Cynnwys cuddio
1 CISCO SD-WAN Ffurfweddu Paramedrau Diogelwch
2 Ffurfweddu Paramedrau Diogelwch
3 Ffurfweddu Paramedrau Diogelwch Awyrennau Rheoli
4 Ffurfweddu DTLS yn Rheolwr Cisco SD-WAN
5 Ffurfweddu Paramedrau Diogelwch Plane Data
6 Ffurfweddu Mathau Dilysu a Ganiateir
7 Newid yr Amserydd Rekeying
8 Newid Maint y Ffenestr Gwrth-Ailchwarae
9 Ffurfweddu Llwybr Statig IPsec
10 Ffurfweddu Paramedrau Twnnel IPsec
11 Addasu IKE Canfod Cyfoedion Marw
12 Ffurfweddu Priodweddau Rhyngwyneb Eraill
13 Analluogi Algorithmau Amgryptio SSH Gwan ar Reolwr Cisco SD-WAN
14 Dogfennau / Adnoddau
14.1 Cyfeiriadau

CISCO-LOGO

CISCO SD-WAN Ffurfweddu Paramedrau Diogelwch

CISCO-SD-WAN-Ffurfweddu-Diogelwch-Paramedrau-CYNNYRCH

Ffurfweddu Paramedrau Diogelwch

Nodyn

Er mwyn sicrhau symleiddio a chysondeb, mae datrysiad Cisco SD-WAN wedi'i ail-frandio fel Cisco Catalyst SD-WAN. Yn ogystal, o Cisco IOS XE SD-WAN Release 17.12.1a a Cisco Catalyst SD-WAN Release 20.12.1, mae'r newidiadau cydran canlynol yn berthnasol: Cisco vManage i Reolwr SD-WAN Cisco Catalyst, Cisco vAnalytics i Cisco Catalyst SD-WAN Dadansoddeg, Cisco vBond i Cisco Catalyst SD-WAN Validator, a Cisco vSmart i Rheolydd SD-WAN Cisco Catalyst. Gweler y Nodiadau Rhyddhau diweddaraf am restr gynhwysfawr o'r holl newidiadau i enw brand y gydran. Wrth i ni drosglwyddo i'r enwau newydd, gallai rhai anghysondebau fod yn bresennol yn y set ddogfennaeth oherwydd dull graddol o ddiweddaru rhyngwyneb defnyddiwr y cynnyrch meddalwedd.

Mae'r adran hon yn disgrifio sut i newid paramedrau diogelwch ar gyfer yr awyren reoli a'r awyren ddata yn rhwydwaith troshaenu Cisco Catalyst SD-WAN.

  • Ffurfweddu Paramedrau Diogelwch Awyrennau Rheoli, ymlaen
  • Ffurfweddu Paramedrau Diogelwch Plane Data, ymlaen
  • Ffurfweddu Twneli IPsec wedi'u Galluogi IKE, ymlaen
  • Analluogi Algorithmau Amgryptio SSH Gwan ar Reolwr Cisco SD-WAN, ymlaen

Ffurfweddu Paramedrau Diogelwch Awyrennau Rheoli

Yn ddiofyn, mae'r awyren reoli yn defnyddio DTLS fel y protocol sy'n darparu preifatrwydd ar ei holl dwneli. Mae DTLS yn rhedeg dros y CDU. Gallwch newid protocol diogelwch yr awyren reoli i TLS, sy'n rhedeg dros TCP. Y prif reswm dros ddefnyddio TLS yw, os ydych chi'n ystyried bod Rheolydd Cisco SD-WAN yn weinydd, mae waliau tân yn amddiffyn gweinyddwyr TCP yn well na gweinyddwyr CDU. Rydych chi'n ffurfweddu'r protocol twnnel awyren reoli ar Reolydd Cisco SD-WAN: vSmart(config)# protocol rheoli diogelwch tls Gyda'r newid hwn, mae pob twnnel awyren reoli rhwng Rheolydd Cisco SD-WAN a'r llwybryddion a rhwng Rheolydd Cisco SD-WAN ac mae Rheolwr Cisco SD-WAN yn defnyddio TLS. Mae twneli awyrennau rheoli i Cisco Catalyst SD-WAN Validator bob amser yn defnyddio DTLS, oherwydd mae'n rhaid i'r CDU ymdrin â'r cysylltiadau hyn. Mewn parth gyda sawl Rheolydd Cisco SD-WAN, pan fyddwch chi'n ffurfweddu TLS ar un o Reolwyr Cisco SD-WAN, mae pob twnnel awyren reoli o'r rheolydd hwnnw i'r rheolwyr eraill yn defnyddio TLS. Wedi dweud ffordd arall, mae TLS bob amser yn cael blaenoriaeth dros DTLS. Fodd bynnag, o safbwynt y Rheolwyr Cisco SD-WAN eraill, os nad ydych wedi ffurfweddu TLS arnynt, maen nhw'n defnyddio TLS ar dwnnel yr awyren reoli i'r un Rheolydd Cisco SD-WAN hwnnw yn unig, ac maen nhw'n defnyddio twneli DTLS i'r llall i gyd. Rheolwyr Cisco SD-WAN ac i'w holl lwybryddion cysylltiedig. Er mwyn i bob Rheolydd Cisco SD-WAN ddefnyddio TLS, ffurfweddwch ef ar bob un ohonynt. Yn ddiofyn, mae Rheolydd Cisco SD-WAN yn gwrando ar borthladd 23456 ar gyfer ceisiadau TLS. I newid hyn: vSmart(config)# rheolaeth diogelwch tls-port number Gall y porthladd fod yn rhif o 1025 i 65535. I arddangos gwybodaeth diogelwch awyren reoli, defnyddiwch y gorchymyn cysylltiadau rheoli sioe ar y Rheolwr Cisco SD-WAN. Am gynample: vSmart-2# dangos cysylltiadau rheoli

CISCO-SD-WAN-Ffurfweddu-Diogelwch-Paramedrau-FIG-1

Ffurfweddu DTLS yn Rheolwr Cisco SD-WAN

Os ydych chi'n ffurfweddu'r Cisco SD-WAN Manager i ddefnyddio TLS fel y protocol diogelwch awyren reoli, rhaid i chi alluogi anfon porthladd ymlaen ar eich NAT. Os ydych chi'n defnyddio DTLS fel protocol diogelwch yr awyren reoli, nid oes angen i chi wneud unrhyw beth. Mae nifer y porthladdoedd a anfonir ymlaen yn dibynnu ar nifer y prosesau vdaemon sy'n rhedeg ar Reolwr Cisco SD-WAN. I arddangos gwybodaeth am y prosesau hyn ac am a nifer y porthladdoedd sy'n cael eu hanfon ymlaen, defnyddiwch y gorchymyn crynodeb rheoli sioe sy'n dangos bod pedair proses daemon yn rhedeg:CISCO-SD-WAN-Ffurfweddu-Diogelwch-Paramedrau-FIG-2

I weld y pyrth gwrando, defnyddiwch y gorchymyn rheoli eiddo lleol: vManage# show control local-properties

CISCO-SD-WAN-Ffurfweddu-Diogelwch-Paramedrau-FIG-3

Mae'r allbwn hwn yn dangos mai'r porthladd TCP gwrando yw 23456. Os ydych yn rhedeg Cisco SD-WAN Manager y tu ôl i NAT, dylech agor y pyrth canlynol ar y ddyfais NAT:

  • 23456 (sylfaen - enghraifft 0 porthladd)
  • 23456 + 100 (sylfaen + 100)
  • 23456 + 200 (sylfaen + 200)
  • 23456 + 300 (sylfaen + 300)

Sylwch fod nifer yr achosion yr un peth â nifer y creiddiau a neilltuwyd gennych ar gyfer Rheolwr Cisco SD-WAN, hyd at uchafswm o 8.

Ffurfweddu Paramedrau Diogelwch Gan Ddefnyddio'r Templed Nodwedd Diogelwch

Defnyddiwch y templed nodwedd Diogelwch ar gyfer holl ddyfeisiau Cisco vEdge. Ar y llwybryddion ymyl ac ar y Cisco SD-WAN Validator, defnyddiwch y templed hwn i ffurfweddu IPsec ar gyfer diogelwch awyrennau data. Ar Reolwr Cisco SD-WAN a Rheolydd Cisco SD-WAN, defnyddiwch y templed nodwedd Diogelwch i ffurfweddu DTLS neu TLS ar gyfer diogelwch awyrennau rheoli.

Ffurfweddu Paramedrau Diogelwch

  1. O ddewislen Cisco SD-WAN Manager, dewiswch Ffurfweddu > Templedi.
  2. Cliciwch Templedi Nodwedd ac yna cliciwch Ychwanegu Templed.
    Nodyn Yn Cisco vManage Release 20.7.1 a datganiadau cynharach, gelwir Templedi Nodwedd yn Nodwedd.
  3. O'r rhestr Dyfeisiau yn y cwarel chwith, dewiswch ddyfais. Mae'r templedi sy'n berthnasol i'r ddyfais a ddewiswyd yn ymddangos yn y cwarel dde.
  4. Cliciwch ar Ddiogelwch i agor y templed.
  5. Yn y maes Enw Templed, rhowch enw ar gyfer y templed. Gall yr enw fod hyd at 128 nod a gall gynnwys nodau alffaniwmerig yn unig.
  6. Yn y maes Disgrifiad Templed, rhowch ddisgrifiad o'r templed. Gall y disgrifiad fod hyd at 2048 nod a gall gynnwys nodau alffaniwmerig yn unig.

Pan fyddwch chi'n agor templed nodwedd am y tro cyntaf, ar gyfer pob paramedr sydd â gwerth diofyn, mae'r cwmpas wedi'i osod yn ddiofyn (a nodir gan nod siec), a dangosir y gosodiad neu'r gwerth diofyn. I newid y rhagosodiad neu i nodi gwerth, cliciwch y gwymplen cwmpas i'r chwith o'r maes paramedr a dewiswch un o'r canlynol:

Tabl 1:

Paramedr Cwmpas Disgrifiad Cwmpas
Dyfais Benodol (a nodir gan eicon gwesteiwr) Defnyddiwch werth dyfais-benodol ar gyfer y paramedr. Ar gyfer paramedrau dyfais-benodol, ni allwch nodi gwerth yn y templed nodwedd. Rydych chi'n nodi'r gwerth pan fyddwch chi'n atodi dyfais Viptela i dempled dyfais.

Pan gliciwch ar Ddychymyg Penodol, mae'r blwch Enter Key yn agor. Mae'r blwch hwn yn dangos allwedd, sef llinyn unigryw sy'n nodi'r paramedr mewn CSV file rydych chi'n ei greu. hwn file yn daenlen Excel sy'n cynnwys un golofn ar gyfer pob allwedd. Mae'r rhes pennyn yn cynnwys yr enwau allweddol (un allwedd i bob colofn), ac mae pob rhes ar ôl hynny yn cyfateb i ddyfais ac yn diffinio gwerthoedd allweddi'r ddyfais honno. Rydych chi'n uwchlwytho'r CSV file pan fyddwch yn atodi dyfais Viptela i dempled dyfais. Am ragor o wybodaeth, gweler Taenlen Creu Templed Newidynnau.

I newid yr allwedd ddiofyn, teipiwch linyn newydd a symudwch y cyrchwr allan o'r blwch Enter Key.

Exampllai o baramedrau dyfais-benodol yw cyfeiriad IP system, enw gwesteiwr, lleoliad GPS, ac ID safle.
Paramedr Cwmpas Disgrifiad Cwmpas
Byd-eang (a ddangosir gan eicon glôb) Rhowch werth ar gyfer y paramedr, a chymhwyso'r gwerth hwnnw i bob dyfais.

Exampllai o baramedrau y gallech eu cymhwyso'n fyd-eang i grŵp o ddyfeisiau yw gweinydd DNS, gweinydd syslog, a MTUs rhyngwyneb.

Ffurfweddu Diogelwch Awyrennau Rheoli

Nodyn
Mae'r adran Ffurfweddu Diogelwch Awyrennau Rheoli yn berthnasol i Reolwr Cisco SD-WAN a Rheolydd Cisco SD-WAN yn unig. I ffurfweddu'r protocol cysylltiad awyren reoli ar enghraifft Rheolwr Cisco SD-WAN neu Reolwr Cisco SD-WAN, dewiswch yr ardal Ffurfweddu Sylfaenol a ffurfweddu'r paramedrau canlynol:

Tabl 2:

Paramedr Enw Disgrifiad
Protocol Dewiswch y protocol i'w ddefnyddio ar gysylltiadau awyren reoli â Rheolydd Cisco SD-WAN:

• DTLS (Dataghwrdd Diogelwch Haen Cludiant). Dyma'r rhagosodiad.

• TLS (Diogelwch Haenau Trafnidiaeth)
Rheoli Porthladd TLS Os dewisoch TLS, ffurfweddwch rif y porthladd i'w ddefnyddio:Amrediad: 1025 i 65535Rhagosodedig: 23456

Cliciwch Cadw

Ffurfweddu Diogelwch Plane Data
I ffurfweddu diogelwch awyren data ar Ddilyswr Cisco SD-WAN neu lwybrydd Cisco vEdge, dewiswch y tabiau Ffurfweddiad Sylfaenol a Math Dilysu, a ffurfweddwch y paramedrau canlynol:

Tabl 3:

Paramedr Enw Disgrifiad
Amser Rekey Nodwch pa mor aml y mae llwybrydd Cisco vEdge yn newid yr allwedd AES a ddefnyddir ar ei gysylltiad DTLS diogel â Rheolydd Cisco SD-WAN. Os yw ailgychwyn gosgeiddig OMP wedi'i alluogi, rhaid i'r amser rekeying fod o leiaf ddwywaith gwerth yr amserydd ailgychwyn gosgeiddig OMP.Amrediad: 10 i 1209600 eiliad (14 diwrnod)Rhagosodedig: 86400 eiliad (24 awr)
Ffenest Ailchwarae Nodwch faint y ffenestr ailchwarae llithro.

Gwerthoedd: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pecynnauRhagosodedig: 512 o becynnau
IPsec

bysellu pâr

 Mae hyn wedi'i ddiffodd yn ddiofyn. Cliciwch On i'w droi ymlaen.
Paramedr Enw Disgrifiad
Math Dilysu Dewiswch y mathau dilysu o'r Dilysu Rhestr, a chliciwch ar y saeth sy'n pwyntio i'r dde i symud y mathau dilysu i'r Rhestr Dethol colofn.

Mathau dilysu a gefnogir gan Cisco SD-WAN Release 20.6.1:

•  esp: Yn galluogi amgryptio amgryptio Llwyth Tâl Diogelwch (ESP) a gwirio cywirdeb ar bennawd yr ESP.

•  ip-udp-esp: Yn galluogi amgryptio ESP. Yn ogystal â'r gwiriadau cywirdeb ar y pennawd ESP a'r llwyth tâl, mae'r gwiriadau hefyd yn cynnwys y penawdau IP a CDU allanol.

•  ip-udp-esp-dim-id: Yn anwybyddu'r maes ID yn y pennawd IP fel y gall Cisco Catalyst SD-WAN weithio ar y cyd â dyfeisiau nad ydynt yn Cisco.

•  dim: Yn troi gwirio cywirdeb i ffwrdd ar becynnau IPSec. Nid ydym yn argymell defnyddio'r opsiwn hwn.

 

Mathau dilysu a gefnogir yn Cisco SD-WAN Release 20.5.1 ac yn gynharach:

•  AH-dim-id: Galluogi fersiwn well o AH-SHA1 HMAC ac ESP HMAC-SHA1 sy'n anwybyddu'r maes ID ym mhennyn IP allanol y pecyn.

•  ah-sha1-hmac: Galluogi AH-SHA1 HMAC ac ESP HMAC-SHA1.

•  dim: Dewiswch dim dilysu.

•  sha1-hmac: Galluogi ESP HMAC-SHA1.

 

Nodyn              Ar gyfer dyfais ymyl sy'n rhedeg ar Cisco SD-WAN Release 20.5.1 neu'n gynharach, efallai eich bod wedi ffurfweddu mathau dilysu gan ddefnyddio a Diogelwch templed. Pan fyddwch chi'n uwchraddio'r ddyfais i Cisco SD-WAN Release 20.6.1 neu'n hwyrach, diweddarwch y mathau dilysu a ddewiswyd yn y Diogelwch templed i'r mathau dilysu a gefnogir gan Cisco SD-WAN Release 20.6.1. I ddiweddaru'r mathau dilysu, gwnewch y canlynol:

1.      O ddewislen Cisco SD-WAN Manager, dewiswch Cyfluniad >

Templedi.

2.      Cliciwch Templedi Nodwedd.

3.      Dewch o hyd i'r Diogelwch templed i ddiweddaru a chlicio ... a chliciwch Golygu.

4.      Cliciwch Diweddariad. Peidiwch ag addasu unrhyw ffurfweddiad.

Mae Rheolwr Cisco SD-WAN yn diweddaru'r Diogelwch templed i ddangos y mathau o ddilysu a gefnogir.

Cliciwch Cadw.

Ffurfweddu Paramedrau Diogelwch Plane Data

Yn yr awyren ddata, mae IPsec wedi'i alluogi yn ddiofyn ar bob llwybrydd, ac yn ddiofyn mae cysylltiadau twnnel IPsec yn defnyddio fersiwn well o'r protocol Encapsulating Security Payload (ESP) ar gyfer dilysu twneli IPsec. Ar y llwybryddion, gallwch newid y math o ddilysu, yr amserydd rekeying IPsec, a maint y ffenestr gwrth-ailchwarae IPsec.

Ffurfweddu Mathau Dilysu a Ganiateir

Mathau Dilysu mewn Rhyddhad Cisco SD-WAN 20.6.1 ac yn ddiweddarach
O Cisco SD-WAN Release 20.6.1, cefnogir y mathau uniondeb canlynol:

  • esp: Mae'r opsiwn hwn yn galluogi amgryptio Crynhoi Llwyth Tâl Diogelwch (ESP) a gwirio cywirdeb ar bennawd yr ESP.
  • ip-udp-esp: Mae'r opsiwn hwn yn galluogi amgryptio ESP. Yn ogystal â'r gwiriadau cywirdeb ar y pennawd ESP a'r llwyth tâl, mae'r gwiriadau hefyd yn cynnwys y penawdau IP a CDU allanol.
  • ip-udp-esp-no-id: Mae'r opsiwn hwn yn debyg i ip-udp-esp, fodd bynnag, anwybyddir maes ID y pennawd IP allanol. Ffurfweddwch yr opsiwn hwn yn y rhestr o fathau uniondeb i gael meddalwedd Cisco Catalyst SD-WAN anwybyddu'r maes ID yn y pennawd IP fel y gall y Cisco Catalyst SD-WAN weithio ar y cyd â dyfeisiau nad ydynt yn Cisco.
  • dim: Mae'r opsiwn hwn yn troi gwirio cywirdeb i ffwrdd ar becynnau IPSec. Nid ydym yn argymell defnyddio'r opsiwn hwn.

Yn ddiofyn, mae cysylltiadau twnnel IPsec yn defnyddio fersiwn well o'r protocol Encapsulating Security Payload (ESP) ar gyfer dilysu. I addasu'r mathau interity a drafodwyd neu i analluogi gwiriad cywirdeb, defnyddiwch y gorchymyn canlynol: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Mathau Dilysu Cyn Rhyddhau Cisco SD-WAN 20.6.1
Yn ddiofyn, mae cysylltiadau twnnel IPsec yn defnyddio fersiwn well o'r protocol Encapsulating Security Payload (ESP) ar gyfer dilysu. I addasu'r mathau dilysu a drafodwyd neu i analluogi dilysu, defnyddiwch y gorchymyn canlynol: Device(config)# security ipsec validation-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | dim) Yn ddiofyn, IPsec mae cysylltiadau twnnel yn defnyddio AES-GCM-256, sy'n darparu amgryptio a dilysu. Ffurfweddwch bob math dilysu gyda gorchymyn math dilysu ipsec diogelwch ar wahân. Mae'r opsiynau gorchymyn yn mapio i'r mathau dilysu canlynol, sydd wedi'u rhestru mewn trefn o'r cryfaf i'r lleiaf cryf:

Nodyn
Defnyddir y sha1 yn yr opsiynau cyfluniad am resymau hanesyddol. Mae'r opsiynau dilysu yn nodi faint o'r gwirio cywirdeb pecyn sy'n cael ei wneud. Nid ydynt yn nodi'r algorithm sy'n gwirio cywirdeb. Ac eithrio amgryptio traffig aml-ddarllediad, nid yw'r algorithmau dilysu a gefnogir gan Cisco Catalyst SD WAN yn defnyddio SHA1. Fodd bynnag, yn Cisco SD-WAN Release 20.1.x ac ymlaen, nid yw unicast a multicast yn defnyddio SHA1.

  • ah-sha1-hmac yn galluogi amgryptio ac amgįu gan ddefnyddio ESP. Fodd bynnag, yn ogystal â'r gwiriadau cywirdeb ar y pennawd ESP a'r llwyth tâl, mae'r gwiriadau hefyd yn cynnwys y penawdau IP a CDU allanol. Felly, mae'r opsiwn hwn yn cefnogi gwiriad cywirdeb y pecyn tebyg i'r protocol Pennawd Dilysu (AH). Perfformir yr holl gywirdeb ac amgryptio gan ddefnyddio AES-256-GCM.
  • ah-no-id yn galluogi modd sy'n debyg i ah-sha1-hmac, fodd bynnag, mae maes ID y pennawd IP allanol yn cael ei anwybyddu. Mae'r opsiwn hwn yn cynnwys rhai dyfeisiau SD-WAN nad ydynt yn Cisco Catalyst, gan gynnwys yr Apple AirPort Express NAT, sydd â nam sy'n achosi i'r maes ID yn y pennawd IP, maes na ellir ei newid, gael ei addasu. Ffurfweddwch yr opsiwn ah-no-id yn y rhestr o fathau dilysu i gael meddalwedd Cisco Catalyst SD-WAN AH anwybyddu'r maes ID yn y pennawd IP fel bod meddalwedd SD-WAN Cisco Catalyst yn gallu gweithio ar y cyd â'r dyfeisiau hyn.
  • Mae sha1-hmac yn galluogi amgryptio ESP a gwirio cywirdeb.
  • dim mapiau i ddim dilysu. Dim ond os oes ei angen ar gyfer dadfygio dros dro y dylid defnyddio'r opsiwn hwn. Gallwch hefyd ddewis yr opsiwn hwn mewn sefyllfaoedd lle nad yw dilysu awyrennau data a chywirdeb yn bryder. Nid yw Cisco yn argymell defnyddio'r opsiwn hwn ar gyfer rhwydweithiau cynhyrchu.

I gael gwybodaeth am ba feysydd pecynnau data y mae'r mathau hyn o ddilysiad yn effeithio arnynt, gweler Uniondeb Plane Data. Mae dyfeisiau SD-WAN Catalydd Cisco IOS XE a dyfeisiau Cisco vEdge yn hysbysebu eu mathau o ddilysu wedi'u ffurfweddu yn eu heiddo TLOC. Mae'r ddau lwybrydd ar y naill ochr a'r llall i gysylltiad twnnel IPsec yn negodi'r dilysiad i'w ddefnyddio ar y cysylltiad rhyngddynt, gan ddefnyddio'r math dilysu cryfaf sydd wedi'i ffurfweddu ar y ddau lwybrydd. Am gynample, os yw un llwybrydd yn hysbysebu'r mathau ah-sha1-hmac ac ah-no-id, ac mae ail lwybrydd yn hysbysebu'r math AH-no-id, mae'r ddau lwybrydd yn negodi i ddefnyddio ah-no-id ar y cysylltiad twnnel IPsec rhwng nhw. Os nad oes unrhyw fathau dilysu cyffredin wedi'u ffurfweddu ar y ddau gymar, ni sefydlir twnnel IPsec rhyngddynt. Mae'r algorithm amgryptio ar gysylltiadau twnnel IPsec yn dibynnu ar y math o draffig:

  • Ar gyfer traffig unicast, yr algorithm amgryptio yw AES-256-GCM.
  • Ar gyfer traffig aml-ddarllediad:
  • Rhyddhau Cisco SD-WAN 20.1.x ac yn ddiweddarach - yr algorithm amgryptio yw AES-256-GCM
  • Datganiadau blaenorol - yr algorithm amgryptio yw AES-256-CBC gyda SHA1-HMAC.

Pan fydd y math dilysu IPsec yn cael ei newid, mae'r allwedd AES ar gyfer y llwybr data yn cael ei newid.

Newid yr Amserydd Rekeying

Cyn y gall dyfeisiau SD-WAN Cisco IOS XE Catalyst a dyfeisiau Cisco vEdge gyfnewid traffig data, maent yn sefydlu sianel gyfathrebu ddilys wedi'i dilysu rhyngddynt. Mae'r llwybryddion yn defnyddio twneli IPSec rhyngddynt fel y sianel, a'r seiffr AES-256 i berfformio amgryptio. Mae pob llwybrydd yn cynhyrchu allwedd AES newydd ar gyfer ei lwybr data o bryd i'w gilydd. Yn ddiofyn, mae allwedd yn ddilys am 86400 eiliad (24 awr), ac ystod yr amserydd yw 10 eiliad trwy 1209600 eiliad (14 diwrnod). I newid gwerth yr amserydd rekey: Dyfais(config) # eiliad rekey ipsec diogelwch Mae'r ffurfweddiad yn edrych fel hyn:

  • diogelwch ipsec rekey eiliadau !

Os ydych chi am gynhyrchu allweddi IPsec newydd ar unwaith, gallwch chi wneud hynny heb addasu cyfluniad y llwybrydd. I wneud hyn, rhowch y gorchymyn ipsecrekey diogelwch cais ar y llwybrydd dan fygythiad. Am gynample, mae'r allbwn canlynol yn dangos bod gan yr SA lleol Fynegai Paramedr Diogelwch (SPI) o 256:CISCO-SD-WAN-Ffurfweddu-Diogelwch-Paramedrau-FIG-4

Mae allwedd unigryw yn gysylltiedig â phob SPI. Os oes perygl i'r allwedd hon, defnyddiwch y gorchymyn ipsec-rekey diogelwch cais i gynhyrchu allwedd newydd ar unwaith. Mae'r gorchymyn hwn yn cynyddu'r SPI. Yn ein cynample, mae'r SPI yn newid i 257 ac mae'r allwedd sy'n gysylltiedig ag ef bellach yn cael ei ddefnyddio:

  • Dyfais # gofyn am ipsecrekey diogelwch
  • Dyfais# dangos ipsec local-sa

CISCO-SD-WAN-Ffurfweddu-Diogelwch-Paramedrau-FIG-5

Ar ôl i'r allwedd newydd gael ei chynhyrchu, mae'r llwybrydd yn ei anfon ar unwaith at Reolwyr Cisco SD-WAN gan ddefnyddio DTLS neu TLS. Mae Rheolwyr Cisco SD-WAN yn anfon yr allwedd i'r llwybryddion cyfoedion. Mae'r llwybryddion yn dechrau ei ddefnyddio cyn gynted ag y byddant yn ei dderbyn. Sylwch y bydd yr allwedd sy'n gysylltiedig â'r hen SPI (256) yn parhau i gael ei ddefnyddio am gyfnod byr nes ei fod yn dod i ben. Er mwyn rhoi'r gorau i ddefnyddio'r hen allwedd ar unwaith, rhowch y gorchymyn ipsec-rekey diogelwch cais ddwywaith, yn olynol yn gyflym. Mae'r dilyniant hwn o orchmynion yn dileu SPI 256 a 257 ac yn gosod y SPI i 258. Yna mae'r llwybrydd yn defnyddio'r allwedd cysylltiedig o SPI 258. Sylwch, fodd bynnag, y bydd rhai pecynnau'n cael eu gollwng am gyfnod byr nes bod yr holl lwybryddion o bell yn dysgu yr allwedd newydd.CISCO-SD-WAN-Ffurfweddu-Diogelwch-Paramedrau-FIG-6

Newid Maint y Ffenestr Gwrth-Ailchwarae

Mae dilysu IPsec yn darparu amddiffyniad gwrth-chwarae trwy aseinio rhif dilyniant unigryw i bob pecyn mewn llif data. Mae'r rhifo dilyniant hwn yn amddiffyn rhag ymosodwr yn dyblygu pecynnau data. Gydag amddiffyniad gwrth-chwarae, mae'r anfonwr yn aseinio niferoedd dilyniant cynyddol undonog, ac mae'r cyrchfan yn gwirio'r rhifau dilyniant hyn i ganfod dyblygiadau. Oherwydd nad yw pecynnau yn aml yn cyrraedd mewn trefn, mae'r cyrchfan yn cynnal ffenestr lithro o rifau dilyniant y bydd yn eu derbyn.CISCO-SD-WAN-Ffurfweddu-Diogelwch-Paramedrau-FIG-7

Mae pecynnau gyda rhifau dilyniant sy'n disgyn i'r chwith o'r ystod ffenestr llithro yn cael eu hystyried yn hen neu'n ddyblyg, ac mae'r cyrchfan yn eu gollwng. Mae'r cyrchfan yn olrhain y rhif dilyniant uchaf y mae wedi'i dderbyn, ac yn addasu'r ffenestr llithro pan fydd yn derbyn pecyn â gwerth uwch.CISCO-SD-WAN-Ffurfweddu-Diogelwch-Paramedrau-FIG-8

Yn ddiofyn, mae'r ffenestr llithro wedi'i gosod i 512 o becynnau. Gellir ei osod i unrhyw werth rhwng 64 a 4096 sy'n bŵer o 2 (hynny yw, 64, 128, 256, 512, 1024, 2048, neu 4096). I addasu maint y ffenestr gwrth-chwarae, defnyddiwch y gorchymyn ailchwarae-ffenestr, gan nodi maint y ffenestr:

Dyfais(config) # rhif ffenestr ailchwarae ipsec diogelwch

Mae'r cyfluniad yn edrych fel hyn:
diogelwch ipsec ailchwarae - rhif ffenestr ! !

I helpu gyda QoS, cynhelir ffenestri ailchwarae ar wahân ar gyfer pob un o'r wyth sianel draffig gyntaf. Rhennir maint y ffenestr ailchwarae wedi'i ffurfweddu ag wyth ar gyfer pob sianel. Os yw QoS wedi'i ffurfweddu ar lwybrydd, gallai'r llwybrydd hwnnw brofi nifer fwy na'r disgwyl o ddiferion pecynnau o ganlyniad i fecanwaith gwrth-chwarae IPsec, ac mae llawer o'r pecynnau sy'n cael eu gollwng yn rhai cyfreithlon. Mae hyn yn digwydd oherwydd bod QoS yn ail-archebu pecynnau, gan roi triniaeth ffafriol i becynnau â blaenoriaeth uwch ac oedi pecynnau â blaenoriaeth is. Er mwyn lleihau neu atal y sefyllfa hon, gallwch wneud y canlynol:

  • Cynyddu maint y ffenestr gwrth-ailchwarae.
  • Traffig peiriannydd i'r wyth sianel draffig gyntaf i sicrhau nad yw traffig o fewn sianel yn cael ei aildrefnu.

Ffurfweddu Twneli IPsec wedi'u Galluogi gan IKE
Er mwyn trosglwyddo traffig yn ddiogel o'r rhwydwaith troshaenu i rwydwaith gwasanaeth, gallwch chi ffurfweddu twneli IPsec sy'n rhedeg y protocol Cyfnewid Allwedd Rhyngrwyd (IKE). Mae twneli IPsec sydd wedi'u galluogi gan IKE yn darparu dilysiad ac amgryptio i sicrhau cludiant pecyn diogel. Rydych chi'n creu twnnel IPsec wedi'i alluogi gan IKE trwy ffurfweddu rhyngwyneb IPsec. Mae rhyngwynebau IPsec yn rhyngwynebau rhesymegol, ac rydych chi'n eu ffurfweddu yn union fel unrhyw ryngwyneb ffisegol arall. Rydych chi'n ffurfweddu paramedrau protocol IKE ar y rhyngwyneb IPsec, a gallwch chi ffurfweddu priodweddau rhyngwyneb eraill.

Nodyn Mae Cisco yn argymell defnyddio IKE Fersiwn 2. O ryddhau Cisco SD-WAN 19.2.x ymlaen, mae angen i'r allwedd a rennir ymlaen llaw fod o leiaf 16 bytes o hyd. Mae sefydliad twnnel IPsec yn methu os yw maint yr allwedd yn llai na 16 nod pan fydd y llwybrydd yn cael ei uwchraddio i fersiwn 19.2.

Nodyn
Mae meddalwedd Cisco Catalyst SD-WAN yn cefnogi IKE Fersiwn 2 fel y'i diffinnir yn RFC 7296. Un defnydd ar gyfer twneli IPsec yw caniatáu achosion VM llwybrydd vEdge Cloud sy'n rhedeg ar Amazon AWS i gysylltu â rhith-gwmwl preifat Amazon (VPC). Rhaid i chi ffurfweddu IKE Fersiwn 1 ar y llwybryddion hyn. Mae dyfeisiau Cisco vEdge yn cefnogi VPNs ar sail llwybr yn unig mewn cyfluniad IPSec oherwydd ni all y dyfeisiau hyn ddiffinio dewiswyr traffig yn y parth amgryptio.

Ffurfweddu Twnnel IPsec
I ffurfweddu rhyngwyneb twnnel IPsec ar gyfer traffig trafnidiaeth diogel o rwydwaith gwasanaeth, rydych chi'n creu rhyngwyneb IPsec rhesymegol:CISCO-SD-WAN-Ffurfweddu-Diogelwch-Paramedrau-FIG-9

Gallwch greu twnnel IPsec yn y VPN trafnidiaeth (VPN 0) ac mewn unrhyw wasanaeth VPN (VPN 1 trwy 65530, ac eithrio 512). Mae gan y rhyngwyneb IPsec enw yn y fformat rhif ipsec, lle gall y rhif fod o 1 i 255. Rhaid i bob rhyngwyneb IPsec gael cyfeiriad IPv4. Rhaid i'r cyfeiriad hwn fod yn rhagddodiad /30. Mae'r holl draffig yn y VPN sydd o fewn y rhagddodiad IPv4 hwn yn cael ei gyfeirio at ryngwyneb corfforol yn VPN 0 i'w anfon yn ddiogel dros dwnnel IPsec. Er mwyn ffurfweddu ffynhonnell y twnnel IPsec ar y ddyfais leol, gallwch nodi naill ai'r cyfeiriad IP o y rhyngwyneb ffisegol (yn y gorchymyn twnnel-ffynhonnell) neu enw'r rhyngwyneb ffisegol (yn y gorchymyn twnnel-source-interface). Sicrhewch fod y rhyngwyneb ffisegol wedi'i ffurfweddu yn VPN 0. I ffurfweddu cyrchfan y twnnel IPsec, nodwch gyfeiriad IP y ddyfais bell yn y gorchymyn twnnel-cyrchfan. Mae'r cyfuniad o gyfeiriad ffynhonnell (neu enw rhyngwyneb ffynhonnell) a chyfeiriad cyrchfan yn diffinio un twnnel IPsec. Dim ond un twnnel IPsec all fodoli sy'n defnyddio cyfeiriad ffynhonnell benodol (neu enw rhyngwyneb) a phâr cyfeiriad cyrchfan.

Ffurfweddu Llwybr Statig IPsec

I gyfeirio traffig o'r gwasanaeth VPN i dwnnel IPsec yn y VPN trafnidiaeth (VPN 0), rydych chi'n ffurfweddu llwybr sefydlog IPsec-benodol mewn gwasanaeth VPN (VPN heblaw VPN 0 neu VPN 512):

  • vEdge(config)# vpn-id
  • vEdge(config-vpn)# ip ipsec-route rhagddodiad / rhyngwyneb vpn 0 hyd
  • rhif ipsec [ipsecnumber2]

ID VPN yw un unrhyw wasanaeth VPN (VPN 1 trwy 65530, ac eithrio 512). rhagddodiad/hyd yw'r cyfeiriad IP neu'r rhagddodiad, mewn nodiant pedwar rhan-dotiog degol, a hyd rhagddodiad y llwybr sefydlog IPsec-benodol. Y rhyngwyneb yw rhyngwyneb twnnel IPsec yn VPN 0. Gallwch chi ffurfweddu un neu ddau o ryngwynebau twnnel IPsec. Os ydych chi'n ffurfweddu dau, y cyntaf yw'r twnnel IPsec cynradd, a'r ail yw'r copi wrth gefn. Gyda dau ryngwyneb, dim ond i'r twnnel cynradd y caiff pob pecyn ei anfon. Os bydd y twnnel hwnnw'n methu, yna anfonir yr holl becynnau i'r twnnel eilaidd. Os daw'r twnnel cynradd yn ôl i fyny, symudir yr holl draffig yn ôl i'r twnnel IPsec cynradd.

Galluogi IKE Fersiwn 1
Pan fyddwch chi'n creu twnnel IPsec ar lwybrydd vEdge, mae IKE Fersiwn 1 wedi'i alluogi yn ddiofyn ar ryngwyneb y twnnel. Mae'r priodweddau canlynol hefyd wedi'u galluogi yn ddiofyn ar gyfer IKEv1:

  • Dilysu ac amgryptio - amgryptio safon uwch AES-256 amgryptio CBC gyda'r algorithm cod dilysu neges hash bysell HMAC-SHA1 er cywirdeb
  • Rhif grŵp Diffie-Hellman—16
  • Rekeying egwyl amser - 4 awr
  • Modd sefydlu SA - Prif

Yn ddiofyn, mae IKEv1 yn defnyddio prif fodd IKE i sefydlu IKE SAs. Yn y modd hwn, mae chwe phecyn trafod yn cael eu cyfnewid i sefydlu'r AC. I gyfnewid dim ond tri phecyn trafod, galluogi modd ymosodol:

Nodyn
Dylid osgoi modd ymosodol IKE gydag allweddi wedi'u rhannu ymlaen llaw lle bynnag y bo modd. Fel arall, dylid dewis allwedd gref a rennir ymlaen llaw.

  • vEdge(config)# rhyngwyneb vpn-id rhif ipsec ike
  • vEdge(config-ike)# ymosodol modd

Yn ddiofyn, mae IKEv1 yn defnyddio grŵp Diffie-Hellman 16 yn y gyfnewidfa allwedd IKE. Mae'r grŵp hwn yn defnyddio'r grŵp esbonyddol 4096-did mwy modiwlaidd (MODP) yn ystod cyfnewid allweddi IKE. Gallwch newid rhif y grŵp i 2 (ar gyfer MODP 1024-bit), 14 (2048-bit MODP), neu 15 (3072-bit MODP):

  • vEdge(config)# rhyngwyneb vpn-id rhif ipsec ike
  • vEdge(config-ike) # rhif grŵp

Yn ddiofyn, mae cyfnewid allwedd IKE yn defnyddio amgryptio safon amgryptio CBC uwch AES-256 gyda'r algorithm cod dilysu neges hash bysell HMAC-SHA1 ar gyfer uniondeb. Gallwch newid y dilysiad:

  • vEdge(config)# rhyngwyneb vpn-id rhif ipsec ike
  • vEdge(config-ike)# cipher-suite suite

Gall y gyfres ddilysu fod yn un o'r canlynol:

  • aes128-cbc-sha1-AES-128 amgryptio safon uwch amgryptio CBC gyda'r algorithm cod dilysu neges hash bysell HMAC-SHA1 ar gyfer cywirdeb
  • aes128-cbc-sha2-AES-128 amgryptio safon uwch amgryptio CBC gyda'r algorithm cod dilysu neges hash bysell HMAC-SHA256 ar gyfer cywirdeb
  • aes256-cbc-sha1-AES-256 uwch amgryptio safon amgryptio CBC gyda'r HMAC-SHA1 algorithm cod dilysu neges bysell-hash ar gyfer cywirdeb; dyma'r rhagosodiad.
  • aes256-cbc-sha2-AES-256 amgryptio safon uwch amgryptio CBC gyda'r algorithm cod dilysu neges hash bysell HMAC-SHA256 ar gyfer cywirdeb

Yn ddiofyn, mae allweddi IKE yn cael eu hadnewyddu bob 1 awr (3600 eiliad). Gallwch newid yr egwyl rekeying i werth o 30 eiliad i 14 diwrnod (1209600 eiliad). Argymhellir bod yr egwyl rekeying o leiaf 1 awr.

  • vEdge(config)# rhyngwyneb vpn-id rhif ipsec fel
  • vEdge(config-ike) # eiliad rekey

I orfodi cynhyrchu allweddi newydd ar gyfer sesiwn IKE, cyhoeddwch y gorchymyn ipsec ike-rekey cais.

  • vEdge(config)# vpn-id interfaceipsec number ike

Ar gyfer IKE, gallwch hefyd ffurfweddu dilysiad allwedd a rennir (PSK):

  • vEdge(config)# rhyngwyneb vpn-id rhif ipsec ike
  • vEdge(config-ike) # dilysu-math cyn-rannu-allwedd cyfrinair cyfrinair cyn-rhannu-cyfrinach yw'r cyfrinair i ddefnyddio gyda'r allwedd a rennir. Gall fod yn ASCII neu'n llinyn hecsadegol o 1 i 127 nod o hyd.

Os oes angen ID lleol neu bell ar y cyfoed IKE o bell, gallwch chi ffurfweddu'r dynodwr hwn:

  • vEdge(config) # rhyngwyneb vpn-id rhif ipsec fel math dilysu
  • vEdge(config-dilysu-math) # local-id id
  • vEdge (ffurfwedd-dilysu-math) # remote-id

Gall y dynodwr fod yn gyfeiriad IP neu'n unrhyw linyn testun o 1 i 63 nod o hyd. Yn ddiofyn, yr ID lleol yw cyfeiriad IP ffynhonnell y twnnel a'r ID anghysbell yw cyfeiriad IP cyrchfan y twnnel.

Galluogi IKE Fersiwn 2
Pan fyddwch chi'n ffurfweddu twnnel IPsec i ddefnyddio IKE Version 2, mae'r priodweddau canlynol hefyd wedi'u galluogi yn ddiofyn ar gyfer IKEv2:

  • Dilysu ac amgryptio - amgryptio safon uwch AES-256 amgryptio CBC gyda'r algorithm cod dilysu neges hash bysell HMAC-SHA1 er cywirdeb
  • Rhif grŵp Diffie-Hellman—16
  • Rekeying egwyl amser - 4 awr

Yn ddiofyn, mae IKEv2 yn defnyddio grŵp Diffie-Hellman 16 yn y gyfnewidfa allwedd IKE. Mae'r grŵp hwn yn defnyddio'r grŵp esbonyddol 4096-did mwy modiwlaidd (MODP) yn ystod cyfnewid allweddi IKE. Gallwch newid rhif y grŵp i 2 (ar gyfer MODP 1024-bit), 14 (2048-bit MODP), neu 15 (3072-bit MODP):

  • vEdge(config)# vpn-id rhyngwyneb ipsecnumber ike
  • vEdge(config-ike) # rhif grŵp

Yn ddiofyn, mae cyfnewid allwedd IKE yn defnyddio amgryptio safon amgryptio CBC uwch AES-256 gyda'r algorithm cod dilysu neges hash bysell HMAC-SHA1 ar gyfer uniondeb. Gallwch newid y dilysiad:

  • vEdge(config)# vpn-id rhyngwyneb ipsecnumber ike
  • vEdge(config-ike)# cipher-suite suite

Gall y gyfres ddilysu fod yn un o'r canlynol:

  • aes128-cbc-sha1-AES-128 amgryptio safon uwch amgryptio CBC gyda'r algorithm cod dilysu neges hash bysell HMAC-SHA1 ar gyfer cywirdeb
  • aes128-cbc-sha2-AES-128 amgryptio safon uwch amgryptio CBC gyda'r algorithm cod dilysu neges hash bysell HMAC-SHA256 ar gyfer cywirdeb
  • aes256-cbc-sha1-AES-256 uwch amgryptio safon amgryptio CBC gyda'r HMAC-SHA1 algorithm cod dilysu neges bysell-hash ar gyfer cywirdeb; dyma'r rhagosodiad.
  • aes256-cbc-sha2-AES-256 amgryptio safon uwch amgryptio CBC gyda'r algorithm cod dilysu neges hash bysell HMAC-SHA256 ar gyfer cywirdeb

Yn ddiofyn, mae allweddi IKE yn cael eu hadnewyddu bob 4 awr (14,400 eiliad). Gallwch newid yr egwyl rekeying i werth o 30 eiliad i 14 diwrnod (1209600 eiliad):

  • vEdge(config)# vpn-id rhyngwyneb ipsecnumber ike
  • vEdge(config-ike) # eiliad rekey

I orfodi cynhyrchu allweddi newydd ar gyfer sesiwn IKE, cyhoeddwch y gorchymyn ipsec ike-rekey cais. Ar gyfer IKE, gallwch hefyd ffurfweddu dilysiad allwedd a rennir (PSK):

  • vEdge(config)# vpn-id rhyngwyneb ipsecnumber ike
  • vEdge(config-ike) # dilysu-math cyn-rannu-allwedd cyfrinair cyfrinair cyn-rhannu-cyfrinach yw'r cyfrinair i ddefnyddio gyda'r allwedd a rennir. Gall fod yn ASCII neu'n llinyn hecsadegol, neu gall fod yn allwedd wedi'i hamgryptio AES. Os oes angen ID lleol neu bell ar y cyfoed IKE o bell, gallwch chi ffurfweddu'r dynodwr hwn:
  • vEdge(config)# vpn-id rhyngwyneb ipsecnumber ike math dilysu
  • vEdge(config-dilysu-math) # local-id id
  • vEdge (ffurfwedd-dilysu-math) # remote-id

Gall y dynodwr fod yn gyfeiriad IP neu'n unrhyw linyn testun o 1 i 64 nod o hyd. Yn ddiofyn, yr ID lleol yw cyfeiriad IP ffynhonnell y twnnel a'r ID anghysbell yw cyfeiriad IP cyrchfan y twnnel.

Ffurfweddu Paramedrau Twnnel IPsec

Tabl 4: Hanes Nodwedd

Nodwedd Enw Rhyddhau Gwybodaeth Disgrifiad
Cryptograffig ychwanegol Rhyddhad Cisco SD-WAN 20.1.1 Mae'r nodwedd hon yn ychwanegu cefnogaeth ar gyfer
Cymorth Algorithmig ar gyfer IPSec   HMAC_SHA256, HMAC_SHA384, a
twneli   HMAC_SHA512 algorithmau ar gyfer
    gwell diogelwch.

Yn ddiofyn, defnyddir y paramedrau canlynol ar y twnnel IPsec sy'n cludo traffig IKE:

  • Dilysu ac amgryptio - algorithm AES-256 yn GCM (modd Galois / cownter)
  • Ysbaid rekeying - 4 awr
  • Ffenestr ailchwarae - 32 pecyn

Gallwch newid yr amgryptio ar dwnnel IPsec i'r seiffr AES-256 yn CBC (modd cadwyno bloc cipher, gyda HMAC yn defnyddio naill ai dilysiad neges hash bysell SHA-1 neu SHA-2 neu i null gyda HMAC gan ddefnyddio naill ai SHA-1 neu Dilysu neges hash bysell SHA-2, i beidio ag amgryptio'r twnnel IPsec a ddefnyddir ar gyfer traffig cyfnewid allweddi IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aessha256-null-sha256 | | aes256-null-sha384 | aes256-null-sha512)

Yn ddiofyn, mae allweddi IKE yn cael eu hadnewyddu bob 4 awr (14,400 eiliad). Gallwch newid yr egwyl rekeying i werth o 30 eiliad i 14 diwrnod (1209600 eiliad):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec) # eiliad rekey

Er mwyn gorfodi cynhyrchu allweddi newydd ar gyfer twnnel IPsec, rhowch y gorchymyn ipsec ipsec-rekey cais. Yn ddiofyn, mae cyfrinachedd ymlaen perffaith (PFS) yn cael ei alluogi ar dwneli IPsec, i sicrhau na fydd sesiynau yn y gorffennol yn cael eu heffeithio os bydd allweddi yn y dyfodol yn cael eu peryglu. Mae PFS yn gorfodi cyfnewid allwedd Diffie-Hellman newydd, yn ddiofyn gan ddefnyddio'r grŵp modiwl cysefin 4096-bit Diffie-Hellman. Gallwch newid y gosodiad PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec) # gosodiad pfs-perffaith-ymlaen-gyfrinachedd

Gall gosod pfs fod yn un o'r canlynol:

  • group-2—Defnyddiwch y grŵp modwlws cysefin 1024-did Diffie-Hellman.
  • group-14—Defnyddiwch y grŵp modwlws cysefin 2048-did Diffie-Hellman.
  • group-15—Defnyddiwch y grŵp modwlws cysefin 3072-did Diffie-Hellman.
  • group-16—Defnyddiwch y grŵp modwlws cysefin 4096-did Diffie-Hellman. Dyma'r rhagosodiad.
  • dim - Analluogi PFS.

Yn ddiofyn, ffenestr ailchwarae IPsec ar dwnnel IPsec yw 512 bytes. Gallwch chi osod maint y ffenestr ailchwarae i 64, 128, 256, 512, 1024, 2048, neu 4096 o becynnau:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec) # rhif ailchwarae-ffenestr

Addasu IKE Canfod Cyfoedion Marw

Mae IKE yn defnyddio mecanwaith canfod cyfoedion marw i benderfynu a yw'r cysylltiad â chyfoedion IKE yn ymarferol ac yn gyraeddadwy. Er mwyn gweithredu'r mecanwaith hwn, mae IKE yn anfon pecyn Helo at ei gyfoedion, ac mae'r cymar yn anfon cydnabyddiaeth mewn ymateb. Yn ddiofyn, mae IKE yn anfon pecynnau Helo bob 10 eiliad, ac ar ôl tri phecyn heb eu cydnabod, mae IKE yn datgan bod y cymydog wedi marw ac yn rhwygo'r twnnel i'r cyfoedion. Wedi hynny, mae IKE o bryd i'w gilydd yn anfon pecyn Helo at y cyfoedion, ac yn ailsefydlu'r twnnel pan ddaw'r cyfoed yn ôl ar-lein. Gallwch newid y cyfwng canfod bywiogrwydd i werth o 0 i 65535, a gallwch newid nifer yr ailgeisiadau i werth o 0 i 255.

Nodyn

Ar gyfer VPNs trafnidiaeth, mae'r cyfwng canfod bywoliaeth yn cael ei drawsnewid i eiliadau trwy ddefnyddio'r fformiwla ganlynol: Cyfwng ar gyfer ymgais ail-ddarlledu rhif N = cyfwng * 1.8N-1For example, os yw'r cyfwng wedi'i osod i 10 ac yn ceisio eto i 5, mae'r cyfwng canfod yn cynyddu fel a ganlyn:

  • Ymgais 1: 10 * 1.81-1= 10 eiliad
  • Ymgais 2: 10 * 1.82-1= 18 eiliad
  • Ymgais 3: 10 * 1.83-1= 32.4 eiliad
  • Ymgais 4: 10 * 1.84-1= 58.32 eiliad
  • Ymgais 5: 10 * 1.85-1= 104.976 eiliad

Mae vEdge(config-interface-ipsecnumber)# cyfnod ail-ganfod-cyfoedion-canfod rhif yn ceisio

Ffurfweddu Priodweddau Rhyngwyneb Eraill

Ar gyfer rhyngwynebau twnnel IPsec, dim ond yr eiddo rhyngwyneb ychwanegol canlynol y gallwch chi ei ffurfweddu:

  • vEdge(config-interface-ipsec)# mtu beit
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Analluogi Algorithmau Amgryptio SSH Gwan ar Reolwr Cisco SD-WAN

Tabl 5: Tabl Hanes Nodwedd

Nodwedd Enw Rhyddhau Gwybodaeth Nodwedd Disgrifiad
Analluogi Algorithmau Amgryptio SSH Gwan ar Reolwr Cisco SD-WAN Cisco vManage Release 20.9.1 Mae'r nodwedd hon yn caniatáu ichi analluogi algorithmau SSH gwannach ar Reolwr Cisco SD-WAN nad ydynt efallai'n cydymffurfio â rhai safonau diogelwch data.

Gwybodaeth am Analluogi Algorithmau Amgryptio SSH Gwan ar Reolwr Cisco SD-WAN
Mae Rheolwr Cisco SD-WAN yn darparu cleient SSH ar gyfer cyfathrebu â chydrannau yn y rhwydwaith, gan gynnwys rheolwyr a dyfeisiau ymyl. Mae'r cleient SSH yn darparu cysylltiad wedi'i amgryptio ar gyfer trosglwyddo data yn ddiogel, yn seiliedig ar amrywiaeth o algorithmau amgryptio. Mae angen amgryptio cryfach ar lawer o sefydliadau na'r hyn a ddarperir gan SHA-1, AES-128, ac AES-192. O Cisco vManage Release 20.9.1, gallwch analluogi'r algorithmau amgryptio gwannach canlynol fel nad yw cleient SSH yn defnyddio'r algorithmau hyn:

  • SHA-1
  • AES- 128
  • AES- 192

Cyn analluogi'r algorithmau amgryptio hyn, sicrhewch fod dyfeisiau Cisco vEdge, os o gwbl, yn y rhwydwaith, yn defnyddio datganiad meddalwedd yn ddiweddarach na Cisco SD-WAN Release 18.4.6.

Manteision Analluogi Algorithmau Amgryptio SSH Gwan ar Reolwr Cisco SD-WAN
Mae analluogi algorithmau amgryptio SSH gwannach yn gwella diogelwch cyfathrebu SSH, ac yn sicrhau bod sefydliadau sy'n defnyddio Cisco Catalyst SD-WAN yn cydymffurfio â rheoliadau diogelwch llym.

Analluogi Algorithmau Amgryptio SSH Gwan ar Reolwr Cisco SD-WAN Gan Ddefnyddio CLI

  1. O ddewislen Cisco SD-WAN Manager, dewiswch Offer> SSH Terminal.
  2. Dewiswch ddyfais Cisco SD-WAN Manager yr ydych am analluogi algorithmau SSH gwannach arni.
  3. Rhowch yr enw defnyddiwr a'r cyfrinair i fewngofnodi i'r ddyfais.
  4. Rhowch fodd gweinydd SSH.
    • vmanage(config) # system
    • vmanage(config-system)# ssh-server
  5. Gwnewch un o'r canlynol i analluogi algorithm amgryptio SSH:
    • Analluogi SHA-1:
  6. rheoli(config-ssh-server)# dim kex-algo sha1
  7. rheoli(config-ssh-server) # ymrwymo
    Mae'r neges rhybudd ganlynol yn cael ei harddangos: Cynhyrchwyd y rhybuddion canlynol: 'system ssh-server kex-algo sha1': RHYBUDD: Sicrhewch fod eich ymylon yn rhedeg fersiwn cod > 18.4.6 sy'n cyd-drafod yn well na SHA1 gyda vManage. Fel arall, gall yr ymylon hynny ddod yn all-lein. Ymlaen? [ie, na] ydw
    • Sicrhewch fod unrhyw ddyfeisiau Cisco vEdge yn y rhwydwaith yn rhedeg Cisco SD-WAN Release 18.4.6 neu ddiweddarach a nodwch ie.
    • Analluogi AES-128 ac AES-192:
    • vmanage(config-ssh-server)# dim cipher aes-128-192
    • vmanage(config-ssh-server)# ymrwymo
      Mae'r neges rhybudd canlynol yn cael ei harddangos:
      Cynhyrchwyd y rhybuddion canlynol:
      'system ssh-server cipher aes-128-192': RHYBUDD: Sicrhewch fod eich holl ymylon yn rhedeg fersiwn cod > 18.4.6 sy'n cyd-drafod yn well nag AES-128-192 gyda vManage. Fel arall, gall yr ymylon hynny ddod yn all-lein. Ymlaen? [ie, na] ydw
    • Sicrhewch fod unrhyw ddyfeisiau Cisco vEdge yn y rhwydwaith yn rhedeg Cisco SD-WAN Release 18.4.6 neu ddiweddarach a nodwch ie.

Gwiriwch fod Algorithmau Amgryptio SSH Gwan Yn Analluog ar Reolwr Cisco SD-WAN Gan Ddefnyddio'r CLI

  1. O ddewislen Cisco SD-WAN Manager, dewiswch Offer> SSH Terminal.
  2. Dewiswch y ddyfais Cisco SD-WAN Manager yr hoffech ei wirio.
  3. Rhowch yr enw defnyddiwr a'r cyfrinair i fewngofnodi i'r ddyfais.
  4. Rhedeg y gorchymyn canlynol: dangos rhedeg-config system ssh-server
  5. Cadarnhewch fod yr allbwn yn dangos un neu fwy o'r gorchmynion sy'n analluogi algorithmau amgryptio gwannach:
    • dim cipher aes-128-192
    • dim kex-algo sha1

Dogfennau / Adnoddau

CISCO SD-WAN Ffurfweddu Paramedrau Diogelwch [pdfCanllaw Defnyddiwr
SD-WAN Ffurfweddu Paramedrau Diogelwch, SD-WAN, Ffurfweddu Paramedrau Diogelwch, Paramedrau Diogelwch

Cyfeiriadau

Gadael sylw

Ni fydd eich cyfeiriad e-bost yn cael ei gyhoeddi. Mae meysydd gofynnol wedi'u marcio *