IE3x00 MACsec და MACsec საკვანძო შეთანხმების პროტოკოლი
პროდუქტის ინფორმაცია
სპეციფიკაციები
- სტანდარტი: IEEE 802.1AE
- მხარდაჭერილი პორტები: 1 გიგაბიტიანი Ethernet downlink პორტები
- დაშიფვრა: 802.1AE დაშიფვრა MACsec გასაღების შეთანხმებით
(MKA)
პროდუქტის გამოყენების ინსტრუქცია
MACsec და MKA ჩართვა
MACsec და MKA ინტერფეისის გასააქტიურებლად, მიჰყევით მათ
ნაბიჯები:
- გამოიყენეთ განსაზღვრული MKA პოლიტიკა ინტერფეისზე.
- MKA-სთვის სასურველი ვარიანტების კონფიგურაცია.
MKA პოლიტიკა
MKA პოლიტიკა განსაზღვრავს MACsec-ისა და MKA-ს ქცევას ან
ინტერფეისი. შეგიძლიათ დააკონფიგურიროთ შემდეგი პარამეტრები:
- ერთჯერადი ჰოსტის რეჟიმი: ეს რეჟიმი უზრუნველყოფს ერთ EAP ავთენტიფიკაციას
სესია MACsec და MKA გამოყენებით.
MKA სტატისტიკა
შეგიძლიათ მიიღოთ ინფორმაცია MKA სესიების სტატუსის შესახებ და
view MKA სტატისტიკა. რამდენიმე მნიშვნელოვანი მრიცხველი და ინფორმაცია
მოიცავს:
- მთლიანი MKA სესიები: აქტიური MKA-ის საერთო რაოდენობა
სესიები. - დაცული სესიები: ამჟამად დაცული MKA-ის რაოდენობა
სესიები. - მომლოდინე სესიები: მომლოდინე MKA სესიების რაოდენობა.
Exampბრძანების გამომავალი:
გადამრთველი# ჩვენება mka სესიების სულ MKA სესიები....... 1 დაცული სესიები... 1 მომლოდინე სესიები... 0 ინტერფეისი ლოკალური-TxSCI პოლიტიკა-სახელი მემკვიდრეობით მიღებული გასაღები-სერვერის პორტის ID Peer-RxSCI MACsec-Peers სტატუსი CKN Gi1/0/1 204c.9e85.ede4/002b p2 არა დიახ 43 c800.8459.e764/002a 1 დაცული 0100000000000000000000000000000000000000000000000000000000000000
MKA დეტალური სტატუსი
თქვენ შეგიძლიათ მიიღოთ დეტალური ინფორმაცია სტატუსის შესახებ კონკრეტული MKA-სთვის
სესია. ინფორმაცია მოიცავს:
- სტატუსი: MKA სესიის მიმდინარე სტატუსი (მაგ.
უზრუნველყოფილი). - ადგილობრივი Tx-SCI: ადგილობრივი გადაცემის უსაფრთხო არხი
იდენტიფიკატორი. - ინტერფეისის MAC მისამართი: ინტერფეისის MAC მისამართი.
- MKA პორტის იდენტიფიკატორი: პორტის იდენტიფიკატორი MKA-სთვის.
- აუდიტის სესიის ID: აუდიტის სესიის ID.
- CAK სახელი (CKN): დაკავშირების ასოციაციის გასაღების სახელი
(CKN). - წევრის იდენტიფიკატორი (MI): წევრის იდენტიფიკატორი.
- შეტყობინების ნომერი (MN): შეტყობინების ნომერი.
- EAP როლი: EAP როლი.
- გასაღები სერვერი: მიუთითებს არის თუ არა მოწყობილობა გასაღები სერვერი (YES
ან არა). - MKA Cipher Suite: შიფრული კომპლექტი, რომელსაც იყენებს MKA.
- SAK-ის უახლესი სტატუსი: უახლესი უსაფრთხო ასოციაციის სტატუსი
გასაღები (SAK) მიღებისა და გადაცემისთვის. - უახლესი SAK AN: უახლესი SAK ასოციაციის ნომერი.
- უახლესი SAK KI (KN): უახლესი SAK გასაღების იდენტიფიკატორი (KN).
- ძველი საკ სტატუსი: ძველი საკ-ის სტატუსი.
- ძველი SAK AN: ძველი SAK ასოციაციის ნომერი.
- ძველი SAK KI (KN): ძველი SAK გასაღების იდენტიფიკატორი (KN).
Exampბრძანების გამომავალი:
Switch#show mka სესიების ინტერფეისი G1/0/1 de MKA დეტალური სტატუსი MKA სესიისთვის =============================== === სტატუსი: დაცული - დაცული MKA სესია MACsec ლოკალური Tx-SCI............. 204c.9e85.ede4/002b ინტერფეისის MAC მისამართი.... 204c.9e85.ede4 MKA პორტის იდენტიფიკატორი...... 43 ინტერფეისის სახელი........... GigabitEthernet1/0/1 აუდიტის სესიის ID....... .. CAK სახელი (CKN)........... 0100000000000000000000000000000000000000000000000000000000000000. როლი................. NA გასაღები სერვერი............... დიახ MKA Cipher Suite......... AES -46-CMAC უახლესი SAK სტატუსი......... Rx & Tx უახლესი SAK AN............. 05 უახლესი SAK KI (KN)....... D5CBEC67594543D89567D128CEAE0 (46 ) ძველი საკ სტატუსი........... პირველი-საკ ძველი საკ AN............... 05 ძველი SAK KI (KN).......... FIRST-SAK (5)
FAQ (ხშირად დასმული კითხვები)
კითხვა: რომელ პორტებს უჭერს მხარს MACsec ESS-3300-ზე?
პასუხი: MACsec მხარდაჭერილია 1 გიგაბიტიანი ეთერნეტის ქველინკის პორტებზე
მხოლოდ.
კითხვა: რას ნიშნავს MKA?
პასუხი: MKA ნიშნავს MACsec გასაღების შეთანხმებას.
კითხვა: როგორ გავააქტიურო MACsec და MKA ინტერფეისზე?
A: MACsec და MKA ინტერფეისზე გასააქტიურებლად გამოიყენეთ განსაზღვრული MKA
პოლიტიკა ინტერფეისში და დააკონფიგურირეთ სასურველი ვარიანტები
MKA.
Q: რა არის MKA პოლიტიკის მიზანი?
პასუხი: MKA პოლიტიკა განსაზღვრავს MACsec-ისა და MKA-ს ქცევას ან
ინტერფეისი.
კითხვა: როგორ შემიძლია view MKA სტატისტიკა?
პასუხი: თქვენ შეგიძლიათ გამოიყენოთ ბრძანება "მკა სტატისტიკის ჩვენება". view MKA
დაცულია სტატისტიკა, მათ შორის MKA სესიების საერთო რაოდენობა
სესიები და მომლოდინე სესიები.
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
ეს თავი შეიცავს შემდეგ სექციებს: · MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი, 1-ელ გვერდზე · სერთიფიკატზე დაფუძნებული MACsec , მე-2 გვერდზე · MKA პოლიტიკა, მე-2 გვერდზე · ერთი ჰოსტის რეჟიმი, მე-2 გვერდზე · MKA სტატისტიკა, გვერდზე 3 · როგორ დავაკონფიგურიროთ MACsec დაშიფვრა, მე-8 გვერდზე
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
MACsec არის IEEE 802.1AE სტანდარტი პაკეტების ავთენტიფიკაციისა და დაშიფვრისთვის ორ MACsec-ის მქონე მოწყობილობას შორის. გადამრთველი მხარს უჭერს 802.1AE დაშიფვრას MACsec საკვანძო შეთანხმებით (MKA) ჩამრთველსა და მასპინძელ მოწყობილობებს შორის დაშიფვრის მიზნით. MKA პროტოკოლი უზრუნველყოფს საჭირო სესიის გასაღებებს და მართავს საჭირო დაშიფვრის გასაღებებს.
მნიშვნელოვანია ESS-3300-ზე MACsec მხარდაჭერილია მხოლოდ 1 გიგაბიტიანი ეთერნეტის ქველინკის პორტებზე.
MACsec და MACsec საკვანძო შეთანხმება (MKA) განხორციელდება წარმატებული ავტორიზაციის შემდეგ სერტიფიკატზე დაფუძნებული MACsec ან Pre Shared Key (PSK) ჩარჩოს გამოყენებით. თქვენ შეგიძლიათ აკონტროლოთ დაშიფრული პაკეტების ქცევა ინტერფეისზე, როდესაც MACsec ჩართულია ბრძანების გამოყენებით macsec access-control {must-secure | უნდა-უსაფრთხო}. როდესაც MACsec ჩართულია ინტერფეისზე, ყველა ინტერფეისის ტრაფიკი დაცულია ნაგულისხმევად (ანუ, უნდა იყოს დაცული ნაგულისხმევი პარამეტრი). Macsec წვდომის კონტროლის სავალდებულო პარამეტრი არ იძლევა დაშიფრული პაკეტების გადაცემას ან მიღებას იმავე ფიზიკური ინტერფეისიდან. ტრაფიკი შეწყვეტილია MKA სესიის უზრუნველყოფამდე. თუმცა, MACsec არჩეულ ინტერფეისებზე გასააქტიურებლად, შეგიძლიათ დაუშვათ დაშიფრული პაკეტების გადაცემა ან მიღება იმავე ფიზიკური ინტერფეისიდან macsec წვდომის კონტროლის უნდა დაყენებით. ეს პარამეტრი საშუალებას აძლევს დაშიფრული ტრაფიკის გადინებას MKA სესიის დაცვით. MKA სესიის დაცვით, მხოლოდ დაშიფრული ტრაფიკის გადინება შეიძლება. კონფიგურაციის დეტალებისთვის იხილეთ MACsec MKA-ის კონფიგურაცია ინტერფეისზე PSK-ის გამოყენებით, გვერდზე 15.
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 1
სერთიფიკატზე დაფუძნებული MACsec
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
სერთიფიკატზე დაფუძნებული MACsec
სერთიფიკატზე დაფუძნებული MACsec დაშიფვრის ფუნქცია იყენებს 802.1X პორტზე დაფუძნებულ ავტორიზაციას გაფართოებული ავტორიზაციის პროტოკოლის სატრანსპორტო ფენის უსაფრთხოებით (EAP-TLS) პორტებისთვის, სადაც საჭიროა MACsec დაშიფვრა. EAP-TLS მექანიზმი გამოიყენება ორმხრივი ავთენტიფიკაციისთვის და სამაგისტრო სესიის გასაღების (MSK) მისაღებად, საიდანაც მიღებულია კავშირის ასოციაციის გასაღები (CAK) MACsec საკვანძო შეთანხმების (MKA) პროტოკოლისთვის. ეს ფუნქცია საშუალებას იძლევა კლავიშების მართვა ცენტრალიზებულ სერვერზე (CA) PSK (Pre-Shared Key) დაფუძნებული MACsec-ზე. MACsec-ზე გადართვა მხარდაჭერილია. დამატებითი ინფორმაციისთვის იხილეთ სერთიფიკატზე დაფუძნებული MACsec-ის კონფიგურაცია, გვერდი 16.
შეზღუდვები და შეზღუდვები
სერთიფიკატზე დაფუძნებულ MACsec-ს აქვს შემდეგი შეზღუდვები და შეზღუდვები: · პორტები უნდა იყოს წვდომის რეჟიმში ან საბარგულის რეჟიმში. · MKA არ არის მხარდაჭერილი პორტ-არხებზე. · MKA-სთვის მაღალი ხელმისაწვდომობა არ არის მხარდაჭერილი. · პორტები გადამრთველის გარეშე არ არის მხარდაჭერილი. · ESS3300 uplink პორტებს არ აქვთ PHY და, შესაბამისად, არ უჭერენ მხარს MACSec.
MKA პოლიტიკა
MKA ინტერფეისზე ჩასართავად, განსაზღვრული MKA პოლიტიკა უნდა იქნას გამოყენებული ინტერფეისზე. თქვენ შეგიძლიათ დააკონფიგურიროთ ეს პარამეტრები:
· პოლიტიკის სახელი, არ უნდა აღემატებოდეს 16 ASCII სიმბოლოს. · კონფიდენციალურობის (დაშიფვრის) ოფსეტური 0, 30 ან 50 ბაიტი თითოეული ფიზიკური ინტერფეისისთვის
ერთჯერადი ჰოსტის რეჟიმი
ფიგურა გვიჩვენებს, თუ როგორ არის დაცული ერთი EAP ავთენტიფიცირებული სესია MACsec-ის მიერ MKA-ს გამოყენებით.
სურათი 1: MACsec ერთ ჰოსტის რეჟიმში დაცულ მონაცემთა სესიით
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 2
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
MKA სტატისტიკა
MKA სტატისტიკა
ზოგიერთი MKA მრიცხველი აგრეგირებულია გლობალურად, ზოგი კი განახლებულია როგორც გლობალურად, ასევე თითო სესიაზე. ასევე შეგიძლიათ მიიღოთ ინფორმაცია MKA სესიების სტატუსის შესახებ.
ეს არის ყოფილიampშოუ mka სტატისტიკის ბრძანების გამოსავალი:
Switch# ჩვენება mka სესიები
სულ MKA სესიები……. 1 დაცული სესია… 1 მომლოდინე სესიები… 0
=========================================================== ===========================================================
ინტერფეისი
ლოკალური-TxSCI
პოლიტიკა-სახელი
მემკვიდრეობით მიღებული
გასაღები-სერვერი
პორტის ID
Peer-RxSCI
MACsec-Peers
სტატუსი
CKN
=========================================================== ===========================================================
Gi1/0/1
204c.9e85.ede4/002b p2
არა
დიახ
43
c800.8459.e764/002a 1
უზრუნველყოფილი
0100000000000000000000000000000000000000000000000000000000000000
Switch#show mka სესიების ინტერფეისი G1/0/1
ყველა ამჟამად აქტიური MKA სესიის შეჯამება ინტერფეისზე GigabitEthernet1/0/1…
=========================================================== ===========================================================
ინტერფეისი
ლოკალური-TxSCI
პოლიტიკა-სახელი
მემკვიდრეობით მიღებული
გასაღები-სერვერი
პორტის ID
Peer-RxSCI
MACsec-Peers
სტატუსი
CKN
=========================================================== ===========================================================
Gi1/0/1
204c.9e85.ede4/002b p2
არა
დიახ
43
c800.8459.e764/002a 1
უზრუნველყოფილი
0100000000000000000000000000000000000000000000000000000000000000
Switch#show mka სესიების ინტერფეისი G1/0/1 de
MKA დეტალური სტატუსი MKA სესიისთვის ============================================================== სტატუსი: უსაფრთხო – დაცული MKA სესია MACsec-ით
ადგილობრივი Tx-SCI…………. 204c.9e85.ede4/002b ინტერფეისი MAC მისამართი…. 204c.9e85.ede4 MKA პორტის იდენტიფიკატორი…… 43 ინტერფეისის სახელი……….. GigabitEthernet1/0/1 აუდიტის სესიის ID……… CAK სახელი (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 წევრის იდენტიფიკატორი (MI)… D46CBEC05D5D67594543CEA როლი…………….. NA გასაღები სერვერი…………… დიახ MKA შიფრული კომპლექტი……… AES-89567-CMAC
უახლესი SAK სტატუსი…….. Rx & Tx უახლესი SAK AN………… 0 უახლესი SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) ძველი SAK სტატუსი……….. FIRST-SAK ძველი SAK AN……………… 0 ძველი SAK KI (KN)………. FIRST-SAK (0)
SAK გადაცემის მოლოდინის დრო… 0s (არ ელოდება თანატოლების პასუხს) SAK Retire Time………. 0s (არ არის ძველი SAK პენსიაზე გასასვლელად)
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 3
MKA სტატისტიკა
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
MKA პოლიტიკის დასახელება………. p2 გასაღები სერვერის პრიორიტეტი…… 2 დაგვიანებით დაცვა……… არა განმეორებით დაცვა…….. დიახ გამეორების ფანჯრის ზომა……. 0 კონფიდენციალურობის ოფსეტი… 0 ალგორითმი სისწრაფე…….. 80C201 გაგზავნეთ უსაფრთხო განცხადება.. გათიშული SAK შიფრული კომპლექტი……… 0080C20001000001 (GCM-AES-128) MACsec გამორთული შესაძლებლობა…….. დაცულობა სასურველი……….. დიახ
გამოხმაურებულია MACsec Canable Live Peers-ის #………… 1 # MACsec-ის უნარიანი ცოცხალი თანატოლების პასუხი.. 1
ცოცხალი თანატოლების სია:
MI
MN
Rx-SCI (თანხმობა)
KS პრიორიტეტი
————————————————————————
38046BA37D7DA77E06D006A9 89555
c800.8459.e764/002a 10
პოტენციური თანატოლების სია:
MI
MN
Rx-SCI (თანხმობა)
KS პრიორიტეტი
————————————————————————
მიძინებული თანატოლების სია:
MI
MN
Rx-SCI (თანხმობა)
KS პრიორიტეტი
————————————————————————
Switch#mka სესიების ჩვენება de Switch#mka სესიების დეტალების ჩვენება
MKA დეტალური სტატუსი MKA სესიისთვის ============================================================== სტატუსი: უსაფრთხო – დაცული MKA სესია MACsec-ით
ადგილობრივი Tx-SCI…………. 204c.9e85.ede4/002b ინტერფეისი MAC მისამართი…. 204c.9e85.ede4 MKA პორტის იდენტიფიკატორი…… 43 ინტერფეისის სახელი……….. GigabitEthernet1/0/1 აუდიტის სესიის ID……… CAK სახელი (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 წევრის იდენტიფიკატორი (MI)… D46CBEC05D5D67594543CEA როლი…………….. NA გასაღები სერვერი…………… დიახ MKA შიფრული კომპლექტი……… AES-89572-CMAC
უახლესი SAK სტატუსი…….. Rx & Tx უახლესი SAK AN………… 0 უახლესი SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) ძველი SAK სტატუსი……….. FIRST-SAK ძველი SAK AN……………… 0 ძველი SAK KI (KN)………. FIRST-SAK (0)
SAK გადაცემის მოლოდინის დრო… 0s (არ ელოდება თანატოლების პასუხს) SAK Retire Time………. 0s (არ არის ძველი SAK პენსიაზე გასასვლელად)
MKA პოლიტიკის დასახელება………. p2 გასაღები სერვერის პრიორიტეტი…… 2 დაგვიანებით დაცვა……… არა განმეორებით დაცვა…….. დიახ გამეორების ფანჯრის ზომა……. 0 კონფიდენციალურობის ოფსეტი… 0 ალგორითმის სისწრაფე…….. 80C201
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 4
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
MKA სტატისტიკა
SAK Cipher Suite……… 0080C20001000001 (GCM-AES-128) MACsec შესაძლებლობები…….. 3 (MACsec მთლიანობა, კონფიდენციალობა და ოფსეტი) MACsec სასურველი……….. დიახ
გამოხმაურებულია MACsec Canable Live Peers-ის #………… 1 # MACsec-ის უნარიანი ცოცხალი თანატოლების პასუხი.. 1
ცოცხალი თანატოლების სია:
MI
MN
Rx-SCI (თანხმობა)
KS პრიორიტეტი
————————————————————————
38046BA37D7DA77E06D006A9 89560
c800.8459.e764/002a 10
პოტენციური თანატოლების სია:
MI
MN
Rx-SCI (თანხმობა)
KS პრიორიტეტი
————————————————————————
მიძინებული თანატოლების სია:
MI
MN
Rx-SCI (თანხმობა)
KS პრიორიტეტი
————————————————————————
Switch#sh mka pol
MKA პოლიტიკის შეჯამება…
პოლიტიკა
KS
დაგვიანებით გამეორების ფანჯრის Conf Cipher
ინტერფეისები
სახელი
Priority Protect Protect Size Offset Suite (ები)
მიმართა
=================================================== =================================================== ==
*ნაგულისხმევი პოლიტიკა* 0
მცდარი სიმართლე 0
0
GCM-AES-128
p1
1
მცდარი სიმართლე 0
0
GCM-AES-128
p2
2
მცდარი სიმართლე 0
0
GCM-AES-128
Gi1/0/1
გადართვა#შ მკა პოლი
Switch#sh mka პოლიტიკა p2
Switch#sh mka პოლიტიკა p2 ?
დეტალური დეტალური კონფიგურაცია/ინფორმაცია MKA პოლიტიკისთვის
სესიები ყველა აქტიური MKA სესიის შეჯამება გამოყენებული პოლიტიკით
|
გამომავალი მოდიფიკატორები
Switch#sh mka პოლიტიკა p2 de
MKA პოლიტიკის კონფიგურაცია („p2“) ======================== MKA პოლიტიკის სახელი…….. p2 გასაღები სერვერის პრიორიტეტი…. 2 კონფიდენციალურობის ოფსეტი. 0 უსაფრთხო განცხადების გაგზავნა.. გამორთული შიფრის კომპლექტი(ები)…….. GCM-AES-128
გამოყენებული ინტერფეისები… GigabitEthernet1/0/1
Switch#sh mka პოლიტიკა p2
MKA პოლიტიკის შეჯამება…
პოლიტიკა
KS
დაგვიანებით გამეორების ფანჯრის Conf Cipher
ინტერფეისები
სახელი
Priority Protect Protect Size Offset Suite (ები)
მიმართა
=================================================== =================================================== ==
p2
2
მცდარი სიმართლე 0
0
GCM-AES-128
Gi1/0/1
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 5
MKA სტატისტიკა
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
Switch#sh mka se? სესიები
გადართე#შ მკა ? ნაგულისხმევი პოლიტიკის keychains პოლიტიკა presharedkeys სესიების სტატისტიკის შეჯამება
MKA ნაგულისხმევი პოლიტიკის დეტალები MKA წინასწარ გაზიარებული გასაღების ჯაჭვები MKA პოლიტიკის კონფიგურაციის ინფორმაცია MKA წინასწარ გაზიარებული გასაღებები MKA სესიების შეჯამება გლობალური MKA სტატისტიკა MKA სესიების შეჯამება და გლობალური სტატისტიკა
Switch#sh mka status
Switch#sh mka სტატისტიკა ?
ინტერფეისის სტატისტიკა MKA სესიისთვის ინტერფეისზე
ადგილობრივი მეცნიერების სტატისტიკა MKA სესიისთვის, გამოვლენილი მისი ადგილობრივი Tx-SCI-ით
|
გამომავალი მოდიფიკატორები
Switch#sh mka statistics inter Switch#show mka statistics interface G1/0/1
MKA სტატისტიკა სესიისთვის ========================== ხელახალი ავტორიზაციის მცდელობები.. 0
CA სტატისტიკა დაწყვილებული CAKs მიღებული… 0 Pairwise CAK Rekeys….. 0 ჯგუფური CAK გენერირებული…. მიღებულია 0 ჯგუფის CAK….. 0
SA სტატისტიკა SAKs გენერირებული………. 1 SAK მიღებულია………… 0 SAK მიღებული……….. 0 SAK პასუხი მიღებულია.. 1
MKPDU სტატისტიკა MKPDUs Validated & Rx… 89585 “Distributed SAK”.. 0 “Distributed CAK”.. 0 MKPDUs Transmitted…… 89596 “Distributed SAK”.. 1 “Distributed CAK”.. 0
გადართვა#შოუ mka ?
default-policy MKA ნაგულისხმევი პოლიტიკის დეტალები
გასაღების ჯაჭვები
MKA წინასწარ გაზიარებული გასაღების საკვანძო ჯაჭვები
პოლიტიკა
MKA Policy კონფიგურაციის ინფორმაცია
წინასწარ გაზიარებული კლავიშები MKA წინასწარ გაზიარებული კლავიშები
სესიები
MKA სესიების შეჯამება
სტატისტიკა
გლობალური MKA სტატისტიკა
შეჯამება
MKA სესიების შეჯამება და გლობალური სტატისტიკა
Switch#show mka summary გადართვა#აჩვენე mka summary
სულ MKA სესიები……. 1 დაცული სესია… 1 მომლოდინე სესიები… 0
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 6
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
MKA სტატისტიკა
=========================================================== ===========================================================
ინტერფეისი
ლოკალური-TxSCI
პოლიტიკა-სახელი
მემკვიდრეობით მიღებული
გასაღები-სერვერი
პორტის ID
Peer-RxSCI
MACsec-Peers
სტატუსი
CKN
=========================================================== ===========================================================
Gi1/0/1
204c.9e85.ede4/002b p2
არა
დიახ
43
c800.8459.e764/002a 1
უზრუნველყოფილი
0100000000000000000000000000000000000000000000000000000000000000
MKA გლობალური სტატისტიკა ===================== MKA სესიის ჯამები
დაცულია……………….. 1 ხელახალი ავტორიზაციის მცდელობა.. 0
წაშლილია (დაცული)………. 0 Keepalive Timeouts……… 0
CA სტატისტიკა დაწყვილებული CAK-ები მიღებული…… 0 წყვილი CAK ხელახალი გასაღები…….. გენერირებულია 0 ჯგუფის CAK……. მიღებულია 0 ჯგუფის CAK……… 0
SA სტატისტიკა SAKs გენერირებული…………. 1 SAK-ის ხელახალი გასაღები…………… 0 SAK მიღებული………….. 0 SAK პასუხი მიღებული….. 1
MKPDU სტატისტიკა MKPDUs Validated & Rx…… 89589 “Distributed SAK”….. 0 “Distributed CAK”….. 0 MKPDUs გადაცემული……… 89600 “Distributed SAK”….. 1 “Distributed CAK”….. 0
MKA შეცდომების მრიცხველის ჯამები ======================== სესიის წარუმატებლობა
წარუმატებლობები………………. 0 ხელახალი ავტორიზაციის წარუმატებლობა…….. 0 დუბლიკატი Auth-Mgr სახელური…….. 0
SAK-ის წარუმატებლობა SAK-ის თაობა…………………. 0 ჰეშის გასაღების გენერაცია…………….. 0 SAK დაშიფვრა/შეფუთვა………….. 0 SAK გაშიფვრა/გახსნა………… 0 SAK შიფრის შეუსაბამობა………….. 0
CA Failures Group CAK Generation…………. 0 ჯგუფი CAK დაშიფვრა/შეფუთვა…….. 0 ჯგუფური CAK გაშიფვრა/გახსნა…… 0 წყვილი CAK წარმოშობა………. 0 CKN წარმოშობა………………. 0 ICK წარმოშობა………………. 0 კეკ დერივაცია………………. 0 არასწორი თანატოლების MACsec შესაძლებლობა… 0
MACsec Failures Rx SC შექმნა………………. 0
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 7
როგორ დავაკონფიგურიროთ MACsec დაშიფვრა
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
Tx SC შექმნა………………. 0 Rx SA ინსტალაცია…………… 0 Tx SA ინსტალაცია…………… 0
MKPDU წარუმატებლობები MKPDU Tx………………………. 0 MKPDU Rx ვალიდაცია………….. 0 MKPDU Rx ცუდი თანატოლი MN…………. 0 MKPDU Rx არა უახლესი თანატოლისტი MN.. 0
გადამრთველი #
როგორ დავაკონფიგურიროთ MACsec დაშიფვრა
MACsec დაშიფვრის წინაპირობები
MACsec დაშიფვრის წინაპირობები: · დარწმუნდით, რომ 802.1x ავთენტიფიკაცია და AAA კონფიგურირებულია თქვენს მოწყობილობაზე.
MKA და MACsec-ის კონფიგურაცია
ნაგულისხმევი MACsec MKA კონფიგურაცია
MACsec გამორთულია. MKA პოლიტიკა არ არის კონფიგურირებული.
MKA-PSK: CKN ქცევის ცვლილება
Cisco-ს კონცენტრატორებით, რომლებიც მუშაობენ კლასიკური Cisco IOS-ით, CKN კონფიგურაცია უნდა იყოს ნულოვანი ბალიშებით. Cisco IOS XE Everest Release 16.6.1-დან მოყოლებული, MKA-PSK სესიებისთვის, ფიქსირებული 32 ბაიტის ნაცვლად, Connectivity Association Key name (CKN) იყენებს ზუსტად იმავე სტრიქონს, როგორც CKN, რომელიც კონფიგურირებულია როგორც თექვსმეტობითი სტრიქონი. გასაღები. მაგample კონფიგურაცია:
ტერმინალის გასაღების ჯაჭვის კონფიგურაცია KEYCHAINONE macsec გასაღები 1234 კრიპტოგრაფიული-ალგორითმი aes-128-cmac გასაღები-სტრიქონი 123456789ABCDEF0123456789ABCDEF0 სიცოცხლის ხანგრძლივობა ლოკალური 12:21:00 სექტემბერი 9 2015 უსასრულო დასასრული
ზემოაღნიშნული ყოფილისთვისample, შემდეგი არის show mka session ბრძანების გამოსავალი:
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 8
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
MKA-PSK: CKN ქცევის ცვლილება
გაითვალისწინეთ, რომ CKN გასაღების სტრიქონი ზუსტად იგივეა, რაც კონფიგურირებულია გასაღებისთვის, როგორც თექვსმეტობითი სტრიქონი. IOS XE-ზე გაშვებულ პლატფორმებსა და კლასიკურ IOS-ზე გაშვებულ პლატფორმებს შორის ურთიერთთანამშრომლობისთვის, რომელსაც აქვს CKN ქცევის ცვლილება და მეორე CKN ქცევის ცვლილების გარეშე, გასაღებისთვის ექვსკუთხა სტრიქონი უნდა იყოს 64-სიმბოლოიანი თექვსმეტი სტრიქონი, რომელიც შეფუთულია ნულებით. მოწყობილობა, რომელსაც აქვს გამოსახულება CKN ქცევის ცვლილებით. იხილეთ ყოფილიampქვემოთ: კონფიგურაცია CKN გასაღების სტრიქონის ქცევის ცვლილების გარეშე:
კონფიგურაცია t გასაღები ჯაჭვი KEYCHAINONE macsec გასაღები 1234 კრიპტოგრაფიული-ალგორითმი aes-128-cmac გასაღები-სტრიქონი 123456789ABCDEF0123456789ABCDEF0 სიცოცხლის ხანგრძლივობა ლოკალური 12:21:00 სექ 9 2015 უსასრულო
გამომავალი:
კონფიგურაცია CKN გასაღების სტრიქონის ქცევის ცვლილებით:
კონფიგურაცია t გასაღები ჯაჭვი KEYCHAINONE macsec გასაღები 1234000000000000000000000000000000000000000000000000000000000000 კრიპტოგრაფიული-ალგორითმი aes-128-cmac გასაღები-სტრიქონი 123456789ABCDEF0123456789ABCDEF0 სიცოცხლის ხანგრძლივობა ლოკალური 12:21:00 სექ 9 2015 უსასრულო
გამომავალი:
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 9
MKA პოლიტიკის კონფიგურაცია
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
MKA პოლიტიკის კონფიგურაცია
შემაჯამებელი ნაბიჯები
1. ტერმინალის კონფიგურაცია 2. mka პოლიტიკის სახელი 3. გაგზავნა-უსაფრთხო-განცხადებები 4. გასაღები-სერვერის პრიორიტეტი 5. მოიცავს-icv-ინდიკატორი 6. macsec-cipher-suite gcm-aes-128 7. კონფიდენციალურობა-ოფსეტური ოფსეტური მნიშვნელობა 8 დასასრული 9. აჩვენე mka პოლიტიკა
დეტალური ნაბიჯები
ნაბიჯი 1
ბრძანების ან მოქმედების კონფიგურაციის ტერმინალი
ნაბიჯი 2 mka პოლიტიკის სახელი
ნაბიჯი 3 გაგზავნა-უსაფრთხო-განცხადებები
მიზანი შედით გლობალური კონფიგურაციის რეჟიმში.
განსაზღვრეთ MKA პოლიტიკა და შედით MKA პოლიტიკის კონფიგურაციის რეჟიმში. პოლიტიკის სახელის მაქსიმალური სიგრძეა 16 სიმბოლო.
შენიშვნა
ნაგულისხმევი MACsec შიფრების კომპლექტი MKA-ში
პოლიტიკა ყოველთვის იქნება „GCM-AES-128“. თუ
მოწყობილობა მხარს უჭერს როგორც "GCM-AES-128" და
"GCM-AES-256" შიფრები, ის ძალიან მაღალია
რეკომენდებულია მომხმარებლის განსაზღვრული მომხმარებლის განსაზღვრა და გამოყენება
MKA პოლიტიკა მოიცავს 128 და 256 ბიტს
შიფრები ან მხოლოდ 256 ბიტიანი შიფრი, როგორც შეიძლება იყოს
საჭირო.
ჩართულია უსაფრთხო განცხადებები.
შენიშვნა
ნაგულისხმევად, უსაფრთხო განცხადებებია
ინვალიდი.
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 10
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
MACsec-ის კონფიგურაცია ინტერფეისზე
ნაბიჯი 4
ბრძანება ან მოქმედების გასაღები სერვერის პრიორიტეტი
ნაბიჯი 5 მოიცავს-icv-indicator ნაბიჯი 6 macsec-cipher-suite gcm-aes-128 ნაბიჯი 7 კონფიდენციალურობა-offset ოფსეტური მნიშვნელობა
ნაბიჯი 8 ნაბიჯი 9
ბოლოს შოუ mka პოლიტიკა
მიზანი
MKA გასაღები სერვერის პარამეტრების კონფიგურაცია და პრიორიტეტის დაყენება (0-255 შორის).
შენიშვნა
როდესაც გასაღები სერვერის პრიორიტეტი დაყენებულია 255-ზე,
თანატოლი ვერ გახდება გასაღები სერვერი. The
გასაღები სერვერის პრიორიტეტული მნიშვნელობა მოქმედებს მხოლოდ
MKA PSK; და არა MKA EAPTLS-ისთვის.
რთავს ICV ინდიკატორს MKPDU-ში. გამოიყენეთ ამ ბრძანების ფორმა არა, რომ გამორთოთ ICV ინდიკატორი - no include-icv-indicator.
აკონფიგურირებს შიფრების კომპლექტს SAK-ის გამოსაყვანად 128-ბიტიანი დაშიფვრით.
დააყენეთ კონფიდენციალურობის (დაშიფვრის) ოფსეტი თითოეული ფიზიკური ინტერფეისისთვის
შენიშვნა
ოფსეტური მნიშვნელობა შეიძლება იყოს 0, 30 ან 50. თუ თქვენ ხართ
კლიენტზე Anyconnect-ის გამოყენებით, ეს არის
რეკომენდებულია Offset 0-ის გამოყენება.
უბრუნდება პრივილეგირებულ EXEC რეჟიმში.
დაადასტურეთ თქვენი ჩანაწერები.
Example
ეს ყოფილიample აკონფიგურირებს MKA პოლიტიკას:
Switch(config)# mka policy mka_policy Switch(config-mka-policy)# გასაღები სერვერის პრიორიტეტი 200 Switch(config-mka-policy)# macsec-cipher-suite gcm-aes-128 გადამრთველი(config-mka-policy)# კონფიდენციალურობა-offset 30 Switch(config-mka-policy)# დასასრული
MACsec-ის კონფიგურაცია ინტერფეისზე
მიჰყევით ამ ნაბიჯებს MACsec-ის კონფიგურაციისთვის ინტერფეისზე ერთი MACsec სესიით ხმის და ერთი მონაცემებისთვის:
შემაჯამებელი ნაბიჯები
1. ჩართვა 2. ტერმინალის კონფიგურაცია 3. ინტერფეისის ინტერფეისი-id 4. გადამრთველი წვდომა vlan vlan-id 5. გადამრთველი რეჟიმის წვდომა 6. macsec 7. ავტორიზაციის მოვლენა linksec წარუმატებელი ქმედება ავტორიზაცია vlan vlan-id 8. ავტორიზაციის ჰოსტის რეჟიმი მრავალ დომენზე
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 11
MACsec-ის კონფიგურაცია ინტერფეისზე
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
9. ავთენტიფიკაციის linksec პოლიტიკა must-secure 10. ავთენტიფიკაციის port-control auto 11. ავტორიზაციის პერიოდული 12. ავთენტიფიკაციის ტაიმერი ხელახლა ავთენტიფიკაცია 13. ავტორიზაციის დარღვევა დაცვა 14. mka პოლიტიკის სახელი 15. dot1x pae portfastanning 16 end. შოუ ავთენტიფიკაციის სესიის ინტერფეისის ინტერფეისი-id 17. აჩვენე ავთენტიფიკაციის სესიის ინტერფეისის ინტერფეისი-ID დეტალები 18. აჩვენე macsec ინტერფეისის ინტერფეისი-id 19. აჩვენე mka სესიები 20. copy running-config startup-config
დეტალური ნაბიჯები
ნაბიჯი 1
ბრძანება ან მოქმედება ჩართეთ მაგampლე:
შეცვლა> ჩართვა
მიზანი
რთავს პრივილეგირებულ EXEC რეჟიმს. მოთხოვნის შემთხვევაში შეიყვანეთ პაროლი.
ნაბიჯი 2
ტერმინალის კონფიგურაცია მაგampლე:
შეცვლა> ტერმინალის კონფიგურაცია
შედით გლობალური კონფიგურაციის რეჟიმში.
ნაბიჯი 3
ინტერფეისის ინტერფეისის ID
იდენტიფიცირება MACsec ინტერფეისი და შედით ინტერფეისის კონფიგურაციის რეჟიმში. ინტერფეისი უნდა იყოს ფიზიკური ინტერფეისი.
ნაბიჯი 4
გადამრთველის წვდომა vlan vlan-id
დააკონფიგურირეთ წვდომის VLAN პორტისთვის.
ნაბიჯი 5
გადამრთველი რეჟიმის წვდომა
ინტერფეისის კონფიგურაცია, როგორც წვდომის პორტი.
ნაბიჯი 6
მაკსეკი
ჩართეთ 802.1ae MACsec ინტერფეისზე. macsec ბრძანება საშუალებას აძლევს MKA MACsec-ს მხოლოდ მასპინძელზე გადასვლის ბმულებზე (ჩამომშვები პორტები).
ნაბიჯი 7
ავტორიზაციის მოვლენა linksec წარუმატებელი ქმედება ავტორიზაცია vlan (არასავალდებულო) მიუთითეთ, რომ გადამრთველი ამუშავებს ავტორიზაციას
vlan-id
ლინკ-უსაფრთხოების გაუმართაობა, რომელიც გამოწვეულია არაღიარებული მომხმარებლის გამო
სერთიფიკატები პორტზე შეზღუდული VLAN-ის ავტორიზაციის გზით
ავტორიზაციის წარუმატებელი მცდელობის შემდეგ.
ნაბიჯი 8
ავთენტიფიკაციის ჰოსტის რეჟიმის მრავალ დომენი
დააკონფიგურირეთ ავტორიზაციის მენეჯერის რეჟიმი პორტზე, რათა დაუშვას როგორც ჰოსტის, ასევე ხმოვანი მოწყობილობის ავთენტიფიკაცია 802.1x ავტორიზებულ პორტზე. თუ არ არის კონფიგურირებული, ნაგულისხმევი ჰოსტის რეჟიმი არის ერთჯერადი.
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 12
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
MACsec-ის კონფიგურაცია ინტერფეისზე
ნაბიჯი 9 ნაბიჯი 10 ნაბიჯი 11 ნაბიჯი 12 ნაბიჯი 13
ნაბიჯი 14
ნაბიჯი 15 ნაბიჯი 16
ნაბიჯი 17
ნაბიჯი 18 ნაბიჯი 19 ნაბიჯი 20 ნაბიჯი 21 ნაბიჯი 22
ბრძანების ან ქმედების ავთენტიფიკაციის ლინკსეკ პოლიტიკა უნდა იყოს დაცული
მიზანი
დააყენეთ LinkSec უსაფრთხოების პოლიტიკა, რათა უზრუნველყოს სესია MACsec-ით, თუ თანატოლი ხელმისაწვდომია. თუ არ არის დაყენებული, ნაგულისხმევი უნდა იყოს დაცული.
ავტორიზაციის პორტის კონტროლის ავტომატური
პორტზე 802.1x ავტორიზაციის ჩართვა. პორტი იცვლება ავტორიზებულ ან არაავტორიზებულ მდგომარეობაში გადამრთველსა და კლიენტს შორის ავტორიზაციის გაცვლის საფუძველზე.
ავთენტიფიკაციის პერიოდული
ჩართეთ ან გამორთეთ ხელახალი ავტორიზაცია ამ პორტისთვის.
ავტორიზაციის ტაიმერი ხელახლა ავთენტიფიკაცია
შეიყვანეთ მნიშვნელობა 1-დან 65535-მდე (წამებში). სერვერიდან იღებს ხელახალი ავტორიზაციის დროის ამოწურვის მნიშვნელობას. ხელახალი ავტორიზაციის ნაგულისხმევი დროა 3600 წამი.
ავთენტიფიკაციის დარღვევის დაცვა
დააკონფიგურირეთ პორტი ისე, რომ ჩამოაგდეს მოულოდნელი შემომავალი MAC მისამართები, როდესაც ახალი მოწყობილობა უკავშირდება პორტს ან როდესაც მოწყობილობა უკავშირდება პორტს მას შემდეგ, რაც მოწყობილობების მაქსიმალური რაოდენობა იქნება დაკავშირებული ამ პორტთან. თუ კონფიგურაცია არ არის, ნაგულისხმევია პორტის გამორთვა.
mka პოლიტიკის სახელი
გამოიყენეთ არსებული MKA პროტოკოლის პოლიტიკა ინტერფეისზე და ჩართეთ MKA ინტერფეისზე. თუ MKA პოლიტიკა არ იყო კონფიგურირებული (mka Policy გლობალური კონფიგურაციის ბრძანების შეყვანით).
dot1x pae ავთენტიფიკატორი
პორტის კონფიგურაცია, როგორც 802.1x პორტის წვდომის ერთეული (PAE) ავთენტიფიკატორი.
spanning-tree portfast
ჩართეთ spanning tree Port Fast ინტერფეისზე ყველა მასთან დაკავშირებულ VLAN-ში. როდესაც პორტის სწრაფი ფუნქცია ჩართულია, ინტერფეისი პირდაპირ იცვლება დაბლოკვის მდგომარეობიდან გადამისამართების მდგომარეობაში, შუალედური დაფარვის ხის მდგომარეობის ცვლილების გარეშე.
დასასრული მაგampლე:
Switch (config)#end
უბრუნდება პრივილეგირებულ EXEC რეჟიმში.
აჩვენე ავთენტიფიკაციის სესიის ინტერფეისი-ID
გადაამოწმეთ ავტორიზებული სესიის უსაფრთხოების სტატუსი.
სესიის ავტორიზაციის ინტერფეისის ინტერფეისის-იდ დეტალების ჩვენება ავტორიზებული სესიის უსაფრთხოების სტატუსის დეტალების შემოწმება.
macsec ინტერფეისის ინტერფეისის ID-ის ჩვენება
დაადასტურეთ MacSec სტატუსი ინტერფეისზე.
მკა სესიების ჩვენება
გადაამოწმეთ დადგენილი mka სესიები.
დააკოპირეთ running-config startup-config მაგampლე:
Switch#copy running-config startup-config
(სურვილისამებრ) ინახავს თქვენს ჩანაწერებს კონფიგურაციაში file.
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 13
MACsec MKA-ს კონფიგურაცია წინასწარ გაზიარებული გასაღების (PSK) გამოყენებით
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
MACsec MKA-ს კონფიგურაცია წინასწარ გაზიარებული გასაღების (PSK) გამოყენებით
შემაჯამებელი ნაბიჯები
1. ტერმინალის კონფიგურაცია 2. საკვანძო ჯაჭვი გასაღების ჯაჭვი-სახელი macsec 3. გასაღები თექვსმეტობითი სტრიქონი 4. კრიპტოგრაფიული-ალგორითმი {gcm-aes-128 | gcm-aes-256} 5. key-string { [0|6|7] pwd-string | pwd-string} 6. უწყვეტი ლოკალური [დაწყების დროamp {hh::mm::ss | დღე | თვე | წელი}] [ხანგრძლივობა წამები | დასასრულის დროamp
{hh::mm::ss | დღე | თვე | წელი}] 7. დასასრული
დეტალური ნაბიჯები
ნაბიჯი 1
ბრძანების ან მოქმედების კონფიგურაციის ტერმინალი
ნაბიჯი 2 გასაღების ჯაჭვი საკვანძო ჯაჭვი-სახელი macsec
ნაბიჯი 3 გასაღები hex-string
მიზანი შედით გლობალური კონფიგურაციის რეჟიმში.
აკონფიგურირებს საკვანძო ჯაჭვს და შედის გასაღების ჯაჭვის კონფიგურაციის რეჟიმში.
აკონფიგურირებს უნიკალურ იდენტიფიკატორს საკვანძო ჯაჭვის თითოეული გასაღებისთვის და შედის გასაღების კონფიგურაციის რეჟიმში.
შენიშვნა
128-ბიტიანი დაშიფვრისთვის გამოიყენეთ 32 თექვსმეტი ციფრი
გასაღები-სტრიქონი. 256-ბიტიანი დაშიფვრისთვის გამოიყენეთ 64 ჰექსი
ციფრის გასაღები-სტრიქონი.
ნაბიჯი 4 ნაბიჯი 5 ნაბიჯი 6 ნაბიჯი 7
კრიპტოგრაფიულ-ალგორითმი {gcm-aes-128 | gcm-aes-256} დააყენეთ კრიპტოგრაფიული ავთენტიფიკაციის ალგორითმი 128-ბიტიანი ან 256-ბიტიანი დაშიფვრით.
გასაღები-სტრიქონი { [0|6|7] pwd-სტრიქონი | pwd-string}
ადგენს პაროლს გასაღების სტრიქონისთვის. მხოლოდ თექვსმეტობითი სიმბოლო უნდა იყოს შეყვანილი..
სიცოცხლის განმავლობაში ადგილობრივი [დაწყების დროamp {hh::mm::ss | დღე | თვე ადგენს წინასწარ გაზიარებული გასაღების ხანგრძლივობას. | წელი}] [ხანგრძლივობა წამები | დასასრულის დროamp {hh::mm::ss | დღე | თვე | წელი}]
დასასრული
უბრუნდება პრივილეგირებულ EXEC რეჟიმში.
Example
ქვემოთ მოცემულია საორიენტაციო ყოფილიampლე:
Switch(config)# Keychain keychain1 macsec Switch(config-keychain)# key 1000 Switch(config-keychain-key)# კრიპტოგრაფიული-ალგორითმი gcm-aes-128 გადამრთველი(config-keychain-key)# key-string 12345678901234567890123456789012 Switch(config-keychain-key)# lifetime local 12:12:00 28 ივლისი 2016 12:19:00 28 ივლისი 2016 Switch(config-keychain-
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 14
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
MACsec MKA-ს კონფიგურაცია ინტერფეისზე PSK-ის გამოყენებით
MACsec MKA-ს კონფიგურაცია ინტერფეისზე PSK-ის გამოყენებით
შენიშვნა სესიებზე ტრაფიკის ვარდნის თავიდან ასაცილებლად, mka პოლიტიკის ბრძანება უნდა იყოს კონფიგურირებული mka-ს წინასწარ გაზიარებული გასაღების საკვანძო ჯაჭვის ბრძანებამდე.
შემაჯამებელი ნაბიჯები
1. ტერმინალის კონფიგურაცია 2. ინტერფეისის ინტერფეისი-id 3. macsec access-control {must-secure | should-secure} 4. macsec 5. mka policy policy-name 6. mka pre-shared-key-key-chain key-chain name 7. macsec replay-protection ფანჯრის ზომის ჩარჩო ნომერი 8. დასასრული
დეტალური ნაბიჯები
ნაბიჯი 1
ბრძანების ან მოქმედების კონფიგურაციის ტერმინალი
ნაბიჯი 2 ინტერფეისის ID
ნაბიჯი 3 macsec წვდომის კონტროლი {must-secure | უნდა იყოს დაცული}
მიზანი
შედით გლობალური კონფიგურაციის რეჟიმში.
შედის ინტერფეისის კონფიგურაციის რეჟიმში.
(სურვილისამებრ) აკონტროლებს დაშიფრული პაკეტების ქცევას.
· should-secure: საშუალებას აძლევს დაშიფრული ტრაფიკის გადინებას MKA სესიის დაცვით. MKA სესიის დაცვით, მხოლოდ დაშიფრული ტრაფიკის გადინება შეიძლება.
· must-secure: აწესებს, რომ მხოლოდ MACsec დაშიფრული ტრაფიკის გადინება შეუძლია. აქედან გამომდინარე, სანამ MKA სესია დაცული იქნება, ტრაფიკი შეჩერებულია.
ნაბიჯი 4 ნაბიჯი 5 ნაბიჯი 6 ნაბიჯი 7 ნაბიჯი 8
macsec mka პოლიტიკის პოლიტიკის დასახელება mka წინასწარ გაზიარებული გასაღების გასაღები ჯაჭვის საკვანძო ჯაჭვის სახელი macsec განმეორებითი დაცვა ფანჯრის ზომის ჩარჩოს ნომერი დასასრული
რთავს MACsec-ს ინტერფეისზე. აკონფიგურირებს MKA პოლიტიკას. აკონფიგურირებს MKA წინასწარ გაზიარებული გასაღების საკვანძო ჯაჭვის სახელს. ადგენს MACsec ფანჯრის ზომას განმეორებით დასაცავად. უბრუნდება პრივილეგირებულ EXEC რეჟიმში.
Example
შემდეგი ყოფილიample აკონფიგურირებს MKA პოლიტიკას და MKA-ს წინასწარ გაზიარებული გასაღების საკვანძო ჯაჭვის სახელს და ადგენს MACsec ფანჯრის ზომას განმეორებით დაცვისთვის:
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 15
სერთიფიკატზე დაფუძნებული MACsec-ის კონფიგურაცია
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
Switch(config)# ინტერფეისი GigabitEthernet 1/1 Switch(config-if)# mka policy mka_policy Switch(config-if)# mka pre-shared-key key-chain key-chain-name Switch(config-if)# macsec replay -protection window-size 10 Switch(config-if)# end
შენიშვნა არ არის რეკომენდებული MKA პოლიტიკის შეცვლა ინტერფეისზე MKA PSK კონფიგურირებული სესიის გაშვებისას. თუმცა, თუ ცვლილებაა საჭირო, თქვენ უნდა ხელახლა დააკონფიგურიროთ პოლიტიკა შემდეგნაირად: 1. გამორთეთ არსებული სესია macsec კონფიგურაციის წაშლით თითოეულ მონაწილე კვანძზე no macsec ბრძანების გამოყენებით. 2. MKA პოლიტიკის კონფიგურაცია ინტერფეისზე თითოეულ მონაწილე კვანძზე mka policy policy-name ბრძანების გამოყენებით. 3. ჩართეთ ახალი სესია თითოეულ მონაწილე კვანძზე macsec ბრძანების გამოყენებით.
შემდეგი ყოფილიamples გვიჩვენებს, თუ როგორ უნდა დააკონფიგურიროთ ინტერფეისი, რათა გამოიყენოს should-secure ნაგულისხმევი must-secure-ის ნაცვლად და როგორ შეცვალოთ ის ნაგულისხმევი must-secure-ზე.
შენიშვნა წვდომის კონტროლის შეცვლა დაუშვებელია, როდესაც სესია მუშაობს და მუშაობს. თქვენ ჯერ უნდა წაშალოთ MACsec კონფიგურაცია no macsec ბრძანების გამოყენებით და შემდეგ დააკონფიგურიროთ წვდომის კონტროლი.
Example 1: გადასასვლელად must-secure-დან must-secure-ზე:
Switch(config-if)#no macsec Switch(config-if)#macsec access-control should-secure Switch(config-if)#macsec // ეს ცვლის წვდომის კონტროლს must-secure-დან და განაახლებს macsec სესიას ახლით ქცევა.
Exampლე 2: გადასასვლელად უნდა-უსაფრთხოდან სავალდებულო-უსაფრთხოზე გადასვლა:
Switch(config-if)#no macsec Switch(config-if)#no macsec access-control Switch(config-if)#macsec
სერთიფიკატზე დაფუძნებული MACsec-ის კონფიგურაცია
MACsec-ის MKA-ს კონფიგურაციისთვის წერტილამდე ბმულებზე, შეასრულეთ შემდეგი ამოცანები: · გასაღების წყვილების გენერირება · ჩარიცხვის კონფიგურაცია SCEP-ის გამოყენებით · ჩარიცხვის კონფიგურაცია ხელით · Switch-to-Switch MACsec დაშიფვრის კონფიგურაცია, გვერდი 23
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 16
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
სერთიფიკატზე დაფუძნებული MACsec-ის წინაპირობები
სერთიფიკატზე დაფუძნებული MACsec-ის წინაპირობები
· დარწმუნდით, რომ თქვენი ქსელისთვის კონფიგურირებული გაქვთ სერტიფიკატის ავტორიტეტის (CA) სერვერი. · CA სერთიფიკატის გენერირება. · დარწმუნდით, რომ კონფიგურირებული გაქვთ Cisco Identity Services Engine (ISE). · დარწმუნდით, რომ 802.1x ავთენტიფიკაცია და AAA კონფიგურირებულია თქვენს მოწყობილობაზე.
გასაღების წყვილების გენერირება
შემაჯამებელი ნაბიჯები
1. ჩართვა 2. ტერმინალის კონფიგურაცია 3. კრიპტო გასაღების გენერირება rsa ეტიკეტის ლეიბლის სახელი გენერალური კლავიშების მოდულის ზომა 4. დასასრული 5. სესიის ავთენტიფიკაციის ჩვენება ინტერფეისის ინტერფეისის ID
დეტალური ნაბიჯები
ნაბიჯი 1
ბრძანება ან მოქმედება ჩართეთ მაგampლე:
მოწყობილობა> ჩართვა
მიზანი რთავს პრივილეგირებულ EXEC რეჟიმს. მოთხოვნის შემთხვევაში შეიყვანეთ თქვენი პაროლი.
ნაბიჯი 2
ტერმინალის კონფიგურაცია მაგampლე:
მოწყობილობის # კონფიგურაციის ტერმინალი
შედის გლობალური კონფიგურაციის რეჟიმში.
ნაბიჯი 3
კრიპტო გასაღები გენერირება rsa label label-name general-keys modulus size
Exampლე:
მოწყობილობა(კონფიგურაცია)# კრიპტო გასაღების გენერირება rsa ლეიბლის ზოგადი კლავიშების მოდული 2048
ქმნის RSA გასაღების წყვილს ხელმოწერისა და დაშიფვრისთვის.
თქვენ ასევე შეგიძლიათ მივანიჭოთ ეტიკეტი თითოეულ საკვანძო წყვილს ლეიბლის საკვანძო სიტყვის გამოყენებით. ეტიკეტზე მითითებულია ნდობის წერტილი, რომელიც იყენებს გასაღების წყვილს. თუ ლეიბლს არ ანიჭებთ, გასაღების წყვილი ავტომატურად იარლიყება .
თუ არ იყენებთ დამატებით საკვანძო სიტყვებს, ეს ბრძანება წარმოქმნის ერთი ზოგადი დანიშნულების RSA გასაღების წყვილს. თუ მოდული არ არის მითითებული, გამოიყენება 1024-ის ნაგულისხმევი გასაღების მოდული. თქვენ შეგიძლიათ მიუთითოთ მოდულის სხვა ზომები მოდულის საკვანძო სიტყვით.
ნაბიჯი 4
დასასრული მაგampლე:
მოწყობილობა(კონფიგურაცია)# დასასრული
გამოდის გლობალური კონფიგურაციის რეჟიმიდან და უბრუნდება პრივილეგირებულ EXEC რეჟიმს.
ნაბიჯი 5
აჩვენე ავთენტიფიკაციის სესიის ინტერფეისის ინტერფეისი-id მაგampლე:
ამოწმებს ავტორიზებული სესიის უსაფრთხოების სტატუსს.
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 17
ჩარიცხვის კონფიგურაცია SCEP-ის გამოყენებით
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
ბრძანება ან მოქმედება
მოწყობილობის # ჩვენება ავთენტიფიკაციის სესიის ინტერფეისი gigabitethernet 0/1/1
მიზანი
ჩარიცხვის კონფიგურაცია SCEP-ის გამოყენებით
მარტივი სერტიფიკატის ჩარიცხვის პროტოკოლი (SCEP) არის Cisco-ს მიერ შემუშავებული ჩარიცხვის პროტოკოლი, რომელიც იყენებს HTTP-ს სერტიფიკატის ორგანოსთან (CA) ან სარეგისტრაციო ორგანოსთან (RA) დასაკავშირებლად. SCEP არის ყველაზე ხშირად გამოყენებული მეთოდი მოთხოვნებისა და სერთიფიკატების გაგზავნისა და მიღებისთვის.
ნაბიჯი 1 ნაბიჯი 2 ნაბიჯი 3 ნაბიჯი 4
ნაბიჯი 5 ნაბიჯი 6 ნაბიჯი 7 ნაბიჯი 8
პროცედურა
ბრძანება ან მოქმედება ჩართეთ მაგampლე:
მოწყობილობა> ჩართვა
მიზანი რთავს პრივილეგირებულ EXEC რეჟიმს. მოთხოვნის შემთხვევაში შეიყვანეთ თქვენი პაროლი.
ტერმინალის კონფიგურაცია მაგampლე:
მოწყობილობის # კონფიგურაციის ტერმინალი
შედის გლობალური კონფიგურაციის რეჟიმში.
კრიპტო pki trustpoint სერვერის სახელი მაგampლე:
მოწყობილობა(კონფიგურაცია)# კრიპტო pki სანდო წერტილი ka
აცხადებს ნდობის წერტილს და მითითებულ სახელს და შედის ca-trustpoint კონფიგურაციის რეჟიმში.
ჩარიცხვა url url სახელი პემი
Exampლე:
Device(ca-trustpoint)# ჩარიცხვა url http://url:80
აკონკრეტებს URL CA, რომელზეც თქვენმა მოწყობილობამ უნდა გაგზავნოს სერტიფიკატის მოთხოვნები.
IPv6 მისამართის დამატება შესაძლებელია URL ჩასმული ფრჩხილებში. მაგample: http:// [2001:DB8:1:1::1]:80.
pem საკვანძო სიტყვა ამატებს კონფიდენციალურობით გაძლიერებული ფოსტის (PEM) საზღვრებს სერტიფიკატის მოთხოვნას.
rsakeypair ეტიკეტი
განსაზღვრავს გასაღების რომელი წყვილი უნდა იყოს დაკავშირებული სერტიფიკატთან.
Exampლე:
შენიშვნა
მოწყობილობა(ca-trustpoint)# rsakeypair exampleCAkeys
rsakeypair სახელი უნდა ემთხვეოდეს ნდობის წერტილის სახელს.
სერიული ნომერი არცერთი მაგampლე:
მოწყობილობა(ca-trustpoint)# სერიული ნომერი არ არის
ip-მისამართი არცერთი მაგampლე:
მოწყობილობა(ca-trustpoint)# ip-მისამართი არ არის
revocation-check crl მაგampლე:
None საკვანძო სიტყვა მიუთითებს, რომ სერიული ნომერი არ შედის სერტიფიკატის მოთხოვნაში.
None საკვანძო სიტყვა მიუთითებს, რომ სერთიფიკატის მოთხოვნაში IP მისამართი არ უნდა იყოს შეტანილი.
განსაზღვრავს CRL-ს, როგორც მეთოდს იმის უზრუნველსაყოფად, რომ თანატოლის სერტიფიკატი არ გაუქმდეს.
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 18
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
ჩარიცხვის ხელით კონფიგურაცია
ნაბიჯი 9
ნაბიჯი 10 ნაბიჯი 11 ნაბიჯი 12 ნაბიჯი 13
ბრძანება ან მოქმედება
Device(ca-trustpoint)# revocation-check crl
მიზანი
ავტომატური ჩარიცხვის პროცენტის რეგენერაცია
ჩართავს ავტომატურ ჩარიცხვას, რაც კლიენტს საშუალებას აძლევს
Exampლე:
ავტომატურად მოითხოვეთ გადაბრუნების სერთიფიკატი CA-სგან.
Device(ca-trustpoint)# auto-reroll 90 regenerate თუ ავტომატური რეგისტრაცია ჩართული არ არის, კლიენტი ხელით ხელახლა უნდა ჩაირიცხოს თქვენს PKI-ში სერტიფიკატის საფუძველზე
ვადის გასვლა.
ნაგულისხმევად, სერტიფიკატში შედის მოწყობილობის მხოლოდ Domain Name System (DNS) სახელი.
გამოიყენეთ პროცენტული არგუმენტი იმის დასაზუსტებლად, რომ პროცენტის შემდეგ მოითხოვება ახალი სერტიფიკატიtagმიღწეულია მიმდინარე სერთიფიკატის მოქმედების ვადა.
გამოიყენეთ რეგენერაციის საკვანძო სიტყვა სერთიფიკატის ახალი გასაღების შესაქმნელად, მაშინაც კი, თუ დასახელებული გასაღები უკვე არსებობს.
თუ გასაღებების წყვილი, რომლის გადახვევა შესაძლებელია, ექსპორტირებადია, ახალი გასაღების წყვილი ასევე ექსპორტირებადი იქნება. შემდეგი კომენტარი გამოჩნდება ნდობის წერტილის კონფიგურაციაში, რათა მიუთითოს არის თუ არა გასაღების წყვილი ექსპორტირებადი: „! RSA გასაღების წყვილი, რომელიც დაკავშირებულია trustpoint-თან, ექსპორტირებადია.
უსაფრთხოების მიზეზების გამო, რეკომენდებულია გასაღების ახალი წყვილის გენერირება.
გასვლა მაგampლე:
Device(ca-trustpoint)# გასვლა
გამოდის ca-trustpoint კონფიგურაციის რეჟიმიდან და უბრუნდება გლობალური კონფიგურაციის რეჟიმს.
კრიპტო pki ავთენტიფიკაციის სახელი მაგampლე:
Device(config)# კრიპტო pki ავთენტიფიკაცია myca
იღებს CA სერთიფიკატს და ამოწმებს მის ავთენტიფიკაციას.
დასასრული მაგampლე:
მოწყობილობა(კონფიგურაცია)# დასასრული
გამოდის გლობალური კონფიგურაციის რეჟიმიდან და უბრუნდება პრივილეგირებულ EXEC რეჟიმს.
კრიპტო pki სერთიფიკატის ნდობის წერტილის დასახელების ჩვენება მაგampლე:
მოწყობილობის # ჩვენება კრიპტო pki სერთიფიკატი ka
აჩვენებს ინფორმაციას ნდობის წერტილის სერტიფიკატის შესახებ.
ჩარიცხვის ხელით კონფიგურაცია
თუ თქვენი CA არ უჭერს მხარს SCEP-ს ან თუ ქსელური კავშირი როუტერსა და CA-ს შორის შეუძლებელია. შეასრულეთ შემდეგი დავალება სერტიფიკატის ხელით ჩარიცხვის დასაყენებლად:
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 19
ჩარიცხვის ხელით კონფიგურაცია
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
ნაბიჯი 1 ნაბიჯი 2 ნაბიჯი 3 ნაბიჯი 4
ნაბიჯი 5 ნაბიჯი 6 ნაბიჯი 7 ნაბიჯი 8 ნაბიჯი 9 ნაბიჯი 10
პროცედურა
ბრძანება ან მოქმედება ჩართეთ მაგampლე:
მოწყობილობა> ჩართვა
მიზანი რთავს პრივილეგირებულ EXEC რეჟიმს. მოთხოვნის შემთხვევაში შეიყვანეთ თქვენი პაროლი.
ტერმინალის კონფიგურაცია მაგampლე:
მოწყობილობის # კონფიგურაციის ტერმინალი
შედის გლობალური კონფიგურაციის რეჟიმში.
კრიპტო pki trustpoint სერვერის სახელი მაგampლე:
მოწყობილობა# კრიპტო pki trustpoint ka
აცხადებს ნდობის წერტილს და მითითებულ სახელს და შედის ca-trustpoint კონფიგურაციის რეჟიმში.
ჩარიცხვა url url-სახელი
Exampლე:
Device(ca-trustpoint)# ჩარიცხვა url http://url:80
აკონკრეტებს URL CA, რომელზეც თქვენმა მოწყობილობამ უნდა გაგზავნოს სერტიფიკატის მოთხოვნები.
IPv6 მისამართის დამატება შესაძლებელია URL ჩასმული ფრჩხილებში. მაგample: http:// [2001:DB8:1:1::1]:80.
pem საკვანძო სიტყვა ამატებს კონფიდენციალურობით გაძლიერებული ფოსტის (PEM) საზღვრებს სერტიფიკატის მოთხოვნას.
rsakeypair ეტიკეტი
განსაზღვრავს გასაღების რომელი წყვილი უნდა იყოს დაკავშირებული სერტიფიკატთან.
Exampლე:
მოწყობილობა(ca-trustpoint)# rsakeypair exampleCAkeys
სერიული ნომერი არცერთი მაგampლე:
მოწყობილობა(ca-trustpoint)# სერიული ნომერი არ არის
მიუთითებს, რომ სერიული ნომრები არ შედის სერტიფიკატის მოთხოვნაში.
ip-მისამართი არცერთი მაგampლე:
მოწყობილობა(ca-trustpoint)# ip-მისამართი არ არის
None საკვანძო სიტყვა მიუთითებს, რომ სერთიფიკატის მოთხოვნაში IP მისამართი არ უნდა იყოს შეტანილი.
revocation-check crl მაგampლე:
Device(ca-trustpoint)# revocation-check crl
განსაზღვრავს CRL-ს, როგორც მეთოდს იმის უზრუნველსაყოფად, რომ თანატოლის სერტიფიკატი არ გაუქმდეს.
გასვლა მაგampლე:
Device(ca-trustpoint)# გასვლა
გამოდის ca-trustpoint კონფიგურაციის რეჟიმიდან და უბრუნდება გლობალური კონფიგურაციის რეჟიმს.
კრიპტო pki ავთენტიფიკაციის სახელი მაგampლე:
Device(config)# კრიპტო pki ავთენტიფიკაცია myca
იღებს CA სერთიფიკატს და ამოწმებს მის ავთენტიფიკაციას.
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 20
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
802.1x ავთენტიფიკაციის ჩართვა და AAA კონფიგურაცია
ნაბიჯი 11 ნაბიჯი 12
ნაბიჯი 13 ნაბიჯი 14
Command ან Action კრიპტო pki რეგისტრაციის სახელი მაგampლე:
მოწყობილობა(კონფიგურაცია)# კრიპტო pki რეგისტრაცია myca
მიზანი
წარმოქმნის სერთიფიკატის მოთხოვნას და აჩვენებს მოთხოვნას სერთიფიკატის სერვერზე კოპირებისა და ჩასმის შესახებ.
შეიყვანეთ ჩარიცხვის ინფორმაცია, როდესაც მოგეთხოვებათ. მაგample, მიუთითეთ, შეიტანოს თუ არა მოწყობილობის FQDN და IP მისამართი სერტიფიკატის მოთხოვნაში.
თქვენ ასევე გეძლევათ არჩევანი სერთიფიკატის მოთხოვნის კონსოლის ტერმინალში ჩვენების შესახებ.
ნაჩვენებია base-64 კოდირებული სერთიფიკატი PEM სათაურებით ან მის გარეშე, როგორც მოთხოვნილი.
კრიპტო pki იმპორტის სახელის სერთიფიკატი
ახდენს სერთიფიკატის იმპორტს TFTP-ის საშუალებით კონსოლის ტერმინალში,
Exampლე:
რომელიც იბრუნებს მინიჭებულ სერტიფიკატს.
Device(config)# crypto pki import myca სერთიფიკატი მოწყობილობა ცდილობს მინიჭებული სერთიფიკატის მოძიებას TFTP-ის მეშვეობით იგივე გამოყენებით fileსახელი, რომელიც გამოიყენება მოთხოვნის გასაგზავნად,
გარდა გაფართოება იცვლება “.req”-დან “.crt”. ამისთვის
გამოიყენე გასაღების სერთიფიკატები, გაფართოებები „-sign.crt“ და
"-encr.crt" გამოიყენება.
მოწყობილობა აანალიზებს მიღებულს files, ამოწმებს სერთიფიკატებს და ათავსებს სერთიფიკატებს გადამრთველის შიდა სერტიფიკატების მონაცემთა ბაზაში.
შენიშვნა
ზოგიერთი CA უგულებელყოფს გამოყენების საკვანძო ინფორმაციას
სერტიფიკატის მოთხოვნასა და გაცემის ზოგად
მიზნობრივი გამოყენების სერთიფიკატები. თუ თქვენი CA უგულებელყოფს
გამოყენების გასაღები ინფორმაცია სერტიფიკატში
მოთხოვნა, მხოლოდ ზოგადი დანიშნულების იმპორტი
სერთიფიკატი. როუტერი არ გამოიყენებს ერთ-ერთს
ორი გასაღების წყვილი გენერირებულია.
დასასრული მაგampლე:
მოწყობილობა(კონფიგურაცია)# დასასრული
კრიპტო pki სერთიფიკატის ნდობის წერტილის დასახელების ჩვენება მაგampლე:
მოწყობილობის # ჩვენება კრიპტო pki სერთიფიკატი ka
გამოდის გლობალური კონფიგურაციის რეჟიმიდან და უბრუნდება პრივილეგირებულ EXEC რეჟიმს.
აჩვენებს ინფორმაციას ნდობის წერტილის სერტიფიკატის შესახებ.
802.1x ავთენტიფიკაციის ჩართვა და AAA კონფიგურაცია
შემაჯამებელი ნაბიჯები
1. ჩართვა 2. ტერმინალის კონფიგურაცია 3. aaa new-model 4. dot1x system-auth-control
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 21
802.1x ავთენტიფიკაციის ჩართვა და AAA კონფიგურაცია
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
5. რადიუსის სერვერის სახელი 6. მისამართი ip-address auth-port port-number acct-port port-number 7. automate-tester მომხმარებლის სახელი მომხმარებლის სახელი 8. გასაღები სტრიქონი 9. radius-server deadtime წუთები 10. გასვლა 11. ააა ჯგუფის სერვერის რადიუსი ჯგუფის სახელი 12. სერვერის სახელი 13. გასვლა 14. aaa ავტორიზაცია dot1x ნაგულისხმევი ჯგუფი ჯგუფის სახელი 15. ააა ავტორიზაციის ქსელის ნაგულისხმევი ჯგუფი ჯგუფის სახელი
დეტალური ნაბიჯები
ნაბიჯი 1
ბრძანება ან მოქმედება ჩართეთ მაგampლე:
მოწყობილობა> ჩართვა
მიზანი რთავს პრივილეგირებულ EXEC რეჟიმს. მოთხოვნის შემთხვევაში შეიყვანეთ თქვენი პაროლი.
ნაბიჯი 2
ტერმინალის კონფიგურაცია მაგampლე:
მოწყობილობის # კონფიგურაციის ტერმინალი
შედის გლობალური კონფიგურაციის რეჟიმში.
ნაბიჯი 3
ააა ახალი მოდელი ეგampლე:
მოწყობილობა(კონფიგურაცია)# aaa ახალი მოდელი
რთავს AAA-ს.
ნაბიჯი 4
dot1x system-auth-control მაგampლე:
მოწყობილობა(კონფიგურაცია)# dot1x system-auth-control
ჩართავს 802.1X თქვენს მოწყობილობაზე.
ნაბიჯი 5
რადიუსის სერვერის სახელი მაგampლე:
მოწყობილობა(კონფიგურაცია)# რადიუსის სერვერი ISE
განსაზღვრავს RADIUS სერვერის კონფიგურაციის სახელს დაცული წვდომის სერთიფიკატის (PAC) უზრუნველყოფისთვის და შედის RADIUS სერვერის კონფიგურაციის რეჟიმში.
ნაბიჯი 6
მისამართი ip-address auth-port port-number acct-port port-number
აკონფიგურირებს IPv4 მისამართს RADIUS სერვერის აღრიცხვისა და ავთენტიფიკაციის პარამეტრებისთვის.
Exampლე:
მოწყობილობა(config-radius-server)# მისამართი ipv4 auth-port 4 acct-port 1645
ნაბიჯი 7
ავტომატური ტესტერის მომხმარებლის სახელი მომხმარებლის სახელი
Exampლე:
Device(config-radius-server)# automate-tester username dummy
რთავს ავტომატური ტესტირების ფუნქციას RADIUS სერვერისთვის.
ამ პრაქტიკით, მოწყობილობა პერიოდულად აგზავნის სატესტო ავთენტიფიკაციის შეტყობინებებს RADIUS სერვერზე. ის ეძებს RADIUS პასუხს სერვერისგან. წარმატება
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 22
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
მიმდინარეობს Switch-to-Switch MACsec დაშიფვრის კონფიგურაცია
ნაბიჯი 8 ნაბიჯი 9 ნაბიჯი 10 ნაბიჯი 11 ნაბიჯი 12 ნაბიჯი 13 ნაბიჯი 14 ნაბიჯი 15
ბრძანება ან მოქმედება
მიზანი
შეტყობინება არ არის საჭირო – საკმარისია წარუმატებელი ავთენტიფიკაცია, რადგან ის აჩვენებს, რომ სერვერი ცოცხალია.
გასაღების სტრიქონი მაგampლე:
მოწყობილობა(config-radius-server)# გასაღები dummy123
აკონფიგურირებს ავთენტიფიკაციისა და დაშიფვრის გასაღებს ყველა RADIUS კომუნიკაციისთვის მოწყობილობასა და RADIUS სერვერს შორის.
რადიუსი-სერვერის მკვდარი დროის წუთები
Exampლე:
მოწყობილობა(config-radius-server)# radius-server deadtime 2
აუმჯობესებს RADIUS რეაგირების დროს, როდესაც ზოგიერთი სერვერი შეიძლება მიუწვდომელი იყოს და დაუყოვნებლივ გამოტოვებს მიუწვდომელ სერვერებს.
გასვლა მაგampლე:
Device(config-radius-server)# გასვლა
უბრუნდება გლობალური კონფიგურაციის რეჟიმში.
ააა ჯგუფის სერვერის რადიუსი ჯგუფის სახელი მაგampლე:
მოწყობილობა(კონფიგურაცია)# aaa ჯგუფის სერვერის რადიუსი ISEGRP
აჯგუფებს სხვადასხვა RADIUS სერვერის ჰოსტებს განსხვავებულ სიებში და განსხვავებულ მეთოდებში და შედის სერვერის ჯგუფის კონფიგურაციის რეჟიმში.
სერვერის სახელი მაგampლე:
Device(config-sg)# სერვერის სახელი ISE
ანიჭებს RADIUS სერვერის სახელს.
გასვლა მაგampლე:
Device(config-sg)# გასვლა
უბრუნდება გლობალური კონფიგურაციის რეჟიმში.
aaa ავტორიზაცია dot1x ნაგულისხმევი ჯგუფი ჯგუფის სახელი მაგampლე:
აყენებს ნაგულისხმევ ავთენტიფიკაციის სერვერის ჯგუფს IEEE 802.1x-ისთვის.
Device(config)# aaa ავთენტიფიკაცია dot1x ნაგულისხმევი ჯგუფი ISEGRP
ააა ავტორიზაციის ქსელის ნაგულისხმევი ჯგუფი ჯგუფის სახელი მაგampლე:
ააა ავტორიზაციის ქსელის ნაგულისხმევი ჯგუფი ISEGRP
აყენებს ქსელის ავტორიზაციის ნაგულისხმევ ჯგუფს.
მიმდინარეობს Switch-to-Switch MACsec დაშიფვრის კონფიგურაცია
იმისათვის, რომ გამოიყენოთ MACsec MKA სერთიფიკატზე დაფუძნებული MACsec დაშიფვრის ინტერფეისებზე, შეასრულეთ შემდეგი დავალება:
ნაბიჯი 1
პროცედურის ბრძანება ან მოქმედების ჩართვა
მიზანი რთავს პრივილეგირებულ EXEC რეჟიმს.
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 23
მიმდინარეობს Switch-to-Switch MACsec დაშიფვრის კონფიგურაცია
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
ნაბიჯი 2 ნაბიჯი 3 ნაბიჯი 4 ნაბიჯი 5 ნაბიჯი 6 ნაბიჯი 7 ნაბიჯი 8 ნაბიჯი 9 ნაბიჯი 10 ნაბიჯი 11
ბრძანება ან მოქმედება მაგampლე:
მოწყობილობა> ჩართვა
მიზანი შეიყვანეთ თქვენი პაროლი, მოთხოვნის შემთხვევაში.
ტერმინალის კონფიგურაცია მაგampლე:
მოწყობილობის # კონფიგურაციის ტერმინალი
შედის გლობალური კონფიგურაციის რეჟიმში.
ინტერფეისის ინტერფეისი-id მაგampლე:
მოწყობილობა(კონფიგურაცია)# ინტერფეისი gigabitethernet 2/9
განსაზღვრავს MACsec ინტერფეისს და შედის ინტერფეისის კონფიგურაციის რეჟიმში. ინტერფეისი უნდა იყოს ფიზიკური ინტერფეისი.
macsec ქსელის ბმული მაგampლე:
Device(config-if)# macsec ქსელის ბმული
რთავს MACsec-ს ინტერფეისზე.
ავთენტიფიკაციის პერიოდული მაგampლე:
Device(config-if)# ავთენტიფიკაციის პერიოდული
(არასავალდებულო) რთავს ამ პორტის ხელახალი ავტორიზაციას.
ავთენტიფიკაციის ტაიმერი ხელახლა ავთენტიფიკაციის ინტერვალი
Exampლე:
Device(config-if)# ავთენტიფიკაციის ტაიმერი ხელახლა ავთენტიფიკაციის ინტერვალი
(სურვილისამებრ) ადგენს ხელახალი ავტორიზაციის ინტერვალს.
ხელმისაწვდომობა-სესიის ჰოსტის რეჟიმი მრავალჰოსტი
Exampლე:
Device(config-if)# წვდომა-სესიის ჰოსტის რეჟიმი მრავალჰოსტი
საშუალებას აძლევს მასპინძლებს მიიღონ წვდომა ინტერფეისზე.
წვდომა-სესია დახურულია მაგampლე:
Device(config-if)# წვდომა-სესია დახურულია
ხელს უშლის ავთენტიფიკაციის წვდომას ინტერფეისზე.
წვდომის სესიის პორტის კონტროლის ავტომატური
Exampლე:
Device(config-if)# წვდომა-სესიის პორტ-კონტროლის ავტომატური
ადგენს პორტის ავტორიზაციის მდგომარეობას.
dot1x pae ორივე მაგampლე:
Device(config-if)# dot1x გადაიხადე ორივე
აკონფიგურირებს პორტს, როგორც 802.1X პორტის წვდომის ერთეულს (PAE) მომთხოვნი და ავთენტიფიკატორი.
dot1x რწმუნებათა სიგელები პროfile Exampლე:
Device(config-if)# dot1x რწმუნებათა სიგელები პროfile
ანიჭებს 802.1x რწმუნებათა სიგელების პროფესიონალსfile ინტერფეისამდე.
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 24
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
Example: Switch-to-Switch Certificate Based MACsec
ნაბიჯი 12 ნაბიჯი 13 ნაბიჯი 14 ნაბიჯი 15
ბრძანება ან მოქმედების დასასრული მაგampლე:
Device(config-if)# დასასრული
მიზანი
გადის ინტერფეისის კონფიგურაციიდან mdoe და უბრუნდება პრივილეგირებულ EXEC რეჟიმში.
macsec ინტერფეისის ინტერფეისის ID-ის ჩვენება
აჩვენებს MACsec დეტალებს ინტერფეისისთვის.
Exampლე:
მოწყობილობის # ჩვენება macsec ინტერფეისი GigabitEthernet 2/9
წვდომის სესიის ინტერფეისის ინტერფეისის-id დეტალების ჩვენება
Exampლე:
მოწყობილობა # აჩვენებს წვდომის სესიის ინტერფეისს GigabitEthernet 2/9 დეტალებს
ამოწმებს წარმატებულ dot1x ავთენტიფიკაციას და ავტორიზაციას. ეს არის პირველი, რაც უნდა შეამოწმოთ. თუ dot1x ავტორიზაცია ვერ მოხერხდა, მაშინ MKA არასოდეს დაიწყება.
mka სესიის ინტერფეისის ინტერფეისის-id დეტალების ჩვენება
აჩვენებს MKA სესიის დეტალურ სტატუსს.
Exampლე:
მოწყობილობის # ჩვენება mka სესიის ინტერფეისი GigabitEthernet 2/9 დეტალები
Example: Switch-to-Switch Certificate Based MACsec
ყოფილიampგადართვის სერთიფიკატზე დაფუძნებული MACsec-ის კონფიგურაცია ნაჩვენებია ქვემოთ.
კონფიგურაციის ტერმინალი aaa ახალი მოდელი aaa ადგილობრივი ავტორიზაციის ნაგულისხმევი ავტორიზაციის ნაგულისხმევი ! ! aaa ავტორიზაცია dot1x ნაგულისხმევი ჯგუფის რადიუსი ადგილობრივი ააა ავტორიზაცია exec ნაგულისხმევი ლოკალური ააა ავტორიზაციის ქსელი ნაგულისხმევი ჯგუფის რადიუსი ლოკალური ააა ავტორიზაციის ნაგულისხმევი ჯგუფი რადიუსი ააა ავტორიზაციის რწმუნებათა სიგელები-ჩამოტვირთეთ ნაგულისხმევი ლოკალური ააა ბუღალტრული იდენტიფიკაცია ნაგულისხმევი start-stop ჯგუფის რადიუსი ! ! aaa ატრიბუტების სია უნდა
ატრიბუტის ტიპი linksec-policy must-secure ! aaa ატრიბუტების სია macsec-dot1-credentials
ატრიბუტის ტიპი linksec-policy must-secure ! aaa ატრიბუტების სია MUSTS_CA
ატრიბუტის ტიპი linksec-policy must-secure ! aaa ატრიბუტების სია SHOULDS_CA
ატრიბუტის ტიპი linksec-policy should-secure ! aaa ატრიბუტების სია mkadt_CA
ატრიბუტის ტიპი linksec-policy must-secure ! aaa session-id საერთო
მომხმარებლის სახელი MUST aaa ატრიბუტების სია MUSTS_CA მომხმარებლის სახელი MUSTS.mkadt.cisco.com
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 25
MKA/MACsec-ის კონფიგურაცია პორტის არხისთვის
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
crypto pki trustpoint დემო ჩარიცხვის ტერმინალის სერიული ნომერი fqdn MUSTS.mkadt.cisco.com სუბიექტის სახელი cn=MUSTS.mkadt.cisco.com,OU=CSG Security,O=Cisco Systems,L=ბენგალურუ,ST=KA,C= IN
subject-alt-name MUSTS.mkadt.cisco.com revocation-check none rsakeypair demo 2048 hash sha256
eap პროfile EAP_P მეთოდი tls
pki-trustpoint დემო ვერსია
dot1x system-auth-control dot1x რწმუნებათა სიგელები MUSTS-CA
მომხმარებლის სახელი MUST პაროლი 0 MUST_CA! dot1x რწმუნებათა სიგელები უნდა იყოს მომხმარებლის სახელი MUSTS.mkadt.cisco.comcrypto pki ავთენტიფიკაციის დემო ვერსია
კრიპტო pki ავთენტიფიკაცია კრიპტო pki დარეგისტრირება დემო კრიპტო კრიპტო pki იმპორტის დემო სერთიფიკატი
პოლიტიკის რუქის ტიპის კონტროლის აბონენტი MUSTS_1 ღონისძიების სესიის დაწყებული მატჩი-ყველა 10 კლასი ყოველთვის გააკეთე-მდე-შეუსრულებლობა 10 ავტორიზაცია dot1x-ის გამოყენებით ორივე მოვლენა ავთენტიფიკაცია-შეცდომით ემთხვევა-ყველა 10 კლასი ყოველთვის გააკეთე-მდე-მარცხი 10 შეწყვეტა dot1x 20 ავტორიზაცია 10წთ ღონისძიების ავთენტიფიკაცია-წარმატების მატჩი-ყველა 10 კლასი ყოველთვის კეთდება მანამ, სანამ 10 ააქტიურებს სერვისის შაბლონს DEFAULT_LINKSEC_POLICY_MUST_SECURE
ინტერფეისი GigabitEthernet2/9 გადამრთველი რეჟიმის წვდომა macsec წვდომა-სესიის ჰოსტის რეჟიმი მრავალჰოსტის წვდომა-სესიის დახურული წვდომა-სესიის პორტის კონტროლი auto dot1x pae ორივე dot1x authenticator eap profile EAP_P dot1x რწმუნებათა სიგელები უნდა იყოს dot1x მომთხოვნი eap profile EAP_P სერვისის პოლიტიკის ტიპის კონტროლის აბონენტი MUSTS_1
MKA/MACsec-ის კონფიგურაცია პორტის არხისთვის
MKA/MACsec-ის კონფიგურაცია პორტის არხისთვის PSK-ის გამოყენებით
შემაჯამებელი ნაბიჯები
1. ტერმინალის კონფიგურაცია 2. ინტერფეისის ინტერფეისი-id 3. macsec
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 26
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
პორტის არხის ლოგიკური ინტერფეისების კონფიგურაცია ფენის 2 EtherChannels-ისთვის
4. mka Policy policy-name 5. mka pre-shared-key key-chain key-chain-name 6. არხის ჯგუფის არხის ჯგუფის ნომრის რეჟიმი {აქტიური | პასიური } | {on } 7. დასასრული
დეტალური ნაბიჯები
ნაბიჯი 1
ბრძანების ან მოქმედების კონფიგურაციის ტერმინალი
ნაბიჯი 2 ინტერფეისის ID
ნაბიჯი 3 მაკსეკი
ნაბიჯი 4 ნაბიჯი 5
mka Policy Policy-name mka pre-shared-key key-chain key-chain-name
მიზანი შედით გლობალური კონფიგურაციის რეჟიმში.
შედის ინტერფეისის კონფიგურაციის რეჟიმში.
რთავს MACsec-ს ინტერფეისზე. მხარს უჭერს ფენის 2 და 3 პორტის არხებს.
აკონფიგურირებს MKA პოლიტიკას.
აკონფიგურირებს MKA წინასწარ გაზიარებული გასაღების საკვანძო ჯაჭვის სახელს.
შენიშვნა
MKA წინასწარ გაზიარებული გასაღების კონფიგურაცია შესაძლებელია
ფიზიკურ ინტერფეისზე ან ქვეინტერფეისებზე
და არა ორივეზე.
ნაბიჯი 6
არხის ჯგუფი არხი-ჯგუფი-ნომრის რეჟიმი {აქტიური | პასიური } | {ზე}
აკონფიგურირებს პორტს არხების ჯგუფში და ადგენს რეჟიმს. არხის ნომრის დიაპაზონი არის 1-დან 4096-მდე. ამ არხების ჯგუფთან დაკავშირებული პორტის არხი ავტომატურად იქმნება, თუ პორტის არხი უკვე არ არსებობს. რეჟიმისთვის აირჩიეთ შემდეგი საკვანძო სიტყვებიდან ერთ-ერთი:
· ჩართვა — აიძულებს პორტს არხს PAgP ან LACP-ის გარეშე. ჩართვის რეჟიმში, EtherChannel არსებობს მხოლოდ მაშინ, როდესაც ჩართული რეჟიმში მყოფი პორტის ჯგუფი დაკავშირებულია სხვა პორტის ჯგუფთან ჩართულ რეჟიმში.
· აქტიური — რთავს LACP-ს მხოლოდ იმ შემთხვევაში, თუ აღმოჩენილია LACP მოწყობილობა. ის ათავსებს პორტს აქტიურ მოლაპარაკების მდგომარეობაში, რომელშიც პორტი იწყებს მოლაპარაკებებს სხვა პორტებთან LACP პაკეტების გაგზავნით.
· პასიური — რთავს LACP-ს პორტზე და ათავსებს მას პასიურ მოლაპარაკების მდგომარეობაში, რომელშიც პორტი პასუხობს LACP პაკეტებს, რომლებსაც ის იღებს, მაგრამ არ იწყებს LACP პაკეტების მოლაპარაკებას.
ნაბიჯი 7 დასასრული
უბრუნდება პრივილეგირებულ EXEC რეჟიმში.
პორტის არხის ლოგიკური ინტერფეისების კონფიგურაცია ფენის 2 EtherChannels-ისთვის
Layer 2 EtherChannel-ისთვის პორტის არხის ინტერფეისის შესაქმნელად, შეასრულეთ ეს დავალება:
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 27
პორტის არხის ლოგიკური ინტერფეისების კონფიგურაცია ფენის 3 EtherChannels-ისთვის
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
შემაჯამებელი ნაბიჯები
1. ტერმინალის კონფიგურაცია 2. [არა] ინტერფეისი პორტ-არხის არხი-ჯგუფი-ნომერი 3. გადამრთველი 4. გადამრთველი რეჟიმი {წვდომა | საყრდენი } 5. დასასრული
დეტალური ნაბიჯები
ნაბიჯი 1
ბრძანების ან მოქმედების კონფიგურაციის ტერმინალი
ნაბიჯი 2 [არა] ინტერფეისი პორტ-არხის არხი-ჯგუფის ნომერი
მიზანი შედით გლობალური კონფიგურაციის რეჟიმში.
ქმნის პორტის არხის ინტერფეისს.
შენიშვნა
გამოიყენეთ ამ ბრძანების არა ფორმა წასაშლელად
პორტის არხის ინტერფეისი.
ნაბიჯი 3 გადამრთველი ნაბიჯი 4 გადამრთველი რეჟიმი {წვდომა | trunk } ნაბიჯი 5 დასასრული
ცვლის ინტერფეისს, რომელიც არის Layer 3 რეჟიმში, Layer 2 რეჟიმში Layer 2-ის კონფიგურაციისთვის.
ანიჭებს ყველა პორტს, როგორც სტატიკური წვდომის პორტებს იმავე VLAN-ში, ან აკონფიგურირებს მათ ტრანკებად.
უბრუნდება პრივილეგირებულ EXEC რეჟიმში.
პორტის არხის ლოგიკური ინტერფეისების კონფიგურაცია ფენის 3 EtherChannels-ისთვის
Layer 3 EtherChannel-ისთვის პორტის არხის ინტერფეისის შესაქმნელად, შეასრულეთ ეს დავალება:
შემაჯამებელი ნაბიჯები
1. ტერმინალის კონფიგურაცია 2. ინტერფეისი პორტი-არხის ინტერფეისი-id 3. არ არის გადამრთველი 4. ip მისამართი ip-მისამართი subnet_mask 5. დასასრული
დეტალური ნაბიჯები
ნაბიჯი 1
ბრძანების ან მოქმედების კონფიგურაციის ტერმინალი
ნაბიჯი 2 ინტერფეისი პორტ-არხის ინტერფეისი-id
ნაბიჯი 3 გადართვის პორტის გარეშე
ნაბიჯი 4 ნაბიჯი 5
ip მისამართი ip-address subnet_mask end
მიზანი შედით გლობალური კონფიგურაციის რეჟიმში. შედის ინტერფეისის კონფიგურაციის რეჟიმში. ცვლის ინტერფეისს, რომელიც არის Layer 2 რეჟიმში, Layer 3 რეჟიმში Layer 3-ის კონფიგურაციისთვის. ანიჭებს IP მისამართს და ქვექსელის ნიღაბს EtherChannel-ს. უბრუნდება პრივილეგირებულ EXEC რეჟიმში.
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 28
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
Example: MACsec MKA-ს კონფიგურაცია პორტის არხისთვის PSK გამოყენებით
Example: MACsec MKA-ს კონფიგურაცია პორტის არხისთვის PSK გამოყენებით
Etherchannel რეჟიმი — სტატიკური/ჩართული
შემდეგი არის როგორცampკონფიგურაცია მოწყობილობა 1-ზე და მოწყობილობა 2-ზე ჩართული EtherChannel რეჟიმით.
გასაღები ჯაჭვი KC macsec გასაღები 1000 კრიპტოგრაფიული-ალგორითმი aes-128-cmac გასაღების სტრიქონი FC8F5B10557C192F03F60198413D7D45 დასასრული
mka პოლიტიკა POLICY გასაღები-სერვერის პრიორიტეტი 0 macsec-cipher-suite gcm-aes-128 კონფიდენციალურობა-offset 0 დასასრული
ინტერფეისი Te1/0/1 არხის ჯგუფი 2 რეჟიმი macsec mka პოლიტიკაზე POLICY mka წინასწარ გაზიარებული გასაღების გასაღების ჯაჭვი KC დასასრული
ინტერფეისი Te1/0/2 არხის ჯგუფი 2 რეჟიმი macsec mka პოლიტიკაზე POLICY mka წინასწარ გაზიარებული გასაღების გასაღების ჯაჭვი KC დასასრული
Layer 2 EtherChannel-ის კონფიგურაცია
მოწყობილობა 1
ინტერფეისის პორტი-არხი 2 გადამრთველი გადამრთველი პორტის რეჟიმი საბარგული არ არის გამორთვა დასასრული
მოწყობილობა 2
ინტერფეისის პორტი-არხი 2 გადამრთველი გადამრთველი პორტის რეჟიმი საბარგული არ არის გამორთვა დასასრული
შემდეგი გვიჩვენებს, როგორცampshow etherchannel-ის შემაჯამებელი ბრძანების გამომავალი.
დროშები: D – ქვემოთ
P – შეფუთულია პორტ-არხში
I – stand-alone s – შეჩერებულია
H – ცხელი ლოდინის რეჟიმი (მხოლოდ LACP)
R – Layer3
S – Layer2
U - გამოიყენება
f – ვერ მოხერხდა აგრეგატორის გამოყოფა
M - არ გამოიყენება, მინიმალური ბმულები არ არის დაცული
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 29
Example: MACsec MKA-ს კონფიგურაცია პორტის არხისთვის PSK გამოყენებით
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
u – შეუფერებელია შეფუთვაში w – ელოდება გაერთიანებას d – ნაგულისხმევი პორტი
A – ჩამოყალიბებულია Auto LAG-ის მიერ
გამოყენებული არხების ჯგუფების რაოდენობა: 1
აგრეგატორების რაოდენობა:
1
ჯგუფი პორტ-არხის პროტოკოლის პორტები
——+————-+————+—————————————————
2
Po2 (RU)
–
Layer 3 EtherChannel-ის კონფიგურაცია
მოწყობილობა 1
Te1/0/1(P) Te1/0/2(P)
ინტერფეისის პორტი-არხი 2 გადამრთველის ip მისამართი 10.25.25.3 255.255.255.0 არ არის გამორთვა
მოწყობილობა 2
ინტერფეისის პორტი-არხი 2 გადამრთველის ip მისამართი 10.25.25.4 255.255.255.0 არ არის გამორთვა
შემდეგი გვიჩვენებს, როგორცampshow etherchannel-ის შემაჯამებელი ბრძანების გამომავალი.
დროშები: D – ქვემოთ
P – შეფუთულია პორტ-არხში
I – stand-alone s – შეჩერებულია
H – ცხელი ლოდინის რეჟიმი (მხოლოდ LACP)
R – Layer3
S – Layer2
U - გამოიყენება
f – ვერ მოხერხდა აგრეგატორის გამოყოფა
M – არ გამოიყენება, მინიმალური ბმულები არ არის დაკმაყოფილებული u – შეუფერებელია w შეფუთვაში – ელოდება გაერთიანებას d – ნაგულისხმევი პორტი
A – ჩამოყალიბებულია Auto LAG-ის მიერ
გამოყენებული არხების ჯგუფების რაოდენობა: 1
აგრეგატორების რაოდენობა:
1
ჯგუფი პორტ-არხის პროტოკოლის პორტები
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 30
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
Example: MACsec MKA-ს კონფიგურაცია პორტის არხისთვის PSK გამოყენებით
——+————-+————+—————————————————
2
Po2 (RU)
–
Te1/0/1(P) Te1/0/2(P)
Etherchannel რეჟიმი - LACP
შემდეგი არის როგორცampკონფიგურაცია მოწყობილობა 1-ზე და მოწყობილობა 2-ზე EtherChannel რეჟიმით, როგორც LACP.
გასაღები ჯაჭვი KC macsec გასაღები 1000 კრიპტოგრაფიული-ალგორითმი aes-128-cmac გასაღების სტრიქონი FC8F5B10557C192F03F60198413D7D45 დასასრული
mka პოლიტიკა POLICY გასაღები-სერვერის პრიორიტეტი 0 macsec-cipher-suite gcm-aes-128 კონფიდენციალურობა-offset 0 დასასრული
ინტერფეისი Te1/0/1 არხი-ჯგუფი 2 რეჟიმი აქტიური macsec mka პოლიტიკა POLICY mka წინასწარ გაზიარებული გასაღების გასაღების ჯაჭვი KC დასასრული
ინტერფეისი Te1/0/2 არხი-ჯგუფი 2 რეჟიმი აქტიური macsec mka პოლიტიკა POLICY mka წინასწარ გაზიარებული გასაღების გასაღების ჯაჭვი KC დასასრული
Layer 2 EtherChannel-ის კონფიგურაცია
მოწყობილობა 1
ინტერფეისის პორტი-არხი 2 გადამრთველი გადამრთველი პორტის რეჟიმი საბარგული არ არის გამორთვა დასასრული
მოწყობილობა 2
ინტერფეისის პორტი-არხი 2 გადამრთველი გადამრთველი პორტის რეჟიმი საბარგული არ არის გამორთვა დასასრული
შემდეგი გვიჩვენებს, როგორცampshow etherchannel-ის შემაჯამებელი ბრძანების გამომავალი.
დროშები: D – ქვემოთ
P – შეფუთულია პორტ-არხში
I – stand-alone s – შეჩერებულია
H – ცხელი ლოდინის რეჟიმი (მხოლოდ LACP)
R – Layer3
S – Layer2
U - გამოიყენება
f – ვერ მოხერხდა აგრეგატორის გამოყოფა
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 31
Example: MACsec MKA-ს კონფიგურაცია პორტის არხისთვის PSK გამოყენებით
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
M – არ გამოიყენება, მინიმალური ბმულები არ არის დაკმაყოფილებული u – შეუფერებელია w შეფუთვაში – ელოდება გაერთიანებას d – ნაგულისხმევი პორტი
A – ჩამოყალიბებულია Auto LAG-ის მიერ
გამოყენებული არხების ჯგუფების რაოდენობა: 1
აგრეგატორების რაოდენობა:
1
——+————-+————+—————————————————
2
Po2 (SU)
LACP
Layer 3 EtherChannel-ის კონფიგურაცია
მოწყობილობა 1
Te1/1/1(P) Te1/1/2(P)
ინტერფეისის პორტი-არხი 2 გადამრთველის ip მისამართი 10.25.25.3 255.255.255.0 არ არის გამორთვა
მოწყობილობა 2
ინტერფეისის პორტი-არხი 2 არ არის გადამრთველი ip მისამართი 10.25.25.4 255.255.255.0 არ იკეტება
შემდეგი გვიჩვენებს, როგორცampshow etherchannel-ის შემაჯამებელი ბრძანების გამომავალი.
დროშები: D – ქვემოთ
P – შეფუთულია პორტ-არხში
I – stand-alone s – შეჩერებულია
H – ცხელი ლოდინის რეჟიმი (მხოლოდ LACP)
R – Layer3
S – Layer2
U - გამოიყენება
f – ვერ მოხერხდა აგრეგატორის გამოყოფა
M – არ გამოიყენება, მინიმალური ბმულები არ არის დაკმაყოფილებული u – შეუფერებელია w შეფუთვაში – ელოდება გაერთიანებას d – ნაგულისხმევი პორტი
A – ჩამოყალიბებულია Auto LAG-ის მიერ
გამოყენებული არხების ჯგუფების რაოდენობა: 1
აგრეგატორების რაოდენობა:
1
ჯგუფი პორტ-არხის პროტოკოლის პორტები
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 32
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
MACsec შიფრის განცხადების კონფიგურაცია
——+————-+————+—————————————————
2
Po2 (RU)
LACP
Te1/1/1(P) Te1/1/2(P)
ნაჩვენებია აქტიური MKA სესიები
ქვემოთ ნაჩვენებია ყველა აქტიური MKA სესია.
# ჩვენება mka სესიების ინტერფეისი Te1/0/1
=========================================================== ===========================================================
ინტერფეისი
ლოკალური-TxSCI
პოლიტიკა-სახელი
მემკვიდრეობით მიღებული
გასაღები-სერვერი
პორტის ID
Peer-RxSCI
MACsec-Peers
სტატუსი
CKN
=========================================================== ===========================================================
Te1/0/1
00a3.d144.3364/0025 POLICY
არა
არა
37 1000
701f.539b.b0c6/0032 1
უზრუნველყოფილი
MACsec შიფრის განცხადების კონფიგურაცია
MKA პოლიტიკის კონფიგურაცია უსაფრთხო განცხადებისთვის
შემაჯამებელი ნაბიჯები
1. ტერმინალის კონფიგურაცია 2. mka Policy Policy-name 3. გასაღები სერვერის პრიორიტეტი 4. [no] send-secure-announcements 5. macsec-cipher-suite {gcm-aes-128 | gcm-aes-256} 6. დასასრული 7. აჩვენე mka პოლიტიკა
დეტალური ნაბიჯები
ნაბიჯი 1
ბრძანების ან მოქმედების კონფიგურაციის ტერმინალი
ნაბიჯი 2 mka პოლიტიკის სახელი
მიზანი
შედით გლობალური კონფიგურაციის რეჟიმში.
განსაზღვრეთ MKA პოლიტიკა და შედით MKA პოლიტიკის კონფიგურაციის რეჟიმში. პოლიტიკის სახელის მაქსიმალური სიგრძეა 16 სიმბოლო.
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 33
უსაფრთხო განცხადების გლობალური კონფიგურაცია (MKA-ს ყველა პოლიტიკის მიხედვით)
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
ბრძანება ან მოქმედება
ნაბიჯი 3 გასაღები სერვერის პრიორიტეტი
ნაბიჯი 4 [არა] გაგზავნა-უსაფრთხო-განცხადებები
ნაბიჯი 5 macsec-cipher-suite {gcm-aes-128 | gcm-aes-256}
ნაბიჯი 6 ნაბიჯი 7
ბოლოს შოუ mka პოლიტიკა
დანიშნულების შენიშვნა
ნაგულისხმევი MACsec შიფრების ნაკრები MKA პოლიტიკაში ყოველთვის იქნება „GCM-AES-128“. თუ მოწყობილობა მხარს უჭერს ორივე „GCM-AES-128“ და „GCM-AES-256“ შიფრებს, რეკომენდებულია მომხმარებლის მიერ განსაზღვრული MKA პოლიტიკის განსაზღვრა და გამოყენება, რომ შეიცავდეს ორივე 128 და 256 ბიტიან შიფრებს ან მხოლოდ 256 ბიტიან შიფრებს, როგორც შეიძლება საჭირო გახდეს.
MKA გასაღები სერვერის პარამეტრების კონფიგურაცია და პრიორიტეტის დაყენება (0-255 შორის).
შენიშვნა
როდესაც გასაღები სერვერის პრიორიტეტი დაყენებულია 255-ზე,
თანატოლი ვერ გახდება გასაღები სერვერი. The
გასაღები სერვერის პრიორიტეტული მნიშვნელობა მოქმედებს მხოლოდ
MKA PSK; და არა MKA EAPTLS-ისთვის.
ჩართავს უსაფრთხო განცხადებების გაგზავნას. გამოიყენეთ ბრძანების ფორმა არა, რათა გამორთოთ უსაფრთხო განცხადებების გაგზავნა. ნაგულისხმევად, უსაფრთხო განცხადებები გამორთულია.
აკონფიგურირებს შიფრების კომპლექტს SAK-ის გამოსაყვანად 128-ბიტიანი ან 256-ბიტიანი დაშიფვრით.
უბრუნდება პრივილეგირებულ EXEC რეჟიმში.
დაადასტურეთ თქვენი ჩანაწერები.
უსაფრთხო განცხადების გლობალური კონფიგურაცია (MKA-ს ყველა პოლიტიკის მიხედვით)
შემაჯამებელი ნაბიჯები
1. დააკონფიგურირეთ ტერმინალი 2. [არა] mka ნაგულისხმევი პოლიტიკა გაგზავნა-უსაფრთხო-განცხადებები 3. დასასრული
დეტალური ნაბიჯები
ნაბიჯი 1
ბრძანების ან მოქმედების კონფიგურაციის ტერმინალი
მიზანი შედით გლობალური კონფიგურაციის რეჟიმში.
ნაბიჯი 2
[no] mka defaults policy send-secure-announcementsჩართავს უსაფრთხო განცხადებების გაგზავნას MKPDU-ებში MKA პოლიტიკის ფარგლებში. ნაგულისხმევად, უსაფრთხო განცხადებები გამორთულია.
ნაბიჯი 3 დასასრული
უბრუნდება პრივილეგირებულ EXEC რეჟიმში.
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 34
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
EAPoL ანონსიების კონფიგურაცია ინტერფეისზე
EAPoL ანონსიების კონფიგურაცია ინტერფეისზე
შემაჯამებელი ნაბიჯები
1. ტერმინალის კონფიგურაცია 2. ინტერფეისის ინტერფეისი-id 3. [no] eapol annoucement 4. დასასრული
დეტალური ნაბიჯები
ნაბიჯი 1
ბრძანების ან მოქმედების კონფიგურაციის ტერმინალი
ნაბიჯი 2 ინტერფეისის ID
ნაბიჯი 3 [არა] ეაპოლის განცხადება
ნაბიჯი 4 დასასრული
მიზანი
შედით გლობალური კონფიგურაციის რეჟიმში.
განსაზღვრავს MACsec ინტერფეისს და შედის ინტერფეისის კონფიგურაციის რეჟიმში. ინტერფეისი უნდა იყოს ფიზიკური ინტერფეისი.
EAPoL განცხადებების ჩართვა. გამოიყენეთ ბრძანების არა ფორმა EAPoL განცხადებების გამორთვისთვის. ნაგულისხმევად, EAPoL განცხადებები გამორთულია.
უბრუნდება პრივილეგირებულ EXEC რეჟიმში.
Examples: MACsec შიფრული განცხადების კონფიგურაცია
ეს ყოფილიampგვიჩვენებს, თუ როგორ უნდა დააკონფიგურიროთ MKA პოლიტიკა უსაფრთხო განცხადებისთვის:
# ტერმინალის კონფიგურაცია (კონფიგურაცია)# mka პოლიტიკა mka_policy (config-mka-policy)# გასაღები-სერვერი 2 (config-mka-policy)# გაგზავნა-უსაფრთხო-განცხადებები (config-mka-პოლიტიკა)#macsec-cipher-suite gcm- aes-128confidentiality-offset 0 (config-mka-policy)# დასასრული
ეს ყოფილიampგვიჩვენებს, თუ როგორ უნდა დააკონფიგურიროთ უსაფრთხო განცხადება გლობალურად:
# ტერმინალის კონფიგურაცია (კონფიგურაცია)# mka ნაგულისხმევი პოლიტიკა გაგზავნა-უსაფრთხო-განცხადებები (კონფიგურაცია)# დასასრული
ეს ყოფილიampგვიჩვენებს, თუ როგორ უნდა დააკონფიგურიროთ EAPoL ანონსიები ინტერფეისზე:
# ტერმინალის კონფიგურაცია (კონფიგურაცია)# ინტერფეისი GigabitEthernet 1/0/1 (config-if)# eapol განცხადება (config-if)# დასასრული
შემდეგი არის როგორცampგამომავალი show running-config ინტერფეისის ინტერფეისის სახელის ბრძანება EAPoL განცხადების ჩართულით.
# აჩვენე გაშვებული კონფიგურაციის ინტერფეისი GigabitEthernet 1/0/1
switchport რეჟიმში წვდომა macsec წვდომა-სესიის ჰოსტის რეჟიმი მრავალჰოსტის წვდომა-სესია დახურულია
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 35
Examples: MACsec შიფრული განცხადების კონფიგურაცია
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
წვდომის სესიის პორტის კონტროლი ავტომატური dot1x pae authenticator dot1x დროის ამოწურვა მშვიდი პერიოდი 10 წერტილი1x დროის ამოწურვა tx-პერიოდი 5 წერტილი1x დროის ამოწურვა supp-timeout 10 წერტილი1x supplicant eap profile peap eapol განცხადება spanning-tree portfast სერვისი-პოლიტიკის ტიპის კონტროლის აბონენტი Dot1X
შემდეგი არის როგორცampშოუ mka სესიების ინტერფეისის ინტერფეისის გამომავალი-სახელი დეტალური ბრძანება უსაფრთხო განცხადებით გამორთულია.
# აჩვენე mka სესიების ინტერფეისი GigabitEthernet 1/0/1 დეტალები
MKA დეტალური სტატუსი MKA სესიისთვის ============================================================== სტატუსი: უსაფრთხო – დაცული MKA სესია MACsec-ით
ადგილობრივი Tx-SCI…………. 204c.9e85.ede4/002b ინტერფეისი MAC მისამართი…. 204c.9e85.ede4 MKA პორტის იდენტიფიკატორი…… 43 ინტერფეისის სახელი……….. GigabitEthernet1/0/1 აუდიტის სესიის ID……… CAK სახელი (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 წევრის იდენტიფიკატორი (MI)… D46CBEC05D5D67594543CEA როლი…………….. NA გასაღები სერვერი…………… დიახ MKA შიფრული კომპლექტი……… AES-89567-CMAC
უახლესი SAK სტატუსი…….. Rx & Tx უახლესი SAK AN………… 0 უახლესი SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) ძველი SAK სტატუსი……….. FIRST-SAK ძველი SAK AN……………… 0 ძველი SAK KI (KN)………. FIRST-SAK (0)
SAK გადაცემის მოლოდინის დრო… 0s (არ ელოდება თანატოლების პასუხს) SAK Retire Time………. 0s (არ არის ძველი SAK პენსიაზე გასასვლელად)
MKA პოლიტიკის დასახელება………. p2 გასაღები სერვერის პრიორიტეტი…… 2 დაგვიანებით დაცვა……… არა განმეორებით დაცვა…….. დიახ გამეორების ფანჯრის ზომა……. 0 კონფიდენციალურობის ოფსეტი… 0 ალგორითმი სისწრაფე…….. 80C201 უსაფრთხო განცხადების გაგზავნა.. გათიშული SAK შიფრული კომპლექტი……… 0080C20001000001 (GCM-AES-128) MACsec გამორთული შესაძლებლობა…….. მთლიანობა და მთლიანობა
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 36
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
Examples: MACsec შიფრული განცხადების კონფიგურაცია
MACsec სასურველი……….. დიახ
გამოხმაურებულია MACsec Canable Live Peers-ის #………… 1 # MACsec-ის უნარიანი ცოცხალი თანატოლების პასუხი.. 1
ცოცხალი თანატოლების სია:
MI
MN
Rx-SCI (თანხმობა)
KS პრიორიტეტი
————————————————————————
38046BA37D7DA77E06D006A9 89555
c800.8459.e764/002a 10
პოტენციური თანატოლების სია:
MI
MN
Rx-SCI (თანხმობა)
KS პრიორიტეტი
————————————————————————
მიძინებული თანატოლების სია:
MI
MN
Rx-SCI (თანხმობა)
KS პრიორიტეტი
————————————————————————
შემდეგი არის როგორცampშოუს მკა სესიების დეტალების ბრძანების გამომავალი უსაფრთხო განცხადება გამორთულია.
# mka სესიების დეტალების ჩვენება
MKA დეტალური სტატუსი MKA სესიისთვის ============================================================== სტატუსი: უსაფრთხო – დაცული MKA სესია MACsec-ით
ადგილობრივი Tx-SCI…………. 204c.9e85.ede4/002b ინტერფეისი MAC მისამართი…. 204c.9e85.ede4 MKA პორტის იდენტიფიკატორი…… 43 ინტერფეისის სახელი……….. GigabitEthernet1/0/1 აუდიტის სესიის ID……… CAK სახელი (CKN)……….. 0100000000000000000000000000000000000000000000000000000000000000 წევრის იდენტიფიკატორი (MI)… D46CBEC05D5D67594543CEA როლი…………….. NA გასაღები სერვერი…………… დიახ MKA შიფრული კომპლექტი……… AES-89572-CMAC
უახლესი SAK სტატუსი…….. Rx & Tx უახლესი SAK AN………… 0 უახლესი SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) ძველი SAK სტატუსი……….. FIRST-SAK ძველი SAK AN……………… 0 ძველი SAK KI (KN)………. FIRST-SAK (0)
SAK გადაცემის მოლოდინის დრო… 0s (არ ელოდება თანატოლების პასუხს) SAK Retire Time………. 0s (არ არის ძველი SAK პენსიაზე გასასვლელად)
MKA პოლიტიკის დასახელება………. p2 გასაღები სერვერის პრიორიტეტი…… 2 დაგვიანებით დაცვა……… არა განმეორებით დაცვა…….. დიახ
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 37
Examples: MACsec შიფრული განცხადების კონფიგურაცია
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი
განმეორებითი ფანჯრის ზომა……. 0 კონფიდენციალურობის ოფსეტი… 0 ალგორითმი სისწრაფე…….. 80C201 გაგზავნეთ უსაფრთხო განცხადება.. გათიშული SAK შიფრული კომპლექტი……… 0080C20001000001 (GCM-AES-128) MACsec გამორთული შესაძლებლობა…….. დაცულობა სასურველი……….. დიახ
გამოხმაურებულია MACsec Canable Live Peers-ის #………… 1 # MACsec-ის უნარიანი ცოცხალი თანატოლების პასუხი.. 1
ცოცხალი თანატოლების სია:
MI
MN
Rx-SCI (თანხმობა)
KS პრიორიტეტი
————————————————————————
38046BA37D7DA77E06D006A9 89560
c800.8459.e764/002a 10
პოტენციური თანატოლების სია:
MI
MN
Rx-SCI (თანხმობა)
KS პრიორიტეტი
————————————————————————
მიძინებული თანატოლების სია:
MI
MN
Rx-SCI (თანხმობა)
KS პრიორიტეტი
————————————————————————
შემდეგი არის როგორცampშოუ mka პოლიტიკის პოლიტიკის სახელის დეტალური ბრძანების გამომავალი გამორთულია უსაფრთხო განცხადებით.
# აჩვენე mka პოლიტიკის p2 დეტალები
MKA პოლიტიკის კონფიგურაცია („p2“) ======================== MKA პოლიტიკის სახელი…….. p2 გასაღები სერვერის პრიორიტეტი…. 2 კონფიდენციალურობის ოფსეტი. 0 უსაფრთხო განცხადების გაგზავნა.. გამორთული შიფრის კომპლექტი(ები)…….. GCM-AES-128
გამოყენებული ინტერფეისები… GigabitEthernet1/0/1
MACsec და MACsec საკვანძო შეთანხმების (MKA) პროტოკოლი 38
დოკუმენტები / რესურსები
 |
Cisco IE3x00 MACsec და MACsec საკვანძო შეთანხმების პროტოკოლი [pdf] მომხმარებლის სახელმძღვანელო IE3x00 MACsec და MACsec საკვანძო შეთანხმების პროტოკოლი, IE3x00, MACsec და MACsec საკვანძო შეთანხმების პროტოკოლი, MACsec გასაღების შეთანხმების პროტოკოლი, ძირითადი შეთანხმების პროტოკოლი, შეთანხმების პროტოკოლი, პროტოკოლი |
