مواد لڪائڻ
1 IE3x00 MACsec ۽ MACsec ڪيئي معاهدو پروٽوڪول
2 پيداوار جي ڄاڻ
2.1 وضاحتون
2.2 پيداوار جي استعمال جون هدايتون
2.2.1 MACsec ۽ MKA کي فعال ڪرڻ
2.2.2 MKA پاليسيون
2.2.3 MKA شماريات
2.2.3.1 Example Command Output:
2.2.4 MKA تفصيلي اسٽيٽس
2.2.4.1 Example Command Output:
2.3 FAQ (اڪثر پڇيا ويندڙ سوال)
2.3.1 سوال: ڪهڙيون بندرگاهون ESS-3300 تي MACsec کي سپورٽ ڪن ٿيون؟
2.3.2 سوال: MKA ڇا لاءِ بيٺل آهي؟
2.3.3 سوال: مان هڪ انٽرفيس تي MACsec ۽ MKA کي ڪيئن فعال ڪري سگهان ٿو؟
2.3.4 سوال: MKA پاليسي جو مقصد ڇا آهي؟
2.3.5 عبرت: مان ڪيئن ڪري سگهان ٿو view MKA انگ اکر؟
2.3.6 دستاويز / وسيلا
2.3.6.1 حوالو
2.3.7 لاڳاپيل پوسٽون

IE3x00 MACsec ۽ MACsec ڪيئي معاهدو پروٽوڪول

پيداوار جي ڄاڻ

وضاحتون

  • معياري: IEEE 802.1AE
  • سپورٽ ٿيل بندرگاهن: 1 گيگابٽ ايٿرنيٽ ڊائون لنڪ بندرگاهن
  • انڪرپشن: 802.1AE انڪرپشن MACsec ڪيئي معاهدي سان
    (MKA)

پيداوار جي استعمال جون هدايتون

MACsec ۽ MKA کي فعال ڪرڻ

انٽرفيس تي MACsec ۽ MKA کي فعال ڪرڻ لاءِ، انھن تي عمل ڪريو
قدم:

  1. انٽرفيس تي وضاحت ڪيل MKA پاليسي لاڳو ڪريو.
  2. MKA لاءِ گهربل اختيارن کي ترتيب ڏيو.

MKA پاليسيون

MKA پاليسيون MACsec ۽ MKA جي رويي جي وضاحت ڪن ٿيون
انٽرفيس. توھان ھيٺ ڏنل اختيارن کي ترتيب ڏئي سگھو ٿا:

  • سنگل ميزبان موڊ: هي موڊ هڪ واحد EAP تصديق ٿيل محفوظ ڪري ٿو
    MACsec ۽ MKA استعمال ڪندي سيشن.

MKA شماريات

توهان MKA ​​سيشن جي صورتحال بابت معلومات حاصل ڪري سگهو ٿا ۽
view MKA شماريات. ڪجھ اهم شماريات ۽ ڄاڻ
شامل آهن:

  • ڪل MKA سيشن: فعال MKA جو ڪل تعداد
    سيشن
  • محفوظ سيشن: في الحال محفوظ ڪيل MKA جو تعداد
    سيشن
  • التوا واري سيشن: التوا واري MKA سيشن جو تعداد.

Example Command Output:

سوئچ# ڏيکاريو mka سيشن ڪل MKA سيشنز....... 1 محفوظ سيشنز... 1 پينڊنگ سيشنز... 0 انٽرفيس لوڪل-TxSCI پاليسي-نالو ورثي ۾ مليل ڪي-سرور پورٽ-ID پير-RxSCI MACsec-پيئر اسٽيٽس CKN Gi1/0/1 204c.9e85.ede4/002b p2 NO YES 43 c800.8459.e764/002a 1 محفوظ 0100000000000000000000000000000000000000000000000000000000000000

MKA تفصيلي اسٽيٽس

توھان حاصل ڪري سگھو ٿا تفصيلي حالت جي ڄاڻ ھڪڙي مخصوص MKA لاءِ
سيشن معلومات ۾ شامل آهي:

  • حالت: MKA سيشن جي موجوده حيثيت (مثال طور،
    محفوظ).
  • مقامي Tx-SCI: مقامي ٽرانسميٽ محفوظ چينل
    سڃاڻپ ڪندڙ.
  • انٽرفيس MAC ايڊريس: انٽرفيس جو MAC پتو.
  • MKA پورٽ سڃاڻپ ڪندڙ: بندرگاهه جي سڃاڻپ ڪندڙ MKA لاءِ.
  • آڊٽ سيشن ID: آڊٽ سيشن ID.
  • CAK نالو (CKN): ڪنيڪشن ايسوسيئيشن ڪيئي جو نالو
    (CKN).
  • ميمبر سڃاڻپ ڪندڙ (MI): ميمبر جي سڃاڻپ ڪندڙ.
  • پيغام نمبر (MN): پيغام نمبر.
  • EAP ڪردار: EAP ڪردار.
  • ڪي سرور: ظاهر ڪري ٿو ته ڇا ڊوائيس هڪ اهم سرور آهي (YES
    يا نه).
  • MKA Cipher Suite: MKA پاران استعمال ڪيل سائفر سوٽ.
  • تازو SAK اسٽيٽس: تازو سيڪيورٽي ايسوسيئيشن جي حيثيت
    چاٻي (SAK) وصول ڪرڻ ۽ منتقل ڪرڻ لاءِ.
  • تازو SAK AN: تازو SAK ايسوسيئيشن نمبر.
  • جديد SAK KI (KN): جديد SAK ڪيئي سڃاڻپ ڪندڙ (KN).
  • پراڻي SAK جي حيثيت: پراڻي SAK جي حيثيت.
  • پراڻي SAK AN: پراڻي SAK ايسوسيئيشن نمبر.
  • پراڻي SAK KI (KN): پراڻي SAK ڪيئي سڃاڻپ ڪندڙ (KN).

Example Command Output:

سوئچ # MKA سيشن انٽرفيس ڏيکاريو G1/0/1 de MKA تفصيلي صورتحال MKA سيشن لاءِ ============================= === اسٽيٽس: SECURED - MACsec Local Tx-SCI سان محفوظ MKA سيشن............. 204c.9e85.ede4/002b انٽرفيس MAC ايڊريس.... 204c.9e85.ede4 MKA پورٽ سڃاڻپ ڪندڙ...... 43 انٽرفيس جو نالو......... GigabitEthernet1/0/1 آڊٽ سيشن ID......... CAK نالو (CKN)....... ... 0100000000000000000000000000000000000000000000000000000000000000. 46 = 05 = 5Atify 67594543. 89567 اي پي اي ميل :! ............. YES MKA Cipher Suite......... AES-128-CMAC تازه ترين ساڪ اسٽيٽس........ Rx ۽ Tx تازو ساک اين.. ....... ............. 0 پراڻي ساک ڪي (KN).......... پهريون-ساک (46)

FAQ (اڪثر پڇيا ويندڙ سوال)

سوال: ڪهڙيون بندرگاهون ESS-3300 تي MACsec کي سپورٽ ڪن ٿيون؟

ج: MACsec 1 گيگابٽ ايٿرنيٽ ڊائون لنڪ بندرگاهن تي سپورٽ ڪئي وئي آهي
صرف.

سوال: MKA ڇا لاءِ بيٺل آهي؟

A: MKA جو مطلب آهي MACsec Key Agreement.

سوال: مان هڪ انٽرفيس تي MACsec ۽ MKA کي ڪيئن فعال ڪري سگهان ٿو؟

ج: هڪ انٽرفيس تي MACsec ۽ MKA کي فعال ڪرڻ لاءِ، وضاحت ڪيل MKA لاڳو ڪريو
انٽرفيس کي پاليسي ۽ ترتيب ڏيڻ لاء گهربل اختيارن کي ترتيب ڏيو
MKA.

سوال: MKA پاليسي جو مقصد ڇا آهي؟

A: هڪ MKA پاليسي MACsec ۽ MKA جي رويي جي وضاحت ڪري ٿي
انٽرفيس.

عبرت: مان ڪيئن ڪري سگهان ٿو view MKA انگ اکر؟

ج: توھان استعمال ڪري سگھو ٿا ”مڪا جا انگ اکر ڏيکاريو“ حڪم view MKA
انگ اکر، بشمول MKA سيشن جو ڪل تعداد، محفوظ
سيشن، ۽ التوا واري سيشن.

View Fullscreen

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول
هن باب ۾ هيٺيان حصا شامل آهن: · MACsec ۽ MACsec Key Agreement (MKA) پروٽوڪول، صفحي 1 تي · سرٽيفڪيٽ جي بنياد تي MACsec، صفحي 2 تي · MKA پاليسيون، صفحي 2 تي · سنگل ميزبان موڊ، صفحي 2 تي · MKA شماريات، صفحي 3 تي · MACsec انڪريپشن کي ڪيئن ترتيب ڏيو، صفحي 8 تي
MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول
MACsec IEEE 802.1AE معيار آھي ٻن MACsec-قابل ڊوائيسز جي وچ ۾ پيڪٽن جي تصديق ۽ انڪرپٽنگ لاءِ. سوئچ 802.1AE انڪرپشن کي سپورٽ ڪري ٿو MACsec Key Agreement (MKA) سان ڊائون لنڪ بندرگاهن تي سوئچ ۽ ميزبان ڊوائيسز جي وچ ۾ انڪرپشن لاءِ. MKA پروٽوڪول گهربل سيشن ڪنجيون مهيا ڪري ٿو ۽ گھربل انڪرپشن ڪنجيز کي منظم ڪري ٿو.
ESS-3300 تي اهم، MACsec صرف 1 گيگابٽ ايٿرنيٽ ڊائون لنڪ بندرگاهن تي سپورٽ ڪئي وئي آهي.
MACsec ۽ MACsec Key Agreement (MKA) لاڳو ڪيا ويا آھن ڪامياب تصديق کان پوءِ سرٽيفڪيٽ جي بنياد تي MACsec يا Pre Shared Key (PSK) فريم ورڪ استعمال ڪندي. توھان انٽرفيس تي غير انڪرپٽ ٿيل پيڪٽس جي رويي کي ڪنٽرول ڪري سگھو ٿا جڏھن MACsec ڪمانڊ استعمال ڪندي فعال ڪيو وڃي macsec access-control {must-secure| گهرجي- محفوظ}. جڏهن MACsec هڪ انٽرفيس تي چالو ڪيو ويندو آهي، سڀني انٽرفيس ٽرئفڪ کي ڊفالٽ طور تي محفوظ ڪيو ويندو آهي (يعني، لازمي محفوظ آهي ڊفالٽ سيٽنگ). ميڪسيڪ رسائي-ڪنٽرول لازمي-محفوظ سيٽنگ ڪنهن به غير انڪرپٽ ٿيل پيڪٽس کي ساڳئي جسماني انٽرفيس مان منتقل يا وصول ڪرڻ جي اجازت نه ڏئي ٿي. MKA سيشن محفوظ ٿيڻ تائين ٽريفڪ ڇڏي وئي آهي. جڏهن ته، چونڊيل انٽرفيس تي MACsec کي فعال ڪرڻ لاءِ، توهان چونڊ ڪري سگهو ٿا غير انڪرپٽ ٿيل پيڪٽن کي منتقل ڪرڻ يا ساڳئي جسماني انٽرفيس مان وصول ڪرڻ جي اجازت ڏيڻ لاءِ macsec رسائي ڪنٽرول کي محفوظ ڪرڻ سان. هي اختيار غير انڪرپٽ ٿيل ٽرئفڪ کي وهڻ جي اجازت ڏئي ٿو جيستائين MKA ​​سيشن محفوظ نه ٿئي. MKA سيشن محفوظ ٿيڻ کان پوء، صرف انڪوڊ ٿيل ٽرئفڪ وهي سگھي ٿو. تشڪيل جي تفصيل لاءِ، ڏسو MACsec MKA ترتيب ڏيڻ هڪ انٽرفيس تي PSK استعمال ڪندي، صفحي 15 تي.
MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 1

سرٽيفڪيٽ جي بنياد تي MACsec

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

سرٽيفڪيٽ جي بنياد تي MACsec
سرٽيفڪيٽ جي بنياد تي MACsec انڪريپشن جي خاصيت استعمال ڪري ٿي 802.1X پورٽ-بنياد تصديق سان Extensible Authentication Protocol Transport Layer Security (EAP-TLS) بندرگاهن لاءِ سرٽيفڪيٽ کڻڻ لاءِ جتي MACsec انڪرپشن گهربل هجي. EAP-TLS ميڪانيزم استعمال ڪيو ويندو آهي باهمي تصديق لاءِ ۽ ماسٽر سيشن ڪي (MSK) حاصل ڪرڻ لاءِ جنهن مان Connectivity Association Key (CAK) نڪتل آهي MACsec Key Agreement (MKA) پروٽوڪول لاءِ. هي خصوصيت اجازت ڏئي ٿي ڪنيز کي منظم ڪرڻ جي اجازت ڏئي ٿي مرڪزي سرور (CA) تي PSK (Pre-Shared Key) جي بنياد تي MACsec. سوئچ کي سوئچ MACsec سپورٽ ڪئي وئي آهي. ڏسو Configuring Certificate Based MACsec، صفحي 16 تي وڌيڪ معلومات لاءِ.
حدون ۽ پابنديون
سرٽيفڪيٽ جي بنياد تي MACsec اهي حدون ۽ پابنديون آهن: · بندرگاهن کي رسائي موڊ يا ٽرن موڊ ۾ هجڻ گهرجي. · MKA پورٽ چينلز تي سپورٽ نه ڪئي وئي آهي. · MKA لاءِ اعليٰ دستيابي سپورٽ نه ڪئي وئي آهي. · بندرگاهن بغير سوئچ پورٽ سان سهڪار نه آهن. · ESS3300 uplink بندرگاهن وٽ PHY نه آهي ۽ ان ڪري MACSec کي سپورٽ نٿا ڪن.
MKA پاليسيون
انٽرفيس تي MKA کي فعال ڪرڻ لاءِ، ھڪ وضاحت ڪيل MKA پاليسي انٽرفيس تي لاڳو ٿيڻ گھرجي. توھان انھن اختيارن کي ترتيب ڏئي سگھو ٿا:
· پاليسي جو نالو، 16 ASCII اکرن کان وڌيڪ نه هجڻ. · رازداري (انڪريپشن) هر فزيڪل انٽرفيس لاءِ 0، 30، يا 50 بائيٽ جو آفسٽ
سنگل ميزبان موڊ
انگ اکر ڏيکاري ٿو ته ڪيئن هڪ واحد EAP تصديق ٿيل سيشن MACsec پاران MKA ​​استعمال ڪندي محفوظ ڪيو ويو آهي.
شڪل 1: MACsec سنگل ميزبان موڊ ۾ محفوظ ڊيٽا سيشن سان

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 2

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

MKA شماريات

MKA شماريات

ڪجهه MKA شمار ڪندڙ عالمي سطح تي گڏ ڪيا ويا آهن، جڏهن ته ٻيا عالمي سطح تي ۽ في سيشن کي اپڊيٽ ڪيا ويندا آهن. توھان پڻ حاصل ڪري سگھوٿا MKA سيشن جي صورتحال بابت.
هي هڪ سابق آهيampلي جو شو mka شماريات ڪمانڊ آئوٽ:
سوئچ # ڏيکاريو mka سيشن

ڪل MKA سيشن……. 1 محفوظ سيشنز… 1 زير التوا سيشن… 0

================================================== ===================================================

انٽرفيس

مقامي-TxSCI

پاليسي- نالو

ورثي ۾ مليل

ڪيئي سرور

پورٽ-ID

پير-RxSCI

MACsec-Peers

حيثيت

ڪي اين

================================================== ===================================================

جي 1/0/1

204c.9e85.ede4/002b p2

نه

ها

43

c800.8459.e764/002a 1

محفوظ ٿيل

0100000000000000000000000000000000000000000000000000000000000000

سوئچ # ڏيکاريو mka سيشن انٽرفيس G1/0/1

انٽرفيس GigabitEthernet1/0/1 تي في الحال فعال MKA سيشن جو خلاصو…

================================================== ===================================================

انٽرفيس

مقامي-TxSCI

پاليسي- نالو

ورثي ۾ مليل

ڪيئي سرور

پورٽ-ID

پير-RxSCI

MACsec-Peers

حيثيت

ڪي اين

================================================== ===================================================

جي 1/0/1

204c.9e85.ede4/002b p2

نه

ها

43

c800.8459.e764/002a 1

محفوظ ٿيل

0100000000000000000000000000000000000000000000000000000000000000

سوئچ # ڏيکاريو mka سيشن انٽرفيس G1/0/1 ڊي
MKA تفصيلي صورتحال MKA سيشن لاءِ ================================ اسٽيٽس: SECURED - MACsec سان محفوظ MKA سيشن
مقامي Tx-SCI…………. 204c.9e85.ede4/002b انٽرفيس ميڪ ايڊريس…. 204c.9e85.ede4 MKA پورٽ سڃاڻپ ڪندڙ…… 43 انٽرفيس جو نالو……….. GigabitEthernet1/0/1 آڊٽ سيشن ID……… CAK نالو (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 46 ميمبر سڃاڻپ ڪندڙ (MI)… D05CBEC5D67594543D89567CEAE پيغام نمبر ( MN)…… 128 EAP رول……………….. NA ڪيئي سرور…………… YES MKA Cipher Suite……… AES-XNUMX-CMAC
تازه ترين SAK اسٽيٽس…….. Rx & Tx جديد SAK AN……… 0 جديد SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) پراڻي ساڪ اسٽيٽس……….. پهريون-ساڪ پراڻي ساڪ اين…………… 0 پراڻي ساڪ ڪي (KN)………. پهريون-ساک (0)
SAK ٽرانسميٽ انتظار جو وقت... 0s (جواب ڏيڻ لاءِ ڪنهن به همراهه جو انتظار نه ڪيو ويو) SAK رٽائر ٿيڻ جو وقت………. 0s (رٽائر ٿيڻ لاءِ پراڻو ساڪ ناهي)

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 3

MKA شماريات

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

MKA پاليسي جو نالو………. p2 ڪيئي سرور جي ترجيح…… 2 دير جو تحفظ……… ڪو به ريپلي پروٽيڪشن…….. ها ونڊو جي سائيز کي ريپلي ڪريو……. . ……….. ها

# MACsec قابل Live Peers جو …………… 1 # MACsec قابل Live Peers جو جواب ڏنو ويو.. 1

لائيو ساٿين جي فهرست:

MI

MN

Rx-SCI (پيئر)

KS ترجيح

———————————————————————

38046BA37D7DA77E06D006A9 89555

c800.8459.e764/002a 10

ممڪن ساٿين جي فهرست:

MI

MN

Rx-SCI (پيئر)

KS ترجيح

———————————————————————

غير فعال ساٿين جي فهرست:

MI

MN

Rx-SCI (پيئر)

KS ترجيح

———————————————————————

سوئچ # Mka سيشن ڏيکاريو سوئچ # ڏيکاريو mka سيشن تفصيل

MKA تفصيلي صورتحال MKA سيشن لاءِ ================================ اسٽيٽس: SECURED - MACsec سان محفوظ MKA سيشن

مقامي Tx-SCI…………. 204c.9e85.ede4/002b انٽرفيس ميڪ ايڊريس…. 204c.9e85.ede4 MKA پورٽ سڃاڻپ ڪندڙ…… 43 انٽرفيس جو نالو……….. GigabitEthernet1/0/1 آڊٽ سيشن ID……… CAK نالو (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 46 ميمبر سڃاڻپ ڪندڙ (MI)… D05CBEC5D67594543D89572CEAE پيغام نمبر ( MN)…… 128 EAP رول……………….. NA ڪيئي سرور…………… YES MKA Cipher Suite……… AES-XNUMX-CMAC

تازه ترين SAK اسٽيٽس…….. Rx & Tx جديد SAK AN……… 0 جديد SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) پراڻي ساڪ اسٽيٽس……….. پهريون-ساڪ پراڻي ساڪ اين…………… 0 پراڻي ساڪ ڪي (KN)………. پهريون-ساک (0)

SAK ٽرانسميٽ انتظار جو وقت... 0s (جواب ڏيڻ لاءِ ڪنهن به همراهه جو انتظار نه ڪيو ويو) SAK رٽائر ٿيڻ جو وقت………. 0s (رٽائر ٿيڻ لاءِ پراڻو ساڪ ناهي)

MKA پاليسي جو نالو………. p2 ڪيئي سرور جي ترجيح…… 2 دير جو تحفظ……… ڪو به ريپلي پروٽيڪشن…….. ها ونڊو جي سائيز کي ريپلي ڪريو……. 0 رازداري آفسيٽ… 0 الگورٿم چست…….. 80C201

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 4

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

MKA شماريات

SAK Cipher Suite……… 0080C20001000001 (GCM-AES-128) MACsec صلاحيت…….. 3 (MACsec سالميت، رازداري، ۽ آفسيٽ) MACsec گهربل……….. ها

# MACsec قابل Live Peers جو …………… 1 # MACsec قابل Live Peers جو جواب ڏنو ويو.. 1

لائيو ساٿين جي فهرست:

MI

MN

Rx-SCI (پيئر)

KS ترجيح

———————————————————————

38046BA37D7DA77E06D006A9 89560

c800.8459.e764/002a 10

ممڪن ساٿين جي فهرست:

MI

MN

Rx-SCI (پيئر)

KS ترجيح

———————————————————————

غير فعال ساٿين جي فهرست:

MI

MN

Rx-SCI (پيئر)

KS ترجيح

———————————————————————

تبديل ڪريو#sh mka pol

MKA پاليسي خلاصو…

پاليسي

KS

Delay Replay Window Conf Cipher

انٽرفيس

نالو

ترجيحي تحفظ حفاظتي سائز آف سيٽ سوٽ

لاڳو ٿيل

================================== =================================== == ==

*ڊفالٽ پاليسي* 0

غلط سچ 0

0

GCM-AES-128

p1

1

غلط سچ 0

0

GCM-AES-128

p2

2

غلط سچ 0

0

GCM-AES-128

جي 1/0/1

تبديل ڪريو#sh mka poli

سوئچ #sh mka پاليسي p2

تبديل ڪريو#sh mka پاليسي p2؟

تفصيل MKA پاليسي لاءِ تفصيلي ترتيب/معلومات

سيشن جو خلاصو سڀني فعال MKA سيشنن سان لاڳو ڪيل پاليسي سان

|

ٻاھرين تبديليون

سوئچ#sh mka پاليسي p2 de

MKA پاليسي ڪنفيگريشن (“p2”) ====================== MKA پاليسي جو نالو…….. p2 ڪيئي سرور جي ترجيح…. 2 رازداري آفسيٽ. 0 محفوظ اعلان موڪليو..غير فعال ٿيل سائفر سوٽ …….. GCM-AES-128

اپلائيڊ انٽرفيس… GigabitEthernet1/0/1

سوئچ #sh mka پاليسي p2

MKA پاليسي خلاصو…

پاليسي

KS

Delay Replay Window Conf Cipher

انٽرفيس

نالو

ترجيحي تحفظ حفاظتي سائز آف سيٽ سوٽ

لاڳو ٿيل

================================== =================================== == ==

p2

2

غلط سچ 0

0

GCM-AES-128

جي 1/0/1

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 5

MKA شماريات

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

سوئچ #sh mka se؟ سيشن

سوئچ #sh mka؟ default-policy keychains پاليسي presharedkeys سيشن جي انگن اکرن جو خلاصو

MKA Default Policy تفصيلات MKA Pre-Shared-Key Key-chains MKA پاليسي ترتيب جي ڄاڻ MKA پري شيئر ڪيل ڪيز MKA سيشن جو خلاصو گلوبل MKA شماريات MKA سيشن جو خلاصو ۽ عالمي شماريات

مٽايو #sh mka statis

مٽايو #sh mka شماريات؟

انٽرفيس شماريات هڪ انٽرفيس تي MKA سيشن لاءِ

مقامي-sci شماريات هڪ MKA سيشن لاءِ ان جي مقامي Tx-SCI پاران سڃاڻپ ڪئي وئي آهي

|

ٻاھرين تبديليون

سوئچ#sh mka statistics interswitch#show mka statistics interface G1/0/1

سيشن لاءِ MKA شماريات ======================== ٻيهر تصديق جي ڪوششون.. 0

CA Statistics Pairwise CAKs Derived… 0 Pairwise CAK Rekeys….. 0 Group CAKs جنريٽ ٿيل…. 0 گروپ ڪيڪ وصول ڪيا ويا... 0

SA شماريات SAKs ٺاهيل………. 1 ساڪ ٻيهر حاصل ڪيا ويا………… 0 ساڪ وصول ڪيا ويا……….. 0 ساڪ جواب مليا.. 1

MKPDU شماريات MKPDUs تصديق ٿيل ۽ Rx… 89585 “تقسيم ٿيل سي اي سي”.. 0 “تقسيم ٿيل سي اي سي”.. 0 ايم ڪي پي ڊي يوز منتقل ڪيا ويا…… 89596 “تقسيم ٿيل سي اي سي”.. 1 “تقسيم ٿيل سي اي سي”.. 0

سوئچ # ڏيکاريو mka؟

default-policy MKA ڊفالٽ پاليسي تفصيل

ڪيچين

MKA پري شيئر ڪيل ڪيئي زنجير

پاليسي

MKA پاليسي ترتيب ڏيڻ جي ڄاڻ

presharedkeys MKA پري شيئر ڪيل ڪيز

سيشن

MKA سيشن جو خلاصو

شماريات

گلوبل MKA شماريات

خلاصو

MKA سيشن جو خلاصو ۽ عالمي انگ اکر

مٽايو # ڏيکاريو mka خلاصو سوئچ # ڏيکاريو mka خلاصو

ڪل MKA سيشن……. 1 محفوظ سيشنز… 1 زير التوا سيشن… 0

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 6

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

MKA شماريات

================================================== ===================================================

انٽرفيس

مقامي-TxSCI

پاليسي- نالو

ورثي ۾ مليل

ڪيئي سرور

پورٽ-ID

پير-RxSCI

MACsec-Peers

حيثيت

ڪي اين

================================================== ===================================================

جي 1/0/1

204c.9e85.ede4/002b p2

نه

ها

43

c800.8459.e764/002a 1

محفوظ ٿيل

0100000000000000000000000000000000000000000000000000000000000000

MKA گلوبل شماريات =================== MKA سيشن ٽوٽل
محفوظ ……………….. 1 ٻيهر تصديق جي ڪوششون.. 0
حذف ٿيل (محفوظ)………. 0 برقرار رکڻ جو وقت ……… 0
CA Statistics Pairwise CAKs Derived…… 0 Pairwise CAK Rekeys……. 0 Group CAKs ٺاهيا ويا……. 0 گروپ سي اي سي وصول ڪيا ويا....... 0
SA شماريات SAKs ٺاهيل…………. 1 ساڪ ٻيهر حاصل ڪيا ويا…………… 0 ساڪ وصول ڪيا ويا………….. 0 ساڪ جواب مليا….. 1
MKPDU شماريات MKPDUs تصديق ٿيل ۽ Rx…… 89589 “تقسيم ٿيل SAK”….. 0 “ورهايل سي اي سي”….. 0 MKPDUs منتقل ڪيا ويا……… 89600 “تقسيم ٿيل سي اي سي”….. 1 “تقسيم ڪيل سي اي سي”….. 0
MKA ايرر ڪائونٽر ٽوٽل ======================= سيشن جي ناڪامي
ڪاميابيءَ جون ناڪاميون………….. 0 ٻيهر تصديق ڪرڻ ۾ ناڪاميون…….. 0 نقلي تصديق-Mgr هينڊل…….. 0
SAK ناڪاميون SAK نسل ………………. 0 Hash Key Generation …………… 0 SAK انڪريپشن/ لفافي………….. 0 SAK ڊڪرپشن/ Unwrap……………… 0 SAK سيپر بي ترتيب…………… 0
CA ناڪاميون گروپ CAK جنريشن…………. 0 گروپ CAK انڪريپشن/ لپيٽڻ…….. 0 گروپ CAK ڊڪرپشن/ Unwrap…… 0 Pairwise CAK Derivation………. 0 CKN نڪتل ………………. 0 ICK نڪتل ………………. 0 ڪيڪ نڪتل ………………. 0 غلط پير MACsec قابليت... 0
MACsec ناڪاميون Rx SC ٺاھڻ ………………. 0

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 7

MACsec انڪريپشن کي ڪيئن ترتيب ڏيو

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

Tx SC تخليق………………. 0 Rx SA تنصيب…………… 0 Tx SA تنصيب…………… 0
MKPDU ناڪاميون MKPDU Tx………………………. 0 MKPDU Rx جي تصديق …………… 0 MKPDU Rx بيڊ پير MN…………. 0 MKPDU Rx غير تازو پيرلسٽ MN. 0
سوئچ#
MACsec انڪريپشن کي ڪيئن ترتيب ڏيو
MACsec انڪرپشن لاءِ شرطون
MACsec انڪرپشن لاءِ شرطون: · پڪ ڪريو ته 802.1x جي تصديق ۽ AAA توهان جي ڊوائيس تي ترتيب ڏنل آهن.
MKA ۽ MACsec ترتيب ڏيڻ
ڊفالٽ MACsec MKA ترتيب
MACsec بند ٿيل آهي. ڪابه MKA پاليسيون ترتيب ڏنل نه آهن.
MKA-PSK: CKN رويي جي تبديلي
ڪلاسڪ Cisco IOS تي هلندڙ Cisco سوئچز سان مداخلت ڪرڻ لاءِ، CKN جي ترتيب صفر-پيڊ هجڻ گهرجي. Cisco IOS XE Everest Release 16.6.1 کان پوءِ، MKA-PSK سيشنز لاءِ، مقرر ٿيل 32 بائيٽن جي بدران، ڪنيڪشن ايسوسيئيشن ڪيئي نالو (CKN) بلڪل CKN جي ساڳي اسٽرنگ استعمال ڪري ٿو، جيڪا ترتيب ڏنل آهي هيڪس اسٽرنگ لاءِ. چاٻي مثالampجي تشڪيل:
ٽرمينل ڪيچين کي ترتيب ڏيو KEYCHAINONE macsec key 1234 cryptographic-algorithm aes-128-cmac key-string 123456789ABCDEF0123456789ABCDEF0 لائف ٽائم لوڪل 12:21:00 سيپٽمبر 9 2015 آخر تائين
مٿين مثال لاءampلي، شو mka سيشن ڪمانڊ لاءِ ھيٺ ڏنل آھي:

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 8

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

MKA-PSK: CKN رويي جي تبديلي

ياد رهي ته CKN ڪيئي اسٽرنگ بلڪل ساڳي آهي جيڪا هيڪس اسٽرنگ جي طور تي ڪيئي لاءِ ترتيب ڏني وئي آهي. IOS XE هلائيندڙ پليٽ فارمن ۽ کلاسک IOS تي هلندڙ پليٽ فارمن جي وچ ۾ ڪم ڪرڻ لاءِ، هڪ ۾ CKN رويي جي تبديلي ۽ ٻيو CKN رويي جي تبديلي کان سواءِ، چاٻي لاءِ هيڪس اسٽرنگ لازمي آهي 64-ڪردار هيڪس اسٽرنگ زيرو سان ڀريل ڊوائيس جيڪا CKN رويي جي تبديلي سان تصوير رکي ٿي. اڳيون ڏسوampهيٺ ڏنل: CKN ڪي-اسٽرنگ رويي جي تبديلي کان سواءِ ترتيب:
config t key chain KEYCHAINONE macsec key 1234 cryptographic-algorithm aes-128-cmac key-string 123456789ABCDEF0123456789ABCDEF0 لائف ٽائيم لوڪل 12:21:00 سيپٽمبر 9 2015 ۾
پيداوار:
CKN ڪي-اسٽرنگ رويي جي تبديلي سان ترتيب ڏيڻ:
config t key chain KEYCHAINONE macsec key 1234000000000000000000000000000000000000000000000000000000000000 cryptographic-algorithm aes-128-cmac key-string 123456789ABCDEF0123456789ABCDEF0 لائف ٽائيم لوڪل 12:21:00 سيپٽمبر 9 2015 ۾
پيداوار:
MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 9

MKA پاليسي ترتيب ڏيڻ

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

MKA پاليسي ترتيب ڏيڻ

خلاصو قدم

1. ٽرمينل ترتيب ڏيو 2. mka پاليسي پاليسي جو نالو 3. موڪليو-محفوظ-اعلانات 4. ڪي-سرور جي ترجيح 5. شامل ڪريو-icv-انڊيڪيٽر 6. macsec-cipher-suite gcm-aes-128 7. رازداري-آفيس آف سيٽ قيمت 8 آخر 9. ڏيکاريو mka پاليسي

تفصيلي قدم

قدم 1

ڪمانڊ يا ايڪشن ڪنفيگر ٽرمينل

قدم 2 mka پاليسي پاليسي جو نالو

قدم 3 موڪليو-محفوظ-اعلان

مقصد عالمي ترتيب واري موڊ ۾ داخل ڪريو.

هڪ MKA پاليسي جي سڃاڻپ ڪريو، ۽ داخل ڪريو MKA پاليسي ترتيب واري موڊ. وڌ ۾ وڌ پاليسي نالي جي ڊيگهه 16 اکر آهي.

نوٽ

ڊفالٽ MACsec سيفر سوٽ MKA ۾

پاليسي هميشه "GCM-AES-128" هوندي. جيڪڏهن جي

ڊوائيس ٻنهي کي سپورٽ ڪري ٿو "GCM-AES-128" ۽

"GCM-AES-256" ciphers، اهو انتهائي آهي

استعمال ڪندڙ جي وضاحت ۽ استعمال ڪرڻ جي سفارش ڪئي وئي آهي

MKA پاليسي ٻنهي 128 ۽ 256 بٽ شامل ڪرڻ لاء

ciphers يا صرف 256 bit cipher، جيئن ٿي سگهي ٿو

گهربل.

محفوظ اعلانن کي فعال ڪيو.

نوٽ

ڊفالٽ طور، محفوظ اعلان آهن

معذور.

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 10

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

هڪ انٽرفيس تي MACsec ترتيب ڏيڻ

قدم 4

ڪمانڊ يا ايڪشن ڪي-سرور جي ترجيح

مرحلا 5 شامل ڪريو-icv-انڊيڪيٽر قدم 6 macsec-cipher-suite gcm-aes-128 مرحلا 7 رازداري-آفسيٽ آفسٽ ويل

قدم 8 قدم 9

آخر شو mka پاليسي

مقصد

MKA ڪيئي سرور جا آپشن ترتيب ڏيو ۽ ترجيح مقرر ڪريو (0-255 جي وچ ۾).

نوٽ

جڏهن اهم سرور جي ترجيح جي قيمت 255 تي مقرر ڪئي وئي آهي،

پير صاحب اهم سرور نٿو بڻجي سگهي. جي

اهم سرور جي ترجيحي قدر صرف لاءِ صحيح آھي

MKA PSK؛ ۽ MKA EAPTLS لاءِ نه.

MKPDU ۾ ICV اشاري کي فعال ڪري ٿو. ICV اشاري کي غير فعال ڪرڻ لاءِ هن حڪم جو ڪوبه فارم استعمال نه ڪريو - ڪو به شامل نه ڪريو-icv-انڊيڪيٽر.

128-bit انڪرپشن سان SAK حاصل ڪرڻ لاءِ سائفر سوٽ ترتيب ڏئي ٿو.

هر فزيڪل انٽرفيس لاءِ رازداري (انڪريپشن) آفسيٽ سيٽ ڪريو

نوٽ

Offset Value ٿي سگھي ٿو 0، 30 يا 50. جيڪڏھن توھان آھيو

ڪلائنٽ تي Anyconnect استعمال ڪندي، اهو آهي

Offset 0 استعمال ڪرڻ جي صلاح ڏني.

امتيازي EXEC موڊ ڏانهن واپسي.

توهان جي داخلا جي تصديق ڪريو.

Example
هن اڳوڻيample MKA پاليسي کي ترتيب ڏئي ٿو:
سوئچ(config)# mka پاليسي mka_policy سوئچ(config-mka-policy)# ڪي-سرور جي ترجيح 200 سوئچ(config-mka-policy)# macsec-cipher-suite gcm-aes-128 سوئچ(config-mka-policy)# رازداري-آفسيٽ 30 سوئچ(config-mka-policy)# آخر

هڪ انٽرفيس تي MACsec ترتيب ڏيڻ
انهن قدمن تي عمل ڪريو MACsec کي ترتيب ڏيڻ لاءِ انٽرفيس تي هڪ MACsec سيشن سان آواز لاءِ ۽ هڪ ڊيٽا لاءِ:

خلاصو قدم

1. فعال ڪريو 2. ٽرمينل ترتيب ڏيو 3. انٽرفيس انٽرفيس-id 4. سوئچ پورٽ رسائي vlan vlan-id 5. سوئچ پورٽ موڊ رسائي 6. macsec 7. تصديق ايونٽ لنڪ سيڪ ناڪام عمل اختيار ڪريو vlan vlan-id 8. تصديق ميزبان موڊ ملٽي ڊومين

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 11

هڪ انٽرفيس تي MACsec ترتيب ڏيڻ

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

9. تصديق لنڪ سيڪ پاليسي لازمي طور تي محفوظ 10. تصديق پورٽ ڪنٽرول آٽو 11. تصديق جي مدت 12. تصديق واري ٽائمر ٻيهر تصديق ڪريو 13. تصديق جي خلاف ورزي جي حفاظت 14. mka پاليسي پاليسي جو نالو 15. dot1x pae authentic 16-porte17. ڏيکاريو تصديق سيشن انٽرفيس انٽرفيس-id 18. ڏيکاريو تصديق سيشن انٽرفيس انٽرفيس-id تفصيل ڏيکاريو 19. ڏيکاريو macsec انٽرفيس انٽرفيس-id 20. ڏيکاريو mka سيشن 21. copy run-config startup-config

تفصيلي قدم

قدم 1

حڪم يا عمل فعال ڪريو Exampاليزي:
تبديل ڪريو> چالو ڪريو

مقصد
امتيازي EXEC موڊ کي فعال ڪري ٿو. پاسورڊ داخل ڪريو جيڪڏهن اشارو ڪيو وڃي.

قدم 2

ٽرمينل ترتيب ڏيو Exampاليزي:
سوئچ> ٽرمينل ترتيب ڏيو

گلوبل ڪنفيگريشن موڊ داخل ڪريو.

قدم 3

انٽرفيس انٽرفيس-id

MACsec انٽرفيس جي سڃاڻپ ڪريو، ۽ انٽرفيس جي ترتيب واري موڊ ۾ داخل ڪريو. انٽرفيس هڪ جسماني انٽرفيس هجڻ گهرجي.

قدم 4

سوئچ پورٽ جي رسائي vlan vlan-id

بندرگاهه لاءِ VLAN جي رسائي کي ترتيب ڏيو.

قدم 5

سوئچ پورٽ موڊ تائين رسائي

انٽرفيس کي رسائي پورٽ جي طور تي ترتيب ڏيو.

قدم 6

ميڪسڪ

انٽرفيس تي 802.1ae MACsec کي فعال ڪريو. macsec ڪمانڊ MKA MACsec کي صرف سوئچ کان ميزبان لنڪس (ڊائون لنڪ بندرگاهن) تي فعال ڪري ٿو.

قدم 7

تصديق واري واقعي جي لنڪ سيڪ ناڪام عمل کي اختيار ڏيڻ vlan (اختياري) بيان ڪريو ته سوئچ تصديق جي عمل کي انجام ڏئي ٿو

vlan-id

اڻ ڄاتل استعمال ڪندڙ جي نتيجي ۾ لنڪ-سيڪيورٽي ناڪامي

بندرگاهه تي هڪ محدود VLAN کي اختيار ڪندي سندون

هڪ ناڪام تصديق جي ڪوشش کان پوء.

قدم 8

تصديق ميزبان موڊ ملٽي ڊومين

802.1x-اختيار ٿيل بندرگاهن تي ميزبان ۽ آواز جي ڊوائيس ٻنهي جي تصديق ڪرڻ جي اجازت ڏيڻ لاء پورٽ تي تصديق ڪندڙ مئنيجر موڊ کي ترتيب ڏيو. جيڪڏهن ترتيب نه ڏني وئي آهي، ڊفالٽ ميزبان موڊ اڪيلو آهي.

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 12

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

هڪ انٽرفيس تي MACsec ترتيب ڏيڻ

مرحلا 9 مرحلا 10 قدم 11 قدم 12 قدم 13
قدم 14
قدم 15 قدم 16
قدم 17
مرحلا 18 مرحلا 19 قدم 20 قدم 21 قدم 22

حڪم يا عمل جي تصديق لنڪ سيڪ پاليسي لازمي طور تي محفوظ آهي

مقصد
سيٽ ڪريو LinkSec سيڪيورٽي پاليسي MACsec سان سيشن کي محفوظ ڪرڻ لاءِ جيڪڏهن پير صاحب موجود آهي. جيڪڏهن مقرر نه ڪيو وڃي، ڊفالٽ محفوظ هجڻ گهرجي.

تصديق پورٽ ڪنٽرول آٽو

بندرگاهن تي 802.1x جي تصديق کي فعال ڪريو. پورٽ سوئچ ۽ ڪلائنٽ جي وچ ۾ تصديق جي بدلي جي بنياد تي بااختيار يا غير مجاز رياست ۾ تبديل ڪري ٿو.

تصديق جي مدت

هن بندرگاهه لاءِ ٻيهر تصديق کي فعال يا غير فعال ڪريو.

تصديق ڪرڻ وارو ٽائيم ٻيهر تصديق ڪرڻ

1 ۽ 65535 جي وچ ۾ قدر داخل ڪريو (سڪينڊن ۾). سرور کان ٻيهر تصديق واري وقت جي قيمت حاصل ڪري ٿي. ڊفالٽ ٻيهر تصديق جو وقت 3600 سيڪنڊ آهي.

تصديق جي خلاف ورزي جي حفاظت

بندرگاهه کي ترتيب ڏيو غير متوقع طور تي ايندڙ MAC ايڊريس ڇڏڻ لاءِ جڏهن هڪ نئون ڊوائيس بندرگاهه سان ڳنڍي ٿو يا جڏهن هڪ ڊوائيس بندرگاهه سان ڳنڍي ٿي پوءِ وڌ کان وڌ ڊوائيسز ان بندرگاهه سان ڳنڍيل آهن. جيڪڏهن ترتيب نه ڏني وئي آهي، ڊفالٽ بندرگاهن کي بند ڪرڻ آهي.

mka پاليسي پاليسي جو نالو

انٽرفيس تي موجوده MKA پروٽوڪول پاليسي لاڳو ڪريو، ۽ انٽرفيس تي MKA کي فعال ڪريو. جيڪڏهن ڪا MKA پاليسي ترتيب نه ڏني وئي هئي (مڪي پاليسي گلوبل ڪنفيگريشن ڪمان داخل ڪندي).

dot1x pae تصديق ڪندڙ

بندرگاهه کي 802.1x پورٽ رسائي ادارو (PAE) تصديق ڪندڙ طور ترتيب ڏيو.

اسپيننگ ٽري پورٽ فاسٽ

انٽرفيس تي سڀني لاڳاپيل VLANs ۾ اسپننگ ٽري پورٽ فاسٽ کي فعال ڪريو. جڏهن پورٽ فاسٽ فيچر کي فعال ڪيو ويندو آهي، انٽرفيس سڌو سنئون بلاڪنگ اسٽيٽ کان فارورڊنگ اسٽيٽ ۾ تبديل ٿي ويندو آهي بغير وچولي اسپننگ-ٽري اسٽيٽ ۾ تبديليون ڪرڻ جي.

ختم Exampاليزي:
تبديل ڪريو (config) # آخر

امتيازي EXEC موڊ ڏانهن واپسي.

ڏيکاريو تصديق سيشن انٽرفيس انٽرفيس-id

تصديق ٿيل سيشن سيڪيورٽي اسٽيٽس جي تصديق ڪريو.

ڏيکاريو تصديق سيشن انٽرفيس انٽرفيس-id تفصيلات جي تصديق ڪريو تصديق ٿيل سيشن جي سيڪيورٽي اسٽيٽس جي تفصيل.

ڏيکاريو macsec انٽرفيس انٽرفيس-id

انٽرفيس تي MacSec اسٽيٽس جي تصديق ڪريو.

mka سيشن ڏيکاريو

قائم ڪيل mka سيشن جي تصديق ڪريو.

ڪاپي run-config startup-config Exampاليزي:
مٽايو#copy run-config startup-config

(اختياري) توهان جي داخلا کي ترتيب ۾ محفوظ ڪري ٿو file.

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 13

پري شيئر ڪيل ڪي (PSK) استعمال ڪندي MACsec MKA ترتيب ڏيڻ

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

پري شيئر ڪيل ڪي (PSK) استعمال ڪندي MACsec MKA ترتيب ڏيڻ

خلاصو قدم

1. ٽرمينل کي ترتيب ڏيو 2. ڪيئي زنجير key-chain-name macsec 3. key hex-string 4. cryptographic-algorithm {gcm-aes-128 | gcm-aes-256} 5. key-string { [0|6|7] pwd-string | pwd-string} 6. لائف ٽائيم مقامي [شروعاتي وقتamp {hh::mm::ss | ڏينهن | مهينو | سال}] [مدت سيڪنڊ | آخري وقتamp
{hh::mm::ss | ڏينهن | مهينو | سال}] 7. آخر

تفصيلي قدم

قدم 1

ڪمانڊ يا ايڪشن ڪنفيگر ٽرمينل

قدم 2 اهم زنجير ڪي-چين-نالو ميڪسيڪ

قدم 3 اهم هيڪس اسٽرنگ

مقصد عالمي ترتيب واري موڊ ۾ داخل ڪريو.

ڪنجي زنجير کي ترتيب ڏئي ٿو ۽ داخل ڪري ٿو ڪيچين جي ترتيب واري موڊ ۾.

ڪيچين ۾ هر ڪنجي لاءِ هڪ منفرد سڃاڻپ ڪندڙ ترتيب ڏئي ٿو ۽ ڪيچين جي ڪنجي ترتيب واري موڊ ۾ داخل ٿئي ٿو.

نوٽ

128-bit encryption لاءِ، 32 hex digit استعمال ڪريو

اهم تار. 256-bit انڪرپشن لاءِ، 64 هيڪس استعمال ڪريو

digit key-string.

مرحلا 4 مرحلا 5 مرحلا 6 مرحلا 7

cryptographic-algorithm {gcm-aes-128 | gcm-aes-256} 128-bit يا 256-bit انڪريپشن سان cryptographic authentication algorithm سيٽ ڪريو.

key-string { [0|6|7] pwd-string | pwd-string}

ڪيئي اسٽرنگ لاءِ پاسورڊ سيٽ ڪريو. صرف هيڪس اکر داخل ٿيڻ گهرجن..

lifetime local [شروعاتي وقتamp {hh::mm::ss | ڏينهن | مهينو اڳي شيئر ڪيل چاٻي جي حياتي مقرر ڪري ٿو. | سال}] [مدت سيڪنڊ | آخري وقتamp {hh::mm::ss | ڏينهن | مهينو | سال}]

پڄاڻي

امتيازي EXEC موڊ ڏانهن واپسي.

Example
هيٺ ڏنل هڪ اشارو آهي exampاليزي:
سوئچ(ڪانفگ)# ڪيچ چين ڪيچين 1 ميڪسيڪ سوئچ(config-key-chain)# key 1000 Switch(config-keychain-key)# cryptographic-algorithm gcm-aes-128 سوئچ(config-keychain-key)# ڪيئي اسٽرنگ 12345678901234567890123456789012 سوئچ(config-keychain-key)# لائف ٽائيم مقامي 12:12:00 جولاءِ 28 2016 12:19:00 جولاءِ 28 2016 سوئچ(config-keychain-key)# آخر

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 14

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

PSK استعمال ڪندي هڪ انٽرفيس تي MACsec MKA ترتيب ڏيڻ

PSK استعمال ڪندي هڪ انٽرفيس تي MACsec MKA ترتيب ڏيڻ

نوٽ سيشنن ۾ ٽرئفڪ جي گھٽتائي کان بچڻ لاءِ، mka پاليسي ڪمانڊ کي mka pre-shared-key key-chain ڪمانڊ کان اڳ ترتيب ڏيڻ گھرجي.

خلاصو قدم

1. ٽرمينل ترتيب ڏيو 2. انٽرفيس انٽرفيس-id 3. macsec access-control {لازمي-محفوظ | should-secure} 4. macsec 5. mka پاليسي پاليسي-نالو 6. mka pre-shared-key-key-chan key-chain name 7. macsec replay-protection window-size frame number 8. end

تفصيلي قدم

قدم 1

ڪمانڊ يا ايڪشن ڪنفيگر ٽرمينل

قدم 2 انٽرفيس انٽرفيس-id

قدم 3 ميڪسيڪ رسائي ڪنٽرول {لازمي محفوظ | محفوظ هجڻ گهرجي}

مقصد
گلوبل ڪنفيگريشن موڊ داخل ڪريو.
انٽرفيس جي ترتيب واري موڊ ۾ داخل ٿيو.
(اختياري) غير انڪوڊ ٿيل پيڪٽس جي رويي کي سنڀاليندو آهي.
· محفوظ ٿيڻ گهرجي: غير انڪوڊ ٿيل ٽرئفڪ کي وهڻ جي اجازت ڏئي ٿي جيستائين MKA ​​سيشن محفوظ نه ٿئي. MKA سيشن محفوظ ٿيڻ کان پوء، صرف انڪوڊ ٿيل ٽرئفڪ وهي سگھي ٿو.
· لازمي-محفوظ: لاڳو ٿئي ٿو ته صرف MACsec انڪرپٽ ٿيل ٽرئفڪ وهي سگھي ٿي. تنهن ڪري، جيستائين ايم ڪيو سي سيشن محفوظ آهي، ٽرئفڪ کي ختم ڪيو ويو آهي.

مرحلا 4 مرحلا 5 قدم 6 قدم 7 قدم 8

macsec mka پاليسي پاليسي-نالو mka اڳ-شيئر ٿيل-ڪي-چين ڪي-زنجي جو نالو macsec ريپلي-تحفظ ونڊو-سائيز فريم نمبر آخر

انٽرفيس تي MACsec کي فعال ڪري ٿو. MKA پاليسي ترتيب ڏئي ٿي. هڪ MKA اڳئين شيئر ڪيل ڪيئي-چين جو نالو ترتيب ڏئي ٿو. ريپلي تحفظ لاءِ MACsec ونڊو سائيز کي سيٽ ڪري ٿو. امتيازي EXEC موڊ ڏانهن واپسي.

Example
هيٺيون سابقample هڪ MKA پاليسي ۽ هڪ MKA پري شيئر ڪيل ڪيئي-چين جو نالو ترتيب ڏئي ٿو، ۽ ريپلي تحفظ لاءِ MACsec ونڊو سائيز کي سيٽ ڪري ٿو:

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 15

سرٽيفڪيٽ جي بنياد تي MACsec ترتيب ڏيڻ

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

سوئچ(config)# انٽرفيس GigabitEthernet 1/1 سوئچ(config-if)# mka پاليسي mka_policy سوئچ(config-if)# mka pre-shared-key key-chain key-chain-name Switch(config-if)# macsec replay -تحفظ ونڊو-سائيز 10 سوئچ (config-if) # آخر
نوٽ MKA PSK ترتيب ڏنل انٽرفيس تي MKA پاليسي کي تبديل ڪرڻ جي سفارش نه ڪئي وئي آهي جڏهن سيشن هلندي آهي. تنهن هوندي، جيڪڏهن ڪا تبديلي گهربل هجي، توهان کي لازمي طور تي پاليسي کي ٻيهر ترتيب ڏيڻ گهرجي: 1. هر هڪ حصو وٺندڙ نوڊس تي macsec ترتيب کي ختم ڪندي موجوده سيشن کي غير فعال ڪريو no macsec ڪمانڊ استعمال ڪندي. 2. MKA پاليسي کي ترتيب ڏيو انٽرفيس تي هر حصو وٺندڙ نوڊس تي mka پاليسي پاليسي نالي ڪمانڊ استعمال ڪندي. 3. ميڪسيڪ ڪمانڊ استعمال ڪندي هر حصو وٺندڙ نوڊ تي نئين سيشن کي فعال ڪريو.
هيٺيون سابقamples ڏيکاريو ته انٽرفيس کي ڪيئن ترتيب ڏيڻ لاءِ استعمال ڪرڻ لاءِ ڊفالٽ لازمي-محفوظ جي بدران استعمال ڪرڻ گهرجي ۽ ڪيئن ان کي واپس ڊفالٽ لازمي محفوظ ۾ تبديل ڪجي.
نوٽ تبديل ڪرڻ جي رسائي-ڪنٽرول جي اجازت نه آهي جڏهن سيشن ختم ۽ هلندڙ آهي. توھان کي پھريون ضرورت آھي MACsec configuration کي ختم ڪرڻ سان no macsec ڪمانڊ استعمال ڪندي، ۽ پوءِ ترتيب ڏيو رسائي ڪنٽرول.
Exampلي 1: لازمي-محفوظ کان لازمي-محفوظ ڪرڻ لاءِ:
سوئچ(config-if)#no macsec Switch(config-if)#macsec access-control should-secure Switch(config-if)#macsec // هي لازمي-محفوظ کان رسائي-ڪنٽرول کي مٽائي ٿو ۽ ميڪسيڪ سيشن کي نئين سان ٻيهر شروع ڪري ٿو. رويي.
Example 2: تبديل ڪرڻ گهرجي-محفوظ کان لازمي-محفوظ ڏانهن:
سوئچ (config-if)#no macsec Switch(config-if)#no macsec access-control Switch(config-if)#macsec
سرٽيفڪيٽ جي بنياد تي MACsec ترتيب ڏيڻ
MACsec کي MKA سان پوائنٽ-ٽو-پوائنٽ لنڪس تي ترتيب ڏيڻ لاءِ، ھي ڪم انجام ڏيو: · اهم جوڙو ٺاھيو · SCEP استعمال ڪندي اندراج کي ترتيب ڏيڻ · دستي طور تي اندراج کي ترتيب ڏيڻ · سوئچ-کي-سوئچ MACsec انڪريپشن ترتيب ڏيڻ، صفحي 23 تي

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 16

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

سرٽيفڪيٽ جي بنياد تي MACsec لاءِ شرطون

سرٽيفڪيٽ جي بنياد تي MACsec لاءِ شرطون
· پڪ ڪريو ته توهان وٽ سرٽيفڪيٽ اٿارٽي (CA) سرور توهان جي نيٽ ورڪ لاءِ ترتيب ڏنل آهي. · ٺاھيو CA سرٽيفڪيٽ. · پڪ ڪريو ته توهان Cisco Identity Services Engine (ISE) ترتيب ڏنو آهي. · پڪ ڪريو ته 802.1x جي تصديق ۽ AAA توهان جي ڊوائيس تي ترتيب ڏنل آهن.

مکيه جوڙو پيدا ڪرڻ

خلاصو قدم

1. فعال ڪريو 2. ٽرمينل ترتيب ڏيو 3. crypto key generate rsa label label-name General-keys modulus size 4. end 5. ڏيکاريو تصديق سيشن انٽرفيس انٽرفيس-id

تفصيلي قدم

قدم 1

حڪم يا عمل فعال ڪريو Exampاليزي:
ڊوائيس> فعال ڪريو

مقصد امتيازي EXEC موڊ کي فعال ڪري ٿو. پنهنجو پاسورڊ داخل ڪريو، جيڪڏهن اشارو ڪيو وڃي.

قدم 2

ٽرمينل ترتيب ڏيو Exampاليزي:
ڊوائيس # ٽرمينل ترتيب ڏيو

گلوبل ترتيب واري موڊ ۾ داخل ٿيو.

قدم 3

crypto key generate rsa label label-name General-keys modulus size
Exampاليزي:
ڊيوائس(config)# crypto key generate rsa ليبل جنرل-ڪيز ماڊلس 2048

سائن ان ۽ انڪرپشن لاءِ آر ايس اي ڪي جوڙو ٺاهي ٿو.
توھان پڻ ڪري سگھو ٿا ليبل تفويض ڪريو ھر ھڪڙي جوڙي لاءِ ليبل ڪي ورڊ استعمال ڪندي. ليبل اعتماد واري نقطي جي حوالي ڪيو ويو آهي جيڪو استعمال ڪري ٿو اهم جوڙو. جيڪڏهن توهان هڪ ليبل تفويض نه ڪيو، اهم جوڙو خودڪار طور تي ليبل ٿيل آهي .
جيڪڏهن توهان اضافي لفظ استعمال نٿا ڪريو ته هي حڪم هڪ عام مقصد RSA ڪي جوڙو ٺاهي ٿو. جيڪڏهن ماڊل وضاحت نه ڪئي وئي آهي، 1024 جو ڊفالٽ ڪي ماڊل استعمال ڪيو ويندو آهي. توھان وضاحت ڪري سگھو ٿا ٻين ماڊيولس جي سائزن کي modulus لفظ سان.

قدم 4

ختم Exampاليزي:
ڊوائيس (config) # آخر

گلوبل ڪنفيگريشن موڊ مان نڪرندو آھي ۽ امتيازي EXEC موڊ ڏانھن موٽندو آھي.

قدم 5

ڏيکاريو تصديق سيشن انٽرفيس انٽرفيس-id Exampاليزي:

بااختيار سيشن سيڪيورٽي اسٽيٽس جي تصديق ڪري ٿي.

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 17

SCEP استعمال ڪندي داخلا کي ترتيب ڏيڻ

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

حڪم يا عمل
ڊوائيس # ڏيکاريو تصديق سيشن انٽرفيس gigabitethernet 0/1/1

مقصد

SCEP استعمال ڪندي داخلا کي ترتيب ڏيڻ
Simple Certificate Enrollment Protocol (SCEP) ھڪڙو سسڪو-ترقي يافته داخلا پروٽوڪول آھي جيڪو HTTP کي استعمال ڪري ٿو سرٽيفڪيشن اٿارٽي (CA) يا رجسٽريشن اٿارٽي (RA) سان رابطو ڪرڻ لاءِ. درخواستون ۽ سرٽيفڪيٽ موڪلڻ ۽ وصول ڪرڻ لاءِ SCEP سڀ کان عام استعمال ٿيل طريقو آهي.

مرحلا 1 مرحلا 2 مرحلا 3 مرحلا 4
مرحلا 5 مرحلا 6 مرحلا 7 مرحلا 8

عمل

حڪم يا عمل فعال ڪريو Exampاليزي:
ڊوائيس> فعال ڪريو

مقصد امتيازي EXEC موڊ کي فعال ڪري ٿو. پنهنجو پاسورڊ داخل ڪريو، جيڪڏهن اشارو ڪيو وڃي.

ٽرمينل ترتيب ڏيو Exampاليزي:
ڊوائيس # ٽرمينل ترتيب ڏيو

گلوبل ترتيب واري موڊ ۾ داخل ٿيو.

crypto pki Trustpoint سرور جو نالو Exampاليزي:
ڊيوائس(config)# crypto pki Trustpoint ka

ٽرسٽ پوائنٽ ۽ ڏنل نالو جو اعلان ڪري ٿو ۽ داخل ٿئي ٿو ca-trustpoint configuration mode.

داخلا url url نالو پيم
Exampاليزي:
ڊوائيس (ca-trustpoint) # داخلا url http://url:80

وضاحت ڪري ٿو ته URL CA جو جنهن تي توهان جي ڊوائيس کي سرٽيفڪيٽ درخواستون موڪلڻ گهرجن.
هڪ IPv6 ايڊريس ۾ شامل ڪري سگھجي ٿو URL brackets ۾ بند. مثال طورample: http:// [2001:DB8:1:1::1]:80.
pem لفظ شامل ڪري ٿو رازداري-بهتر ميل (PEM) حدون سرٽيفڪيٽ جي درخواست ۾.

rsakeypair ليبل

بيان ڪري ٿو ته ڪهڙو اهم جوڙو سرٽيفڪيٽ سان لاڳاپيل آهي.

Exampاليزي:

نوٽ

ڊوائيس (ca-trustpoint) # rsakeypair exampleCAkeys

rsakeypair جو نالو ڀروسي واري نقطي جي نالي سان ملڻ گھرجي.

سيريل نمبر ڪو نه Exampاليزي:
ڊوائيس (ca-trustpoint) # سيريل نمبر ڪو به نه
ip-address none exampاليزي:
ڊوائيس (ca-trustpoint) # ip-address none
منسوخي-چڪ crl Exampاليزي:

ڪو به لفظ بيان ڪري ٿو ته هڪ سيريل نمبر سرٽيفڪيٽ جي درخواست ۾ شامل نه ڪيو ويندو.
ڪو به لفظ بيان ڪري ٿو ته سرٽيفڪيٽ جي درخواست ۾ ڪوبه IP پتو شامل نه ڪيو وڃي.
CRL کي طريقي سان بيان ڪري ٿو انهي کي يقيني بڻائڻ لاءِ ته پير صاحب جي سرٽيفڪيٽ کي رد نه ڪيو ويو آهي.

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 18

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

دستي طور تي اندراج کي ترتيب ڏيڻ

قدم 9
مرحلا 10 مرحلا 11 مرحلا 12 مرحلا 13

حڪم يا عمل
ڊيوائس(ca-trustpoint)# revocation-check crl

مقصد

خودڪار داخلا في سيڪڙو ٻيهر پيدا ڪرڻ

خودڪار داخلا کي فعال ڪري ٿو، ڪلائنٽ کي اجازت ڏئي ٿو

Exampاليزي:

خودڪار طريقي سان CA کان رول اوور سرٽيفڪيٽ جي درخواست ڪريو.

Device(ca-trustpoint)# auto-enroll 90 regenerate جيڪڏهن خودڪار داخلا فعال نه آهي، ڪلائنٽ کي لازمي طور تي سرٽيفڪيٽ تي توهان جي PKI ۾ ٻيهر داخل ٿيڻ گهرجي

ختم ٿيڻ.

ڊفالٽ طور، صرف ڊومين نالو سسٽم (DNS) ڊوائيس جو نالو سرٽيفڪيٽ ۾ شامل آهي.

استعمال ڪريو فيصد دليل بيان ڪرڻ لاءِ ته فيصد کان پوءِ نئين سند جي درخواست ڪئي وينديtagموجوده سرٽيفڪيٽ جي حياتيء جو اي پهچي ويو آهي.

سرٽيفيڪيٽ لاءِ نئين ڪيچ پيدا ڪرڻ لاءِ ريجنريٽ ڪي ورڊ استعمال ڪريو جيتوڻيڪ نالي واري ڪيئي اڳ ۾ ئي موجود آهي.

جيڪڏھن چاٻي جو جوڙو گھمايو پيو وڃي برآمد ٿي سگھي ٿو، نئون ڪي جوڙو پڻ برآمد ٿي سگھي ٿو. هيٺ ڏنل تبصرو اعتماد واري پوائنٽ جي ترتيب ۾ ظاهر ٿيندو ته ڇا اهم جوڙو برآمد ڪرڻ لائق آهي: “! اعتماد واري نقطي سان لاڳاپيل RSA اهم جوڙو برآمد قابل آهي.

اها صلاح ڏني وئي آهي ته حفاظتي سببن لاءِ هڪ نئون اهم جوڙو ٺاهيو وڃي.

نڪرڻ Exampاليزي:
ڊوائيس (ca-trustpoint) # نڪرڻ

ca-trustpoint configuration mode مان نڪرندو آھي ۽ گلوبل ڪنفيگريشن موڊ ڏانھن موٽندو آھي.

crypto pki تصديق ڪندڙ نالو Exampاليزي:
ڊيوائس(config)# crypto pki تصديق ڪريو myca

CA سرٽيفڪيٽ حاصل ڪري ٿو ۽ ان جي تصديق ڪري ٿو.

ختم Exampاليزي:
ڊوائيس (config) # آخر

گلوبل ڪنفيگريشن موڊ مان نڪرندو آھي ۽ امتيازي EXEC موڊ ڏانھن موٽندو آھي.

ڏيکاريو crypto pki سرٽيفڪيٽ ٽرسٽ پوائنٽ جو نالو Exampاليزي:
ڊوائيس # ڏيکاريو crypto pki سرٽيفڪيٽ ڪا

اعتماد واري نقطي لاء سرٽيفڪيٽ بابت معلومات ڏيکاري ٿو.

دستي طور تي اندراج کي ترتيب ڏيڻ
جيڪڏهن توهان جو CA SCEP کي سپورٽ نٿو ڪري يا جيڪڏهن روٽر ۽ CA جي وچ ۾ نيٽ ورڪ ڪنيڪشن ممڪن ناهي. دستي سرٽيفڪيٽ جي داخلا قائم ڪرڻ لاءِ هيٺين ڪم کي انجام ڏيو:

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 19

دستي طور تي اندراج کي ترتيب ڏيڻ

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

مرحلا 1 مرحلا 2 مرحلا 3 مرحلا 4
قدم 5 قدم 6 قدم 7 قدم 8 قدم 9 قدم 10 قدم XNUMX

عمل

حڪم يا عمل فعال ڪريو Exampاليزي:
ڊوائيس> فعال ڪريو

مقصد امتيازي EXEC موڊ کي فعال ڪري ٿو. پنهنجو پاسورڊ داخل ڪريو، جيڪڏهن اشارو ڪيو وڃي.

ٽرمينل ترتيب ڏيو Exampاليزي:
ڊوائيس # ٽرمينل ترتيب ڏيو

گلوبل ترتيب واري موڊ ۾ داخل ٿيو.

crypto pki Trustpoint سرور جو نالو Exampاليزي:
ڊوائيس # crypto pki ٽرسٽ پوائنٽ ڪي

ٽرسٽ پوائنٽ ۽ ڏنل نالو جو اعلان ڪري ٿو ۽ داخل ٿئي ٿو ca-trustpoint configuration mode.

داخلا url url-نالو
Exampاليزي:
ڊوائيس (ca-trustpoint) # داخلا url http://url:80

وضاحت ڪري ٿو ته URL CA جو جنهن تي توهان جي ڊوائيس کي سرٽيفڪيٽ درخواستون موڪلڻ گهرجن.
هڪ IPv6 ايڊريس ۾ شامل ڪري سگھجي ٿو URL brackets ۾ بند. مثال طورample: http:// [2001:DB8:1:1::1]:80.
pem لفظ شامل ڪري ٿو رازداري-بهتر ميل (PEM) حدون سرٽيفڪيٽ جي درخواست ۾.

rsakeypair ليبل

بيان ڪري ٿو ته ڪهڙو اهم جوڙو سرٽيفڪيٽ سان لاڳاپيل آهي.

Exampاليزي:
ڊوائيس (ca-trustpoint) # rsakeypair exampleCAkeys

سيريل نمبر ڪو نه Exampاليزي:
ڊوائيس (ca-trustpoint) # سيريل نمبر ڪو به نه

بيان ڪري ٿو ته سيريل نمبر سرٽيفڪيٽ جي درخواست ۾ شامل نه ڪيا ويندا.

ip-address none exampاليزي:
ڊوائيس (ca-trustpoint) # ip-address none

ڪو به لفظ بيان ڪري ٿو ته سرٽيفڪيٽ جي درخواست ۾ ڪوبه IP پتو شامل نه ڪيو وڃي.

منسوخي-چڪ crl Exampاليزي:
ڊيوائس(ca-trustpoint)# revocation-check crl

CRL کي طريقي سان بيان ڪري ٿو انهي کي يقيني بڻائڻ لاءِ ته پير صاحب جي سرٽيفڪيٽ کي رد نه ڪيو ويو آهي.

نڪرڻ Exampاليزي:
ڊوائيس (ca-trustpoint) # نڪرڻ

ca-trustpoint configuration mode مان نڪرندو آھي ۽ گلوبل ڪنفيگريشن موڊ ڏانھن موٽندو آھي.

crypto pki تصديق ڪندڙ نالو Exampاليزي:
ڊيوائس(config)# crypto pki تصديق ڪريو myca

CA سرٽيفڪيٽ حاصل ڪري ٿو ۽ ان جي تصديق ڪري ٿو.

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 20

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

802.1x جي تصديق کي فعال ڪرڻ ۽ AAA ترتيب ڏيڻ

قدم 11 قدم 12
قدم 13 قدم 14

ڪمانڊ يا ايڪشن crypto pki enroll جو نالو Exampاليزي:
Device(config)# crypto pki enroll myca

مقصد
سرٽيفڪيٽ جي درخواست ٺاهي ٿو ۽ سرٽيفڪيٽ سرور ۾ ڪاپي ۽ پيسٽ ڪرڻ جي درخواست ڏيکاري ٿو.
داخلا جي معلومات داخل ڪريو جڏھن توھان کي اشارو ڪيو وڃي. مثال طورample، وضاحت ڪريو ته ڇا ڊوائيس FQDN ۽ IP پتي کي سرٽيفڪيٽ جي درخواست ۾ شامل ڪيو وڃي.
توهان کي اختيار پڻ ڏنو ويو آهي ته سرٽيفڪيٽ جي درخواست ڪنسول ٽرمينل ڏانهن ڏيکارڻ بابت.
بيس-64 انڪوڊ ٿيل سرٽيفڪيٽ PEM هيڊرز سان گڏ يا ان کان سواءِ جيئن درخواست ڪئي وئي ڏيکاريل آهي.

crypto pki درآمد جو نالو سرٽيفڪيٽ

ڪنسول ٽرمينل تي TFTP ذريعي هڪ سرٽيفڪيٽ درآمد ڪري ٿو،

Exampاليزي:

جيڪو حاصل ڪيل سرٽيفڪيٽ حاصل ڪري ٿو.

Device(config)# crypto pki import myca Certificate ھي ڊوائيس ڪوشش ڪري ٿو حاصل ڪيل سرٽيفڪيٽ کي TFTP ذريعي ساڳيو استعمال ڪندي fileدرخواست موڪلڻ لاءِ استعمال ٿيل نالو،

سواءِ ايڪسٽينشن کي ”.req“ مان ”.crt“ ۾ تبديل ڪيو ويو آهي. لاءِ

استعمال ڪيئي سرٽيفڪيٽ، ايڪسٽينشن ”-sign.crt“ ۽

"-encr.crt" استعمال ٿيل آهن.

ڊوائيس حاصل ڪيل کي پارس ڪري ٿو files، سرٽيفڪيٽن جي تصديق ڪري ٿو، ۽ سوئچ تي اندروني سرٽيفڪيٽ ڊيٽابيس ۾ سرٽيفڪيٽ داخل ڪري ٿو.

نوٽ

ڪجهه CAs استعمال جي اهم معلومات کي نظرانداز ڪن ٿا

سرٽيفڪيٽ جي درخواست ۾ ۽ عام مسئلو

مقصد جي استعمال جي سرٽيفڪيٽ. جيڪڏهن توهان جو CA نظر انداز ڪري ٿو

سرٽيفڪيٽ ۾ استعمال جي اهم معلومات

درخواست، صرف عام مقصد درآمد ڪريو

سرٽيفڪيٽ. روٽر انهن مان هڪ کي استعمال نه ڪندو

ٻه اهم جوڙو ٺاهيل.

ختم Exampاليزي:
ڊوائيس (config) # آخر
ڏيکاريو crypto pki سرٽيفڪيٽ ٽرسٽ پوائنٽ جو نالو Exampاليزي:
ڊوائيس # ڏيکاريو crypto pki سرٽيفڪيٽ ڪا

گلوبل ڪنفيگريشن موڊ مان نڪرندو آھي ۽ امتيازي EXEC موڊ ڏانھن موٽندو آھي.
اعتماد واري نقطي لاء سرٽيفڪيٽ بابت معلومات ڏيکاري ٿو.

802.1x جي تصديق کي فعال ڪرڻ ۽ AAA ترتيب ڏيڻ

خلاصو قدم

1. فعال ڪريو 2. ٽرمينل ترتيب ڏيو 3. aaa نئون-ماڊل 4. dot1x system-auth-control

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 21

802.1x جي تصديق کي فعال ڪرڻ ۽ AAA ترتيب ڏيڻ

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

5. ريڊيس سرور جو نالو 6. ايڊريس ip-address auth-port port-number acct-port port-number 7. automate- tester username username 8. key string 9. radius-server deadtime minutes 10. exit 11. aaa گروپ سرور ريڊيس گروپ جو نالو 12. سرور جو نالو 13. نڪرڻ 14. aaa تصديق dot1x ڊفالٽ گروپ گروپ جو نالو 15. aaa اختيار ڪرڻ نيٽ ورڪ ڊفالٽ گروپ گروپ جو نالو

تفصيلي قدم

قدم 1

حڪم يا عمل فعال ڪريو Exampاليزي:
ڊوائيس> فعال ڪريو

مقصد امتيازي EXEC موڊ کي فعال ڪري ٿو. پنهنجو پاسورڊ داخل ڪريو جيڪڏهن اشارو ڪيو وڃي.

قدم 2

ٽرمينل ترتيب ڏيو Exampاليزي:
ڊوائيس # ٽرمينل ترتيب ڏيو

گلوبل ترتيب واري موڊ ۾ داخل ٿيو.

قدم 3

aaa نئون ماڊل Exampاليزي:
ڊوائيس (config) # aaa نئون ماڊل

AAA کي فعال ڪري ٿو.

قدم 4

dot1x system-auth-control Exampاليزي:
ڊوائيس (config) # dot1x سسٽم-آٿ-ڪنٽرول

توهان جي ڊوائيس تي 802.1X کي فعال ڪري ٿو.

قدم 5

ريڊيس سرور جو نالو Exampاليزي:
ڊوائيس (config) # ريڊيس سرور ISE

RADIUS سرور جي تشڪيل جو نالو محفوظ ٿيل رسائي سند (PAC) جي فراهمي لاءِ بيان ڪري ٿو ۽ RADIUS سرور جي ترتيب واري موڊ ۾ داخل ٿئي ٿو.

قدم 6

پتو ip-address auth-port port-number acct-port port-number

IPv4 ايڊريس کي ترتيب ڏئي ٿو RADIUS سرور اڪائونٽنگ ۽ تصديق جي پيٽرولن لاءِ.

Exampاليزي:
ڊوائيس (config-radius-server) # ايڊريس ipv4 auth-port 4 acct-port 1645

قدم 7

automate- tester username username
Exampاليزي:
ڊيوائس(config-radius-server)# automate- tester username dummy

RADIUS سرور لاءِ خودڪار ٽيسٽنگ فيچر کي فعال ڪري ٿو.
هن مشق سان، ڊوائيس RADIUS سرور ڏانهن وقتي ٽيسٽ جي تصديق جا پيغام موڪلي ٿو. اهو سرور کان RADIUS جواب ڳولي ٿو. هڪ ڪاميابي

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 22

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

سوئچ-کي-سوئچ MACsec انڪرپشن کي ترتيب ڏيڻ

قدم 8 قدم 9 قدم 10 قدم 11 قدم 12 قدم 13 قدم 14 مرحلو 15 مرحلا XNUMX

حڪم يا عمل

مقصد
پيغام ضروري نه آهي - هڪ ناڪامي تصديق ڪافي آهي، ڇاڪاڻ ته اهو ڏيکاري ٿو ته سرور زنده آهي.

اهم تار Exampاليزي:
ڊيوائس(config-radius-server)# key dummy123

ڊوائيس ۽ RADIUS سرور جي وچ ۾ سڀني RADIUS ڪميونيڪيشن لاءِ تصديق ۽ انڪرپشن جي ڪنجي کي ترتيب ڏئي ٿو.

ريڊيس-سرور ڊيڊ ٽائيم منٽ
Exampاليزي:
ڊيوائس(config-radius-server)# ridius-server deadtime 2

RADIUS جوابي وقت کي بهتر بڻائي ٿو جڏهن ڪجهه سرورز دستياب نه هجن ۽ فوري طور تي غير دستياب سرور کي ڇڏي ڏين.

نڪرڻ Exampاليزي:
ڊيوائس(config-radius-server)# exit

عالمي ترتيب واري موڊ ڏانھن واپسي.

aaa گروپ سرور ريڊيس گروپ جو نالو Exampاليزي:
ڊوائيس (config) # aaa گروپ سرور ريڊيس ISEGRP

گروپ مختلف RADIUS سرور جي ميزبانن کي الڳ لسٽن ۽ الڳ طريقن ۾، ۽ سرور گروپ جي ترتيب واري موڊ ۾ داخل ٿئي ٿو.

سرور جو نالو Exampاليزي:
ڊوائيس (config-sg) # سرور جو نالو ISE

RADIUS سرور جو نالو تفويض ڪري ٿو.

نڪرڻ Exampاليزي:
ڊوائيس(config-sg)# نڪرڻ

عالمي ترتيب واري موڊ ڏانھن واپسي.

aaa جي تصديق dot1x ڊفالٽ گروپ گروپ نالو Exampاليزي:

IEEE 802.1x لاءِ ڊفالٽ تصديق ڪندڙ سرور گروپ سيٽ ڪري ٿو.

Device(config)# aaa تصديق dot1x ڊفالٽ گروپ ISEGRP

aaa اختيار نيٽ ورڪ ڊفالٽ گروپ گروپ نالو Exampاليزي:
aaa اختيار نيٽ ورڪ ڊفالٽ گروپ ISEGRP

نيٽ ورڪ اختيار ڪرڻ واري ڊفالٽ گروپ کي سيٽ ڪري ٿو.

سوئچ-کي-سوئچ MACsec انڪرپشن کي ترتيب ڏيڻ
MACsec MKA لاڳو ڪرڻ لاءِ سرٽيفڪيٽ تي ٻڌل MACsec انڪرپشن استعمال ڪندي انٽرفيس تي، ھيٺ ڏنل ڪم انجام ڏيو:

قدم 1

عمل حڪم يا عمل فعال

مقصد امتيازي EXEC موڊ کي فعال ڪري ٿو.

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 23

سوئچ-کي-سوئچ MACsec انڪرپشن کي ترتيب ڏيڻ

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

قدم 2 قدم 3 قدم 4 مرحلو 5 مرحلو 6 مرحلو 7 مرحلو 8 مرحلو 9 مرحلو 10 قدم 11 قدم XNUMX

حڪم يا عمل Exampاليزي:
ڊوائيس> فعال ڪريو

مقصد توھان جو پاسورڊ داخل ڪريو، جيڪڏھن اشارو ڪيو وڃي.

ٽرمينل ترتيب ڏيو Exampاليزي:
ڊوائيس # ٽرمينل ترتيب ڏيو

گلوبل ترتيب واري موڊ ۾ داخل ٿيو.

انٽرفيس انٽرفيس-ID Exampاليزي:
ڊيوائس(config)# انٽرفيس گيگا بائيٽٿرنيٽ 2/9

MACsec انٽرفيس کي سڃاڻي ٿو، ۽ انٽرفيس ڪنفيگريشن موڊ داخل ڪريو. انٽرفيس هڪ جسماني انٽرفيس هجڻ گهرجي.

macsec نيٽ ورڪ لنڪ Exampاليزي:
ڊيوائس(config-if)# macsec نيٽ ورڪ لنڪ

انٽرفيس تي MACsec کي فعال ڪري ٿو.

تصديق جي مدت Exampاليزي:
ڊيوائس(config-if)# تصديق جي مدت

(اختياري) هن بندرگاهه لاءِ ٻيهر تصديق کي فعال ڪري ٿو.

تصديق ڪرڻ وارو ٽائيم ٻيهر تصديق ڪرڻ وارو وقفو
Exampاليزي:
ڊيوائس (config-if) # تصديق واري ٽائمر ٻيهر تصديق ڪرڻ وارو وقفو

(اختياري) ٻيهر تصديق جي وقفي کي سيٽ ڪري ٿو.

رسائي-سيشن ميزبان موڊ ملٽي ميزبان
Exampاليزي:
ڊيوائس(config-if)# پهچ-سيشن ميزبان موڊ ملٽي ميزبان

ميزبانن کي انٽرفيس تائين رسائي حاصل ڪرڻ جي اجازت ڏئي ٿي.

رسائي-سيشن بند ٿيل Exampاليزي:
ڊيوائس(config-if)# رسائي-سيشن بند

انٽرفيس تي اڳواٽ تصديق جي رسائي کي روڪي ٿو.

رسائي-سيشن پورٽ-ڪنٽرول آٽو
Exampاليزي:
ڊوائيس (config-if) # رسائي-سيشن پورٽ-ڪنٽرول آٽو

ھڪڙي بندرگاھ جي اختيار واري حالت کي سيٽ ڪري ٿو.

dot1x pae ٻئي Exampاليزي:
ڊوائيس (config-if) # dot1x pae ٻئي

بندرگاهه کي 802.1X پورٽ رسائي ادارو (PAE) درخواست ڪندڙ ۽ تصديق ڪندڙ طور ترتيب ڏئي ٿو.

dot1x سند پروfile Exampاليزي:
ڊوائيس (config-if) # dot1x سند پروfile

تفويض ڪري ٿو 802.1x سندون پروfile انٽرفيس ڏانهن.

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 24

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

Example: سوئچ-کي-سوئچ سرٽيفڪيٽ جي بنياد تي MACsec

مرحلا 12 مرحلا 13 مرحلا 14 مرحلا 15

ڪمانڊ يا ايڪشن ختم Exampاليزي:
ڊوائيس (config-if) # آخر

مقصد
انٽرفيس جي ٺاھ جوڙ mdoe مان نڪرندو آھي ۽ امتيازي EXEC موڊ ڏانھن موٽندو آھي.

ڏيکاريو macsec انٽرفيس انٽرفيس-id

انٽرفيس لاءِ MACsec تفصيل ڏيکاري ٿو.

Exampاليزي:
ڊوائيس # ڏيکاريو ميڪسيڪ انٽرفيس GigabitEthernet 2/9

ڏيکاريو رسائي-سيشن انٽرفيس انٽرفيس-id تفصيل
Exampاليزي:
ڊوائيس # ڏيکاريو رسائي-سيشن انٽرفيس GigabitEthernet 2/9 تفصيل

ڪامياب dot1x جي تصديق ۽ اختيار جي تصديق ڪري ٿي. هي پهرين شيء آهي چيڪ ڪرڻ لاء. جيڪڏهن dot1x جي تصديق ناڪام ٿئي ٿي، ته پوءِ MKA ڪڏهن به شروع نه ٿيندو.

ڏيکاريو mka سيشن انٽرفيس انٽرفيس-id تفصيل

تفصيلي MKA سيشن اسٽيٽس ڏيکاري ٿو.

Exampاليزي:
ڊوائيس # ڏيکاريو mka سيشن انٽرفيس GigabitEthernet 2/9 تفصيل

Example: سوئچ-کي-سوئچ سرٽيفڪيٽ جي بنياد تي MACsec
هڪ سابقampswitch-to-switch سرٽيفڪيٽ جي ترتيب MACsec جي بنياد تي هيٺ ڏيکاريل آهي.
configure ٽرمينل aaa نئون-ماڊل aaa مقامي تصديق ڊفالٽ اختيار ڪرڻ ڊفالٽ! ! aaa جي تصديق dot1x ڊفالٽ گروپ ريڊيس مقامي aaa اختيار ڪرڻ exec ڊفالٽ مقامي aaa اختيار ڏيڻ نيٽ ورڪ ڊفالٽ گروپ ريڊيس لوڪل aaa اختيار ڪرڻ جو اختيار-پراڪسي ڊفالٽ گروپ ريڊيس aaa اختيار ڪرڻ جي سند-ڊاؤن لوڊ ڊفالٽ مقامي aaa اڪائونٽنگ شناخت ڊفالٽ شروعاتي اسٽاپ گروپ ريڊيس ! ! aaa خاصيت جي فهرست لازمي آهي
خاصيت جو قسم Linksec-پاليسي لازمي-محفوظ! aaa خاصيت جي فهرست macsec-dot1-credentials
خاصيت جو قسم Linksec-پاليسي لازمي-محفوظ! aaa خاصيت جي فهرست MUSTS_CA
خاصيت جو قسم Linksec-پاليسي لازمي-محفوظ! aaa خاصيت جي فهرست SHOULDS_CA
خاصيت جو قسم Linksec-پاليسي گهرجي-محفوظ! aaa خاصيت جي فهرست mkadt_CA
خاصيت جو قسم Linksec-پاليسي لازمي-محفوظ! aaa سيشن-id عام
يوزرنيم MUST aaa انتساب لسٽ MUSTS_CA يوزرنيم MUSTS.mkadt.cisco.com

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 25

پورٽ چينل لاءِ MKA/MACsec ترتيب ڏيڻ

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

crypto pki ٽرسٽ پوائنٽ ڊيمو داخلا ٽرمينل سيريل نمبر fqdn MUSTS.mkadt.cisco.com موضوع جو نالو cn=MUSTS.mkadt.cisco.com,OU=CSG Security,O=Cisco Systems,L=Bengaluru,ST=KA,C= IN
موضوع-alt-نالو MUSTS.mkadt.cisco.com رد ڪرڻ-چڪ ڪو نه rsakeypair ڊيمو 2048 hash sha256
ايپ پروfile EAP_P طريقو tls
pki-trustpoint demo
dot1x system-auth-control dot1x سندون MUSTS-CA
يوزر نالو MUST پاسورڊ 0 MUST_CA ! dot1x سندون MUSTS استعمال ڪندڙ جو نالو MUSTS.mkadt.cisco.comcrypto pki تصديق ڪندڙ ڊيم
crypto pki تصديق ڪريو crypto pki enroll demo crypto pki درآمد ڪريو ڊيمو سرٽيفڪيٽ
پاليسي-نقشي قسم ڪنٽرول سبسڪرائبر MUSTS_1 ايونٽ سيشن-شروع ٿيل ميچ-سڀ 10 ڪلاس هميشه ڪندا-جيستائين-ناڪام 10 dot1x استعمال ڪندي تصديق ڪريو ٻنهي واقعن جي تصديق-ناڪامي ميچ-سڀ 10 ڪلاس هميشه ڪندا-جيستائين-ناڪامي 10 ختم ڪريو dot1x 20 تصديق-آرام شروع ڪريو واقعي جي تصديق-ڪاميابي ميچ-سڀ 10 ڪلاس هميشه ڪندا-جيستائين-ناڪامي 10 چالو ڪريو سروس-ٽيمپليٽ DEFAULT_LINKSEC_POLICY_MUST_SECURE
انٽرفيس GigabitEthernet2/9 سوئچ پورٽ موڊ رسائي ميڪسيڪ رسائي-سيشن ميزبان موڊ ملٽي ميزبان رسائي-سيشن بند رسائي-سيشن پورٽ ڪنٽرول آٽو dot1x pae ٻئي dot1x تصديق ڪندڙ eap پروfile EAP_P dot1x سندون لازمي طور تي dot1x درخواست ڪندڙ eap profile EAP_P سروس-پاليسي قسم ڪنٽرول سبسڪرائبر MUSTS_1

پورٽ چينل لاءِ MKA/MACsec ترتيب ڏيڻ

PSK استعمال ڪندي پورٽ چينل لاءِ MKA/MACsec ترتيب ڏيڻ

خلاصو قدم

1. ٽرمينل ترتيب ڏيو 2. انٽرفيس انٽرفيس-id 3. macsec

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 26

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

Layer 2 EtherChannels لاءِ پورٽ چينل منطقي انٽرفيس ترتيب ڏيڻ

4. mka پاليسي پاليسي-نالو 5. mka pre-shared-key key-chain key-chain-name 6. چينل-گروپ چينل-گروپ-نمبر موڊ {فعال | غير فعال } | {تي} 7. آخر

تفصيلي قدم

قدم 1

ڪمانڊ يا ايڪشن ڪنفيگر ٽرمينل

قدم 2 انٽرفيس انٽرفيس-id

قدم 3 ميڪسيڪ

قدم 4 قدم 5

mka پاليسي پاليسي-نالو mka اڳ-شيئر ڪيل-ڪي-چين-ڪي-زنجي-نالو

مقصد عالمي ترتيب واري موڊ ۾ داخل ڪريو.

انٽرفيس جي ترتيب واري موڊ ۾ داخل ٿيو.

انٽرفيس تي MACsec کي فعال ڪري ٿو. پرت 2 ۽ پرت 3 پورٽ چينلز کي سپورٽ ڪري ٿو.

MKA پاليسي ترتيب ڏئي ٿي.

هڪ MKA اڳئين شيئر ڪيل ڪيئي-چين جو نالو ترتيب ڏئي ٿو.

نوٽ

MKA اڳئين شيئر ڪيل چيڪ ترتيب ڏئي سگھجي ٿو

يا ته فزيڪل انٽرفيس يا ذيلي انٽرفيس تي

۽ نه ٻنهي تي.

قدم 6

چينل-گروپ چينل-گروپ-نمبر موڊ {فعال | غير فعال } | {تي }

ھڪڙي چينل گروپ ۾ بندرگاھ کي ترتيب ڏئي ٿو ۽ موڊ سيٽ ڪري ٿو. چينل-نمبر جي حد 1 کان 4096 تائين آھي. ھن چينل گروپ سان لاڳاپيل بندرگاھ چينل خود بخود ٺاھيو ويندو آھي جيڪڏھن پورٽ چينل اڳ ۾ ئي موجود نه آھي. موڊ لاءِ، ھيٺين لفظن مان ھڪڙو چونڊيو:
· تي - بندرگاهن کي PAgP يا LACP کان سواءِ چينل تي مجبور ڪري ٿو. آن موڊ ۾، هڪ EtherChannel صرف موجود آهي جڏهن آن موڊ ۾ هڪ پورٽ گروپ آن موڊ ۾ ٻئي پورٽ گروپ سان ڳنڍيل آهي.
· فعال - LACP کي فعال ڪري ٿو صرف ان صورت ۾ جڏهن هڪ LACP ڊوائيس معلوم ٿئي ٿي. اهو بندرگاهن کي هڪ فعال ڳالهين واري حالت ۾ رکي ٿو جنهن ۾ بندرگاهه LACP پيڪٽ موڪلڻ ذريعي ٻين بندرگاهن سان ڳالهين شروع ڪري ٿو.
· غير فعال - LACP کي بندرگاهن تي فعال ڪري ٿو ۽ ان کي غير فعال ڳالهين واري حالت ۾ رکي ٿو، جنهن ۾ بندرگاهه LACP پيڪٽس جو جواب ڏئي ٿو جيڪو اهو حاصل ڪري ٿو، پر LACP پيڪٽ ڳالهين شروع نٿو ڪري.

قدم 7 ختم

امتيازي EXEC موڊ ڏانهن واپسي.

Layer 2 EtherChannels لاءِ پورٽ چينل منطقي انٽرفيس ترتيب ڏيڻ
هڪ پرت 2 EtherChannel لاءِ پورٽ چينل انٽرفيس ٺاهڻ لاءِ، هن ڪم کي انجام ڏيو:

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 27

Layer 3 EtherChannels لاءِ پورٽ چينل منطقي انٽرفيس ترتيب ڏيڻ

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

خلاصو قدم

1. ٽرمينل ترتيب ڏيو 2. [نه] انٽرفيس پورٽ-چينل چينل-گروپ-نمبر 3. سوئچ پورٽ 4. سوئچ پورٽ موڊ {رسائي | ٽرڪن } 5. آخر

تفصيلي قدم

قدم 1

ڪمانڊ يا ايڪشن ڪنفيگر ٽرمينل

قدم 2 [نه] انٽرفيس پورٽ-چينل چينل-گروپ-نمبر

مقصد عالمي ترتيب واري موڊ ۾ داخل ڪريو.

پورٽ چينل انٽرفيس ٺاهي ٿو.

نوٽ

حذف ڪرڻ لاءِ هن حڪم جو ڪوبه فارم استعمال ڪريو

پورٽ چينل انٽرفيس.

قدم 3 سوئچ پورٽ قدم 4 سوئچ پورٽ موڊ {رسائي | ٽرڪن } قدم 5 آخر

ھڪڙي انٽرفيس کي تبديل ڪري ٿو جيڪو پرت 3 موڊ ۾ آھي Layer 2 موڊ ۾ Layer 2 ترتيبن لاءِ.
ساڳئي VLAN ۾ سڀني بندرگاهن کي جامد رسائي واري بندرگاهن جي طور تي تفويض ڪري ٿو، يا انهن کي ٽرڪن جي طور تي ترتيب ڏيو.
امتيازي EXEC موڊ ڏانهن واپسي.

Layer 3 EtherChannels لاءِ پورٽ چينل منطقي انٽرفيس ترتيب ڏيڻ
هڪ پرت 3 EtherChannel لاءِ پورٽ چينل انٽرفيس ٺاهڻ لاءِ، هن ڪم کي انجام ڏيو:

خلاصو قدم

1. ٽرمينل ترتيب ڏيو 2. انٽرفيس پورٽ-چينل انٽرفيس-آءِ ڊي 3. ڪو سوئچ پورٽ 4. ip ايڊريس ip-address subnet_mask 5. آخر

تفصيلي قدم

قدم 1

ڪمانڊ يا ايڪشن ڪنفيگر ٽرمينل

قدم 2 انٽرفيس پورٽ چينل انٽرفيس-id

قدم 3 ڪوبه سوئچ پورٽ ناهي

قدم 4 قدم 5

ip ايڊريس ip-address subnet_mask آخر

مقصد عالمي ترتيب واري موڊ ۾ داخل ڪريو. انٽرفيس جي ترتيب واري موڊ ۾ داخل ٿيو. ھڪڙي انٽرفيس کي تبديل ڪري ٿو جيڪو پرت 2 موڊ ۾ آھي Layer 3 موڊ ۾ Layer 3 ترتيب لاءِ. EtherChannel ڏانهن هڪ IP پتو ۽ سب نيٽ ماسڪ تفويض ڪري ٿو. امتيازي EXEC موڊ ڏانهن واپسي.

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 28

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

Example: PSK استعمال ڪندي پورٽ چينل لاءِ MACsec MKA ترتيب ڏيڻ

Example: PSK استعمال ڪندي پورٽ چينل لاءِ MACsec MKA ترتيب ڏيڻ

Etherchannel موڊ - جامد / آن
هيٺ ڏنل آهي جيئنampڊيوائس 1 ۽ ڊيوائس 2 تي ترتيب ڏيڻ EtherChannel موڊ آن سان.
اهم زنجير KC macsec ڪي 1000 cryptographic-algorithm aes-128-cmac key-string FC8F5B10557C192F03F60198413D7D45 آخر
mka پاليسي پاليسي ڪي-سرور جي ترجيح 0 macsec-cipher-suite gcm-aes-128 رازداري-آفسيٽ 0 آخر
انٽرفيس Te1/0/1 چينل-گروپ 2 موڊ تي macsec mka پاليسي پاليسي mka پري-شيئر ڪيل ڪيئي-چين KC آخر
انٽرفيس Te1/0/2 چينل-گروپ 2 موڊ تي macsec mka پاليسي پاليسي mka پري-شيئر ڪيل ڪيئي-چين KC آخر
پرت 2 EtherChannel ترتيب
ڊوائيس 1
انٽرفيس پورٽ چينل 2 سوئچ پورٽ سوئچ پورٽ موڊ ٽرن ڪون شٽ ڊائون آخر
ڊوائيس 2
انٽرفيس پورٽ چينل 2 سوئچ پورٽ سوئچ پورٽ موڊ ٽرن ڪون شٽ ڊائون آخر
هيٺيون ڏيکاري ٿو جيئنample output of show etherchannel summary command.

پرچم: ڊي - هيٺ

P - پورٽ چينل ۾ بنڊل

مان - اڪيلو اڪيلو - معطل

H - گرم اسٽينڊ بائي (صرف LACP)

آر - پرت 3

S - پرت 2

U - استعمال ۾

f - مجموعي کي مختص ڪرڻ ۾ ناڪام ٿيو

M - استعمال ۾ نه آهي، گهٽ ۾ گهٽ لنڪ نه مليا آهن

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 29

Example: PSK استعمال ڪندي پورٽ چينل لاءِ MACsec MKA ترتيب ڏيڻ

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

u - بنڊلنگ لاءِ نا مناسب w - مجموعي ٿيڻ جو انتظار ڊي - ڊفالٽ پورٽ
A - خودڪار LAG پاران ٺهيل

استعمال ۾ چينل گروپن جو تعداد: 1

جمع ڪندڙ جو تعداد:

1

گروپ پورٽ چينل پروٽوڪول بندرگاهن

——+—————-+———–+—————————————

2

Po2(RU)

-

پرت 3 EtherChannel ترتيب

ڊوائيس 1

Te1/0/1(P) Te1/0/2(P)

انٽرفيس پورٽ چينل 2 ڪو سوئچ پورٽ IP پتو 10.25.25.3 255.255.255.0 ڪو بند ختم
ڊوائيس 2

انٽرفيس پورٽ چينل 2 ڪو سوئچ پورٽ IP پتو 10.25.25.4 255.255.255.0 ڪو بند ختم
هيٺيون ڏيکاري ٿو جيئنample output of show etherchannel summary command.

پرچم: ڊي - هيٺ

P - پورٽ چينل ۾ بنڊل

مان - اڪيلو اڪيلو - معطل

H - گرم اسٽينڊ بائي (صرف LACP)

آر - پرت 3

S - پرت 2

U - استعمال ۾

f - مجموعي کي مختص ڪرڻ ۾ ناڪام ٿيو

M - استعمال ۾ نه آهي، گهٽ ۾ گهٽ لنڪس نه مليا آهن u - بنڊلنگ لاءِ غير مناسب - مجموعي ٿيڻ جو انتظار ڊي - ڊفالٽ پورٽ

A - خودڪار LAG پاران ٺهيل

استعمال ۾ چينل گروپن جو تعداد: 1

جمع ڪندڙ جو تعداد:

1

گروپ پورٽ چينل پروٽوڪول بندرگاهن

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 30

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

Example: PSK استعمال ڪندي پورٽ چينل لاءِ MACsec MKA ترتيب ڏيڻ

——+—————-+———–+—————————————

2

Po2(RU)

-

Te1/0/1(P) Te1/0/2(P)

Etherchannel موڊ - LACP
هيٺ ڏنل آهي جيئنampڊيوائس 1 ۽ ڊيوائس 2 تي ايل اي سي پي جي طور تي EtherChannel موڊ سان ترتيب ڏيڻ.
اهم زنجير KC macsec ڪي 1000 cryptographic-algorithm aes-128-cmac key-string FC8F5B10557C192F03F60198413D7D45 آخر
mka پاليسي پاليسي ڪي-سرور جي ترجيح 0 macsec-cipher-suite gcm-aes-128 رازداري-آفسيٽ 0 آخر
انٽرفيس Te1/0/1 چينل-گروپ 2 موڊ فعال macsec mka پاليسي پاليسي mka پري شيئر ڪيل ڪيئي-چين KC آخر
انٽرفيس Te1/0/2 چينل-گروپ 2 موڊ فعال macsec mka پاليسي پاليسي mka پري شيئر ڪيل ڪيئي-چين KC آخر
پرت 2 EtherChannel ترتيب
ڊوائيس 1

انٽرفيس پورٽ چينل 2 سوئچ پورٽ سوئچ پورٽ موڊ ٽرن ڪون شٽ ڊائون آخر
ڊوائيس 2

انٽرفيس پورٽ چينل 2 سوئچ پورٽ سوئچ پورٽ موڊ ٽرن ڪون شٽ ڊائون آخر

هيٺيون ڏيکاري ٿو جيئنample output of show etherchannel summary command.

پرچم: ڊي - هيٺ

P - پورٽ چينل ۾ بنڊل

مان - اڪيلو اڪيلو - معطل

H - گرم اسٽينڊ بائي (صرف LACP)

آر - پرت 3

S - پرت 2

U - استعمال ۾

f - مجموعي کي مختص ڪرڻ ۾ ناڪام ٿيو

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 31

Example: PSK استعمال ڪندي پورٽ چينل لاءِ MACsec MKA ترتيب ڏيڻ

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

M - استعمال ۾ نه آهي، گهٽ ۾ گهٽ لنڪس نه مليا آهن u - بنڊلنگ لاءِ غير مناسب - مجموعي ٿيڻ جو انتظار ڊي - ڊفالٽ پورٽ
A - خودڪار LAG پاران ٺهيل

استعمال ۾ چينل گروپن جو تعداد: 1

جمع ڪندڙ جو تعداد:

1

——+—————-+———–+—————————————

2

Po2 (SU)

LACP

پرت 3 EtherChannel ترتيب

ڊوائيس 1

Te1/1/1(P) Te1/1/2(P)

انٽرفيس پورٽ چينل 2 ڪو سوئچ پورٽ IP پتو 10.25.25.3 255.255.255.0 ڪو بند ختم
ڊوائيس 2

انٽرفيس پورٽ چينل 2 نه سوئچ پورٽ IP پتو 10.25.25.4 255.255.255.0 ڪو بند ناهي

هيٺيون ڏيکاري ٿو جيئنample output of show etherchannel summary command.

پرچم: ڊي - هيٺ

P - پورٽ چينل ۾ بنڊل

مان - اڪيلو اڪيلو - معطل

H - گرم اسٽينڊ بائي (صرف LACP)

آر - پرت 3

S - پرت 2

U - استعمال ۾

f - مجموعي کي مختص ڪرڻ ۾ ناڪام ٿيو

M - استعمال ۾ نه آهي، گهٽ ۾ گهٽ لنڪس نه مليا آهن u - بنڊلنگ لاءِ غير مناسب - مجموعي ٿيڻ جو انتظار ڊي - ڊفالٽ پورٽ

A - خودڪار LAG پاران ٺهيل

استعمال ۾ چينل گروپن جو تعداد: 1

جمع ڪندڙ جو تعداد:

1

گروپ پورٽ چينل پروٽوڪول بندرگاهن

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 32

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

MACsec Cipher اعلان کي ترتيب ڏيڻ

——+—————-+———–+—————————————

2

Po2(RU)

LACP

Te1/1/1(P) Te1/1/2(P)

فعال MKA سيشن ڏيکاريندي

هيٺ ڏنل ڏيکاري ٿو سڀ فعال MKA سيشن.

# ڏيکاريو mka سيشن انٽرفيس Te1/0/1

================================================== ===================================================

انٽرفيس

مقامي-TxSCI

پاليسي- نالو

ورثي ۾ مليل

ڪيئي سرور

پورٽ-ID

پير-RxSCI

MACsec-Peers

حيثيت

ڪي اين

================================================== ===================================================

ٽي 1/0/1

00a3.d144.3364/0025 پاليسي

نه

نه

37 1000

701f.539b.b0c6/0032 1

محفوظ ٿيل

MACsec Cipher اعلان کي ترتيب ڏيڻ
محفوظ اعلان لاءِ MKA پاليسي ترتيب ڏيڻ

خلاصو قدم

1. ٽرمينل ترتيب ڏيو 2. mka پاليسي پاليسي-نالو 3. ڪي-سرور جي ترجيح 4. [نه] موڪليو-محفوظ-اعلان 5. macsec-cipher-suite {gcm-aes-128 | gcm-aes-256} 6. آخر 7. ڏيکاريو mka پاليسي

تفصيلي قدم

قدم 1

ڪمانڊ يا ايڪشن ڪنفيگر ٽرمينل

قدم 2 mka پاليسي پاليسي-نالو

مقصد
گلوبل ڪنفيگريشن موڊ داخل ڪريو.
هڪ MKA پاليسي جي سڃاڻپ ڪريو، ۽ داخل ڪريو MKA پاليسي ترتيب واري موڊ. وڌ ۾ وڌ پاليسي نالي جي ڊيگهه 16 اکر آهي.

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 33

عالمي سطح تي محفوظ اعلان کي ترتيب ڏيڻ (سڀني MKA پاليسين تي)

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

حڪم يا عمل

قدم 3 اهم-سرور جي ترجيح

قدم 4 [نه] موڪليو-محفوظ-اعلان

قدم 5 macsec-cipher-suite {gcm-aes-128 | gcm-aes-256}

قدم 6 قدم 7

آخر شو mka پاليسي

مقصد نوٽ

MKA پاليسي ۾ ڊفالٽ MACsec cipher suite هميشه "GCM-AES-128" هوندو. جيڪڏهن ڊوائيس ٻنهي ”GCM-AES-128“ ۽ ”GCM-AES-256“ سائفرن کي سپورٽ ڪري ٿي، ته اها انتهائي سفارش ڪئي وئي آهي ته صارف جي وضاحت ڪيل MKA پاليسي کي بيان ڪيو وڃي ۽ استعمال ڪيو وڃي ته جيئن ٻنهي 128 ۽ 256 بِٽ سائفرز يا صرف 256 بِٽ سائفر شامل هجن. گهربل ٿي سگهي ٿو.

MKA ڪيئي سرور جا آپشن ترتيب ڏيو ۽ ترجيح مقرر ڪريو (0-255 جي وچ ۾).

نوٽ

جڏهن اهم سرور جي ترجيح جي قيمت 255 تي مقرر ڪئي وئي آهي،

پير صاحب اهم سرور نٿو بڻجي سگهي. جي

اهم سرور جي ترجيحي قدر صرف لاءِ صحيح آھي

MKA PSK؛ ۽ MKA EAPTLS لاءِ نه.

محفوظ اعلانن جي موڪلڻ کي قابل بڻائي ٿو. محفوظ اعلانن جي موڪلڻ کي بند ڪرڻ لاءِ حڪم جو ڪوبه فارم استعمال نه ڪريو. ڊفالٽ طور، محفوظ اعلان بند ٿيل آهن.
128-bit يا 256-bit انڪريپشن سان SAK حاصل ڪرڻ لاءِ سائفر سوٽ ترتيب ڏئي ٿو.
امتيازي EXEC موڊ ڏانهن واپسي.
توهان جي داخلا جي تصديق ڪريو.

عالمي سطح تي محفوظ اعلان کي ترتيب ڏيڻ (سڀني MKA پاليسين تي)

خلاصو قدم

1. ٽرمينل ترتيب ڏيو 2. [no] mka defaults پاليسي موڪليو-محفوظ-اعلان 3. آخر

تفصيلي قدم

قدم 1

ڪمانڊ يا ايڪشن ڪنفيگر ٽرمينل

مقصد عالمي ترتيب واري موڊ ۾ داخل ڪريو.

قدم 2

[no] mka defaults policy send-secure-announcements

MKA پاليسين جي وچ ۾ MKPDUs ۾ محفوظ اعلانن کي موڪلڻ جي قابل بڻائي ٿو. ڊفالٽ طور، محفوظ اعلان بند ٿيل آهن.

قدم 3 ختم

امتيازي EXEC موڊ ڏانهن واپسي.

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 34

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

هڪ انٽرفيس تي EAPoL اعلانن کي ترتيب ڏيڻ

هڪ انٽرفيس تي EAPoL اعلانن کي ترتيب ڏيڻ

خلاصو قدم

1. ٽرمينل ترتيب ڏيو 2. انٽرفيس انٽرفيس-id 3. [نه] ايپول اعلان 4. آخر

تفصيلي قدم

قدم 1

ڪمانڊ يا ايڪشن ڪنفيگر ٽرمينل

قدم 2 انٽرفيس انٽرفيس-id

قدم 3 [نه] ايپول اعلان

قدم 4 ختم

مقصد
گلوبل ڪنفيگريشن موڊ داخل ڪريو.
MACsec انٽرفيس کي سڃاڻي ٿو، ۽ انٽرفيس ڪنفيگريشن موڊ داخل ڪريو. انٽرفيس هڪ جسماني انٽرفيس هجڻ گهرجي.
EAPoL اعلانن کي فعال ڪريو. EAPoL اعلانن کي غير فعال ڪرڻ لاءِ حڪم جو ڪوبه فارم استعمال نه ڪريو. ڊفالٽ طور، EAPoL اعلان بند ٿيل آھن.
امتيازي EXEC موڊ ڏانهن واپسي.

Examples: ترتيب ڏيڻ MACsec Cipher اعلان
هن اڳوڻيample ظاھر ڪري ٿو ته ڪيئن ٺاھيو MKA پاليسي محفوظ اعلان لاءِ:
# configure ٽرمينل (config)# mka پاليسي mka_policy (config-mka-policy)# ڪي-سرور 2 (config-mka-policy)# موڪليو-محفوظ-اعلانات (config-mka-policy)#macsec-cipher-suite gcm- aes-128 رازداري-آفسيٽ 0 (config-mka-policy)# آخر
هن اڳوڻيample ڏيکاري ٿو ڪيئن ترتيب ڏيڻ لاء محفوظ اعلان عالمي سطح تي:
# configure ٽرمينل (config) # mka defaults پاليسي موڪليو-محفوظ-اعلانات (config) # آخر
هن اڳوڻيampلي ڏيکاري ٿو ته ڪيئن ترتيب ڏيڻ EAPoL اعلانن کي انٽرفيس تي:
# ڪنفيگر ٽرمينل (configure)# انٽرفيس GigabitEthernet 1/0/1 (config-if)# eapol اعلان (config-if)# آخر
هيٺ ڏنل آهي جيئنample output for show run-config interface interface-name حڪم EAPoL اعلان سان فعال.
# ڏيکاريو رننگ-config انٽرفيس GigabitEthernet 1/0/1
switchport mode access macsec access-sition host-mode multi-host access-sition بند

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 35

Examples: ترتيب ڏيڻ MACsec Cipher اعلان

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

رسائي-سيشن پورٽ-ڪنٽرول آٽو dot1x pae تصديق ڪندڙ dot1x ٽائم آئوٽ خاموش مدت 10 dot1x ٽائيم آئوٽ tx-period 5 dot1x timeout supp-timeout 10 dot1x درخواست ڪندڙ eap profile peap eapol اعلان اسپننگ-ٽري پورٽفاسٽ سروس-پاليسي قسم ڪنٽرول سبسڪرائبر Dot1X
هيٺ ڏنل آهي جيئنampلي آئوٽ آف شو mka سيشن انٽرفيس انٽرفيس-نام تفصيل ڪمانڊ محفوظ اعلان سان گڏ غير فعال.
# ڏيکاريو mka سيشن انٽرفيس GigabitEthernet 1/0/1 تفصيل
MKA تفصيلي صورتحال MKA سيشن لاءِ ================================ اسٽيٽس: SECURED - MACsec سان محفوظ MKA سيشن
مقامي Tx-SCI…………. 204c.9e85.ede4/002b انٽرفيس ميڪ ايڊريس…. 204c.9e85.ede4 MKA پورٽ سڃاڻپ ڪندڙ…… 43 انٽرفيس جو نالو……….. GigabitEthernet1/0/1 آڊٽ سيشن ID……… CAK نالو (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 46 ميمبر سڃاڻپ ڪندڙ (MI)… D05CBEC5D67594543D89567CEAE پيغام نمبر ( MN)…… 128 EAP رول……………….. NA ڪيئي سرور…………… YES MKA Cipher Suite……… AES-XNUMX-CMAC
تازه ترين SAK اسٽيٽس…….. Rx & Tx جديد SAK AN……… 0 جديد SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) پراڻي ساڪ اسٽيٽس……….. پهريون-ساڪ پراڻي ساڪ اين…………… 0 پراڻي ساڪ ڪي (KN)………. پهريون-ساک (0)
SAK ٽرانسميٽ انتظار جو وقت... 0s (جواب ڏيڻ لاءِ ڪنهن به همراهه جو انتظار نه ڪيو ويو) SAK رٽائر ٿيڻ جو وقت………. 0s (رٽائر ٿيڻ لاءِ پراڻو ساڪ ناهي)
MKA پاليسي جو نالو………. p2 ڪيئي سرور جي ترجيح…… 2 دير جو تحفظ……… ڪو به ريپلي پروٽيڪشن…….. ها ونڊو جي سائيز کي ريپلي ڪريو……. 0 رازداري آفسيٽ… 0 الگورٿم چست…….. 80C201 محفوظ اعلان موڪليو.. غير فعال ساڪ سائفر سوٽ……… 0080C20001000001 (GCM-AES-128) MACsec صلاحيت…….. 3 (MACsec، Contegrity Integrity)

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 36

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

Examples: ترتيب ڏيڻ MACsec Cipher اعلان

MACsec گهربل……….. ها

# MACsec قابل Live Peers جو …………… 1 # MACsec قابل Live Peers جو جواب ڏنو ويو.. 1

لائيو ساٿين جي فهرست:

MI

MN

Rx-SCI (پيئر)

KS ترجيح

———————————————————————

38046BA37D7DA77E06D006A9 89555

c800.8459.e764/002a 10

ممڪن ساٿين جي فهرست:

MI

MN

Rx-SCI (پيئر)

KS ترجيح

———————————————————————

غير فعال ساٿين جي فهرست:

MI

MN

Rx-SCI (پيئر)

KS ترجيح

———————————————————————

هيٺ ڏنل آهي جيئنampلي آئوٽ آف شو mka سيشن تفصيل ڪمانڊ محفوظ اعلان سان گڏ غير فعال.

# ڏيکاريو mka سيشن تفصيل
MKA تفصيلي صورتحال MKA سيشن لاءِ ================================ اسٽيٽس: SECURED - MACsec سان محفوظ MKA سيشن

مقامي Tx-SCI…………. 204c.9e85.ede4/002b انٽرفيس ميڪ ايڊريس…. 204c.9e85.ede4 MKA پورٽ سڃاڻپ ڪندڙ…… 43 انٽرفيس جو نالو……….. GigabitEthernet1/0/1 آڊٽ سيشن ID……… CAK نالو (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 46 ميمبر سڃاڻپ ڪندڙ (MI)… D05CBEC5D67594543D89572CEAE پيغام نمبر ( MN)…… 128 EAP رول……………….. NA ڪيئي سرور…………… YES MKA Cipher Suite……… AES-XNUMX-CMAC

تازه ترين SAK اسٽيٽس…….. Rx & Tx جديد SAK AN……… 0 جديد SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) پراڻي ساڪ اسٽيٽس……….. پهريون-ساڪ پراڻي ساڪ اين…………… 0 پراڻي ساڪ ڪي (KN)………. پهريون-ساک (0)

SAK ٽرانسميٽ انتظار جو وقت... 0s (جواب ڏيڻ لاءِ ڪنهن به همراهه جو انتظار نه ڪيو ويو) SAK رٽائر ٿيڻ جو وقت………. 0s (رٽائر ٿيڻ لاءِ پراڻو ساڪ ناهي)

MKA پاليسي جو نالو………. p2 اهم سرور جي ترجيح…… 2 دير جو تحفظ……… ڪو به ريپلي تحفظ…….. ها

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 37

Examples: ترتيب ڏيڻ MACsec Cipher اعلان

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول

وري هلايو ونڊو سائيز…… . ……….. ها

# MACsec قابل Live Peers جو …………… 1 # MACsec قابل Live Peers جو جواب ڏنو ويو.. 1

لائيو ساٿين جي فهرست:

MI

MN

Rx-SCI (پيئر)

KS ترجيح

———————————————————————

38046BA37D7DA77E06D006A9 89560

c800.8459.e764/002a 10

ممڪن ساٿين جي فهرست:

MI

MN

Rx-SCI (پيئر)

KS ترجيح

———————————————————————

غير فعال ساٿين جي فهرست:

MI

MN

Rx-SCI (پيئر)

KS ترجيح

———————————————————————

هيٺ ڏنل آهي جيئنample output of the show mka پاليسي پاليسي-نالو تفصيل ڪمانڊ محفوظ اعلان سان غير فعال.

# ڏيکاريو mka پاليسي p2 تفصيل
MKA پاليسي ڪنفيگريشن (“p2”) ====================== MKA پاليسي جو نالو…….. p2 ڪيئي سرور جي ترجيح…. 2 رازداري آفسيٽ. 0 محفوظ اعلان موڪليو..غير فعال ٿيل سائفر سوٽ …….. GCM-AES-128

اپلائيڊ انٽرفيس… GigabitEthernet1/0/1

MACsec ۽ MACsec ڪيئي معاهدو (MKA) پروٽوڪول 38

دستاويز / وسيلا

Cisco IE3x00 MACsec ۽ MACsec ڪيئي معاهدو پروٽوڪول [pdf] استعمال ڪندڙ ھدايت
IE3x00 MACsec ۽ MACsec ڪيئي معاهدي پروٽوڪول، IE3x00، MACsec ۽ MACsec ڪيئي معاهدو پروٽوڪول، MACsec ڪيئي معاهدو پروٽوڪول، ڪيئي معاهدو پروٽوڪول، معاهدو پروٽوڪول، پروٽوڪول

حوالو

لاڳاپيل پوسٽون

تبصرو ڇڏي ڏيو

توهان جو اي ميل پتو شايع نه ڪيو ويندو. گهربل فيلڊ نشان لڳل آهن *