CISCO SD-WAN Turvaparameetrite konfigureerimine

Seadistage turvaparameetrid

Märkus

Lihtsustamise ja järjepidevuse saavutamiseks on Cisco SD-WAN lahendus ümber nimetatud Cisco Catalyst SD-WAN-iks. Lisaks kehtivad Cisco IOS XE SD-WAN-i versioonist 17.12.1a ja Cisco Catalyst SD-WAN-i versioonist 20.12.1 järgmised komponentide muudatused: Cisco vManage kuni Cisco Catalyst SD-WAN Manager, Cisco vAnalytics kuni Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator ja Cisco vSmart to Cisco Catalyst SD-WAN kontroller. Kõigi komponentide kaubamärginime muudatuste põhjaliku loendi saamiseks vaadake uusimaid väljalaskemärkmeid. Uutele nimedele ülemineku ajal võib dokumentatsioonikomplektis esineda mõningaid ebakõlasid tarkvaratoote kasutajaliidese värskenduste etapiviisilise lähenemise tõttu.

Selles jaotises kirjeldatakse, kuidas muuta juhttasandi ja andmetasandi turbeparameetreid Cisco Catalyst SD-WAN ülekattevõrgus.

• Juhttasandi turvaparameetrite konfigureerimine, sees
• Andmetasandi turvaparameetrite konfigureerimine, sees
• IKE-toega IPsec-tunnelite konfigureerimine, sees
• Keelake Cisco SD-WAN Manageris nõrgad SSH-krüpteerimisalgoritmid

Juhttasandi turvaparameetrite konfigureerimine

Vaikimisi kasutab juhttasand DTLS-i protokollina, mis tagab kõigi tunnelite privaatsuse. DTLS töötab üle UDP. Saate muuta juhttasandi turvaprotokolli TLS-iks, mis töötab üle TCP. TLS-i kasutamise peamine põhjus on see, et kui arvate, et Cisco SD-WAN-kontroller on server, kaitsevad tulemüürid TCP-servereid paremini kui UDP-servereid. Konfigureerite juhttasandi tunneliprotokolli Cisco SD-WAN-kontrolleris: vSmart(config)# turvakontrolliprotokoll tls Selle muudatusega luuakse kõik juhttasandi tunnelid Cisco SD-WAN-kontrolleri ja ruuterite vahel ning Cisco SD-WAN-kontrolleri vahel. ja Cisco SD-WAN Manager kasutavad TLS-i. Juhttasandi tunnelid Cisco Catalyst SD-WAN Validatorisse kasutavad alati DTLS-i, kuna neid ühendusi peab haldama UDP. Mitme Cisco SD-WAN-kontrolleriga domeenis kasutavad TLS-i ühel Cisco SD-WAN-kontrolleril TLS-i konfigureerimisel kõik juhttasandi tunnelid sellest kontrollerist teiste kontrolleriteni TLS-i. Teisisõnu öeldes on TLS alati DTLS-i ees ülimuslik. Kuid teiste Cisco SD-WAN-kontrollerite vaatenurgast, kui te pole nendes TLS-i konfigureerinud, kasutavad nad TLS-i juhttasandi tunnelis ainult selle ühe Cisco SD-WAN-kontrolleri jaoks ja nad kasutavad DTLS-tunneleid kõigi teiste jaoks. Cisco SD-WAN-kontrolleritele ja kõigile nendega ühendatud ruuteritele. Kui soovite, et kõik Cisco SD-WAN-kontrollerid kasutaksid TLS-i, konfigureerige see kõigis. Vaikimisi kuulab Cisco SD-WAN-kontroller TLS-i päringuid pordis 23456. Selle muutmiseks toimige järgmiselt. vSmart(config)# turvakontrolli tls-pordi number Port võib olla number 1025 kuni 65535. Juhttasandi turbeteabe kuvamiseks kasutage Cisco SD-WAN-kontrolleri käsku show control connections. Näiteksample: vSmart-2# näitab juhtühendusi

Konfigureerige DTLS Cisco SD-WAN Manageris

Kui konfigureerite Cisco SD-WAN Manageri kasutama TLS-i juhttasandi turvaprotokollina, peate oma NAT-is lubama pordiedastuse. Kui kasutate juhtimistasandi turvaprotokollina DTLS-i, ei pea te midagi tegema. Edastatud portide arv sõltub Cisco SD-WAN Manageris töötavate vdaemoni protsesside arvust. Nende protsesside ning edastatavate portide ja nende arvu kohta teabe kuvamiseks kasutage käsku show control summary, mis näitab, et töötab neli deemoni protsessi:

Kuulamisportide vaatamiseks kasutage käsku show control local-properties: vManage# show control local-properties

See väljund näitab, et kuulamise TCP-port on 23456. Kui kasutate Cisco SD-WAN Manageri NAT-i taga, peaksite avama NAT-seadme järgmised pordid:

• 23456 (baas – eksemplari 0 port)
• 23456 + 100 (baas + 100)
• 23456 + 200 (baas + 200)
• 23456 + 300 (baas + 300)

Pange tähele, et eksemplaride arv on sama kui tuumade arv, mille olete Cisco SD-WAN Manageri jaoks määranud, maksimaalselt 8.

Konfigureerige turvaparameetrid turvafunktsiooni malli abil

Kasutage turvafunktsiooni malli kõigi Cisco vEdge seadmete jaoks. Ääremarsruuterites ja Cisco SD-WAN Validatoris kasutage seda malli IPseci andmetasandi turvalisuse konfigureerimiseks. Kasutage Cisco SD-WAN Manageris ja Cisco SD-WAN Controlleris turbefunktsiooni malli, et konfigureerida DTLS või TLS juhtimistasandi turvalisuse jaoks.

Seadistage turvaparameetrid

1. Valige Cisco SD-WAN Manageri menüüst Konfiguratsioon > Mallid.
2. Klõpsake nuppu Funktsioonimallid ja seejärel nuppu Lisa mall.
   Märkus Cisco vManage'i versioonis 20.7.1 ja varasemates versioonides nimetatakse funktsioonimalle funktsiooniks.
3. Valige vasakpoolsel paanil loendist Seadmed seade. Paremal paanil kuvatakse valitud seadmele kohaldatavad mallid.
4. Malli avamiseks klõpsake nuppu Turvalisus.
5. Sisestage väljale Malli nimi malli nimi. Nimes võib olla kuni 128 tähemärki ja see võib sisaldada ainult tähtnumbrilisi märke.
6. Väljale Malli kirjeldus sisestage malli kirjeldus. Kirjeldus võib olla kuni 2048 tähemärki ja võib sisaldada ainult tähtnumbrilisi märke.

Funktsioonimalli esmakordsel avamisel määratakse iga vaikeväärtusega parameetri puhul ulatus Vaikimisi (näidatud linnukesega) ja kuvatakse vaikesäte või -väärtus. Vaikeväärtuse muutmiseks või väärtuse sisestamiseks klõpsake parameetriväljast vasakul asuvat ulatuse rippmenüüd ja valige üks järgmistest.

Tabel 1:

Parameeter Ulatus

Ulatus Kirjeldus

Seadmepõhine (näidatud hosti ikooniga)

Kasutage parameetri jaoks seadmepõhist väärtust. Seadmespetsiifiliste parameetrite puhul ei saa te funktsioonimallisse väärtust sisestada. Sisestate väärtuse, kui kinnitate Viptela seadme seadme mallile. Kui klõpsate nuppu Seadmespetsiifiline, avaneb kast Enter Key. Selles kastis kuvatakse võti, mis on kordumatu string, mis identifitseerib parameetri CSV-failis file mille loote. See file on Exceli tabel, mis sisaldab iga võtme jaoks ühte veergu. Päise rida sisaldab võtmenimesid (üks võti veeru kohta) ja iga rida pärast seda vastab seadmele ja määrab selle seadme võtmete väärtused. Laadite üles CSV-faili file kui kinnitate Viptela seadme seadme mallile. Lisateabe saamiseks vaadake mallimuutujate arvutustabeli loomine. Vaikevõtme muutmiseks tippige uus string ja viige kursor väljast Enter Key välja. ExampSeadmespetsiifilised parameetrid on süsteemi IP-aadress, hostinimi, GPS-asukoht ja saidi ID.

Parameeter Ulatus	Ulatus Kirjeldus
Globaalne (näidatud maakera ikooniga)	Sisestage parameetri väärtus ja rakendage see väärtus kõikidele seadmetele. Exampparameetrid, mida võite seadmete rühmale globaalselt rakendada, on DNS-server, syslogi server ja liidese MTU-d.

Juhttasandi turvalisuse konfigureerimine

Märkus
Jaotis Juhttasandi turbe konfigureerimine kehtib ainult Cisco SD-WAN Manageri ja Cisco SD-WAN kontrolleri kohta. Juhttasandi ühendusprotokolli konfigureerimiseks Cisco SD-WAN Manageri eksemplaris või Cisco SD-WAN kontrolleril valige põhikonfiguratsiooni ala ja konfigureerige järgmised parameetrid:

Tabel 2:

Parameeter Nimi	Kirjeldus
Protokoll	Valige protokoll, mida kasutada juhttasandi ühendustel Cisco SD-WAN kontrolleriga: • DTLS (Datagram Transpordikihi turvalisus). See on vaikeseade. •  TLS (transpordikihi turvalisus)
TLS-pordi juhtimine	Kui valisite TLS-i, konfigureerige kasutatav pordi number:Vahemik: 1025 kuni 65535Vaikimisi: 23456

Klõpsake nuppu Salvesta

Seadistage andmetasandi turvalisus
Andmetasandi turvalisuse konfigureerimiseks Cisco SD-WAN Validatoris või Cisco vEdge ruuteris valige vahekaardid Põhikonfiguratsioon ja Autentimise tüüp ning konfigureerige järgmised parameetrid.

Tabel 3:

Parameeter Nimi	Kirjeldus
Klahvi aeg uuesti	Määrake, kui sageli muudab Cisco vEdge ruuter oma turvalises DTLS-ühenduses kasutatavat AES-võtit Cisco SD-WAN-kontrolleri vastu. Kui OMP graatsiline taaskäivitus on lubatud, peab uuesti sisestamise aeg olema vähemalt kaks korda suurem kui OMP graatsilise taaskäivituse taimeri väärtus.Vahemik: 10 kuni 1209600 sekundit (14 päeva)Vaikimisi: 86400 sekundit (24 tundi)
Taasesitamise aken	Määrake libiseva kordusakna suurus. Väärtused: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakettiVaikimisi: 512 pakki
IPsec paarikaupa sisestamine	See on vaikimisi välja lülitatud. Klõpsake On et see sisse lülitada.

Parameeter Nimi

Kirjeldus

Autentimise tüüp

Valige autentimistüübid Autentimine Nimekirija klõpsake paremale osutavat noolt, et teisaldada autentimistüübid Valitud loend veerus. Cisco SD-WAN-i versiooni 20.6.1 toetatud autentimistüübid: •  eriti: lubab ESP (Encapsulating Security Payload) krüptimise ja terviklikkuse kontrolli ESP päises. •  ip-udp-esp: Lubab ESP krüptimise. Lisaks ESP päise ja kasuliku koormuse terviklikkuse kontrollidele hõlmavad kontrollid ka välimist IP ja UDP päiseid. •  ip-udp-esp-no-id: ignoreerib IP-päises olevat ID-välja, et Cisco Catalyst SD-WAN saaks töötada koos mitte-Cisco seadmetega. •  mitte ühtegi: lülitab IPSec-pakettide terviklikkuse kontrolli välja. Me ei soovita seda valikut kasutada.   Cisco SD-WAN-i versioonis 20.5.1 ja varasemates versioonides toetatud autentimistüübid: •  ah-ei-id: lubage AH-SHA1 HMAC ja ESP HMAC-SHA1 täiustatud versioon, mis ignoreerib ID-välja paketi välimises IP-päises. •  ah-sha1-hmac: lubage AH-SHA1 HMAC ja ESP HMAC-SHA1. •  mitte ühtegi: valige autentimise puudumine. •  sha1-hmac: ESP HMAC-SHA1 lubamine.   Märkus              Cisco SD-WAN-i versiooniga 20.5.1 või vanemas versioonis töötava servaseadme puhul olete võib-olla konfigureerinud autentimistüübid, kasutades Turvalisus malli. Kui uuendate seadme versioonile Cisco SD-WAN Release 20.6.1 või uuemale versioonile, värskendage jaotises valitud autentimistüüpe Turvalisus malli Cisco SD-WAN-i versiooni 20.6.1 toetatud autentimistüüpidele. Autentimistüüpide värskendamiseks tehke järgmist. 1.      Valige Cisco SD-WAN Manageri menüüst Seadistamine > Mallid. 2.      Klõpsake Funktsioonide mallid. 3.      Otsige üles Turvalisus värskendamiseks malli ja klõpsake … ja klõpsake Muuda. 4.      Klõpsake Värskenda. Ärge muutke ühtegi konfiguratsiooni. Cisco SD-WAN Manager värskendab Turvalisus malli toetatud autentimistüüpide kuvamiseks.

Klõpsake nuppu Salvesta.

Andmetasandi turvaparameetrite konfigureerimine

Andmetasandil on IPsec kõigis ruuterites vaikimisi lubatud ja vaikimisi kasutavad IPseci tunneliühendused IPseci tunnelites autentimiseks ESP (Encapsulating Security Payload) protokolli täiustatud versiooni. Ruuterites saate muuta autentimise tüüpi, IPseci uuesti sisestamise taimerit ja IPseci taasesitusvastase akna suurust.

Lubatud autentimistüüpide seadistamine

Autentimistüübid Cisco SD-WAN-i versioonis 20.6.1 ja uuemates versioonides
Alates Cisco SD-WAN-i versioonist 20.6.1 toetatakse järgmisi terviklikkuse tüüpe.

• esp: see suvand lubab ESP-i (Encapsulating Security Payload) krüptimise ja terviklikkuse kontrollimise ESP päises.
• ip-udp-esp: see suvand lubab ESP-krüptimist. Lisaks ESP päise ja kasuliku koormuse terviklikkuse kontrollidele hõlmavad kontrollid ka välimist IP ja UDP päist.
• ip-udp-esp-no-id: see valik on sarnane ip-udp-esp-ga, kuid välimise IP-päise ID-välja ignoreeritakse. Seadistage see suvand terviklikkuse tüüpide loendis, et Cisco Catalyst SD-WAN-i tarkvara eiraks IP-päises olevat ID-välja, et Cisco Catalyst SD-WAN saaks töötada koos mitte-Cisco seadmetega.
• none: see suvand lülitab IPSec-pakettide terviklikkuse kontrollimise välja. Me ei soovita seda valikut kasutada.

Vaikimisi kasutavad IPseci tunneliühendused autentimiseks ESP (Encapsulating Security Payload) protokolli täiustatud versiooni. Kokkulepitud interiteeditüüpide muutmiseks või terviklikkuse kontrolli keelamiseks kasutage järgmist käsku: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | eriti }

Autentimistüübid enne Cisco SD-WAN-i väljalaset 20.6.1
Vaikimisi kasutavad IPseci tunneliühendused autentimiseks ESP (Encapsulating Security Payload) protokolli täiustatud versiooni. Kokkulepitud autentimistüüpide muutmiseks või autentimise keelamiseks kasutage järgmist käsku: Device(config)# security ipsec autentimise tüüp (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Vaikimisi IPsec tunneliühendused kasutavad AES-GCM-256, mis pakub nii krüptimist kui ka autentimist. Konfigureerige iga autentimistüüp eraldi turvalisuse ipsec autentimistüübi käsuga. Käsuvalikud vastavad järgmistele autentimistüüpidele, mis on loetletud järjestuses kõige tugevamast kuni kõige nõrgemani:

Märkus
Seadistuse valikutes olevat sha1 kasutatakse ajaloolistel põhjustel. Autentimisvalikud näitavad, kui suur osa paketi terviklikkuse kontrollimisest on tehtud. Nad ei määra terviklikkust kontrollivat algoritmi. Cisco Catalyst SD WAN-i toetatud autentimisalgoritmid ei kasuta SHA1, välja arvatud multisaadete liikluse krüpteerimine. Kuid Cisco SD-WAN-i versioonis 20.1.x ja uuemates versioonides ei kasuta nii unicast kui ka multisaade SHA1.

• ah-sha1-hmac võimaldab ESP abil krüptimist ja kapseldamist. Kuid lisaks ESP päise ja kasuliku koormuse terviklikkuse kontrollidele hõlmavad kontrollid ka välimist IP ja UDP päiseid. Seega toetab see suvand paketi terviklikkuse kontrolli, mis sarnaneb autentimispäise (AH) protokolliga. Kogu terviklikkus ja krüpteerimine toimub AES-256-GCM abil.
• ah-no-id lubab režiimi, mis on sarnane režiimile ah-sha1-hmac, kuid välimise IP-päise ID-välja ignoreeritakse. See suvand hõlmab mõningaid mitte-Cisco Catalyst SD-WAN-seadmeid, sealhulgas Apple AirPort Expressi NAT-i, millel on viga, mis põhjustab IP-päises, mittemuutuva välja ID-välja muutmise. Seadistage autentimistüüpide loendis suvand ah-no-id, et Cisco Catalyst SD-WAN AH tarkvara eiraks IP-päises olevat ID-välja, et Cisco Catalyst SD-WAN-tarkvara saaks koos nende seadmetega töötada.
• sha1-hmac võimaldab ESP krüptimist ja terviklikkuse kontrollimist.
• ükski ei vasta autentimise puudumisele. Seda valikut tuleks kasutada ainult siis, kui see on vajalik ajutiseks silumiseks. Selle valiku saate valida ka olukordades, kus andmetasandi autentimine ja terviklikkus ei ole probleemiks. Cisco ei soovita seda valikut tootmisvõrkudes kasutada.

Teavet selle kohta, milliseid andmepaketivälju need autentimistüübid mõjutavad, leiate jaotisest Andmetasandi terviklikkus. Cisco IOS XE Catalyst SD-WAN seadmed ja Cisco vEdge seadmed reklaamivad oma konfigureeritud autentimistüüpe oma TLOC atribuutides. Mõlemal pool IPseci tunnelühendust asuvad kaks ruuterit lepivad kokku autentimise üle, mida nendevahelises ühenduses kasutada, kasutades mõlemas ruuteris konfigureeritud tugevaimat autentimise tüüpi. Näiteksampkui üks ruuter reklaamib tüüpi ah-sha1-hmac ja ah-no-id ning teine ​​ruuter reklaamib tüüpi ah-no-id, peavad need kaks ruuterit läbirääkimisi, et kasutada IPseci tunneliühenduses ah-no-id. neid. Kui kahes kaaslases pole konfigureeritud ühtki ühist autentimistüüpi, ei moodustata nende vahel IPsec-tunnelit. IPseci tunneliühenduste krüpteerimisalgoritm sõltub liikluse tüübist.

• Unicast-liikluse puhul on krüpteerimisalgoritmiks AES-256-GCM.
• Multiedastuse liikluse jaoks:
• Cisco SD-WAN väljalase 20.1.x ja uuemad – krüpteerimisalgoritm on AES-256-GCM
• Eelmised väljaanded – krüpteerimisalgoritm on AES-256-CBC koos SHA1-HMAC-iga.

Kui IPseci autentimise tüüpi muudetakse, muudetakse andmetee AES-võtit.

Muutke uuesti sisestamise taimerit

Enne kui Cisco IOS XE Catalyst SD-WAN seadmed ja Cisco vEdge seadmed saavad andmeliiklust vahetada, seadistavad nad omavahel turvalise autentitud sidekanali. Ruuterid kasutavad kanalina IPSec-tunneleid ja krüptimiseks AES-256 šifrit. Iga ruuter genereerib oma andmetee jaoks perioodiliselt uue AES-võtme. Vaikimisi kehtib võti 86400 sekundit (24 tundi) ja taimeri vahemik on 10 sekundit kuni 1209600 sekundit (14 päeva). Rekey taimeri väärtuse muutmiseks: Device(config)# security ipsec rekey seconds Konfiguratsioon näeb välja selline:

• turvalisus ipsec rekey sekundit!

Kui soovite kohe uusi IPsec-võtmeid luua, saate seda teha ruuteri konfiguratsiooni muutmata. Selleks väljastage ohustatud ruuteris käsk turvalisuse ipsecrekey. Näiteksample, näitab järgmine väljund, et kohaliku SA turvaparameetrite indeks (SPI) on 256:

Iga SPI-ga on seotud kordumatu võti. Kui see võti on ohus, kasutage käsku turvalisuse taotlus ipsec-rekey, et luua kohe uus võti. See käsk suurendab SPI-d. Meie endisesample, muutub SPI väärtuseks 257 ja nüüd kasutatakse sellega seotud võtit:

• Seadme # taotlus turvalisuse ipsecrekey
• Seade# näitab ipsec local-sa

Pärast uue võtme loomist saadab ruuter selle kohe DTLS-i või TLS-i kasutades Cisco SD-WAN-kontrolleritele. Cisco SD-WAN-kontrollerid saadavad võtme samalaadsetele ruuteritele. Ruuterid hakkavad seda kasutama niipea, kui nad selle kätte saavad. Pange tähele, et vana SPI-ga (256) seotud võtit jätkatakse lühikest aega, kuni see aegub. Vana võtme kasutamise viivitamatuks lõpetamiseks andke kaks korda kiiresti välja käsk turvanõude ipsec-rekey. See käskude jada eemaldab nii SPI 256 kui ka 257 ja seab SPI väärtuseks 258. Seejärel kasutab ruuter SPI 258 seotud võtit. Pange tähele, et mõned paketid kukutatakse lühikeseks ajaks, kuni kõik kaugruuterid õpivad. uus võti.

Muutke taasesitusvastase akna suurust

IPseci autentimine pakub kordusvastast kaitset, määrates andmevoo igale paketile kordumatu järjenumbri. See järjestuse nummerdamine kaitseb ründaja eest, kes dubleerib andmepakette. Kordusvastase kaitsega määrab saatja monotoonselt kasvavad järjekorranumbrid ja sihtkoht kontrollib neid järjekorranumbreid duplikaatide tuvastamiseks. Kuna paketid ei saabu sageli järjekorras, säilitab sihtkoht libiseva järjenumbrite akna, mida ta aktsepteerib.

Liugakna vahemikust vasakule jäävaid järjenumbritega pakette peetakse vanadeks või duplikaatideks ja sihtkoht jätab need maha. Sihtkoht jälgib suurimat vastuvõetud järjenumbrit ja kohandab libisevat akent, kui saab suurema väärtusega paketi.

Vaikimisi on liugaknaks seatud 512 paketti. Selle saab määrata mis tahes väärtusele vahemikus 64 kuni 4096, mis on 2 astmega (st 64, 128, 256, 512, 1024, 2048 või 4096). Kordusvastase akna suuruse muutmiseks kasutage käsku replay-window, määrates akna suuruse:

Seadme(config)# turvalisuse ipsec kordusakna number

Konfiguratsioon näeb välja selline:
turvalisus ipsec kordusakna number ! !

QoS-i abistamiseks säilitatakse iga esimese kaheksa liikluskanali jaoks eraldi taasesitusaknad. Konfigureeritud taasesitusakna suurus jagatakse iga kanali jaoks kaheksaga. Kui ruuteris on konfigureeritud QoS, võib IPseci taasesitusvastase mehhanismi tõttu sellel ruuteril tekkida oodatust suurem hulk pakette ja paljud välja jäetud paketid on seaduslikud. See juhtub seetõttu, et QoS korraldab paketid ümber, tagades kõrgema prioriteediga pakettide eeliskohtlemise ja viivitades madalama prioriteediga pakette. Selle olukorra minimeerimiseks või vältimiseks saate teha järgmist.

• Suurendage taasesitusvastase akna suurust.
• Suunake liiklus esimesele kaheksale liikluskanalile tagamaks, et kanalisisene liiklust ei järjestata ümber.

IKE-toega IPsec-tunnelite seadistamine
Liikluse turvaliseks ülekandmiseks ülekattevõrgust teenindusvõrku saate konfigureerida IPseci tunnelid, mis käitavad Interneti-võtmevahetuse (IKE) protokolli. IKE-toega IPsec tunnelid pakuvad autentimist ja krüptimist, et tagada turvaline pakettide transport. Saate luua IKE-toega IPseci tunneli, konfigureerides IPseci liidese. IPseci liidesed on loogilised liidesed ja te konfigureerite need täpselt nagu mis tahes muud füüsilist liidest. IKE-protokolli parameetrid saate konfigureerida IPseci liideses ja muid liidese atribuute.

Märkus Cisco soovitab kasutada IKE versiooni 2. Alates Cisco SD-WAN 19.2.x versioonist peab eeljagatud võti olema vähemalt 16 baiti pikk. IPseci tunneli loomine nurjub, kui ruuteri versioonile 16 uuendamisel on võtme suurus alla 19.2 tähemärgi.

Märkus
Tarkvara Cisco Catalyst SD-WAN toetab IKE versiooni 2, nagu on määratletud standardis RFC 7296. Üks IPseci tunnelite kasutusvõimalus on lubada Amazon AWS-is töötavatel vEdge Cloud ruuteri VM-i eksemplaridel ühenduda Amazoni virtuaalse privaatpilvega (VPC). Nendel ruuteritel peate konfigureerima IKE versiooni 1. Cisco vEdge'i seadmed toetavad IPSec-konfiguratsioonis ainult marsruudipõhiseid VPN-e, kuna need seadmed ei saa krüpteerimisdomeenis liikluse valijaid määratleda.

IPsec-tunneli konfigureerimine
IPseci tunneli liidese konfigureerimiseks teenindusvõrgust tuleva turvalise transpordiliikluse jaoks loote loogilise IPseci liidese:

IPseci tunneli saate luua transpordi VPN-is (VPN 0) ja mis tahes teenuse VPN-is (VPN 1 kuni 65530, välja arvatud 512). IPseci liidesel on nimi formaadis ipsec number, kus number võib olla vahemikus 1 kuni 255. Igal IPseci liidesel peab olema IPv4 aadress. See aadress peab olema /30 eesliide. Kogu selles IPv4 prefiksis olev VPN-i liiklus suunatakse VPN 0 füüsilisse liidesesse, mis saadetakse turvaliselt üle IPseci tunneli. IPsec-tunneli allika konfigureerimiseks kohalikus seadmes saate määrata kas IP-aadressi füüsiline liides (käskus tunnel-source) või füüsilise liidese nimi (käskus tunnel-source-interface). Veenduge, et füüsiline liides on VPN-s 0 konfigureeritud. IPseci tunneli sihtkoha konfigureerimiseks määrake käsus tunnel-destination kaugseadme IP-aadress. Lähteaadressi (või lähteliidese nime) ja sihtkoha aadressi kombinatsioon määratleb ühe IPseci tunneli. Saab eksisteerida ainult üks IPseci tunnel, mis kasutab kindlat lähteaadressi (või liidese nime) ja sihtkoha aadressi paari.

IPseci staatilise marsruudi konfigureerimine

Liikluse suunamiseks teenuse VPN-ist transpordi VPN-is (VPN 0) IPseci tunnelisse konfigureerite teenuse VPN-is IPsec-spetsiifilise staatilise marsruudi (muu VPN kui VPN 0 või VPN 512):

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-marsruudi eesliide/pikkus vpn 0 liides
• ipsecnumber [ipsecnumber2]

VPN-i ID on mis tahes teenuse VPN (VPN 1 kuni 65530, välja arvatud 512). prefiks/pikkus on IP-aadress või eesliide kümnendkoha neljaosalise punktiirjoonega ja IPsec-spetsiifilise staatilise marsruudi eesliite pikkus. Liides on VPN 0 IPseci tunneli liides. Saate konfigureerida ühe või kaks IPseci tunneli liidest. Kui konfigureerite kaks, on esimene esmane IPseci tunnel ja teine ​​​​varukoopia. Kahe liidese korral saadetakse kõik paketid ainult esmasesse tunnelisse. Kui see tunnel ebaõnnestub, saadetakse kõik paketid sekundaarsesse tunnelisse. Kui esmane tunnel tuleb tagasi, viiakse kogu liiklus tagasi esmasesse IPsec-tunnelisse.

Lubage IKE versioon 1
Kui loote vEdge-ruuteris IPseci tunneli, on IKE versioon 1 tunneli liideses vaikimisi lubatud. IKEv1 jaoks on vaikimisi lubatud ka järgmised atribuudid:

• Autentimine ja krüptimine – AES-256 täiustatud krüptimise standardne CBC-krüptimine HMAC-SHA1 võtmega räsisõnumi autentimiskoodi algoritmiga terviklikkuse tagamiseks
• Diffie-Hellmani grupi number — 16
• Uuesti sisestamise ajavahemik - 4 tundi
• SA asutamisrežiim – põhiline

Vaikimisi kasutab IKEv1 IKE SA loomiseks IKE põhirežiimi. Selles režiimis vahetatakse SA loomiseks kuus läbirääkimispaketti. Ainult kolme läbirääkimispaketi vahetamiseks lubage agressiivne režiim:

Märkus
Võimaluse korral tuleks vältida IKE agressiivset režiimi eeljagatud võtmetega. Vastasel juhul tuleks valida tugev eeljagatud võti.

• vEdge(config)# vpn vpn-id liides ipsec number ike
• vEdge(config-ike)# režiim agressiivne

Vaikimisi kasutab IKEv1 IKE võtmevahetuses Diffie-Hellmani rühma 16. See rühm kasutab IKE võtmevahetuse ajal 4096-bitist modulaarsemat eksponentsiaalset (MODP) rühma. Saate muuta rühma numbriks 2 (1024-bitise MODP jaoks), 14-ks (2048-bitine MODP) või 15-ks (3072-bitine MODP):

• vEdge(config)# vpn vpn-id liides ipsec number ike
• vEdge(config-ike)# rühma number

Vaikimisi kasutab IKE võtmevahetus terviklikkuse tagamiseks AES-256 täiustatud krüptimise standardset CBC-krüptimist HMAC-SHA1 võtmega räsisõnumi autentimiskoodi algoritmiga. Saate autentimist muuta:

• vEdge(config)# vpn vpn-id liides ipsec number ike
• vEdge(config-ike)# šifrikomplekti komplekt

Autentimiskomplekt võib olla üks järgmistest:

• aes128-cbc-sha1 – AES-128 täiustatud krüptimise standardne CBC-krüptimine HMAC-SHA1 võtmega räsisõnumi autentimiskoodi algoritmiga terviklikkuse tagamiseks
• aes128-cbc-sha2 – AES-128 täiustatud krüptimise standardne CBC-krüptimine HMAC-SHA256 võtmega räsisõnumi autentimiskoodi algoritmiga terviklikkuse tagamiseks
• aes256-cbc-sha1 – AES-256 täiustatud krüptimise standardne CBC-krüptimine HMAC-SHA1 võtmega räsisõnumi autentimiskoodi algoritmiga terviklikkuse tagamiseks; see on vaikeseade.
• aes256-cbc-sha2 – AES-256 täiustatud krüptimise standardne CBC-krüptimine HMAC-SHA256 võtmega räsisõnumi autentimiskoodi algoritmiga terviklikkuse tagamiseks

Vaikimisi värskendatakse IKE võtmeid iga 1 tunni (3600 sekundi) järel. Saate muuta uuesti sisestamise intervalli väärtuseks vahemikus 30 sekundit kuni 14 päeva (1209600 sekundit). Soovitatav on, et uuesti sisestamise intervall oleks vähemalt 1 tund.

• vEdge(config)# vpn vpn-id liides ipsec number nagu
• vEdge(config-ike)# rekey sekundit

IKE-seansi jaoks uute võtmete genereerimise sundimiseks väljastage käsk ipsec ike-rekey.

• vEdge(config)# vpn vpn-id interfaceipsec number ike

IKE puhul saate konfigureerida ka eeljagatud võtme (PSK) autentimise:

• vEdge(config)# vpn vpn-id liides ipsec number ike
• vEdge(config-ike)# autentimise tüüpi eeljagatud võtmega eeljagatud salajane parool on parool, mida kasutatakse eeljagatud võtmega. See võib olla ASCII või kuueteistkümnendsüsteemi string pikkusega 1 kuni 127 tähemärki.

Kui kaug-IKE partner nõuab kohalikku või kaug-ID-d, saate selle identifikaatori konfigureerida.

• vEdge(config)# vpn vpn-id liides ipsec number ike autentimise tüüp
• vEdge(config-authentication-type)# local-id id
• vEdge(config-authentication-type)# remote-id id

Identifikaator võib olla IP-aadress või mis tahes tekstistring pikkusega 1 kuni 63 tähemärki. Vaikimisi on kohalik ID tunneli lähte-IP-aadress ja kaug-ID tunneli sihtkoha IP-aadress.

Lubage IKE versioon 2
Kui konfigureerite IPseci tunneli kasutama IKE versiooni 2, on IKEv2 jaoks vaikimisi lubatud ka järgmised atribuudid:

• Autentimine ja krüptimine – AES-256 täiustatud krüptimise standardne CBC-krüptimine HMAC-SHA1 võtmega räsisõnumi autentimiskoodi algoritmiga terviklikkuse tagamiseks
• Diffie-Hellmani grupi number — 16
• Uuesti sisestamise ajavahemik - 4 tundi

Vaikimisi kasutab IKEv2 IKE võtmevahetuses Diffie-Hellmani rühma 16. See rühm kasutab IKE võtmevahetuse ajal 4096-bitist modulaarsemat eksponentsiaalset (MODP) rühma. Saate muuta rühma numbriks 2 (1024-bitise MODP jaoks), 14-ks (2048-bitine MODP) või 15-ks (3072-bitine MODP):

• vEdge(config)# vpn vpn-id liides ipsecnumber ike
• vEdge(config-ike)# rühma number

Vaikimisi kasutab IKE võtmevahetus terviklikkuse tagamiseks AES-256 täiustatud krüptimise standardset CBC-krüptimist HMAC-SHA1 võtmega räsisõnumi autentimiskoodi algoritmiga. Saate autentimist muuta:

• vEdge(config)# vpn vpn-id liides ipsecnumber ike
• vEdge(config-ike)# šifrikomplekti komplekt

Autentimiskomplekt võib olla üks järgmistest:

• aes128-cbc-sha1 – AES-128 täiustatud krüptimise standardne CBC-krüptimine HMAC-SHA1 võtmega räsisõnumi autentimiskoodi algoritmiga terviklikkuse tagamiseks
• aes128-cbc-sha2 – AES-128 täiustatud krüptimise standardne CBC-krüptimine HMAC-SHA256 võtmega räsisõnumi autentimiskoodi algoritmiga terviklikkuse tagamiseks
• aes256-cbc-sha1 – AES-256 täiustatud krüptimise standardne CBC-krüptimine HMAC-SHA1 võtmega räsisõnumi autentimiskoodi algoritmiga terviklikkuse tagamiseks; see on vaikeseade.
• aes256-cbc-sha2 – AES-256 täiustatud krüptimise standardne CBC-krüptimine HMAC-SHA256 võtmega räsisõnumi autentimiskoodi algoritmiga terviklikkuse tagamiseks

Vaikimisi värskendatakse IKE võtmeid iga 4 tunni (14,400 30 sekundi) järel. Saate muuta uuesti sisestamise intervalli väärtuseks vahemikus 14 sekundit kuni 1209600 päeva (XNUMX sekundit):

• vEdge(config)# vpn vpn-id liides ipsecnumber ike
• vEdge(config-ike)# rekey sekundit

IKE-seansi jaoks uute võtmete genereerimise sundimiseks väljastage käsk ipsec ike-rekey. IKE puhul saate konfigureerida ka eeljagatud võtme (PSK) autentimise:

• vEdge(config)# vpn vpn-id liides ipsecnumber ike
• vEdge(config-ike)# autentimise tüüpi eeljagatud võtmega eeljagatud salajane parool on parool, mida kasutatakse eeljagatud võtmega. See võib olla ASCII või kuueteistkümnendsüsteemi string või AES-krüptitud võti. Kui kaug-IKE partner nõuab kohalikku või kaug-ID-d, saate selle identifikaatori konfigureerida.
• vEdge(config)# vpn vpn-id liides ipsecnumber ike autentimise tüüp
• vEdge(config-authentication-type)# local-id id
• vEdge(config-authentication-type)# remote-id id

Identifikaator võib olla IP-aadress või mis tahes tekstistring pikkusega 1 kuni 64 tähemärki. Vaikimisi on kohalik ID tunneli lähte-IP-aadress ja kaug-ID tunneli sihtkoha IP-aadress.

IPseci tunneli parameetrite konfigureerimine

Tabel 4: Funktsioonide ajalugu

Funktsioon Nimi	Väljalaske teave	Kirjeldus
Täiendav krüptograafia	Cisco SD-WAN-i väljalase 20.1.1	See funktsioon lisab tuge
Algoritmiline tugi IPSecile		HMAC_SHA256, HMAC_SHA384 ja
Tunnelid		HMAC_SHA512 algoritmid
		tugevdatud turvalisus.

Vaikimisi kasutatakse IKE-liiklust edastavas IPsec-tunnelis järgmisi parameetreid:

• Autentimine ja krüpteerimine – AES-256 algoritm GCM-is (Galois/loenduri režiim)
• Uuesti sisestamise intervall - 4 tundi
• Kordusaken – 32 paketti

Saate muuta IPseci tunneli krüptimise CBC-s AES-256 šifriks (šifriploki aheldamise režiim, HMAC-iga, kasutades kas SHA-1 või SHA-2 võtmega räsisõnumi autentimist, või nulliks HMAC-iga, kasutades kas SHA-1 või SHA-2 võtmega räsisõnumi autentimine, et mitte krüpteerida IKE võtmevahetuse liikluseks kasutatavat IPsec-tunnelit:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# šifrikomplekt (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-1-null-256-null-256-256 | aes384-null-sha256 | aes512-null-shaXNUMX)

Vaikimisi värskendatakse IKE võtmeid iga 4 tunni (14,400 30 sekundi) järel. Saate muuta uuesti sisestamise intervalli väärtuseks vahemikus 14 sekundit kuni 1209600 päeva (XNUMX sekundit):

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# rekey sekundit

IPseci tunneli jaoks uute võtmete genereerimise sundimiseks väljastage käsk ipsec ipsec-rekey. Vaikimisi on IPseci tunnelites lubatud täiuslik edasisaladus (PFS), et tulevaste võtmete ohtu sattumine ei mõjutaks eelmisi seansse. PFS sunnib uut Diffie-Hellmani võtmevahetust, kasutades vaikimisi 4096-bitist Diffie-Hellmani algmooduli rühma. PFS-i sätteid saate muuta:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# täiuslik edasisaladuse pfs-seade

pfs-seade võib olla üks järgmistest:

• group-2 – kasutage 1024-bitist Diffie-Hellmani algmoodulirühma.
• group-14 – kasutage 2048-bitist Diffie-Hellmani algmoodulirühma.
• group-15 – kasutage 3072-bitist Diffie-Hellmani algmoodulirühma.
• group-16 – kasutage 4096-bitist Diffie-Hellmani algmooduli rühma. See on vaikeseade.
• puudub – PFS-i keelamine.

Vaikimisi on IPseci taasesitusaken IPseci tunnelis 512 baiti. Saate määrata kordusakna suuruseks 64, 128, 256, 512, 1024, 2048 või 4096 paketti.

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# taasesituse akna number

Muutke IKE surnud kaaslaste tuvastamist

IKE kasutab surnud kaaslaste tuvastamise mehhanismi, et teha kindlaks, kas ühendus IKE partneriga on funktsionaalne ja kättesaadav. Selle mehhanismi rakendamiseks saadab IKE oma kaaslasele Hello paketi ja partner saadab vastuseks kinnituse. Vaikimisi saadab IKE Hello pakette iga 10 sekundi järel ja pärast kolme kinnitamata paketti kuulutab IKE naabri surnuks ja rebib tunneli kaaslaseni maha. Seejärel saadab IKE perioodiliselt kaaslasele Hello-paketi ja taastab tunneli, kui partner võrku tuleb. Saate muuta elavuse tuvastamise intervalli väärtuseks vahemikus 0 kuni 65535 ja saate muuta korduskatsete arvu väärtuseks 0 kuni 255.

Märkus

Transpordi VPN-ide puhul teisendatakse elavuse tuvastamise intervall sekunditeks järgmise valemi abil: kordusedastuskatse numbri intervall N = intervall * 1.8N-1NäiteksampKui intervall on seatud väärtusele 10 ja proovib uuesti 5-ni, suureneb tuvastamise intervall järgmiselt:

• Katse 1: 10 * 1.81-1 = 10 sekundit
• Katse 2: 10 * 1.82-1 = 18 sekundit
• Katse 3: 10 * 1.83-1 = 32.4 sekundit
• Katse 4: 10 * 1.84-1 = 58.32 sekundit
• Katse 5: 10 * 1.85-1 = 104.976 sekundit

vEdge(config-interface-ipsecnumber)# surnud partneri tuvastamise intervalli korduskatsete number

Muude liidese atribuutide konfigureerimine

IPseci tunneli liideste puhul saate konfigureerida ainult järgmisi täiendavaid liidese atribuute.

• vEdge(config-interface-ipsec)# mtu baiti
• vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Keelake Cisco SD-WAN Manageris nõrgad SSH-krüpteerimisalgoritmid

Tabel 5: funktsioonide ajaloo tabel

Funktsioon Nimi	Väljalaske teave	Funktsioon Kirjeldus
Keelake Cisco SD-WAN Manageris nõrgad SSH-krüpteerimisalgoritmid	Cisco vManage'i väljalase 20.9.1	See funktsioon võimaldab teil keelata Cisco SD-WAN Manageri nõrgemad SSH-algoritmid, mis ei pruugi vastata teatud andmeturbestandarditele.

Teave nõrkade SSH-krüpteerimisalgoritmide keelamise kohta Cisco SD-WAN Manageris
Cisco SD-WAN Manager pakub SSH-klienti suhtlemiseks võrgu komponentidega, sealhulgas kontrollerite ja servaseadmetega. SSH-klient pakub turvaliseks andmeedastuseks krüpteeritud ühendust, mis põhineb mitmesugustel krüpteerimisalgoritmidel. Paljud organisatsioonid nõuavad tugevamat krüptimist kui SHA-1, AES-128 ja AES-192 pakutav. Rakenduses Cisco vManage Release 20.9.1 saate keelata järgmised nõrgemad krüpteerimisalgoritmid, et SSH-klient neid algoritme ei kasutaks.

• SHA-1
• AES-128
• AES-192

Enne nende krüpteerimisalgoritmide keelamist veenduge, et võrgus olevad Cisco vEdge'i seadmed (kui neid on) kasutaksid Cisco SD-WAN-i versioonist 18.4.6 hilisemat tarkvaraversiooni.

Cisco SD-WAN Manageri nõrkade SSH-krüpteerimisalgoritmide keelamise eelised
Nõrgemate SSH-krüpteerimisalgoritmide keelamine parandab SSH-side turvalisust ja tagab, et Cisco Catalyst SD-WAN-i kasutavad organisatsioonid järgivad rangeid turvaeeskirju.

Keelake Cisco SD-WAN Manageris CLI abil nõrgad SSH-krüpteerimisalgoritmid

1. Valige Cisco SD-WAN Manageri menüüst Tööriistad > SSH-terminal.
2. Valige Cisco SD-WAN Manageri seade, millel soovite nõrgemad SSH-algoritmid keelata.
3. Seadmesse sisselogimiseks sisestage kasutajanimi ja parool.
4. Sisenege SSH-serveri režiimi.
   • vmanage(config)# süsteem
   • vmanage(config-system)# ssh-server
5. SSH-krüpteerimisalgoritmi keelamiseks tehke ühte järgmistest.
   • SHA-1 keelamine:
6. halda(config-ssh-server)# no kex-algo sha1
7. halda(config-ssh-server)# commit
   Kuvatakse järgmine hoiatusteade: Loodi järgmised hoiatused: "System ssh-server kex-algo sha1": HOIATUS. Veenduge, et kõik teie servad töötaksid koodi versiooniga > 18.4.6, mis toimib paremini kui SHA1 vManage'iga. Vastasel juhul võivad need servad võrguühenduseta muutuda. Kas jätkata? [jah, ei] jah
   • Veenduge, et kõik võrgus olevad Cisco vEdge'i seadmed töötaksid Cisco SD-WAN-i versiooniga 18.4.6 või uuema versiooniga, ja sisestage jah.
   • Keela AES-128 ja AES-192:
   • vmanage(config-ssh-server)# šifri puudub aes-128-192
   • vmanage(config-ssh-server)# commit
     Kuvatakse järgmine hoiatusteade:
     Loodi järgmised hoiatused:
     'System ssh-server cipher aes-128-192': HOIATUS. Veenduge, et kõik teie servad töötaksid koodi versiooniga > 18.4.6, mis toimib vManage'iga paremini kui AES-128-192. Vastasel juhul võivad need servad võrguühenduseta muutuda. Kas jätkata? [jah, ei] jah
   • Veenduge, et kõik võrgus olevad Cisco vEdge'i seadmed töötaksid Cisco SD-WAN-i versiooniga 18.4.6 või uuema versiooniga, ja sisestage jah.

Veenduge, et nõrgad SSH-krüpteerimisalgoritmid on Cisco SD-WAN Manageris CLI abil keelatud

1. Valige Cisco SD-WAN Manageri menüüst Tööriistad > SSH-terminal.
2. Valige Cisco SD-WAN Manageri seade, mida soovite kinnitada.
3. Seadmesse sisselogimiseks sisestage kasutajanimi ja parool.
4. Käivitage järgmine käsk: show running-config system ssh-server
5. Veenduge, et väljund näitab ühte või mitut käsku, mis keelavad nõrgemad krüpteerimisalgoritmid:
   • šifr puudub aes-128-192
   • no kex-algo sha1

Dokumendid / Ressursid

CISCO SD-WAN Turvaparameetrite konfigureerimine [pdfKasutusjuhend SD-WAN Turvaparameetrite konfigureerimine, SD-WAN, turvaparameetrite konfigureerimine, turvaparameetrid

Viited

• Kasutusjuhend