន្មត់ថាដើម្បីអនុវត្តការថែទាំរាងកាយ ឬសេវាកម្មថែទាំឡូជីខល ដូចជាការវិនិច្ឆ័យផ្នែករឹង ឬផ្នែកទន់។ សម្រាប់ការអនុលោមតាម FIPS 140-2 មន្រ្តី Crypto សូន្យម៉ាស៊ីននាំផ្លូវនៅពេលចូល និងចេញពីតួនាទីថែទាំ FIPS ដើម្បីលុបសោសម្ងាត់ និងសោឯកជនទាំងអស់ និង CSPs ដែលមិនបានការពារ។
ចំណាំ៖ តួនាទីថែទាំ FIPS មិនត្រូវបានគាំទ្រនៅលើ Junos OS នៅក្នុងរបៀប FIPS ទេ។
ខេត
តេស្តចំលើយដែលគេស្គាល់។ ការធ្វើតេស្តដោយខ្លួនឯងនៃប្រព័ន្ធដែលផ្តល់សុពលភាពនូវលទ្ធផលនៃក្បួនដោះស្រាយគ្រីបដែលបានអនុម័តសម្រាប់ FIPS និងសាកល្បងភាពសុចរិតនៃម៉ូឌុល Junos OS មួយចំនួន។ សម្រាប់ព័ត៌មានលម្អិត សូមមើល “ការស្វែងយល់ពីការធ្វើតេស្តដោយខ្លួនឯង FIPS” នៅទំព័រ 73 ។
SSH
ពិធីការដែលប្រើការផ្ទៀងផ្ទាត់ខ្លាំង និងការអ៊ិនគ្រីបសម្រាប់ការចូលប្រើពីចម្ងាយឆ្លងកាត់បណ្តាញដែលមិនមានសុវត្ថិភាព។ SSH ផ្តល់នូវការចូលពីចម្ងាយ ការប្រតិបត្តិកម្មវិធីពីចម្ងាយ file ច្បាប់ចម្លង និងមុខងារផ្សេងទៀត។ វាត្រូវបានបម្រុងទុកជាការជំនួសដោយសុវត្ថិភាពសម្រាប់ rlogin, rsh, និង rcp នៅក្នុងបរិស្ថាន UNIX ។ ដើម្បីធានាបាននូវព័ត៌មានដែលបានផ្ញើតាមការតភ្ជាប់រដ្ឋបាល សូមប្រើ SSHv2 សម្រាប់ការកំណត់រចនាសម្ព័ន្ធ CLI ។ នៅក្នុង Junos OS SSHv2 ត្រូវបានបើកតាមលំនាំដើម ហើយ SSHv1 ដែលមិនត្រូវបានចាត់ទុកថាមានសុវត្ថិភាពត្រូវបានបិទ។ សូន្យ
ការលុប CSPs ទាំងអស់ និងទិន្នន័យដែលបង្កើតដោយអ្នកប្រើប្រាស់ផ្សេងទៀតនៅលើឧបករណ៍មួយ មុនពេលប្រតិបត្តិការរបស់វាជាម៉ូឌុលគ្រីប FIPS ឬក្នុងការរៀបចំសម្រាប់ការរៀបចំឧបករណ៍ឡើងវិញសម្រាប់ប្រតិបត្តិការ nonFIPS ។
មន្រ្តី Crypto អាចសូន្យប្រព័ន្ធដោយប្រើពាក្យបញ្ជាប្រតិបត្តិការ CLI ។
គាំទ្រក្បួនដោះស្រាយគ្រីបតូ
តារាងទី 1 នៅទំព័រទី 6 សង្ខេបការគាំទ្រក្បួនដោះស្រាយពិធីការកម្រិតខ្ពស់។
តារាងទី 1៖ ពិធីការអនុញ្ញាតក្នុងរបៀប FIPS

ពិធីការ	ការផ្លាស់ប្តូរកូនសោ	ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ	ស៊ីបភឺរ	សុចរិតភាព
SSHv2	• dh-group14-sha1 • ECDH-sha2-nistp256 • ECDH-sha2-nistp384 • ECDH-sha2-nistp521	ម៉ាស៊ីន (ម៉ូឌុល)៖ • ECDSA P-256 • SSH-RSA អតិថិជន (អ្នកប្រើប្រាស់)៖ • ECDSA P-256 • ECDSA P-384 • ECDSA P-521 • SSH-RSA	• AES CTR 128 • AES CTR 192 • AES CTR 256 • AES CBC 128 • AES CBC 256	• HMAC-SHA-1 • HMAC-SHA-256 • HMAC-SHA-512

តារាងទី 2 នៅទំព័រទី 6 រាយបញ្ជីអក្សរសម្ងាត់ដែលគាំទ្រ MACsec LC ។
តារាងទី 2៖ MACsec LC Supported Ciphers
MACsec LC បានគាំទ្រ Ciphers
AES-GCM-128
AES-GCM-256
ការអនុវត្តនីមួយៗនៃក្បួនដោះស្រាយមួយត្រូវបានត្រួតពិនិត្យដោយស៊េរីនៃការធ្វើតេស្តចម្លើយដែលគេស្គាល់ (KAT) ការធ្វើតេស្តខ្លួនឯង។ ការបរាជ័យនៃការធ្វើតេស្តដោយខ្លួនឯងណាមួយ បណ្តាលឱ្យមានស្ថានភាពកំហុស FIPS ។
ការអនុវត្តល្អបំផុត៖ សម្រាប់ការអនុលោមតាម FIPS 140-2 ប្រើតែក្បួនដោះស្រាយគ្រីបដែលអនុម័តដោយ FIPS នៅក្នុង Junos OS ក្នុងរបៀប FIPS ។
ក្បួនដោះស្រាយការគ្រីបខាងក្រោមត្រូវបានគាំទ្រនៅក្នុងរបៀប FIPS ។ វិធីសាស្ត្រស៊ីមេទ្រីប្រើសោដូចគ្នាសម្រាប់ការអ៊ិនគ្រីប និងការឌិគ្រីប ខណៈពេលដែលវិធីសាស្ត្រ asymmetric ប្រើសោផ្សេងគ្នាសម្រាប់ការអ៊ិនគ្រីប និងការឌិគ្រីប។
AES
ស្តង់ដារការអ៊ិនគ្រីបកម្រិតខ្ពស់ (AES) ដែលកំណត់ក្នុង FIPS PUB 197។ ក្បួនដោះស្រាយ AES ប្រើសោនៃ 128, 192, ឬ 256 ប៊ីត ដើម្បីអ៊ិនគ្រីប និងឌិគ្រីបទិន្នន័យក្នុងប្លុក 128 ប៊ីត។
ECDH
ខ្សែកោង Elliptic Diffie-Hellman ។ វ៉ារ្យ៉ង់នៃក្បួនដោះស្រាយការផ្លាស់ប្តូរគន្លឹះ Diffie-Hellman ដែលប្រើការគ្រីបគ្រីបដោយផ្អែកលើរចនាសម្ព័ន្ធពិជគណិតនៃខ្សែកោងរាងអេលីបលើវាលកំណត់។ ECDH អនុញ្ញាតឱ្យភាគីទាំងពីរ ដែលនីមួយៗមានគូសោសាធារណៈ-ឯកជន ខ្សែកោងរាងអេលីប ដើម្បីបង្កើតការសម្ងាត់រួមគ្នាលើបណ្តាញដែលមិនមានសុវត្ថិភាព។ អាថ៌កំបាំងដែលបានចែករំលែកអាចប្រើជាសោរ ឬដើម្បីទាញយកសោមួយផ្សេងទៀតសម្រាប់ការអ៊ិនគ្រីបទំនាក់ទំនងជាបន្តបន្ទាប់ដោយប្រើលេខកូដស៊ីមេទ្រី។
ECDSA
ក្បួនដោះស្រាយហត្ថលេខាឌីជីថលខ្សែកោងរាងអេលីបទិក។ វ៉ារ្យ៉ង់នៃក្បួនដោះស្រាយហត្ថលេខាឌីជីថល (DSA) ដែលប្រើគ្រីបគ្រីបដោយផ្អែកលើរចនាសម្ព័ន្ធពិជគណិតនៃខ្សែកោងរាងអេលីបលើវាលកំណត់។ ទំហំប៊ីតនៃខ្សែកោងរាងអេលីបកំណត់ពីការលំបាកក្នុងការឌិគ្រីបសោ។ សោសាធារណៈដែលគេជឿថាត្រូវការសម្រាប់ ECDSA គឺប្រហែលពីរដងនៃកម្រិតសុវត្ថិភាព គិតជាប៊ីត។ ECDSA ដោយប្រើខ្សែកោង P-256, P-384, និង P-521 អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅក្រោម OpenSSH ។
HMAC
ត្រូវបានកំណត់ថាជា "ការបិទភ្ជាប់សោសម្រាប់ការផ្ទៀងផ្ទាត់សារ" នៅក្នុង RFC 2104, HMAC រួមបញ្ចូលគ្នានូវក្បួនដោះស្រាយ hashing ជាមួយសោគ្រីបសម្រាប់ការផ្ទៀងផ្ទាត់សារ។ សម្រាប់ Junos OS ក្នុងរបៀប FIPS HMAC ប្រើមុខងារកូដសម្ងាត់ដែលបានធ្វើម្តងទៀត SHA-1, SHA-256 និង SHA-512 រួមជាមួយនឹងសោសម្ងាត់។
SHA-256 និង SHA-512
ក្បួនដោះស្រាយ hash សុវត្ថិភាព (SHA) ដែលជាកម្មសិទ្ធិរបស់ស្តង់ដារ SHA-2 ដែលបានកំណត់ក្នុង FIPS PUB 180-2។ បង្កើតឡើងដោយ NIST, SHA-256 បង្កើតការរំលាយ hash 256 ប៊ីត ហើយ SHA-512 បង្កើត hash digest 512-bit ។
ឯកសារពាក់ព័ន្ធ
ការយល់ដឹងអំពីការធ្វើតេស្តដោយខ្លួនឯង FIPS | ១៨៥
ការយល់ដឹងពីសូន្យដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS | ២៥
ការកំណត់អត្តសញ្ញាណការដឹកជញ្ជូនផលិតផលប្រកបដោយសុវត្ថិភាព
មានយន្តការជាច្រើនដែលបានផ្តល់នៅក្នុងដំណើរការចែកចាយដើម្បីធានាថាអតិថិជនទទួលបានផលិតផលដែលមិនទាន់ត្រូវបាន tampered ជាមួយ។ អតិថិជនគួរតែធ្វើការត្រួតពិនិត្យខាងក្រោមនៅពេលទទួលបានឧបករណ៍ ដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃវេទិកា។

ស្លាកដឹកជញ្ជូន—ត្រូវប្រាកដថាស្លាកដឹកជញ្ជូនកំណត់ឈ្មោះ និងអាសយដ្ឋានរបស់អតិថិជនត្រឹមត្រូវ ព្រមទាំងឧបករណ៍ផងដែរ។

ការវេចខ្ចប់ខាងក្រៅ - ពិនិត្យមើលប្រអប់ដឹកជញ្ជូនខាងក្រៅ និងកាសែត។ ត្រូវប្រាកដថាខ្សែអាត់ដឹកជញ្ជូនមិនត្រូវបានកាត់ ឬមានការសម្របសម្រួល។ ត្រូវប្រាកដថាប្រអប់មិនត្រូវបានកាត់ ឬខូច ដើម្បីអនុញ្ញាតឱ្យចូលប្រើឧបករណ៍។
ការវេចខ្ចប់ខាងក្នុង - ពិនិត្យថង់ប្លាស្ទិក និងត្រា។ ត្រូវប្រាកដថាកាបូបមិនត្រូវបានកាត់ឬដកចេញ។ ត្រូវប្រាកដថាត្រានៅដដែល។

ប្រសិនបើអតិថិជនកំណត់បញ្ហាក្នុងអំឡុងពេលត្រួតពិនិត្យ គាត់គួរតែទាក់ទងអ្នកផ្គត់ផ្គង់ភ្លាមៗ។ ផ្តល់លេខបញ្ជាទិញ លេខតាមដាន និងការពិពណ៌នាអំពីបញ្ហាដែលបានកំណត់ទៅអ្នកផ្គត់ផ្គង់។
លើសពីនេះទៀត មានការត្រួតពិនិត្យជាច្រើនដែលអាចត្រូវបានអនុវត្តដើម្បីធានាថាអតិថិជនបានទទួលប្រអប់ផ្ញើដោយ Juniper Networks ហើយមិនមែនជាក្រុមហ៊ុនផ្សេងដែលក្លែងបន្លំជា Juniper Networks នោះទេ។ អតិថិជនគួរតែធ្វើការត្រួតពិនិត្យខាងក្រោមនៅពេលទទួលបានឧបករណ៍ ដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃឧបករណ៍៖

ផ្ទៀងផ្ទាត់ថាឧបករណ៍នេះត្រូវបានបញ្ជាទិញដោយប្រើការបញ្ជាទិញ។ ឧបករណ៍ Juniper Networks មិនត្រូវបានដឹកជញ្ជូនដោយគ្មានការបញ្ជាទិញទេ។

នៅពេលដែលឧបករណ៍ត្រូវបានដឹកជញ្ជូន ការជូនដំណឹងអំពីការដឹកជញ្ជូនត្រូវបានផ្ញើទៅកាន់អាសយដ្ឋានអ៊ីមែលដែលផ្តល់ដោយអតិថិជន នៅពេលដែលការបញ្ជាទិញត្រូវបានទទួលយក។ ផ្ទៀងផ្ទាត់ថាការជូនដំណឹងតាមអ៊ីមែលនេះត្រូវបានទទួល។ ផ្ទៀងផ្ទាត់ថាអ៊ីមែលមានព័ត៌មានខាងក្រោម៖
លេខបញ្ជាទិញ
លេខលំដាប់ Juniper Networks ប្រើដើម្បីតាមដានការដឹកជញ្ជូន
លេខតាមដានក្រុមហ៊ុនដឹកជញ្ជូន ប្រើដើម្បីតាមដានការដឹកជញ្ជូន
បញ្ជីនៃទំនិញដែលបានដឹកជញ្ជូនរួមទាំងលេខសៀរៀល
អាសយដ្ឋាន និងទំនាក់ទំនងរបស់អ្នកផ្គត់ផ្គង់ និងអតិថិជន

ផ្ទៀងផ្ទាត់ថាការដឹកជញ្ជូនត្រូវបានផ្តួចផ្តើមដោយ Juniper Networks។ ដើម្បីផ្ទៀងផ្ទាត់ថាការដឹកជញ្ជូនត្រូវបានផ្តួចផ្តើមដោយ Juniper Networks អ្នកគួរតែអនុវត្តភារកិច្ចដូចខាងក្រោមៈ
ប្រៀបធៀបលេខតាមដានក្រុមហ៊ុនដឹកជញ្ជូននៃលេខលំដាប់ Juniper Networks ដែលបានរាយក្នុងសេចក្តីជូនដំណឹងអំពីការដឹកជញ្ជូន Juniper Networks ជាមួយនឹងលេខតាមដាននៅលើកញ្ចប់ដែលបានទទួល។

ចូលទៅកាន់គេហទំព័រគាំទ្រអតិថិជនតាមអ៊ីនធឺណិត Juniper Networks នៅ https://support.juniper.net/support/ ទៅ view ស្ថានភាពនៃការបញ្ជាទិញ។ ប្រៀបធៀបលេខតាមដានក្រុមហ៊ុនដឹកជញ្ជូន ឬលេខលំដាប់ Juniper Networks ដែលបានរាយក្នុងសេចក្តីជូនដំណឹងអំពីការដឹកជញ្ជូន Juniper Networks ជាមួយនឹងលេខតាមដាននៅលើកញ្ចប់ដែលបានទទួល។

ការយល់ដឹងអំពីចំណុចប្រទាក់គ្រប់គ្រង
ចំណុចប្រទាក់គ្រប់គ្រងខាងក្រោមអាចត្រូវបានប្រើនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ៖

ចំណុចប្រទាក់គ្រប់គ្រងមូលដ្ឋាន - ច្រកកុងសូល RJ-45 នៅលើឧបករណ៍ត្រូវបានកំណត់រចនាសម្ព័ន្ធជាឧបករណ៍ស្ថានីយទិន្នន័យ RS-232 (DTE) ។ អ្នកអាចប្រើចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា (CLI) លើច្រកនេះដើម្បីកំណត់រចនាសម្ព័ន្ធឧបករណ៍ពីស្ថានីយ។
ពិធីការគ្រប់គ្រងពីចម្ងាយ-ឧបករណ៍អាចត្រូវបានគ្រប់គ្រងពីចម្ងាយលើចំណុចប្រទាក់អ៊ីសឺរណិតណាមួយ។ SSHv2 គឺជាពិធីការគ្រប់គ្រងពីចម្ងាយដែលអនុញ្ញាតតែមួយគត់ដែលអាចត្រូវបានប្រើក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ ពិធីការគ្រប់គ្រងពីចម្ងាយ J-Web ហើយ Telnet មិនមានសម្រាប់ប្រើនៅលើឧបករណ៍នោះទេ។

ការកំណត់អត្តសញ្ញាណ និងសិទ្ធិរដ្ឋបាល

ស្វែងយល់ពីច្បាប់លេខសម្ងាត់ដែលពាក់ព័ន្ធសម្រាប់អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត
អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាតត្រូវបានភ្ជាប់ជាមួយនឹងថ្នាក់ចូលដែលបានកំណត់ ហើយអ្នកគ្រប់គ្រងត្រូវបានផ្តល់ការអនុញ្ញាតទាំងអស់។ ទិន្នន័យត្រូវបានរក្សាទុកក្នុងមូលដ្ឋានសម្រាប់ការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់ថេរ។
ចំណាំ៖ កុំប្រើតួអក្សរគ្រប់គ្រងក្នុងពាក្យសម្ងាត់។
ប្រើគោលការណ៍ណែនាំ និងជម្រើសកំណត់រចនាសម្ព័ន្ធខាងក្រោមសម្រាប់ពាក្យសម្ងាត់ និងនៅពេលជ្រើសរើសពាក្យសម្ងាត់សម្រាប់គណនីអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។ ពាក្យសម្ងាត់គួរតែជា៖

ងាយស្រួលក្នុងការចងចាំ ដូច្នេះអ្នកប្រើមិនត្រូវបានល្បួងឱ្យសរសេរវាចុះ។

បានផ្លាស់ប្តូរតាមកាលកំណត់។
ឯកជន និងមិនចែករំលែកជាមួយនរណាម្នាក់។
មានយ៉ាងហោចណាស់ 10 តួអក្សរ។ ប្រវែងពាក្យសម្ងាត់អប្បបរមាគឺ 10 តួអក្សរ។
[ កែប្រែ ] administrator@host# កំណត់ពាក្យសម្ងាត់ចូលប្រព័ន្ធ ប្រវែងអប្បបរមា 10
រួមបញ្ចូលទាំងអក្សរក្រមលេខ និងសញ្ញាវណ្ណយុត្តិ ដោយផ្សំឡើងដោយការរួមបញ្ចូលគ្នានៃអក្សរធំ និងអក្សរតូច លេខ និងតួអក្សរពិសេសដូចជា “!”, “@”, “#”, “$”, “%”, “^”, “ &", "*", "(", និង ")" ។
យ៉ាងហោចណាស់គួរតែមានការផ្លាស់ប្តូរក្នុងករណីមួយ ខ្ទង់មួយ ឬច្រើន និងសញ្ញាវណ្ណយុត្តិមួយ ឬច្រើន។
មានសំណុំតួអក្សរ។ សំណុំតួអក្សរដែលមានសុពលភាពរួមមាន អក្សរធំ អក្សរតូច លេខ វណ្ណយុត្តិ និងតួអក្សរពិសេសផ្សេងទៀត។
[ កែប្រែ ] administrator@host# កំណត់ការចូលប្រព័ន្ធ ការប្តូរពាក្យសម្ងាត់ប្រភេទតួអក្សរ-សំណុំ
មានចំនួនអប្បបរមានៃសំណុំតួអក្សរ ឬការផ្លាស់ប្តូរសំណុំតួអក្សរ។ ចំនួនអប្បបរមានៃសំណុំតួអក្សរដែលត្រូវការនៅក្នុងពាក្យសម្ងាត់អត្ថបទធម្មតានៅក្នុង Junos FIPS គឺ 3 ។
[ កែប្រែ ] administrator@host# កំណត់ពាក្យសម្ងាត់ចូលប្រព័ន្ធ ការផ្លាស់ប្តូរអប្បបរមា 3
ក្បួនដោះស្រាយ hashing សម្រាប់ពាក្យសម្ងាត់របស់អ្នកប្រើអាចជា SHA256 ឬ SHA512 (SHA512 គឺជាក្បួនដោះស្រាយការបំបែកលំនាំដើម)។
[ កែប្រែ ] administrator@host# កំណត់ទម្រង់ពាក្យសម្ងាត់ចូលប្រព័ន្ធ sha512
ចំណាំ៖ ឧបករណ៍នេះគាំទ្រប្រភេទគ្រាប់ចុច ECDSA (P-256, P-384, និង P-521) និង RSA (2048, 3072, និង 4092) ។
ពាក្យសម្ងាត់ខ្សោយគឺ៖
ពាក្យដែលអាចត្រូវបានរកឃើញនៅក្នុង ឬមានជាទម្រង់ដែលបានអនុញ្ញាតនៅក្នុងប្រព័ន្ធមួយ។ file ដូចជា /etc/passwd.
ឈ្មោះម៉ាស៊ីននៃប្រព័ន្ធ (តែងតែជាការស្មានដំបូង)។
ពាក្យណាមួយដែលលេចឡើងក្នុងវចនានុក្រម។ នេះរួមបញ្ចូលទាំងវចនានុក្រមផ្សេងក្រៅពីភាសាអង់គ្លេស និងពាក្យដែលមាននៅក្នុងស្នាដៃដូចជា Shakespeare, Lewis Carroll, Roget's Thesaurus ជាដើម។ ការហាមឃាត់នេះរួមមានពាក្យ និងឃ្លាទូទៅពីកីឡា ការនិយាយ ភាពយន្ត និងកម្មវិធីទូរទស្សន៍។
ការផ្លាស់ប្តូរនៅលើណាមួយនៃខាងលើ។ សម្រាប់អតីតample ជាពាក្យវចនានុក្រមដែលមានស្រៈជំនួសដោយលេខ (សម្រាប់ឧample f00t) ឬជាមួយនឹងការបន្ថែមលេខទៅចុងបញ្ចប់។
ពាក្យសម្ងាត់ដែលបង្កើតដោយម៉ាស៊ីនណាមួយ។ ក្បួនដោះស្រាយកាត់បន្ថយទំហំស្វែងរកនៃកម្មវិធីទាយលេខសម្ងាត់ ដូច្នេះមិនគួរប្រើទេ។
ពាក្យសម្ងាត់ដែលអាចប្រើឡើងវិញបានខ្លាំងអាចផ្អែកលើអក្សរពីឃ្លា ឬពាក្យដែលចូលចិត្ត ហើយបន្ទាប់មកភ្ជាប់ជាមួយពាក្យផ្សេងទៀតដែលមិនពាក់ព័ន្ធ រួមជាមួយនឹងខ្ទង់បន្ថែម និងសញ្ញាវណ្ណយុត្តិ។

ឯកសារពាក់ព័ន្ធ
កំណត់អត្តសញ្ញាណការដឹកជញ្ជូនផលិតផលប្រកបដោយសុវត្ថិភាព | ៨

កំណត់រចនាសម្ព័ន្ធតួនាទី និងវិធីសាស្ត្រផ្ទៀងផ្ទាត់

ស្វែងយល់ពីតួនាទី និងសេវាកម្មសម្រាប់ Junos OS
នៅក្នុងផ្នែកនេះ។
តួនាទី និងការទទួលខុសត្រូវរបស់មន្រ្តីគ្រីបតូ | ១៥
តួនាទី និងទំនួលខុសត្រូវរបស់អ្នកប្រើប្រាស់ FIPS | ១៥
អ្វីដែលត្រូវបានរំពឹងទុកនៃអ្នកប្រើប្រាស់ FIPS ទាំងអស់ | ១៦
អ្នកគ្រប់គ្រងសុវត្ថិភាពត្រូវបានភ្ជាប់ជាមួយនឹងថ្នាក់ចូលសុវត្ថិភាព-admin ដែលបានកំណត់ដែលមានការអនុញ្ញាតចាំបាច់ដើម្បីអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងអនុវត្តកិច្ចការទាំងអស់ដែលចាំបាច់ដើម្បីគ្រប់គ្រង Junos OS ។ អ្នកប្រើប្រាស់ផ្នែករដ្ឋបាល (អ្នកគ្រប់គ្រងសន្តិសុខ) ត្រូវតែផ្តល់អត្តសញ្ញាណ និងទិន្នន័យផ្ទៀងផ្ទាត់តែមួយគត់ មុនពេលដែលសិទ្ធិចូលដំណើរការរដ្ឋបាលណាមួយទៅកាន់ប្រព័ន្ធត្រូវបានផ្តល់។
តួនាទី និងការទទួលខុសត្រូវរបស់អ្នកគ្រប់គ្រងសន្តិសុខ មានដូចខាងក្រោម៖

អ្នកគ្រប់គ្រងសន្តិសុខអាចគ្រប់គ្រងក្នុងស្រុក និងពីចម្ងាយ។
បង្កើត កែប្រែ លុបគណនីអ្នកគ្រប់គ្រង រួមទាំងការកំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្របរាជ័យក្នុងការផ្ទៀងផ្ទាត់។
បើកគណនីអ្នកគ្រប់គ្រងឡើងវិញ។
ទទួលខុសត្រូវចំពោះការកំណត់រចនាសម្ព័ន្ធ និងការថែរក្សាធាតុគ្រីបដែលទាក់ទងនឹងការបង្កើតការតភ្ជាប់សុវត្ថិភាពទៅ និងពីផលិតផលដែលបានវាយតម្លៃ។

ប្រព័ន្ធប្រតិបត្តិការ Juniper Networks Junos (Junos OS) ដែលដំណើរការក្នុងទម្រង់មិន FIPS អនុញ្ញាតឱ្យមានលទ្ធភាពជាច្រើនសម្រាប់អ្នកប្រើប្រាស់ ហើយការផ្ទៀងផ្ទាត់គឺផ្អែកលើអត្តសញ្ញាណ។ ផ្ទុយទៅវិញ ស្តង់ដារ FIPS 140-2 កំណត់តួនាទីអ្នកប្រើប្រាស់ពីរ៖ Crypto Officer និង FIPS user ។ តួនាទីទាំងនេះត្រូវបានកំណត់ក្នុងលក្ខខណ្ឌនៃសមត្ថភាពអ្នកប្រើប្រាស់ Junos OS ។
ប្រភេទអ្នកប្រើប្រាស់ផ្សេងទៀតទាំងអស់ដែលបានកំណត់សម្រាប់ Junos OS នៅក្នុងរបៀប FIPS (ប្រតិបត្តិករ អ្នកប្រើប្រាស់រដ្ឋបាល និងផ្សេងៗទៀត) ត្រូវតែធ្លាក់ចូលទៅក្នុងប្រភេទមួយក្នុងចំណោមពីរប្រភេទ៖ មន្ត្រីគ្រីបតូ ឬអ្នកប្រើប្រាស់ FIPS ។ សម្រាប់ហេតុផលនេះ ការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់នៅក្នុងរបៀប FIPS គឺផ្អែកលើតួនាទីជាជាងផ្អែកលើអត្តសញ្ញាណ។
Crypto Officer អនុវត្តរាល់ភារកិច្ចកំណត់រចនាសម្ព័ន្ធដែលទាក់ទងនឹងរបៀប FIPS ហើយចេញសេចក្តីថ្លែងការណ៍ និងពាក្យបញ្ជាទាំងអស់សម្រាប់ Junos OS នៅក្នុងរបៀប FIPS ។ ការកំណត់រចនាសម្ព័ន្ធអ្នកប្រើប្រាស់ Crypto និង FIPS ត្រូវតែធ្វើតាមការណែនាំសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS ។
តួនាទី និងការទទួលខុសត្រូវរបស់មន្រ្តីគ្រីបតូ
Crypto Officer គឺជាអ្នកទទួលខុសត្រូវក្នុងការបើក កំណត់រចនាសម្ព័ន្ធ ត្រួតពិនិត្យ និងថែទាំ Junos OS នៅក្នុងរបៀប FIPS នៅលើឧបករណ៍មួយ។ Crypto Officer ដំឡើង Junos OS យ៉ាងមានសុវត្ថិភាពនៅលើឧបករណ៍ បើករបៀប FIPS បង្កើតកូនសោ និងពាក្យសម្ងាត់សម្រាប់អ្នកប្រើប្រាស់ផ្សេងទៀត និងម៉ូឌុលកម្មវិធី និងចាប់ផ្តើមឧបករណ៍មុនពេលភ្ជាប់បណ្តាញ។
ការអនុវត្តន៍ដ៏ល្អបំផុត៖ យើងសូមណែនាំថា មន្រ្តីគ្រីបតូគ្រប់គ្រងប្រព័ន្ធក្នុងលក្ខណៈសុវត្ថិភាព ដោយរក្សាពាក្យសម្ងាត់ឱ្យមានសុវត្ថិភាព និងពិនិត្យមើលសវនកម្ម files.
ការអនុញ្ញាតដែលបែងចែកមន្រ្តី Crypto ពីអ្នកប្រើប្រាស់ FIPS ផ្សេងទៀតគឺជាការសម្ងាត់ សុវត្ថិភាព ការថែទាំ និងការគ្រប់គ្រង។ សម្រាប់ការអនុលោមតាម FIPS សូមចាត់តាំងមន្រ្តី Crypto ទៅថ្នាក់ចូលដែលមានការអនុញ្ញាតទាំងអស់នេះ។ អ្នកប្រើប្រាស់ដែលមានសិទ្ធិថែទាំ Junos OS អាចអានបាន។ files មានប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ (CSPs) ។
ចំណាំ៖ Junos OS នៅក្នុងរបៀប FIPS មិនគាំទ្រតួនាទីថែទាំ FIPS 140-2 ដែលខុសពីការអនុញ្ញាតថែទាំ Junos OS។
ក្នុងចំណោមកិច្ចការដែលទាក់ទងនឹង Junos OS នៅក្នុងរបៀប FIPS មន្រ្តី Crypto ត្រូវបានគេរំពឹងថានឹង៖

កំណត់ពាក្យសម្ងាត់ដើមដំបូង។ ប្រវែងនៃពាក្យសម្ងាត់គួរតែមានយ៉ាងហោចណាស់ 10 តួអក្សរ។
កំណត់ពាក្យសម្ងាត់របស់អ្នកប្រើឡើងវិញជាមួយនឹងក្បួនដោះស្រាយដែលអនុម័តដោយ FIPS ។
ពិនិត្យកំណត់ហេតុ និងសវនកម្ម files សម្រាប់ព្រឹត្តិការណ៍ដែលចាប់អារម្មណ៍។
លុបការបង្កើតដោយអ្នកប្រើ files, គ្រាប់ចុច និងទិន្នន័យដោយសូន្យឧបករណ៍។

តួនាទី និងទំនួលខុសត្រូវរបស់អ្នកប្រើប្រាស់ FIPS
អ្នកប្រើប្រាស់ FIPS ទាំងអស់ រួមទាំង Crypto Officer អាច view ការកំណត់រចនាសម្ព័ន្ធ។ មានតែអ្នកប្រើដែលបានចាត់តាំងជាមន្ត្រីគ្រីបតូប៉ុណ្ណោះអាចកែប្រែការកំណត់រចនាសម្ព័ន្ធបាន។
ការអនុញ្ញាតដែលបែងចែកមន្រ្តី Crypto ពីអ្នកប្រើប្រាស់ FIPS ផ្សេងទៀតគឺជាការសម្ងាត់ សុវត្ថិភាព ការថែទាំ និងការគ្រប់គ្រង។ សម្រាប់ការអនុលោមតាម FIPS កំណត់អ្នកប្រើប្រាស់ FIPS ទៅកាន់ថ្នាក់ដែលមិនមានការអនុញ្ញាតទាំងនេះទេ។
អ្នកប្រើ FIPS អាច view លទ្ធផលស្ថានភាព ប៉ុន្តែមិនអាចចាប់ផ្ដើមឡើងវិញ ឬបិទឧបករណ៍បានទេ។
អ្វីដែលត្រូវបានរំពឹងទុករបស់អ្នកប្រើ FIPS ទាំងអស់។
អ្នកប្រើប្រាស់ FIPS ទាំងអស់ រួមទាំង Crypto Officer ត្រូវតែគោរពតាមគោលការណ៍ណែនាំសុវត្ថិភាពគ្រប់ពេលវេលា។
អ្នកប្រើប្រាស់ FIPS ទាំងអស់ត្រូវតែ៖

រក្សាពាក្យសម្ងាត់ទាំងអស់ជាសម្ងាត់។
រក្សាទុកឧបករណ៍ និងឯកសារនៅក្នុងតំបន់សុវត្ថិភាព។
ដាក់ពង្រាយឧបករណ៍នៅក្នុងតំបន់សុវត្ថិភាព។
ពិនិត្យសវនកម្ម files តាមកាលកំណត់។
អនុលោមតាមច្បាប់សុវត្ថិភាព FIPS 140-2 ផ្សេងទៀត។
អនុវត្តតាមការណែនាំទាំងនេះ៖
• អ្នកប្រើប្រាស់ត្រូវបានជឿទុកចិត្ត។
• អ្នកប្រើប្រាស់គោរពតាមគោលការណ៍ណែនាំសុវត្ថិភាពទាំងអស់។
• អ្នកប្រើប្រាស់មិនមានចេតនាធ្វើឱ្យខូចសុវត្ថិភាពទេ។
• អ្នកប្រើប្រាស់មានអាកប្បកិរិយាទទួលខុសត្រូវគ្រប់ពេលវេលា។

ឯកសារពាក់ព័ន្ធ
ឧបករណ៍ Juniper Networks ដែលដំណើរការប្រព័ន្ធប្រតិបត្តិការ Juniper Networks Junos (Junos OS) នៅក្នុងរបៀប FIPS បង្កើតបានជាប្រភេទពិសេសនៃបរិយាកាសប្រតិបត្តិការផ្នែករឹង និងសូហ្វវែរ ដែលខុសពីបរិស្ថានរបស់ឧបករណ៍នៅក្នុងរបៀបមិនមែន FIPS៖

បរិស្ថានផ្នែករឹងសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS
Junos OS នៅក្នុងរបៀប FIPS បង្កើតព្រំដែនគ្រីបនៅក្នុងឧបករណ៍ដែលមិនមានប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ (CSPs) អាចឆ្លងកាត់ដោយប្រើអត្ថបទធម្មតា។ សមាសធាតុផ្នែករឹងនីមួយៗរបស់ឧបករណ៍ដែលទាមទារព្រំដែនគ្រីបសម្រាប់ការអនុលោមតាម FIPS 140-2 គឺជាម៉ូឌុលគ្រីបគ្រីបដាច់ដោយឡែក។ មានផ្នែករឹងពីរប្រភេទដែលមានព្រំដែនគ្រីបនៅក្នុង Junos OS នៅក្នុងរបៀប FIPS៖ មួយសម្រាប់ Routing Engine នីមួយៗ និងមួយសម្រាប់តួទាំងមូលដែលរួមបញ្ចូលកាត LC MPC7E-10G ។ សមាសធាតុនីមួយៗបង្កើតជាម៉ូឌុលគ្រីបគ្រីបដាច់ដោយឡែក។ ការទំនាក់ទំនងដែលពាក់ព័ន្ធនឹង CSPs រវាងបរិស្ថានសុវត្ថិភាពទាំងនេះត្រូវតែធ្វើឡើងដោយប្រើការអ៊ិនគ្រីប។
វិធីសាស្ត្រគ្រីបតូ មិនមែនជាការជំនួសសុវត្ថិភាពរូបវន្តទេ។ ផ្នែករឹងត្រូវតែស្ថិតនៅក្នុងបរិយាកាសសុវត្ថិភាព។ អ្នកប្រើគ្រប់ប្រភេទមិនត្រូវបង្ហាញកូនសោ ឬពាក្យសម្ងាត់ ឬអនុញ្ញាតឱ្យបុគ្គលិកគ្មានការអនុញ្ញាតឱ្យឃើញកំណត់ត្រាជាលាយលក្ខណ៍អក្សរឬកំណត់ត្រាជាលាយលក្ខណ៍អក្សរឡើយ។
បរិស្ថានកម្មវិធីសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS
ឧបករណ៍ Juniper Networks ដែលដំណើរការ Junos OS នៅក្នុងរបៀប FIPS បង្កើតបានជាប្រភេទពិសេសនៃបរិស្ថានប្រតិបត្តិការដែលមិនអាចកែប្រែបាន។ ដើម្បីសម្រេចបាននូវបរិយាកាសនេះនៅលើឧបករណ៍ ប្រព័ន្ធការពារការប្រតិបត្តិប្រព័ន្ធគោលពីរណាមួយ។ file នោះមិនមែនជាផ្នែកនៃ Junos OS ដែលបានបញ្ជាក់នៅក្នុងការចែកចាយរបៀប FIPS នោះទេ។ នៅពេលដែលឧបករណ៍ស្ថិតនៅក្នុងរបៀប FIPS វាអាចដំណើរការបានតែ Junos OS ប៉ុណ្ណោះ។
Junos OS នៅក្នុងបរិយាកាសកម្មវិធី FIPS mode ត្រូវបានបង្កើតឡើងបន្ទាប់ពី Crypto Officer បើករបៀប FIPS ដោយជោគជ័យនៅលើឧបករណ៍មួយ។ រូបភាព Junos OS ដែលរួមបញ្ចូលរបៀប FIPS មាននៅលើ Juniper Networks webគេហទំព័រ និងអាចត្រូវបានដំឡើងនៅលើឧបករណ៍ដំណើរការ។
សម្រាប់ការអនុលោមតាម FIPS 140-2 យើងសូមណែនាំឱ្យអ្នកលុបទាំងអស់ដែលបានបង្កើតដោយអ្នកប្រើប្រាស់ files និងទិន្នន័យដោយសូន្យឧបករណ៍មុនពេលបើករបៀប FIPS ។
ដំណើរការឧបករណ៍របស់អ្នកនៅ FIPS កម្រិត 1 តម្រូវឱ្យមានការប្រើប្រាស់ tamper-evident labels ដើម្បីបិទ Routing Engines ទៅក្នុងតួ។
ការបើករបៀប FIPS បិទដំណើរការ និងសេវាកម្ម Junos OS ធម្មតា។ ជាពិសេស អ្នកមិនអាចកំណត់រចនាសម្ព័ន្ធសេវាកម្មខាងក្រោមនៅក្នុង Junos OS ក្នុងរបៀប FIPS៖

ម្រាមដៃ
ftp
ចូល
តេណេត
tftp
xnm-clear-text

ការព្យាយាមកំណត់រចនាសម្ព័ន្ធសេវាកម្មទាំងនេះ ឬផ្ទុកការកំណត់រចនាសម្ព័ន្ធជាមួយនឹងសេវាកម្មទាំងនេះដែលបានកំណត់រចនាសម្ព័ន្ធ បណ្តាលឱ្យមានកំហុសវាក្យសម្ព័ន្ធនៃការកំណត់រចនាសម្ព័ន្ធ។
អ្នកអាចប្រើតែ SSH ជាសេវាចូលប្រើពីចម្ងាយ។
ពាក្យសម្ងាត់ទាំងអស់ដែលបានបង្កើតឡើងសម្រាប់អ្នកប្រើប្រាស់បន្ទាប់ពីការអាប់ដេតទៅ Junos OS នៅក្នុងរបៀប FIPS ត្រូវតែអនុលោមតាម Junos OS នៅក្នុងលក្ខណៈបច្ចេកទេស FIPS ។ ពាក្យសម្ងាត់ត្រូវតែមានប្រវែងចន្លោះពី 10 ទៅ 20 តួអក្សរ ហើយតម្រូវឱ្យប្រើយ៉ាងហោចបីនៃសំណុំតួអក្សរដែលបានកំណត់ទាំងប្រាំ (អក្សរធំ និងអក្សរតូច ខ្ទង់ សញ្ញាវណ្ណយុត្តិ និងតួអក្សរក្តារចុចដូចជា % និង & ដែលមិនរួមបញ្ចូលក្នុងអក្សរផ្សេងទៀត បួនប្រភេទ) ។
ការព្យាយាមកំណត់រចនាសម្ព័ន្ធពាក្យសម្ងាត់ដែលមិនអនុលោមតាមច្បាប់ទាំងនេះបណ្តាលឱ្យមានកំហុស។ ពាក្យសម្ងាត់ និងកូនសោទាំងអស់ដែលប្រើដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវត្រូវមានយ៉ាងហោចណាស់ 10 តួអក្សរ ហើយក្នុងករណីខ្លះប្រវែងត្រូវតែផ្គូផ្គងនឹងទំហំសង្ខេប។
ចំណាំ៖ កុំភ្ជាប់ឧបករណ៍ទៅបណ្តាញរហូតដល់មន្រ្តី Crypto បញ្ចប់ការកំណត់ពីការតភ្ជាប់កុងសូលមូលដ្ឋាន។
សម្រាប់ការអនុលោមតាមច្បាប់យ៉ាងតឹងរ៉ឹង សូមកុំពិនិត្យមើលព័ត៌មានស្នូល និងការគាំងនៅលើកុងសូលមូលដ្ឋាននៅក្នុង Junos OS នៅក្នុងរបៀប FIPS ពីព្រោះ CSP មួយចំនួនអាចត្រូវបានបង្ហាញជាអត្ថបទធម្មតា។
ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់
ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ៗ (CSPs) គឺជាព័ត៌មានដែលទាក់ទងនឹងសុវត្ថិភាព ដូចជាសោគ្រីប និងពាក្យសម្ងាត់ដែលអាចប៉ះពាល់ដល់សុវត្ថិភាពនៃម៉ូឌុលគ្រីបគ្រីប ឬសុវត្ថិភាពនៃព័ត៌មានដែលត្រូវបានការពារដោយម៉ូឌុល ប្រសិនបើពួកវាត្រូវបានបង្ហាញ ឬកែប្រែ។
Zeroization នៃប្រព័ន្ធលុបដានទាំងអស់នៃ CSPs ក្នុងការរៀបចំសម្រាប់ដំណើរការឧបករណ៍ Routing Engine ជាម៉ូឌុលគ្រីប។
តារាងទី 3 នៅលើទំព័រ 19 រាយបញ្ជី CSPs នៅលើឧបករណ៍ដែលដំណើរការ Junos OS ។
តារាងទី 3៖ ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់

CSP	ការពិពណ៌នា	សូន្យ	ប្រើ
សោម៉ាស៊ីនឯកជន SSHv2	សោ ECDSA / RSA ដែលប្រើដើម្បីកំណត់អត្តសញ្ញាណម៉ាស៊ីន បានបង្កើតជាលើកដំបូង SSH ត្រូវបានកំណត់រចនាសម្ព័ន្ធ។	សូន្យពាក្យបញ្ជា។	ប្រើដើម្បីកំណត់អត្តសញ្ញាណម្ចាស់ផ្ទះ។
សោសម័យ SSHv2	សោសម័យប្រើជាមួយ SSHv2 និងជាសោឯកជន Diffie-Hellman ។ ការអ៊ិនគ្រីប៖ AES-128, AES-192, AES-256 ។ MACs៖ HMAC-SHA-1, HMAC- SHA-2-256, HMAC-SHA2-512។ ការផ្លាស់ប្តូរគន្លឹះ៖ dh-group14-sha1, ECDH-sha2-nistp-256, ECDH-sha2- nistp-384, និង ECDH-sha2-nistp-521 ។	វដ្តថាមពល និងបិទវគ្គ។	សោស៊ីមេទ្រីបានប្រើដើម្បីអ៊ិនគ្រីបទិន្នន័យរវាងម៉ាស៊ីន និងម៉ាស៊ីនភ្ញៀវ។
សោផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់	ហាសនៃពាក្យសម្ងាត់របស់អ្នកប្រើ៖ SHA256, SHA512។	សូន្យពាក្យបញ្ជា។	ប្រើដើម្បីផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ទៅម៉ូឌុលគ្រីប។
គន្លឹះផ្ទៀងផ្ទាត់ Crypto Officer	Hash នៃពាក្យសម្ងាត់របស់ Crypto Officer៖ SHA256, SHA512។	សូន្យពាក្យបញ្ជា។	ប្រើដើម្បីផ្ទៀងផ្ទាត់ Crypto Officer ទៅម៉ូឌុលគ្រីប។
គ្រាប់ពូជ HMAC DRBG	គ្រាប់ពូជសម្រាប់កំណត់ randon bit generator (DRBG) ។	គ្រាប់ពូជមិនត្រូវបានរក្សាទុកដោយម៉ូឌុលគ្រីបទេ។	ប្រើសម្រាប់ការបណ្តុះគ្រាប់ពូជ DRBG ។
តម្លៃ HMAC DRBG V	តម្លៃ (V) នៃប្រវែងប្លុកទិន្នផល (outlen) ជាប៊ីត ដែលត្រូវបានធ្វើបច្ចុប្បន្នភាពរាល់ពេលដែលប៊ីត outlen ផ្សេងទៀតត្រូវបានផលិត។	វដ្តថាមពល។	តម្លៃសំខាន់នៃស្ថានភាពផ្ទៃក្នុងរបស់ DRBG ។

CSP	ការពិពណ៌នា	សូន្យ	ប្រើ
តម្លៃគន្លឹះ HMAC DRBG	តម្លៃបច្ចុប្បន្ននៃគ្រាប់ចុចខាងក្រៅ ដែលត្រូវបានធ្វើបច្ចុប្បន្នភាពយ៉ាងហោចណាស់ម្តងរាល់ពេលដែលយន្តការ DRBG បង្កើតប៊ីត pseudorandom ។	វដ្តថាមពល។	តម្លៃសំខាន់នៃស្ថានភាពផ្ទៃក្នុងរបស់ DRBG ។
ធាតុ NDRNG	ប្រើជាខ្សែអក្សរបញ្ចូល entropy ទៅ HMAC DRBG ។	វដ្តថាមពល។	តម្លៃសំខាន់នៃស្ថានភាពផ្ទៃក្នុងរបស់ DRBG ។

នៅក្នុង Junos OS ក្នុងរបៀប FIPS CSP ទាំងអស់ត្រូវតែបញ្ចូល និងចាកចេញពីម៉ូឌុលគ្រីបគ្រីបក្នុងទម្រង់ដែលបានអ៊ិនគ្រីប។
CSP ណាមួយដែលត្រូវបានអ៊ិនគ្រីបជាមួយនឹងក្បួនដោះស្រាយដែលមិនត្រូវបានអនុម័តត្រូវបានចាត់ទុកថាជាអត្ថបទធម្មតាដោយ FIPS ។
ការអនុវត្តល្អបំផុត៖ សម្រាប់ការអនុលោមតាម FIPS កំណត់រចនាសម្ព័ន្ធឧបករណ៍នៅលើការតភ្ជាប់ SSH ពីព្រោះពួកវាជាការតភ្ជាប់ដែលបានអ៊ិនគ្រីប។
ពាក្យសម្ងាត់ក្នុងតំបន់ត្រូវបានគេលួចប្រើជាមួយនឹងក្បួនដោះស្រាយ SHA256 ឬ SHA512។ ការសង្គ្រោះពាក្យសម្ងាត់គឺមិនអាចទៅរួចទេនៅក្នុង Junos OS នៅក្នុងរបៀប FIPS ។ Junos OS នៅក្នុងរបៀប FIPS មិនអាចចាប់ផ្ដើមចូលទៅក្នុងរបៀបអ្នកប្រើតែមួយដោយគ្មានពាក្យសម្ងាត់ root ត្រឹមត្រូវ។
ការយល់ដឹងអំពីការកំណត់ពាក្យសម្ងាត់ និងគោលការណ៍ណែនាំសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS
ពាក្យសម្ងាត់ទាំងអស់ដែលត្រូវបានបង្កើតឡើងសម្រាប់អ្នកប្រើប្រាស់ដោយ Crypto Officer ត្រូវតែអនុលោមតាម Junos OS ខាងក្រោមនៅក្នុងតម្រូវការរបៀប FIPS ។ ការព្យាយាមកំណត់រចនាសម្ព័ន្ធពាក្យសម្ងាត់ដែលមិនអនុលោមតាមលក្ខណៈជាក់លាក់ខាងក្រោមបណ្តាលឱ្យមានកំហុស។

ប្រវែង។ ពាក្យសម្ងាត់ត្រូវតែមានពី 10 ទៅ 20 តួអក្សរ។
តម្រូវការកំណត់តួអក្សរ។ ពាក្យសម្ងាត់ត្រូវតែមានយ៉ាងហោចណាស់បីនៃសំណុំតួអក្សរដែលបានកំណត់ចំនួនប្រាំខាងក្រោម៖
អក្សរធំ
អក្សរតូច
ខ្ទង់
សញ្ញាវណ្ណយុត្តិ
តួអក្សរក្ដារចុចមិនបានរួមបញ្ចូលក្នុងសំណុំបួនផ្សេងទៀតដូចជាសញ្ញាភាគរយ (%) និង ampersand (&)

តម្រូវការផ្ទៀងផ្ទាត់។ ពាក្យសម្ងាត់ និងកូនសោទាំងអស់ដែលប្រើដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវត្រូវតែមានយ៉ាងហោចណាស់ 10 តួអក្សរ ហើយក្នុងករណីខ្លះចំនួនតួអក្សរត្រូវតែផ្គូផ្គងនឹងទំហំសង្ខេប។
ការអ៊ិនគ្រីបពាក្យសម្ងាត់។ ដើម្បីផ្លាស់ប្តូរវិធីសាស្ត្រអ៊ិនគ្រីបលំនាំដើម (SHA512) រួមបញ្ចូលសេចក្តីថ្លែងការណ៍ទ្រង់ទ្រាយនៅកម្រិតឋានានុក្រម [កែសម្រួលពាក្យសម្ងាត់ចូលប្រព័ន្ធ] ។

គោលការណ៍ណែនាំសម្រាប់ពាក្យសម្ងាត់ខ្លាំង។ ពាក្យសម្ងាត់ខ្លាំង និងអាចប្រើឡើងវិញបានអាចផ្អែកលើអក្សរពីឃ្លា ឬពាក្យដែលចូលចិត្ត ហើយបន្ទាប់មកភ្ជាប់ជាមួយពាក្យដែលមិនទាក់ទងផ្សេងទៀត រួមជាមួយនឹងការបន្ថែមខ្ទង់ និងវណ្ណយុត្តិ។ ជាទូទៅ ពាក្យសម្ងាត់ខ្លាំងគឺ៖

ងាយស្រួលក្នុងការចងចាំ ដូច្នេះអ្នកប្រើមិនត្រូវបានល្បួងឱ្យសរសេរវាចុះ។
បង្កើតឡើងដោយអក្សរក្រមលេខ និងវណ្ណយុត្តិចម្រុះ។ សម្រាប់ការអនុលោមតាម FIPS រួមបញ្ចូលយ៉ាងហោចណាស់ការផ្លាស់ប្តូរករណីមួយ ឬច្រើនខ្ទង់ និងសញ្ញាវណ្ណយុត្តិមួយ ឬច្រើន។
បានផ្លាស់ប្តូរតាមកាលកំណត់។
មិនបានប្រាប់នរណាម្នាក់។
លក្ខណៈពិសេសនៃពាក្យសម្ងាត់ខ្សោយ។ កុំប្រើពាក្យសម្ងាត់ខ្សោយខាងក្រោម៖

ពាក្យដែលអាចត្រូវបានរកឃើញនៅក្នុង ឬមានជាទម្រង់ដែលបានអនុញ្ញាតនៅក្នុងប្រព័ន្ធមួយ។ files ដូចជា /etc/passwd.
ឈ្មោះម៉ាស៊ីននៃប្រព័ន្ធ (តែងតែជាការស្មានដំបូង)។
ពាក្យ ឬឃ្លាណាមួយដែលបង្ហាញក្នុងវចនានុក្រម ឬប្រភពល្បីផ្សេងទៀត រួមទាំងវចនានុក្រម និងវចនានុក្រមជាភាសាផ្សេងក្រៅពីភាសាអង់គ្លេស។ ធ្វើការដោយអ្នកនិពន្ធបុរាណ ឬពេញនិយម; ឬពាក្យទូទៅ និងឃ្លាពីកីឡា ការនិយាយ ភាពយន្ត ឬកម្មវិធីទូរទស្សន៍។
ការផ្លាស់ប្តូរនៅលើណាមួយខាងលើ - សម្រាប់ឧample ជាពាក្យវចនានុក្រមដែលមានអក្សរជំនួសដោយខ្ទង់ (r00t) ឬដោយលេខបន្ថែមទៅខាងចុង។

ពាក្យសម្ងាត់ដែលបង្កើតដោយម៉ាស៊ីនណាមួយ។ ក្បួនដោះស្រាយកាត់បន្ថយទំហំស្វែងរកនៃកម្មវិធីទាយពាក្យសម្ងាត់ ដូច្នេះមិនត្រូវប្រើទេ។

ការទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks
អ្នកអាចទាញយកកញ្ចប់កម្មវិធី Junos OS សម្រាប់ឧបករណ៍របស់អ្នកពី Juniper Networks webគេហទំព័រ។
មុនពេលអ្នកចាប់ផ្តើមទាញយកកម្មវិធី សូមប្រាកដថាអ្នកមានបណ្តាញ Juniper Web គណនី និងកិច្ចសន្យាជំនួយត្រឹមត្រូវ។ ដើម្បីទទួលបានគណនី សូមបំពេញទម្រង់ចុះឈ្មោះនៅ Juniper Networks webគេហទំព័រ៖ https://userregistration.juniper.net/.
ដើម្បីទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks៖

ការប្រើប្រាស់ ក Web កម្មវិធីរុករកតាមអ៊ីនធឺណិត ធ្វើតាមតំណដើម្បីទាញយក URL នៅលើបណ្តាញ Juniper webទំព័រ។ https://support.juniper.net/support/downloads/

ចូលទៅក្នុងប្រព័ន្ធផ្ទៀងផ្ទាត់ Juniper Networks ដោយប្រើឈ្មោះអ្នកប្រើប្រាស់ (ជាទូទៅអាសយដ្ឋានអ៊ីមែលរបស់អ្នក) និងពាក្យសម្ងាត់ដែលផ្តល់ដោយអ្នកតំណាង Juniper Networks ។
ទាញយកកម្មវិធី។ សូមមើល ការទាញយកកម្មវិធី.

ឯកសារពាក់ព័ន្ធ
ការណែនាំអំពីការដំឡើង និងដំឡើងកំណែ
ការដំឡើងកម្មវិធីនៅលើឧបករណ៍ដែលមានម៉ាស៊ីនកំណត់ផ្លូវតែមួយ
អ្នកអាចប្រើបែបបទនេះដើម្បីដំឡើងកំណែ Junos OS នៅលើឧបករណ៍ដោយប្រើ Routing Engine តែមួយ។
ដើម្បីដំឡើងការអាប់ដេតកម្មវិធីនៅលើឧបករណ៍ដែលមាន Routing Engine តែមួយ៖

ទាញយកកញ្ចប់កម្មវិធីដូចដែលបានពិពណ៌នានៅក្នុង ការទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks.

ប្រសិនបើអ្នកមិនទាន់បានធ្វើដូច្នេះទេ សូមភ្ជាប់ទៅច្រកកុងសូលនៅលើឧបករណ៍ពីឧបករណ៍គ្រប់គ្រងរបស់អ្នក ហើយចូលទៅ Junos OS CLI ។
(ជាជម្រើស) បម្រុងទុកការកំណត់រចនាសម្ព័ន្ធកម្មវិធីបច្ចុប្បន្នទៅជាជម្រើសផ្ទុកទីពីរ។ សូមមើល ការណែនាំអំពីការដំឡើង និងដំឡើងកម្មវិធី សម្រាប់ការណែនាំអំពីការអនុវត្តការងារនេះ។
(ជាជម្រើស) ចម្លងកញ្ចប់កម្មវិធីទៅឧបករណ៍។ យើងណែនាំអ្នកឱ្យប្រើ FTP ដើម្បីចម្លង file ទៅកាន់ថត /var/tmp/ ។
ជំហាននេះគឺស្រេចចិត្តព្រោះ Junos OS ក៏អាចដំឡើងកំណែបានដែរ នៅពេលដែលរូបភាពកម្មវិធីត្រូវបានរក្សាទុកនៅទីតាំងដាច់ស្រយាល។ ការណែនាំទាំងនេះពិពណ៌នាអំពីដំណើរការដំឡើងកំណែកម្មវិធីសម្រាប់សេណារីយ៉ូទាំងពីរ។

ដំឡើងកញ្ចប់ថ្មីនៅលើឧបករណ៍៖ សម្រាប់ REMX2K-X8៖ user@host> ស្នើសុំកម្មវិធី vmhost បន្ថែម
សម្រាប់ RE1800៖ user@host> ស្នើសុំកម្មវិធីប្រព័ន្ធបន្ថែម
ជំនួសកញ្ចប់ជាមួយផ្លូវមួយក្នុងចំណោមផ្លូវខាងក្រោម៖
• សម្រាប់កញ្ចប់កម្មវិធីនៅក្នុងថតមូលដ្ឋាននៅលើឧបករណ៍ សូមប្រើ /var/tmp/package.tgz ។
• សម្រាប់កញ្ចប់កម្មវិធីនៅលើម៉ាស៊ីនមេពីចម្ងាយ សូមប្រើផ្លូវមួយក្នុងចំណោមផ្លូវខាងក្រោម ដោយជំនួសកញ្ចប់ជម្រើសអថេរជាមួយនឹងឈ្មោះកញ្ចប់កម្មវិធី។
• ftp://hostname/pathname/package.tgz
• ftp://hostname/pathname/package.tgz
ចាប់ផ្ដើមឧបករណ៍ឡើងវិញដើម្បីផ្ទុកការដំឡើង៖
សម្រាប់ REMX2K-X8៖
user@host> ស្នើសុំ vmhost ចាប់ផ្ដើមឡើងវិញ
សម្រាប់ RE1800៖
user@host> ស្នើសុំការចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ
បន្ទាប់ពីការចាប់ផ្តើមឡើងវិញបានបញ្ចប់ សូមចូល ហើយប្រើពាក្យបញ្ជាបង្ហាញកំណែ ដើម្បីផ្ទៀងផ្ទាត់ថាកំណែថ្មីរបស់កម្មវិធីត្រូវបានដំឡើងដោយជោគជ័យ។
user@host> បង្ហាញកំណែ
ម៉ូដែល: mx960
Junos៖ 20.3X75-D30.1
JUNOS OS Kernel 64-bit [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS libs [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS runtime [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS [20210722.b0da34e0_builder_stable_11-204ab] JUNOS OS [20210812.200100] ព័ត៌មានអំពីតំបន់ពេលវេលារបស់ UNOS OS [203.b75da30e20210812.200100_builder_stable_203-75ab] JUNOS network stack និងឧបករណ៍ប្រើប្រាស់ [30_builder_junos_32_x20210722_d0] JUNOS libs [34_builder_junos_0_x11_d204] JUNOS OS libs compat32 [20210722_builder_junos_0_x34_d0] JUNOS OS libs compat11 [204.b. ភាពឆបគ្នា 32 ប៊ីត [20210812.200100.b203da75e30_builder_stable_20210812.200100-203ab] JUNOS libs compat75 [30_builder_junos_20210812.200100_x203_d75] JUNOS runtime [30_builder_junos_2_x20210812.200100_d203] JUNOS runtime [75_builder_junos_30_x20210812.200100_d203] JUNOS runtime [75. 30] JUNOS sflow mx [2_builder_junos_20210812.200100_x203_d75] JUNOS py extensions30 [20210812.200100_builder_junos_203_x75_d30] JUNOS py extensions [20210722_builder_junos_0_x34_d0] JUNOS py [11] py base204 [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] JUNOS py base [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] JUNOS OS crypto [XNUMXda] ve files [20210722.b0da34e0_builder_stable_11-204ab] JUNOS na telemetry [20.3X75-D30.1] JUNOS Security Intelligence [20210812.200100_builder_junos_203_x75. 30_builder_junos_32_x20210812.200100_d203] JUNOS mx runtime [75_builder_junos_30_x20210812.200100_d203] កម្មវិធី JUNOS RPD Telemetry [75X30-D20.3 .75] Redis [30.1_builder_junos_20210812.200100_x203_d75] ឧបករណ៍ប្រើប្រាស់ការស៊ើបអង្កេត JUNOS [30_builder_junos_20210812.200100_x203_d75] ការគាំទ្រវេទិកាទូទៅ JUNOS [30_builder_junos_20210812.200100_x203_d75] JUNOS ការគាំទ្រវេទិកាទូទៅ [30_20.3_75_30.1 d20210812.200100] JUNOS Openconfig [203X75-D30] ម៉ូឌុលបណ្តាញ JUNOS mtx [20210812.200100_builder_junos_203_x75_d30] ម៉ូឌុល JUNOS [20210812.200100_203x_builder_75] [30_builder_junos_20210812.200100_x203_d75] JUNOS mx libs [30_builder_junos_20210812.200100_x203_d75] JUNOS SQL Sync Daemon [30_builder_junos_20210812.200100_x203_d75] JUNOS SQL Sync Daemon [30. ] JUNOS mtx Data Plane Crypto Support [20210812.200100_builder_junos_203_x75_d30] JUNOS daemons [20210812.200100_builder_junos_203_x75_d30] JUNOS20210812.200100 mx daemons [203_builder_junos_75_x30_dXNUMX] JUNOSXNUMX mx daemons XNUMX_xXNUMX_dXNUMX] ដេមិនកំណត់អត្តសញ្ញាណកម្មវិធី JUNOS appidd-mx [XNUMX_builder_junos_XNUMX_xXNUMX_dXNUMX] សេវាកម្ម JUNOS URL កញ្ចប់តម្រង [20210812.200100_builder_junos_203_x75_d30] JUNOS Services TLB Service PIC package [20210812.200100_builder_junos_203_x75_d30] JUNOS Services20210812.200100builder203 75_d30] សេវាកម្ម JUNOS TCP-LOG [20210812.200100_builder_junos_203_x75_d30] សេវាកម្ម JUNOS SSL [20210812.200100_builder_junos_203_x75_d30] JUNOS Services SSL [20210812.200100_builder_junos_203_x75_d30] សេវាកម្ម JUNOS20210812.200100 203_x75_d30] JUNOS Services Stateful Firewall [20210812.200100_builder_junos_203_x75_d30] សេវាកម្ម JUNOS RTCOM [20210812.200100_builder_junos_203_x75_d30] សេវាកម្ម JUNOS RPM [20210812.200100] កញ្ចប់សេវាកម្ម PCEF [203_builder_junos_75_x30_d20210812.200100] JUNOS Services NAT [203_builder_junos_75_x30_dXNUMX] កញ្ចប់សេវាកម្មអតិថិជនចល័ត JUNOS Services
[20210812.200100_builder_junos_203_x75_d30] សេវាកម្ម JUNOS MobileNext កញ្ចប់កម្មវិធី [20210812.200100_builder_junos_203_x75_d30] សេវាកម្ម JUNOS កញ្ចប់របាយការណ៍កំណត់ហេតុស៊ុម [20210812.200100_203 ។ 75_builder_junos_30_x20210812.200100_d203] សេវាកម្ម JUNOS IPSec [75_builder_junos_30_x20210812.200100_d203] JUNOS Services IDS [75] JUNOS Services IDS [30 សេវាកម្ម IDP [20210812.200100_builder_junos_203_x75_d30] សេវាកម្ម JUNOS HTTP កញ្ចប់គ្រប់គ្រងមាតិកា HTTP [20210812.200100_builder_junos_203_x75_d30] សេវាកម្ម JUNOS Crypto [20210812.200100_builder_junos_203_x75_d30] JUNOS Services Crypto [20210812.200100_203 75] JUNOS Services Captive Portal និងកញ្ចប់កុងតឺន័រដឹកជញ្ជូនមាតិកា
[20210812.200100_builder_junos_203_x75_d30] សេវាកម្ម JUNOS COS [20210812.200100_builder_junos_203_x75_d30] JUNOS AppId Services [20210812.200100] JUNOS AppId Services [203] សេវាកម្មកម្មវិធីកម្រិត Gateways [75_builder_junos_30_x20210812.200100_d203] JUNOS Services AACL កញ្ចប់កុងតឺន័រ [75_builder_junos_30_x20210812.200100_d203] [JUNOS75 SD30 Software Suite20210812.200100_JUNOS_203 x75_d30] កញ្ចប់ឧបករណ៍បន្ថែម JUNOS [20210812.200100_builder_junos_203_x75_d30 ] JUNOS Packet Forwarding Engine Support (wrlinux9) [20210812.200100_builder_junos_203_x75_d30] JUNOS Packet Forwarding Engine Support (ulc) [20210812.200100_builder_junos_203_OSd75x] 30X3-D20.3] ការគាំទ្រម៉ាស៊ីនបញ្ជូនបន្តកញ្ចប់ JUNOS (X75) [ 30.1_builder_junos_2000_x20210812.200100_d203] JUNOS Packet Forwarding Engine Support FIPS [75X30-D20.3] JUNOS Packet Forwarding Engine Support (M/T Common)
[20210812.200100_builder_junos_203_x75_d30] JUNOS Packet Forwarding Engine Support (ខាងក្រោយ)

ការយល់ដឹងពីសូន្យដើម្បីសម្អាតទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS
នៅក្នុងផ្នែកនេះ។
ហេតុអ្វី Zeroize? | ២៦
ពេលណាត្រូវសូន្យ? | ២៦
Zeroization លុបទាំងស្រុងនូវព័ត៌មានកំណត់រចនាសម្ព័ន្ធទាំងអស់នៅលើ Routing Engines រួមទាំងពាក្យសម្ងាត់អត្ថបទធម្មតា អាថ៌កំបាំង និងសោឯកជនសម្រាប់ SSH ការអ៊ិនគ្រីបមូលដ្ឋាន ការផ្ទៀងផ្ទាត់មូលដ្ឋាន និង IPsec ។
Crypto Officer ផ្តួចផ្តើមដំណើរការសូន្យដោយបញ្ចូលពាក្យបញ្ជាប្រតិបត្តិការ vmhost zeroize គ្មានការបញ្ជូនបន្តសម្រាប់ REMX2K-X8 និងស្នើប្រព័ន្ធសូន្យសម្រាប់ RE1800 ។
ប្រយ័ត្ន៖ អនុវត្តការសូន្យប្រព័ន្ធដោយប្រុងប្រយ័ត្ន។ បន្ទាប់ពីដំណើរការសូន្យត្រូវបានបញ្ចប់ គ្មានទិន្នន័យណាមួយត្រូវបានទុកនៅលើ Routing Engine ទេ។ ឧបករណ៍ត្រូវបានត្រឡប់ទៅស្ថានភាពលំនាំដើមរបស់រោងចក្រ ដោយមិនមានអ្នកប្រើឬការកំណត់រចនាសម្ព័ន្ធណាមួយទេ។ files.
Zeroization អាចចំណាយពេលច្រើន។ ទោះបីជាការកំណត់រចនាសម្ព័ន្ធទាំងអស់ត្រូវបានដកចេញក្នុងរយៈពេលពីរបីវិនាទីក៏ដោយ ក៏ដំណើរការសូន្យបន្តដើម្បីសរសេរជាន់លើមេឌៀទាំងអស់ ដែលអាចចំណាយពេលច្រើនអាស្រ័យលើទំហំមេឌៀ។
ហេតុអ្វី Zeroize?
ឧបករណ៍របស់អ្នកមិនត្រូវបានចាត់ទុកថាជាម៉ូឌុលគ្រីបគ្រីប FIPS ត្រឹមត្រូវទេ រហូតទាល់តែប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ៗ (CSPs) ទាំងអស់ត្រូវបានបញ្ចូល ឬបញ្ចូលឡើងវិញ ខណៈពេលដែលឧបករណ៍ស្ថិតនៅក្នុងរបៀប FIPS ។
សម្រាប់ការអនុលោមតាម FIPS 140-2 អ្នកត្រូវតែសូន្យប្រព័ន្ធដើម្បីលុបព័ត៌មានរសើបមុននឹងបិទមុខងារ FIPS នៅលើឧបករណ៍។
ពេលណាត្រូវសូន្យ?
ក្នុងនាមជាមន្រ្តីគ្រីបតូ អនុវត្តសូន្យក្នុងស្ថានភាពដូចខាងក្រោម៖

មុននឹងបើកដំណើរការរបៀប FIPS៖ ដើម្បីរៀបចំឧបករណ៍របស់អ្នកសម្រាប់ប្រតិបត្តិការជាម៉ូឌុលគ្រីប FIPS សូមធ្វើការសូន្យមុនពេលបើករបៀប FIPS ។
មុនពេលបិទដំណើរការមុខងារ FIPS៖ ដើម្បីចាប់ផ្តើមដាក់ឧបករណ៍របស់អ្នកឡើងវិញសម្រាប់ប្រតិបត្តិការដែលមិនមែនជា FIPS សូមធ្វើការសូន្យមុនពេលបិទមុខងារ FIPS នៅលើឧបករណ៍។
ចំណាំ៖ Juniper Networks មិនគាំទ្រការដំឡើងកម្មវិធីដែលមិនមែនជា FIPS នៅក្នុងបរិស្ថាន FIPS ទេ ប៉ុន្តែការធ្វើដូច្នេះប្រហែលជាចាំបាច់នៅក្នុងបរិយាកាសសាកល្បងមួយចំនួន។ ត្រូវប្រាកដថាធ្វើសូន្យប្រព័ន្ធជាមុនសិន។

សូន្យប្រព័ន្ធ
ដើម្បីសូន្យឧបករណ៍របស់អ្នក សូមអនុវត្តតាមនីតិវិធីខាងក្រោម៖

ចូលទៅកាន់ឧបករណ៍ជា Crypto Officer ហើយពី CLI បញ្ចូលពាក្យបញ្ជាខាងក្រោម។
សម្រាប់ REMX2K-X8៖
crypto-officer@host> ស្នើសុំ vmhost zeroize គ្មានការបញ្ជូនបន្ត VMHost Zeroization៖ លុបទិន្នន័យទាំងអស់ រួមទាំងការកំណត់រចនាសម្ព័ន្ធ និងកំណត់ហេតុ fileស? [បាទ/ចាស ទេ] (ទេ) បាទ
re0:
សម្រាប់ REMX2K-X8៖
crypto-officer@host> ស្នើសុំប្រព័ន្ធសូន្យ
ប្រព័ន្ធសូន្យ៖ លុបទិន្នន័យទាំងអស់ រួមទាំងការកំណត់រចនាសម្ព័ន្ធ និងកំណត់ហេតុ fileស?
[បាទ/ចាស ទេ] (ទេ) បាទ
re0:
ដើម្បីចាប់ផ្តើមដំណើរការសូន្យ វាយ yes នៅប្រអប់បញ្ចូល៖
លុបទិន្នន័យទាំងអស់ រួមទាំងការកំណត់រចនាសម្ព័ន្ធ និងកំណត់ហេតុ fileស? [បាទ/ចាស ទេ] (ទេ) បាទ/ចាស លុបទិន្នន័យទាំងអស់ រួមទាំងការកំណត់រចនាសម្ព័ន្ធ និងកំណត់ហេតុ fileស? [បាទ/ចាស ទេ] (ទេ) បាទ
re0: ———————– ការព្រមាន៖ សូន្យ
re0 ……
ប្រតិបត្តិការទាំងមូលអាចចំណាយពេលច្រើន អាស្រ័យលើទំហំនៃមេឌៀ ប៉ុន្តែប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ៗ (CSP) ទាំងអស់ត្រូវបានដកចេញក្នុងរយៈពេលពីរបីវិនាទី។ បរិយាកាសរូបវន្តត្រូវតែរក្សាសុវត្ថិភាពរហូតដល់ដំណើរការសូន្យបានបញ្ចប់។

បើករបៀប FIPS
នៅពេលដែល Junos OS ត្រូវបានដំឡើងនៅលើឧបករណ៍ ហើយឧបករណ៍ត្រូវបានបើក វារួចរាល់ក្នុងការកំណត់។
ដំបូងឡើយ អ្នកចូលជាអ្នកប្រើជា root ដោយគ្មានពាក្យសម្ងាត់។ នៅពេលអ្នកចូលជា root ការតភ្ជាប់ SSH របស់អ្នកត្រូវបានបើកតាមលំនាំដើម។
ក្នុងនាមជាមន្ត្រី Crypto អ្នកត្រូវតែបង្កើតពាក្យសម្ងាត់ root ដែលស្របតាមតម្រូវការពាក្យសម្ងាត់ FIPS នៅក្នុង "ការយល់ដឹងអំពីការកំណត់ពាក្យសម្ងាត់ និងគោលការណ៍ណែនាំសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS" នៅលើទំព័រ 20។ នៅពេលអ្នកបើករបៀប FIPS នៅក្នុង Junos OS នៅលើឧបករណ៍ អ្នកមិនអាចកំណត់រចនាសម្ព័ន្ធពាក្យសម្ងាត់បានទេ។ លុះត្រាតែពួកគេបំពេញតាមស្តង់ដារនេះ។
ពាក្យសម្ងាត់ក្នុងតំបន់ត្រូវបានអ៊ិនគ្រីបជាមួយនឹងក្បួនដោះស្រាយសញ្ញាសុវត្ថិភាព SHA256 ឬ SHA512។ ការសង្គ្រោះពាក្យសម្ងាត់គឺមិនអាចទៅរួចទេនៅក្នុង Junos OS នៅក្នុងរបៀប FIPS ។ Junos OS នៅក្នុងរបៀប FIPS មិនអាចចាប់ផ្ដើមចូលទៅក្នុងរបៀបអ្នកប្រើតែមួយដោយគ្មានពាក្យសម្ងាត់ root ត្រឹមត្រូវ។
ដើម្បីបើករបៀប FIPS នៅក្នុង Junos OS នៅលើឧបករណ៍៖

ដាក់សូន្យឧបករណ៍ដើម្បីលុប CSPs ទាំងអស់មុនពេលចូលទៅក្នុងរបៀប FIPS ។ សូមមើល “ការស្វែងយល់ពីសូន្យដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS” នៅទំព័រទី 25 សម្រាប់ព័ត៌មានលម្អិត។
បន្ទាប់ពីឧបករណ៍មកនៅក្នុង 'Amnesiac mode' សូមចូលដោយប្រើឈ្មោះអ្នកប្រើប្រាស់ root និងពាក្យសម្ងាត់ “” (ទទេ)។
FreeBSD/amd64 (Amnesiac) (ttyu0) ចូល៖ root
— JUNOS 20.3X75-D30.1 Kernel 64-bit JNPR-11.0-20190701.269d466_buil root@:~ # cli root>

កំណត់រចនាសម្ព័ន្ធការផ្ទៀងផ្ទាត់ឫសគល់ដោយប្រើពាក្យសម្ងាត់យ៉ាងហោចណាស់ 10 តួអក្សរ ឬច្រើនជាងនេះ។
root> កែសម្រួល បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធ [កែប្រែ] root# set system root-authentication plain-text-password
ពាក្យសម្ងាត់ថ្មី៖
វាយពាក្យសម្ងាត់ថ្មីឡើងវិញ៖ [កែប្រែ] root# commit commit បានបញ្ចប់
ផ្ទុកការកំណត់រចនាសម្ព័ន្ធនៅលើឧបករណ៍ ហើយអនុវត្តការកំណត់រចនាសម្ព័ន្ធថ្មី។ កំណត់រចនាសម្ព័ន្ធ crypto-officer និងចូលដោយប្រើព័ត៌មានសម្ងាត់ crypto-officer ។
ដំឡើងកញ្ចប់ fips-mode ដែលត្រូវការសម្រាប់ Routing Engine KATS ។
root@hostname> ស្នើសុំកម្មវិធីប្រព័ន្ធបន្ថែមស្រេចចិត្ត // fips-mode.tgz
របៀប fips ដែលបានផ្ទៀងផ្ទាត់ចុះហត្ថលេខាដោយវិធីសាស្ត្រ PackageDevelopmentEc_2017 ECDSA256+SHA256

សម្រាប់ឧបករណ៍ MX Series
• កំណត់រចនាសម្ព័ន្ធ fips ព្រំដែនរបស់តួដោយកំណត់ set system fips chassis កម្រិត 1 និង commit ។
• កំណត់រចនាសម្ព័ន្ធ RE boundary fips ដោយកំណត់ប្រព័ន្ធ set fips កម្រិត 1 និង commit ។
ឧបករណ៍អាចបង្ហាញពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីបត្រូវតែកំណត់រចនាសម្ព័ន្ធឡើងវិញដើម្បីប្រើការព្រមានសញ្ញាដែលអនុលោមតាម FIPS ដើម្បីលុប CSPs ចាស់នៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានផ្ទុក។
បន្ទាប់ពីការលុប និងកំណត់រចនាសម្ព័ន្ធ CSPs ឡើងវិញ ការប្តេជ្ញាចិត្តនឹងដំណើរការ ហើយឧបករណ៍ត្រូវការចាប់ផ្ដើមឡើងវិញដើម្បីចូលទៅក្នុងរបៀប FIPS ។ [កែប្រែ] crypto-officer@hostname# ប្តេជ្ញា
ការបង្កើតកូនសោ RSA /etc/ssh/fips_ssh_host_key
ការបង្កើតកូនសោ RSA2 /etc/ssh/fips_ssh_host_rsa_key
កំពុងបង្កើត ECDSA key /etc/ssh/fips_ssh_host_ecdsa_key
[កែប្រែ] ប្រព័ន្ធ
ការចាប់ផ្តើមឡើងវិញគឺត្រូវបានទាមទារដើម្បីផ្លាស់ប្តូរទៅ FIPS កម្រិត 1 ប្តេជ្ញាបញ្ចប់ [កែប្រែ] crypto-officer@hostname# ដំណើរការសំណើ vmhost reboot
បន្ទាប់ពីចាប់ផ្តើមឧបករណ៍ឡើងវិញ ការធ្វើតេស្តដោយខ្លួនឯង FIPS នឹងដំណើរការ ហើយឧបករណ៍ចូលទៅក្នុងរបៀប FIPS ។ crypto-officer@hostname: fips>

ឯកសារពាក់ព័ន្ធ
ការយល់ដឹងអំពីការកំណត់ពាក្យសម្ងាត់ និងគោលការណ៍ណែនាំសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS | ២០
ការកំណត់រចនាសម្ព័ន្ធ Crypto Officer និង FIPS User Identification និងការចូលប្រើ
នៅក្នុងផ្នែកនេះ។
ការកំណត់រចនាសម្ព័ន្ធ Crypto Officer Access | ៣០
កំណត់រចនាសម្ព័ន្ធការចូលប្រើរបស់អ្នកប្រើ FIPS | ៣២
Crypto Officer បើកមុខងារ FIPS នៅលើឧបករណ៍របស់អ្នក ហើយអនុវត្តរាល់ភារកិច្ចកំណត់រចនាសម្ព័ន្ធសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS ហើយចេញ Junos OS ទាំងអស់នៅក្នុងសេចក្តីថ្លែងការណ៍ និងពាក្យបញ្ជារបៀប FIPS ។ Crypto Officer និងការកំណត់រចនាសម្ព័ន្ធអ្នកប្រើប្រាស់ FIPS ត្រូវតែធ្វើតាម Junos OS នៅក្នុងគោលការណ៍ណែនាំរបៀប FIPS ។
កំណត់រចនាសម្ព័ន្ធការចូលប្រើ Crypto Officer
Junos OS នៅក្នុងរបៀប FIPS ផ្តល់នូវភាពលម្អិតនៃការអនុញ្ញាតរបស់អ្នកប្រើប្រាស់ជាងការអនុញ្ញាតដោយ FIPS 140-2 ។
សម្រាប់ការអនុលោមតាម FIPS 140-2 អ្នកប្រើប្រាស់ FIPS ណាមួយដែលមានសំណុំប៊ីតអនុញ្ញាតសម្ងាត់ សុវត្ថិភាព ការថែទាំ និងការគ្រប់គ្រង គឺជាមន្ត្រីគ្រីបតូ។ ក្នុងករណីភាគច្រើន ថ្នាក់អ្នកប្រើប្រាស់ជាន់ខ្ពស់គឺគ្រប់គ្រាន់សម្រាប់មន្រ្តីគ្រីបតូ។
ដើម្បីកំណត់រចនាសម្ព័ន្ធការចូលប្រើសម្រាប់ Crypto Officer៖

ចូលឧបករណ៍ដោយប្រើពាក្យសម្ងាត់ root ប្រសិនបើអ្នកមិនទាន់បានធ្វើដូច្នេះទេ ហើយបញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធ៖ root@hostname> កែសម្រួល បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធ [កែសម្រួល] root@hostname#
ដាក់ឈ្មោះអ្នកប្រើប្រាស់ crypto-officer ហើយចាត់ឱ្យ Crypto Officer នូវលេខសម្គាល់អ្នកប្រើប្រាស់ (ឧទាហរណ៍ample, 6400 ដែលត្រូវតែជាលេខតែមួយគត់ដែលទាក់ទងនឹងគណនីចូលក្នុងចន្លោះពី 100 ដល់ 64000) និងថ្នាក់មួយ (សម្រាប់អតីតample, super-user) ។ ពេលអ្នកចាត់ថ្នាក់ អ្នកផ្ដល់ការអនុញ្ញាត—សម្រាប់ឧample, សម្ងាត់, សន្តិសុខ, ការថែទាំ, និងការគ្រប់គ្រង។
សម្រាប់បញ្ជីនៃការអនុញ្ញាត សូមមើល ការយល់ដឹងអំពីកម្រិតសិទ្ធិចូលប្រើ Junos OS ។
[កែប្រែ] root@hostname# កំណត់ការចូលប្រព័ន្ធ ឈ្មោះអ្នកប្រើប្រាស់ uid តម្លៃថ្នាក់ class-name
សម្រាប់អតីតampលេ៖
[កែប្រែ] root@hostname# កំណត់ការចូលប្រព័ន្ធអ្នកប្រើប្រាស់ crypto-officer uid 6400 class super-user

ដោយធ្វើតាមការណែនាំនៅក្នុង "ការយល់ដឹងអំពីការកំណត់ពាក្យសម្ងាត់ និងគោលការណ៍ណែនាំសម្រាប់ Junos OS ក្នុងរបៀប FIPS" នៅទំព័រ 20 សូមចាត់ឱ្យមន្ត្រីគ្រីបតូនូវពាក្យសម្ងាត់អត្ថបទធម្មតាសម្រាប់ការផ្ទៀងផ្ទាត់ការចូល។ កំណត់ពាក្យសម្ងាត់ដោយវាយបញ្ចូលពាក្យសម្ងាត់បន្ទាប់ពីប្រអប់បញ្ចូលពាក្យសម្ងាត់ថ្មី និងវាយពាក្យសម្ងាត់ថ្មី។
[កែប្រែ] root@hostname# កំណត់ការចូលប្រព័ន្ធ username class class-name authentication (plain-testpassword |
ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប)
សម្រាប់អតីតampលេ៖
[កែប្រែ] root@hostname# កំណត់ការចូលប្រព័ន្ធអ្នកប្រើប្រាស់ crypto-officer class super-user authentication plaintext-password
ជាជម្រើស បង្ហាញការកំណត់រចនាសម្ព័ន្ធ៖
[កែប្រែ] root@hostname# ប្រព័ន្ធកែសម្រួល
[កែសម្រួលប្រព័ន្ធ] root@hostname# បង្ហាញ
ចូល {
អ្នកប្រើប្រាស់ crypto-offer {
uid 6400;
ការផ្ទៀងផ្ទាត់ {
ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប " ”; ## ទិន្នន័យសម្ងាត់
}
ថ្នាក់អ្នកប្រើជាន់ខ្ពស់;
}
}
ប្រសិនបើអ្នកបានបញ្ចប់ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ សូមអនុវត្តការកំណត់រចនាសម្ព័ន្ធ ហើយចាកចេញ៖
[កែប្រែ] root@hostname# commit commit បានបញ្ចប់
root@hostname# ចេញ

កំណត់រចនាសម្ព័ន្ធការចូលប្រើរបស់អ្នកប្រើ FIPS
អ្នកប្រើប្រាស់ fips ត្រូវបានកំណត់ថាជាអ្នកប្រើប្រាស់ FIPS ណាមួយដែលមិនមានការសម្ងាត់ សុវត្ថិភាព ការថែទាំ និងការគ្រប់គ្រងប៊ីតអនុញ្ញាត។
ក្នុងនាមជាមន្រ្តី Crypto អ្នកបង្កើតអ្នកប្រើប្រាស់ FIPS ។ អ្នកប្រើប្រាស់ FIPS មិនអាចត្រូវបានផ្តល់ការអនុញ្ញាតជាធម្មតាត្រូវបានបម្រុងទុកសម្រាប់ Crypto Officer - ឧទាហរណ៍ample, ការអនុញ្ញាតឱ្យសូន្យប្រព័ន្ធ។
ដើម្បីកំណត់រចនាសម្ព័ន្ធការចូលប្រើសម្រាប់អ្នកប្រើប្រាស់ FIPS៖

ចូលទៅឧបករណ៍ដោយប្រើពាក្យសម្ងាត់ Crypto Officer របស់អ្នក ប្រសិនបើអ្នកមិនទាន់បានធ្វើដូច្នេះទេ ហើយបញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធ៖
crypto-officer@hostname:fips> កែសម្រួល
ចូលរបៀបកំណត់រចនាសម្ព័ន្ធ
[កែប្រែ] crypto-officer@hostname:fips#
ផ្តល់ឱ្យអ្នកប្រើប្រាស់ ឈ្មោះអ្នកប្រើប្រាស់ និងកំណត់ឱ្យអ្នកប្រើប្រាស់នូវលេខសម្គាល់អ្នកប្រើប្រាស់ (សម្រាប់ឧample, 6401 ដែលត្រូវតែជាលេខតែមួយគត់ក្នុងចន្លោះពី 1 ដល់ 64000) និងថ្នាក់មួយ។ ពេលអ្នកចាត់ថ្នាក់ អ្នកផ្ដល់ការអនុញ្ញាត—សម្រាប់ឧample, ជម្រះ, បណ្តាញ, កំណត់ឡើងវិញview, និង view-ការកំណត់រចនាសម្ព័ន្ធ។
[កែប្រែ] crypto-officer@hostname:fips# set system login username uid value class-name for exampលេ៖
[កែប្រែ] crypto-officer@hostname:fips# set system login user fips-user1 uid 6401 class read-only

ដោយធ្វើតាមការណែនាំនៅក្នុង “ការយល់ដឹងអំពីការកំណត់ពាក្យសម្ងាត់ និងគោលការណ៍ណែនាំសម្រាប់ Junos OS in
របៀប FIPS” នៅទំព័រទី 20 កំណត់ពាក្យសម្ងាត់អត្ថបទធម្មតាដល់អ្នកប្រើប្រាស់ FIPS សម្រាប់ការផ្ទៀងផ្ទាត់ការចូល។ កំណត់ពាក្យសម្ងាត់ដោយវាយបញ្ចូលពាក្យសម្ងាត់បន្ទាប់ពីប្រអប់បញ្ចូលពាក្យសម្ងាត់ថ្មី និងវាយពាក្យសម្ងាត់ថ្មី។
[កែប្រែ] crypto-officer@hostname:fips# កំណត់ប្រព័ន្ធចូលឈ្មោះអ្នកប្រើប្រាស់ ថ្នាក់ឈ្មោះថ្នាក់-ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ (ធម្មតា-អត្ថបទ-ពាក្យសម្ងាត់ | ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប)
សម្រាប់អតីតampលេ៖
[កែប្រែ] crypto-officer@hostname:fips# set system login user fips-user1 class ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបានតែអានប៉ុណ្ណោះ plain-text-password
ជាជម្រើស បង្ហាញការកំណត់រចនាសម្ព័ន្ធ៖
[កែប្រែ] crypto-officer@hostname:fips# ប្រព័ន្ធកែសម្រួល [កែសម្រួលប្រព័ន្ធ] crypto-officer@hostname:fips# បង្ហាញ
ចូល {
អ្នកប្រើប្រាស់ fips-user1 {
uid 6401;
ការផ្ទៀងផ្ទាត់ {
ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប " ”; ## ទិន្នន័យសម្ងាត់
}
បានតែអានថ្នាក់;
}
}
ប្រសិនបើអ្នកបានបញ្ចប់ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ សូមអនុវត្តការកំណត់រចនាសម្ព័ន្ធ ហើយចាកចេញ៖
[កែប្រែ] crypto-officer@hostname:fips# commit
crypto-officer@hostname:fips# ចេញ

ការកំណត់រចនាសម្ព័ន្ធ SSH និងការតភ្ជាប់កុងសូល។

ការកំណត់រចនាសម្ព័ន្ធ SSH នៅលើការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃសម្រាប់ FIPS
SSH តាមរយៈចំណុចប្រទាក់គ្រប់គ្រងពីចម្ងាយត្រូវបានអនុញ្ញាតនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ ប្រធានបទនេះពិពណ៌នាអំពីរបៀបកំណត់រចនាសម្ព័ន្ធ SSH តាមរយៈការគ្រប់គ្រងពីចម្ងាយ។
ក្បួនដោះស្រាយខាងក្រោមដែលចាំបាច់ត្រូវកំណត់រចនាសម្ព័ន្ធដើម្បីឱ្យមានសុពលភាព SSH សម្រាប់ FIPS ។
ដើម្បីកំណត់រចនាសម្ព័ន្ធ SSH នៅលើ DUT៖

បញ្ជាក់ក្បួនដោះស្រាយសោម៉ាស៊ីន SSH ដែលអនុញ្ញាតសម្រាប់សេវាកម្មប្រព័ន្ធ។
[កែប្រែ] user@host# កំណត់សេវាប្រព័ន្ធ ssh hostkey-algorithm ssh-ecdsa
user@host# កំណត់សេវាកម្មប្រព័ន្ធ ssh hostkey-algorithm no-ssh-dss
user@host# កំណត់សេវាប្រព័ន្ធ ssh hostkey-algorithm ssh-rsa
បញ្ជាក់ការផ្លាស់ប្តូរសោ SSH សម្រាប់កូនសោ Diffie-Hellman សម្រាប់សេវាកម្មប្រព័ន្ធ។
[កែប្រែ] user@host# កំណត់សេវាប្រព័ន្ធ ssh key-exchange dh-group14-sha1
user@host# កំណត់សេវាប្រព័ន្ធ ssh key-exchange ecdh-sha2-nistp256
user@host# កំណត់សេវាប្រព័ន្ធ ssh key-exchange ecdh-sha2-nistp384
user@host# កំណត់សេវាប្រព័ន្ធ ssh key-exchange ecdh-sha2-nistp521

បញ្ជាក់ក្បួនដោះស្រាយកូដផ្ទៀងផ្ទាត់សារដែលអាចអនុញ្ញាតបានទាំងអស់សម្រាប់ SSHv2
[កែប្រែ] user@host# កំណត់សេវាប្រព័ន្ធ ssh macs hmac-sha1
user@host# កំណត់សេវាប្រព័ន្ធ ssh macs hmac-sha2-256
user@host# កំណត់សេវាប្រព័ន្ធ ssh macs hmac-sha2-512
បញ្ជាក់លេខកូដសម្ងាត់ដែលបានអនុញ្ញាតសម្រាប់ពិធីការកំណែ 2 ។
[កែប្រែ] user@host# កំណត់សេវាប្រព័ន្ធ ssh ciphers aes128-cbc
user@host# កំណត់សេវាប្រព័ន្ធ ssh ciphers aes256-cbc
user@host# កំណត់សេវាប្រព័ន្ធ ssh ciphers aes128-ctr
user@host# កំណត់សេវាប្រព័ន្ធ ssh ciphers aes256-ctr
user@host# កំណត់សេវាប្រព័ន្ធ ssh ciphers aes192-cbc
user@host# កំណត់សេវាប្រព័ន្ធ ssh ciphers aes192-ctr
ក្បួនដោះស្រាយ SSH hostkey ដែលគាំទ្រ៖
ssh-ecdsa អនុញ្ញាតឱ្យបង្កើតកូនសោម៉ាស៊ីន ECDSA
ssh-rsa អនុញ្ញាតឱ្យបង្កើតកូនសោម៉ាស៊ីន RSA
ក្បួនដោះស្រាយការផ្លាស់ប្តូរសោ SSH ដែលគាំទ្រ៖
ecdh-sha2-nistp256 EC Diffie-Hellman នៅលើ nistp256 ជាមួយ SHA2-256
ecdh-sha2-nistp384 EC Diffie-Hellman នៅលើ nistp384 ជាមួយ SHA2-384
ecdh-sha2-nistp521 EC Diffie-Hellman នៅលើ nistp521 ជាមួយ SHA2-512
ក្បួនដោះស្រាយ MAC ដែលគាំទ្រ៖
hmac-sha1 MAC ដែលមានមូលដ្ឋានលើ Hash ដោយប្រើ Secure Hash Algorithm (SHA1)
hmac-sha2-256 MAC ដែលមានមូលដ្ឋានលើ Hash ដោយប្រើ Secure Hash Algorithm (SHA2)
hmac-sha2-512 MAC ដែលមានមូលដ្ឋានលើ Hash ដោយប្រើ Secure Hash Algorithm (SHA2)
ក្បួនដោះស្រាយការសរសេរកូដ SSH ដែលគាំទ្រ៖
aes128-cbc 128-bit AES ជាមួយ Cipher Block Chaning
aes128-ctr 128-bit AES ជាមួយ Counter Mode
aes192-cbc 192-bit AES ជាមួយ Cipher Block Chaning
aes192-ctr 192-bit AES ជាមួយ Counter Mode
aes256-cbc 256-bit AES ជាមួយ Cipher Block Chaning
aes256-ctr 256-bit AES ជាមួយ Counter Mode

ការកំណត់រចនាសម្ព័ន្ធ MACsec

ការយល់ដឹងអំពីសុវត្ថិភាពការគ្រប់គ្រងការចូលប្រើប្រព័ន្ធផ្សព្វផ្សាយ (MACsec) នៅក្នុងរបៀប FIPS
Media Access Control Security (MACsec) គឺជាបច្ចេកវិទ្យាសុវត្ថិភាពស្តង់ដារឧស្សាហកម្ម 802.1AE IEEE ដែលផ្តល់ការទំនាក់ទំនងប្រកបដោយសុវត្ថិភាពសម្រាប់ចរាចរណ៍ទាំងអស់នៅលើតំណភ្ជាប់អ៊ីសឺរណិត។ MACsec ផ្តល់នូវសុវត្ថិភាពពីចំណុចមួយទៅចំណុចនៅលើតំណភ្ជាប់អ៊ីសឺរណិតរវាងថ្នាំងដែលភ្ជាប់ដោយផ្ទាល់ ហើយមានសមត្ថភាពកំណត់អត្តសញ្ញាណ និងការពារការគំរាមកំហែងផ្នែកសុវត្ថិភាពភាគច្រើន រួមទាំងការបដិសេធសេវាកម្ម ការឈ្លានពាន ការប្រើមនុស្សនៅកណ្តាល ការក្លែងបន្លំ ការភ្ជាប់ខ្សែអកម្ម និងការវាយប្រហារដោយការចាក់សារថ្មី។
MACsec អនុញ្ញាតឱ្យអ្នកធានាបាននូវចំណុចដើម្បីចង្អុលតំណអ៊ីសឺរណិតសម្រាប់ចរាចរណ៍ស្ទើរតែទាំងអស់ រួមទាំងស៊ុមពី Link Layer Discovery Protocol (LLDP), Link Aggregation Control Protocol (LACP), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP), និងពិធីការផ្សេងទៀតដែលជាធម្មតាមិនត្រូវបានធានាសុវត្ថិភាពនៅលើតំណអ៊ីសឺរណិតដោយសារតែដែនកំណត់ជាមួយនឹងដំណោះស្រាយសុវត្ថិភាពផ្សេងទៀត។ MACsec អាចត្រូវបានប្រើរួមជាមួយនឹងពិធីការសុវត្ថិភាពផ្សេងទៀតដូចជា IP Security (IPsec) និង Secure Sockets Layer (SSL) ដើម្បីផ្តល់សុវត្ថិភាពបណ្តាញពីចុងដល់ចុង។
MACsec ត្រូវបានធ្វើឱ្យមានស្តង់ដារនៅក្នុង IEEE 802.1AE ។ ស្តង់ដារ IEEE 802.1AE អាចមើលឃើញនៅលើអង្គការ IEEE webគេហទំព័រ IEEE 802.1៖ ស្ពាន និងការគ្រប់គ្រង.
ការអនុវត្តនីមួយៗនៃក្បួនដោះស្រាយមួយត្រូវបានត្រួតពិនិត្យដោយស៊េរីនៃការធ្វើតេស្តចម្លើយដែលគេស្គាល់ (KAT) ការធ្វើតេស្តដោយខ្លួនឯង និងសុពលភាពនៃក្បួនដោះស្រាយគ្រីបតូ (CAV)។ ក្បួនដោះស្រាយគ្រីបខាងក្រោមត្រូវបានបន្ថែមជាពិសេសសម្រាប់ MACsec ។

ស្តង់ដារការអ៊ិនគ្រីបកម្រិតខ្ពស់ (AES)-Cipher Message Authentication Code (CMAC)
ស្ដង់ដារការអ៊ិនគ្រីបកម្រិតខ្ពស់ (AES) ការរុំសោ
សម្រាប់ MACsec ក្នុងរបៀបកំណត់ ប្រើពាក្យបញ្ជាប្រអប់បញ្ចូល ដើម្បីបញ្ចូលតម្លៃសោសម្ងាត់នៃ 64 តួអក្សរគោលដប់ប្រាំមួយសម្រាប់ការផ្ទៀងផ្ទាត់។
[កែប្រែ] crypto-officer@hostname:fips# prompt security macsec connectivity-association pre-shared-key cak
កាកថ្មី (សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត (សម្ងាត់)៖

ការកំណត់ពេលវេលា
ដើម្បីប្ដូរពេលវេលាតាមបំណង សូមបិទ NTP ហើយកំណត់កាលបរិច្ឆេទ។

បិទ NTP ។
[កែប្រែ] crypto-officer@hostname:fips# deactivate group global system ntp
crypto-officer@hostname:fips# អសកម្មប្រព័ន្ធ ntp
crypto-officer@hostname:fips# ប្តេជ្ញា
crypto-officer@hostname:fips# ចេញ

ការកំណត់កាលបរិច្ឆេទនិងពេលវេលា។ ទម្រង់កាលបរិច្ឆេទ និងពេលវេលាគឺ YYYYMMDDHHMM.ss
[កែប្រែ] crypto-officer@hostname:fips# set date 201803202034.00
crypto-officer@hostname:fips# កំណត់ពេលវេលាចុងក្រោយamp
កំណត់ព័ត៌មានលម្អិតអំពីប៉ុស្តិ៍សុវត្ថិភាព MACsec (MCA) ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association connectivity association-name secure-channel secure-channel-name direction (inbound | outbound) crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation -name secure-channel secure-channel-name encryption (MACsec) crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name secure-channel secure-channel-name id mac-address /”mac-address crypto- officer@hostname:fips# កំណត់សុវត្ថិភាព macsec connectivity-association connectivityassociation-name secure-channel secure-channel-name id port-id port-id-number crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name secure -channel secure-channel-name offset “(0|30|50) crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name secure-channel secure-channel-name security-association security-associationnumber key key- ខ្សែអក្សរ
កំណត់ MKA ទៅជារបៀបសុវត្ថិភាព។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association connectivityassociation-name security-mode security-mode

កំណត់ការភ្ជាប់ទំនាក់ទំនងដែលបានកំណត់រចនាសម្ព័ន្ធជាមួយនឹងចំណុចប្រទាក់ MACsec ដែលបានបញ្ជាក់។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivityassociation connectivity-association-name

កំណត់រចនាសម្ព័ន្ធ MACsec ឋិតិវន្តជាមួយ ICMP Traffic
ដើម្បីកំណត់រចនាសម្ព័ន្ធ MACsec ឋិតិវន្តដោយប្រើចរាចរណ៍ ICMP រវាងឧបករណ៍ R0 និងឧបករណ៍ R1៖
ក្នុង R0៖

បង្កើតកូនសោដែលបានចែករំលែកជាមុនដោយកំណត់រចនាសម្ព័ន្ធឈ្មោះកូនសោសមាគមតភ្ជាប់ (CKN) និងសោទំនាក់ទំនងការតភ្ជាប់ (CAK)
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec connectivity-association CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips# set security macsec connectivity-association CA 1 offset

កំណត់តម្លៃជម្រើសតាមដាន។
[កែប្រែ] crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file MACsec.log
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file ទំហំ 4000000000
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions ទង់ទាំងអស់។
កំណត់ដានទៅចំណុចប្រទាក់មួយ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe ទំហំ 1g crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
កំណត់រចនាសម្ព័ន្ធរបៀបសុវត្ថិភាព MACsec ជា static-cak សម្រាប់ការតភ្ជាប់ការតភ្ជាប់។ [កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak

កំណត់អាទិភាពម៉ាស៊ីនមេ MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key-serverpriority 1
កំណត់ចន្លោះពេលបញ្ជូន MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
បើកដំណើរការ MKA សុវត្ថិភាព។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka shouldsecure
crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci

កំណត់ទំនាក់ទំនងការតភ្ជាប់ទៅចំណុចប្រទាក់មួយ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivityassociation
CA1
crypto-officer@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.1/24

ក្នុង R1៖

បង្កើតកូនសោដែលបានចែករំលែកជាមុនដោយកំណត់រចនាសម្ព័ន្ធឈ្មោះកូនសោសមាគមតភ្ជាប់ (CKN) និងសោទំនាក់ទំនងការតភ្ជាប់ (CAK)
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey ckn 2345678922334455667788992223334445556667778889992222333344445555 សុវត្ថិភាពម៉ាស៊ីនសម្ងាត់ -association CA1 pre-sharedkey cak 23456789223344556677889922233344 crypto-officer@hostname:fips # កំណត់សុវត្ថិភាព macsec connectivity-association CA1 offset 30
កំណត់តម្លៃជម្រើសតាមដាន។
[កែប្រែ] crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file MACsec.log crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file ទំហំ 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all

កំណត់ដានទៅចំណុចប្រទាក់មួយ។ [កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe ទំហំ 1g crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
កំណត់រចនាសម្ព័ន្ធរបៀបសុវត្ថិភាព MACsec ជា static-cak សម្រាប់ការតភ្ជាប់ការតភ្ជាប់។ [កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 security-mode static-cak
កំណត់ចន្លោះពេលបញ្ជូន MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000

បើកដំណើរការ MKA សុវត្ថិភាព។ [កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka shouldsecure crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
កំណត់ទំនាក់ទំនងការតភ្ជាប់ទៅចំណុចប្រទាក់មួយ។ [កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivityassociation CA1 crypto-officer@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.2/24

កំណត់រចនាសម្ព័ន្ធ MACsec ជាមួយ keychain ដោយប្រើ ICMP Traffic
ដើម្បីកំណត់រចនាសម្ព័ន្ធ MACsec ជាមួយ keychain ដោយប្រើចរាចរណ៍ ICMP រវាងឧបករណ៍ R0 និងឧបករណ៍ R1៖
ក្នុង R0៖

កំណត់តម្លៃអត់ធ្មត់ទៅខ្សែសង្វាក់សោការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។ [កែប្រែ] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
បង្កើតពាក្យសម្ងាត់សម្ងាត់ដើម្បីប្រើ។ វាគឺជាខ្សែនៃលេខគោលដប់ប្រាំមួយរហូតដល់ទៅ 64 តួអក្សរ។ ពាក្យសម្ងាត់អាចរួមបញ្ចូលដកឃ្លា ប្រសិនបើខ្សែអក្សរត្រូវបានរុំព័ទ្ធក្នុងសញ្ញាសម្រង់។ ទិន្នន័យសម្ងាត់របស់ keychain ត្រូវបានប្រើជា CAK ។
[កែប្រែ] crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ-ខ្សែសង្វាក់គន្លឹះ macsec- កូនសោ kc1 0 ពេលចាប់ផ្តើម 2018-03-20.20:35 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key-name 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ-ខ្សែសង្វាក់កូនសោ macsec-kc1 key 2018 ពេលចាប់ផ្តើម 03-20.20-37:1 crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc2 key 2345678922334455667788992223334445556667778889992222333344445553 key-name 1 2 crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc2018 key 03 start-time 20.20-39-1:3 crypto-officer@hostname:fips# set security authentication-key-chains key- ខ្សែសង្វាក់ macsec-kc2345678922334455667788992223334445556667778889992222333344445554 key 1 key-name 3 crypto-officer@hostname:fips keys# set security-eccha-timec2018 crypto-officer@hostname:fips# set security-keyccha-times03 20.20-41-1:4 crypto-officer@hostname:fips # កំណត់ការផ្ទៀងផ្ទាត់សុវត្ថិភាព - ខ្សែសង្វាក់កូនសោរ macsec-kc2345678922334455667788992223334445556667778889992222333344445555 កូនសោ 1 សោឈ្មោះ 4@set-crypto-keyhost: macsec-kc2018 key 03 ពេលចាប់ផ្តើម 20.20-43- 1:5 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445556 key 1 key-name 5 :fips# កំណត់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ-គន្លឹះ-ខ្សែសង្វាក់សោ-ខ្សែសង្វាក់ macsec- kc2018 key 03 start-time 20.20-45-1:6 crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445557 key 1 key-name 6 2018 crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ-ខ្សែសង្វាក់កូនសោ macsec-kc03 key 20.20 ពេលចាប់ផ្តើម 47-1-7:2345678922334455667788992223334445556667778889992222333344445558 crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc1 key 7 key-name 2018 03 crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc20.20 key 49 start-time XNUMX-XNUMX-XNUMX:XNUMX ប្រើពាក្យបញ្ជាប្រអប់បញ្ចូលដើម្បីបញ្ចូលតម្លៃសោសម្ងាត់។ សម្រាប់អតីតampឡេ តម្លៃសោសម្ងាត់គឺ 2345678922334455667788992223334123456789223344556677889922233341។ [កែប្រែ] crypto-officer@hostname:fips# promptkey security-keysacsecretation-crypto-crypto-crypto-ថ្មី វាយអក្សរថ្មីម្តងទៀត (សម្ងាត់)៖ crypto-officer @hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret New cak (សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត (សម្ងាត់)៖ crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain key-chain macseckc1 key 2 secret New cak (សម្ងាត់)៖
វាយអក្សរថ្មី cak (សម្ងាត់)៖ crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain key-chain macseckc1 key 3 secret New cak (secret): វាយ new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 4 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 5 secret ថ្មី cak (secret): វាយអក្សរថ្មី cak (សម្ងាត់): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain key-chain macseckc1 key 6 secret New cak (secret): Retype new cak (secret): crypto-officer @hostname:fips# prompt security authentication-key-chains key-chain key-chain macseckc1 key 7 secret New cak (secret)៖ វាយអក្សរថ្មី cak (សម្ងាត់)៖
ភ្ជាប់ឈ្មោះ keychain ដែលបានចែករំលែកជាមុនជាមួយសមាគមតភ្ជាប់។
[កែប្រែ] crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips # កំណត់សុវត្ថិភាព macsec connectivity-association CA1 cipher-suite gcm-aes-256
ចំណាំ៖ តម្លៃ cipher ក៏អាចត្រូវបានកំណត់ជា cipher-suite gcm-aes-128 ផងដែរ។

កំណត់តម្លៃជម្រើសតាមដាន។
[កែប្រែ] crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file MACsec.log crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file ទំហំ 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
កំណត់ដានទៅចំណុចប្រទាក់មួយ។ [កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe ទំហំ 1g crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
កំណត់រចនាសម្ព័ន្ធរបៀបសុវត្ថិភាព MACsec ជា static-cak សម្រាប់ការតភ្ជាប់ការតភ្ជាប់។ [កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode static-cak

កំណត់អាទិភាពម៉ាស៊ីនមេ MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka keyserver-priority 1
កំណត់ចន្លោះពេលបញ្ជូន MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
បើកដំណើរការ MKA សុវត្ថិភាព។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci

កំណត់ទំនាក់ទំនងការតភ្ជាប់ទៅចំណុចប្រទាក់មួយ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivityassociation CA1
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ឈ្មោះឯកតា 0 អាសយដ្ឋានគ្រួសារ inet 10.1.1.1/24

ដើម្បីកំណត់រចនាសម្ព័ន្ធ MACsec ជាមួយ keychain សម្រាប់ចរាចរណ៍ ICMP៖
ក្នុង R1៖

កំណត់តម្លៃអត់ធ្មត់ទៅខ្សែសង្វាក់សោការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។
[កែប្រែ] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20

បង្កើតពាក្យសម្ងាត់សម្ងាត់ដើម្បីប្រើ។ វាគឺជាខ្សែនៃលេខគោលដប់ប្រាំមួយរហូតដល់ទៅ 64 តួអក្សរ។ ពាក្យសម្ងាត់អាចរួមបញ្ចូលដកឃ្លា ប្រសិនបើខ្សែអក្សរត្រូវបានរុំព័ទ្ធក្នុងសញ្ញាសម្រង់។ ទិន្នន័យសម្ងាត់របស់ keychain ត្រូវបានប្រើជា CAK ។
[កែប្រែ] crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc1 key 0 key-name 2345678922334455667788992223334445556667778889992222333344445551 ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ-ខ្សែសង្វាក់គន្លឹះ macsec- កូនសោ kc1 0 ពេលចាប់ផ្តើម 2018-03-20.20:35 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 key-name 1 key-name 2345678922334455667788992223334445556667778889992222333344445552 1 crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ-ខ្សែសង្វាក់កូនសោ macsec-kc1 key 2018 ពេលចាប់ផ្តើម 03-20.20-37:1 crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc2 key 2345678922334455667788992223334445556667778889992222333344445553 key-name 1 2 crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc2018 key 03 start-time 20.20-39-1:3 crypto-officer@hostname:fips# set security authentication-key-chains key- ខ្សែសង្វាក់ macsec-kc2345678922334455667788992223334445556667778889992222333344445554 key 1 key-name 3 crypto-officer@hostname:fips keys# set security-eccha-timec2018 crypto-officer@hostname:fips# set security-keyccha-times03 20.20-41-1:4 crypto-officer@hostname:fips # កំណត់ការផ្ទៀងផ្ទាត់សុវត្ថិភាព - ខ្សែសង្វាក់កូនសោរ macsec-kc2345678922334455667788992223334445556667778889992222333344445555 កូនសោ 1 សោឈ្មោះ 4@set-crypto-keyhost: macsec-kc2018 key 03 ពេលចាប់ផ្តើម 20.20-43- 1:5 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc345678922334455667788992223334445556667778889992222333344445556 key 1 key-name 5 fips# កំណត់ការផ្ទៀងផ្ទាត់សុវត្ថិភាព-key-chains key-chain macsec- kc2018 key 03 start-time 20.20-45-1:6 crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc2345678922334455667788992223334445556667778889992222333344445557 key 1 key-name 6 2018 crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ-ខ្សែសង្វាក់កូនសោ macsec-kc03 key 20.20 ពេលចាប់ផ្តើម 47-1-7:2345678922334455667788992223334445556667778889992222333344445558 crypto-officer@hostname:fips# set security authentication-key-chains key-chain key-chain macsec-kc1 key 7 key-name 2018 03 crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc20.20 key 49 start-time XNUMX-XNUMX-XNUMX:XNUMX
ប្រើពាក្យបញ្ជាប្រអប់បញ្ចូលដើម្បីបញ្ចូលតម្លៃសោសម្ងាត់។ សម្រាប់អតីតample តម្លៃសោសម្ងាត់គឺ 2345678922334455667788992223334123456789223344556677889922233341។
[កែប្រែ] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret
កាកថ្មី (សម្ងាត់)៖
វាយអក្សរថ្មី cak (សម្ងាត់): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain key-chain macseckc1 key 1 secret New cak (secret): វាយ new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 2 secret New cak (secret): Retype new cak (secret): crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 3 secret ថ្មី cak (សំងាត់)៖ វាយអក្សរថ្មី កាក (សម្ងាត់)៖ crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 4 secret New cak (secret)៖ វាយអក្សរថ្មី cak
(សម្ងាត់)៖
crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain key-chain macseckc1 key 5 secret New cak (secret): វាយអក្សរថ្មី cak (សម្ងាត់)៖
crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 6 secret New cak (សម្ងាត់):
វាយអក្សរថ្មីម្តងទៀត (សម្ងាត់)៖
crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 7 secret New cak (សម្ងាត់):
វាយអក្សរថ្មីម្តងទៀត (សម្ងាត់)៖
ភ្ជាប់ឈ្មោះ keychain ដែលបានចែករំលែកជាមុនជាមួយសមាគមតភ្ជាប់។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-shared- key-chain macsec-kc1
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 cipher-suite gcm-aes-256
កំណត់តម្លៃជម្រើសតាមដាន។
[កែប្រែ] crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file MACsec.log crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file ទំហំ 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all

កំណត់ដានទៅចំណុចប្រទាក់មួយ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe ទំហំ 1g crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
កំណត់រចនាសម្ព័ន្ធរបៀបសុវត្ថិភាព MACsec ជា static-cak សម្រាប់ការតភ្ជាប់ការតភ្ជាប់។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode static-cak
កំណត់អាទិភាពម៉ាស៊ីនមេ MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka keyserver-priority 1

កំណត់ចន្លោះពេលបញ្ជូន MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
បើកដំណើរការ MKA សុវត្ថិភាព។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
កំណត់ទំនាក់ទំនងការតភ្ជាប់ទៅចំណុចប្រទាក់មួយ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivityassociation
CA1
crypto-officer@hostname:fips# set interfaces interface-name unit 0 family inet address 10.1.1.2/24

ការកំណត់រចនាសម្ព័ន្ធ MACsec ឋិតិវន្តសម្រាប់ស្រទាប់ទី 2 ចរាចរណ៍
ដើម្បីកំណត់រចនាសម្ព័ន្ធ MACsec ឋិតិវន្តសម្រាប់ចរាចរណ៍ស្រទាប់ 2 រវាងឧបករណ៍ R0 និងឧបករណ៍ R1៖
ក្នុង R0៖

កំណត់អាទិភាពម៉ាស៊ីនមេ MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key server-priority 1
បង្កើតពាក្យសម្ងាត់សម្ងាត់ដើម្បីប្រើ។ វាគឺជាខ្សែនៃលេខគោលដប់ប្រាំមួយរហូតដល់ទៅ 64 តួអក្សរ។ ពាក្យសម្ងាត់អាចរួមបញ្ចូលដកឃ្លា ប្រសិនបើខ្សែអក្សរត្រូវបានរុំព័ទ្ធក្នុងសញ្ញាសម្រង់។ ទិន្នន័យសម្ងាត់របស់ keychain ត្រូវបានប្រើជា CAK ។
[កែប្រែ] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain key-chain macseckc1 key 0 secret New cak (សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត (សម្ងាត់)៖
សម្រាប់អតីតample តម្លៃសោសម្ងាត់គឺ 2345678922334455667788992223334123456789223344556677889922233341។

ភ្ជាប់ឈ្មោះ keychain ដែលបានចែករំលែកជាមុនជាមួយសមាគមតភ្ជាប់។ [កែប្រែ] crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec connectivity-association CA1 pre-sharedkey-chain macsec-kc1 crypto-officer@hostname:fips# set security macsec connectivity-association CA1 offset 50 crypto-officer@hostname:fips # កំណត់សុវត្ថិភាព macsec connectivity-association CA1 cipher-suite gcm-aes-256
កំណត់តម្លៃជម្រើសតាមដាន។ [កែប្រែ] crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file MACsec.log crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file ទំហំ 4000000000 crypto-officer@hostname:fips# set security macsec traceoptions flag all
កំណត់ដានទៅចំណុចប្រទាក់មួយ។ [កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe ទំហំ 1g crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions flag all
កំណត់រចនាសម្ព័ន្ធរបៀបសុវត្ថិភាព MACsec ជា static-cak សម្រាប់ការតភ្ជាប់ការតភ្ជាប់។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode static-cak
កំណត់អាទិភាពម៉ាស៊ីនមេ MKA ។ [កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key server-priority 1
កំណត់ចន្លោះពេលបញ្ជូន MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval 3000
បើកដំណើរការ MKA សុវត្ថិភាព។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
កំណត់ទំនាក់ទំនងការតភ្ជាប់ទៅចំណុចប្រទាក់មួយ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivityassociation
CA1
កំណត់រចនាសម្ព័ន្ធ VLAN tagខ្ញី
[កែប្រែ] crypto-officer@hostname:fips# set interfaces interface-name1 flexible-vlan-tagខ្ញី
crypto-officer@hostname:fips# set interfaces interface-name1 encapsulation flexible Ethernet-services
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name1 ឯកតា 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name1 ឯកតា 100 vlan-id 100
crypto-officer@hostname:fips# set interfaces interface-name2 flexible-vlan-tagខ្ញី
crypto-officer@hostname:fips# set interfaces interface-name2 encapsulation flexible Ethernet-services
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name2 ឯកតា 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name2 ឯកតា 100 vlan-id 100
កំណត់រចនាសម្ព័ន្ធដែនស្ពាន។
[កែប្រែ] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
crypto-officer@hostname:fips# កំណត់ដែនស្ពាន BD-110 vlan-id 100
crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name1 100
crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name2 100

ក្នុង R1៖

បង្កើតពាក្យសម្ងាត់សម្ងាត់ដើម្បីប្រើ។ វាគឺជាខ្សែនៃលេខគោលដប់ប្រាំមួយរហូតដល់ទៅ 64 តួអក្សរ។ នេះ។
ពាក្យសម្ងាត់អាចរួមបញ្ចូលចន្លោះប្រសិនបើខ្សែអក្សរត្រូវបានរុំក្នុងសញ្ញាសម្រង់។ កូនសោរ
ទិន្នន័យសម្ងាត់ត្រូវបានប្រើជា CAK ។
[កែប្រែ] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
សម្រាប់អតីតampដូច្នេះ តម្លៃគន្លឹះសម្ងាត់គឺ
០១.
ភ្ជាប់ឈ្មោះ keychain ដែលបានចែករំលែកជាមុនជាមួយសមាគមតភ្ជាប់។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey-chain
macsec-kc1 crypto-officer@hostname:fips#
កំណត់សុវត្ថិភាព macsec connectivity-association CA1 offset 50
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec connectivity-association CA1 cipher-suite gcm-aes-256
កំណត់តម្លៃជម្រើសតាមដាន។
[កែប្រែ] crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file MACsec.log
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file ទំហំ 4000000000
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions ទង់ទាំងអស់។
កំណត់ដានទៅចំណុចប្រទាក់មួយ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions file mka_xe ទំហំ ១ ក្រាម។
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec interfaces interface-name traceoptions
ទង់ទាំងអស់។
កំណត់រចនាសម្ព័ន្ធរបៀបសុវត្ថិភាព MACsec ជា static-cak សម្រាប់ការតភ្ជាប់ការតភ្ជាប់។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode
ឋិតិវន្ត-cak
កំណត់អាទិភាពម៉ាស៊ីនមេ MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key server-priority 1
កំណត់ចន្លោះពេលបញ្ជូន MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval
3000
បើកដំណើរការ MKA សុវត្ថិភាព។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
កំណត់ទំនាក់ទំនងការតភ្ជាប់ទៅចំណុចប្រទាក់មួយ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivityassociation CA1
កំណត់រចនាសម្ព័ន្ធ VLAN tagខ្ញី
[កែប្រែ] crypto-officer@hostname:fips# set interfaces interface-name1 flexible-vlan-tagខ្ញី
crypto-officer@hostname:fips# set interfaces interface-name1 encapsulation flexible Ethernet-services
crypto-officer@hostname:fips# set interfaces interface-name1 unit 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name1 ឯកតា 100 vlan-id 100
crypto-officer@hostname:fips# set interfaces interface-name2 flexible-vlan-tagខ្ញី
crypto-officer@hostname:fips# set interfaces interface-name2 encapsulation flexible Ethernet-services
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name2 ឯកតា 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name2 ឯកតា 100 vlan-id 100
កំណត់រចនាសម្ព័ន្ធដែនស្ពាន។
[កែប្រែ] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
crypto-officer@hostname:fips# កំណត់ដែនស្ពាន BD-110 vlan-id 100
crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name1 100
crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name2 100

ការកំណត់រចនាសម្ព័ន្ធ MACsec ជាមួយ keychain សម្រាប់ស្រទាប់ទី 2 ចរាចរណ៍

ដើម្បីកំណត់រចនាសម្ព័ន្ធ MACsec ជាមួយ keychain សម្រាប់ចរាចរណ៍ ICMP រវាងឧបករណ៍ R0 និងឧបករណ៍ R1៖
ក្នុង R0៖

កំណត់តម្លៃអត់ធ្មត់ទៅខ្សែសង្វាក់សោការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។
[កែប្រែ] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
បង្កើតពាក្យសម្ងាត់សម្ងាត់ដើម្បីប្រើ។ វាគឺជាខ្សែនៃលេខគោលដប់ប្រាំមួយរហូតដល់ទៅ 64 តួអក្សរ។ ពាក្យសម្ងាត់អាចរួមបញ្ចូលដកឃ្លា ប្រសិនបើខ្សែអក្សរត្រូវបានរុំព័ទ្ធក្នុងសញ្ញាសម្រង់។ ទិន្នន័យសម្ងាត់របស់ keychain ត្រូវបានប្រើជា CAK ។
[កែប្រែ] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 0 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445551
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 0 ម៉ោងចាប់ផ្តើម 2018-03-20.20:35
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 1 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445552
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 1 ម៉ោងចាប់ផ្តើម 2018-03-20.20:37
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 2 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445553
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 2 ម៉ោងចាប់ផ្តើម 2018-03-20.20:39
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 3 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445554
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 3 ម៉ោងចាប់ផ្តើម 2018-03-20.20:41
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 4 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445555
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 4 ម៉ោងចាប់ផ្តើម 2018-03-20.20:43
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 5 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445556
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 5 ម៉ោងចាប់ផ្តើម 2018-03-20.20:45
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 6 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445557
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 6 ម៉ោងចាប់ផ្តើម 2018-03-20.20:47
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 7 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445558
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 7 ម៉ោងចាប់ផ្តើម 2018-03-20.20:49
ប្រើពាក្យបញ្ជាប្រអប់បញ្ចូលដើម្បីបញ្ចូលតម្លៃសោសម្ងាត់។ សម្រាប់អតីតampដូច្នេះ តម្លៃគន្លឹះសម្ងាត់គឺ
០១.
[កែប្រែ] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
crypto-officer@hostname:fips#
ជម្រុញការផ្ទៀងផ្ទាត់សុវត្ថិភាព-កូនសោ-ខ្សែសង្វាក់កូនសោ-ខ្សែសង្វាក់ macseckc1 គន្លឹះសម្ងាត់ 1
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 2 secret
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
crypto-officer@hostname:fips#
ជម្រុញការផ្ទៀងផ្ទាត់សុវត្ថិភាព-កូនសោ-ខ្សែសង្វាក់កូនសោ-ខ្សែសង្វាក់ macseckc1 គន្លឹះសម្ងាត់ 3
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
crypto-officer@hostname:fips#
ជម្រុញការផ្ទៀងផ្ទាត់សុវត្ថិភាព-កូនសោ-ខ្សែសង្វាក់កូនសោ-ខ្សែសង្វាក់ macseckc1 គន្លឹះសម្ងាត់ 4
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
crypto-officer@hostname:fips#
ជម្រុញការផ្ទៀងផ្ទាត់សុវត្ថិភាព-កូនសោ-ខ្សែសង្វាក់កូនសោ-ខ្សែសង្វាក់ macseckc1 គន្លឹះសម្ងាត់ 5
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
crypto-officer@hostname:fips#
ជម្រុញការផ្ទៀងផ្ទាត់សុវត្ថិភាព-កូនសោ-ខ្សែសង្វាក់កូនសោ-ខ្សែសង្វាក់ macseckc1 គន្លឹះសម្ងាត់ 6
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
crypto-officer@hostname:fips#
ជម្រុញការផ្ទៀងផ្ទាត់សុវត្ថិភាព-កូនសោ-ខ្សែសង្វាក់កូនសោ-ខ្សែសង្វាក់ macseckc1 គន្លឹះសម្ងាត់ 7
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
ភ្ជាប់ឈ្មោះ keychain ដែលបានចែករំលែកជាមុនជាមួយសមាគមតភ្ជាប់។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey-chain
macsec-kc1
crypto-officer@hostname:fips#
កំណត់សុវត្ថិភាព macsec connectivity-association CA1 cipher-suite
gcm-aes-256
កំណត់តម្លៃជម្រើសតាមដាន។
[កែប្រែ] crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file MACsec.log
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file ទំហំ 4000000000
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions ទង់ទាំងអស់។
កំណត់ដានទៅចំណុចប្រទាក់មួយ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions
file mka_xe ទំហំ ១ ក្រាម។
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec interfaces interface-name traceoptions
ទង់ទាំងអស់។
កំណត់រចនាសម្ព័ន្ធរបៀបសុវត្ថិភាព MACsec ជា static-cak សម្រាប់ការតភ្ជាប់ការតភ្ជាប់។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode
ឋិតិវន្ត-cak
កំណត់អាទិភាពម៉ាស៊ីនមេ MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka key server-priority 1
កំណត់ចន្លោះពេលបញ្ជូន MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval
3000
បើកដំណើរការ MKA សុវត្ថិភាព។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
កំណត់ទំនាក់ទំនងការតភ្ជាប់ទៅចំណុចប្រទាក់មួយ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivityassociation
CA1
កំណត់រចនាសម្ព័ន្ធ VLAN tagខ្ញី
[កែប្រែ] crypto-officer@hostname:fips# set interfaces interface-name1 flexible-vlan-tagខ្ញី
crypto-officer@hostname:fips# set interfaces interface-name1 encapsulation flexibleethernet-services
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name1 ឯកតា 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name1 ឯកតា 100 vlan-id 100
crypto-officer@hostname:fips# set interfaces interface-name2 flexible-vlan-tagខ្ញី
crypto-officer@hostname:fips# set interfaces interface-name2 encapsulation flexibleethernet-services
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name2 ឯកតា 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name2 ឯកតា 100 vlan-id 100
កំណត់រចនាសម្ព័ន្ធដែនស្ពាន។
[កែប្រែ] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
crypto-officer@hostname:fips# កំណត់ដែនស្ពាន BD-110 vlan-id 100
crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name1 100
crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name2 100

ក្នុង R1៖

កំណត់តម្លៃអត់ធ្មត់ទៅខ្សែសង្វាក់សោការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។
[កែប្រែ] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1 tolerance 20
បង្កើតពាក្យសម្ងាត់សម្ងាត់ដើម្បីប្រើ។ វាគឺជាខ្សែនៃលេខគោលដប់ប្រាំមួយរហូតដល់ទៅ 64 តួអក្សរ។ ពាក្យសម្ងាត់អាចរួមបញ្ចូលដកឃ្លា ប្រសិនបើខ្សែអក្សរត្រូវបានរុំព័ទ្ធក្នុងសញ្ញាសម្រង់។ ទិន្នន័យសម្ងាត់របស់ keychain ត្រូវបានប្រើជា CAK ។
[កែប្រែ] crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 0 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445551
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 0 ម៉ោងចាប់ផ្តើម 2018-03-20.20:35
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 1 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445552
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 1 ម៉ោងចាប់ផ្តើម 2018-03-20.20:37
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 2 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445553
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 2 ម៉ោងចាប់ផ្តើម 2018-03-20.20:39
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 3 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445554
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 3 ម៉ោងចាប់ផ្តើម 2018-03-20.20:41
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 4 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445555
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 4 ម៉ោងចាប់ផ្តើម 2018-03-20.20:43
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 5 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445556
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 5 ម៉ោងចាប់ផ្តើម 2018-03-20.20:45
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 6 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445557
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 6 ម៉ោងចាប់ផ្តើម 2018-03-20.20:47
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
គន្លឹះ 7 លេខគន្លឹះ 2345678922334455667788992223334445556667778889992222333344445558
crypto-officer@hostname:fips# set security authentication-key-chains key-chain macsec-kc1
key 7 ម៉ោងចាប់ផ្តើម 2018-03-20.20:49
ប្រើពាក្យបញ្ជាប្រអប់បញ្ចូលដើម្បីបញ្ចូលតម្លៃសោសម្ងាត់។ សម្រាប់អតីតampដូច្នេះ តម្លៃគន្លឹះសម្ងាត់គឺ
០១.
[កែប្រែ] crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 0 secret
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
crypto-officer@hostname:fips#
ជម្រុញការផ្ទៀងផ្ទាត់សុវត្ថិភាព-កូនសោ-ខ្សែសង្វាក់កូនសោ-ខ្សែសង្វាក់ macseckc1 គន្លឹះសម្ងាត់ 1
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត (សម្ងាត់)៖
crypto-officer@hostname:fips# prompt security authentication-key-chains key-chain macseckc1 key 2 secret
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
crypto-officer@hostname:fips#
ជម្រុញការផ្ទៀងផ្ទាត់សុវត្ថិភាព-កូនសោ-ខ្សែសង្វាក់កូនសោ-ខ្សែសង្វាក់ macseckc1 គន្លឹះសម្ងាត់ 3
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
crypto-officer@hostname:fips#
ជម្រុញការផ្ទៀងផ្ទាត់សុវត្ថិភាព-កូនសោ-ខ្សែសង្វាក់កូនសោ-ខ្សែសង្វាក់ macseckc1 គន្លឹះសម្ងាត់ 4
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
crypto-officer@hostname:fips#
ជម្រុញការផ្ទៀងផ្ទាត់សុវត្ថិភាព-កូនសោ-ខ្សែសង្វាក់កូនសោ-ខ្សែសង្វាក់ macseckc1 គន្លឹះសម្ងាត់ 5
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
crypto-officer@hostname:fips#
ជម្រុញការផ្ទៀងផ្ទាត់សុវត្ថិភាព-កូនសោ-ខ្សែសង្វាក់កូនសោ-ខ្សែសង្វាក់ macseckc1 គន្លឹះសម្ងាត់ 6
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត
(សម្ងាត់)៖
crypto-officer@hostname:fips#
ជម្រុញការផ្ទៀងផ្ទាត់សុវត្ថិភាព-កូនសោ-ខ្សែសង្វាក់កូនសោ-ខ្សែសង្វាក់ macseckc1 គន្លឹះសម្ងាត់ 7
កាកថ្មី។
(សម្ងាត់)៖
វាយអក្សរថ្មីម្តងទៀត (សម្ងាត់)៖
ភ្ជាប់ឈ្មោះ keychain ដែលបានចែករំលែកជាមុនជាមួយសមាគមតភ្ជាប់។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 pre-sharedkey-chain
macsec-kc1
crypto-officer@hostname:fips#
កំណត់សុវត្ថិភាព macsec connectivity-association CA1 cipher-suite
gcm-aes-256
កំណត់តម្លៃជម្រើសតាមដាន។
[កែប្រែ] crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file MACsec.log
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions file ទំហំ 4000000000
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec traceoptions ទង់ទាំងអស់។
កំណត់ដានទៅចំណុចប្រទាក់មួយ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name traceoptions
file mka_xe ទំហំ ១ ក្រាម។
crypto-officer@hostname:fips# កំណត់សុវត្ថិភាព macsec interfaces interface-name traceoptions
ទង់ទាំងអស់។
កំណត់រចនាសម្ព័ន្ធរបៀបសុវត្ថិភាព MACsec ជា static-cak សម្រាប់ការតភ្ជាប់ការតភ្ជាប់។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 securitymode
ឋិតិវន្ត-cak
កំណត់អាទិភាពម៉ាស៊ីនមេ MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka keyserver-priority
កំណត់ចន្លោះពេលបញ្ជូន MKA ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 mka transmitinterval
3000
បើកដំណើរការ MKA សុវត្ថិភាព។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec connectivity-association CA1 include-sci
កំណត់ទំនាក់ទំនងការតភ្ជាប់ទៅចំណុចប្រទាក់មួយ។
[កែប្រែ] crypto-officer@hostname:fips# set security macsec interfaces interface-name connectivityassociation
CA1
កំណត់រចនាសម្ព័ន្ធ VLAN tagខ្ញី
[កែប្រែ] crypto-officer@hostname:fips# set interfaces interface-name1 flexible-vlan-tagខ្ញី
crypto-officer@hostname:fips# set interfaces interface-name1 encapsulation flexibleethernet-services
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name1 ឯកតា 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name1 ឯកតា 100 vlan-id 100
crypto-officer@hostname:fips# set interfaces interface-name2 flexible-vlan-tagខ្ញី
crypto-officer@hostname:fips# set interfaces interface-name2 encapsulation flexible Ethernet-services
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name2 ឯកតា 100 encapsulation vlanbridge
crypto-officer@hostname:fips#
កំណត់ចំណុចប្រទាក់ interface-name2 ឯកតា 100 vlan-id 100
កំណត់រចនាសម្ព័ន្ធដែនស្ពាន។
[កែប្រែ] crypto-officer@hostname:fips# set bridge-domains BD-110 domain-type bridge
crypto-officer@hostname:fips# កំណត់ដែនស្ពាន BD-110 vlan-id 100
crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name1 100
crypto-officer@hostname:fips# set bridge-domains BD-110 interface interface-name2 100

កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍

ការកត់ត្រាព្រឹត្តិការណ៍view
ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃតម្រូវឱ្យធ្វើសវនកម្មនៃការផ្លាស់ប្តូរការកំណត់តាមរយៈកំណត់ហេតុប្រព័ន្ធ។
លើសពីនេះទៀត Junos OS អាច៖

ផ្ញើការឆ្លើយតបដោយស្វ័យប្រវត្តិទៅព្រឹត្តិការណ៍សវនកម្ម (ការបង្កើតធាតុ syslog) ។
អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាតពិនិត្យមើលកំណត់ហេតុសវនកម្ម។
ផ្ញើសវនកម្ម files ទៅម៉ាស៊ីនមេខាងក្រៅ។
អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាតត្រឡប់ប្រព័ន្ធទៅស្ថានភាពដែលគេស្គាល់។

ការកត់ត្រាសម្រាប់ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃត្រូវតែចាប់យកព្រឹត្តិការណ៍ខាងក្រោម៖

ការផ្លាស់ប្តូរទៅទិន្នន័យសោសម្ងាត់នៅក្នុងការកំណត់រចនាសម្ព័ន្ធ។
ការផ្លាស់ប្តូរដែលបានប្តេជ្ញាចិត្ត។
ចូល / ចេញពីអ្នកប្រើប្រាស់។
ការចាប់ផ្តើមប្រព័ន្ធ។
បរាជ័យក្នុងការបង្កើតវគ្គ SSH។
ការបង្កើត / ការបញ្ចប់វគ្គ SSH ។
ការផ្លាស់ប្តូរពេលវេលា (ប្រព័ន្ធ) ។
ការបញ្ចប់វគ្គពីចម្ងាយដោយយន្តការចាក់សោសម័យ។
ការបញ្ចប់វគ្គអន្តរកម្ម។

លើសពីនេះទៀត Juniper Networks ផ្តល់អនុសាសន៍ថាការកាប់ឈើផងដែរ:

ចាប់យកការផ្លាស់ប្តូរទាំងអស់ចំពោះការកំណត់រចនាសម្ព័ន្ធ។
រក្សាទុកព័ត៌មានកត់ត្រាពីចម្ងាយ។

កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍ទៅកាន់មូលដ្ឋាន File
អ្នកអាចកំណត់រចនាសម្ព័ន្ធការរក្សាទុកព័ត៌មានសវនកម្មទៅកាន់មូលដ្ឋាន file ជាមួយនឹងសេចក្តីថ្លែងការណ៍ syslog ។ អតីតample stores log in a file ឈ្មោះ សវនកម្ម-File:
[កែសម្រួលប្រព័ន្ធ] syslog {
file សវនកម្ម-File;
}
ការបកស្រាយសារព្រឹត្តិការណ៍
លទ្ធផលខាងក្រោមបង្ហាញជាampសារព្រឹត្តិការណ៍។
ថ្ងៃទី 27 ខែកុម្ភៈ 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: អ្នកប្រើប្រាស់ 'security-officer' login, class 'j-superuser'
[៦៥២០],
ssh-connection”, របៀបអតិថិជន
'គ្លី'
ថ្ងៃទី 27 ខែកុម្ភៈ 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: អ្នកប្រើប្រាស់ 'security-officer' បញ្ចូលការកំណត់
របៀប
ថ្ងៃទី 27 ខែកុម្ភៈ 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: អ្នកប្រើប្រាស់ 'security-officer', command 'run show
កំណត់ហេតុ
កំណត់ហេតុសវនកម្ម | ចូល grep
តារាងទី ៨ នៅទំព័រ ២២ ពិពណ៌នាអំពីវាលសម្រាប់សារព្រឹត្តិការណ៍។ ប្រសិនបើឧបករណ៍ប្រើប្រាស់ការកត់ត្រាប្រព័ន្ធមិនអាចកំណត់តម្លៃនៅក្នុងវាលជាក់លាក់មួយ សញ្ញាសម្គាល់ (–) លេចឡើងជំនួសវិញ។
តារាងទី 4៖ វាលនៅក្នុងសារព្រឹត្តិការណ៍

វាល	ការពិពណ៌នា	Examples
ដងបំផុតamp	ពេលវេលាដែលសារត្រូវបានបង្កើត នៅក្នុងការតំណាងមួយក្នុងចំណោមតំណាងពីរ៖ • MMM-DD HH:MM:SS.MS+/-HH:MM គឺជាខែ ថ្ងៃ ម៉ោង នាទី វិនាទី និងមិល្លីវិនាទីនៅក្នុងម៉ោងក្នុងស្រុក។ ម៉ោង និងនាទីដែលធ្វើតាមសញ្ញាបូក (+) ឬសញ្ញាដក (-) គឺជាអុហ្វសិតនៃតំបន់ម៉ោងក្នុងស្រុកពី Coordinated Universal Time (UTC)។ • YYYY-MM-DDTHH:MM:SS.MSZ គឺជាឆ្នាំ ខែ ថ្ងៃ ម៉ោង នាទី វិនាទី និងមិល្លីវិនាទីនៅក្នុង UTC ។	ថ្ងៃទី 27 ខែកុម្ភៈ 02:33:04 គឺជាពេលវេលាបំផុត។amp បានបង្ហាញជាម៉ោងក្នុងស្រុកនៅសហរដ្ឋអាមេរិក។ 2012-02-27T03:17:15.713Z is ម៉ោង 2:33 ព្រឹក UTC ថ្ងៃទី 27 កុម្ភៈ ០១.
ឈ្មោះម៉ាស៊ីន	ឈ្មោះរបស់ម៉ាស៊ីនដែលបង្កើតសារដំបូង។	រ៉ោតទ័រ ១
ដំណើរការ	ឈ្មោះនៃដំណើរការ Junos OS ដែលបង្កើតសារ។	mgd
លេខសម្គាល់ដំណើរការ	UNIX process ID (PID) នៃដំណើរការ Junos OS ដែលបង្កើតសារ។	4153
TAG	សារកំណត់ហេតុប្រព័ន្ធ Junos OS tagដែលកំណត់អត្តសញ្ញាណសារដោយឡែក។	UI_DBASE_LOGOUT_EVENT
ឈ្មោះអ្នកប្រើប្រាស់	ឈ្មោះអ្នកប្រើរបស់អ្នកប្រើដែលចាប់ផ្តើមព្រឹត្តិការណ៍។	"admin"
សារ-អត្ថបទ	ការពិពណ៌នាជាភាសាអង់គ្លេសនៃព្រឹត្តិការណ៍។	សំណុំ៖ [ប្រព័ន្ធកាំ-ម៉ាស៊ីនមេ ១.២.៣.៤ សម្ងាត់]

ការកត់ត្រាការផ្លាស់ប្តូរទៅជាទិន្នន័យសម្ងាត់
ខាងក្រោមនេះជាអតីតamples នៃកំណត់ហេតុសវនកម្មនៃព្រឹត្តិការណ៍ដែលផ្លាស់ប្តូរទិន្នន័យសម្ងាត់។ នៅពេលណាដែលមានការផ្លាស់ប្តូរនៅក្នុងការកំណត់ exampដូច្នេះ ព្រឹត្តិការណ៍ syslog គួរតែចាប់យកកំណត់ហេតុខាងក្រោម៖
ថ្ងៃទី 24 ខែកក្កដា ម៉ោង 17:43:28 រ៉ោតទ័រ 1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET៖ អ្នកប្រើប្រាស់ 'admin' set:
[ប្រព័ន្ធកាំជ្រួច-សឺវើ 1.2.3.4 សម្ងាត់] ថ្ងៃទី 24 ខែកក្កដា ម៉ោង 17:43:28 រ៉ោតទ័រ 1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET៖ អ្នកប្រើប្រាស់ 'អ្នកគ្រប់គ្រង' កំណត់៖
[ការចូលប្រព័ន្ធរបស់អ្នកប្រើ ការគ្រប់គ្រងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលបានអ៊ិនគ្រីប-ពាក្យសម្ងាត់] ខែកក្កដា 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: អ្នកប្រើប្រាស់ 'admin' set:
[system login user admin2 authentication encrypted-password] រាល់ពេលដែលការកំណត់រចនាសម្ព័ន្ធត្រូវបានធ្វើបច្ចុប្បន្នភាព ឬផ្លាស់ប្តូរ syslog គួរតែចាប់យកកំណត់ហេតុទាំងនេះ៖
ថ្ងៃទី 24 ខែកក្កដា ម៉ោង 18:29:09 រ៉ោតទ័រ1 mgd[4163]៖ UI_CFG_AUDIT_SET_SECRET៖ អ្នកប្រើប្រាស់ 'admin' ជំនួស៖
[ប្រព័ន្ធកាំមេរ៉ា 1.2.3.4 សម្ងាត់] ថ្ងៃទី 24 ខែកក្កដា ម៉ោង 18:29:09 រ៉ោតទ័រ 1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET៖ អ្នកប្រើប្រាស់ 'អ្នកគ្រប់គ្រង' ជំនួស៖
[ការចូលប្រព័ន្ធរបស់អ្នកប្រើប្រាស់ ការគ្រប់គ្រងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលបានអ៊ិនគ្រីប-ពាក្យសម្ងាត់] ខែកក្កដា 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET៖ អ្នកប្រើប្រាស់ 'admin' ជំនួស៖
[ការចូលប្រព័ន្ធរបស់អ្នកប្រើ ការគ្រប់គ្រងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលបានអ៊ិនគ្រីប-ពាក្យសម្ងាត់] សម្រាប់ព័ត៌មានបន្ថែមអំពីការកំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រ និងការគ្រប់គ្រងកំណត់ហេតុ files សូមមើលប្រព័ន្ធ Junos OS
ឯកសារយោងសារ។
ចូល និងចេញពីព្រឹត្តិការណ៍ដោយប្រើ SSH
សារកំណត់ហេតុប្រព័ន្ធត្រូវបានបង្កើតនៅពេលដែលអ្នកប្រើបានជោគជ័យ ឬព្យាយាមចូលប្រើ SSH មិនបានជោគជ័យ។ ព្រឹត្តិការណ៍ចេញពីគណនីក៏ត្រូវបានកត់ត្រាផងដែរ។ សម្រាប់អតីតampដូច្នេះ កំណត់ហេតុខាងក្រោមគឺជាលទ្ធផលនៃការព្យាយាមផ្ទៀងផ្ទាត់ដែលបរាជ័យចំនួនពីរ បន្ទាប់មកបានជោគជ័យមួយ ហើយចុងក្រោយគឺការចាកចេញ៖
ខែធ្នូ 20 23:17:35 bilbo sshd[16645]៖ ពាក្យសម្ងាត់ដែលបរាជ័យសម្រាប់ op ពី 172.17.58.45 port 1673 ssh2
ខែធ្នូ 20 23:17:42 bilbo sshd[16645]៖ ពាក្យសម្ងាត់ដែលបរាជ័យសម្រាប់ op ពី 172.17.58.45 port 1673 ssh2
ខែធ្នូ 20 23:17:53 bilbo sshd[16645]៖ បានទទួលយកពាក្យសម្ងាត់សម្រាប់ op ពី 172.17.58.45 port 1673 ssh2
ខែធ្នូ 20 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT៖ អ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់ 'op' នៅកម្រិតអនុញ្ញាត
'j-operator'
ខែធ្នូ 20 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: អ្នកប្រើប្រាស់ 'op' login, class 'j-operator' [16648] Dec 20 23:17:56 bilbo mgd[16648]: UI_CMDLINE_READ'LINE: បញ្ជា 'ចេញ'
ថ្ងៃទី 20 ខែធ្នូ 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: អ្នកប្រើប្រាស់ 'op' ចេញ
ការកត់ត្រាការចាប់ផ្តើមសវនកម្ម
ព័ត៌មានសវនកម្មដែលបានកត់ត្រារួមមានការចាប់ផ្តើមនៃ Junos OS ។ នេះកំណត់អត្តសញ្ញាណព្រឹត្តិការណ៍ចាប់ផ្តើមនៃប្រព័ន្ធសវនកម្ម ដែលមិនអាចត្រូវបានបិទ ឬបើកដំណើរការដោយឯករាជ្យ។ សម្រាប់អតីតample ប្រសិនបើ Junos OS ត្រូវបានចាប់ផ្តើមឡើងវិញ កំណត់ហេតុសវនកម្មមានព័ត៌មានខាងក្រោម៖
ខែធ្នូ 20 23:17:35 bilbo syslogd: ចេញនៅលើសញ្ញា 14
ថ្ងៃទី 20 ខែធ្នូ 23:17:35 bilbo syslogd: ចាប់ផ្តើមឡើងវិញ
ខែធ្នូ 20 23:17:35 bilbo syslogd /kernel: Dec 20 23:17:35 init: syslogd (PID 19128) បានចេញជាមួយ
ស្ថានភាព=1
ខែធ្នូ 20 23:17:42 bilbo /kernel:
ថ្ងៃទី 20 ខែធ្នូ 23:17:53 init: syslogd (PID 19200) បានចាប់ផ្តើម

ការធ្វើតេស្តដោយខ្លួនឯងនៅលើឧបករណ៍

ការយល់ដឹងអំពីការធ្វើតេស្តដោយខ្លួនឯង FIPS
ម៉ូឌុលគ្រីបគ្រីបអនុវត្តច្បាប់សុវត្ថិភាព ដើម្បីធានាថា Juniper Networks Junos ដំណើរការ
ប្រព័ន្ធ (Junos OS) នៅក្នុងរបៀប FIPS បំពេញតាមតម្រូវការសុវត្ថិភាពនៃ FIPS 140-2 កម្រិត 1។ ដើម្បីធ្វើឱ្យមានសុពលភាព
លទ្ធផលនៃក្បួនដោះស្រាយគ្រីបដែលបានអនុម័តសម្រាប់ FIPS និងសាកល្បងភាពសុចរិតនៃម៉ូឌុលប្រព័ន្ធមួយចំនួន
ឧបករណ៍នេះអនុវត្តស៊េរីនៃការធ្វើតេស្តចម្លើយដែលគេស្គាល់ (KAT) ការធ្វើតេស្តដោយខ្លួនឯងដូចខាងក្រោម៖

kernel_kats-KAT សម្រាប់ទម្លាប់នៃការគ្រីបខឺណែល
md_kats-KAT សម្រាប់អវយវៈ និង libc
openssl_kats-KAT សម្រាប់ការអនុវត្តការគ្រីប OpenSSL
quicksec_kats-KAT សម្រាប់ការអនុវត្តការគ្រីបគ្រីប QuickSec Toolkit
ssh_ipsec_kats—KAT សម្រាប់ការអនុវត្ត cryptographic Toolkit SSH IPsec
macsec_kats-KAT សម្រាប់ការអនុវត្តការគ្រីប MACsec

ការធ្វើតេស្តដោយខ្លួនឯង KAT ត្រូវបានអនុវត្តដោយស្វ័យប្រវត្តិនៅពេលចាប់ផ្តើម។ ការធ្វើតេស្តដោយខ្លួនឯងតាមលក្ខខណ្ឌក៏ត្រូវបានអនុវត្តដោយស្វ័យប្រវត្តិផងដែរ ដើម្បីផ្ទៀងផ្ទាត់កញ្ចប់កម្មវិធីដែលបានចុះហត្ថលេខាដោយឌីជីថល លេខចៃដន្យដែលបានបង្កើត គូសោ RSA និង ECDSA និងកូនសោដែលបានបញ្ចូលដោយដៃ។
ប្រសិនបើ KATs ត្រូវបានបញ្ចប់ដោយជោគជ័យ កំណត់ហេតុប្រព័ន្ធ (syslog) file ត្រូវបានធ្វើបច្ចុប្បន្នភាពដើម្បីបង្ហាញការធ្វើតេស្តដែលត្រូវបានប្រតិបត្តិ។
ប្រសិនបើមានការបរាជ័យ KAT ឧបករណ៍សរសេរព័ត៌មានលម្អិតទៅក្នុងកំណត់ហេតុប្រព័ន្ធ fileបញ្ចូលស្ថានភាពកំហុស FIPS (ភ័យស្លន់ស្លោ) ហើយចាប់ផ្ដើមឡើងវិញ។
នេះ។ file show /var/log/messages command បង្ហាញកំណត់ហេតុប្រព័ន្ធ។
អ្នកក៏អាចដំណើរការការធ្វើតេស្តដោយខ្លួនឯង FIPS ដោយចេញសំណើរបញ្ជា vmhost reboot ។ អ្នកអាចឃើញកំណត់ហេតុសាកល្បងដោយខ្លួនឯង FIPS នៅលើកុងសូល នៅពេលដែលប្រព័ន្ធកំពុងដំណើរការ។
Example: កំណត់រចនាសម្ព័ន្ធការធ្វើតេស្តដោយខ្លួនឯង FIPS
អតីតample បង្ហាញពីរបៀបកំណត់រចនាសម្ព័ន្ធការធ្វើតេស្តដោយខ្លួនឯង FIPS ដើម្បីដំណើរការតាមកាលកំណត់។
តម្រូវការផ្នែករឹង និងកម្មវិធី

អ្នកត្រូវតែមានសិទ្ធិគ្រប់គ្រងដើម្បីកំណត់រចនាសម្ព័ន្ធការធ្វើតេស្តដោយខ្លួនឯង FIPS ។
ឧបករណ៍ត្រូវតែដំណើរការកំណែដែលបានវាយតម្លៃរបស់ Junos OS នៅក្នុងកម្មវិធីរបៀប FIPS ។

ជាងview
ការធ្វើតេស្តដោយខ្លួនឯង FIPS មានឈុតខាងក្រោមនៃការធ្វើតេស្តចម្លើយដែលគេស្គាល់ (KATs)៖

kernel_kats-KAT សម្រាប់ទម្លាប់នៃការគ្រីបខឺណែល
md_kats-KAT សម្រាប់ libmd និង libc
quicksec_kats-KAT សម្រាប់ការអនុវត្តការគ្រីបគ្រីប QuickSec Toolkit
openssl_kats-KAT សម្រាប់ការអនុវត្តការគ្រីប OpenSSL
ssh_ipsec_kats—KAT សម្រាប់ការអនុវត្ត cryptographic Toolkit SSH IPsec
macsec_kats-KAT សម្រាប់ការអនុវត្តការគ្រីប MACsec
នៅក្នុងនេះ អតីតampដូច្នេះ ការធ្វើតេស្តដោយខ្លួនឯង FIPS ត្រូវបានប្រតិបត្តិនៅម៉ោង 9:00 ព្រឹកនៅទីក្រុងញូវយ៉ក សហរដ្ឋអាមេរិក រៀងរាល់ថ្ងៃពុធ។

ចំណាំ៖ ជំនួសឱ្យការធ្វើតេស្តប្រចាំសប្តាហ៍ អ្នកអាចកំណត់រចនាសម្ព័ន្ធការធ្វើតេស្តប្រចាំខែដោយរួមបញ្ចូលរបាយការណ៍ប្រចាំខែ និងថ្ងៃនៃខែ។
នៅពេលដែលការធ្វើតេស្តដោយខ្លួនឯង KAT បរាជ័យ សារកំណត់ហេតុត្រូវបានសរសេរទៅកាន់សារកំណត់ហេតុប្រព័ន្ធ file ជាមួយនឹងព័ត៌មានលម្អិតនៃការបរាជ័យនៃការធ្វើតេស្ត។ បន្ទាប់មកប្រព័ន្ធភ័យស្លន់ស្លោ ហើយចាប់ផ្ដើមឡើងវិញ។
ការកំណត់រចនាសម្ព័ន្ធរហ័ស CLI
ដើម្បីកំណត់រចនាសម្ព័ន្ធឧample, ចម្លងពាក្យបញ្ជាខាងក្រោម, បិទភ្ជាប់ពួកវាទៅក្នុងអត្ថបទមួយ។ fileលុបការបំបែកបន្ទាត់ណាមួយ ផ្លាស់ប្តូរព័ត៌មានលម្អិតដែលចាំបាច់ដើម្បីផ្គូផ្គងការកំណត់រចនាសម្ព័ន្ធបណ្តាញរបស់អ្នក ហើយបន្ទាប់មកចម្លង និងបិទភ្ជាប់ពាក្យបញ្ជាទៅក្នុង CLI នៅកម្រិតឋានានុក្រម [កែសម្រួល]។
កំណត់ប្រព័ន្ធ fips ការធ្វើតេស្តដោយខ្លួនឯងតាមកាលកំណត់ 09:00
កំណត់ប្រព័ន្ធ fips ការធ្វើតេស្តដោយខ្លួនឯងតាមកាលកំណត់នៃថ្ងៃនៃសប្តាហ៍ទី 3
នីតិវិធីជាជំហាន ៗ
ដើម្បីកំណត់រចនាសម្ព័ន្ធការធ្វើតេស្តដោយខ្លួនឯង FIPS សូមចូលទៅកាន់ឧបករណ៍ដោយប្រើព័ត៌មានសម្ងាត់របស់ Crypto-officer៖

កំណត់រចនាសម្ព័ន្ធការធ្វើតេស្តដោយខ្លួនឯង FIPS ដើម្បីប្រតិបត្តិនៅម៉ោង 9:00 ព្រឹករៀងរាល់ថ្ងៃពុធ។
[កែសម្រួលប្រព័ន្ធ fips ការធ្វើតេស្តដោយខ្លួនឯង] crypto-officer@hostname:fips# កំណត់ពេលវេលាចាប់ផ្តើមតាមកាលកំណត់ 09:00
crypto-officer@hostname:fips# កំណត់ថ្ងៃនៃសប្តាហ៍ទី 3 តាមកាលកំណត់
ប្រសិនបើអ្នកបានកំណត់រចនាសម្ព័ន្ធឧបករណ៍រួចរាល់ហើយ សូមធ្វើការកំណត់រចនាសម្ព័ន្ធ។
[កែប្រែប្រព័ន្ធ fips តេស្តដោយខ្លួនឯង] crypto-officer@hostname:fips# commit

លទ្ធផល
ពីរបៀបកំណត់រចនាសម្ព័ន្ធ បញ្ជាក់ការកំណត់របស់អ្នកដោយចេញពាក្យបញ្ជាបង្ហាញប្រព័ន្ធ។ ប្រសិនបើលទ្ធផលមិនបង្ហាញការកំណត់រចនាសម្ព័ន្ធដែលបានគ្រោងទុក សូមធ្វើការណែនាំម្តងទៀតនៅក្នុង ex នេះ។ampដើម្បីកែតម្រូវការកំណត់។
crypto-officer@hostname:fips# បង្ហាញប្រព័ន្ធ
ហ្វីប{
ការធ្វើតេស្តដោយខ្លួន {
តាមកាលកំណត់ {
ម៉ោងចាប់ផ្តើម "09:00";
ថ្ងៃនៃសប្តាហ៍ទី 3;
}
}
}

ការផ្ទៀងផ្ទាត់

បញ្ជាក់ថាការកំណត់ដំណើរការបានត្រឹមត្រូវ។
ការផ្ទៀងផ្ទាត់ FIPS ការធ្វើតេស្តខ្លួនឯង

គោលបំណង
ផ្ទៀងផ្ទាត់ថាការធ្វើតេស្តដោយខ្លួនឯង FIPS ត្រូវបានបើក។
សកម្មភាព
ដំណើរការការធ្វើតេស្តដោយខ្លួនឯង FIPS ដោយដៃដោយចេញប្រព័ន្ធស្នើសុំ fips សាកល្បងដោយខ្លួនឯង ឬចាប់ផ្ដើមឧបករណ៍ឡើងវិញ។
បន្ទាប់ពីបានចេញនូវសំណើប្រព័ន្ធ fips ពាក្យបញ្ជាសាកល្បងដោយខ្លួនឯង ឬចាប់ផ្ដើមឧបករណ៍ឡើងវិញ កំណត់ហេតុប្រព័ន្ធ file ត្រូវបានធ្វើបច្ចុប្បន្នភាពដើម្បីបង្ហាញ KATs ដែលត្រូវបានប្រតិបត្តិ។ ទៅ view កំណត់ហេតុប្រព័ន្ធ file, ចេញ file បង្ហាញពាក្យបញ្ជា /var/log/ messages ។
user@host# file បង្ហាញ /var/log/messages
RE KATS៖
mgd៖ កំពុងដំណើរការ FIPS ការធ្វើតេស្តខ្លួនឯង
mgd៖ សាកល្បងខឺណែល KATS៖
mgd: NIST 800-90 HMAC DRBG Known Answer Test: ឆ្លងកាត់
mgd៖ តេស្តចំលើយដែលគេស្គាល់ DES3-CBC៖ ឆ្លងកាត់
mgd: HMAC-SHA1 Known Answer Test: ឆ្លងកាត់
mgd: HMAC-SHA2-256 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: SHA-2-384 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: SHA-2-512 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd៖ តេស្តចំលើយដែលគេស្គាល់ AES128-CMAC៖ ឆ្លងកាត់
mgd: AES-CBC Known Answer Test: ឆ្លងកាត់
mgd៖ សាកល្បង MACSec KATS៖
mgd៖ តេស្តចំលើយដែលគេស្គាល់ AES128-CMAC៖ ឆ្លងកាត់
mgd៖ តេស្តចំលើយដែលគេស្គាល់ AES256-CMAC៖ ឆ្លងកាត់
mgd៖ តេស្តចំលើយដែលគេស្គាល់ AES-ECB៖ ឆ្លងកាត់
mgd: តេស្តចំលើយដែលគេស្គាល់ AES-KEYWRAP៖ ឆ្លងកាត់
mgd: KBKDF Known Answer Test: ឆ្លងកាត់
mgd៖ សាកល្បង libmd KATS៖
mgd: HMAC-SHA1 Known Answer Test: ឆ្លងកាត់
mgd: HMAC-SHA2-256 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: SHA-2-512 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd៖ សាកល្បង OpenSSL KATS៖
mgd: NIST 800-90 HMAC DRBG Known Answer Test: ឆ្លងកាត់
mgd: FIPS ECDSA Known Answer Test: ឆ្លងកាត់
mgd: FIPS ECDH Known Answer Test: ឆ្លងកាត់
mgd: តេស្តចំលើយដែលគេស្គាល់ FIPS RSA៖ ឆ្លងកាត់
mgd៖ តេស្តចំលើយដែលគេស្គាល់ DES3-CBC៖ ឆ្លងកាត់
mgd: HMAC-SHA1 Known Answer Test: ឆ្លងកាត់
mgd: HMAC-SHA2-224 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: HMAC-SHA2-256 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: HMAC-SHA2-384 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: HMAC-SHA2-512 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: AES-CBC Known Answer Test: ឆ្លងកាត់
mgd៖ តេស្តចំលើយដែលគេស្គាល់ AES-GCM៖ ឆ្លងកាត់
mgd: ECDSA-SIGN Known Answer Test: ឆ្លងកាត់
mgd៖ KDF-IKE-V1 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: KDF-SSH-SHA256 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Known Answer Test: ឆ្លងកាត់
mgd: KAS-FFC-EPHEM-NOKC តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd៖ សាកល្បង QuickSec 7.0 KATS៖
mgd: NIST 800-90 HMAC DRBG Known Answer Test: ឆ្លងកាត់
mgd៖ តេស្តចំលើយដែលគេស្គាល់ DES3-CBC៖ ឆ្លងកាត់
mgd: HMAC-SHA1 Known Answer Test: ឆ្លងកាត់
mgd: HMAC-SHA2-224 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: HMAC-SHA2-256 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: HMAC-SHA2-384 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: HMAC-SHA2-512 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: AES-CBC Known Answer Test: ឆ្លងកាត់
mgd៖ តេស្តចំលើយដែលគេស្គាល់ AES-GCM៖ ឆ្លងកាត់
mgd: SSH-RSA-ENC តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: SSH-RSA-SIGN Known Answer Test: ឆ្លងកាត់
mgd: SSH-ECDSA-SIGN តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd៖ KDF-IKE-V1 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd៖ KDF-IKE-V2 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd៖ សាកល្បង QuickSec KATS៖
mgd: NIST 800-90 HMAC DRBG Known Answer Test: ឆ្លងកាត់
mgd៖ តេស្តចំលើយដែលគេស្គាល់ DES3-CBC៖ ឆ្លងកាត់
mgd: HMAC-SHA1 Known Answer Test: ឆ្លងកាត់
mgd: HMAC-SHA2-224 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: HMAC-SHA2-256 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: HMAC-SHA2-384 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: HMAC-SHA2-512 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: AES-CBC Known Answer Test: ឆ្លងកាត់
mgd៖ តេស្តចំលើយដែលគេស្គាល់ AES-GCM៖ ឆ្លងកាត់
mgd: SSH-RSA-ENC តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: SSH-RSA-SIGN Known Answer Test: ឆ្លងកាត់
mgd៖ KDF-IKE-V1 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd៖ KDF-IKE-V2 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd៖ សាកល្បង SSH IPsec KATS៖
mgd: NIST 800-90 HMAC DRBG Known Answer Test: ឆ្លងកាត់
mgd៖ តេស្តចំលើយដែលគេស្គាល់ DES3-CBC៖ ឆ្លងកាត់
mgd: HMAC-SHA1 Known Answer Test: ឆ្លងកាត់
mgd: HMAC-SHA2-256 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: AES-CBC Known Answer Test: ឆ្លងកាត់
mgd: SSH-RSA-ENC តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: SSH-RSA-SIGN Known Answer Test: ឆ្លងកាត់
mgd៖ KDF-IKE-V1 តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd: ការធ្វើតេស្ត file សុចរិតភាព៖
mgd៖ File ភាពស្មោះត្រង់ ការសាកល្បងចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd៖ សាកល្បងភាពសុចរិតនៃគ្រីបតូ៖
mgd: ភាពត្រឹមត្រូវនៃគ្រីបតូ តេស្តចំលើយដែលគេស្គាល់៖ ឆ្លងកាត់
mgd៖ រំពឹងថានឹងមានកម្មវិធី AuthenticatiMAC/veriexec៖ គ្មានស្នាមម្រាមដៃ (file=/sbin/kats/cannot-exec
fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352) នៅលើកំហុស…
mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec៖ កំហុសក្នុងការផ្ទៀងផ្ទាត់
mgd: FIPS ការធ្វើតេស្តដោយខ្លួនឯងបានឆ្លងកាត់
LC KATS៖
ថ្ងៃទី 12 10:50:44 network_macsec_kats_បញ្ចូល xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ថ្ងៃទី 12 10:50:50 network_macsec_kats_បញ្ចូល xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ថ្ងៃទី 12 10:50:55 network_macsec_kats_បញ្ចូល xe- /0/0:0:
no> pic:0 port:0 chan:0 FIPS AES-256-GCM ការឌិគ្រីប MACsec KATS បានឆ្លងផុត
ថ្ងៃទី 12 10:50:56 network_macsec_kats_បញ្ចូល xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ថ្ងៃទី 12 10:51:01 network_macsec_kats_បញ្ចូល xe- /0/1:0:
no> pic:0 port:1 chan:0 FIPS AES-256-GCM ការឌិគ្រីប MACsec KATS បានឆ្លងផុត
ថ្ងៃទី 12 10:51:02 network_macsec_kats_បញ្ចូល xe- /0/2:0:
no> pic:0 port:2 chan:0 FIPS AES-256-GCM ការឌិគ្រីប MACsec KATS បានឆ្លងផុត
ថ្ងៃទី 12 10:51:06 network_macsec_kats_បញ្ចូល xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ថ្ងៃទី 12 10:51:12 network_macsec_kats_បញ្ចូល xe- /0/3:0:
no> pic:0 port:3 chan:0 FIPS AES-256-GCM ការឌិគ្រីប MACsec KATS បានឆ្លងផុត
ថ្ងៃទី 12 10:51:17 network_macsec_kats_បញ្ចូល xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ថ្ងៃទី 12 10:51:17 network_macsec_kats_បញ្ចូល xe- /0/4:0:
no> pic:0 port:4 chan:0 FIPS AES-256-GCM ការឌិគ្រីប MACsec KATS បានឆ្លងផុត
ថ្ងៃទី 12 10:51:26 network_macsec_kats_បញ្ចូល xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ថ្ងៃទី 12 10:51:27 network_macsec_kats_បញ្ចូល xe- /0/5:0:
no> pic:0 port:5 chan:0 FIPS AES-256-GCM ការឌិគ្រីប MACsec KATS បានឆ្លងផុត
ថ្ងៃទី 12 10:51:36 network_macsec_kats_បញ្ចូល xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ថ្ងៃទី 12 10:51:36 network_macsec_kats_បញ្ចូល xe- /0/6:0:
no> pic:0 port:6 chan:0 FIPS AES-256-GCM ការឌិគ្រីប MACsec KATS បានឆ្លងផុត
ថ្ងៃទី 12 10:51:44 network_macsec_kats_បញ្ចូល xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ថ្ងៃទី 12 10:51:44 network_macsec_kats_បញ្ចូល xe- /0/7:0:
no> pic:0 port:7 chan:0 FIPS AES-256-GCM ការឌិគ្រីប MACsec KATS បានឆ្លងផុត
ថ្ងៃទី 12 10:51:51 network_macsec_kats_បញ្ចូល xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ថ្ងៃទី 12 10:51:51 network_macsec_kats_បញ្ចូល xe- /0/8:0:
no> pic:0 port:8 chan:0 FIPS AES-256-GCM ការឌិគ្រីប MACsec KATS បានឆ្លងផុត
ថ្ងៃទី 12 10:51:58 network_macsec_kats_បញ្ចូល xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ថ្ងៃទី 12 10:51:58 network_macsec_kats_បញ្ចូល xe- /0/9:0:
no> pic:0 port:9 chan:0 FIPS AES-256-GCM ការឌិគ្រីប MACsec KATS បានឆ្លងផុត
ខែកញ្ញា 12 10:52:05 network_macsec_kats_បញ្ចូល xe- /0/10:0:
Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ខែកញ្ញា 12 10:52:05 network_macsec_kats_បញ្ចូល xe- /0/10:0:
Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS decryption បានឆ្លងផុត
ខែកញ្ញា 12 10:52:12 network_macsec_kats_បញ្ចូល xe- /0/11:0:
Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ខែកញ្ញា 12 10:52:12 network_macsec_kats_បញ្ចូល xe- /0/11:0:
Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS decryption បានឆ្លងផុត
ថ្ងៃទី 12 10:52:20 network_macsec_kats_បញ្ចូល xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ថ្ងៃទី 12 10:52:20 network_macsec_kats_បញ្ចូល xe- /1/0:0:
no> pic:1 port:0 chan:0 FIPS AES-256-GCM ការឌិគ្រីប MACsec KATS បានឆ្លងផុត
ថ្ងៃទី 12 10:52:27 network_macsec_kats_បញ្ចូល xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
ថ្ងៃទី 12 10:52:28 network_macsec_kats_បញ្ចូល xe- /1/1:0:
no> pic:1 port:1 chan:0 FIPS AES-256-GCM ការឌិគ្រីប MACsec KATS បានឆ្លងផុត
ថ្ងៃទី 12 10:52:34 network_macsec_kats_បញ្ចូល xe- /1/2:0:
no> pic:1 port:2 chan:0 FIPS AES-256-GCM MACsec KATS encryption បានឆ្លងផុត
អត្ថន័យ
កំណត់ហេតុប្រព័ន្ធ file បង្ហាញកាលបរិច្ឆេទ និងពេលវេលាដែល KATs ត្រូវបានប្រតិបត្តិ និងស្ថានភាពរបស់វា។

ពាក្យបញ្ជាប្រតិបត្តិការ

វាក្យសម្ពន្ធ
ស្នើសុំប្រព័ន្ធសូន្យ
ការពិពណ៌នា
សម្រាប់ RE1800 សូមលុបព័ត៌មានកំណត់រចនាសម្ព័ន្ធទាំងអស់នៅលើ Routing Engines ហើយកំណត់តម្លៃគន្លឹះទាំងអស់ឡើងវិញ។ ប្រសិនបើឧបករណ៍មានម៉ាស៊ីនបញ្ជូនផ្លូវពីរ ពាក្យបញ្ជាត្រូវបានផ្សាយទៅម៉ាស៊ីនកំណត់ផ្លូវទាំងអស់នៅលើឧបករណ៍។ ពាក្យបញ្ជាដកទិន្នន័យទាំងអស់។ files រួមទាំងការកំណត់រចនាសម្ព័ន្ធតាមតម្រូវការ និងកំណត់ហេតុ files ដោយផ្ដាច់តំណ files ពីថតរបស់ពួកគេ។ ពាក្យបញ្ជាលុបចោលទាំងអស់ដែលបង្កើតដោយអ្នកប្រើ files ពីប្រព័ន្ធរួមទាំងពាក្យសម្ងាត់អត្ថបទធម្មតាទាំងអស់ អាថ៌កំបាំង និងសោឯកជនសម្រាប់ SSH ការអ៊ិនគ្រីបមូលដ្ឋាន ការផ្ទៀងផ្ទាត់មូលដ្ឋាន IPsec RADIUS TACACS+ និង SNMP ។
ពាក្យបញ្ជានេះចាប់ផ្ដើមឧបករណ៍ឡើងវិញ ហើយកំណត់វាទៅជាការកំណត់លំនាំដើមរបស់រោងចក្រ។ បន្ទាប់ពីការចាប់ផ្តើមឡើងវិញ អ្នកមិនអាចចូលប្រើឧបករណ៍តាមរយៈចំណុចប្រទាក់ Ethernet គ្រប់គ្រងបានទេ។ ចូលតាមរយៈកុងសូលជា root ហើយចាប់ផ្តើម Junos OS CLI ដោយវាយពាក្យ cli នៅប្រអប់បញ្ចូល។
កម្រិតឯកសិទ្ធិចាំបាច់
ការថែទាំ
ស្នើសុំ vmhost zeroize គ្មានការបញ្ជូនបន្ត
វាក្យសម្ពន្ធ
ស្នើសុំ vmhost zeroize គ្មានការបញ្ជូនបន្ត
ការពិពណ៌នា
សម្រាប់ REMX2K-X8 សូមលុបព័ត៌មានកំណត់រចនាសម្ព័ន្ធទាំងអស់នៅលើ Routing Engines ហើយកំណត់តម្លៃគន្លឹះទាំងអស់ឡើងវិញ។ ប្រសិនបើឧបករណ៍មានម៉ាស៊ីនបញ្ជូនផ្លូវពីរ ពាក្យបញ្ជាត្រូវបានផ្សាយទៅម៉ាស៊ីនបញ្ជូនផ្លូវទាំងពីរនៅលើឧបករណ៍។
ពាក្យបញ្ជាដកទិន្នន័យទាំងអស់។ files រួមទាំងការកំណត់រចនាសម្ព័ន្ធតាមតម្រូវការ និងកំណត់ហេតុ files ដោយផ្ដាច់តំណ files ពីថតរបស់ពួកគេ។ ពាក្យបញ្ជាលុបចោលទាំងអស់ដែលបង្កើតដោយអ្នកប្រើ files ពីប្រព័ន្ធរួមទាំងពាក្យសម្ងាត់អត្ថបទធម្មតា អាថ៌កំបាំង និងសោឯកជនទាំងអស់សម្រាប់ SSH ការអ៊ិនគ្រីបមូលដ្ឋាន ការផ្ទៀងផ្ទាត់មូលដ្ឋាន IPsec RADIUS TACACS+ និង SNMP ។
ពាក្យបញ្ជានេះចាប់ផ្ដើមឧបករណ៍ឡើងវិញ ហើយកំណត់វាទៅជាការកំណត់រចនាសម្ព័ន្ធលំនាំដើមពីរោងចក្រ។ បន្ទាប់ពីការចាប់ផ្តើមឡើងវិញ អ្នកមិនអាចចូលប្រើឧបករណ៍តាមរយៈចំណុចប្រទាក់ Ethernet គ្រប់គ្រងបានទេ។ ចូលតាមរយៈកុងសូលជាអ្នកប្រើប្រាស់ root ហើយចាប់ផ្តើម Junos OS CLI ដោយវាយពាក្យ cli នៅប្រអប់បញ្ចូល។
Sampលទ្ធផល
ស្នើសុំ vmhost zeroize គ្មានការបញ្ជូនបន្ត
user@host> ស្នើសុំ vmhost zeroize គ្មានការបញ្ជូនបន្ត
VMHost Zeroization៖ លុបទិន្នន័យទាំងអស់ រួមទាំងការកំណត់រចនាសម្ព័ន្ធ និងកំណត់ហេតុ fileស?
[បាទ/ចាស ទេ] (ទេ) បាទ
re0:
ការព្រមាន៖ Vmhost នឹងចាប់ផ្ដើមឡើងវិញ ហើយមិនអាចចាប់ផ្ដើមដោយគ្មាន
ការកំណត់រចនាសម្ព័ន្ធ
ការព្រមាន៖ បន្តជាមួយ vmhost
សូន្យ
Zeroise Secondary Internal Disk
បន្តដោយសូន្យនៅលើអនុវិទ្យាល័យ
ថាស
ឧបករណ៍ម៉ោននៅក្នុងការរៀបចំសម្រាប់
សូន្យ…
ការសម្អាតថាសគោលដៅសម្រាប់សូន្យ
Zeroize សម្រេចបានតាមគោលដៅ
ថាស។
សូន្យនៃថាសបន្ទាប់បន្សំ
បានបញ្ចប់
លុបថាសខាងក្នុងបឋម
បន្តជាមួយសូន្យនៅលើបឋម
ថាស
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_dsa_key
ឧបករណ៍ម៉ោននៅក្នុងការរៀបចំសម្រាប់
សូន្យ…
ការសម្អាតថាសគោលដៅសម្រាប់សូន្យ
Zeroize សម្រេចបានតាមគោលដៅ
ថាស។
សូន្យនៃថាសចម្បង
បានបញ្ចប់
សូន្យ
រួចរាល់
—(ច្រើនទៀត)- ឈប់
cron
កំពុងរង់ចាំ PIDS៖
០១.
.
ថ្ងៃទី 16 ខែកុម្ភៈ ម៉ោង 14:59:33 jlaunchd៖ សេវាកញ្ចប់ព័ត៌មានតាមកាលកំណត់ (PID 6181) បញ្ចប់សញ្ញា 15 ដែលបានផ្ញើ
ថ្ងៃទី 16 ខែកុម្ភៈ 14:59:33 jlaunchd: smg-service (PID 6234) បញ្ចប់សញ្ញា 15 ដែលបានផ្ញើ
ថ្ងៃទី 16 ខែកុម្ភៈ 14:59:33 jlaunchd៖ ការកំណត់អត្តសញ្ញាណកម្មវិធី (PID 6236) បញ្ចប់សញ្ញា 15 ដែលបានផ្ញើ
ថ្ងៃទី 16 ខែកុម្ភៈ 14:59:33 jlaunchd: ifstate-tracing-process (PID 6241) បញ្ចប់សញ្ញា 15 ដែលបានផ្ញើ
ថ្ងៃទី 16 ខែកុម្ភៈ 14:59:33 jlaunchd៖ ការគ្រប់គ្រងធនធាន (PID 6243) បញ្ចប់សញ្ញា 15 ដែលបានផ្ញើ
ថ្ងៃទី 16 ខែកុម្ភៈ ម៉ោង 14:59:33 jlaunchd: គិតថ្លៃ (PID 6246) បញ្ចប់សញ្ញា 15 បានផ្ញើ
ខែកុម្ភៈ 16 14:59:33 jlaunchd: សេវាកម្មអាជ្ញាប័ណ្ណ (PID 6255) បញ្ចប់សញ្ញា 15 ដែលបានផ្ញើ
ថ្ងៃទី 16 ខែកុម្ភៈ 14:59:33 jlaunchd: ntp (PID 6620) បញ្ចប់សញ្ញា 15 ដែលបានផ្ញើ
ថ្ងៃទី 16 ខែកុម្ភៈ 14:59:33 jlaunchd: gkd-chassis (PID 6621) បញ្ចប់សញ្ញា 15 ដែលបានផ្ញើ
ថ្ងៃទី 16 ខែកុម្ភៈ 14:59:33 jlaunchd: gkd-lchassis (PID 6622) បញ្ចប់សញ្ញា 15 ដែលបានផ្ញើ
ថ្ងៃទី 16 ខែកុម្ភៈ ម៉ោង 14:59:33 jlaunchd: ការបញ្ជូនត (PID 6625) បញ្ចប់សញ្ញា 15 ដែលបានផ្ញើ
ថ្ងៃទី 16 ខែកុម្ភៈ 14:59:33 jlaunchd: sonet-aps (PID 6626) បញ្ចប់សញ្ញា 15 ដែលបានផ្ញើ
ថ្ងៃទី 16 ខែកុម្ភៈ 14:59:33 jlaunchd: ប្រតិបត្តិការពីចម្ងាយ (PID 6627) បញ្ចប់សញ្ញា 15 ដែលបានផ្ញើ
ថ្ងៃទី 16 ខែកុម្ភៈ ម៉ោង 14:59:33 នាទី jlaunchd: class-of-service
……..
99

ឯកសារ/ធនធាន

JUNIPER NETWORKS Junos OS FIPS ឧបករណ៍វាយតម្លៃ [pdf] ការណែនាំអ្នកប្រើប្រាស់
ឧបករណ៍វាយតម្លៃ Junos OS FIPS, Junos OS, ឧបករណ៍វាយតម្លៃ FIPS, ឧបករណ៍វាយតម្លៃ, ឧបករណ៍

ឯកសារយោង

សៀវភៅណែនាំអ្នកប្រើប្រាស់

JUNIPER NETWORKS Junos OS FIPS ឧបករណ៍វាយតម្លៃ

ជាងview

ការកំណត់អត្តសញ្ញាណ និងសិទ្ធិរដ្ឋបាល

កំណត់រចនាសម្ព័ន្ធតួនាទី និងវិធីសាស្ត្រផ្ទៀងផ្ទាត់

ការកំណត់រចនាសម្ព័ន្ធ SSH និងការតភ្ជាប់កុងសូល។

ការកំណត់រចនាសម្ព័ន្ធ MACsec

ការកំណត់រចនាសម្ព័ន្ធ MACsec ជាមួយ keychain សម្រាប់ស្រទាប់ទី 2 ចរាចរណ៍

កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍

ការធ្វើតេស្តដោយខ្លួនឯងនៅលើឧបករណ៍

ពាក្យបញ្ជាប្រតិបត្តិការ

ឯកសារ/ធនធាន

ឯកសារយោង

ទុកមតិយោបល់

បោះបង់ការឆ្លើយតប