Clár ábhair ceilt
1 CISCO SD-WAN Cumraigh Paraiméadair Slándála
2 Cumraigh Paraiméadair Slándála
3 Cumraigh Paraiméadair Slándála Plána Rialaithe
4 Cumraigh DTLS i mBainisteoir Cisco SD-WAN
5 Cumraigh Paraiméadair Slándála Eitleán Sonraí
6 Cumraigh Cineálacha Fíordheimhnithe Ceadaithe
7 Athraigh an t-Amadóir Rekeying
8 Athraigh Méid na Fuinneog Frithimeartha
9 Cumraigh Bealach Statach IPsec
10 Cumraigh Paraiméadair Thollán IPsec
11 Modhnaigh IKE Brath Marbh-Piaraí
12 Cumraigh Airíonna Comhéadain Eile
13 Díchumasaigh Algartam Criptithe SSH Lag ar Bhainisteoir Cisco SD-WAN
14 Doiciméid / Acmhainní
14.1 Tagairtí

CISCO-LOGO

CISCO SD-WAN Cumraigh Paraiméadair Slándála

CISCO-SD-WAN-Cumraigh-Slándáil-Paraiméadair-PRODUCT

Cumraigh Paraiméadair Slándála

Nóta

Chun simpliú agus comhsheasmhacht a bhaint amach, tá an réiteach Cisco SD-WAN athbhrandáil mar Cisco Catalyst SD-WAN. Ina theannta sin, ó Cisco IOS XE SD-WAN Release 17.12.1a agus Cisco Catalyst SD-WAN Release 20.12.1, tá na hathruithe comhpháirte seo a leanas infheidhme: Cisco vManage to Cisco Catalyst SD-WAN Manager, Cisco vAnalytics go Cisco Catalyst SD-WAN Analytics, Cisco vBond go Cisco Catalyst SD-WAN Validator, agus Cisco vSmart go Cisco Catalaíoch SD-WAN Rialaitheoir. Féach ar na Nótaí Eisiúna is déanaí le haghaidh liosta cuimsitheach de na hathruithe ar ainm branda na gcomhpháirteanna. Cé go n-aistrímid go dtí na hainmneacha nua, d'fhéadfadh roinnt neamhréireachtaí a bheith i láthair sa tacar doiciméad mar gheall ar chur chuige céimnithe maidir le nuashonruithe comhéadan úsáideora an táirge bogearraí.

Déanann an chuid seo cur síos ar conas paraiméadair slándála a athrú don eitleán rialaithe agus don eitleán sonraí i líonra forleagan Cisco Catalyst SD-WAN.

  • Cumraigh Paraiméadair Slándála Plána Rialaithe, ar
  • Cumraigh Paraiméadair Slándála Eitleán Sonraí, ar
  • Cumraigh Tolláin IPsec Cumasaithe IKE, ar siúl
  • Díchumasaigh Algartam Criptithe SSH Lag ar Bhainisteoir Cisco SD-WAN, ar siúl

Cumraigh Paraiméadair Slándála Plána Rialaithe

De réir réamhshocraithe, úsáideann an eitleán rialaithe DTLS mar an prótacal a sholáthraíonn príobháideacht ar a chuid tolláin go léir. Ritheann DTLS thar UDP. Is féidir leat prótacal slándála an eitleáin rialaithe a athrú go TLS, a ritheann thar TCP. Is é an phríomhchúis le TLS a úsáid ná, má mheasann tú gur freastalaí é an Cisco SD-WAN Rialaitheoir, cosnaíonn ballaí dóiteáin freastalaithe TCP níos fearr ná freastalaithe UDP. Cumraíonn tú prótacal tollán an eitleáin rialaithe ar Rialaitheoir Cisco SD-WAN: vSmart(config)# prótacal rialaithe slándála tls Leis an athrú seo, tolláin gach eitleán rialaithe idir an Rialaitheoir Cisco SD-WAN agus na ródairí agus idir an Rialaitheoir Cisco SD-WAN agus úsáideann Bainisteoir Cisco SD-WAN TLS. Úsáideann tolláin eitleáin rialaithe chuig Cisco Catalyst SD-WAN Validator DTLS i gcónaí, toisc go gcaithfidh UDP na naisc seo a láimhseáil. I bhfearann ​​le Rialaitheoirí Cisco SD-WAN iolracha, nuair a chumraíonn tú TLS ar cheann de na Rialaitheoirí Cisco SD-WAN, úsáideann gach tollán eitleáin rialaithe ón rialtóir sin go dtí na rialtóirí eile TLS. Ar bhealach eile, bíonn tosaíocht i gcónaí ag TLS ar DTLS. Mar sin féin, ó thaobh na Rialaitheoirí Cisco SD-WAN eile, mura bhfuil TLS cumraithe agat orthu, úsáideann siad TLS ar an tollán eitleáin rialaithe amháin chuig an gCeannasaí Cisco SD-WAN sin amháin, agus úsáideann siad tolláin DTLS go dtí an ceann eile. Rialaitheoirí Cisco SD-WAN agus chuig a ródairí ceangailte go léir. Chun go n-úsáidfidh gach Rialaitheoir Cisco SD-WAN TLS, cumraigh ar gach ceann acu é. De réir réamhshocraithe, éisteann an Rialaitheoir Cisco SD-WAN ar phort 23456 le haghaidh iarratais TLS. Chun é seo a athrú: vSmart(config)# rialú slándála uimhir tls-port Is féidir leis an gcalafort a bheith ina uimhir ó 1025 go 65535. Chun faisnéis slándála eitleáin rialaithe a thaispeáint, bain úsáid as an ordú um naisc rialaithe taispeána ar an gCeannasaí Cisco SD-WAN. Le haghaidh example: vSmart-2# taispeáin naisc rialaithe

CISCO-SD-WAN-Cumraigh-Slándáil-Paraiméadair-FIG-1

Cumraigh DTLS i mBainisteoir Cisco SD-WAN

Má chumraíonn tú Bainisteoir Cisco SD-WAN chun TLS a úsáid mar phrótacal slándála an eitleáin rialaithe, ní mór duit cur ar aghaidh calafoirt a chumasú ar do NAT. Má tá DTLS á úsáid agat mar phrótacal slándála an eitleáin rialaithe, ní gá duit aon rud a dhéanamh. Braitheann líon na gcalafort a chuirtear ar aghaidh ar líon na bpróiseas vdaemon a ritheann ar Bhainisteoir Cisco SD-WAN. Chun faisnéis a thaispeáint faoi na próisis seo agus faoi agus faoi líon na gcalafort atá á gcur ar aghaidh, úsáid an t-ordú achoimre rialaithe seónna go bhfuil ceithre phróiseas deamhan ar siúl:CISCO-SD-WAN-Cumraigh-Slándáil-Paraiméadair-FIG-2

Chun na poirt éisteachta a fheiceáil, úsáid an t-ordú um airíonna áitiúla-rialaithe taispeáin: vManage# show control local- properties

CISCO-SD-WAN-Cumraigh-Slándáil-Paraiméadair-FIG-3

Léiríonn an t-aschur seo gurb é 23456 an calafort éisteachta TCP. Má tá Cisco SD-WAN Manager á rith agat taobh thiar de NAT, ba cheart duit na poirt seo a leanas a oscailt ar an ngléas NAT:

  • 23456 (bonn – shampla 0 port)
  • 23456+100 (bonn + 100)
  • 23456+200 (bonn + 200)
  • 23456+300 (bonn + 300)

Tabhair faoi deara go bhfuil líon na gcásanna mar an gcéanna le líon na gcroíthe atá sannta agat do Bhainisteoir Cisco SD-WAN, suas go dtí 8 ar a mhéad.

Cumraigh Paraiméadair Slándála ag Úsáid an Teimpléad Gné Slándála

Úsáid an teimpléad gné Slándála do gach gléas Cisco vEdge. Ar na ródairí imeall agus ar an Cisco SD-WAN Validator, bain úsáid as an teimpléad seo chun IPsec a chumrú le haghaidh slándála eitleáin sonraí. Ar Bhainisteoir Cisco SD-WAN agus Rialaitheoir Cisco SD-WAN, bain úsáid as an teimpléad gné Slándála chun DTLS nó TLS a chumrú le haghaidh slándála eitleáin rialaithe.

Cumraigh Paraiméadair Slándála

  1. Ó roghchlár Cisco SD-WAN Manager, roghnaigh Cumraíocht > Teimpléid.
  2. Cliceáil Teimpléid Gné agus ansin cliceáil Cuir Teimpléad.
    Nóta In Cisco vManage Release 20.7.1 agus eisiúintí níos luaithe, tugtar Gné-Teimpléid ar a dtugtar Gné.
  3. Ón liosta Gléasanna sa phána clé, roghnaigh gléas. Tá na teimpléid a bhaineann leis an ngléas roghnaithe le feiceáil sa phána ar dheis.
  4. Cliceáil Slándáil chun an teimpléad a oscailt.
  5. Sa réimse Ainm Teimpléad, cuir isteach ainm don teimpléad. Is féidir leis an ainm a bheith suas le 128 carachtar agus ní féidir leis ach carachtair alfa-uimhriúla a bheith ann.
  6. Sa réimse Cur síos ar an Teimpléad, cuir isteach cur síos ar an teimpléad. Féadfaidh suas le 2048 carachtar a bheith sa chur síos agus ní féidir leis ach carachtair alfa-uimhriúla a bheith ann.

Nuair a osclaíonn tú teimpléad gné ar dtús, le haghaidh gach paraiméadar a bhfuil luach réamhshocraithe aige, socraítear an scóip go Réamhshocrú (léirithe le seicmharc), agus taispeántar an socrú nó an luach réamhshocraithe. Chun an réamhshocrú a athrú nó chun luach a chur isteach, cliceáil ar an roghchlár anuas scóip ar thaobh na láimhe clé den réimse paraiméadar agus roghnaigh ceann amháin díobh seo a leanas:

Tábla 1:

Paraiméadar Raon feidhme Scóip Cur síos
Gléas Sonrach (léirithe ag deilbhín ósta) Úsáid luach gléas-shonrach don pharaiméadar. Maidir le paraiméadair a bhaineann go sonrach le gléas, ní féidir leat luach a chur isteach sa ghné-theimpléad. Cuireann tú isteach an luach nuair a cheanglaíonn tú gléas Viptela le teimpléad gléis.

Nuair a chliceálann tú Gléas Sonrach, osclaíonn an bosca Iontráil Eochair. Taispeánann an bosca seo eochair, ar teaghrán uathúil í a shainaithníonn an paraiméadar i CSV file a chruthaíonn tú. seo file scarbhileog Excel ina bhfuil colún amháin do gach eochair. Tá na heochair-ainmneacha (eochair amháin in aghaidh an cholúin) sa tsraith ceanntásc, agus comhfhreagraíonn gach sraith ina dhiaidh sin do ghléas agus sainmhíníonn sé luachanna eochracha an ghléis sin. Uaslódálann tú an CSV file nuair a cheanglaíonn tú gléas Viptela le teimpléad gléis. Le haghaidh tuilleadh faisnéise, féach Cruthaigh Scarbhileog Athróga Teimpléad.

Chun an eochair réamhshocraithe a athrú, clóscríobh teaghrán nua agus bog an cúrsóir amach as an mbosca Iontráil Eochair.

Exampis lú na paraiméadair atá sainiúil don fheiste ná seoladh IP an chórais, an t-óstainm, suíomh GPS agus aitheantas an tsuímh.
Paraiméadar Raon feidhme Scóip Cur síos
Domhanda (léirithe ag íocón cruinne) Cuir isteach luach don pharaiméadar, agus cuir an luach sin i bhfeidhm ar gach feiste.

Exampis lú na paraiméadair a d'fhéadfá a chur i bhfeidhm go domhanda ar ghrúpa gléasanna ná freastalaí DNS, freastalaí syslog, agus MTUanna comhéadan.

Cumraigh Slándáil Eitleán Rialaithe

Nóta
Baineann an rannán um Shlándáil an Phlána Rialaithe Cumraigh le Bainisteoir Cisco SD-WAN agus le Rialaitheoir Cisco SD-WAN amháin. Chun an prótacal nasc eitleáin rialaithe a chumrú ar chás Bainisteoir Cisco SD-WAN nó Rialaitheoir Cisco SD-WAN, roghnaigh an limistéar Cumraíochta Bunúsach agus na paraiméadair seo a leanas a chumrú:

Tábla 2:

Paraiméadar Ainm Cur síos
Prótacal Roghnaigh an prótacal le húsáid ar naisc eitleáin rialaithe le Rialaitheoir Cisco SD-WAN:

• DTLS (Datagram Slándáil Sraith Iompair). Is é seo an réamhshocrú.

• TLS (Slándáil Sraithe Iompair)
Rialú TLS Port Má roghnaigh tú TLS, cumraigh uimhir an phoirt le húsáid:Raon: 1025 go 65535Réamhshocrú: 23456

Cliceáil Sábháil

Cumraigh Slándáil Eitleán Sonraí
Chun slándáil eitleáin sonraí a chumrú ar Bhailitheoir Cisco SD-WAN nó ar ródaire Cisco vEdge, roghnaigh na cluaisíní Bunchumraíochta agus Cineál Fíordheimhnithe, agus cumraigh na paraiméadair seo a leanas:

Tábla 3:

Paraiméadar Ainm Cur síos
Am Rekey Sonraigh cé chomh minic is a athraíonn ródaire Cisco vEdge an eochair AES a úsáidtear ar a nasc slán DTLS le Rialaitheoir Cisco SD-WAN. Má tá atosú galánta OMP cumasaithe, caithfidh an t-am rekeying a bheith ar a laghad dhá uair luach an lasc ama atosú galánta OMP.Raon: 10 go 1209600 soicind (14 lá)Réamhshocrú: 86400 soicind (24 uair an chloig)
Fuinneog Athsheinn Sonraigh méid na fuinneoige athimeartha sleamhnáin.

Luachanna: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paicéidRéamhshocrú: 512 pacáiste
IPsec

péireáil-eochair

 Tá sé seo múchta de réir réamhshocraithe. Cliceáil On chun é a chasadh air.
Paraiméadar Ainm Cur síos
Cineál Fíordheimhnithe Roghnaigh na cineálacha fíordheimhnithe ó na Fíordheimhniú Liosta, agus cliceáil ar an saighead atá dírithe ar dheis chun na cineálacha fíordheimhnithe a bhogadh go dtí an Liosta Roghnaithe colún.

Cineálacha fíordheimhnithe tacaithe ó Cisco SD-WAN Release 20.6.1:

•  esp: Cumasaíonn sé criptiú agus seiceáil sláine ar an gceanntásc ESP le hIomlánú Pála Slándála (ESP).

•  ip-udp-esp: Cumasaíonn sé criptiú ESP. Chomh maith leis na seiceálacha sláine ar cheanntásc agus pálasta an ESP, cuimsíonn na seiceálacha na ceannteidil sheachtracha IP agus UDP freisin.

•  ip-udp-esp-ní-id: Déanann sé neamhaird den réimse aitheantais sa cheanntásc IP ionas gur féidir le Cisco Catalyst SD-WAN oibriú i gcomhar le feistí neamh-Cisco.

•  aon cheann: Déanann sé seiceáil sláine ar phaicéid IPSec. Ní mholaimid an rogha seo a úsáid.

 

Cineálacha fíordheimhnithe tacaithe i Cisco SD-WAN Release 20.5.1 agus níos luaithe:

•  ah-ní-id: Cumasaigh leagan feabhsaithe de AH-SHA1 HMAC agus ESP HMAC-SHA1 a thugann neamhaird ar an réimse aitheantais i gceanntásc IP seachtrach an phaicéid.

•  ah-sha1-hmac: Cumasaigh AH-SHA1 HMAC agus ESP HMAC-SHA1.

•  aon cheann: Roghnaigh gan fíordheimhniú.

•  sha1-hmac: Cumasaigh ESP HMAC-SHA1.

 

Nóta              I gcás gléas imeall a ritheann ar Cisco SD-WAN Release 20.5.1 nó níos luaithe, seans go bhfuil cineálacha fíordheimhnithe cumraithe agat ag baint úsáide as a Slándáil teimpléad. Nuair a uasghrádóidh tú an gléas go Cisco SD-WAN Release 20.6.1 nó níos déanaí, nuashonraigh na cineálacha fíordheimhnithe roghnaithe sa Slándáil teimpléad do na cineálacha fíordheimhnithe a fhaigheann tacaíocht ó Cisco SD-WAN Release 20.6.1. Chun na cineálacha fíordheimhnithe a nuashonrú, déan an méid seo a leanas:

1.      Ó roghchlár Cisco SD-WAN Manager, roghnaigh Cumraíocht >

Teimpléid.

2.      Cliceáil Teimpléid Gné.

3.      Faigh an Slándáil teimpléad le nuashonrú agus cliceáil ... agus cliceáil Cuir in eagar.

4.      Cliceáil Nuashonrú. Ná modhnaigh aon chumraíocht.

Nuashonraíonn Bainisteoir Cisco SD-WAN an Slándáil teimpléad chun na cineálacha fíordheimhnithe tacaithe a thaispeáint.

Cliceáil Sábháil.

Cumraigh Paraiméadair Slándála Eitleán Sonraí

Sa eitleán sonraí, tá IPsec cumasaithe de réir réamhshocraithe ar gach ródaire, agus de réir réamhshocraithe úsáideann naisc tolláin IPsec leagan feabhsaithe den phrótacal Encapsulating Security Payload (ESP) le haghaidh fíordheimhnithe ar tholláin IPsec. Ar na ródairí, is féidir leat an cineál fíordheimhnithe, an t-amadóir rekeying IPsec, agus méid na fuinneoige frith-athsheolta IPsec a athrú.

Cumraigh Cineálacha Fíordheimhnithe Ceadaithe

Cineálacha Fíordheimhnithe i Eisiúint Cisco SD-WAN 20.6.1 agus Níos déanaí
Ó Cisco SD-WAN Release 20.6.1, tacaítear leis na cineálacha sláine seo a leanas:

  • esp: Cuireann an rogha seo ar chumas criptithe agus seiceáil sláine an ESP a ionchamhlú Pá-Ualach Slándála (ESP).
  • ip-udp-esp: Cumasaíonn an rogha seo criptiú ESP. Chomh maith leis na seiceálacha sláine ar an gceanntásc ESP agus an pálasta, cuimsíonn na seiceálacha na ceannteidil sheachtracha IP agus UDP freisin.
  • ip-udp-esp-no-id: Tá an rogha seo cosúil le ip-udp-esp, áfach, déantar neamhaird ar réimse aitheantais an cheannteidil IP seachtrach. Cumraigh an rogha seo i liosta na gcineálacha sláine chun na bogearraí Cisco Catalyst SD-WAN a bheith acu neamhaird a dhéanamh ar an réimse aitheantais sa cheanntásc IP ionas gur féidir leis an Cisco Catalyst SD-WAN oibriú i gcomhar le feistí neamh-Cisco.
  • none: Cuireann an rogha seo deireadh le seiceáil sláine ar phaicéid IPSec. Ní mholaimid an rogha seo a úsáid.

De réir réamhshocraithe, úsáideann naisc tolláin IPsec leagan feabhsaithe den phrótacal Encapsulating Security Payload (ESP) le haghaidh fíordheimhnithe. Chun na cineálacha idirghabhála idirbheartaithe a mhodhnú nó chun seiceáil sláine a dhíchumasú, bain úsáid as an ordú seo a leanas: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Cineálacha Fíordheimhnithe Roimh Eisiúint Cisco SD-WAN 20.6.1
De réir réamhshocraithe, úsáideann naisc tolláin IPsec leagan feabhsaithe den phrótacal Encapsulating Security Payload (ESP) le haghaidh fíordheimhnithe. Chun na cineálacha fíordheimhnithe idirbheartaithe a mhionathrú nó chun fíordheimhniú a dhíchumasú, úsáid an t-ordú seo a leanas: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) De réir réamhshocraithe, IPsec úsáideann naisc tolláin AES-GCM-256, a sholáthraíonn criptiú agus fíordheimhniú araon. Cumraigh gach cineál fíordheimhnithe le hordú ar leith de chineál fíordheimhnithe ipsec slándála. Léarscáilíonn na roghanna ordaithe chuig na cineálacha fíordheimhnithe seo a leanas, atá liostaithe in ord ón láidre go dtí an ceann is lú láidre:

Nóta
Úsáidtear an sha1 sna roghanna cumraíochta ar chúiseanna stairiúla. Léiríonn na roghanna fíordheimhnithe cé mhéad den seiceáil sláine paicéid a dhéantar. Ní shonraíonn siad an algartam a sheiceálann an sláine. Seachas trácht ilchraolacháin a chriptiú, ní úsáideann na halgartaim fíordheimhnithe arna dtacú ag Cisco Catalyst SD WAN SHA1. Ach i Cisco SD-WAN Release 20.1.x agus ar aghaidh, ní úsáideann unicast agus multicast SHA1.

  • ah-sha1-hmac cumasaíonn criptiú agus imchochlú ag baint úsáide as ESP. Mar sin féin, i dteannta leis na seiceálacha sláine ar cheanntásc agus pálasta an ESP, cuimsíonn na seiceálacha na ceannteidil sheachtracha IP agus UDP freisin. Mar sin, tacaíonn an rogha seo le seiceáil sláine an phaicéid cosúil leis an bprótacal Ceanntásca Fíordheimhnithe (AH). Déantar gach sláine agus criptiú ag baint úsáide as AES-256-GCM.
  • Cuireann ah-no-id ar chumas mód atá cosúil le ah-sha1-hmac, áfach, déantar neamhaird ar réimse aitheantais an cheanntásc IP seachtrach. Freastalaíonn an rogha seo ar roinnt feistí SD-WAN neamh-Cisco Catalyst, lena n-áirítear an Apple AirPort Express NAT, a bhfuil fabht acu a fhágann gur féidir an réimse aitheantais sa cheanntásc IP, réimse neamh-chomhshóite, a mhodhnú. Cumraigh an rogha ah-no-id sa liosta de na cineálacha fíordheimhnithe chun na bogearraí Cisco Catalyst SD-WAN AH neamhaird a dhéanamh ar an réimse aitheantais sa cheanntásc IP ionas gur féidir le bogearraí Cisco Catalyst SD-WAN oibriú i gcomhar leis na gléasanna seo.
  • Cuireann sha1-hmac ar chumas ESP criptiú agus seiceáil sláine.
  • gan aon léarscáileanna gan fíordheimhniú. Níor cheart an rogha seo a úsáid ach amháin má tá sé ag teastáil le haghaidh dífhabhtaithe sealadach. Is féidir leat an rogha seo a roghnú freisin i gcásanna nach ábhar imní é fíordheimhniú agus sláine eitleáin sonraí. Ní mholtar Cisco an rogha seo a úsáid le haghaidh líonraí táirgthe.

Chun faisnéis a fháil faoi na réimsí paicéid sonraí a bhfuil tionchar ag na cineálacha fíordheimhnithe seo orthu, féach Sláine Plána Sonraí. Fógraíonn gléasanna SD-WAN Catalaíoch Cisco IOS XE agus gléasanna Cisco vEdge a gcineálacha fíordheimhnithe cumraithe ina n-airíonna TLOC. Déanann an dá ródaire ar gach taobh de nasc tollán IPsec idirbheartaíocht ar an bhfíordheimhniú le húsáid ar an nasc eatarthu, ag baint úsáide as an gcineál fíordheimhnithe is láidre atá cumraithe ar an dá ródaire. Le haghaidh example, má fhógraíonn ródaire amháin na cineálacha ah-sha1-hmac agus ah-no-id, agus má fhógraíonn an dara ródaire an cineál ah-no-id, déanann an dá ródaire idirbheartaíocht chun ah-no-id a úsáid ar an nasc tollán IPsec idir leo. Mura bhfuil aon chineál fíordheimhnithe coitianta cumraithe ar an dá phiaraí, ní bhunaítear tollán IPsec eatarthu. Braitheann an t-algartam criptithe ar naisc tolláin IPsec ar an gcineál tráchta:

  • Maidir le trácht unicast, is é AES-256-GCM an algartam criptithe.
  • Le haghaidh tráchta ilchraolacháin:
  • Scaoileadh Cisco SD-WAN 20.1.x agus níos déanaí - is é AES-256-GCM an t-algartam criptithe
  • Eisiúintí roimhe seo– is é AES-256-CBC an t-algartam criptithe le SHA1-HMAC.

Nuair a athraítear cineál fíordheimhnithe IPsec, athraítear an eochair AES don chonair sonraí.

Athraigh an t-Amadóir Rekeying

Sula bhféadfaidh feistí SD-WAN Cisco IOS XE Catalyst agus feistí Cisco vEdge trácht sonraí a mhalartú, bhunaigh siad cainéal cumarsáide fíordheimhnithe slán eatarthu. Úsáideann na ródairí tolláin IPSec eatarthu mar an cainéal, agus an cipher AES-256 chun criptiú a dhéanamh. Gineann gach ródaire eochair AES nua dá chonair sonraí go tréimhsiúil. De réir réamhshocraithe, tá eochair bailí ar feadh 86400 soicind (24 uair), agus is é an raon lasc ama 10 soicind trí 1209600 soicind (14 lá). Chun luach an t-amadóir ath-eochair a athrú: Gléas(config)# soicind ath-eochair ipsec slándála Breathnaíonn an chumraíocht mar seo:

  • slándáil ipsec soicind rekey !

Más mian leat eochracha IPsec nua a ghiniúint láithreach, is féidir leat é sin a dhéanamh gan cumraíocht an ródaire a mhodhnú. Chun seo a dhéanamh, eisigh an t-ordú slándála ipsecrekey iarratais ar an ródaire atá i mbaol. Le haghaidh example, léiríonn an t-aschur seo a leanas go bhfuil Innéacs Paraiméadar Slándála (SPI) de 256 ag an SA áitiúil:CISCO-SD-WAN-Cumraigh-Slándáil-Paraiméadair-FIG-4

Baineann eochair uathúil le gach SPI. Má tá an eochair seo i mbaol, úsáid an t-iarratas slándála ipsec-rekey ordú chun eochair nua a ghiniúint láithreach. Ardaíonn an t-ordú seo an SPI. In ár seanample, athraíonn an SPI go 257 agus úsáidtear an eochair a bhaineann leis anois:

  • Iarr gléas # ipsecrekey slándála
  • Gléas# taispeáin ipsec local-sa

CISCO-SD-WAN-Cumraigh-Slándáil-Paraiméadair-FIG-5

Tar éis an eochair nua a ghiniúint, seolann an ródaire láithreach chuig na Rialaitheoirí Cisco SD-WAN ag baint úsáide as DTLS nó TLS. Seolann Rialaitheoirí Cisco SD-WAN an eochair chuig na ródairí piaraí. Tosaíonn na ródairí á úsáid chomh luath agus a fhaigheann siad é. Tabhair faoi deara go leanfar den eochair a bhaineann leis an sean-SPI (256) a úsáid ar feadh tamaill ghairid go dtí go mbeidh deireadh leis. Chun stop a chur leis an seaneochair láithreach, eisigh an t-ordú slándála ipsec-rekey um iarratas faoi dhó, as a chéile go tapa. Baineann an seicheamh orduithe seo as an dá SPI 256 agus 257 agus socraíonn sé an SPI go 258. Úsáideann an ródaire ansin an eochair ghaolmhar SPI 258. Tabhair faoi deara, áfach, go dtitfear roinnt paicéid ar feadh tréimhse ghearr ama go dtí go bhfoghlaimíonn na ródairí iargúlta go léir an eochair nua.CISCO-SD-WAN-Cumraigh-Slándáil-Paraiméadair-FIG-6

Athraigh Méid na Fuinneog Frithimeartha

Soláthraíonn fíordheimhniú IPsec cosaint frith-athimirt trí sheicheamh uimhir uathúil a shannadh do gach paicéad i sruth sonraí. Cosnaíonn an t-uimhriú seicheamh seo i gcoinne ionsaitheoir ag dúbláil paicéid sonraí. Le cosaint frith-athimirt, sannann an seoltóir uimhreacha seicheamh méadaithe go monotonach, agus seiceálann an ceann scríbe na huimhreacha seichimh seo chun dúbailt a bhrath. Toisc nach minic a thagann paicéid in ord, coinníonn an ceann scríbe fuinneog sleamhnáin d’uimhreacha seichimh a nglacfaidh sé leo.CISCO-SD-WAN-Cumraigh-Slándáil-Paraiméadair-FIG-7

Meastar go bhfuil paicéid le huimhreacha seicheamh a thiteann ar thaobh na láimhe clé den raon fuinneoige sleamhnáin sean nó dúbailt, agus titeann an ceann scríbe leo. Rianaíonn an ceann scríbe an uimhir seicheamh is airde a fuair sé, agus déanann sé an fhuinneog sleamhnáin a choigeartú nuair a fhaigheann sé paicéad le luach níos airde.CISCO-SD-WAN-Cumraigh-Slándáil-Paraiméadair-FIG-8

De réir réamhshocraithe, socraítear an fhuinneog sleamhnáin chuig 512 paicéad. Is féidir é a shocrú ar aon luach idir 64 agus 4096 arb é cumhacht 2 é (is é sin, 64, 128, 256, 512, 1024, 2048, nó 4096). Chun méid na fuinneoige frith-athimeartha a mhionathrú, bain úsáid as an ordú replay-fuinneog, ag sonrú méid na fuinneoige:

Gléas(config)# uimhir athimeartha fhuinneog ipsec slándála

Breathnaíonn an chumraíocht mar seo:
slándála ipsec athimirt-fuinneog uimhir ! !

Chun cabhrú le QoS, coinnítear fuinneoga athimeartha ar leith do gach ceann de na chéad ocht gcainéal tráchta. Roinntear méid na fuinneoige athimeartha cumraithe ar ocht gcinn do gach cainéal. Má tá QoS cumraithe ar ródaire, d'fhéadfadh go n-imreoidh an ródaire sin líon níos mó titeann ná mar a bhíothas ag súil leis mar thoradh ar mheicníocht frith-athimeartha IPsec, agus is cinn dhlisteanacha go leor de na paicéid a thit. Tarlaíonn sé seo toisc go n-athordaíonn QoS paicéid, ag tabhairt cóir fhabhrach do phaicéid a bhfuil tosaíocht níos airde acu agus ag cur moill ar phaicéid a bhfuil tosaíocht níos ísle acu. Chun an cás seo a íoslaghdú nó a chosc, is féidir leat na nithe seo a leanas a dhéanamh:

  • Méadaigh méid na fuinneoige frith-athimirt.
  • Trácht innealtóra ar na chéad ocht mbealach tráchta lena chinntiú nach ndéantar trácht laistigh de chainéal a athordú.

Cumraigh Tolláin IPsec Cumasaithe IKE
Chun trácht a aistriú go slán ón líonra forleagan go líonra seirbhíse, is féidir leat tolláin IPsec a chumrú a ritheann an prótacal Malartú Eochracha Idirlín (IKE). Soláthraíonn tolláin IPsec atá cumasaithe ag IKE fíordheimhniú agus criptiú chun iompar paicéad slán a chinntiú. Cruthaíonn tú tollán IPsec atá cumasaithe le IKE trí chomhéadan IPsec a chumrú. Is comhéadain loighciúla iad comhéadain IPsec, agus déanann tú iad a chumrú díreach mar aon chomhéadan fisiceach eile. Cumraíonn tú paraiméadair phrótacail IKE ar an gcomhéadan IPsec, agus is féidir leat airíonna comhéadain eile a chumrú.

Nóta Molann Cisco úsáid a bhaint as IKE Leagan 2. Ó scaoileadh Cisco SD-WAN 19.2.x ar aghaidh, ní mór an eochair réamh-roinnte a bheith ar a laghad 16 bytes ar fhad. Teipeann ar bhunú tolláin IPsec má tá an méid eochair níos lú ná 16 carachtar nuair a uasghrádaítear an ródaire go leagan 19.2.

Nóta
Tacaíonn bogearraí Cisco Catalyst SD-WAN le IKE Leagan 2 mar a shainmhínítear in RFC 7296. Úsáid amháin le haghaidh tolláin IPsec ná ligean do chásanna VM ródaire vEdge Cloud a rith ar Amazon AWS chun nascadh le scamall príobháideach fíorúil Amazon (VPC). Ní mór duit IKE Leagan 1 a chumrú ar na ródairí seo. Ní thacaíonn feistí Cisco vEdge ach le VPNanna bealach-bhunaithe i gcumraíocht IPSec toisc nach féidir leis na gléasanna seo roghnóirí tráchta a shainiú san fhearann ​​criptithe.

Cumraigh Tollán IPsec
Chun comhéadan tolláin IPsec a chumrú le haghaidh tráchta slán iompair ó líonra seirbhíse, cruthaíonn tú comhéadan loighciúil IPsec:CISCO-SD-WAN-Cumraigh-Slándáil-Paraiméadair-FIG-9

Is féidir leat an tollán IPsec a chruthú sa VPN iompair (VPN 0) agus in aon seirbhís VPN (VPN 1 trí 65530, ach amháin i gcás 512). Tá ainm ag an gcomhéadan IPsec sa bhformáid ipsecnumber, áit ar féidir uimhir a bheith ó 1 go 255. Ní mór seoladh IPv4 a bheith ag gach comhéadan IPsec. Ní mór réimír /30 a bheith sa seoladh seo. Dírítear an trácht ar fad sa VPN atá laistigh den réimír IPv4 seo chuig comhéadan fisiceach i VPN 0 le seoladh go slán thar thollán IPsec. Chun foinse an tolláin IPsec a chumrú ar an ngléas áitiúil, is féidir leat seoladh IP na an comhéadan fisiceach (san ordú foinse tolláin) nó ainm an chomhéadain fhisiciúil (sa ordú tollán-foinse-chomhéadan). Cinntigh go bhfuil an comhéadan fisiceach cumraithe i VPN 0. Chun ceann scríbe an tolláin IPsec a chumrú, sonraigh seoladh IP an chianghléis san ordú ceann scríbe tolláin. Sainmhíníonn an meascán de sheoladh foinse (nó ainm comhéadan foinse) agus seoladh ceann scríbe tollán IPsec amháin. Ní féidir ach tollán IPsec amháin a bheith ann a úsáideann seoladh foinse sonrach (nó ainm comhéadan) agus péire seoladh ceann scríbe.

Cumraigh Bealach Statach IPsec

Chun trácht a dhíriú ón tseirbhís VPN chuig tollán IPsec sa VPN iompair (VPN 0), cumraíonn tú bealach statach a bhaineann go sonrach le IPsec i seirbhís VPN (VPN seachas VPN 0 nó VPN 512):

  • vEdge(config)# vpn-id
  • vEdge(config-vpn)# ip ipsec-way réimír/fad vpn 0 comhéadan
  • uimhir ipsic [ipsecnumber2]

Is ionann an ID VPN agus aon seirbhís VPN (VPN 1 go 65530, seachas 512). is éard atá i réimír/fad an seoladh IP nó an réimír, sa nodaireacht dheachúil ceithre pháirt-phonc, agus fad réimír an bhealaigh statach IPsec-shonrach. Is é an comhéadan an comhéadan tollán IPsec i VPN 0. Is féidir leat ceann amháin nó dhá chomhéadain tolláin IPsec a chumrú. Má chumraíonn tú dhá cheann, is é an chéad tollán IPsec bunscoile, agus is é an dara ceann an cúltaca. Le dhá chomhéadan, ní sheoltar na paicéid go léir ach chuig an tollán príomhúil. Má theipeann ar an tollán sin, seoltar gach paicéad chuig an tollán tánaisteach ansin. Má thagann an tollán príomhúil ar ais suas, bogtar an trácht ar fad ar ais go dtí an tollán IPsec bunscoile.

Cumasaigh IKE Leagan 1
Nuair a chruthaíonn tú tollán IPsec ar ródaire vEdge, tá IKE Leagan 1 cumasaithe de réir réamhshocraithe ar an gcomhéadan tolláin. Tá na hairíonna seo a leanas cumasaithe freisin de réir réamhshocraithe le haghaidh IKEv1:

  • Fíordheimhniú agus criptiúchán - ardchaighdeán criptiúcháin AES-256 criptiú CBC leis an algartam cód fíordheimhnithe teachtaireachta hash-eochrach HMAC-SHA1 le haghaidh sláine
  • Uimhir ghrúpa Diffie-Hellman—16
  • Eatramh ama a athchur - 4 uair an chloig
  • Modh bunaíochta SA - Príomh

De réir réamhshocraithe, úsáideann IKEv1 príomh-mhodh IKE chun IKE SAanna a bhunú. Ar an modh seo, malartaítear sé phacáiste idirbheartaíochta chun an SA a bhunú. Chun trí phaicéad idirbheartaíochta a mhalartú, cumasaigh mód ionsaitheach:

Nóta
Ba cheart mód ionsaitheach IKE le heochracha réamhroinnte a sheachaint nuair is féidir. Seachas sin ba cheart eochair láidir réamhroinnte a roghnú.

  • vEdge(config)# comhéadan vpn-id uimhir ipsec ike
  • vEdge(config-ike)# mód ionsaitheach

De réir réamhshocraithe, úsáideann IKEv1 grúpa Diffie-Hellman 16 sa mhalartú eochair IKE. Úsáideann an grúpa seo an grúpa easpónantúil 4096-giotán níos modúlach (MODP) le linn malartú eochrach IKE. Is féidir leat an uimhir ghrúpa a athrú go 2 (le haghaidh MODP 1024-giotán), 14 (2048-giotán MODP), nó 15 (3072-giotán MODP):

  • vEdge(config)# comhéadan vpn-id uimhir ipsec ike
  • vEdge(config-ike)# uimhir ghrúpa

De réir réamhshocraithe, úsáideann malartú eochair IKE AES-256 criptiú caighdeánach criptithe CBC chun cinn leis an algartam cód fíordheimhnithe teachtaireachta eochair-hash HMAC-SHA1 le haghaidh sláine. Is féidir leat an fíordheimhniú a athrú:

  • vEdge(config)# comhéadan vpn-id uimhir ipsec ike
  • vEdge(config-ike)# sraith cipher-suite

Féadfaidh an tsraith fíordheimhnithe a bheith mar cheann díobh seo a leanas:

  • aes128-cbc-sha1-AES-128 ardchriptiúchán caighdeánach criptithe CBC leis an algartam cód fíordheimhnithe teachtaireachta eochrach-hash HMAC-SHA1 le haghaidh sláine
  • aes128-cbc-sha2-AES-128 ardchriptiúchán caighdeánach criptithe CBC leis an algartam cód fíordheimhnithe teachtaireachta eochrach-hash HMAC-SHA256 le haghaidh sláine
  • aes256-cbc-sha1-AES-256 criptiúchán caighdeánach criptithe CBC leis an algartam cód fíordheimhnithe teachtaireachta eochair-hash HMAC-SHA1 le haghaidh sláine; is é seo an réamhshocrú.
  • aes256-cbc-sha2-AES-256 ardchriptiúchán caighdeánach criptithe CBC leis an algartam cód fíordheimhnithe teachtaireachta eochrach-hash HMAC-SHA256 le haghaidh sláine

De réir réamhshocraithe, déantar eochracha IKE a athnuachan gach 1 uair (3600 soicind). Is féidir leat an t-eatramh rekeying a athrú go luach ó 30 soicind go 14 lá (1209600 soicind). Moltar an t-eatramh rekeying a bheith ar a laghad 1 uair an chloig.

  • vEdge(config)# comhéadan vpn-id uimhir ipsec cosúil le
  • vEdge(config-ike)# soicind rekey

Chun iallach a chur ar ghiniúint eochracha nua le haghaidh seisiún IKE, eisigh an t-iarratas ipsec ike-rekey ordú.

  • vEdge(config)# uimhir comhéadanipsec vpn-id ike

Le haghaidh IKE, is féidir leat fíordheimhniú eochair réamhroinnte (PSK) a chumrú freisin:

  • vEdge(config)# comhéadan vpn-id uimhir ipsec ike
  • vEdge(config-ike)# Is é an pasfhocal fíordheimhnithe-cineál réamh-roinnte eochairfhocal faire réamh-roinnte-rúnda an focal faire a úsáid leis an eochair réamhroinnte. Féadfaidh sé a bheith ina ASCII nó ina sreang heicsidheachúil ó 1 go 127 carachtar ar fad.

Má theastaíonn aitheantas áitiúil nó cianda ón gcomhghleacaí IKE, is féidir leat an t-aitheantóir seo a chumrú:

  • vEdge(config)# comhéadan vpn-id uimhir ipsec ie cineál fíordheimhnithe
  • vEdge(cineál cumraíochta-fhíordheimhnithe)# aitheantas logánta
  • vEdge(cineál cumraíochta-fhíordheimhnithe)# aitheantas cianda

Is féidir leis an aitheantóir a bheith ina sheoladh IP nó aon teaghrán téacs ó 1 go 63 carachtair ar fad. De réir réamhshocraithe, is é an ID áitiúil seoladh IP foinse an tolláin agus is é an ID iargúlta seoladh IP ceann scríbe an tolláin.

Cumasaigh IKE Leagan 2
Nuair a chumraíonn tú tollán IPsec chun IKE Leagan 2 a úsáid, cumasaítear na hairíonna seo a leanas freisin de réir réamhshocraithe le haghaidh IKEv2:

  • Fíordheimhniú agus criptiúchán - ardchaighdeán criptiúcháin AES-256 criptiú CBC leis an algartam cód fíordheimhnithe teachtaireachta hash-eochrach HMAC-SHA1 le haghaidh sláine
  • Uimhir ghrúpa Diffie-Hellman—16
  • Eatramh ama a athchur - 4 uair an chloig

De réir réamhshocraithe, úsáideann IKEv2 grúpa Diffie-Hellman 16 sa mhalartú eochair IKE. Úsáideann an grúpa seo an grúpa easpónantúil 4096-giotán níos modúlach (MODP) le linn malartú eochrach IKE. Is féidir leat an uimhir ghrúpa a athrú go 2 (le haghaidh MODP 1024-giotán), 14 (2048-giotán MODP), nó 15 (3072-giotán MODP):

  • vEdge(config)# comhéadan vpn-id ipsecnumber ike
  • vEdge(config-ike)# uimhir ghrúpa

De réir réamhshocraithe, úsáideann malartú eochair IKE AES-256 criptiú caighdeánach criptithe CBC chun cinn leis an algartam cód fíordheimhnithe teachtaireachta eochair-hash HMAC-SHA1 le haghaidh sláine. Is féidir leat an fíordheimhniú a athrú:

  • vEdge(config)# comhéadan vpn-id ipsecnumber ike
  • vEdge(config-ike)# sraith cipher-suite

Féadfaidh an tsraith fíordheimhnithe a bheith mar cheann díobh seo a leanas:

  • aes128-cbc-sha1-AES-128 ardchriptiúchán caighdeánach criptithe CBC leis an algartam cód fíordheimhnithe teachtaireachta eochrach-hash HMAC-SHA1 le haghaidh sláine
  • aes128-cbc-sha2-AES-128 ardchriptiúchán caighdeánach criptithe CBC leis an algartam cód fíordheimhnithe teachtaireachta eochrach-hash HMAC-SHA256 le haghaidh sláine
  • aes256-cbc-sha1-AES-256 criptiúchán caighdeánach criptithe CBC leis an algartam cód fíordheimhnithe teachtaireachta eochair-hash HMAC-SHA1 le haghaidh sláine; is é seo an réamhshocrú.
  • aes256-cbc-sha2-AES-256 ardchriptiúchán caighdeánach criptithe CBC leis an algartam cód fíordheimhnithe teachtaireachta eochrach-hash HMAC-SHA256 le haghaidh sláine

De réir réamhshocraithe, déantar eochracha IKE a athnuachan gach 4 huaire (14,400 soicind). Is féidir leat an t-eatramh ath-eochair a athrú go luach ó 30 soicind go 14 lá (1209600 soicind):

  • vEdge(config)# comhéadan vpn-id ipsecnumber ike
  • vEdge(config-ike)# soicind rekey

Chun iallach a chur ar ghiniúint eochracha nua le haghaidh seisiún IKE, eisigh an t-iarratas ipsec ike-rekey ordú. Le haghaidh IKE, is féidir leat fíordheimhniú eochair réamhroinnte (PSK) a chumrú freisin:

  • vEdge(config)# comhéadan vpn-id ipsecnumber ike
  • vEdge(config-ike)# Is é an pasfhocal fíordheimhnithe-cineál réamh-roinnte eochairfhocal faire réamh-roinnte-rúnda an focal faire a úsáid leis an eochair réamhroinnte. Féadfaidh sé a bheith ina ASCII nó ina sreang heicsidheachúil, nó is féidir eochair AES-criptithe a bheith ann. Má theastaíonn aitheantas áitiúil nó cianda ón gcomhghleacaí IKE, is féidir leat an t-aitheantóir seo a chumrú:
  • vEdge(config)# vpn-id comhéadan ipsecnumber ike fíordheimhnithe-cineál
  • vEdge(cineál cumraíochta-fhíordheimhnithe)# aitheantas logánta
  • vEdge(cineál cumraíochta-fhíordheimhnithe)# aitheantas cianda

Is féidir leis an aitheantóir a bheith ina sheoladh IP nó aon teaghrán téacs ó 1 go 64 carachtair ar fad. De réir réamhshocraithe, is é an ID áitiúil seoladh IP foinse an tolláin agus is é an ID iargúlta seoladh IP ceann scríbe an tolláin.

Cumraigh Paraiméadair Thollán IPsec

Tábla 4: Stair Gné

Gné Ainm Eolas Eisiúint Cur síos
Cryptographic breise Eisiúint Cisco SD-WAN 20.1.1 Cuireann an ghné seo tacaíocht le haghaidh
Tacaíocht Algartam do IPSec   HMAC_SHA256, HMAC_SHA384, agus
Tolláin   HMAC_SHA512 halgartaim le haghaidh
    slándáil fheabhsaithe.

De réir réamhshocraithe, úsáidtear na paraiméadair seo a leanas ar an tollán IPsec a iompraíonn trácht IKE:

  • Fíordheimhniú agus criptiú - algartam AES-256 i GCM (mód Galois/cuntar)
  • Eatramh rekeying - 4 uair an chloig
  • Fuinneog athsheinn - 32 paicéad

Is féidir leat an criptiú ar an tollán IPsec a athrú go dtí an cipher AES-256 i CBC (modh slabhraithe bloc cipher, le HMAC ag baint úsáide as fíordheimhniú teachtaireachta hash SHA-1 nó SHA-2 nó a chur ar neamhní le HMAC ag baint úsáide as SHA-1 nó Fíordheimhniú teachtaireachta eochrach-hash SHA-2, chun gan an tollán IPsec a úsáidtear do thrácht malartaithe eochrach IKE a chriptiú:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aessha256-null-sha256 | | aes256-null-sha384 | aes256-null-sha512)

De réir réamhshocraithe, déantar eochracha IKE a athnuachan gach 4 huaire (14,400 soicind). Is féidir leat an t-eatramh ath-eochair a athrú go luach ó 30 soicind go 14 lá (1209600 soicind):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# soicind rekey

Chun iallach a chur ar ghiniúint eochracha nua le haghaidh tollán IPsec, eisigh an t-iarratas ipsec ipsec-rekey ordú. De réir réamhshocraithe, cumasaítear rúndacht foirfe ar aghaidh (PFS) ar tholláin IPsec, chun a chinntiú nach gcuirfear isteach ar sheisiúin roimhe seo má chuirtear isteach ar eochracha amach anseo. Fórsaí PFS malartú eochair Diffie-Hellman nua, de réir réamhshocraithe ag baint úsáide as an ngrúpa modúl príomhúil 4096-giotán Diffie-Hellman. Is féidir leat an socrú PFS a athrú:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# pfs-socrú foirfe-chun tosaigh-rúnda

Is féidir le socrú pfs a bheith ar cheann díobh seo a leanas:

  • group-2—Bain úsáid as an ngrúpa príomh-modulus Diffie-Hellman 1024-giotán.
  • group-14—Bain úsáid as an ngrúpa príomh-modulus Diffie-Hellman 2048-giotán.
  • group-15—Bain úsáid as an ngrúpa príomh-modulus Diffie-Hellman 3072-giotán.
  • group-16—Úsáid an príomhghrúpa modúil Diffie-Hellman 4096-giotán. Is é seo an réamhshocrú.
  • none - Díchumasaigh PFS.

De réir réamhshocraithe, is é 512 bytes an fhuinneog athimeartha IPsec ar thollán IPsec. Is féidir leat méid na fuinneoige athimeartha a shocrú go 64, 128, 256, 512, 1024, 2048, nó 4096 paicéad:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# uimhir athimeartha-fuinneog

Modhnaigh IKE Brath Marbh-Piaraí

Úsáideann IKE meicníocht braite piaraí marbh chun a chinneadh an bhfuil an nasc le piaraí IKE feidhmiúil agus insroichte. Chun an mheicníocht seo a chur i bhfeidhm, seolann IKE paicéad Hello chuig a bpiaraí, agus seolann an piaraí admháil mar fhreagra. De réir réamhshocraithe, seolann IKE paicéid Dia duit gach 10 soicind, agus tar éis trí phaicéad gan admháil, dearbhaíonn IKE go bhfuil an comharsa marbh agus deora síos an tollán chuig an bpiaraí. Ina dhiaidh sin, seolann IKE paicéad Hello go tréimhsiúil chuig an bpiaraí, agus athbhunaíonn sé an tollán nuair a thagann an piaraí ar ais ar líne. Is féidir leat an t-eatramh braite beocht a athrú go luach ó 0 go dtí 65535, agus is féidir leat líon na n-atriaileanna a athrú go luach ó 0 go 255.

Nóta

I gcás VPNanna iompair, tiontaítear an t-eatramh braite beocht go soicind tríd an bhfoirmle seo a leanas a úsáid: Eatramh don uimhir iarrachta atarchuir N = eatramh * 1.8N-1For example, má tá an t-eatramh socraithe go 10 agus go ndéanann sé iarracht ar ais go 5, méadaíonn an t-eatramh braite mar seo a leanas:

  • Iarracht 1: 10 * 1.81-1= 10 soicind
  • Iarracht 2: 10 * 1.82-1= 18 soicind
  • Iarracht 3: 10 * 1.83-1= 32.4 soicind
  • Iarracht 4: 10 * 1.84-1= 58.32 soicind
  • Iarracht 5: 10 * 1.85-1= 104.976 soicind

Déanann vEdge(config-interface-ipsecnumber)# uimhir eatramh braite marbh-piaraí

Cumraigh Airíonna Comhéadain Eile

Maidir le comhéadain tolláin IPsec, ní féidir leat ach na hairíonna comhéadain breise seo a leanas a chumrú:

  • vEdge(config-interface-ipsec)# mtu beart
  • vEdge(config-interface-ipsec)# tcp-mss-coigeartaigh beart

Díchumasaigh Algartam Criptithe SSH Lag ar Bhainisteoir Cisco SD-WAN

Tábla 5: Tábla Stair Gné

Gné Ainm Eolas Eisiúint Gné Cur síos
Díchumasaigh Algartam Criptithe SSH Lag ar Bhainisteoir Cisco SD-WAN Cisco vManage Release 20.9.1 Ligeann an ghné seo duit halgartaim SSH níos laige a dhíchumasú ar Bhainisteoir Cisco SD-WAN nach gcomhlíonann caighdeáin áirithe slándála sonraí.

Eolas Faoi Dhíchumasú Algartam Criptithe SSH Lag ar Bhainisteoir Cisco SD-WAN
Soláthraíonn Bainisteoir Cisco SD-WAN cliant SSH chun cumarsáid a dhéanamh le comhpháirteanna sa líonra, lena n-áirítear rialtóirí agus feistí imeall. Soláthraíonn an cliant SSH nasc criptithe le haghaidh aistriú sonraí slán, bunaithe ar éagsúlacht halgartaim criptithe. Éilíonn go leor eagraíochtaí criptiú níos láidre ná an ceann a sholáthraíonn SHA-1, AES-128, agus AES-192. Ó Cisco vManage Release 20.9.1, is féidir leat na halgartaim criptithe níos laige seo a leanas a dhíchumasú ionas nach n-úsáideann cliant SSH na halgartaim seo:

  • SHA-1
  • AES-128
  • AES-192

Sula ndíchumasaítear na halgartaim criptithe seo, cinntigh go bhfuil feistí Cisco vEdge, más ann dóibh, sa líonra, ag baint úsáide as scaoileadh bogearraí níos déanaí ná Cisco SD-WAN Release 18.4.6.

Buntáistí a bhaineann le Algartam Criptithe SSH Lag a Dhíchumasú ar Bhainisteoir Cisco SD-WAN
Má dhíchumasaítear halgartaim criptithe SSH níos laige feabhsaíonn sé slándáil na cumarsáide SSH, agus cinntíonn sé go gcomhlíonann eagraíochtaí a úsáideann Cisco Catalyst SD-WAN rialacháin slándála dochta.

Díchumasaigh Algartam Criptithe SSH Lag ar Bhainisteoir Cisco SD-WAN Ag Úsáid CLI

  1. Ó roghchlár Cisco SD-WAN Manager, roghnaigh Uirlisí > Críochfort SSH.
  2. Roghnaigh an gléas Cisco SD-WAN Manager ar mian leat algartaim SSH níos laige a dhíchumasú.
  3. Cuir isteach an t-ainm úsáideora agus pasfhocal chun logáil isteach ar an ngléas.
  4. Cuir isteach mód freastalaí SSH.
    • vmanage(config)# chóras
    • vmanage(config-system)# ssh-server
  5. Déan ceann amháin díobh seo a leanas chun algartam criptithe SSH a dhíchumasú:
    • Díchumasaigh SHA-1:
  6. bainistigh(config-ssh-server)# gan kex-algo sha1
  7. bainistigh(config-ssh-server)# tiomnaigh
    Taispeántar an teachtaireacht rabhaidh seo a leanas: Gineadh na rabhaidh seo a leanas: 'system ssh-server kex-algo sha1': RABHADH: Cinntigh le do thoil go ritheann d'imill go léir an leagan cód > 18.4.6 a dhéanann idirbheartaíocht níos fearr ná SHA1 le vManage. Seachas sin féadfaidh na himill sin éirí as líne. Lean ar aghaidh? [tá, níl] tá
    • Cinntigh go bhfuil aon fheistí Cisco vEdge sa líonra ag rith Cisco SD-WAN Release 18.4.6 nó níos déanaí agus cuir isteach tá.
    • Díchumasaigh AES-128 agus AES-192:
    • vmanage(config-ssh-server)# gan cipher aes-128-192
    • vmanage(config-ssh-server)# tiomnaigh
      Taispeántar an teachtaireacht rabhaidh seo a leanas:
      Gineadh na rabhaidh seo a leanas:
      'system ssh-server cipher aes-128-192': RABHADH: Cinntigh le do thoil go ritheann d'imill go léir an leagan cód > 18.4.6 a dhéanann idirbheartaíocht níos fearr ná AES-128-192 le vManage. Seachas sin féadfaidh na himill sin éirí as líne. Lean ar aghaidh? [tá, níl] tá
    • Cinntigh go bhfuil aon fheistí Cisco vEdge sa líonra ag rith Cisco SD-WAN Release 18.4.6 nó níos déanaí agus cuir isteach tá.

Deimhnigh go bhfuil Algartam Criptithe SSH Lag Díchumasaithe ar Bhainisteoir Cisco SD-WAN Ag Úsáid an CLI

  1. Ó roghchlár Cisco SD-WAN Manager, roghnaigh Uirlisí > Críochfort SSH.
  2. Roghnaigh an gléas Cisco SD-WAN Manager is mian leat a fhíorú.
  3. Cuir isteach an t-ainm úsáideora agus pasfhocal chun logáil isteach ar an ngléas.
  4. Rith an t-ordú seo a leanas: taispeáin running-config system ssh-server
  5. Deimhnigh go léiríonn an t-aschur ceann amháin nó níos mó de na horduithe a dhíchumasaíonn halgartaim criptithe níos laige:
    • no cipher aes-128-192
    • aon kex-algo sha1

Doiciméid / Acmhainní

CISCO SD-WAN Cumraigh Paraiméadair Slándála [pdfTreoir Úsáideora
SD-WAN Cumraigh Paraiméadair Slándála, SD-WAN, Cumraigh Paraiméadair Slándála, Paraiméadair Slándála

Tagairtí

Fág trácht

Ní fhoilseofar do sheoladh ríomhphoist. Tá réimsí riachtanacha marcáilte *