منځپانګې پټول
1 IE3x00 MACsec او د MACsec کلیدي تړون پروتوکول
2 د محصول معلومات
2.1 مشخصات
2.2 د محصول کارولو لارښوونې
2.2.1 د MACsec او MKA فعالول
2.2.2 د MKA پالیسۍ
2.2.3 د MKA احصایې
2.2.3.1 Exampد کمانډ محصول:
2.2.4 د MKA تفصيلي حالت
2.2.4.1 Exampد کمانډ محصول:
2.3 FAQ (اکثره پوښتل شوي پوښتنې)
2.3.1 پوښتنه: کوم بندرونه په ESS-3300 کې د MACsec ملاتړ کوي؟
2.3.2 پوښتنه: MKA د څه لپاره ولاړ دی؟
2.3.3 پوښتنه: زه څنګه کولی شم په یو انٹرفیس کې MACsec او MKA فعال کړم؟
2.3.4 پوښتنه: د MKA پالیسي موخه څه ده؟
2.3.5 پوښتنه: زه څنګه کولی شم view د MKA احصایې؟
2.3.6 اسناد / سرچینې
2.3.6.1 حوالې
2.3.7 اړونده پوسټونه

IE3x00 MACsec او د MACsec کلیدي تړون پروتوکول

د محصول معلومات

مشخصات

  • معیاري: IEEE 802.1AE
  • ملاتړ شوي بندرونه: 1 ګیګابایټ ایترنیټ ډاون لینک بندرونه
  • کوډ کول: د MACsec کلیدي تړون سره 802.1AE کوډ کول
    (MKA)

د محصول کارولو لارښوونې

د MACsec او MKA فعالول

په انٹرفیس کې د MACsec او MKA فعالولو لپاره، دا تعقیب کړئ
ګامونه:

  1. انٹرفیس ته د MKA تعریف شوې پالیسي پلي کړئ.
  2. د MKA لپاره مطلوب اختیارونه تنظیم کړئ.

د MKA پالیسۍ

د MKA پالیسي د MACsec او MKA چلند تعریفوي
انٹرفیس تاسو کولی شئ لاندې اختیارونه تنظیم کړئ:

  • د واحد کوربه حالت: دا حالت یو واحد EAP تصدیق شوی خوندي کوي
    د MACsec او MKA په کارولو سره سیشن.

د MKA احصایې

تاسو کولی شئ د MKA غونډو د وضعیت په اړه معلومات ترلاسه کړئ او
view د MKA احصایې. ځینې ​​​​مهم شمیرې او معلومات
شامل دي:

  • د MKA ټولې ناستې: د فعال MKA ټولټال شمیر
    غونډې
  • خوندي ناستې: د اوس مهال خوندي شوي MKA شمیر
    غونډې
  • پاتې ناستې: د پاتې MKA غونډو شمیر.

Exampد کمانډ محصول:

بدلول # د mka ناستې ټولټال MKA ناستې ....... 1 خوندي ناستې ... 1 پاتې ناستې ... 0 انٹرفیس سیمه ایز-TxSCI پالیسي-نوم میراث شوی کیلي-سرور پورټ ID Peer-RxSCI MACsec-Peers حالت CKN Gi1/0/1 204c.9e85.ede4/002b p2 NO YES 43 c800.8459.e764/002a 1 خوندي 0100000000000000000000000000000000000000000000000000000000000000

د MKA تفصيلي حالت

تاسو کولی شئ د ځانګړي MKA لپاره د وضعیت تفصيلي معلومات ترلاسه کړئ
غونډه په معلوماتو کې شامل دي:

  • حالت: د MKA ناستې اوسنی حالت (د بیلګې په توګه،
    خوندي).
  • سیمه ایز Tx-SCI: د سیمه ایز لیږد خوندي چینل
    پیژندونکی.
  • د انٹرفیس MAC پته: د انٹرفیس MAC پته.
  • د MKA پورټ پیژندونکی: د MKA لپاره د بندر پیژندونکی.
  • د پلټنې ناستې ID: د پلټنې ناستې ID.
  • د CAK نوم (CKN): د ارتباطي ټولنې کلیدي نوم
    (CKN).
  • غړی پیژندونکی (MI): د غړی پیژندونکی.
  • د پیغام شمیره (MN): د پیغام شمیره.
  • د EAP رول: د EAP رول.
  • کلیدي سرور: دا په ګوته کوي چې ایا وسیله کلیدي سرور دی (YES
    یا نه).
  • د MKA سیفر سویټ: د MKA لخوا کارول شوی سایفر سویټ.
  • د SAK وروستی حالت: د وروستي خوندي اتحادیې وضعیت
    د ترلاسه کولو او لیږد لپاره کلیدي (SAK).
  • وروستی SAK AN: د SAK ټولنې وروستۍ شمیره.
  • وروستی SAK KI (KN): وروستی SAK کلیدي پیژندونکی (KN).
  • د زوړ SAK حالت: د زاړه SAK وضعیت.
  • زوړ SAK AN: د پخوانۍ SAK ټولنې شمیره.
  • زوړ SAK KI (KN): زوړ SAK کلیدي پیژندونکی (KN).

Exampد کمانډ محصول:

د MKA ناستې لپاره د MKA تفصیلي حالت د MKA ناستې لپاره د MKA د تفصیلي وضعیت د ښودلو لپاره # وښایاست =============================== === حالت: خوندي - د MACsec محلي Tx-SCI سره خوندي MKA ناسته............. 1c.0e1.ede204/9b انټرفیس MAC پته.... 85c.4e002.ede204 MKA پورټ پیژندونکی...... 9 د انٹرفیس نوم........... GigabitEthernet85/4/43 د پلټنې سیشن ID......... د CAK نوم (CKN). .... 1 Member Identifier (MI)... D0CBEC1D0100000000000000000000000000000000000000000000000000000000000000D46CEAE Message Number (MN)...... 05 EAP Role................. NA Key Server.. ............. YES MKA Cipher Suite......... AES-5-CMAC وروستی SAK حالت........ Rx & Tx وروستی SAK AN.. ......... 67594543 وروستی ساک کی (KN)....... D89567CBEC128D0D46CEAE05 (5) د ساک زوړ حالت........... لومړی-ساک زوړ ساک این... ..................

FAQ (اکثره پوښتل شوي پوښتنې)

پوښتنه: کوم بندرونه په ESS-3300 کې د MACsec ملاتړ کوي؟

A: MACsec په 1 ګیګابایټ ایترنیټ ډاون لینک بندرونو کې ملاتړ کیږي
یوازې.

پوښتنه: MKA د څه لپاره ولاړ دی؟

A: MKA د MACsec کلیدي تړون لپاره ولاړ دی.

پوښتنه: زه څنګه کولی شم په یو انٹرفیس کې MACsec او MKA فعال کړم؟

ځواب: په یو انټرنیټ کې د MACsec او MKA فعالولو لپاره، یو تعریف شوی MKA پلي کړئ
انٹرفیس ته پالیسي او د دې لپاره مطلوب انتخابونه تنظیم کړئ
MKA.

پوښتنه: د MKA پالیسي موخه څه ده؟

الف: د MKA پالیسي د MACsec او MKA چلند په یوه کې تعریفوي
انٹرفیس

پوښتنه: زه څنګه کولی شم view د MKA احصایې؟

ځواب: تاسو کولی شئ د "mka احصایې ښودل" کمانډ وکاروئ view MKA
احصایې، په شمول د MKA غونډو ټول شمیر، خوندي شوي
ناستې، او پاتې ناستې.

View Fullscreen

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول
دا څپرکی لاندې برخې لري: · MACsec او د MACsec کلیدي تړون (MKA) پروتوکول، په 1 پاڼه کې · د سند پر بنسټ MACsec، په 2 پاڼه کې · د MKA پالیسۍ، په 2 پاڼه کې · واحد کوربه حالت، په 2 پاڼه کې · د MKA احصایې، په 3 پاڼه کې · د MACsec کوډ کولو څرنګوالی، په 8 پاڼه کې
MACsec او د MACsec کلیدي تړون (MKA) پروتوکول
MACsec د IEEE 802.1AE معیار دی چې د دوو MACsec وړ وسیلو تر مینځ د پیکټو تصدیق کولو او کوډ کولو لپاره. سویچ د سویچ او کوربه وسیلو ترمینځ د کوډ کولو لپاره په ښکته لینک بندرونو کې د MACsec کلیدي تړون (MKA) سره د 802.1AE کوډ کولو ملاتړ کوي. د MKA پروتوکول اړین سیشن کیلي چمتو کوي او د کوډ کولو اړین کیلي اداره کوي.
مهم په ESS-3300 کې، MACsec یوازې په 1 ګیګابایټ ایترنیټ ډاون لینک بندرونو کې ملاتړ کیږي.
د MACsec او MACsec کلیدي تړون (MKA) د سند پراساس MACsec یا دمخه شریک شوي کیلي (PSK) چوکاټ په کارولو سره د بریالي تصدیق کولو وروسته پلي کیږي. تاسو کولی شئ په انٹرفیس کې د نه کوډ شوي پاکټونو چلند کنټرول کړئ کله چې MACsec د کمانډ په کارولو سره فعال شي macsec access-control {must-secure | باید خوندي}. کله چې MACsec په یو انٹرفیس کې فعال شي، د انټرنیټ ټول ټرافیک د ډیفالټ په واسطه خوندي کیږي (یعنې باید خوندي وي ډیفالټ ترتیب وي). د میکسیک لاسرسي کنټرول لازمي خوندي ترتیب د ورته فزیکي انٹرفیس څخه هیڅ نه کوډ شوي کڅوړې لیږدولو یا ترلاسه کولو ته اجازه نه ورکوي. ترافيک تر هغه وخته پورې غورځول کيږي چې د MKA غونډې خوندي نه وي. په هرصورت، په ټاکل شوي انٹرفیسونو کې د MACsec فعالولو لپاره، تاسو کولی شئ د میکسیک لاسرسي کنټرول په ترتیب کولو سره د ورته فزیکي انٹرفیس څخه غیر کوډ شوي پاکټونو ته د لیږدولو یا ترلاسه کولو اجازه ورکړئ. دا اختیار غیر کوډ شوي ترافیک ته اجازه ورکوي تر څو چې د MKA سیشن خوندي نه وي. وروسته له دې چې د MKA سیشن خوندي شي، یوازې کوډ شوی ټرافيک جریان کولی شي. د تشکیلاتو د جزیاتو لپاره، په 15 پاڼه کې د PSK په کارولو سره د MACsec MKA ترتیب کول وګورئ.
MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 1

د سند پر بنسټ MACsec

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د سند پر بنسټ MACsec
د سند پراساس د MACsec کوډ کولو خصوصیت د 802.1X پورټ میشته تصدیق د توزیع وړ تصدیق پروتوکول ټرانسپورټ پرت امنیت (EAP-TLS) سره د بندرونو لپاره سندونو لیږدولو لپاره کاروي چیرې چې MACsec کوډ کولو ته اړتیا وي. د EAP-TLS میکانیزم د متقابل اعتبار لپاره او د ماسټر سیشن کیلي (MSK) ترلاسه کولو لپاره کارول کیږي چې له هغې څخه د ارتباط اتحادیې کیلي (CAK) د MACsec کلیدي تړون (MKA) پروتوکول لپاره اخیستل کیږي. دا فیچر ته اجازه ورکوي چې کیلي په مرکزي سرور (CA) کې د PSK (پرې شریک شوي کیلي) د MACsec پر بنسټ اداره شي. سویچ ته سویچ MACsec ملاتړ کیږي. د نورو معلوماتو لپاره د سند پر اساس MACsec ترتیب کول په 16 پاڼه کې وګورئ.
محدودیتونه او محدودیتونه
د سند پر بنسټ MACsec دا محدودیتونه او محدودیتونه لري: · بندرونه باید د لاسرسي حالت یا ترنک حالت کې وي. MKA په پورټ چینلونو کې نه ملاتړ کیږي. · د MKA لپاره لوړ شتون نه ملاتړ کیږي. · د سویچ پورټ پرته بندرونه نه ملاتړ کیږي. · د ESS3300 uplink بندرونه PHY نلري او له همدې امله د MACSec ملاتړ نه کوي.
د MKA پالیسۍ
په انٹرفیس کې د MKA د فعالولو لپاره، د MKA تعریف شوې پالیسي باید په انٹرفیس کې پلي شي. تاسو کولی شئ دا اختیارونه تنظیم کړئ:
· د پالیسۍ نوم، د 16 ASCII حروف څخه زیات نه وي. · د هر فزیکي انٹرفیس لپاره د 0، 30، یا 50 بایټس محرمیت (کوډ کول)
د واحد کوربه حالت
ارقام ښیې چې څنګه د MKA په کارولو سره د MACsec لخوا یو واحد EAP تصدیق شوی ناسته خوندي کیږي.
شکل 1: MACsec په واحد کوربه حالت کې د خوندي ډیټا سیشن سره

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 2

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د MKA احصایې

د MKA احصایې

د MKA ځینې شمیرونکي په نړیواله کچه راټول شوي، پداسې حال کې چې نور په نړیواله کچه او په هره ناسته کې تازه شوي. تاسو کولی شئ د MKA غونډو د وضعیت په اړه هم معلومات ترلاسه کړئ.
دا یو پخوانی دیampد mka احصایې کمانډ محصول ښودل
بدل کړئ # د mka ناستې ښیې

د MKA ټولې ناستې…… 1 خوندي ناستې ... 1 پاتې ناستې ... 0

========================================= =========================================

انٹرفیس

ځايي-TxSCI

د پالیسۍ نوم

ميراثي

کلیدي سرور

پورټ-ID

Peer-RxSCI

MACsec-Peers

حالت

CKN

========================================= =========================================

Gi1/0/1

204c.9e85.ede4/002b p2

نه

هو

43

c800.8459.e764/002a 1

خوندي

0100000000000000000000000000000000000000000000000000000000000000

د Mka سیشن انٹرفیس G1/0/1 وښایاست

په ګیګابایټ ایترنیټ 1/0/1 انٹرفیس کې د ټولو اوس مهال فعال MKA سیشنونو لنډیز…

========================================= =========================================

انٹرفیس

ځايي-TxSCI

د پالیسۍ نوم

ميراثي

کلیدي سرور

پورټ-ID

Peer-RxSCI

MACsec-Peers

حالت

CKN

========================================= =========================================

Gi1/0/1

204c.9e85.ede4/002b p2

نه

هو

43

c800.8459.e764/002a 1

خوندي

0100000000000000000000000000000000000000000000000000000000000000

د Mka سیشنونو انٹرفیس G1/0/1 de شو# وښایاست
د MKA ناستې لپاره د MKA تفصيلي وضعیت ================================== وضعیت: خوندي - د MACsec سره خوندي MKA ناسته
ځایی Tx-SCI…………. 204c.9e85.ede4/002b انٹرفیس MAC ادرس…. 204c.9e85.ede4 MKA پورټ پیژندونکی…… 43 د انٹرفیس نوم……….. GigabitEthernet1/0/1 د پلټنې سیشن ID……… CAK نوم (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 46 غړي پیژندونکی (MI)… D05CBEC5D67594543D89567CEAE د پیغام شمیره ( MN)…… 128 EAP رول……………….. NA کلیدي سرور…………… هو MKA سیفر سویټ……… AES-XNUMX-CMAC
د SAK وروستی حالت …….. Rx & Tx وروستی SAK AN…………… 0 وروستی SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) د ساک زوړ حالت……….. لومړی-ساک زوړ ساک این…………… 0 زوړ ساک کی (KN)………. لومړی-ساک (0)
SAK د انتظار وخت لیږدوي… 0s (د هیڅ ملګري ځواب ته انتظار نه کوي) د SAK د تقاعد وخت………. 0s (د تقاعد لپاره زوړ SAK نشته)

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 3

د MKA احصایې

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د MKA د پالیسۍ نوم………. p2 کلیدي سرور لومړیتوب…… 2 د ځنډ محافظت…… نه د بیا چلولو محافظت……. هو د کړکۍ اندازه ……. 0 د محرمیت آفسیټ… 0 د الګوریتم چټکتیا…….. 80C201 خوندي اعلان واستوئ.. غیر فعال SAK سیفر سویټ……… 0080C20001000001 (GCM-AES-128) MACsec وړتیا…….. 3 (MACsec، MACsec Contegrity، او د انټیګیټریډ ډیټابیس) ……….. هو

# د MACsec وړ ژوندی همکارانو………… 1 # د MACsec وړ ژوندیو همکارانو ځواب ورکړ.. 1

د ژوندیو ملګرو لیست:

MI

MN

Rx-SCI (پییر)

KS لومړیتوب

————————————————————————

38046BA37D7DA77E06D006A9 89555

c800.8459.e764/002a 10

د احتمالي همکارانو لیست:

MI

MN

Rx-SCI (پییر)

KS لومړیتوب

————————————————————————

د بې کاره ملګرو لیست:

MI

MN

Rx-SCI (پییر)

KS لومړیتوب

————————————————————————

د Mka سیشنونه وښایاست # د mka سیشن توضیحات وښایاست

د MKA ناستې لپاره د MKA تفصيلي وضعیت ================================== وضعیت: خوندي - د MACsec سره خوندي MKA ناسته

ځایی Tx-SCI…………. 204c.9e85.ede4/002b انٹرفیس MAC ادرس…. 204c.9e85.ede4 MKA پورټ پیژندونکی…… 43 د انٹرفیس نوم……….. GigabitEthernet1/0/1 د پلټنې سیشن ID……… CAK نوم (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 46 غړي پیژندونکی (MI)… D05CBEC5D67594543D89572CEAE د پیغام شمیره ( MN)…… 128 EAP رول……………….. NA کلیدي سرور…………… هو MKA سیفر سویټ……… AES-XNUMX-CMAC

د SAK وروستی حالت …….. Rx & Tx وروستی SAK AN…………… 0 وروستی SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) د ساک زوړ حالت……….. لومړی-ساک زوړ ساک این…………… 0 زوړ ساک کی (KN)………. لومړی-ساک (0)

SAK د انتظار وخت لیږدوي… 0s (د هیڅ ملګري ځواب ته انتظار نه کوي) د SAK د تقاعد وخت………. 0s (د تقاعد لپاره زوړ SAK نشته)

د MKA د پالیسۍ نوم………. p2 کلیدي سرور لومړیتوب…… 2 د ځنډ محافظت…… نه د بیا چلولو محافظت……. هو د کړکۍ اندازه ……. 0 د محرمیت آفسیټ… 0 د الګوریتم وړتیا…….. 80C201

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 4

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د MKA احصایې

SAK Cipher Suite……… 0080C20001000001 (GCM-AES-128) MACsec وړتیا…….. 3 (MACsec بشپړتیا، محرمیت، او آفسیټ) MACsec مطلوب……….. هو

# د MACsec وړ ژوندی همکارانو………… 1 # د MACsec وړ ژوندیو همکارانو ځواب ورکړ.. 1

د ژوندیو ملګرو لیست:

MI

MN

Rx-SCI (پییر)

KS لومړیتوب

————————————————————————

38046BA37D7DA77E06D006A9 89560

c800.8459.e764/002a 10

د احتمالي همکارانو لیست:

MI

MN

Rx-SCI (پییر)

KS لومړیتوب

————————————————————————

د بې کاره ملګرو لیست:

MI

MN

Rx-SCI (پییر)

KS لومړیتوب

————————————————————————

بدل کړئ #sh mka pol

د MKA د پالیسۍ لنډیز…

پالیسي

KS

ځنډول د کړکۍ کنف سیفر

انٹرفیسونه

نوم

د لومړیتوب محافظت محافظت اندازه آفسیټ سویټ

تطبیق شوی

========================================= ========================================= ==

*ډیفالټ پالیسي* 0

غلط ریښتیا 0

0

GCM-AES-128

p1

1

غلط ریښتیا 0

0

GCM-AES-128

p2

2

غلط ریښتیا 0

0

GCM-AES-128

Gi1/0/1

بدل کړئ #sh mka poli

بدل کړئ #sh mka پالیسي p2

بدل کړئ #sh mka پالیسي p2؟

تفصیل د MKA پالیسي لپاره تفصيلي ترتیب/معلومات

د ټولو فعال MKA سیشنونو لنډیز د پالیسي پلي کیدو سره

|

د محصول اصالح کونکي

بدل کړئ #sh mka پالیسي p2 de

د MKA پالیسي ترتیب ("p2") ======================= د MKA د پالیسۍ نوم…….. p2 کلیدي سرور لومړیتوب…. 2 د محرمیت آفریټ. 0 خوندي اعلان واستوئ.. ناکاره سیفر سویټ …….. GCM-AES-128

پلي شوي انٹرفیسونه… GigabitEthernet1/0/1

بدل کړئ #sh mka پالیسي p2

د MKA د پالیسۍ لنډیز…

پالیسي

KS

ځنډول د کړکۍ کنف سیفر

انٹرفیسونه

نوم

د لومړیتوب محافظت محافظت اندازه آفسیټ سویټ

تطبیق شوی

========================================= ========================================= ==

p2

2

غلط ریښتیا 0

0

GCM-AES-128

Gi1/0/1

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 5

د MKA احصایې

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

بدله #sh mka se؟ غونډې

بدله #sh mka؟ د ډیفالټ پالیسي کیچین پالیسي presharedkeys ناستې احصایې لنډیز

د MKA ډیفالټ پالیسي توضیحات د MKA دمخه شریک شوي کلیدي زنځیرونه د MKA پالیسي ترتیب کولو معلومات MKA پریشیر شوي کیز MKA سیشن لنډیز نړیوال MKA احصایې د MKA سیشن لنډیز او نړیوال احصایې

د #sh mka احصایې بدل کړئ

د #sh mka احصایې بدل کړئ؟

په انٹرفیس کې د MKA ناستې لپاره د انٹرفیس احصایې

د MKA سیشن لپاره د محلي ساینس احصایې د دې محلي Tx-SCI لخوا پیژندل شوي

|

د محصول اصالح کونکي

#sh mka احصایې په منځ کې بدل کړئ #Show mka احصایې انٹرفیس G1/0/1

د غونډې لپاره د MKA احصایې ========================= د بیا تایید هڅې.. 0

د CA احصایې په ګډه CAKs ترلاسه شوي… 0 په ګډه د CAK ریکیز….. 0 ګروپ CAKs تولید شوي…. 0 ګروپ CAKونه ترلاسه شوي ... 0

د SA احصایې SAKs تولید شوي………. 1 SAKs بیا کتل شوي………… 0 SAK ترلاسه شوي……….. 0 SAK ځوابونه ترلاسه شوي.. 1

MKPDU احصایې MKPDUs تایید شوي

بدلول #شو mka؟

default-policy MKA د ډیفالټ پالیسۍ توضیحات

کیچین

د MKA پری شریک شوي کلیدي کلیدي زنځیرونه

پالیسي

د MKA د پالیسۍ ترتیب کولو معلومات

presharedkeys MKA مخکینۍ کیلي

غونډې

د MKA سیشن لنډیز

احصایې

د نړیوال MKA احصایې

لنډیز

د MKA سیشن لنډیز او نړیوال احصایې

د Mka لنډیز بدل کړئ # د Mka لنډیز وښایاست

د MKA ټولې ناستې…… 1 خوندي ناستې ... 1 پاتې ناستې ... 0

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 6

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د MKA احصایې

========================================= =========================================

انٹرفیس

ځايي-TxSCI

د پالیسۍ نوم

ميراثي

کلیدي سرور

پورټ-ID

Peer-RxSCI

MACsec-Peers

حالت

CKN

========================================= =========================================

Gi1/0/1

204c.9e85.ede4/002b p2

نه

هو

43

c800.8459.e764/002a 1

خوندي

0100000000000000000000000000000000000000000000000000000000000000

د MKA نړیوال احصایې ==================== د MKA سیشن مجموعه
خوندي ……………….. 1 د بیا تصدیق کولو هڅې.. 0
ړنګ شوی (خوندي)………. 0 د ژوندي ساتلو وخت ختمول……… 0
د CA احصایې په جوړه توګه ترلاسه شوي CAKs…… 0 په ګډه د CAK بیاکتنې…….. 0 ګروپ CAKs تولید شوي……. 0 ګروپ CAK ترلاسه شوي ……. 0
د SA احصایې SAKs تولید شوي…………. 1 SAKs بیا کتل شوي…………… 0 SAK ترلاسه شوي………….. 0 SAK ځوابونه ترلاسه شوي….. 1
د MKPDU احصایې MKPDUs تایید شوي او Rx…… 89589 “توزیع شوي SAK”….. 0 “توزیع شوي CAK”….. 0 MKPDUs لیږدول شوي……… 89600 “توزیع شوي SAK”….. 1 “توزیع شوي CAK”….. 0
د MKA د تېروتنې ضد ټولټال ======================== د ناستې ناکامي
د زده کړې ناکامۍ ………………. 0 د بیا تصدیق کولو ناکامۍ …….. 0 د نقل تصدیق-Mgr لاسوند…….. 0
د SAK ناکامۍ SAK نسل………………. 0 د هش کیلي تولید………….. 0 SAK کوډ کول/ریپ………….. 0 SAK ډیکریپشن/ خلاصول……………… 0 SAK د سیفر بې اتفاقي………….. 0
د CA ناکامیو ګروپ د CAK نسل…………. 0 ګروپ CAK کوډ کول/ریپ…….. 0 د ګروپ CAK ډیکریپشن/ناپریپشن…… 0 په ګډه د CAK اخستل………. 0 CKN اخذ ………………. 0 ICK استخراج………………. 0 KEK استخراج………………. 0 ناسم پیر MACsec وړتیا… 0
د MACsec ناکامۍ Rx SC جوړول………………. 0

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 7

د MACsec کوډ کولو څرنګوالی

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

Tx SC جوړول………………. 0 Rx SA نصب…………… 0 Tx SA نصب…………… 0
د MKPDU ناکامۍ MKPDU Tx………………………. 0 MKPDU Rx تایید ………….. 0 MKPDU Rx بد پیر MN…………. 0 MKPDU Rx غیر وروستي پیر لیست MN. 0
بدل #
د MACsec کوډ کولو څرنګوالی
د MACsec کوډ کولو لپاره شرایط
د MACsec کوډ کولو لپاره شرایط: · ډاډ ترلاسه کړئ چې 802.1x تصدیق او AAA ستاسو په وسیله تنظیم شوي.
د MKA او MACsec ترتیب کول
د ډیفالټ MACsec MKA ترتیب
MACsec غیر فعال دی. د MKA هیڅ پالیسۍ ترتیب شوي ندي.
MKA-PSK: د CKN چلند بدلون
د کلاسیک سیسکو IOS چلولو سیسکو سویچونو سره د مداخلې لپاره ، د CKN ترتیب باید صفر پیډ وي. د Cisco IOS XE Everest Release 16.6.1 څخه وروسته، د MKA-PSK سیشنونو لپاره، د ټاکل شوي 32 بایټونو پرځای، د ارتباط اتحادیې کلیدي نوم (CKN) د CKN په څیر ورته تار کاروي، کوم چې د هیکس تار په توګه ترتیب شوی. کلید Exampد ترتیب ترتیب:
د ترمینل کیلي سلسله ترتیب کړئ KEYCHAINONE macsec key 1234 cryptographic-algorithm aes-128-cmac key-string 123456789ABCDEF0123456789ABCDEF0 د ژوند وخت محلي 12:21:00 د سپتمبر 9 پای 2015
د پورتنیو پخوانیو لپارهample، لاندې د شو mka سیشن کمانډ لپاره محصول دی:

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 8

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

MKA-PSK: د CKN چلند بدلون

په یاد ولرئ چې د CKN کیلي سټینګ بالکل ورته دی چې د کیلي لپاره د hex-string په توګه ترتیب شوی. د IOS XE چلولو پلیټ فارمونو او د کلاسیک IOS چلولو پلیټ فارمونو ترمینځ د متقابل عمل لپاره ، یو د CKN چلند بدلون لري او بل د CKN چلند بدلون پرته ، د کیلي لپاره هیکس سټرینګ باید د 64-حروف هیکس سټینګ وي چې د صفر سره پیډ شوی وي ترڅو کار وکړي. وسیله چې د CKN چلند بدلون سره عکس لري. پخوانی وګورئample لاندې: د CKN کلیدي تار چلند بدلون پرته ترتیب کول:
config t key chain KEYCHAINONE macsec key 1234 cryptographic-algorithm aes-128-cmac key-string 123456789ABCDEF0123456789ABCDEF0 د ژوند وخت محلي 12:21:00 سپتمبر 9 2015 infinite
محصول:
د CKN کیلي سټرینګ چلند بدلون سره تنظیم کول:
config t key chain KEYCHAINONE macsec key 1234000000000000000000000000000000000000000000000000000000000000 cryptographic-algorithm aes-128-cmac key-string 123456789ABCDEF0123456789ABCDEF0 د ژوند وخت محلي 12:21:00 سپتمبر 9 2015 infinite
محصول:
MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 9

د MKA پالیسي ترتیب کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د MKA پالیسي ترتیب کول

لنډیز ګامونه

1. ټرمینل ترتیب کړئ 2. د mka د پالیسۍ پالیسۍ نوم 3. لیږل-خوندي-اعلانات 4. د کلیدي-سرور لومړیتوب 5. شامل-icv-انډیکیټر 6. macsec-cipher-suite gcm-aes-128 7. محرمیت-افسیټ آف سیٹ ارزښت 8 پای 9. د mka پالیسي ښکاره کړئ

تفصيلي ګامونه

1 ګام

د کمانډ یا عمل ترتیب ټرمینل

مرحله 2 mka د پالیسۍ پالیسۍ نوم

3 ګام - خوندي - اعلانونه لیږل

موخه د نړیوال ترتیب حالت ته ننوځي.

د MKA پالیسي وپیژنئ، او د MKA پالیسي ترتیب کولو حالت ته ننوځئ. د پالیسۍ نوم اعظمي حد 16 حروف دی.

نوټ

په MKA کې د ډیفالټ MACsec سیفر سویټ

پالیسي به تل "GCM-AES-128" وي. که د

وسیله دواړه "GCM-AES-128" او ملاتړ کوي

"GCM-AES-256" سیفرونه، دا خورا لوړ دی

د یو کاروونکي تعریف او کارولو لپاره وړاندیز شوی

د MKA پالیسي د 128 او 256 بټونو دواړه شاملولو لپاره

سایفر یا یوازې 256 بټ سیفر، لکه څنګه چې کیدی شي

اړین

خوندي اعلانونه فعال کړل.

نوټ

په ترتیب سره، خوندي اعلانونه دي

معلول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 10

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

په انٹرفیس کې د MACsec تنظیم کول

4 ګام

د قوماندې یا عمل کلیدي سرور لومړیتوب

مرحله 5 د-icv-انډیکیټر شاملول مرحله 6 macsec-cipher-suite gcm-aes-128 مرحله 7 محرمیت-افسیټ آف سیٹ ارزښت

ګام 8 ګام 9

د ایمکا پالیسي پای شو

موخه

د MKA کلیدي سرور انتخابونه تنظیم کړئ او لومړیتوب ټاکئ (د 0-255 ترمنځ).

نوټ

کله چې د کلیدي سرور لومړیتوب ارزښت 255 ته ټاکل شوی وي،

ملګری نشي کولی کلیدي سرور شي. د

د کلیدي سرور لومړیتوب ارزښت یوازې د اعتبار وړ دی

MKA PSK؛ او نه د MKA EAPTLS لپاره.

په MKPDU کې د ICV شاخص فعالوي. د ICV شاخص غیر فعالولو لپاره د دې کمانډ هیڅ بڼه وکاروئ - نه شامل-icv-انډیکیټر.

د 128-bit کوډ کولو سره د SAK ترلاسه کولو لپاره د سایفر سویټ تنظیموي.

د هر فزیکي انٹرفیس لپاره د محرمیت (کوډ کولو) آفسیټ تنظیم کړئ

نوټ

د آفسټ ارزښت کیدای شي 0، 30 یا 50 وي. که تاسو یاست

په مراجعینو کې د هر ډول ارتباط کارول، دا دی

د آفسټ 0 کارولو لپاره وړاندیز شوی.

د امتیاز لرونکي EXEC حالت ته راستنیږي.

خپل ننوتل تایید کړئ.

Example
دا پخوانیample د MKA پالیسي ترتیبوي:
بدل کړئ محرمیت-افسیټ 200 سویچ(config-mka-policy)# پای

په انٹرفیس کې د MACsec تنظیم کول
دا مرحلې تعقیب کړئ MACsec په یو انٹرفیس کې د MACsec ناستې سره د غږ لپاره او یو د ډیټا لپاره:

لنډیز ګامونه

1. فعال کړئ 2. ټرمینل تنظیم کړئ 3. د انٹرفیس انٹرفیس-id 4. د سویچ پورټ لاسرسی vlan vlan-id 5. د سویچپورټ حالت لاسرسی 6. macsec 7. د تصدیق پیښې لینکسیک ناکام عمل اجازه vlan vlan-id 8. تصدیق کوربه موډ ملټي ډومین

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 11

په انٹرفیس کې د MACsec تنظیم کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

9. د تصدیق لینکسیک پالیسي باید خوندي وي 10. تصدیق د پورټ کنټرول آټو 11. د اعتبار موده 12. د تصدیق وخت 13. د تصدیق کولو سرغړونې ساتنه 14. د mka د پالیسۍ پالیسي نوم 15. dot1x pae authenticator د تصدیق سیشن انٹرفیس انٹرفیس-id 16. د تصدیق سیشن انٹرفیس انٹرفیس-id توضیحات وښایاست 17. macsec انٹرفیس انٹرفیس-id ښکاره کړئ 18. mka سیشنونه وښایاست 19. کاپي run-config startup-config

تفصيلي ګامونه

1 ګام

کمانډ یا عمل فعال کړئ ExampLe:
بدل کړئ> فعال کړئ

موخه
د امتیاز لرونکي EXEC حالت فعالوي. پاسورډ دننه کړئ که غوښتنه وشي.

2 ګام

ټرمینل ترتیب کړئ ExampLe:
بدل کړئ> ترمینل تنظیم کړئ

د نړیوال ترتیب حالت ته ننوځئ.

3 ګام

د انٹرفیس انٹرفیس-id

د MACsec انٹرفیس وپیژنئ، او د انٹرفیس ترتیب کولو حالت ته ننوځئ. انٹرفیس باید فزیکي انٹرفیس وي.

4 ګام

د سویچپورټ لاسرسی vlan vlan-id

د بندر لپاره د لاسرسي VLAN تنظیم کړئ.

5 ګام

د سویچ پورټ حالت ته لاسرسی

انٹرفیس د لاسرسي بندر په توګه تنظیم کړئ.

6 ګام

macsec

په انٹرفیس کې 802.1ae MACsec فعال کړئ. د macsec کمانډ MKA MACsec یوازې د سویچ څخه کوربه لینکونو (د ډاون لینک بندرونو) فعالوي.

7 ګام

د تصدیق کولو پیښې لینکسیک ناکام عمل اختیار کول vlan (اختیاري) مشخص کړئ چې سویچ تصدیق پروسس کوي

vlan-id

د لینک امنیت ناکامۍ د نا پیژندل شوي کارونکي له امله رامینځته کیږي

په بندر کې د یو محدود VLAN په اختیار کولو سره اسناد

د ناکامې تصدیق کولو هڅې وروسته.

8 ګام

د تصدیق کوربه موډ ملټي ډومین

په بندر کې د تصدیق مدیر حالت تنظیم کړئ ترڅو دواړه کوربه او غږیز وسیلې ته اجازه ورکړي چې په 802.1x مجاز بندر کې تصدیق شي. که تنظیم شوی نه وي، د اصلي کوربه حالت واحد دی.

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 12

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

په انٹرفیس کې د MACsec تنظیم کول

ګام 9 ګام 10 ګام 11 ګام 12 ګام 13 ګام
14 ګام
ګام 15 ګام 16
17 ګام
ګام 18 ګام 19 ګام 20 ګام 21 ګام 22 ګام

د قوماندې یا عمل تصدیق لینکسیک پالیسي باید خوندي وي

موخه
د لینکسیک امنیت پالیسي ترتیب کړئ ترڅو د MACsec سره ناسته خوندي کړي که چیرې ملګری شتون ولري. که ټاکل شوی نه وي، ډیفالټ باید خوندي وي.

د تصدیق پورټ کنټرول اتومات

په بندر کې د 802.1x تصدیق فعال کړئ. بندر د سویچ او پیرودونکي ترمینځ د تصدیق تبادلې پراساس مجاز یا غیر مجاز حالت ته بدلیږي.

د اعتبار دوره

د دې بندر لپاره بیا تصدیق کول فعال یا غیر فعال کړئ.

د تصدیق کولو ټایمر بیا تصدیق کول

د 1 او 65535 ترمنځ ارزښت دننه کړئ (په ثانیو کې). د سرور څخه د بیا تصدیق کولو وخت پای ارزښت ترلاسه کوي. د ډیفالټ بیا تصدیق وخت 3600 ثانیې دی.

د تصدیق سرغړونې ساتنه

د غیر متوقع راتلونکو MAC ادرسونو پریښودو لپاره پورټ تنظیم کړئ کله چې یو نوی وسیله له بندر سره وصل شي یا کله چې وسیله له بندر سره وصل شي وروسته له دې چې ډیری وسیلې له دې بندر سره وصل شي. که تنظیم شوی نه وي، ډیفالټ د بندر بندول دي.

د mka پالیسۍ پالیسۍ نوم

انٹرفیس ته د موجوده MKA پروتوکول پالیسي پلي کړئ ، او په انٹرفیس کې MKA فعال کړئ. که چیرې د MKA پالیسي نه وي ترتیب شوې (د mka پالیسي نړیوال تنظیم کولو کمانډ دننه کولو سره).

dot1x pae تصدیق کونکی

بندر د 802.1x پورټ لاسرسي ادارې (PAE) تصدیق کونکي په توګه تنظیم کړئ.

spanning-tree portfast

په دې ټولو اړوندو VLANs کې په انٹرفیس کې د سپینګ ونې پورټ فاسټ فعال کړئ. کله چې د پورټ فاسټ فیچر فعال شي، انٹرفیس په مستقیم ډول د بلاک کولو حالت څخه فارورډینګ حالت ته بدلیږي پرته لدې چې د مینځنۍ سپننګ - ونې حالت بدل کړي.

پای ExampLe:
بدلول (تشکیل) # پای

د امتیاز لرونکي EXEC حالت ته راستنیږي.

د تصدیق سیشن انٹرفیس انٹرفیس-id ښکاره کړئ

د مجاز سیشن امنیت حالت تایید کړئ.

د تصدیق سیشن انٹرفیس انٹرفیس-ID توضیحات وښایاست د مجاز سیشن د امنیت حالت توضیحات تایید کړئ.

د macsec انٹرفیس انٹرفیس-id ښکاره کړئ

په انٹرفیس کې د MacSec وضعیت تایید کړئ.

د mka ناستې ښودل

د تاسیس شوي mka ناستې تایید کړئ.

کاپي run-config startup-config ExampLe:
بدل کړئ # کاپي چلول - ترتیب پیل کول - ترتیب

(اختیاري) ستاسو ننوتل په ترتیب کې خوندي کوي file.

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 13

د مخکینۍ شریک شوي کیلي (PSK) په کارولو سره د MACsec MKA تنظیم کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د مخکینۍ شریک شوي کیلي (PSK) په کارولو سره د MACsec MKA تنظیم کول

لنډیز ګامونه

1. ټرمینل ترتیب کړئ 2. د کلیدي زنځیر کلیدي زنځیر نوم میکسیک 3. کیلي هیکس سټینګ 4. کریپټوګرافیک-الګوریتم {gcm-aes-128 | gcm-aes-256} 5. key-string { [0|6|7] pwd-string | pwd-string} 6. د ژوند وخت محلي [د پیل وختamp {hh::mm::ss | ورځ | میاشت | کال}] [دورې ثانیې | پای وختamp
{hh::mm::ss | ورځ | میاشت | کال}] 7. پای

تفصيلي ګامونه

1 ګام

د کمانډ یا عمل ترتیب ټرمینل

مرحله 2 د کلیدي زنځیر کلیدي زنځیر نوم میکسیک

مرحله 3 کلیدي هیکس تار

موخه د نړیوال ترتیب حالت ته ننوځي.

د کیلي زنځیر تنظیموي او د کیلي زنځیر ترتیب کولو حالت ته ننوځي.

په کیچین کې د هرې کیلي لپاره یو ځانګړی پیژندونکی تنظیموي او د کیچین کلیدي ترتیب کولو حالت ته ننوځي.

نوټ

د 128-bit کوډ کولو لپاره، د 32 هیکس عدد وکاروئ

کلیدي تار د 256-bit کوډ کولو لپاره، 64 هیکس وکاروئ

عددي کلیدي تار.

ګام 4 ګام 5 ګام 6 ګام 7 ګام

کریپټوګرافیک-الګوریتم {gcm-aes-128 | gcm-aes-256} د 128-bit یا 256-bit کوډ کولو سره د کریپټوګرافیک تصدیق کولو الګوریتم تنظیم کړئ.

key-string { [0|6|7] pwd-string | pwd-string}

د کلیدي تار لپاره پټنوم تنظیموي. یوازې د هیکس حروف باید داخل شي..

د ژوند وخت محلي [د پیل وختamp {hh::mm::ss | ورځ | میاشت د مخکې شریک شوي کیلي ژوند موده ټاکي. | کال}] [دورې ثانیې | پای وختamp {hh::mm::ss | ورځ | میاشت | کال}]

پای

د امتیاز لرونکي EXEC حالت ته راستنیږي.

Example
لاندې یو شاخص دیampLe:
بدلول سویچ (config-keychain-key)# د ژوند ځای ځایی 1:1000:128 جولای 12345678901234567890123456789012 12 12:00:28 جولای 2016 12 سویچ(config-keychain-key)# پای

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 14

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د PSK په کارولو سره په انٹرفیس کې د MACsec MKA تنظیم کول

د PSK په کارولو سره په انٹرفیس کې د MACsec MKA تنظیم کول

یادونه د دې لپاره چې په غونډو کې د ترافیک کمیدو مخه ونیول شي، د mka پالیسي کمانډ باید د mka pre-shared-key key-chain کمانډ څخه مخکې تنظیم شي.

لنډیز ګامونه

1. ټرمینل ترتیب کړئ 2. د انٹرفیس انٹرفیس-id 3. macsec لاسرسي کنټرول {باید خوندي | باید خوندي} 4. macsec 5. د mka پالیسۍ پالیسۍ نوم 6. mka پری-شریک کلید کلیدي زنځیر نوم 7. macsec بیا پلی کولو محافظت کړکۍ اندازه چوکاټ نمبر 8. پای پای

تفصيلي ګامونه

1 ګام

د کمانډ یا عمل ترتیب ټرمینل

مرحله 2 د انٹرفیس انٹرفیس-id

مرحله 3 macsec لاسرسي کنټرول {باید خوندي | باید خوندي}

موخه
د نړیوال ترتیب حالت ته ننوځئ.
د انٹرفیس ترتیب کولو حالت ته ننوځي.
(اختیاري) د نه کوډ شوي پاکټونو چلند کنټرولوي.
· باید خوندي وي: د MKA سیشن خوندي کیدو پورې غیر کوډ شوي ترافیک ته اجازه ورکوي. وروسته له دې چې د MKA سیشن خوندي شي، یوازې کوډ شوی ټرافيک جریان کولی شي.
· باید خوندي: دا تاکید کوي چې یوازې د MACsec کوډ شوی ټرافیک جریان کولی شي. له همدې امله، تر هغه چې د MKA غونډه خوندي نه وي، ټرافيک کم شوی.

ګام 4 ګام 5 ګام 6 ګام 7 ګام 8 ګام

د macsec mka پالیسي پالیسي-نوم mka پری-شریک کیلي کلیدي زنځیر د کیلي زنځیر نوم macsec replay- محافظت کړکۍ اندازه چوکاټ شمیره پای

په انٹرفیس کې MACsec فعالوي. د MKA پالیسي ترتیبوي. د MKA مخکې شریک شوي کیلي کیلي چین نوم تنظیموي. د بیا پلی کولو محافظت لپاره د MACsec کړکۍ اندازه تنظیموي. د امتیاز لرونکي EXEC حالت ته راستنیږي.

Example
لاندې پخوانيample د MKA پالیسي او د MKA دمخه شریک شوي کیلي کیلي چین نوم تنظیموي، او د بیا پلی کولو محافظت لپاره د MACsec کړکۍ اندازه ټاکي:

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 15

د MACsec پر بنسټ د سند ترتیب کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

سویچ(config)# انٹرفیس GigabitEthernet 1/1 Switch(config-if)# mka پالیسي mka_policy سویچ(config-if)# mka pre-shared-key key-chain key-chain-name Switch(config-if)# macsec replay د محافظت کړکۍ اندازه 10 سویچ (config-if) # پای
یادونه دا سپارښتنه نه کیږي چې د MKA پالیسي په یو انٹرفیس کې د MKA PSK سره تنظیم شوي کله چې ناسته روانه وي بدل کړئ. که څه هم، که بدلون ته اړتیا وي، نو تاسو باید په لاندې ډول پالیسي بیا تنظیم کړئ: 1. د macsec کمانډ په کارولو سره په هر ګډون کونکي نوډونو کې د macsec ترتیب په لرې کولو سره موجوده سیشن غیر فعال کړئ. 2. د MKA پالیسي د هر ګډون کونکي نوډونو په انٹرفیس کې د mka پالیسۍ پالیسۍ نوم کمانډ په کارولو سره تنظیم کړئ. 3. د macsec کمانډ په کارولو سره په هر ګډون کونکي نوډ کې نوې ناسته فعاله کړئ.
لاندې پخوانيamples ښیې چې څنګه د ډیفالټ لازمي خوندي کولو پرځای باید خوندي کارولو لپاره انٹرفیس تنظیم کړئ او دا څنګه بیرته ډیفالټ لازمي خوندي ته بدل کړئ.
یادښت د لاسرسي کنټرول بدلول اجازه نه لري کله چې ناسته پیل او روانه وي. تاسو لومړی اړتیا لرئ د macsec کمانډ په کارولو سره د MACsec ترتیب لرې کړئ، او بیا د لاسرسي کنټرول تنظیم کړئ.
Exampلومړۍ برخه: له اړین خوندي څخه باید خوندي ته بدل شي:
سویچ(config-if)#no macsec Switch(config-if)#macsec access-control should-secure Switch(config-if)#macsec // دا د لازمي خوندي کولو څخه د لاسرسي کنټرول بدلوي او د نوي سره د میکسیک سیشن بیا پیل کوي چلند
Exampدوهمه برخه: له اړین خوندي څخه باید خوندي ته بدل شي:
سویچ(config-if)#no macsec Switch(config-if)#no macsec د لاسرسي کنټرول سویچ(config-if)#macsec
د MACsec پر بنسټ د سند ترتیب کول
د MACsec سره د پوائنټ-ټو-پوائنټ لینکونو کې د MKA سره تنظیم کولو لپاره، دا دندې ترسره کړئ: · د کلیدي جوړه رامینځته کول · د SCEP په کارولو سره د نوم لیکنې تنظیم کول · په لاسي ډول د نوم لیکنې تنظیم کول · په 23 مخ کې د سویچ-ټو-سویچ MACsec کوډ کولو ترتیب کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 16

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د سند پر بنسټ د MACsec لپاره شرایط

د سند پر بنسټ د MACsec لپاره شرایط
· ډاډ ترلاسه کړئ چې ستاسو د شبکې لپاره د سند ادارې (CA) سرور ترتیب شوی. · د CA سند جوړ کړئ. · ډاډ ترلاسه کړئ چې تاسو د سیسکو پیژندنې خدماتو انجن (ISE) ترتیب کړی دی. · ډاډ ترلاسه کړئ چې 802.1x تصدیق او AAA ستاسو په وسیله تنظیم شوي.

د کلیدي جوړې پیدا کول

لنډیز ګامونه

1. فعال کړئ 2. ټرمینل ترتیب کړئ 3. د کریپټو کیلي د rsa لیبل لیبل نوم پیدا کړئ عمومي کلیدونه ماډل اندازه 4. پای 5. د تصدیق سیشن انٹرفیس انٹرفیس-id ښکاره کړئ

تفصيلي ګامونه

1 ګام

کمانډ یا عمل فعال کړئ ExampLe:
وسیله> فعال کړئ

موخه د امتیاز لرونکي EXEC حالت فعالوي. خپل پټنوم دننه کړئ، که غوښتل شوي وي.

2 ګام

ټرمینل ترتیب کړئ ExampLe:
وسیله # ترتیب ټرمینل

د نړیوال ترتیب حالت ته ننوځي.

3 ګام

د کریپټو کیلي د rsa لیبل لیبل-نوم عمومي-کیز ماډلوس اندازه تولیدوي
ExampLe:
وسیله(تشکیل)# کریپټو کیلي د rsa لیبل عمومي کیلي ماډل 2048 رامینځته کوي

د لاسلیک او کوډ کولو لپاره د RSA کلیدي جوړه رامینځته کوي.
تاسو کولی شئ د لیبل کلیمې په کارولو سره هرې کلیدي جوړې ته لیبل وټاکئ. لیبل د اعتماد نقطې لخوا راجع کیږي چې کلیدي جوړه کاروي. که تاسو لیبل نه اخلئ، کلیدي جوړه په اوتومات ډول لیبل کیږي .
که تاسو اضافي کلیدي کلمې نه کاروئ دا کمانډ یو عمومي هدف RSA کلیدي جوړه رامینځته کوي. که موډول نه وي مشخص شوی، د 1024 اصلي کلیدي ماډل کارول کیږي. تاسو کولی شئ د موډولس کلیدي کلمې سره نور ماډل اندازې مشخص کړئ.

4 ګام

پای ExampLe:
وسیله (تشکیل) # پای

د نړیوال ترتیب کولو حالت څخه وځي او د امتیاز لرونکي EXEC حالت ته راستنیږي.

5 ګام

د تصدیق سیشن انٹرفیس انټرفیس ښکاره کول - id ExampLe:

د مجاز سیشن امنیت حالت تاییدوي.

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 17

د SCEP په کارولو سره د نوم لیکنې تنظیم کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

امر او عمل
وسیله # د تصدیق سیشن انٹرفیس ګیګابایټترنیټ 0/1/1 ښیې

موخه

د SCEP په کارولو سره د نوم لیکنې تنظیم کول
د ساده سند د نوم لیکنې پروتوکول (SCEP) د سیسکو پرمختللی نوم لیکنې پروتوکول دی چې د سند ادارې (CA) یا د راجسټریشن واک (RA) سره د خبرو اترو لپاره HTTP کاروي. SCEP د غوښتنلیکونو او سندونو لیږلو او ترلاسه کولو لپاره ترټولو عام کارول کیږي.

ګام 1 ګام 2 ګام 3 ګام 4 ګام
ګام 5 ګام 6 ګام 7 ګام 8 ګام

کړنلاره

کمانډ یا عمل فعال کړئ ExampLe:
وسیله> فعال کړئ

موخه د امتیاز لرونکي EXEC حالت فعالوي. خپل پټنوم دننه کړئ، که غوښتل شوي وي.

ټرمینل ترتیب کړئ ExampLe:
وسیله # ترتیب ټرمینل

د نړیوال ترتیب حالت ته ننوځي.

د کریپټو pki ټرسټ پوینټ سرور نوم ExampLe:
وسیله (تشکیل) # کریپټو pki ټرسټ پوینټ ka

د باور ځای او ورکړل شوی نوم اعلانوي او د ca-trustpoint ترتیب کولو حالت ته ننوځي.

نوم لیکنه url url نوم pem
ExampLe:
وسیله(ca-trustpoint)# نوم لیکنه url http://url:80

مشخص کوي URL د CA په کوم کې چې ستاسو وسیله باید د سند غوښتنې واستوي.
یو IPv6 پته په کې اضافه کیدی شي URL په قوسونو کې تړل شوي. د مثال لپارهample: http:// [2001:DB8:1:1::1]:80.
د پییم کلیدي د سند غوښتنې ته د محرمیت پرمختللي میل (PEM) حدود اضافه کوي.

د rsakeypair لیبل

مشخص کوي چې کوم کلیدي جوړه د سند سره تړاو لري.

ExampLe:

نوټ

وسیله(ca-trustpoint)# rsakeypair exampleCAkeys

د rsakeypair نوم باید د باور ټکي نوم سره سمون ولري.

سیریل نمبر هیڅ نه ExampLe:
وسیله(ca-trustpoint)# سیریل نمبر هیڅ نه
ip-address هیڅ نه ExampLe:
وسیله(ca-trustpoint)# ip-address none
لغوه کول-چیک crl ExampLe:

هیڅ کلیدي کلمه مشخص نه کوي چې سریال نمبر به د سند غوښتنې کې شامل نشي.
هیڅ کلیمه مشخص نه کوي چې هیڅ IP پته باید د سند غوښتنې کې شامل نشي.
CRL د میتود په توګه مشخص کوي ترڅو ډاډ ترلاسه کړي چې د ملګري سند نه دی لغوه شوی.

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 18

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

په لاسي ډول د نوم لیکنې تنظیم کول

9 ګام
ګام 10 ګام 11 ګام 12 ګام 13 ګام

امر او عمل
وسیله(ca-trustpoint)# ردول-چیک crl

موخه

په اوتومات ډول نوم لیکنه سلنه بیا تولید

د اتوماتیک نوم لیکنې وړ کوي، پیرودونکي ته اجازه ورکوي

ExampLe:

په اتوماتيک ډول د CA څخه د رول اوور سند غوښتنه وکړئ.

Device(ca-trustpoint)# auto-inroll 90 regenerate که د اتومات نوم لیکنې فعاله نه وي، مراجع باید په لاسي ډول ستاسو په PKI کې د سند په اساس بیا نوم لیکنه وکړي.

ختمیدل

په ډیفالټ کې ، یوازې د وسیلې د ډومین نوم سیسټم (DNS) نوم په سند کې شامل دی.

د سلنې دلیل وکاروئ ترڅو مشخص کړئ چې د سلنې وروسته به د نوي سند غوښتنه وشيtagد اوسني سند د ژوند موده پای ته رسیدلې ده.

د سند لپاره نوې کیلي رامینځته کولو لپاره د بیا تولید کلیدي کلمه وکاروئ حتی که نومول شوی کیلي دمخه شتون ولري.

که چیرې کلیدي جوړه د صادرولو وړ وي، نو نوې کلیدي جوړه به هم صادر شي. لاندې تبصره به د باور ځای ترتیب کې څرګند شي ترڅو وښیې چې ایا کلیدي جوړه د صادرولو وړ ده: "! د RSA کلیدي جوړه چې د اعتماد نقطې سره تړاو لري د صادرولو وړ ده.

دا سپارښتنه کیږي چې د امنیتي دلایلو لپاره نوې کلیدي جوړه جوړه شي.

وتلampLe:
وسیله(ca-trustpoint)# وتل

د ca-trustpoint ترتیب کولو حالت څخه وځي او د نړیوال ترتیب حالت ته راستنیږي.

د کریپټو pki مستند نوم ExampLe:
وسیله(config)# crypto pki د مایکا تصدیق کول

د CA سند ترلاسه کوي او تصدیق کوي.

پای ExampLe:
وسیله (تشکیل) # پای

د نړیوال ترتیب کولو حالت څخه وځي او د امتیاز لرونکي EXEC حالت ته راستنیږي.

د کریپټو pki سند د اعتماد ځای نوم ښکاره کړئ ExampLe:
وسیله# د کریپټو pki سند ښکاره کوي

د باور نقطې لپاره د سند په اړه معلومات ښیې.

په لاسي ډول د نوم لیکنې تنظیم کول
که ستاسو CA د SCEP ملاتړ نه کوي یا که د روټر او CA ترمینځ د شبکې اړیکه ممکنه نه وي. د لاسي سند نوم لیکنې تنظیم کولو لپاره لاندې دنده ترسره کړئ:

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 19

په لاسي ډول د نوم لیکنې تنظیم کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

ګام 1 ګام 2 ګام 3 ګام 4 ګام
مرحله 5 مرحله 6 مرحله 7 مرحله 8 مرحله 9 مرحله 10 مرحله XNUMX

کړنلاره

کمانډ یا عمل فعال کړئ ExampLe:
وسیله> فعال کړئ

موخه د امتیاز لرونکي EXEC حالت فعالوي. خپل پټنوم دننه کړئ، که غوښتل شوي وي.

ټرمینل ترتیب کړئ ExampLe:
وسیله # ترتیب ټرمینل

د نړیوال ترتیب حالت ته ننوځي.

د کریپټو pki ټرسټ پوینټ سرور نوم ExampLe:
وسیله # crypto pki ټرسټ پوینټ ka

د باور ځای او ورکړل شوی نوم اعلانوي او د ca-trustpoint ترتیب کولو حالت ته ننوځي.

نوم لیکنه url url-نوم
ExampLe:
وسیله(ca-trustpoint)# نوم لیکنه url http://url:80

مشخص کوي URL د CA په کوم کې چې ستاسو وسیله باید د سند غوښتنې واستوي.
یو IPv6 پته په کې اضافه کیدی شي URL په قوسونو کې تړل شوي. د مثال لپارهample: http:// [2001:DB8:1:1::1]:80.
د پییم کلیدي د سند غوښتنې ته د محرمیت پرمختللي میل (PEM) حدود اضافه کوي.

د rsakeypair لیبل

مشخص کوي چې کوم کلیدي جوړه د سند سره تړاو لري.

ExampLe:
وسیله(ca-trustpoint)# rsakeypair exampleCAkeys

سیریل نمبر هیڅ نه ExampLe:
وسیله(ca-trustpoint)# سیریل نمبر هیڅ نه

مشخص کوي چې سیریل نمبرونه به د سند غوښتنې کې شامل نشي.

ip-address هیڅ نه ExampLe:
وسیله(ca-trustpoint)# ip-address none

هیڅ کلیمه مشخص نه کوي چې هیڅ IP پته باید د سند غوښتنې کې شامل نشي.

لغوه کول-چیک crl ExampLe:
وسیله(ca-trustpoint)# ردول-چیک crl

CRL د میتود په توګه مشخص کوي ترڅو ډاډ ترلاسه کړي چې د ملګري سند نه دی لغوه شوی.

وتلampLe:
وسیله(ca-trustpoint)# وتل

د ca-trustpoint ترتیب کولو حالت څخه وځي او د نړیوال ترتیب حالت ته راستنیږي.

د کریپټو pki مستند نوم ExampLe:
وسیله(config)# crypto pki د مایکا تصدیق کول

د CA سند ترلاسه کوي او تصدیق کوي.

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 20

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د 802.1x تصدیق کول او د AAA تنظیم کول

ګام 11 ګام 12
ګام 13 ګام 14

کمانډ یا ایکشن کریپټو pki نوم ثبتول ExampLe:
وسیله(config)# crypto pki myca نومول

موخه
د سند غوښتنه رامینځته کوي او د سند سرور ته د کاپي کولو او پیسټ کولو غوښتنه ښیې.
کله چې تاسو ته اشاره وشي د نوم لیکنې معلومات دننه کړئ. د مثال لپارهample، مشخص کړئ چې ایا د سند غوښتنه کې وسیله FQDN او IP پته شامل کړئ.
تاسو ته د کنسول ترمینل ته د سند غوښتنې ښودلو په اړه انتخاب هم درکول کیږي.
بیس-64 کوډ شوی سند د PEM سرلیکونو سره یا پرته د غوښتنې سره سم ښودل شوی.

د کریپټو pki وارداتو نوم سند

د کنسول ترمینل کې د TFTP له لارې یو سند واردوي،

ExampLe:

کوم چې ورکړل شوی سند بیرته ترلاسه کوي.

Device(config)# crypto pki import myca Certificate وسیله هڅه کوي چې ورکړل شوی سند د TFTP له لارې د ورته په کارولو سره ترلاسه کړي fileنوم چې د غوښتنې لیږلو لپاره کارول کیږي،

پرته له دې چې توسیع له ".req" څخه ".crt" ته بدل شي. لپاره

د کارولو کلیدي سندونه، تمدیدونه "-sign.crt" او

"-encr.crt" کارول کیږي.

وسیله ترلاسه شوي تحلیل کوي files، سندونه تاییدوي، او سندونه په سویچ کې د داخلي سند ډیټابیس ته داخلوي.

نوټ

ځینې ​​​​CAs د کارولو کلیدي معلوماتو څخه سترګې پټوي

د سند په غوښتنه او عمومي مسله کې

د هدف کارولو سندونه. که ستاسو CA سترګې پټې کړي

په سند کې د کارولو کلیدي معلومات

غوښتنه، یوازې عمومي هدف واردول

سند روټر به یو له دې څخه کار وانخلي

دوه کلیدي جوړې جوړې شوې.

پای ExampLe:
وسیله (تشکیل) # پای
د کریپټو pki سند د اعتماد ځای نوم ښکاره کړئ ExampLe:
وسیله# د کریپټو pki سند ښکاره کوي

د نړیوال ترتیب کولو حالت څخه وځي او د امتیاز لرونکي EXEC حالت ته راستنیږي.
د باور نقطې لپاره د سند په اړه معلومات ښیې.

د 802.1x تصدیق کول او د AAA تنظیم کول

لنډیز ګامونه

1. فعال کړئ 2. ټرمینل ترتیب کړئ 3. aaa نوی ماډل 4. dot1x system-auth-control

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 21

د 802.1x تصدیق کول او د AAA تنظیم کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

5. د ریډیس سرور نوم 6. پته ip-address auth-port port-number acct-port port-number 7. اتومات-ټیسټر کارن-نوم کارن-نوم 8. کلیدي سټرینګ 9. د ریډیس-سرور د وخت وخت 10. وتلو 11. aaa ګروپ سرور ریډیس د ګروپ نوم 12. د سرور نوم 13. وتلو 14. د aaa تصدیق dot1x ډیفالټ ګروپ ګروپ-نوم 15. د aaa اجازه د شبکې ډیفالټ ګروپ ګروپ نوم

تفصيلي ګامونه

1 ګام

کمانډ یا عمل فعال کړئ ExampLe:
وسیله> فعال کړئ

موخه د امتیاز لرونکي EXEC حالت فعالوي. خپل پټنوم دننه کړئ که غوښتنه وشي.

2 ګام

ټرمینل ترتیب کړئ ExampLe:
وسیله # ترتیب ټرمینل

د نړیوال ترتیب حالت ته ننوځي.

3 ګام

aaa نوي ماډل ExampLe:
وسیله (تشکیل) # aaa نوی ماډل

AAA فعالوي.

4 ګام

dot1x system-auth-control ExampLe:
وسیله(تشکیل) # dot1x سیسټم-تصدیق کنټرول

ستاسو په وسیله 802.1X فعالوي.

5 ګام

د ریډیس سرور نوم ExampLe:
وسیله(config)# د ریډیس سرور ISE

د خوندي لاسرسي اعتبار (PAC) چمتو کولو لپاره د RADIUS سرور ترتیب نوم مشخص کوي او د RADIUS سرور ترتیب حالت ته ننوځي.

6 ګام

پته ip-address auth-port port-number acct-port port-number

د RADIUS سرور حساب ورکولو او تصدیق کولو پیرامیټونو لپاره IPv4 پته تنظیموي.

ExampLe:
وسیله (config-radius-server) # پته ipv4 auth-port 4 acct-port 1645

7 ګام

automate-tester کارن-نوم کارن-نوم
ExampLe:
وسیله(config-radius-server)# د اتوماتیک ټیسټ کارن نوم ډمی

د RADIUS سرور لپاره د اتوماتیک ازموینې ځانګړتیا فعالوي.
د دې تمرین سره، وسیله د RADIUS سرور ته دوره ایز ازموینې تصدیق پیغامونه لیږي. دا د سرور څخه د RADIUS ځواب په لټه کې دی. یو بریالیتوب

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 22

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د سویچ څخه سویچ MACsec کوډ کولو ترتیب کول

مرحله 8 مرحله 9 مرحله 10 مرحله 11 مرحله 12 مرحله 13 مرحله 14 مرحله 15 مرحله

امر او عمل

موخه
پیغام اړین ندی - یو ناکام تصدیق کافي دی، ځکه چې دا ښیي چې سرور ژوندی دی.

کلیدي تار ExampLe:
وسیله(config-radius-server)# کیلي dummy123

د آلې او RADIUS سرور ترمنځ د ټولو RADIUS مخابراتو لپاره د تصدیق او کوډ کولو کیلي تنظیموي.

د ریډیس-سرور د وخت دقیقې
ExampLe:
وسیله(config-radius-server)# د ریډیس-سرور وخت وخت 2

د RADIUS غبرګون وخت ښه کوي کله چې ځینې سرورونه شتون نلري او سمدستي غیر موجود سرورونه پریږدي.

وتلampLe:
وسیله(config-radius-server)# وتل

د نړیوال ترتیب کولو حالت ته راستنیږي.

د aaa ګروپ سرور ریډیس ګروپ نوم ExampLe:
وسیله(تشکیل) # AA ګروپ سرور ریډیس ISEGRP

د مختلف RADIUS سرور کوربه په جلا لیستونو او جلا میتودونو کې ګروپ کوي، او د سرور ګروپ ترتیب کولو حالت ته ننوځي.

د سرور نوم ExampLe:
وسیله(config-sg)# د سرور نوم ISE

د RADIUS سرور نوم ټاکي.

وتلampLe:
وسیله(config-sg)# وتل

د نړیوال ترتیب کولو حالت ته راستنیږي.

د aaa تصدیق dot1x ډیفالټ ګروپ ګروپ نوم ExampLe:

د IEEE 802.1x لپاره د ډیفالټ تصدیق کولو سرور ګروپ تنظیموي.

وسیله(config)# aaa تصدیق dot1x ډیفالټ ګروپ ISEGRP

aaa اجازه ورکولو شبکې ډیفالټ ګروپ ګروپ نوم ExampLe:
د AA اجازه د شبکې ډیفالټ ګروپ ISEGRP

د شبکې اجازه ورکولو ډیفالټ ګروپ تنظیموي.

د سویچ څخه سویچ MACsec کوډ کولو ترتیب کول
انٹرفیسونو ته د سند پراساس MACsec کوډ کولو په کارولو سره د MACsec MKA پلي کولو لپاره ، لاندې دنده ترسره کړئ:

1 ګام

د پروسیجر قومانده یا عمل فعال کړئ

موخه د امتیاز لرونکي EXEC حالت فعالوي.

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 23

د سویچ څخه سویچ MACsec کوډ کولو ترتیب کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

مرحله 2 مرحله 3 مرحله 4 مرحله 5 مرحله 6 مرحله 7 مرحله 8 مرحله 9 مرحله 10 مرحله 11 مرحله XNUMX

امر یا عمل مثالampLe:
وسیله> فعال کړئ

هدف خپل پټنوم دننه کړئ، که غوښتل شوي وي.

ټرمینل ترتیب کړئ ExampLe:
وسیله # ترتیب ټرمینل

د نړیوال ترتیب حالت ته ننوځي.

د انٹرفیس انٹرفیس-id ExampLe:
وسیله(تشکیل)# انٹرفیس ګیګابایټترنیټ 2/9

د MACsec انٹرفیس پیژني، او د انٹرفیس ترتیب کولو حالت ته ننوځي. انٹرفیس باید فزیکي انٹرفیس وي.

macsec network-link ExampLe:
وسیله(config-if)# macsec د شبکې لینک

په انٹرفیس کې MACsec فعالوي.

د اعتبار موده ExampLe:
وسیله(config-if)# د اعتبار موده

(اختیاري) د دې بندر لپاره بیا تصدیق کول فعالوي.

د تصدیق کولو ټایمر بیا تصدیق کول وقفه
ExampLe:
وسیله(config-if)# د تصدیق کولو ټایمر د بیا تصدیق کولو وقفه

(اختیاري) د بیا تصدیق کولو وقفه ټاکي.

د لاسرسي سیشن کوربه موډ څو کوربه
ExampLe:
وسیله(config-if)# لاسرسي-غونډې کوربه-موضوع ملټي کوربه

کوربه ته اجازه ورکوي چې انٹرفیس ته لاسرسی ومومي.

د لاسرسي سیشن تړل شوی ExampLe:
وسیله(config-if)# د لاسرسي ناسته بنده شوه

په انٹرفیس کې د مخکینۍ تصدیق لاسرسي مخه نیسي.

د لاسرسي سیشن پورټ کنټرول اتومات
ExampLe:
وسیله(config-if)# د لاسرسي سیشن پورټ کنټرول اتومات

د بندر د جواز حالت ټاکي.

dot1x pae دواړه ExampLe:
وسیله(config-if)# dot1x pae دواړه

بندر د 802.1X پورټ لاسرسي ادارې (PAE) غوښتونکي او تصدیق کونکي په توګه تنظیموي.

د dot1x اعتبار پروfile ExampLe:
وسیله(config-if)# dot1x اعتبار پروfile

د 802.1x اعتبار پرو ګماريfile انٹرفیس ته.

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 24

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

Example: د MACsec پر بنسټ د سند پر ځای بدلول

ګام 12 ګام 13 ګام 14 ګام 15 ګام

کمانډ یا عمل پای ExampLe:
وسیله(config-if)# پای

موخه
د انٹرفیس ترتیب mdoe څخه وځي او د امتیاز لرونکي EXEC حالت ته راستنیږي.

د macsec انٹرفیس انٹرفیس-id ښکاره کړئ

د انٹرفیس لپاره د MACsec توضیحات ښیې.

ExampLe:
وسیله # د میکسیک انٹرفیس ګیګابایټ ایترنیټ 2/9 ښیې

د لاسرسي سیشن انٹرفیس انٹرفیس-id توضیحات وښایاست
ExampLe:
وسیله # د لاسرسي سیشن انٹرفیس ګیګابایټ ایترنیټ 2/9 توضیحات ښیې

بریالي dot1x تصدیق او واک تاییدوي. دا د چک کولو لپاره لومړی شی دی. که د dot1x تصدیق ناکام شي، نو MKA به هیڅکله پیل نشي.

د mka سیشن انٹرفیس انٹرفیس-id توضیحات وښایاست

د MKA د ناستې تفصیلي حالت ښیې.

ExampLe:
وسیله # د mka سیشن انٹرفیس ګیګابایټ ایترنیټ 2/9 توضیحات ښیې

Example: د MACsec پر بنسټ د سند پر ځای بدلول
یو پخوانیampد MACsec پر بنسټ د سویچ څخه تر سویچ سند ترتیب کول لاندې ښودل شوي.
ټرمینل ترتیب کړئ aaa new-modal aaa محلي تصدیق ډیفالټ اختیار کول ډیفالټ! ! د aaa تصدیق dot1x ډیفالټ ګروپ ریډیس سیمه ایز aaa واک اجرا کول ډیفالټ محلي aaa اختیار ورکونې شبکې ډیفالټ ګروپ ریډیس محلي aaa اختیار auth-proxy ډیفالټ ګروپ ریډیس aaa اختیار اعتبار اعتبار-ډاونلوډ ډیفالټ محلي aaa محاسبې شناخت ډیفالټ سټاپ سټاپ ګروپ ریډیس! ! د AA ځانګړتیاو لیست اړین دی
د خاصیت ډول لینکسیک پالیسي باید خوندي وي! د aaa خاصیت لیست macsec-dot1- اعتبار
د خاصیت ډول لینکسیک پالیسي باید خوندي وي! د aa خاصیت لیست MUSTS_CA
د خاصیت ډول لینکسیک پالیسي باید خوندي وي! د AA خاصیت لیست SHOULDS_CA
د خاصیت ډول لینکسیک پالیسي باید خوندي وي! aaa د ځانګړتیاو لیست mkadt_CA
د خاصیت ډول لینکسیک پالیسي باید خوندي وي! aaa سیشن-id عام
کارن-نوم MUST aaa خاصیت لیست MUSTS_CA کارن نوم MUSTS.mkadt.cisco.com

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 25

د پورټ چینل لپاره د MKA/MACsec تنظیم کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د crypto pki ټرسټ پواینټ ډیمو نوم لیکنې ټرمینل سریال نمبر fqdn MUSTS.mkadt.cisco.com موضوع-نوم cn=MUSTS.mkadt.cisco.com,OU=CSG امنیت,O=Cisco Systems,L=Bengaluru,ST=KA,C= IN
موضوع-alt-نوم MUSTS.mkadt.cisco.com رد کول-چک هیڅ نه rsakeypair ډیمو 2048 hash sha256
eap profile د EAP_P میتود tls
pki-trustpoint demo
dot1x system-auth-control dot1x اسناد MUSTS-CA
کارن نوم باید پټنوم 0 MUST_CA ! د dot1x سندونه MUSTS کارن نوم MUSTS.mkadt.cisco.comcrypto pki تصدیق ډیمو
د کریپټو pki تصدیق کول د ډیمو کریپټو pki د وارداتو ډیمو سند ثبتول
د پالیسۍ نقشه ډول کنټرول پیرودونکي MUSTS_1 د پیښې سیشن پیل شوی میچ - ټول 10 ټولګي تل تر هغه پورې ناکامي 10 د dot1x په کارولو سره تصدیق کوي دواړه پیښې تصدیق - ناکامي میچ - ټول 10 ټولګي تل تر هغه پورې ناکامي 10 پای ته رسوي dot1x 20 تصدیق - بیا پیل کول د پیښې تصدیق-بریالیتوب میچ-ټول 10 ټولګي تل تر سره کول-تر هغه پورې ناکامي 10 د خدمت ټیمپلیټ فعال کړئ DEFAULT_LINKSEC_POLICY_MUST_SECURE
انٹرفیس GigabitEthernet2/9 switchport mode access macsec access-session host-mode multi-host access-sesion د لاسرسي-غونډې پورټ کنټرول آټو dot1x pae دواړه dot1x تصدیق کونکی eap پروfile د EAP_P dot1x اسناد باید د dot1x غوښتونکی eap profile د EAP_P د خدماتو پالیسي ډول کنټرول پیرودونکي MUSTS_1

د پورټ چینل لپاره د MKA/MACsec تنظیم کول

د PSK په کارولو سره د پورټ چینل لپاره MKA/MACsec تنظیم کول

لنډیز ګامونه

1. ټرمینل ترتیب کړئ 2. د انٹرفیس انٹرفیس-id 3. macsec

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 26

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د پرت 2 ایتر چینلونو لپاره د پورټ چینل منطقي انٹرفیس تنظیم کول

4. mka پالیسي پالیسي-نوم 5. mka pre-shared-key key-chain key-chain-name 6. د چینل ګروپ چینل-ګروپ-نمبر حالت {فعال | غیر فعال } | {په} ۷. پای

تفصيلي ګامونه

1 ګام

د کمانډ یا عمل ترتیب ټرمینل

مرحله 2 د انٹرفیس انٹرفیس-id

ګام 3 macsec

ګام 4 ګام 5

د mka پالیسي پالیسي-نوم mka پری-شریک کیلي کلیدي سلسله کیلي چین نوم

موخه د نړیوال ترتیب حالت ته ننوځي.

د انٹرفیس ترتیب کولو حالت ته ننوځي.

په انٹرفیس کې MACsec فعالوي. د پرت 2 او پرت 3 پورټ چینلونو ملاتړ کوي.

د MKA پالیسي ترتیبوي.

د MKA مخکې شریک شوي کیلي کیلي چین نوم تنظیموي.

نوټ

د MKA دمخه شریک شوی کیلي تنظیم کیدی شي

په فزیکي انٹرفیس یا فرعي انٹرفیسونو کې

او نه په دواړو.

6 ګام

channel-group channel-group-number mode {فعال | غیر فعال } | {په}

بندر په چینل ګروپ کې تنظیموي او حالت تنظیموي. د چینل شمیره له 1 څخه تر 4096 پورې ده. د دې چینل ګروپ سره تړلی پورټ چینل په اوتومات ډول رامینځته کیږي که چیرې پورټ چینل دمخه شتون ونلري. د حالت لپاره، د لاندې کلیمو څخه یوه غوره کړئ:
· آن - بندر مجبوروي چې پرته له PAgP یا LACP څخه چینل وکړي. په آن حالت کې، EtherChannel یوازې هغه وخت شتون لري کله چې په آن حالت کې د پورټ ګروپ په آن حالت کې د بل پورټ ګروپ سره وصل وي.
· فعال — LACP یوازې هغه وخت فعالوي چې د LACP وسیله کشف شي. دا بندر د خبرو اترو فعال حالت کې ځای په ځای کوي چیرې چې بندر د LACP پاکټونو په لیږلو سره د نورو بندرونو سره خبرې اترې پیل کوي.
· غیر فعال - په بندر کې LACP فعالوي او دا په غیر فعال خبرو اترو حالت کې ځای په ځای کوي چیرې چې بندر د LACP پیکټو ته ځواب ورکوي چې دا ترلاسه کوي، مګر د LACP پیکټ خبرې اترې نه پیل کوي.

د 7 ګام پای

د امتیاز لرونکي EXEC حالت ته راستنیږي.

د پرت 2 ایتر چینلونو لپاره د پورټ چینل منطقي انٹرفیس تنظیم کول
د پرت 2 EtherChannel لپاره د پورټ چینل انٹرفیس رامینځته کولو لپاره ، دا دنده ترسره کړئ:

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 27

د پرت 3 ایتر چینلونو لپاره د پورټ چینل منطقي انٹرفیس تنظیم کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

لنډیز ګامونه

1. ټرمینل ترتیب کړئ 2. [نه] انٹرفیس پورټ چینل چینل ګروپ ګروپ نمبر 3. سویچ پورټ 4. د سویچ پورټ حالت {لاسرسی | ټرک } 5. پای

تفصيلي ګامونه

1 ګام

د کمانډ یا عمل ترتیب ټرمینل

مرحله 2 [نه] انٹرفیس پورټ چینل چینل ګروپ ګروپ نمبر

موخه د نړیوال ترتیب حالت ته ننوځي.

د پورټ چینل انٹرفیس رامینځته کوي.

نوټ

د حذف کولو لپاره د دې کمانډ هیڅ بڼه وکاروئ

د بندر چینل انٹرفیس.

مرحله 3 سویچ پورټ مرحله 4 د سویچ پورټ حالت {لاسرسی | ټرک } مرحله 5 پای

یو انٹرفیس چې د پرت 3 حالت کې دی د پرت 2 ترتیب لپاره په 2 حالت کې بدلوي.
ټول بندرونه په ورته VLAN کې د جامد لاسرسي بندرونو په توګه وټاکئ، یا یې د تنګو په توګه تنظیم کړئ.
د امتیاز لرونکي EXEC حالت ته راستنیږي.

د پرت 3 ایتر چینلونو لپاره د پورټ چینل منطقي انٹرفیس تنظیم کول
د پرت 3 EtherChannel لپاره د پورټ چینل انٹرفیس رامینځته کولو لپاره ، دا دنده ترسره کړئ:

لنډیز ګامونه

1. ټرمینل ترتیب کړئ 2. انٹرفیس پورټ چینل انٹرفیس id 3. هیڅ سویچ پورټ نلري 4. ip ادرس ip-address subnet_mask 5. پای

تفصيلي ګامونه

1 ګام

د کمانډ یا عمل ترتیب ټرمینل

مرحله 2 انٹرفیس پورټ چینل انٹرفیس-id

مرحله 3 هیڅ سویچ پورټ نلري

ګام 4 ګام 5

د ip پته ip-address subnet_mask پای

موخه د نړیوال ترتیب حالت ته ننوځي. د انٹرفیس ترتیب کولو حالت ته ننوځي. یو انٹرفیس چې د پرت 2 حالت کې دی د پرت 3 ترتیب لپاره په 3 حالت کې بدلوي. EtherChannel ته د IP پته او سبنیټ ماسک ګماري. د امتیاز لرونکي EXEC حالت ته راستنیږي.

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 28

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

Example: د PSK په کارولو سره د پورټ چینل لپاره د MACsec MKA تنظیم کول

Example: د PSK په کارولو سره د پورټ چینل لپاره د MACsec MKA تنظیم کول

د ایترچینل حالت - جامد/آن
په لاندې ډول دیampد EtherChannel حالت سره په وسیله 1 او وسیله 2 کې ترتیب کول.
کیلي چین KC macsec کیلي 1000 کریپټوګرافیک-الګوریتم aes-128-cmac key-string FC8F5B10557C192F03F60198413D7D45 پای
د mka پالیسي پالیسي کلیدي سرور لومړیتوب 0 macsec-cipher-suite gcm-aes-128 محرمیت-افسیټ 0 پای
انټرفیس Te1/0/1 چینل - ګروپ 2 حالت په میکسیک mka پالیسي پالیسي mka پری-شریک کیلي کیلي چین KC پای
انټرفیس Te1/0/2 چینل - ګروپ 2 حالت په میکسیک mka پالیسي پالیسي mka پری-شریک کیلي کیلي چین KC پای
Layer 2 EtherChannel ترتیب
وسیله 1
د انٹرفیس پورټ چینل 2 سویچ پورټ سویچ پورټ حالت ټرنک هیڅ بند نه پای
وسیله 2
د انٹرفیس پورټ چینل 2 سویچ پورټ سویچ پورټ حالت ټرنک هیڅ بند نه پای
لاندې په توګه ښیيampد ایترچینل لنډیز کمانډ ښودلو محصول.

بیرغونه: D – ښکته

P - په پورټ چینل کې بنډل شوی

زه - یوازینی s - وځنډول شو

H – هوټ سټینډ بای (یوازې LACP)

R – پرت ۳

S – Layer2

U – په استعمال کې

f - د جمع کونکي په تخصیص کې پاتې راغلی

M - په کارولو کې ندي، لږترلږه لینکونه ندي پوره شوي

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 29

Example: د PSK په کارولو سره د پورټ چینل لپاره د MACsec MKA تنظیم کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

u – د بنډل کولو لپاره مناسب نه دی w – د راټولیدو انتظار کول d – ډیفالټ پورټ
A – د Auto LAG لخوا جوړ شوی

د چینل ګروپونو شمیر چې کارول کیږي: 1

د راټولونکو شمیر:

1

ګروپ پورټ چینل پروتوکول بندرونه

——+———————————+——————————————

2

Po2(RU)

Layer 3 EtherChannel ترتیب

وسیله 1

Te1/0/1(P) Te1/0/2(P)

د انٹرفیس پورټ چینل 2 د سویچ پورټ IP پته 10.25.25.3 255.255.255.0 د بندیدو پای نشته
وسیله 2

د انٹرفیس پورټ چینل 2 د سویچ پورټ IP پته 10.25.25.4 255.255.255.0 د بندیدو پای نشته
لاندې په توګه ښیيampد ایترچینل لنډیز کمانډ ښودلو محصول.

بیرغونه: D – ښکته

P - په پورټ چینل کې بنډل شوی

زه - یوازینی s - وځنډول شو

H – هوټ سټینډ بای (یوازې LACP)

R – پرت ۳

S – Layer2

U – په استعمال کې

f - د جمع کونکي په تخصیص کې پاتې راغلی

M - په کارولو کې نه دي، لږترلږه لینکونه نه دي پوره شوي - د بنډل کولو لپاره مناسب نه دي - د راټولیدو انتظار - ډیفالټ پورټ

A – د Auto LAG لخوا جوړ شوی

د چینل ګروپونو شمیر چې کارول کیږي: 1

د راټولونکو شمیر:

1

ګروپ پورټ چینل پروتوکول بندرونه

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 30

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

Example: د PSK په کارولو سره د پورټ چینل لپاره د MACsec MKA تنظیم کول

——+———————————+——————————————

2

Po2(RU)

Te1/0/1(P) Te1/0/2(P)

د ایتر چینل حالت - LACP
په لاندې ډول دیampد LACP په توګه د EtherChannel حالت سره په وسیله 1 او وسیله 2 کې ترتیب کول.
کیلي چین KC macsec کیلي 1000 کریپټوګرافیک-الګوریتم aes-128-cmac key-string FC8F5B10557C192F03F60198413D7D45 پای
د mka پالیسي پالیسي کلیدي سرور لومړیتوب 0 macsec-cipher-suite gcm-aes-128 محرمیت-افسیټ 0 پای
انٹرفیس Te1/0/1 چینل ګروپ 2 حالت فعال میکسیک mka پالیسي mka پری-شریک کیلي کیلي چین KC پای
انٹرفیس Te1/0/2 چینل ګروپ 2 حالت فعال میکسیک mka پالیسي mka پری-شریک کیلي کیلي چین KC پای
Layer 2 EtherChannel ترتیب
وسیله 1

د انٹرفیس پورټ چینل 2 سویچ پورټ سویچ پورټ حالت ټرنک هیڅ بند نه پای
وسیله 2

د انٹرفیس پورټ چینل 2 سویچ پورټ سویچ پورټ حالت ټرنک هیڅ بند نه پای

لاندې په توګه ښیيampد ایترچینل لنډیز کمانډ ښودلو محصول.

بیرغونه: D – ښکته

P - په پورټ چینل کې بنډل شوی

زه - یوازینی s - وځنډول شو

H – هوټ سټینډ بای (یوازې LACP)

R – پرت ۳

S – Layer2

U – په استعمال کې

f - د جمع کونکي په تخصیص کې پاتې راغلی

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 31

Example: د PSK په کارولو سره د پورټ چینل لپاره د MACsec MKA تنظیم کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

M - په کارولو کې نه دي، لږترلږه لینکونه نه دي پوره شوي - د بنډل کولو لپاره مناسب نه دي - د راټولیدو انتظار - ډیفالټ پورټ
A – د Auto LAG لخوا جوړ شوی

د چینل ګروپونو شمیر چې کارول کیږي: 1

د راټولونکو شمیر:

1

——+———————————+——————————————

2

Po2(SU)

LACP

Layer 3 EtherChannel ترتیب

وسیله 1

Te1/1/1(P) Te1/1/2(P)

د انٹرفیس پورټ چینل 2 د سویچ پورټ IP پته 10.25.25.3 255.255.255.0 د بندیدو پای نشته
وسیله 2

د انٹرفیس پورټ چینل 2 د سویچ پورټ IP پته نشته 10.25.25.4 255.255.255.0 بند نشته

لاندې په توګه ښیيampد ایترچینل لنډیز کمانډ ښودلو محصول.

بیرغونه: D – ښکته

P - په پورټ چینل کې بنډل شوی

زه - یوازینی s - وځنډول شو

H – هوټ سټینډ بای (یوازې LACP)

R – پرت ۳

S – Layer2

U – په استعمال کې

f - د جمع کونکي په تخصیص کې پاتې راغلی

M - په کارولو کې نه دي، لږترلږه لینکونه نه دي پوره شوي - د بنډل کولو لپاره مناسب نه دي - د راټولیدو انتظار - ډیفالټ پورټ

A – د Auto LAG لخوا جوړ شوی

د چینل ګروپونو شمیر چې کارول کیږي: 1

د راټولونکو شمیر:

1

ګروپ پورټ چینل پروتوکول بندرونه

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 32

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د MACsec سیفر اعلان ترتیب کول

——+———————————+——————————————

2

Po2(RU)

LACP

Te1/1/1(P) Te1/1/2(P)

د فعال MKA سیشنونو ښودل

لاندې د MKA ټولې فعالې ناستې ښیې.

# د mka سیشن انٹرفیس وښایاست Te1/0/1

========================================= =========================================

انٹرفیس

ځايي-TxSCI

د پالیسۍ نوم

ميراثي

کلیدي سرور

پورټ-ID

Peer-RxSCI

MACsec-Peers

حالت

CKN

========================================= =========================================

Te1/0/1

00a3.d144.3364/0025 پالیسي

نه

نه

37 1000

701f.539b.b0c6/0032 1

خوندي

د MACsec سیفر اعلان ترتیب کول
د خوندي اعلان لپاره د MKA پالیسي ترتیب کول

لنډیز ګامونه

1. ټرمینل ترتیب کړئ 2. د mka پالیسۍ پالیسۍ نوم 3. د کلیدي سرور لومړیتوب 4. [نه] لیږل-خوندي-اعلانونه 5. macsec-cipher-suite {gcm-aes-128 | gcm-aes-256} 6. پای 7. د mka پالیسي ښکاره کړئ

تفصيلي ګامونه

1 ګام

د کمانډ یا عمل ترتیب ټرمینل

مرحله 2 mka د پالیسۍ پالیسۍ نوم

موخه
د نړیوال ترتیب حالت ته ننوځئ.
د MKA پالیسي وپیژنئ، او د MKA پالیسي ترتیب کولو حالت ته ننوځئ. د پالیسۍ نوم اعظمي حد 16 حروف دی.

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 33

په نړیواله کچه د خوندي اعلان تنظیم کول (د MKA په ټولو پالیسیو کې)

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

امر او عمل

مرحله 3 د کلیدي سرور لومړیتوب

4 ګام [نه] لیږل - خوندي - اعلانونه

ګام 5 macsec-cipher-suite {gcm-aes-128 | gcm-aes-256}

ګام 6 ګام 7

د ایمکا پالیسي پای شو

د هدف یادښت

د MKA پالیسي کې د ډیفالټ MACsec سیفر سویټ به تل "GCM-AES-128" وي. که چیرې وسیله د "GCM-AES-128" او "GCM-AES-256" سایفر دواړو ملاتړ وکړي، نو دا ډیره سپارښتنه کیږي چې د کارونکي تعریف شوي MKA پالیسي تعریف او وکاروئ ترڅو دواړه 128 او 256 بټ سایفرونه یا یوازې 256 بټ سایفر شامل کړي، لکه کیدای شي اړتیا وي.

د MKA کلیدي سرور انتخابونه تنظیم کړئ او لومړیتوب ټاکئ (د 0-255 ترمنځ).

نوټ

کله چې د کلیدي سرور لومړیتوب ارزښت 255 ته ټاکل شوی وي،

ملګری نشي کولی کلیدي سرور شي. د

د کلیدي سرور لومړیتوب ارزښت یوازې د اعتبار وړ دی

MKA PSK؛ او نه د MKA EAPTLS لپاره.

د خوندي اعلانونو لیږلو وړ کوي. د خوندي اعلانونو لیږلو غیر فعالولو لپاره د کمانډ هیڅ بڼه وکاروئ. په ډیفالټ، خوندي اعلانونه غیر فعال دي.
د 128-bit یا 256-bit کوډ کولو سره SAK ترلاسه کولو لپاره د سایفر سویټ تنظیموي.
د امتیاز لرونکي EXEC حالت ته راستنیږي.
خپل ننوتل تایید کړئ.

په نړیواله کچه د خوندي اعلان تنظیم کول (د MKA په ټولو پالیسیو کې)

لنډیز ګامونه

1. ټرمینل ترتیب کړئ 2. [نه] د mka ډیفالټ پالیسي لیږل - خوندي اعلانونه 3. پای

تفصيلي ګامونه

1 ګام

د کمانډ یا عمل ترتیب ټرمینل

موخه د نړیوال ترتیب حالت ته ننوځي.

2 ګام

[no] mka defaults پالیسي لیږل-خوندي-اعلانونه

د MKA پالیسیو په اوږدو کې په MKPDUs کې د خوندي اعلانونو لیږلو وړ کوي. په ډیفالټ کې، خوندي اعلانونه غیر فعال دي.

د 3 ګام پای

د امتیاز لرونکي EXEC حالت ته راستنیږي.

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 34

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

په یو انٹرفیس کې د EAPoL اعلاناتو تنظیم کول

په یو انٹرفیس کې د EAPoL اعلاناتو تنظیم کول

لنډیز ګامونه

1. ټرمینل ترتیب کړئ 2. د انٹرفیس انٹرفیس - id 3. [نه] ایپول اعلان 4. پای

تفصيلي ګامونه

1 ګام

د کمانډ یا عمل ترتیب ټرمینل

مرحله 2 د انٹرفیس انٹرفیس-id

دریم ګام [نه] د ایپول اعلان

د 4 ګام پای

موخه
د نړیوال ترتیب حالت ته ننوځئ.
د MACsec انٹرفیس پیژني، او د انٹرفیس ترتیب کولو حالت ته ننوځي. انٹرفیس باید فزیکي انٹرفیس وي.
د EAPoL اعلانونه فعال کړئ. د EAPoL اعلاناتو غیر فعالولو لپاره د کمانډ هیڅ ډول وکاروئ. په ډیفالټ، د EAPoL اعلانونه غیر فعال دي.
د امتیاز لرونکي EXEC حالت ته راستنیږي.

Examples: د MACsec Cipher اعلان ترتیب کول
دا پخوانیample ښیې چې څنګه د خوندي اعلان لپاره د MKA پالیسي تنظیم کړئ:
# ترتیب ټرمینل (config)# mka پالیسي mka_policy (config-mka-policy)# کلیدي-سرور 2 (config-mka-پالیسی)# لیږل-خوندي-اعلانونه (config-mka-پالیسی)#macsec-cipher-suite gcm- aes-128confidentiality-offset 0 (config-mka-policy)# پای
دا پخوانیample ښیې چې څنګه په نړیواله کچه خوندي اعلان تنظیم کړئ:
# ترتیب ټرمینل (config) # mka defaults پالیسي لیږل - خوندي - اعلانونه (config) # پای
دا پخوانیample ښیې چې څنګه په انٹرفیس کې د EAPoL اعلانونه تنظیم کړئ:
# کنفیګر ټرمینل (config)# انٹرفیس GigabitEthernet 1/0/1 (config-if)# eapol اعلان (config-if)# پای
په لاندې ډول دیample output for show run-config interface interface-name کمانډ د EAPoL اعلان سره فعال شوی.
# د چلولو کنفګ انٹرفیس ګیګابایټ ایترنیټ 1/0/1 وښایاست
switchport mode access macsec access-session host-mode multi-host access-session وتړل شو

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 35

Examples: د MACsec Cipher اعلان ترتیب کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د لاسرسي سیشن پورټ کنټرول آټو dot1x pae تصدیق کونکی dot1x وخت پای خاموش دوره 10 dot1x وخت پای tx-period 5 dot1x timeout supp-timeout 10 dot1x غوښتونکی eap profile د پیپ ایپول اعلان spanning-tree portfast service-policy type control subscriber Dot1X
په لاندې ډول دیampد شو mka سیشنونو انٹرفیس انٹرفیس-نوم تفصیل کمانډ د خوندي اعلان سره غیر فعال شوی.
# د mka سیشن انٹرفیس ګیګابایټ ایترنیټ 1/0/1 توضیحات وښایاست
د MKA ناستې لپاره د MKA تفصيلي وضعیت ================================== وضعیت: خوندي - د MACsec سره خوندي MKA ناسته
ځایی Tx-SCI…………. 204c.9e85.ede4/002b انٹرفیس MAC ادرس…. 204c.9e85.ede4 MKA پورټ پیژندونکی…… 43 د انٹرفیس نوم……….. GigabitEthernet1/0/1 د پلټنې سیشن ID……… CAK نوم (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 46 غړي پیژندونکی (MI)… D05CBEC5D67594543D89567CEAE د پیغام شمیره ( MN)…… 128 EAP رول……………….. NA کلیدي سرور…………… هو MKA سیفر سویټ……… AES-XNUMX-CMAC
د SAK وروستی حالت …….. Rx & Tx وروستی SAK AN…………… 0 وروستی SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) د ساک زوړ حالت……….. لومړی-ساک زوړ ساک این…………… 0 زوړ ساک کی (KN)………. لومړی-ساک (0)
SAK د انتظار وخت لیږدوي… 0s (د هیڅ ملګري ځواب ته انتظار نه کوي) د SAK د تقاعد وخت………. 0s (د تقاعد لپاره زوړ SAK نشته)
د MKA د پالیسۍ نوم………. p2 کلیدي سرور لومړیتوب…… 2 د ځنډ محافظت…… نه د بیا چلولو محافظت……. هو د کړکۍ اندازه ……. 0 د محرمیت آفسیټ… 0 د الګوریتم ګړندیتوب…….. 80C201 خوندي اعلان واستوئ.. غیر فعال ساک سیفر سویټ……… 0080C20001000001 (GCM-AES-128) MACsec وړتیا…….. 3 (MACsec Contegrity, Otechidentity)

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 36

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

Examples: د MACsec Cipher اعلان ترتیب کول

MACsec مطلوب …….. هو

# د MACsec وړ ژوندی همکارانو………… 1 # د MACsec وړ ژوندیو همکارانو ځواب ورکړ.. 1

د ژوندیو ملګرو لیست:

MI

MN

Rx-SCI (پییر)

KS لومړیتوب

————————————————————————

38046BA37D7DA77E06D006A9 89555

c800.8459.e764/002a 10

د احتمالي همکارانو لیست:

MI

MN

Rx-SCI (پییر)

KS لومړیتوب

————————————————————————

د بې کاره ملګرو لیست:

MI

MN

Rx-SCI (پییر)

KS لومړیتوب

————————————————————————

په لاندې ډول دیampد نندارې mka سیشن توضیحاتو کمانډ د خوندي اعلان سره غیر فعال شوی.

# د mka ناستې توضیحات وښایاست
د MKA ناستې لپاره د MKA تفصيلي وضعیت ================================== وضعیت: خوندي - د MACsec سره خوندي MKA ناسته

ځایی Tx-SCI…………. 204c.9e85.ede4/002b انٹرفیس MAC ادرس…. 204c.9e85.ede4 MKA پورټ پیژندونکی…… 43 د انٹرفیس نوم……….. GigabitEthernet1/0/1 د پلټنې سیشن ID……… CAK نوم (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 46 غړي پیژندونکی (MI)… D05CBEC5D67594543D89572CEAE د پیغام شمیره ( MN)…… 128 EAP رول……………….. NA کلیدي سرور…………… هو MKA سیفر سویټ……… AES-XNUMX-CMAC

د SAK وروستی حالت …….. Rx & Tx وروستی SAK AN…………… 0 وروستی SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) د ساک زوړ حالت……….. لومړی-ساک زوړ ساک این…………… 0 زوړ ساک کی (KN)………. لومړی-ساک (0)

SAK د انتظار وخت لیږدوي… 0s (د هیڅ ملګري ځواب ته انتظار نه کوي) د SAK د تقاعد وخت………. 0s (د تقاعد لپاره زوړ SAK نشته)

د MKA د پالیسۍ نوم………. p2 کلیدي سرور لومړیتوب…… 2 د ځنډ محافظت…… نه د بیا چلولو محافظت……. هو

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 37

Examples: د MACsec Cipher اعلان ترتیب کول

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول

د کړکۍ اندازه بیا پلی کړئ…… 0 د محرمیت آفسیټ… 0 د الګوریتم چټکتیا…….. 80C201 خوندي اعلان واستوئ.. غیر فعال SAK سیفر سویټ……… 0080C20001000001 (GCM-AES-128) MACsec وړتیا…….. 3 (MACsec، MACsec Contegrity، او د انټیګیټریډ ډیټابیس) ……….. هو

# د MACsec وړ ژوندی همکارانو………… 1 # د MACsec وړ ژوندیو همکارانو ځواب ورکړ.. 1

د ژوندیو ملګرو لیست:

MI

MN

Rx-SCI (پییر)

KS لومړیتوب

————————————————————————

38046BA37D7DA77E06D006A9 89560

c800.8459.e764/002a 10

د احتمالي همکارانو لیست:

MI

MN

Rx-SCI (پییر)

KS لومړیتوب

————————————————————————

د بې کاره ملګرو لیست:

MI

MN

Rx-SCI (پییر)

KS لومړیتوب

————————————————————————

په لاندې ډول دیample output of the show mka policy policy-name detail command د خوندي اعلان سره غیر فعال شوی.

# د mka پالیسي p2 توضیحات وښایاست
د MKA پالیسي ترتیب ("p2") ======================= د MKA د پالیسۍ نوم…….. p2 کلیدي سرور لومړیتوب…. 2 د محرمیت آفریټ. 0 خوندي اعلان واستوئ.. ناکاره سیفر سویټ …….. GCM-AES-128

پلي شوي انٹرفیسونه… GigabitEthernet1/0/1

MACsec او د MACsec کلیدي تړون (MKA) پروتوکول 38

اسناد / سرچینې

سیسکو IE3x00 MACsec او د MACsec کلیدي تړون پروتوکول [pdf] د کارونکي لارښود
IE3x00 MACsec او د MACsec کلیدي تړون پروتوکول، IE3x00، MACsec او د MACsec کلیدي تړون پروتوکول، د MACsec کلیدي تړون پروتوکول، د کلیدي تړون پروتوکول، د تړون پروتوکول، پروتوکول

حوالې

اړونده پوسټونه

یو نظر پریږدئ

ستاسو بریښنالیک پته به خپره نشي. اړین ساحې په نښه شوي *