বিষয়বস্তু লুকান
1 CISCO SD-WAN নিরাপত্তা পরামিতি কনফিগার করুন
2 নিরাপত্তা পরামিতি কনফিগার করুন
3 কন্ট্রোল প্লেন সিকিউরিটি প্যারামিটার কনফিগার করুন
4 Cisco SD-WAN ম্যানেজারে DTLS কনফিগার করুন
5 ডেটা প্লেন নিরাপত্তা পরামিতি কনফিগার করুন
6 অনুমোদিত প্রমাণীকরণ প্রকারগুলি কনফিগার করুন৷
7 Rekeying টাইমার পরিবর্তন করুন
8 অ্যান্টি-রিপ্লে উইন্ডোর আকার পরিবর্তন করুন
9 একটি IPsec স্ট্যাটিক রুট কনফিগার করুন
10 IPsec টানেল প্যারামিটার কনফিগার করুন
11 IKE ডেড-পিয়ার সনাক্তকরণ পরিবর্তন করুন
12 অন্যান্য ইন্টারফেস বৈশিষ্ট্য কনফিগার করুন
13 Cisco SD-WAN ম্যানেজারে দুর্বল SSH এনক্রিপশন অ্যালগরিদম অক্ষম করুন৷
14 দলিল/সম্পদ
14.1 তথ্যসূত্র

সিসকো-লোগো

CISCO SD-WAN নিরাপত্তা পরামিতি কনফিগার করুন

CISCO-SD-WAN-কনফিগার-নিরাপত্তা-প্যারামিটার-প্রডাক্ট

নিরাপত্তা পরামিতি কনফিগার করুন

দ্রষ্টব্য

সরলীকরণ এবং ধারাবাহিকতা অর্জনের জন্য, Cisco SD-WAN সমাধানটিকে Cisco ক্যাটালিস্ট SD-WAN হিসাবে পুনঃব্র্যান্ড করা হয়েছে৷ এছাড়াও, Cisco IOS XE SD-WAN রিলিজ 17.12.1a এবং Cisco Catalyst SD-WAN রিলিজ 20.12.1 থেকে, নিম্নলিখিত উপাদান পরিবর্তনগুলি প্রযোজ্য: Cisco vManage থেকে Cisco Catalyst SD-WAN ম্যানেজার, Cisco vAnalytics থেকে Catalyst- Analytics, Cisco vBond থেকে Cisco Catalyst SD-WAN ভ্যালিডেটর, এবং Cisco vSmart থেকে Cisco ক্যাটালিস্ট SD-WAN কন্ট্রোলার। সমস্ত উপাদান ব্র্যান্ড নাম পরিবর্তনের একটি বিস্তৃত তালিকার জন্য সর্বশেষ রিলিজ নোট দেখুন। আমরা যখন নতুন নাম পরিবর্তন করি, তখন সফ্টওয়্যার পণ্যের ইউজার ইন্টারফেস আপডেটের পর্যায়ক্রমে পদ্ধতির কারণে কিছু অসঙ্গতি ডকুমেন্টেশন সেটে উপস্থিত থাকতে পারে।

সিসকো ক্যাটালিস্ট SD-WAN ওভারলে নেটওয়ার্কে কন্ট্রোল প্লেন এবং ডেটা প্লেনের জন্য নিরাপত্তা প্যারামিটারগুলি কীভাবে পরিবর্তন করতে হয় তা এই বিভাগটি বর্ণনা করে।

  • কন্ট্রোল প্লেন নিরাপত্তা প্যারামিটার কনফিগার করুন, চালু করুন
  • ডেটা প্লেন নিরাপত্তা পরামিতি কনফিগার করুন, চালু করুন
  • IKE-সক্ষম IPsec টানেল কনফিগার করুন, চালু করুন
  • Cisco SD-WAN ম্যানেজারে দুর্বল SSH এনক্রিপশন অ্যালগরিদম অক্ষম করুন

কন্ট্রোল প্লেন সিকিউরিটি প্যারামিটার কনফিগার করুন

ডিফল্টরূপে, কন্ট্রোল প্লেন DTLS কে প্রোটোকল হিসাবে ব্যবহার করে যা এর সমস্ত টানেলের গোপনীয়তা প্রদান করে। DTLS UDP এর উপর চলে। আপনি কন্ট্রোল প্লেন সিকিউরিটি প্রোটোকল টিএলএস-এ পরিবর্তন করতে পারেন, যা টিসিপি-র উপর চলে। TLS ব্যবহার করার প্রাথমিক কারণ হল, আপনি যদি Cisco SD-WAN কন্ট্রোলারকে একটি সার্ভার হিসাবে বিবেচনা করেন, ফায়ারওয়ালগুলি TCP সার্ভারগুলিকে UDP সার্ভারের চেয়ে ভাল রক্ষা করে। আপনি একটি Cisco SD-WAN কন্ট্রোলারে কন্ট্রোল প্লেন টানেল প্রোটোকল কনফিগার করেন: vSmart(config)# সিকিউরিটি কন্ট্রোল প্রোটোকল tls এই পরিবর্তনের সাথে, সিসকো SD-WAN কন্ট্রোলার এবং রাউটারগুলির মধ্যে এবং Cisco SD-WAN কন্ট্রোলারের মধ্যে সমস্ত কন্ট্রোল প্লেন টানেল এবং Cisco SD-WAN ম্যানেজার TLS ব্যবহার করে। Cisco ক্যাটালিস্ট SD-WAN ভ্যালিডেটরে প্লেন টানেলগুলি নিয়ন্ত্রণ করুন সর্বদা DTLS ব্যবহার করুন, কারণ এই সংযোগগুলি অবশ্যই UDP দ্বারা পরিচালনা করা উচিত। একাধিক Cisco SD-WAN কন্ট্রোলার সহ একটি ডোমেনে, আপনি যখন Cisco SD-WAN কন্ট্রোলারগুলির একটিতে TLS কনফিগার করেন, তখন সেই কন্ট্রোলার থেকে অন্য কন্ট্রোলারের সমস্ত কন্ট্রোল প্লেন টানেল TLS ব্যবহার করে৷ অন্যভাবে বলেছেন, TLS সর্বদা DTLS এর চেয়ে অগ্রাধিকার নেয়। যাইহোক, অন্যান্য Cisco SD-WAN কন্ট্রোলারের দৃষ্টিকোণ থেকে, আপনি যদি তাদের উপর TLS কনফিগার না করে থাকেন, তবে তারা শুধুমাত্র একটি Cisco SD-WAN কন্ট্রোলারের জন্য কন্ট্রোল প্লেন টানেলে TLS ব্যবহার করে, এবং তারা অন্য সকলের জন্য DTLS টানেল ব্যবহার করে। Cisco SD-WAN কন্ট্রোলার এবং তাদের সমস্ত সংযুক্ত রাউটারে। সমস্ত Cisco SD-WAN কন্ট্রোলার TLS ব্যবহার করতে, তাদের সকলের উপর এটি কনফিগার করুন। ডিফল্টরূপে, Cisco SD-WAN কন্ট্রোলার TLS অনুরোধের জন্য পোর্ট 23456-এ শোনে। এটি পরিবর্তন করতে: vSmart(config)# নিরাপত্তা নিয়ন্ত্রণ tls-পোর্ট নম্বর পোর্টটি 1025 থেকে 65535 পর্যন্ত একটি সংখ্যা হতে পারে। কন্ট্রোল প্লেন নিরাপত্তা তথ্য প্রদর্শন করতে, Cisco SD-WAN কন্ট্রোলারে শো কন্ট্রোল কানেকশন কমান্ড ব্যবহার করুন। প্রাক্তন জন্যample: vSmart-2# নিয়ন্ত্রণ সংযোগ দেখান

CISCO-SD-WAN-কনফিগার-নিরাপত্তা-প্যারামিটার-FIG-1

Cisco SD-WAN ম্যানেজারে DTLS কনফিগার করুন

আপনি যদি TLS-কে কন্ট্রোল প্লেন সিকিউরিটি প্রোটোকল হিসেবে ব্যবহার করতে Cisco SD-WAN ম্যানেজার কনফিগার করেন, তাহলে আপনাকে অবশ্যই আপনার NAT-এ পোর্ট ফরওয়ার্ডিং সক্ষম করতে হবে। আপনি যদি কন্ট্রোল প্লেন সিকিউরিটি প্রোটোকল হিসাবে DTLS ব্যবহার করেন তবে আপনাকে কিছু করার দরকার নেই। ফরোয়ার্ড করা পোর্টের সংখ্যা নির্ভর করে Cisco SD-WAN ম্যানেজারে চলমান vdaemon প্রক্রিয়ার সংখ্যার উপর। এই প্রক্রিয়াগুলি সম্পর্কে এবং ফরোয়ার্ড করা পোর্টের সংখ্যা সম্পর্কে তথ্য প্রদর্শন করতে, শো কন্ট্রোল সারাংশ কমান্ড ব্যবহার করুন দেখায় যে চারটি ডেমন প্রক্রিয়া চলছে:CISCO-SD-WAN-কনফিগার-নিরাপত্তা-প্যারামিটার-FIG-2

লিসেনিং পোর্ট দেখতে, show control local-properties কমান্ড ব্যবহার করুন: vManage# show control local-properties

CISCO-SD-WAN-কনফিগার-নিরাপত্তা-প্যারামিটার-FIG-3

এই আউটপুটটি দেখায় যে শোনার TCP পোর্ট হল 23456। আপনি যদি NAT এর পিছনে Cisco SD-WAN ম্যানেজার চালান, তাহলে আপনাকে NAT ডিভাইসে নিম্নলিখিত পোর্টগুলি খুলতে হবে:

  • 23456 (বেস - উদাহরণ 0 পোর্ট)
  • 23456 + 100 (বেস + 100)
  • 23456 + 200 (বেস + 200)
  • 23456 + 300 (বেস + 300)

উল্লেখ্য যে, দৃষ্টান্তের সংখ্যা আপনার সিসকো SD-WAN ম্যানেজারের জন্য নির্ধারিত কোরের সংখ্যার সমান, সর্বোচ্চ 8 পর্যন্ত।

নিরাপত্তা বৈশিষ্ট্য টেমপ্লেট ব্যবহার করে নিরাপত্তা প্যারামিটার কনফিগার করুন

সমস্ত Cisco vEdge ডিভাইসের জন্য নিরাপত্তা বৈশিষ্ট্য টেমপ্লেট ব্যবহার করুন। প্রান্ত রাউটারে এবং Cisco SD-WAN ভ্যালিডেটরে, ডেটা সমতল নিরাপত্তার জন্য IPsec কনফিগার করতে এই টেমপ্লেটটি ব্যবহার করুন। Cisco SD-WAN ম্যানেজার এবং Cisco SD-WAN কন্ট্রোলারে, কন্ট্রোল প্লেন নিরাপত্তার জন্য DTLS বা TLS কনফিগার করতে নিরাপত্তা বৈশিষ্ট্য টেমপ্লেট ব্যবহার করুন।

নিরাপত্তা পরামিতি কনফিগার করুন

  1. Cisco SD-WAN ম্যানেজার মেনু থেকে, কনফিগারেশন > টেমপ্লেট নির্বাচন করুন।
  2. বৈশিষ্ট্য টেমপ্লেট ক্লিক করুন এবং তারপর টেমপ্লেট যোগ করুন ক্লিক করুন.
    দ্রষ্টব্য Cisco vManage Release 20.7.1 এবং তার আগের রিলিজে, ফিচার টেমপ্লেটকে ফিচার বলা হয়।
  3. বাম ফলকে ডিভাইস তালিকা থেকে, একটি ডিভাইস চয়ন করুন। নির্বাচিত ডিভাইসের জন্য প্রযোজ্য টেমপ্লেটগুলি ডান ফলকে প্রদর্শিত হয়।
  4. টেমপ্লেট খুলতে নিরাপত্তা ক্লিক করুন.
  5. টেমপ্লেট নাম ক্ষেত্রে, টেমপ্লেটের জন্য একটি নাম লিখুন। নাম 128 অক্ষর পর্যন্ত হতে পারে এবং শুধুমাত্র বর্ণসংখ্যার অক্ষর থাকতে পারে।
  6. টেমপ্লেট বিবরণ ক্ষেত্রে, টেমপ্লেটের একটি বিবরণ লিখুন। বিবরণ 2048 অক্ষর পর্যন্ত হতে পারে এবং শুধুমাত্র আলফানিউমেরিক অক্ষর থাকতে পারে।

আপনি যখন প্রথম একটি বৈশিষ্ট্য টেমপ্লেট খুলবেন, প্রতিটি প্যারামিটারের জন্য যার একটি ডিফল্ট মান রয়েছে, সুযোগটি ডিফল্টে সেট করা হয় (একটি চেকমার্ক দ্বারা নির্দেশিত), এবং ডিফল্ট সেটিং বা মান দেখানো হয়৷ ডিফল্ট পরিবর্তন করতে বা একটি মান লিখতে, প্যারামিটার ক্ষেত্রের বাম দিকে স্কোপ ড্রপ-ডাউন মেনুতে ক্লিক করুন এবং নিম্নলিখিতগুলির মধ্যে একটি বেছে নিন:

টেবিল 1:

প্যারামিটার ব্যাপ্তি সুযোগ বিবরণ
ডিভাইস নির্দিষ্ট (একটি হোস্ট আইকন দ্বারা নির্দেশিত) প্যারামিটারের জন্য একটি ডিভাইস-নির্দিষ্ট মান ব্যবহার করুন। ডিভাইস-নির্দিষ্ট প্যারামিটারের জন্য, আপনি বৈশিষ্ট্য টেমপ্লেটে একটি মান লিখতে পারবেন না। আপনি একটি ডিভাইস টেমপ্লেটের সাথে একটি Viptela ডিভাইস সংযুক্ত করার সময় আপনি মানটি লিখুন।

আপনি ডিভাইস স্পেসিফিক ক্লিক করলে, Enter Key বক্স খোলে। এই বাক্সটি একটি কী প্রদর্শন করে, যা একটি অনন্য স্ট্রিং যা একটি CSV-তে পরামিতি সনাক্ত করে file যে আপনি তৈরি করেন। এই file একটি এক্সেল স্প্রেডশীট যাতে প্রতিটি কী-এর জন্য একটি কলাম থাকে। শিরোনাম সারিতে কী নাম রয়েছে (প্রতি কলামে একটি কী), এবং তার পরে প্রতিটি সারি একটি ডিভাইসের সাথে মিলে যায় এবং সেই ডিভাইসের জন্য কীগুলির মান নির্ধারণ করে। আপনি CSV আপলোড করুন file যখন আপনি একটি ডিভাইস টেমপ্লেটে একটি Viptela ডিভাইস সংযুক্ত করেন। আরও তথ্যের জন্য, একটি টেমপ্লেট ভেরিয়েবল স্প্রেডশীট তৈরি করুন দেখুন।

ডিফল্ট কী পরিবর্তন করতে, একটি নতুন স্ট্রিং টাইপ করুন এবং এন্টার কী বাক্স থেকে কার্সারটি সরান।

Exampডিভাইস-নির্দিষ্ট পরামিতিগুলির মধ্যে রয়েছে সিস্টেম আইপি ঠিকানা, হোস্টনাম, জিপিএস অবস্থান এবং সাইট আইডি।
প্যারামিটার ব্যাপ্তি সুযোগ বিবরণ
বিশ্বব্যাপী (একটি গ্লোব আইকন দ্বারা নির্দেশিত) প্যারামিটারের জন্য একটি মান লিখুন এবং সেই মানটি সমস্ত ডিভাইসে প্রয়োগ করুন।

Exampযে সমস্ত প্যারামিটারগুলি আপনি ডিভাইসগুলির একটি গ্রুপে বিশ্বব্যাপী প্রয়োগ করতে পারেন তা হল DNS সার্ভার, syslog সার্ভার এবং ইন্টারফেস MTU.

কন্ট্রোল প্লেন নিরাপত্তা কনফিগার করুন

দ্রষ্টব্য
কনফিগার কন্ট্রোল প্লেন সিকিউরিটি বিভাগটি শুধুমাত্র Cisco SD-WAN ম্যানেজার এবং Cisco SD-WAN কন্ট্রোলারের ক্ষেত্রে প্রযোজ্য৷ একটি Cisco SD-WAN ম্যানেজার ইনস্ট্যান্স বা একটি Cisco SD-WAN কন্ট্রোলারে কন্ট্রোল প্লেন সংযোগ প্রোটোকল কনফিগার করতে, বেসিক কনফিগারেশন এলাকা নির্বাচন করুন৷ এবং নিম্নলিখিত পরামিতি কনফিগার করুন:

টেবিল 2:

প্যারামিটার নাম বর্ণনা
প্রোটোকল একটি Cisco SD-WAN কন্ট্রোলারের সাথে কন্ট্রোল প্লেন সংযোগে ব্যবহার করার জন্য প্রোটোকলটি চয়ন করুন:

• DTLS (Datagram ট্রান্সপোর্ট লেয়ার সিকিউরিটি)। এটি ডিফল্ট।

• TLS (ট্রান্সপোর্ট লেয়ার সিকিউরিটি)
TLS পোর্ট নিয়ন্ত্রণ করুন আপনি TLS নির্বাচন করলে, ব্যবহার করার জন্য পোর্ট নম্বর কনফিগার করুন:পরিসীমা: 1025 থেকে 65535ডিফল্ট: 23456

Save এ ক্লিক করুন

ডেটা প্লেন নিরাপত্তা কনফিগার করুন
একটি Cisco SD-WAN ভ্যালিডেটর বা একটি Cisco vEdge রাউটারে ডেটা সমতল নিরাপত্তা কনফিগার করতে, বেসিক কনফিগারেশন এবং প্রমাণীকরণ টাইপ ট্যাবগুলি নির্বাচন করুন এবং নিম্নলিখিত পরামিতিগুলি কনফিগার করুন:

টেবিল 3:

প্যারামিটার নাম বর্ণনা
Rekey সময় একটি Cisco vEdge রাউটার কত ঘন ঘন তার নিরাপদ DTLS সংযোগে ব্যবহৃত AES কী পরিবর্তন করে Cisco SD-WAN কন্ট্রোলারে তা নির্দিষ্ট করুন৷ যদি ওএমপি গ্রেসফুল রিস্টার্ট সক্ষম করা থাকে, তাহলে রিকি করার সময় অবশ্যই ওএমপি গ্রেসফুল রিস্টার্ট টাইমারের মানের দ্বিগুণ হতে হবে।পরিসীমা: 10 থেকে 1209600 সেকেন্ড (14 দিন)ডিফল্ট: 86400 সেকেন্ড (24 ঘন্টা)
রিপ্লে উইন্ডো স্লাইডিং রিপ্লে উইন্ডোর আকার নির্দিষ্ট করুন।

মান: 64, 128, 256, 512, 1024, 2048, 4096, 8192 প্যাকেটডিফল্ট: 512 প্যাকেট
আইপিসেক

pairwise-keying

 এটি ডিফল্টরূপে বন্ধ করা হয়। ক্লিক On এটা চালু করতে
প্যারামিটার নাম বর্ণনা
প্রমাণীকরণ প্রকার থেকে প্রমাণীকরণ প্রকার নির্বাচন করুন প্রমাণীকরণ তালিকা, এবং প্রমাণীকরণ প্রকারগুলিকে তে সরাতে ডানদিকে নির্দেশিত তীরটিতে ক্লিক করুন৷ নির্বাচিত তালিকা কলাম

Cisco SD-WAN রিলিজ 20.6.1 থেকে সমর্থিত প্রমাণীকরণের ধরন:

•  বিশেষ: ESP হেডারে এনক্যাপসুলেটিং সিকিউরিটি পেলোড (ESP) এনক্রিপশন এবং ইন্টিগ্রিটি চেকিং সক্ষম করে৷

•  ip-udp-esp: ESP এনক্রিপশন সক্ষম করে। ESP হেডার এবং পেলোডের অখণ্ডতা চেক ছাড়াও, চেকের মধ্যে বাইরের IP এবং UDP শিরোনামও অন্তর্ভুক্ত থাকে।

•  ip-udp-esp-no-id: আইপি হেডারে আইডি ক্ষেত্রটিকে উপেক্ষা করে যাতে সিস্কো ক্যাটালিস্ট SD-WAN নন-সিসকো ডিভাইসগুলির সাথে একত্রে কাজ করতে পারে৷

•  কোনটি: IPSec প্যাকেটগুলিতে অখণ্ডতা পরীক্ষা বন্ধ করে। আমরা এই বিকল্পটি ব্যবহার করার পরামর্শ দিই না।

 

প্রমাণীকরণ প্রকারগুলি Cisco SD-WAN রিলিজ 20.5.1 এবং পূর্বে সমর্থিত:

•  আহ-না-আইডি: AH-SHA1 HMAC এবং ESP HMAC-SHA1-এর একটি বর্ধিত সংস্করণ সক্ষম করুন যা প্যাকেটের বাইরের আইপি হেডারে আইডি ক্ষেত্রটিকে উপেক্ষা করে৷

•  ah-sha1-hmac: AH-SHA1 HMAC এবং ESP HMAC-SHA1 সক্ষম করুন৷

•  কোনটি: কোন প্রমাণীকরণ নির্বাচন করুন.

•  sha1-hmac: ESP HMAC-SHA1 সক্ষম করুন৷

 

দ্রষ্টব্য              Cisco SD-WAN রিলিজ 20.5.1 বা তার আগে চলমান একটি প্রান্ত ডিভাইসের জন্য, আপনি একটি ব্যবহার করে প্রমাণীকরণ প্রকারগুলি কনফিগার করতে পারেন নিরাপত্তা টেমপ্লেট. আপনি যখন ডিভাইসটিকে Cisco SD-WAN রিলিজ 20.6.1 বা পরবর্তীতে আপগ্রেড করবেন, তখন নির্বাচিত প্রমাণীকরণ প্রকারগুলি আপডেট করুন নিরাপত্তা Cisco SD-WAN রিলিজ 20.6.1 থেকে সমর্থিত প্রমাণীকরণ প্রকারের টেমপ্লেট। প্রমাণীকরণ প্রকারগুলি আপডেট করতে, নিম্নলিখিতগুলি করুন:

1.      Cisco SD-WAN ম্যানেজার মেনু থেকে, নির্বাচন করুন কনফিগারেশন >

টেমপ্লেট.

2.      ক্লিক করুন বৈশিষ্ট্য টেমপ্লেট.

3.      খুঁজুন নিরাপত্তা টেমপ্লেট আপডেট করুন এবং ক্লিক করুন … এবং ক্লিক করুন সম্পাদনা করুন.

4.      ক্লিক করুন আপডেট. কোন কনফিগারেশন পরিবর্তন করবেন না.

Cisco SD-WAN ম্যানেজার আপডেট করে নিরাপত্তা সমর্থিত প্রমাণীকরণ প্রকার প্রদর্শনের জন্য টেমপ্লেট।

Save এ ক্লিক করুন।

ডেটা প্লেন নিরাপত্তা পরামিতি কনফিগার করুন

ডেটা প্লেনে, IPsec সমস্ত রাউটারে ডিফল্টরূপে সক্রিয় থাকে এবং ডিফল্টরূপে IPsec টানেল সংযোগগুলি IPsec টানেলে প্রমাণীকরণের জন্য Encapsulating Security Payload (ESP) প্রোটোকলের একটি উন্নত সংস্করণ ব্যবহার করে। রাউটারগুলিতে, আপনি প্রমাণীকরণের ধরন, IPsec পুনরায় কী করার টাইমার এবং IPsec অ্যান্টি-রিপ্লে উইন্ডোর আকার পরিবর্তন করতে পারেন।

অনুমোদিত প্রমাণীকরণ প্রকারগুলি কনফিগার করুন৷

Cisco SD-WAN রিলিজ 20.6.1 এবং পরবর্তীতে প্রমাণীকরণের ধরন
Cisco SD-WAN রিলিজ 20.6.1 থেকে, নিম্নলিখিত অখণ্ডতার প্রকারগুলি সমর্থিত:

  • esp: এই বিকল্পটি ESP হেডারে এনক্যাপসুলেটিং সিকিউরিটি পেলোড (ESP) এনক্রিপশন এবং ইন্টিগ্রিটি চেকিং সক্ষম করে।
  • ip-udp-esp: এই বিকল্পটি ESP এনক্রিপশন সক্ষম করে। ইএসপি হেডার এবং পেলোডের অখণ্ডতা চেক ছাড়াও, চেকের মধ্যে বাইরের আইপি এবং ইউডিপি শিরোনামও অন্তর্ভুক্ত থাকে।
  • ip-udp-esp-no-id: এই বিকল্পটি ip-udp-esp-এর মতো, তবে, বাইরের IP শিরোনামের আইডি ক্ষেত্রটি উপেক্ষা করা হয়। সিসকো ক্যাটালিস্ট SD-WAN সফ্টওয়্যার আইপি হেডারে আইডি ক্ষেত্রটিকে উপেক্ষা করার জন্য অখণ্ডতার প্রকারের তালিকায় এই বিকল্পটি কনফিগার করুন যাতে Cisco ক্যাটালিস্ট SD-WAN অ-সিসকো ডিভাইসগুলির সাথে একত্রে কাজ করতে পারে৷
  • কোনোটিই নয়: এই বিকল্পটি IPSec প্যাকেটগুলিতে অখণ্ডতা পরীক্ষা বন্ধ করে দেয়। আমরা এই বিকল্পটি ব্যবহার করার পরামর্শ দিই না।

ডিফল্টরূপে, IPsec টানেল সংযোগগুলি প্রমাণীকরণের জন্য Encapsulating Security Payload (ESP) প্রোটোকলের একটি উন্নত সংস্করণ ব্যবহার করে। আলোচ্য আন্তঃত্বের প্রকারগুলি সংশোধন করতে বা অখণ্ডতা পরীক্ষা নিষ্ক্রিয় করতে, নিম্নলিখিত কমান্ডটি ব্যবহার করুন: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | বিশেষত }

Cisco SD-WAN প্রকাশের আগে প্রমাণীকরণের ধরন 20.6.1
ডিফল্টরূপে, IPsec টানেল সংযোগগুলি প্রমাণীকরণের জন্য Encapsulating Security Payload (ESP) প্রোটোকলের একটি উন্নত সংস্করণ ব্যবহার করে। আলোচনা করা প্রমাণীকরণের ধরনগুলি পরিবর্তন করতে বা প্রমাণীকরণ নিষ্ক্রিয় করতে, নিম্নলিখিত কমান্ডটি ব্যবহার করুন: Device(config)# security ipsec প্রমাণীকরণ-টাইপ (ah-sha1-hmac | ah-no-id | sha1-hmac | | কোনটিই নয়) ডিফল্টরূপে, IPsec টানেল সংযোগগুলি AES-GCM-256 ব্যবহার করে, যা এনক্রিপশন এবং প্রমাণীকরণ উভয়ই প্রদান করে। একটি পৃথক নিরাপত্তা ipsec প্রমাণীকরণ-টাইপ কমান্ড দিয়ে প্রতিটি প্রমাণীকরণ প্রকার কনফিগার করুন। কমান্ড বিকল্পগুলি নিম্নলিখিত প্রমাণীকরণ প্রকারের মানচিত্র করে, যেগুলি সবচেয়ে শক্তিশালী থেকে সর্বনিম্ন শক্তিশালী পর্যন্ত তালিকাভুক্ত করা হয়েছে:

দ্রষ্টব্য
কনফিগারেশন বিকল্পের sha1 ঐতিহাসিক কারণে ব্যবহৃত হয়। প্রমাণীকরণ বিকল্পগুলি নির্দেশ করে যে প্যাকেটের অখণ্ডতা পরীক্ষা কতটা সম্পন্ন হয়েছে। তারা অ্যালগরিদম নির্দিষ্ট করে না যা অখণ্ডতা পরীক্ষা করে। মাল্টিকাস্ট ট্রাফিকের এনক্রিপশন ব্যতীত, Cisco ক্যাটালিস্ট SD WAN দ্বারা সমর্থিত প্রমাণীকরণ অ্যালগরিদমগুলি SHA1 ব্যবহার করে না। তবে Cisco SD-WAN রিলিজ 20.1.x এবং তার পরে, ইউনিকাস্ট এবং মাল্টিকাস্ট উভয়ই SHA1 ব্যবহার করে না।

  • ah-sha1-hmac ESP ব্যবহার করে এনক্রিপশন এবং এনক্যাপসুলেশন সক্ষম করে। যাইহোক, ESP হেডার এবং পেলোডের অখণ্ডতা চেক ছাড়াও, চেকের মধ্যে বাইরের IP এবং UDP শিরোনামও অন্তর্ভুক্ত থাকে। সুতরাং, এই বিকল্পটি প্রমাণীকরণ শিরোনাম (AH) প্রোটোকলের অনুরূপ প্যাকেটের অখণ্ডতা পরীক্ষা সমর্থন করে। সমস্ত অখণ্ডতা এবং এনক্রিপশন AES-256-GCM ব্যবহার করে সঞ্চালিত হয়।
  • ah-no-id একটি মোড সক্রিয় করে যা ah-sha1-hmac এর মতো, তবে, বাইরের IP শিরোনামের ID ক্ষেত্রটি উপেক্ষা করা হয়। এই বিকল্পটি অ্যাপল এয়ারপোর্ট এক্সপ্রেস NAT সহ কিছু নন-সিসকো ক্যাটালিস্ট SD-WAN ডিভাইসগুলিকে মিটমাট করে, যেগুলির একটি বাগ রয়েছে যা আইপি হেডারে আইডি ক্ষেত্র সৃষ্টি করে, একটি অ-পরিবর্তনযোগ্য ক্ষেত্র, সংশোধন করা হয়৷ সিসকো ক্যাটালিস্ট SD-WAN AH সফ্টওয়্যার আইপি হেডারে আইডি ক্ষেত্রটিকে উপেক্ষা করার জন্য প্রমাণীকরণের প্রকারের তালিকায় ah-no-id বিকল্পটি কনফিগার করুন যাতে Cisco Catalyst SD-WAN সফ্টওয়্যার এই ডিভাইসগুলির সাথে একত্রে কাজ করতে পারে।
  • sha1-hmac ESP এনক্রিপশন এবং ইন্টিগ্রিটি চেকিং সক্ষম করে।
  • কোন মানচিত্র কোন প্রমাণীকরণ. এই বিকল্পটি শুধুমাত্র তখনই ব্যবহার করা উচিত যদি এটি অস্থায়ী ডিবাগিংয়ের জন্য প্রয়োজন হয়। আপনি এমন পরিস্থিতিতেও এই বিকল্পটি বেছে নিতে পারেন যেখানে ডেটা প্লেন প্রমাণীকরণ এবং অখণ্ডতা একটি উদ্বেগের বিষয় নয়। Cisco উৎপাদন নেটওয়ার্কের জন্য এই বিকল্পটি ব্যবহার করার সুপারিশ করে না।

এই প্রমাণীকরণ প্রকারের দ্বারা কোন ডেটা প্যাকেট ক্ষেত্রগুলি প্রভাবিত হয় সে সম্পর্কে তথ্যের জন্য, ডেটা প্লেন ইন্টিগ্রিটি দেখুন। Cisco IOS XE ক্যাটালিস্ট SD-WAN ডিভাইস এবং Cisco vEdge ডিভাইসগুলি তাদের TLOC বৈশিষ্ট্যগুলিতে তাদের কনফিগার করা প্রমাণীকরণের প্রকারের বিজ্ঞাপন দেয়। একটি IPsec টানেল সংযোগের উভয় পাশের দুটি রাউটার উভয় রাউটারে কনফিগার করা শক্তিশালী প্রমাণীকরণ প্রকার ব্যবহার করে তাদের মধ্যে সংযোগে ব্যবহার করার জন্য প্রমাণীকরণ নিয়ে আলোচনা করে। প্রাক্তন জন্যample, যদি একটি রাউটার ah-sha1-hmac এবং ah-no-id প্রকারের বিজ্ঞাপন দেয় এবং দ্বিতীয় রাউটার ah-no-id টাইপের বিজ্ঞাপন দেয়, তাহলে দুটি রাউটার IPsec টানেল সংযোগে ah-no-id ব্যবহার করার জন্য আলোচনা করে তাদের যদি কোন সাধারণ প্রমাণীকরণ প্রকার দুটি সমকক্ষে কনফিগার করা না থাকে, তাহলে তাদের মধ্যে কোন IPsec টানেল প্রতিষ্ঠিত হয় না। IPsec টানেল সংযোগে এনক্রিপশন অ্যালগরিদম ট্রাফিকের ধরনের উপর নির্ভর করে:

  • ইউনিকাস্ট ট্রাফিকের জন্য, এনক্রিপশন অ্যালগরিদম হল AES-256-GCM।
  • মাল্টিকাস্ট ট্রাফিকের জন্য:
  • Cisco SD-WAN রিলিজ 20.1.x এবং পরে- এনক্রিপশন অ্যালগরিদম হল AES-256-GCM
  • পূর্ববর্তী রিলিজ- এনক্রিপশন অ্যালগরিদম হল AES-256-CBC সহ SHA1-HMAC।

যখন IPsec প্রমাণীকরণের ধরন পরিবর্তন করা হয়, তখন ডেটা পথের জন্য AES কী পরিবর্তন করা হয়।

Rekeying টাইমার পরিবর্তন করুন

Cisco IOS XE ক্যাটালিস্ট SD-WAN ডিভাইস এবং Cisco vEdge ডিভাইসগুলি ডেটা ট্রাফিকের আদান-প্রদান করার আগে, তারা তাদের মধ্যে একটি নিরাপদ প্রমাণীকৃত যোগাযোগ চ্যানেল সেট আপ করে। রাউটারগুলি চ্যানেল হিসাবে তাদের মধ্যে IPSec টানেল এবং এনক্রিপশন সম্পাদন করতে AES-256 সাইফার ব্যবহার করে। প্রতিটি রাউটার পর্যায়ক্রমে তার ডেটা পাথের জন্য একটি নতুন AES কী তৈরি করে। ডিফল্টরূপে, একটি কী 86400 সেকেন্ড (24 ঘন্টা) জন্য বৈধ এবং টাইমার পরিসীমা 10 সেকেন্ড থেকে 1209600 সেকেন্ড (14 দিন)। rekey টাইমার মান পরিবর্তন করতে: Device(config)# security ipsec rekey সেকেন্ড কনফিগারেশনটি এইরকম দেখাচ্ছে:

  • নিরাপত্তা ipsec rekey সেকেন্ড!

আপনি যদি অবিলম্বে নতুন IPsec কী তৈরি করতে চান, আপনি রাউটারের কনফিগারেশন পরিবর্তন না করেই তা করতে পারেন। এটি করার জন্য, আপস করা রাউটারে অনুরোধ নিরাপত্তা ipsecrekey কমান্ড ইস্যু করুন। প্রাক্তন জন্যample, নিম্নলিখিত আউটপুট দেখায় যে স্থানীয় SA এর একটি নিরাপত্তা পরামিতি সূচক (SPI) 256 রয়েছে:CISCO-SD-WAN-কনফিগার-নিরাপত্তা-প্যারামিটার-FIG-4

একটি অনন্য কী প্রতিটি SPI এর সাথে যুক্ত। এই কী আপস করা হলে, অবিলম্বে একটি নতুন কী তৈরি করতে অনুরোধ নিরাপত্তা ipsec-rekey কমান্ডটি ব্যবহার করুন। এই কমান্ডটি SPI বৃদ্ধি করে। আমাদের প্রাক্তন মধ্যেample, SPI 257 এ পরিবর্তিত হয় এবং এর সাথে যুক্ত কী এখন ব্যবহৃত হয়:

  • ডিভাইস# নিরাপত্তা ipsecrekey অনুরোধ
  • ডিভাইস# ipsec local-sa দেখায়

CISCO-SD-WAN-কনফিগার-নিরাপত্তা-প্যারামিটার-FIG-5

নতুন কী তৈরি হওয়ার পর, রাউটার তা অবিলম্বে DTLS বা TLS ব্যবহার করে Cisco SD-WAN কন্ট্রোলারের কাছে পাঠায়। Cisco SD-WAN কন্ট্রোলাররা পিয়ার রাউটারগুলিতে কী পাঠায়। রাউটারগুলি এটি পাওয়ার সাথে সাথে এটি ব্যবহার শুরু করে। মনে রাখবেন যে পুরানো SPI (256) এর সাথে যুক্ত কীটি সময় শেষ না হওয়া পর্যন্ত অল্প সময়ের জন্য ব্যবহার করা অব্যাহত থাকবে। অবিলম্বে পুরানো কী ব্যবহার বন্ধ করতে, দ্রুত ধারাবাহিকভাবে অনুরোধ নিরাপত্তা ipsec-rekey কমান্ডটি দুবার জারি করুন। কমান্ডের এই ক্রমটি SPI 256 এবং 257 উভয়কেই সরিয়ে দেয় এবং SPI-কে 258-এ সেট করে। রাউটার তারপর SPI 258-এর সংশ্লিষ্ট কী ব্যবহার করে। উল্লেখ্য যে, কিছু প্যাকেট অল্প সময়ের জন্য বাদ দেওয়া হবে যতক্ষণ না সমস্ত দূরবর্তী রাউটার শিখছে। নতুন চাবি।CISCO-SD-WAN-কনফিগার-নিরাপত্তা-প্যারামিটার-FIG-6

অ্যান্টি-রিপ্লে উইন্ডোর আকার পরিবর্তন করুন

IPsec প্রমাণীকরণ ডেটা স্ট্রীমে প্রতিটি প্যাকেটে একটি অনন্য ক্রম নম্বর বরাদ্দ করে অ্যান্টি-রিপ্লে সুরক্ষা প্রদান করে। এই সিকোয়েন্স নাম্বারিং একটি আক্রমণকারীকে ডেটা প্যাকেটের নকল করা থেকে রক্ষা করে। অ্যান্টি-রিপ্লে সুরক্ষা সহ, প্রেরক একঘেয়েভাবে ক্রমবর্ধমান ক্রম সংখ্যা নির্ধারণ করে এবং গন্তব্য নকল সনাক্ত করতে এই ক্রম সংখ্যাগুলি পরীক্ষা করে। যেহেতু প্যাকেটগুলি প্রায়শই ক্রমানুসারে আসে না, গন্তব্যটি ক্রম সংখ্যাগুলির একটি স্লাইডিং উইন্ডো বজায় রাখে যা এটি গ্রহণ করবে।CISCO-SD-WAN-কনফিগার-নিরাপত্তা-প্যারামিটার-FIG-7

স্লাইডিং উইন্ডো পরিসরের বাম দিকে পড়ে থাকা সিকোয়েন্স নম্বর সহ প্যাকেটগুলিকে পুরানো বা ডুপ্লিকেট হিসাবে বিবেচনা করা হয় এবং গন্তব্য সেগুলি ফেলে দেয়। গন্তব্য এটি প্রাপ্ত সর্বোচ্চ সিকোয়েন্স নম্বর ট্র্যাক করে, এবং যখন এটি একটি উচ্চ মান সহ একটি প্যাকেট পায় তখন স্লাইডিং উইন্ডোটি সামঞ্জস্য করে।CISCO-SD-WAN-কনফিগার-নিরাপত্তা-প্যারামিটার-FIG-8

ডিফল্টরূপে, স্লাইডিং উইন্ডোটি 512 প্যাকেটে সেট করা হয়। এটি 64 এবং 4096 এর মধ্যে যে কোনও মান সেট করা যেতে পারে যা 2 এর শক্তি (অর্থাৎ, 64, 128, 256, 512, 1024, 2048, বা 4096)। অ্যান্টি-রিপ্লে উইন্ডোর আকার পরিবর্তন করতে, উইন্ডোর আকার নির্দিষ্ট করে রিপ্লে-উইন্ডো কমান্ডটি ব্যবহার করুন:

ডিভাইস(কনফিগ)# নিরাপত্তা আইপসেক রিপ্লে-উইন্ডো নম্বর

কনফিগারেশন এই মত দেখায়:
নিরাপত্তা ipsec রিপ্লে-উইন্ডো নম্বর! !

QoS-এ সাহায্য করার জন্য, প্রথম আটটি ট্রাফিক চ্যানেলের প্রতিটির জন্য আলাদা রিপ্লে উইন্ডো রক্ষণাবেক্ষণ করা হয়। কনফিগার করা রিপ্লে উইন্ডোর আকার প্রতিটি চ্যানেলের জন্য আট দ্বারা বিভক্ত। যদি একটি রাউটারে QoS কনফিগার করা থাকে, তাহলে সেই রাউটারটি IPsec অ্যান্টি-রিপ্লে মেকানিজমের ফলে প্রত্যাশিত সংখ্যক প্যাকেট ড্রপ অনুভব করতে পারে এবং ড্রপ করা অনেক প্যাকেট বৈধ। এটি ঘটে কারণ QoS প্যাকেটগুলি পুনরায় সাজায়, উচ্চ-অগ্রাধিকার প্যাকেটগুলিকে অগ্রাধিকারমূলক চিকিত্সা দেয় এবং নিম্ন-অগ্রাধিকার প্যাকেটগুলিকে বিলম্বিত করে। এই পরিস্থিতি কমাতে বা প্রতিরোধ করতে, আপনি নিম্নলিখিতগুলি করতে পারেন:

  • অ্যান্টি-রিপ্লে উইন্ডোর আকার বাড়ান।
  • প্রথম আটটি ট্র্যাফিক চ্যানেলে প্রকৌশলী ট্র্যাফিক নিশ্চিত করুন যাতে কোনও চ্যানেলের মধ্যে ট্র্যাফিক পুনরায় সাজানো না হয়।

IKE-সক্ষম IPsec টানেল কনফিগার করুন
ওভারলে নেটওয়ার্ক থেকে একটি পরিষেবা নেটওয়ার্কে নিরাপদে ট্র্যাফিক স্থানান্তর করতে, আপনি IPsec টানেলগুলি কনফিগার করতে পারেন যা ইন্টারনেট কী এক্সচেঞ্জ (IKE) প্রোটোকল চালায়৷ নিরাপদ প্যাকেট পরিবহন নিশ্চিত করতে IKE-সক্ষম IPsec টানেল প্রমাণীকরণ এবং এনক্রিপশন প্রদান করে। আপনি একটি IPsec ইন্টারফেস কনফিগার করে একটি IKE-সক্ষম IPsec টানেল তৈরি করুন৷ IPsec ইন্টারফেসগুলি লজিক্যাল ইন্টারফেস, এবং আপনি অন্য যেকোন শারীরিক ইন্টারফেসের মতোই তাদের কনফিগার করেন। আপনি IPsec ইন্টারফেসে IKE প্রোটোকল পরামিতি কনফিগার করেন এবং আপনি অন্যান্য ইন্টারফেসের বৈশিষ্ট্যগুলি কনফিগার করতে পারেন।

দ্রষ্টব্য Cisco IKE সংস্করণ 2 ব্যবহার করার পরামর্শ দেয়। Cisco SD-WAN 19.2.x রিলিজ থেকে, পূর্ব-ভাগ করা কীটির দৈর্ঘ্য কমপক্ষে 16 বাইট হওয়া দরকার। রাউটারটি 16 সংস্করণে আপগ্রেড করার সময় কী আকার 19.2 অক্ষরের কম হলে IPsec টানেল স্থাপন ব্যর্থ হয়।

দ্রষ্টব্য
Cisco ক্যাটালিস্ট SD-WAN সফ্টওয়্যারটি RFC 2-এ সংজ্ঞায়িত IKE সংস্করণ 7296 সমর্থন করে। IPsec টানেলের জন্য একটি ব্যবহার হল অ্যামাজন ভার্চুয়াল প্রাইভেট ক্লাউড (ভিপিসি) এর সাথে সংযোগ করার জন্য অ্যামাজন AWS-এ চলমান vEdge ক্লাউড রাউটার VM দৃষ্টান্তগুলিকে অনুমতি দেওয়া। এই রাউটারগুলিতে আপনাকে অবশ্যই IKE সংস্করণ 1 কনফিগার করতে হবে। Cisco vEdge ডিভাইসগুলি একটি IPSec কনফিগারেশনে শুধুমাত্র রুট-ভিত্তিক VPN সমর্থন করে কারণ এই ডিভাইসগুলি এনক্রিপশন ডোমেনে ট্রাফিক নির্বাচককে সংজ্ঞায়িত করতে পারে না।

একটি IPsec টানেল কনফিগার করুন
একটি পরিষেবা নেটওয়ার্ক থেকে নিরাপদ পরিবহন ট্রাফিকের জন্য একটি IPsec টানেল ইন্টারফেস কনফিগার করতে, আপনি একটি যৌক্তিক IPsec ইন্টারফেস তৈরি করুন:CISCO-SD-WAN-কনফিগার-নিরাপত্তা-প্যারামিটার-FIG-9

আপনি ট্রান্সপোর্ট VPN (VPN 0) এবং যেকোনো পরিষেবা VPN (VPN 1 থেকে 65530 পর্যন্ত, 512 ব্যতীত) IPsec টানেল তৈরি করতে পারেন। IPsec ইন্টারফেসের ipsecnumber ফরম্যাটে একটি নাম রয়েছে, যেখানে সংখ্যা 1 থেকে 255 পর্যন্ত হতে পারে। প্রতিটি IPsec ইন্টারফেসের একটি IPv4 ঠিকানা থাকতে হবে। এই ঠিকানাটি অবশ্যই একটি /30 উপসর্গ হতে হবে। এই IPv4 উপসর্গের মধ্যে থাকা VPN-এর সমস্ত ট্র্যাফিক একটি IPsec টানেলের মাধ্যমে নিরাপদে পাঠানোর জন্য VPN 0-এর একটি ফিজিক্যাল ইন্টারফেসে নির্দেশিত হয়। স্থানীয় ডিভাইসে IPsec টানেলের উৎস কনফিগার করতে, আপনি এর IP ঠিকানা উল্লেখ করতে পারেন ফিজিক্যাল ইন্টারফেস (টানেল-সোর্স কমান্ডে) অথবা ফিজিক্যাল ইন্টারফেসের নাম (টানেল-সোর্স-ইন্টারফেস কমান্ডে)। নিশ্চিত করুন যে ভৌত ইন্টারফেসটি VPN 0 এ কনফিগার করা হয়েছে। IPsec টানেলের গন্তব্য কনফিগার করতে, টানেল-গন্তব্য কমান্ডে দূরবর্তী ডিভাইসের IP ঠিকানা উল্লেখ করুন। একটি উৎস ঠিকানা (বা উৎস ইন্টারফেসের নাম) এবং একটি গন্তব্য ঠিকানার সমন্বয় একটি একক IPsec টানেলকে সংজ্ঞায়িত করে। শুধুমাত্র একটি IPsec টানেল থাকতে পারে যা একটি নির্দিষ্ট উৎস ঠিকানা (বা ইন্টারফেসের নাম) এবং গন্তব্য ঠিকানা জোড়া ব্যবহার করে।

একটি IPsec স্ট্যাটিক রুট কনফিগার করুন

পরিবহণ VPN (VPN 0) এর পরিষেবা VPN থেকে একটি IPsec টানেলে ট্র্যাফিক পরিচালনা করতে, আপনি একটি পরিষেবা VPN (VPN 0 বা VPN 512 ছাড়া অন্য একটি VPN) এ একটি IPsec-নির্দিষ্ট স্ট্যাটিক রুট কনফিগার করুন :

  • vEdge(config)# ভিপিএন ভিপিএন-আইডি
  • vEdge(config-vpn)# ip ipsec-রুট উপসর্গ/দৈর্ঘ্য vpn 0 ইন্টারফেস
  • ipsecnumber [ipsecnumber2]

VPN ID হল যেকোনো পরিষেবা VPN (VPN 1 থেকে 65530 পর্যন্ত, 512 ছাড়া)। উপসর্গ/দৈর্ঘ্য হল IP ঠিকানা বা উপসর্গ, দশমিক চার-অংশ-বিন্দুযুক্ত স্বরলিপিতে, এবং IPsec-নির্দিষ্ট স্ট্যাটিক রুটের উপসর্গের দৈর্ঘ্য। ইন্টারফেসটি VPN 0-এ IPsec টানেল ইন্টারফেস। আপনি এক বা দুটি IPsec টানেল ইন্টারফেস কনফিগার করতে পারেন। আপনি যদি দুটি কনফিগার করেন, প্রথমটি হল প্রাথমিক IPsec টানেল, এবং দ্বিতীয়টি হল ব্যাকআপ৷ দুটি ইন্টারফেসের সাথে, সমস্ত প্যাকেট শুধুমাত্র প্রাথমিক টানেলে পাঠানো হয়। যদি সেই টানেল ব্যর্থ হয়, তাহলে সমস্ত প্যাকেট সেকেন্ডারি টানেলে পাঠানো হয়। যদি প্রাথমিক টানেলটি ফিরে আসে, সমস্ত ট্র্যাফিক প্রাথমিক IPsec টানেলে ফিরে যায়।

IKE সংস্করণ 1 সক্ষম করুন
আপনি যখন একটি vEdge রাউটারে একটি IPsec টানেল তৈরি করেন, তখন টানেল ইন্টারফেসে ডিফল্টরূপে IKE সংস্করণ 1 সক্রিয় থাকে৷ নিম্নলিখিত বৈশিষ্ট্যগুলিও ডিফল্টরূপে IKEv1 এর জন্য সক্রিয় করা হয়েছে:

  • প্রমাণীকরণ এবং এনক্রিপশন — AES-256 উন্নত এনক্রিপশন স্ট্যান্ডার্ড সিবিসি এনক্রিপশন অখণ্ডতার জন্য HMAC-SHA1 কীড-হ্যাশ বার্তা প্রমাণীকরণ কোড অ্যালগরিদম
  • ডিফি-হেলম্যান গ্রুপ নম্বর-16
  • রিকি করার সময় ব্যবধান — 4 ঘন্টা
  • SA প্রতিষ্ঠার মোড—প্রধান

ডিফল্টরূপে, IKEv1 IKE SAs প্রতিষ্ঠা করতে IKE প্রধান মোড ব্যবহার করে। এই মোডে, SA প্রতিষ্ঠার জন্য ছয়টি আলোচনার প্যাকেট বিনিময় করা হয়। শুধুমাত্র তিনটি আলোচনার প্যাকেট বিনিময় করতে, আক্রমণাত্মক মোড সক্ষম করুন:

দ্রষ্টব্য
যেখানেই সম্ভব প্রি-শেয়ারড কী সহ IKE আক্রমনাত্মক মোড এড়ানো উচিত। অন্যথায় একটি শক্তিশালী প্রাক-ভাগ করা কী বেছে নেওয়া উচিত।

  • vEdge(config)# vpn vpn-id ইন্টারফেস ipsec নম্বর ike
  • vEdge(config-ike)# মোড আক্রমণাত্মক

ডিফল্টরূপে, IKEv1 IKE কী এক্সচেঞ্জে Diffie-Hellman গ্রুপ 16 ব্যবহার করে। এই গ্রুপটি IKE কী বিনিময়ের সময় 4096-বিট আরও মডুলার এক্সপোনেনশিয়াল (MODP) গ্রুপ ব্যবহার করে। আপনি গ্রুপ নম্বরটি 2 (1024-বিট MODP এর জন্য), 14 (2048-বিট MODP), বা 15 (3072-বিট MODP) এ পরিবর্তন করতে পারেন:

  • vEdge(config)# vpn vpn-id ইন্টারফেস ipsec নম্বর ike
  • vEdge(config-ike)# গ্রুপ নম্বর

ডিফল্টরূপে, IKE কী বিনিময় অখণ্ডতার জন্য HMAC-SHA256 কীড-হ্যাশ বার্তা প্রমাণীকরণ কোড অ্যালগরিদমের সাথে AES-1 উন্নত এনক্রিপশন স্ট্যান্ডার্ড CBC এনক্রিপশন ব্যবহার করে। আপনি প্রমাণীকরণ পরিবর্তন করতে পারেন:

  • vEdge(config)# vpn vpn-id ইন্টারফেস ipsec নম্বর ike
  • vEdge(config-ike)# সাইফার-স্যুট স্যুট

প্রমাণীকরণ স্যুট নিম্নলিখিতগুলির মধ্যে একটি হতে পারে:

  • aes128-cbc-sha1—AES-128 উন্নত এনক্রিপশন স্ট্যান্ডার্ড সিবিসি এনক্রিপশনের সাথে HMAC-SHA1 কীড-হ্যাশ বার্তা প্রমাণীকরণ কোড অ্যালগরিদম অখণ্ডতার জন্য
  • aes128-cbc-sha2—AES-128 উন্নত এনক্রিপশন স্ট্যান্ডার্ড সিবিসি এনক্রিপশনের সাথে HMAC-SHA256 কীড-হ্যাশ বার্তা প্রমাণীকরণ কোড অ্যালগরিদম অখণ্ডতার জন্য
  • aes256-cbc-sha1—AES-256 উন্নত এনক্রিপশন স্ট্যান্ডার্ড সিবিসি এনক্রিপশন অখণ্ডতার জন্য HMAC-SHA1 কীড-হ্যাশ বার্তা প্রমাণীকরণ কোড অ্যালগরিদম; এটি ডিফল্ট।
  • aes256-cbc-sha2—AES-256 উন্নত এনক্রিপশন স্ট্যান্ডার্ড সিবিসি এনক্রিপশনের সাথে HMAC-SHA256 কীড-হ্যাশ বার্তা প্রমাণীকরণ কোড অ্যালগরিদম অখণ্ডতার জন্য

ডিফল্টরূপে, IKE কী প্রতি 1 ঘন্টা (3600 সেকেন্ড) রিফ্রেশ হয়। আপনি 30 সেকেন্ড থেকে 14 দিন (1209600 সেকেন্ড) পর্যন্ত একটি মান পরিবর্তন করতে পারেন। এটি সুপারিশ করা হয় যে পুনরায় কী করার ব্যবধান কমপক্ষে 1 ঘন্টা হওয়া উচিত।

  • vEdge(config)# ভিপিএন ভিপিএন-আইডি ইন্টারফেস আইপসেক নম্বর লাইক
  • vEdge(config-ike)# রিকি সেকেন্ড

একটি IKE সেশনের জন্য নতুন কী তৈরি করতে বাধ্য করতে, ipsec ike-rekey কমান্ডটি ইস্যু করুন।

  • vEdge(config)# ভিপিএন ভিপিএন-আইডি ইন্টারফেসসিপসেক নম্বর ike

IKE এর জন্য, আপনি প্রিশেয়ারড কী (PSK) প্রমাণীকরণও কনফিগার করতে পারেন:

  • vEdge(config)# vpn vpn-id ইন্টারফেস ipsec নম্বর ike
  • vEdge(config-ike)# প্রমাণীকরণ-টাইপ প্রি-শেয়ারড-কি প্রি-শেয়ারড-সিক্রেট পাসওয়ার্ড হল প্রি-শেয়ারড কী দিয়ে ব্যবহার করা পাসওয়ার্ড। এটি একটি ASCII বা 1 থেকে 127 অক্ষর দীর্ঘ একটি হেক্সাডেসিমেল স্ট্রিং হতে পারে।

যদি দূরবর্তী IKE পিয়ারের একটি স্থানীয় বা দূরবর্তী আইডি প্রয়োজন হয়, আপনি এই শনাক্তকারী কনফিগার করতে পারেন:

  • vEdge(config)# vpn vpn-id ইন্টারফেস ipsec নম্বর ike প্রমাণীকরণ-টাইপ
  • vEdge(config-authentication-type)# স্থানীয়-আইডি আইডি
  • vEdge(config-authentication-type)# রিমোট-আইডি আইডি

শনাক্তকারী একটি IP ঠিকানা বা 1 থেকে 63 অক্ষর দীর্ঘ যেকোনো পাঠ্য স্ট্রিং হতে পারে। ডিফল্টরূপে, স্থানীয় ID হল টানেলের উৎস IP ঠিকানা এবং দূরবর্তী ID হল টানেলের গন্তব্য IP ঠিকানা।

IKE সংস্করণ 2 সক্ষম করুন
আপনি যখন IKE সংস্করণ 2 ব্যবহার করার জন্য একটি IPsec টানেল কনফিগার করেন, নিম্নলিখিত বৈশিষ্ট্যগুলিও IKEv2 এর জন্য ডিফল্টরূপে সক্রিয় করা হয়:

  • প্রমাণীকরণ এবং এনক্রিপশন — AES-256 উন্নত এনক্রিপশন স্ট্যান্ডার্ড সিবিসি এনক্রিপশন অখণ্ডতার জন্য HMAC-SHA1 কীড-হ্যাশ বার্তা প্রমাণীকরণ কোড অ্যালগরিদম
  • ডিফি-হেলম্যান গ্রুপ নম্বর-16
  • রিকি করার সময় ব্যবধান — 4 ঘন্টা

ডিফল্টরূপে, IKEv2 IKE কী এক্সচেঞ্জে Diffie-Hellman গ্রুপ 16 ব্যবহার করে। এই গ্রুপটি IKE কী বিনিময়ের সময় 4096-বিট আরও মডুলার এক্সপোনেনশিয়াল (MODP) গ্রুপ ব্যবহার করে। আপনি গ্রুপ নম্বরটি 2 (1024-বিট MODP এর জন্য), 14 (2048-বিট MODP), বা 15 (3072-বিট MODP) এ পরিবর্তন করতে পারেন:

  • vEdge(config)# vpn vpn-id ইন্টারফেস ipsecnumber ike
  • vEdge(config-ike)# গ্রুপ নম্বর

ডিফল্টরূপে, IKE কী বিনিময় অখণ্ডতার জন্য HMAC-SHA256 কীড-হ্যাশ বার্তা প্রমাণীকরণ কোড অ্যালগরিদমের সাথে AES-1 উন্নত এনক্রিপশন স্ট্যান্ডার্ড CBC এনক্রিপশন ব্যবহার করে। আপনি প্রমাণীকরণ পরিবর্তন করতে পারেন:

  • vEdge(config)# vpn vpn-id ইন্টারফেস ipsecnumber ike
  • vEdge(config-ike)# সাইফার-স্যুট স্যুট

প্রমাণীকরণ স্যুট নিম্নলিখিতগুলির মধ্যে একটি হতে পারে:

  • aes128-cbc-sha1—AES-128 উন্নত এনক্রিপশন স্ট্যান্ডার্ড সিবিসি এনক্রিপশনের সাথে HMAC-SHA1 কীড-হ্যাশ বার্তা প্রমাণীকরণ কোড অ্যালগরিদম অখণ্ডতার জন্য
  • aes128-cbc-sha2—AES-128 উন্নত এনক্রিপশন স্ট্যান্ডার্ড সিবিসি এনক্রিপশনের সাথে HMAC-SHA256 কীড-হ্যাশ বার্তা প্রমাণীকরণ কোড অ্যালগরিদম অখণ্ডতার জন্য
  • aes256-cbc-sha1—AES-256 উন্নত এনক্রিপশন স্ট্যান্ডার্ড সিবিসি এনক্রিপশন অখণ্ডতার জন্য HMAC-SHA1 কীড-হ্যাশ বার্তা প্রমাণীকরণ কোড অ্যালগরিদম; এটি ডিফল্ট।
  • aes256-cbc-sha2—AES-256 উন্নত এনক্রিপশন স্ট্যান্ডার্ড সিবিসি এনক্রিপশনের সাথে HMAC-SHA256 কীড-হ্যাশ বার্তা প্রমাণীকরণ কোড অ্যালগরিদম অখণ্ডতার জন্য

ডিফল্টরূপে, IKE কী প্রতি 4 ঘন্টায় (14,400 সেকেন্ড) রিফ্রেশ হয়। আপনি 30 সেকেন্ড থেকে 14 দিন (1209600 সেকেন্ড) পর্যন্ত একটি মান পরিবর্তন করতে পারেন:

  • vEdge(config)# vpn vpn-id ইন্টারফেস ipsecnumber ike
  • vEdge(config-ike)# রিকি সেকেন্ড

একটি IKE সেশনের জন্য নতুন কী তৈরি করতে বাধ্য করতে, অনুরোধ ipsec ike-rekey কমান্ডটি ইস্যু করুন। IKE এর জন্য, আপনি প্রিশেয়ারড কী (PSK) প্রমাণীকরণও কনফিগার করতে পারেন:

  • vEdge(config)# vpn vpn-id ইন্টারফেস ipsecnumber ike
  • vEdge(config-ike)# প্রমাণীকরণ-টাইপ প্রি-শেয়ারড-কি প্রি-শেয়ারড-সিক্রেট পাসওয়ার্ড হল প্রি-শেয়ারড কী দিয়ে ব্যবহার করা পাসওয়ার্ড। এটি একটি ASCII বা একটি হেক্সাডেসিমাল স্ট্রিং হতে পারে, অথবা এটি একটি AES-এনক্রিপ্ট করা কী হতে পারে৷ যদি দূরবর্তী IKE পিয়ারের একটি স্থানীয় বা দূরবর্তী আইডি প্রয়োজন হয়, আপনি এই শনাক্তকারী কনফিগার করতে পারেন:
  • vEdge(config)# vpn vpn-id ইন্টারফেস ipsecnumber ike প্রমাণীকরণ-টাইপ
  • vEdge(config-authentication-type)# স্থানীয়-আইডি আইডি
  • vEdge(config-authentication-type)# রিমোট-আইডি আইডি

শনাক্তকারী একটি IP ঠিকানা বা 1 থেকে 64 অক্ষর দীর্ঘ যেকোনো পাঠ্য স্ট্রিং হতে পারে। ডিফল্টরূপে, স্থানীয় ID হল টানেলের উৎস IP ঠিকানা এবং দূরবর্তী ID হল টানেলের গন্তব্য IP ঠিকানা।

IPsec টানেল প্যারামিটার কনফিগার করুন

সারণী 4: বৈশিষ্ট্য ইতিহাস

বৈশিষ্ট্য নাম রিলিজ তথ্য বর্ণনা
অতিরিক্ত ক্রিপ্টোগ্রাফিক Cisco SD-WAN রিলিজ 20.1.1 এই বৈশিষ্ট্য জন্য সমর্থন যোগ করে
IPSec এর জন্য অ্যালগরিদমিক সমর্থন   HMAC_SHA256, HMAC_SHA384, এবং
টানেল   এর জন্য HMAC_SHA512 অ্যালগরিদম
    উন্নত নিরাপত্তা।

ডিফল্টরূপে, নিম্নলিখিত পরামিতিগুলি IPsec টানেলে ব্যবহৃত হয় যা IKE ট্র্যাফিক বহন করে:

  • প্রমাণীকরণ এবং এনক্রিপশন—GCM-এ AES-256 অ্যালগরিদম (গ্যালোইস/কাউন্টার মোড)
  • রিকি করার ব্যবধান—৪ ঘণ্টা
  • রিপ্লে উইন্ডো—৩২ প্যাকেট

আপনি আইপিসেক টানেলের এনক্রিপশনকে CBC-তে AES-256 সাইফারে পরিবর্তন করতে পারেন (সাইফার ব্লক চেইনিং মোড, HMAC সহ SHA-1 বা SHA-2 কীড-হ্যাশ বার্তা প্রমাণীকরণ ব্যবহার করে বা SHA-1 ব্যবহার করে HMAC-এর সাথে শূন্য করতে পারেন। SHA-2 কীড-হ্যাশ বার্তা প্রমাণীকরণ, IKE কী বিনিময় ট্র্যাফিকের জন্য ব্যবহৃত IPsec টানেল এনক্রিপ্ট না করার জন্য:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# সাইফার-স্যুট (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | | aes256-null-sha256 | aes256-null-sha384)

ডিফল্টরূপে, IKE কী প্রতি 4 ঘন্টায় (14,400 সেকেন্ড) রিফ্রেশ হয়। আপনি 30 সেকেন্ড থেকে 14 দিন (1209600 সেকেন্ড) পর্যন্ত একটি মান পরিবর্তন করতে পারেন:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# রিকি সেকেন্ড

একটি IPsec টানেলের জন্য নতুন কী তৈরি করতে বাধ্য করতে, অনুরোধ ipsec ipsec-rekey কমান্ডটি ইস্যু করুন। ডিফল্টরূপে, আইপিসেক টানেলে নিখুঁত ফরোয়ার্ড সিক্রেসি (পিএফএস) সক্ষম করা হয়েছে, যাতে ভবিষ্যতের কীগুলি আপস করা হলে অতীতের সেশনগুলি প্রভাবিত না হয় তা নিশ্চিত করতে। PFS 4096-বিট ডিফি-হেলম্যান প্রাইম মডিউল গ্রুপ ব্যবহার করে ডিফল্টরূপে একটি নতুন ডিফি-হেলম্যান কী বিনিময়কে জোর করে। আপনি PFS সেটিং পরিবর্তন করতে পারেন:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# নিখুঁত-ফরোয়ার্ড-সিক্রেসি pfs-সেটিং

pfs-সেটিং নিম্নলিখিতগুলির মধ্যে একটি হতে পারে:

  • গ্রুপ-2—1024-বিট ডিফি-হেলম্যান প্রাইম মডুলাস গ্রুপ ব্যবহার করুন।
  • গ্রুপ-14—2048-বিট ডিফি-হেলম্যান প্রাইম মডুলাস গ্রুপ ব্যবহার করুন।
  • গ্রুপ-15—3072-বিট ডিফি-হেলম্যান প্রাইম মডুলাস গ্রুপ ব্যবহার করুন।
  • গ্রুপ-16—4096-বিট ডিফি-হেলম্যান প্রাইম মডুলাস গ্রুপ ব্যবহার করুন। এটি ডিফল্ট।
  • কোনোটিই নয়—PFS নিষ্ক্রিয় করুন।

ডিফল্টরূপে, IPsec টানেলের IPsec রিপ্লে উইন্ডোটি 512 বাইট। আপনি রিপ্লে উইন্ডোর আকার 64, 128, 256, 512, 1024, 2048, বা 4096 প্যাকেটে সেট করতে পারেন:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# রিপ্লে-উইন্ডো নম্বর

IKE ডেড-পিয়ার সনাক্তকরণ পরিবর্তন করুন

একটি IKE পিয়ারের সাথে সংযোগ কার্যকরী এবং পৌঁছানো যায় কিনা তা নির্ধারণ করতে IKE একটি মৃত-পিয়ার সনাক্তকরণ প্রক্রিয়া ব্যবহার করে। এই প্রক্রিয়াটি বাস্তবায়নের জন্য, IKE তার সমকক্ষের কাছে একটি হ্যালো প্যাকেট পাঠায় এবং পিয়ার প্রতিক্রিয়া হিসাবে একটি স্বীকৃতি পাঠায়। ডিফল্টরূপে, IKE প্রতি 10 সেকেন্ডে হ্যালো প্যাকেট পাঠায়, এবং তিনটি অস্বীকৃত প্যাকেটের পরে, IKE প্রতিবেশীকে মৃত বলে ঘোষণা করে এবং পিয়ারের কাছে টানেল ছিঁড়ে ফেলে। তারপরে, IKE পর্যায়ক্রমে পিয়ারের কাছে একটি হ্যালো প্যাকেট পাঠায় এবং পিয়ার অনলাইনে ফিরে এলে টানেলটি পুনরায় স্থাপন করে। আপনি জীবন্ততা সনাক্তকরণের ব্যবধানকে 0 থেকে 65535 পর্যন্ত একটি মানতে পরিবর্তন করতে পারেন এবং আপনি পুনরায় চেষ্টার সংখ্যা 0 থেকে 255 পর্যন্ত একটি মান পরিবর্তন করতে পারেন।

দ্রষ্টব্য

ট্রান্সপোর্ট ভিপিএন-এর জন্য, সজীবতা সনাক্তকরণের ব্যবধানকে নিম্নলিখিত সূত্র ব্যবহার করে সেকেন্ডে রূপান্তরিত করা হয়: পুনঃপ্রচার প্রচেষ্টার জন্য ব্যবধান নম্বর N = ব্যবধান * 1.8N-1 প্রাক্তনের জন্যample, যদি ব্যবধানটি 10 ​​এ সেট করা হয় এবং 5 তে পুনরায় চেষ্টা করে, সনাক্তকরণের ব্যবধানটি নিম্নরূপ বৃদ্ধি পায়:

  • প্রচেষ্টা 1: 10 * 1.81-1 = 10 সেকেন্ড
  • প্রয়াস 2: 10 * 1.82-1 = 18 সেকেন্ড
  • প্রয়াস 3: 10 * 1.83-1 = 32.4 সেকেন্ড
  • প্রয়াস 4: 10 * 1.84-1 = 58.32 সেকেন্ড
  • প্রয়াস 5: 10 * 1.85-1 = 104.976 সেকেন্ড

vEdge(config-interface-ipsecnumber)# ডেড-পিয়ার-ডিটেকশন ব্যবধান পুনরায় চেষ্টা সংখ্যা

অন্যান্য ইন্টারফেস বৈশিষ্ট্য কনফিগার করুন

IPsec টানেল ইন্টারফেসের জন্য, আপনি শুধুমাত্র নিম্নলিখিত অতিরিক্ত ইন্টারফেস বৈশিষ্ট্যগুলি কনফিগার করতে পারেন:

  • vEdge(config-interface-ipsec)# mtu বাইট
  • vEdge(config-interface-ipsec)# tcp-mss-অ্যাডজাস্ট বাইট

Cisco SD-WAN ম্যানেজারে দুর্বল SSH এনক্রিপশন অ্যালগরিদম অক্ষম করুন৷

সারণী 5: বৈশিষ্ট্য ইতিহাস সারণী

বৈশিষ্ট্য নাম রিলিজ তথ্য বৈশিষ্ট্য বর্ণনা
Cisco SD-WAN ম্যানেজারে দুর্বল SSH এনক্রিপশন অ্যালগরিদম অক্ষম করুন৷ Cisco vManage রিলিজ 20.9.1 এই বৈশিষ্ট্যটি আপনাকে Cisco SD-WAN ম্যানেজারে দুর্বল SSH অ্যালগরিদমগুলি নিষ্ক্রিয় করতে দেয় যা নির্দিষ্ট ডেটা সুরক্ষা মান মেনে নাও যেতে পারে।

Cisco SD-WAN ম্যানেজারে দুর্বল SSH এনক্রিপশন অ্যালগরিদম নিষ্ক্রিয় করার বিষয়ে তথ্য
Cisco SD-WAN ম্যানেজার কন্ট্রোলার এবং এজ ডিভাইস সহ নেটওয়ার্কের উপাদানগুলির সাথে যোগাযোগের জন্য একটি SSH ক্লায়েন্ট প্রদান করে। এসএসএইচ ক্লায়েন্ট বিভিন্ন ধরনের এনক্রিপশন অ্যালগরিদমের উপর ভিত্তি করে নিরাপদ ডেটা স্থানান্তরের জন্য একটি এনক্রিপ্ট করা সংযোগ প্রদান করে। অনেক প্রতিষ্ঠানের SHA-1, AES-128, এবং AES-192 দ্বারা প্রদত্ত এর চেয়ে শক্তিশালী এনক্রিপশন প্রয়োজন। Cisco vManage Release 20.9.1 থেকে, আপনি নিম্নলিখিত দুর্বল এনক্রিপশন অ্যালগরিদমগুলিকে নিষ্ক্রিয় করতে পারেন যাতে একটি SSH ক্লায়েন্ট এই অ্যালগরিদমগুলি ব্যবহার না করে:

  • SHA-1
  • AES-128
  • AES-192

এই এনক্রিপশন অ্যালগরিদমগুলি নিষ্ক্রিয় করার আগে, নিশ্চিত করুন যে Cisco vEdge ডিভাইসগুলি, যদি থাকে, নেটওয়ার্কে, Cisco SD-WAN রিলিজ 18.4.6 এর পরে একটি সফ্টওয়্যার রিলিজ ব্যবহার করছে৷

সিসকো SD-WAN ম্যানেজারে দুর্বল SSH এনক্রিপশন অ্যালগরিদম নিষ্ক্রিয় করার সুবিধা
দুর্বল SSH এনক্রিপশন অ্যালগরিদমগুলি নিষ্ক্রিয় করা SSH যোগাযোগের নিরাপত্তা উন্নত করে, এবং নিশ্চিত করে যে Cisco ক্যাটালিস্ট SD-WAN ব্যবহারকারী সংস্থাগুলি কঠোর নিরাপত্তা বিধি মেনে চলছে৷

CLI ব্যবহার করে Cisco SD-WAN ম্যানেজারে দুর্বল SSH এনক্রিপশন অ্যালগরিদম অক্ষম করুন

  1. Cisco SD-WAN ম্যানেজার মেনু থেকে, টুলস > SSH টার্মিনাল বেছে নিন।
  2. Cisco SD-WAN ম্যানেজার ডিভাইসটি বেছে নিন যেটিতে আপনি দুর্বল SSH অ্যালগরিদম নিষ্ক্রিয় করতে চান।
  3. ডিভাইসে লগ ইন করতে ব্যবহারকারীর নাম এবং পাসওয়ার্ড লিখুন।
  4. SSH সার্ভার মোডে প্রবেশ করুন।
    • vmanage(config)# সিস্টেম
    • vmanage(config-system)# ssh-server
  5. একটি SSH এনক্রিপশন অ্যালগরিদম নিষ্ক্রিয় করতে নিম্নলিখিতগুলির মধ্যে একটি করুন:
    • SHA-1 নিষ্ক্রিয় করুন:
  6. পরিচালনা (কনফিগ-এসএসএইচ-সার্ভার)# কেক্স-অ্যালগো শা১ নেই
  7. পরিচালনা করুন(config-ssh-server)# কমিট
    নিম্নলিখিত সতর্কতা বার্তাটি প্রদর্শিত হয়: নিম্নলিখিত সতর্কতাগুলি তৈরি করা হয়েছিল: 'system ssh-server kex-algo sha1': সতর্কতা: দয়া করে নিশ্চিত করুন যে আপনার সমস্ত প্রান্তগুলি কোড সংস্করণ চালায় > 18.4.6 যা vManage-এর সাথে SHA1-এর চেয়ে ভাল আলোচনা করে৷ অন্যথায় সেই প্রান্তগুলি অফলাইন হয়ে যেতে পারে। এগিয়ে যান? [হ্যাঁ, না] হ্যাঁ
    • নিশ্চিত করুন যে নেটওয়ার্কের যেকোনো Cisco vEdge ডিভাইস Cisco SD-WAN রিলিজ 18.4.6 বা তার পরে চলছে এবং হ্যাঁ লিখুন।
    • AES-128 এবং AES-192 নিষ্ক্রিয় করুন:
    • vmanage(config-ssh-server)# কোন সাইফার aes-128-192 নেই
    • vmanage(config-ssh-server)# কমিট
      নিম্নলিখিত সতর্কতা বার্তা প্রদর্শিত হয়:
      নিম্নলিখিত সতর্কতা তৈরি করা হয়েছে:
      'system ssh-server cipher aes-128-192': সতর্কতা: দয়া করে নিশ্চিত করুন যে আপনার সমস্ত প্রান্তগুলি কোড সংস্করণ > 18.4.6 চালায় যা vManage-এর সাথে AES-128-192 এর চেয়ে ভাল আলোচনা করে। অন্যথায় সেই প্রান্তগুলি অফলাইন হয়ে যেতে পারে। এগিয়ে যান? [হ্যাঁ, না] হ্যাঁ
    • নিশ্চিত করুন যে নেটওয়ার্কের যেকোনো Cisco vEdge ডিভাইস Cisco SD-WAN রিলিজ 18.4.6 বা তার পরে চলছে এবং হ্যাঁ লিখুন।

যাচাই করুন যে দুর্বল SSH এনক্রিপশন অ্যালগরিদম CLI ব্যবহার করে Cisco SD-WAN ম্যানেজারে নিষ্ক্রিয় করা হয়েছে

  1. Cisco SD-WAN ম্যানেজার মেনু থেকে, টুলস > SSH টার্মিনাল বেছে নিন।
  2. আপনি যাচাই করতে চান এমন Cisco SD-WAN ম্যানেজার ডিভাইসটি নির্বাচন করুন।
  3. ডিভাইসে লগ ইন করতে ব্যবহারকারীর নাম এবং পাসওয়ার্ড লিখুন।
  4. নিম্নলিখিত কমান্ডটি চালান: রানিং-কনফিগ সিস্টেম ssh-সার্ভার দেখান
  5. নিশ্চিত করুন যে আউটপুট এক বা একাধিক কমান্ড দেখায় যা দুর্বল এনক্রিপশন অ্যালগরিদম অক্ষম করে:
    • কোন সাইফার aes-128-192 নেই
    • কেক্স-অ্যালগো শা১ নেই

দলিল/সম্পদ

CISCO SD-WAN নিরাপত্তা পরামিতি কনফিগার করুন [পিডিএফ] ব্যবহারকারীর নির্দেশিকা
SD-WAN সিকিউরিটি প্যারামিটার কনফিগার করুন, SD-WAN, সিকিউরিটি প্যারামিটার কনফিগার করুন, সিকিউরিটি প্যারামিটার

তথ্যসূত্র

একটি মন্তব্য করুন

আপনার ইমেল ঠিকানা প্রকাশ করা হবে না. প্রয়োজনীয় ক্ষেত্রগুলি চিহ্নিত করা হয়েছে *