CISCO SD-WAN የደህንነት መለኪያዎች የተጠቃሚ መመሪያን ያዋቅሩ

ማቅለልን እና ወጥነትን ለማግኘት፣ የCisco SD-WAN መፍትሄ እንደ ሲስኮ ካታሊስት ኤስዲ-WAN ተቀይሯል። በተጨማሪም፣ ከሲስኮ IOS XE SD-WAN መለቀቅ 17.12.1a እና Cisco Catalyst SD-WAN መለቀቅ 20.12.1፣ የሚከተሉት የአካል ክፍሎች ለውጦች ተፈጻሚ ይሆናሉ፡ Cisco vManage to Cisco Catalyst SD-WAN Manager፣ Cisco vAnalytics to Cisco Catalyst SD-WAN ትንታኔ፣ Cisco vBond ወደ Cisco Catalyst SD-WAN Validator፣ እና Cisco vSmart ለ Cisco Catalyst SD-WAN መቆጣጠሪያ። የሁሉም የምርት ስም ለውጦች አጠቃላይ ዝርዝር የቅርብ ጊዜውን የመልቀቂያ ማስታወሻ ይመልከቱ። ወደ አዲሶቹ ስሞች ስንሸጋገር፣ የሶፍትዌር ምርቱ የተጠቃሚ በይነገጽ ማሻሻያ ሂደት ደረጃ ስላለው አንዳንድ አለመጣጣሞች በሰነድ ስብስብ ውስጥ ሊኖሩ ይችላሉ።

ይህ ክፍል በሲስኮ ካታሊስት ኤስዲ-ዋን ተደራቢ አውታረመረብ ውስጥ ለቁጥጥር አውሮፕላኑ እና ለዳታ አውሮፕላኑ የደህንነት መለኪያዎችን እንዴት መቀየር እንደሚቻል ይገልጻል።

የመቆጣጠሪያ አውሮፕላን ደህንነት መለኪያዎችን አዋቅር፣ በርቷል።

የውሂብ አውሮፕላን ደህንነት መለኪያዎችን አዋቅር፣ በርቷል።
በ IKE የነቁ IPsec Tunnels ያዋቅሩ፣ በርቷል።

ደካማ የኤስኤስኤች ምስጠራ አልጎሪዝምን በሲስኮ ኤስዲ-ዋን አቀናባሪ አሰናክል፣ በርቷል።

የመቆጣጠሪያ አውሮፕላን ደህንነት መለኪያዎችን ያዋቅሩ

በነባሪ፣ የመቆጣጠሪያው አውሮፕላኑ DTLSን እንደ ፕሮቶኮል በሁሉም ዋሻዎች ላይ ግላዊነትን ይሰጣል። DTLS በ UDP ላይ ይሰራል። የመቆጣጠሪያ አውሮፕላን ደህንነት ፕሮቶኮሉን ወደ TLS መቀየር ትችላለህ፣ እሱም በTCP ላይ ይሰራል። TLSን ለመጠቀም ዋናው ምክንያት የCisco SD-WAN Controller እንደ አገልጋይ ከቆጠሩት ፋየርዎል የ TCP አገልጋዮችን ከ UDP አገልጋዮች በተሻለ ይጠብቃል። የመቆጣጠሪያ አውሮፕላን ዋሻ ፕሮቶኮልን በሲስኮ ኤስዲ-ዋን መቆጣጠሪያ ላይ ያዋቅራሉ፡ vSmart(config)# የደህንነት መቆጣጠሪያ ፕሮቶኮል tls በዚህ ለውጥ ሁሉም በሲስኮ SD-WAN መቆጣጠሪያ እና በራውተሮች መካከል እና በሲስኮ SD-WAN መቆጣጠሪያ መካከል ያሉ የአውሮፕላን ዋሻዎች ይቆጣጠራሉ። እና Cisco SD-WAN አስተዳዳሪ TLS ይጠቀማሉ። የመቆጣጠሪያ አውሮፕላን ዋሻዎች ወደ Cisco Catalyst SD-WAN Validator ሁልጊዜ DTLS ን ይጠቀማሉ፣ ምክንያቱም እነዚህ ግንኙነቶች በUDP መያያዝ አለባቸው። ብዙ የሲስኮ ኤስዲ-ዋን ተቆጣጣሪዎች ባሉበት ጎራ ውስጥ፣ TLS ን ከሲስኮ SD-WAN ተቆጣጣሪዎች በአንዱ ላይ ሲያዋቅሩ፣ ከዚያ መቆጣጠሪያ ወደ ሌሎች ተቆጣጣሪዎች የሚቆጣጠሩት ሁሉም የአውሮፕላን ዋሻዎች TLS ይጠቀማሉ። በሌላ መንገድ፣ TLS ሁልጊዜ ከDTLS ይቀድማል። ነገር ግን፣ ከሌሎቹ የሲስኮ ኤስዲ-ዋን ተቆጣጣሪዎች አንፃር፣ TLS ን በእነሱ ላይ ካላዋቀሩ፣ በመቆጣጠሪያ አውሮፕላን ዋሻ ላይ TLS ን የሚጠቀሙት ለዚያ የሲስኮ ኤስዲ-ዋን መቆጣጠሪያ ብቻ ነው፣ እና የዲቲኤልኤስ ዋሻዎችን ወደሌሎቹ ሁሉ ይጠቀማሉ። Cisco SD-WAN ተቆጣጣሪዎች እና ለሁሉም የተገናኙ ራውተሮቻቸው። ሁሉም Cisco SD-WAN Controllers TLS ን ለመጠቀም፣ በሁሉም ላይ ያዋቅሩት። በነባሪ፣ የCisco SD-WAN Controller ለTLS ጥያቄዎች በፖርት 23456 ያዳምጣል። ይህንን ለመቀየር፡ vSmart(config)# security control tls-port number ወደቡ ከ1025 እስከ 65535 የሆነ ቁጥር ሊሆን ይችላል።የቁጥጥር አውሮፕላን ደህንነት መረጃን ለማሳየት በሲስኮ ኤስዲ-ዋን መቆጣጠሪያ ላይ ያለውን የሾው መቆጣጠሪያ ግንኙነቶችን ይጠቀሙ። ለ example: vSmart-2# የመቆጣጠሪያ ግንኙነቶችን አሳይ

በሲስኮ SD-WAN አስተዳዳሪ ውስጥ DTLS ያዋቅሩ

የCisco SD-WAN Manager TLSን እንደ መቆጣጠሪያ አውሮፕላን ደህንነት ፕሮቶኮል እንዲጠቀም ካዋቀሩት በ NAT ላይ ወደብ ማስተላለፍን ማንቃት አለቦት። DTLS እንደ መቆጣጠሪያ አውሮፕላን ደህንነት ፕሮቶኮል እየተጠቀሙ ከሆነ ምንም ማድረግ አያስፈልግዎትም። የተላለፉ ወደቦች ብዛት በሲስኮ ኤስዲ-ዋን አስተዳዳሪ ላይ በሚሰሩ የvdaemon ሂደቶች ብዛት ይወሰናል። ስለእነዚህ ሂደቶች እና ስለሚተላለፉ ወደቦች ብዛት መረጃን ለማሳየት ፣የማሳያ መቆጣጠሪያ ማጠቃለያ ትዕዛዙን ተጠቀም አራት የዴሞን ሂደቶች እየሄዱ መሆናቸውን ያሳያል።

የማዳመጫ ወደቦችን ለማየት፣ የትዕይንት ቁጥጥር የአካባቢ-ንብረቶች ትዕዛዙን ይጠቀሙ፡- vManage# አሳይ ቁጥጥር የአካባቢ-ንብረቶች

ይህ ውፅዓት የሚያሳየው የሚያዳምጠው TCP ወደብ 23456 ነው።ሲስኮ ኤስዲ-ዋን ማኔጀርን ከ NAT ጀርባ እያሄዱ ከሆነ በ NAT መሳሪያ ላይ የሚከተሉትን ወደቦች መክፈት አለቦት።

23456 (መሰረት - ለምሳሌ 0 ወደብ)

23456 + 100 (መሰረት + 100)
23456 + 200 (መሰረት + 200)

23456 + 300 (መሰረት + 300)

የሁኔታዎች ብዛት ለሲስኮ ኤስዲ-ዋን ማናጀር ከመደቡት የኮሮች ብዛት ጋር አንድ አይነት መሆኑን፣ ቢበዛ 8 ነው።

የደህንነት ባህሪ አብነት በመጠቀም የደህንነት መለኪያዎችን ያዋቅሩ

ለሁሉም Cisco vEdge መሳሪያዎች የደህንነት ባህሪ አብነት ይጠቀሙ። በጠርዙ ራውተሮች እና በሲስኮ ኤስዲ-ዋን አረጋጋጭ ላይ፣ IPsec ን ለመረጃ አውሮፕላን ደህንነት ለማዋቀር ይህንን አብነት ይጠቀሙ። በሲስኮ ኤስዲ-ዋን ማናጀር እና በሲስኮ ኤስዲ-ዋን መቆጣጠሪያ፣ የአውሮፕላን ደህንነትን ለመቆጣጠር DTLS ወይም TLSን ለማዋቀር የደህንነት ባህሪ አብነት ይጠቀሙ።

የደህንነት መለኪያዎችን ያዋቅሩ

ከሲስኮ ኤስዲ-ዋን ማኔጀር ሜኑ ውቅር > አብነቶችን ይምረጡ።

የባህሪ አብነቶችን ጠቅ ያድርጉ እና አብነት አክል የሚለውን ጠቅ ያድርጉ።
ማስታወሻ በ Cisco vManage መለቀቅ 20.7.1 እና ቀደም ብሎ በተለቀቁት የባህሪ አብነቶች ባህሪ ይባላል።
በግራ መቃን ውስጥ ካለው የመሣሪያዎች ዝርዝር ውስጥ አንድ መሣሪያ ይምረጡ። በተመረጠው መሣሪያ ላይ ተፈጻሚነት ያላቸው አብነቶች በትክክለኛው መቃን ላይ ይታያሉ.

አብነቱን ለመክፈት ደህንነትን ጠቅ ያድርጉ።
በአብነት ስም መስክ ውስጥ ለአብነት ስም ያስገቡ። ስሙ እስከ 128 ቁምፊዎች ሊሆን ይችላል እና ፊደሎችን ብቻ ሊይዝ ይችላል.

በአብነት መግለጫ መስክ ውስጥ የአብነት መግለጫውን ያስገቡ። መግለጫው እስከ 2048 ቁምፊዎች ሊሆን ይችላል እና የፊደል ቁጥሮችን ብቻ ሊይዝ ይችላል።

የባህሪ አብነት መጀመሪያ ሲከፍቱ፣ ነባሪ እሴት ላለው ለእያንዳንዱ ግቤት፣ ወሰኑ ወደ ነባሪ ተቀናብሯል (በምልክት ምልክት የተገለጸ) እና ነባሪው መቼት ወይም እሴቱ ይታያል። ነባሪውን ለመለወጥ ወይም እሴት ለማስገባት ከመለኪያ መስኩ በስተግራ ያለውን የscope ተቆልቋይ ሜኑ ጠቅ ያድርጉ እና ከሚከተሉት ውስጥ አንዱን ይምረጡ።

ሠንጠረዥ 1፡

መለኪያ ወሰን

ወሰን መግለጫ

መሣሪያ ልዩ (በአስተናጋጅ አዶ የተጠቆመ)

ለመለኪያው መሣሪያ-ተኮር እሴት ይጠቀሙ። ለመሣሪያ-ተኮር መለኪያዎች በባህሪው አብነት ውስጥ እሴት ማስገባት አይችሉም። የ Viptela መሣሪያን ከመሳሪያ አብነት ጋር ሲያያይዙ እሴቱን ያስገባሉ።

Device Specific ን ጠቅ ሲያደርጉ አስገባ ቁልፍ ሳጥን ይከፈታል። ይህ ሳጥን ቁልፍን ያሳያል፣ እሱም በCSV ውስጥ ያለውን መለኪያ የሚለይ ልዩ ሕብረቁምፊ ነው። file እርስዎ የሚፈጥሩት. ይህ file ለእያንዳንዱ ቁልፍ አንድ አምድ የያዘ የ Excel ተመን ሉህ ነው። የራስጌው ረድፍ የቁልፍ ስሞችን ይይዛል (በአምድ አንድ ቁልፍ) እና እያንዳንዱ ረድፍ ከዚያ በኋላ ከመሳሪያው ጋር ይዛመዳል እና የዚያ መሣሪያ ቁልፎችን እሴቶች ይገልፃል። CSVን ሰቅለዋል። file የ Viptela መሣሪያን ከመሳሪያ አብነት ጋር ሲያያይዙ. ለበለጠ መረጃ የአብነት ተለዋዋጮች የተመን ሉህ ይፍጠሩ ይመልከቱ።

ነባሪውን ቁልፍ ለመቀየር አዲስ ሕብረቁምፊ ይተይቡ እና ጠቋሚውን ከቁልፍ አስገባ ሳጥን ውስጥ ያንቀሳቅሱት።

Exampከመሣሪያ-ተኮር መለኪያዎች የስርዓት አይፒ አድራሻ፣ የአስተናጋጅ ስም፣ የጂፒኤስ መገኛ እና የጣቢያ መታወቂያ ናቸው።

መለኪያ ወሰን	ወሰን መግለጫ
ግሎባል (በግሎብ አዶ የተጠቆመ)	ለመለኪያው እሴት ያስገቡ እና ያንን ዋጋ በሁሉም መሳሪያዎች ላይ ይተግብሩ። Exampለመሳሪያዎች ቡድን በአለምአቀፍ ደረጃ ሊተገበሩ ከሚችሉት መለኪያዎች መካከል የዲኤንኤስ አገልጋይ፣ ሲሳይሎግ አገልጋይ እና በይነገጽ MTUs ናቸው።

የመቆጣጠሪያ አውሮፕላን ደህንነትን ያዋቅሩ

ማስታወሻ
የቁጥጥር አውሮፕላን ደህንነት ክፍል የሚመለከተው ለሲስኮ ኤስዲ-ዋን ማኔጀር እና ለሲስኮ ኤስዲ-ዋን መቆጣጠሪያ ብቻ ነው። እና የሚከተሉትን መለኪያዎች ያዋቅሩ:

ሠንጠረዥ 2፡

መለኪያ ስም

መግለጫ

ፕሮቶኮል

የመቆጣጠሪያ አውሮፕላን ግንኙነቶችን ከሲስኮ ኤስዲ-ዋን መቆጣጠሪያ ጋር ለመጠቀም ፕሮቶኮሉን ይምረጡ፡-

• DTLS (ዳtagራም ትራንስፖርት ንብርብር ደህንነት). ይህ ነባሪ ነው።

• TLS (የትራንስፖርት ንብርብር ደህንነት)

የ TLS ወደብ ይቆጣጠሩ

TLSን ከመረጡ ለመጠቀም የወደብ ቁጥሩን ያዋቅሩት፡-ክልል፡ ከ 1025 እስከ 65535ነባሪ፡ 23456

አስቀምጥን ጠቅ ያድርጉ

የውሂብ አውሮፕላን ደህንነትን ያዋቅሩ
የውሂብ አውሮፕላን ደህንነትን በሲስኮ ኤስዲ-ዋን አረጋጋጭ ወይም በሲስኮ vEdge ራውተር ላይ ለማዋቀር የመሠረታዊ ውቅር እና የማረጋገጫ አይነት ትሮችን ይምረጡ እና የሚከተሉትን መለኪያዎች ያዋቅሩ።

ሠንጠረዥ 3፡

መለኪያ ስም	መግለጫ
Rekey Time	የ Cisco vEdge ራውተር ደህንነቱ በተጠበቀው የዲቲኤልኤስ ግንኙነት ከሲስኮ ኤስዲ-ዋን መቆጣጠሪያ ጋር ያለውን የAES ቁልፍ በምን ያህል ጊዜ እንደሚቀይር ይግለጹ። OMP ግርማ ሞገስ ያለው ዳግም ማስጀመር ከነቃ፣ የመልሶ መከፈቻ ጊዜ ከ OMP ግርማ ሞገስ ያለው ዳግም ማስጀመሪያ ጊዜ ቆጣሪው ዋጋ ቢያንስ በእጥፍ መሆን አለበት።ክልል፡ ከ10 እስከ 1209600 ሰከንድ (14 ቀናት)ነባሪ፡ 86400 ሰከንድ (24 ሰዓታት)
መስኮት እንደገና አጫውት።	ተንሸራታች ድጋሚ አጫውት መስኮቱን መጠን ይግለጹ. እሴቶች፡- 64, 128, 256, 512, 1024, 2048, 4096, 8192 ጥቅሎችነባሪ፡ 512 ጥቅሎች
IPsec ጥንድ-ቁልፍ	ይህ በነባሪ ጠፍቷል። ጠቅ ያድርጉ On ለማብራት.

መለኪያ ስም

መግለጫ

የማረጋገጫ አይነት

የማረጋገጫ ዓይነቶችን ከ ማረጋገጫ ዝርዝር, እና የማረጋገጫ ዓይነቶችን ወደ የ ለማንቀሳቀስ ወደ ቀኝ የሚያመለክት ቀስት ጠቅ ያድርጉ የተመረጠ ዝርዝር አምድ.

ከሲስኮ SD-WAN መለቀቅ 20.6.1 የሚደገፉ የማረጋገጫ አይነቶች፡-

• ኤስ.ፒበESP ራስጌ ላይ የደህንነት ክፍያን (ESP) ምስጠራ እና የታማኝነት ማረጋገጥን ያስችላል።

• ip-udp-esp የESP ምስጠራን ያነቃል። በESP ራስጌ እና በክፍያ ጭነት ላይ ካለው የታማኝነት ፍተሻ በተጨማሪ፣ ቼኮቹ የውጪውን IP እና UDP ራስጌዎችን ያካትታሉ።

• ip-udp-esp-ምንም-መታወቂያCisco ካታሊስት ኤስዲ-ዋን ከሲስኮ ካልሆኑ መሳሪያዎች ጋር አብሮ መስራት እንዲችል በአይፒ አርዕስት ውስጥ ያለውን የመታወቂያ መስኩን ችላ ይላል።

• ምንምየ IPSec እሽጎች ላይ የታማኝነት ማረጋገጥን ያጠፋል። ይህንን አማራጭ ለመጠቀም አንመክርም።

በ Cisco SD-WAN መለቀቅ 20.5.1 እና ከዚያ በፊት የሚደገፉ የማረጋገጫ አይነቶች፡-

• አህ-ኖ-መታወቂያበፓኬቱ ውጫዊ IP ራስጌ ውስጥ ያለውን የመታወቂያ መስኩን ችላ የሚለውን የተሻሻለ የ AH-SHA1 HMAC እና ESP HMAC-SHA1ን ያንቁ።

• አህ-ሻ1-ህማክAH-SHA1 HMAC እና ESP HMAC-SHA1ን አንቃ።

• ምንምምንም ማረጋገጫ አይምረጡ።

• sha1-hmacESP HMAC-SHA1ን አንቃ።

ማስታወሻ በ Cisco SD-WAN Release 20.5.1 ወይም ከዚያ በፊት ለሚሰራ የጠርዝ መሳሪያ፣ የማረጋገጫ አይነቶችን በመጠቀም አዋቅረው ሊሆን ይችላል። ደህንነት አብነት. መሣሪያውን ወደ Cisco SD-WAN Release 20.6.1 ወይም ከዚያ በኋላ ሲያሻሽሉ የተመረጡትን የማረጋገጫ አይነቶች በ ደህንነት አብነት ከሲስኮ SD-WAN መለቀቅ 20.6.1 የሚደገፉ የማረጋገጫ አይነቶች። የማረጋገጫ ዓይነቶችን ለማዘመን የሚከተሉትን ያድርጉ

1. ከሲስኮ ኤስዲ-ዋን አቀናባሪ ምናሌ ውስጥ ይምረጡ ማዋቀር >

አብነቶች.

2. ጠቅ ያድርጉ የባህሪ አብነቶች.

3. ያግኙ ደህንነት አብነት ለማዘመን እና ጠቅ ያድርጉ… እና ጠቅ ያድርጉ አርትዕ.

4. ጠቅ ያድርጉ አዘምን. ማንኛውንም ውቅረት አታሻሽል።

Cisco SD-WAN አስተዳዳሪ ያዘምናል ደህንነት የሚደገፉትን የማረጋገጫ አይነቶች ለማሳየት አብነት።

አስቀምጥን ጠቅ ያድርጉ።

የውሂብ አውሮፕላን ደህንነት መለኪያዎችን ያዋቅሩ

በመረጃ አውሮፕላኑ ውስጥ፣ IPsec በሁሉም ራውተሮች ላይ በነባሪነት የነቃ ሲሆን በነባሪ የአይፒሴክ ዋሻ ግንኙነቶች የተሻሻለውን የኢንካፕሱሌቲንግ ሴኩሪቲ ክፍያ (ESP) ፕሮቶኮል በአይፒሴክ ዋሻዎች ላይ ለማረጋገጥ ይጠቀማሉ። በራውተሮቹ ላይ የማረጋገጫውን አይነት፣ የአይፒሴክ ዳግም ቁልፍ ቆጣሪ እና የ IPsec ፀረ-ድጋሚ መስኮቱን መጠን መለወጥ ይችላሉ።

የተፈቀዱ የማረጋገጫ ዓይነቶችን ያዋቅሩ

የማረጋገጫ አይነቶች በ Cisco SD-WAN መለቀቅ 20.6.1 እና በኋላ
ከሲስኮ ኤስዲ-ዋን መልቀቂያ 20.6.1፣ የሚከተሉት የአቋም ዓይነቶች ይደገፋሉ፡

esp፡ ይህ አማራጭ የኢንካፕሱሊንግ ሴኩሪቲ ክፍያን (ESP) ምስጠራን እና የESP ራስጌን ማረጋገጥን ያስችላል።
ip-udp-esp፡ ይህ አማራጭ የESP ምስጠራን ያስችላል። በESP ራስጌ ላይ ካሉት የታማኝነት ፍተሻዎች እና ከክፍያ ጭነት በተጨማሪ፣ ቼኮች የውጪውን IP እና UDP ራስጌዎችን ያካትታሉ።
ip-udp-esp-no-id: ይህ አማራጭ ከ ip-udp-esp ጋር ተመሳሳይ ነው, ነገር ግን የውጪው IP ራስጌ መታወቂያ መስክ ችላ ይባላል. የሲስኮ ካታሊስት ኤስዲ-ዋን ሶፍትዌር በአይፒ አርዕስት ውስጥ የመታወቂያ መስኩን ችላ እንዲል ይህን አማራጭ በአቋራጭ አይነቶች ዝርዝር ውስጥ ያዋቅሩት በዚህም የሲስኮ ካታሊስት ኤስዲ-ዋን ከሲስኮ ካልሆኑ መሳሪያዎች ጋር አብሮ መስራት ይችላል።
የለም፡ ይህ አማራጭ የIPSec ፓኬቶች ላይ የታማኝነት ማረጋገጥን ያጠፋል። ይህንን አማራጭ ለመጠቀም አንመክርም።

በነባሪ የIPsec ዋሻ ግንኙነቶች የተሻሻለውን የኢንካፕሱሌቲንግ ሴኩሪቲ ክፍያ ጭነት (ESP) ፕሮቶኮል ለማረጋገጫ ይጠቀማሉ። የተደራደሩትን የኢንተርኔት አይነቶችን ለማሻሻል ወይም የንፅህና ማረጋገጫን ለማሰናከል የሚከተለውን ትዕዛዝ ተጠቀም፡ integrity-type { none | ip-udp-esp | ip-udp-esp-ምንም-መታወቂያ | esp }

ከ Cisco SD-WAN መለቀቅ በፊት የማረጋገጫ አይነቶች 20.6.1
በነባሪ የIPsec ዋሻ ግንኙነቶች የተሻሻለውን የኢንካፕሱሌቲንግ ሴኩሪቲ ክፍያ ጭነት (ESP) ፕሮቶኮል ለማረጋገጫ ይጠቀማሉ። የተደራደሩትን የማረጋገጫ አይነቶች ለማሻሻል ወይም ማረጋገጫን ለማሰናከል የሚከተለውን ትዕዛዝ ተጠቀም፡ Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | ምንም) በነባሪ፣ IPsec የመሿለኪያ ግንኙነቶች AES-GCM-256ን ይጠቀማሉ፣ ይህም ሁለቱንም ምስጠራ እና ማረጋገጫ ይሰጣል። እያንዳንዱን የማረጋገጫ አይነት በተለየ የ ipsec የማረጋገጫ አይነት ትዕዛዝ ያዋቅሩ። የትዕዛዝ አማራጮች ካርታ ከጠንካራ እስከ ትንሹ በየተዘረዘሩት የሚከተሉት የማረጋገጫ አይነቶች ላይ፡-

ማስታወሻ
በማዋቀሪያው አማራጮች ውስጥ ያለው sha1 ለታሪካዊ ምክንያቶች ጥቅም ላይ ይውላል. የማረጋገጫ አማራጮቹ የፓኬት ትክክለኛነት ማረጋገጥ ምን ያህል እንደተሰራ ያመለክታሉ። አቋሙን የሚፈትሽ ስልተ ቀመር አይገልጹም። ከብዙካስት ትራፊክ ምስጠራ በስተቀር፣ በሲስኮ ካታሊስት ኤስዲ WAN የሚደገፉ የማረጋገጫ ስልተ ቀመሮች SHA1 አይጠቀሙም። ሆኖም በሲስኮ SD-WAN መለቀቅ 20.1.x እና ከዚያ በኋላ ሁለቱም ዩኒካስት እና መልቲካስት SHA1 አይጠቀሙም።

ah-sha1-hmac ኢ.ኤስ.ፒን በመጠቀም ምስጠራ እና ማሸግ ያስችላል። ነገር ግን፣ በESP ራስጌ እና በደመወዝ ጭነት ላይ ካሉት የታማኝነት ፍተሻዎች በተጨማሪ፣ ቼኮቹ የውጪውን IP እና UDP ራስጌዎችን ያካትታሉ። ስለዚህ ይህ አማራጭ ከማረጋገጫ ራስጌ (AH) ፕሮቶኮል ጋር ተመሳሳይ የሆነ የፓኬቱን ትክክለኛነት ማረጋገጥ ይደግፋል። ሁሉም ታማኝነት እና ምስጠራ የሚከናወነው AES-256-GCM በመጠቀም ነው።
ah-no-id ከ ah-sha1-hmac ጋር ተመሳሳይነት ያለው ሁነታን ያስችላል፣ነገር ግን የውጪው IP ራስጌ መታወቂያ መስክ ችላ ተብሏል። ይህ አማራጭ አንዳንድ የሲስኮ ካታሊስት ኤስዲ-ዋን መሣሪያዎችን ያስተናግዳል፣ አፕል ኤርፖርት ኤክስፕረስ NATን ጨምሮ፣ በአይፒ አርዕስት ውስጥ ያለው የመታወቂያ መስኩ፣ የማይቀየር መስክ፣ እንዲሻሻል የሚያደርግ ስህተት ያለባቸው። የCisco Catalyst SD-WAN AH ሶፍትዌር በአይፒ አርዕስት ውስጥ ያለውን የመታወቂያ መስኩን ችላ እንዲል በማረጋገጫ አይነቶች ዝርዝር ውስጥ ah-no-id የሚለውን ያዋቅሩ ስለዚህ የ Cisco Catalyst SD-WAN ሶፍትዌር ከነዚህ መሳሪያዎች ጋር አብሮ መስራት ይችላል።

sha1-hmac የESP ምስጠራን እና የታማኝነት ማረጋገጥን ያስችላል።
ምንም ካርታ የለም ማረጋገጫ የለም። ይህ አማራጭ ለጊዜያዊ ማረም አስፈላጊ ከሆነ ብቻ ጥቅም ላይ መዋል አለበት. እንዲሁም የውሂብ አውሮፕላን ማረጋገጥ እና ታማኝነት አሳሳቢ ባልሆኑ ሁኔታዎች ውስጥ ይህንን አማራጭ መምረጥ ይችላሉ. Cisco ይህንን አማራጭ ለምርት ኔትወርኮች መጠቀምን አይመክርም።

በእነዚህ የማረጋገጫ ዓይነቶች የትኞቹ የውሂብ ፓኬት መስኮች እንደሚነኩ መረጃ ለማግኘት Data Plane Integrityን ይመልከቱ። Cisco IOS XE ካታሊስት ኤስዲ-ዋን መሳሪያዎች እና Cisco vEdge መሳሪያዎች የተዋቀሩ የማረጋገጫ ዓይነቶቻቸውን በ TLOC ባህሪያቸው ያስተዋውቃሉ። በአይፒሴክ መሿለኪያ ግንኙነት በሁለቱም በኩል ያሉት ሁለቱ ራውተሮች በሁለቱ ራውተሮች ላይ የተዋቀረውን በጣም ጠንካራውን የማረጋገጫ አይነት በመጠቀም በመካከላቸው ባለው ግንኙነት ለመጠቀም ማረጋገጫውን ይደራደራሉ። ለ example, አንድ ራውተር ah-sha1-hmac እና ah-no-id አይነቶችን ቢያስተዋውቅ እና ሁለተኛ ራውተር የ ah-no-id አይነትን ቢያስተዋውቅ ሁለቱ ራውተሮች አህ-ኖ-መታወቂያን ለመጠቀም በ IPsec ዋሻ ግንኙነት መካከል ይደራደራሉ. እነርሱ። በሁለቱ እኩዮች ላይ ምንም ዓይነት የተለመዱ የማረጋገጫ ዓይነቶች ካልተዋቀሩ በመካከላቸው ምንም IPsec ዋሻ አልተቋቋመም። በአይፒሴክ መሿለኪያ ግንኙነቶች ላይ ያለው የምስጠራ ስልተ ቀመር በትራፊክ አይነት ይወሰናል፡

ለዩኒካስት ትራፊክ፣ የምስጠራ ስልተ ቀመር AES-256-GCM ነው።
ለባለብዙ ስርጭት ትራፊክ፡-
Cisco SD-WAN ልቀት 20.1.x እና በኋላ - የምስጠራ አልጎሪዝም AES-256-GCM ነው

ከዚህ ቀደም የተለቀቁት - የምስጠራ ስልተ ቀመር AES-256-CBC ከSHA1-HMAC ጋር ነው።

የአይፒሴክ የማረጋገጫ አይነት ሲቀየር የውሂብ ዱካ የ AES ቁልፍ ይቀየራል።

Rekeying Timer ቀይር

የCisco IOS XE ካታሊስት ኤስዲ-ዋን መሳሪያዎች እና የሲስኮ ቪዲጅ መሳሪያዎች የውሂብ ትራፊክ ከመለዋወጣቸው በፊት በመካከላቸው ደህንነቱ የተጠበቀ የተረጋገጠ የመገናኛ ሰርጥ አዘጋጅተዋል። ራውተሮች በመካከላቸው የIPSec ዋሻዎችን እንደ ቻናል፣ እና AES-256 ምስጠራን ለመስራት ይጠቀማሉ። እያንዳንዱ ራውተር በየጊዜው ለመረጃ መንገዱ አዲስ የAES ቁልፍ ያመነጫል። በነባሪነት ቁልፉ የሚሰራው ለ86400 ሰከንድ (24 ሰአት) ሲሆን የሰዓት ቆጣሪው ከ10 ሰከንድ እስከ 1209600 ሰከንድ (14 ቀናት) ነው። የዳግም ሰዓት ቆጣሪ ዋጋን ለመቀየር፡ Device(config)# security ipsec rekey seconds ውቅር ይህን ይመስላል፡-

ደህንነት ipsec rekey ሰከንዶች!

አዲስ የአይፒሴክ ቁልፎችን ወዲያውኑ ማመንጨት ከፈለጉ የራውተሩን ውቅር ሳይቀይሩ ማድረግ ይችላሉ። ይህንን ለማድረግ በተበላሸው ራውተር ላይ የጥያቄውን ደህንነት የ ipsecrekey ትዕዛዝ ይስጡ። ለ example፣ የሚከተለው ውፅዓት የሚያሳየው የአካባቢው SA የ256 ሴኪዩሪቲ ፓራሜትር መረጃ ጠቋሚ (SPI) እንዳለው ያሳያል፡

ልዩ ቁልፍ ከእያንዳንዱ SPI ጋር የተያያዘ ነው። ይህ ቁልፍ ከተበላሸ ወዲያውኑ አዲስ ቁልፍ ለማመንጨት የጥያቄውን ሴኪዩሪቲ ipsec-rekey ትእዛዝ ይጠቀሙ። ይህ ትዕዛዝ SPI ን ይጨምራል። በእኛ የቀድሞample, SPI ወደ 257 ይቀየራል እና ከሱ ጋር የተያያዘው ቁልፍ አሁን ጥቅም ላይ ይውላል:

መሳሪያ# ጥያቄ ደህንነት ipsecrekey
መሳሪያ# አሳይ ipsec local-sa

አዲሱ ቁልፍ ከተፈጠረ በኋላ ራውተሩ DTLS ወይም TLS በመጠቀም ወዲያውኑ ወደ ሲስኮ ኤስዲ-ዋን ተቆጣጣሪዎች ይልካል። የ Cisco SD-WAN ተቆጣጣሪዎች ቁልፉን ወደ አቻ ራውተሮች ይልካሉ. ራውተሮች ልክ እንደተቀበሉት መጠቀም ይጀምራሉ። ከድሮው SPI (256) ጋር የተገናኘው ቁልፍ ጊዜ እስኪያልቅ ድረስ ለአጭር ጊዜ ጥቅም ላይ መዋል እንዳለበት ልብ ይበሉ። የድሮውን ቁልፍ ወዲያውኑ መጠቀም ለማቆም የጥያቄውን ሴኪዩሪቲ ipsec-rekey ትዕዛዝ ሁለት ጊዜ በፍጥነት በተከታታይ ይስጡ። ይህ የትእዛዝ ቅደም ተከተል ሁለቱንም SPI 256 እና 257 ያስወግዳል እና SPI ን ወደ 258 ያስቀምጣል። ከዚያ በኋላ ራውተር የተጎዳኘውን የ SPI 258 ቁልፍ ይጠቀማል። ሆኖም ሁሉም የርቀት ራውተሮች እስኪማሩ ድረስ አንዳንድ ፓኬቶች ለአጭር ጊዜ እንደሚጣሉ ልብ ይበሉ። አዲሱ ቁልፍ.

የፀረ-ድጋሚ መስኮቱን መጠን ይለውጡ

የአይፒሴክ ማረጋገጫ በዳታ ዥረት ውስጥ ለእያንዳንዱ ፓኬት ልዩ የሆነ ተከታታይ ቁጥር በመመደብ ፀረ-ድጋሚ አጫውት ጥበቃን ይሰጣል። ይህ ተከታታይ ቁጥር መስጠት የውሂብ እሽጎችን ከማባዛት አጥቂ ይከላከላል። በፀረ-ድጋሚ አጫውት ጥበቃ፣ ላኪው ብቻውን እየጨመረ የሚሄድ ተከታታይ ቁጥሮችን ይመድባል፣ እና መድረሻው የተባዙትን ለማግኘት እነዚህን ተከታታይ ቁጥሮች ይፈትሻል። እሽጎች ብዙ ጊዜ በቅደም ተከተል ስለማይደርሱ፣ መድረሻው የሚቀበለውን ተከታታይ ቁጥሮች ተንሸራታች መስኮት ይይዛል።

በተንሸራታች የመስኮት ክልል በግራ በኩል የሚወድቁ ተከታታይ ቁጥሮች ያላቸው እሽጎች እንደ አሮጌ ወይም የተባዙ ይቆጠራሉ እና መድረሻው ይጥላቸዋል። መድረሻው የተቀበለውን ከፍተኛውን ተከታታይ ቁጥር ይከታተላል, እና ከፍ ያለ ዋጋ ያለው ፓኬት ሲቀበል ተንሸራታች መስኮቱን ያስተካክላል.

በነባሪ, ተንሸራታች መስኮቱ ወደ 512 ፓኬቶች ተዘጋጅቷል. በ 64 እና 4096 መካከል ያለው የ 2 ኃይል (ማለትም 64, 128, 256, 512, 1024, 2048, ወይም 4096) ወደሆነ ማንኛውም እሴት ሊዋቀር ይችላል. የፀረ-ድጋሚ መስኮቱን መጠን ለመቀየር የመስኮቱን መጠን በመግለጽ የድጋሚ-መስኮት ትዕዛዙን ይጠቀሙ፡

Device(config)# security ipsec ድጋሚ-መስኮት ቁጥር

አወቃቀሩ ይህን ይመስላል።
የደህንነት ipsec ድጋሚ-መስኮት ቁጥር! !

በQoS ላይ ለማገዝ ለእያንዳንዱ የመጀመሪያዎቹ ስምንት የትራፊክ ቻናሎች የተናጠል የድጋሚ አጫውት መስኮቶች ይጠበቃሉ። የተዋቀረው የድጋሚ አጫውት መስኮት መጠን ለእያንዳንዱ ቻናል በስምንት ተከፍሏል። QoS በራውተር ላይ ከተዋቀረ ያ ራውተር በአይፒሴክ ፀረ-ድጋሚ አጫውት ዘዴ ምክንያት ከተጠበቀው በላይ የፓኬት ጠብታዎች ሊያጋጥመው ይችላል፣ እና ብዙዎቹ የተጣሉ እሽጎች ህጋዊ ናቸው። ይህ የሆነው QoS እሽጎችን እንደገና ስለሚያዝ፣ ለበላይ ቅድሚያ የሚሰጡ ጥቅሎችን ተመራጭ ህክምና በመስጠት እና ዝቅተኛ ቅድሚያ የሚሰጣቸውን እሽጎች በማዘግየት ነው። ይህንን ሁኔታ ለመቀነስ ወይም ለመከላከል የሚከተሉትን ማድረግ ይችላሉ:

የፀረ-ድጋሚ መስኮቱን መጠን ይጨምሩ.
በአንድ ቻናል ውስጥ ያለው ትራፊክ እንደገና አለመታዘዙን ለማረጋገጥ የኢንጂነሪንግ ትራፊክ በመጀመሪያዎቹ ስምንት የትራፊክ ቻናሎች ላይ።

በIKE የነቁ IPsec ዋሻዎችን ያዋቅሩ
ትራፊክን ከተደራቢው አውታረመረብ ወደ የአገልግሎት አውታረመረብ ደህንነቱ በተጠበቀ ሁኔታ ለማስተላለፍ፣ የኢንተርኔት ቁልፍ ልውውጥ (IKE) ፕሮቶኮልን የሚያሄዱ የIPsec ዋሻዎችን ማዋቀር ይችላሉ። በ IKE የነቁ የአይፒሴክ ዋሻዎች ደህንነቱ የተጠበቀ የፓኬት መጓጓዣን ለማረጋገጥ ማረጋገጫ እና ምስጠራን ይሰጣሉ። የIPsec በይነገጽን በማዋቀር IKE የነቃ IPsec ዋሻ ይፈጥራሉ። የአይፒሴክ በይነገጾች አመክንዮአዊ በይነገጾች ናቸው፣ እና እርስዎ ልክ እንደ ማንኛውም አካላዊ በይነገጽ ያዋቅሯቸዋል። በ IPsec በይነገጽ ላይ የ IKE ፕሮቶኮል መለኪያዎችን ያዋቅራሉ, እና ሌሎች የበይነገጽ ባህሪያትን ማዋቀር ይችላሉ.

ማስታወሻ Cisco IKE Version 2 ን መጠቀም ይመክራል።ከሲስኮ SD-WAN 19.2.x መለቀቅ ጀምሮ አስቀድሞ የተጋራው ቁልፍ ቢያንስ 16 ባይት ርዝመት ሊኖረው ይገባል። ራውተር ወደ ስሪት 16 ሲያድግ ቁልፉ ከ19.2 ቁምፊዎች በታች ከሆነ የIPsec tunnel ምስረታ አይሳካም።

ማስታወሻ
Cisco Catalyst SD-WAN ሶፍትዌር በ RFC 2 ላይ እንደተገለጸው IKE ስሪት 7296 ን ይደግፋል። ለ IPsec ዋሻዎች አንድ አጠቃቀም በአማዞን AWS ላይ የሚሰራውን የቪኤጅ ክላውድ ራውተር VMን ከአማዞን ምናባዊ የግል ደመና (VPC) ጋር እንዲገናኝ መፍቀድ ነው። በእነዚህ ራውተሮች ላይ IKE ስሪት 1ን ማዋቀር አለብህ። Cisco vEdge መሳሪያዎች በአይፒኤስሴክ ውቅረት ውስጥ መስመር ላይ የተመሰረቱ ቪፒኤንዎችን ብቻ ይደግፋሉ ምክንያቱም እነዚህ መሳሪያዎች በምስጠራ ጎራ ውስጥ የትራፊክ መምረጫዎችን መግለጽ አይችሉም።

IPsec Tunnel አዋቅር
ከአገልግሎት አውታረ መረብ ደህንነቱ የተጠበቀ የትራንስፖርት ትራፊክ ለማግኘት የአይፒሴክ ዋሻ በይነገጽን ለማዋቀር ምክንያታዊ የአይፒሴክ በይነገጽ ይፈጥራሉ።

በትራንስፖርት VPN (VPN 0) እና በማንኛውም አገልግሎት VPN (VPN 1 እስከ 65530 ከ512 በስተቀር) የ IPsec ዋሻ መፍጠር ይችላሉ። የአይፒሴክ በይነገጽ በ ipsecnumber ቅርጸት ያለው ስም አለው ፣ ቁጥሩ ከ 1 እስከ 255 ሊሆን ይችላል ። እያንዳንዱ የአይፒሴክ በይነገጽ IPv4 አድራሻ ሊኖረው ይገባል። ይህ አድራሻ /30 ቅድመ ቅጥያ መሆን አለበት። በዚህ IPv4 ቅድመ ቅጥያ ውስጥ ያለው ሁሉም የቪፒኤን ትራፊክ በቪፒኤን 0 ውስጥ ወደሚገኝ አካላዊ በይነገጽ በቀጥታ በአይፒሴክ መሿለኪያ ላይ ይላካል።በአካባቢው መሳሪያ ላይ የአይፒሴክ ዋሻውን ምንጭ ለማዋቀር የአይ ፒ አድራሻውን መግለጽ ይችላሉ። አካላዊ በይነገጽ (በዋሻው-ምንጭ ትዕዛዝ) ወይም የአካላዊ በይነገጽ ስም (በዋሻው-ምንጭ-በይነገጽ ትዕዛዝ). አካላዊ በይነገጹ በቪፒኤን 0 መዋቀሩን ያረጋግጡ። የአይፒሴክ መሿለኪያ መድረሻን ለማዋቀር የርቀት መሳሪያውን የአይፒ አድራሻ በዋሻው መድረሻ ትእዛዝ ይጥቀሱ። የምንጭ አድራሻ (ወይም የምንጭ በይነገጽ ስም) እና የመድረሻ አድራሻ ጥምር ነጠላ IPsec ዋሻ ይገልፃል። የተወሰነ ምንጭ አድራሻ (ወይም የበይነገጽ ስም) እና የመድረሻ አድራሻ ጥንድ የሚጠቀም አንድ የአይፒሴክ ዋሻ ብቻ ሊኖር ይችላል።

IPsec Static Route ያዋቅሩ

ትራፊክን ከአገልግሎቱ ቪፒኤን ወደ IPsec ዋሻ በትራንስፖርት ቪፒኤን (ቪፒኤን 0) ለመምራት፣ IPsec-ተኮር የማይንቀሳቀስ መንገድ በአገልግሎት VPN (ከቪፒኤን 0 ወይም VPN 512 ሌላ ቪፒኤን) ያዋቅራሉ፡

vEdge(config)# vpn vpn-id
vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 interface
ipsecnumber [ipsecnumber2]

የቪፒኤን መታወቂያ የማንኛውም አገልግሎት ቪፒኤን ነው (VPN 1 እስከ 65530 ከ512 በስተቀር)። ቅድመ ቅጥያ/ርዝመት የአይ ፒ አድራሻ ወይም ቅድመ ቅጥያ፣ በአስርዮሽ ባለ አራት ባለ ነጥብ ምልክት እና የIPsec-ተኮር የማይንቀሳቀስ መንገድ ቅድመ ቅጥያ ርዝመት ነው። በይነገጹ የአይፒሴክ ዋሻ በይነገጽ በቪፒኤን 0 ነው። አንድ ወይም ሁለት የአይፒሴክ መሿለኪያ መገናኛዎችን ማዋቀር ይችላሉ። ሁለቱን ካዋቀሩ, የመጀመሪያው ዋናው IPsec ዋሻ ነው, ሁለተኛው ደግሞ ምትኬ ነው. በሁለት መገናኛዎች ሁሉም ፓኬቶች ወደ ዋናው ዋሻ ብቻ ይላካሉ. ያ መሿለኪያ ካልተሳካ፣ ሁሉም እሽጎች ወደ ሁለተኛው ዋሻ ይላካሉ። ዋናው መሿለኪያ ተመልሶ ከመጣ፣ ሁሉም ትራፊክ ወደ ዋናው IPsec ዋሻ ይመለሳል።

IKE ስሪት 1ን አንቃ
በVEdge ራውተር ላይ የአይፒሴክ መሿለኪያ ሲፈጥሩ፣ IKE ስሪት 1 በነባሪ በዋሻው በይነገጽ ይነቃል። የሚከተሉት ንብረቶች እንዲሁ በነባሪ ለIKEv1 ነቅተዋል፡

ማረጋገጫ እና ምስጠራ—AES-256 የላቀ ምስጠራ መደበኛ የሲቢሲ ምስጠራ ከHMAC-SHA1 ቁልፍ-የሃሽ መልእክት የማረጋገጫ ኮድ ስልተቀመር ለትነት

Diffie-Hellman ቡድን ቁጥር-16
የመልሶ ማግኛ ጊዜ - 4 ሰዓታት
ኤስኤ ማቋቋሚያ ሁነታ-ዋና

በነባሪ፣ IKEv1 IKE SAs ለመመስረት የ IKE ዋና ሁነታን ይጠቀማል። በዚህ ሁነታ ኤስኤ ለመመስረት ስድስት የድርድር ፓኬቶች ይለዋወጣሉ። ሶስት የድርድር እሽጎችን ብቻ ለመለዋወጥ ጨካኝ ሁነታን አንቃ፡-

ማስታወሻ
ከቅድመ-የተጋሩ ቁልፎች ጋር የ IKE ጠበኛ ሁነታ በተቻለ መጠን መወገድ አለበት። አለበለዚያ ጠንካራ ቅድመ-የተጋራ ቁልፍ መምረጥ አለበት.

vEdge(config)# vpn vpn-id interface ipsec ቁጥር ike

vEdge(config-like)# ሁነታ ጠበኛ

በነባሪ፣ IKEv1 የ Diffie-Hellman ቡድን 16ን በ IKE ቁልፍ ልውውጥ ይጠቀማል። ይህ ቡድን በ IKE ቁልፍ ልውውጥ ወቅት ባለ 4096-ቢት ተጨማሪ ሞዱላር ገላጭ (MODP) ቡድን ይጠቀማል። የቡድን ቁጥሩን ወደ 2 (ለ1024-ቢት MODP)፣ 14 (2048-ቢት MODP) ወይም 15 (3072-ቢት MODP) መቀየር ይችላሉ።

vEdge(config)# vpn vpn-id interface ipsec ቁጥር ike

vEdge(config-like)# የቡድን ቁጥር

በነባሪ፣ IKE ቁልፍ ልውውጥ AES-256 የላቀ ምስጠራ መደበኛ የሲቢሲ ምስጠራን ከHMAC-SHA1 ቁልፍ-የሃሽ መልእክት ማረጋገጫ ኮድ ስልተቀመር ጋር ለትነትነት ይጠቀማል። ማረጋገጫውን መቀየር ይችላሉ፡-

vEdge(config)# vpn vpn-id interface ipsec ቁጥር ike

vEdge(config-ike)# cipher-suite suite

የማረጋገጫ ስብስብ ከሚከተሉት ውስጥ አንዱ ሊሆን ይችላል፡

aes128-cbc-sha1—AES-128 የላቀ ምስጠራ መደበኛ የሲቢሲ ምስጠራ ከHMAC-SHA1 ቁልፍ-የሃሽ መልእክት የማረጋገጫ ኮድ ስልተቀመር ለትነት

aes128-cbc-sha2—AES-128 የላቀ ምስጠራ መደበኛ የሲቢሲ ምስጠራ ከHMAC-SHA256 ቁልፍ-የሃሽ መልእክት የማረጋገጫ ኮድ ስልተቀመር ለትነት
aes256-cbc-sha1—AES-256 የላቀ ምስጠራ መደበኛ የሲቢሲ ምስጠራ ከHMAC-SHA1 ቁልፍ-የሃሽ መልእክት የማረጋገጫ ኮድ ስልተቀመር ለትነት; ይህ ነባሪ ነው።
aes256-cbc-sha2—AES-256 የላቀ ምስጠራ መደበኛ የሲቢሲ ምስጠራ ከHMAC-SHA256 ቁልፍ-የሃሽ መልእክት የማረጋገጫ ኮድ ስልተቀመር ለትነት

በነባሪ የ IKE ቁልፎች በየ1 ሰዓቱ (3600 ሰከንድ) ይታደሳሉ። የመልሶ ማግኛ ክፍተቱን ከ30 ሰከንድ እስከ 14 ቀናት (1209600 ሰከንድ) ወደ እሴት መቀየር ይችላሉ። የመልሶ ማግኛ ክፍተቱ ቢያንስ 1 ሰዓት እንዲሆን ይመከራል።

vEdge(config)# vpn vpn-id interface ipsec ቁጥር እንደ
vEdge(config-like)# rekey ሰከንዶች

ለ IKE ክፍለ ጊዜ አዲስ ቁልፎችን ማመንጨትን ለማስገደድ ጥያቄውን የipsec ike-rekey ትዕዛዝ ይስጡ።

vEdge(config)# vpn vpn-id interfaceipsec ቁጥር ike

ለIKE፣ እንዲሁም የተጋራ ቁልፍ (PSK) ማረጋገጫን ማዋቀር ትችላለህ፡-

vEdge(config)# vpn vpn-id interface ipsec ቁጥር ike
vEdge(config-ike)# የማረጋገጫ አይነት ቅድመ-የተጋራ-ቁልፍ ቅድመ-የተጋራ-ሚስጥራዊ የይለፍ ቃል የይለፍ ቃል አስቀድሞ በተጋራው ቁልፍ ለመጠቀም ነው። ከ 1 እስከ 127 ቁምፊዎች ርዝመት ያለው ASCII ወይም ሄክሳዴሲማል ሕብረቁምፊ ሊሆን ይችላል.

የርቀት IKE አቻ የአካባቢ ወይም የርቀት መታወቂያ ከሚያስፈልገው ይህን መለያ ማዋቀር ይችላሉ፡-

vEdge(config)# vpn vpn-id interface ipsec ቁጥር ike ማረጋገጫ-አይነት
vEdge(config-athentication-type)# local-id id
vEdge(config-athentication-type)# remote-id id

መለያው ከ1 እስከ 63 ቁምፊዎች የሚረዝም የአይ ፒ አድራሻ ወይም ማንኛውም የጽሑፍ ሕብረቁምፊ ሊሆን ይችላል። በነባሪ፣ የአካባቢ መታወቂያ የዋሻው ምንጭ አይፒ አድራሻ ሲሆን የርቀት መታወቂያው የዋሻው መድረሻ IP አድራሻ ነው።

IKE ስሪት 2ን አንቃ
IKE ስሪት 2ን ለመጠቀም የIPsec ዋሻን ሲያዋቅሩ የሚከተሉት ንብረቶች እንዲሁ በነባሪነት ለ IKEv2 ነቅተዋል፡

ማረጋገጫ እና ምስጠራ—AES-256 የላቀ ምስጠራ መደበኛ የሲቢሲ ምስጠራ ከHMAC-SHA1 ቁልፍ-የሃሽ መልእክት የማረጋገጫ ኮድ ስልተቀመር ለትነት

Diffie-Hellman ቡድን ቁጥር-16
የመልሶ ማግኛ ጊዜ - 4 ሰዓታት

በነባሪ፣ IKEv2 የ Diffie-Hellman ቡድን 16ን በ IKE ቁልፍ ልውውጥ ይጠቀማል። ይህ ቡድን በ IKE ቁልፍ ልውውጥ ወቅት ባለ 4096-ቢት ተጨማሪ ሞዱላር ገላጭ (MODP) ቡድን ይጠቀማል። የቡድን ቁጥሩን ወደ 2 (ለ1024-ቢት MODP)፣ 14 (2048-ቢት MODP) ወይም 15 (3072-ቢት MODP) መቀየር ይችላሉ።

vEdge(config)# vpn vpn-id interface ipsecnumber ike
vEdge(config-like)# የቡድን ቁጥር

vEdge(config)# vpn vpn-id interface ipsecnumber ike
vEdge(config-ike)# cipher-suite suite

የማረጋገጫ ስብስብ ከሚከተሉት ውስጥ አንዱ ሊሆን ይችላል፡

aes128-cbc-sha1—AES-128 የላቀ ምስጠራ መደበኛ የሲቢሲ ምስጠራ ከHMAC-SHA1 ቁልፍ-የሃሽ መልእክት የማረጋገጫ ኮድ ስልተቀመር ለትነት
aes128-cbc-sha2—AES-128 የላቀ ምስጠራ መደበኛ የሲቢሲ ምስጠራ ከHMAC-SHA256 ቁልፍ-የሃሽ መልእክት የማረጋገጫ ኮድ ስልተቀመር ለትነት
aes256-cbc-sha1—AES-256 የላቀ ምስጠራ መደበኛ የሲቢሲ ምስጠራ ከHMAC-SHA1 ቁልፍ-የሃሽ መልእክት የማረጋገጫ ኮድ ስልተቀመር ለትነት; ይህ ነባሪ ነው።

aes256-cbc-sha2—AES-256 የላቀ ምስጠራ መደበኛ የሲቢሲ ምስጠራ ከHMAC-SHA256 ቁልፍ-የሃሽ መልእክት የማረጋገጫ ኮድ ስልተቀመር ለትነት

በነባሪ የ IKE ቁልፎች በየ 4 ሰዓቱ (14,400 ሰከንድ) ይታደሳሉ። የመልሶ ማግኛ ክፍተቱን ከ30 ሰከንድ እስከ 14 ቀናት (1209600 ሰከንድ) ወደ እሴት መቀየር ይችላሉ፡

vEdge(config)# vpn vpn-id interface ipsecnumber ike

vEdge(config-like)# rekey ሰከንዶች

ለ IKE ክፍለ ጊዜ አዲስ ቁልፎችን ማመንጨትን ለማስገደድ ጥያቄውን የipsec ike-rekey ትዕዛዝ ይስጡ። ለIKE፣ እንዲሁም የተጋራ ቁልፍ (PSK) ማረጋገጫን ማዋቀር ትችላለህ፡-

vEdge(config)# vpn vpn-id interface ipsecnumber ike

vEdge(config-ike)# የማረጋገጫ አይነት ቅድመ-የተጋራ-ቁልፍ ቅድመ-የተጋራ-ሚስጥራዊ የይለፍ ቃል የይለፍ ቃል አስቀድሞ በተጋራው ቁልፍ ለመጠቀም ነው። እሱ ASCII ወይም ሄክሳዴሲማል ሕብረቁምፊ ሊሆን ይችላል፣ ወይም AES-የተመሰጠረ ቁልፍ ሊሆን ይችላል። የርቀት IKE አቻ የአካባቢ ወይም የርቀት መታወቂያ ከሚያስፈልገው ይህን መለያ ማዋቀር ይችላሉ፡-
vEdge(config)# vpn vpn-id interface ipsecnumber ike የማረጋገጫ አይነት
vEdge(config-athentication-type)# local-id id

vEdge(config-athentication-type)# remote-id id

መለያው ከ1 እስከ 64 ቁምፊዎች የሚረዝም የአይ ፒ አድራሻ ወይም ማንኛውም የጽሑፍ ሕብረቁምፊ ሊሆን ይችላል። በነባሪ፣ የአካባቢ መታወቂያ የዋሻው ምንጭ አይፒ አድራሻ ሲሆን የርቀት መታወቂያው የዋሻው መድረሻ IP አድራሻ ነው።

የIPsec Tunnel መለኪያዎችን ያዋቅሩ

ሠንጠረዥ 4፡ የባህሪ ታሪክ

ባህሪ ስም	የመልቀቂያ መረጃ	መግለጫ
ተጨማሪ ክሪፕቶግራፊክ	Cisco SD-WAN መለቀቅ 20.1.1	ይህ ባህሪ ድጋፍን ይጨምራል
የአልጎሪዝም ድጋፍ ለአይፒኤስ		HMAC_SHA256፣ HMAC_SHA384 እና
ዋሻዎች		HMAC_SHA512 አልጎሪዝም ለ
		የተሻሻለ ደህንነት.

በነባሪ፣ የ IKE ትራፊክን በሚያጓጉዘው IPsec ዋሻ ላይ የሚከተሉት መለኪያዎች ጥቅም ላይ ይውላሉ።

ማረጋገጫ እና ምስጠራ—AES-256 አልጎሪዝም በጂሲኤም (ጋሎይስ/ቆጣሪ ሁነታ)
የመልሶ ማግኛ ጊዜ - 4 ሰዓታት

የመልሶ ማጫወት መስኮት - 32 ፓኬቶች

በአይፒሴክ ዋሻ ላይ ያለውን ምስጠራ በሲቢሲ ወደ AES-256 (የሲፈር ማገጃ ሰንሰለት ሁነታ፣ ከኤችኤምኤሲ ጋር SHA-1 ወይም SHA-2 keyed-hash message ማረጋገጫን በመጠቀም ወይም SHA-1ን በመጠቀም ከHMAC ጋር መሰረዝ ይችላሉ)። SHA-2 ቁልፍ የተደረገ-ሃሽ መልእክት ማረጋገጥ፣ ለIKE ቁልፍ ልውውጥ ትራፊክ ጥቅም ላይ የዋለውን የIPsec ዋሻ ላለማመስጠር፡-

vEdge(config-interface-ipsecnumber)# ipsec

vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-256 | aes256-null-sha384 | aes256-null-sha512)

vEdge(config-interface-ipsecnumber)# ipsec

vEdge(config-ipsec)# rekey ሰከንዶች

ለአይፒሴክ ዋሻ አዲስ ቁልፎችን ለማስገደድ፣ጥያቄውን ipsec ipsec-rekey ያቅርቡ። በነባሪነት፣ የወደፊት ቁልፎች ከተጣሱ ያለፉት ክፍለ-ጊዜዎች እንደማይነኩ ለማረጋገጥ በIPsec ዋሻዎች ላይ ፍጹም የሆነ የምስጢር ምስጢር (PFS) ነቅቷል። PFS በነባሪ 4096-ቢት Diffie-Hellman ዋና ሞጁል ቡድን በመጠቀም አዲስ Diffie-Hellman ቁልፍ ልውውጥ ያስገድዳል። የ PFS ቅንብርን መቀየር ይችላሉ፡-

vEdge(config-interface-ipsecnumber)# ipsec

vEdge(config-ipsec)# ፍጹም-ወደፊት-ሚስጥራዊነት pfs-setting

pfs-setting ከሚከተሉት ውስጥ አንዱ ሊሆን ይችላል፡

ቡድን-2-1024-ቢት Diffie-Hellman ዋና ሞጁል ቡድን ይጠቀሙ።

ቡድን-14-2048-ቢት Diffie-Hellman ዋና ሞጁል ቡድን ይጠቀሙ።
ቡድን-15-3072-ቢት Diffie-Hellman ዋና ሞጁል ቡድን ይጠቀሙ።
ቡድን-16-4096-ቢት ዲፊ-ሄልማን ዋና ሞጁል ቡድን ይጠቀሙ። ይህ ነባሪ ነው።
የለም - ፒኤፍኤስን አሰናክል።

በነባሪ፣ በ IPsec ዋሻ ላይ ያለው የአይፒሴክ ድጋሚ አጫውት መስኮት 512 ባይት ነው። የድጋሚ አጫውት መስኮቱን መጠን ወደ 64፣ 128፣ 256፣ 512፣ 1024፣ 2048፣ ወይም 4096 ጥቅሎች ማዘጋጀት ይችላሉ፡

vEdge(config-interface-ipsecnumber)# ipsec
vEdge(config-ipsec)# የድጋሚ-መስኮት ቁጥር

የ IKE ሙታን-አቻ ማወቅን ያስተካክሉ

IKE ከ IKE እኩያ ጋር ያለው ግንኙነት ተግባራዊ እና ሊደረስበት የሚችል መሆኑን ለማወቅ የሞተ-አቻ ማወቂያ ዘዴን ይጠቀማል። ይህንን ዘዴ ለመተግበር IKE ለእኩዮቹ ሄሎ ፓኬት ይልካል፣ እና እኩዮቹ በምላሹ የእውቅና ማረጋገጫ ይልካሉ። በነባሪ፣ IKE ሄሎ ፓኬቶችን በየ10 ሰከንድ ይልካል፣ እና ከሶስት እሽጎች በኋላ፣ IKE ጎረቤቱን መሞቱን በማወጅ መሿለኪያውን ለእኩዮቹ ይቀደዳል። ከዚያ በኋላ፣ IKE በየጊዜው ሄሎ ፓኬትን ለአቻው ይልካል፣ እና እኩዮቹ ወደ መስመር ላይ ሲመለሱ ዋሻውን እንደገና ያቋቁማል። የቀጥታነት ማወቂያ ክፍተቱን ከ 0 እስከ 65535 ወደ እሴት መቀየር ይችላሉ እና የድጋሚ ሙከራዎችን ቁጥር ከ 0 እስከ 255 እሴት መቀየር ይችላሉ።

ማስታወሻ

ለትራንስፖርት ቪፒኤንዎች፣የህያውነት ማወቂያ ክፍተቱ በሚከተለው ቀመር በመጠቀም ወደ ሰከንድ ይቀየራል፡ የዳግም ማስተላለፍ ሙከራ ቁጥር N = ክፍተት * 1.8N-1 ለ example፣ ክፍተቱ ወደ 10 ከተቀናበረ እና ወደ 5 ከተደገፈ፣ የመለየት ክፍተቱ በሚከተለው መልኩ ይጨምራል።

ሙከራ 1፡- 10 * 1.81-1= 10 ሰከንድ
ሙከራ 2: 10 * 1.82-1= 18 ሰከንድ
ሙከራ 3: 10 * 1.83-1= 32.4 ሰከንድ
ሙከራ 4: 10 * 1.84-1= 58.32 ሰከንድ
ሙከራ 5: 10 * 1.85-1= 104.976 ሰከንድ

vEdge(config-interface-ipsecnumber)# የሞተ-አቻ-ማወቂያ የጊዜ ክፍተት እንደገና የሚሞክር ቁጥር

ሌሎች የበይነገጽ ባህሪያትን አዋቅር

ለ IPsec ዋሻ በይነገጾች የሚከተሉትን ተጨማሪ የበይነገጽ ባህሪያትን ብቻ ማዋቀር ይችላሉ፡

vEdge(config-interface-ipsec)# mtu ባይት
vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

በሲስኮ SD-WAN አስተዳዳሪ ላይ ደካማ የኤስኤስኤች ምስጠራ ስልተ-ቀመርን አሰናክል

ሠንጠረዥ 5፡ የባህሪ ታሪክ ሠንጠረዥ

ባህሪ ስም	የመልቀቂያ መረጃ	ባህሪ መግለጫ
በሲስኮ SD-WAN አስተዳዳሪ ላይ ደካማ የኤስኤስኤች ምስጠራ ስልተ-ቀመርን አሰናክል	Cisco vManage መለቀቅ 20.9.1	ይህ ባህሪ የተወሰኑ የውሂብ ደህንነት መስፈርቶችን የማያሟሉ ደካማ የኤስኤስኤች ስልተ ቀመሮችን በ Cisco SD-WAN Manager ላይ እንዲያሰናክሉ ያስችልዎታል።

ደካማ የኤስኤስኤች ምስጠራ አልጎሪዝምን በሲስኮ ኤስዲ-ዋን አስተዳዳሪ ስለማሰናከል መረጃ
Cisco SD-WAN Manager ተቆጣጣሪዎችን እና የጠርዝ መሳሪያዎችን ጨምሮ በአውታረ መረቡ ውስጥ ካሉ አካላት ጋር ለመገናኘት የኤስኤስኤች ደንበኛን ይሰጣል። የኤስኤስኤች ደንበኛ በተለያዩ የኢንክሪፕሽን ስልተ ቀመሮች ላይ በመመስረት ደህንነቱ የተጠበቀ የውሂብ ማስተላለፍ የተመሰጠረ ግንኙነትን ያቀርባል። ብዙ ድርጅቶች በSHA-1፣ AES-128 እና AES-192 ከተሰጡት የበለጠ ጠንካራ ምስጠራ ያስፈልጋቸዋል። ከ Cisco vManage Release 20.9.1፣ የኤስኤስኤች ደንበኛ እነዚህን ስልተ ቀመሮች እንዳይጠቀም የሚከተሉትን ደካማ የኢንክሪፕሽን ስልተ ቀመሮችን ማሰናከል ይችላሉ።

SHA-1
AES-128
AES-192

እነዚህን የኢንክሪፕሽን ስልተ ቀመሮች ከማሰናከልዎ በፊት፣ የሲስኮ ቪዲጅ መሳሪያዎች፣ በኔትወርኩ ውስጥ ካሉ፣ ከሲስኮ SD-WAN ልቀት 18.4.6 ዘግይተው የሶፍትዌር ልቀት እየተጠቀሙ መሆናቸውን ያረጋግጡ።

በሲስኮ SD-WAN አስተዳዳሪ ላይ ደካማ የኤስኤስኤች ምስጠራ ስልተ-ቀመርን የማሰናከል ጥቅሞች
ደካማ የኤስኤስኤች ምስጠራ ስልተ ቀመሮችን ማሰናከል የኤስኤስኤች ግንኙነትን ደህንነት ያሻሽላል፣ እና የሲስኮ ካታሊስት ኤስዲ-WAN የሚጠቀሙ ድርጅቶች ጥብቅ የደህንነት ደንቦችን የሚያከብሩ መሆናቸውን ያረጋግጣል።

CLI ን በመጠቀም ደካማ የኤስኤስኤች ምስጠራ ስልተ-ቀመርን በሲስኮ ኤስዲ-ዋን አስተዳዳሪ ያሰናክሉ።

ከሲስኮ ኤስዲ-ዋን ማኔጀር ሜኑ ውስጥ Tools > SSH Terminal የሚለውን ይምረጡ።
ደካማ የኤስኤስኤች አልጎሪዝምን ለማሰናከል የሚፈልጉትን የ Cisco SD-WAN Manager መሳሪያ ይምረጡ።
ወደ መሳሪያው ለመግባት የተጠቃሚ ስም እና የይለፍ ቃል ያስገቡ።
የኤስኤስኤች አገልጋይ ሁነታን አስገባ።
- vmanage(config)# ስርዓት
- vmanage(config-system)# ssh-server
የኤስኤስኤች ምስጠራ አልጎሪዝምን ለማሰናከል ከሚከተሉት ውስጥ አንዱን ያድርጉ።
- SHA-1ን አሰናክል፡
አስተዳድር(config-ssh-server)# ምንም kex-algo sha1
አስተዳድር(config-ssh-server)# አደራ
የሚከተለው የማስጠንቀቂያ መልእክት ታይቷል፡ የሚከተሉት ማስጠንቀቂያዎች ተፈጥረዋል፡ 'system ssh-server kex-algo sha1'፡ ማስጠንቀቂያ፡ እባክዎን ሁሉም ጠርዝዎ ኮድ ስሪት > 18.4.6 ማስኬዱን ያረጋግጡ ይህም ከSHA1 በ vManage ጋር ይደራደራል። አለበለዚያ እነዚህ ጠርዞች ከመስመር ውጭ ሊሆኑ ይችላሉ. ይቀጥሉ? (አዎ, አይደለም) አዎ
- በኔትወርኩ ውስጥ ያሉ ማንኛቸውም የCisco vEdge መሳሪያዎች Cisco SD-WAN Release 18.4.6 ወይም ከዚያ በላይ እያሄዱ መሆናቸውን ያረጋግጡ እና አዎ ያስገቡ።
- AES-128 እና AES-192 አሰናክል፡
- vmanage(config-ssh-server)# ምንም cipher aes-128-192 የለም።
- vmanage(config-ssh-server)# አደራ
  የሚከተለው የማስጠንቀቂያ መልእክት ይታያል፡-
  የሚከተሉት ማስጠንቀቂያዎች ተፈጥረዋል፡-
  'System ssh-server cipher aes-128-192'፡ ማስጠንቀቂያ፡ እባክዎን ሁሉም ጠርዞችዎ ኮድ ስሪቱን> 18.4.6 ማስኬዳቸውን ያረጋግጡ ይህም ከ AES-128-192 በ vManage ጋር የሚደራደር። አለበለዚያ እነዚህ ጠርዞች ከመስመር ውጭ ሊሆኑ ይችላሉ. ይቀጥሉ? (አዎ, አይደለም) አዎ
- በኔትወርኩ ውስጥ ያሉ ማንኛቸውም የCisco vEdge መሳሪያዎች Cisco SD-WAN Release 18.4.6 ወይም ከዚያ በላይ እያሄዱ መሆናቸውን ያረጋግጡ እና አዎ ያስገቡ።

CLI ን በመጠቀም ደካማ የኤስኤስኤች ምስጠራ ስልተ ቀመሮች በሲስኮ ኤስዲ-ዋን አስተዳዳሪ ላይ መሰናከላቸውን ያረጋግጡ።

ከሲስኮ ኤስዲ-ዋን ማኔጀር ሜኑ ውስጥ Tools > SSH Terminal የሚለውን ይምረጡ።
ለማረጋገጥ የሚፈልጉትን የ Cisco SD-WAN Manager መሳሪያ ይምረጡ።
ወደ መሳሪያው ለመግባት የተጠቃሚ ስም እና የይለፍ ቃል ያስገቡ።
የሚከተለውን ትዕዛዝ ያሂዱ፡ Run-config system ssh-server ን አሳይ
ውጤቱ ደካማ ምስጠራ አልጎሪዝምን የሚያሰናክሉ አንድ ወይም ተጨማሪ ትዕዛዞችን እንደሚያሳይ ያረጋግጡ፡
- ምንም ሳይፈር aes-128-192
- ምንም kex-algo sha1

ሰነዶች / መርጃዎች

CISCO SD-WAN የደህንነት መለኪያዎችን አዋቅር [pdf] የተጠቃሚ መመሪያ
ኤስዲ-ዋን የደህንነት መለኪያዎችን፣ ኤስዲ-ዋንን፣ የደህንነት መለኪያዎችን፣ የደህንነት መለኪያዎችን አዋቅር

ዋቢዎች

የተጠቃሚ መመሪያ

CISCO SD-WAN የደህንነት መለኪያዎችን አዋቅር

የደህንነት መለኪያዎችን ያዋቅሩ