Inhoud wegsteek
1 CISCO SD-WAN Konfigureer sekuriteitsparameters
2 Stel sekuriteitsparameters op
3 Stel Control Plane Security Parameters op
4 Konfigureer DTLS in Cisco SD-WAN Manager
5 Stel Data Plane Security Parameters op
6 Stel toegelate verifikasietipes op
7 Verander die hersleutel-afteller
8 Verander die grootte van die anti-herhalingsvenster
9 Stel 'n IPsec statiese roete op
10 Stel IPsec-tonnelparameters op
11 Verander IKE Dead-Peer Detection
12 Stel ander koppelvlak-eienskappe op
13 Deaktiveer swak SSH-enkripsiealgoritmes op Cisco SD-WAN Bestuurder
14 Dokumente / Hulpbronne
14.1 Verwysings

CISCO-LOGO

CISCO SD-WAN Konfigureer sekuriteitsparameters

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Stel sekuriteitsparameters op

Let wel

Om vereenvoudiging en konsekwentheid te bereik, is die Cisco SD-WAN-oplossing hernaam as Cisco Catalyst SD-WAN. Daarbenewens, vanaf Cisco IOS XE SD-WAN Release 17.12.1a en Cisco Catalyst SD-WAN Release 20.12.1, is die volgende komponentveranderinge van toepassing: Cisco vManage na Cisco Catalyst SD-WAN Manager, Cisco vAnalytics na Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator, en Cisco vSmart to Cisco Catalyst SD-WAN Controller. Sien die jongste vrystellingsnotas vir 'n omvattende lys van al die komponent handelsnaamveranderings. Terwyl ons na die nuwe name oorgaan, kan sommige teenstrydighede in die dokumentasiestel voorkom as gevolg van 'n gefaseerde benadering tot die gebruikerskoppelvlakopdaterings van die sagtewareproduk.

Hierdie afdeling beskryf hoe om sekuriteitsparameters vir die beheervlak en die datavlak in die Cisco Catalyst SD-WAN-oorlegnetwerk te verander.

  • Stel beheervliegtuigsekuriteitsparameters op, aan
  • Stel Data Plane Security Parameters op, aan
  • Stel IKE-geaktiveerde IPsec-tonnels op, aan
  • Deaktiveer swak SSH-enkripsiealgoritmes op Cisco SD-WAN Bestuurder, aan

Stel Control Plane Security Parameters op

By verstek gebruik die beheervliegtuig DTLS as die protokol wat privaatheid op al sy tonnels verskaf. DTLS loop oor UDP. U kan die beheervlaksekuriteitsprotokol verander na TLS, wat oor TCP loop. Die primêre rede om TLS te gebruik, is dat, as u die Cisco SD-WAN-beheerder as 'n bediener beskou, brandmure TCP-bedieners beter beskerm as UDP-bedieners. Jy konfigureer die beheervlaktonnelprotokol op 'n Cisco SD-WAN-beheerder: vSmart(config)# sekuriteitsbeheerprotokol tls Met hierdie verandering sal alle beheervlaktonnels tussen die Cisco SD-WAN-beheerder en die routers en tussen die Cisco SD-WAN-beheerder en Cisco SD-WAN Bestuurder gebruik TLS. Beheer vliegtuigtonnels na Cisco Catalyst SD-WAN Validator gebruik altyd DTLS, want hierdie verbindings moet deur UDP hanteer word. In 'n domein met veelvuldige Cisco SD-WAN-beheerders, wanneer jy TLS op een van die Cisco SD-WAN-beheerders konfigureer, gebruik alle beheervlaktonnels van daardie beheerder na die ander beheerders TLS. Op 'n ander manier gesê, TLS geniet altyd voorrang bo DTLS. Uit die perspektief van die ander Cisco SD-WAN-beheerders, as jy nie TLS op hulle gekonfigureer het nie, gebruik hulle TLS op die beheervlaktonnel net vir daardie een Cisco SD-WAN-beheerder, en hulle gebruik DTLS-tonnels vir al die ander Cisco SD-WAN-beheerders en aan al hul gekoppelde routers. Om alle Cisco SD-WAN-beheerders TLS te laat gebruik, stel dit op almal op. By verstek luister die Cisco SD-WAN-beheerder op poort 23456 vir TLS-versoeke. Om dit te verander: vSmart(config)# sekuriteitsbeheer tls-poortnommer Die poort kan 'n nommer van 1025 tot 65535 wees. Om beheervlaksekuriteitinligting te vertoon, gebruik die wys beheerverbindings-opdrag op die Cisco SD-WAN-beheerder. Byvoorbeeldample: vSmart-2# wys beheerverbindings

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Konfigureer DTLS in Cisco SD-WAN Manager

As jy die Cisco SD-WAN Bestuurder instel om TLS as die beheervlak-sekuriteitsprotokol te gebruik, moet jy poortaanstuur op jou NAT aktiveer. As jy DTLS as die beheervliegtuigsekuriteitsprotokol gebruik, hoef jy niks te doen nie. Die aantal poorte wat aangestuur word, hang af van die aantal vdaemon-prosesse wat op die Cisco SD-WAN Bestuurder loop. Om inligting oor hierdie prosesse en oor en die aantal poorte wat aangestuur word te vertoon, gebruik die wys kontrole opsomming opdrag wys dat vier daemon prosesse loop:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Om die luisterpoorte te sien, gebruik die show control local-properties-opdrag: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Hierdie uitset wys dat die luisterende TCP-poort 23456 is. As jy Cisco SD-WAN Bestuurder agter 'n NAT gebruik, moet jy die volgende poorte op die NAT-toestel oopmaak:

  • 23456 (basis – instansie 0 poort)
  • 23456 + 100 (basis + 100)
  • 23456 + 200 (basis + 200)
  • 23456 + 300 (basis + 300)

Let daarop dat die aantal gevalle dieselfde is as die aantal kerns wat jy vir die Cisco SD-WAN Bestuurder toegewys het, tot 'n maksimum van 8.

Stel sekuriteitsparameters op deur die sekuriteitsfunksiesjabloon te gebruik

Gebruik die sekuriteitsfunksiesjabloon vir alle Cisco vEdge-toestelle. Gebruik hierdie sjabloon op die randrouters en op die Cisco SD-WAN Validator om IPsec vir datavliegtuigsekuriteit op te stel. Op Cisco SD-WAN Bestuurder en Cisco SD-WAN-beheerder, gebruik die Sekuriteitskenmerksjabloon om DTLS of TLS vir beheervliegtuigsekuriteit op te stel.

Stel sekuriteitsparameters op

  1. Kies Configuration > Templates in die Cisco SD-WAN Manager-kieslys.
  2. Klik op Feature Templates en klik dan Voeg Template by.
    Let wel In Cisco vManage Release 20.7.1 en vroeër vrystellings word Feature Templates Feature genoem.
  3. Kies 'n toestel uit die toestellelys in die linkerpaneel. Die sjablone van toepassing op die geselekteerde toestel verskyn in die regter paneel.
  4. Klik Sekuriteit om die sjabloon oop te maak.
  5. In die Sjabloonnaam-veld, voer 'n naam vir die sjabloon in. Die naam kan tot 128 karakters wees en kan slegs alfanumeriese karakters bevat.
  6. In die Sjabloonbeskrywing-veld, voer 'n beskrywing van die sjabloon in. Die beskrywing kan tot 2048 karakters wees en kan slegs alfanumeriese karakters bevat.

Wanneer jy die eerste keer 'n kenmerksjabloon oopmaak, vir elke parameter wat 'n verstekwaarde het, word die omvang op Verstek gestel (aangedui deur 'n regmerkie), en die verstekinstelling of -waarde word gewys. Om die verstek te verander of om 'n waarde in te voer, klik die omvang-aftrekkieslys aan die linkerkant van die parameterveld en kies een van die volgende:

Tabel 1:

Parameter Omvang Omvang Beskrywing
Toestelspesifiek (aangedui deur 'n gasheerikoon) Gebruik 'n toestelspesifieke waarde vir die parameter. Vir toestelspesifieke parameters kan jy nie 'n waarde in die kenmerksjabloon invoer nie. Jy voer die waarde in wanneer jy 'n Viptela-toestel aan 'n toestelsjabloon heg.

Wanneer jy op Toestelspesifiek klik, word die Enter Key-boks oopgemaak. Hierdie blokkie vertoon 'n sleutel, wat 'n unieke string is wat die parameter in 'n CSV identifiseer file wat jy skep. Hierdie file is 'n Excel-sigblad wat een kolom vir elke sleutel bevat. Die kopry bevat die sleutelname (een sleutel per kolom), en elke ry daarna stem ooreen met 'n toestel en definieer die waardes van die sleutels vir daardie toestel. Jy laai die CSV op file wanneer jy 'n Viptela-toestel aan 'n toestelsjabloon heg. Vir meer inligting, sien Skep 'n sjabloonveranderlike sigblad.

Om die versteksleutel te verander, tik 'n nuwe string en beweeg die wyser uit die Enter Key-boks.

ExampLese van toestelspesifieke parameters is stelsel IP-adres, gasheernaam, GPS-ligging en werf-ID.
Parameter Omvang Omvang Beskrywing
Globaal (aangedui deur 'n aardbol-ikoon) Voer 'n waarde vir die parameter in en pas daardie waarde toe op alle toestelle.

ExampDie parameters wat u wêreldwyd op 'n groep toestelle kan toepas, is DNS-bediener, syslog-bediener en koppelvlak-MTU's.

Stel Control Plane Security op

Let wel
Die Configure Control Plane Security-afdeling is slegs van toepassing op die Cisco SD-WAN-bestuurder en Cisco SD-WAN-beheerder. Om die beheervlakverbindingsprotokol op 'n Cisco SD-WAN Manager-instansie of 'n Cisco SD-WAN-beheerder op te stel, kies die Basiese konfigurasie-area en stel die volgende parameters op:

Tabel 2:

Parameter Naam Beskrywing
Protokol Kies die protokol om te gebruik op beheervlakverbindings met 'n Cisco SD-WAN-beheerder:

• DTLS (Datagram Transport Layer Security). Dit is die verstek.

• TLS (Transport Layer Security)
Beheer TLS-poort As jy TLS gekies het, stel die poortnommer op om te gebruik:Reeks: 1025 tot 65535Verstek: 23456

Klik Stoor

Stel Data Plane Security op
Om datavliegveiligheid op 'n Cisco SD-WAN Validator of 'n Cisco vEdge-roeteerder op te stel, kies die Basiese konfigurasie- en Verifikasietipe-oortjies en stel die volgende parameters op:

Tabel 3:

Parameter Naam Beskrywing
Hersleutel tyd Spesifiseer hoe gereeld 'n Cisco vEdge-roeteerder die AES-sleutel wat op sy veilige DTLS-verbinding gebruik word, na die Cisco SD-WAN-beheerder verander. As OMP grasieuse herbegin geaktiveer is, moet die hersleuteltyd ten minste twee keer die waarde van die OMP grasieuse herbegintydteller wees.Reeks: 10 tot 1209600 sekondes (14 dae)Verstek: 86400 sekondes (24 uur)
Herspeel venster Spesifiseer die grootte van die gly-weerspeelvenster.

Waardes: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakkiesVerstek: 512 pakkies
IPsec

paarsgewys-sleuteling

 Dit is by verstek afgeskakel. Klik On om dit aan te skakel.
Parameter Naam Beskrywing
Verifikasie tipe Kies die verifikasie tipes uit die Stawing Lys, en klik op die pyltjie wat regs wys om die verifikasietipes na die Geselekteerde lys kolom.

Verifikasietipes ondersteun vanaf Cisco SD-WAN Release 20.6.1:

•  esp: Aktiveer Encapsulating Security Payload (ESP)-enkripsie en integriteitkontrolering op die ESP-kopskrif.

•  ip-udp-esp: Aktiveer ESP-enkripsie. Benewens die integriteitkontroles op die ESP-opskrif en loonvrag, sluit die kontroles ook die buitenste IP- en UDP-opskrifte in.

•  ip-udp-esp-geen-ID: Ignoreer die ID-veld in die IP-kopskrif sodat Cisco Catalyst SD-WAN in samewerking met nie-Cisco-toestelle kan werk.

•  geen: Skakel integriteitkontrolering af op IPSec-pakkies. Ons beveel nie aan om hierdie opsie te gebruik nie.

 

Verifikasietipes wat in Cisco SD-WAN-vrystelling 20.5.1 en vroeër ondersteun word:

•  ah-nee-id: Aktiveer 'n verbeterde weergawe van AH-SHA1 HMAC en ESP HMAC-SHA1 wat die ID-veld in die pakkie se buitenste IP-opskrif ignoreer.

•  ah-sha1-hmac: Aktiveer AH-SHA1 HMAC en ESP HMAC-SHA1.

•  geen: Kies geen verifikasie nie.

•  sha1-hmac: Aktiveer ESP HMAC-SHA1.

 

Let wel              Vir 'n randtoestel wat op Cisco SD-WAN-vrystelling 20.5.1 of vroeër loop, het u moontlik verifikasietipes gekonfigureer deur 'n Sekuriteit sjabloon. Wanneer jy die toestel opgradeer na Cisco SD-WAN Release 20.6.1 of later, dateer die geselekteerde verifikasietipes op in die Sekuriteit sjabloon na die verifikasietipes wat deur Cisco SD-WAN Release 20.6.1 ondersteun word. Om die verifikasietipes op te dateer, doen die volgende:

1.      Kies uit die Cisco SD-WAN Bestuurder-kieslys Konfigurasie >

Sjablone.

2.      Klik Funksie sjablone.

3.      Vind die Sekuriteit sjabloon om op te dateer en klik … en klik Wysig.

4.      Klik Dateer op. Moenie enige konfigurasie verander nie.

Cisco SD-WAN Bestuurder werk die Sekuriteit sjabloon om die ondersteunde verifikasietipes te vertoon.

Klik op Stoor.

Stel Data Plane Security Parameters op

In die datavlak is IPsec by verstek op alle roeteerders geaktiveer, en by verstek gebruik IPsec-tonnelverbindings 'n verbeterde weergawe van die Encapsulating Security Payload (ESP) protokol vir verifikasie op IPsec-tonnels. Op die routers kan jy die tipe stawing, die IPsec-hersleuteltydteller en die grootte van die IPsec-anti-herhalingsvenster verander.

Stel toegelate verifikasietipes op

Verifikasietipes in Cisco SD-WAN-vrystelling 20.6.1 en later
Vanaf Cisco SD-WAN Release 20.6.1 word die volgende integriteittipes ondersteun:

  • esp: Hierdie opsie aktiveer Encapsulating Security Payload (ESP) enkripsie en integriteitkontrolering op die ESP-kopskrif.
  • ip-udp-esp: Hierdie opsie aktiveer ESP-enkripsie. Benewens die integriteitkontroles op die ESP-opskrif en die loonvrag, sluit die kontroles ook die buitenste IP- en UDP-opskrifte in.
  • ip-udp-esp-no-id: Hierdie opsie is soortgelyk aan ip-udp-esp, maar die ID-veld van die buitenste IP-opskrif word geïgnoreer. Stel hierdie opsie in die lys van integriteittipes op sodat die Cisco Catalyst SD-WAN-sagteware die ID-veld in die IP-kopskrif ignoreer sodat die Cisco Catalyst SD-WAN in samewerking met nie-Cisco-toestelle kan werk.
  • geen: Hierdie opsie skakel integriteitkontrolering af op IPSec-pakkies. Ons beveel nie aan om hierdie opsie te gebruik nie.

By verstek gebruik IPsec tonnelverbindings 'n verbeterde weergawe van die Encapsulating Security Payload (ESP) protokol vir verifikasie. Om die onderhandelde interiteittipes te wysig of om integriteitkontrole te deaktiveer, gebruik die volgende opdrag: integrity-type { geen | ip-udp-esp | ip-udp-esp-no-id | esp }

Verifikasietipes voor Cisco SD-WAN-vrystelling 20.6.1
By verstek gebruik IPsec tonnelverbindings 'n verbeterde weergawe van die Encapsulating Security Payload (ESP) protokol vir verifikasie. Gebruik die volgende opdrag om die onderhandelde verifikasietipes te wysig of om verifikasie te deaktiveer: Device(config)# security ipsec verifikasie-tipe (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) By verstek, IPsec tonnelverbindings gebruik AES-GCM-256, wat beide enkripsie en verifikasie bied. Konfigureer elke verifikasie tipe met 'n aparte sekuriteit ipsec verifikasie-tipe opdrag. Die opdragopsies word toegewys aan die volgende verifikasietipes, wat in volgorde van die sterkste tot die minste sterk gelys word:

Let wel
Die sha1 in die konfigurasie-opsies word vir historiese redes gebruik. Die verifikasie-opsies dui aan hoeveel van die pakkie-integriteitkontrolering gedoen word. Hulle spesifiseer nie die algoritme wat die integriteit kontroleer nie. Behalwe vir die enkripsie van multicast-verkeer, gebruik die verifikasiealgoritmes wat deur Cisco Catalyst SD WAN ondersteun word nie SHA1 nie. In Cisco SD-WAN Release 20.1.x en verder gebruik beide unicast en multicast egter nie SHA1 nie.

  • ah-sha1-hmac maak enkripsie en inkapseling moontlik met behulp van ESP. Benewens die integriteitkontroles op die ESP-opskrif en loonvrag, sluit die kontroles egter ook die buitenste IP- en UDP-opskrifte in. Daarom ondersteun hierdie opsie 'n integriteitskontrole van die pakkie soortgelyk aan die Authentication Header (AH) protokol. Alle integriteit en enkripsie word uitgevoer met behulp van AES-256-GCM.
  • ah-no-id aktiveer 'n modus wat soortgelyk is aan ah-sha1-hmac, maar die ID-veld van die buitenste IP-opskrif word geïgnoreer. Hierdie opsie akkommodeer sommige nie-Cisco Catalyst SD-WAN-toestelle, insluitend die Apple AirPort Express NAT, wat 'n fout het wat veroorsaak dat die ID-veld in die IP-opskrif, 'n nie-veranderbare veld, gewysig word. Konfigureer die ah-no-id-opsie in die lys van verifikasietipes om die Cisco Catalyst SD-WAN AH-sagteware die ID-veld in die IP-kopskrif te ignoreer sodat die Cisco Catalyst SD-WAN-sagteware in samewerking met hierdie toestelle kan werk.
  • sha1-hmac maak ESP-enkripsie en integriteitkontrolering moontlik.
  • geen kaarte tot geen verifikasie nie. Hierdie opsie moet slegs gebruik word as dit nodig is vir tydelike ontfouting. U kan ook hierdie opsie kies in situasies waar datavliegtuigverifikasie en integriteit nie 'n bekommernis is nie. Cisco beveel nie aan om hierdie opsie vir produksienetwerke te gebruik nie.

Vir inligting oor watter datapakkievelde deur hierdie verifikasietipes geraak word, sien Dataplane-integriteit. Cisco IOS XE Catalyst SD-WAN-toestelle en Cisco vEdge-toestelle adverteer hul gekonfigureerde verifikasietipes in hul TLOC-eienskappe. Die twee roeteerders aan weerskante van 'n IPsec-tonnelverbinding onderhandel die verifikasie om op die verbinding tussen hulle te gebruik, deur die sterkste verifikasietipe te gebruik wat op beide die roeteerders opgestel is. Byvoorbeeldample, as een router die ah-sha1-hmac en ah-no-id tipes adverteer, en 'n tweede router adverteer die ah-no-id tipe, onderhandel die twee routers om ah-no-id te gebruik op die IPsec tonnelverbinding tussen hulle. As geen algemene verifikasietipes op die twee eweknieë opgestel is nie, word geen IPsec-tonnel tussen hulle gevestig nie. Die enkripsie-algoritme op IPsec-tonnelverbindings hang af van die tipe verkeer:

  • Vir unicast-verkeer is die enkripsie-algoritme AES-256-GCM.
  • Vir multicast-verkeer:
  • Cisco SD-WAN-vrystelling 20.1.x en later – die enkripsie-algoritme is AES-256-GCM
  • Vorige vrystellings - die enkripsie-algoritme is AES-256-CBC met SHA1-HMAC.

Wanneer die IPsec-verifikasietipe verander word, word die AES-sleutel vir die datapad verander.

Verander die hersleutel-afteller

Voordat Cisco IOS XE Catalyst SD-WAN-toestelle en Cisco vEdge-toestelle dataverkeer kan uitruil, stel hulle 'n veilige geverifieerde kommunikasiekanaal tussen hulle op. Die routers gebruik IPSec-tonnels tussen hulle as die kanaal, en die AES-256-syfer om enkripsie uit te voer. Elke router genereer periodiek 'n nuwe AES-sleutel vir sy datapad. By verstek is 'n sleutel geldig vir 86400 sekondes (24 uur), en die timerreeks is 10 sekondes tot 1209600 sekondes (14 dae). Om die hersleutel timerwaarde te verander: Device(config)# sekuriteit ipsec hersleutel sekondes Die konfigurasie lyk soos volg:

  • sekuriteit ipsec hersleutel sekondes!

As jy dadelik nuwe IPsec-sleutels wil genereer, kan jy dit doen sonder om die konfigurasie van die router te verander. Om dit te doen, reik die versoek sekuriteit ipsecrekey opdrag op die gekompromitteerde router uit. Byvoorbeeldample, die volgende uitset toon dat die plaaslike SA 'n Sekuriteitsparameterindeks (SPI) van 256 het:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

'n Unieke sleutel word met elke SPI geassosieer. As hierdie sleutel gekompromitteer is, gebruik die versoek sekuriteit ipsec-rekey opdrag om onmiddellik 'n nuwe sleutel te genereer. Hierdie opdrag verhoog die SPI. In ons example, die SPI verander na 257 en die sleutel wat daarmee geassosieer word, word nou gebruik:

  • Toestel# versoek sekuriteit ipsecrekey
  • Toestel# wys ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Nadat die nuwe sleutel gegenereer is, stuur die router dit onmiddellik na die Cisco SD-WAN-beheerders met DTLS of TLS. Die Cisco SD-WAN-beheerders stuur die sleutel na die eweknie-routers. Die routers begin dit gebruik sodra hulle dit ontvang. Let daarop dat die sleutel wat met die ou SPI (256) geassosieer word, vir 'n kort tydjie gebruik sal word totdat dit uittel. Om onmiddellik op te hou om die ou sleutel te gebruik, reik die versoek sekuriteit ipsec-rekey opdrag twee keer, vinnig agtereenvolgens uit. Hierdie volgorde van opdragte verwyder beide SPI 256 en 257 en stel die SPI op 258. Die roeteerder gebruik dan die geassosieerde sleutel van SPI 258. Let egter daarop dat sommige pakkies vir 'n kort tydperk laat val sal word totdat al die afgeleë roeteerders leer die nuwe sleutel.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Verander die grootte van die anti-herhalingsvenster

IPsec-verifikasie bied beskerming teen herhaling deur 'n unieke volgordenommer aan elke pakkie in 'n datastroom toe te ken. Hierdie volgordenommering beskerm teen 'n aanvaller wat datapakkies dupliseer. Met anti-herhalingsbeskerming, ken die sender monotoon toenemende volgordenommers toe, en die bestemming kontroleer hierdie volgordenommers om duplikate op te spoor. Omdat pakkies dikwels nie in orde kom nie, handhaaf die bestemming 'n skuifvenster van rynommers wat dit sal aanvaar.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Pakkies met rynommers wat aan die linkerkant van die skuifvensterreeks val, word as oud of duplikate beskou, en die bestemming laat hulle weg. Die bestemming volg die hoogste volgordenommer wat dit ontvang het, en pas die skuifvenster aan wanneer dit 'n pakkie met 'n hoër waarde ontvang.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

By verstek is die skuifvenster op 512 pakkies gestel. Dit kan op enige waarde tussen 64 en 4096 gestel word wat 'n mag van 2 is (dit is 64, 128, 256, 512, 1024, 2048 of 4096). Om die grootte van die venster teen herhaling te verander, gebruik die herhalingsvenster-opdrag, wat die grootte van die venster spesifiseer:

Toestel (config) # sekuriteit ipsec herspeel-venster nommer

Die konfigurasie lyk soos volg:
sekuriteit ipsec herhaling-venster nommer! !

Om met QoS te help, word aparte herspeelvensters vir elk van die eerste agt verkeerskanale gehandhaaf. Die gekonfigureerde herspeelvenstergrootte word vir elke kanaal deur agt gedeel. As QoS op 'n roeteerder gekonfigureer is, kan daardie roeteerder 'n groter as verwagte aantal pakkiedalings ervaar as gevolg van die IPsec-anti-herhalingsmeganisme, en baie van die pakkies wat weggelaat word, is wettige. Dit gebeur omdat QoS pakkies herbestel, wat pakkies met 'n hoër prioriteit voorkeurbehandeling gee en laer-prioriteit pakkies vertraag. Om hierdie situasie te verminder of te voorkom, kan jy die volgende doen:

  • Verhoog die grootte van die anti-herhalingsvenster.
  • Ingenieursverkeer op die eerste agt verkeerskanale om te verseker dat verkeer binne 'n kanaal nie herrangskik word nie.

Stel IKE-geaktiveerde IPsec-tonnels op
Om verkeer veilig vanaf die oorlegnetwerk na 'n diensnetwerk oor te dra, kan jy IPsec-tonnels opstel wat die Internet Key Exchange (IKE)-protokol bestuur. IKE-geaktiveerde IPsec-tonnels bied verifikasie en enkripsie om veilige pakkievervoer te verseker. Jy skep 'n IKE-geaktiveerde IPsec-tonnel deur 'n IPsec-koppelvlak op te stel. IPsec-koppelvlakke is logiese koppelvlakke, en jy konfigureer dit net soos enige ander fisiese koppelvlak. U konfigureer IKE-protokolparameters op die IPsec-koppelvlak, en u kan ander koppelvlak-eienskappe instel.

Let wel Cisco beveel aan om IKE-weergawe 2 te gebruik. Vanaf Cisco SD-WAN 19.2.x-vrystelling en verder, moet die voorafgedeelde sleutel minstens 16 grepe lank wees. Die IPsec-tonnelvestiging misluk as die sleutelgrootte minder as 16 karakters is wanneer die roeteerder na weergawe 19.2 opgegradeer word.

Let wel
Die Cisco Catalyst SD-WAN-sagteware ondersteun IKE Weergawe 2 soos omskryf in RFC 7296. Een gebruik vir IPsec-tonnels is om vEdge Cloud-router VM-instansies wat op Amazon AWS loop, toe te laat om aan die Amazon virtuele private wolk (VPC) te koppel. Jy moet IKE Weergawe 1 op hierdie routers konfigureer. Cisco vEdge-toestelle ondersteun slegs roete-gebaseerde VPN's in 'n IPSec-konfigurasie omdat hierdie toestelle nie verkeerselektors in die enkripsiedomein kan definieer nie.

Stel 'n IPsec-tonnel op
Om 'n IPsec-tonnelkoppelvlak op te stel vir veilige vervoerverkeer vanaf 'n diensnetwerk, skep jy 'n logiese IPsec-koppelvlak:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Jy kan die IPsec-tonnel skep in die vervoer-VPN (VPN 0) en in enige diens-VPN (VPN 1 tot 65530, behalwe vir 512). Die IPsec-koppelvlak het 'n naam in die formaat ipsecnumber, waar die nommer van 1 tot 255 kan wees. Elke IPsec-koppelvlak moet 'n IPv4-adres hê. Hierdie adres moet 'n /30 voorvoegsel wees. Alle verkeer in die VPN wat binne hierdie IPv4-voorvoegsel is, word na 'n fisiese koppelvlak in VPN 0 gerig om veilig oor 'n IPsec-tonnel gestuur te word. Om die bron van die IPsec-tonnel op die plaaslike toestel te konfigureer, kan jy óf die IP-adres van spesifiseer die fisiese koppelvlak (in die tonnel-bron-opdrag) of die naam van die fisiese koppelvlak (in die tonnel-bron-koppelvlak-opdrag). Maak seker dat die fisiese koppelvlak in VPN 0 opgestel is. Om die bestemming van die IPsec-tonnel op te stel, spesifiseer die IP-adres van die afgeleë toestel in die tonnel-bestemming-opdrag. Die kombinasie van 'n bronadres (of bronkoppelvlaknaam) en 'n bestemmingsadres definieer 'n enkele IPsec-tonnel. Slegs een IPsec-tonnel kan bestaan ​​wat 'n spesifieke bronadres (of koppelvlaknaam) en bestemmingsadrespaar gebruik.

Stel 'n IPsec statiese roete op

Om verkeer vanaf die diens-VPN na 'n IPsec-tonnel in die vervoer-VPN (VPN 0) te lei, konfigureer u 'n IPsec-spesifieke statiese roete in 'n diens-VPN ('n VPN anders as VPN 0 of VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-roete voorvoegsel/lengte vpn 0-koppelvlak
  • ipsecnumber [ipsecnumber2]

Die VPN-ID is dié van enige diens-VPN (VPN 1 tot 65530, behalwe vir 512). voorvoegsel/lengte is die IP-adres of voorvoegsel, in desimale vierdelige gestippelde notasie, en voorvoegsellengte van die IPsec-spesifieke statiese roete. Die koppelvlak is die IPsec tonnel koppelvlak in VPN 0. Jy kan een of twee IPsec tonnel koppelvlakke instel. As jy twee konfigureer, is die eerste die primêre IPsec-tonnel, en die tweede is die rugsteun. Met twee koppelvlakke word alle pakkies slegs na die primêre tonnel gestuur. As daardie tonnel misluk, word alle pakkies dan na die sekondêre tonnel gestuur. As die primêre tonnel terugkom, word alle verkeer teruggeskuif na die primêre IPsec-tonnel.

Aktiveer IKE weergawe 1
Wanneer jy 'n IPsec-tonnel op 'n vEdge-roeteerder skep, is IKE Weergawe 1 by verstek op die tonnelkoppelvlak geaktiveer. Die volgende eienskappe is ook by verstek vir IKEv1 geaktiveer:

  • Stawing en enkripsie—AES-256 gevorderde enkripsie standaard CBC enkripsie met die HMAC-SHA1 sleutel-hash boodskap verifikasie kode algoritme vir integriteit
  • Diffie-Hellman groepnommer—16
  • Hersleutel tydinterval—4 uur
  • SA vestigingsmodus—Hoof

By verstek gebruik IKEv1 IKE-hoofmodus om IKE SA's te vestig. In hierdie modus word ses onderhandelingspakkette uitgeruil om die SA te vestig. Aktiveer aggressiewe modus om slegs drie onderhandelingspakkies uit te ruil:

Let wel
IKE aggressiewe modus met vooraf gedeelde sleutels moet waar moontlik vermy word. Andersins moet 'n sterk vooraf-gedeelde sleutel gekies word.

  • vEdge(config)# vpn vpn-ID koppelvlak ipsec nommer ike
  • vEdge(config-ike)# modus aggressief

By verstek gebruik IKEv1 Diffie-Hellman-groep 16 in die IKE-sleuteluitruil. Hierdie groep gebruik die 4096-bis meer modulêre eksponensiële (MODP) groep tydens IKE sleuteluitruiling. Jy kan die groepnommer verander na 2 (vir 1024-bis MODP), 14 (2048-bis MODP), of 15 (3072-bis MODP):

  • vEdge(config)# vpn vpn-ID koppelvlak ipsec nommer ike
  • vEdge(config-ike)# groepnommer

By verstek gebruik IKE-sleuteluitruiling AES-256 gevorderde enkripsie-standaard CBC-enkripsie met die HMAC-SHA1-sleutel-hash-boodskap-verifikasiekode-algoritme vir integriteit. U kan die verifikasie verander:

  • vEdge(config)# vpn vpn-ID koppelvlak ipsec nommer ike
  • vEdge(config-ike)# cipher-suite suite

Die verifikasiepakket kan een van die volgende wees:

  • aes128-cbc-sha1—AES-128 gevorderde enkripsie standaard CBC enkripsie met die HMAC-SHA1 sleutel-hash boodskap verifikasie kode algoritme vir integriteit
  • aes128-cbc-sha2—AES-128 gevorderde enkripsie standaard CBC enkripsie met die HMAC-SHA256 sleutel-hash boodskap verifikasie kode algoritme vir integriteit
  • aes256-cbc-sha1—AES-256 gevorderde enkripsie standaard CBC enkripsie met die HMAC-SHA1 sleutel-hash boodskap verifikasie kode algoritme vir integriteit; dit is die verstek.
  • aes256-cbc-sha2—AES-256 gevorderde enkripsie standaard CBC enkripsie met die HMAC-SHA256 sleutel-hash boodskap verifikasie kode algoritme vir integriteit

By verstek word IKE-sleutels elke 1 uur (3600 sekondes) verfris. Jy kan die hersleutelinterval verander na 'n waarde van 30 sekondes tot 14 dae (1209600 sekondes). Dit word aanbeveel dat die hersleutelinterval ten minste 1 uur is.

  • vEdge(config)# vpn vpn-id koppelvlak ipsec nommer soos
  • vEdge(config-ike)# hersleutel sekondes

Om die generering van nuwe sleutels vir 'n IKE-sessie te dwing, reik die versoek ipsec ike-rekey opdrag uit.

  • vEdge(config)# vpn vpn-id interfaceipsec number ike

Vir IKE kan jy ook voorafgedeelde sleutel (PSK) verifikasie instel:

  • vEdge(config)# vpn vpn-ID koppelvlak ipsec nommer ike
  • vEdge(config-ike)# verifikasie-tipe pre-shared-key pre-shared-secret password password is die wagwoord om te gebruik met die voorafgedeelde sleutel. Dit kan 'n ASCII- of 'n heksadesimale string van 1 tot 127 karakters lank wees.

As die afgeleë IKE-eweknie 'n plaaslike of afgeleë ID vereis, kan jy hierdie identifiseerder opstel:

  • vEdge(config)# vpn vpn-ID koppelvlak ipsec nommer ike verifikasie-tipe
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Die identifiseerder kan 'n IP-adres of enige teksstring van 1 tot 63 karakters lank wees. By verstek is die plaaslike ID die tonnel se bron-IP-adres en die afgeleë ID is die tonnel se bestemmings-IP-adres.

Aktiveer IKE weergawe 2
Wanneer jy 'n IPsec-tonnel instel om IKE Weergawe 2 te gebruik, word die volgende eienskappe ook by verstek vir IKEv2 geaktiveer:

  • Stawing en enkripsie—AES-256 gevorderde enkripsie standaard CBC enkripsie met die HMAC-SHA1 sleutel-hash boodskap verifikasie kode algoritme vir integriteit
  • Diffie-Hellman groepnommer—16
  • Hersleutel tydinterval—4 uur

By verstek gebruik IKEv2 Diffie-Hellman-groep 16 in die IKE-sleuteluitruil. Hierdie groep gebruik die 4096-bis meer modulêre eksponensiële (MODP) groep tydens IKE sleuteluitruiling. Jy kan die groepnommer verander na 2 (vir 1024-bis MODP), 14 (2048-bis MODP), of 15 (3072-bis MODP):

  • vEdge(config)# vpn vpn-ID koppelvlak ipsecnumber ike
  • vEdge(config-ike)# groepnommer

By verstek gebruik IKE-sleuteluitruiling AES-256 gevorderde enkripsie-standaard CBC-enkripsie met die HMAC-SHA1-sleutel-hash-boodskap-verifikasiekode-algoritme vir integriteit. U kan die verifikasie verander:

  • vEdge(config)# vpn vpn-ID koppelvlak ipsecnumber ike
  • vEdge(config-ike)# cipher-suite suite

Die verifikasiepakket kan een van die volgende wees:

  • aes128-cbc-sha1—AES-128 gevorderde enkripsie standaard CBC enkripsie met die HMAC-SHA1 sleutel-hash boodskap verifikasie kode algoritme vir integriteit
  • aes128-cbc-sha2—AES-128 gevorderde enkripsie standaard CBC enkripsie met die HMAC-SHA256 sleutel-hash boodskap verifikasie kode algoritme vir integriteit
  • aes256-cbc-sha1—AES-256 gevorderde enkripsie standaard CBC enkripsie met die HMAC-SHA1 sleutel-hash boodskap verifikasie kode algoritme vir integriteit; dit is die verstek.
  • aes256-cbc-sha2—AES-256 gevorderde enkripsie standaard CBC enkripsie met die HMAC-SHA256 sleutel-hash boodskap verifikasie kode algoritme vir integriteit

By verstek word IKE-sleutels elke 4 uur (14,400 30 sekondes) verfris. Jy kan die hersleutelinterval verander na 'n waarde van 14 sekondes tot 1209600 dae (XNUMX sekondes):

  • vEdge(config)# vpn vpn-ID koppelvlak ipsecnumber ike
  • vEdge(config-ike)# hersleutel sekondes

Om die generering van nuwe sleutels vir 'n IKE-sessie te dwing, reik die versoek ipsec ike-rekey opdrag uit. Vir IKE kan jy ook voorafgedeelde sleutel (PSK) verifikasie instel:

  • vEdge(config)# vpn vpn-ID koppelvlak ipsecnumber ike
  • vEdge(config-ike)# verifikasie-tipe pre-shared-key pre-shared-secret password password is die wagwoord om te gebruik met die voorafgedeelde sleutel. Dit kan 'n ASCII- of 'n heksadesimale string wees, of dit kan 'n AES-geënkripteerde sleutel wees. As die afgeleë IKE-eweknie 'n plaaslike of afgeleë ID vereis, kan jy hierdie identifiseerder opstel:
  • vEdge(config)# vpn vpn-id koppelvlak ipsecnumber ie verifikasie-tipe
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Die identifiseerder kan 'n IP-adres of enige teksstring van 1 tot 64 karakters lank wees. By verstek is die plaaslike ID die tonnel se bron-IP-adres en die afgeleë ID is die tonnel se bestemmings-IP-adres.

Stel IPsec-tonnelparameters op

Tabel 4: Kenmerkgeskiedenis

Kenmerk Naam Vrystelling inligting Beskrywing
Bykomende kriptografiese Cisco SD-WAN-vrystelling 20.1.1 Hierdie kenmerk voeg ondersteuning by vir
Algoritmiese ondersteuning vir IPSec   HMAC_SHA256, HMAC_SHA384, en
Tonnels   HMAC_SHA512 algoritmes vir
    verbeterde sekuriteit.

By verstek word die volgende parameters gebruik op die IPsec-tonnel wat IKE-verkeer dra:

  • Stawing en enkripsie—AES-256-algoritme in GCM (Galois/toonbankmodus)
  • Hersleutelinterval - 4 uur
  • Herspeel venster—32 pakkies

U kan die enkripsie op die IPsec-tonnel na die AES-256-kode verander in CBC (gekodeerblokkettingmodus, met HMAC wat óf SHA-1 óf SHA-2 sleutel-hash-boodskapverifikasie gebruik of om met HMAC te nul te gebruik met óf SHA-1 óf SHA-2-sleutel-hash-boodskapverifikasie, om nie die IPsec-tonnel wat vir IKE-sleuteluitruilverkeer gebruik word te enkripteer nie:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1n | aes256-null-sha256n | | aes256-nul-sha384 | aes256-nul-sha512)

By verstek word IKE-sleutels elke 4 uur (14,400 30 sekondes) verfris. Jy kan die hersleutelinterval verander na 'n waarde van 14 sekondes tot 1209600 dae (XNUMX sekondes):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# hersleutel sekondes

Om die generering van nuwe sleutels vir 'n IPsec-tonnel te dwing, reik die versoek ipsec ipsec-rekey-opdrag uit. By verstek word perfekte voorwaartse geheimhouding (PFS) op IPsec-tonnels geaktiveer, om te verseker dat vorige sessies nie geraak word as toekomstige sleutels gekompromitteer word nie. PFS dwing 'n nuwe Diffie-Hellman-sleuteluitruiling af, by verstek deur die 4096-bis Diffie-Hellman-prima-modulegroep te gebruik. Jy kan die PFS-instelling verander:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfekte-vorentoe-geheim pfs-instelling

pfs-instelling kan een van die volgende wees:

  • groep-2—Gebruik die 1024-bis Diffie-Hellman prime modulus groep.
  • groep-14—Gebruik die 2048-bis Diffie-Hellman prime modulus groep.
  • groep-15—Gebruik die 3072-bis Diffie-Hellman prime modulus groep.
  • groep-16—Gebruik die 4096-bis Diffie-Hellman prime modulus groep. Dit is die verstek.
  • geen—Deaktiveer PFS.

By verstek is die IPsec-herspeelvenster op die IPsec-tonnel 512 grepe. U kan die herhalingsvenstergrootte op 64, 128, 256, 512, 1024, 2048 of 4096 pakkies stel:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# herspeelvensternommer

Verander IKE Dead-Peer Detection

IKE gebruik 'n dooie-eweknie-bespeuringsmeganisme om te bepaal of die verbinding met 'n IKE-eweknie funksioneel en bereikbaar is. Om hierdie meganisme te implementeer, stuur IKE 'n Hello-pakkie na sy eweknie, en die eweknie stuur 'n erkenning in reaksie. By verstek stuur IKE Hello-pakkies elke 10 sekondes, en na drie onbekende pakkies, verklaar IKE die buurman dood en skeur die tonnel af na die eweknie. Daarna stuur IKE periodiek 'n Hello-pakkie na die eweknie, en herstel die tonnel wanneer die eweknie weer aanlyn kom. Jy kan die lewendheidsbespeuringsinterval na 'n waarde van 0 tot 65535 verander, en jy kan die aantal herproberings na 'n waarde van 0 tot 255 verander.

Let wel

Vir vervoer-VPN's word die lewendheidsbespeuringsinterval na sekondes omgeskakel deur die volgende formule te gebruik: Interval vir heruitsendingpoging nommer N = interval * 1.8N-1Vir bv.ample, as die interval op 10 gestel is en weer probeer na 5, verhoog die opsporingsinterval soos volg:

  • Poging 1: 10 * 1.81-1= 10 sekondes
  • Poging 2: 10 * 1.82-1= 18 sekondes
  • Poging 3: 10 * 1.83-1= 32.4 sekondes
  • Poging 4: 10 * 1.84-1= 58.32 sekondes
  • Poging 5: 10 * 1.85-1= 104.976 sekondes

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval herprobes number

Stel ander koppelvlak-eienskappe op

Vir IPsec-tonnelkoppelvlakke kan u slegs die volgende bykomende koppelvlak-eienskappe konfigureer:

  • vEdge(config-interface-ipsec)# mtu-grepe
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Deaktiveer swak SSH-enkripsiealgoritmes op Cisco SD-WAN Bestuurder

Tabel 5: Kenmerkgeskiedenistabel

Kenmerk Naam Vrystelling inligting Kenmerk Beskrywing
Deaktiveer swak SSH-enkripsiealgoritmes op Cisco SD-WAN Bestuurder Cisco vManage-vrystelling 20.9.1 Hierdie kenmerk laat jou toe om swakker SSH-algoritmes op Cisco SD-WAN Bestuurder te deaktiveer wat dalk nie aan sekere datasekuriteitstandaarde voldoen nie.

Inligting oor die deaktivering van swak SSH-enkripsiealgoritmes op Cisco SD-WAN Bestuurder
Cisco SD-WAN Bestuurder verskaf 'n SSH-kliënt vir kommunikasie met komponente in die netwerk, insluitend beheerders en randtoestelle. Die SSH-kliënt bied 'n geënkripteerde verbinding vir veilige data-oordrag, gebaseer op 'n verskeidenheid enkripsie-algoritmes. Baie organisasies benodig sterker enkripsie as wat deur SHA-1, AES-128 en AES-192 verskaf word. Vanaf Cisco vManage Release 20.9.1 kan jy die volgende swakker enkripsiealgoritmes deaktiveer sodat 'n SSH-kliënt nie hierdie algoritmes gebruik nie:

  • SHA-1
  • AES-128
  • AES-192

Voordat u hierdie enkripsiealgoritmes deaktiveer, maak seker dat Cisco vEdge-toestelle, indien enige, in die netwerk 'n sagtewarevrystelling later as Cisco SD-WAN-vrystelling 18.4.6 gebruik.

Voordele om swak SSH-enkripsiealgoritmes uit te skakel op Cisco SD-WAN Bestuurder
Die deaktivering van swakker SSH-enkripsiealgoritmes verbeter die sekuriteit van SSH-kommunikasie, en verseker dat organisasies wat Cisco Catalyst SD-WAN gebruik, aan streng sekuriteitsregulasies voldoen.

Deaktiveer Swak SSH-enkripsiealgoritmes op Cisco SD-WAN Bestuurder met behulp van CLI

  1. Van die Cisco SD-WAN Bestuurder-kieslys, kies Tools > SSH Terminal.
  2. Kies die Cisco SD-WAN Bestuurder-toestel waarop jy swakker SSH-algoritmes wil deaktiveer.
  3. Voer die gebruikersnaam en wagwoord in om by die toestel aan te meld.
  4. Voer SSH-bedienermodus in.
    • vmanage(config)# stelsel
    • vmanage(config-stelsel)# ssh-bediener
  5. Doen een van die volgende om 'n SSH-enkripsiealgoritme te deaktiveer:
    • Deaktiveer SHA-1:
  6. bestuur (config-ssh-bediener) # geen kex-algo sha1
  7. bestuur (config-ssh-bediener) # pleeg
    Die volgende waarskuwingsboodskap word vertoon: Die volgende waarskuwings is gegenereer: 'system ssh-server kex-algo sha1': WAARSKUWING: Maak asseblief seker dat al jou rande kode weergawe > 18.4.6 loop wat beter as SHA1 met vManage onderhandel. Andersins kan daardie rande vanlyn word. Voortgaan? [ja, nee] ja
    • Maak seker dat enige Cisco vEdge-toestelle in die netwerk Cisco SD-WAN Release 18.4.6 of later gebruik en voer ja in.
    • Deaktiveer AES-128 en AES-192:
    • vmanage(config-ssh-bediener)# geen syfer aes-128-192
    • vmanage(config-ssh-bediener)# pleeg
      Die volgende waarskuwingsboodskap word vertoon:
      Die volgende waarskuwings is gegenereer:
      'system ssh-server cipher aes-128-192': WAARSKUWING: Maak asseblief seker dat al jou rande kode weergawe > 18.4.6 loop wat beter as AES-128-192 met vManage onderhandel. Andersins kan daardie rande vanlyn word. Voortgaan? [ja, nee] ja
    • Maak seker dat enige Cisco vEdge-toestelle in die netwerk Cisco SD-WAN Release 18.4.6 of later gebruik en voer ja in.

Verifieer dat swak SSH-koderingsalgoritmes op Cisco SD-WAN Bestuurder gedeaktiveer is deur die CLI te gebruik

  1. Van die Cisco SD-WAN Bestuurder-kieslys, kies Tools > SSH Terminal.
  2. Kies die Cisco SD-WAN Bestuurder-toestel wat jy wil verifieer.
  3. Voer die gebruikersnaam en wagwoord in om by die toestel aan te meld.
  4. Voer die volgende opdrag uit: show running-config system ssh-server
  5. Bevestig dat die uitvoer een of meer van die opdragte toon wat swakker enkripsiealgoritmes deaktiveer:
    • geen syfer aes-128-192 nie
    • geen kex-algo sha1

Dokumente / Hulpbronne

CISCO SD-WAN Konfigureer sekuriteitsparameters [pdf] Gebruikersgids
SD-WAN Konfigureer sekuriteitsparameters, SD-WAN, konfigureer sekuriteitsparameters, sekuriteitsparameters

Verwysings

Los 'n opmerking

Jou e-posadres sal nie gepubliseer word nie. Vereiste velde is gemerk *