IE3x00 MACsec a protokol MACsec Key Agreement
Informace o produktu
Specifikace
- Standard: IEEE 802.1AE
- Podporované porty: 1 gigabitový ethernetový downlink port
- Šifrování: Šifrování 802.1AE s MACsec Key Agreement
(MKA)
Návod k použití produktu
Povolení MACsec a MKA
Chcete-li povolit MACsec a MKA na rozhraní, postupujte takto
kroky:
- Aplikujte na rozhraní definovanou zásadu MKA.
- Nakonfigurujte požadované možnosti pro MKA.
Zásady MKA
Zásady MKA definují chování MACsec a MKA na
rozhraní. Můžete nakonfigurovat následující možnosti:
- Režim jednoho hostitele: Tento režim zajišťuje jeden ověřený protokol EAP
relace pomocí MACsec a MKA.
Statistiky MKA
Můžete získat informace o stavu relací MKA a
view statistiky MKA. Některé důležité počítadla a informace
zahrnout:
- Celkový počet relací MKA: Celkový počet aktivních MKA
sezení. - Zabezpečené relace: Počet aktuálně zabezpečených MKA
sezení. - Čekající relace: Počet čekajících relací MKA.
Example Výstup příkazu:
Switch# zobrazit relace mka Celkový počet relací MKA....... 1 zabezpečená relace... 1 čekající relace... 0 Rozhraní Local-TxSCI Policy-Name Zděděný klíč-Server Port-ID Peer-RxSCI MACsec-Peers Stav CKN Gi1/0/1 204c.9e85.ede4/002b p2 NE ANO 43 c800.8459.e764/002a 1 Zabezpečeno 0100000000000000000000000000000000000000000000000000000000000000
Podrobný stav MKA
Můžete získat podrobné informace o stavu konkrétního MKA
zasedání. Informace zahrnují:
- Stav: Aktuální stav relace MKA (např.
ZAJIŠTĚNO). - Local Tx-SCI: Lokální přenosový zabezpečený kanál
Identifikátor. - MAC adresa rozhraní: MAC adresa rozhraní.
- Identifikátor portu MKA: Identifikátor portu pro MKA.
- ID relace auditu: ID relace auditu.
- Název CAK (CKN): Název klíče přidružení připojení
(CKN). - Member Identifier (MI): Identifikátor člena.
- Číslo zprávy (MN): Číslo zprávy.
- Role EAP: Role EAP.
- Klíčový server: Označuje, zda je zařízení serverem klíčů (ANO
nebo ne). - MKA Cipher Suite: Šifrovací sada používaná MKA.
- Nejnovější stav SAK: Stav nejnovější zabezpečené asociace
Klíč (SAK) pro příjem a vysílání. - Nejnovější SAK AN: Nejnovější číslo sdružení SAK.
- Nejnovější SAK KI (KN): Nejnovější identifikátor klíče SAK (KN).
- Starý stav SAK: Stav starého SAK.
- Starý SAK AN: Staré číslo sdružení SAK.
- Starý SAK KI (KN): Starý identifikátor klíče SAK (KN).
Example Výstup příkazu:
Switch#show mka sessions interface G1/0/1 de MKA Detailní stav pro relaci MKA ================================== === Stav: ZABEZPEČENÝ – Zabezpečená relace MKA s místním Tx-SCI MACsec............. 204c.9e85.ede4/002b Rozhraní MAC adresa.... 204c.9e85.ede4 Port MKA Identifikátor...... 43 Název rozhraní........... GigabitEthernet1/0/1 ID relace auditu......... Název CAK (CKN)....... .... 0100000000000000000000000000000000000000000000000000000000000000 Identifikátor člena (MI)... D46CBEC05D5D.67594543D89567CENAE Klíč zprávy EAPMAE.......128 ............. ANO MKA Cipher Suite......... AES-0-CMAC Nejnovější stav SAK........ Rx & Tx Nejnovější SAK AN.. .......... 46 Nejnovější SAK KI (KN)....... D05CBEC5D67594543D00000001CEAE1 (0) Starý stav SAK........... PRVNÍ SAK Starý SAK AN.. ............. 0 Starý SAK KI (KN).......... PRVNÍ SAK (XNUMX)
FAQ (často kladené otázky)
Q: Které porty podporují MACsec na ESS-3300?
A: MACsec je podporován na 1 gigabitových ethernetových downlink portech
pouze.
Otázka: Co znamená MKA?
Odpověď: MKA znamená MACsec Key Agreement.
Otázka: Jak mohu povolit MACsec a MKA na rozhraní?
A: Chcete-li povolit MACsec a MKA na rozhraní, použijte definovaný MKA
zásadu do rozhraní a nakonfigurujte požadované možnosti pro
MKA.
Otázka: Jaký je účel zásad MKA?
A: Zásady MKA definují chování MACsec a MKA na
rozhraní.
Otázka: Jak mohu view Statistiky MKA?
Odpověď: K tomu můžete použít příkaz „show mka statistics“. view MKA
statistiky, včetně celkového počtu relací MKA, zajištěny
relace a čekající relace.
MACsec a protokol MACsec Key Agreement (MKA).
Tato kapitola obsahuje následující části: · MACsec a protokol MACsec Key Agreement (MKA) na straně 1 · MACsec založený na certifikátu, na straně 2 · Zásady MKA, na straně 2 · Režim jednoho hostitele, na straně 2 · Statistika MKA, na straně 3 · Jak nakonfigurovat šifrování MACsec, na straně 8
MACsec a protokol MACsec Key Agreement (MKA).
MACsec je standard IEEE 802.1AE pro ověřování a šifrování paketů mezi dvěma zařízeními s podporou MACsec. Přepínač podporuje šifrování 802.1AE s MACsec Key Agreement (MKA) na downlinkových portech pro šifrování mezi přepínačem a hostitelskými zařízeními. Protokol MKA poskytuje požadované klíče relace a spravuje požadované šifrovací klíče.
Důležité Na ESS-3300 je MACsec podporován pouze na 1 gigabitových ethernetových downlink portech.
MACsec a MACsec Key Agreement (MKA) jsou implementovány po úspěšné autentizaci pomocí rámce MACsec nebo Pre Shared Key (PSK) založeného na certifikátu. Chování nešifrovaných paketů na rozhraní, když je povolen MACsec, můžete ovládat pomocí příkazu macsec access-control {must-secure | měl by být zajištěn}. Když je na rozhraní povolen MACsec, veškerý provoz rozhraní je ve výchozím nastavení zabezpečen (tj. musí být zabezpečeno výchozí nastavení). Nastavení macsec access-control must-secure neumožňuje přenos nebo příjem žádných nešifrovaných paketů ze stejného fyzického rozhraní. Provoz je přerušen, dokud nebude relace MKA zabezpečena. Chcete-li však povolit MACsec na vybraných rozhraních, můžete povolit přenos nebo příjem nešifrovaných paketů ze stejného fyzického rozhraní nastavením macsec access-control na should-secure. Tato možnost umožňuje tok nešifrovaného provozu, dokud není relace MKA zabezpečena. Po zabezpečení relace MKA může proudit pouze šifrovaný provoz. Podrobnosti o konfiguraci najdete v části Konfigurace MACsec MKA na rozhraní pomocí PSK, na straně 15.
MACsec a protokol MACsec Key Agreement (MKA) 1
MACsec na základě certifikátu
MACsec a protokol MACsec Key Agreement (MKA).
MACsec na základě certifikátu
Funkce Certificate based MACsec Encryption využívá ověřování na základě portu 802.1X s Extensible Authentication Protocol Transport Layer Security (EAP-TLS) k přenášení certifikátů pro porty, kde je vyžadováno šifrování MACsec. Mechanismus EAP-TLS se používá pro vzájemnou autentizaci a získání Master Session Key (MSK), ze kterého je odvozen Connectivity Association Key (CAK) pro protokol MACsec Key Agreement (MKA). Tato funkce umožňuje spravovat klíče na centralizovaném serveru (CA) přes MACsec na bázi PSK (Pre-Shared Key). Přepnout na přepínač MACsec je podporován. Další informace naleznete v části Konfigurace MACsec založené na certifikátu, na stránce 16.
Omezení a omezení
MACsec založený na certifikátu má tato omezení a omezení: · Porty by měly být v režimu přístupu nebo v režimu trunk. · MKA není podporována na portech. · Vysoká dostupnost pro MKA není podporována. · Porty bez switchportu nejsou podporovány. · Uplink porty ESS3300 nemají PHY, a proto nepodporují MACSec.
Zásady MKA
Chcete-li povolit MKA na rozhraní, měla by být na rozhraní aplikována definovaná politika MKA. Můžete nakonfigurovat tyto možnosti:
· Název zásady, nesmí přesáhnout 16 znaků ASCII. · Posun důvěrnosti (šifrování) o 0, 30 nebo 50 bajtů pro každé fyzické rozhraní
Režim jednoho hostitele
Obrázek ukazuje, jak je jedna relace ověřená EAP zabezpečena systémem MACsec pomocí MKA.
Obrázek 1: MACsec v režimu jednoho hostitele se zabezpečenou datovou relací
MACsec a protokol MACsec Key Agreement (MKA) 2
MACsec a protokol MACsec Key Agreement (MKA).
Statistiky MKA
Statistiky MKA
Některé čítače MKA jsou agregovány globálně, zatímco jiné jsou aktualizovány jak globálně, tak podle relace. Můžete také získat informace o stavu relací MKA.
Tohle je example výstupu příkazu show mka statistics:
Switch# show mka sessions
Celkový počet relací MKA……. 1 zabezpečená relace… 1 čekající relace… 0
================================================== ==================================================
Rozhraní
Místní-TxSCI
Název zásady
Zděděno
Klíčový server
Port-ID
Peer-RxSCI
MACsec-Peers
Postavení
CKN
================================================== ==================================================
Gi1/0/1
204c.9e85.ede4/002b p2
ŽÁDNÝ
ANO
43
c800.8459.e764/002a 1
Zajištěno
0100000000000000000000000000000000000000000000000000000000000000
Switch#show mka sessions interface G1/0/1
Shrnutí všech aktuálně aktivních relací MKA na rozhraní GigabitEthernet1/0/1…
================================================== ==================================================
Rozhraní
Místní-TxSCI
Název zásady
Zděděno
Klíčový server
Port-ID
Peer-RxSCI
MACsec-Peers
Postavení
CKN
================================================== ==================================================
Gi1/0/1
204c.9e85.ede4/002b p2
ŽÁDNÝ
ANO
43
c800.8459.e764/002a 1
Zajištěno
0100000000000000000000000000000000000000000000000000000000000000
Switch#show mka sessions interface G1/0/1 de
Podrobný stav MKA pro relaci MKA ==================================== Stav: ZABEZPEČENÝ – zabezpečená relace MKA s MACsec
Místní Tx-SCI…………. 204c.9e85.ede4/002b Adresa MAC rozhraní…. 204 Identifikátor (MI)… D9CBEC85D4D43CEAE Číslo zprávy ( MN)…… 1 Role EAP…………….. NA klíčový server…………… ANO MKA Cipher Suite……… AES-0-CMAC
Poslední stav SAK…….. Rx & Tx Poslední SAK AN………… 0 Nejnovější SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) Starý stav SAK……….. PRVNÍ SAK Starý SAK AN……… 0 Starý SAK KI (KN)………. PRVNÍ SAK (0)
Čekací doba přenosu SAK… 0 s (Nečeká se na odpověď žádných kolegů) Doba odchodu SAK…. 0s (žádný starý SAK do důchodu)
MACsec a protokol MACsec Key Agreement (MKA) 3
Statistiky MKA
MACsec a protokol MACsec Key Agreement (MKA).
Název zásad MKA………. p2 Key Server Priority…… 2 Delay Protection… NE Replay Protection…….. ANO Replay Window Size……. 0 Posun důvěrnosti… 0 Agilita algoritmu…….. 80C201 Odesílat zabezpečené oznámení.. DISABLED SAK Cipher Suite… 0080C20001000001 (GCM-AES-128) Schopnost MACsec…….. 3 (MACsecred Integrita MAC, Conf Desi Desi ……….. ANO
Počet živých peerů schopných MACsec………… Odpovězeno 1 # živých peerů schopných MACsec.. 1
Seznam živých vrstevníků:
MI
MN
Rx-SCI (Peer)
Přednost KS
——————————————————————————
38046BA37D7DA77E06D006A9 89555
c800.8459.e764/002a 10
Seznam potenciálních kolegů:
MI
MN
Rx-SCI (Peer)
Přednost KS
——————————————————————————
Seznam spících vrstevníků:
MI
MN
Rx-SCI (Peer)
Přednost KS
——————————————————————————
Switch#show mka sessions de Switch#show mka sessions detail
Podrobný stav MKA pro relaci MKA ==================================== Stav: ZABEZPEČENÝ – zabezpečená relace MKA s MACsec
Místní Tx-SCI…………. 204c.9e85.ede4/002b Adresa MAC rozhraní…. 204 Identifikátor (MI)… D9CBEC85D4D43CEAE Číslo zprávy ( MN)…… 1 Role EAP…………….. NA klíčový server…………… ANO MKA Cipher Suite……… AES-0-CMAC
Poslední stav SAK…….. Rx & Tx Poslední SAK AN………… 0 Nejnovější SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) Starý stav SAK……….. PRVNÍ SAK Starý SAK AN……… 0 Starý SAK KI (KN)………. PRVNÍ SAK (0)
Čekací doba přenosu SAK… 0 s (Nečeká se na odpověď žádných kolegů) Doba odchodu SAK…. 0s (žádný starý SAK do důchodu)
Název zásad MKA………. p2 Key Server Priority…… 2 Delay Protection… NE Replay Protection…….. ANO Replay Window Size……. 0 Posun důvěrnosti… 0 Agilita algoritmu…….. 80C201
MACsec a protokol MACsec Key Agreement (MKA) 4
MACsec a protokol MACsec Key Agreement (MKA).
Statistiky MKA
SAK Cipher Suite……… 0080C20001000001 (GCM-AES-128) Schopnost MACsec…….. 3 (integrita MACsec, důvěrnost a offset) Požadovaný MACsec……….. ANO
Počet živých peerů schopných MACsec………… Odpovězeno 1 # živých peerů schopných MACsec.. 1
Seznam živých vrstevníků:
MI
MN
Rx-SCI (Peer)
Přednost KS
——————————————————————————
38046BA37D7DA77E06D006A9 89560
c800.8459.e764/002a 10
Seznam potenciálních kolegů:
MI
MN
Rx-SCI (Peer)
Přednost KS
——————————————————————————
Seznam spících vrstevníků:
MI
MN
Rx-SCI (Peer)
Přednost KS
——————————————————————————
Switch#sh mka pol
Shrnutí zásad MKA…
Politika
KS
Zpožděné přehrání okna Conf Cipher
Rozhraní
Jméno
Sada(y) Priority Protect Protect Size Offset Suite
Aplikovaný
================================================== ================================================== ==
*VÝCHOZÍ ZÁSADY* 0
NEPRAVDA PRAVDA 0
0
GCM-AES-128
p1
1
NEPRAVDA PRAVDA 0
0
GCM-AES-128
p2
2
NEPRAVDA PRAVDA 0
0
GCM-AES-128
Gi1/0/1
Switch#sh mka poli
Switch#sh mka policy p2
Switch#sh mka policy p2 ?
detail Detailní konfigurace/informace pro MKA Policy
sessions Souhrn všech aktivních relací MKA s aplikovanou politikou
|
Modifikátory výstupu
Switch#sh mka policy p2 de
Konfigurace zásad MKA (“p2”) ======================== Název zásad MKA…….. Priorita klíčového serveru p2…. 2 Kompenzace důvěrnosti. 0 Odeslat zabezpečené oznámení..DISABLED Cipher Suite(s)…….. GCM-AES-128
Aplikovaná rozhraní… GigabitEthernet1/0/1
Switch#sh mka policy p2
Shrnutí zásad MKA…
Politika
KS
Zpožděné přehrání okna Conf Cipher
Rozhraní
Jméno
Sada(y) Priority Protect Protect Size Offset Suite
Aplikovaný
================================================== ================================================== ==
p2
2
NEPRAVDA PRAVDA 0
0
GCM-AES-128
Gi1/0/1
MACsec a protokol MACsec Key Agreement (MKA) 5
Statistiky MKA
MACsec a protokol MACsec Key Agreement (MKA).
Switch#sh mka se? sezení
Přepnout#sh mka ? default-policy keychains policy presharedkeys sessions statistiky souhrn
Podrobnosti výchozích zásad MKA Řetězce klíčů předsdílených klíčů MKA Informace o konfiguraci zásad MKA Předsdílené klíče MKA Přehled relací MKA Globální statistiky MKA Přehled relací MKA a globální statistiky
Přepnout#sh mka statis
Switch#sh mka statistiky ?
rozhraní Statistika pro relaci MKA na rozhraní
local-sci Statistika pro relaci MKA identifikovaná pomocí místního Tx-SCI
|
Modifikátory výstupu
Přepnout#sh statistiky mka mezi Přepnout#zobrazit rozhraní statistik mka G1/0/1
Statistiky MKA pro relaci =========================== Pokusy o opětovné ověření.. 0
Statistika CA Odvozené párové CAK… 0 Párové nové klíče CAK….. 0 Vygenerované skupinové CAK…. 0 přijatých skupin CAK….. 0
Statistiky SA vygenerovány SAK………. 1 znovu zakódováno SAK…… 0 přijato SAK….. 0 přijatých odpovědí SAK.. 1
Statistika MKPDU MKPDU Valided & Rx… 89585 “Distribuovaný SAK”.. 0 “Distribuovaný CAK”.. 0 MKPDU přeneseno…… 89596 “Distribuovaný SAK”.. 1 “Distribuovaný CAK”.. 0
Switch#show mka ?
default-policy Podrobnosti výchozí politiky MKA
klíčenky
Klíčenky s předsdíleným klíčem MKA
politika
Informace o konfiguraci zásad MKA
presharedkeys Předsdílené klíče MKA
sezení
Shrnutí relací MKA
statistika
Globální statistiky MKA
shrnutí
Souhrn relací MKA a globální statistiky
Switch#zobrazit mka summ Switch#zobrazit mka souhrn
Celkový počet relací MKA……. 1 zabezpečená relace… 1 čekající relace… 0
MACsec a protokol MACsec Key Agreement (MKA) 6
MACsec a protokol MACsec Key Agreement (MKA).
Statistiky MKA
================================================== ==================================================
Rozhraní
Místní-TxSCI
Název zásady
Zděděno
Klíčový server
Port-ID
Peer-RxSCI
MACsec-Peers
Postavení
CKN
================================================== ==================================================
Gi1/0/1
204c.9e85.ede4/002b p2
ŽÁDNÝ
ANO
43
c800.8459.e764/002a 1
Zajištěno
0100000000000000000000000000000000000000000000000000000000000000
Globální statistiky MKA ====================== Celkové počty relací MKA
Zabezpečeno……………….. 1 Pokusy o opětovné ověření.. 0
Smazáno (zabezpečeno)………. 0 Časové limity Keepalive……… 0
Statistika CA Pairwise CAK Odvozené…… 0 Pairwise CAK Rekeys…….. 0 Skupinové CAK Generováno……. 0 přijatých skupin CAK…….. 0
Vygenerované statistiky SA SAK…………. 1 znovu zakódováno SAK………… 0 přijato SAK………….. 0 přijatých odpovědí SAK….. 1
Statistika MKPDU MKPDU Validováno & Rx…… 89589 “Distribuovaný SAK”….. 0 “Distribuovaný CAK”….. 0 MKPDU přeneseno… 89600 “Distribuovaný SAK”….. 1 “Distribuovaný CAK”….. 0
Součty počítadla chyb MKA ========================== Selhání relací
Selhání vyvolání …………………. 0 Selhání opětovné autentizace…….. 0 Duplicitní popisovač autorizace…….. 0
Selhání SAK Generace SAK………………. 0 Generování hash klíče………….. 0 SAK šifrování/zabalení………….. 0 SAK dešifrování/rozbalení………… 0 SAK neshoda šifry………….. 0
CA Failures Group Generation CAK…………. 0 Skupinové CAK šifrování/zabalení…….. 0 Skupinové CAK dešifrování/rozbalení…… 0 Párové odvození CAK…. 0 Odvození CKN………………. 0 Odvození ICK………………. 0 KEK Odvoz ………………. 0 Neplatná schopnost Peer MACsec… 0
MACsec Failures Vytvoření Rx SC………………. 0
MACsec a protokol MACsec Key Agreement (MKA) 7
Jak nakonfigurovat šifrování MACsec
MACsec a protokol MACsec Key Agreement (MKA).
Vytvoření Tx SC………………. 0 Instalace Rx SA…………… 0 Instalace Tx SA…………… 0
Selhání MKPDU MKPDU Tx…………………………. 0 Ověření MKPDU Rx………….. 0 MKPDU Rx Bad Peer MN…………. 0 MKPDU Rx Neaktuální Peerlist MN.. 0
Přepínač#
Jak nakonfigurovat šifrování MACsec
Předpoklady pro šifrování MACsec
Předpoklady pro šifrování MACsec: · Ujistěte se, že je na vašem zařízení nakonfigurováno ověřování 802.1x a AAA.
Konfigurace MKA a MACsec
Výchozí konfigurace MACsec MKA
MACsec je zakázán. Nejsou nakonfigurovány žádné zásady MKA.
MKA-PSK: Změna chování CKN
Chcete-li spolupracovat s přepínači Cisco se systémem Classic Cisco IOS, konfigurace CKN musí být nulová. Od verze Cisco IOS XE Everest Release 16.6.1 a novější pro relace MKA-PSK místo pevných 32 bajtů používá název klíče přidružení připojení (CKN) přesně stejný řetězec jako CKN, který je nakonfigurován jako hexadecimální řetězec pro klíč. Přampkonfigurace souboru:
konfigurace řetězce klíčů terminálu KEYCHAINONE klíč macsec 1234 kryptografický-algoritmus aes-128-cmac řetězec klíčů 123456789ABCDEF0123456789ABCDEF0 životnost local 12:21:00 9. září 2015 nekonečný konec
Pro výše uvedené example, následuje výstup příkazu show mka session:
MACsec a protokol MACsec Key Agreement (MKA) 8
MACsec a protokol MACsec Key Agreement (MKA).
MKA-PSK: Změna chování CKN
Všimněte si, že řetězec klíčů CKN je přesně stejný, jaký byl pro klíč nakonfigurován jako hexadecimální řetězec. Pro interoperabilitu mezi platformami se systémem IOS XE a platformami s klasickým IOS, z nichž jedna má změnu chování CKN a druhá bez změny chování CKN, musí být hexadecimální řetězec pro klíč 64znakový hexadecimální řetězec doplněný nulami, aby fungoval na zařízení, které má obrázek se změnou chování CKN. Viz exampníže: Konfigurace bez změny chování řetězce klíčů CKN:
config t key chain KEYCHAINONE klíč macsec 1234 kryptografický-algoritmus aes-128-cmac řetězec klíčů 123456789ABCDEF0123456789ABCDEF0 životnost local 12:21:00 Sep 9 2015 infinite
výstup:
Konfigurace se změnou chování řetězce klíčů CKN:
config t key chain KEYCHAINONE klíč macsec 1234000000000000000000000000000000000000000000000000000000000000 kryptografický-algoritmus aes-128-cmac řetězec klíčů 123456789ABCDEF0123456789ABCDEF0 životnost local 12:21:00 Sep 9 2015 infinite
výstup:
MACsec a protokol MACsec Key Agreement (MKA) 9
Konfigurace zásad MKA
MACsec a protokol MACsec Key Agreement (MKA).
Konfigurace zásad MKA
SOUHRNNÉ KROKY
1. konfigurace terminálu 2. název politiky mka 3. send-secure-announcements 4. priorita klíčového serveru 5. include-icv-indicator 6. macsec-cipher-suite gcm-aes-128 7. důvěrnost-offset Hodnota offsetu 8 , konec 9. show mka policy
PODROBNÉ KROKY
Krok 1
Terminál pro konfiguraci příkazů nebo akcí
Krok 2 Název zásady mka
Krok 3 zasílejte-secure-oznámení
Účel Vstup do režimu globální konfigurace.
Identifikujte zásadu MKA a přejděte do režimu konfigurace zásad MKA. Maximální délka názvu zásady je 16 znaků.
Poznámka
Výchozí šifrovací sada MACsec v MKA
zásada bude vždy „GCM-AES-128“. Pokud
zařízení podporuje jak „GCM-AES-128“, tak
Šifry „GCM-AES-256“, to je vysoce
doporučuje se definovat a používat uživatelem definované
Zásada MKA zahrnout 128 i 256 bitů
šifry nebo pouze 256bitová šifra, jak může být
požadovaný.
Povolena zabezpečená oznámení.
Poznámka
Ve výchozím nastavení jsou zabezpečená oznámení
zakázáno.
MACsec a protokol MACsec Key Agreement (MKA) 10
MACsec a protokol MACsec Key Agreement (MKA).
Konfigurace MACsec na rozhraní
Krok 4
Priorita serveru příkazů nebo akcí
Krok 5 include-icv-indicator Krok 6 macsec-cipher-suite gcm-aes-128 Krok 7 důvěrnost-offset Hodnota offsetu
Krok 8 Krok 9
konec show mka policy
Účel
Nakonfigurujte možnosti klíčového serveru MKA a nastavte prioritu (mezi 0-255).
Poznámka
Když je hodnota priority klíčového serveru nastavena na 255,
peer se nemůže stát serverem klíčů. The
hodnota priority serveru klíče je platná pouze pro
MKA PSK; a ne pro MKA EAPTLS.
Aktivuje indikátor ICV v MKPDU. Použijte formu no tohoto příkazu k deaktivaci indikátoru ICV — no include-icv-indicator.
Konfiguruje šifrovací sadu pro odvození SAK se 128bitovým šifrováním.
Nastavte offset důvěrnosti (šifrování) pro každé fyzické rozhraní
Poznámka
Hodnota offsetu může být 0, 30 nebo 50. Pokud ano
pomocí Anyconnect na klientovi ano
doporučuje se použít offset 0.
Vrátí se do privilegovaného režimu EXEC.
Ověřte své záznamy.
Example
Tento example konfiguruje zásady MKA:
Switch(config)# mka policy mka_policy Switch(config-mka-policy)# key-server priorita 200 Switch(config-mka-policy)# macsec-cipher-suite gcm-aes-128 Switch(config-mka-policy)# utajení-offset 30 Switch(config-mka-policy)# end
Konfigurace MACsec na rozhraní
Chcete-li nakonfigurovat MACsec na rozhraní s jednou relací MACsec pro hlas a jednou pro data, postupujte takto:
SOUHRNNÉ KROKY
1. povolit 2. konfigurovat terminál 3. interface interface-id 4. switchport access vlan vlan-id 5. switchport mode access 6. macsec 7. autentizační událost linksec fail action autorizovat vlan vlan-id 8. autentizace host-mode multi-domain
MACsec a protokol MACsec Key Agreement (MKA) 11
Konfigurace MACsec na rozhraní
MACsec a protokol MACsec Key Agreement (MKA).
9. autentizace linksec policy must-secure 10. autentizace port-control auto 11. autentizace periodická 12. autentizační časovač reauthenticate 13. autentizační porušení protect 14. mka policy policy name 15. dot1x pae authenticator 16. spanning-tree portfast 17. end 18 zobrazit autentizační session interface-id interface-id 19. show autentizační session interface interface-id detaily 20. show macsec interface interface-id-id 21. show mka sessions 22. copy running-config startup-config
PODROBNÉ KROKY
Krok 1
Povolení příkazu nebo akce Přampten:
Přepnout>povolit
Účel
Povolí privilegovaný režim EXEC. Pokud budete vyzváni, zadejte heslo.
Krok 2
konfigurace terminálu Přampten:
Přepnout>konfigurovat terminál
Vstupte do režimu globální konfigurace.
Krok 3
rozhraní interface-id
Identifikujte rozhraní MACsec a přejděte do režimu konfigurace rozhraní. Rozhraní musí být fyzické rozhraní.
Krok 4
přístup k přepínači vlan vlan-id
Nakonfigurujte přístupovou VLAN pro port.
Krok 5
přístup k přepínacímu režimu
Nakonfigurujte rozhraní jako přístupový port.
Krok 6
macsec
Povolte na rozhraní 802.1ae MACsec. Příkaz macsec povolí MKA MACsec pouze na linkách switch-to-host (downlink portech).
Krok 7
autentizační událost linksec selhání akce autorizovat vlan (Volitelné) Uveďte, že přepínač zpracovává autentizaci
vlan-id
selhání zabezpečení odkazu v důsledku nerozpoznaného uživatele
pověření autorizací omezené VLAN na portu
po neúspěšném pokusu o ověření.
Krok 8
autentizace host-mode multi-domain
Nakonfigurujte na portu režim správce autentizace, aby bylo možné ověřovat hostitele i hlasové zařízení na autorizovaném portu 802.1x. Pokud není nakonfigurován, výchozí režim hostitele je jeden.
MACsec a protokol MACsec Key Agreement (MKA) 12
MACsec a protokol MACsec Key Agreement (MKA).
Konfigurace MACsec na rozhraní
Krok 9 Krok 10 Krok 11 Krok 12 Krok 13
Krok 14
Krok 15 Krok 16
Krok 17
Krok 18 Krok 19 Krok 20 Krok 21 Krok 22
Zásada autentizace pomocí příkazu nebo akce musí být zabezpečena
Účel
Nastavte bezpečnostní politiku LinkSec pro zabezpečení relace pomocí MACsec, pokud je peer k dispozici. Pokud není nastaveno, výchozí nastavení je should secure.
autentizace port-control auto
Povolte na portu ověřování 802.1x. Port se změní na autorizovaný nebo neautorizovaný stav na základě výměny ověřování mezi přepínačem a klientem.
periodické ověřování
Povolit nebo zakázat opětovné ověření pro tento port.
autentizační časovač znovu autentizovat
Zadejte hodnotu mezi 1 a 65535 (v sekundách). Získá hodnotu časového limitu opětovného ověření ze serveru. Výchozí doba opětovného ověření je 3600 sekund.
ochrana proti porušení autentizace
Nakonfigurujte port tak, aby odhodil neočekávané příchozí adresy MAC, když se k portu připojí nové zařízení nebo když se zařízení připojí k portu poté, co je k tomuto portu připojen maximální počet zařízení. Pokud není nakonfigurován, výchozím nastavením je vypnutí portu.
název zásady mka
Použít existující zásady protokolu MKA na rozhraní a povolit MKA na rozhraní. Pokud nebyla nakonfigurována žádná zásada MKA (zadáním příkazu globální konfigurace zásad mka).
dot1x pae autentizátor
Nakonfigurujte port jako autentizátor 802.1x port access entity (PAE).
spanning-tree portfast
Povolit spanning tree Port Fast na rozhraní ve všech jeho přidružených sítích VLAN. Když je povolena funkce Port Fast, rozhraní se změní přímo ze stavu blokování na stav předávání, aniž by se změnil stav přechodného stromu.
konec Přampten:
Přepínač (config)#end
Vrátí se do privilegovaného režimu EXEC.
zobrazit autentizační relace interface-id
Ověřte stav zabezpečení autorizované relace.
zobrazit podrobnosti rozhraní id autentizační relace Ověřte podrobnosti o stavu zabezpečení autorizované relace.
zobrazit id rozhraní rozhraní macsec
Ověřte stav MacSec na rozhraní.
zobrazit relace mka
Ověřte vytvořené relace mka.
kopírovat running-config startup-config Přampten:
Switch#copy running-config startup-config
(Volitelné) Uloží vaše položky do konfigurace file.
MACsec a protokol MACsec Key Agreement (MKA) 13
Konfigurace MACsec MKA pomocí předem sdíleného klíče (PSK)
MACsec a protokol MACsec Key Agreement (MKA).
Konfigurace MACsec MKA pomocí předem sdíleného klíče (PSK)
SOUHRNNÉ KROKY
1. nakonfigurujte terminál 2. řetězec klíčů název-řetězce klíčů macsec 3. hexadecimální řetězec klíče 4. kryptografický-algoritmus {gcm-aes-128 | gcm-aes-256} 5. klíč-řetězec { [0|6|7] pwd-řetězec | pwd-string} 6. životnost místní [čas spuštěníamp {hh::mm::ss | den | měsíc | rok}] [trvání sekund | čas konceamp
{hh::mm::ss | den | měsíc | rok}] 7. konec
PODROBNÉ KROKY
Krok 1
Terminál pro konfiguraci příkazů nebo akcí
Krok 2 Klíčenka Název řetězu klíčů macsec
Šestihranný řetězec klíče kroku 3
Účel Vstup do režimu globální konfigurace.
Nakonfiguruje klíčenku a vstoupí do režimu konfigurace klíčenky.
Nakonfiguruje jedinečný identifikátor pro každý klíč v klíčence a přejde do režimu konfigurace klíče klíčenky.
Poznámka
Pro 128bitové šifrování použijte 32 hexadecimálních číslic
klíčenka. Pro 256bitové šifrování použijte 64 hex
číselný řetězec klíčů.
Krok 4 Krok 5 Krok 6 Krok 7
kryptografický-algoritmus {gcm-aes-128 | gcm-aes-256} Nastaví kryptografický ověřovací algoritmus se 128bitovým nebo 256bitovým šifrováním.
klíč-řetězec { [0|6|7] pwd-řetězec | pwd-string}
Nastavuje heslo pro řetězec klíčů. Je nutné zadat pouze hexadecimální znaky.
doživotní místní [start timestamp {hh::mm::ss | den | měsíc Nastavuje životnost předem sdíleného klíče. | rok}] [trvání sekund | čas konceamp {hh::mm::ss | den | měsíc | rok}]
konec
Vrátí se do privilegovaného režimu EXEC.
Example
Následuje orientační exampten:
Switch(config)# Keychain keychain1 macsec Switch(config-key-chain)# key 1000 Switch(config-keychain-key)# cryptographic-algorithm gcm-aes-128 Switch(config-keychain-key)# key- chain 12345678901234567890123456789012 Switch(config-keychain-key)# lifetime local 12:12:00 28. července 2016 12:19:00 28. července 2016 Switch(config-keychain-key)# end
MACsec a protokol MACsec Key Agreement (MKA) 14
MACsec a protokol MACsec Key Agreement (MKA).
Konfigurace MACsec MKA na rozhraní pomocí PSK
Konfigurace MACsec MKA na rozhraní pomocí PSK
Poznámka Chcete-li se vyhnout poklesu provozu napříč relacemi, musí být příkaz mka policy nakonfigurován před příkazem mka pre-shared-key key-chain.
SOUHRNNÉ KROKY
1. konfigurace terminálu 2. interface interface-id 3. macsec access-control {must-secure | should-secure} 4. macsec 5. mka policy policy-name 6. mka pre-shared-key key-chain key-chain name 7. macsec replay-protection window-size frame number 8. end
PODROBNÉ KROKY
Krok 1
Terminál pro konfiguraci příkazů nebo akcí
Krok 2 rozhraní-id rozhraní
Krok 3 macsec access-control {must-secure | měl by být zajištěn}
Účel
Vstupte do režimu globální konfigurace.
Vstoupí do režimu konfigurace rozhraní.
(Volitelné) Řídí chování nešifrovaných paketů.
· should-secure : Umožňuje tok nešifrovaného provozu, dokud není relace MKA zabezpečena. Po zabezpečení relace MKA může proudit pouze šifrovaný provoz.
· must-secure : Nařizuje, že může proudit pouze provoz šifrovaný MACsec. Dokud tedy není relace MKA zabezpečena, je provoz zrušen.
Krok 4 Krok 5 Krok 6 Krok 7 Krok 8
macsec mka policy-name mka pre-shared-key key-chain key-chain name macsec replay-protection window-size frame number end
Povolí MACsec na rozhraní. Konfiguruje zásady MKA. Konfiguruje název řetězce klíčů předsdíleného klíče MKA. Nastaví velikost okna MACsec pro ochranu proti přehrání. Vrátí se do privilegovaného režimu EXEC.
Example
Následující exampsoubor nakonfiguruje zásady MKA a název řetězce klíčů předsdíleného klíče MKA a nastaví velikost okna MACsec pro ochranu před přehráním:
MACsec a protokol MACsec Key Agreement (MKA) 15
Konfigurace MACsec na základě certifikátu
MACsec a protokol MACsec Key Agreement (MKA).
Switch(config)# interface GigabitEthernet 1/1 Switch(config-if)# mka policy mka_policy Switch(config-if)# mka pre-shared-key key-chain key-chain-name Switch(config-if)# macsec replay -protection window-size 10 Switch(config-if)# end
Poznámka Nedoporučuje se měnit zásady MKA na rozhraní s nakonfigurovaným MKA PSK, když je relace spuštěna. Je-li však nutná změna, musíte zásadu překonfigurovat následovně: 1. Zakažte stávající relaci odstraněním konfigurace macsec na každém ze zúčastněných uzlů pomocí příkazu no macsec. 2. Nakonfigurujte zásadu MKA na rozhraní na každém ze zúčastněných uzlů pomocí příkazu mka policy-name. 3. Povolte novou relaci na každém zúčastněném uzlu pomocí příkazu macsec.
Následující exampsoubory ukazují, jak nakonfigurovat rozhraní pro použití should-secure namísto výchozího must-secure a jak jej změnit zpět na výchozí must-secure.
Poznámka Úprava řízení přístupu není povolena, když je relace spuštěna a spuštěna. Nejprve musíte odstranit konfiguraci MACsec pomocí příkazu no macsec a poté nakonfigurovat řízení přístupu.
Example 1: Chcete-li změnit z must-secure na should-secure:
Switch(config-if)#no macsec Switch(config-if)#macsec access-control should-secure Switch(config-if)#macsec // toto přepne řízení přístupu z must-secure a restartuje macsec relaci s novým chování.
Example 2: Chcete-li změnit z should-secure na must-secure:
Switch(config-if)#no macsec Switch(config-if)#no macsec access-control Switch(config-if)#macsec
Konfigurace MACsec na základě certifikátu
Chcete-li nakonfigurovat MACsec s MKA na propojeních typu point-to-point, proveďte tyto úkoly: · Generování párů klíčů · Konfigurace registrace pomocí SCEP · Ruční konfigurace registrace · Konfigurace Switch-to-Switch MACsec šifrování, na straně 23
MACsec a protokol MACsec Key Agreement (MKA) 16
MACsec a protokol MACsec Key Agreement (MKA).
Předpoklady pro MACsec založené na certifikátu
Předpoklady pro MACsec založené na certifikátu
· Ujistěte se, že máte pro vaši síť nakonfigurovaný server certifikačního úřadu (CA). · Vygenerujte certifikát CA. · Ujistěte se, že jste nakonfigurovali Cisco Identity Services Engine (ISE). · Ujistěte se, že je na vašem zařízení nakonfigurováno ověřování 802.1x a AAA.
Generování párů klíčů
SOUHRNNÉ KROKY
1. povolit 2. konfigurovat terminál 3. generovat šifrovací klíč rsa štítek název-název obecných klíčů velikost modulu 4. konec 5. zobrazit autentizační relace interface-id
PODROBNÉ KROKY
Krok 1
Povolení příkazu nebo akce Přampten:
Zařízení> povolit
Účel Povolí privilegovaný režim EXEC. Pokud budete vyzváni, zadejte své heslo.
Krok 2
konfigurace terminálu Přampten:
Konfigurační terminál Device#
Vstoupí do režimu globální konfigurace.
Krok 3
šifrovací klíč generovat rsa štítek název-název obecných klíčů velikost modulu
Exampten:
Šifrovací klíč Device(config)# generuje rsa štítek obecných klíčů modulu 2048
Generuje pár klíčů RSA pro podepisování a šifrování.
Každému páru klíčů můžete také přiřadit popisek pomocí klíčového slova label. Na štítek odkazuje bod důvěryhodnosti, který používá pár klíčů. Pokud štítek nepřiřadíte, označí se automaticky dvojice klíčů .
Pokud nepoužijete další klíčová slova, tento příkaz vygeneruje jeden obecný pár klíčů RSA. Pokud není modul zadán, použije se výchozí klíčový modul 1024. Další velikosti modulu můžete zadat pomocí klíčového slova modul.
Krok 4
konec Přampten:
Device(config)# end
Ukončí režim globální konfigurace a vrátí se do privilegovaného režimu EXEC.
Krok 5
show autentizační relace interface-id Přampten:
Ověřuje stav zabezpečení autorizované relace.
MACsec a protokol MACsec Key Agreement (MKA) 17
Konfigurace registrace pomocí SCEP
MACsec a protokol MACsec Key Agreement (MKA).
Příkaz nebo Akce
Device# ukazuje rozhraní autentizační relace gigabitethernet 0/1/1
Účel
Konfigurace registrace pomocí SCEP
Simple Certificate Enrollment Protocol (SCEP) je registrační protokol vyvinutý společností Cisco, který používá HTTP ke komunikaci s certifikační autoritou (CA) nebo registrační autoritou (RA). SCEP je nejběžněji používaná metoda pro odesílání a přijímání žádostí a certifikátů.
Krok 1 Krok 2 Krok 3 Krok 4
Krok 5 Krok 6 Krok 7 Krok 8
Postup
Povolení příkazu nebo akce Přampten:
Zařízení> povolit
Účel Povolí privilegovaný režim EXEC. Pokud budete vyzváni, zadejte své heslo.
konfigurace terminálu Přampten:
Konfigurační terminál Device#
Vstoupí do režimu globální konfigurace.
název serveru důvěryhodného bodu crypto pki Přampten:
Device(config)# crypto pki trustpoint ka
Deklaruje bod důvěryhodnosti a dané jméno a přejde do konfiguračního režimu ca-trustpoint.
zápis url url jméno pem
Exampten:
Registrace zařízení (ca-trustpoint)# url http://url:80
Určuje URL CA, na kterou má vaše zařízení odesílat žádosti o certifikát.
Adresu IPv6 lze přidat do URL uzavřeno v závorkách. Napřample: http:// [2001:DB8:1:1::1]:80.
Klíčové slovo pem přidává k žádosti o certifikát hranice pro elektronickou poštu (PEM).
štítek rsakeypair
Určuje, který pár klíčů se má přidružit k certifikátu.
Exampten:
Poznámka
Device(ca-trustpoint)# rsakeypair exampleCAkeys
Název rsakeypair se musí shodovat s názvem bodu důvěryhodnosti.
sériové číslo žádné Přampten:
Device(ca-trustpoint)# sériové číslo žádné
ip-adresa žádná Přampten:
Device(ca-trustpoint)# ip-address none
odvolání-kontrola crl Přampten:
Klíčové slovo none určuje, že sériové číslo nebude součástí žádosti o certifikát.
Klíčové slovo none určuje, že žádost o certifikát nemá obsahovat žádnou adresu IP.
Určuje CRL jako metodu, která zajistí, že certifikát partnera nebyl odvolán.
MACsec a protokol MACsec Key Agreement (MKA) 18
MACsec a protokol MACsec Key Agreement (MKA).
Manuální konfigurace registrace
Krok 9
Krok 10 Krok 11 Krok 12 Krok 13
Příkaz nebo Akce
Device(ca-trustpoint)# revocation-check crl
Účel
automatická registrace procent regenerace
Umožňuje automatickou registraci, což umožňuje klientovi
Exampten:
automaticky vyžádat certifikát pro obnovení od CA.
Device(ca-trustpoint)# auto-enroll 90 regenerate Pokud není povolena automatická registrace, klient musí být ručně znovu zaregistrován do vašeho PKI po certifikátu
expirace.
Ve výchozím nastavení je v certifikátu zahrnut pouze název systému DNS (Domain Name System) zařízení.
Argument procenta použijte k určení, že po procentu bude požadován nový certifikáttage doby životnosti aktuálního certifikátu.
Klíčové slovo regenerovat použijte k vygenerování nového klíče pro certifikát, i když pojmenovaný klíč již existuje.
Pokud je převáděný pár klíčů exportovatelný, bude možné exportovat i nový pár klíčů. V konfiguraci bodu důvěry se objeví následující komentář označující, zda je pár klíčů exportovatelný: „! Pár klíčů RSA spojený s bodem důvěry je exportovatelný.“
Z bezpečnostních důvodů se doporučuje vygenerovat nový pár klíčů.
výstup Přampten:
Device(ca-trustpoint)# exit
Ukončí režim konfigurace ca-trustpoint a vrátí se do režimu globální konfigurace.
crypto pki autentizační jméno Přampten:
Device(config)# crypto pki ověřuje myca
Načte certifikát CA a ověří jej.
konec Přampten:
Device(config)# end
Ukončí režim globální konfigurace a vrátí se do privilegovaného režimu EXEC.
zobrazit název důvěryhodného bodu certifikátu crypto pki Přampten:
Device# ukazuje crypto pki certifikát ka
Zobrazí informace o certifikátu pro bod důvěryhodnosti.
Manuální konfigurace registrace
Pokud vaše CA nepodporuje SCEP nebo pokud není možné síťové připojení mezi routerem a CA. Chcete-li nastavit ruční registraci certifikátu, proveďte následující úkol:
MACsec a protokol MACsec Key Agreement (MKA) 19
Manuální konfigurace registrace
MACsec a protokol MACsec Key Agreement (MKA).
Krok 1 Krok 2 Krok 3 Krok 4
Krok 5 Krok 6 Krok 7 Krok 8 Krok 9 Krok 10
Postup
Povolení příkazu nebo akce Přampten:
Zařízení> povolit
Účel Povolí privilegovaný režim EXEC. Pokud budete vyzváni, zadejte své heslo.
konfigurace terminálu Přampten:
Konfigurační terminál Device#
Vstoupí do režimu globální konfigurace.
název serveru důvěryhodného bodu crypto pki Přampten:
Zařízení# crypto pki trustpoint ka
Deklaruje bod důvěryhodnosti a dané jméno a přejde do konfiguračního režimu ca-trustpoint.
zápis url url-jméno
Exampten:
Registrace zařízení (ca-trustpoint)# url http://url:80
Určuje URL CA, na kterou má vaše zařízení odesílat žádosti o certifikát.
Adresu IPv6 lze přidat do URL uzavřeno v závorkách. Napřample: http:// [2001:DB8:1:1::1]:80.
Klíčové slovo pem přidává k žádosti o certifikát hranice pro elektronickou poštu (PEM).
štítek rsakeypair
Určuje, který pár klíčů se má přidružit k certifikátu.
Exampten:
Device(ca-trustpoint)# rsakeypair exampleCAkeys
sériové číslo žádné Přampten:
Device(ca-trustpoint)# sériové číslo žádné
Určuje, že sériová čísla nebudou součástí žádosti o certifikát.
ip-adresa žádná Přampten:
Device(ca-trustpoint)# ip-address none
Klíčové slovo none určuje, že žádost o certifikát nemá obsahovat žádnou adresu IP.
odvolání-kontrola crl Přampten:
Device(ca-trustpoint)# revocation-check crl
Určuje CRL jako metodu, která zajistí, že certifikát partnera nebyl odvolán.
výstup Přampten:
Device(ca-trustpoint)# exit
Ukončí režim konfigurace ca-trustpoint a vrátí se do režimu globální konfigurace.
crypto pki autentizační jméno Přampten:
Device(config)# crypto pki ověřuje myca
Načte certifikát CA a ověří jej.
MACsec a protokol MACsec Key Agreement (MKA) 20
MACsec a protokol MACsec Key Agreement (MKA).
Povolení ověřování 802.1x a konfigurace AAA
Krok 11 Krok 12
Krok 13 Krok 14
Název příkazu nebo akce krypto pki Přampten:
Device(config)# crypto pki zaregistrovat myca
Účel
Vygeneruje žádost o certifikát a zobrazí žádost o zkopírování a vložení na certifikační server.
Po zobrazení výzvy zadejte informace o registraci. Napřample, určete, zda se má do žádosti o certifikát zahrnout FQDN zařízení a adresa IP.
Máte také možnost zobrazit žádost o certifikát na konzolovém terminálu.
Zobrazí se certifikát zakódovaný v base-64 s nebo bez záhlaví PEM, jak je požadováno.
certifikát názvu importu krypto pki
Importuje certifikát přes TFTP na terminálu konzoly,
Exampten:
který načte udělený certifikát.
Device(config)# crypto pki import myca certifikát Zařízení se pokusí získat udělený certifikát přes TFTP pomocí stejného filejméno použité k odeslání žádosti,
kromě toho, že se přípona změní z „.req“ na „.crt“. Pro
certifikáty klíče použití, přípony „-sign.crt“ a
"-encr.crt".
Zařízení analyzuje přijaté files, ověří certifikáty a vloží certifikáty do interní databáze certifikátů na přepínači.
Poznámka
Některé certifikační úřady ignorují informace o klíči použití
v žádosti o certifikát a vydání obecně
certifikáty účelového použití. Pokud váš CA ignoruje
informace o klíči použití v certifikátu
žádost, importujte pouze obecný účel
osvědčení. Router nebude používat jeden z
vygenerovány dva páry klíčů.
konec Přampten:
Device(config)# end
zobrazit název důvěryhodného bodu certifikátu crypto pki Přampten:
Device# ukazuje crypto pki certifikát ka
Ukončí režim globální konfigurace a vrátí se do privilegovaného režimu EXEC.
Zobrazí informace o certifikátu pro bod důvěryhodnosti.
Povolení ověřování 802.1x a konfigurace AAA
SOUHRNNÉ KROKY
1. povolit 2. konfigurovat terminál 3. aaa new-model 4. dot1x system-auth-control
MACsec a protokol MACsec Key Agreement (MKA) 21
Povolení ověřování 802.1x a konfigurace AAA
MACsec a protokol MACsec Key Agreement (MKA).
5. název serveru rádius 6. adresa ip adresa auth-port číslo portu acct-port číslo portu 7. uživatelské jméno uživatelského jména automatického testeru 8. řetězec klíčů 9. minuty nečinnosti serveru rádius 10. konec 11. aaa skupinový server rádius název-skupiny 12. název serveru 13. konec 14. aaa autentizace dot1x výchozí název skupiny 15. aaa autorizační síť výchozí název skupiny
PODROBNÉ KROKY
Krok 1
Povolení příkazu nebo akce Přampten:
Zařízení> povolit
Účel Povolí privilegovaný režim EXEC. Pokud budete vyzváni, zadejte své heslo.
Krok 2
konfigurace terminálu Přampten:
Konfigurační terminál Device#
Vstoupí do režimu globální konfigurace.
Krok 3
aaa nový model Přampten:
Device(config)# aaa new-model
Umožňuje AAA.
Krok 4
dot1x system-auth-control Přampten:
Device(config)# dot1x system-auth-control
Aktivuje 802.1X na vašem zařízení.
Krok 5
název serveru rádius Přampten:
Device(config)# radius server ISE
Určuje název konfigurace serveru RADIUS pro zajišťování chráněného přístupu (PAC) a vstupuje do režimu konfigurace serveru RADIUS.
Krok 6
adresa ip adresa auth-port číslo portu acct-port číslo-portu
Konfiguruje adresu IPv4 pro parametry účtování a ověřování serveru RADIUS.
Exampten:
Device(config-radius-server)# adresa ipv4 auth-port 4 act-port 1645
Krok 7
automate-tester uživatelské jméno uživatelské jméno
Exampten:
Device(config-radius-server)# figurína uživatelského jména automatu-tester
Povolí funkci automatického testování pro server RADIUS.
Při tomto postupu zařízení odesílá pravidelné testovací ověřovací zprávy na server RADIUS. Hledá odpověď RADIUS ze serveru. Úspěch
MACsec a protokol MACsec Key Agreement (MKA) 22
MACsec a protokol MACsec Key Agreement (MKA).
Konfigurace šifrování MACsec Switch-to-Switch
Krok 8 Krok 9 Krok 10 Krok 11 Krok 12 Krok 13 Krok 14 Krok 15
Příkaz nebo Akce
Účel
zpráva není nutná – stačí neúspěšná autentizace, protože ukazuje, že server je naživu.
klíčový řetězec Přampten:
Device(config-radius-server)# key dummy123
Konfiguruje ověřovací a šifrovací klíč pro veškerou komunikaci RADIUS mezi zařízením a serverem RADIUS.
minut nečinnosti radius-serveru
Exampten:
Device(config-radius-server)# deadtime radius-server 2
Zlepšuje dobu odezvy RADIUS, když některé servery mohou být nedostupné, a okamžitě přeskakuje nedostupné servery.
výstup Přampten:
Device(config-radius-server)# exit
Vrátí se do režimu globální konfigurace.
aaa skupinový server rádius název-skupiny Přampten:
Device(config)# aaa radius skupinového serveru ISEGRP
Seskupuje různé hostitele serveru RADIUS do odlišných seznamů a odlišných metod a přechází do režimu konfigurace skupiny serverů.
název serveru Přampten:
Device(config-sg)# název serveru ISE
Přiřadí název serveru RADIUS.
výstup Přampten:
Device(config-sg)# exit
Vrátí se do režimu globální konfigurace.
aaa autentizace dot1x výchozí skupina název-skupiny Přampten:
Nastaví výchozí skupinu ověřovacích serverů pro IEEE 802.1x.
Device(config)# aaa autentizace dot1x výchozí skupina ISEGRP
aaa autorizační síť výchozí skupina název-skupiny Přampten:
aaa výchozí skupina autorizační sítě ISEGRP
Nastaví výchozí skupinu autorizace sítě.
Konfigurace šifrování MACsec Switch-to-Switch
Chcete-li na rozhraní použít MACsec MKA pomocí šifrování MACsec na základě certifikátu, proveďte následující úlohu:
Krok 1
Postup Povolení příkazu nebo akce
Účel Povolí privilegovaný režim EXEC.
MACsec a protokol MACsec Key Agreement (MKA) 23
Konfigurace šifrování MACsec Switch-to-Switch
MACsec a protokol MACsec Key Agreement (MKA).
Krok 2 Krok 3 Krok 4 Krok 5 Krok 6 Krok 7 Krok 8 Krok 9 Krok 10 Krok 11
Příkaz nebo akce Přampten:
Zařízení> povolit
Účel Zadejte své heslo, pokud budete vyzváni.
konfigurace terminálu Přampten:
Konfigurační terminál Device#
Vstoupí do režimu globální konfigurace.
rozhraní interface-id Přampten:
Device(config)# rozhraní gigabitethernet 2/9
Identifikuje rozhraní MACsec a vstoupí do režimu konfigurace rozhraní. Rozhraní musí být fyzické rozhraní.
macsec network-link Přampten:
Device(config-if)# síťový odkaz macsec
Povolí MACsec na rozhraní.
periodické ověřování Přampten:
Periodické ověřování zařízení (config-if)#
(Volitelné) Povolí opětovné ověření pro tento port.
autentizační časovač reauthenticate interval
Exampten:
Device(config-if)# autentizační časovač interval opětovného ověření
(Volitelné) Nastaví interval opětovné autentizace.
access-session host-mode multi-host
Exampten:
Device(config-if)# access-session host-mode multi-host
Umožňuje hostitelům získat přístup k rozhraní.
přístupová relace uzavřena Přampten:
Device(config-if)# access-session uzavřena
Zabraňuje předautentizačnímu přístupu na rozhraní.
access-session port-control auto
Exampten:
Device(config-if)# access-session port-control auto
Nastavuje stav autorizace portu.
tečka1x pae oba Přampten:
Device(config-if)# dot1x pae obojí
Nakonfiguruje port jako žadatele a ověřovatele 802.1X port access entity (PAE).
dot1x přihlašovací údaje profile Exampten:
Device(config-if)# dot1x pověření profile
Přiřadí pověření 802.1x profile do rozhraní.
MACsec a protokol MACsec Key Agreement (MKA) 24
MACsec a protokol MACsec Key Agreement (MKA).
Example: Přepnutí na přepnutí certifikátu MACsec
Krok 12 Krok 13 Krok 14 Krok 15
Konec příkazu nebo akce Přampten:
Device(config-if)# end
Účel
Ukončí konfiguraci rozhraní mdoe a vrátí se do privilegovaného režimu EXEC.
zobrazit id rozhraní rozhraní macsec
Zobrazí podrobnosti MACsec pro rozhraní.
Exampten:
Device# ukazuje rozhraní macsec GigabitEthernet 2/9
zobrazit podrobnosti id rozhraní přístupové relace
Exampten:
Číslo zařízení zobrazuje podrobnosti o rozhraní přístupové relace GigabitEthernet 2/9
Ověřuje úspěšnou autentizaci a autorizaci dot1x. Toto je první věc, kterou je třeba zkontrolovat. Pokud se ověření dot1x nezdaří, MKA se nikdy nespustí.
zobrazit podrobnosti id rozhraní mka session interface
Zobrazuje podrobný stav relace MKA.
Exampten:
Device# zobrazuje podrobnosti o rozhraní mka session GigabitEthernet 2/9
Example: Přepnutí na přepnutí certifikátu MACsec
BývalýampKonfigurace certifikátu MACsec založeného na switch-to-switch je uvedena níže.
konfigurace terminálu aaa nový model aaa místní autentizace výchozí autorizace výchozí ! ! aaa autentizace dot1x výchozí okruh skupiny místní aaa autorizace exec výchozí místní aaa autorizační síť výchozí okruh skupiny místní aaa autorizace auth-proxy výchozí okruh skupiny aaa autorizace pověření-stahování výchozí místní aaa účetní identita výchozí start-stop okruh skupiny ! ! aaa seznam atributů MUSÍ
typ atributu linksec-policy must-secure ! aaa seznam atributů macsec-dot1-credentials
typ atributu linksec-policy must-secure ! aaa seznam atributů MUSTS_CA
typ atributu linksec-policy must-secure ! aaa seznam atributů SHOULDS_CA
typ atributu linksec-policy should-secure ! aaa seznam atributů mkadt_CA
typ atributu linksec-policy must-secure ! aaa session-id běžné
uživatelské jméno MUSÍ aaa seznam atributů MUSTS_CA uživatelské jméno MUSÍ.mkadt.cisco.com
MACsec a protokol MACsec Key Agreement (MKA) 25
Konfigurace MKA/MACsec pro kanál portu
MACsec a protokol MACsec Key Agreement (MKA).
crypto pki trustpoint demo registrační terminál sériové číslo fqdn MUSTS.mkadt.cisco.com název-předmětu cn=MUSTS.mkadt.cisco.com,OU=CSG Security,O=Cisco Systems,L=Bengaluru,ST=KA,C= V
předmět-alt-name MUSTS.mkadt.cisco.com odvolání-kontrola žádné rsakeypair demo 2048 hash sha256
eap profile Metoda EAP_P tls
demo pki-trustpoint
dot1x system-auth-control dot1x přihlašovací údaje MUSÍ-CA
uživatelské jméno MUSÍ heslo 0 MUST_CA ! přihlašovací údaje dot1x MUSÍ uživatelské jméno MUSÍ.mkadt.cisco.comcrypto demo ověření pki
crypto pki autentizovat crypto pki zaregistrovat demo crypto pki importovat demo certifikát
policy-map type control účastník MUSTS_1 událost session-started match-all 10 class vždy do-až do selhání 10 autentizovat pomocí tečky1x obě události autentizace-selhání shoda-všech 10 třída vždy do-až do selhání 10 ukončení tečka1x 20 autentizace-restart 10 autentizace události-úspěšná shoda-všech 10 třída vždy do-až do selhání 10 aktivace šablony služby DEFAULT_LINKSEC_POLICY_MUST_SECURE
rozhraní GigabitEthernet2/9 režim přepínače přístup macsec přístup-relace hostitelský režim vícehostitelský přístup-relace uzavřený přístup-relace port-control auto dot1x pae oba dot1x autentizátor eap profile EAP_P dot1x přihlašovací údaje MUSÍ dot1x žadatel eap profile Účastník řízení typu zásady služby EAP_P MUSTS_1
Konfigurace MKA/MACsec pro kanál portu
Konfigurace MKA/MACsec pro kanál portu pomocí PSK
SOUHRNNÉ KROKY
1. konfigurace terminálu 2. rozhraní interface-id 3. macsec
MACsec a protokol MACsec Key Agreement (MKA) 26
MACsec a protokol MACsec Key Agreement (MKA).
Konfigurace logických rozhraní portového kanálu pro EtherChannels vrstvy 2
4. mka policy policy-name 5. mka pre-shared-key key-chain key-chain key-chain 6. channel-group režim čísla-skupiny-kanálu {aktivní | pasivní } | {na } 7. konec
PODROBNÉ KROKY
Krok 1
Terminál pro konfiguraci příkazů nebo akcí
Krok 2 rozhraní-id rozhraní
Krok 3 macsec
Krok 4 Krok 5
mka policy policy-name mka pre-shared-key key-chain key-chain key-chain
Účel Vstup do režimu globální konfigurace.
Vstoupí do režimu konfigurace rozhraní.
Povolí MACsec na rozhraní. Podporuje kanály portů vrstvy 2 a 3.
Konfiguruje zásady MKA.
Konfiguruje název řetězce klíčů předsdíleného klíče MKA.
Poznámka
Předsdílený klíč MKA lze nakonfigurovat
na fyzickém rozhraní nebo dílčích rozhraních
a ne na obou.
Krok 6
skupina kanálů režim čísla skupiny kanálů {aktivní | pasivní } | {zapnuto}
Konfiguruje port ve skupině kanálů a nastavuje režim. Rozsah čísel kanálů je od 1 do 4096. Kanál portu přidružený k této skupině kanálů se automaticky vytvoří, pokud kanál portu ještě neexistuje. Pro režim vyberte jedno z následujících klíčových slov:
· on (zapnuto) — Přinutí port, aby kanál bez PAgP nebo LACP. V zapnutém režimu existuje EtherChannel pouze tehdy, když je skupina portů v zapnutém režimu připojena k jiné skupině portů v zapnutém režimu.
· aktivní — Povolí LACP pouze v případě, že je detekováno zařízení LACP. Uvede port do aktivního vyjednávacího stavu, ve kterém port zahájí vyjednávání s jinými porty odesláním paketů LACP.
· pasivní — Povolí LACP na portu a uvede jej do pasivního stavu vyjednávání, ve kterém port odpovídá na pakety LACP, které přijme, ale nezahájí vyjednávání paketů LACP.
Krok 7 konec
Vrátí se do privilegovaného režimu EXEC.
Konfigurace logických rozhraní portového kanálu pro EtherChannels vrstvy 2
Chcete-li vytvořit rozhraní kanálu portu pro EtherChannel vrstvy 2, proveďte tento úkol:
MACsec a protokol MACsec Key Agreement (MKA) 27
Konfigurace logických rozhraní portového kanálu pro EtherChannels vrstvy 3
MACsec a protokol MACsec Key Agreement (MKA).
SOUHRNNÉ KROKY
1. konfigurace terminálu 2. [ne] rozhraní port-kanál číslo-skupiny-kanálu 3. switchport 4. switchport mode {přístup | kmen } 5. konec
PODROBNÉ KROKY
Krok 1
Terminál pro konfiguraci příkazů nebo akcí
Krok 2 [ne] rozhraní port-kanál číslo-skupiny-kanálu
Účel Vstup do režimu globální konfigurace.
Vytvoří rozhraní kanálu portu.
Poznámka
K odstranění souboru použijte tvar no tohoto příkazu
rozhraní kanálu portu.
Krok 3 režim přepínače Krok 4 režim přepínače {přístup | kmen } Konec 5. kroku
Přepne rozhraní, které je v režimu vrstvy 3, do režimu vrstvy 2 pro konfiguraci vrstvy 2.
Přiřadí všechny porty jako porty se statickým přístupem ve stejné VLAN nebo je nakonfiguruje jako trunky.
Vrátí se do privilegovaného režimu EXEC.
Konfigurace logických rozhraní portového kanálu pro EtherChannels vrstvy 3
Chcete-li vytvořit rozhraní kanálu portu pro EtherChannel vrstvy 3, proveďte tento úkol:
SOUHRNNÉ KROKY
1. konfigurace terminálu 2. rozhraní port-kanál interface-id 3. žádný switchport 4. ip adresa ip-adresa subnet_mask 5. end
PODROBNÉ KROKY
Krok 1
Terminál pro konfiguraci příkazů nebo akcí
Krok 2 rozhraní port-kanál interface-id
Krok 3 žádný přepínací port
Krok 4 Krok 5
ip adresa ip-adresa subnet_mask end
Účel Vstup do režimu globální konfigurace. Vstoupí do režimu konfigurace rozhraní. Přepne rozhraní, které je v režimu vrstvy 2, do režimu vrstvy 3 pro konfiguraci vrstvy 3. Přiřadí IP adresu a masku podsítě EtherChannelu. Vrátí se do privilegovaného režimu EXEC.
MACsec a protokol MACsec Key Agreement (MKA) 28
MACsec a protokol MACsec Key Agreement (MKA).
Example: Konfigurace MACsec MKA pro Port Channel pomocí PSK
Example: Konfigurace MACsec MKA pro Port Channel pomocí PSK
Etherchannel Mode — Static/On
Následující je jakoampkonfigurace na zařízení 1 a zařízení 2 se zapnutým režimem EtherChannel.
klíčenka KC macsec klíč 1000 kryptografický-algoritmus aes-128-cmac klíč-řetězec FC8F5B10557C192F03F60198413D7D45 konec
zásada mka POLITIKA priorita klíčového serveru 0 macsec-cipher-suite gcm-aes-128 důvěrnost-offset 0 konec
rozhraní Te1/0/1 kanál-skupina 2 režim na macsec mka politika POLITIKA mka předsdílený klíč key-chain KC end
rozhraní Te1/0/2 kanál-skupina 2 režim na macsec mka politika POLITIKA mka předsdílený klíč key-chain KC end
Konfigurace EtherChannel vrstvy 2
Zařízení 1
rozhraní port-channel 2 switchport switchport mode trunk no shutdown end
Zařízení 2
rozhraní port-channel 2 switchport switchport mode trunk no shutdown end
Následující ukazuje jakoample výstup příkazu show etherchannel souhrn.
Vlajky: D – dolů
P – svázaný v kanálu portu
I – stand-alone s – pozastavené
H – Hot-standby (pouze LACP)
R – Vrstva 3
S – Vrstva2
U – v použití
f – nepodařilo se alokovat agregátor
M – nepoužívá se, není splněno minimum odkazů
MACsec a protokol MACsec Key Agreement (MKA) 29
Example: Konfigurace MACsec MKA pro Port Channel pomocí PSK
MACsec a protokol MACsec Key Agreement (MKA).
u – nevhodné pro sdružování w – čeká na agregaci d – výchozí port
A – tvořená Auto MAS
Počet používaných skupin kanálů: 1
Počet agregátorů:
1
Skupina Port-channel Protocol Ports
——+————-+———–+————————————————–
2
Po2 (RU)
–
Konfigurace EtherChannel vrstvy 3
Zařízení 1
Te1/0/1(P) Te1/0/2(P)
rozhraní port-kanál 2 žádný switchport IP adresa 10.25.25.3 255.255.255.0 žádný konec vypnutí
Zařízení 2
rozhraní port-kanál 2 žádný switchport IP adresa 10.25.25.4 255.255.255.0 žádný konec vypnutí
Následující ukazuje jakoample výstup příkazu show etherchannel souhrn.
Vlajky: D – dolů
P – svázaný v kanálu portu
I – stand-alone s – pozastavené
H – Hot-standby (pouze LACP)
R – Vrstva 3
S – Vrstva2
U – v použití
f – nepodařilo se alokovat agregátor
M – nepoužívá se, není splněno minimum odkazů u – nevhodné pro sdružování w – čeká na agregaci d – výchozí port
A – tvořená Auto MAS
Počet používaných skupin kanálů: 1
Počet agregátorů:
1
Skupina Port-channel Protocol Ports
MACsec a protokol MACsec Key Agreement (MKA) 30
MACsec a protokol MACsec Key Agreement (MKA).
Example: Konfigurace MACsec MKA pro Port Channel pomocí PSK
——+————-+———–+————————————————–
2
Po2 (RU)
–
Te1/0/1(P) Te1/0/2(P)
Režim Etherchannel — LACP
Následující je jakoampkonfigurace na zařízení 1 a zařízení 2 s režimem EtherChannel jako LACP.
klíčenka KC macsec klíč 1000 kryptografický-algoritmus aes-128-cmac klíč-řetězec FC8F5B10557C192F03F60198413D7D45 konec
zásada mka POLITIKA priorita klíčového serveru 0 macsec-cipher-suite gcm-aes-128 důvěrnost-offset 0 konec
rozhraní Te1/0/1 kanál-skupina 2 režim aktivní macsec politika mka POLITIKA mka předsdílený klíč klíčenka KC end
rozhraní Te1/0/2 kanál-skupina 2 režim aktivní macsec politika mka POLITIKA mka předsdílený klíč klíčenka KC end
Konfigurace EtherChannel vrstvy 2
Zařízení 1
rozhraní port-channel 2 switchport switchport mode trunk no shutdown end
Zařízení 2
rozhraní port-channel 2 switchport switchport mode trunk no shutdown end
Následující ukazuje jakoample výstup příkazu show etherchannel souhrn.
Vlajky: D – dolů
P – svázaný v kanálu portu
I – stand-alone s – pozastavené
H – Hot-standby (pouze LACP)
R – Vrstva 3
S – Vrstva2
U – v použití
f – nepodařilo se alokovat agregátor
MACsec a protokol MACsec Key Agreement (MKA) 31
Example: Konfigurace MACsec MKA pro Port Channel pomocí PSK
MACsec a protokol MACsec Key Agreement (MKA).
M – nepoužívá se, není splněno minimum odkazů u – nevhodné pro sdružování w – čeká na agregaci d – výchozí port
A – tvořená Auto MAS
Počet používaných skupin kanálů: 1
Počet agregátorů:
1
——+————-+———–+————————————————–
2
Po2 (SU)
LACP
Konfigurace EtherChannel vrstvy 3
Zařízení 1
Te1/1/1(P) Te1/1/2(P)
rozhraní port-kanál 2 žádný switchport IP adresa 10.25.25.3 255.255.255.0 žádný konec vypnutí
Zařízení 2
rozhraní port-kanál 2 žádný switchport IP adresa 10.25.25.4 255.255.255.0 žádné vypnutí
Následující ukazuje jakoample výstup příkazu show etherchannel souhrn.
Vlajky: D – dolů
P – svázaný v kanálu portu
I – stand-alone s – pozastavené
H – Hot-standby (pouze LACP)
R – Vrstva 3
S – Vrstva2
U – v použití
f – nepodařilo se alokovat agregátor
M – nepoužívá se, není splněno minimum odkazů u – nevhodné pro sdružování w – čeká na agregaci d – výchozí port
A – tvořená Auto MAS
Počet používaných skupin kanálů: 1
Počet agregátorů:
1
Skupina Port-channel Protocol Ports
MACsec a protokol MACsec Key Agreement (MKA) 32
MACsec a protokol MACsec Key Agreement (MKA).
Konfigurace oznámení MACsec Cipher
——+————-+———–+————————————————–
2
Po2 (RU)
LACP
Te1/1/1(P) Te1/1/2(P)
Zobrazení aktivních relací MKA
Níže jsou uvedeny všechny aktivní relace MKA.
# zobrazit rozhraní mka sessions Te1/0/1
================================================== ==================================================
Rozhraní
Místní-TxSCI
Název zásady
Zděděno
Klíčový server
Port-ID
Peer-RxSCI
MACsec-Peers
Postavení
CKN
================================================== ==================================================
Te1/0/1
00a3.d144.3364/0025 ZÁSADY
ŽÁDNÝ
ŽÁDNÝ
37
701f.539b.b0c6/0032 1
Zajištěno
Konfigurace oznámení MACsec Cipher
Konfigurace zásad MKA pro bezpečné oznámení
SOUHRNNÉ KROKY
1. konfigurace terminálu 2. mka policy policy-name 3. key-server priority 4. [no] send-secure-announcements 5. macsec-cipher-suite {gcm-aes-128 | gcm-aes-256} 6. konec 7. zobrazit politiku mka
PODROBNÉ KROKY
Krok 1
Terminál pro konfiguraci příkazů nebo akcí
Krok 2 mka policy policy-name
Účel
Vstupte do režimu globální konfigurace.
Identifikujte zásadu MKA a přejděte do režimu konfigurace zásad MKA. Maximální délka názvu zásady je 16 znaků.
MACsec a protokol MACsec Key Agreement (MKA) 33
Globální konfigurace zabezpečeného oznámení (v rámci všech zásad MKA)
MACsec a protokol MACsec Key Agreement (MKA).
Příkaz nebo Akce
Krok 3 priorita klíčového serveru
Krok 4 [ne] zasílejte-secure-announcements
Krok 5 macsec-cipher-suite {gcm-aes-128 | gcm-aes-256}
Krok 6 Krok 7
konec show mka policy
Poznámka k účelu
Výchozí šifrovací sada MACsec v zásadách MKA bude vždy „GCM-AES-128“. Pokud zařízení podporuje šifry „GCM-AES-128“ i „GCM-AES-256“, důrazně se doporučuje definovat a používat uživatelem definovanou politiku MKA tak, aby zahrnovala 128 i 256 bitové šifry nebo pouze 256 bitové šifry, např. může být vyžadováno.
Nakonfigurujte možnosti klíčového serveru MKA a nastavte prioritu (mezi 0-255).
Poznámka
Když je hodnota priority klíčového serveru nastavena na 255,
peer se nemůže stát serverem klíčů. The
hodnota priority serveru klíče je platná pouze pro
MKA PSK; a ne pro MKA EAPTLS.
Umožňuje odesílání zabezpečených oznámení. Pro zakázání odesílání zabezpečených oznámení použijte příkaz no. Ve výchozím nastavení jsou zabezpečená oznámení zakázána.
Konfiguruje sadu šifer pro odvození SAK se 128bitovým nebo 256bitovým šifrováním.
Vrátí se do privilegovaného režimu EXEC.
Ověřte své záznamy.
Globální konfigurace zabezpečeného oznámení (v rámci všech zásad MKA)
SOUHRNNÉ KROKY
1. konfigurace terminálu 2. [no] mka defaults policy send-secure-announcements 3. end
PODROBNÉ KROKY
Krok 1
Terminál pro konfiguraci příkazů nebo akcí
Účel Vstup do režimu globální konfigurace.
Krok 2
[no] mka předvolí politiku send-secure-announcementsUmožňuje odesílání zabezpečených oznámení v MKPDU napříč zásadami MKA. Ve výchozím nastavení jsou zabezpečená oznámení zakázána.
Krok 3 konec
Vrátí se do privilegovaného režimu EXEC.
MACsec a protokol MACsec Key Agreement (MKA) 34
MACsec a protokol MACsec Key Agreement (MKA).
Konfigurace oznámení EAPoL na rozhraní
Konfigurace oznámení EAPoL na rozhraní
SOUHRNNÉ KROKY
1. konfigurace terminálu 2. interface interface-id 3. [no] eapol annoucement 4. end
PODROBNÉ KROKY
Krok 1
Terminál pro konfiguraci příkazů nebo akcí
Krok 2 rozhraní-id rozhraní
Krok 3 [žádné] oznámení eapol
Krok 4 konec
Účel
Vstupte do režimu globální konfigurace.
Identifikuje rozhraní MACsec a vstoupí do režimu konfigurace rozhraní. Rozhraní musí být fyzické rozhraní.
Povolit oznámení EAPoL. Pro zakázání hlášení EAPoL použijte příkaz no. Ve výchozím nastavení jsou oznámení EAPoL zakázána.
Vrátí se do privilegovaného režimu EXEC.
Examples: Konfigurace oznámení MACsec Cipher
Tento example ukazuje, jak nakonfigurovat zásady MKA pro zabezpečené oznámení:
# configure terminal (config)# mka policy mka_policy (config-mka-policy)# key-server 2 (config-mka-policy)# send-secure-announcements (config-mka-policy)#macsec-cipher-suite gcm- aes-128důvěrnost-offset 0 (config-mka-policy)# end
Tento example ukazuje, jak globálně nakonfigurovat Secure Announcement:
# configure terminal (config)# mka defaults policy send-secure-announcements (config)# end
Tento example ukazuje, jak nakonfigurovat EAPoL Announcements na rozhraní:
# konfigurace terminálu (config)# rozhraní GigabitEthernet 1/0/1 (config-if)# oznámení eapol (config-if)# konec
Následující je jakoampvýstup souboru pro příkaz show running-config interface name-name s povoleným hlášením EAPoL.
# show running-config interface GigabitEthernet 1/0/1
switchport mode access macsec access-session hostitelský režim multi-host access-session uzavřen
MACsec a protokol MACsec Key Agreement (MKA) 35
Examples: Konfigurace oznámení MACsec Cipher
MACsec a protokol MACsec Key Agreement (MKA).
access-session port-control auto dot1x pae authenticator dot1x timeout quiet-period 10 dot1x timeout tx-period 5 dot1x timeout supp-timeout 10 dot1x supplicant eap profile peap eapol oznámení spanning-tree portfast service-policy type control subscriber Dot1X
Následující je jakoample výstup příkazu show mka sessions interface name-name detail s deaktivovaným zabezpečeným oznámením.
# zobrazit detail rozhraní mka sessions GigabitEthernet 1/0/1
Podrobný stav MKA pro relaci MKA ==================================== Stav: ZABEZPEČENÝ – zabezpečená relace MKA s MACsec
Místní Tx-SCI…………. 204c.9e85.ede4/002b Adresa MAC rozhraní…. 204 Identifikátor (MI)… D9CBEC85D4D43CEAE Číslo zprávy ( MN)…… 1 Role EAP…………….. NA klíčový server…………… ANO MKA Cipher Suite……… AES-0-CMAC
Poslední stav SAK…….. Rx & Tx Poslední SAK AN………… 0 Nejnovější SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) Starý stav SAK……….. PRVNÍ SAK Starý SAK AN……… 0 Starý SAK KI (KN)………. PRVNÍ SAK (0)
Čekací doba přenosu SAK… 0 s (Nečeká se na odpověď žádných kolegů) Doba odchodu SAK…. 0s (žádný starý SAK do důchodu)
Název zásady MKA………. p2 Key Server Priority…… 2 Delay Protection… NE Replay Protection…….. ANO Replay Window Size……. 0 Posun důvěrnosti… 0 Agilita algoritmu…….. 80C201 Odeslat zabezpečené oznámení.. ZAKÁZANÁ šifrovací sada SAK… 0080C20001000001 (GCM-AES-128) Schopnost MACsec…….. 3 (integrita MACsec a důvěrnost)
MACsec a protokol MACsec Key Agreement (MKA) 36
MACsec a protokol MACsec Key Agreement (MKA).
Examples: Konfigurace oznámení MACsec Cipher
MACsec Desired……….. ANO
Počet živých peerů schopných MACsec………… Odpovězeno 1 # živých peerů schopných MACsec.. 1
Seznam živých vrstevníků:
MI
MN
Rx-SCI (Peer)
Přednost KS
——————————————————————————
38046BA37D7DA77E06D006A9 89555
c800.8459.e764/002a 10
Seznam potenciálních kolegů:
MI
MN
Rx-SCI (Peer)
Přednost KS
——————————————————————————
Seznam spících vrstevníků:
MI
MN
Rx-SCI (Peer)
Přednost KS
——————————————————————————
Následující je jakoample výstup příkazu show mka sessions details se zakázaným zabezpečeným oznámením.
# zobrazit podrobnosti o relacích mka
Podrobný stav MKA pro relaci MKA ==================================== Stav: ZABEZPEČENÝ – zabezpečená relace MKA s MACsec
Místní Tx-SCI…………. 204c.9e85.ede4/002b Adresa MAC rozhraní…. 204 Identifikátor (MI)… D9CBEC85D4D43CEAE Číslo zprávy ( MN)…… 1 Role EAP…………….. NA klíčový server…………… ANO MKA Cipher Suite……… AES-0-CMAC
Poslední stav SAK…….. Rx & Tx Poslední SAK AN………… 0 Nejnovější SAK KI (KN)……. D46CBEC05D5D67594543CEAE00000001 (1) Starý stav SAK……….. PRVNÍ SAK Starý SAK AN……… 0 Starý SAK KI (KN)………. PRVNÍ SAK (0)
Čekací doba přenosu SAK… 0 s (Nečeká se na odpověď žádných kolegů) Doba odchodu SAK…. 0s (žádný starý SAK do důchodu)
Název zásady MKA………. p2 Key Server Priority…… 2 Delay Protection… NE Replay Protection…….. ANO
MACsec a protokol MACsec Key Agreement (MKA) 37
Examples: Konfigurace oznámení MACsec Cipher
MACsec a protokol MACsec Key Agreement (MKA).
Velikost okna pro přehrání...... 0 Posun důvěrnosti… 0 Agilita algoritmu…….. 80C201 Odesílat zabezpečené oznámení.. DISABLED SAK Cipher Suite… 0080C20001000001 (GCM-AES-128) Schopnost MACsec…….. 3 (MACsecred Integrita MAC, Conf Desi Desi ……….. ANO
Počet živých peerů schopných MACsec………… Odpovězeno 1 # živých peerů schopných MACsec.. 1
Seznam živých vrstevníků:
MI
MN
Rx-SCI (Peer)
Přednost KS
——————————————————————————
38046BA37D7DA77E06D006A9 89560
c800.8459.e764/002a 10
Seznam potenciálních kolegů:
MI
MN
Rx-SCI (Peer)
Přednost KS
——————————————————————————
Seznam spících vrstevníků:
MI
MN
Rx-SCI (Peer)
Přednost KS
——————————————————————————
Následující je jakoample výstup příkazu show mka policy-name detail s deaktivovaným zabezpečeným oznámením.
# zobrazit mka policy p2 detail
Konfigurace zásad MKA (“p2”) ======================== Název zásad MKA…….. Priorita klíčového serveru p2…. 2 Kompenzace důvěrnosti. 0 Odeslat zabezpečené oznámení..DISABLED Cipher Suite(s)…….. GCM-AES-128
Aplikovaná rozhraní… GigabitEthernet1/0/1
MACsec a protokol MACsec Key Agreement (MKA) 38
Dokumenty / zdroje
 |
Cisco IE3x00 MACsec a protokol MACsec Key Agreement [pdfUživatelská příručka IE3x00 MACsec a protokol MACsec Key Agreement, IE3x00, MACsec a MACsec Key Agreement Protocol, MACsec Key Agreement Protocol, Key Agreement Protocol, Agreement Protocol, Protocol |
