CISCO SD-WAN تكوين معلمات الأمان

تكوين معلمات الأمان

ملحوظة

لتحقيق التبسيط والاتساق، تمت إعادة تسمية حل Cisco SD-WAN ليصبح Cisco Catalyst SD-WAN. بالإضافة إلى ذلك، بدءًا من الإصدار 17.12.1a من Cisco IOS XE SD-WAN والإصدار 20.12.1 من Cisco Catalyst SD-WAN، تنطبق تغييرات المكونات التالية: Cisco vManage إلى Cisco Catalyst SD-WAN Manager، وCisco vAnalytics إلى Cisco Catalyst SD-WAN Analytics، وCisco vBond إلى Cisco Catalyst SD-WAN Validator، وCisco vSmart إلى Cisco Catalyst SD-WAN Controller. راجع أحدث ملاحظات الإصدار للحصول على قائمة شاملة بجميع تغييرات اسم العلامة التجارية للمكونات. أثناء انتقالنا إلى الأسماء الجديدة، قد تكون هناك بعض حالات عدم الاتساق في مجموعة الوثائق بسبب النهج المرحلي لتحديثات واجهة المستخدم الخاصة بمنتج البرنامج.

يصف هذا القسم كيفية تغيير معلمات الأمان لمستوى التحكم ومستوى البيانات في شبكة تراكب Cisco Catalyst SD-WAN.

• قم بتكوين معلمات أمان مستوى التحكم، تشغيل
• تكوين معلمات أمان مستوى البيانات، تشغيل
• قم بتكوين أنفاق IPsec التي تدعم IKE، وقم بتشغيلها
• قم بتعطيل خوارزميات تشفير SSH الضعيفة على Cisco SD-WAN Manager

تكوين معلمات أمان مستوى التحكم

افتراضيًا، يستخدم مستوى التحكم DTLS باعتباره البروتوكول الذي يوفر الخصوصية على جميع أنفاقه. يعمل DTLS عبر UDP. يمكنك تغيير بروتوكول أمان مستوى التحكم إلى TLS، الذي يعمل عبر TCP. السبب الرئيسي لاستخدام TLS هو أنه إذا كنت تعتبر وحدة تحكم Cisco SD-WAN خادمًا، فإن جدران الحماية تحمي خوادم TCP بشكل أفضل من خوادم UDP. يمكنك تكوين بروتوكول نفق مستوى التحكم على وحدة تحكم Cisco SD-WAN: vSmart(config)# بروتوكول التحكم في الأمان tls مع هذا التغيير، جميع أنفاق مستوى التحكم بين وحدة تحكم Cisco SD-WAN وأجهزة التوجيه وبين وحدة تحكم Cisco SD-WAN ويستخدم Cisco SD-WAN Manager TLS. تستخدم أنفاق مستوى التحكم في Cisco Catalyst SD-WAN Validator دائمًا DTLS، لأنه يجب معالجة هذه الاتصالات بواسطة UDP. في مجال به وحدات تحكم Cisco SD-WAN متعددة، عندما تقوم بتكوين TLS على إحدى وحدات تحكم Cisco SD-WAN، فإن جميع أنفاق مستوى التحكم من وحدة التحكم هذه إلى وحدات التحكم الأخرى تستخدم TLS. وبعبارة أخرى، يكون لـ TLS الأسبقية دائمًا على DTLS. ومع ذلك، من وجهة نظر وحدات تحكم Cisco SD-WAN الأخرى، إذا لم تقم بتكوين TLS عليها، فإنها تستخدم TLS على نفق مستوى التحكم فقط لوحدة تحكم Cisco SD-WAN واحدة، وتستخدم أنفاق DTLS لجميع الأجهزة الأخرى وحدات تحكم Cisco SD-WAN وجميع أجهزة التوجيه المتصلة بها. لجعل جميع وحدات تحكم Cisco SD-WAN تستخدم TLS، قم بتكوينها عليها جميعًا. افتراضيًا، تستمع وحدة تحكم Cisco SD-WAN على المنفذ 23456 لطلبات TLS. لتغيير هذا: vSmart(config)# رقم منفذ tls للتحكم في الأمان يمكن أن يكون المنفذ رقمًا من 1025 إلى 65535. لعرض معلومات أمان مستوى التحكم، استخدم أمر show control communication في وحدة تحكم Cisco SD-WAN. على سبيل المثالample: vSmart-2# إظهار اتصالات التحكم

قم بتكوين DTLS في Cisco SD-WAN Manager

إذا قمت بتكوين Cisco SD-WAN Manager لاستخدام TLS كبروتوكول أمان مستوى التحكم، فيجب عليك تمكين إعادة توجيه المنفذ على NAT الخاص بك. إذا كنت تستخدم DTLS كبروتوكول أمان مستوى التحكم، فلن تحتاج إلى القيام بأي شيء. يعتمد عدد المنافذ المعاد توجيهها على عدد عمليات vdaemon التي يتم تشغيلها على Cisco SD-WAN Manager. لعرض معلومات حول هذه العمليات وحول وعدد المنافذ التي يتم إعادة توجيهها، استخدم الأمر show control Summary الذي يوضح أن أربع عمليات خفية قيد التشغيل:

لرؤية منافذ الاستماع، استخدم الأمر show control local-properties: vManage# show control local-properties

يوضح هذا الإخراج أن منفذ TCP الذي يستمع هو 23456. إذا كنت تقوم بتشغيل Cisco SD-WAN Manager خلف NAT، فيجب عليك فتح المنافذ التالية على جهاز NAT:

• 23456 (قاعدة – مثيل 0 منفذ)
• 23456 + 100 (الأساس + 100)
• 23456 + 200 (الأساس + 200)
• 23456 + 300 (الأساس + 300)

لاحظ أن عدد المثيلات هو نفس عدد النوى التي قمت بتعيينها لـ Cisco SD-WAN Manager، بحد أقصى 8.

قم بتكوين معلمات الأمان باستخدام قالب ميزة الأمان

استخدم قالب ميزة الأمان لجميع أجهزة Cisco vEdge. على أجهزة التوجيه الطرفية وعلى أداة التحقق من Cisco SD-WAN، استخدم هذا القالب لتكوين IPsec لأمان مستوى البيانات. في Cisco SD-WAN Manager وCisco SD-WAN Controller، استخدم قالب ميزة الأمان لتكوين DTLS أو TLS لأمان مستوى التحكم.

تكوين معلمات الأمان

1. من قائمة Cisco SD-WAN Manager، اختر التكوين > القوالب.
2. انقر فوق قوالب الميزات ثم انقر فوق إضافة قالب.
   ملحوظة في الإصدار 20.7.1 من Cisco vManage والإصدارات السابقة، يُطلق على "قوالب الميزات" اسم "الميزات".
3. من قائمة الأجهزة في الجزء الأيمن، اختر جهازًا. تظهر القوالب القابلة للتطبيق على الجهاز المحدد في الجزء الأيسر.
4. انقر فوق الأمان لفتح القالب.
5. في حقل اسم القالب، أدخل اسمًا للقالب. يمكن أن يصل الاسم إلى 128 حرفًا ويمكن أن يحتوي على أحرف أبجدية رقمية فقط.
6. في حقل وصف القالب، أدخل وصفًا للقالب. يمكن أن يصل الوصف إلى 2048 حرفًا ويمكن أن يحتوي على أحرف أبجدية رقمية فقط.

عند فتح قالب ميزة لأول مرة، لكل معلمة لها قيمة افتراضية، يتم تعيين النطاق إلى الافتراضي (يشار إليه بعلامة اختيار)، ويتم عرض الإعداد أو القيمة الافتراضية. لتغيير الإعداد الافتراضي أو لإدخال قيمة، انقر فوق القائمة المنسدلة للنطاق الموجودة على يسار حقل المعلمة واختر واحدًا مما يلي:

الجدول 1:

المعلمة نِطَاق

وصف النطاق

خاص بالجهاز (يُشار إليه برمز المضيف)

استخدم قيمة خاصة بالجهاز للمعلمة. بالنسبة للمعلمات الخاصة بالجهاز، لا يمكنك إدخال قيمة في قالب الميزة. تقوم بإدخال القيمة عند توصيل جهاز Viptela بقالب جهاز. عند النقر فوق "جهاز محدد"، يتم فتح مربع "مفتاح الإدخال". يعرض هذا المربع مفتاحًا، وهو عبارة عن سلسلة فريدة تحدد المعلمة في ملف CSV file التي تقوم بإنشائها. هذا file هو جدول بيانات Excel يحتوي على عمود واحد لكل مفتاح. يحتوي صف الرأس على أسماء المفاتيح (مفتاح واحد لكل عمود)، وكل صف بعد ذلك يتوافق مع جهاز ويحدد قيم المفاتيح لذلك الجهاز. قمت بتحميل ملف CSV file عند توصيل جهاز Viptela بقالب الجهاز. لمزيد من المعلومات، راجع إنشاء جدول بيانات متغيرات القالب. لتغيير المفتاح الافتراضي، اكتب سلسلة جديدة وحرك المؤشر خارج مربع Enter Key. Exampالمعلمات الخاصة بالجهاز هي عنوان IP للنظام واسم المضيف وموقع GPS ومعرف الموقع.

المعلمة نِطَاق	وصف النطاق
عالمي (يُشار إليه برمز الكرة الأرضية)	أدخل قيمة للمعلمة، وقم بتطبيق هذه القيمة على جميع الأجهزة. Exampالمعلمات التي قد تطبقها عالميًا على مجموعة من الأجهزة هي خادم DNS، وخادم سجل النظام، ووحدات MTU للواجهة.

تكوين أمان مستوى التحكم

ملحوظة
ينطبق قسم تكوين أمان مستوى التحكم على Cisco SD-WAN Manager ووحدة تحكم Cisco SD-WAN فقط. لتكوين بروتوكول اتصال مستوى التحكم على مثيل Cisco SD-WAN Manager أو وحدة تحكم Cisco SD-WAN، اختر منطقة التكوين الأساسي وتكوين المعلمات التالية:

الجدول 2:

المعلمة اسم	وصف
بروتوكول	اختر البروتوكول الذي سيتم استخدامه في اتصالات مستوى التحكم بوحدة تحكم Cisco SD-WAN: • دي تي إل إس (داtagرام طبقة النقل الأمن). هذا هو الافتراضي. • TLS (أمان طبقة النقل)
التحكم في منفذ TLS	إذا حددت TLS، فقم بتكوين رقم المنفذ المراد استخدامه:يتراوح: 1025 إلى 65535تقصير: 23456

انقر فوق حفظ

تكوين أمان مستوى البيانات
لتكوين أمان مستوى البيانات على Cisco SD-WAN Validator أو جهاز توجيه Cisco vEdge، اختر علامتي التبويب التكوين الأساسي ونوع المصادقة، وقم بتكوين المعلمات التالية:

الجدول 3:

المعلمة اسم	وصف
وقت إعادة المفاتيح	حدد عدد المرات التي يقوم فيها جهاز توجيه Cisco vEdge بتغيير مفتاح AES المستخدم في اتصال DTLS الآمن الخاص به إلى وحدة تحكم Cisco SD-WAN. إذا تم تمكين إعادة التشغيل الرشيقة لـ OMP، فيجب أن يكون وقت إعادة التشغيل على الأقل ضعف قيمة مؤقت إعادة التشغيل الرشيق لـ OMP.يتراوح: 10 إلى 1209600 ثانية (14 يومًا)تقصير: 86400 ثانية (24 ساعة)
نافذة إعادة التشغيل	تحديد حجم نافذة إعادة التشغيل المنزلقة. قيم: 64، 128، 256، 512، 1024، 2048، 4096، 8192 حزمةتقصير: 512 حزمة
بروتوكول الإنترنت الآمن القفل الزوجي	يتم إيقاف تشغيل هذا بشكل افتراضي. انقر On لتشغيله.

المعلمة اسم

وصف

نوع المصادقة

حدد أنواع المصادقة من المصادقة قائمة، وانقر فوق السهم الذي يشير إلى اليمين لنقل أنواع المصادقة إلى القائمة المختارة عمود. أنواع المصادقة المدعومة من الإصدار 20.6.1 من Cisco SD-WAN: •  خاصة: تمكين تشفير حمولة الأمان المغلفة (ESP) والتحقق من التكامل على رأس ESP. •  الملكية الفكرية-udp-esp: تمكين تشفير ESP. بالإضافة إلى عمليات التحقق من سلامة رأس ESP والحمولة، تتضمن عمليات التحقق أيضًا رؤوس IP وUDP الخارجية. •  IP-udp-esp-no-id: يتجاهل حقل المعرف في رأس IP حتى يتمكن Cisco Catalyst SD-WAN من العمل مع الأجهزة غير التابعة لشركة Cisco. •  لا أحد: يقوم بإيقاف تشغيل التحقق من التكامل على حزم IPSec. لا نوصي باستخدام هذا الخيار.   أنواع المصادقة المدعومة في الإصدار 20.5.1 من Cisco SD-WAN والإصدارات الأقدم: •  آه لا معرف: تمكين إصدار محسّن من AH-SHA1 HMAC وESP HMAC-SHA1 الذي يتجاهل حقل المعرف في رأس IP الخارجي للحزمة. •  اه-sha1-هماك: تمكين AH-SHA1 HMAC وESP HMAC-SHA1. •  لا أحد: حدد عدم المصادقة. •  sha1-hmac: تمكين ESP HMAC-SHA1.   ملحوظة              بالنسبة لجهاز Edge الذي يعمل على Cisco SD-WAN الإصدار 20.5.1 أو إصدار سابق، ربما تكون قد قمت بتكوين أنواع المصادقة باستخدام حماية نموذج. عند ترقية الجهاز إلى الإصدار 20.6.1 من Cisco SD-WAN أو الأحدث، قم بتحديث أنواع المصادقة المحددة في حماية قالب لأنواع المصادقة المدعومة من الإصدار 20.6.1 من Cisco SD-WAN. لتحديث أنواع المصادقة، قم بما يلي: 1.      من قائمة Cisco SD-WAN Manager، اختر إعدادات > القوالب. 2.      انقر قوالب الميزات. 3.      ابحث عن حماية قالب للتحديث وانقر فوق ... وانقر يحرر. 4.      انقر تحديث. لا تقم بتعديل أي تكوين. يقوم Cisco SD-WAN Manager بتحديث حماية قالب لعرض أنواع المصادقة المدعومة.

انقر فوق حفظ.

تكوين معلمات أمان مستوى البيانات

في مستوى البيانات، يتم تمكين IPsec افتراضيًا على كافة أجهزة التوجيه، وتستخدم اتصالات نفق IPsec افتراضيًا إصدارًا محسنًا من بروتوكول Encapsulated Security Payload (ESP) للمصادقة على أنفاق IPsec. على أجهزة التوجيه، يمكنك تغيير نوع المصادقة ومؤقت إعادة تشغيل IPsec وحجم نافذة منع إعادة التشغيل IPsec.

تكوين أنواع المصادقة المسموح بها

أنواع المصادقة في الإصدار 20.6.1 من Cisco SD-WAN والإصدارات الأحدث
من الإصدار 20.6.1 من Cisco SD-WAN، يتم دعم أنواع التكامل التالية:

• esp: يتيح هذا الخيار تشفير Encapsulated Security Payload (ESP) والتحقق من التكامل على رأس ESP.
• ip-udp-esp: يتيح هذا الخيار تشفير ESP. بالإضافة إلى عمليات التحقق من سلامة رأس ESP والحمولة، تتضمن الاختبارات أيضًا رؤوس IP وUDP الخارجية.
• ip-udp-esp-no-id: هذا الخيار مشابه لـ ip-udp-esp، ومع ذلك، يتم تجاهل حقل المعرف الخاص برأس IP الخارجي. قم بتكوين هذا الخيار في قائمة أنواع التكامل لجعل برنامج Cisco Catalyst SD-WAN يتجاهل حقل المعرف في رأس IP حتى يتمكن Cisco Catalyst SD-WAN من العمل مع أجهزة غير تابعة لشركة Cisco.
• لا شيء: يقوم هذا الخيار بإيقاف تشغيل التحقق من التكامل على حزم IPSec. لا نوصي باستخدام هذا الخيار.

بشكل افتراضي، تستخدم اتصالات نفق IPsec إصدارًا محسّنًا من بروتوكول Encapsulated Security Payload (ESP) للمصادقة. لتعديل أنواع interity التي تم التفاوض عليها أو لتعطيل التحقق من التكامل، استخدم الأمر التالي: Integrity-type { none | الملكية الفكرية-udp-esp | IP-udp-esp-no-id | esp }

أنواع المصادقة قبل إصدار Cisco SD-WAN 20.6.1
بشكل افتراضي، تستخدم اتصالات نفق IPsec إصدارًا محسّنًا من بروتوكول Encapsulated Security Payload (ESP) للمصادقة. لتعديل أنواع المصادقة التي تم التفاوض عليها أو لتعطيل المصادقة، استخدم الأمر التالي: Device(config)#security ipsec Authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) بشكل افتراضي، IPsec تستخدم اتصالات النفق AES-GCM-256، الذي يوفر كلا من التشفير والمصادقة. قم بتكوين كل نوع مصادقة باستخدام أمر نوع مصادقة أمان ipsec منفصل. يتم تعيين خيارات الأمر لأنواع المصادقة التالية، والتي يتم سردها بالترتيب من الأكثر قوة إلى الأقل قوة:

ملحوظة
يتم استخدام sha1 في خيارات التكوين لأسباب تاريخية. تشير خيارات المصادقة إلى مقدار التحقق من سلامة الحزمة. ولا تحدد الخوارزمية التي تتحقق من السلامة. باستثناء تشفير حركة مرور البث المتعدد، لا تستخدم خوارزميات المصادقة المدعومة بواسطة Cisco Catalyst SD WAN SHA1. ومع ذلك، في الإصدار 20.1.x من Cisco SD-WAN وما بعده، لا يستخدم كل من البث الأحادي والبث المتعدد SHA1.

• يتيح ah-sha1-hmac التشفير والتغليف باستخدام ESP. ومع ذلك، بالإضافة إلى عمليات التحقق من سلامة رأس ESP والحمولة، تتضمن عمليات التحقق أيضًا رؤوس IP وUDP الخارجية. وبالتالي، يدعم هذا الخيار التحقق من سلامة الحزمة بشكل مشابه لبروتوكول رأس المصادقة (AH). يتم تنفيذ كافة التكامل والتشفير باستخدام AES-256-GCM.
• يتيح ah-no-id وضعًا مشابهًا لـ ah-sha1-hmac، ومع ذلك، يتم تجاهل حقل المعرف الخاص برأس IP الخارجي. يناسب هذا الخيار بعض الأجهزة غير التابعة لـ Cisco Catalyst SD-WAN، بما في ذلك Apple AirPort Express NAT، التي تحتوي على خطأ يتسبب في تعديل حقل المعرف في رأس IP، وهو حقل غير قابل للتغيير. قم بتكوين خيار ah-no-id في قائمة أنواع المصادقة لجعل برنامج Cisco Catalyst SD-WAN AH يتجاهل حقل المعرف في رأس IP حتى يتمكن برنامج Cisco Catalyst SD-WAN من العمل مع هذه الأجهزة.
• يتيح sha1-hmac تشفير ESP والتحقق من سلامته.
• لا شيء يعين أي مصادقة. يجب استخدام هذا الخيار فقط إذا كان مطلوبًا للتصحيح المؤقت. يمكنك أيضًا اختيار هذا الخيار في المواقف التي لا تكون فيها مصادقة مستوى البيانات وتكاملها مصدر قلق. لا توصي Cisco باستخدام هذا الخيار لشبكات الإنتاج.

للحصول على معلومات حول حقول حزم البيانات التي تتأثر بأنواع المصادقة هذه، راجع تكامل مستوى البيانات. تعلن أجهزة Cisco IOS XE Catalyst SD-WAN وأجهزة Cisco vEdge عن أنواع المصادقة التي تم تكوينها في خصائص TLOC الخاصة بها. يتفاوض جهازا التوجيه الموجودان على جانبي اتصال نفق IPsec على المصادقة التي سيتم استخدامها في الاتصال بينهما، وذلك باستخدام أقوى نوع مصادقة تم تكوينه على كلا جهازي التوجيه. على سبيل المثالample، إذا أعلن أحد أجهزة التوجيه عن النوعين ah-sha1-hmac وah-no-id، وقام جهاز التوجيه الثاني بالإعلان عن النوع ah-no-id، فإن جهازي التوجيه يتفاوضان لاستخدام ah-no-id على اتصال نفق IPsec بين هم. إذا لم يتم تكوين أي أنواع مصادقة مشتركة على النظيرين، فلن يتم إنشاء نفق IPsec بينهما. تعتمد خوارزمية التشفير في اتصالات نفق IPsec على نوع حركة المرور:

• بالنسبة لحركة المرور أحادية البث، فإن خوارزمية التشفير هي AES-256-GCM.
• لحركة البث المتعدد:
• الإصدار 20.1.x من Cisco SD-WAN والإصدارات الأحدث – خوارزمية التشفير هي AES-256-GCM
• الإصدارات السابقة – خوارزمية التشفير هي AES-256-CBC مع SHA1-HMAC.

عند تغيير نوع مصادقة IPsec، يتم تغيير مفتاح AES لمسار البيانات.

تغيير مؤقت إعادة التشغيل

قبل أن تتمكن أجهزة Cisco IOS XE Catalyst SD-WAN وأجهزة Cisco vEdge من تبادل حركة مرور البيانات، فإنها تقوم بإعداد قناة اتصالات آمنة ومصادق عليها فيما بينها. تستخدم أجهزة التوجيه أنفاق IPSec فيما بينها كقناة، وتشفير AES-256 لإجراء التشفير. يقوم كل جهاز توجيه بإنشاء مفتاح AES جديد لمسار البيانات الخاص به بشكل دوري. بشكل افتراضي، يكون المفتاح صالحًا لمدة 86400 ثانية (24 ساعة)، ويكون نطاق المؤقت من 10 ثوانٍ إلى 1209600 ثانية (14 يومًا). لتغيير قيمة مؤقت إعادة المفتاح: Device(config)# Security ipsec ثواني إعادة المفتاح، يبدو التكوين كما يلي:

• الأمن IPSEC ثواني إعادة المفتاح!

إذا كنت تريد إنشاء مفاتيح IPsec جديدة على الفور، فيمكنك القيام بذلك دون تعديل تكوين جهاز التوجيه. للقيام بذلك، قم بإصدار أمر طلب الأمان ipsecrekey على جهاز التوجيه المخترق. على سبيل المثالample، يُظهر الإخراج التالي أن SA المحلي لديه مؤشر معلمة أمان (SPI) يبلغ 256:

يرتبط المفتاح الفريد بكل SPI. إذا تم اختراق هذا المفتاح، استخدم الأمر request Security ipsec-rekey لإنشاء مفتاح جديد على الفور. يؤدي هذا الأمر إلى زيادة SPI. في السابقين لديناample، يتغير SPI إلى 257 ويتم الآن استخدام المفتاح المرتبط به:

• الجهاز # يطلب مفتاح الأمان ipsecre
• جهاز # عرض IPSEC المحلي SA

بعد إنشاء المفتاح الجديد، يرسله جهاز التوجيه على الفور إلى وحدات تحكم Cisco SD-WAN باستخدام DTLS أو TLS. تقوم وحدات تحكم Cisco SD-WAN بإرسال المفتاح إلى أجهزة التوجيه النظيرة. تبدأ أجهزة التوجيه في استخدامه بمجرد استلامها. لاحظ أن المفتاح المرتبط بـ SPI القديم (256) سيستمر استخدامه لفترة قصيرة حتى تنتهي المهلة. للتوقف عن استخدام المفتاح القديم على الفور، قم بإصدار أمر طلب الأمان ipsec-rekey مرتين، في تتابع سريع. يؤدي تسلسل الأوامر هذا إلى إزالة كل من SPI 256 و257 وتعيين SPI على 258. ثم يستخدم جهاز التوجيه المفتاح المرتبط لـ SPI 258. ومع ذلك، لاحظ أنه سيتم إسقاط بعض الحزم لفترة قصيرة من الوقت حتى تتعلم جميع أجهزة التوجيه البعيدة المفتاح الجديد.

قم بتغيير حجم نافذة منع إعادة التشغيل

توفر مصادقة IPsec حماية ضد إعادة التشغيل عن طريق تعيين رقم تسلسلي فريد لكل حزمة في دفق البيانات. يحمي هذا الترقيم التسلسلي من قيام المهاجم بتكرار حزم البيانات. من خلال الحماية ضد إعادة التشغيل، يقوم المرسل بتعيين أرقام تسلسلية متزايدة بشكل رتيب، وتتحقق الوجهة من هذه الأرقام التسلسلية لاكتشاف التكرارات. ونظرًا لأن الحزم غالبًا لا تصل بالترتيب، فإن الوجهة تحتفظ بنافذة منزلقة من الأرقام التسلسلية التي ستقبلها.

تعتبر الحزم ذات الأرقام التسلسلية التي تقع على يسار نطاق النافذة المنزلقة قديمة أو مكررة، وتسقطها الوجهة. تقوم الوجهة بتتبع أعلى رقم تسلسل تلقته، وتقوم بضبط النافذة المنزلقة عندما تتلقى حزمة ذات قيمة أعلى.

افتراضيًا، يتم تعيين النافذة المنزلقة على 512 حزمة. يمكن ضبطها على أي قيمة بين 64 و4096 وهي قوة 2 (أي 64 أو 128 أو 256 أو 512 أو 1024 أو 2048 أو 4096). لتعديل حجم نافذة منع إعادة التشغيل، استخدم أمر replay-window، مع تحديد حجم النافذة:

الجهاز (التكوين) # رقم نافذة إعادة تشغيل أمان IPSec

التكوين يبدو مثل هذا:
رقم نافذة إعادة تشغيل IPSEC للأمان! !

للمساعدة في جودة الخدمة، يتم الحفاظ على نوافذ إعادة تشغيل منفصلة لكل قناة من قنوات المرور الثمانية الأولى. يتم تقسيم حجم نافذة إعادة التشغيل التي تم تكوينها على ثمانية لكل قناة. إذا تم تكوين جودة الخدمة على جهاز توجيه، فقد يواجه جهاز التوجيه هذا عددًا أكبر من المتوقع من حالات إسقاط الحزم نتيجة لآلية منع إعادة التشغيل IPsec، كما أن العديد من الحزم التي تم إسقاطها هي حزم شرعية. يحدث هذا لأن جودة الخدمة تعيد ترتيب الحزم، مما يمنح الحزم ذات الأولوية الأعلى معاملة تفضيلية ويؤخر الحزم ذات الأولوية المنخفضة. لتقليل أو منع هذا الموقف، يمكنك القيام بما يلي:

• زيادة حجم نافذة مكافحة إعادة التشغيل.
• قم بتصميم حركة المرور على قنوات المرور الثمانية الأولى لضمان عدم إعادة ترتيب حركة المرور داخل القناة.

قم بتكوين أنفاق IPsec التي تدعم IKE
لنقل حركة المرور بشكل آمن من شبكة التراكب إلى شبكة خدمة، يمكنك تكوين أنفاق IPsec التي تقوم بتشغيل بروتوكول Internet Key Exchange (IKE). توفر أنفاق IPsec التي تدعم IKE المصادقة والتشفير لضمان النقل الآمن للحزم. يمكنك إنشاء نفق IPsec ممكّن لـ IKE عن طريق تكوين واجهة IPsec. واجهات IPsec هي واجهات منطقية، ويمكنك تكوينها تمامًا مثل أي واجهة فعلية أخرى. يمكنك تكوين معلمات بروتوكول IKE على واجهة IPsec، ويمكنك تكوين خصائص الواجهة الأخرى.

ملحوظة توصي Cisco باستخدام IKE الإصدار 2. بدءًا من إصدار Cisco SD-WAN 19.2.x وما بعده، يجب أن يبلغ طول المفتاح المشترك مسبقًا 16 بايت على الأقل. يفشل إنشاء نفق IPsec إذا كان حجم المفتاح أقل من 16 حرفًا عند ترقية جهاز التوجيه إلى الإصدار 19.2.

ملحوظة
يدعم برنامج Cisco Catalyst SD-WAN إصدار IKE 2 كما هو محدد في RFC 7296. أحد الاستخدامات لأنفاق IPsec هو السماح لمثيلات VM لجهاز التوجيه vEdge Cloud التي تعمل على Amazon AWS بالاتصال بسحابة Amazon الافتراضية الخاصة (VPC). يجب عليك تكوين IKE الإصدار 1 على أجهزة التوجيه هذه. تدعم أجهزة Cisco vEdge شبكات VPN المستندة إلى المسار فقط في تكوين IPSec لأن هذه الأجهزة لا يمكنها تحديد محددات حركة المرور في مجال التشفير.

تكوين نفق IPsec
لتكوين واجهة نفق IPsec لحركة مرور النقل الآمنة من شبكة الخدمة، يمكنك إنشاء واجهة IPsec منطقية:

يمكنك إنشاء نفق IPsec في شبكة VPN الخاصة بالنقل (VPN 0) وفي أي خدمة VPN (VPN من 1 إلى 65530، باستثناء 512). واجهة IPsec لها اسم بالتنسيق ipsecnumber، حيث يمكن أن يكون الرقم من 1 إلى 255. يجب أن يكون لكل واجهة IPsec عنوان IPv4. يجب أن يكون هذا العنوان بادئة /30. يتم توجيه كل حركة المرور في VPN الموجودة ضمن بادئة IPv4 هذه إلى واجهة فعلية في VPN 0 ليتم إرسالها بشكل آمن عبر نفق IPsec. لتكوين مصدر نفق IPsec على الجهاز المحلي، يمكنك تحديد عنوان IP الخاص بالجهاز المحلي. الواجهة الفعلية (في أمر Tunnel-source) أو اسم الواجهة الفعلية (في أمر Tunnel-source-interface). تأكد من تكوين الواجهة الفعلية في VPN 0. لتكوين وجهة نفق IPsec، حدد عنوان IP للجهاز البعيد في أمر Tunnel-Destination. يحدد الجمع بين عنوان المصدر (أو اسم واجهة المصدر) وعنوان الوجهة نفق IPsec واحد. يمكن أن يوجد فقط نفق IPsec واحد يستخدم عنوان مصدر محدد (أو اسم واجهة) وزوج عنوان الوجهة.

قم بتكوين مسار IPsec الثابت

لتوجيه حركة المرور من خدمة VPN إلى نفق IPsec في VPN النقل (VPN 0)، يمكنك تكوين مسار ثابت خاص بـ IPsec في خدمة VPN (VPN غير VPN 0 أو VPN 512):

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# بادئة مسار IP ipsec/واجهة طول vpn 0
• رقم ipsec [رقم ipsecnumber2]

معرف VPN هو معرف أي خدمة VPN (VPN من 1 إلى 65530، باستثناء 512). البادئة/الطول هي عنوان IP أو البادئة، بتدوين عشري من أربعة أجزاء، وطول البادئة للمسار الثابت الخاص بـ IPsec. الواجهة هي واجهة نفق IPsec في VPN 0. يمكنك تكوين واجهة أو اثنتين من واجهات نفق IPsec. إذا قمت بتكوين اثنين، الأول هو نفق IPsec الأساسي والثاني هو النسخ الاحتياطي. مع وجود واجهتين، يتم إرسال كافة الحزم إلى النفق الأساسي فقط. إذا فشل هذا النفق، فسيتم بعد ذلك إرسال كافة الحزم إلى النفق الثانوي. إذا عاد النفق الأساسي مرة أخرى، فسيتم نقل كل حركة المرور مرة أخرى إلى نفق IPsec الأساسي.

تمكين IKE الإصدار 1
عندما تقوم بإنشاء نفق IPsec على جهاز توجيه vEdge، يتم تمكين الإصدار 1 من IKE بشكل افتراضي على واجهة النفق. يتم أيضًا تمكين الخصائص التالية افتراضيًا لـ IKEv1:

• المصادقة والتشفير — التشفير المتقدم AES-256، تشفير CBC القياسي مع خوارزمية رمز مصادقة رسالة التجزئة ذات المفاتيح HMAC-SHA1 لتحقيق التكامل
• رقم مجموعة ديفي هيلمان — 16
• إعادة الفاصل الزمني - 4 ساعات
• وضع إنشاء SA — رئيسي

افتراضيًا، يستخدم IKEv1 وضع IKE الرئيسي لإنشاء IKE SAs. في هذا الوضع، يتم تبادل ست حزم تفاوض لإنشاء ضمان البرنامج. لتبادل ثلاث حزم تفاوض فقط، قم بتمكين الوضع العدواني:

ملحوظة
يجب تجنب وضع IKE العدواني مع المفاتيح المشتركة مسبقًا حيثما أمكن ذلك. وإلا فيجب اختيار مفتاح قوي مشترك مسبقًا.

• vEdge(config)# vpn vpn-id واجهة IPSec رقم ike
• vEdge(config-ike)# الوضع العدواني

افتراضيًا، يستخدم IKEv1 مجموعة Diffie-Hellman 16 في تبادل مفاتيح IKE. تستخدم هذه المجموعة المجموعة الأسية المعيارية (MODP) ذات 4096 بت أثناء تبادل مفاتيح IKE. يمكنك تغيير رقم المجموعة إلى 2 (لـ 1024 بت MODP)، أو 14 (2048 بت MODP)، أو 15 (3072 بت MODP):

• vEdge(config)# vpn vpn-id واجهة IPSec رقم ike
• vEdge(config-ike)# رقم المجموعة

افتراضيًا، يستخدم تبادل مفاتيح IKE تشفير CBC القياسي المتقدم AES-256 مع خوارزمية رمز مصادقة رسالة التجزئة المفتاحية HMAC-SHA1 من أجل التكامل. يمكنك تغيير المصادقة:

• vEdge(config)# vpn vpn-id واجهة IPSec رقم ike
• vEdge(config-ike)# مجموعة مجموعة التشفير

يمكن أن تكون مجموعة المصادقة واحدة مما يلي:

• aes128-cbc-sha1—AES-128 التشفير المتقدم القياسي CBC مع خوارزمية رمز مصادقة رسالة التجزئة المفتاحية HMAC-SHA1 لتحقيق التكامل
• aes128-cbc-sha2—AES-128 التشفير المتقدم القياسي CBC مع خوارزمية رمز مصادقة رسالة التجزئة المفتاحية HMAC-SHA256 لتحقيق التكامل
• aes256-cbc-sha1 — تشفير CBC القياسي القياسي AES-256 مع خوارزمية رمز مصادقة رسالة التجزئة ذات المفاتيح HMAC-SHA1 من أجل التكامل؛ هذا هو الافتراضي.
• aes256-cbc-sha2—AES-256 التشفير المتقدم القياسي CBC مع خوارزمية رمز مصادقة رسالة التجزئة المفتاحية HMAC-SHA256 لتحقيق التكامل

افتراضيًا، يتم تحديث مفاتيح IKE كل ساعة (1 ثانية). يمكنك تغيير الفاصل الزمني لإعادة المفتاح إلى قيمة تتراوح من 3600 ثانية إلى 30 يومًا (14 ثانية). يوصى بأن تكون فترة إعادة التشغيل ساعة واحدة على الأقل.

• vEdge(config)# رقم IPSEC لواجهة VPN-id مثل
• vEdge(config-ike)# ثانية إعادة المفتاح

لفرض إنشاء مفاتيح جديدة لجلسة IKE، قم بإصدار أمر الطلب ipsec ike-rekey.

• vEdge(config)# واجهة vpn vpn-id رقم IPSec ike

بالنسبة إلى IKE، يمكنك أيضًا تكوين مصادقة المفتاح المشترك مسبقًا (PSK):

• vEdge(config)# vpn vpn-id واجهة IPSec رقم ike
• vEdge(config-ike)# نوع المصادقة، مفتاح مشترك مسبقًا، كلمة مرور سرية مشتركة مسبقًا، كلمة المرور هي كلمة المرور المستخدمة مع المفتاح المشترك مسبقًا. يمكن أن يكون ASCII أو سلسلة سداسية عشرية يتراوح طولها من 1 إلى 127 حرفًا.

إذا كان نظير IKE البعيد يتطلب معرفًا محليًا أو بعيدًا، فيمكنك تكوين هذا المعرف:

• vEdge(config)# واجهة vpn vpn-id رقم IPSEC مثل نوع المصادقة
• vEdge(config-authentication-type)# معرف المعرف المحلي
• vEdge(config-authentication-type)# معرف المعرف البعيد

يمكن أن يكون المعرف عنوان IP أو أي سلسلة نصية يتراوح طولها من 1 إلى 63 حرفًا. افتراضيًا، المعرف المحلي هو عنوان IP المصدر للنفق والمعرف البعيد هو عنوان IP الوجهة للنفق.

تمكين IKE الإصدار 2
عندما تقوم بتكوين نفق IPsec لاستخدام IKE الإصدار 2، يتم أيضًا تمكين الخصائص التالية افتراضيًا لـ IKEv2:

• المصادقة والتشفير — التشفير المتقدم AES-256، تشفير CBC القياسي مع خوارزمية رمز مصادقة رسالة التجزئة ذات المفاتيح HMAC-SHA1 لتحقيق التكامل
• رقم مجموعة ديفي هيلمان — 16
• إعادة الفاصل الزمني - 4 ساعات

افتراضيًا، يستخدم IKEv2 مجموعة Diffie-Hellman 16 في تبادل مفاتيح IKE. تستخدم هذه المجموعة المجموعة الأسية المعيارية (MODP) ذات 4096 بت أثناء تبادل مفاتيح IKE. يمكنك تغيير رقم المجموعة إلى 2 (لـ 1024 بت MODP)، أو 14 (2048 بت MODP)، أو 15 (3072 بت MODP):

• vEdge(config)# واجهة vpn vpn-id ipsecnumber ike
• vEdge(config-ike)# رقم المجموعة

افتراضيًا، يستخدم تبادل مفاتيح IKE تشفير CBC القياسي المتقدم AES-256 مع خوارزمية رمز مصادقة رسالة التجزئة المفتاحية HMAC-SHA1 من أجل التكامل. يمكنك تغيير المصادقة:

• vEdge(config)# واجهة vpn vpn-id ipsecnumber ike
• vEdge(config-ike)# مجموعة مجموعة التشفير

يمكن أن تكون مجموعة المصادقة واحدة مما يلي:

• aes128-cbc-sha1—AES-128 التشفير المتقدم القياسي CBC مع خوارزمية رمز مصادقة رسالة التجزئة المفتاحية HMAC-SHA1 لتحقيق التكامل
• aes128-cbc-sha2—AES-128 التشفير المتقدم القياسي CBC مع خوارزمية رمز مصادقة رسالة التجزئة المفتاحية HMAC-SHA256 لتحقيق التكامل
• aes256-cbc-sha1 — تشفير CBC القياسي القياسي AES-256 مع خوارزمية رمز مصادقة رسالة التجزئة ذات المفاتيح HMAC-SHA1 من أجل التكامل؛ هذا هو الافتراضي.
• aes256-cbc-sha2—AES-256 التشفير المتقدم القياسي CBC مع خوارزمية رمز مصادقة رسالة التجزئة المفتاحية HMAC-SHA256 لتحقيق التكامل

افتراضيًا، يتم تحديث مفاتيح IKE كل 4 ساعات (14,400 ثانية). يمكنك تغيير الفاصل الزمني لإعادة المفتاح إلى قيمة تتراوح من 30 ثانية إلى 14 يومًا (1209600 ثانية):

• vEdge(config)# واجهة vpn vpn-id ipsecnumber ike
• vEdge(config-ike)# ثانية إعادة المفتاح

لفرض إنشاء مفاتيح جديدة لجلسة IKE، قم بإصدار أمر الطلب ipsec ike-rekey. بالنسبة إلى IKE، يمكنك أيضًا تكوين مصادقة المفتاح المشترك مسبقًا (PSK):

• vEdge(config)# واجهة vpn vpn-id ipsecnumber ike
• vEdge(config-ike)# نوع المصادقة، مفتاح مشترك مسبقًا، كلمة مرور سرية مشتركة مسبقًا، كلمة المرور هي كلمة المرور المستخدمة مع المفتاح المشترك مسبقًا. يمكن أن يكون ASCII أو سلسلة سداسية عشرية، أو يمكن أن يكون مفتاحًا مشفرًا بـ AES. إذا كان نظير IKE البعيد يتطلب معرفًا محليًا أو بعيدًا، فيمكنك تكوين هذا المعرف:
• vEdge(config)# واجهة vpn vpn-id ipsecnumber ike نوع المصادقة
• vEdge(config-authentication-type)# معرف المعرف المحلي
• vEdge(config-authentication-type)# معرف المعرف البعيد

يمكن أن يكون المعرف عنوان IP أو أي سلسلة نصية يتراوح طولها من 1 إلى 64 حرفًا. افتراضيًا، المعرف المحلي هو عنوان IP المصدر للنفق والمعرف البعيد هو عنوان IP الوجهة للنفق.

تكوين معلمات نفق IPsec

الجدول 4: ميزة التاريخ

ميزة اسم	معلومات الإصدار	وصف
تشفير إضافي	إصدار Cisco SD-WAN 20.1.1	تضيف هذه الميزة دعمًا لـ
دعم خوارزمي لـ IPSec		HMAC_SHA256، HMAC_SHA384، و
الأنفاق		خوارزميات HMAC_SHA512 لـ
		تعزيز الأمن.

افتراضيًا، يتم استخدام المعلمات التالية في نفق IPsec الذي ينقل حركة مرور IKE:

• المصادقة والتشفير — خوارزمية AES-256 في GCM (وضع Galois/counter)
• الفاصل الزمني لإعادة التشغيل - 4 ساعات
• نافذة إعادة التشغيل — 32 حزمة

يمكنك تغيير التشفير في نفق IPsec إلى تشفير AES-256 في CBC (وضع تسلسل كتلة التشفير، مع HMAC باستخدام إما مصادقة رسالة التجزئة ذات المفاتيح SHA-1 أو SHA-2 أو إلى الصفر مع HMAC باستخدام إما SHA-1 أو مصادقة رسالة التجزئة ذات المفاتيح SHA-2، لعدم تشفير نفق IPsec المستخدم لحركة تبادل مفاتيح IKE:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# مجموعة التشفير (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256-خالية-sha384 | aes256-خالية-sha512)

افتراضيًا، يتم تحديث مفاتيح IKE كل 4 ساعات (14,400 ثانية). يمكنك تغيير الفاصل الزمني لإعادة المفتاح إلى قيمة تتراوح من 30 ثانية إلى 14 يومًا (1209600 ثانية):

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# ثانية إعادة المفتاح

لفرض إنشاء مفاتيح جديدة لنفق IPsec، قم بإصدار أمر الطلب ipsec ipsec-rekey. افتراضيًا، يتم تمكين السرية التامة للأمام (PFS) على أنفاق IPsec، لضمان عدم تأثر الجلسات السابقة في حالة اختراق المفاتيح المستقبلية. يفرض PFS تبادل مفاتيح Diffie-Hellman جديد، بشكل افتراضي باستخدام مجموعة الوحدات الأولية Diffie-Hellman ذات 4096 بت. يمكنك تغيير إعداد PFS:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# إعداد pfs للسرية التامة

يمكن أن يكون إعداد pfs واحدًا مما يلي:

• المجموعة 2 — استخدم مجموعة معامل Diffie-Hellman الأولية 1024 بت.
• المجموعة 14 — استخدم مجموعة معامل Diffie-Hellman الأولية 2048 بت.
• المجموعة 15 — استخدم مجموعة معامل Diffie-Hellman الأولية 3072 بت.
• المجموعة 16 - استخدم مجموعة معامل Diffie-Hellman الأولية 4096 بت. هذا هو الافتراضي.
• لا شيء - تعطيل PFS.

افتراضيًا، يبلغ حجم نافذة إعادة تشغيل IPsec على نفق IPsec 512 بايت. يمكنك ضبط حجم نافذة إعادة التشغيل على 64 أو 128 أو 256 أو 512 أو 1024 أو 2048 أو 4096 حزمة:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# رقم نافذة إعادة التشغيل

تعديل كشف IKE الميت للأقران

يستخدم IKE آلية الكشف عن الأقران الميتة لتحديد ما إذا كان الاتصال بنظير IKE فعالاً ويمكن الوصول إليه. لتنفيذ هذه الآلية، يرسل IKE حزمة ترحيب إلى نظيره، ويرسل النظير إقرارًا ردًا على ذلك. افتراضيًا، يرسل IKE حزم الترحيب كل 10 ثوانٍ، وبعد ثلاث حزم لم يتم الإقرار بها، يعلن IKE أن الجار قد مات ويمزق النفق إلى النظير. بعد ذلك، يرسل IKE بشكل دوري حزمة مرحبا إلى النظير، ويعيد إنشاء النفق عندما يعود النظير إلى الإنترنت مرة أخرى. يمكنك تغيير الفاصل الزمني للكشف عن النشاط إلى قيمة من 0 إلى 65535، ويمكنك تغيير عدد مرات إعادة المحاولة إلى قيمة من 0 إلى 255.

ملحوظة

بالنسبة لشبكات VPN الخاصة بالنقل، يتم تحويل الفاصل الزمني لاكتشاف الحيوية إلى ثوانٍ باستخدام الصيغة التالية: الفاصل الزمني لمحاولة إعادة الإرسال رقم N = الفاصل الزمني * 1.8N-1For example، إذا تم ضبط الفاصل الزمني على 10 وإعادة المحاولة على 5، فسيزداد الفاصل الزمني للاكتشاف كما يلي:

• المحاولة 1: 10 * 1.81-1 = 10 ثواني
• محاولة 2: 10 * 1.82-1 = 18 ثواني
• محاولة 3: 10 * 1.83-1 = 32.4 ثواني
• محاولة 4: 10 * 1.84-1 = 58.32 ثواني
• محاولة 5: 10 * 1.85-1 = 104.976 ثواني

vEdge(config-interface-ipsecnumber)# رقم إعادة المحاولة للفاصل الزمني لاكتشاف النظير الميت

تكوين خصائص الواجهة الأخرى

بالنسبة لواجهات نفق IPsec، يمكنك تكوين خصائص الواجهة الإضافية التالية فقط:

• vEdge(config-interface-ipsec)# mtu بايت
• vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

قم بتعطيل خوارزميات تشفير SSH الضعيفة على Cisco SD-WAN Manager

الجدول 5: جدول محفوظات الميزات

ميزة اسم	معلومات الإصدار	ميزة وصف
قم بتعطيل خوارزميات تشفير SSH الضعيفة على Cisco SD-WAN Manager	إصدار Cisco vManage 20.9.1	تتيح لك هذه الميزة تعطيل خوارزميات SSH الأضعف على Cisco SD-WAN Manager والتي قد لا تتوافق مع معايير معينة لأمن البيانات.

معلومات حول تعطيل خوارزميات تشفير SSH الضعيفة على Cisco SD-WAN Manager
يوفر Cisco SD-WAN Manager عميل SSH للاتصال بالمكونات الموجودة في الشبكة، بما في ذلك وحدات التحكم وأجهزة الحافة. يوفر عميل SSH اتصالاً مشفرًا لنقل البيانات بشكل آمن، استنادًا إلى مجموعة متنوعة من خوارزميات التشفير. تتطلب العديد من المؤسسات تشفيرًا أقوى من ذلك الذي توفره SHA-1 وAES-128 وAES-192. من Cisco vManage Release 20.9.1، يمكنك تعطيل خوارزميات التشفير الأضعف التالية بحيث لا يستخدم عميل SSH هذه الخوارزميات:

• إس إتش إيه-1
• AES-128
• AES-192

قبل تعطيل خوارزميات التشفير هذه، تأكد من أن أجهزة Cisco vEdge، إن وجدت، في الشبكة، تستخدم إصدار برنامج أحدث من الإصدار 18.4.6 من Cisco SD-WAN.

فوائد تعطيل خوارزميات تشفير SSH الضعيفة على Cisco SD-WAN Manager
يؤدي تعطيل خوارزميات تشفير SSH الأضعف إلى تحسين أمان اتصالات SSH، ويضمن امتثال المؤسسات التي تستخدم Cisco Catalyst SD-WAN للوائح الأمنية الصارمة.

قم بتعطيل خوارزميات تشفير SSH الضعيفة على Cisco SD-WAN Manager باستخدام CLI

1. من قائمة Cisco SD-WAN Manager، اختر Tools > SSH Terminal.
2. اختر جهاز Cisco SD-WAN Manager الذي ترغب في تعطيل خوارزميات SSH الأضعف عليه.
3. أدخل اسم المستخدم وكلمة المرور لتسجيل الدخول إلى الجهاز.
4. أدخل وضع خادم SSH.
   • vmanage(config)# النظام
   • vmanage(config-system)# خادم ssh
5. قم بأحد الإجراءات التالية لتعطيل خوارزمية تشفير SSH:
   • تعطيل SHA-1:
6. Manage(config-ssh-server)# no kex-algo sha1
7. إدارة (config-ssh-server)# الالتزام
   يتم عرض رسالة التحذير التالية: تم إنشاء التحذيرات التالية: 'system ssh-server kex-algo sha1': تحذير: يرجى التأكد من تشغيل كافة الحواف لإصدار التعليمات البرمجية > 18.4.6 الذي يتفاوض بشكل أفضل من SHA1 مع vManage. وإلا فقد تصبح هذه الحواف غير متصلة بالإنترنت. يتابع؟ [نعم، لا] نعم
   • تأكد من أن أي أجهزة Cisco vEdge في الشبكة تعمل بالإصدار 18.4.6 من Cisco SD-WAN أو إصدار أحدث وأدخل نعم.
   • تعطيل AES-128 وAES-192:
   • vmanage(config-ssh-server)# بدون تشفير aes-128-192
   • vmanage(config-ssh-server)# الالتزام
     يتم عرض رسالة التحذير التالية:
     تم إنشاء التحذيرات التالية:
     'system ssh-server cipher aes-128-192': تحذير: يرجى التأكد من تشغيل جميع حوافك لإصدار التعليمات البرمجية> 18.4.6 الذي يتفاوض بشكل أفضل من AES-128-192 مع vManage. وإلا فقد تصبح هذه الحواف غير متصلة بالإنترنت. يتابع؟ [نعم، لا] نعم
   • تأكد من أن أي أجهزة Cisco vEdge في الشبكة تعمل بالإصدار 18.4.6 من Cisco SD-WAN أو إصدار أحدث وأدخل نعم.

تحقق من تعطيل خوارزميات تشفير SSH الضعيفة على Cisco SD-WAN Manager باستخدام CLI

1. من قائمة Cisco SD-WAN Manager، اختر Tools > SSH Terminal.
2. حدد جهاز Cisco SD-WAN Manager الذي ترغب في التحقق منه.
3. أدخل اسم المستخدم وكلمة المرور لتسجيل الدخول إلى الجهاز.
4. قم بتشغيل الأمر التالي: إظهار خادم ssh لنظام التشغيل
5. تأكد من أن الإخراج يعرض واحدًا أو أكثر من الأوامر التي تعمل على تعطيل خوارزميات التشفير الأضعف:
   • لا يوجد تشفير AES-128-192
   • لا يوجد kex-algo sha1

المستندات / الموارد

CISCO SD-WAN تكوين معلمات الأمان [بي دي اف] دليل المستخدم SD-WAN تكوين معلمات الأمان، SD-WAN، تكوين معلمات الأمان، معلمات الأمان

مراجع

• دليل المستخدم