កុងតាក់បណ្តាញ QUANTUM QN-SW-325
លក្ខណៈបច្ចេកទេស
- ផលិតផល៖ មគ្គុទ្ទេសក៍ CLI ប្តូរបណ្តាញ
- ពាក្យបញ្ជា៖ 802.1x, ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ aaa dot1x, ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបើកចំហ, ជម្រះស្ថិតិ dot1x, ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ dot1x
- របៀបកំណត់រចនាសម្ព័ន្ធ៖ របៀបកំណត់រចនាសម្ព័ន្ធសកល ចំណុចប្រទាក់ (អ៊ីសឺរណិត OOB) របៀបកំណត់រចនាសម្ព័ន្ធ របៀប EXEC ដែលមានសិទ្ធិ
ការណែនាំអំពីការប្រើប្រាស់ផលិតផល
aaa ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ dot1x ពាក្យបញ្ជា
- វាក្យសម្ពន្ធ៖ aaa ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ dot1x
- ប៉ារ៉ាម៉ែត្រ៖ កាំ គ្មាន
- ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម៖ ម៉ាស៊ីនមេកាំ
- ការប្រើប្រាស់៖ បញ្ជាក់ម៉ាស៊ីនមេសម្រាប់ការផ្ទៀងផ្ទាត់នៅពេលដែលការផ្ទៀងផ្ទាត់ 802.1X ត្រូវបានបើកដំណើរការ។
- Exampលេ៖ កំណត់របៀបផ្ទៀងផ្ទាត់ទៅការផ្ទៀងផ្ទាត់ម៉ាស៊ីនមេ RADIUS ។
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបើកពាក្យបញ្ជា
- វាក្យសម្ពន្ធ៖ បើកការផ្ទៀងផ្ទាត់
- ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម៖ ពិការ
- ការប្រើប្រាស់៖ បើកដំណើរការបើកនៅលើច្រកសម្រាប់របៀបត្រួតពិនិត្យ។
ជម្រះពាក្យបញ្ជាស្ថិតិ dot1x
- វាក្យសម្ពន្ធ៖ ជម្រះស្ថិតិ dot1x [interface-id]
- ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម៖ ស្ថិតិនៅលើច្រកទាំងអស់ត្រូវបានសម្អាត
- ការប្រើប្រាស់៖ ជម្រះស្ថិតិ 802.1X
ពាក្យបញ្ជាការផ្ទៀងផ្ទាត់ dot1x
- វាក្យសម្ពន្ធ៖ ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ dot1x [802.1x] [mac]
- ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម៖ ការផ្ទៀងផ្ទាត់ផ្អែកលើ 802.1X ត្រូវបានបើក
- ការប្រើប្រាស់៖ បើកដំណើរការវិធីសាស្ត្រផ្ទៀងផ្ទាត់នៅលើច្រកដោយផ្អែកលើ 802.1X ឬអាសយដ្ឋាន MAC ។
ការណែនាំអំពីការផ្លាស់ប្តូរបណ្តាញ CLI
802.1x ពាក្យបញ្ជា
aaa ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ dot1x
| វាក្យសម្ពន្ធ | aaaauthenticationdot1xdefault{radius|none|{radiusnone}} គ្មាន aaa ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ dot1x លំនាំដើម |
| ប៉ារ៉ាម៉ែត្រ | កាំ - ប្រើបញ្ជីម៉ាស៊ីនមេ RADIUS ទាំងអស់សម្រាប់ការផ្ទៀងផ្ទាត់។
គ្មាន- មិនប្រើការផ្ទៀងផ្ទាត់។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | ម៉ាស៊ីនមេកាំ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ការប្រើប្រាស់ | ដើម្បីបញ្ជាក់ថាតើម៉ាស៊ីនមេណាមួយដែលត្រូវបានប្រើសម្រាប់ការផ្ទៀងផ្ទាត់នៅពេលដែលការផ្ទៀងផ្ទាត់ 802.1X ត្រូវបានបើក សូមប្រើពាក្យបញ្ជា dot1x ការផ្ទៀងផ្ទាត់ aaa នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example កំណត់របៀបផ្ទៀងផ្ទាត់ 802.1X ទៅជាការផ្ទៀងផ្ទាត់ម៉ាស៊ីនមេ RADIUS ។ ទោះបីជាមិនមានការឆ្លើយតបក៏ដោយ ក៏ការផ្ទៀងផ្ទាត់បានជោគជ័យ។
switchxxxxxx(config)# ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ aaa dot1x គ្មានកាំលំនាំដើមទេ។ |
| ការណែនាំអ្នកប្រើប្រាស់ | អ្នកប្រើប្រាស់អាចជ្រើសរើសការផ្ទៀងផ្ទាត់ដោយម៉ាស៊ីនមេ RADIUS គ្មានការផ្ទៀងផ្ទាត់ (គ្មាន) ឬវិធីសាស្រ្តទាំងពីរ។
ប្រសិនបើអ្នកតម្រូវឱ្យការផ្ទៀងផ្ទាត់ជោគជ័យ ទោះបីជាមិនមានការឆ្លើយតបរបស់ម៉ាស៊ីនមេ RADIUS ក៏ដោយ សូមបញ្ជាក់គ្មានវិធីចុងក្រោយនៅក្នុងបន្ទាត់ពាក្យបញ្ជា។ |
បើកការផ្ទៀងផ្ទាត់
| វាក្យសម្ពន្ធ | ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបើក មិនមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបើកទេ។ |
| ប៉ារ៉ាម៉ែត្រ | ពាក្យបញ្ជានេះមិនមានអាគុយម៉ង់ ឬពាក្យគន្លឹះទេ។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | ពិការ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត OOB) ។ |
| ការប្រើប្រាស់ | ដើម្បីបើកការចូលដំណើរការបើកចំហ (របៀបត្រួតពិនិត្យ) នៅលើច្រកនេះ សូមប្រើការបើកការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ពាក្យបញ្ជានៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។ ដើម្បីបិទដំណើរការបើកនៅលើច្រកនេះ សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example បើករបៀបបើកនៅលើចំណុចប្រទាក់ te1/0/1:
switchxxxxxx(config)# interface te1/0/1 switchxxxxxx(config-if)# បើកការផ្ទៀងផ្ទាត់ |
| ការណែនាំអ្នកប្រើប្រាស់ | បើកការចូលប្រើ ឬរបៀបត្រួតពិនិត្យអនុញ្ញាតឱ្យអតិថិជន ឬឧបករណ៍ទទួលបានសិទ្ធិចូលប្រើបណ្តាញ មុនពេលការផ្ទៀងផ្ទាត់ត្រូវបានអនុវត្ត។ នៅក្នុងរបៀប កុងតាក់ដំណើរការការឆ្លើយតបបរាជ័យដែលបានទទួលពីម៉ាស៊ីនមេរ៉ាឌីសជាជោគជ័យ។ |
ជម្រះស្ថិតិ dot1x
| វាក្យសម្ពន្ធ | ជម្រះស្ថិតិ dot1x [លេខសម្គាល់ចំណុចប្រទាក់] |
| ប៉ារ៉ាម៉ែត្រ | លេខសម្គាល់ចំណុចប្រទាក់- បញ្ជាក់លេខសម្គាល់ច្រកអ៊ីសឺរណិត។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | ស្ថិតិនៅលើច្រកទាំងអស់ត្រូវបានសម្អាត។ |
| របៀបពាក្យបញ្ជា | របៀប EXEC ដែលមានសិទ្ធិ។ |
| ការប្រើប្រាស់ | ដើម្បីសម្អាតស្ថិតិ 802.1X សូមប្រើស្ថិតិ dot1x ច្បាស់លាស់
ពាក្យបញ្ជានៅក្នុងរបៀប EXEC ដែលមានសិទ្ធិ។ |
| Example | ប្ដូរ xxxxxx# ស្ថិតិ dot1x ច្បាស់លាស់ |
| ការណែនាំអ្នកប្រើប្រាស់ | ពាក្យបញ្ជានេះសម្អាតបញ្ជរទាំងអស់ដែលបង្ហាញក្នុងការបង្ហាញ dot1x
និងបង្ហាញពាក្យបញ្ជាស្ថិតិ dot1x ។ |
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ dot1x
| វាក្យសម្ពន្ធ | dot1xauthentication [802.1x][mac] no dot1x authentication |
| ប៉ារ៉ាម៉ែត្រ | 802.1x-បើកដំណើរការការផ្ទៀងផ្ទាត់ដោយផ្អែកលើ 802.1X (ការផ្ទៀងផ្ទាត់ផ្អែកលើ 802.1X)។
ម៉ាក់-បើកដំណើរការការផ្ទៀងផ្ទាត់ដោយផ្អែកលើអាសយដ្ឋាន MAC របស់ស្ថានីយ៍ (ការផ្ទៀងផ្ទាត់ MAC-Based)។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | ការផ្ទៀងផ្ទាត់ផ្អែកលើ X ត្រូវបានបើក។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត) ។ |
| ការប្រើប្រាស់ | ដើម្បីបើកវិធីសាស្ត្រផ្ទៀងផ្ទាត់នៅលើច្រក សូមប្រើពាក្យបញ្ជា dot1x authentication នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example បើកការផ្ទៀងផ្ទាត់ដោយផ្អែកលើ 802.1x និងអាសយដ្ឋាន MAC របស់ស្ថានីយ៍នៅលើ portte1/0/1៖
switchxxxxxx(config)# interface te1/0/1 switchxxxxxx(config-if)# dot1x authentication 802.1x mac |
| ការណែនាំអ្នកប្រើប្រាស់ | អាសយដ្ឋាន MAC ឋិតិវន្តមិនអាចត្រូវបានអនុញ្ញាតដោយវិធីសាស្ត្រផ្អែកលើ MAC ទេ។
វាមិនត្រូវបានណែនាំអោយផ្លាស់ប្តូរអាសយដ្ឋាន MAC ថាមវន្តទៅជាឋិតិវន្ត ឬលុបវាទេ ប្រសិនបើអាសយដ្ឋាន MAC ត្រូវបានអនុញ្ញាតដោយការផ្ទៀងផ្ទាត់ផ្អែកលើ MAC៖ ប្រសិនបើអាសយដ្ឋាន MAC ថាមវន្តដែលត្រូវបានផ្ទៀងផ្ទាត់ដោយការផ្ទៀងផ្ទាត់ដែលមានមូលដ្ឋានលើ MAC ត្រូវបានប្តូរទៅជាឋិតិវន្ត នោះវានឹងមិនត្រូវបានផ្ទៀងផ្ទាត់ឡើងវិញដោយដៃទេ។ ការដកអាសយដ្ឋាន MAC ថាមវន្តដែលផ្ទៀងផ្ទាត់ដោយការផ្ទៀងផ្ទាត់ផ្អែកលើ MAC បណ្តាលឱ្យមានការផ្ទៀងផ្ទាត់ឡើងវិញរបស់វា។ |
dot1x guest-vlan
| វាក្យសម្ពន្ធ | dot1x guest-vlan no dot1x guest-vlan |
| ប៉ារ៉ាម៉ែត្រ | គ្មាន |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | គ្មាន VLAN ត្រូវបានកំណត់ថាជា VLAN ភ្ញៀវទេ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (VLAN) ។ |
| ការប្រើប្រាស់ | ដើម្បីកំណត់ VLAN ភ្ញៀវ ប្រើពាក្យបញ្ជា dot1x guest-vlan mode នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធ Interface(VLAN)។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example កំណត់ VLAN 2 ជា VLAN ភ្ញៀវ។
switchxxxxxx(config)# interface vlan 2 switchxxxxxx(config-if)# dot1x guest-vlan |
| ការណែនាំអ្នកប្រើប្រាស់ | ប្រើពាក្យបញ្ជាបើក dot1x guest-vlan ដើម្បីបើកអ្នកប្រើប្រាស់ដែលគ្មានការអនុញ្ញាតនៅលើចំណុចប្រទាក់ដើម្បីចូលប្រើ Guest VLAN ។
ឧបករណ៍មួយអាចមាន VLAN ភ្ញៀវសកលតែមួយគត់។ Guest VLAN ត្រូវតែជា VLAN ឋិតិវន្ត ហើយវាមិនអាចដកចេញបានទេ។ VLAN ដែលគ្មានការអនុញ្ញាតមិនអាចកំណត់រចនាសម្ព័ន្ធជា VLAN ភ្ញៀវបានទេ។ |
បើក dot1x guest-vlan
| វាក្យសម្ពន្ធ | dot1x guest-vlan បើក no dot1x guest-vlan បើក |
| ប៉ារ៉ាម៉ែត្រ | គ្មាន |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | ពិការ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត) ។ |
| ការប្រើប្រាស់ | ដើម្បីបើកអ្នកប្រើប្រាស់ដែលគ្មានការអនុញ្ញាតនៅលើចំណុចប្រទាក់ចូលប្រើ VLAN ភ្ញៀវ សូមប្រើពាក្យបញ្ជា បើក dot1x guest-vlan ពាក្យបញ្ជានៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។
ដើម្បីបិទដំណើរការចូលប្រើ ទេ ទម្រង់នៃពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example បើកឱ្យអ្នកប្រើប្រាស់ដែលគ្មានការអនុញ្ញាតនៅលើ te1/0/1 ដើម្បីចូលប្រើ guestVLAN ។
switchxxxxxx(config)# interface te1/0/1 switchxxxxxx(config-if)# dot1x guest-vlan បើក |
| ការណែនាំអ្នកប្រើប្រាស់ | ពាក្យបញ្ជានេះមិនអាចកំណត់រចនាសម្ព័ន្ធបានទេ ប្រសិនបើ VLAN ត្រួតពិនិត្យត្រូវបានបើកនៅលើចំណុចប្រទាក់។
ប្រសិនបើច្រកមិនមែនជាកម្មសិទ្ធិរបស់ VLAN ភ្ញៀវទេ វាត្រូវបានបន្ថែមទៅ VLAN របស់ភ្ញៀវជា egress untagច្រក ged ។ ប្រសិនបើរបៀបផ្ទៀងផ្ទាត់គឺជាម៉ាស៊ីនតែមួយ ឬម៉ាស៊ីនច្រើន តម្លៃនៃ PVID ត្រូវបានកំណត់ទៅភ្ញៀវ VLAN_ID ។ ប្រសិនបើរបៀបផ្ទៀងផ្ទាត់គឺជារបៀបច្រើនវគ្គ PVID មិនត្រូវបានផ្លាស់ប្តូរទេ ហើយទាំងអស់គឺ untagចរាចរណ៍ ged និង tagged traffic ដែលមិនមែនជារបស់ VLANs ដែលមិនមានការផ្ទៀងផ្ទាត់ពី hosts ដែលគ្មានការអនុញ្ញាតត្រូវបានផ្គូផ្គងទៅនឹង Guest VLAN ។ ប្រសិនបើ 802.1X ត្រូវបានបិទ ការកំណត់រចនាសម្ព័ន្ធឋិតិវន្តច្រកត្រូវបានកំណត់ឡើងវិញ។ សូមមើលការណែនាំអ្នកប្រើប្រាស់នៃពាក្យបញ្ជា dot1x host-mode សម្រាប់ព័ត៌មានបន្ថែម។ |
អស់ពេល dot1x guest-vlan
| វាក្យសម្ពន្ធ | អស់ពេល dot1x guest-vlan អស់ពេល
គ្មាន dot1x guest-vlan អស់ពេល |
| ប៉ារ៉ាម៉ែត្រ | អស់ពេល - បញ្ជាក់ការពន្យាពេលជាវិនាទីរវាងការបើក 802.1X (ឬច្រកឡើង) និងបន្ថែមច្រកទៅ VLAN ភ្ញៀវ។ (ជួរ៖ ៣០–១៨០)។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | VLAN របស់ភ្ញៀវត្រូវបានអនុវត្តភ្លាមៗ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ការប្រើប្រាស់ | ដើម្បីកំណត់ពេលវេលាពន្យាពេលរវាងការបើក 802.1X (ឬច្រកឡើង) និងការបន្ថែមច្រកទៅ VLAN ភ្ញៀវ សូមប្រើពាក្យបញ្ជាអស់ពេល dot1x guest-vlan នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example កំណត់ការពន្យាពេលរវាងការបើក 802.1X និងបន្ថែមច្រកទៅ VLAN ភ្ញៀវទៅ 60 វិនាទី។
ប្ដូរ xxxxxx (កំណត់រចនាសម្ព័ន្ធ)# អស់ពេល dot1x guest-vlan 60 |
| ការណែនាំអ្នកប្រើប្រាស់ | ពាក្យបញ្ជានេះពាក់ព័ន្ធប្រសិនបើ VLAN ភ្ញៀវត្រូវបានបើកនៅលើច្រក។ ការកំណត់ការអស់ពេលបន្ថែមការពន្យាពេលពីការបើក 802.1X (ឬច្រកឡើង) ទៅពេលដែលឧបករណ៍បន្ថែមច្រកទៅ VLAN ភ្ញៀវ។ |
dot1x host-mode
| វាក្យសម្ពន្ធ | dot1x host-mode {multi-host | ម៉ាស៊ីនតែមួយ | ច្រើនវគ្គ} |
| ប៉ារ៉ាម៉ែត្រ | ម៉ាស៊ីនពហុ- បើករបៀបម៉ាស៊ីនច្រើន។
ម៉ាស៊ីនតែមួយ- បើករបៀបម៉ាស៊ីនតែមួយ។ ពហុវគ្គ- បើករបៀបវគ្គច្រើន។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | របៀបលំនាំដើមគឺពហុម៉ាស៊ីន។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត) ។ |
| ការប្រើប្រាស់ | ដើម្បីអនុញ្ញាតម៉ាស៊ីនតែមួយ (ម៉ាស៊ីនភ្ញៀវ) ឬម៉ាស៊ីនច្រើននៅលើច្រកដែលបានអនុញ្ញាត IEEE 802.1X ប្រើពាក្យបញ្ជា dot1x host-mode នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | switchxxxxxx(config)# interface te1/0/1 switchxxxxxx(config-if)# dot1x host-mode multi-host |
| ការណែនាំអ្នកប្រើប្រាស់ | របៀបម៉ាស៊ីនតែមួយ
របៀបម៉ាស៊ីនតែមួយគ្រប់គ្រងស្ថានភាពផ្ទៀងផ្ទាត់ច្រក៖ ច្រកត្រូវបានអនុញ្ញាតប្រសិនបើមានម៉ាស៊ីនដែលមានការអនុញ្ញាត។ នៅក្នុងរបៀបនេះ មានតែម៉ាស៊ីនតែមួយប៉ុណ្ណោះដែលអាចអនុញ្ញាតបាននៅលើច្រក។ នៅពេលដែលច្រកមួយមិនត្រូវបានអនុញ្ញាត ហើយ VLAN ភ្ញៀវត្រូវបានបើក, untagចរាចរណ៍ ged ត្រូវបានផ្គូផ្គងឡើងវិញទៅនឹង VLAN របស់ភ្ញៀវ។ Tagចរាចរណ៍ ged ត្រូវបានទម្លាក់ លុះត្រាតែ VLAN tag គឺជា VLAN ភ្ញៀវ ឬ VLAN ដែលមិនមានការផ្ទៀងផ្ទាត់។ ប្រសិនបើភ្ញៀវ VLAN មិនត្រូវបានបើកនៅលើច្រកទេ មានតែ tagចរាចរណ៍ ged ដែលជាកម្មសិទ្ធិរបស់ VLANs ដែលមិនមានការផ្ទៀងផ្ទាត់ត្រូវបានភ្ជាប់។ នៅពេលដែលច្រកមួយត្រូវបានអនុញ្ញាត untagged និង tagចរាចរណ៍ ged ពីម៉ាស៊ីនដែលមានការអនុញ្ញាតត្រូវបានភ្ជាប់ដោយផ្អែកលើសមាជិកភាព static vlan ដែលបានកំណត់រចនាសម្ព័ន្ធនៅច្រក។ ចរាចរណ៍ពីម្ចាស់ផ្ទះផ្សេងទៀតត្រូវបានធ្លាក់ចុះ។ អ្នកប្រើអាចបញ្ជាក់ថា untagចរាចរណ៍ ged ពីម៉ាស៊ីនដែលមានការអនុញ្ញាតនឹងត្រូវបានថតឡើងវិញទៅ VLAN ដែលត្រូវបានផ្តល់ដោយម៉ាស៊ីនមេ RADIUS កំឡុងពេលដំណើរការផ្ទៀងផ្ទាត់។ ក្នុងករណីនេះ, tagចរាចរណ៍ ged ត្រូវបានទម្លាក់ លុះត្រាតែ VLAN tag គឺជា VLAN ដែលផ្តល់ដោយ RADIUS ឬ VLANs ដែលមិនមានការផ្ទៀងផ្ទាត់។ សូមមើល dot1x radius-attributes vlan ពាក្យបញ្ជាដើម្បីបើកការចាត់តាំង RADIUS VLAN នៅច្រកមួយ។ កុងតាក់ដកចេញពី FDB អាសយដ្ឋាន MAC ទាំងអស់ដែលបានរៀននៅលើច្រក នៅពេលដែលស្ថានភាពផ្ទៀងផ្ទាត់របស់វាត្រូវបានផ្លាស់ប្តូរពីអនុញ្ញាតទៅគ្មានការអនុញ្ញាត។ របៀបម៉ាស៊ីនច្រើន របៀបម៉ាស៊ីនច្រើនគ្រប់គ្រងស្ថានភាពការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ |
| ច្រក៖ ច្រកត្រូវបានអនុញ្ញាតបន្ទាប់ពីម៉ាស៊ីនយ៉ាងហោចណាស់មួយត្រូវបានអនុញ្ញាត។ នៅពេលដែលច្រកមួយមិនត្រូវបានអនុញ្ញាត ហើយ VLAN ភ្ញៀវត្រូវបានបើក, untagចរាចរណ៍ ged ត្រូវបានរៀបចំឡើងវិញចំពោះ VLAN របស់ភ្ញៀវ។ Tagចរាចរណ៍ ged ត្រូវបានទម្លាក់ លុះត្រាតែ VLAN tag គឺជា VLAN ភ្ញៀវ ឬ VLAN ដែលមិនមានការផ្ទៀងផ្ទាត់។ ប្រសិនបើភ្ញៀវ VLAN មិនត្រូវបានបើកនៅលើច្រកទេ មានតែ tagចរាចរណ៍ ged ដែលជាកម្មសិទ្ធិរបស់ VLANs ដែលមិនមានការផ្ទៀងផ្ទាត់ត្រូវបានភ្ជាប់។
នៅពេលដែលច្រកមួយត្រូវបានអនុញ្ញាត untagged និង tagចរាចរណ៍ ged ពីម៉ាស៊ីនទាំងអស់ដែលភ្ជាប់ទៅច្រកត្រូវបានភ្ជាប់ដោយផ្អែកលើសមាជិកភាព static vlan ដែលបានកំណត់រចនាសម្ព័ន្ធនៅច្រក។ អ្នកប្រើអាចបញ្ជាក់ថា untagចរាចរណ៍ ged ពីច្រកដែលមានការអនុញ្ញាតនឹងត្រូវបានធ្វើឡើងវិញទៅ VLAN ដែលត្រូវបានផ្តល់ដោយម៉ាស៊ីនមេ RADIUS កំឡុងពេលដំណើរការផ្ទៀងផ្ទាត់។ ក្នុងករណីនេះ, tagចរាចរណ៍ ged ត្រូវបានទម្លាក់ លុះត្រាតែ VLAN tag គឺជា RADIUS ដែលបានកំណត់ VLAN ឬ VLANs ដែលមិនមានការផ្ទៀងផ្ទាត់។ សូមមើលពាក្យបញ្ជា dot1x radius-attributes vlan ដើម្បីបើកដំណើរការ RADIUS VLAN ataport ។ កុងតាក់ដកចេញពី FDB អាសយដ្ឋាន MAC ទាំងអស់ដែលបានរៀននៅលើច្រក នៅពេលដែលស្ថានភាពផ្ទៀងផ្ទាត់របស់វាត្រូវបានផ្លាស់ប្តូរពីអនុញ្ញាតទៅគ្មានការអនុញ្ញាត។ របៀបច្រើនវគ្គ មិនដូចរបៀបម៉ាស៊ីនតែមួយ និងពហុម៉ាស៊ីន (របៀបផ្អែកលើច្រក) របៀបពហុវគ្គគ្រប់គ្រងស្ថានភាពផ្ទៀងផ្ទាត់សម្រាប់ម៉ាស៊ីននីមួយៗដែលភ្ជាប់ទៅច្រក (របៀបផ្អែកលើសម័យ)។ ប្រសិនបើរបៀបច្រើនសម័យត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅលើច្រកមួយ ច្រកមានស្ថានភាពផ្ទៀងផ្ទាត់ណាមួយ។ ចំនួនម៉ាស៊ីនណាមួយអាចត្រូវបានអនុញ្ញាតនៅលើច្រក។ ពាក្យបញ្ជា dot1x max-hosts អាចកំណត់ចំនួនអតិបរមានៃម៉ាស៊ីនដែលបានអនុញ្ញាតដែលបានអនុញ្ញាតនៅលើច្រក។ អតិថិជនដែលមានការអនុញ្ញាតនីមួយៗទាមទារច្បាប់ TCAM ។ ប្រសិនបើមិនមានកន្លែងទំនេរនៅក្នុង TCAM ការផ្ទៀងផ្ទាត់ត្រូវបានបដិសេធ។ នៅពេលប្រើពាក្យបញ្ជា dot1x host-mode ដើម្បីផ្លាស់ប្តូរ port mode ទៅជា single-host ឬ multi-host នៅពេលការផ្ទៀងផ្ទាត់ត្រូវបានបើក ស្ថានភាពច្រកត្រូវបានកំណត់ទៅគ្មានការអនុញ្ញាត។ ប្រសិនបើពាក្យបញ្ជា dot1x host-mode ផ្លាស់ប្តូរ port mode ទៅ multi-session នៅពេលការផ្ទៀងផ្ទាត់ត្រូវបានបើក ស្ថានភាពនៃ hosts ដែលបានភ្ជាប់ទាំងអស់ត្រូវបានកំណត់ទៅគ្មានការអនុញ្ញាត។ ដើម្បីផ្លាស់ប្តូររបៀបច្រកទៅជាម៉ាស៊ីនតែមួយ ឬម៉ាស៊ីនច្រើន កំណត់ច្រក (dot1x port-control) ទៅបង្ខំគ្មានការអនុញ្ញាត ប្តូររបៀបច្រកទៅជាម៉ាស៊ីនតែមួយ ឬពហុម៉ាស៊ីន ហើយកំណត់ច្រកទៅជាការអនុញ្ញាតដោយស្វ័យប្រវត្តិ។ របៀប multi-sessions មិនអាចត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅលើចំណុចប្រទាក់ដូចគ្នាជាមួយនឹង Policy Based VLANs ដែលបានកំណត់រចនាសម្ព័ន្ធដោយពាក្យបញ្ជាដូចខាងក្រោម៖ switchport general map protocol-group vlans switchport general map macs-group vlans Tagចរាចរណ៍ ged ដែលជាកម្មសិទ្ធិរបស់ VLANs ដែលមិនមានការផ្ទៀងផ្ទាត់គឺតែងតែត្រូវបានភ្ជាប់ដោយមិនគិតពីថាតើម៉ាស៊ីនត្រូវបានអនុញ្ញាតឬអត់។ នៅពេលបើកដំណើរការ VLAN ភ្ញៀវ untagged និង tagចរាចរណ៍ ged ពីម៉ាស៊ីនដែលមិនមានការអនុញ្ញាត មិនមែនជាកម្មសិទ្ធិរបស់អ្នកដែលមិនបានផ្ទៀងផ្ទាត់ |
| VLANs ត្រូវបានភ្ជាប់តាមរយៈ VLAN របស់ភ្ញៀវ។
ចរាចរណ៍ពីម៉ាស៊ីនដែលមានការអនុញ្ញាតត្រូវបានភ្ជាប់ដោយអនុលោមតាមការកំណត់រចនាសម្ព័ន្ធឋិតិវន្តរបស់ច្រក។ អ្នកប្រើអាចបញ្ជាក់ថា untagged និង tagចរាចរណ៍ ged ពីម៉ាស៊ីនដែលមានការអនុញ្ញាតដែលមិនមែនជារបស់ VLANs ដែលមិនមានការផ្ទៀងផ្ទាត់នឹងត្រូវបានធ្វើឡើងវិញទៅ VLAN ដែលត្រូវបានចាត់តាំងដោយម៉ាស៊ីនមេ RADIUS កំឡុងពេលដំណើរការផ្ទៀងផ្ទាត់។ សូមមើលពាក្យបញ្ជា dot1x radius-attributes vlan ដើម្បីបើកការចាត់តាំង RADIUS VLAN នៅច្រកមួយ។ កុងតាក់មិនដកចេញពី FDB ដែលអាសយដ្ឋាន MAC របស់ម៉ាស៊ីនបានរៀននៅលើច្រកនោះទេ នៅពេលដែលស្ថានភាពផ្ទៀងផ្ទាត់របស់វាត្រូវបានផ្លាស់ប្តូរពីអនុញ្ញាតទៅគ្មានការអនុញ្ញាត។ អាសយដ្ឋាន MAC នឹងត្រូវបានលុបចេញបន្ទាប់ពីការអស់ពេលនៃភាពចាស់ផុតកំណត់។ |
dot1x max-hosts
| វាក្យសម្ពន្ធ | dot1x max-hosts រាប់
គ្មាន dot1x max-hosts |
| ប៉ារ៉ាម៉ែត្រ | រាប់-បញ្ជាក់ចំនួនអតិបរិមានៃម៉ាស៊ីនដែលមានការអនុញ្ញាតដែលបានអនុញ្ញាតនៅលើចំណុចប្រទាក់។ អាចជាលេខវិជ្ជមាន 32 ប៊ីត។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | គ្មានដែនកំណត់។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត) ។ |
| ការប្រើប្រាស់ | ដើម្បីកំណត់រចនាសម្ព័ន្ធចំនួនអតិបរមានៃម៉ាស៊ីនដែលបានអនុញ្ញាតដែលបានអនុញ្ញាតនៅលើចំណុចប្រទាក់ សូមប្រើពាក្យបញ្ជា dot1x max-hosts នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example កំណត់ចំនួនអតិបរមានៃម៉ាស៊ីនដែលបានអនុញ្ញាតនៅលើច្រកអ៊ីសឺរណិត te1/0/1 ដល់ 6៖
switchxxxxxx(config)# interface te1/0/1 switchxxxxxx(config-if)# dot1x max-hosts 6 |
| ការណែនាំអ្នកប្រើប្រាស់ | តាមលំនាំដើម ចំនួននៃម៉ាស៊ីនដែលបានអនុញ្ញាតដែលបានអនុញ្ញាតនៅលើចំណុចប្រទាក់គឺមិនកំណត់ទេ។ ដើម្បីកំណត់ចំនួនម៉ាស៊ីនដែលបានអនុញ្ញាតដែលបានអនុញ្ញាតនៅលើចំណុចប្រទាក់ សូមប្រើពាក្យបញ្ជា dot1xmax-hosts ។
ពាក្យបញ្ជានេះពាក់ព័ន្ធសម្រាប់តែរបៀបច្រើនវគ្គប៉ុណ្ណោះ។ |
dot1x max-req
| វាក្យសម្ពន្ធ | dot1x max-req រាប់
គ្មាន dot1x max-req |
| ប៉ារ៉ាម៉ែត្រ | រាប់- បញ្ជាក់ចំនួនដងអតិបរមាដែលឧបករណ៍ផ្ញើសំណើ EAP / identity frame មុនពេលចាប់ផ្តើមដំណើរការផ្ទៀងផ្ទាត់ឡើងវិញ។ (ជួរ៖ ១–១០)។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | ចំនួនការព្យាយាមអតិបរមាលំនាំដើមគឺ 2 ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត OOB) ។ |
| ការប្រើប្រាស់ | ដើម្បីកំណត់ចំនួនដងអតិបរមាដែលឧបករណ៍ផ្ញើសំណើរស្នើសុំ/កំណត់អត្តសញ្ញាណ Extensible Authentication Protocol (EAP) (សន្មត់ថាគ្មានការឆ្លើយតបណាមួយត្រូវបានទទួល) ទៅកាន់ម៉ាស៊ីនភ្ញៀវ មុនពេលចាប់ផ្តើមដំណើរការផ្ទៀងផ្ទាត់ឡើងវិញ សូមប្រើពាក្យបញ្ជា dot1x max-req នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example កំណត់ចំនួនដងអតិបរមាដែលឧបករណ៍ផ្ញើសំណើ EAP / identity frame ទៅ 6 ។
switchxxxxxx(config)# interface te1/0/1 switchxxxxxx(config-if)# dot1x max-req 6 |
| ការណែនាំអ្នកប្រើប្រាស់ | តម្លៃលំនាំដើមនៃពាក្យបញ្ជានេះគួរតែត្រូវបានផ្លាស់ប្តូរដើម្បីកែតម្រូវចំពោះកាលៈទេសៈមិនធម្មតា ដូចជាតំណភ្ជាប់ដែលមិនគួរឱ្យទុកចិត្ត ឬបញ្ហាអាកប្បកិរិយាជាក់លាក់ជាមួយអតិថិជនមួយចំនួន និងម៉ាស៊ីនមេផ្ទៀងផ្ទាត់។ |
ការត្រួតពិនិត្យច្រក dot1x
| វាក្យសម្ពន្ធ | dot1x port-control { ស្វ័យប្រវត្តិ | បង្ខំ-អនុញ្ញាត | force-unauthorized} គ្មាន dot1x port-control |
| ប៉ារ៉ាម៉ែត្រ | ស្វ័យប្រវត្តិ-បើកដំណើរការការផ្ទៀងផ្ទាត់ 802.1X នៅលើច្រក ហើយបណ្តាលឱ្យវាផ្លាស់ប្តូរទៅរដ្ឋដែលមានការអនុញ្ញាត ឬគ្មានការអនុញ្ញាត ដោយផ្អែកលើការផ្លាស់ប្តូរការផ្ទៀងផ្ទាត់ 802.1X រវាងឧបករណ៍ និងម៉ាស៊ីនភ្ញៀវ។
បង្ខំ-បិទដំណើរការការផ្ទៀងផ្ទាត់ 802.1X នៅលើចំណុចប្រទាក់ និងបណ្តាលឱ្យច្រកផ្លាស់ប្តូរទៅរដ្ឋដែលមានការអនុញ្ញាតដោយមិនចាំបាច់ផ្លាស់ប្តូរការផ្ទៀងផ្ទាត់ណាមួយឡើយ។ ច្រកផ្ញើ និងទទួលចរាចរណ៍ដោយមិនមានការផ្ទៀងផ្ទាត់អតិថិជនដែលមានមូលដ្ឋានលើ 802.1X។ បង្ខំ - គ្មានការអនុញ្ញាត-បដិសេធការចូលប្រើទាំងអស់តាមរយៈច្រកនេះដោយបង្ខំវាឱ្យផ្លាស់ប្តូរទៅរដ្ឋដែលគ្មានការអនុញ្ញាត និងព្រងើយកន្តើយរាល់ការប៉ុនប៉ងរបស់អតិថិជនដើម្បីផ្ទៀងផ្ទាត់។ ឧបករណ៍មិនអាចផ្តល់សេវាកម្មផ្ទៀងផ្ទាត់ដល់អតិថិជនតាមរយៈច្រកនេះទេ។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | ច្រកនេះស្ថិតនៅក្នុងរដ្ឋដែលអនុញ្ញាតដោយបង្ខំ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត OOB) ។ |
| ការប្រើប្រាស់ | ដើម្បីបើកការគ្រប់គ្រងដោយដៃនៃស្ថានភាពអនុញ្ញាតច្រក សូមប្រើពាក្យបញ្ជា dot1x port-control នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។ ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example កំណត់ការផ្ទៀងផ្ទាត់ 802.1X នៅលើ te1/0/1 ទៅជារបៀបស្វ័យប្រវត្តិ។
switchxxxxxx(config)# interface te1/0/1 switchxxxxxx(config-if)# dot1x port-control auto |
| ការណែនាំអ្នកប្រើប្រាស់ | ការផ្ទៀងផ្ទាត់ 802.1X មិនអាចបើកនៅលើចំណុចប្រទាក់បានទេ ប្រសិនបើមុខងារសុវត្ថិភាពច្រកត្រូវបានបើករួចហើយនៅលើចំណុចប្រទាក់ដូចគ្នា។
កុងតាក់ដកអាសយដ្ឋាន MAC ទាំងអស់ដែលបានរៀននៅលើច្រកមួយ នៅពេលដែលការគ្រប់គ្រងការអនុញ្ញាតរបស់វាត្រូវបានផ្លាស់ប្តូរពីការអនុញ្ញាតដោយបង្ខំទៅមួយផ្សេងទៀត។ ចំណាំ។ វាត្រូវបានផ្ដល់អនុសាសន៍ឱ្យបិទ spanning tree ឬដើម្បីបើកដំណើរការ spanning-tree Port Fast mode នៅលើច្រកគែម 802.1X នៅក្នុងស្ថានភាពស្វ័យប្រវត្តិដែលត្រូវបានភ្ជាប់ទៅស្ថានីយបញ្ចប់ ដើម្បីបន្តទៅកាន់ស្ថានភាពបញ្ជូនបន្តភ្លាមៗបន្ទាប់ពីការផ្ទៀងផ្ទាត់ដោយជោគជ័យ។ |
dot1x ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវឡើងវិញ
| វាក្យសម្ពន្ធ | dot1x ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវឡើងវិញ [លេខសម្គាល់ចំណុចប្រទាក់] |
| ប៉ារ៉ាម៉ែត្រ | លេខសម្គាល់ចំណុចប្រទាក់- បញ្ជាក់ច្រក Ethernet ឬច្រក OOB ។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | ប្រសិនបើគ្មានច្រកណាមួយត្រូវបានបញ្ជាក់ទេ ពាក្យបញ្ជាត្រូវបានអនុវត្តចំពោះច្រកទាំងអស់។ |
| របៀបពាក្យបញ្ជា | របៀប EXEC ដែលមានសិទ្ធិ។ |
| ការប្រើប្រាស់ | ដើម្បីចាប់ផ្តើមការផ្ទៀងផ្ទាត់ឡើងវិញដោយដៃនៃច្រកដែលបានបើក 802.1X ទាំងអស់ ឬច្រកដែលបានបើក 802.1X ដែលបានបញ្ជាក់ សូមប្រើពាក្យបញ្ជា dot1x ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវឡើងវិញនៅក្នុង EXECmode ឯកសិទ្ធិ។ |
| Example | ពាក្យបញ្ជាខាងក្រោមចាប់ផ្តើមការផ្ទៀងផ្ទាត់ឡើងវិញនូវ 802.1X-enabledte1/0/1 ដោយដៃ៖
switchxxxxxx# dot1x ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវឡើងវិញ te1/0/1 |
| ការណែនាំអ្នកប្រើប្រាស់ | – |
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ dot1x
| វាក្យសម្ពន្ធ | ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ dot1x
គ្មានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ dot1x |
| ប៉ារ៉ាម៉ែត្រ | គ្មាន |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | ការផ្ទៀងផ្ទាត់ឡើងវិញតាមកាលកំណត់ត្រូវបានបិទ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត OOB) ។ |
| ការប្រើប្រាស់ | ដើម្បីបើកដំណើរការការផ្ទៀងផ្ទាត់អតិថិជនឡើងវិញតាមកាលកំណត់ ប្រើពាក្យបញ្ជា dot1x ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | switchxxxxxx(config)# interface te1/0/1 switchxxxxxx(config-if)# dot1x reauthentication |
| ការណែនាំអ្នកប្រើប្រាស់ | – |
dot1x system-auth-control
| វាក្យសម្ពន្ធ | dot1x system-auth-control គ្មាន dot1x system-auth-control |
| ប៉ារ៉ាម៉ែត្រ | គ្មាន |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | ពិការ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ការប្រើប្រាស់ | ដើម្បីបើក 802.1X ជាសកល សូមប្រើ dot1x system-auth-control
ពាក្យបញ្ជានៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។ ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example បើកដំណើរការ 802.1X ទូទាំងពិភពលោក។ switchxxxxxx(config)# dot1x system-auth-control |
| ការណែនាំអ្នកប្រើប្រាស់ | – |
អស់ពេល dot1x រយៈពេលស្ងាត់
| វាក្យសម្ពន្ធ | អស់ពេល dot1x រយៈពេលស្ងាត់ វិនាទី
គ្មាន dot1x អស់ពេល កំឡុងពេលស្ងាត់ |
| ប៉ារ៉ាម៉ែត្រ | វិនាទី-បញ្ជាក់ចន្លោះពេលជាវិនាទី ដែលឧបករណ៍នៅតែស្ថិតក្នុងស្ថានភាពស្ងាត់ បន្ទាប់ពីការផ្លាស់ប្តូរការផ្ទៀងផ្ទាត់ដែលបរាជ័យជាមួយម៉ាស៊ីនភ្ញៀវ។ (ចន្លោះពេល៖ 10–65535 វិនាទី)។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | រយៈពេលស្ងាត់លំនាំដើមគឺ 60 វិនាទី។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត OOB) ។ |
| ការប្រើប្រាស់ | ដើម្បីកំណត់ចន្លោះពេលដែលឧបករណ៍នៅតែស្ថិតក្នុងស្ថានភាពស្ងាត់ បន្ទាប់ពីការផ្លាស់ប្តូរការផ្ទៀងផ្ទាត់ដែលបរាជ័យ សូមប្រើពាក្យបញ្ជា timeout dot1x នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example កំណត់ចន្លោះពេលដែលឧបករណ៍
នៅតែស្ថិតក្នុងស្ថានភាពស្ងប់ស្ងាត់បន្ទាប់ពីការផ្ទៀងផ្ទាត់បរាជ័យ |
| ប្តូរទៅ 120 វិនាទី។
switchxxxxxx(config)# interface te1/0/1 switchxxxxxx(config-if)# dot1x timeout quiet-period 120 |
|
| ការណែនាំអ្នកប្រើប្រាស់ | ក្នុងអំឡុងពេលស្ងាត់ ឧបករណ៍មិនទទួលយក ឬចាប់ផ្តើមសំណើផ្ទៀងផ្ទាត់ទេ។
តម្លៃលំនាំដើមនៃពាក្យបញ្ជានេះគួរតែត្រូវបានផ្លាស់ប្តូរដើម្បីកែតម្រូវចំពោះកាលៈទេសៈមិនធម្មតា ដូចជាតំណភ្ជាប់ដែលមិនគួរឱ្យទុកចិត្ត ឬបញ្ហាអាកប្បកិរិយាជាក់លាក់ជាមួយអតិថិជនមួយចំនួន និងម៉ាស៊ីនមេផ្ទៀងផ្ទាត់។ ដើម្បីផ្តល់ពេលវេលាឆ្លើយតបកាន់តែលឿនដល់អ្នកប្រើប្រាស់ លេខដែលតូចជាងតម្លៃលំនាំដើមគួរត្រូវបានកាត់បន្ថយ។ សម្រាប់ការផ្ទៀងផ្ទាត់ដែលមានមូលដ្ឋានលើ 802.1x និង MAC ចំនួននៃការចូលដែលបរាជ័យគឺ 1 ។ សម្រាប់វិធីសាស្ត្រផ្ទៀងផ្ទាត់ដែលមានមូលដ្ឋានលើ 802.1x និង MAC រយៈពេលស្ងាត់ត្រូវបានអនុវត្តបន្ទាប់ពីការប៉ុនប៉ងបរាជ័យនីមួយៗ។ |
dot1x អស់ពេល reauth-period
| វាក្យសម្ពន្ធ | dot1x system-auth-control គ្មាន dot1x system-auth-control |
| ប៉ារ៉ាម៉ែត្រ | គ្មាន |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | ពិការ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ការប្រើប្រាស់ | ដើម្បីបើក 802.1X ជាសកល សូមប្រើ dot1x system-auth-control
ពាក្យបញ្ជានៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។ ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example បើកដំណើរការ 802.1X ទូទាំងពិភពលោក។ ប្ដូរ xxxxxx (កំណត់រចនាសម្ព័ន្ធ)# dot1x system-auth-control |
| ការណែនាំអ្នកប្រើប្រាស់ | – |
dot1x អស់ពេល reauth-period
| វាក្យសម្ពន្ធ | dot1x អស់ពេល reauth-period វិនាទី
គ្មាន dot1x អស់ពេល reauth-period |
| ប៉ារ៉ាម៉ែត្រ | រយៈកាលពិត វិនាទី- ចំនួនវិនាទីរវាងការព្យាយាមឡើងវិញ។ (ជួរ: 300-4294967295) ។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | 3600 |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត OOB) ។ |
| ការប្រើប្រាស់ | ដើម្បីកំណត់ចំនួនវិនាទីរវាងការព្យាយាមផ្ទៀងផ្ទាត់ឡើងវិញ សូមប្រើពាក្យបញ្ជា dot1x timeout reauth-period នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។ ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ប្ដូរ xxxxxx (កំណត់រចនាសម្ព័ន្ធ)# ចំណុចប្រទាក់ te1/0/1
switchxxxxxx(config-if)# dot1x timeout reauth-period 5000 |
| ការណែនាំអ្នកប្រើប្រាស់ | ពាក្យបញ្ជាត្រូវបានអនុវត្តតែចំពោះវិធីសាស្ត្រផ្ទៀងផ្ទាត់ 802.1x ប៉ុណ្ណោះ។ |
dot1x timeout server-អស់ពេល
| វាក្យសម្ពន្ធ | dot1x timeout server-អស់ពេល វិនាទី
គ្មាន dot1x timeout server-timeout |
| ប៉ារ៉ាម៉ែត្រ | អស់ពេលម៉ាស៊ីនមេ វិនាទី-បញ្ជាក់ចន្លោះពេលគិតជាវិនាទី អំឡុងពេលដែលឧបករណ៍រង់ចាំការឆ្លើយតបពីម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់។ (ជួរ៖ 1–65535 វិនាទី)។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | រយៈពេលកំណត់លំនាំដើមគឺ 30 វិនាទី។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត OOB) ។ |
| ការប្រើប្រាស់ | ដើម្បីកំណត់ចន្លោះពេលដែលឧបករណ៍រង់ចាំការឆ្លើយតបពីម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ ប្រើពាក្យបញ្ជា dot1x timeout server-timeout នៅក្នុងរបៀប InterfaceConfiguration។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example កំណត់ចន្លោះពេលរវាងការបញ្ជូនកញ្ចប់ព័ត៌មានឡើងវិញទៅកាន់ម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ទៅ 3600
វិនាទី។ |
|
ប្ដូរ xxxxxx (កំណត់រចនាសម្ព័ន្ធ)# iចំណុចប្រទាក់ te1/0/1 switchxxxxxx(config-if)# dot1x timeout server-timeout 3600 |
|
| ការណែនាំអ្នកប្រើប្រាស់ | រយៈពេលផុតកំណត់ពិតប្រាកដអាចត្រូវបានកំណត់ដោយការប្រៀបធៀបតម្លៃដែលបានបញ្ជាក់ដោយពាក្យបញ្ជានេះទៅនឹងលទ្ធផលនៃគុណចំនួននៃការព្យាយាមឡើងវិញដែលបានបញ្ជាក់ដោយពាក្យបញ្ជាបញ្ជូនសារឡើងវិញកាំជ្រួចដោយរយៈពេលអស់ពេលដែលបានបញ្ជាក់ដោយពាក្យបញ្ជាបញ្ជូនសារឡើងវិញកាំជ្រួច ហើយជ្រើសរើសតម្លៃទាបនៃតម្លៃទាំងពីរ។ |
dot1x អស់ពេល sup-timeout
| វាក្យសម្ពន្ធ | dot1x អស់ពេល sup-timeout វិនាទី
គ្មាន dot1x អស់ពេល sup-timeout |
| ប៉ារ៉ាម៉ែត្រ | អស់ពេលផ្គត់ផ្គង់ វិនាទី-បញ្ជាក់ចន្លោះពេលគិតជាវិនាទី អំឡុងពេលដែលឧបករណ៍រង់ចាំការឆ្លើយតបចំពោះស៊ុមសំណើ EAP ពីអតិថិជន មុនពេលបញ្ជូនសំណើឡើងវិញ។ (ជួរ៖ 1–65535 វិនាទី)។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | រយៈពេលកំណត់លំនាំដើមគឺ 30 វិនាទី។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត OOB) ។ |
| ការប្រើប្រាស់ | ដើម្បីកំណត់ចន្លោះពេលដែលឧបករណ៍រង់ចាំការឆ្លើយតបចំពោះស៊ុមសំណើការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវពង្រីក (EAP) ពីអតិថិជន មុនពេលបញ្ជូនសំណើឡើងវិញ សូមប្រើពាក្យបញ្ជា supp-timeout នៃ dot1x នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example កំណត់ចន្លោះពេលដែលឧបករណ៍រង់ចាំការឆ្លើយតបចំពោះស៊ុមសំណើ EAP ពីអតិថិជន មុនពេលបញ្ជូនសំណើឡើងវិញទៅ 3600 វិនាទី។
switchxxxxxx(config)# interface te1/0/1 switchxxxxxx(config-if)# dot1x timeout supp-timeout 3600 |
| ការណែនាំអ្នកប្រើប្រាស់ | តម្លៃលំនាំដើមនៃពាក្យបញ្ជានេះគួរតែត្រូវបានផ្លាស់ប្តូរដើម្បីកែតម្រូវចំពោះកាលៈទេសៈមិនធម្មតា ដូចជាតំណភ្ជាប់ដែលមិនគួរឱ្យទុកចិត្ត ឬបញ្ហាអាកប្បកិរិយាជាក់លាក់ជាមួយអតិថិជនមួយចំនួន និងម៉ាស៊ីនមេផ្ទៀងផ្ទាត់។
ពាក្យបញ្ជាត្រូវបានអនុវត្តតែចំពោះវិធីសាស្ត្រផ្ទៀងផ្ទាត់ 802.1x ប៉ុណ្ណោះ។ |
dot1x អស់ពេល tx-period
| វាក្យសម្ពន្ធ | dot1x អស់ពេល tx-period វិនាទី
គ្មាន dot1x អស់ពេល tx-period |
| ប៉ារ៉ាម៉ែត្រ | វិនាទី-បញ្ជាក់ចន្លោះពេលគិតជាវិនាទី អំឡុងពេលដែលឧបករណ៍រង់ចាំការឆ្លើយតបចំពោះស៊ុមសំណើ/អត្តសញ្ញាណ EAP ពីអតិថិជន មុនពេលបញ្ជូនសំណើឡើងវិញ។ (ចន្លោះពេល៖ 30–65535 វិនាទី)។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | រយៈពេលកំណត់លំនាំដើមគឺ 30 វិនាទី។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត OOB) ។ |
| ការប្រើប្រាស់ | ដើម្បីកំណត់ចន្លោះពេលដែលឧបករណ៍រង់ចាំការឆ្លើយតបចំពោះសំណើ/កំណត់អត្តសញ្ញាណពិធីការពង្រីកដែលអាចផ្ទៀងផ្ទាត់បាន (EAP) ពីអតិថិជន មុនពេលបញ្ជូនសំណើឡើងវិញ សូមប្រើពាក្យបញ្ជា tx-period អស់ពេល dot1x នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើ ទេ ទម្រង់នៃពាក្យបញ្ជានេះ។ |
| Example | ពាក្យបញ្ជាខាងក្រោមកំណត់ចន្លោះពេលដែលឧបករណ៍រង់ចាំការឆ្លើយតបទៅនឹងការស្នើសុំ/កំណត់អត្តសញ្ញាណ EAP ដល់ 60 វិនាទី។
switchxxxxxx(config)# interface te1/0/1 switchxxxxxx(config-if)# dot1x អស់ពេល tx-period 60 |
| ការណែនាំអ្នកប្រើប្រាស់ | តម្លៃលំនាំដើមនៃពាក្យបញ្ជានេះគួរតែត្រូវបានផ្លាស់ប្តូរដើម្បីកែតម្រូវចំពោះកាលៈទេសៈមិនធម្មតា ដូចជាតំណភ្ជាប់ដែលមិនគួរឱ្យទុកចិត្ត ឬបញ្ហាអាកប្បកិរិយាជាក់លាក់ជាមួយអតិថិជនមួយចំនួន និងម៉ាស៊ីនមេផ្ទៀងផ្ទាត់។
ពាក្យបញ្ជាត្រូវបានអនុវត្តតែចំពោះវិធីសាស្ត្រផ្ទៀងផ្ទាត់ 802.1x ប៉ុណ្ណោះ។ |
dot1x បរាជ័យក្នុងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ
| វាក្យសម្ពន្ធ | dot1xtrapsauthenticationfailure{[802.1x][mac]} គ្មាន dot1x traps authenticationfailure |
| ប៉ារ៉ាម៉ែត្រ | 802.1x- បើកដំណើរការអន្ទាក់សម្រាប់ការផ្ទៀងផ្ទាត់ដែលមានមូលដ្ឋានលើ 802.1X ។
ម៉ាក់- បើកដំណើរការអន្ទាក់សម្រាប់ការផ្ទៀងផ្ទាត់ដែលមានមូលដ្ឋានលើ MAC ។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | អន្ទាក់ទាំងអស់ត្រូវបានបិទ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ការប្រើប្រាស់ | ដើម្បីបើកដំណើរការបញ្ជូនអន្ទាក់ នៅពេលដែលវិធីសាស្ត្រផ្ទៀងផ្ទាត់ 802.1X បានបរាជ័យ សូមប្រើពាក្យបញ្ជាបរាជ័យក្នុងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ dot1x នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example បើកការផ្ញើអន្ទាក់ នៅពេលដែលអាសយដ្ឋាន MAC បរាជ័យក្នុងការអនុញ្ញាតដោយ 802.1X mac-authentication access control។
ប្ដូរ xxxxxx (កំណត់រចនាសម្ព័ន្ធ)# |
| ការណែនាំអ្នកប្រើប្រាស់ | ការរួមបញ្ចូលគ្នានៃពាក្យគន្លឹះណាមួយត្រូវបានអនុញ្ញាត។ យ៉ាងហោចណាស់ពាក្យគន្លឹះមួយត្រូវតែកំណត់រចនាសម្ព័ន្ធ។
ដែនកំណត់អត្រាត្រូវបានអនុវត្តចំពោះអន្ទាក់៖ មិនលើសពីមួយអន្ទាក់នៃប្រភេទនេះអាចត្រូវបានផ្ញើក្នុងរយៈពេល 10 វិនាទី។ |
អន្ទាក់ dot1x ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវស្ងាត់
| វាក្យសម្ពន្ធ | អន្ទាក់ dot1x ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវស្ងាត់
គ្មាន dot1x traps ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវស្ងាត់ |
| ប៉ារ៉ាម៉ែត្រ | គ្មាន |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | អន្ទាក់ស្ងាត់ត្រូវបានបិទ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ការប្រើប្រាស់ | ដើម្បីបើកការបញ្ជូនអន្ទាក់ នៅពេលដែលស្ថានភាពម៉ាស៊ីនត្រូវបានកំណត់ទៅស្ថានភាពស្ងាត់ បន្ទាប់ពីបរាជ័យក្នុងការព្យាយាមចូលជាលំដាប់អតិបរមា សូមប្រើពាក្យបញ្ជាស្ងាត់ dot1x ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃអន្ទាក់នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
ដើម្បីបិទអន្ទាក់ សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example បើកការបញ្ជូនអន្ទាក់ នៅពេលដែលម៉ាស៊ីនត្រូវបានកំណត់ក្នុងស្ថានភាពស្ងាត់៖
switchxxxxxx(config)# dot1x traps ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវស្ងាត់ |
| ការណែនាំអ្នកប្រើប្រាស់ | អន្ទាក់ត្រូវបានផ្ញើបន្ទាប់ពីម៉ាស៊ីនភ្ញៀវត្រូវបានកំណត់ទៅសភាពស្ងាត់បន្ទាប់ពីការព្យាយាមចូលជាបន្តបន្ទាប់អតិបរមា។
ដែនកំណត់អត្រាត្រូវបានអនុវត្តចំពោះអន្ទាក់៖ មិនលើសពីមួយអន្ទាក់នៃប្រភេទនេះអាចត្រូវបានផ្ញើក្នុងរយៈពេល 10 វិនាទី។ |
dot1x ជោគជ័យក្នុងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ
| វាក្យសម្ពន្ធ | dot1xtrapsauthenticationsuccess{[802.1x][mac]} no dot1x traps authenticationsuccess |
| ប៉ារ៉ាម៉ែត្រ | 802.1x- បើកដំណើរការអន្ទាក់សម្រាប់ការផ្ទៀងផ្ទាត់ដែលមានមូលដ្ឋានលើ 802.1X ។
ម៉ាក់- បើកដំណើរការអន្ទាក់សម្រាប់ការផ្ទៀងផ្ទាត់ដោយផ្អែកលើ MAC ។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | អន្ទាក់ជោគជ័យត្រូវបានបិទ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធសកល។ |
| ការប្រើប្រាស់ | ដើម្បីបើកដំណើរការការបញ្ជូនអន្ទាក់ នៅពេលដែលម៉ាស៊ីនត្រូវបានអនុញ្ញាតដោយជោគជ័យដោយវិធីសាស្ត្រផ្ទៀងផ្ទាត់ 802.1X សូមប្រើពាក្យបញ្ជាជោគជ័យនៃការផ្ទៀងផ្ទាត់ dot1x នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
ដើម្បីបិទអន្ទាក់ សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | ខាងក្រោមនេះ example បើកការផ្ញើអន្ទាក់ នៅពេលដែលអាសយដ្ឋាន MAC ត្រូវបានអនុញ្ញាតដោយជោគជ័យដោយការគ្រប់គ្រងការចូលប្រើការផ្ទៀងផ្ទាត់ 802.1X MAC ។
switchxxxxxx(config)# dot1x traps authentication success mac |
| ការណែនាំអ្នកប្រើប្រាស់ | ការរួមបញ្ចូលគ្នានៃពាក្យគន្លឹះណាមួយត្រូវបានអនុញ្ញាត។ យ៉ាងហោចណាស់ពាក្យគន្លឹះមួយត្រូវតែកំណត់រចនាសម្ព័ន្ធ។
ដែនកំណត់អត្រាត្រូវបានអនុវត្តចំពោះអន្ទាក់៖ មិនលើសពីមួយអន្ទាក់នៃប្រភេទនេះអាចត្រូវបានផ្ញើក្នុងរយៈពេល 10 វិនាទី។ |
កម្មវិធីដោះសោ dot1x
| វាក្យសម្ពន្ធ | dot1x ដោះសោចំណុចប្រទាក់អតិថិជន-id mac-address |
| ប៉ារ៉ាម៉ែត្រ | លេខសម្គាល់ចំណុចប្រទាក់- លេខសម្គាល់ចំណុចប្រទាក់ដែលអតិថិជនត្រូវបានភ្ជាប់។
អាសយដ្ឋាន mac- អាសយដ្ឋាន MAC របស់អតិថិជន។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | ម៉ាស៊ីនភ្ញៀវត្រូវបានចាក់សោរហូតដល់ចន្លោះពេលស្ងាត់។ |
| របៀបពាក្យបញ្ជា | របៀប EXEC ដែលមានសិទ្ធិ។ |
| ការប្រើប្រាស់ | ដើម្បីដោះសោម៉ាស៊ីនភ្ញៀវដែលបានចាក់សោ (ក្នុងដំណាក់កាលស្ងាត់) សូមប្រើពាក្យបញ្ជាម៉ាស៊ីនភ្ញៀវដោះសោ dot1x នៅក្នុងរបៀប EXEC ដែលមានសិទ្ធិ។ |
| Example | switchxxxxxx# dot1x ដោះសោម៉ាស៊ីនភ្ញៀវ te1/0/1 00:01:12:af:00:56 |
| ការណែនាំអ្នកប្រើប្រាស់ | ប្រើពាក្យបញ្ជានេះដើម្បីដោះសោម៉ាស៊ីនភ្ញៀវដែលត្រូវបានចាក់សោបន្ទាប់ពីការព្យាយាមបរាជ័យក្នុងការផ្ទៀងផ្ទាត់អតិបរមាដែលបានអនុញ្ញាត និងដើម្បីបញ្ចប់រយៈពេលស្ងាត់។ ប្រសិនបើអតិថិជនមិនស្ថិតនៅក្នុងរយៈពេលស្ងាត់ទេ ពាក្យបញ្ជាមិនមានផលប៉ះពាល់ទេ។ |
របៀបបំពាន dot1x
| វាក្យសម្ពន្ធ | dot1x របៀបបំពាន {កម្រិត | ការពារ |
shutdown}គ្មាន dot1x របៀបបំពាន |
| ប៉ារ៉ាម៉ែត្រ | ដាក់កម្រិត- បង្កើតអន្ទាក់នៅពេលដែលស្ថានីយ៍ដែលអាសយដ្ឋាន MAC មិនមែនជាអាសយដ្ឋាន MAC ដែលផ្គត់ផ្គង់ ព្យាយាមចូលប្រើចំណុចប្រទាក់។ ពេលវេលាអប្បបរមារវាងអន្ទាក់គឺ 1 វិនាទី។ ស៊ុមទាំងនោះត្រូវបានបញ្ជូនបន្ត ប៉ុន្តែអាសយដ្ឋានប្រភពរបស់ពួកគេមិនត្រូវបានសិក្សាទេ។ ការពារ—បោះបង់ស៊ុមដែលមានអាសយដ្ឋានប្រភពដែលមិនមែនជាអាសយដ្ឋានផ្គត់ផ្គង់។
ការបិទ- បោះបង់ស៊ុមដែលមានអាសយដ្ឋានប្រភពដែលមិនមែនជាអាសយដ្ឋានផ្គត់ផ្គង់ ហើយបិទច្រក។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | ការពារ។ |
| របៀបពាក្យបញ្ជា | របៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ (អ៊ីសឺរណិត) ។ |
| ការប្រើប្រាស់ | ដើម្បីកំណត់រចនាសម្ព័ន្ធសកម្មភាពដែលត្រូវធ្វើឡើង នៅពេលដែលម៉ាស៊ីនដែលមិនមានការអនុញ្ញាតនៅលើច្រកដែលមានការអនុញ្ញាតក្នុងរបៀបម៉ាស៊ីនតែមួយព្យាយាមចូលប្រើចំណុចប្រទាក់ សូមប្រើពាក្យបញ្ជារបៀបបំពាន dot1x នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។
ដើម្បីស្ដារការកំណត់លំនាំដើម សូមប្រើទម្រង់គ្មានពាក្យបញ្ជានេះ។ |
| Example | switchxxxxxx(config)# interface te1/0/1 switchxxxxxx(config-if)# dot1x vivid-mode protect |
| ការណែនាំអ្នកប្រើប្រាស់ | ពាក្យបញ្ជាគឺពាក់ព័ន្ធសម្រាប់តែរបៀបម៉ាស៊ីនតែមួយប៉ុណ្ណោះ។
សម្រាប់សារ BPDU ដែលអាសយដ្ឋាន MAC មិនមែនជាអាស័យដ្ឋាន MAC ដែលត្រូវបានផ្គត់ផ្គង់ មិនត្រូវបានលុបចោលក្នុងទម្រង់ការពារទេ។ សារ BPDU ដែលអាសយដ្ឋាន MAC មិនមែនជាអាសយដ្ឋាន MAC ផ្គត់ផ្គង់បណ្តាលឱ្យមានការបិទនៅក្នុងរបៀបបិទ។ |
បង្ហាញចំនុច 1x
| វាក្យសម្ពន្ធ | បង្ហាញចំណុច 1x [ចំណុចប្រទាក់ interface-id | លម្អិត] |
| ប៉ារ៉ាម៉ែត្រ | លេខសម្គាល់ចំណុចប្រទាក់- បញ្ជាក់ច្រក Ethernet ឬច្រក OOB ។ លម្អិត-បង្ហាញព័ត៌មានសម្រាប់ច្រកដែលមិនមានវត្តមានបន្ថែមលើច្រកបច្ចុប្បន្ន។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | បង្ហាញសម្រាប់ច្រកទាំងអស់។ ប្រសិនបើព័ត៌មានលម្អិតមិនត្រូវបានប្រើទេ មានតែច្រកបច្ចុប្បន្នប៉ុណ្ណោះដែលត្រូវបានបង្ហាញ។ ប្រសិនបើពាក្យសម្ងាត់ផ្អែកលើ MAC ត្រូវបានកំណត់រចនាសម្ព័ន្ធ dot1x mac-auth password ពាក្យបញ្ជា, ការពិនិត្យ MD5 របស់វាត្រូវបានបង្ហាញ, បើមិនដូច្នេះទេឈ្មោះអ្នកប្រើត្រូវបានបង្ហាញ។ |
| របៀបពាក្យបញ្ជា | របៀប EXEC ដែលមានសិទ្ធិ។ |
| ការប្រើប្រាស់ | ដើម្បីបង្ហាញចំណុចប្រទាក់ 802.1X ឬស្ថានភាពចំណុចប្រទាក់ដែលបានបញ្ជាក់ សូមប្រើ បង្ហាញចំនុច 1x ពាក្យបញ្ជានៅក្នុងរបៀប EXEC ដែលមានសិទ្ធិ។ |
| Example | ខាងក្រោមនេះ example បង្ហាញព័ត៌មានផ្ទៀងផ្ទាត់សម្រាប់ចំណុចប្រទាក់ទាំងអស់ដែល 802.1x ត្រូវបានបើក៖
ការផ្ទៀងផ្ទាត់ត្រូវបានបើកដំណើរការ Critical VLAN៖ ត្រូវបានបិទ ការកំណត់រចនាសម្ព័ន្ធសកលរបស់កម្មវិធីផ្ទៀងផ្ទាត់៖ ការផ្ទៀងផ្ទាត់ម៉ាស៊ីនមេ៖ កាំ គ្មានការផ្ទៀងផ្ទាត់ MAC ផ្អែកលើ៖ ប្រភេទ៖ អេប ទំហំក្រុមឈ្មោះអ្នកប្រើប្រាស់៖ 12 ឈ្មោះអ្នកប្រើប្រាស់បំបែក៖ – ករណីឈ្មោះអ្នកប្រើប្រាស់៖ លេខសម្ងាត់អក្សរតូច៖ MD5 ពិនិត្យលទ្ធផល VLAN ដែលមិនបានផ្ទៀងផ្ទាត់៖ អន្ទាក់បរាជ័យក្នុងការផ្ទៀងផ្ទាត់ត្រូវបានបើកសម្រាប់ 802.1x |
| អន្ទាក់ជោគជ័យនៃការផ្ទៀងផ្ទាត់ត្រូវបានបើកសម្រាប់ mac ការផ្ទៀងផ្ទាត់ភាពស្ងៀមស្ងាត់អន្ទាក់ត្រូវបានបើកដំណើរការ Supplicant Global Configuration៖
អន្ទាក់ជោគជ័យនៃការផ្ទៀងផ្ទាត់អ្នកផ្គត់ផ្គង់ត្រូវបានបិទ អន្ទាក់បរាជ័យនៃការផ្ទៀងផ្ទាត់អ្នកផ្គត់ផ្គង់ត្រូវបានបិទ
te1/0/1 កម្មវិធីផ្ទៀងផ្ទាត់ត្រូវបានបើក អ្នកផ្គត់ផ្គង់ត្រូវបានបិទ ការកំណត់រចនាសម្ព័ន្ធកម្មវិធីផ្ទៀងផ្ទាត់៖ របៀបម៉ាស៊ីន៖ ម៉ាស៊ីនច្រើន វិធីសាស្ត្រផ្ទៀងផ្ទាត់៖ 802.1x+ mac Port ស្ថានភាពគ្រប់គ្រង៖ ដោយស្វ័យប្រវត្តិ Guest VLAN៖ ត្រូវបានបិទ VLAN Radius Attribute៖ បិទការចូលប្រើបើក៖ បានបើក អស់ពេលម៉ាស៊ីនមេ៖ ៣៦០០ វិ ស្ថានភាពប្រតិបត្តិការច្រក៖ គ្មានការអនុញ្ញាត*
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវត្រូវបានបើក រយៈពេលផ្ទៀងផ្ទាត់ឡើងវិញ៖ 5000 វិនាទី រយៈពេលស្ងប់ស្ងាត់៖ 0 វិ។ រយៈពេលស្ងាត់៖ ១២០ វិ ចំណុចប្រទាក់ 802.1X-ផ្អែកលើប៉ារ៉ាម៉ែត្រ Tx រយៈពេល: 60 វិ អស់ពេលអ្នកស្នើសុំ៖ ៣៦០០ វិ។ តម្រូវការអតិបរមា៖ ៦ ជោគជ័យនៃការផ្ទៀងផ្ទាត់៖ 0 ការផ្ទៀងផ្ទាត់បរាជ័យ៖ 0 ការកំណត់រចនាសម្ព័ន្ធអ្នកស្នើសុំ៖ ព្យាយាមឡើងវិញអតិបរមា៖ ២ រយៈពេល EAP: 30 រយៈពេលនៃការដាក់ពាក្យបណ្ដឹង៖ 60 |
|
| ការណែនាំអ្នកប្រើប្រាស់ | – |
បង្ហាញអតិថិជនចាក់សោ dot1x
| វាក្យសម្ពន្ធ | បង្ហាញអតិថិជនចាក់សោ dot1x |
| ប៉ារ៉ាម៉ែត្រ | គ្មាន |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | – |
| របៀបពាក្យបញ្ជា | របៀប EXEC ដែលមានសិទ្ធិ។ |
| ការប្រើប្រាស់ | ដើម្បីបង្ហាញអតិថិជនទាំងអស់ដែលត្រូវបានចាក់សោ និងក្នុងរយៈពេលស្ងាត់ សូមប្រើកម្មវិធី
បង្ហាញអតិថិជនដែលចាក់សោរ dot1xlock ពាក្យបញ្ជានៅក្នុងរបៀប EXEC ដែលមានសិទ្ធិ។ |
| Example | ខាងក្រោមនេះ example បង្ហាញអតិថិជនដែលបានចាក់សោ៖
អាសយដ្ឋានច្រក MAC ពេលវេលានៅសល់ te1/0/1 0008.3b79.8787 20 te1/0/1 0008.3b89.3128 40 te1/0/2 0008.3b89.3129 10 |
| ការណែនាំអ្នកប្រើប្រាស់ | ប្រើ បង្ហាញអតិថិជនចាក់សោ dot1x ពាក្យបញ្ជាដើម្បីបង្ហាញអតិថិជនចាក់សោទាំងអស់ (នៅក្នុងរយៈពេលស្ងាត់) ។ |
បង្ហាញស្ថិតិ dot1x
| វាក្យសម្ពន្ធ | បង្ហាញចំណុចប្រទាក់ស្ថិតិ dot1x លេខសម្គាល់ចំណុចប្រទាក់ |
| ប៉ារ៉ាម៉ែត្រ | លេខសម្គាល់ចំណុចប្រទាក់ - បញ្ជាក់ច្រក Ethernet ឬច្រក OOB ។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | គ្មាន |
| របៀបពាក្យបញ្ជា | របៀប EXEC ដែលមានសិទ្ធិ។ |
| ការប្រើប្រាស់ | ដើម្បីបង្ហាញស្ថិតិ 802.1X សម្រាប់ច្រកដែលបានបញ្ជាក់ សូមប្រើពាក្យបញ្ជាស្ថិតិ show dot1x នៅក្នុង Privileged EXECmode។ |
| Example | ខាងក្រោមនេះ example បង្ហាញស្ថិតិ 802.1X សម្រាប់ te1/0/1 ។ ប្ដូរ xxxxxx# បង្ហាញចំណុចប្រទាក់ស្ថិតិ dot1x te1/0/1
EapolFramesRx៖ ១១ EapolFramesTx៖ ១២ EapolStartFramesRx៖ ១
EapolLogoffFramesRx៖ ១ EapolRespIdFramesRx៖ ៣ EapolRespFramesRx៖ ៦ EapolReqIdFramesTx៖ ៣
EapolReqFramesTx៖ ៦ InvalidEapolFramesRx៖ ០ EapLengthErrorFramesRx៖ ០
LastEapolFrameVersion៖ ១ LastEapolFrameSource: 00:08:78:32:98:78
តារាងខាងក្រោមពិពណ៌នាអំពីវាលសំខាន់ៗដែលបង្ហាញក្នុងការបង្ហាញ៖ |
|
ការពិពណ៌នាវាល EapolFramesRx ចំនួននៃស៊ុម EAPOL ដែលមានសុពលភាពនៃប្រភេទណាមួយដែលត្រូវបានទទួលដោយអ្នកផ្ទៀងផ្ទាត់នេះ។ EapolFramesTx ចំនួនស៊ុម EAPOL នៃប្រភេទណាមួយដែលត្រូវបានបញ្ជូនដោយកម្មវិធីផ្ទៀងផ្ទាត់នេះ។ EapolStartFramesRx ចំនួន EAPOL ចាប់ផ្តើមស៊ុមនោះ។ ត្រូវបានទទួលដោយអ្នកផ្ទៀងផ្ទាត់នេះ។ EapolLogoffFramesRx ចំនួននៃស៊ុម EAPOL Logoff ដែលត្រូវបានទទួលដោយអ្នកផ្ទៀងផ្ទាត់នេះ។ EapolRespIdFramesRx ចំនួននៃស៊ុម EAP Resp/Id ដែលត្រូវបានទទួលដោយអ្នកផ្ទៀងផ្ទាត់នេះ។ EapolRespFramesRx ចំនួននៃការឆ្លើយតប EAP ត្រឹមត្រូវ។ ស៊ុម (ក្រៅពី Resp/Id frames) ដែលបានទទួលដោយអ្នកផ្ទៀងផ្ទាត់នេះ។ EapolReqIdFramesTx ចំនួននៃស៊ុម EAP Req/Id នោះ។ ត្រូវបានបញ្ជូនដោយ Authenticator នេះ។ EapolReqFramesTx ចំនួននៃស៊ុមសំណើ EAP (ក្រៅពីស៊ុម Req/Id) ដែលត្រូវបានបញ្ជូនដោយកម្មវិធីផ្ទៀងផ្ទាត់នេះ។ InvalidEapolFramesRx ចំនួនស៊ុម EAPOL ដែលមាន ត្រូវបានទទួលដោយកម្មវិធីផ្ទៀងផ្ទាត់នេះ ដែលប្រភេទស៊ុមមិនត្រូវបានទទួលស្គាល់។ EapLengthErrorFramesRx ចំនួននៃស៊ុម EAPOL នោះ។ ត្រូវបានទទួលដោយអ្នកផ្ទៀងផ្ទាត់នេះ ដែលវាលប្រវែងតួកញ្ចប់មិនត្រឹមត្រូវ LastEapolFrameVersion លេខកំណែពិធីការដែលបានអនុវត្ត ស៊ុម EAPOL ដែលទើបទទួលបានថ្មីៗបំផុត។ អាសយដ្ឋាន MAC ប្រភព LastEapolFrameSource អនុវត្តនៅក្នុង ថ្មីៗនេះបានទទួលស៊ុម EAPOL ។ |
|
| ការណែនាំអ្នកប្រើប្រាស់ | – |
បង្ហាញអ្នកប្រើប្រាស់ dot1x
| វាក្យសម្ពន្ធ | បង្ហាញអ្នកប្រើប្រាស់ dot1x [ឈ្មោះអ្នកប្រើប្រាស់] |
| ប៉ារ៉ាម៉ែត្រ | ឈ្មោះអ្នកប្រើប្រាស់ ឈ្មោះអ្នកប្រើប្រាស់-បញ្ជាក់ឈ្មោះអ្នកប្រើដែលផ្គត់ផ្គង់ (ប្រវែង៖ ១–១៦០ តួអក្សរ)។ |
| ការកំណត់រចនាសម្ព័ន្ធលំនាំដើម | បង្ហាញអ្នកប្រើប្រាស់ទាំងអស់។ |
| របៀបពាក្យបញ្ជា | របៀប EXEC ដែលមានសិទ្ធិ។ |
| ការប្រើប្រាស់ | ដើម្បីបង្ហាញអ្នកប្រើប្រាស់ដែលមានការអនុញ្ញាត 802.1X សកម្មសម្រាប់ឧបករណ៍ សូមប្រើពាក្យបញ្ជា show dot1x users នៅក្នុងមុខងារ EXEC ដែលមានសិទ្ធិ។ |
| Example | Exampឡេ ២០. ពាក្យបញ្ជាខាងក្រោមបង្ហាញអ្នកប្រើប្រាស់ 802.1x ទាំងអស់៖
បង្ហាញអ្នកប្រើប្រាស់ dot1x ឈ្មោះអ្នកប្រើច្រក MAC អាសយដ្ឋាន វិធីសាស្ត្រផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ពេលវេលានៃសម័យម៉ាស៊ីនមេ VLAN te1/0/1 Bob 0008.3b71.1111 802.1x ពីចម្ងាយ 09:01:00 1020 te1/0/2 John 0008.3b79.87871 802.1x ពីចម្ងាយ 00:11:12 1020 te1/0/3 George 0008.3baa.0022 802.1x ពីចម្ងាយ 00:27:16 1020
Exampលេ 2 ។ ខាងក្រោមនេះ example បង្ហាញអ្នកប្រើប្រាស់ 802.1X ជាមួយនឹងឈ្មោះអ្នកប្រើប្រាស់ដែលផ្គត់ផ្គង់។ លោក Bob៖
ប្តូរ xxxxxx# បង្ហាញឈ្មោះអ្នកប្រើប្រាស់ dot1x លោក Bob ឈ្មោះអ្នកប្រើច្រក MAC អាសយដ្ឋាន វិធីសាស្ត្រផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ពេលវេលានៃសម័យម៉ាស៊ីនមេ VLAN – te1/0/1 Bob 0008.3b71.1111 802.1x ពីចម្ងាយ 09:01:00 1020 |
| ការណែនាំអ្នកប្រើប្រាស់ | – |
សំណួរគេសួរញឹកញាប់
សំណួរ៖ តើគោលបំណងនៃការផ្ទៀងផ្ទាត់ 802.1X គឺជាអ្វី?
ចម្លើយ៖ ការផ្ទៀងផ្ទាត់ 802.1X ផ្តល់នូវការចូលប្រើបណ្តាញដោយសុវត្ថិភាព ដោយតម្រូវឱ្យមានការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ មុនពេលផ្តល់សិទ្ធិចូលប្រើប្រាស់។
សំណួរ៖ តើខ្ញុំអាចសម្អាតស្ថិតិ 802.1X យ៉ាងដូចម្តេច?
ចម្លើយ៖ ប្រើពាក្យបញ្ជា 'clear dot1x statistics' នៅក្នុងមុខងារ EXEC ដែលមានសិទ្ធិ ដើម្បីសម្អាតបញ្ជរទាំងអស់ដែលបង្ហាញក្នុង show dot1x និងបង្ហាញពាក្យបញ្ជាស្ថិតិ dot1x។
សំណួរ៖ តើខ្ញុំអាចបើកការចូលប្រើបើកចំហនៅលើច្រកជាក់លាក់បានទេ?
ចម្លើយ៖ បាទ អ្នកអាចបើកការចូលដំណើរការបើកចំហ (របៀបត្រួតពិនិត្យ) នៅលើច្រកជាក់លាក់មួយដោយប្រើពាក្យបញ្ជា 'ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបើក' នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់។
ឯកសារ/ធនធាន
 |
កុងតាក់បណ្តាញ QNTMNET QN-SW-325 [pdf] ការណែនាំអ្នកប្រើប្រាស់ មិនត្រូវបានផ្តល់ឱ្យនៅក្នុងអត្ថបទ QN-SW-325 Network Switch, QN-SW-325, Network Switch, Switch |