CISCO SD-WAN સુરક્ષા પરિમાણોને ગોઠવો

સુરક્ષા પરિમાણોને ગોઠવો

નોંધ

સરળીકરણ અને સુસંગતતા હાંસલ કરવા માટે, સિસ્કો SD-WAN સોલ્યુશનને સિસ્કો કેટાલિસ્ટ SD-WAN તરીકે પુનઃબ્રાંડ કરવામાં આવ્યું છે. વધુમાં, Cisco IOS XE SD-WAN રિલીઝ 17.12.1a અને Cisco Catalyst SD-WAN રિલીઝ 20.12.1 થી, નીચેના ઘટક ફેરફારો લાગુ છે: Cisco vManage to Cisco Catalyst SD-WAN મેનેજર, Cisco vAnalytics to CiscoSDN એનાલિટિક્સ, Cisco vBond થી Cisco Catalyst SD-WAN વેલિડેટર, અને Cisco vSmart થી Cisco Catalyst SD-WAN કંટ્રોલર. તમામ ઘટકોના બ્રાન્ડ નામ ફેરફારોની વ્યાપક સૂચિ માટે નવીનતમ પ્રકાશન નોંધો જુઓ. જ્યારે અમે નવા નામો પર સંક્રમણ કરીએ છીએ, ત્યારે સોફ્ટવેર પ્રોડક્ટના યુઝર ઇન્ટરફેસ અપડેટ્સ માટે તબક્કાવાર અભિગમને કારણે દસ્તાવેજીકરણ સેટમાં કેટલીક અસંગતતાઓ હાજર હોઈ શકે છે.

આ વિભાગ સિસ્કો કેટાલિસ્ટ SD-WAN ઓવરલે નેટવર્કમાં કંટ્રોલ પ્લેન અને ડેટા પ્લેન માટે સુરક્ષા પરિમાણો કેવી રીતે બદલવું તેનું વર્ણન કરે છે.

• કન્ટ્રોલ પ્લેન સુરક્ષા પરિમાણોને ગોઠવો, ચાલુ કરો
• ડેટા પ્લેન સુરક્ષા પરિમાણોને ગોઠવો, ચાલુ કરો
• IKE-સક્ષમ IPsec ટનલને ગોઠવો, ચાલુ કરો
• સિસ્કો SD-WAN મેનેજર પર નબળા SSH એન્ક્રિપ્શન અલ્ગોરિધમ્સને અક્ષમ કરો, ચાલુ કરો

નિયંત્રણ પ્લેન સુરક્ષા પરિમાણોને ગોઠવો

ડિફૉલ્ટ રૂપે, કન્ટ્રોલ પ્લેન DTLS નો ઉપયોગ પ્રોટોકોલ તરીકે કરે છે જે તેની તમામ ટનલ પર ગોપનીયતા પ્રદાન કરે છે. DTLS UDP પર ચાલે છે. તમે કંટ્રોલ પ્લેન સિક્યુરિટી પ્રોટોકોલને TLSમાં બદલી શકો છો, જે TCP પર ચાલે છે. TLS નો ઉપયોગ કરવાનું પ્રાથમિક કારણ એ છે કે, જો તમે Cisco SD-WAN કંટ્રોલરને સર્વર માનતા હો, તો ફાયરવોલ્સ TCP સર્વરને UDP સર્વર્સ કરતાં વધુ સારી રીતે સુરક્ષિત કરે છે. તમે સિસ્કો SD-WAN કંટ્રોલર પર કંટ્રોલ પ્લેન ટનલ પ્રોટોકોલને ગોઠવો છો: vSmart(config)# સિક્યુરિટી કંટ્રોલ પ્રોટોકોલ tls આ ફેરફાર સાથે, સિસ્કો SD-WAN કંટ્રોલર અને રાઉટર્સ અને સિસ્કો SD-WAN કંટ્રોલર વચ્ચેના તમામ નિયંત્રણ પ્લેન ટનલ. અને Cisco SD-WAN મેનેજર TLS નો ઉપયોગ કરે છે. Cisco Catalyst SD-WAN વેલિડેટર માટે પ્લેન ટનલને નિયંત્રિત કરો હંમેશા DTLS નો ઉપયોગ કરે છે, કારણ કે આ જોડાણો UDP દ્વારા હેન્ડલ કરવા જોઈએ. બહુવિધ Cisco SD-WAN નિયંત્રકો સાથેના ડોમેનમાં, જ્યારે તમે Cisco SD-WAN નિયંત્રકોમાંથી એક પર TLS ને ગોઠવો છો, ત્યારે તે નિયંત્રકથી અન્ય નિયંત્રકો સુધીની તમામ નિયંત્રણ પ્લેન ટનલ TLS નો ઉપયોગ કરે છે. બીજી રીતે કહ્યું, TLS હંમેશા DTLS પર અગ્રતા લે છે. જો કે, અન્ય સિસ્કો SD-WAN નિયંત્રકોના પરિપ્રેક્ષ્યમાં, જો તમે તેમના પર TLS રૂપરેખાંકિત ન કર્યું હોય, તો તેઓ નિયંત્રણ પ્લેન ટનલ પર માત્ર એક સિસ્કો SD-WAN નિયંત્રક માટે TLSનો ઉપયોગ કરે છે, અને તેઓ અન્ય તમામ માટે DTLS ટનલનો ઉપયોગ કરે છે. Cisco SD-WAN કંટ્રોલર્સ અને તેમના બધા કનેક્ટેડ રાઉટર્સ માટે. બધા Cisco SD-WAN નિયંત્રકો TLS નો ઉપયોગ કરવા માટે, તે બધા પર તેને ગોઠવો. મૂળભૂત રીતે, સિસ્કો SD-WAN કંટ્રોલર TLS વિનંતીઓ માટે પોર્ટ 23456 પર સાંભળે છે. આને બદલવા માટે: vSmart(config)# security control tls-port number આ પોર્ટ 1025 થી 65535 સુધીનો નંબર હોઈ શકે છે. કંટ્રોલ પ્લેન સુરક્ષા માહિતી પ્રદર્શિત કરવા માટે, Cisco SD-WAN કંટ્રોલર પર શો કંટ્રોલ કનેક્શન આદેશનો ઉપયોગ કરો. માજી માટેample: vSmart-2# નિયંત્રણ જોડાણો બતાવો

Cisco SD-WAN મેનેજરમાં DTLS ને ગોઠવો

જો તમે Cisco SD-WAN મેનેજરને કન્ટ્રોલ પ્લેન સિક્યુરિટી પ્રોટોકોલ તરીકે TLS નો ઉપયોગ કરવા માટે રૂપરેખાંકિત કરો છો, તો તમારે તમારા NAT પર પોર્ટ ફોરવર્ડિંગને સક્ષમ કરવું આવશ્યક છે. જો તમે કંટ્રોલ પ્લેન સિક્યુરિટી પ્રોટોકોલ તરીકે DTLS નો ઉપયોગ કરી રહ્યાં છો, તો તમારે કંઈ કરવાની જરૂર નથી. ફોરવર્ડ કરેલા પોર્ટ્સની સંખ્યા સિસ્કો SD-WAN મેનેજર પર ચાલી રહેલી vdaemon પ્રક્રિયાઓની સંખ્યા પર આધાર રાખે છે. આ પ્રક્રિયાઓ વિશેની માહિતી પ્રદર્શિત કરવા માટે અને ફોરવર્ડ કરવામાં આવતા પોર્ટ્સની સંખ્યા દર્શાવવા માટે, શો નિયંત્રણ સારાંશ આદેશનો ઉપયોગ કરો બતાવે છે કે ચાર ડિમન પ્રક્રિયાઓ ચાલી રહી છે:

સાંભળવાના પોર્ટ્સ જોવા માટે, show control local-properties આદેશનો ઉપયોગ કરો: vManage# show control local-properties

આ આઉટપુટ બતાવે છે કે સાંભળવાનું TCP પોર્ટ 23456 છે. જો તમે NAT પાછળ Cisco SD-WAN મેનેજર ચલાવી રહ્યા હોવ, તો તમારે NAT ઉપકરણ પર નીચેના પોર્ટ ખોલવા જોઈએ:

• 23456 (આધાર - ઉદાહરણ 0 પોર્ટ)
• 23456 + 100 (આધાર + 100)
• 23456 + 200 (આધાર + 200)
• 23456 + 300 (આધાર + 300)

નોંધ કરો કે દાખલાઓની સંખ્યા તમે Cisco SD-WAN મેનેજર માટે અસાઇન કરેલ કોરોની સંખ્યા જેટલી જ છે, મહત્તમ 8 સુધી.

સુરક્ષા ફીચર ટેમ્પલેટનો ઉપયોગ કરીને સુરક્ષા પરિમાણોને ગોઠવો

બધા Cisco vEdge ઉપકરણો માટે સુરક્ષા લક્ષણ નમૂનાનો ઉપયોગ કરો. એજ રાઉટર્સ પર અને Cisco SD-WAN વેલિડેટર પર, ડેટા પ્લેન સુરક્ષા માટે IPsec રૂપરેખાંકિત કરવા માટે આ નમૂનાનો ઉપયોગ કરો. Cisco SD-WAN મેનેજર અને Cisco SD-WAN કંટ્રોલર પર, કંટ્રોલ પ્લેન સુરક્ષા માટે DTLS અથવા TLS ને કન્ફિગર કરવા માટે સિક્યુરિટી ફીચર ટેમ્પલેટનો ઉપયોગ કરો.

સુરક્ષા પરિમાણોને ગોઠવો

1. Cisco SD-WAN મેનેજર મેનૂમાંથી, Configuration > Templates પસંદ કરો.
2. ફીચર ટેમ્પલેટ પર ક્લિક કરો અને પછી એડ ટેમ્પલેટ પર ક્લિક કરો.
   નોંધ Cisco vManage Release 20.7.1 અને પહેલાના પ્રકાશનોમાં, ફીચર ટેમ્પલેટ્સને ફીચર કહેવામાં આવે છે.
3. ડાબી તકતીમાં ઉપકરણોની સૂચિમાંથી, એક ઉપકરણ પસંદ કરો. પસંદ કરેલ ઉપકરણને લાગુ પડતા નમૂનાઓ જમણી તકતીમાં દેખાય છે.
4. ટેમ્પલેટ ખોલવા માટે સુરક્ષા પર ક્લિક કરો.
5. ટેમ્પલેટ નામ ફીલ્ડમાં, ટેમ્પલેટ માટે નામ દાખલ કરો. નામ 128 અક્ષરો સુધીનું હોઈ શકે છે અને તેમાં માત્ર આલ્ફાન્યૂમેરિક અક્ષરો હોઈ શકે છે.
6. નમૂના વર્ણન ક્ષેત્રમાં, નમૂનાનું વર્ણન દાખલ કરો. વર્ણન 2048 અક્ષરો સુધીનું હોઈ શકે છે અને તેમાં ફક્ત આલ્ફાન્યૂમેરિક અક્ષરો હોઈ શકે છે.

જ્યારે તમે સૌપ્રથમ ફીચર ટેમ્પલેટ ખોલો છો, ત્યારે દરેક પેરામીટર માટે કે જેની પાસે ડિફોલ્ટ મૂલ્ય હોય છે, સ્કોપ ડિફોલ્ટ પર સેટ થાય છે (ચેકમાર્ક દ્વારા સૂચવવામાં આવે છે), અને ડિફોલ્ટ સેટિંગ અથવા મૂલ્ય બતાવવામાં આવે છે. ડિફૉલ્ટ બદલવા અથવા મૂલ્ય દાખલ કરવા માટે, પેરામીટર ફીલ્ડની ડાબી બાજુએ સ્કોપ ડ્રોપ-ડાઉન મેનૂ પર ક્લિક કરો અને નીચેનામાંથી એક પસંદ કરો:

કોષ્ટક 1:

પરિમાણ અવકાશ

અવકાશ વર્ણન

ઉપકરણ વિશિષ્ટ (હોસ્ટ આયકન દ્વારા સૂચવાયેલ)

પરિમાણ માટે ઉપકરણ-વિશિષ્ટ મૂલ્યનો ઉપયોગ કરો. ઉપકરણ-વિશિષ્ટ પરિમાણો માટે, તમે સુવિધા નમૂનામાં મૂલ્ય દાખલ કરી શકતા નથી. જ્યારે તમે વિપ્ટેલા ઉપકરણને ઉપકરણ નમૂના સાથે જોડો છો ત્યારે તમે મૂલ્ય દાખલ કરો છો. જ્યારે તમે ઉપકરણ વિશિષ્ટ પર ક્લિક કરો છો, ત્યારે એન્ટર કી બોક્સ ખુલે છે. આ બોક્સ એક કી દર્શાવે છે, જે એક અનન્ય શબ્દમાળા છે જે CSV માં પરિમાણને ઓળખે છે file જે તમે બનાવો છો. આ file એક એક્સેલ સ્પ્રેડશીટ છે જેમાં દરેક કી માટે એક કોલમ હોય છે. હેડર પંક્તિમાં કી નામો (કૉલમ દીઠ એક કી) હોય છે અને તે પછીની દરેક પંક્તિ ઉપકરણને અનુરૂપ હોય છે અને તે ઉપકરણ માટેની કીના મૂલ્યોને વ્યાખ્યાયિત કરે છે. તમે CSV અપલોડ કરો file જ્યારે તમે વિપ્ટેલા ઉપકરણને ઉપકરણ નમૂના સાથે જોડો છો. વધુ માહિતી માટે, ટેમ્પલેટ વેરીએબલ્સ સ્પ્રેડશીટ બનાવો જુઓ. ડિફૉલ્ટ કી બદલવા માટે, નવી સ્ટ્રિંગ લખો અને એન્ટર કી બોક્સમાંથી કર્સરને બહાર ખસેડો. Exampઉપકરણ-વિશિષ્ટ પરિમાણોમાં સિસ્ટમ IP સરનામું, હોસ્ટનામ, GPS સ્થાન અને સાઇટ ID છે.

પરિમાણ અવકાશ	અવકાશ વર્ણન
વૈશ્વિક (ગ્લોબ આઇકન દ્વારા સૂચવાયેલ)	પરિમાણ માટે મૂલ્ય દાખલ કરો અને તે મૂલ્ય બધા ઉપકરણો પર લાગુ કરો. Exampઉપકરણોના જૂથમાં તમે વૈશ્વિક સ્તરે લાગુ પાડી શકો તેવા પરિમાણોમાં DNS સર્વર, syslog સર્વર અને ઇન્ટરફેસ MTUs છે.

નિયંત્રણ પ્લેન સુરક્ષા ગોઠવો

નોંધ
કોન્ફિગર કન્ટ્રોલ પ્લેન સિક્યુરિટી વિભાગ સિસ્કો SD-WAN મેનેજર અને સિસ્કો SD-WAN કંટ્રોલરને જ લાગુ પડે છે. Cisco SD-WAN મેનેજર ઉદાહરણ અથવા Cisco SD-WAN કંટ્રોલર પર કંટ્રોલ પ્લેન કનેક્શન પ્રોટોકોલને ગોઠવવા માટે, મૂળભૂત રૂપરેખાંકન વિસ્તાર પસંદ કરો. અને નીચેના પરિમાણોને ગોઠવો:

કોષ્ટક 2:

પરિમાણ નામ	વર્ણન
પ્રોટોકોલ	Cisco SD-WAN કંટ્રોલર સાથે કંટ્રોલ પ્લેન કનેક્શન પર ઉપયોગ કરવા માટે પ્રોટોકોલ પસંદ કરો: • DTLS (ડાtagરેમ ટ્રાન્સપોર્ટ લેયર સિક્યુરિટી). આ ડિફોલ્ટ છે. • TLS (ટ્રાન્સપોર્ટ લેયર સિક્યુરિટી)
TLS પોર્ટને નિયંત્રિત કરો	જો તમે TLS પસંદ કર્યું હોય, તો ઉપયોગ કરવા માટે પોર્ટ નંબરને ગોઠવો:શ્રેણી: 1025 થી 65535 સુધીડિફૉલ્ટ: 23456

સેવ પર ક્લિક કરો

ડેટા પ્લેન સુરક્ષા ગોઠવો
સિસ્કો SD-WAN વેલિડેટર અથવા સિસ્કો વેજ રાઉટર પર ડેટા પ્લેન સુરક્ષાને ગોઠવવા માટે, મૂળભૂત રૂપરેખાંકન અને પ્રમાણીકરણ પ્રકાર ટેબ પસંદ કરો, અને નીચેના પરિમાણોને ગોઠવો:

કોષ્ટક 3:

પરિમાણ નામ	વર્ણન
Rekey સમય	Cisco vEdge રાઉટર તેના સુરક્ષિત DTLS કનેક્શન પર ઉપયોગમાં લેવાતી AES કીને સિસ્કો SD-WAN કંટ્રોલર સાથે કેટલી વાર બદલે છે તેનો ઉલ્લેખ કરો. જો OMP ગ્રેસફુલ રીસ્ટાર્ટ સક્ષમ કરેલ હોય, તો રીકીઈંગ ટાઈમ OMP ગ્રેસફુલ રીસ્ટાર્ટ ટાઈમરની કિંમત કરતા ઓછામાં ઓછો બમણો હોવો જોઈએ.શ્રેણી: 10 થી 1209600 સેકન્ડ (14 દિવસ)ડિફૉલ્ટ: 86400 સેકન્ડ (24 કલાક)
વિન્ડો રીપ્લે	સ્લાઇડિંગ રિપ્લે વિન્ડોનું કદ સ્પષ્ટ કરો. મૂલ્યો: 64, 128, 256, 512, 1024, 2048, 4096, 8192 પેકેટડિફૉલ્ટ: 512 પેકેટ
IPsec pairwise-keying	આ ડિફૉલ્ટ રૂપે બંધ છે. ક્લિક કરો On તેને ચાલુ કરવા માટે.

પરિમાણ નામ

વર્ણન

પ્રમાણીકરણ પ્રકાર

માંથી પ્રમાણીકરણ પ્રકારો પસંદ કરો પ્રમાણીકરણ યાદી, અને પ્રમાણીકરણ પ્રકારોને પર ખસેડવા માટે જમણે નિર્દેશ કરતા તીરને ક્લિક કરો પસંદ કરેલ યાદી કૉલમ સિસ્કો SD-WAN રીલીઝ 20.6.1 થી આધારભૂત પ્રમાણીકરણ પ્રકારો: •  ખાસ: ESP હેડર પર Encapsulating Security Payload (ESP) એન્ક્રિપ્શન અને અખંડિતતા તપાસને સક્ષમ કરે છે. •  ip-udp-esp: ESP એન્ક્રિપ્શન સક્ષમ કરે છે. ESP હેડર અને પેલોડ પર અખંડિતતાની તપાસ ઉપરાંત, તપાસમાં બાહ્ય IP અને UDP હેડરોનો પણ સમાવેશ થાય છે. •  ip-udp-esp-no-id: IP હેડરમાં ID ફીલ્ડની અવગણના કરે છે જેથી Cisco Catalyst SD-WAN બિન-સિસ્કો ઉપકરણો સાથે જોડાણમાં કામ કરી શકે. •  કોઈ નહીં: IPSec પેકેટો પર અખંડિતતા તપાસવાનું બંધ કરે છે. અમે આ વિકલ્પનો ઉપયોગ કરવાની ભલામણ કરતા નથી.   Cisco SD-WAN રીલીઝ 20.5.1 અને પહેલાનામાં આધારભૂત પ્રમાણીકરણ પ્રકારો: •  આહ-નો-આઇડી: AH-SHA1 HMAC અને ESP HMAC-SHA1 ના ઉન્નત સંસ્કરણને સક્ષમ કરો જે પેકેટના બાહ્ય IP હેડરમાં ID ફીલ્ડને અવગણે છે. •  ah-sha1-hmac: AH-SHA1 HMAC અને ESP HMAC-SHA1 સક્ષમ કરો. •  કોઈ નહીં: કોઈ પ્રમાણીકરણ પસંદ કરો. •  sha1-hmac: ESP HMAC-SHA1 સક્ષમ કરો.   નોંધ              Cisco SD-WAN રીલીઝ 20.5.1 અથવા તેના પહેલાના પર ચાલતા એજ ડિવાઇસ માટે, તમે એક નો ઉપયોગ કરીને પ્રમાણીકરણ પ્રકારો ગોઠવ્યા હશે. સુરક્ષા નમૂનો જ્યારે તમે ઉપકરણને Cisco SD-WAN રીલીઝ 20.6.1 અથવા પછીનામાં અપગ્રેડ કરો છો, ત્યારે આમાં પસંદ કરેલ પ્રમાણીકરણ પ્રકારોને અપડેટ કરો. સુરક્ષા Cisco SD-WAN પ્રકાશન 20.6.1 માંથી આધારભૂત પ્રમાણીકરણ પ્રકારો માટેનો નમૂનો. પ્રમાણીકરણ પ્રકારોને અપડેટ કરવા માટે, નીચેના કરો: 1.      Cisco SD-WAN મેનેજર મેનૂમાંથી, પસંદ કરો રૂપરેખાંકન > નમૂનાઓ. 2.      ક્લિક કરો લક્ષણ નમૂનાઓ. 3.      શોધો સુરક્ષા અપડેટ કરવા માટે ટેમ્પલેટ અને ક્લિક કરો ... અને ક્લિક કરો સંપાદિત કરો. 4.      ક્લિક કરો અપડેટ કરો. કોઈપણ રૂપરેખાંકનમાં ફેરફાર કરશો નહીં. સિસ્કો SD-WAN મેનેજર અપડેટ કરે છે સુરક્ષા આધારભૂત પ્રમાણીકરણ પ્રકારો દર્શાવવા માટેનો નમૂનો.

સેવ પર ક્લિક કરો.

ડેટા પ્લેન સુરક્ષા પરિમાણોને ગોઠવો

ડેટા પ્લેનમાં, IPsec એ તમામ રાઉટર્સ પર ડિફોલ્ટ રૂપે સક્ષમ છે, અને મૂળભૂત રીતે IPsec ટનલ કનેક્શન્સ IPsec ટનલ પર પ્રમાણીકરણ માટે Encapsulating Security Payload (ESP) પ્રોટોકોલના ઉન્નત સંસ્કરણનો ઉપયોગ કરે છે. રાઉટર્સ પર, તમે પ્રમાણીકરણનો પ્રકાર, IPsec રીકીઇંગ ટાઈમર અને IPsec વિરોધી રીપ્લે વિન્ડોનું કદ બદલી શકો છો.

મંજૂર પ્રમાણીકરણ પ્રકારો ગોઠવો

સિસ્કો SD-WAN રિલીઝ 20.6.1 અને પછીના પ્રમાણીકરણના પ્રકારો
Cisco SD-WAN રીલીઝ 20.6.1 થી, નીચેના અખંડિતતા પ્રકારો આધારભૂત છે:

• esp: આ વિકલ્પ Encapsulating Security Payload (ESP) એન્ક્રિપ્શન અને ESP હેડર પર અખંડિતતા તપાસને સક્ષમ કરે છે.
• ip-udp-esp: આ વિકલ્પ ESP એન્ક્રિપ્શનને સક્ષમ કરે છે. ESP હેડર અને પેલોડ પર અખંડિતતા તપાસો ઉપરાંત, ચેકમાં બાહ્ય IP અને UDP હેડરોનો પણ સમાવેશ થાય છે.
• ip-udp-esp-no-id: આ વિકલ્પ ip-udp-esp જેવો જ છે, જો કે, બાહ્ય IP હેડરના ID ક્ષેત્રને અવગણવામાં આવે છે. સિસ્કો કેટાલિસ્ટ SD-WAN સોફ્ટવેર IP હેડરમાં ID ફીલ્ડને અવગણવા માટે અખંડિતતાના પ્રકારોની સૂચિમાં આ વિકલ્પને ગોઠવો જેથી સિસ્કો કેટાલિસ્ટ SD-WAN બિન-સિસ્કો ઉપકરણો સાથે જોડાણમાં કામ કરી શકે.
• કંઈ નહીં: આ વિકલ્પ IPSec પેકેટો પર અખંડિતતા તપાસવાનું બંધ કરે છે. અમે આ વિકલ્પનો ઉપયોગ કરવાની ભલામણ કરતા નથી.

મૂળભૂત રીતે, IPsec ટનલ જોડાણો પ્રમાણીકરણ માટે એન્કેપ્સ્યુલેટીંગ સિક્યુરિટી પેલોડ (ESP) પ્રોટોકોલના ઉન્નત સંસ્કરણનો ઉપયોગ કરે છે. નેગોશિયેટેડ ઇન્ટરીટી પ્રકારોને સંશોધિત કરવા અથવા અખંડિતતા તપાસ નિષ્ક્રિય કરવા માટે, નીચેના આદેશનો ઉપયોગ કરો: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | ખાસ કરીને }

સિસ્કો SD-WAN પ્રકાશન 20.6.1 પહેલા પ્રમાણીકરણના પ્રકાર
મૂળભૂત રીતે, IPsec ટનલ જોડાણો પ્રમાણીકરણ માટે એન્કેપ્સ્યુલેટીંગ સિક્યુરિટી પેલોડ (ESP) પ્રોટોકોલના ઉન્નત સંસ્કરણનો ઉપયોગ કરે છે. વાટાઘાટ કરેલ પ્રમાણીકરણ પ્રકારોને સંશોધિત કરવા અથવા પ્રમાણીકરણને અક્ષમ કરવા માટે, નીચેના આદેશનો ઉપયોગ કરો: Device(config)# security ipsec પ્રમાણીકરણ-પ્રકાર (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) મૂળભૂત રીતે, IPsec ટનલ જોડાણો AES-GCM-256 નો ઉપયોગ કરે છે, જે એન્ક્રિપ્શન અને પ્રમાણીકરણ બંને પ્રદાન કરે છે. દરેક પ્રમાણીકરણ પ્રકારને અલગ સુરક્ષા ipsec પ્રમાણીકરણ-પ્રકાર આદેશ સાથે ગોઠવો. આદેશ વિકલ્પો નીચેના પ્રમાણીકરણ પ્રકારો પર નકશા કરે છે, જે સૌથી મજબૂતથી ઓછામાં ઓછા મજબૂત સુધીના ક્રમમાં સૂચિબદ્ધ છે:

નોંધ
રૂપરેખાંકન વિકલ્પોમાં sha1 નો ઉપયોગ ઐતિહાસિક કારણોસર થાય છે. પ્રમાણીકરણ વિકલ્પો સૂચવે છે કે કેટલી પેકેટ અખંડિતતા તપાસ કરવામાં આવી છે. તેઓ એલ્ગોરિધમનો ઉલ્લેખ કરતા નથી જે અખંડિતતાને તપાસે છે. મલ્ટિકાસ્ટ ટ્રાફિકના એન્ક્રિપ્શન સિવાય, સિસ્કો કેટાલિસ્ટ SD WAN દ્વારા સમર્થિત પ્રમાણીકરણ અલ્ગોરિધમ્સ SHA1 નો ઉપયોગ કરતા નથી. જોકે Cisco SD-WAN રિલીઝ 20.1.x અને તે પછી, યુનિકાસ્ટ અને મલ્ટિકાસ્ટ બંને SHA1 નો ઉપયોગ કરતા નથી.

• ah-sha1-hmac ESP નો ઉપયોગ કરીને એન્ક્રિપ્શન અને એન્કેપ્સ્યુલેશનને સક્ષમ કરે છે. જો કે, ESP હેડર અને પેલોડ પરની અખંડિતતાની તપાસ ઉપરાંત, ચેકમાં બાહ્ય IP અને UDP હેડરનો પણ સમાવેશ થાય છે. આથી, આ વિકલ્પ ઓથેન્ટિકેશન હેડર (AH) પ્રોટોકોલ જેવા જ પેકેટની અખંડિતતા તપાસને સપોર્ટ કરે છે. તમામ અખંડિતતા અને એન્ક્રિપ્શન AES-256-GCM નો ઉપયોગ કરીને કરવામાં આવે છે.
• ah-no-id એ મોડને સક્ષમ કરે છે જે ah-sha1-hmac જેવું જ છે, જો કે, બાહ્ય IP હેડરના ID ક્ષેત્રને અવગણવામાં આવે છે. આ વિકલ્પ કેટલાક બિન-સિસ્કો કેટાલિસ્ટ SD-WAN ઉપકરણોને સમાવે છે, જેમાં Apple Airport Express NAT નો સમાવેશ થાય છે, જેમાં બગ હોય છે જે IP હેડરમાં ID ફીલ્ડનું કારણ બને છે, એક બિન-પરિવર્તનક્ષમ ક્ષેત્ર, સંશોધિત થાય છે. સિસ્કો કેટાલિસ્ટ SD-WAN AH સૉફ્ટવેર પાસે IP હેડરમાં ID ફીલ્ડને અવગણવા માટે પ્રમાણીકરણ પ્રકારોની સૂચિમાં ah-no-id વિકલ્પને ગોઠવો જેથી સિસ્કો કેટાલિસ્ટ SD-WAN સોફ્ટવેર આ ઉપકરણો સાથે જોડાણમાં કામ કરી શકે.
• sha1-hmac ESP એન્ક્રિપ્શન અને અખંડિતતા તપાસને સક્ષમ કરે છે.
• કોઈ પ્રમાણીકરણ માટે કોઈ નકશા નથી. આ વિકલ્પનો ઉપયોગ ત્યારે જ થવો જોઈએ જો તે કામચલાઉ ડિબગીંગ માટે જરૂરી હોય. તમે આ વિકલ્પને એવી પરિસ્થિતિઓમાં પણ પસંદ કરી શકો છો જ્યાં ડેટા પ્લેન પ્રમાણીકરણ અને અખંડિતતા ચિંતાનો વિષય ન હોય. સિસ્કો ઉત્પાદન નેટવર્ક માટે આ વિકલ્પનો ઉપયોગ કરવાની ભલામણ કરતું નથી.

આ પ્રમાણીકરણ પ્રકારો દ્વારા કયા ડેટા પેકેટ ફીલ્ડ્સને અસર થાય છે તે વિશેની માહિતી માટે, ડેટા પ્લેન ઇન્ટિગ્રિટી જુઓ. Cisco IOS XE કેટાલિસ્ટ SD-WAN ઉપકરણો અને Cisco vEdge ઉપકરણો તેમના TLOC ગુણધર્મોમાં તેમના રૂપરેખાંકિત પ્રમાણીકરણ પ્રકારોની જાહેરાત કરે છે. IPsec ટનલ કનેક્શનની બંને બાજુના બે રાઉટર્સ બંને રાઉટર્સ પર રૂપરેખાંકિત થયેલ મજબૂત પ્રમાણીકરણ પ્રકારનો ઉપયોગ કરીને તેમની વચ્ચેના કનેક્શન પર ઉપયોગ કરવા માટે પ્રમાણીકરણની વાટાઘાટ કરે છે. માજી માટેample, જો એક રાઉટર ah-sha1-hmac અને ah-no-id પ્રકારોની જાહેરાત કરે છે, અને બીજું રાઉટર ah-no-id પ્રકારની જાહેરાત કરે છે, તો બે રાઉટર્સ IPsec ટનલ કનેક્શન પર ah-no-id નો ઉપયોગ કરવા માટે વાટાઘાટ કરે છે. તેમને જો બે સાથીદારો પર કોઈ સામાન્ય પ્રમાણીકરણ પ્રકારો ગોઠવેલ નથી, તો તેમની વચ્ચે કોઈ IPsec ટનલ સ્થાપિત નથી. IPsec ટનલ કનેક્શન્સ પર એન્ક્રિપ્શન અલ્ગોરિધમ ટ્રાફિકના પ્રકાર પર આધારિત છે:

• યુનિકાસ્ટ ટ્રાફિક માટે, એન્ક્રિપ્શન અલ્ગોરિધમ AES-256-GCM છે.
• મલ્ટિકાસ્ટ ટ્રાફિક માટે:
• સિસ્કો SD-WAN રિલીઝ 20.1.x અને પછીનું- એન્ક્રિપ્શન અલ્ગોરિધમ AES-256-GCM છે
• અગાઉના પ્રકાશનો- એન્ક્રિપ્શન અલ્ગોરિધમ એ SHA256-HMAC સાથે AES-1-CBC છે.

જ્યારે IPsec પ્રમાણીકરણ પ્રકાર બદલાય છે, ત્યારે ડેટા પાથ માટેની AES કી બદલાઈ જાય છે.

રીકીઇંગ ટાઈમર બદલો

Cisco IOS XE કેટાલિસ્ટ SD-WAN ઉપકરણો અને Cisco vEdge ઉપકરણો ડેટા ટ્રાફિકનું વિનિમય કરી શકે તે પહેલાં, તેઓએ તેમની વચ્ચે એક સુરક્ષિત પ્રમાણિત સંચાર ચેનલ સેટ કરી. રાઉટર્સ તેમની વચ્ચે ચેનલ તરીકે IPSec ટનલનો ઉપયોગ કરે છે અને એન્ક્રિપ્શન કરવા માટે AES-256 સાઇફરનો ઉપયોગ કરે છે. દરેક રાઉટર તેના ડેટા પાથ માટે સમયાંતરે નવી AES કી જનરેટ કરે છે. મૂળભૂત રીતે, કી 86400 સેકન્ડ (24 કલાક) માટે માન્ય હોય છે, અને ટાઈમર રેન્જ 10 સેકન્ડથી 1209600 સેકન્ડ (14 દિવસ) સુધીની હોય છે. રીકી ટાઈમર વેલ્યુ બદલવા માટે: Device(config)# security ipsec rekey સેકન્ડ રૂપરેખાંકન આના જેવું દેખાય છે:

• સુરક્ષા ipsec rekey સેકન્ડ!

જો તમે તરત જ નવી IPsec કી જનરેટ કરવા માંગતા હો, તો તમે રાઉટરના રૂપરેખાંકનમાં ફેરફાર કર્યા વિના આમ કરી શકો છો. આ કરવા માટે, સમાધાન રાઉટર પર વિનંતી સુરક્ષા ipsecrekey આદેશ જારી કરો. માજી માટેample, નીચેનું આઉટપુટ બતાવે છે કે સ્થાનિક SA પાસે 256 નું સુરક્ષા પરિમાણ સૂચકાંક (SPI) છે:

દરેક SPI સાથે એક અનન્ય કી સંકળાયેલી છે. જો આ કી સાથે ચેડા થયેલ હોય, તો તરત જ નવી કી બનાવવા માટે વિનંતી સુરક્ષા ipsec-rekey આદેશનો ઉપયોગ કરો. આ આદેશ SPI ને વધારે છે. અમારા ભૂતપૂર્વ માંample, SPI 257 માં બદલાય છે અને તેની સાથે સંકળાયેલ કી હવે વપરાય છે:

• ઉપકરણ# સુરક્ષા ipsecrekey વિનંતી
• ઉપકરણ# ipsec local-sa બતાવો

નવી કી જનરેટ થયા પછી, રાઉટર તેને તરત જ DTLS અથવા TLS નો ઉપયોગ કરીને સિસ્કો SD-WAN નિયંત્રકોને મોકલે છે. સિસ્કો SD-WAN નિયંત્રકો પીઅર રાઉટર્સને કી મોકલે છે. રાઉટર્સ તેને પ્રાપ્ત થતાં જ તેનો ઉપયોગ કરવાનું શરૂ કરે છે. નોંધ કરો કે જૂની SPI (256) સાથે સંકળાયેલ કીનો સમય સમાપ્ત ન થાય ત્યાં સુધી ટૂંકા સમય માટે ઉપયોગમાં લેવાનું ચાલુ રહેશે. જૂની કીનો તરત જ ઉપયોગ કરવાનું બંધ કરવા માટે, વિનંતી સુરક્ષા ipsec-rekey આદેશને બે વાર, ઝડપી ઉત્તરાધિકારમાં જારી કરો. આદેશોનો આ ક્રમ SPI 256 અને 257 બંનેને દૂર કરે છે અને SPI ને 258 પર સેટ કરે છે. પછી રાઉટર SPI 258 ની સંલગ્ન કીનો ઉપયોગ કરે છે. નોંધ કરો કે, જ્યાં સુધી બધા રિમોટ રાઉટર્સ શીખી ન જાય ત્યાં સુધી કેટલાક પેકેટો ટૂંકા ગાળા માટે છોડી દેવામાં આવશે. નવી ચાવી.

એન્ટિ-રીપ્લે વિન્ડોનું કદ બદલો

IPsec પ્રમાણીકરણ ડેટા સ્ટ્રીમમાં દરેક પેકેટને અનન્ય ક્રમ નંબર સોંપીને એન્ટી-રીપ્લે સુરક્ષા પ્રદાન કરે છે. આ સિક્વન્સ નંબરિંગ હુમલાખોર ડુપ્લિકેટ ડેટા પેકેટ સામે રક્ષણ આપે છે. એન્ટિ-રીપ્લે પ્રોટેક્શન સાથે, પ્રેષક એકવિધ રીતે વધતા ક્રમ નંબરોને સોંપે છે, અને ગંતવ્ય ડુપ્લિકેટ્સ શોધવા માટે આ ક્રમ નંબરોને તપાસે છે. કારણ કે પેકેટો ઘણીવાર ક્રમમાં આવતા નથી, ગંતવ્ય ક્રમ નંબરોની સ્લાઇડિંગ વિન્ડો જાળવી રાખે છે જેને તે સ્વીકારશે.

ક્રમ નંબરો સાથેના પેકેટો કે જે સ્લાઇડિંગ વિન્ડો રેન્જની ડાબી બાજુએ આવે છે તે જૂના અથવા ડુપ્લિકેટ ગણવામાં આવે છે, અને ગંતવ્ય તેમને છોડી દે છે. ગંતવ્ય તેને પ્રાપ્ત થયેલ ઉચ્ચતમ ક્રમ નંબરને ટ્રૅક કરે છે, અને જ્યારે તે ઉચ્ચ મૂલ્ય સાથેનું પેકેટ મેળવે છે ત્યારે સ્લાઇડિંગ વિન્ડોને સમાયોજિત કરે છે.

મૂળભૂત રીતે, સ્લાઇડિંગ વિન્ડો 512 પેકેટો પર સેટ કરેલ છે. તે 64 અને 4096 ની વચ્ચેના કોઈપણ મૂલ્ય પર સેટ કરી શકાય છે જે 2 ની શક્તિ છે (એટલે ​​​​કે, 64, 128, 256, 512, 1024, 2048, અથવા 4096). એન્ટી-રીપ્લે વિન્ડો સાઇઝને સંશોધિત કરવા માટે, વિન્ડોની સાઈઝનો ઉલ્લેખ કરીને રીપ્લે-વિન્ડો આદેશનો ઉપયોગ કરો:

ઉપકરણ(રૂપરેખા)# સુરક્ષા ipsec રિપ્લે-વિન્ડો નંબર

રૂપરેખાંકન આના જેવું દેખાય છે:
સુરક્ષા ipsec રિપ્લે-વિન્ડો નંબર! !

QoS માં મદદ કરવા માટે, દરેક પ્રથમ આઠ ટ્રાફિક ચેનલો માટે અલગ રીપ્લે વિન્ડો જાળવવામાં આવે છે. રૂપરેખાંકિત રીપ્લે વિન્ડો માપ દરેક ચેનલ માટે આઠ દ્વારા વિભાજિત થયેલ છે. જો QoS રાઉટર પર ગોઠવેલ હોય, તો IPsec એન્ટી-રીપ્લે મિકેનિઝમના પરિણામે તે રાઉટર અપેક્ષિત કરતાં મોટી સંખ્યામાં પેકેટ ડ્રોપ અનુભવી શકે છે, અને છોડવામાં આવેલા ઘણા પેકેટો કાયદેસર છે. આવું થાય છે કારણ કે QoS પેકેટોને પુનઃક્રમાંકિત કરે છે, ઉચ્ચ-પ્રાધાન્યતાના પેકેટોને પ્રેફરન્શિયલ ટ્રીટમેન્ટ આપે છે અને નીચલા-અગ્રતાના પેકેટોમાં વિલંબ થાય છે. આ પરિસ્થિતિને ઘટાડવા અથવા રોકવા માટે, તમે નીચેની બાબતો કરી શકો છો:

• વિરોધી રીપ્લે વિન્ડોની કદ વધારો.
• પ્રથમ આઠ ટ્રાફિક ચેનલો પર એન્જીનિયર ટ્રાફિક તેની ખાતરી કરવા માટે કે ચેનલમાં ટ્રાફિક પુનઃક્રમાંકિત ન થાય.

IKE-સક્ષમ IPsec ટનલને ગોઠવો
ઓવરલે નેટવર્કમાંથી ટ્રાફિકને સર્વિસ નેટવર્ક પર સુરક્ષિત રીતે ટ્રાન્સફર કરવા માટે, તમે IPsec ટનલને ગોઠવી શકો છો જે ઇન્ટરનેટ કી એક્સચેન્જ (IKE) પ્રોટોકોલ ચલાવે છે. IKE-સક્ષમ IPsec ટનલ સુરક્ષિત પેકેટ પરિવહન સુનિશ્ચિત કરવા માટે પ્રમાણીકરણ અને એન્ક્રિપ્શન પ્રદાન કરે છે. તમે IPsec ઇન્ટરફેસને ગોઠવીને IKE-સક્ષમ IPsec ટનલ બનાવો છો. IPsec ઈન્ટરફેસ એ લોજિકલ ઈન્ટરફેસ છે, અને તમે તેને કોઈપણ અન્ય ભૌતિક ઈન્ટરફેસની જેમ જ ગોઠવો છો. તમે IPsec ઇન્ટરફેસ પર IKE પ્રોટોકોલ પરિમાણોને ગોઠવો છો, અને તમે અન્ય ઇન્ટરફેસ ગુણધર્મોને ગોઠવી શકો છો.

નોંધ Cisco IKE સંસ્કરણ 2 નો ઉપયોગ કરવાની ભલામણ કરે છે. Cisco SD-WAN 19.2.x રીલીઝથી, પ્રી-શેર્ડ કીની લંબાઈ ઓછામાં ઓછી 16 બાઇટ્સ હોવી જરૂરી છે. જ્યારે રાઉટર આવૃત્તિ 16 પર અપગ્રેડ થાય ત્યારે કીનું કદ 19.2 અક્ષરો કરતાં ઓછું હોય તો IPsec ટનલની સ્થાપના નિષ્ફળ જાય છે.

નોંધ
Cisco Catalyst SD-WAN સૉફ્ટવેર RFC 2 માં વ્યાખ્યાયિત કર્યા મુજબ IKE સંસ્કરણ 7296 ને સપોર્ટ કરે છે. IPsec ટનલ માટેનો એક ઉપયોગ એમેઝોન AWS પર ચાલતા vEdge ક્લાઉડ રાઉટર VM ઇન્સ્ટન્સને એમેઝોન વર્ચ્યુઅલ પ્રાઇવેટ ક્લાઉડ (VPC) સાથે કનેક્ટ કરવાની મંજૂરી આપવાનો છે. તમારે આ રાઉટર્સ પર IKE સંસ્કરણ 1 ને ગોઠવવું આવશ્યક છે. Cisco vEdge ઉપકરણો IPSec રૂપરેખાંકનમાં માત્ર રૂટ-આધારિત VPN ને સપોર્ટ કરે છે કારણ કે આ ઉપકરણો એન્ક્રિપ્શન ડોમેનમાં ટ્રાફિક પસંદગીકારોને વ્યાખ્યાયિત કરી શકતા નથી.

IPsec ટનલને ગોઠવો
સર્વિસ નેટવર્કમાંથી સુરક્ષિત પરિવહન ટ્રાફિક માટે IPsec ટનલ ઇન્ટરફેસને ગોઠવવા માટે, તમે લોજિકલ IPsec ઇન્ટરફેસ બનાવો છો:

તમે પરિવહન VPN (VPN 0) અને કોઈપણ સેવા VPN (VPN 1 થી 65530 સુધી, 512 સિવાય)માં IPsec ટનલ બનાવી શકો છો. IPsec ઈન્ટરફેસનું ipsecnumber ફોર્મેટમાં નામ છે, જ્યાં નંબર 1 થી 255 સુધીનો હોઈ શકે છે. દરેક IPsec ઈન્ટરફેસમાં IPv4 સરનામું હોવું આવશ્યક છે. આ સરનામું /30 ઉપસર્ગ હોવું આવશ્યક છે. VPN માંનો તમામ ટ્રાફિક જે આ IPv4 ઉપસર્ગની અંદર છે તે VPN 0 માં એક ભૌતિક ઇન્ટરફેસ પર નિર્દેશિત કરવામાં આવે છે જે IPsec ટનલ પર સુરક્ષિત રીતે મોકલવામાં આવે છે. સ્થાનિક ઉપકરણ પર IPsec ટનલના સ્ત્રોતને ગોઠવવા માટે, તમે ક્યાં તો IP સરનામું સ્પષ્ટ કરી શકો છો ભૌતિક ઈન્ટરફેસ (ટનલ-સ્રોત આદેશમાં) અથવા ભૌતિક ઈન્ટરફેસનું નામ (ટનલ-સ્રોત-ઈંટરફેસ આદેશમાં). ખાતરી કરો કે ભૌતિક ઈન્ટરફેસ VPN 0 માં ગોઠવેલ છે. IPsec ટનલના ગંતવ્યને રૂપરેખાંકિત કરવા માટે, tunnel-destination આદેશમાં રિમોટ ઉપકરણનું IP સરનામું સ્પષ્ટ કરો. સ્ત્રોત સરનામું (અથવા સ્ત્રોત ઈન્ટરફેસ નામ) અને ગંતવ્ય સરનામાનું સંયોજન એક જ IPsec ટનલને વ્યાખ્યાયિત કરે છે. માત્ર એક IPsec ટનલ અસ્તિત્વમાં હોઈ શકે છે જે ચોક્કસ સ્ત્રોત સરનામું (અથવા ઈન્ટરફેસ નામ) અને ગંતવ્ય સરનામાની જોડીનો ઉપયોગ કરે છે.

IPsec સ્ટેટિક રૂટ ગોઠવો

પરિવહન VPN (VPN 0) માં સેવા VPN થી IPsec ટનલ પર ટ્રાફિકને દિશામાન કરવા માટે, તમે સેવા VPN (VPN 0 અથવા VPN 512 સિવાયનું VPN) માં IPsec-વિશિષ્ટ સ્થિર માર્ગને ગોઠવો છો :

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-રુટ ઉપસર્ગ/લંબાઈ vpn 0 ઈન્ટરફેસ
• ipsecnumber [ipsecnumber2]

VPN ID એ કોઈપણ સેવા VPN (VPN 1 થી 65530, 512 સિવાય) નું છે. ઉપસર્ગ/લંબાઈ એ IP સરનામું અથવા ઉપસર્ગ છે, દશાંશ ચાર-ભાગ-ડોટેડ નોટેશનમાં, અને IPsec-વિશિષ્ટ સ્થિર માર્ગની ઉપસર્ગ લંબાઈ. ઈન્ટરફેસ એ VPN 0 માં IPsec ટનલ ઈન્ટરફેસ છે. તમે એક અથવા બે IPsec ટનલ ઈન્ટરફેસને ગોઠવી શકો છો. જો તમે બે રૂપરેખાંકિત કરો છો, તો પ્રથમ પ્રાથમિક IPsec ટનલ છે, અને બીજી બેકઅપ છે. બે ઇન્ટરફેસ સાથે, બધા પેકેટો ફક્ત પ્રાથમિક ટનલ પર મોકલવામાં આવે છે. જો તે ટનલ નિષ્ફળ જાય, તો પછી તમામ પેકેટ ગૌણ ટનલ પર મોકલવામાં આવે છે. જો પ્રાથમિક ટનલ પાછી આવે છે, તો તમામ ટ્રાફિકને પ્રાથમિક IPsec ટનલ પર પાછા ખસેડવામાં આવે છે.

IKE સંસ્કરણ 1 સક્ષમ કરો
જ્યારે તમે vEdge રાઉટર પર IPsec ટનલ બનાવો છો, ત્યારે IKE સંસ્કરણ 1 ટનલ ઈન્ટરફેસ પર ડિફોલ્ટ રૂપે સક્ષમ હોય છે. નીચેના ગુણધર્મો પણ IKEv1 માટે મૂળભૂત રીતે સક્ષમ છે:

• પ્રમાણીકરણ અને એન્ક્રિપ્શન—એઇએસ-256 અદ્યતન એન્ક્રિપ્શન માનક CBC એન્ક્રિપ્શન અખંડિતતા માટે HMAC-SHA1 કીડ-હેશ સંદેશ પ્રમાણીકરણ કોડ અલ્ગોરિધમ સાથે
• ડિફી-હેલમેન જૂથ નંબર-16
• રીકીઇંગ સમય અંતરાલ—4 કલાક
• SA સ્થાપના મોડ-મુખ્ય

મૂળભૂત રીતે, IKEv1 IKE SAs સ્થાપિત કરવા માટે IKE મુખ્ય મોડનો ઉપયોગ કરે છે. આ મોડમાં, SA સ્થાપિત કરવા માટે છ વાટાઘાટોના પેકેટોની આપ-લે કરવામાં આવે છે. માત્ર ત્રણ વાટાઘાટ પેકેટોની આપલે કરવા માટે, આક્રમક મોડને સક્ષમ કરો:

નોંધ
શક્ય હોય ત્યાં પ્રી-શેર્ડ કી સાથે IKE આક્રમક મોડ ટાળવો જોઈએ. અન્યથા મજબૂત પ્રી-શેર્ડ કી પસંદ કરવી જોઈએ.

• vEdge(config)# vpn vpn-id ઇન્ટરફેસ ipsec નંબર ike
• vEdge(config-ike)# મોડ આક્રમક

મૂળભૂત રીતે, IKEv1 IKE કી એક્સચેન્જમાં Diffie-Hellman જૂથ 16 નો ઉપયોગ કરે છે. આ જૂથ IKE કી વિનિમય દરમિયાન 4096-બીટ વધુ મોડ્યુલર ઘાતાંકીય (MODP) જૂથનો ઉપયોગ કરે છે. તમે ગ્રૂપ નંબરને 2 (1024-bit MODP માટે), 14 (2048-bit MODP), અથવા 15 (3072-bit MODP) માં બદલી શકો છો:

• vEdge(config)# vpn vpn-id ઇન્ટરફેસ ipsec નંબર ike
• vEdge(config-ike)# જૂથ નંબર

મૂળભૂત રીતે, IKE કી એક્સચેન્જ અખંડિતતા માટે HMAC-SHA256 કીડ-હેશ સંદેશ પ્રમાણીકરણ કોડ અલ્ગોરિધમ સાથે AES-1 એડવાન્સ્ડ એન્ક્રિપ્શન સ્ટાન્ડર્ડ CBC એન્ક્રિપ્શનનો ઉપયોગ કરે છે. તમે પ્રમાણીકરણ બદલી શકો છો:

• vEdge(config)# vpn vpn-id ઇન્ટરફેસ ipsec નંબર ike
• vEdge(config-ike)# સાઇફર-સ્યુટ સ્યુટ

પ્રમાણીકરણ સ્યુટ નીચેનામાંથી એક હોઈ શકે છે:

• aes128-cbc-sha1—AES-128 એડવાન્સ્ડ એન્ક્રિપ્શન સ્ટાન્ડર્ડ CBC એન્ક્રિપ્શન અખંડિતતા માટે HMAC-SHA1 કીડ-હેશ મેસેજ ઓથેન્ટિકેશન કોડ અલ્ગોરિધમ સાથે
• aes128-cbc-sha2—AES-128 એડવાન્સ્ડ એન્ક્રિપ્શન સ્ટાન્ડર્ડ CBC એન્ક્રિપ્શન અખંડિતતા માટે HMAC-SHA256 કીડ-હેશ મેસેજ ઓથેન્ટિકેશન કોડ અલ્ગોરિધમ સાથે
• aes256-cbc-sha1—AES-256 અગ્રતા માટે HMAC-SHA1 કીડ-હેશ સંદેશ પ્રમાણીકરણ કોડ અલ્ગોરિધમ સાથે અદ્યતન એન્ક્રિપ્શન પ્રમાણભૂત CBC એન્ક્રિપ્શન; આ મૂળભૂત છે.
• aes256-cbc-sha2—AES-256 એડવાન્સ્ડ એન્ક્રિપ્શન સ્ટાન્ડર્ડ CBC એન્ક્રિપ્શન અખંડિતતા માટે HMAC-SHA256 કીડ-હેશ મેસેજ ઓથેન્ટિકેશન કોડ અલ્ગોરિધમ સાથે

મૂળભૂત રીતે, IKE કી દર 1 કલાકે (3600 સેકન્ડ) રિફ્રેશ થાય છે. તમે 30 સેકન્ડથી 14 દિવસ (1209600 સેકન્ડ) સુધીના મૂલ્યમાં રીકીઇંગ અંતરાલ બદલી શકો છો. રીકીંગ અંતરાલ ઓછામાં ઓછો 1 કલાક હોવો આગ્રહણીય છે.

• vEdge(config)# vpn vpn-id ઈન્ટરફેસ ipsec નંબર જેમ
• vEdge(config-ike)# rekey સેકન્ડ

IKE સત્ર માટે નવી કીઓની જનરેશન માટે દબાણ કરવા માટે, ipsec ike-rekey આદેશને વિનંતી કરો.

• vEdge(config)# vpn vpn-id ઇન્ટરફેસપસેક નંબર ike

IKE માટે, તમે પ્રીશેર્ડ કી (PSK) પ્રમાણીકરણ પણ ગોઠવી શકો છો:

• vEdge(config)# vpn vpn-id ઇન્ટરફેસ ipsec નંબર ike
• vEdge(config-ike)# પ્રમાણીકરણ-પ્રકાર પ્રી-શેર્ડ-કી પ્રી-શેર્ડ-સિક્રેટ પાસવર્ડ પાસવર્ડ એ પ્રી-શેર્ડ કી સાથે વાપરવા માટેનો પાસવર્ડ છે. તે ASCII અથવા 1 થી 127 અક્ષરો સુધીની હેક્સાડેસિમલ સ્ટ્રિંગ હોઈ શકે છે.

જો રિમોટ IKE પીઅરને સ્થાનિક અથવા રિમોટ IDની જરૂર હોય, તો તમે આ ઓળખકર્તાને ગોઠવી શકો છો:

• vEdge(config)# vpn vpn-id ઇન્ટરફેસ ipsec નંબર ike પ્રમાણીકરણ-પ્રકાર
• vEdge(રૂપરેખા-પ્રમાણીકરણ-પ્રકાર)# સ્થાનિક-આઇડી id
• vEdge(રૂપરેખા-પ્રમાણીકરણ-પ્રકાર)# રીમોટ-આઇડી id

ઓળખકર્તા IP સરનામું અથવા 1 થી 63 અક્ષરો સુધીની કોઈપણ ટેક્સ્ટ સ્ટ્રિંગ હોઈ શકે છે. મૂળભૂત રીતે, સ્થાનિક ID એ ટનલનું સ્રોત IP સરનામું છે અને દૂરસ્થ ID એ ટનલનું ગંતવ્ય IP સરનામું છે.

IKE સંસ્કરણ 2 સક્ષમ કરો
જ્યારે તમે IKE સંસ્કરણ 2 નો ઉપયોગ કરવા માટે IPsec ટનલને ગોઠવો છો, ત્યારે નીચેના ગુણધર્મો પણ IKEv2 માટે મૂળભૂત રીતે સક્ષમ છે:

• પ્રમાણીકરણ અને એન્ક્રિપ્શન—એઇએસ-256 અદ્યતન એન્ક્રિપ્શન માનક CBC એન્ક્રિપ્શન અખંડિતતા માટે HMAC-SHA1 કીડ-હેશ સંદેશ પ્રમાણીકરણ કોડ અલ્ગોરિધમ સાથે
• ડિફી-હેલમેન જૂથ નંબર-16
• રીકીઇંગ સમય અંતરાલ—4 કલાક

મૂળભૂત રીતે, IKEv2 IKE કી એક્સચેન્જમાં Diffie-Hellman જૂથ 16 નો ઉપયોગ કરે છે. આ જૂથ IKE કી વિનિમય દરમિયાન 4096-બીટ વધુ મોડ્યુલર ઘાતાંકીય (MODP) જૂથનો ઉપયોગ કરે છે. તમે ગ્રૂપ નંબરને 2 (1024-bit MODP માટે), 14 (2048-bit MODP), અથવા 15 (3072-bit MODP) માં બદલી શકો છો:

• vEdge(config)# vpn vpn-id ઇન્ટરફેસ ipsecnumber ike
• vEdge(config-ike)# જૂથ નંબર

મૂળભૂત રીતે, IKE કી એક્સચેન્જ અખંડિતતા માટે HMAC-SHA256 કીડ-હેશ સંદેશ પ્રમાણીકરણ કોડ અલ્ગોરિધમ સાથે AES-1 એડવાન્સ્ડ એન્ક્રિપ્શન સ્ટાન્ડર્ડ CBC એન્ક્રિપ્શનનો ઉપયોગ કરે છે. તમે પ્રમાણીકરણ બદલી શકો છો:

• vEdge(config)# vpn vpn-id ઇન્ટરફેસ ipsecnumber ike
• vEdge(config-ike)# સાઇફર-સ્યુટ સ્યુટ

પ્રમાણીકરણ સ્યુટ નીચેનામાંથી એક હોઈ શકે છે:

• aes128-cbc-sha1—AES-128 એડવાન્સ્ડ એન્ક્રિપ્શન સ્ટાન્ડર્ડ CBC એન્ક્રિપ્શન અખંડિતતા માટે HMAC-SHA1 કીડ-હેશ મેસેજ ઓથેન્ટિકેશન કોડ અલ્ગોરિધમ સાથે
• aes128-cbc-sha2—AES-128 એડવાન્સ્ડ એન્ક્રિપ્શન સ્ટાન્ડર્ડ CBC એન્ક્રિપ્શન અખંડિતતા માટે HMAC-SHA256 કીડ-હેશ મેસેજ ઓથેન્ટિકેશન કોડ અલ્ગોરિધમ સાથે
• aes256-cbc-sha1—AES-256 અગ્રતા માટે HMAC-SHA1 કીડ-હેશ સંદેશ પ્રમાણીકરણ કોડ અલ્ગોરિધમ સાથે અદ્યતન એન્ક્રિપ્શન પ્રમાણભૂત CBC એન્ક્રિપ્શન; આ મૂળભૂત છે.
• aes256-cbc-sha2—AES-256 એડવાન્સ્ડ એન્ક્રિપ્શન સ્ટાન્ડર્ડ CBC એન્ક્રિપ્શન અખંડિતતા માટે HMAC-SHA256 કીડ-હેશ મેસેજ ઓથેન્ટિકેશન કોડ અલ્ગોરિધમ સાથે

મૂળભૂત રીતે, IKE કીઓ દર 4 કલાકે (14,400 સેકન્ડ) રિફ્રેશ થાય છે. તમે 30 સેકન્ડથી 14 દિવસ (1209600 સેકન્ડ) સુધીના મૂલ્યમાં રીકીઇંગ અંતરાલને બદલી શકો છો:

• vEdge(config)# vpn vpn-id ઇન્ટરફેસ ipsecnumber ike
• vEdge(config-ike)# rekey સેકન્ડ

IKE સત્ર માટે નવી કીઓની જનરેશન માટે દબાણ કરવા માટે, ipsec ike-rekey આદેશને વિનંતી કરો. IKE માટે, તમે પ્રીશેર્ડ કી (PSK) પ્રમાણીકરણ પણ ગોઠવી શકો છો:

• vEdge(config)# vpn vpn-id ઇન્ટરફેસ ipsecnumber ike
• vEdge(config-ike)# પ્રમાણીકરણ-પ્રકાર પ્રી-શેર્ડ-કી પ્રી-શેર્ડ-સિક્રેટ પાસવર્ડ પાસવર્ડ એ પ્રી-શેર્ડ કી સાથે વાપરવા માટેનો પાસવર્ડ છે. તે ASCII અથવા હેક્સાડેસિમલ સ્ટ્રિંગ હોઈ શકે છે અથવા તે AES-એનક્રિપ્ટેડ કી હોઈ શકે છે. જો રિમોટ IKE પીઅરને સ્થાનિક અથવા રિમોટ IDની જરૂર હોય, તો તમે આ ઓળખકર્તાને ગોઠવી શકો છો:
• vEdge(config)# vpn vpn-id ઇન્ટરફેસ ipsecnumber ike પ્રમાણીકરણ-પ્રકાર
• vEdge(રૂપરેખા-પ્રમાણીકરણ-પ્રકાર)# સ્થાનિક-આઇડી id
• vEdge(રૂપરેખા-પ્રમાણીકરણ-પ્રકાર)# રીમોટ-આઇડી id

ઓળખકર્તા IP સરનામું અથવા 1 થી 64 અક્ષરો સુધીની કોઈપણ ટેક્સ્ટ સ્ટ્રિંગ હોઈ શકે છે. મૂળભૂત રીતે, સ્થાનિક ID એ ટનલનું સ્રોત IP સરનામું છે અને દૂરસ્થ ID એ ટનલનું ગંતવ્ય IP સરનામું છે.

IPsec ટનલ પરિમાણોને ગોઠવો

કોષ્ટક 4: લક્ષણ ઇતિહાસ

લક્ષણ નામ	પ્રકાશન માહિતી	વર્ણન
વધારાના ક્રિપ્ટોગ્રાફિક	સિસ્કો SD-WAN પ્રકાશન 20.1.1	આ સુવિધા માટે સમર્થન ઉમેરે છે
IPSec માટે અલ્ગોરિધમિક સપોર્ટ		HMAC_SHA256, HMAC_SHA384, અને
ટનલ		માટે HMAC_SHA512 અલ્ગોરિધમ્સ
		ઉન્નત સુરક્ષા.

મૂળભૂત રીતે, નીચેના પરિમાણોનો ઉપયોગ IPsec ટનલ પર થાય છે જે IKE ટ્રાફિકને વહન કરે છે:

• પ્રમાણીકરણ અને એન્ક્રિપ્શન - GCM માં AES-256 અલ્ગોરિધમ (ગેલોઇસ/કાઉન્ટર મોડ)
• રીકીઇંગ અંતરાલ—4 કલાક
• રિપ્લે વિન્ડો—32 પેકેટ

તમે IPsec ટનલ પરના એન્ક્રિપ્શનને CBC માં AES-256 સાઇફરમાં બદલી શકો છો (સાઇફર બ્લોક ચેઇનિંગ મોડ, HMAC સાથે SHA-1 અથવા SHA-2 કીડ-હેશ સંદેશ પ્રમાણીકરણનો ઉપયોગ કરીને અથવા SHA-1 નો ઉપયોગ કરીને HMAC સાથે રદ કરી શકો છો અથવા SHA-2 કીડ-હેશ સંદેશ પ્રમાણીકરણ, IKE કી એક્સચેન્જ ટ્રાફિક માટે ઉપયોગમાં લેવાતી IPsec ટનલને એન્ક્રિપ્ટ ન કરવા માટે:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# સાઇફર-સ્યુટ (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | | aes256-null-sha256 | aes256-null-sha384)

મૂળભૂત રીતે, IKE કીઓ દર 4 કલાકે (14,400 સેકન્ડ) રિફ્રેશ થાય છે. તમે 30 સેકન્ડથી 14 દિવસ (1209600 સેકન્ડ) સુધીના મૂલ્યમાં રીકીઇંગ અંતરાલને બદલી શકો છો:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# rekey સેકન્ડ

IPsec ટનલ માટે નવી કીઓ બનાવવા માટે દબાણ કરવા માટે, ipsec ipsec-rekey આદેશને વિનંતી કરો. ડિફૉલ્ટ રૂપે, IPsec ટનલ પર પરફેક્ટ ફોરવર્ડ સિક્રસી (PFS) સક્ષમ છે, તેની ખાતરી કરવા માટે કે જો ભવિષ્યની ચાવીઓ સાથે ચેડા કરવામાં આવે તો ભૂતકાળના સત્રોને અસર ન થાય. PFS 4096-bit ડિફી-હેલમેન પ્રાઇમ મોડ્યુલ જૂથનો ઉપયોગ કરીને ડિફૉલ્ટ રૂપે, નવા ડિફી-હેલમેન કી એક્સચેન્જને દબાણ કરે છે. તમે PFS સેટિંગ બદલી શકો છો:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# પરફેક્ટ-ફોરવર્ડ-સિક્રેસી pfs-સેટિંગ

pfs-સેટિંગ નીચેનામાંથી એક હોઈ શકે છે:

• જૂથ-2—1024-બીટ ડિફી-હેલમેન પ્રાઇમ મોડ્યુલસ જૂથનો ઉપયોગ કરો.
• જૂથ-14—2048-બીટ ડિફી-હેલમેન પ્રાઇમ મોડ્યુલસ જૂથનો ઉપયોગ કરો.
• જૂથ-15—3072-બીટ ડિફી-હેલમેન પ્રાઇમ મોડ્યુલસ જૂથનો ઉપયોગ કરો.
• જૂથ-16—4096-બીટ ડિફી-હેલમેન પ્રાઇમ મોડ્યુલસ જૂથનો ઉપયોગ કરો. આ ડિફોલ્ટ છે.
• કોઈ નહીં - PFS અક્ષમ કરો.

મૂળભૂત રીતે, IPsec ટનલ પર IPsec રિપ્લે વિન્ડો 512 બાઇટ્સ છે. તમે રિપ્લે વિન્ડો માપને 64, 128, 256, 512, 1024, 2048 અથવા 4096 પેકેટો પર સેટ કરી શકો છો:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# રિપ્લે-વિન્ડો નંબર

IKE ડેડ-પીઅર ડિટેક્શનમાં ફેરફાર કરો

IKE પીઅર સાથેનું જોડાણ કાર્યાત્મક અને પહોંચી શકાય તેવું છે કે કેમ તે નિર્ધારિત કરવા માટે IKE ડેડ-પીઅર ડિટેક્શન મિકેનિઝમનો ઉપયોગ કરે છે. આ મિકેનિઝમને અમલમાં મૂકવા માટે, IKE તેના પીઅરને હેલો પેકેટ મોકલે છે, અને પીઅર જવાબમાં એક સ્વીકૃતિ મોકલે છે. મૂળભૂત રીતે, IKE દર 10 સેકન્ડે હેલો પેકેટ્સ મોકલે છે, અને ત્રણ અસ્વીકાર્ય પેકેટો પછી, IKE પાડોશીને મૃત જાહેર કરે છે અને પીઅરને ટનલ નીચે આંસુ પાડે છે. ત્યારપછી, IKE સમયાંતરે પીઅરને હેલો પેકેટ મોકલે છે અને જ્યારે પીઅર પાછા ઓનલાઈન આવે છે ત્યારે ટનલ પુનઃસ્થાપિત કરે છે. તમે જીવંતતા શોધ અંતરાલને 0 થી 65535 સુધીના મૂલ્યમાં બદલી શકો છો, અને તમે ફરીથી પ્રયાસોની સંખ્યાને 0 થી 255 સુધીના મૂલ્યમાં બદલી શકો છો.

નોંધ

પરિવહન VPN માટે, જીવંતતા શોધ અંતરાલને નીચેના સૂત્રનો ઉપયોગ કરીને સેકન્ડમાં રૂપાંતરિત કરવામાં આવે છે: પુનઃપ્રસારણ પ્રયાસ નંબર N = અંતરાલ * 1.8N-1 માટે અંતરાલample, જો અંતરાલ 10 પર સેટ કરેલ હોય અને 5 પર પુનઃપ્રયાસ કરે, તો શોધ અંતરાલ નીચે પ્રમાણે વધે છે:

• પ્રયાસ 1: 10 * 1.81-1 = 10 સેકન્ડ
• પ્રયાસ 2: 10 * 1.82-1 = 18 સેકન્ડ
• પ્રયાસ 3: 10 * 1.83-1 = 32.4 સેકન્ડ
• પ્રયાસ 4: 10 * 1.84-1 = 58.32 સેકન્ડ
• પ્રયાસ 5: 10 * 1.85-1 = 104.976 સેકન્ડ

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval retris number

અન્ય ઈન્ટરફેસ ગુણધર્મો રૂપરેખાંકિત કરો

IPsec ટનલ ઈન્ટરફેસ માટે, તમે ફક્ત નીચેના વધારાના ઈન્ટરફેસ ગુણધર્મોને ગોઠવી શકો છો:

• vEdge(config-interface-ipsec)# mtu બાઇટ્સ
• vEdge(config-interface-ipsec)# tcp-mss-એડજસ્ટ બાઇટ્સ

Cisco SD-WAN મેનેજર પર નબળા SSH એન્ક્રિપ્શન અલ્ગોરિધમ્સને અક્ષમ કરો

કોષ્ટક 5: લક્ષણ ઇતિહાસ કોષ્ટક

લક્ષણ નામ	પ્રકાશન માહિતી	લક્ષણ વર્ણન
Cisco SD-WAN મેનેજર પર નબળા SSH એન્ક્રિપ્શન અલ્ગોરિધમ્સને અક્ષમ કરો	સિસ્કો vManage પ્રકાશન 20.9.1	આ સુવિધા તમને Cisco SD-WAN મેનેજર પર નબળા SSH અલ્ગોરિધમ્સને અક્ષમ કરવાની મંજૂરી આપે છે જે ચોક્કસ ડેટા સુરક્ષા ધોરણોનું પાલન ન કરી શકે.

સિસ્કો SD-WAN મેનેજર પર નબળા SSH એન્ક્રિપ્શન અલ્ગોરિધમ્સને અક્ષમ કરવા વિશે માહિતી
Cisco SD-WAN મેનેજર કંટ્રોલર્સ અને એજ ડિવાઈસ સહિત નેટવર્કમાંના ઘટકો સાથે સંચાર માટે SSH ક્લાયંટ પૂરું પાડે છે. SSH ક્લાયંટ વિવિધ એન્ક્રિપ્શન અલ્ગોરિધમ્સના આધારે, સુરક્ષિત ડેટા ટ્રાન્સફર માટે એક એન્ક્રિપ્ટેડ કનેક્શન પ્રદાન કરે છે. ઘણી સંસ્થાઓને SHA-1, AES-128, અને AES-192 દ્વારા પ્રદાન કરાયેલ કરતાં વધુ મજબૂત એન્ક્રિપ્શનની જરૂર છે. Cisco vManage Release 20.9.1 થી, તમે નીચેના નબળા એન્ક્રિપ્શન અલ્ગોરિધમ્સને અક્ષમ કરી શકો છો જેથી કરીને SSH ક્લાયંટ આ અલ્ગોરિધમનો ઉપયોગ ન કરે:

• SHA-1
• AES-128
• AES-192

આ એન્ક્રિપ્શન અલ્ગોરિધમ્સને અક્ષમ કરતા પહેલા, ખાતરી કરો કે Cisco vEdge ઉપકરણો, જો કોઈ હોય તો, નેટવર્કમાં, Cisco SD-WAN રિલીઝ 18.4.6 કરતાં પાછળથી સોફ્ટવેર રિલીઝનો ઉપયોગ કરી રહ્યાં છે.

સિસ્કો SD-WAN મેનેજર પર નબળા SSH એન્ક્રિપ્શન અલ્ગોરિધમ્સને અક્ષમ કરવાના ફાયદા
નબળા SSH એન્ક્રિપ્શન અલ્ગોરિધમ્સને અક્ષમ કરવાથી SSH સંચારની સુરક્ષામાં સુધારો થાય છે, અને ખાતરી કરે છે કે Cisco Catalyst SD-WAN નો ઉપયોગ કરતી સંસ્થાઓ કડક સુરક્ષા નિયમોનું પાલન કરે છે.

CLI નો ઉપયોગ કરીને સિસ્કો SD-WAN મેનેજર પર નબળા SSH એન્ક્રિપ્શન અલ્ગોરિધમ્સને અક્ષમ કરો

1. Cisco SD-WAN મેનેજર મેનૂમાંથી, Tools > SSH ટર્મિનલ પસંદ કરો.
2. સિસ્કો SD-WAN મેનેજર ઉપકરણ પસંદ કરો કે જેના પર તમે નબળા SSH અલ્ગોરિધમ્સને અક્ષમ કરવા માંગો છો.
3. ઉપકરણમાં લૉગ ઇન કરવા માટે વપરાશકર્તા નામ અને પાસવર્ડ દાખલ કરો.
4. SSH સર્વર મોડ દાખલ કરો.
   • vmanage(config)# સિસ્ટમ
   • vmanage(config-system)# ssh-server
5. SSH એન્ક્રિપ્શન અલ્ગોરિધમને અક્ષમ કરવા માટે નીચેનામાંથી એક કરો:
   • SHA-1 અક્ષમ કરો:
6. મેનેજ કરો(config-ssh-server)# no kex-algo sha1
7. મેનેજ કરો(config-ssh-server)# કમિટ
   નીચેનો ચેતવણી સંદેશ પ્રદર્શિત થાય છે: નીચેની ચેતવણીઓ જનરેટ કરવામાં આવી હતી: 'system ssh-server kex-algo sha1': ચેતવણી: કૃપા કરીને ખાતરી કરો કે તમારી બધી ધાર કોડ વર્ઝન > 18.4.6 ચલાવે છે જે vManage સાથે SHA1 કરતાં વધુ સારી રીતે વાટાઘાટ કરે છે. નહિંતર તે ધાર ઑફલાઇન થઈ શકે છે. આગળ વધો? [હા, ના] હા
   • ખાતરી કરો કે નેટવર્કમાં કોઈપણ Cisco vEdge ઉપકરણો Cisco SD-WAN રીલીઝ 18.4.6 અથવા પછીનું ચાલી રહ્યું છે અને હા દાખલ કરો.
   • AES-128 અને AES-192 ને અક્ષમ કરો:
   • vmanage(config-ssh-server)# no cipher aes-128-192
   • vmanage(config-ssh-server)# કમિટ
     નીચેનો ચેતવણી સંદેશ પ્રદર્શિત થાય છે:
     નીચેની ચેતવણીઓ જનરેટ કરવામાં આવી હતી:
     'system ssh-server cipher aes-128-192': ચેતવણી: કૃપા કરીને ખાતરી કરો કે તમારી બધી ધાર કોડ વર્ઝન > 18.4.6 ચલાવે છે જે vManage સાથે AES-128-192 કરતાં વધુ સારી રીતે વાટાઘાટ કરે છે. નહિંતર તે ધાર ઑફલાઇન થઈ શકે છે. આગળ વધીએ? [હા, ના] હા
   • ખાતરી કરો કે નેટવર્કમાં કોઈપણ Cisco vEdge ઉપકરણો Cisco SD-WAN રીલીઝ 18.4.6 અથવા પછીનું ચાલી રહ્યું છે અને હા દાખલ કરો.

ચકાસો કે નબળા SSH એન્ક્રિપ્શન અલ્ગોરિધમ્સ CLI નો ઉપયોગ કરીને સિસ્કો SD-WAN મેનેજર પર અક્ષમ છે.

1. Cisco SD-WAN મેનેજર મેનૂમાંથી, Tools > SSH ટર્મિનલ પસંદ કરો.
2. તમે ચકાસવા માંગો છો તે Cisco SD-WAN મેનેજર ઉપકરણ પસંદ કરો.
3. ઉપકરણમાં લૉગ ઇન કરવા માટે વપરાશકર્તા નામ અને પાસવર્ડ દાખલ કરો.
4. નીચેનો આદેશ ચલાવો: રનિંગ-કોન્ફિગ સિસ્ટમ ssh-સર્વર બતાવો
5. પુષ્ટિ કરો કે આઉટપુટ એક અથવા વધુ આદેશો દર્શાવે છે જે નબળા એન્ક્રિપ્શન અલ્ગોરિધમ્સને અક્ષમ કરે છે:
   • કોઈ સાઇફર aes-128-192 નથી
   • કોઈ kex-algo sha1 નથી

દસ્તાવેજો / સંસાધનો

CISCO SD-WAN સુરક્ષા પરિમાણોને ગોઠવો [પીડીએફ] વપરાશકર્તા માર્ગદર્શિકા SD-WAN સુરક્ષા પરિમાણોને ગોઠવો, SD-WAN, સુરક્ષા પરિમાણોને ગોઠવો, સુરક્ષા પરિમાણો

સંદર્ભો

• વપરાશકર્તા માર્ગદર્શિકા