CISCO လိုဂိုUnified Wireless Network Software
အသုံးပြုသူလမ်းညွှန်

မာတိကာ ပုန်း
1 Unified Wireless Network Software
2 CC အကြောင်း အချက်အလက်
3 Controller လုံခြုံရေး
4 Cisco TrustSec
5 Cisco TrustSec အထောက်အထားများ
6 ပတ်ဝန်းကျင်ဒေတာကို စောင့်ကြည့်ခြင်း။
7 Inline ပြင်ဆင်ခြင်း။ Tagဂျင်း
8 SGACL ပေါ်လစီ ဒေါင်းလုဒ်ကို အတည်ပြုခြင်း
9 ပေါ်လစီ ကျင့်သုံးမှုကို ပြင်ဆင်ခြင်း။
10 စာရွက်စာတမ်းများ / အရင်းအမြစ်များ
10.1 ကိုးကား

Unified Wireless Network Software

CISCO Unified Wireless Network Software

FIPS၊ CC နှင့် UCAPL
ဤကဏ္ဍတွင် အောက်ပါ ကဏ္ဍခွဲများ ပါဝင်သည်-

FIPS

Federal Information Processing Standard (FIPS) 140-2 သည် cryptographic module များကို တရားဝင်အောင်ပြုလုပ်ရန် အသုံးပြုသည့် လုံခြုံရေးစံတစ်ခုဖြစ်သည်။ လျှို့ဝှက်စာဝှက် မော်ဂျူးများကို US အစိုးရနှင့် အခြားသော ထိန်းကျောင်းသည့် လုပ်ငန်းများတွင် အသုံးပြုရန် (ဥပမာ ဘဏ္ဍာရေးနှင့် ကျန်းမာရေး စောင့်ရှောက်မှု အဖွဲ့အစည်းများ) မှ စုဆောင်း၊ သိမ်းဆည်းခြင်း၊ လွှဲပြောင်းခြင်း၊ မျှဝေခြင်း၊ မျှဝေခြင်းနှင့် ဖြန့်ဝေခြင်းနှင့် ဖြန့်ဝေခြင်း စသည့် အရေးကြီးသော အချက်အလက်များကို စုဆောင်းခြင်း၊

CISCO Unified Wireless Network Software - သင်္ကေတ မှတ်ချက်
ထိန်းချုပ်ကိရိယာ FIPS မုဒ်တွင် ရှိနေသောအခါ Cisco Trusses (CTS) ကို ပံ့ပိုးမထားပါ။
FIPS နှင့်ပတ်သက်သော နောက်ထပ်အချက်အလက်များအတွက် ကြည့်ပါ။
https://www.cisco.com/c/en/us/solutions/industries/government/global-government-certifications/fips-140.html.
FIPS ကိုယ်တိုင်စမ်းသပ်မှုများ
ကုဒ်ဝှက်စနစ် မော်ဂျူးတစ်ခုသည် ၎င်းသည် အလုပ်လုပ်ကြောင်း သေချာစေရန်အတွက် ပါဝါတက်သည့် ကိုယ်တိုင်စမ်းသပ်မှုများနှင့် အခြေအနေအရ ကိုယ်တိုင်စမ်းသပ်မှုများကို လုပ်ဆောင်ရပါမည်။
စက်ပစ္စည်းအား ပါဝါဖွင့်ပြီးနောက်တွင် ကိုယ်တိုင်စမ်းသပ်မှုများ အလိုအလျောက် လုပ်ဆောင်ပါသည်။ ကိုယ်တိုင်စမ်းသပ်မှုအားလုံးကို အောင်မြင်စွာပြီးမြောက်မှသာ စက်သည် FIPS မုဒ်သို့ ရောက်သွားပါသည်။ ကိုယ်တိုင်စမ်းသပ်မှု မအောင်မြင်ပါက၊ စက်ပစ္စည်းသည် စနစ်မက်ဆေ့ဂျ်ကို မှတ်တမ်းတင်ပြီး အမှားအယွင်းအခြေအနေသို့ ရွေ့လျားသွားမည်ဖြစ်သည်။ ထို့အပြင်၊ power-up ကိုယ်တိုင်စမ်းသပ်မှုမအောင်မြင်ပါက၊ စက်သည် boot လုပ်ရန်ပျက်ကွက်သည်။
လူသိများသော အဖြေစမ်းသပ်မှု (KAT) ကို အသုံးပြု၍ မှန်ကန်သော အထွက်ကို သိရှိပြီးဖြစ်သည့် ဒေတာပေါ်တွင် ကုဒ်ဝှက်စနစ် အယ်လဂိုရီသမ်ကို လုပ်ဆောင်ပြီး၊ ထို့နောက် တွက်ချက်ထားသော အထွက်ကို ယခင်ထုတ်ပေးသည့် အထွက်နှင့် နှိုင်းယှဉ်ပါသည်။ တွက်ချက်ထားသော အထွက်နှုန်းသည် သိထားသောအဖြေနှင့် ညီမျှခြင်းမရှိပါက၊ သိရှိထားသော အဖြေစမ်းသပ်မှု မအောင်မြင်ပါ။
စွမ်းအားမြှင့် ကိုယ်တိုင်စမ်းသပ်မှုများတွင် အောက်ပါတို့ ပါဝင်သည်-

CC အကြောင်း အချက်အလက်

  • အဋ္ဌကထာ သမာဓိ
  • Algorithm စမ်းသပ်မှုများ

သက်ဆိုင်ရာ လုံခြုံရေးလုပ်ဆောင်ချက် သို့မဟုတ် လုပ်ဆောင်ချက်ကို ခေါ်ဆိုသောအခါတွင် အခြေအနေအရ ကိုယ်တိုင်စမ်းသပ်မှုများကို လုပ်ဆောင်ရပါမည်။ ပါဝါတက် ကိုယ်တိုင်စမ်းသပ်မှုများနှင့် မတူဘဲ၊ ၎င်းတို့၏ ဆက်စပ်လုပ်ဆောင်ချက်ကို ဝင်ရောက်သည့်အခါတိုင်း အခြေအနေအလိုက် ကိုယ်တိုင်စမ်းသပ်မှုများကို လုပ်ဆောင်သည်။
စက်ပစ္စည်းသည် FIPS 140-2-အတည်ပြုထားသော ကုဒ်ဝှက်ခြင်းလုပ်ဆောင်မှုတစ်ခုစီအတွက် FIPS မုဒ်ကို စမ်းသပ်ရန် ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ် (KAT) ကို အသုံးပြုပါသည်။
device ပေါ်တွင်အကောင်အထည်ဖော်ခဲ့သည်။ စက်ပစ္စည်းသည် မှန်ကန်သောအထွက်ကို သိထားပြီးဖြစ်သည့်အတွက် အယ်လဂိုရီသမ်ကို ဒေတာအသုံးပြုသည်။ ထို့နောက် ၎င်းသည် တွက်ချက်ထားသော output ကို ယခင်ထုတ်လုပ်ထားသော output နှင့် နှိုင်းယှဉ်သည်။ အထွက်နှုန်းနဲ့ တွက်ရင်
သိထားသောအဖြေနှင့် ညီမျှခြင်းမရှိပါ၊ KAT သည် ကျရှုံးပါသည်။
သက်ဆိုင်ရာ လုံခြုံရေးလုပ်ဆောင်ချက် သို့မဟုတ် လုပ်ဆောင်ချက်ကို ခေါ်ဆိုသောအခါတွင် အခြေအနေအလိုက် ကိုယ်တိုင်စမ်းသပ်မှုများ အလိုအလျောက် လုပ်ဆောင်ပါသည်။ ပါဝါတက် ကိုယ်တိုင်စမ်းသပ်မှုများနှင့် မတူဘဲ၊ ၎င်းတို့၏ ဆက်စပ်လုပ်ဆောင်ချက်ကို ဝင်ရောက်သည့်အခါတိုင်း အခြေအနေအလိုက် ကိုယ်တိုင်စမ်းသပ်မှုများကို လုပ်ဆောင်သည်။
အခြေအနေအရ ကိုယ်တိုင်စမ်းသပ်မှုများတွင် အောက်ပါတို့ ပါဝင်သည်-

  • တွဲဖက်လိုက်လျောညီထွေရှိမှုစမ်းသပ်မှု—အများပြည်သူ သို့မဟုတ် သီးသန့်သော့အတွဲကို ထုတ်လုပ်သည့်အခါ ဤစမ်းသပ်မှုကို လုပ်ဆောင်သည်။
  • စဉ်ဆက်မပြတ် ကျပန်းနံပါတ်ထုတ်ပေးသည့်စမ်းသပ်မှု—ကျပန်းနံပါတ်တစ်ခုထုတ်ပေးသည့်အခါ ဤစမ်းသပ်မှုကို လုပ်ဆောင်သည်။
  • ရှောင်ကွင်း
  • ဆော့ဖ်ဝဲလ်တင်ရန်

CC အကြောင်း အချက်အလက်
Common Criteria (CC) သည် ထုတ်ကုန်တစ်ခုသည် ၎င်း၏ developer မှ တောင်းဆိုထားသော လုံခြုံရေးလုပ်ဆောင်ချက်များကို ပံ့ပိုးပေးကြောင်း အတည်ပြုရန် စမ်းသပ်စံတစ်ခုဖြစ်သည်။ CC အကဲဖြတ်မှုသည် ဖန်တီးထားသော အကာအကွယ်ပေးသူကို ဆန့်ကျင်သည်။file (PP) သို့မဟုတ် လုံခြုံရေးပစ်မှတ် (ST)။
FIPS 140–2 ရှိ လုံခြုံရေးအဆင့် လေးခုသည် တိကျသော CC EALs သို့မဟုတ် CC လုပ်ဆောင်မှုဆိုင်ရာ လိုအပ်ချက်များနှင့် တိုက်ရိုက်မပြပါ။
CC အကြောင်း ပိုမိုသိရှိလိုပါက ကြည့်ပါ။ Common Criteria Portal နှင့် CC အကဲဖြတ်ခြင်းနှင့် အတည်ပြုခြင်း အစီအစဉ်.
ထိန်းချုပ်ကိရိယာကို CC မုဒ်တွင် လည်ပတ်သတ်မှတ်ရန်၊ လက်မှတ်ရထုတ်ကုန်စာမျက်နှာရှိ အက်မင်လမ်းညွှန်ချက်စာရွက်စာတမ်းကို ကိုးကားပါ။ Common Criteria Portal website.
Controller အတွက် CC ကို ပေးပြီးနောက်၊ controller စီးရီးအမည်ကို တွင် ဖော်ပြထားပါသည်။ Common Criteria Portal. Security Documents tab ကိုနှိပ်ပါ။ view ထိန်းချုပ်ကိရိယာအတွက် ရရှိနိုင်သော မှတ်တမ်းများစာရင်း။
UCAPL အကြောင်း အချက်အလက်
US Department of Defense (DoD) Unified Capabilities Approved Product List (APL) အသိအမှတ်ပြု လုပ်ငန်းစဉ်သည် Defense Information Systems Agency (DISA) Unified Capabilities Certification ၏ တာဝန်ဖြစ်သည်
ရုံး (UCCO)။ အသိအမှတ်ပြုလက်မှတ်များကို Joint Interoperability Test Command (JITC) အပါအဝင် အတည်ပြုထားသော ဖြန့်ဝေစမ်းသပ်ရေးစင်တာများမှ လုပ်ဆောင်ပါသည်။
DoD သုံးစွဲသူများသည် အသိအမှတ်ပြုလက်မှတ်ရရှိထားသော ဟာ့ဒ်ဝဲနှင့် ဆော့ဖ်ဝဲလ် နှစ်ခုလုံးတွင် ပေါင်းစည်းထားသော စွမ်းဆောင်ရည်ဆိုင်ရာ ဆက်စပ်ပစ္စည်းများကိုသာ ဝယ်ယူနိုင်သည်။ လက်မှတ်ရစက်ပစ္စည်းများကို DoD UC APL တွင်ဖော်ပြထားပါသည်။ UC APL အသိအမှတ်ပြုလက်မှတ်များသည် စနစ်နှင့်ကိုက်ညီကြောင်း အတည်ပြုပြီး DISA Field Security Office (FSO) Security Technical Implementation Guides (STIG) နှင့် ကိုက်ညီကြောင်း အတည်ပြုပါသည်။
UC APL လုပ်ငန်းစဉ်အကြောင်း နောက်ထပ်အချက်အလက်များအတွက်၊ ကြည့်ပါ။ ကာကွယ်ရေးသတင်းအချက်အလက်စနစ်အေဂျင်စီ.

Controller လုံခြုံရေး

UCAPL ၏ လမ်းညွှန်ချက်များ

  • UCAPL မှာ web အထောက်အထားစိစစ်ခြင်းဝင်ရောက်ခြင်း၊ သုံးစွဲသူ (ဘရောက်ဆာ) လက်မှတ်အတည်ပြုခြင်းနှင့် အသုံးပြုသူ စစ်မှန်ကြောင်းသက်သေပြခြင်း ပါ၀င်သော multifactor စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို လုပ်ဆောင်ပါသည်။ အသုံးပြုသူ စစ်မှန်ကြောင်း အထောက်အထားမခိုင်လုံမီ အသိအမှတ်ပြုလက်မှတ်သည် မဖြစ်မနေ လိုအပ်ပါသည်။ Certificate validation သည် DTLS handshake ၏ တစ်စိတ်တစ်ပိုင်းဖြစ်ပြီး၊ session တစ်ခုအတွက် တစ်သက်တာအထိ တစ်ကြိမ်သာ လုပ်ဆောင်သည် (မူရင်း session lifetime သည် 5 မိနစ်ဖြစ်သည်)။ အသုံးပြုသူတစ်ဦးက ထပ်မံဝင်ရောက်ရန် ကြိုးစားသောအခါ၊ စက်ရှင်ဟောင်းကို မရှင်းထုတ်သေးဘဲ အသိအမှတ်ပြုလက်မှတ်ကို အတည်ပြုခြင်းမရှိဘဲ အသုံးပြုသူ စစ်မှန်ကြောင်း အတည်ပြုခြင်း မလုပ်ဆောင်နိုင်သောကြောင့် လက်မှတ်အတည်ပြုခြင်း မလုပ်ဆောင်နိုင်ပါ။ ပိုမိုသိရှိလိုပါက ကြည့်ရှုပါ။ https://tools.ietf.org/html/rfc5246.
  • UCAPL အသိအမှတ်ပြုလက်မှတ်သည် SSH သို့ ဝင်ရောက်ရန် ကြိုးပမ်းမှု အများဆုံး သုံးကြိမ်အထိ လိုအပ်သည်။ အချို့သော SSH client များနှင့်အတူ စတုတ္ထအကြိမ် ကြိုးပမ်းမှုများကိုလည်း တွေ့ရှိရသည်။ သို့ရာတွင်၊ အထောက်အထားများ မှန်ကန်သော်လည်း၊ ထိန်းချုပ်သူသည် စတုတ္ထကြိုးပမ်းမှုကို လက်မခံပါ။

FIPS (CLI) ကို ပြင်ဆင်ခြင်း

လုပ်ထုံးလုပ်နည်း

အဆင့် ၁
ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် ထိန်းချုပ်ကိရိယာပေါ်တွင် FIPS ကို ပြင်ဆင်သတ်မှတ်ပါ- config switchconfig fibs- prerequisite {enable | ပိတ်ပါ }
အဆင့် ၁ View ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် FIPS ဖွဲ့စည်းမှုပုံစံ switchconfig ကိုပြပါ။
အောက်ပါနှင့်ဆင်တူသော အချက်အလက် ပေါ်လာသည်-
802.3x စီးဆင်းမှု ထိန်းချုပ်မုဒ် ……………………။ ပိတ်ပါ။
FIPS ကြိုတင်လိုအပ်သောအင်္ဂါရပ်များ………………….. ဖွင့်ထားသည်။
WLANCC လိုအပ်သောအင်္ဂါရပ်များ …………………. ဖွင့်ထားသည်။
UCAPL ၏ကြိုတင်လိုအပ်သောအင်္ဂါရပ်များ …………………. မသန်စွမ်း
လျှို့ဝှက်ရှုပ်ယှက်ခတ်မှု…………………………. ဖွင့်ထားသည်။
CC (CLI) ကို ပြင်ဆင်ခြင်း
သင်မစတင်မီ
ထိန်းချုပ်ကိရိယာပေါ်တွင် FIPS ကိုဖွင့်ထားရပါမည်။
လုပ်ထုံးလုပ်နည်း

အဆင့် ၁
ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် ထိန်းချုပ်ကိရိယာပေါ်တွင် FIPS ကို ပြင်ဆင်သတ်မှတ်ပါ- config switchconfig wlancc {enable | ပိတ်ပါ }
အဆင့် ၁ View ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် FIPS ဖွဲ့စည်းမှုပုံစံ switchconfig ကိုပြပါ။
အောက်ပါနှင့်ဆင်တူသော အချက်အလက် ပေါ်လာသည်-
802.3x စီးဆင်းမှု ထိန်းချုပ်မုဒ် ……………………။ ပိတ်ပါ။
FIPS ကြိုတင်လိုအပ်သောအင်္ဂါရပ်များ………………….. ဖွင့်ထားသည်။
WLANCC လိုအပ်သောအင်္ဂါရပ်များ …………………. ဖွင့်ထားသည်။
UCAPL ၏ကြိုတင်လိုအပ်သောအင်္ဂါရပ်များ …………………. မသန်စွမ်း
လျှို့ဝှက်ရှုပ်ယှက်ခတ်မှု…………………………. ဖွင့်ထားသည်။

UCAPL (CLI) ကို ပြင်ဆင်ခြင်း
သင်မစတင်မီ
ထိန်းချုပ်ကိရိယာပေါ်တွင် FIPS နှင့် WLAN CC ကို ဖွင့်ထားရပါမည်။
လုပ်ထုံးလုပ်နည်း
အဆင့် ၁
ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် ထိန်းချုပ်ကိရိယာပေါ်တွင် UCAPL ကို ပြင်ဆင်သတ်မှတ်ပါ- config switchconfig ucapl {enable | ပိတ်ပါ }
အဆင့် ၁ View ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် FIPS ဖွဲ့စည်းမှုပုံစံ switchconfig ကိုပြပါ။
အောက်ပါနှင့်ဆင်တူသော အချက်အလက် ပေါ်လာသည်-
802.3x စီးဆင်းမှု ထိန်းချုပ်မုဒ် ……………………။ ပိတ်ပါ။
FIPS ကြိုတင်လိုအပ်သောအင်္ဂါရပ်များ………………….. ဖွင့်ထားသည်။
WLANCC လိုအပ်သောအင်္ဂါရပ်များ …………………. ဖွင့်ထားသည်။
UCAPL ၏ကြိုတင်လိုအပ်သောအင်္ဂါရပ်များ …………………. ဖွင့်ထားသည်။
လျှို့ဝှက်ရှုပ်ယှက်ခတ်မှု…………………………. ဖွင့်ထားသည်။
Cisco Prime ရှိ စီမံခန့်ခွဲမှုအတွက် FIPS မုဒ်တွင် Controller ကို ပြင်ဆင်နေသည်။
အခြေခံအဆောက်အဦ (CLI)
၎င်းသည် လက်ရှိ FIPS အင်္ဂါရပ်လုပ်ဆောင်ချက်အတွက် အပ်ဒိတ်တစ်ခုဖြစ်သည်။ ဤအပ်ဒိတ်အရ၊ ထိန်းချုပ်ကိရိယာသည် FIPS မုဒ်တွင်ရှိသည့်အခါ သို့မဟုတ် Cisco Prime Infrastructure (PI) ကို SNMP စီမံခန့်ခွဲမှုအတွက်၊ SNMP ထောင်ချောက်လော့ဂ်ဂါနှင့် IPsec ပါသော syslog ဆာဗာတစ်ခုအနေဖြင့်၊ သင်သည် ထိန်းချုပ်ကိရိယာတွင် Cisco PI IP လိပ်စာကို PI ဖွဲ့စည်းမှုတွင် ထည့်သွင်းခြင်းမပြုမီ သင်ထည့်သွင်းရပါမည်။
လုပ်ထုံးလုပ်နည်း
အဆင့် ၁ ထိန်းချုပ်ကိရိယာတွင် FIPS မုဒ်ကိုဖွင့်ပါ။

မှတ်ချက်
ကွန်ရက်တွင် Cisco 3702E AP ကိုအသုံးပြုသည့်အခါ ရွေးချယ်ခွင့်အဆင့်များ (ခ၊ ဂ) ကို မလုပ်ဆောင်ပါနှင့်။
Cisco Wave 1 APs (AP3702/AP2702/AP1702) သည် AES1.0-SHA128 သို့မဟုတ် AES1-SHA256 ဖြင့် FIPS DTLS 256 ကို ပံ့ပိုးပေးပါသည်။ WLAN Common Criteria (WLAN CC) သည် Ephemeral Diffie-Hellman (DHE) cipher suite ဖြင့် DTLS 1.2 လိုအပ်သည်။ ထို့ကြောင့် ဤ AP များသည် WLANCC ဖွင့်ထားခြင်းဖြင့် ထိန်းချုပ်ကိရိယာသို့ မပါဝင်နိုင်ပါ။
က) ဤ command ကိုရိုက်ထည့်ခြင်းဖြင့် controller ပေါ်တွင် FIPS ကို configure လုပ်ပါ- config switchconfig fips- prerequisite {enable | disable}
b) [ချန်လှပ်ထားနိုင်သည်] ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် ထိန်းချုပ်ကိရိယာပေါ်တွင် WLAN ဘုံသတ်မှတ်ချက်များကို ပြင်ဆင်သတ်မှတ်ပါ- config switchconfig wlancc {enable | disable}
ဂ) [ချန်လှပ်ထားနိုင်သည်] ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် ထိန်းချုပ်ကိရိယာပေါ်တွင် UCAPL ကို ပြင်ဆင်သတ်မှတ်ပါ- config switchconfig ucapl {enable | disable}
ဃ) ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် လက်ရှိဖွဲ့စည်းပုံအား NVRAM တွင် သိမ်းဆည်းပါ- config ကို သိမ်းဆည်းပါ။
e) ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် ထိန်းချုပ်ကိရိယာကို ပြန်လည်စတင်ပါ- စနစ်ကို ပြန်လည်သတ်မှတ်ပါ။
ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် ထိန်းချုပ်သူအား စီမံခန့်ခွဲရန် Cisco PI IP လိပ်စာကို ပြင်ဆင်သတ်မှတ်ပါ- config snmp pi-ip-address ip-address {add | ဖျက်ပါ}
IP လိပ်စာသည် Cisco PI eth0 interface IP လိပ်စာဖြစ်သည်။
မှတ်ချက်
IPSec pro ကို စီစဉ်သတ်မှတ်ပါ။file.
က) IPSec pro ကိုဖန်တီးပါ။file ဤအမိန့်ကိုထည့်သွင်းခြင်းဖြင့်- config ipsec-profile {ဖန်တီး | delete } profile-အမည်
b) IPSec pro ကို configure လုပ်ပါ။file ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် ကုဒ်ဝှက်ခြင်း- config ipsec-profile ကုဒ်ဝှက်ခြင်း {aes-128-cbc | aes-256-cbc | aes-128-gcm | aes-256-gcm } ပရိုfile-အမည်
ဂ) IPSec pro ကို စီစဉ်သတ်မှတ်ပါ။file ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် အထောက်အထားပြခြင်း- config ipsec-profile အထောက်အထားစိစစ်ခြင်း {hmac-sha256 | hmac-sha384 } ပရိုfile-အမည်
ဃ) ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် စက္ကန့်ပိုင်းအတွင်း IPSec ဘဝအချိန်ကို ပြင်ဆင်သတ်မှတ်ပါ- config ipsec-profile life-time-ipsec life-time-ipsec စက္ကန့်လိုလားfile-အမည်
တရားဝင်အကွာအဝေးသည် 1800 နှင့် 28800 စက္ကန့်ကြားဖြစ်သည်။ ပုံသေသည် 1800 စက္ကန့်ဖြစ်သည်။
e) ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် စက္ကန့်ပိုင်းအတွင်း အင်တာနက်ကီး လဲလှယ်ခြင်း (IKE) သက်တမ်းကို သတ်မှတ်ပါ- config ipsec-profile life-time-ike life-time-ipsec စက္ကန့်လိုလားfile-အမည်
တရားဝင်အကွာအဝေးသည် 1800 နှင့် 86400 စက္ကန့်ကြားဖြစ်သည်။ ပုံသေသည် 28800 စက္ကန့်ဖြစ်သည်။
f) IPSec pro ကို စီစဉ်သတ်မှတ်ပါ။file ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် Internet Key Exchange (IKE) ဗားရှင်း- config ipsec-profile ike ဗားရှင်း {1 | 2 } ထောက်ခံသည်။file-အမည်
မှတ်ချက် လောလောဆယ် IKE ဗားရှင်း 1 ကိုသာ ပံ့ပိုးထားသည်။
g) ဤ command ကိုရိုက်ထည့်ခြင်းဖြင့် IKE စစ်မှန်ကြောင်းအထောက်အထားပြနည်းလမ်းကို configure လုပ်ပါ-
config ipsec-profile ike Auth-mode လက်မှတ် profile-အမည်
ဇ) IPSec pro ကို ပူးတွဲပါfile ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် SNMP သို့
config snmp အသိုင်းအဝိုင်း ipsec profile လိုလားသူfile-အမည်
i) ဤ command ကိုရိုက်ထည့်ခြင်းဖြင့် IPSec အတွက် SNMP ကိုဖွင့်ပါ-
config snmp အသိုင်းအဝိုင်း ipsec ကိုဖွင့်ပါ။
အဆင့် ၁
SNMP Trap Receiver ကို စီစဉ်သတ်မှတ်ပါ။
က) IPSec pro ကို စီစဉ်သတ်မှတ်ပါ။file ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် Trap receiver သို့ config snmp trap receiver ipsec profile လိုလားသူfile-name trap-receiver-name
b) ဤအမိန့်ကိုထည့်သွင်းခြင်းဖြင့် SNMP Traps ကိုဖွင့်ပါ- config snmp trap receiver ipsec သည် trap-receiver-name ကိုဖွင့်ပါ
အဆင့် 5 Syslog ကို Configure လုပ်ပါ။
က) ဤ command ကိုရိုက်ထည့်ခြင်းဖြင့် syslog အတွက် host IP ကို ​​configure လုပ်ပါ- config logging syslog host ip address
သင်သည် ထိန်းချုပ်ကိရိယာသို့ syslog ဆာဗာ သုံးခုအထိ ထည့်နိုင်သည်။
b) IPSec pro ကိုသတ်မှတ်ပါ။file ဤ command ကိုရိုက်ထည့်ခြင်းဖြင့် syslog သို့ config logging syslog ipsec profile လိုလားသူfile-အမည်
ဂ) ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် IPSEC ပေါ်ရှိ syslog သို့ မှတ်တမ်းစာများကို ဖွင့်ပါ- config logging syslog ipsec ကို ဖွင့်ပါ
ဃ) ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် syslog ဆာဗာ IP လိပ်စာကို ဖျက်ခြင်း- config logging syslog host ip လိပ်စာကို ဖျက်ခြင်း
အဆင့် ၁
IPSec pro ကိုပိတ်ခြင်းနှင့် လင့်ခ်ဖြုတ်ခြင်းfile IPSec pro ကိုမတည်းဖြတ်မီfile.
• SNMP
a Disable—config snmp community ipsec ကို disable လုပ်ပါ။
ခ လင့်ခ်ဖြုတ်ပါ-config snmp အသိုင်းအဝိုင်း ipsec မရှိပါ။
• Trap လက်ခံသူ
a Disable—config snmp trapreceiver ipsec သည် trapreceiver-name ကို disable လုပ်သည်
ခ လင့်ခ်ဖြုတ်ပါ-config snmp trapreciver ipsec profile အဘယ်သူမျှမထောင်ချောက်အမည်
• Syslog
a Disable-config logging syslog ipsec ကို disable လုပ်ပါ။
ခ လင့်ခ်ဖြုတ်ပါ-config logging syslog ipsec profile မရှိ
အဆင့် ၁ View ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် အသက်ဝင်သော IPSec ဥမင်လိုဏ်ခေါင်းအသေးစိတ်အချက်များ
ipsec အခြေအနေကိုပြသပါ။

Cisco TrustSec

Cisco TrustSec သည် အဖွဲ့အစည်းများအား မည်သူမဆို၊ နေရာမရွေး၊ အချိန်မရွေး အထောက်အထားအခြေခံ ဝင်ရောက်ထိန်းချုပ်မှုမှတစ်ဆင့် ၎င်းတို့၏ ကွန်ရက်များနှင့် ဝန်ဆောင်မှုများကို လုံခြုံစေပါသည်။ ဖြေရှင်းချက်သည် ဒေတာခိုင်မာမှုနှင့် လျှို့ဝှက်ရေးဝန်ဆောင်မှုများ၊ မူဝါဒအခြေပြု အုပ်ချုပ်မှု၊ နှင့် ဗဟိုချုပ်ကိုင်မှုကြီးကြပ်မှု၊ ပြဿနာဖြေရှင်းခြင်းနှင့် အစီရင်ခံခြင်းဝန်ဆောင်မှုများကိုလည်း ပေးပါသည်။ Cisco TrustSec သည် ဖြေရှင်းချက်အသုံးချမှုနှင့် စီမံခန့်ခွဲမှုကို ရိုးရှင်းစေရန်အတွက် စိတ်ကြိုက်ပြင်ဆင်ထားသော၊ ပရော်ဖက်ရှင်နယ်ဝန်ဆောင်မှုကမ်းလှမ်းမှုများဖြင့် Cisco TrustSec ကို ပေါင်းစပ်နိုင်ပြီး Cisco Borderless Networks ၏ အခြေခံလုံခြုံရေးအစိတ်အပိုင်းတစ်ခုဖြစ်သည်။
Cisco TrustSec လုံခြုံရေးဗိသုကာသည် ယုံကြည်စိတ်ချရသော ကွန်ရက်စက်ပစ္စည်းများ၏ ဒိုမိန်းများကို တည်ထောင်ခြင်းဖြင့် လုံခြုံသောကွန်ရက်များတည်ဆောက်ရာတွင် ကူညီပေးသည်။ ဒိုမိန်းရှိ စက်တစ်ခုစီကို ၎င်း၏လုပ်ဖော်ကိုင်ဖက်များက စစ်မှန်ကြောင်း အထောက်အထားပြထားသည်။ ဒိုမိန်းရှိ စက်ပစ္စည်းများကြားရှိ လင့်ခ်များပေါ်ရှိ ဆက်သွယ်ရေးကို ကုဒ်ဝှက်ခြင်း၊ မက်ဆေ့ချ်ခိုင်မာမှု စစ်ဆေးခြင်းနှင့် ဒေတာလမ်းကြောင်း ပြန်လည်ဖွင့်ခြင်း ကာကွယ်ရေး ယန္တရားများပေါင်းစပ်ခြင်းဖြင့် လုံခြုံပါသည်။ Cisco TrustSec သည် ကွန်ရက်အတွင်းသို့ ဝင်ရောက်လာစဉ် ပက်ကတ်များကို လုံခြုံရေးအဖွဲ့များ (SGs) ဖြင့် ခွဲခြားသတ်မှတ်ခြင်းအတွက် စစ်မှန်ကြောင်းအထောက်အထားများ ရယူထားစဉ်အတွင်း ရရှိထားသော စက်ပစ္စည်းနှင့် သုံးစွဲသူအထောက်အထားများကို အသုံးပြုပါသည်။ ဤ packet အမျိုးအစားခွဲခြားမှုကို ထိန်းသိမ်းထားသည်။ tagCisco TrustSec ကွန်ရက်သို့ ဝင်ရောက်မှုတွင် ging packets များ။ အဘယ်ကြောင့်ဆိုသော် ၎င်းတို့သည် ဒေတာလမ်းကြောင်းတစ်လျှောက် လုံခြုံရေးနှင့် အခြားမူဝါဒဆိုင်ရာ စံသတ်မှတ်ချက်များကို ကျင့်သုံးရန် ၎င်းတို့ကို မှန်ကန်စွာ ဖော်ထုတ်နိုင်သောကြောင့်ဖြစ်သည်။ ဟိ tagလုံခြုံရေးအဖွဲ့လို့ ခေါ်ပါတယ်။ tag (SGT)၊ ကွန်ရက်အား အသွားအလာစစ်ထုတ်ရန် အဆုံးမှတ်စက်ပစ္စည်းကို ဖွင့်ထားခြင်းဖြင့် ဝင်ရောက်ထိန်းချုပ်မှုမူဝါဒကို ကွန်ရက်အား တွန်းအားပေးခွင့်ပြုသည်။ Cisco TrustSec လုံခြုံရေးအဖွဲ့ကို သတိပြုပါ။ tag WLAN တစ်ခုပေါ်တွင် AAA override ကို သင်ဖွင့်ထားမှသာ အသုံးပြုနိုင်မည်ဖြစ်သည်။
Cisco TrustSec ဗိသုကာ၏ အစိတ်အပိုင်းများထဲမှ တစ်ခုသည် လုံခြုံရေးအုပ်စုအခြေပြု ဝင်ရောက်ထိန်းချုပ်မှုဖြစ်သည်။ လုံခြုံရေးအဖွဲ့အခြေပြု ဝင်ရောက်ထိန်းချုပ်မှု အစိတ်အပိုင်းတွင်၊ Cisco TrustSec ဒိုမိန်းရှိ ဝင်ရောက်ခွင့်မူဝါဒများသည် ကွန်ရက်လိပ်စာများထက် အရင်းအမြစ်နှင့် ဦးတည်ရာကိရိယာများ၏ အခန်းကဏ္ဍများ (လုံခြုံရေးအဖွဲ့နံပါတ်ဖြင့် ညွှန်ပြထားသည့်အတိုင်း) အခန်းကဏ္ဍများအပေါ် အခြေခံ၍ အမှီအခိုကင်းပါသည်။ တစ်ဦးချင်းလုပ်တာပါ။ tagရင်းမြစ်၏ လုံခြုံရေးအဖွဲ့နံပါတ်ဖြင့် ပေါင်းထားသည်။
Cisco TrustSec ဖြေရှင်းချက်ကို အောက်ဖော်ပြပါ အဆင့်သုံးဆင့်ဖြင့် အကောင်အထည်ဖော်သည်-

  • ဗဟိုချုပ်ကိုင်မှုမူဝါဒဒေတာဘေ့စ် (Cisco ISE) မှဝင်ရောက်ချိန်တွင် Client အမျိုးအစားခွဲခြားခြင်းနှင့် အခန်းကဏ္ဍကဲ့သို့သော client အထောက်အထားများပေါ်အခြေခံ၍ ဖောက်သည်များအား သီးခြားသတ်မှတ်ထားသော SGT ကို သတ်မှတ်ပေးခြင်း။
  • SGT Exchange Protocol (SXP) သို့မဟုတ် inline ကို အသုံးပြု၍ IP-to-SGT ချိတ်ဆက်မှုအား အိမ်နီးချင်း စက်ပစ္စည်းများသို့ ဖြန့်ဝေခြင်း tagging နည်းလမ်း သို့မဟုတ် နှစ်မျိုးလုံး။
  • Security Group Access Control List (SGACL) မူဝါဒကို ပြဋ္ဌာန်းခြင်း။ Cisco AP သည် ဗဟို သို့မဟုတ် ဒေသဆိုင်ရာ ကူးပြောင်းခြင်း (ဗဟို စစ်မှန်ကြောင်း အထောက်အထား) အတွက် စိုးမိုးရေးအချက်ဖြစ်သည်။

Cisco TrustSec ဖြေရှင်းချက်ကို အသုံးချခြင်းဆိုင်ရာ နောက်ထပ်အချက်အလက်များအတွက်၊ Wireless TrustSec Deployment ကို ကြည့်ပါ။
လမ်းညွှန်မှာ- https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-4/b_wireless_trustsec_deployment_guide.html.
SGT Exchange Protocol
Cisco စက်ပစ္စည်းများသည် Cisco TrustSec အတွက် ဟာ့ဒ်ဝဲလ်ပံ့ပိုးမှု မရှိသော ကွန်ရက်စက်ပစ္စည်းများတစ်လျှောက် SGTs များကို ထုတ်လွှင့်ရန်အတွက် SGT Exchange Protocol (SXP) ကို အသုံးပြုပါသည်။ SXP သည် Cisco ခလုတ်များအားလုံးရှိ Cisco TrustSec ဟာ့ဒ်ဝဲ အဆင့်မြှင့်ရန်လိုအပ်မှုကို ဖယ်ရှားရန် ဆော့ဖ်ဝဲဖြေရှင်းချက်ဖြစ်သည်။ Controller သည် Cisco TrustSec ဗိသုကာ၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့် SXP ကို ​​ပံ့ပိုးပေးသည်။ SXP သည် SGT အချက်အလက်များကို Cisco TrustSec-enabled switches များထံ ပေးပို့ပြီး သင့်လျော်သော အခန်းကဏ္ဍအလိုက် ဝင်ရောက်ထိန်းချုပ်မှုစာရင်းများ (RBAC စာရင်းများ) ကို အသက်သွင်းနိုင်မည်ဖြစ်သည်။ ၎င်းသည် SGT တွင်ပါရှိသော အခန်းကဏ္ဍအချက်အလက်များအပေါ် မူတည်သည်။ ကွန်ရက်တစ်ခုပေါ်တွင် SXP ကို ​​အကောင်အထည်ဖော်ရန်၊ egress distribution switch သာလျှင် Cisco TrustSec-enabled ဖြစ်ရပါမည်။ အခြားသော ခလုတ်များအားလုံးသည် Cisco TrustSec-capable မဟုတ်သော ခလုတ်များ ဖြစ်နိုင်သည်။
SXP သည် access layer နှင့် distribution switch အကြား သို့မဟုတ် distribution switches နှစ်ခုကြားတွင် လုပ်ဆောင်ပါသည်။ SXP သည် TCP ကို ​​သယ်ယူပို့ဆောင်ရေးအလွှာအဖြစ် အသုံးပြုသည်။ Cisco TrustSec စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို ဝင်ခွင့်အလွှာခလုတ်ရှိ ကွန်ရက်တွင်ပါဝင်နေသော လက်ခံသူ (ဖောက်သည်) အတွက် လုပ်ဆောင်သည်။ ၎င်းသည် Cisco TrustSec ဖြင့် ဖွင့်ထားသည့် ဟာ့ဒ်ဝဲပါ၀င်သည့် ခလုတ်တစ်ခုနှင့် ဆင်တူသည်။ ဝင်ရောက်ခွင့် အလွှာ ခလုတ်သည် Cisco TrustSec ဟာ့ဒ်ဝဲကို ဖွင့်ထားခြင်း မဟုတ်ပါ။ ထို့ကြောင့်၊ ဒေတာအသွားအလာကို ဝင်ခွင့်အလွှာ ခလုတ်မှတဆင့် ဖြတ်သန်းသည့်အခါ ကုဒ်ဝှက်ထားခြင်း သို့မဟုတ် လျှို့ဝှက်သင်္ကေတဖြင့် စစ်မှန်ကြောင်း အထောက်အထား မပြပါ။ SXP ကို ​​ကြိုးမဲ့ကလိုင်းယင့်တစ်ခုဖြစ်သည့် စစ်မှန်သည့်စက်ပစ္စည်း၏ IP လိပ်စာကို ဖြန့်ဝေရန်နှင့် ဖြန့်ဝေမှုခလုတ်အထိ သက်ဆိုင်ရာ SGT ကို အသုံးပြုသည်။ ဖြန့်ဖြူးမှုခလုတ်သည် Cisco TrustSec ဖြင့် ဖွင့်ထားသည့် ဟာ့ဒ်ဝဲဖြစ်ပါက၊ ခလုတ်သည် ဝင်ရောက်ခွင့်အလွှာခလုတ်၏ကိုယ်စား ပက်ကတ်ထဲသို့ SGT ကို ထည့်သွင်းသည်။ ဖြန့်ဖြူးရေးခလုတ်သည် Cisco TrustSec ဖြင့်ဖွင့်ထားသည့် ဟာ့ဒ်ဝဲမဟုတ်ပါက၊ ဖြန့်ဖြူးမှုခလုတ်ရှိ SXP သည် Cisco TrustSec ဟာ့ဒ်ဝဲပါရှိသော ဖြန့်ဖြူးမှုခလုတ်အားလုံးထံ IP-SGT မြေပုံကို ဖြတ်သန်းသည်။ egress ဘက်တွင်၊ RBAC စာရင်းများကို ကျင့်သုံးခြင်းသည် ဖြန့်ဖြူးမှုခလုတ်ရှိ egress L3 အင်တာဖေ့စ်တွင် ဖြစ်ပေါ်သည်။
အောက်ပါတို့သည် Cisco TrustSec SXP အတွက် လမ်းညွှန်ချက်အချို့ဖြစ်သည်။

  • SXP ကို ​​အောက်ပါ လုံခြုံရေးမူဝါဒများတွင်သာ ပံ့ပိုးထားသည်-
  • WPA2-dot1x
  • WPA-dot1x
  • RADIUS ဆာဗာများကို အသုံးပြု၍ MAC စစ်ထုတ်ခြင်း။
  • Web အသုံးပြုသူအထောက်အထားစိစစ်ခြင်းအတွက် RADIUS ဆာဗာများကိုအသုံးပြု၍ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း။
  • SXP ကို ​​IPv4 နှင့် IPv6 client နှစ်ခုလုံးအတွက် ပံ့ပိုးထားသည်။
  • ပုံမှန်အားဖြင့်၊ ထိန်းချုပ်ကိရိယာသည် စပီကာမုဒ်တွင် အမြဲအလုပ်လုပ်သည်။
  • ဖြန့်ချိမှု 8.3 မှ၊ ထိန်းချုပ်ကိရိယာပေါ်ရှိ SXP ကို ​​ဗဟိုနှင့် စက်တွင်းပြောင်းထားသော ကွန်ရက်နှစ်ခုလုံးအတွက် ပံ့ပိုးထားသည်။
  • Cisco ISE မှ စစ်မှန်မှုမရှိသော ဖောက်သည်များအတွက် WLANs ပေါ်တွင် IP-SGT မြေပုံဆွဲခြင်းကိုလည်း ပြုလုပ်နိုင်သည်။

Release 8.4 မှ၊ SXPv4 ကို Flex Connect မုဒ် APs တွင် ပံ့ပိုးထားသည်။
Cisco TrustSec အကြောင်း ပိုမိုသိရှိလိုပါက ကြည့်ပါ။
http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/index.html.
ပတ်ဝန်းကျင်ဒေတာ
Cisco TrustSec ပတ်ဝန်းကျင်ဒေတာသည် Cisco TrustSec ဆိုင်ရာ လုပ်ဆောင်ချက်များကို လုပ်ဆောင်ရန် ထိန်းချုပ်သူအား ကူညီပေးသည့် အချက်အလက် သို့မဟုတ် ရည်ညွှန်းချက်များ အစုအဝေးတစ်ခုဖြစ်သည်။
ထိန်းချုပ်သူသည် လုံခြုံသော RADIUS Access တောင်းဆိုချက်ကို ပေးပို့ခြင်းဖြင့် ထိန်းချုပ်သူသည် Cisco TrustSec ဒိုမိန်းသို့ ပထမဆုံးဝင်ရောက်သောအခါတွင် ထိန်းချုပ်သူသည် အထောက်အထားစိစစ်ခြင်းဆာဗာ (Cisco ISE) မှ ပတ်ဝန်းကျင်ဒေတာကို ရယူသည်။ အထောက်အထားစိစစ်ခြင်းဆာဗာသည် ပတ်ဝန်းကျင် သက်တမ်းကုန်ဆုံးချိန်ကုန်ဆုံးခြင်းဆိုင်ရာ ရည်ညွှန်းချက်များအပါအဝင် ရည်ညွှန်းချက်များဖြင့် RADIUS Access-Accept မက်ဆေ့ဂျ်ကို ပြန်ပေးသည်။
Cisco TrustSec စက်ပစ္စည်းသည် ၎င်း၏ပတ်ဝန်းကျင်ဒေတာကို မည်မျှကြာကြာ ပြန်လည်စတင်ရမည်ကို ထိန်းချုပ်သည့် အချိန်ကြားကာလဖြစ်သည်။
Security Group Access Control List Policy ကို ဒေါင်းလုဒ်လုပ်ပါ။
Security Group သည် အသုံးပြုသူအုပ်စု၊ endpoint စက်များနှင့် ဝင်ရောက်ထိန်းချုပ်မှုမူဝါဒများကို မျှဝေသည့် အရင်းအမြစ်များဖြစ်သည်။
လုံခြုံရေးအဖွဲ့များကို Cisco ISE တွင် စီမံခန့်ခွဲသူမှ သတ်မှတ်ထားသည်။ အသုံးပြုသူအသစ်များနှင့် စက်ပစ္စည်းများကို Cisco TrustSec ဒိုမိန်းသို့ ပေါင်းထည့်လိုက်သောကြောင့် အထောက်အထားစိစစ်ခြင်းဆာဗာသည် အဆိုပါအရာအသစ်များကို သင့်လျော်သောလုံခြုံရေးအုပ်စုများသို့ တာဝန်ပေးအပ်သည်။ Cisco TrustSec သည် လုံခြုံရေးအုပ်စုတစ်ခုစီအား Cisco TrustSec ဒိုမိန်းတစ်ခုတွင် အတိုင်းအတာတစ်ခုစီရှိသော 16-bit နံပါတ်တစ်ခုစီကို သတ်မှတ်ထားသည်။ ကြိုးမဲ့စက်ပစ္စည်းတစ်ခုရှိ လုံခြုံရေးအဖွဲ့အရေအတွက်သည် စစ်မှန်ကြောင်းသက်သေပြထားသော ကွန်ရက်အဖွဲ့အစည်းအရေအတွက်အတွက် ကန့်သတ်ထားသည်။ လုံခြုံရေးအဖွဲ့နံပါတ်များကို ကိုယ်တိုင်ပြင်ဆင်ရန် မလိုအပ်ပါ။
စက်ပစ္စည်းကို စစ်မှန်ကြောင်းအတည်ပြုပြီးနောက် Cisco TrustSec tags စက်ပစ္စည်း၏ လုံခြုံရေးအဖွဲ့နံပါတ်ပါရှိသော SGT ဖြင့် ထိုစက်ပစ္စည်းမှ ဆင်းသက်လာသော မည်သည့်ပက်ကတ်ကိုမဆို။ ပက်ကတ်သည် Cisco TrustSec ခေါင်းစီးတွင် ဤ SGT ကို ကွန်ရက်အတွင်းရှိ နေရာတိုင်းတွင် သယ်ဆောင်သည်။
SGT တွင် အရင်းအမြစ်၏ လုံခြုံရေးအုပ်စုပါ၀င်သောကြောင့်၊ tag အရင်းအမြစ် SGT (S-SGT) အဖြစ် ရည်ညွှန်းနိုင်သည်။
Cisco TrustSec ပက်ကတ်တွင် ဦးတည်ရာကိရိယာ၏ လုံခြုံရေးအုပ်စုနံပါတ် မပါဝင်သော်လည်း ဦးတည်ရာ SGT (D-SGT) ဟုရည်ညွှန်းနိုင်သော လုံခြုံရေးအဖွဲ့ (destination SG) သို့လည်း တာဝန်ပေးအပ်ထားသည်။
Security Group Access Control Lists (SGACLs) ကို အသုံးပြု၍ အသုံးပြုသူများ၏ လုံခြုံရေးအဖွဲ့၏ တာဝန်များနှင့် ဦးတည်ရာရင်းမြစ်များအပေါ် အခြေခံ၍ အသုံးပြုသူများ လုပ်ဆောင်နိုင်သည့် လုပ်ဆောင်ချက်များကို သင်ထိန်းချုပ်နိုင်သည်။ Cisco TrustSec ဒိုမိန်းတစ်ခုရှိ မူဝါဒပြဋ္ဌာန်းခြင်းကို ဝင်ရိုးတစ်ခုပေါ်ရှိ ရင်းမြစ်လုံခြုံရေးအဖွဲ့နှင့် အခြားဝင်ရိုးတွင် ဦးတည်ရာလုံခြုံရေးအုပ်စုနံပါတ်များဖြင့် ခွင့်ပြုချက်မက်ထရစ်ဖြင့် ကိုယ်စားပြုသည်။ မက်ထရစ်ကိုယ်ထည်ရှိ ဆဲလ်တစ်ခုစီတွင် အရင်းအမြစ်လုံခြုံရေးအဖွဲ့မှ စတင်သော ပက်ကတ်များနှင့် ဦးတည်ရာလုံခြုံရေးအဖွဲ့အတွက် ရည်မှန်းထားသည့် အစုံလိုက်များအတွက် အသုံးပြုရမည့် ခွင့်ပြုချက်များကို သတ်မှတ်ပေးသည့် SGACLs စာရင်းတစ်ခုပါရှိသည်။ ကြိုးမဲ့ကလိုင်းယင့်ကို စစ်မှန်ကြောင်းအထောက်အထားပြသောအခါ၊ ၎င်းသည် မက်ထရစ်ဆဲလ်များရှိ SGACL အားလုံးကို ဒေါင်းလုဒ်လုပ်သည်။
ကြိုးမဲ့ကလိုင်းယင့်သည် ကွန်ရက်သို့ ချိတ်ဆက်သောအခါ၊ ကလိုင်းယင့်သည် ACL အားလုံးကို ထိန်းချုပ်ကိရိယာသို့ တွန်းပို့သည်။
ဤပုံသည် ရည်းစားဟောင်းကို ပြသည်။ampသတ်မှတ်ထားသော အသုံးပြုသူ အခန်းကဏ္ဍ သုံးခု၊ သတ်မှတ်ထားသော ဦးတည်ရာ အရင်းအမြစ် တစ်ခုနှင့် အသုံးပြုသူ အခန်းကဏ္ဍများပေါ်မူတည်၍ ဦးတည်ရာ ဆာဗာသို့ ဝင်ရောက်ခွင့်ကို ထိန်းချုပ်သည့် SGACL မူဝါဒ သုံးခုပါရှိသော Cisco TrustSec ခွင့်ပြုချက် မထရစ်၏ le။

CISCO Unified Wireless Network Software - ပုံ

Cisco TrustSec သည် ကွန်ရက်အတွင်းရှိ အသုံးပြုသူများနှင့် စက်ပစ္စည်းများကို လုံခြုံရေးအဖွဲ့များသို့ သတ်မှတ်ပေးပြီး လုံခြုံရေးအဖွဲ့များအကြား ဝင်ရောက်ထိန်းချုပ်မှုကို အသုံးချခြင်းဖြင့် ကွန်ရက်အတွင်း အခန်းကဏ္ဍအခြေခံ topology-လွတ်လပ်သော ဝင်ရောက်ထိန်းချုပ်မှုကို ရရှိသည်။ SGACLs များသည် စက်ပစ္စည်း အထောက်အထားများအပေါ် အခြေခံ၍ ဝင်ရောက်ထိန်းချုပ်မှု မူဝါဒများကို သတ်မှတ်သည်။ အခန်းကဏ္ဍများနှင့် ခွင့်ပြုချက်များသည် တူညီနေသရွေ့၊ ကွန်ရက် topology သို့ ပြောင်းလဲမှုများသည် လုံခြုံရေးမူဝါဒကို ပြောင်းလဲမည်မဟုတ်ပါ။ အသုံးပြုသူအား ပေါင်းထည့်သောအခါ
ကြိုးမဲ့အုပ်စုသို့၊ သင်သည် သုံးစွဲသူအား သင့်လျော်သော လုံခြုံရေးအဖွဲ့တစ်ခုသို့ သင်ရိုးရှင်းစွာ သတ်မှတ်ပေးပြီး အသုံးပြုသူသည် ထိုအုပ်စုအတွက် ခွင့်ပြုချက်များကို ချက်ချင်းရရှိမည်ဖြစ်သည်။
ACL များ၏ အရွယ်အစားကို လျှော့ချလိုက်ပြီး အခန်းကဏ္ဍအခြေခံခွင့်ပြုချက်များကို အသုံးပြုခြင်းဖြင့် ၎င်းတို့၏ ထိန်းသိမ်းမှုကို ရိုးရှင်းစေသည်။ Cisco TrustSec ဖြင့်၊ ပြင်ဆင်သတ်မှတ်ထားသော Access Control Entities (ACEs) အရေအတွက်ကို အရေအတွက်အားဖြင့် ဆုံးဖြတ်သည်။
သတ်မှတ်ထားသော ခွင့်ပြုချက်များကြောင့် ACE အရေအတွက် နည်းပါးသွားပါသည်။

CISCO Unified Wireless Network Software - သင်္ကေတ မှတ်ချက်
မူရင်းအားဖြင့်၊ အောက်ပါ ကြိုတင်သတ်မှတ်ထားသော SGACL မူဝါဒများကို ဒေါင်းလုဒ်လုပ်သည်-

  • မူရင်းမူဝါဒ—ရင်းမြစ်နှင့် ဦးတည်ရာ SGTs များရရှိနိုင်သည့်အခါ ၎င်းကို အသုံးချသော်လည်း SGACL များကို ဆဲလ် သို့မဟုတ် ကော်လံအတွက် သတ်မှတ်မထားပါ။
  • အမည်မသိမူဝါဒ—ရင်းမြစ် SGT ကို မသိသောအခါ ၎င်းကို အသုံးချသည်။ Unknown အမည်ရှိ စက်ရှင်အဖွဲ့ကို သင်သုံးနိုင်ပြီး ထိုလမ်းကြောင်းပေါ်တွင် အမည်မသိမူဝါဒကို ကျင့်သုံးနိုင်သည်။

အောက်ပါတို့သည် exampCisco ISE တွင်ရှိပြီး controller တစ်ခုပေါ်တွင်ဒေါင်းလုဒ်လုပ်ပြီးစမ်းသပ်ထားသည့် SGACL များ
ယေဘူယျ SGACL

  •  Web_SGACL
    tcp dst eq 80 ပါမစ်
    tcp dst eq 443 ပါမစ်
    ip ကိုငြင်းပါ။
  • PCI_Servers_SGACL
    tcp dst eq 4444 ကို ငြင်းဆိုပါ။
    tcp dst eq 4446 ကို ငြင်းဆိုပါ။
    tcp dst eq 443 ကို ငြင်းဆိုပါ။
    ip ကိုခွင့်ပြုပါ။
  • PCI_Zone_SGACL
    tcp dst eq 4444 ကို ငြင်းဆိုပါ။
    tcp dst eq 4446 ကို ငြင်းဆိုပါ။
    tcp dst eq 443 ကို ငြင်းဆိုပါ။
    ip ကိုခွင့်ပြုပါ။
  • ငြင်းဆို_SSH_RDP_Telnet_SGACL
    tcp dst eq 23 ကို ငြင်းဆိုပါ။
    tcp dst eq 23 ကို ငြင်းဆိုပါ။
    tcp dst eq 3389 ကို ငြင်းဆိုပါ။
    ip ကိုခွင့်ပြုပါ။
  • Deny_JumpHost_Protocols
    tcp dst eq 23 ကို ငြင်းဆိုပါ။
    tcp dst eq 23 ကို ငြင်းဆိုပါ။
    tcp dst eq 3389 ကို ငြင်းဆိုပါ။
    ip ကိုခွင့်ပြုပါ။

Anti-Malware SGACLs

  • Anti-Malware-ACL
    icmp ကိုငြင်းပါ။
    udp src dst eq ဒိုမိန်းကို ငြင်းပယ်ပါ။
    tcp src dst eq 3389 ကို ငြင်းဆိုသည်။
    tcp src dst eq 1433 ကို ငြင်းဆိုသည်။
    tcp src dst eq 1521 ကို ငြင်းဆိုသည်။
    tcp src dst eq 445 ကို ငြင်းဆိုသည်။
    tcp src dst eq 137 ကို ငြင်းဆိုသည်။
    tcp src dst eq 138 ကို ငြင်းဆိုသည်။
    tcp src dst eq 139 ကို ငြင်းဆိုသည်။
    udp src dst eq snmp ကို ငြင်းဆိုသည်။
    tcp src dst eq telnet ကို ငြင်းဆိုသည်။
    tcp src dst eq www
    tcp src dst eq 443 ကို ငြင်းဆိုသည်။
    tcp src dst eq 22 ကို ငြင်းဆိုသည်။
    tcp src dst eq pop3 ကို ငြင်းပယ်ပါ။
    tcp src dst eq 123 ကို ငြင်းဆိုသည်။
    tcp match-all -ack +fin -psh -rst -syn -urg ကို ငြင်းဆိုပါ။
    tcp match-all +fin +psh +urg ကို ငြင်းဆိုပါ။
    tcp match-any +ack +syn ကို ခွင့်ပြုပါ။

ပူးပေါင်းဆောင်ရွက်ခြင်း SGACLs

  • rbacl:Gateway_sig
    udp dst eq 5060 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 5060 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 5061 မှတ်တမ်းကို ခွင့်ပြုပါ။
    permit udp dst range 32768 61000
    permit tcp dst range 32768 61000
    ip log ကိုငြင်းပါ။
  • rbacl:Intra_Jabber
    ခွင့်ပြုချက် udp dst အပိုင်းအခြား 16384 32767 မှတ်တမ်း
    ခွင့်ပြုမိန့် tcp dst အပိုင်းအခြား 49152 65535 မှတ်တမ်း
    tcp dest eq 37200 မှတ်တမ်းကို ခွင့်ပြုပါ။
    ip log ကိုငြင်းပါ။
  • rbacl:Jabber_sig
    tcp dst eq 6970 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 6972 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 3804 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 8443 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 8191 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 5222 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 37200 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 443 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 2748 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 5060 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 5061 မှတ်တမ်းကို ခွင့်ပြုပါ။
    ခွင့်ပြုမိန့် tcp dst အပိုင်းအခြား 30000 39999 မှတ်တမ်း
    ခွင့်ပြုချက် udp dst အပိုင်းအခြား 5070 6070 မှတ်တမ်း
    ip log ကိုငြင်းပါ။
  • rbacl:Phone_sig
    udp dst eq 69 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 8080 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 2445 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 3804 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 5060 မှတ်တမ်းကို ခွင့်ပြုပါ။
    udp dst eq 5060 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 5061 မှတ်တမ်းကို ခွင့်ပြုပါ။
    tcp dst eq 6970 မှတ်တမ်းကို ခွင့်ပြုပါ။
    ip log ကိုငြင်းပါ။
  • rbacl:UC_endpoint_media
    ခွင့်ပြုချက် udp dst အပိုင်းအခြား 16384 32767 မှတ်တမ်း
    ip log ကိုငြင်းပါ။

တန်းဝင်ကာစီသည် Tagဂျင်း
တန်းဝင်ကာစီသည် tagging သည် ထိန်းချုပ်ကိရိယာ သို့မဟုတ် Cisco AP မှ SGT အရင်းအမြစ်ကို နားလည်သည့် သယ်ယူပို့ဆောင်ရေးယန္တရားတစ်ခုဖြစ်သည်။
သယ်ယူပို့ဆောင်ရေးယန္တရားသည် အမျိုးအစားနှစ်မျိုးရှိသည်။

  • ဗဟိုပြောင်းခြင်း—ဗဟိုမှပြောင်းထားသော ပက်ကတ်များအတွက်၊ ထိန်းချုပ်ကိရိယာသည် လိုင်းအတွင်းလုပ်ဆောင်သည်။ tagcontroller နှင့်ဆက်စပ်နေသောကြိုးမဲ့ client များမှအရင်းအမြစ်ဖြစ်သောပက်ကတ်အားလုံးအတွက် ging tag၎င်းကို Cisco Meta Data (CMD) ဖြင့် ပြုလုပ်ခြင်း tag. Distribution System မှ ဝင်လာသော ပက်ကတ်များအတွက်၊ inline tagging တွင် S-SGT ကိုလေ့လာရန် packet မှ CMD header ကို ဖယ်ရှားခြင်းလည်း ပါဝင်ပါသည်။ tag. ထို့နောက် Controller သည် SGACL စိုးမိုးမှုအတွက် S-SGT အပါအဝင် packet ကို ပေးပို့သည်။
  • စက်တွင်း ကူးပြောင်းခြင်း—စက်တွင်းပြောင်းထားသော အသွားအလာကို ထုတ်လွှင့်ရန် Cisco AP သည် လိုင်းအတွင်း လုပ်ဆောင်သည်။ tagCisco AP နှင့်ဆက်စပ်ပြီး clients များမှရင်းမြစ်ဖြစ်သော packet များအတွက် ging ။ အသွားအလာကို လက်ခံရန် Cisco AP သည် စက်တွင်းပြောင်းထားသော ပက်ကတ်များနှင့် ဗဟိုမှပြောင်းထားသော ပက်ကတ်များကို ကိုင်တွယ်ပြီး S-SGT ကို အသုံးပြုသည် tag ပက်ကတ်များအတွက်၊ SGACL မူဝါဒကို ကျင့်သုံးပါ။
    Controller တွင် ကြိုးမဲ့ Cisco TrustSec ကိုဖွင့်ထားခြင်းဖြင့်၊ လဲလှယ်ရန်အတွက် SXP ကိုဖွင့်ပြီး configure လုပ်ခြင်းရွေးချယ်မှု tags switches များနှင့်အတူ optional ဖြစ်ပါတယ်။ ကြိုးမဲ့ Cisco TrustSec နှင့် SXP မုဒ်နှစ်ခုလုံးကို ပံ့ပိုးထားသည်။
    သို့သော်၊ AP နှင့် SXP တွင် ကြိုးမဲ့ Cisco TrustSec နှစ်ခုစလုံးကို ဖွင့်ထားသည့်အခြေအနေတွင် တစ်ပြိုင်နက်တည်းရှိရန် ကိစ္စမရှိပါ။

ပေါ်လစီအာဏာတည်
Cisco TrustSec ဝင်ရောက်ထိန်းချုပ်မှုအား ingress ကို အသုံးပြု၍ လုပ်ဆောင်ပါသည်။ tagging နှင့် egress ဘက်တော်သား။ Ingress တွင် Cisco TrustSec ဒိုမိန်းကို ညွှန်ပြသောအခါ၊ အရင်းအမြစ်မှ လမ်းကြောင်းသည် ဖြစ်သည်။ tagရင်းမြစ်အဖွဲ့အစည်း၏ လုံခြုံရေးအုပ်စုနံပါတ်ပါရှိသော SGT ဖြင့် ပေါင်းထားသည်။ SGT ကို အသွားအလာဖြင့် ဒိုမိန်းအနှံ့ ဖြန့်ကျက်ထားသည်။ Cisco TrustSec ဒိုမိန်း၏ egress point တွင်၊ egress device သည် source SGT (S-SGT) နှင့် security group တို့ကို အသုံးပြုသည်။
SGACL မူဝါဒ matrix မှလျှောက်ထားရန် ဝင်ရောက်ခွင့်မူဝါဒကို ဆုံးဖြတ်ရန် ဦးတည်ရာအဖွဲ့အစည်း (D-SGT)။
AP တစ်ခုတွင် ဗဟိုနှင့် ဒေသန္တရပြောင်းလမ်းကြောင်း နှစ်ခုစလုံးတွင် မူဝါဒအာဏာကို ကျင့်သုံးနိုင်သည်။ ကြိုးတပ်ဖောက်သည်များသည် ကြိုးမဲ့ဖောက်သည်များနှင့် ဆက်သွယ်ပါက၊ Cisco AP သည် ရေအောက်လမ်းကြောင်းကို တွန်းအားပေးသည်။ ကြိုးမဲ့ကလိုင်းယင့်များသည် ကြိုးတပ်ဖောက်သည်များနှင့် ဆက်သွယ်ပါက Cisco AP သည် အထက်ရေစီးကြောင်းလမ်းကြောင်းကို တွန်းအားပေးသည်။ ဤနည်းအားဖြင့် Cisco AP သည် downstream နှင့် wireless-to-wireless traffic နှစ်ခုလုံးတွင် traffic ကို တွန်းအားပေးသည်။ လိုက်နာကျင့်သုံးရန်အတွက် သင်သည် S-SGT၊ D-SGT နှင့် ACLs လိုအပ်ပါသည်။ Cisco AP များသည် Cisco ISE ဆာဗာပေါ်ရှိ သတင်းအချက်အလက်များမှ ကြိုးမဲ့ဖောက်သည်များအားလုံးအတွက် SGT အချက်အလက်ကို ရရှိသည်။
CISCO Unified Wireless Network Software - သင်္ကေတ မှတ်ချက်
နားထောင်သူမုဒ်သည် IP-SGT စည်းနှောင်မှုအစုံအလင်ကို ထိန်းသိမ်းထားသောကြောင့် Cisco AP သည် အသွားအလာကို တွန်းအားပေးရန်အတွက် Listener သို့မဟုတ် နှစ်ဦးစလုံး (Listener နှင့် Speaker) မုဒ်တွင် ရှိရပါမည်။ Cisco AP တွင် ပြဋ္ဌာန်းချက်များကို သင်ဖွင့်ပြီးနောက်၊ သက်ဆိုင်ရာမူဝါဒများကို ဒေါင်းလုဒ်လုပ်ပြီး Cisco AP သို့ တွန်းပို့သည်။
Cisco TrustSec ဆိုင်ရာ လမ်းညွှန်ချက်များနှင့် ကန့်သတ်ချက်များ

  • ပုံသေစကားဝှက်၏ဖွဲ့စည်းပုံသည် ထိန်းချုပ်ကိရိယာနှင့် ခလုတ်နှစ်ခုစလုံးအတွက် တသမတ်တည်းဖြစ်သင့်သည်။
  • IP-SGT မြေပုံဆွဲခြင်း ပြင်ပ Cisco ISE ဆာဗာများဖြင့် စစ်မှန်ကြောင်း အထောက်အထား လိုအပ်သည်။
  • အော်တို-ကျောက်ချ/ဧည့်သည်-ကျောက်ချ ရွေ့လျားမှုတွင်၊ RADIUS ဆာဗာမှ နိုင်ငံခြားထိန်းချုပ်ကိရိယာသို့ ဖြတ်သွားသည့် SGT အချက်အလက်ကို EoIP/CAPWAP ရွေ့လျားမှုဥမင်လိုဏ်ခေါင်းမှတဆင့် ကျောက်ဆူးထိန်းချုပ်သူထံ ဆက်သွယ်နိုင်သည်။ ထို့နောက် Anchor Controller သည် SGT-IP မြေပုံကို တည်ဆောက်နိုင်ပြီး SXP မှတစ်ဆင့် အခြားမျိုးတူများနှင့် ဆက်သွယ်နိုင်သည်။
  • ဒေသခံတစ်ဦးတွင် web AAA override scenario ဖြင့် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း၊ လိုင်းထွက်ပြီးနောက် လော့ဂ်အင်ဝင်ရန် ကြိုးစားပါက၊ WLAN မှ SGT ကို ထပ်မံအသုံးပြုမည်မဟုတ်ကြောင်းနှင့် client သည် AAA overridden SGT ကို ဆက်လက်ထိန်းသိမ်းထားသည်။
  • သင့်တွင် Cisco TrustSec SXP ကို ​​ဖွင့်ထားသည့်အခြေအနေတွင်ပင် ကြားခံစီမံခန့်ခွဲမှု IP လိပ်စာကို ပြောင်းလဲနိုင်သည်။
  • ထိန်းချုပ်ကိရိယာ FIPS မုဒ်တွင် ရှိနေသောအခါ Cisco TrustSec (CTS) ကို ပံ့ပိုးမထားပါ။
  • Cisco TrustSec ကို L3 နှင့် Guest Access ဖြန့်ကျက်မှုများတွင် ပံ့ပိုးမထားပါ။
  • Monitor မုဒ်တွင် Cisco TrustSec ကို ပံ့ပိုးမထားပါ။
  • ပတ်ဝန်းကျင်ဒေတာ၏ တစ်စိတ်တစ်ပိုင်းအဖြစ် စက်ကိရိယာ သို့မဟုတ် Multicast SGT နှင့် ဆာဗာစာရင်းကို ပံ့ပိုးမထားပါ။
  • မူဝါဒနှင့် ပတ်ဝန်းကျင်ဒေတာ ပြန်လည်ဆန်းသစ်မှုအတွက် ခွင့်ပြုချက်ပြောင်းခြင်း (CoA) ကို ပံ့ပိုးမထားပါ။
  • မြင့်မားသော ရရှိနိုင်မှု (HA) စနစ်ထည့်သွင်းမှုတွင်၊ ပတ်ဝန်းကျင်ဒေတာနှင့် SGACLs များကို အသင့်အနေအထား ထိန်းချုပ်ကိရိယာများဖြင့် ထပ်တူပြုမည်မဟုတ်ပါ။ PAC အချက်အလက်နှင့် စက်ပစ္စည်း ID နှင့် စကားဝှက်တို့ကို ထပ်တူပြုပါသည်။ ထိန်းချုပ်ကိရိယာ ပျက်ကွက်သွားသောအခါ၊ ပတ်ဝန်းကျင်ဒေတာနှင့် SGACLs များကို Cisco ISE မှ ဒေါင်းလုဒ်လုပ်ပါသည်။

CISCO Unified Wireless Network Software - သင်္ကေတ မှတ်ချက်
HA စနစ်ထည့်သွင်းမှုတွင်၊ ကလိုင်းယင့်တစ်ဦးသည် အသက်ဝင်နေသော ထိန်းချုပ်ကိရိယာနှင့် ဆက်စပ်နေသည့် AP သို့ ချိတ်ဆက်သောအခါ၊ AP-SGT အချက်အလက်ကို အသင့်အနေအထား ထိန်းချုပ်ကိရိယာတွင် အပ်ဒိတ်လုပ်ထားသည်။ HA ကူးပြောင်းပြီးနောက် SGT မူဝါဒကို ဒေါင်းလုဒ်လုပ်ရန် ဤ AP-SGT မြေပုံကို အသုံးပြုပါသည်။
မူဝါဒကို အသင့်အနေအထား ထိန်းချုပ်ကိရိယာနှင့် ထပ်တူပြု၍မရပါ။ သို့သော်လည်း HA ကူးပြောင်းပြီးနောက် မူဝါဒဒေါင်းလုဒ်ကို စတင်ရန်အတွက် AP-SGT အချက်အလက်ကို အသုံးပြုပါသည်။ တက်ကြွသော ထိန်းချုပ်ကိရိယာမှသာလျှင် သက်တူရွယ်တူထံသို့ SXP socket ချိတ်ဆက်မှုကို ဖန်တီးနိုင်သည်၊ standby controller သည် SXP socket ချိတ်ဆက်မှုကို မသတ်မှတ်ပါ။ ထို့ကြောင့်၊ standby controller ရှိ SXP အခြေအနေသည် 'OFF' ဖြစ်သည်။

  • Release 8.4 လည်ပတ်နေသည့် ထိန်းချုပ်ကိရိယာ သို့မဟုတ် နောက်ပိုင်းထုတ်လွှတ်မှုတွင် လည်ပတ်မှုမရှိတော့သည့်အခါ၊ ထိန်းချုပ်ကိရိယာနှင့်ဆက်စပ်နေသည့် AP သည် Release 8.3 သို့မဟုတ် အစောပိုင်းထုတ်လွှတ်မှုတွင် လုပ်ဆောင်နေသည့် အခြားထိန်းချုပ်ကိရိယာသို့ ပြောင်းသွားပြီး ပုံကို ဒေါင်းလုဒ်လုပ်နိုင်သည်။ ထို့နောက် Release 8.3 နှင့်အထက် ထုတ်ဝေမှုများသည် inline ကို မပံ့ပိုးနိုင်သောကြောင့် AP သည် controller နှင့် ဆက်သွယ်၍မရပါ။ tagဂျင်း။ ဤကိစ္စတွင်၊ AP သည် ရုပ်ပုံကို ဒေါင်းလုဒ်လုပ်နိုင်စေရန် Cisco TrustSec လက်စွဲဖွဲ့စည်းမှုမုဒ် (cts manual) ကို ပိတ်ရန် အကြံပြုအပ်ပါသည်။
  • ပေါ်လစီ static sgt tag Cisco TrustSec manual configuration mode တွင် ယုံကြည်စိတ်ချရသော command ကို inline တစ်ခုတွင် အသုံးပြုပါသည်။ tagSGT ကို ယုံကြည်ရန် AP switch port ကို လိုအပ်သောအခါတွင် ging enabled setup tag သက်တူရွယ်တူမှသတ်မှတ်သည်။ un ၏အခြေအနေတွင်၊tagged traffic ၊ switch port ၊ tags ဤ command တွင် configure လုပ်ထားသော တန်ဖိုးရှိသော packet များအားလုံး။ ထို့ကြောင့်၊ ဤဖွဲ့စည်းပုံကို inline တွင်အသုံးမပြုရပါ။ tagging ကိုပိတ်ထားသည်။
  • တည်ငြိမ်သော SGACL မူဝါဒကို ထိန်းချုပ်ကိရိယာတွင် ပံ့ပိုးမထားပါ။
  • မူဝါဒကို ကျင့်သုံးခြင်းသည် ကာစ်အသွားအလာများစွာအတွက် သက်ရောက်မှုမရှိပါ။
  • Inline နှင့် SXPv4 ကို Flex Connect ခွဲ၍ tunneling scenario တွင် ပံ့ပိုးမထားပါ။
  • ရောစပ်မုဒ် ဖြန့်ကျက်မှုအခြေအနေတွင်၊ Cisco AP သည် SXP မျိုးတူချိတ်ဆက်မှုနှစ်ခုဖြင့် စီစဉ်သတ်မှတ်ပါက၊ မျိုးတူချိတ်ဆက်မှုတစ်ခု၏ စကားဝှက်ကို ပုံသေအဖြစ် သတ်မှတ်ထားပြီး အခြားမျိုးတူချိတ်ဆက်မှု၏ စကားဝှက်ကို မည်သည့်အရာမှ သတ်မှတ်ထားသည်။ ထိုသို့သော အခြေအနေမျိုးတွင်၊ မည်သည်ကိုမျှ သတ်မှတ်ထားသော စကားဝှက်နှင့် ရွယ်တူချင်းချိတ်ဆက်မှုသည် လုပ်ငန်းလည်ပတ်နိုင်မည်မဟုတ်ပေ။ သို့သော်၊ SXP ရွယ်တူချိတ်ဆက်မှုအားလုံးကို စကားဝှက်တစ်ခုမျှဖြင့် ပြင်ဆင်သတ်မှတ်ပါက၊ SXP ရွယ်တူချိတ်ဆက်မှုများသည် လည်ပတ်နေပါသည်။
  • Cisco TrustSec ကို Guest LAN ဖောက်သည်များအတွက် ပံ့ပိုးမထားပါ။
  • Cisco TrustSec ကို Outdoor နှင့် Industrial Wireless mesh AP များတွင် ပံ့ပိုးမထားပါ။
  • Cisco TrustSec ကို Flex+Bridge မုဒ်တွင်ရှိသော Cisco Wave 2 AP များတွင် ပံ့ပိုးမထားပါ။
  • Cisco vWLC တွင် PAC ပံ့ပိုးမှုကို မပံ့ပိုးပါ။
  • PAC စီမံဆောင်ရွက်ပေးခြင်းကို IPv6 ဆာဗာတွင် မပံ့ပိုးပါ။
  • တန်းဝင်ကာစီသည် tagCisco vWLC တွင် ging နှင့် SGACL ဒေါင်းလုဒ်နှင့် ပြဋ္ဌာန်းခြင်းကို ပံ့ပိုးမထားပါ။
  • Cisco vWLC ဖြင့် Flex Connect ဖြန့်ကျက်မှုများတွင် SXPv4 နားထောင်သူနှင့် မုဒ်နှစ်ခုစလုံးကို ပံ့ပိုးမထားပါ။
  • တန်းဝင်ကာစီသည် tagFlex+Bridge မုဒ်တွင်ရှိသော Cisco Wave 2 AP များတွင် ging ကို ပံ့ပိုးမထားပါ။
  • NAT အခြေအနေ (FlexConnect Central DHCP) အတွက် SXPv4 ကို အသုံးမပြုရန် အကြံပြုအပ်ပါသည်။
  • CTS CORE- AAA-3-AUTH_REQUEST_QUEUE_FAILED စနစ်မက်ဆေ့ချ်ကို သင်ကြုံတွေ့ရပါက မည်သည့်လုပ်ဆောင်မှုမျှ မလိုအပ်ပါ။ controller တိုင်း reboot လုပ်ပြီးနောက် ၎င်းသည် မျှော်လင့်ထားသည့် အမှားအယွင်းမှတ်တမ်းတစ်ခုဖြစ်သည်။ Cisco TrustSec core ကို AAA မတိုင်မီ အစပျိုးထားသောကြောင့် ဤစနစ်မက်ဆေ့ချ်ကို ပြသထားသည်။

Cisco TrustSec အင်္ဂါရပ်ပံ့ပိုးမှု Matrix
ဇယား 1- Cisco TrustSec အင်္ဂါရပ် ပံ့ပိုးမှု Matrix

AP Mode ပါ SXPv4 ပံ့ပိုးမှု တန်းဝင်ကာစီသည် Tagging ပံ့ပိုးမှု ပြဋ္ဌာန်း ထောက်ပံ့မှု Cisco Aironet AP စီးရီး ပြီလေ။
ပြည်တွင်း မရှိ မရှိ ဟုတ်ကဲ့ ၀၊ ၂၊ ၄ NA
18xx၊ 38xx၊ 28xx
FlexConnect ဟုတ်ကဲ့ ဟုတ်ကဲ့ ဟုတ်ကဲ့ ၀၊ ၂၊ ၄ NA
18xx၊ 38xx၊ 28xx
Flex+Bridge ဟုတ်ကဲ့ မရှိ ဟုတ်ကဲ့ ၀၊ ၂၊ ၄ NA
မရှိ မရှိ မရှိ 18xx၊ 38xx၊ 28n Flex+Bridge မုဒ်ကို ဤ AP များတွင် ပံ့ပိုးမထားပါ။
ကွက် မရှိ မရှိ ဟုတ်ကဲ့ (မိုးလုံလေလုံကွက်များအတွက် အွန်လိုင်း) ၀၊ ၂၊ ၄ ပြင်ပကွက်လပ်အတွက် အထောက်အပံ့မရှိပါ။
မရှိ မရှိ မရှိ 18xx, 38xx, 28-u Mesh မုဒ်ကို ပံ့ပိုးမထားပါ။

Cisco TrustSec ကို ပြင်ဆင်သတ်မှတ်ခြင်း။
Controller (GUI) တွင် Cisco TrustSec ကို ပြင်ဆင်ခြင်း
လုပ်ထုံးလုပ်နည်း
အဆင့် 1 ရွေးပါ။ လုံခြုံရေး > TrustSec > အထွေထွေ။
အထွေထွေစာမျက်နှာကိုပြသထားသည်။
အဆင့် 2 ကိုစစ်ဆေးပါ။ CTS Cisco TrustSec ကိုဖွင့်ရန် အကွက်ကို အမှန်ခြစ်ပါ။ မူရင်းအားဖြင့် Cisco TrustSec သည် ပိတ်ထားသည့်အခြေအနေတွင် ရှိနေသည်။
အဆင့် 3 ဖွဲ့စည်းပုံကို သိမ်းဆည်းပါ။

Controller (CLI) တွင် Cisco TrustSec ကို ပြင်ဆင်ခြင်း

လုပ်ထုံးလုပ်နည်း

  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် ထိန်းချုပ်ကိရိယာပေါ်တွင် Cisco TrustSec ကိုဖွင့်ပါ- config cts ကို enable လုပ်ပါ။

CISCO Unified Wireless Network Software - သင်္ကေတ မှတ်ချက်
Cisco TrustSec ကိုဖွင့်ပါက၊ SGACL ကို controller တွင်ဖွင့်ထားသည်။ ထို့အပြင်၊ သင်ကိုယ်တိုင် inline ဖွင့်ရန် လိုအပ်မည်ဖြစ်သည်။ tagဂျင်း
Access Point (CLI) အတွက် Cisco TrustSec Override ကို ပြင်ဆင်ခြင်း
လုပ်ထုံးလုပ်နည်း

  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် သီးခြား AP တွင် ကမ္ဘာလုံးဆိုင်ရာ Cisco TrustSec ဖွဲ့စည်းမှုပုံစံ၏ လွှမ်းမိုးမှုကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ခြင်း config cts ap override {enable | disable} cisco-ap

SXP
Controller (GUI) တွင် SXP ကို ​​ပြင်ဆင်နေသည်
လုပ်ထုံးလုပ်နည်း
အဆင့် ၁
လုံခြုံရေး > TrustSec > SXP Config ကို ရွေးပါ။
SXP Configuration စာမျက်နှာကို အောက်ပါ SXP ဖွဲ့စည်းမှုဆိုင်ရာ အသေးစိတ်အချက်အလက်များဖြင့် ပြသသည်-

  • စုစုပေါင်း SXP ချိတ်ဆက်မှုများ- ပြင်ဆင်သတ်မှတ်ထားသော SXP ချိတ်ဆက်မှု အရေအတွက်။
  • SXP ပြည်နယ်- SXP ချိတ်ဆက်မှုများကို ပိတ်ထားသည် သို့မဟုတ် ဖွင့်ထားသည့် အခြေအနေ။
  • SXP မုဒ်- ထိန်းချုပ်ကိရိယာ၏ SXP မုဒ်။ ထိန်းချုပ်ကိရိယာအား SXP ချိတ်ဆက်မှုများအတွက် စပီကာမုဒ်သို့ အမြဲတမ်းသတ်မှတ်ထားသည်။
  •  မူရင်းစကားဝှက်—SXP မက်ဆေ့ဂျ်များ၏ MD5 စစ်မှန်ကြောင်းအထောက်အထားအတွက် စကားဝှက်။ စကားဝှက်တွင် အနည်းဆုံး အက္ခရာ 6 လုံး ပါဝင်ရန် အကြံပြုအပ်ပါသည်။
  • မူရင်းအရင်းအမြစ် IP- စီမံခန့်ခွဲမှုအင်တာဖေ့စ်၏ IP လိပ်စာ။ SXP သည် TCP ချိတ်ဆက်မှုအသစ်အားလုံးအတွက် မူရင်းရင်းမြစ် IP လိပ်စာကို အသုံးပြုသည်။
  • ပြန်လည်ကြိုးစားသည့်ကာလ—SXP တိုင်မာ ပြန်စမ်းကြည့်ပါ။ မူရင်းတန်ဖိုးသည် စက္ကန့် ၁၂၀ (၂ မိနစ်) ဖြစ်သည်။ တရားဝင်အကွာအဝေးသည် 120 မှ 2 စက္ကန့်ဖြစ်သည်။ SXP ပြန်လည်ကြိုးစားသည့်ကာလသည် SXP ချိတ်ဆက်မှုအတွက် ထိန်းချုပ်သူအား မည်မျှကြာကြာ ပြန်ကြိုးစားသည်ကို ဆုံးဖြတ်သည်။
    SXP ချိတ်ဆက်မှုကို အောင်မြင်စွာ မသတ်မှတ်ပါက၊ SXP ပြန်လည်ကြိုးစားသည့်အချိန်တိုင်မာ ကုန်ဆုံးပြီးနောက် ထိန်းချုပ်သူသည် ချိတ်ဆက်မှုကို စနစ်ထည့်သွင်းရန် ကြိုးပမ်းမှုအသစ်တစ်ခု ပြုလုပ်သည်။ SXP ပြန်လည်ကြိုးစားသည့်ကာလကို 0 စက္ကန့်အထိ သတ်မှတ်ခြင်းသည် အချိန်တိုင်းကိရိယာကို ပိတ်ပြီး ထပ်စမ်းခြင်းများ မကြိုးစားပါ။

ဤစာမျက်နှာသည် SXP ချိတ်ဆက်မှုများအကြောင်း အောက်ပါအချက်အလက်များကိုလည်း ပြသသည်-

  • မျိုးတူ IP လိပ်စာ—သက်တူရွယ်တူ၏ IP လိပ်စာ၊ ဆိုလိုသည်မှာ၊ ထိန်းချုပ်ကိရိယာကိုချိတ်ဆက်ထားသည့် နောက်ဟော့ခလုတ်၏ IP လိပ်စာ။ သက်တူရွယ်တူ ချိတ်ဆက်မှုအသစ်ကို သင်စီစဉ်သည့်အခါ ရှိပြီးသား TCP ချိတ်ဆက်မှုများအပေါ် သက်ရောက်မှုမရှိပါ။
  • အရင်းအမြစ် IP လိပ်စာ— အရင်းအမြစ်၏ IP လိပ်စာ၊ ဆိုလိုသည်မှာ ထိန်းချုပ်သူ၏ စီမံခန့်ခွဲမှု IP လိပ်စာ။
  • ချိတ်ဆက်မှုအခြေအနေ- SXP ချိတ်ဆက်မှုအခြေအနေ။

အဆင့် ၁ SXP State drop-down စာရင်းမှ၊ SXP ကိုဖွင့်ရန် Enabled ကိုရွေးချယ်ပါ။
အဆင့် ၁ SXP ချိတ်ဆက်မှုပြုလုပ်ရန် အသုံးပြုသင့်သည့် မူရင်းစကားဝှက်ကို ထည့်သွင်းပါ။ စကားဝှက်တွင် အနည်းဆုံး အက္ခရာ 6 လုံး ပါဝင်ရန် အကြံပြုအပ်ပါသည်။
အဆင့် ၁ကာလအပိုင်းအခြားကို ပြန်စမ်းကြည့်ပါ။Cisco TrustSec ဆော့ဖ်ဝဲလ်သည် SXP ချိတ်ဆက်မှုအတွက် မည်မျှကြာကြာကြိုးစားမည်ကို ဆုံးဖြတ်သည့် အချိန်၊ စက္ကန့်ပိုင်းအတွင်း ထည့်သွင်းပါ။
အဆင့် ၁ သင်၏ပြောင်းလဲမှုများကိုလုပ်ဆောင်ရန် Apply ကိုနှိပ်ပါ။
Controller (CLI) တွင် SXP ကို ​​ပြင်ဆင်ခြင်း
လုပ်ထုံးလုပ်နည်း

  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် ထိန်းချုပ်သူပေါ်ရှိ SXP ကို ​​ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ- config cts sxp {enable | disable}
  • ဤအမိန့်ကိုရိုက်ထည့်ခြင်းဖြင့် MD5 စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းအတွက် SXP မက်ဆေ့ချ်များအတွက် မူရင်းစကားဝှက်ကို ပြင်ဆင်သတ်မှတ်ပါ- config cts sxp မူရင်းစကားဝှက် စကားဝှက်
  • ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် ထိန်းချုပ်ကိရိယာကို ချိတ်ဆက်ထားသည့် နောက်ဟော့ခလုတ်၏ IP လိပ်စာကို ပြင်ဆင်သတ်မှတ်ပါ- config cts sxp ချိတ်ဆက်မှု သက်တူရွယ်တူ ip-address
  • ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် ချိတ်ဆက်မှုကြိုးပမ်းမှုများကြားကာလကို စီစဉ်သတ်မှတ်ပါ- config cts sxp ပြန်လည်ကြိုးစားသည့်ကာလ အချိန်-စက္ကန့်ပိုင်း
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် SXP ချိတ်ဆက်မှုကို ဖယ်ရှားပါ- config cts sxp ဆက်သွယ်မှု ip-address ကို ဖျက်ပါ
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် SXP ဖွဲ့စည်းမှုဆိုင်ရာ အကျဉ်းချုပ်ကို ကြည့်ပါ- cts sxp အကျဉ်းချုပ်ကို ပြပါ

အောက်ပါအတိုင်းဖြစ်ပါသည်။ampဤ command ၏ output ကို:
SXP အခြေအနေ …………………………………။ ဖွင့်ပါ။
SXP Mode ………………………………….. စပီကာ
မူရင်းစကားဝှက်………………………………… ****
မူရင်းအရင်းအမြစ် IP ………………………….. 209.165.200.224
ချိတ်ဆက်မှု ပြန်လည်ကြိုးစားဖွင့်ချိန် ……………….. 120

  • ဤအမိန့်ကိုထည့်သွင်းခြင်းဖြင့် configure လုပ်ထားသော SXP ချိတ်ဆက်မှုများစာရင်းကိုကြည့်ပါ- cts sxp ချိတ်ဆက်မှုများကိုပြသပါ
    အောက်ပါအတိုင်းဖြစ်ပါသည်။ampဤ command ၏ output ကို:
    SXP ချိတ်ဆက်မှု စုစုပေါင်း အရေအတွက်…………………… ၁
    SXP အခြေအနေ …………………………………။ ဖွင့်ပါ။
    မျိုးတူ IP အရင်းအမြစ် IP ချိတ်ဆက်မှု အခြေအနေ —————————————————– 209.165.200.229 209.165.200.224 On
  • ဤအဆင့်များထဲမှ တစ်ခုခုကို လိုက်နာခြင်းဖြင့် ထိန်းချုပ်ကိရိယာနှင့် Cisco Nexus 7000 Series ခလုတ်အကြား ချိတ်ဆက်မှုကို တည်ဆောက်ပါ-
  • အောက်ပါ command များကို ရိုက်ထည့်ပါ။
    1. config cts sxp ဗားရှင်း sxp ဗားရှင်း 1 သို့မဟုတ် 2 1
    2. config cts sxp ကို disable လုပ်ပါ။
    3. config cts sxp ကို enable လုပ်ပါ။
  • SXP ဗားရှင်း 2 ကို ထိန်းချုပ်ကိရိယာပေါ်တွင် အသုံးပြုပြီး ဗားရှင်း 1 ကို Cisco Nexus 7000 Series ခလုတ်တွင် အသုံးပြုပါက၊ ချိတ်ဆက်မှုကို ထူထောင်ရန်အတွက် ပြန်လည်ကြိုးစားချိန်ပမာဏတစ်ခု လိုအပ်ပါသည်။ ချိတ်ဆက်မှုကြိုးပမ်းမှုများကြားတွင် သင့်တွင် ကနဦးအချိန်အနည်းငယ်သာရှိရန် ကျွန်ုပ်တို့အကြံပြုအပ်ပါသည်။ ပုံသေသည် စက္ကန့် 120 ဖြစ်သည်။

Cisco Access Points (GUI) တွင် SXP ကို ​​ပြင်ဆင်ခြင်း
ဤဖွဲ့စည်းပုံသည် FlexConnect၊ Flex+Bridge၊ Mesh နှင့် Local mode AP များအတွက်သာ သက်ဆိုင်ပါသည်။
လုပ်ထုံးလုပ်နည်း
အဆင့် 1 ကြိုးမဲ့ > Access Points > AP များအားလုံးနှင့် လိုချင်သော access point ၏အမည်ကို ရွေးပါ။
အဆင့် 2 Advanced tab ကိုနှိပ်ပါ။
အဆင့် 3 ယုံကြည်စိတ်ချရသော လုံခြုံရေးဧရိယာတွင်၊ TrustSec Config ကိုနှိပ်ပါ။
AP များအားလုံး > > ယုံကြည်စိတ်ချရသော လုံခြုံရေး စာမျက်နှာကို ပြသထားသည်။
အဆင့် 4 ယုံကြည်စိတ်ချရသောလုံခြုံရေးဧရိယာတွင်၊ SGACL ကျင့်သုံးမှုစစ်ဆေးသည့်အကွက်ကိုစစ်ဆေးပါ။
အဆင့် 5 configuration ကို သိမ်းဆည်းပါ။
Cisco Access Points (CLI) တွင် SXP ကို ​​ပြင်ဆင်ခြင်း
ဤဖွဲ့စည်းပုံသည် FlexConnect၊ Flex+Bridge၊ Mesh နှင့် Local mode AP များအတွက်သာ သက်ဆိုင်ပါသည်။
လုပ်ထုံးလုပ်နည်း

  • ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် ဝင်ခွင့်အမှတ် သို့မဟုတ် ဝင်ရောက်ရန်နေရာအားလုံးအတွက် SXP ကို ​​ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ- config cts sxp ap {enable | {ap_name | ပိတ်ပါ။ အားလုံး}
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် SXP ချိတ်ဆက်မှုအတွက် ပုံသေစကားဝှက်ကို ပြင်ဆင်သတ်မှတ်ပါ- config cts sxp ap မူရင်းစကားဝှက် စကားဝှက် {ap-name | အားလုံး}
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် Cisco AP ချိတ်ဆက်ထားသည့် SXP ရွယ်တူ IP လိပ်စာကို ပြင်ဆင်သတ်မှတ်ပါ- config cts sxp ap connection peer ip-address စကားဝှက် {မူလ | none} မုဒ် {နှစ်ခုလုံး | နားထောင်သူ | စပီကာ} {ap-name | အားလုံး}
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် SXP ချိတ်ဆက်မှုအတွက် အနည်းဆုံးနှင့် အမြင့်ဆုံးအချိန်ကြားကာလများကို စီစဉ်သတ်မှတ်ပါ-
    config cts sxp ap နားထောင်သူ ကိုင်ထားချိန် min max {ap-name | အားလုံး}
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် Cisco AP ပေါ်ရှိ ပြန်လည်ညှိနှိုင်းချိန်ကြားကာလကို သတ်မှတ်ပါ-
    config cts sxp ap ပြန်လည်သင့်မြတ်ရေးကာလ အချိန်-စက္ကန့်များ {ap-name | အားလုံး}
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် ချိတ်ဆက်မှုကြိုးပမ်းမှုများကြားကာလကို သတ်မှတ်ပါ-
    config cts sxp ap ပြန်လည်ကြိုးစားသည့်ကာလ အချိန်-စက္ကန့်များ {ap-name | အားလုံး}
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် ချိတ်ဆက်မှု ခေတ္တကြာချိန်ကို သတ်မှတ်ပါ။
    config cts sxp ap စပီကာကို ကိုင်ထားချိန်-စက္ကန့်ပိုင်းအတွင်း ကိုင်ထားချိန် {ap-name | အားလုံး}

CISCO Unified Wireless Network Software - သင်္ကေတမှတ်ချက်
DHCP IP ပါသော Cisco AP ကို ​​ပြန်လည်စတင်ပါက၊ ပြန်လည်စတင်ပြီးနောက် ထိန်းချုပ်ကိရိယာနှင့် ချိတ်ဆက်ကာ မတူညီသော IP လိပ်စာတစ်ခု ပါရှိသည်ဆိုလျှင် SXP ချိတ်ဆက်မှု ပျက်သွားပါသည်။ ယင်းကို ကျော်လွှားရန်၊ အောက်ပါတာဝန်များကို လုပ်ဆောင်ပါ-

  • Cisco AP အတွက် DHCP ရှိ သီးသန့် IP လိပ်စာများကို သတ်မှတ်သတ်မှတ်ပါ။
  • Cisco AP အတွက် static IP လိပ်စာကို စီစဉ်သတ်မှတ်ပါ။

Cisco TrustSec အထောက်အထားများ

Cisco TrustSec အထောက်အထားများ (GUI) ကို ပြင်ဆင်သတ်မှတ်ခြင်း
လုပ်ထုံးလုပ်နည်း
အဆင့် 1 လုံခြုံရေး > TrustSec > အထွေထွေကို ရွေးပါ။
အထွေထွေစာမျက်နှာကိုပြသထားသည်။
အဆင့် 2 စက်ပစ္စည်း ID အကွက်တွင် Cisco TrustSec စက်ပစ္စည်း ID ကို ထည့်သွင်းပါ။
အဆင့် 3 စကားဝှက်အကွက်တွင် Cisco TrustSec ကိရိယာ စကားဝှက်ကို ရိုက်ထည့်ပါ။
အဆင့် 4 Inline ကို စစ်ဆေးပါ သို့မဟုတ် အမှန်ခြစ်ဖြုတ်ပါ။ Taginline ဖွင့်ရန် သို့မဟုတ် ပိတ်ရန် ging ကို အမှန်ခြစ်ပေးပါ။ tagဂျင်း
အဆင့် 5 ပတ်ဝန်းကျင်ဒေတာဧရိယာတွင်၊ အောက်ပါအချက်အလက်များကိုပြသသည်-
• လက်ရှိအခြေအနေ—ပတ်ဝန်းကျင်ဒေတာ ပြည့်စုံမှုရှိမရှိကို ပြသသည်။
• နောက်ဆုံးအခြေအနေ—ပတ်ဝန်းကျင်ဒေတာ၏ နောက်ဆုံးအခြေအနေအား ပြသသည်။
အဆင့် 6 သင်၏ပြောင်းလဲမှုများကိုလုပ်ဆောင်ရန် Apply ကိုနှိပ်ပါ။
အဆင့် 7 ပတ်ဝန်းကျင်ဒေတာကို ပြန်လည်ဆန်းသစ်ရန် Envy Data အား ပြန်လည်စတင်ရန် နှိပ်ပါ။
Cisco TrustSec အထောက်အထားများ (CLI) ကို ပြင်ဆင်သတ်မှတ်ခြင်း
လုပ်ထုံးလုပ်နည်း
• ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် Cisco TrustSec စက်ပစ္စည်း ID နှင့် စကားဝှက်ကို ပြင်ဆင်သတ်မှတ်ပါ- config cts device-id device-id စကားဝှက် စကားဝှက်
RADIUS AAA ဆာဗာ (GUI) ကို ပြင်ဆင်ခြင်း
သင်သည် များစွာသော RADIUS စာရင်းကိုင်နှင့် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း ဆာဗာများကို ပြင်ဆင်သတ်မှတ်နိုင်သည်။ ဟောင်းအတွက်ampထို့ကြောင့်၊ သင်သည် ဗဟို RADIUS စစ်မှန်ကြောင်းအထောက်အထားပြသခြင်းဆာဗာတစ်ခုရှိချင်သော်လည်း မတူညီသောဒေသများရှိ RADIUS စာရင်းကိုင်ဆာဗာများစွာရှိနိုင်ပါသည်။
အမျိုးအစားတူဆာဗာများစွာကို သင်စီစဉ်သတ်မှတ်ပြီး ပထမတစ်ခုပျက်ကွက် သို့မဟုတ် ချိတ်ဆက်၍မရဖြစ်သွားပါက၊ ထိန်းချုပ်ကိရိယာသည် ဒုတိယတစ်ခုကို အလိုအလျောက်ကြိုးစားသည်၊ ထို့နောက် လိုအပ်ပါက တတိယတစ်ခုကို စသည်တို့ဖြစ်သည်။
RADIUS AAA ဆာဗာ (CLI) ကို ပြင်ဆင်သတ်မှတ်ခြင်း
လုပ်ထုံးလုပ်နည်း
အမိန့်ကိုဖြည့်သွင်းခြင်းဖြင့် RADIUS PAC ကိုဖွင့်ရန် RADIUS စစ်မှန်ကြောင်းအထောက်အထားပြဆာဗာကို စီစဉ်သတ်မှတ်ပါ- config radius auth pac srv-index ကိုဖွင့်ပါ
ဤတွင် srv-index သည် 1 နှင့် 32 ကြား RADIUS ဆာဗာအညွှန်းကို သတ်မှတ်သည်။

ပတ်ဝန်းကျင်ဒေတာကို စောင့်ကြည့်ခြင်း။

စောင့်ကြည့်ရေး ပတ်ဝန်းကျင်ဒေတာ (GUI)
လုပ်ထုံးလုပ်နည်း
အဆင့် 1 လုံခြုံရေး > TrustSec > အထွေထွေကို ရွေးပါ။
အထွေထွေစာမျက်နှာကို ပတ်ဝန်းကျင်ဒေတာ၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့် အောက်ပါအသေးစိတ်အချက်အလက်များဖြင့် ပြသသည်- လက်ရှိအခြေအနေနှင့် နောက်ဆုံးအခြေအနေ။
အဆင့် 2 To view မွမ်းမံထားသော အချက်အလက်အား ပြန်လည်စတင်ရန် Envy Data ကို နှိပ်ပါ။
ပတ်ဝန်းကျင်စောင့်ကြည့်ရေးဒေတာ (CLI)
လုပ်ထုံးလုပ်နည်း

  • View ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် Cisco TrustSec ပတ်ဝန်းကျင်ဒေတာ- cts ပတ်ဝန်းကျင်-ဒေတာကို ပြသပါ။
  • ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် Cisco TrustSec ပတ်ဝန်းကျင်ဒေတာကို ပြန်လည်စတင်ပါ- config cts refresh environment-data

CISCO Unified Wireless Network Software - သင်္ကေတ မှတ်ချက်
Cisco Wireless Release 8.4 တွင် CoA ကို မပံ့ပိုးနိုင်သောကြောင့် Cisco ISE မှ ပတ်ဝန်းကျင်ဒေတာကို သင်ကိုယ်တိုင် ပြန်လည်ဆန်းသစ်ရပါမည်။
Static Security Group ကို ပြင်ဆင်သတ်မှတ်ခြင်း။ Tag WLAN တစ်ခုပေါ်တွင်
Static Security Group ကို ပြင်ဆင်သတ်မှတ်ခြင်း။ Tag WLAN (GUI) ပေါ်တွင်
လုပ်ထုံးလုပ်နည်း
အဆင့် 1 WLANs စာမျက်နှာကိုဖွင့်ရန် WLANs ကိုရွေးချယ်ပါ။
အဆင့် 2 WLAN ID ကို နှိပ်ပါ။
အဆင့် 3 WLANs > တည်းဖြတ်စာမျက်နှာတွင်၊ အဆင့်မြင့်တက်ဘ်ကို နှိပ်ပါ။
အဆင့် 4 TrustSec ဧရိယာအောက်တွင်၊ လုံခြုံရေးအဖွဲ့တွင် Tag အကွက်၊ 0 နှင့် 65533 အကြား တန်ဖိုးတစ်ခု ထည့်ပါ။
အဆင့် 5 ဖွဲ့စည်းပုံကို သိမ်းဆည်းပါ။
Static Security Group ကို ပြင်ဆင်သတ်မှတ်ခြင်း။ Tag WLAN (CLI) ပေါ်တွင်
လုပ်ထုံးလုပ်နည်း

  • တည်ငြိမ်လုံခြုံရေးအဖွဲ့ကို စီစဉ်သတ်မှတ်ပါ။ Tag ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် (SGT) WLAN တွင်- config wlan လုံခြုံရေး sgt တန်ဖိုး wlan-id
    တန်ဖိုးအတွက် မှန်ကန်သော အပိုင်းအခြားသည် 0 နှင့် 65533 ကြားဖြစ်သည်။

CISCO Unified Wireless Network Software - သင်္ကေတ မှတ်ချက်
ဤအမိန့်သည် ဒေသဆိုင်ရာနှင့် သက်ဆိုင်သည်။ web ထိန်းချုပ်ကိရိယာရှိ ဖောက်သည်များ၏ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း။ SGT သည် AAA override disabled ဖြင့် WLANs များသို့ ချိတ်ဆက်ထားသော client များနှင့်လည်း သက်ဆိုင်ပါသည်။

Inline ပြင်ဆင်ခြင်း။ Tagဂျင်း

Inline ပြင်ဆင်ခြင်း။ TagController (GUI) တွင် ging
လုပ်ထုံးလုပ်နည်း
အဆင့် 1 ရွေးပါ။ လုံခြုံရေး > TrustSec > အထွေထွေ။ 
အထွေထွေစာမျက်နှာကိုပြသထားသည်။
အဆင့် 2 Inline ကိုစစ်ဆေးပါ။ Taginline ဖွင့်ရန် ging ကို အမှန်ခြစ်ပေးပါ။ tagဂျင်း။ မူရင်းအားဖြင့်၊ inline tagဂျင်းသည် မသန်စွမ်းသော အခြေအနေတွင်ရှိသည်။
အဆင့် 3 ဖွဲ့စည်းပုံကို သိမ်းဆည်းပါ။
Inline ပြင်ဆင်ခြင်း။ TagController (CLI) တွင် ging
လုပ်ထုံးလုပ်နည်း
• Inline ကိုဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ tagဤအမိန့်ကိုထည့်သွင်းခြင်းဖြင့် config cts inline-tag {ဖွင့် | disable}
CISCO Unified Wireless Network Software - သင်္ကေတ မှတ်ချက်
Controller သည် inline ၏တာဝန်ကိုလုပ်ဆောင်သည်။ tagCentral switching လုပ်တာပါ။
Inline ပြင်ဆင်ခြင်း။ TagCisco Access Points (GUI) တွင် ging
သင်မစတင်မီ

  1. တန်းဝင်ကာစီသည် tagging ကို FlexConnect မုဒ်ရှိ AP များတွင်သာ ပံ့ပိုးထားသည်။
  2. မူရင်းအားဖြင့်၊ inline tagဂျင်းသည် မသန်စွမ်းသော အခြေအနေတွင်ရှိသည်။

လုပ်ထုံးလုပ်နည်း

အဆင့် 1 inline ကို configure လုပ်ရန် tagAP များအားလုံးတွင် အကျုံးဝင်သည်-
က) Wireless > Access Points > Global Configuration ကို ရွေးပါ။
Global Configuration စာမျက်နှာကို ပြသထားသည်။
b) TrustSec ဧရိယာအောက်တွင် TrustSec Config ကိုနှိပ်ပါ။
AP များအားလုံး ယုံကြည်စိတ်ချရသော လုံခြုံရေး စာမျက်နှာကို ပြသထားသည်။
ဂ) လိုင်းဖွင့်ရန် tagging, Inline ကိုစစ်ဆေးပါ။ Tagging box ကိုစစ်ဆေးပါ။
ဃ) Apply ကိုနှိပ်ပါ။
အဆင့် 2 inline ကို configure လုပ်ရန် tagသီးခြား AP ပေါ်တွင် ging
က) Wireless > Access Points > AP အားလုံးကို ရွေးပါ။
ခ) AP အမည်ကို နှိပ်ပါ။
AP များအားလုံး > အသေးစိတ်အတွက် စာမျက်နှာကိုပြသထားသည်။
ဂ) Advanced tab ကိုနှိပ်ပါ။
ဃ) TrustSec ဧရိယာအောက်တွင် TrustSec Config ကိုနှိပ်ပါ။
င) ယုံကြည်စိတ်ချရသောလုံခြုံရေးဧရိယာတွင်၊ Inline ကိုစစ်ဆေးပါ။ Taginline ဖွင့်ရန် ging ကို အမှန်ခြစ်ပေးပါ။ tagဂျင်း
f) Apply ကိုနှိပ်ပါ။
Inline ပြင်ဆင်ခြင်း။ TagCisco Access Points (CLI) တွင် ging
သင်မစတင်မီ

  1. တန်းဝင်ကာစီသည် tagging ကို FlexConnect မုဒ်ရှိ AP များတွင်သာ ပံ့ပိုးထားသည်။
  2. မူရင်းအားဖြင့်၊ inline tagဂျင်းသည် မသန်စွမ်းသော အခြေအနေတွင်ရှိသည်။

လုပ်ထုံးလုပ်နည်း

  • inline ကိုဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ tagဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် သီးခြား AP သို့မဟုတ် AP များအားလုံးတွင် ging-config cts ap inline-tagging {enable | disable} {Cisco AP | အားလုံး}
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် သီးခြား AP တွင် ဖွဲ့စည်းမှုပုံစံကို သက်ရောက်မှုရှိမရှိ ကြည့်ပါ- ap config အထွေထွေ {Cisco AP} ကို ပြပါ
  • inline ၏အခြေအနေကိုကြည့်ပါ။ tagဤအမိန့်ကိုရိုက်ထည့်ခြင်းဖြင့် FlexConnect AP များအားလုံးတွင် ging - cts ap summary ကိုပြသပါ။

CISCO Unified Wireless Network Software - သင်္ကေတ မှတ်ချက်
AP များသည် inline ၏တာဝန်ကိုလုပ်ဆောင်သည်။ taglocal switching packets အတွက် ging

SGACL ပေါ်လစီ ဒေါင်းလုဒ်ကို အတည်ပြုခြင်း

Controller (GUI) တွင် SGACL မူဝါဒ ဒေါင်းလုဒ်လုပ်ခြင်းကို အတည်ပြုခြင်း
လုပ်ထုံးလုပ်နည်း
အဆင့် 1 လုံခြုံရေး > TrustSec > မူဝါဒကို ရွေးပါ။
အဆင့် 2 D-SGT ကို နှိပ်ပါ။
SGT Detail စာမျက်နှာတွင် SGACL မူဝါဒအမည်အပါအဝင် SGT ၏အသေးစိတ်အချက်အလက်များကို ပြသထားသည်။
အဆင့် 3 SGT အချက်အလက်ကို ပြန်လည်စတင်ရန် Refresh ကိုနှိပ်ပါ။
မှတ်ချက် CoA ကို မပံ့ပိုးပါ။ ထို့ကြောင့်၊ Cisco ISE မှ SGACL မူဝါဒကို ကိုယ်တိုင်ပြန်လည်ဆန်းသစ်ရန် ကျွန်ုပ်တို့ အကြံပြုအပ်ပါသည်။
Controller (CLI) တွင် SGACL မူဝါဒ ဒေါင်းလုဒ်ကို အတည်ပြုခြင်း
လုပ်ထုံးလုပ်နည်း

  • View ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် တိကျသော SGT မူဝါဒ အချက်အလက်အားလုံးကို ဖော်ပြပါ- cts မူဝါဒ {all | sgt_tag}
  • View ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် တိကျသော SGACL အချက်အလက်အားလုံးကို ဖော်ပြပါ- cts sgacl {all | sgacl အမည်}
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် SGACL ကို ဖွင့်ထားခြင်း သို့မဟုတ် ပိတ်ထားခြင်း ရှိ၊ မရှိ စစ်ဆေးပါ- ap config အထွေထွေ cisco-ap ကို ပြပါ
  • View ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် SGACL မူဝါဒကို တစ်ကမ္ဘာလုံးတွင် ဖွင့်ထားသည်- cts ap အနှစ်ချုပ်ကို ပြပါ။
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် SGTs အားလုံးကို ပြန်လည်စတင်ပါ- config cts refresh policy sgt all
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် သီးခြား SGT ကို ပြန်လည်စတင်ပါ- config cts refresh policy sgt sgt-tag

CISCO Unified Wireless Network Software - သင်္ကေတ မှတ်ချက်
CoA ကို မပံ့ပိုးပါ။ ထို့ကြောင့်၊ Cisco ISE မှ SGACL မူဝါဒကို ကိုယ်တိုင်ပြန်လည်ဆန်းသစ်ရန် ကျွန်ုပ်တို့ အကြံပြုအပ်ပါသည်။

ပေါ်လစီ ကျင့်သုံးမှုကို ပြင်ဆင်ခြင်း။

မူဝါဒကျင့်သုံးခြင်း (GUI) ပြင်ဆင်ခြင်း
သင်မစတင်မီ
SGACL ကျင့်သုံးမှုကို Cisco 3504, 5520, နှင့် 8540 ကြိုးမဲ့ ထိန်းချုပ်ကိရိယာများတွင်သာ ပံ့ပိုးထားသည်။
လုပ်ထုံးလုပ်နည်း

အဆင့် 1 တိကျသော Cisco AP တွင် မူဝါဒကျင့်သုံးမှုကို သတ်မှတ်ရန်-
က) AP စာမျက်နှာအားလုံးကိုဖွင့်ရန် Wireless > Access Points > AP များအားလုံး ကို ရွေးပါ။
ခ) AP အမည်ကို နှိပ်ပါ။
AP များအားလုံး > အသေးစိတ်အတွက် စာမျက်နှာကိုပြသထားသည်။
ဂ) Advanced tab ကိုနှိပ်ပါ။
ဃ) ယုံကြည်စိတ်ချရသော လုံခြုံရေးဧရိယာတွင်၊ TrustSec Config ကိုနှိပ်ပါ။
AP များအားလုံး > > ယုံကြည်စိတ်ချရသော လုံခြုံရေး စာမျက်နှာကို ပြသထားသည်။
င) ယုံကြည်စိတ်ချရသော လုံခြုံရေးဧရိယာတွင်၊ AP ပေါ်ရှိ SGACL မူဝါဒများကို ကျင့်သုံးရန် SGACL Enforcement checkbox ကိုစစ်ဆေးပါ။
ပုံမှန်အားဖြင့်၊ SGACL ကျင့်သုံးမှုသည် ပိတ်ထားသည့်အခြေအနေတွင် ရှိနေသည်။
f) Apply ကိုနှိပ်ပါ။
အဆင့် 2 Cisco AP များအားလုံးတွင် ပေါ်လစီကျင့်သုံးမှုကို သတ်မှတ်ရန်-
က) Wireless > Access Points > Global Configuration ကို ရွေးပါ။
b) TrustSec ဧရိယာတွင်၊ TrustSec Config ကိုနှိပ်ပါ။
AP များအားလုံး ယုံကြည်စိတ်ချရသော လုံခြုံရေး စာမျက်နှာကို ပြသထားသည်။
ဂ) AP များအားလုံးရှိ SGACL မူဝါဒများကို ကျင့်သုံးရန် SGACL Enforcement checkbox ကိုစစ်ဆေးပါ။
ဃ) Apply ကိုနှိပ်ပါ။
မူဝါဒကျင့်သုံးခြင်း (CLI) ကို ပြင်ဆင်ခြင်း
လုပ်ထုံးလုပ်နည်း

  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် သီးခြား AP သို့မဟုတ် AP များအားလုံးအတွက် SGACL ပြဋ္ဌာန်းချက်ကို ဖွင့်ပါ- config cts ap sgacl-enforcement ကို ဖွင့်ပါ {ap-name | အားလုံး}

CISCO Unified Wireless Network Software - သင်္ကေတ မှတ်ချက်
AP များအားလုံးအတွက် SGACL ကျင့်သုံးမှုကို ဖွင့်ပါက၊ CTS override ဖွင့်ထားသည့်အရာများမှအပ၊ AP များအားလုံးတွင် ဖွဲ့စည်းမှုပုံစံကို သက်ရောက်သည်။
Controller (CLI) တွင် Cisco TrustSec ကို အမှားရှာခြင်း
လုပ်ထုံးလုပ်နည်း

  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် Cisco TrustSec AAA အတွက် အမှားရှာပြင်ရွေးချယ်စရာများကို ပြင်ဆင်သတ်မှတ်ပါ- debug cts aaa { all | အမှားများ | events} {enable | disable}
  • ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် အမှားရှာပြင်ရွေးချယ်စရာ Cisco TrustSec ခွင့်ပြုချက်ကို ပြင်ဆင်သတ်မှတ်ပါ- debug cts authz { all | အမှားများ | ပွဲများ | aaa} {ဖွင့် | disable}
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် Cisco TrustSec မူဝါဒဒေါင်းလုဒ်အတွက် အမှားရှာပြင်ရွေးချယ်စရာများကို ပြင်ဆင်သတ်မှတ်ပါ- အမှားရှာပြင် cts capwap {အားလုံး | အမှားများ | ပွဲများ | messages} {enable | disable}
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် Cisco TrustSec ပတ်ဝန်းကျင်ဒေတာအတွက် အမှားရှာပြင်ရွေးချယ်စရာများကို ပြင်ဆင်သတ်မှတ်ပါ- debug cts env-data {all | အမှားများ | events} {enable | disable}
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် Cisco TrustSec HA အတွက် အမှားရှာပြင်ရွေးချယ်စရာများကို ပြင်ဆင်သတ်မှတ်ပါ- debug cts ha { all | အမှားများ | events} {enable | disable}
  • ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် Cisco TrustSec သော့စတိုးအတွက် အမှားရှာပြင်ရွေးချယ်စရာများကို ပြင်ဆင်သတ်မှတ်ပါ- debug cts သော့စတိုးဆိုင် {enable | disable}
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် Cisco TrustSec PAC စီမံဆောင်ရွက်ပေးခြင်းအတွက် အမှားရှာပြင်ရွေးချယ်စရာများကို ပြင်ဆင်သတ်မှတ်ပါ- debug cts စီမံဆောင်ရွက်ပေးခြင်း {all | အမှားများ | ပွဲများ | packets} {enable | disable}
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် Cisco TrustSec SXP အတွက် အမှားရှာပြင်ရွေးချယ်စရာများကို ပြင်ဆင်သတ်မှတ်ပါ- debug cts sxp { all | အမှားများ | ပွဲများ | မူဘောင် | message} {enable | disable}
  • ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် SGT အမှားရှာခြင်းကို 10 SGT အထိ ပြင်ဆင်သတ်မှတ်ပါ-- အမှားရှာပြင်ခြင်း cts sgt sgt-1…sgt-10
  • ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် AP-SGT အချက်အလက်အားလုံးကို ပြသပါ- cts ap sgt-info ကိုပြသပါ။

ပေါ့ပါးသော AP များအတွက် Cisco TrustSec အမိန့်များ
ပေါ့ပါးသော AP ကွန်ဆိုးလ်တွင် ဤညွှန်ကြားချက်များကို ထည့်သွင်းပါ-
လုပ်ထုံးလုပ်နည်းe

  • အမိန့်များကို ပြပါ-
    က) ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် SXP ချိတ်ဆက်မှု အခြေအနေကို စစ်ဆေးပါ-
  • Cisco Aironet 1700၊ 2700 နှင့် 3700 Series APs တွင်- cts sxp ချိတ်ဆက်မှုများကို အတိုချုံးပြပါ
  • Cisco Aironet 18xx၊ 28xx နှင့် 38xx Series APs တွင်- cts sxp ချိတ်ဆက်မှုများကို ပြပါ
    b) ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် SXP ချိတ်ဆက်မှုများကို စစ်ဆေးပါ-
  • Cisco Aironet 1700၊ 2700 နှင့် 3700 Series APs တွင်- cts sxp sgt-map အကျဉ်းကို ပြပါ
  • Cisco Aironet 18xx၊ 28xx နှင့် 38xx Series APs တွင်- cts sxp sgt-map ကိုပြပါ
    ဂ) ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် IP-SGT ချိတ်ဆက်မှုကို စစ်ဆေးပါ-
  • Cisco Aironet 1700၊ 2700 နှင့် 3700 စီးရီး AP များတွင် ပြည်တွင်းပြောင်းခြင်းအတွက်သာ- cts အခန်းကဏ္ဍ-အခြေခံ sgt-map အားလုံးကို ပြပါ
  • Cisco Aironet 18xx၊ 28xx နှင့် 38xx Series APs တွင် local switching နှင့် central switching only အတွက်- cts role-based sgt-map အားလုံးကို ပြပါ
    ဃ) ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် ဗဟိုပြောင်းသည့်ဖောက်သည်များအတွက် SGT ကိုစစ်ဆေးပါ- ထိန်းချုပ်ကိရိယာများကိုပြသပါ {dot11Radio0|1 | SGT ကိုစတင်ပါ}
    င) ဤအမိန့်ကိုထည့်သွင်းခြင်းဖြင့် S-SGT နှင့် D-SGT အတွက် SGACLs ကိုစစ်ဆေးပါ- cts အခန်းကဏ္ဍအခြေခံခွင့်ပြုချက်များကိုပြသပါ [မူလ | from | ipv4 | ipv6 | to | cr] f) ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် ပေးထားသော ရင်းမြစ်နှင့် ဦးတည်ရာ SGT အတွက် ကောင်တာစစ်ဆေးပါ- cts အခန်းကဏ္ဍအခြေခံကောင်တာများကို ပြသပါ [မူလ | from | ipv4 | ipv6 | to | cr] g) ဤအမိန့်ကို ထည့်သွင်းခြင်းဖြင့် ပေးထားသော SGACL အတွက် ACEs ကို စစ်ဆေးပါ- ဝင်ရောက်ခွင့်စာရင်းများ ဝင်ရောက်ခွင့်စာရင်း-အမည်ကို ပြပါ
  • အမှားရှာပြင်ခြင်း အမိန့်များ-
    က) ဤအမိန့်ကို ဖြည့်သွင်းခြင်းဖြင့် Cisco TrustSec တွင် အမှားအယွင်းပြုလုပ်ခြင်း- Cisco Aironet 18xx, 28xx, နှင့် 38xx Series APs- အမှားရှာပြင်ခြင်း cts ကျင့်သုံးမှု
    b) ဗဟိုနှင့် ဒေသန္တရ ဒေတာအသွားအလာနှစ်ခုလုံးအတွက် အမှားပြင်ဆင်ခြင်းဆိုင်ရာ ပြဿနာများ။ ဤအမိန့်ကိုထည့်သွင်းခြင်းဖြင့်
    Cisco Aironet 1700၊ 2700 နှင့် 3700 စီးရီး APs တွင်- အမှားရှာပြင်ခြင်း rbm dp ပက်ကတ်များ

CISCO လိုဂို

စာရွက်စာတမ်းများ / အရင်းအမြစ်များ

CISCO Unified Wireless Network Software [pdf] အသုံးပြုသူလမ်းညွှန်
Unified Wireless Network Software၊ Wireless Network Software၊ Network Software၊ Software

ကိုးကား

မှတ်ချက်တစ်ခုချန်ထားပါ။

သင့်အီးမေးလ်လိပ်စာကို ထုတ်ပြန်မည်မဟုတ်ပါ။ လိုအပ်သောအကွက်များကို အမှတ်အသားပြုထားသည်။ *