Mga sulod itago
1 CISCO SD-WAN I-configure ang Mga Parameter sa Seguridad
2 I-configure ang Mga Parameter sa Seguridad
3 I-configure ang Control Plane Security Parameters
4 I-configure ang DTLS sa Cisco SD-WAN Manager
5 I-configure ang Data Plane Security Parameters
6 I-configure ang Gitugotan nga Mga Matang sa Pagpamatuod
7 Usba ang Rekeying Timer
8 Usba ang Gidak-on sa Anti-Replay Window
9 I-configure ang IPsec Static nga Ruta
10 I-configure ang IPsec Tunnel Parameter
11 Usba ang IKE Dead-Peer Detection
12 I-configure ang Ubang Interface Properties
13 I-disable ang Huyang nga SSH Encryption Algorithm sa Cisco SD-WAN Manager
14 Mga Dokumento / Mga Kapanguhaan
14.1 Mga pakisayran

CISCO-LOGO

CISCO SD-WAN I-configure ang Mga Parameter sa Seguridad

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

I-configure ang Mga Parameter sa Seguridad

Nota

Aron makab-ot ang pagpayano ug pagkamakanunayon, ang solusyon sa Cisco SD-WAN gi-rebrand isip Cisco Catalyst SD-WAN. Dugang pa, gikan sa Cisco IOS XE SD-WAN Release 17.12.1a ug Cisco Catalyst SD-WAN Release 20.12.1, ang mosunod nga mga kausaban sa component magamit: Cisco vManage ngadto sa Cisco Catalyst SD-WAN Manager, Cisco vAnalytics ngadto sa Cisco Catalyst SD-WAN Analytics, Cisco vBond ngadto sa Cisco Catalyst SD-WAN Validator, ug Cisco vSmart ngadto sa Cisco Catalyst SD-WAN Controller. Tan-awa ang pinakabag-o nga Release Notes para sa usa ka komprehensibo nga lista sa tanan nga mga pagbag-o sa ngalan sa brand. Samtang nag-transition kami sa bag-ong mga ngalan, ang pipila nga mga pagkasukwahi mahimong naa sa set sa dokumentasyon tungod sa usa ka hinay nga pamaagi sa mga update sa user interface sa produkto sa software.

Kini nga seksyon naghulagway kon unsaon pag-usab sa mga parameter sa seguridad alang sa control plane ug sa data plane sa Cisco Catalyst SD-WAN overlay network.

  • I-configure ang Control Plane Security Parameters, on
  • I-configure ang Data Plane Security Parameters, on
  • I-configure ang IKE-Enabled IPsec Tunnels, on
  • I-disable ang Huyang nga SSH Encryption Algorithm sa Cisco SD-WAN Manager, sa

I-configure ang Control Plane Security Parameters

Sa kasagaran, ang control plane naggamit sa DTLS isip protocol nga naghatag og pribasiya sa tanang tunnel niini. Ang DTLS nagdagan sa UDP. Mahimo nimong usbon ang control plane security protocol ngadto sa TLS, nga nagpadagan sa TCP. Ang panguna nga hinungdan sa paggamit sa TLS mao nga, kung imong gikonsiderar ang Cisco SD-WAN Controller nga usa ka server, ang mga firewall manalipod sa mga TCP server nga labi ka maayo kaysa sa mga server sa UDP. Imong gi-configure ang control plane tunnel protocol sa usa ka Cisco SD-WAN Controller: vSmart(config)# security control protocol tls Uban niini nga pagbag-o, ang tanan nga control plane tunnels tali sa Cisco SD-WAN Controller ug sa mga routers ug tali sa Cisco SD-WAN Controller ug Cisco SD-WAN Manager naggamit ug TLS. Ang pagkontrol sa mga tunnel sa eroplano ngadto sa Cisco Catalyst SD-WAN Validator kanunay nga naggamit sa DTLS, tungod kay kini nga mga koneksyon kinahanglang dumalahon sa UDP. Sa usa ka domain nga adunay daghang Cisco SD-WAN Controller, kung imong gi-configure ang TLS sa usa sa mga Cisco SD-WAN Controller, ang tanan nga kontrol sa mga tunnel sa eroplano gikan sa kana nga controller hangtod sa ubang mga controller naggamit TLS. Giingon sa laing paagi, ang TLS kanunay nga nag-una kaysa DTLS. Bisan pa, gikan sa panan-aw sa ubang mga Cisco SD-WAN Controller, kung wala nimo ma-configure ang TLS sa kanila, gigamit nila ang TLS sa control plane tunnel lamang sa usa ka Cisco SD-WAN Controller, ug gigamit nila ang mga tunnel sa DTLS sa tanan nga uban pa. Cisco SD-WAN Controllers ug sa tanan nilang konektado nga mga router. Aron magamit ang tanan nga Cisco SD-WAN Controller sa TLS, i-configure kini sa tanan nila. Sa kasagaran, ang Cisco SD-WAN Controller maminaw sa port 23456 alang sa mga hangyo sa TLS. Aron mabag-o kini: vSmart(config)# security control tls-port number Ang pantalan mahimong numero gikan sa 1025 hangtod 65535. Aron ipakita ang impormasyon sa seguridad sa control plane, gamita ang show control connections command sa Cisco SD-WAN Controller. Kay example: vSmart-2# ipakita ang kontrol nga mga koneksyon

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

I-configure ang DTLS sa Cisco SD-WAN Manager

Kon imong i-configure ang Cisco SD-WAN Manager nga gamiton ang TLS isip control plane security protocol, kinahanglan nimong palihokon ang port forwarding sa imong NAT. Kung gigamit nimo ang DTLS isip control plane security protocol, wala ka kinahanglana nga buhaton. Ang gidaghanon sa mga port nga gipasa nagdepende sa gidaghanon sa mga proseso sa vdaemon nga nagdagan sa Cisco SD-WAN Manager. Aron ipakita ang kasayuran bahin niini nga mga proseso ug bahin ug ang gidaghanon sa mga pantalan nga gipasa, gamita ang show control summary command nagpakita nga upat ka mga proseso sa daemon ang nagdagan:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Aron makita ang mga port sa pagpaminaw, gamita ang show control local-properties command: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Kini nga output nagpakita nga ang paminawon nga TCP port mao ang 23456. Kung ikaw nagdagan sa Cisco SD-WAN Manager luyo sa usa ka NAT, kinahanglan nimong ablihan ang mosunod nga mga pantalan sa NAT device:

  • 23456 (base - pananglitan 0 port)
  • 23456 + 100 (base + 100)
  • 23456 + 200 (base + 200)
  • 23456 + 300 (base + 300)

Timan-i nga ang gidaghanon sa mga instance parehas sa gidaghanon sa mga core nga imong gi-assign para sa Cisco SD-WAN Manager, hangtod sa maximum nga 8.

I-configure ang Security Parameters Gamit ang Security Feature Template

Gamita ang Security feature template para sa tanang Cisco vEdge device. Sa edge nga mga router ug sa Cisco SD-WAN Validator, gamita kini nga template aron ma-configure ang IPsec alang sa seguridad sa data plane. Sa Cisco SD-WAN Manager ug Cisco SD-WAN Controller, gamita ang Security feature template para i-configure ang DTLS o TLS para sa control sa seguridad sa eroplano.

I-configure ang Mga Parameter sa Seguridad

  1. Gikan sa Cisco SD-WAN Manager nga menu, pilia ang Configuration > Templates.
  2. I-klik ang Feature Templates ug dayon i-klik ang Add Template.
    Nota Sa Cisco vManage Release 20.7.1 ug sa sayo pa nga pagpagawas, ang Feature Templates gitawag ug Feature.
  3. Gikan sa lista sa Devices sa wala nga pane, pagpili og device. Ang mga template nga magamit sa gipili nga aparato makita sa tuo nga pane.
  4. I-klik ang Security aron maablihan ang template.
  5. Sa natad sa Ngalan sa Template, pagsulod ug ngalan alang sa template. Ang ngalan mahimong hangtod sa 128 ka karakter ug mahimong adunay sulod lamang nga alphanumeric nga mga karakter.
  6. Sa natad sa Deskripsyon sa Template, pagsulod sa usa ka paghulagway sa template. Ang deskripsyon mahimong hangtod sa 2048 ka karakter ug mahimong adunay sulod lamang nga alphanumeric nga mga karakter.

Sa una nimong pag-abli sa usa ka feature template, alang sa matag parameter nga adunay default value, ang scope gitakda sa Default (gipakita sa checkmark), ug ang default setting o value gipakita. Aron usbon ang default o sa pagsulod sa usa ka bili, i-klik ang scope drop-down menu sa wala sa parameter field ug pilia ang usa sa mosunod:

Talaan 1:

Parameter Kasangkaran Deskripsyon sa Kasangkaran
Piho nga Device (gipakita sa usa ka icon sa host) Gamit ug bili nga espesipiko sa device para sa parameter. Para sa mga parameter nga espesipiko sa device, dili ka makasulod ug value sa feature template. Gisulod nimo ang bili kung imong gilakip ang Viptela device sa usa ka template sa device.

Kung imong i-klik ang Device Specific, ang Enter Key box moabli. Kini nga kahon nagpakita sa usa ka yawe, nga usa ka talagsaon nga hilo nga nagpaila sa parameter sa usa ka CSV file nga imong gimugna. Kini file usa ka Excel spreadsheet nga adunay usa ka kolum alang sa matag yawe. Ang laray sa ulohan naglangkob sa mga yawe nga ngalan (usa ka yawe matag kolum), ug ang matag laray pagkahuman niana katumbas sa usa ka aparato ug gihubit ang mga kantidad sa mga yawe alang sa kana nga aparato. Gi-upload nimo ang CSV file kung imong gilakip ang Viptela nga aparato sa usa ka template sa aparato. Para sa dugang nga impormasyon, tan-awa ang Paghimo ug Template Variables Spreadsheet.

Aron usbon ang default nga yawe, pag-type og bag-ong string ug ibalhin ang cursor gikan sa Enter Key box.

ExampAng gamay nga mga parameter nga piho sa aparato mao ang IP address sa sistema, hostname, lokasyon sa GPS, ug ID sa site.
Parameter Kasangkaran Deskripsyon sa Kasangkaran
Global (gipakita sa icon sa globo) Pagsulod ug bili para sa parameter, ug i-apply kana nga bili sa tanang device.

ExampAng gamay nga mga parameter nga mahimo nimong magamit sa tibuuk kalibutan sa usa ka grupo sa mga aparato mao ang DNS server, syslog server, ug interface nga MTU.

I-configure ang Control Plane Security

Nota
Ang seksyon sa Configure Control Plane Security magamit lamang sa Cisco SD-WAN Manager ug Cisco SD-WAN Controller. ug i-configure ang mosunod nga mga parameter:

Talaan 2:

Parameter Ngalan Deskripsyon
Protokol Pilia ang protocol nga gamiton sa control plane connections sa Cisco SD-WAN Controller:

• DTLS (Datagram Transport Layer Security). Kini ang default.

• TLS (Transport Layer Security)
Kontrola ang TLS Port Kung gipili nimo ang TLS, i-configure ang numero sa port nga gamiton:sakup: 1025 hangtod 65535Default: 23456

I-klik ang Save

I-configure ang Data Plane Security
Aron ma-configure ang seguridad sa data plane sa Cisco SD-WAN Validator o Cisco vEdge router, pilia ang Basic Configuration and Authentication Type tabs, ug i-configure ang mosunod nga mga parameter:

Talaan 3:

Parameter Ngalan Deskripsyon
Panahon sa Rekey Ipiho kung unsa ka subsob ang usa ka Cisco vEdge router nag-usab sa AES nga yawe nga gigamit sa luwas nga koneksyon sa DTLS ngadto sa Cisco SD-WAN Controller. Kung ang OMP graceful restart ma-enable, ang oras sa pag-rekey kinahanglan labing menos doble sa kantidad sa OMP graceful restart timer.sakup: 10 hangtod 1209600 segundos (14 ka adlaw)Default: 86400 segundos (24 oras)
Replay Window Tinoa ang gidak-on sa sliding replay window.

Mga bili: 64, 128, 256, 512, 1024, 2048, 4096, 8192 nga mga paketeDefault: 512 ka pakete
Si IPsec

pares-keying

 Gipalong kini pinaagi sa default. Pag-klik On aron ma-on kini.
Parameter Ngalan Deskripsyon
Uri sa Pagpamatuod Pilia ang mga tipo sa authentication gikan sa Pagpamatuod Listahan, ug i-klik ang arrow nga nagpunting sa tuo aron ibalhin ang mga tipo sa pag-authenticate sa Gipili nga Listahan kolum.

Mga tipo sa panghimatuud nga gisuportahan gikan sa Cisco SD-WAN Release 20.6.1:

•  esp: Makapahimo sa Encapsulating Security Payload (ESP) encryption ug pagsusi sa integridad sa ESP header.

•  ip-udp-esp: Makapahimo sa ESP encryption. Dugang pa sa mga pagsusi sa integridad sa ESP header ug payload, ang mga tseke naglakip usab sa outer IP ug UDP header.

•  ip-udp-esp-no-id: Wala magtagad sa ID field sa IP header aron ang Cisco Catalyst SD-WAN makatrabaho dungan sa mga non-Cisco device.

•  wala: Gipalong ang pagsusi sa integridad sa mga pakete sa IPSec. Dili namo girekomenda ang paggamit niini nga opsyon.

 

Mga tipo sa pag-authenticate nga gisuportahan sa Cisco SD-WAN Release 20.5.1 ug sa sayo pa:

•  ah-walay-id: I-enable ang gipauswag nga bersyon sa AH-SHA1 HMAC ug ESP HMAC-SHA1 nga wala magtagad sa ID field sa panggawas nga IP header sa packet.

•  ah-sha1-hmac: I-enable ang AH-SHA1 HMAC ug ESP HMAC-SHA1.

•  wala: Pilia ang walay panghimatuod.

•  sha1-hmac: I-enable ang ESP HMAC-SHA1.

 

Nota              Alang sa usa ka edge device nga nagdagan sa Cisco SD-WAN Release 20.5.1 o mas sayo pa, mahimo nimong na-configure ang mga tipo sa pag-authenticate gamit ang usa ka Seguridad template. Kon imong i-upgrade ang device ngadto sa Cisco SD-WAN Release 20.6.1 o sa ulahi, i-update ang pinili nga mga tipo sa authentication sa Seguridad template sa mga matang sa panghimatuud nga gisuportahan gikan sa Cisco SD-WAN Release 20.6.1. Aron ma-update ang mga tipo sa pag-authenticate, buhata ang mosunod:

1.      Gikan sa Cisco SD-WAN Manager menu, pagpili Pag-configure >

Mga template.

2.      Pag-klik Feature nga mga Template.

3.      Pangitaa ang Seguridad template aron ma-update ug i-klik ... ug i-klik Edit.

4.      Pag-klik Update. Ayaw usba ang bisan unsang configuration.

Gi-update sa Cisco SD-WAN Manager ang Seguridad template aron ipakita ang gisuportahan nga mga tipo sa panghimatuud.

I-klik ang Save.

I-configure ang Data Plane Security Parameters

Sa data plane, ang IPsec gi-enable pinaagi sa default sa tanan nga mga routers, ug pinaagi sa default ang IPsec tunnel connections naggamit ug enhanced version sa Encapsulating Security Payload (ESP) protocol para sa authentication sa IPsec tunnels. Sa mga router, mahimo nimong usbon ang tipo sa authentication, ang IPsec rekeying timer, ug ang gidak-on sa IPsec anti-replay nga bintana.

I-configure ang Gitugotan nga Mga Matang sa Pagpamatuod

Mga Uri sa Pagpamatuod sa Cisco SD-WAN Release 20.6.1 ug Sa ulahi
Gikan sa Cisco SD-WAN Release 20.6.1, ang mosunod nga mga matang sa integridad gisuportahan:

  • esp: Kini nga opsyon makapahimo sa Encapsulating Security Payload (ESP) encryption ug pagsusi sa integridad sa ESP header.
  • ip-udp-esp: Kini nga opsyon makapahimo sa ESP encryption. Dugang pa sa mga pagsusi sa integridad sa ESP header ug sa payload, ang mga tseke naglakip usab sa outer IP ug UDP header.
  • ip-udp-esp-no-id: Kini nga opsyon susama sa ip-udp-esp, bisan pa niana, ang ID field sa gawas nga IP header wala tagda. I-configure kini nga kapilian sa lista sa mga tipo sa integridad aron ang Cisco Catalyst SD-WAN software wala magtagad sa ID field sa IP header aron ang Cisco Catalyst SD-WAN mahimo nga magtrabaho kauban sa mga non-Cisco device.
  • wala: Kini nga opsyon nagpabalik sa pagsusi sa integridad sa mga pakete sa IPSec. Dili namo girekomenda ang paggamit niini nga opsyon.

Sa kasagaran, ang mga koneksyon sa tunel sa IPsec naggamit sa usa ka gipauswag nga bersyon sa Encapsulating Security Payload (ESP) nga protocol alang sa pag-authenticate. Para mabag-o ang gi-negotiate nga mga tipo sa interity o aron ma-disable ang integrity check, gamita ang mosunod nga command: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp}

Mga Uri sa Pagpamatuod Sa wala pa ang Cisco SD-WAN Release 20.6.1
Sa kasagaran, ang mga koneksyon sa tunel sa IPsec naggamit sa usa ka gipauswag nga bersyon sa Encapsulating Security Payload (ESP) nga protocol alang sa pag-authenticate. Para mabag-o ang gi-negosasyon nga mga tipo sa pag-authenticate o aron ma-disable ang authentication, gamita ang mosunod nga command: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Sa default, IPsec Ang mga koneksyon sa tunel naggamit sa AES-GCM-256, nga naghatag og encryption ug authentication. I-configure ang matag tipo sa authentication gamit ang usa ka bulag nga security ipsec authentication-type nga command. Ang mga opsyon sa command mapa ngadto sa mosunod nga mga tipo sa pag-authenticate, nga gilista sa han-ay gikan sa pinakalig-on ngadto sa pinakagamay:

Nota
Ang sha1 sa mga kapilian sa pag-configure gigamit alang sa mga hinungdan sa kasaysayan. Ang mga kapilian sa pag-authenticate nagpakita kung pila ang gihimo sa pagsusi sa integridad sa pakete. Wala nila ipiho ang algorithm nga nagsusi sa integridad. Gawas sa pag-encrypt sa trapiko sa multicast, ang mga algorithm sa panghimatuud nga gisuportahan sa Cisco Catalyst SD WAN wala mogamit SHA1. Apan sa Cisco SD-WAN Release 20.1.x ug sa unahan, ang unicast ug multicast dili mogamit sa SHA1.

  • Ang ah-sha1-hmac makahimo sa pag-encrypt ug encapsulation gamit ang ESP. Bisan pa, dugang sa mga pagsusi sa integridad sa ESP header ug payload, ang mga tseke naglakip usab sa gawas nga IP ug UDP header. Busa, kini nga opsyon nagsuporta sa integridad nga pagsusi sa pakete nga susama sa Authentication Header (AH) protocol. Ang tanan nga integridad ug pag-encrypt gihimo gamit ang AES-256-GCM.
  • Ang ah-no-id makahimo sa usa ka mode nga susama sa ah-sha1-hmac, bisan pa niana, ang ID field sa gawas nga IP header wala tagda. Kini nga opsyon nag-accommodate sa pipila ka non-Cisco Catalyst SD-WAN device, lakip ang Apple AirPort Express NAT, nga adunay bug nga maoy hinungdan sa ID field sa IP header, usa ka non-mutable field, nga mausab. I-configure ang ah-no-id nga opsyon sa listahan sa mga tipo sa pag-authenticate aron ang Cisco Catalyst SD-WAN AH software wala magtagad sa ID field sa IP header aron ang Cisco Catalyst SD-WAN software mahimo nga magtrabaho kauban niini nga mga device.
  • Gitugotan sa sha1-hmac ang pag-encrypt sa ESP ug pagsusi sa integridad.
  • walay mapa nga walay panghimatuod. Kini nga opsyon kinahanglan nga gamiton lamang kung kini gikinahanglan alang sa temporaryo nga pag-debug. Mahimo usab nimo nga pilion kini nga kapilian sa mga sitwasyon diin ang pag-authenticate ug integridad sa data plane dili usa ka kabalaka. Dili girekomenda sa Cisco ang paggamit niini nga kapilian alang sa mga network sa produksiyon.

Alang sa kasayuran kung unsang mga field sa data packet ang apektado niining mga tipo sa pag-authenticate, tan-awa ang Data Plane Integrity. Ang Cisco IOS XE Catalyst SD-WAN device ug Cisco vEdge device nag-anunsyo sa ilang na-configure nga mga tipo sa pag-authenticate sa ilang TLOC nga mga kabtangan. Ang duha ka mga routers sa bisan asa nga kilid sa usa ka IPsec tunnel koneksyon makigsabot sa authentication nga gamiton sa koneksyon tali kanila, gamit ang pinakalig-on nga authentication matang nga gi-configure sa duha sa mga routers. Kay example, kung ang usa ka router nag-anunsyo sa ah-sha1-hmac ug ah-no-id nga mga tipo, ug ang ikaduha nga router nag-anunsyo sa ah-no-id type, ang duha ka routers makigsabot sa paggamit sa ah-no-id sa IPsec tunnel koneksyon tali sa sila. Kung walay kasagarang mga tipo sa pag-authenticate ang na-configure sa duha ka mga kaedad, walay IPsec tunnel ang natukod tali kanila. Ang encryption algorithm sa IPsec tunnel koneksyon nagdepende sa matang sa trapiko:

  • Para sa unicast nga trapiko, ang encryption algorithm mao ang AES-256-GCM.
  • Para sa multicast nga trapiko:
  • Cisco SD-WAN Release 20.1.x ug sa ulahi– ang encryption algorithm mao ang AES-256-GCM
  • Nauna nga mga pagpagawas- ang encryption algorithm mao ang AES-256-CBC nga adunay SHA1-HMAC.

Sa diha nga ang IPsec authentication type mausab, ang AES key para sa data path mausab.

Usba ang Rekeying Timer

Sa wala pa ang Cisco IOS XE Catalyst SD-WAN nga mga aparato ug ang Cisco vEdge nga mga aparato mahimong magbayloay sa trapiko sa datos, nagbutang sila usa ka luwas nga gipamatud-an nga channel sa komunikasyon tali kanila. Gigamit sa mga router ang IPSec tunnels sa taliwala nila ingon nga channel, ug ang AES-256 cipher aron mahimo ang pag-encrypt. Ang matag router makamugna og bag-ong AES key para sa data path niini matag karon ug unya. Sa kasagaran, ang usa ka yawe balido sa 86400 segundos (24 oras), ug ang timer range 10 segundos hangtod sa 1209600 segundos (14 ka adlaw). Para usbon ang rekey timer value: Device(config)# security ipsec rekey seconds Ang configuration sama niini:

  • seguridad ipsec rekey segundos !

Kung gusto nimo nga makamugna dayon og bag-ong mga yawe sa IPsec, mahimo nimo kini nga dili usbon ang pag-configure sa router. Aron mahimo kini, i-isyu ang hangyo nga security ipsecrekey command sa nakompromiso nga router. Kay example, ang mosunod nga output nagpakita nga ang lokal nga SA adunay Security Parameter Index (SPI) nga 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Usa ka talagsaon nga yawe ang nalangkit sa matag SPI. Kung kini nga yawe makompromiso, gamita ang hangyo sa seguridad nga ipsec-rekey nga sugo aron makamugna dayon og bag-ong yawe. Kini nga sugo nagdugang sa SPI. Sa among example, ang SPI nausab ngadto sa 257 ug ang yawe nga nalangkit niini gigamit na karon:

  • Device# hangyo sa seguridad ipsecrekey
  • Device# ipakita ang ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Human mamugna ang bag-ong yawe, ipadala dayon kini sa router ngadto sa Cisco SD-WAN Controllers gamit ang DTLS o TLS. Ang Cisco SD-WAN Controllers nagpadala sa yawe sa mga peer routers. Ang mga router magsugod sa paggamit niini sa diha nga sila makadawat niini. Timan-i nga ang yawe nga may kalabutan sa daan nga SPI (256) magpadayon nga gamiton sa mubo nga panahon hangtod nga matapos na. Aron mahunong dayon ang paggamit sa daan nga yawe, i-isyu ang hangyo sa seguridad nga ipsec-rekey nga mando kaduha, sa dali nga sunodsunod. Kini nga han-ay sa mga sugo nagtangtang sa SPI 256 ug 257 ug nagtakda sa SPI ngadto sa 258. Ang router dayon naggamit sa kaubang yawe sa SPI 258. Hinuon, timan-i nga ang pipila ka mga pakete ihulog sulod sa mubo nga panahon hangtud nga ang tanan nga mga remote router makakat-on. ang bag-ong yawe.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Usba ang Gidak-on sa Anti-Replay Window

Ang IPsec authentication naghatag og anti-replay nga proteksyon pinaagi sa pag-assign sa usa ka talagsaon nga sequence number sa matag pakete sa usa ka data stream. Kini nga sequence numbering nanalipod batok sa usa ka tig-atake nga nagdoble sa mga pakete sa datos. Uban sa anti-replay nga proteksyon, ang nagpadala nag-assign sa monotonically nga pagtaas sa mga numero sa han-ay, ug ang destinasyon nagsusi niini nga mga numero sa pagkasunod-sunod aron mahibal-an ang mga duplicate. Tungod kay ang mga pakete sa kasagaran dili moabut sa han-ay, ang destinasyon nagmintinar sa usa ka sliding window sa sequence number nga kini dawaton.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Ang mga pakete nga adunay sequence number nga nahulog sa wala sa sliding window range giisip nga daan o mga duplicate, ug ang destinasyon naghulog niini. Ang destinasyon nagsubay sa pinakataas nga sequence number nga nadawat niini, ug nag-adjust sa sliding window kung makadawat kini og packet nga adunay mas taas nga kantidad.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Sa kasagaran, ang sliding window gitakda sa 512 ka pakete. Mahimo kini itakda sa bisan unsang kantidad tali sa 64 ug 4096 nga usa ka gahum sa 2 (nga mao, 64, 128, 256, 512, 1024, 2048, o 4096). Aron usbon ang gidak-on sa anti-replay nga bintana, gamita ang replay-window command, nga nagtino sa gidak-on sa bintana:

Device(config)# security ipsec replay-window number

Ang pag-configure ingon niini:
security ipsec replay-window number ! !

Aron makatabang sa QoS, bulag nga mga bintana sa replay ang gipadayon alang sa matag usa sa unang walo ka agianan sa trapiko. Ang gi-configure nga gidak-on sa replay window gibahin sa walo alang sa matag channel. Kung ang QoS gi-configure sa usa ka router, kana nga router mahimong makasinati sa usa ka mas dako pa kaysa sa gipaabut nga gidaghanon sa mga packet drops isip resulta sa IPsec anti-replay nga mekanismo, ug daghan sa mga packet nga nahulog kay mga lehitimo. Nahitabo kini tungod kay ang QoS nag-order pag-usab sa mga pakete, naghatag sa mas taas nga prayoridad nga mga pakete nga pinalabi nga pagtambal ug naglangan sa ubos nga prayoridad nga mga pakete. Aron mamenosan o mapugngan kini nga sitwasyon, mahimo nimo ang mosunod:

  • Dugangi ang gidak-on sa anti-replay nga bintana.
  • Ang trapiko sa inhenyero sa una nga walo ka mga agianan sa trapiko aron masiguro nga ang trapiko sa sulod sa usa ka channel dili mabag-o.

I-configure ang IKE-Enabled IPsec Tunnels
Aron luwas nga mabalhin ang trapiko gikan sa overlay nga network ngadto sa usa ka network sa serbisyo, mahimo nimong i-configure ang mga tunnel sa IPsec nga nagpadagan sa protocol sa Internet Key Exchange (IKE). Ang IKE-enabled nga IPsec tunnels naghatag og authentication ug encryption aron masiguro nga luwas ang packet transport. Naghimo ka ug IKE-enabled IPsec tunnel pinaagi sa pag-configure sa IPsec interface. Ang mga interface sa IPsec mga lohikal nga interface, ug imong gi-configure kini sama sa bisan unsang ubang pisikal nga interface. Gi-configure nimo ang mga parameter sa IKE protocol sa interface sa IPsec, ug mahimo nimong i-configure ang ubang mga kabtangan sa interface.

Nota Girekomenda sa Cisco ang paggamit sa Bersyon sa IKE 2. Gikan sa pagpagawas sa Cisco SD-WAN 19.2.x, ang pre-shared nga yawe kinahanglan nga labing menos 16 ka bytes ang gitas-on. Ang pagtukod sa tunel sa IPsec mapakyas kung ang yawe nga gidak-on dili mubu sa 16 nga mga karakter kung ang router gi-upgrade sa bersyon 19.2.

Nota
Ang Cisco Catalyst SD-WAN software nagsuporta sa IKE Bersyon 2 sama sa gihubit sa RFC 7296. Usa ka gamit alang sa IPsec tunnels mao ang pagtugot sa vEdge Cloud router VM instances nga nagdagan sa Amazon AWS nga makonektar sa Amazon virtual private cloud (VPC). Kinahanglan nimo nga i-configure ang IKE Version 1 sa kini nga mga router. Ang Cisco vEdge device nagsuporta lamang sa mga rota-based VPN sa usa ka IPSec configuration tungod kay kini nga mga device dili makahubit sa mga traffic selector sa encryption domain.

I-configure ang usa ka IPsec Tunnel
Aron ma-configure ang interface sa tunnel sa IPsec alang sa luwas nga trapiko sa transportasyon gikan sa usa ka network sa serbisyo, maghimo ka usa ka lohikal nga interface sa IPsec:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Mahimo nimong buhaton ang tunel sa IPsec sa transport VPN (VPN 0) ug sa bisan unsang serbisyo VPN (VPN 1 hangtod 65530, gawas sa 512). Ang interface sa IPsec adunay ngalan sa format nga ipsecnumber, diin ang numero mahimong gikan sa 1 hangtod sa 255. Ang matag interface sa IPsec kinahanglan adunay IPv4 address. Kini nga adres kinahanglan usa ka /30 prefix. Ang tanan nga trapiko sa VPN nga naa sa sulod niini nga IPv4 prefix gitumong sa usa ka pisikal nga interface sa VPN 0 nga ipadala nga luwas sa usa ka tunel sa IPsec. ang pisikal nga interface (sa tunnel-source command) o ang ngalan sa physical interface (sa tunnel-source-interface command). Siguroha nga ang pisikal nga interface na-configure sa VPN 0. Aron ma-configure ang destinasyon sa IPsec tunnel, ipiho ang IP address sa hilit nga device sa tunnel-destination command. Ang kombinasyon sa usa ka tinubdan nga adres (o source interface ngalan) ug usa ka destinasyon nga adres naghubit sa usa ka IPsec tunnel. Usa ra ka tunel sa IPsec ang mahimong maglungtad nga naggamit usa ka piho nga gigikanan nga adres (o ngalan sa interface) ug pares sa adres sa destinasyon.

I-configure ang IPsec Static nga Ruta

Aron idirekta ang trapiko gikan sa serbisyo VPN ngadto sa IPsec tunnel sa transportasyon VPN (VPN 0), imong i-configure ang IPsec-specific static nga ruta sa usa ka serbisyo VPN (usa ka VPN gawas sa VPN 0 o VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/gitas-on vpn 0 interface
  • ipsecnumber [ipecnumber2]

Ang VPN ID kay sa bisan unsang serbisyo VPN (VPN 1 hangtod 65530, gawas sa 512). ang prefix/gitas-on mao ang IP address o prefix, sa desimal nga upat ka bahin nga tuldok nga notasyon, ug prefix nga gitas-on sa IPsec-specific static nga ruta. Ang interface mao ang IPsec tunnel interface sa VPN 0. Mahimo nimong i-configure ang usa o duha ka IPsec tunnel interface. Kung imong gi-configure ang duha, ang una mao ang panguna nga tunel sa IPsec, ug ang ikaduha mao ang backup. Uban sa duha ka mga interface, ang tanan nga mga pakete ipadala lamang sa nag-unang tunnel. Kung kana nga tunnel mapakyas, ang tanan nga mga pakete ipadala sa ikaduha nga tunel. Kung ang nag-unang tunel mobalik, ang tanan nga trapiko ibalhin balik sa panguna nga tunel sa IPsec.

I-enable ang Bersyon 1 sa IKE
Kung maghimo ka ug IPsec tunnel sa usa ka vEdge router, ang IKE Version 1 gi-enable pinaagi sa default sa tunnel interface. Ang mosunod nga mga kabtangan gipalihok usab pinaagi sa default alang sa IKEv1:

  • Authentication ug encryption—AES-256 advanced encryption standard CBC encryption uban sa HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad
  • Numero sa grupo sa Diffie-Hellman—16
  • Rekeying time interval—4 ka oras
  • SA pagtukod mode—Main

Sa kasagaran, ang IKEv1 naggamit sa IKE main mode aron matukod ang mga IKE SA. Niini nga paagi, unom ka pakete sa negosasyon ang gibaylo aron matukod ang SA. Aron ibaylo ang tulo lang ka pakete sa negosasyon, i-enable ang agresibo nga paagi:

Nota
Ang agresibo nga mode sa IKE nga adunay mga pre-shared nga yawe kinahanglan likayan kung mahimo. Kung dili ang usa ka lig-on nga pre-shared nga yawe kinahanglan nga pilion.

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# mode nga agresibo

Sa kasagaran, ang IKEv1 naggamit sa Diffie-Hellman nga grupo 16 sa IKE key exchange. Kini nga grupo naggamit sa 4096-bit nga mas modular exponential (MODP) nga grupo atol sa IKE key exchange. Mahimo nimong usbon ang numero sa grupo ngadto sa 2 (alang sa 1024-bit MODP), 14 (2048-bit MODP), o 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# numero sa grupo

Sa kasagaran, ang IKE key exchange naggamit sa AES-256 advanced encryption standard CBC encryption uban sa HMAC-SHA1 keyed-hash message authentication code algorithm alang sa integridad. Mahimo nimong usbon ang authentication:

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# cipher-suite suite

Ang authentication suite mahimong usa sa mosunod:

  • aes128-cbc-sha1—AES-128 advanced encryption standard CBC encryption uban sa HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad
  • aes128-cbc-sha2—AES-128 advanced encryption standard CBC encryption uban sa HMAC-SHA256 keyed-hash message authentication code algorithm para sa integridad
  • aes256-cbc-sha1—AES-256 advanced encryption standard CBC encryption uban sa HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad; kini ang default.
  • aes256-cbc-sha2—AES-256 advanced encryption standard CBC encryption uban sa HMAC-SHA256 keyed-hash message authentication code algorithm para sa integridad

Sa kasagaran, ang mga yawe sa IKE gi-refresh matag 1 ka oras (3600 ka segundo). Mahimo nimong usbon ang agwat sa pag-rekey sa usa ka kantidad gikan sa 30 segundos hangtod sa 14 ka adlaw (1209600 segundos). Girekomenda nga ang agwat sa rekeying labing menos 1 ka oras.

  • vEdge(config)# vpn vpn-id interface ipsec nga numero sama sa
  • vEdge(config-ike)# rekey segundos

Aron mapugos ang paghimo og bag-ong mga yawe alang sa sesyon sa IKE, i-isyu ang hangyo nga ipsec ike-rekey nga sugo.

  • vEdge(config)# vpn vpn-id interfaceipsec number ike

Alang sa IKE, mahimo usab nimo i-configure ang preshared key (PSK) authentication:

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • Ang vEdge(config-ike)# authentication-type nga pre-shared-key nga pre-shared-secret nga password nga password mao ang password nga gamiton sa preshared-key. Kini mahimo nga usa ka ASCII o usa ka hexadecimal string gikan sa 1 hangtod sa 127 ka karakter ang gitas-on.

Kung ang layo nga IKE peer nanginahanglan usa ka lokal o hilit nga ID, mahimo nimong i-configure kini nga identifier:

  • vEdge(config)# vpn vpn-id interface ipsec number sama sa authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Ang identifier mahimong usa ka IP address o bisan unsang text string gikan sa 1 hangtod 63 ka karakter ang gitas-on. Sa kasagaran, ang lokal nga ID mao ang tinubdan nga IP address sa tunel ug ang hilit nga ID mao ang destinasyon nga IP address sa tunel.

I-enable ang Bersyon 2 sa IKE
Kung imong gi-configure ang usa ka tunel sa IPsec aron magamit ang Bersyon sa IKE 2, ang mga musunod nga kabtangan mahimo usab nga default alang sa IKEv2:

  • Authentication ug encryption—AES-256 advanced encryption standard CBC encryption uban sa HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad
  • Numero sa grupo sa Diffie-Hellman—16
  • Rekeying time interval—4 ka oras

Sa kasagaran, ang IKEv2 naggamit sa Diffie-Hellman nga grupo 16 sa IKE key exchange. Kini nga grupo naggamit sa 4096-bit nga mas modular exponential (MODP) nga grupo atol sa IKE key exchange. Mahimo nimong usbon ang numero sa grupo ngadto sa 2 (alang sa 1024-bit MODP), 14 (2048-bit MODP), o 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# numero sa grupo

Sa kasagaran, ang IKE key exchange naggamit sa AES-256 advanced encryption standard CBC encryption uban sa HMAC-SHA1 keyed-hash message authentication code algorithm alang sa integridad. Mahimo nimong usbon ang authentication:

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# cipher-suite suite

Ang authentication suite mahimong usa sa mosunod:

  • aes128-cbc-sha1—AES-128 advanced encryption standard CBC encryption uban sa HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad
  • aes128-cbc-sha2—AES-128 advanced encryption standard CBC encryption uban sa HMAC-SHA256 keyed-hash message authentication code algorithm para sa integridad
  • aes256-cbc-sha1—AES-256 advanced encryption standard CBC encryption uban sa HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad; kini ang default.
  • aes256-cbc-sha2—AES-256 advanced encryption standard CBC encryption uban sa HMAC-SHA256 keyed-hash message authentication code algorithm para sa integridad

Sa kasagaran, ang mga yawe sa IKE gi-refresh matag 4 ka oras (14,400 ka segundo). Mahimo nimong usbon ang agwat sa pag-rekey sa usa ka kantidad gikan sa 30 segundos hangtod sa 14 ka adlaw (1209600 segundo):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# rekey segundos

Aron mapugos ang paghimo og bag-ong mga yawe alang sa sesyon sa IKE, i-isyu ang hangyo nga ipsec ike-rekey nga sugo. Alang sa IKE, mahimo usab nimo i-configure ang preshared key (PSK) authentication:

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • Ang vEdge(config-ike)# authentication-type nga pre-shared-key nga pre-shared-secret nga password nga password mao ang password nga gamiton sa preshared-key. Kini mahimo nga usa ka ASCII o usa ka hexadecimal string, o kini mahimo nga usa ka AES-encrypted nga yawe. Kung ang layo nga IKE peer nanginahanglan usa ka lokal o hilit nga ID, mahimo nimong i-configure kini nga identifier:
  • vEdge(config)# vpn vpn-id interface ipsecnumber sama sa authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Ang identifier mahimong usa ka IP address o bisan unsang text string gikan sa 1 hangtod 64 ka karakter ang gitas-on. Sa kasagaran, ang lokal nga ID mao ang tinubdan nga IP address sa tunel ug ang hilit nga ID mao ang destinasyon nga IP address sa tunel.

I-configure ang IPsec Tunnel Parameter

Talaan 4: Kasaysayan sa Feature

Feature Ngalan Pagpagawas sa Impormasyon Deskripsyon
Dugang Cryptographic Cisco SD-WAN Release 20.1.1 Kini nga bahin nagdugang suporta alang sa
Algorithmic Support para sa IPSec   HMAC_SHA256, HMAC_SHA384, ug
Mga tunel   HMAC_SHA512 nga mga algorithm alang sa
    gipalambo nga seguridad.

Sa kasagaran, ang mosunod nga mga parameter gigamit sa IPsec tunnel nga nagdala sa trapiko sa IKE:

  • Authentication ug encryption—AES-256 algorithm sa GCM (Galois/counter mode)
  • Rekeying interval—4 ka oras
  • Replay nga bintana—32 ka pakete

Mahimo nimong usbon ang encryption sa IPsec tunnel ngadto sa AES-256 cipher sa CBC (cipher block chaining mode, uban sa HMAC gamit ang SHA-1 o SHA-2 keyed-hash message authentication o sa null sa HMAC gamit ang SHA-1 o SHA-2 keyed-hash message authentication, aron dili ma-encrypt ang IPsec tunnel nga gigamit alang sa IKE key exchange traffic:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-sha256 | aes256-sha384 | aes256-null-sha512 | aesXNUMX-null-shaXNUMX)

Sa kasagaran, ang mga yawe sa IKE gi-refresh matag 4 ka oras (14,400 ka segundo). Mahimo nimong usbon ang agwat sa pag-rekey sa usa ka kantidad gikan sa 30 segundos hangtod sa 14 ka adlaw (1209600 segundo):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey segundos

Aron mapugos ang paghimo og bag-ong mga yawe alang sa usa ka IPsec tunnel, i-isyu ang hangyo nga ipsec ipsec-rekey nga sugo. Sa kasagaran, ang perfect forward secrecy (PFS) gipalihok sa IPsec tunnels, aron maseguro nga ang nangaging mga sesyon dili maapektuhan kung ang umaabot nga mga yawe makompromiso. Gipugos sa PFS ang bag-ong Diffie-Hellman key exchange, pinaagi sa default gamit ang 4096-bit Diffie-Hellman prime module group. Mahimo nimong usbon ang setting sa PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-setting mahimong usa sa mosunod:

  • group-2—Gamita ang 1024-bit Diffie-Hellman prime modulus group.
  • group-14—Gamita ang 2048-bit Diffie-Hellman prime modulus group.
  • group-15—Gamita ang 3072-bit Diffie-Hellman prime modulus group.
  • group-16—Gamita ang 4096-bit Diffie-Hellman prime modulus group. Kini ang default.
  • wala—I-disable ang PFS.

Sa kasagaran, ang IPsec replay window sa IPsec tunnel kay 512 bytes. Mahimo nimong itakda ang gidak-on sa replay window sa 64, 128, 256, 512, 1024, 2048, o 4096 nga mga pakete:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# replay-window number

Usba ang IKE Dead-Peer Detection

Ang IKE naggamit ug dead-peer detection mechanism aron mahibal-an kung ang koneksyon sa usa ka IKE peer magamit ug maabot. Aron ipatuman kini nga mekanismo, ang IKE nagpadala ug usa ka Hello packet ngadto sa iyang kaedad, ug ang kaedad nagpadala ug usa ka pag-ila isip tubag. Sa kasagaran, ang IKE nagpadala sa Hello packets matag 10 segundos, ug human sa tulo ka wala mailhi nga mga pakete, gideklarar sa IKE nga patay na ang silingan ug giguba ang tunnel ngadto sa kauban. Human niadto, ang IKE matag karon ug unya magpadala ug Hello packet ngadto sa peer, ug i-establisar pag-usab ang tunnel kung ang peer mobalik online. Mahimo nimong usbon ang agwat sa liveness detection sa usa ka kantidad gikan sa 0 hangtod 65535, ug mahimo nimong usbon ang gidaghanon sa mga pagsulay sa usa ka kantidad gikan sa 0 hangtod 255.

Nota

Para sa transport VPNs, ang liveness detection interval gi-convert ngadto sa mga segundo gamit ang mosunod nga pormula: Interval para sa retransmission attempt number N = interval * 1.8N-1For example, kung ang agwat gitakda sa 10 ug gisubli sa 5, ang agwat sa pag-ila mosaka sama sa mosunod:

  • Paningkamot 1: 10 * 1.81-1= 10 segundos
  • Pagsulay 2: 10 * 1.82-1= 18 segundos
  • Pagsulay 3: 10 * 1.83-1= 32.4 segundos
  • Pagsulay 4: 10 * 1.84-1= 58.32 segundos
  • Pagsulay 5: 10 * 1.85-1= 104.976 segundos

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval retry number

I-configure ang Ubang Interface Properties

Para sa mga interface sa tunnel sa IPsec, mahimo nimong i-configure ang mosunod nga dugang nga mga kabtangan sa interface:

  • vEdge(config-interface-ipsec)# mtu bytes
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

I-disable ang Huyang nga SSH Encryption Algorithm sa Cisco SD-WAN Manager

Talaan 5: Talaan sa Kasaysayan sa Feature

Feature Ngalan Pagpagawas sa Impormasyon Feature Deskripsyon
I-disable ang Huyang nga SSH Encryption Algorithm sa Cisco SD-WAN Manager Cisco vManage Release 20.9.1 Kini nga bahin nagtugot kanimo sa pag-disable sa mas mahuyang nga SSH algorithm sa Cisco SD-WAN Manager nga mahimong dili mosunod sa pipila ka mga sumbanan sa seguridad sa datos.

Impormasyon Bahin sa Pagpugong sa Huyang nga SSH Encryption Algorithm sa Cisco SD-WAN Manager
Ang Cisco SD-WAN Manager naghatag usa ka kliyente sa SSH alang sa komunikasyon sa mga sangkap sa network, lakip ang mga controller ug mga aparato sa sulud. Ang kliyente sa SSH naghatag usa ka naka-encrypt nga koneksyon alang sa luwas nga pagbalhin sa datos, base sa lainlaing mga algorithm sa pag-encrypt. Daghang organisasyon ang nanginahanglan ug mas lig-on nga encryption kay sa gihatag sa SHA-1, AES-128, ug AES-192. Gikan sa Cisco vManage Release 20.9.1, mahimo nimong i-disable ang mosunod nga mas huyang nga mga algorithm sa pag-encrypt aron ang kliyente sa SSH dili mogamit niini nga mga algorithm:

  • SHA-1
  • AES-128
  • AES-192

Sa dili pa i-disable kini nga mga algorithm sa pag-encrypt, siguroha nga ang Cisco vEdge nga mga himan, kung naa man, sa network, naggamit sa usa ka software nga gipagawas sa ulahi kaysa sa Cisco SD-WAN Release 18.4.6.

Mga Benepisyo sa Pagpugong sa Huyang nga SSH Encryption Algorithm sa Cisco SD-WAN Manager
Ang pag-disable sa mas mahuyang nga SSH encryption algorithm makapauswag sa seguridad sa komunikasyon sa SSH, ug nagsiguro nga ang mga organisasyon nga naggamit sa Cisco Catalyst SD-WAN nagsunod sa higpit nga mga regulasyon sa seguridad.

I-disable ang Huyang nga SSH Encryption Algorithm sa Cisco SD-WAN Manager Gamit ang CLI

  1. Gikan sa Cisco SD-WAN Manager nga menu, pilia ang Tools > SSH Terminal.
  2. Pilia ang Cisco SD-WAN Manager device nga gusto nimong i-disable ang mas mahuyang nga SSH algorithm.
  3. Pagsulod sa username ug password aron maka-log in sa device.
  4. Pagsulod sa SSH server mode.
    • vmanage(config)# nga sistema
    • vmanage(config-system)# ssh-server
  5. Buhata ang usa sa mga musunud aron ma-disable ang usa ka algorithm sa pag-encrypt sa SSH:
    • I-disable ang SHA-1:
  6. pagdumala(config-ssh-server)# walay kex-algo sha1
  7. pagdumala(config-ssh-server)# commit
    Ang mosunod nga mensahe sa pasidaan gipakita: Ang mosunod nga mga pasidaan namugna: 'system ssh-server kex-algo sha1': WARNING: Palihog siguroha nga ang tanan nimong mga kilid modagan sa code version > 18.4.6 nga mas maayo nga makigsabot kaysa SHA1 sa vManage. Kung dili, ang mga sulud mahimong offline. Ipadayon? [oo, dili] oo
    • Siguruha nga ang bisan unsang mga aparato sa Cisco vEdge sa network nagpadagan sa Cisco SD-WAN Release 18.4.6 o sa ulahi ug isulod ang oo.
    • I-disable ang AES-128 ug AES-192:
    • vmanage(config-ssh-server)# walay cipher aes-128-192
    • vmanage(config-ssh-server)# commit
      Ang mosunod nga mensahe sa pasidaan gipakita:
      Ang mosunod nga mga pasidaan gihimo:
      'system ssh-server cipher aes-128-192': WARNING: Palihog siguroha nga ang tanan nimong edges modagan sa code version > 18.4.6 nga mas maayo nga negosasyon kaysa AES-128-192 sa vManage. Kung dili, ang mga sulud mahimong offline. Ipadayon? [oo, dili] oo
    • Siguruha nga ang bisan unsang mga aparato sa Cisco vEdge sa network nagpadagan sa Cisco SD-WAN Release 18.4.6 o sa ulahi ug isulod ang oo.

Tinoa nga ang Huyang nga SSH Encryption Algorithm Na-disable sa Cisco SD-WAN Manager Gamit ang CLI

  1. Gikan sa Cisco SD-WAN Manager nga menu, pilia ang Tools > SSH Terminal.
  2. Pilia ang Cisco SD-WAN Manager device nga gusto nimong pamatud-an.
  3. Pagsulod sa username ug password aron maka-log in sa device.
  4. Pagdalagan ang mosunod nga sugo: ipakita ang running-config system ssh-server
  5. Kumpirma nga ang output nagpakita sa usa o daghan pa sa mga sugo nga nagpugong sa mas mahuyang nga encryption algorithm:
    • walay cipher aes-128-192
    • walay kex-algo sha1

Mga Dokumento / Mga Kapanguhaan

CISCO SD-WAN I-configure ang Mga Parameter sa Seguridad [pdf] Giya sa Gumagamit
SD-WAN I-configure ang Mga Parameter sa Seguridad, SD-WAN, I-configure ang Mga Parameter sa Seguridad, Mga Parameter sa Seguridad

Mga pakisayran

Pagbilin ug komento

Ang imong email address dili mamantala. Ang gikinahanglan nga mga natad gimarkahan *