Clàr-innse seiche
1 CISCO SD-WAN Dèan rèiteachadh air paramadairean tèarainteachd
2 Dèan rèiteachadh air paramadairean tèarainteachd
3 Dèan rèiteachadh air paramadairean tèarainteachd plèana smachd
4 Dèan rèiteachadh air DTLS ann am Manaidsear Cisco SD-WAN
5 Dèan rèiteachadh air paramadairean tèarainteachd plèana dàta
6 Dèan rèiteachadh air na seòrsaichean dearbhaidh ceadaichte
7 Atharraich an timer Rekeying
8 Atharraich meud na h-uinneige an-aghaidh ath-chluich
9 Dèan rèiteachadh air Slighe Statach IPsec
10 Dèan rèiteachadh air paramadairean tunail IPsec
11 Atharraich IKE Marbh-Co-aoisean Lorgaidh
12 Dèan rèiteachadh air feartan eadar-aghaidh eile
13 Cuir à comas Algorithms crioptachaidh SSH lag air Manaidsear Cisco SD-WAN
14 Sgrìobhainnean/Goireasan
14.1 Iomraidhean

CISCO-LOGO

CISCO SD-WAN Dèan rèiteachadh air paramadairean tèarainteachd

CISCO-SD-WAN-Configure-Tèarainteachd-Parameatairean-PRODUCT

Dèan rèiteachadh air paramadairean tèarainteachd

Thoir an aire

Gus sìmpleachadh agus cunbhalachd a choileanadh, chaidh fuasgladh Cisco SD-WAN ath-bhranndadh mar Cisco Catalyst SD-WAN. A bharrachd air an sin, bho Cisco IOS XE SD-WAN Release 17.12.1a agus Cisco Catalyst SD-WAN Release 20.12.1, tha na h-atharrachaidhean co-phàirteach a leanas buntainneach: Cisco vManage gu Cisco Catalyst SD-WAN Manager, Cisco vAnalytics gu Cisco Catalyst SD-WAN Analytics, Cisco vBond gu Cisco Catalyst SD-WAN Validator, agus Cisco vSmart gu Rianadair SD-WAN Cisco Catalyst. Faic na Notaichean Foillseachaidh as ùire airson liosta fharsaing de na h-atharrachaidhean ainm branda co-phàirteach. Fhad ‘s a ghluaiseas sinn gu na h-ainmean ùra, dh’ fhaodadh cuid de neo-chunbhalachd a bhith an làthair anns an t-seata sgrìobhainnean air sgàth dòigh-obrach mean air mhean airson ùrachadh eadar-aghaidh an neach-cleachdaidh air toradh bathar-bog.

Tha an roinn seo a’ toirt cunntas air mar a dh’atharraicheas tu crìochan tèarainteachd airson a’ phlèana smachd agus am plèana dàta ann an lìonra ath-chòmhdach Cisco Catalyst SD-WAN.

  • Dèan rèiteachadh air paramadairean tèarainteachd plèana smachd, air adhart
  • Dèan rèiteachadh air paramadairean tèarainteachd plèana dàta, air adhart
  • Dèan rèiteachadh air tunailean IPsec le comas IKE, air adhart
  • Cuir à comas Algorithms crioptachaidh SSH lag air Manaidsear Cisco SD-WAN, air adhart

Dèan rèiteachadh air paramadairean tèarainteachd plèana smachd

Gu gnàthach, bidh am plèana smachd a’ cleachdadh DTLS mar am pròtacal a bheir seachad prìobhaideachd air na tunailean gu lèir aige. Tha DTLS a’ ruith thairis air UDP. Faodaidh tu protocol tèarainteachd plèana smachd atharrachadh gu TLS, a tha a’ ruith thairis air TCP. Is e am prìomh adhbhar airson TLS a chleachdadh, ma tha thu den bheachd gu bheil an Cisco SD-WAN Rianadair mar fhrithealaiche, bidh ballachan teine ​​​​a ’dìon frithealaichean TCP nas fheàrr na frithealaichean UDP. Bidh thu a’ rèiteachadh protocol tunail plèana smachd air Rianadair Cisco SD-WAN: vSmart(config)# protocol smachd tèarainteachd tls Leis an atharrachadh seo, bidh a h-uile tunail plèana smachd eadar an Rianadair Cisco SD-WAN agus na routers agus eadar an Rianadair Cisco SD-WAN agus bidh Manaidsear Cisco SD-WAN a’ cleachdadh TLS. Bidh tunailean plèana smachd gu Cisco Catalyst SD-WAN Validator an-còmhnaidh a’ cleachdadh DTLS, oir feumaidh na ceanglaichean sin a bhith air an làimhseachadh le UDP. Ann an raon le ioma Rianadairean Cisco SD-WAN, nuair a bhios tu a’ rèiteachadh TLS air aon de na Rianadairean Cisco SD-WAN, bidh a h-uile tunail plèana smachd bhon rianadair sin gu na riaghladairean eile a’ cleachdadh TLS. Air a ràdh ann an dòigh eile, bidh TLS an-còmhnaidh air thoiseach air DTLS. Ach, bho shealladh Rianadairean Cisco SD-WAN eile, mura h-eil thu air TLS a rèiteachadh orra, bidh iad a’ cleachdadh TLS air an tunail plèana smachd a-mhàin chun aon Rianadair Cisco SD-WAN sin, agus bidh iad a’ cleachdadh tunailean DTLS chun a h-uile càil eile. Rianadairean Cisco SD-WAN agus chun a h-uile router ceangailte aca. Gus am bi a h-uile Rianadair Cisco SD-WAN a’ cleachdadh TLS, rèitich e air a h-uile gin dhiubh. Gu gnàthach, bidh an Rianadair Cisco SD-WAN ag èisteachd air port 23456 airson iarrtasan TLS. Gus seo atharrachadh: vSmart(config)# tèarainteachd smachd àireamh tls-port Faodaidh am port a bhith na àireamh bho 1025 gu 65535. Gus fiosrachadh tèarainteachd plèana smachd a thaisbeanadh, cleachd an àithne ceanglaichean smachd taisbeanaidh air Rianadair Cisco SD-WAN. Airson example: vSmart-2 # seall ceanglaichean smachd

CISCO-SD-WAN-Configure-Tèarainteachd-Parameatairean-FIG-1

Dèan rèiteachadh air DTLS ann am Manaidsear Cisco SD-WAN

Ma shuidhicheas tu am Manaidsear Cisco SD-WAN gus TLS a chleachdadh mar phròtacal tèarainteachd plèana smachd, feumaidh tu cur air adhart port air an NAT agad. Ma tha thu a 'cleachdadh DTLS mar phròtacal tèarainteachd plèana smachd, chan fheum thu dad a dhèanamh. Tha an àireamh de phuirt a thèid a chuir air adhart an urra ris an àireamh de phròiseasan vdaemon a tha a’ ruith air Manaidsear Cisco SD-WAN. Gus fiosrachadh a thaisbeanadh mu na pròiseasan sin agus mu dheidhinn agus an àireamh de phuirt a thathas a’ cur air adhart, cleachd an àithne geàrr-chunntas smachd taisbeanaidh a’ sealltainn gu bheil ceithir pròiseasan daemon a’ ruith:CISCO-SD-WAN-Configure-Tèarainteachd-Parameatairean-FIG-2

Gus na puirt èisteachd fhaicinn, cleachd an àithne smachd taisbeanaidh seilbh ionadail: vManage # seall smachd air togalaichean ionadail

CISCO-SD-WAN-Configure-Tèarainteachd-Parameatairean-FIG-3

Tha an toradh seo a' sealltainn gur e 23456 am port èisteachd TCP. Ma tha thu a' ruith Cisco SD-WAN Manager air cùlaibh NAT, bu chòir dhut na puirt a leanas fhosgladh air an inneal NAT:

  • 23456 (bun - eisimpleir 0 port)
  • 23456 + 100 (bonn + 100)
  • 23456 + 200 (bonn + 200)
  • 23456 + 300 (bonn + 300)

Thoir an aire gu bheil an àireamh de shuidheachaidhean co-ionann ris an àireamh de choraichean a shònraich thu airson Manaidsear Cisco SD-WAN, suas gu 8 aig a’ char as àirde.

Dèan rèiteachadh air paramadairean tèarainteachd a’ cleachdadh an teamplaid feart tèarainteachd

Cleachd an teamplaid feart tèarainteachd airson a h-uile inneal Cisco vEdge. Air na routers iomaill agus air an Cisco SD-WAN Validator, cleachd an teamplaid seo gus IPsec a rèiteachadh airson tèarainteachd plèana dàta. Air Manaidsear Cisco SD-WAN agus Rianadair Cisco SD-WAN, cleachd an teamplaid feart tèarainteachd gus DTLS no TLS a rèiteachadh airson tèarainteachd itealain smachd.

Dèan rèiteachadh air paramadairean tèarainteachd

  1. Bho chlàr Cisco SD-WAN Manager, tagh Configuration> Templates.
  2. Cliog air Teamplaidean Feart agus an uairsin cliog air Add Template.
    Thoir an aire Ann an Cisco vManage Release 20.7.1 agus fiosan nas tràithe, canar Teamplaidean Feart ris.
  3. Bho liosta nan Innealan anns a’ phana chlì, tagh inneal. Tha na teamplaidean a bhuineas don inneal taghte a’ nochdadh anns a’ phana cheart.
  4. Cliog air Tèarainteachd gus an teamplaid fhosgladh.
  5. Anns an raon Ainm Teamplaid, cuir a-steach ainm airson an teamplaid. Faodaidh an t-ainm a bhith suas ri 128 caractar agus chan urrainn dha ach caractaran alfaimigeach a bhith ann.
  6. Anns an raon Tuairisgeul Teamplaid, cuir a-steach tuairisgeul air an teamplaid. Faodaidh an tuairisgeul a bhith suas ri 2048 caractar agus chan urrainn dha a bhith ann ach caractaran alphanumeric.

Nuair a dh'fhosglas tu teamplaid feart an toiseach, airson gach paramadair aig a bheil luach bunaiteach, tha an raon air a shuidheachadh gu Default (air a chomharrachadh le comharradh-seic), agus tha an suidheachadh no an luach bunaiteach air a shealltainn. Gus am bunait atharrachadh no airson luach a chuir a-steach, cliog air a’ chlàr tuiteam-sìos raon air taobh clì an raon paramadair agus tagh aon de na leanas:

Clàr 1:

Paramadair Farsaingeachd Tuairisgeul Farsaingeachd
Inneal sònraichte (air a chomharrachadh le ìomhaigh aoigheachd) Cleachd luach inneal-sònraichte airson a’ pharamadair. Airson paramadairean inneal sònraichte, chan urrainn dhut luach a chuir a-steach san teamplaid feart. Bidh thu a’ dol a-steach don luach nuair a cheanglas tu inneal Viptela ri teamplaid inneal.

Nuair a phutas tu air inneal sònraichte, fosglaidh am bogsa Enter Key. Tha am bogsa seo a’ taisbeanadh iuchair, a tha na shreang air leth a dh’ aithnicheas am paramadair ann an CSV file a chruthaicheas tu. Seo file 's e cliath-dhuilleag Excel anns a bheil aon cholbh airson gach iuchair. Anns an t-sreath cinn tha na prìomh ainmean (aon iuchair gach colbh), agus bidh gach sreath às deidh sin a’ freagairt ri inneal agus a’ mìneachadh luachan nan iuchraichean airson an inneal sin. Bidh thu a’ luchdachadh suas an CSV file nuair a cheanglas tu inneal Viptela ri teamplaid inneal. Airson tuilleadh fiosrachaidh, faic Create a Template Variables Spreadsheet.

Gus an iuchair bunaiteach atharrachadh, dèan sreang ùr agus gluais an cursair a-mach às a’ bhogsa Enter Key.

Exampis e nas lugha de pharaimearan inneal sònraichte seòladh IP an t-siostaim, ainm aoigheachd, àite GPS, agus ID làraich.
Paramadair Farsaingeachd Tuairisgeul Farsaingeachd
Cruinneil (air a chomharrachadh le ìomhaigh cruinne) Cuir a-steach luach airson a’ pharamadair, agus cuir an luach sin an sàs anns a h-uile inneal.

Exampis e nas lugha de pharaimearan a dh’ fhaodadh tu a chuir an sàs air feadh na cruinne ri buidheann innealan frithealaiche DNS, frithealaiche syslog, agus MTUn eadar-aghaidh.

Dèan rèiteachadh air tèarainteachd plèana smachd

Thoir an aire
Tha an roinn Configure Control Plane Security a’ buntainn ri Manaidsear Cisco SD-WAN agus Rianadair Cisco SD-WAN a-mhàin. Gus am protocol ceangail plèana smachd a rèiteachadh air eisimpleir Manaidsear Cisco SD-WAN no Rianadair Cisco SD-WAN, tagh an raon rèiteachaidh bunaiteach agus rèitich na paramadairean a leanas:

Clàr 2:

Paramadair Ainm Tuairisgeul
Pròtacal Tagh am protocol airson a chleachdadh air ceanglaichean plèana smachd ri Rianadair Cisco SD-WAN:

• DTLS (Datagram Tèarainteachd Sreath Còmhdhail). 'S e seo an default.

• TLS (Tèarainteachd Sreath Còmhdhail)
Smachd air port TLS Ma thagh thu TLS, cuir air dòigh àireamh a’ phuirt airson a chleachdadh:Raon: 1025 tro 65535Ro-shealladh: 23456

Cliog Save

Dèan rèiteachadh air tèarainteachd plèana dàta
Gus tèarainteachd plèana dàta a rèiteachadh air Cisco SD-WAN Validator no Cisco vEdge router, tagh na tabaichean Seòrsa Configuration agus Dearbhaidh Bunasach, agus rèitich na paramadairean a leanas:

Clàr 3:

Paramadair Ainm Tuairisgeul
Ùine Rekey Sònraich dè cho tric ’s a dh’ atharraicheas router Cisco vEdge an iuchair AES a thathar a’ cleachdadh air a’ cheangal DTLS tèarainte aige ri Rianadair Cisco SD-WAN. Ma tha ath-thòiseachadh gràsmhor OMP air a chomasachadh, feumaidh an ùine ath-chuir a bhith co-dhiù dà uair nas àirde na luach an timer ath-thòiseachadh gràsmhor OMP.Raon: 10 tro 1209600 diogan (14 latha)Ro-shealladh: 86400 diogan (24 uairean)
Ath-chluich uinneag Sònraich meud na h-uinneige ath-chluich sleamhnachaidh.

Luachan: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pacaideanRo-shealladh: 512 pacaid
IPsec

iuchrach pairwise

 Tha seo air a chuir dheth gu bunaiteach. Cliog On a thionndadh air.
Paramadair Ainm Tuairisgeul
Seòrsa dearbhaidh Tagh na seòrsaichean dearbhaidh bhon fhaidhle Dearbhadh Liosta, agus cliog air an t-saighead a’ comharrachadh deas gus na seòrsaichean dearbhaidh a ghluasad chun an Liosta taghte colbh.

Seòrsaichean dearbhaidh le taic bho Cisco SD-WAN Release 20.6.1:

•  esp: A’ comasachadh crioptachadh Encapsulating Security Payload (ESP) agus sgrùdadh ionracas air bann-cinn ESP.

•  ip-udp-esp: A’ comasachadh crioptachadh ESP. A bharrachd air na sgrùdaidhean ionracas air bann-cinn agus uallach pàighidh ESP, tha na sgrùdaidhean cuideachd a’ toirt a-steach na cinn IP agus UDP a-muigh.

•  ip-udp-esp-no-id: A’ seachnadh an raon ID anns a’ bhann-cinn IP gus an urrainn dha Cisco Catalyst SD-WAN obrachadh còmhla ri innealan neo-Cisco.

•  gin: A’ tionndadh sgrùdadh ionracas air pacaidean IPSec. Chan eil sinn a 'moladh an roghainn seo a chleachdadh.

 

Seòrsaichean dearbhaidh le taic ann an Cisco SD-WAN Release 20.5.1 agus nas tràithe:

•  ah-no-id: Dèan comas air dreach leasaichte de AH-SHA1 HMAC agus ESP HMAC-SHA1 a tha a’ seachnadh an raon ID ann am bann IP taobh a-muigh a’ phacaid.

•  ah-sha1-hmac: Dèan comas air AH-SHA1 HMAC agus ESP HMAC-SHA1.

•  gin: Tagh gun dearbhadh.

•  sha1-hmac: Dèan comas air ESP HMAC-SHA1.

 

Thoir an aire              Airson inneal iomaill a’ ruith air Cisco SD-WAN Release 20.5.1 no nas tràithe, is dòcha gu bheil thu air seòrsachan dearbhaidh a rèiteachadh a’ cleachdadh a Tèarainteachd teamplaid. Nuair a nì thu ùrachadh air an inneal gu Cisco SD-WAN Release 20.6.1 no nas fhaide air adhart, ùraich na seòrsaichean dearbhaidh taghte anns an fhaidhle Tèarainteachd teamplaid gu na seòrsaichean dearbhaidh le taic bho Cisco SD-WAN Release 20.6.1. Gus na seòrsaichean dearbhaidh ùrachadh, dèan na leanas:

1.      Bho chlàr Cisco SD-WAN Manager, tagh Rèiteachadh >

Teamplaidean.

2.      Cliog Teamplaidean feart.

3.      Lorg an Tèarainteachd teamplaid airson ùrachadh agus cliog ... agus cliog Deasaich.

4.      Cliog Ùraich. Na atharraich rèiteachadh sam bith.

Bidh Manaidsear Cisco SD-WAN ag ùrachadh an Tèarainteachd teamplaid gus na seòrsaichean dearbhaidh le taic a thaisbeanadh.

Cliog Save.

Dèan rèiteachadh air paramadairean tèarainteachd plèana dàta

Anns an itealan dàta, tha IPsec air a chomasachadh gu bunaiteach air a h-uile router, agus gu bunaiteach bidh ceanglaichean tunail IPsec a ’cleachdadh dreach leasaichte den phròtacal Encapsulating Security Payload (ESP) airson dearbhadh air tunailean IPsec. Air na routers, faodaidh tu an seòrsa dearbhaidh atharrachadh, an timer rekeying IPsec, agus meud na h-uinneig anti-ath-chluich IPsec.

Dèan rèiteachadh air na seòrsaichean dearbhaidh ceadaichte

Seòrsaichean dearbhaidh ann an sgaoileadh Cisco SD-WAN 20.6.1 agus nas fhaide air adhart
Bho Cisco SD-WAN Release 20.6.1, tha na seòrsaichean ionracas a leanas a’ faighinn taic:

  • esp: Tha an roghainn seo a’ comasachadh crioptachadh Encapsulating Security Payload (ESP) agus sgrùdadh iomlanachd air bann-cinn ESP.
  • ip-udp-esp: Tha an roghainn seo a’ comasachadh crioptachadh ESP. A bharrachd air na sgrùdaidhean ionracas air bann-cinn ESP agus an t-uallach pàighidh, tha na sgrùdaidhean cuideachd a’ toirt a-steach na cinn IP agus UDP a-muigh.
  • ip-udp-esp-no-id: Tha an roghainn seo coltach ri ip-udp-esp, ge-tà, cha tèid an raon ID aig bann-cinn IP a-muigh a leigeil seachad. Dèan rèiteachadh air an roghainn seo anns an liosta de sheòrsan ionracas gus am bi am bathar-bog Cisco Catalyst SD-WAN a’ seachnadh an raon ID anns a’ bhann-cinn IP gus an urrainn don Cisco Catalyst SD-WAN obrachadh còmhla ri innealan neo-Cisco.
  • gin: Bidh an roghainn seo a’ tionndadh sgrùdadh ionracas air pacaidean IPSec. Chan eil sinn a 'moladh an roghainn seo a chleachdadh.

Gu gnàthach, bidh ceanglaichean tunail IPsec a’ cleachdadh dreach leasaichte den phròtacal Encapsulating Security Payload (ESP) airson dearbhadh. Gus na seòrsaichean eadar-ghnèitheachd a chaidh a rèiteachadh atharrachadh no gus sgrùdadh iomlanachd a chur à comas, cleachd an àithne a leanas: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Seòrsaichean dearbhaidh ro sgaoileadh Cisco SD-WAN 20.6.1
Gu gnàthach, bidh ceanglaichean tunail IPsec a’ cleachdadh dreach leasaichte den phròtacal Encapsulating Security Payload (ESP) airson dearbhadh. Gus na seòrsaichean dearbhaidh co-rèiteachaidh atharrachadh no gus dearbhadh a chuir à comas, cleachd an àithne a leanas: Device(config) # tèarainteachd ipsec dearbhaidh-seòrsa (ah-sha1-hmac | ah-no-id | sha1-hmac | | gin) Gu gnàthach, IPsec bidh ceanglaichean tunail a’ cleachdadh AES-GCM-256, a bheir seachad an dà chuid crioptachadh agus dearbhadh. Dèan rèiteachadh air gach seòrsa dearbhaidh le òrdugh seòrsa dearbhaidh ipsec tèarainteachd air leth. Bidh na roghainnean àithne a’ mapadh gu na seòrsaichean dearbhaidh a leanas, a tha air an liostadh ann an òrdugh bhon fheadhainn as làidire gu an ìre as làidire:

Thoir an aire
Tha an sha1 anns na roghainnean rèiteachaidh air a chleachdadh airson adhbharan eachdraidheil. Tha na roghainnean dearbhaidh a’ sealltainn na tha de sgrùdadh iomlanachd pacaid air a dhèanamh. Chan eil iad a’ sònrachadh an algairim a nì sgrùdadh air ionracas. A bharrachd air a bhith a’ crioptachadh trafaic multicast, cha bhith na h-algorithms dearbhaidh le taic bho Cisco Catalyst SD WAN a’ cleachdadh SHA1. Ach ann an Cisco SD-WAN Release 20.1.x agus air adhart, cha bhith an dà chuid unicast agus multicast a’ cleachdadh SHA1.

  • ah-sha1-hmac a’ comasachadh crioptachadh agus cuairteachadh a’ cleachdadh ESP. Ach, a bharrachd air na sgrùdaidhean ionracas air bann-cinn agus uallach pàighidh ESP, tha na sgrùdaidhean cuideachd a’ toirt a-steach na cinn IP agus UDP a-muigh. Mar sin, tha an roghainn seo a’ toirt taic do sgrùdadh ionracas air a’ phacaid coltach ris a’ phròtacal Authentication Header (AH). Tha a h-uile ionracas agus crioptachadh air a dhèanamh a’ cleachdadh AES-256-GCM.
  • ah-no-id a’ comasachadh modh a tha coltach ri ah-sha1-hmac, ge-tà, thathas a’ toirt aire do raon ID a’ chinn IP a-muigh. Tha an roghainn seo a’ gabhail a-steach cuid de dh’ innealan SD-WAN neo-Cisco Catalyst, a’ gabhail a-steach an Apple AirPort Express NAT, aig a bheil bug a dh’ adhbhraicheas an raon ID ann am bann-cinn IP, raon neo-ghluasadach, atharrachadh. Dèan rèiteachadh air an roghainn ah-no-id anns an liosta de sheòrsan dearbhaidh gus am bi am bathar-bog Cisco Catalyst SD-WAN AH a’ seachnadh an raon ID anns a’ bhann-cinn IP gus an urrainn do bhathar-bog Cisco Catalyst SD-WAN obrachadh còmhla ris na h-innealan sin.
  • Tha sha1-hmac a’ comasachadh crioptachadh ESP agus sgrùdadh ionracas.
  • chan eil mapaichean gun dearbhadh. Cha bu chòir an roghainn seo a chleachdadh ach ma tha feum air airson debugging sealach. Faodaidh tu cuideachd an roghainn seo a thaghadh ann an suidheachaidhean far nach eil dearbhadh plèana dàta agus ionracas na adhbhar dragh. Chan eil Cisco a’ moladh an roghainn seo a chleachdadh airson lìonraidhean toraidh.

Airson fiosrachadh mu na raointean pacaid dàta air a bheil na seòrsaichean dearbhaidh sin a’ toirt buaidh, faic Ionracas Plèana Dàta. Bidh innealan Cisco IOS XE Catalyst SD-WAN agus innealan Cisco vEdge a’ sanasachadh na seòrsaichean dearbhaidh rèiteachaidh aca anns na togalaichean TLOC aca. Bidh an dà router air gach taobh de cheangal tunail IPsec a’ barganachadh an dearbhadh airson a chleachdadh air a ’cheangal eatorra, a’ cleachdadh an seòrsa dearbhaidh as làidire a tha air a rèiteachadh air an dà router. Airson example, ma tha aon router a’ sanasachadh na seòrsaichean ah-sha1-hmac agus ah-no-id, agus an dàrna router a’ sanasachadh an seòrsa ah-no-id, bidh an dà router a ’co-rèiteachadh gus ah-no-id a chleachdadh air a’ cheangal tunail IPsec eadar iad. Mura h-eil seòrsaichean dearbhaidh cumanta air an rèiteachadh air an dà cho-aoisean, chan eil tunail IPsec air a stèidheachadh eatorra. Tha an algairim crioptachaidh air ceanglaichean tunail IPsec an urra ris an t-seòrsa trafaic:

  • Airson trafaic unicast, is e an algairim crioptachaidh AES-256-GCM.
  • Airson trafaic ioma-chraolaidh:
  • Sgaoileadh Cisco SD-WAN 20.1.x agus nas fhaide air adhart - is e AES-256-GCM an algairim crioptachaidh
  • Fiosan roimhe - is e an algairim crioptachaidh AES-256-CBC le SHA1-HMAC.

Nuair a thèid an seòrsa dearbhaidh IPsec atharrachadh, thèid an iuchair AES airson an t-slighe dàta atharrachadh.

Atharraich an timer Rekeying

Mus urrainn dha innealan Cisco IOS XE Catalyst SD-WAN agus innealan Cisco vEdge trafaic dàta iomlaid, stèidhich iad seanal conaltraidh dearbhte tèarainte eatorra. Bidh na routers a’ cleachdadh tunailean IPSec eatorra mar an t-sianal, agus an cipher AES-256 gus crioptachadh a dhèanamh. Bidh gach router a’ gineadh iuchair AES ùr airson a shlighe dàta bho àm gu àm. Gu gnàthach, tha iuchair dligheach airson 86400 diogan (24 uairean), agus tha an raon timer 10 diogan tro 1209600 diogan (14 latha). Gus an luach timer rekey atharrachadh: Inneal (config) # diogan rekey tèarainteachd ipsec Tha coltas mar seo air an rèiteachadh:

  • tèarainteachd ipsec rekey diogan!

Ma tha thu airson iuchraichean IPsec ùra a ghineadh sa bhad, faodaidh tu sin a dhèanamh gun a bhith ag atharrachadh rèiteachadh an router. Gus seo a dhèanamh, cuir a-mach an àithne tèarainteachd ipsecrekey iarrtas air an router fo chunnart. Airson example, tha an toradh a leanas a’ sealltainn gu bheil Clàr Parameter Tèarainteachd (SPI) de 256 aig na SA ionadail:CISCO-SD-WAN-Configure-Tèarainteachd-Parameatairean-FIG-4

Tha iuchair shònraichte co-cheangailte ri gach SPI. Ma tha an iuchair seo ann an cunnart, cleachd an t-iarrtas tèarainteachd ipsec-rekey àithne gus iuchair ùr a ghineadh sa bhad. Bidh an àithne seo ag àrdachadh an SPI. Anns an t-seann duine againnample, bidh an SPI ag atharrachadh gu 257 agus tha an iuchair co-cheangailte ris a-nis air a chleachdadh:

  • Inneal # iarr ipsecrekey tèarainteachd
  • Inneal # seall ipsec local-sa

CISCO-SD-WAN-Configure-Tèarainteachd-Parameatairean-FIG-5

Às deidh an iuchair ùr a chruthachadh, bidh an router ga chuir sa bhad gu Rianadairean Cisco SD-WAN a ’cleachdadh DTLS no TLS. Bidh na Rianadairean Cisco SD-WAN a’ cur an iuchair gu na routers co-aoisean. Tòisichidh na routers ga chleachdadh cho luath ‘s a gheibh iad e. Thoir an aire gum bi an iuchair co-cheangailte ris an t-seann SPI (256) fhathast air a chleachdadh airson ùine ghoirid gus an tèid e seachad. Gus stad a chuir air an t-seann iuchair sa bhad, cuir a-mach an t-iarrtas tèarainteachd ipsec-rekey àithne dà uair, gu sgiobalta. Bidh an t-sreath òrdughan seo a’ toirt air falbh an dà chuid SPI 256 agus 257 agus a’ suidheachadh an SPI gu 258. Bidh an router an uairsin a’ cleachdadh an iuchair co-cheangailte SPI 258. Thoir an aire, ge-tà, gun tèid cuid de phasganan a leigeil sìos airson ùine ghoirid gus an ionnsaich na routers iomallach gu lèir. an iuchair ùr.CISCO-SD-WAN-Configure-Tèarainteachd-Parameatairean-FIG-6

Atharraich meud na h-uinneige an-aghaidh ath-chluich

Tha dearbhadh IPsec a’ toirt seachad dìon an-aghaidh ath-chluich le bhith a’ sònrachadh àireamh sreath sònraichte do gach pacaid ann an sruth dàta. Bidh an àireamh sreath seo a’ dìon an aghaidh neach-ionnsaigh a’ dùblachadh phasgan dàta. Le dìon an-aghaidh ath-chluich, bidh an neach-cuiridh a’ sònrachadh àireamhan sreath a tha a’ meudachadh gu monotonach, agus bidh an ceann-uidhe a’ sgrùdadh nan àireamhan sreath sin gus dùblaidhean a lorg. Leis nach bi pacaidean gu tric a’ tighinn ann an òrdugh, tha an ceann-uidhe a’ cumail uinneag sleamhnachaidh de àireamhan sreath ris an gabh e.CISCO-SD-WAN-Configure-Tèarainteachd-Parameatairean-FIG-7

Thathas den bheachd gu bheil pacaidean le àireamhan sreath a tha a’ tuiteam air taobh clì raon na h-uinneige sleamhnachaidh sean no dùblaichte, agus bidh an ceann-uidhe gan leigeil sìos. Bidh an ceann-uidhe a’ cumail sùil air an àireamh sreath as àirde a fhuair e, agus ag atharrachadh na h-uinneige sleamhnachaidh nuair a gheibh e pacaid le luach nas àirde.CISCO-SD-WAN-Configure-Tèarainteachd-Parameatairean-FIG-8

Gu gnàthach, tha an uinneag sleamhnachaidh suidhichte gu 512 pacaid. Faodar a shuidheachadh gu luach sam bith eadar 64 agus 4096 a tha na chumhachd 2 (is e sin, 64, 128, 256, 512, 1024, 2048, no 4096). Gus meud na h-uinneige an-aghaidh ath-chluich atharrachadh, cleachd an àithne ath-chluich-uinneig, a’ sònrachadh meud na h-uinneige:

Inneal (config) # àireamh ath-chluich ipsec tèarainteachd-uinneig

Tha an rèiteachadh a 'coimhead mar seo:
àireamh ath-chluich-uinneig ipsec tèarainteachd! !

Gus cuideachadh le QoS, thathas a’ cumail uinneagan ath-chluich fa leth airson gach aon de na ciad ochd seanalan trafaic. Tha meud na h-uinneige ath-chluich rèiteachaidh air a roinn le ochd airson gach seanail. Ma tha QoS air a rèiteachadh air router, is dòcha gum faigh an router sin eòlas air àireamh nas motha na bha dùil de thuiltean pacaid mar thoradh air uidheamachd an-aghaidh ath-chluich IPsec, agus tha mòran de na pacaidean a thèid a leigeil ma sgaoil nan fheadhainn dligheach. Tha seo a’ tachairt leis gu bheil QoS ag ath-òrdachadh phasganan, a’ toirt làimhseachadh fàbharach dha pacaidean le prìomhachas nas àirde agus a’ cur dàil air pacaidean le prìomhachas nas ìsle. Gus an suidheachadh seo a lùghdachadh no a chasg, faodaidh tu na leanas a dhèanamh:

  • Meudaich meud na h-uinneig anti-replay.
  • Trafaic einnseanair air a’ chiad ochd seanalan trafaic gus dèanamh cinnteach nach tèid trafaic taobh a-staigh seanail ath-òrdachadh.

Dèan rèiteachadh air tunailean IPsec le comas IKE
Gus trafaic a ghluasad gu tèarainte bhon lìonra ath-chòmhdach gu lìonra seirbheis, faodaidh tu tunailean IPsec a rèiteachadh a bhios a’ ruith protocol Internet Key Exchange (IKE). Bidh tunailean IPsec le comas IKE a’ toirt seachad dearbhadh agus crioptachadh gus dèanamh cinnteach à còmhdhail pacaid tèarainte. Bidh thu a’ cruthachadh tunail IPsec le comas IKE le bhith a’ rèiteachadh eadar-aghaidh IPsec. Tha eadar-aghaidh IPsec nan eadar-aghaidh loidsigeach, agus bidh thu gan rèiteachadh dìreach mar eadar-aghaidh fiosaigeach sam bith eile. Bidh thu a’ rèiteachadh paramadairean protocol IKE air an eadar-aghaidh IPsec, agus is urrainn dhut feartan eadar-aghaidh eile a rèiteachadh.

Thoir an aire Tha Cisco a 'moladh a bhith a' cleachdadh IKE Version 2. Bho sgaoileadh Cisco SD-WAN 19.2.x air adhart, feumaidh an iuchair ro-roinnte a bhith co-dhiù 16 bytes de dh'fhaid. Bidh stèidheachadh tunail IPsec a’ fàiligeadh ma tha am prìomh mheud nas lugha na 16 caractaran nuair a thèid an router ùrachadh gu dreach 19.2.

Thoir an aire
Tha bathar-bog Cisco Catalyst SD-WAN a’ toirt taic do IKE Version 2 mar a chaidh a mhìneachadh ann an RFC 7296. Is e aon chleachdadh airson tunailean IPsec leigeil le suidheachaidhean VM router vEdge Cloud a tha a’ ruith air Amazon AWS ceangal ri sgòth prìobhaideach brìgheil Amazon (VPC). Feumaidh tu IKE Version 1 a rèiteachadh air na routers seo. Chan eil innealan Cisco vEdge a’ toirt taic ach do VPNan stèidhichte air slighe ann an rèiteachadh IPSec leis nach urrainn dha na h-innealan sin luchd-taghaidh trafaic a mhìneachadh anns an raon crioptachaidh.

Dèan rèiteachadh air Tunail IPsec
Gus eadar-aghaidh tunail IPsec a rèiteachadh airson trafaic còmhdhail tèarainte bho lìonra seirbheis, cruthaichidh tu eadar-aghaidh loidsigeach IPsec:CISCO-SD-WAN-Configure-Tèarainteachd-Parameatairean-FIG-9

Faodaidh tu an tunail IPsec a chruthachadh anns an VPN còmhdhail (VPN 0) agus ann an seirbheis sam bith VPN (VPN 1 tro 65530, ach a-mhàin 512). Tha ainm aig an eadar-aghaidh IPsec ann an cruth ipsecnumber, far am faod an àireamh a bhith bho 1 gu 255. Feumaidh seòladh IPv4 a bhith aig gach eadar-aghaidh IPsec. Feumaidh an seòladh seo a bhith na ro-leasachan /30. Tha a h-uile trafaic anns an VPN a tha taobh a-staigh an ro-leasachan IPv4 seo air a stiùireadh gu eadar-aghaidh fiosaigeach ann an VPN 0 airson a chuir gu tèarainte thairis air tunail IPsec. Gus stòr an tunail IPsec a rèiteachadh air an inneal ionadail, faodaidh tu an dàrna cuid seòladh IP a shònrachadh an eadar-aghaidh fiosaigeach (anns an àithne tunail-stòr) no ainm an eadar-aghaidh fiosaigeach (anns an àithne tunnel-source-interface). Dèan cinnteach gu bheil an eadar-aghaidh fiosaigeach air a rèiteachadh ann an VPN 0. Gus ceann-uidhe an tunail IPsec a rèiteachadh, sònraich seòladh IP an inneal iomallach anns an àithne ceann-uidhe tunail. Tha an cothlamadh de sheòladh stòr (no ainm eadar-aghaidh stòr) agus seòladh ceann-uidhe a’ mìneachadh aon tunail IPsec. Chan fhaod ach aon tunail IPsec a bhith ann a chleachdas seòladh stòr sònraichte (no ainm eadar-aghaidh) agus paidhir seòladh ceann-uidhe.

Dèan rèiteachadh air Slighe Statach IPsec

Gus trafaic a stiùireadh bhon t-seirbheis VPN gu tunail IPsec anns a ’chòmhdhail VPN (VPN 0), bidh thu a’ rèiteachadh slighe statach a tha sònraichte do IPsec ann an seirbheis VPN (VPN seach VPN 0 no VPN 512):

  • vEdge(config)# vpn-id
  • vEdge(config-vpn)# ip ipsec-slighe ro-leasachan / fad vpn 0 eadar-aghaidh
  • àireamh ipsec [ipsecnumber2]

Is e an VPN ID seirbheis sam bith VPN (VPN 1 tro 65530, ach a-mhàin 512). Is e ro-leasachan / fad an seòladh IP no ro-leasachan, ann an comharrachadh deicheach ceithir-phàirteach le dotagach, agus fad ro-leasachan an t-slighe statach a tha sònraichte do IPsec. Is e an eadar-aghaidh an eadar-aghaidh tunail IPsec ann an VPN 0. Faodaidh tu aon no dhà eadar-aghaidh tunail IPsec a rèiteachadh. Ma shuidhicheas tu dhà, is e a’ chiad fhear am prìomh thunail IPsec, agus is e an dàrna fear an cùl-taic. Le dà eadar-aghaidh, thèid na pacaidean uile a chuir chun phrìomh thunail a-mhàin. Ma dh’ fhailicheas an tunail sin, thèid a h-uile pacaid an uairsin a chuir chun tunail àrd-sgoile. Ma thig am prìomh thunail air ais suas, thèid an trafaic gu lèir a ghluasad air ais gu prìomh thunail IPsec.

Dèan comas air IKE Tionndadh 1
Nuair a chruthaicheas tu tunail IPsec air router vEdge, tha IKE Version 1 air a chomasachadh gu bunaiteach air eadar-aghaidh an tunail. Tha na feartan a leanas cuideachd air an comasachadh gu bunaiteach airson IKEv1:

  • Dearbhadh agus crioptachadh - crioptachadh inbhe crioptachaidh adhartach AES-256 CBC leis an algairim còd dearbhaidh teachdaireachd iuchrach-hash HMAC-SHA1 airson ionracas
  • Àireamh buidhne Diffie-Hellman - 16
  • Ùine ath-chuartachaidh - 4 uairean
  • Modh stèidheachaidh na SA - Prìomh

Gu gnàthach, bidh IKEv1 a’ cleachdadh prìomh mhodh IKE gus IKE SAn a stèidheachadh. Anns a 'mhodh seo, thèid sia pacaidean co-rèiteachaidh atharrachadh gus an SA a stèidheachadh. Gus dìreach trì pacaidean co-rèiteachaidh iomlaid, leig le modh ionnsaigheach:

Thoir an aire
Bu chòir modh ionnsaigheach IKE le iuchraichean ro-roinnte a sheachnadh far an gabh sin dèanamh. Rud eile, bu chòir iuchair làidir ro-roinnte a thaghadh.

  • vEdge(config) # eadar-aghaidh vpn-id àireamh ipsec àireamh ike
  • vEdge (config-ike) # modh ionnsaigheach

Gu gnàthach, bidh IKEv1 a’ cleachdadh buidheann 16 Diffie-Hellman anns an iomlaid iuchrach IKE. Bidh a’ bhuidheann seo a’ cleachdadh a’ bhuidheann 4096-bit nas modular exponential (MODP) rè iomlaid iuchrach IKE. Faodaidh tu àireamh a’ chuantail atharrachadh gu 2 (airson 1024-bit MODP), 14 (2048-bit MODP), no 15 (3072-bit MODP):

  • vEdge(config) # eadar-aghaidh vpn-id àireamh ipsec àireamh ike
  • vEdge (config-ike) # àireamh buidhne

Gu gnàthach, bidh prìomh iomlaid IKE a’ cleachdadh crioptachadh inbhe crioptachaidh adhartach AES-256 CBC leis an algairim còd dearbhaidh teachdaireachd iuchrach-hash HMAC-SHA1 airson ionracas. Faodaidh tu an dearbhadh atharrachadh:

  • vEdge(config) # eadar-aghaidh vpn-id àireamh ipsec àireamh ike
  • vEdge (config-ike) # sreath cipher-suite

Faodaidh an t-sreath dearbhaidh a bhith mar aon de na leanas:

  • aes128-cbc-sha1-AES-128 crioptachadh inbhe crioptachaidh adhartach CBC leis an algairim còd dearbhaidh teachdaireachd iuchrach-hash HMAC-SHA1 airson ionracas
  • aes128-cbc-sha2-AES-128 crioptachadh inbhe crioptachaidh adhartach CBC leis an algairim còd dearbhaidh teachdaireachd iuchrach-hash HMAC-SHA256 airson ionracas
  • aes256-cbc-sha1-AES-256 crioptachadh inbhe crioptachaidh adhartach CBC leis an algairim còd dearbhaidh teachdaireachd iuchrach-hash HMAC-SHA1 airson ionracas; 's e seo an ro-shuidhichte.
  • aes256-cbc-sha2-AES-256 crioptachadh inbhe crioptachaidh adhartach CBC leis an algairim còd dearbhaidh teachdaireachd iuchrach-hash HMAC-SHA256 airson ionracas

Gu gnàthach, bidh iuchraichean IKE air an ùrachadh gach 1 uair (3600 diog). Faodaidh tu an eadar-ama rekeying atharrachadh gu luach bho 30 diog tro 14 latha (1209600 diogan). Thathas a 'moladh gum bi an ùine ath-chuiridh co-dhiù 1 uair a thìde.

  • vEdge(config) # eadar-aghaidh vpn-id àireamh ipsec mar
  • vEdge (config-ike) # diogan rekey

Gus gineadh iuchraichean ùra a sparradh airson seisean IKE, cuir a-mach an àithne iarrtas ipsec ike-rekey.

  • vEdge(config)# vpn-id interfaceipsec number ike

Airson IKE, faodaidh tu cuideachd dearbhadh iuchair ro-roinnte (PSK) a rèiteachadh:

  • vEdge(config) # eadar-aghaidh vpn-id àireamh ipsec àireamh ike
  • vEdge(config-ike)# Is e facal-faire facal-faire ro-roinnte-iuchrach ro-roinnte-dìomhair am facal-faire a chleachdas tu leis an iuchair ro-roinnte. Faodaidh e a bhith na ASCII no sreang hexadecimal bho 1 gu 127 caractaran a dh’ fhaid.

Ma tha ID ionadail no iomallach a dhìth air an t-seise IKE iomallach, faodaidh tu an aithnichear seo a rèiteachadh:

  • vEdge(config) # eadar-aghaidh vpn-id àireamh ipsec àireamh ike seòrsa dearbhaidh
  • vEdge (seòrsa config-authentication) # local-id id
  • vEdge (seòrsa config-authentication) # remote-id id

Faodaidh an aithnichear a bhith na sheòladh IP no sreang teacsa sam bith bho 1 gu 63 caractar a dh'fhaid. Gu gnàthach, is e an ID ionadail seòladh IP stòr an tunail agus is e an ID iomallach seòladh IP ceann-uidhe an tunail.

Dèan comas air IKE Tionndadh 2
Nuair a bhios tu a’ rèiteachadh tunail IPsec gus IKE Version 2 a chleachdadh, tha na feartan a leanas cuideachd air an comasachadh gu bunaiteach airson IKEv2:

  • Dearbhadh agus crioptachadh - crioptachadh inbhe crioptachaidh adhartach AES-256 CBC leis an algairim còd dearbhaidh teachdaireachd iuchrach-hash HMAC-SHA1 airson ionracas
  • Àireamh buidhne Diffie-Hellman - 16
  • Ùine ath-chuartachaidh - 4 uairean

Gu gnàthach, bidh IKEv2 a’ cleachdadh buidheann 16 Diffie-Hellman anns an iomlaid iuchrach IKE. Bidh a’ bhuidheann seo a’ cleachdadh a’ bhuidheann 4096-bit nas modular exponential (MODP) rè iomlaid iuchrach IKE. Faodaidh tu àireamh a’ chuantail atharrachadh gu 2 (airson 1024-bit MODP), 14 (2048-bit MODP), no 15 (3072-bit MODP):

  • vEdge(config)# vpn-id eadar-aghaidh ipsecnumber ike
  • vEdge (config-ike) # àireamh buidhne

Gu gnàthach, bidh prìomh iomlaid IKE a’ cleachdadh crioptachadh inbhe crioptachaidh adhartach AES-256 CBC leis an algairim còd dearbhaidh teachdaireachd iuchrach-hash HMAC-SHA1 airson ionracas. Faodaidh tu an dearbhadh atharrachadh:

  • vEdge(config)# vpn-id eadar-aghaidh ipsecnumber ike
  • vEdge (config-ike) # sreath cipher-suite

Faodaidh an t-sreath dearbhaidh a bhith mar aon de na leanas:

  • aes128-cbc-sha1-AES-128 crioptachadh inbhe crioptachaidh adhartach CBC leis an algairim còd dearbhaidh teachdaireachd iuchrach-hash HMAC-SHA1 airson ionracas
  • aes128-cbc-sha2-AES-128 crioptachadh inbhe crioptachaidh adhartach CBC leis an algairim còd dearbhaidh teachdaireachd iuchrach-hash HMAC-SHA256 airson ionracas
  • aes256-cbc-sha1-AES-256 crioptachadh inbhe crioptachaidh adhartach CBC leis an algairim còd dearbhaidh teachdaireachd iuchrach-hash HMAC-SHA1 airson ionracas; 's e seo an ro-shuidhichte.
  • aes256-cbc-sha2-AES-256 crioptachadh inbhe crioptachaidh adhartach CBC leis an algairim còd dearbhaidh teachdaireachd iuchrach-hash HMAC-SHA256 airson ionracas

Gu gnàthach, bidh iuchraichean IKE air an ùrachadh gach 4 uairean (14,400 diogan). Faodaidh tu an eadar-ama rekeying atharrachadh gu luach bho 30 diogan tro 14 latha (1209600 diogan):

  • vEdge(config)# vpn-id eadar-aghaidh ipsecnumber ike
  • vEdge (config-ike) # diogan rekey

Gus gineadh iuchraichean ùra a sparradh airson seisean IKE, cuir a-mach an àithne iarrtas ipsec ike-rekey. Airson IKE, faodaidh tu cuideachd dearbhadh iuchair ro-roinnte (PSK) a rèiteachadh:

  • vEdge(config)# vpn-id eadar-aghaidh ipsecnumber ike
  • vEdge(config-ike)# Is e facal-faire facal-faire ro-roinnte-iuchrach ro-roinnte-dìomhair am facal-faire a chleachdas tu leis an iuchair ro-roinnte. Faodaidh e a bhith na ASCII no sreang hexadecimal, no faodaidh e a bhith na iuchair crioptaichte AES. Ma tha ID ionadail no iomallach a dhìth air an t-seise IKE iomallach, faodaidh tu an aithnichear seo a rèiteachadh:
  • vEdge(config)# vpn-id eadar-aghaidh ipsecnumber ike seòrsa dearbhaidh
  • vEdge (seòrsa config-authentication) # local-id id
  • vEdge (seòrsa config-authentication) # remote-id id

Faodaidh an aithnichear a bhith na sheòladh IP no sreang teacsa sam bith bho 1 gu 64 caractar a dh'fhaid. Gu gnàthach, is e an ID ionadail seòladh IP stòr an tunail agus is e an ID iomallach seòladh IP ceann-uidhe an tunail.

Dèan rèiteachadh air paramadairean tunail IPsec

Clàr 4: Eachdraidh Feart

Feart Ainm Fiosrachadh Sgaoileadh Tuairisgeul
Cryptographic a bharrachd Sgaoileadh Cisco SD-WAN 20.1.1 Tha am feart seo a’ cur taic ris
Taic Algorithmic airson IPSec   HMAC_SHA256, HMAC_SHA384, agus
tunailean   Algorithms HMAC_SHA512 airson
    tèarainteachd leasaichte.

Gu gnàthach, thèid na paramadairean a leanas a chleachdadh air an tunail IPsec a bhios a’ giùlan trafaic IKE:

  • Dearbhadh agus crioptachadh - algorithm AES-256 ann an GCM (modh Galois / counter)
  • Eadar-ama ath-chuir - 4 uairean
  • Uinneag ath-chluich - 32 pacaid

Faodaidh tu an crioptachadh air tunail IPsec atharrachadh gu cipher AES-256 ann an CBC (modh slabhraidh bloc cipher, le HMAC a’ cleachdadh an dàrna cuid SHA-1 no SHA-2 dearbhadh teachdaireachd iuchrach-hash no a chuir air falbh le HMAC a’ cleachdadh an dàrna cuid SHA-1 no Dearbhadh teachdaireachd iuchrach-hash SHA-2, gus nach cuir thu a-steach an tunail IPsec a thathas a’ cleachdadh airson trafaic iomlaid iuchrach IKE:

  • vEdge (config-interface-ipsecnumber) # ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256-null-sha384 | | aes256-null-sha512 | aesXNUMX-null-shaXNUMX)

Gu gnàthach, bidh iuchraichean IKE air an ùrachadh gach 4 uairean (14,400 diogan). Faodaidh tu an eadar-ama rekeying atharrachadh gu luach bho 30 diogan tro 14 latha (1209600 diogan):

  • vEdge (config-interface-ipsecnumber) # ipsec
  • vEdge (config-ipsec) # diogan rekey

Gus cumhachd a thoirt do ghineadh iuchraichean ùra airson tunail IPsec, cuir a-mach an t-iarrtas ipsec ipsec-rekey àithne. Gu gnàthach, tha dìomhaireachd adhartach foirfe (PFS) air a chomasachadh air tunailean IPsec, gus dèanamh cinnteach nach bi buaidh air seiseanan a dh’ fhalbh ma thèid iuchraichean san àm ri teachd a chuir an cunnart. Bidh PFS a’ sparradh iomlaid iuchrach Diffie-Hellman ùr, gu bunaiteach a’ cleachdadh prìomh bhuidheann modal 4096-bit Diffie-Hellman. Faodaidh tu an suidheachadh PFS atharrachadh:

  • vEdge (config-interface-ipsecnumber) # ipsec
  • vEdge (config-ipsec) # suidheachadh pfs-dìomhair foirfe-air adhart

Faodaidh suidheachadh pfs a bhith mar aon de na leanas:

  • group-2 - Cleachd am prìomh bhuidheann modulus Diffie-Hellman 1024-bit.
  • group-14 - Cleachd am prìomh bhuidheann modulus Diffie-Hellman 2048-bit.
  • group-15 - Cleachd am prìomh bhuidheann modulus Diffie-Hellman 3072-bit.
  • group-16-Cleachd am prìomh bhuidheann modulus 4096-bit Diffie-Hellman. 'S e seo an default.
  • gin - cuir à comas PFS.

Gu gnàthach, is e 512 bytes an uinneag ath-chluich IPsec air tunail IPsec. Faodaidh tu meud na h-uinneige ath-chluich a shuidheachadh gu pacaidean 64, 128, 256, 512, 1024, 2048, no 4096:

  • vEdge (config-interface-ipsecnumber) # ipsec
  • vEdge (config-ipsec) # àireamh ath-chluich-uinneig

Atharraich IKE Marbh-Co-aoisean Lorgaidh

Bidh IKE a’ cleachdadh inneal lorgaidh co-aoisean marbh gus faighinn a-mach a bheil an ceangal ri co-aoisean IKE obrachail agus ruigsinneach. Gus an uidheamachd seo a chuir an gnìomh, bidh IKE a’ cur pacaid Hello chun cho-aoisean aige, agus bidh an co-aoisean a’ cur aithne mar fhreagairt. Gu gnàthach, bidh IKE a’ cur pacaidean Hello a h-uile 10 diog, agus às deidh trì pacaidean gun aithneachadh, tha IKE ag ainmeachadh gu bheil an nàbaidh marbh agus a’ deòir sìos an tunail chun cho-aoisean. Às deidh sin, bidh IKE bho àm gu àm a’ cur pacaid Hello chun cho-aoisean, agus ag ath-stèidheachadh an tunail nuair a thig an co-aoisean air ais air-loidhne. Faodaidh tu an eadar-ama lorg beòthalachd atharrachadh gu luach bho 0 gu 65535, agus faodaidh tu an àireamh ath-thagraidhean atharrachadh gu luach bho 0 gu 255.

Thoir an aire

Airson VPNn còmhdhail, tha an ùine lorg beòthalachd air a thionndadh gu diogan le bhith a’ cleachdadh na foirmle a leanas: Eadar-ama airson oidhirp ath-chraoladh àireamh N = eadar-ama * 1.8N-1For example, ma tha an eadar-ama air a shuidheachadh gu 10 agus a’ feuchainn air ais gu 5, bidh an ùine lorgaidh ag àrdachadh mar a leanas:

  • Oidhirp 1: 10 * 1.81-1 = 10 diogan
  • Feuch 2: 10 * 1.82-1 = 18 diogan
  • Feuch 3: 10 * 1.83-1 = 32.4 diogan
  • Feuch 4: 10 * 1.84-1 = 58.32 diogan
  • Feuch 5: 10 * 1.85-1 = 104.976 diogan

vEdge (config-interface-ipsecnumber) # àireamh ath-lorg eadar-ama lorg-co-aoisean

Dèan rèiteachadh air feartan eadar-aghaidh eile

Airson eadar-aghaidh tunail IPsec, chan urrainn dhut ach na feartan eadar-aghaidh a bharrachd a leanas a rèiteachadh:

  • vEdge (config-interface-ipsec) # mtu bytes
  • vEdge (config-interface-ipsec)# tcp-mss-adjust bytes

Cuir à comas Algorithms crioptachaidh SSH lag air Manaidsear Cisco SD-WAN

Clàr 5: Clàr Eachdraidh Feart

Feart Ainm Fiosrachadh Sgaoileadh Feart Tuairisgeul
Cuir à comas Algorithms crioptachaidh SSH lag air Manaidsear Cisco SD-WAN Cisco vManage Release 20.9.1 Leigidh am feart seo leat algorithms SSH nas laige a chuir dheth air Manaidsear Cisco SD-WAN a dh’ fhaodadh nach eil a ’gèilleadh ri inbhean tèarainteachd dàta sònraichte.

Fiosrachadh mu bhith a’ cuir à comas Algorithms crioptachaidh SSH lag air Manaidsear Cisco SD-WAN
Bidh Manaidsear Cisco SD-WAN a ’toirt seachad teachdaiche SSH airson conaltradh le co-phàirtean san lìonra, a’ toirt a-steach riaghladairean agus innealan iomaill. Bidh an neach-dèiligidh SSH a’ toirt seachad ceangal crioptaichte airson gluasad dàta tèarainte, stèidhichte air grunn algoirmean crioptachaidh. Feumaidh mòran bhuidhnean crioptachadh nas làidire na tha SHA-1, AES-128, agus AES-192 a’ toirt seachad. Bho Cisco vManage Release 20.9.1, faodaidh tu na h-algorithms crioptachaidh nas laige a leanas a dhì-cheadachadh gus nach cleachd neach-dèiligidh SSH na h-algorithms sin:

  • SHA-1
  • AES-128
  • AES-192

Mus cuir thu dheth na h-algorithms crioptachaidh sin, dèan cinnteach gu bheil innealan Cisco vEdge, ma tha gin ann, san lìonra, a’ cleachdadh brath bathar-bog nas fhaide na Cisco SD-WAN Release 18.4.6.

Buannachdan bho bhith a’ cuir à comas Algorithms crioptachaidh SSH lag air Manaidsear Cisco SD-WAN
Le bhith a’ cuir às do algoirmean crioptachaidh SSH nas laige a’ leasachadh tèarainteachd conaltraidh SSH, agus a’ dèanamh cinnteach gu bheil buidhnean a tha a’ cleachdadh Cisco Catalyst SD-WAN a’ cumail ri riaghailtean tèarainteachd teann.

Cuir à comas Algorithms crioptachaidh SSH lag air Manaidsear Cisco SD-WAN a’ cleachdadh CLI

  1. Bho chlàr Cisco SD-WAN Manager, tagh Innealan> SSH Terminal.
  2. Tagh an inneal Manaidsear Cisco SD-WAN air a bheil thu airson algorithms SSH nas laige a chuir dheth.
  3. Cuir a-steach an t-ainm-cleachdaidh agus am facal-faire gus logadh a-steach don inneal.
  4. Cuir a-steach modh frithealaiche SSH.
    • vmanage(config) # siostam
    • vmanage(config-system) # ssh-server
  5. Dèan aon de na leanas gus algairim crioptachaidh SSH a chuir dheth:
    • Cuir à comas SHA-1:
  6. stiùir (config-ssh-server) # no kex-algo sha1
  7. stiùir (config-ssh-server) # dealaich
    Tha an teachdaireachd rabhaidh a leanas ri fhaicinn: Chaidh na rabhaidhean a leanas a chruthachadh: 'system ssh-server kex-algo sha1': RABHADH: Feuch an dèan thu cinnteach gu bheil na h-oirean agad uile a’ ruith dreach còd> 18.4.6 a bhios a’ rèiteachadh nas fheàrr na SHA1 le vManage. Rud eile dh’ fhaodadh na h-oirean sin a dhol far loidhne. Air adhart? [tha, chan eil] tha
    • Dèan cinnteach gu bheil innealan Cisco vEdge sam bith san lìonra a’ ruith Cisco SD-WAN Release 18.4.6 no nas fhaide air adhart agus cuir a-steach tha.
    • Cuir à comas AES-128 agus AES-192:
    • vmanage(config-ssh-server)# no cipher aes-128-192
    • vmanage(config-ssh-server) # dealaich
      Tha an teachdaireachd rabhaidh a leanas air a thaisbeanadh:
      Chaidh na rabhaidhean a leanas a chruthachadh:
      'system ssh-server cipher aes-128-192': RABHADH: Feuch an dèan thu cinnteach gu bheil na h-oirean agad gu lèir a’ ruith dreach còd> 18.4.6 a bhios a’ rèiteachadh nas fheàrr na AES-128-192 le vManage. Rud eile dh’ fhaodadh na h-oirean sin a dhol far loidhne. Air adhart? [tha, chan eil] tha
    • Dèan cinnteach gu bheil innealan Cisco vEdge sam bith san lìonra a’ ruith Cisco SD-WAN Release 18.4.6 no nas fhaide air adhart agus cuir a-steach tha.

Dèan cinnteach gu bheil Algorithms crioptachaidh SSH lag à comas air Manaidsear Cisco SD-WAN a’ cleachdadh an CLI

  1. Bho chlàr Cisco SD-WAN Manager, tagh Innealan> SSH Terminal.
  2. Tagh an inneal Manaidsear Cisco SD-WAN a tha thu airson dearbhadh.
  3. Cuir a-steach an t-ainm-cleachdaidh agus am facal-faire gus logadh a-steach don inneal.
  4. Ruith an àithne a leanas: seall run-config system ssh-server
  5. Dearbhaich gu bheil an toradh a’ sealltainn aon no barrachd de na h-òrdughan a tha a’ cuir à comas algoirmean crioptachaidh nas laige:
    • no cipher aes-128-192
    • no kex-algo sha1

Sgrìobhainnean/Goireasan

CISCO SD-WAN Dèan rèiteachadh air paramadairean tèarainteachd [pdfStiùireadh Cleachdaiche
SD-WAN Dèan rèiteachadh air paramadairean tèarainteachd, SD-WAN, rèiteachadh paramadairean tèarainteachd, paramadairean tèarainteachd

Iomraidhean

Fàg beachd

Cha tèid do sheòladh puist-d fhoillseachadh. Tha raointean riatanach air an comharrachadh *