सिस्को एसडी-डब्ल्यूएएन कॉन्फिगर सुरक्षा पैरामीटर उपयोगकर्ता गाइड

सरलीकरण और स्थिरता प्राप्त करने के लिए, सिस्को एसडी-डब्ल्यूएएन समाधान को सिस्को उत्प्रेरक एसडी-डब्ल्यूएएन के रूप में पुनः ब्रांडेड किया गया है। इसके अलावा, सिस्को IOS एनालिटिक्स, सिस्को वीबॉन्ड से सिस्को कैटलिस्ट एसडी-डब्ल्यूएएन वैलिडेटर, और सिस्को वीस्मार्ट से सिस्को कैटलिस्ट एसडी-डब्ल्यूएएन कंट्रोलर। सभी घटक ब्रांड नाम परिवर्तनों की विस्तृत सूची के लिए नवीनतम रिलीज़ नोट्स देखें। जब हम नए नामों में परिवर्तन करते हैं, तो सॉफ़्टवेयर उत्पाद के उपयोगकर्ता इंटरफ़ेस अपडेट के लिए चरणबद्ध दृष्टिकोण के कारण दस्तावेज़ीकरण सेट में कुछ विसंगतियां मौजूद हो सकती हैं।

यह अनुभाग बताता है कि Cisco Catalyst SD-WAN ओवरले नेटवर्क में नियंत्रण प्लेन और डेटा प्लेन के लिए सुरक्षा पैरामीटर कैसे बदलें।

नियंत्रण प्लेन सुरक्षा पैरामीटर कॉन्फ़िगर करें, चालू

डेटा प्लेन सुरक्षा पैरामीटर कॉन्फ़िगर करें, चालू
IKE-सक्षम IPsec सुरंगों को कॉन्फ़िगर करें, पर

सिस्को SD-WAN प्रबंधक पर कमज़ोर SSH एन्क्रिप्शन एल्गोरिदम अक्षम करें,

कंट्रोल प्लेन सुरक्षा पैरामीटर कॉन्फ़िगर करें

डिफ़ॉल्ट रूप से, कंट्रोल प्लेन DTLS को प्रोटोकॉल के रूप में उपयोग करता है जो इसके सभी टनल्स पर गोपनीयता प्रदान करता है। DTLS UDP पर चलता है। आप कंट्रोल प्लेन सुरक्षा प्रोटोकॉल को TLS में बदल सकते हैं, जो TCP पर चलता है। TLS का उपयोग करने का प्राथमिक कारण यह है कि, यदि आप Cisco SD-WAN कंट्रोलर को सर्वर मानते हैं, तो फ़ायरवॉल UDP सर्वरों की तुलना में TCP सर्वरों की बेहतर सुरक्षा करते हैं। आप Cisco SD-WAN कंट्रोलर पर कंट्रोल प्लेन टनल प्रोटोकॉल कॉन्फ़िगर करते हैं: vSmart(config)# security control protocol tls इस परिवर्तन के साथ, Cisco SD-WAN कंट्रोलर और राउटर्स के बीच और Cisco SD-WAN कंट्रोलर और Cisco SD-WAN मैनेजर के बीच सभी कंट्रोल प्लेन टनल TLS का उपयोग करते हैं कई Cisco SD-WAN नियंत्रकों वाले डोमेन में, जब आप Cisco SD-WAN नियंत्रकों में से किसी एक पर TLS कॉन्फ़िगर करते हैं, तो उस नियंत्रक से दूसरे नियंत्रकों तक सभी कंट्रोल प्लेन सुरंगें TLS का उपयोग करती हैं। दूसरे तरीके से कहा जाए, तो TLS हमेशा DTLS पर वरीयता लेता है। हालाँकि, अन्य Cisco SD-WAN नियंत्रकों के दृष्टिकोण से, यदि आपने उन पर TLS कॉन्फ़िगर नहीं किया है, तो वे केवल उस एक Cisco SD-WAN नियंत्रक के लिए कंट्रोल प्लेन सुरंग पर TLS का उपयोग करते हैं, और वे सभी अन्य Cisco SD-WAN नियंत्रकों और उनके सभी कनेक्टेड राउटरों के लिए DTLS सुरंगों का उपयोग करते हैं। सभी Cisco SD-WAN नियंत्रकों को TLS का उपयोग करने के लिए, इसे उन सभी पर कॉन्फ़िगर करें। डिफ़ॉल्ट रूप से, Cisco SD-WAN नियंत्रक TLS अनुरोधों के लिए पोर्ट 23456 पर सुनता है। इसे बदलने के लिए: vSmart(config)# security control tls-port number पोर्ट 1025 से 65535 तक का नंबर हो सकता है। कंट्रोल प्लेन सुरक्षा जानकारी प्रदर्शित करने के लिए, Cisco SD-WAN कंट्रोलर पर show control connections कमांड का उपयोग करें। उदाहरण के लिएample: vSmart-2# नियंत्रण कनेक्शन दिखाएं

Cisco SD-WAN प्रबंधक में DTLS कॉन्फ़िगर करें

यदि आप Cisco SD-WAN प्रबंधक को TLS को नियंत्रण विमान सुरक्षा प्रोटोकॉल के रूप में उपयोग करने के लिए कॉन्फ़िगर करते हैं, तो आपको अपने NAT पर पोर्ट फ़ॉरवर्डिंग सक्षम करना होगा। यदि आप DTLS को नियंत्रण विमान सुरक्षा प्रोटोकॉल के रूप में उपयोग कर रहे हैं, तो आपको कुछ भी करने की आवश्यकता नहीं है। अग्रेषित किए गए पोर्ट की संख्या Cisco SD-WAN प्रबंधक पर चल रही vdaemon प्रक्रियाओं की संख्या पर निर्भर करती है। इन प्रक्रियाओं और अग्रेषित किए जा रहे पोर्ट की संख्या के बारे में जानकारी प्रदर्शित करने के लिए, शो कंट्रोल सारांश कमांड का उपयोग करें जो दिखाता है कि चार डेमॉन प्रक्रियाएँ चल रही हैं:

सुनने वाले पोर्ट देखने के लिए, show control local-properties कमांड का उपयोग करें: vManage# show control local-properties

यह आउटपुट दर्शाता है कि सुनने वाला TCP पोर्ट 23456 है। यदि आप NAT के पीछे Cisco SD-WAN प्रबंधक चला रहे हैं, तो आपको NAT डिवाइस पर निम्नलिखित पोर्ट खोलने चाहिए:

23456 (आधार – इंस्टेंस 0 पोर्ट)

23456 + 100 (आधार + 100)
23456 + 200 (आधार + 200)

23456 + 300 (आधार + 300)

ध्यान दें कि इंस्टैंस की संख्या आपके द्वारा Cisco SD-WAN प्रबंधक के लिए निर्दिष्ट कोर की संख्या के समान है, जो अधिकतम 8 तक है।

सुरक्षा सुविधा टेम्पलेट का उपयोग करके सुरक्षा पैरामीटर कॉन्फ़िगर करें

सभी Cisco vEdge डिवाइस के लिए सुरक्षा सुविधा टेम्पलेट का उपयोग करें। एज राउटर और Cisco SD-WAN वैलिडेटर पर, डेटा प्लेन सुरक्षा के लिए IPsec कॉन्फ़िगर करने के लिए इस टेम्पलेट का उपयोग करें। Cisco SD-WAN प्रबंधक और Cisco SD-WAN नियंत्रक पर, नियंत्रण प्लेन सुरक्षा के लिए DTLS या TLS कॉन्फ़िगर करने के लिए सुरक्षा सुविधा टेम्पलेट का उपयोग करें।

सुरक्षा पैरामीटर कॉन्फ़िगर करें

सिस्को SD-WAN प्रबंधक मेनू से, कॉन्फ़िगरेशन > टेम्पलेट चुनें।

फ़ीचर टेम्पलेट्स पर क्लिक करें और फिर टेम्पलेट जोड़ें पर क्लिक करें.
टिप्पणी सिस्को vManage रिलीज़ 20.7.1 और इससे पहले के रिलीज़ में, फ़ीचर टेम्प्लेट को फ़ीचर कहा जाता है।
बाएँ फलक में डिवाइस सूची से, कोई डिवाइस चुनें। चयनित डिवाइस पर लागू टेम्पलेट दाएँ फलक में दिखाई देते हैं।

टेम्पलेट खोलने के लिए सुरक्षा पर क्लिक करें.
टेम्पलेट नाम फ़ील्ड में, टेम्पलेट के लिए एक नाम दर्ज करें। नाम 128 अक्षरों तक का हो सकता है और इसमें केवल अल्फ़ान्यूमेरिक अक्षर ही हो सकते हैं।

टेम्पलेट विवरण फ़ील्ड में, टेम्पलेट का विवरण दर्ज करें। विवरण 2048 वर्णों तक का हो सकता है और इसमें केवल अल्फ़ान्यूमेरिक वर्ण ही हो सकते हैं।

जब आप पहली बार कोई फ़ीचर टेम्प्लेट खोलते हैं, तो प्रत्येक पैरामीटर के लिए जिसका डिफ़ॉल्ट मान होता है, स्कोप डिफ़ॉल्ट पर सेट होता है (चेकमार्क द्वारा दर्शाया जाता है), और डिफ़ॉल्ट सेटिंग या मान दिखाया जाता है। डिफ़ॉल्ट को बदलने या मान दर्ज करने के लिए, पैरामीटर फ़ील्ड के बाईं ओर स्कोप ड्रॉप-डाउन मेनू पर क्लिक करें और निम्न में से कोई एक चुनें:

तालिका नंबर एक:

पैरामीटर दायरा

कार्यक्षेत्र विवरण

डिवाइस विशिष्ट (होस्ट आइकन द्वारा इंगित)

पैरामीटर के लिए डिवाइस-विशिष्ट मान का उपयोग करें। डिवाइस-विशिष्ट पैरामीटर के लिए, आप फ़ीचर टेम्पलेट में मान दर्ज नहीं कर सकते। जब आप किसी डिवाइस टेम्पलेट में Viptela डिवाइस संलग्न करते हैं, तो आप मान दर्ज करते हैं।

जब आप डिवाइस स्पेसिफिक पर क्लिक करते हैं, तो एंटर की बॉक्स खुलता है। यह बॉक्स एक कुंजी प्रदर्शित करता है, जो एक अद्वितीय स्ट्रिंग है जो CSV में पैरामीटर की पहचान करता है file जो आप बनाते हैं। file एक एक्सेल स्प्रेडशीट है जिसमें प्रत्येक कुंजी के लिए एक कॉलम होता है। हेडर पंक्ति में कुंजी नाम (प्रति कॉलम एक कुंजी) होते हैं, और उसके बाद प्रत्येक पंक्ति एक डिवाइस से मेल खाती है और उस डिवाइस के लिए कुंजियों के मानों को परिभाषित करती है। आप CSV अपलोड करते हैं file जब आप किसी डिवाइस टेम्पलेट में Viptela डिवाइस संलग्न करते हैं। अधिक जानकारी के लिए, टेम्पलेट वैरिएबल स्प्रेडशीट बनाएँ देखें।

डिफ़ॉल्ट कुंजी बदलने के लिए, एक नई स्ट्रिंग टाइप करें और कर्सर को एंटर कुंजी बॉक्स से बाहर ले जाएं।

Exampडिवाइस-विशिष्ट पैरामीटरों में सिस्टम आईपी पता, होस्टनाम, जीपीएस स्थान और साइट आईडी शामिल हैं।

पैरामीटर दायरा

कार्यक्षेत्र विवरण

वैश्विक (ग्लोब चिह्न द्वारा दर्शाया गया)

पैरामीटर के लिए मान दर्ज करें, और उस मान को सभी डिवाइस पर लागू करें.

Exampकुछ पैरामीटर जिन्हें आप वैश्विक रूप से उपकरणों के समूह पर लागू कर सकते हैं, वे हैं DNS सर्वर, syslog सर्वर, और इंटरफ़ेस MTUs।

नियंत्रण विमान सुरक्षा कॉन्फ़िगर करें

टिप्पणी
नियंत्रण प्लेन सुरक्षा कॉन्फ़िगर करें अनुभाग केवल Cisco SD-WAN प्रबंधक और Cisco SD-WAN नियंत्रक पर लागू होता है। Cisco SD-WAN प्रबंधक इंस्टेंस या Cisco SD-WAN नियंत्रक पर नियंत्रण प्लेन कनेक्शन प्रोटोकॉल कॉन्फ़िगर करने के लिए, मूल कॉन्फ़िगरेशन क्षेत्र चुनें और निम्नलिखित पैरामीटर कॉन्फ़िगर करें:

तालिका नंबर एक:

पैरामीटर नाम

विवरण

शिष्टाचार

Cisco SD-WAN नियंत्रक के लिए नियंत्रण तल कनेक्शन पर उपयोग करने के लिए प्रोटोकॉल चुनें:

• डीटीएलएस (डीएtagरैम ट्रांसपोर्ट लेयर सिक्योरिटी). यह डिफ़ॉल्ट है.

• टीएलएस (ट्रांसपोर्ट लेयर सिक्योरिटी)

TLS पोर्ट नियंत्रित करें

यदि आपने TLS का चयन किया है, तो उपयोग करने के लिए पोर्ट संख्या कॉन्फ़िगर करें:श्रेणी: 1025 से 65535गलती करना: 23456

सहेजें पर क्लिक करें

डेटा प्लेन सुरक्षा कॉन्फ़िगर करें
सिस्को SD-WAN वैलिडेटर या सिस्को vEdge राउटर पर डेटा प्लेन सुरक्षा कॉन्फ़िगर करने के लिए, बेसिक कॉन्फ़िगरेशन और प्रमाणीकरण प्रकार टैब चुनें, और निम्नलिखित पैरामीटर कॉन्फ़िगर करें:

तालिका नंबर एक:

पैरामीटर नाम	विवरण
रीकी समय	निर्दिष्ट करें कि Cisco vEdge राउटर अपने सुरक्षित DTLS कनेक्शन पर Cisco SD-WAN कंट्रोलर पर उपयोग की जाने वाली AES कुंजी को कितनी बार बदलता है। यदि OMP ग्रेसफुल रीस्टार्ट सक्षम है, तो रीकीइंग समय OMP ग्रेसफुल रीस्टार्ट टाइमर के मान से कम से कम दोगुना होना चाहिए।श्रेणी: 10 से 1209600 सेकंड (14 दिन)गलती करना: 86400 सेकंड (24 घंटे)
रीप्ले विंडो	स्लाइडिंग रीप्ले विंडो का आकार निर्दिष्ट करें. मान: 64, 128, 256, 512, 1024, 2048, 4096, 8192 पैकेटगलती करना: 512 पैकेट
आईपीसेक युग्म-कुंजीयन	यह डिफ़ॉल्ट रूप से बंद रहता है। क्लिक करें On चालू करना।

पैरामीटर नाम

विवरण

प्रमाणीकरण प्रकार

प्रमाणीकरण प्रकार का चयन करें प्रमाणीकरण सूची, और प्रमाणीकरण प्रकारों को स्थानांतरित करने के लिए दाईं ओर इंगित तीर पर क्लिक करें चयनित सूची स्तंभ।

सिस्को SD-WAN रिलीज़ 20.6.1 से समर्थित प्रमाणीकरण प्रकार:

• ईएसपी: ESP हेडर पर एनकैप्सुलेटिंग सिक्योरिटी पेलोड (ESP) एन्क्रिप्शन और अखंडता जाँच को सक्षम करता है।

• आईपी-यूडीपी-ईएसपी: ESP एन्क्रिप्शन सक्षम करता है। ESP हेडर और पेलोड पर अखंडता जांच के अलावा, जांच में बाहरी IP और UDP हेडर भी शामिल हैं।

• आईपी-यूडीपी-ईएसपी-नो-आईडी: IP हेडर में ID फ़ील्ड को अनदेखा करता है ताकि Cisco Catalyst SD-WAN गैर-Cisco डिवाइसों के साथ मिलकर काम कर सके।

• कोई नहीं: IPSec पैकेट पर अखंडता जाँच को बंद कर देता है। हम इस विकल्प का उपयोग करने की अनुशंसा नहीं करते हैं।

Cisco SD-WAN रिलीज़ 20.5.1 और पहले के संस्करणों में समर्थित प्रमाणीकरण प्रकार:

• आह-नहीं-आईडी: AH-SHA1 HMAC और ESP HMAC-SHA1 का उन्नत संस्करण सक्षम करें जो पैकेट के बाहरी IP हेडर में ID फ़ील्ड को अनदेखा करता है।

• आह-शा1-hmac: AH-SHA1 HMAC और ESP HMAC-SHA1 सक्षम करें.

• कोई नहीं: कोई प्रमाणीकरण नहीं चुनें.

• sha1-hmac: ESP HMAC-SHA1 सक्षम करें.

टिप्पणी Cisco SD-WAN रिलीज़ 20.5.1 या पहले के संस्करण पर चलने वाले एज डिवाइस के लिए, आपने प्रमाणीकरण प्रकारों को कॉन्फ़िगर किया हो सकता है सुरक्षा टेम्पलेट। जब आप डिवाइस को Cisco SD-WAN रिलीज़ 20.6.1 या बाद के संस्करण में अपग्रेड करते हैं, तो चयनित प्रमाणीकरण प्रकारों को अपडेट करें सुरक्षा टेम्पलेट को Cisco SD-WAN रिलीज़ 20.6.1 से समर्थित प्रमाणीकरण प्रकारों में बदलें। प्रमाणीकरण प्रकारों को अपडेट करने के लिए, निम्न कार्य करें:

1. सिस्को SD-WAN प्रबंधक मेनू से, चुनें विन्यास >

टेम्पलेट्स.

2. क्लिक फ़ीचर टेम्पलेट्स.

3. खोजें सुरक्षा टेम्पलेट को अपडेट करने के लिए क्लिक करें... और क्लिक करें संपादन करना.

4. क्लिक अद्यतनकिसी भी कॉन्फ़िगरेशन को संशोधित न करें.

सिस्को SD-WAN प्रबंधक अद्यतन करता है सुरक्षा समर्थित प्रमाणीकरण प्रकारों को प्रदर्शित करने के लिए टेम्पलेट.

सहेजें पर क्लिक करें.

डेटा प्लेन सुरक्षा पैरामीटर कॉन्फ़िगर करें

डेटा प्लेन में, IPsec सभी राउटर पर डिफ़ॉल्ट रूप से सक्षम होता है, और डिफ़ॉल्ट रूप से IPsec टनल कनेक्शन IPsec टनल पर प्रमाणीकरण के लिए एनकैप्सुलेटिंग सिक्योरिटी पेलोड (ESP) प्रोटोकॉल के उन्नत संस्करण का उपयोग करते हैं। राउटर पर, आप प्रमाणीकरण के प्रकार, IPsec रीकीइंग टाइमर और IPsec एंटी-रीप्ले विंडो के आकार को बदल सकते हैं।

स्वीकृत प्रमाणीकरण प्रकार कॉन्फ़िगर करें

Cisco SD-WAN रिलीज़ 20.6.1 और बाद के संस्करणों में प्रमाणीकरण प्रकार
सिस्को SD-WAN रिलीज़ 20.6.1 से, निम्नलिखित अखंडता प्रकार समर्थित हैं:

esp: यह विकल्प ESP हेडर पर एनकैप्सुलेटिंग सिक्योरिटी पेलोड (ESP) एन्क्रिप्शन और अखंडता जाँच को सक्षम करता है।
ip-udp-esp: यह विकल्प ESP एन्क्रिप्शन को सक्षम करता है। ESP हेडर और पेलोड पर अखंडता जांच के अलावा, जांच में बाहरी IP और UDP हेडर भी शामिल होते हैं।
ip-udp-esp-no-id: यह विकल्प ip-udp-esp के समान है, हालाँकि, बाहरी IP हेडर के ID फ़ील्ड को अनदेखा किया जाता है। Cisco Catalyst SD-WAN सॉफ़्टवेयर को IP हेडर में ID फ़ील्ड को अनदेखा करने के लिए अखंडता प्रकारों की सूची में इस विकल्प को कॉन्फ़िगर करें ताकि Cisco Catalyst SD-WAN गैर-Cisco डिवाइस के साथ मिलकर काम कर सके।
कोई नहीं: यह विकल्प IPSec पैकेट पर अखंडता जाँच को बंद कर देता है। हम इस विकल्प का उपयोग करने की अनुशंसा नहीं करते हैं।

डिफ़ॉल्ट रूप से, IPsec टनल कनेक्शन प्रमाणीकरण के लिए एनकैप्सुलेटिंग सिक्योरिटी पेलोड (ESP) प्रोटोकॉल के उन्नत संस्करण का उपयोग करते हैं। बातचीत किए गए अंतर प्रकारों को संशोधित करने या अखंडता जांच को अक्षम करने के लिए, निम्न कमांड का उपयोग करें: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

सिस्को SD-WAN रिलीज़ 20.6.1 से पहले प्रमाणीकरण प्रकार
डिफ़ॉल्ट रूप से, IPsec टनल कनेक्शन प्रमाणीकरण के लिए एनकैप्सुलेटिंग सिक्योरिटी पेलोड (ESP) प्रोटोकॉल के उन्नत संस्करण का उपयोग करते हैं। बातचीत किए गए प्रमाणीकरण प्रकारों को संशोधित करने या प्रमाणीकरण को अक्षम करने के लिए, निम्न कमांड का उपयोग करें: डिवाइस (config) # सुरक्षा ipsec प्रमाणीकरण-प्रकार (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) डिफ़ॉल्ट रूप से, IPsec टनल कनेक्शन AES-GCM-256 का उपयोग करते हैं, जो एन्क्रिप्शन और प्रमाणीकरण दोनों प्रदान करता है। प्रत्येक प्रमाणीकरण प्रकार को एक अलग सुरक्षा ipsec प्रमाणीकरण-प्रकार कमांड के साथ कॉन्फ़िगर करें। कमांड विकल्प निम्नलिखित प्रमाणीकरण प्रकारों से मेल खाते हैं, जिन्हें सबसे मजबूत से कम से कम मजबूत क्रम में सूचीबद्ध किया गया है:

टिप्पणी
कॉन्फ़िगरेशन विकल्पों में sha1 का उपयोग ऐतिहासिक कारणों से किया जाता है। प्रमाणीकरण विकल्प संकेत देते हैं कि पैकेट अखंडता जाँच का कितना हिस्सा किया गया है। वे उस एल्गोरिथ्म को निर्दिष्ट नहीं करते हैं जो अखंडता की जाँच करता है। मल्टीकास्ट ट्रैफ़िक के एन्क्रिप्शन को छोड़कर, सिस्को कैटालिस्ट SD WAN द्वारा समर्थित प्रमाणीकरण एल्गोरिदम SHA1 का उपयोग नहीं करते हैं। हालाँकि सिस्को SD-WAN रिलीज़ 20.1.x और उसके बाद, यूनिकास्ट और मल्टीकास्ट दोनों SHA1 का उपयोग नहीं करते हैं।

ah-sha1-hmac ESP का उपयोग करके एन्क्रिप्शन और एनकैप्सुलेशन को सक्षम करता है। हालाँकि, ESP हेडर और पेलोड पर अखंडता जाँच के अलावा, जाँच में बाहरी IP और UDP हेडर भी शामिल हैं। इसलिए, यह विकल्प प्रमाणीकरण हेडर (AH) प्रोटोकॉल के समान पैकेट की अखंडता जाँच का समर्थन करता है। सभी अखंडता और एन्क्रिप्शन AES-256-GCM का उपयोग करके किया जाता है।
ah-no-id एक ऐसे मोड को सक्षम करता है जो ah-sha1-hmac के समान है, हालाँकि, बाहरी IP हेडर के ID फ़ील्ड को अनदेखा किया जाता है। यह विकल्प कुछ गैर-Cisco Catalyst SD-WAN डिवाइस को समायोजित करता है, जिसमें Apple AirPort Express NAT शामिल है, जिसमें एक बग है जो IP हेडर में ID फ़ील्ड, एक गैर-परिवर्तनीय फ़ील्ड, को संशोधित करने का कारण बनता है। प्रमाणीकरण प्रकारों की सूची में ah-no-id विकल्प को कॉन्फ़िगर करें ताकि Cisco Catalyst SD-WAN AH सॉफ़्टवेयर IP हेडर में ID फ़ील्ड को अनदेखा कर सके ताकि Cisco Catalyst SD-WAN सॉफ़्टवेयर इन डिवाइस के साथ मिलकर काम कर सके।

sha1-hmac ESP एन्क्रिप्शन और अखंडता जाँच को सक्षम करता है।
कोई नहीं का मतलब है कोई प्रमाणीकरण नहीं। इस विकल्प का उपयोग केवल तभी किया जाना चाहिए जब यह अस्थायी डिबगिंग के लिए आवश्यक हो। आप इस विकल्प को उन स्थितियों में भी चुन सकते हैं जहाँ डेटा प्लेन प्रमाणीकरण और अखंडता चिंता का विषय नहीं है। सिस्को उत्पादन नेटवर्क के लिए इस विकल्प का उपयोग करने की अनुशंसा नहीं करता है।

इन प्रमाणीकरण प्रकारों से कौन से डेटा पैकेट फ़ील्ड प्रभावित होते हैं, इस बारे में जानकारी के लिए, डेटा प्लेन इंटीग्रिटी देखें। Cisco IOS XE Catalyst SD-WAN डिवाइस और Cisco vEdge डिवाइस अपने TLOC गुणों में अपने कॉन्फ़िगर किए गए प्रमाणीकरण प्रकारों का विज्ञापन करते हैं। IPsec टनल कनेक्शन के दोनों ओर के दो राउटर, दोनों राउटर पर कॉन्फ़िगर किए गए सबसे मज़बूत प्रमाणीकरण प्रकार का उपयोग करके, उनके बीच के कनेक्शन पर उपयोग किए जाने वाले प्रमाणीकरण पर बातचीत करते हैं। उदाहरण के लिएampले, अगर एक राउटर ah-sha1-hmac और ah-no-id प्रकारों का विज्ञापन करता है, और दूसरा राउटर ah-no-id प्रकार का विज्ञापन करता है, तो दोनों राउटर उनके बीच IPsec टनल कनेक्शन पर ah-no-id का उपयोग करने के लिए बातचीत करते हैं। यदि दो साथियों पर कोई सामान्य प्रमाणीकरण प्रकार कॉन्फ़िगर नहीं किया गया है, तो उनके बीच कोई IPsec टनल स्थापित नहीं होती है। IPsec टनल कनेक्शन पर एन्क्रिप्शन एल्गोरिथ्म ट्रैफ़िक के प्रकार पर निर्भर करता है:

यूनिकास्ट ट्रैफ़िक के लिए, एन्क्रिप्शन एल्गोरिथ्म AES-256-GCM है।
मल्टीकास्ट ट्रैफ़िक के लिए:
सिस्को SD-WAN रिलीज़ 20.1.x और बाद के संस्करण - एन्क्रिप्शन एल्गोरिथ्म AES-256-GCM है

पिछले संस्करण - एन्क्रिप्शन एल्गोरिथ्म AES-256-CBC है जिसमें SHA1-HMAC है।

जब IPsec प्रमाणीकरण प्रकार परिवर्तित किया जाता है, तो डेटा पथ के लिए AES कुंजी परिवर्तित हो जाती है।

रीकीइंग टाइमर बदलें

इससे पहले कि सिस्को आईओएस एक्सई कैटालिस्ट एसडी-डब्ल्यूएएन डिवाइस और सिस्को वीएज डिवाइस डेटा ट्रैफ़िक का आदान-प्रदान कर सकें, वे उनके बीच एक सुरक्षित प्रमाणित संचार चैनल स्थापित करते हैं। राउटर चैनल के रूप में उनके बीच IPSec सुरंगों का उपयोग करते हैं, और एन्क्रिप्शन करने के लिए AES-256 सिफर का उपयोग करते हैं। प्रत्येक राउटर समय-समय पर अपने डेटा पथ के लिए एक नई AES कुंजी उत्पन्न करता है। डिफ़ॉल्ट रूप से, एक कुंजी 86400 सेकंड (24 घंटे) के लिए वैध होती है, और टाइमर रेंज 10 सेकंड से 1209600 सेकंड (14 दिन) तक होती है। रीकी टाइमर मान बदलने के लिए: डिवाइस (config) # सुरक्षा ipsec rekey सेकंड कॉन्फ़िगरेशन इस तरह दिखता है:

सुरक्षा ipsec rekey सेकंड!

यदि आप तुरंत नई IPsec कुंजियाँ बनाना चाहते हैं, तो आप राउटर के कॉन्फ़िगरेशन को संशोधित किए बिना ऐसा कर सकते हैं। ऐसा करने के लिए, समझौता किए गए राउटर पर request security ipsecrekey कमांड जारी करें। उदाहरण के लिएample, निम्नलिखित आउटपुट से पता चलता है कि स्थानीय SA का सुरक्षा पैरामीटर सूचकांक (SPI) 256 है:

प्रत्येक SPI के साथ एक अद्वितीय कुंजी जुड़ी होती है। यदि यह कुंजी समझौता की जाती है, तो तुरंत एक नई कुंजी उत्पन्न करने के लिए अनुरोध सुरक्षा ipsec-rekey कमांड का उपयोग करें। यह कमांड SPI को बढ़ाता है। हमारे उदाहरण मेंample, SPI 257 में बदल जाता है और इसके साथ संबद्ध कुंजी का उपयोग किया जाता है:

डिवाइस# अनुरोध सुरक्षा ipsecrekey
डिवाइस# शो ipsec लोकल-sa

नई कुंजी तैयार होने के बाद, राउटर इसे तुरंत DTLS या TLS का उपयोग करके Cisco SD-WAN नियंत्रकों को भेजता है। Cisco SD-WAN नियंत्रक कुंजी को सहकर्मी राउटरों को भेजते हैं। राउटर इसे प्राप्त करते ही इसका उपयोग करना शुरू कर देते हैं। ध्यान दें कि पुराने SPI (256) से जुड़ी कुंजी का उपयोग थोड़े समय के लिए तब तक किया जाता रहेगा जब तक कि इसका समय समाप्त न हो जाए। पुरानी कुंजी का तुरंत उपयोग बंद करने के लिए, अनुरोध सुरक्षा ipsec-rekey कमांड को दो बार, त्वरित क्रम में जारी करें। आदेशों का यह क्रम SPI 256 और 257 दोनों को हटा देता है और SPI को 258 पर सेट कर देता है। राउटर तब SPI 258 की संबंधित कुंजी का उपयोग करता है। हालाँकि, ध्यान दें कि कुछ पैकेट थोड़े समय के लिए तब तक गिराए जाएँगे जब तक कि सभी दूरस्थ राउटर नई कुंजी नहीं सीख लेते।

एंटी-रिप्ले विंडो का आकार बदलें

IPsec प्रमाणीकरण डेटा स्ट्रीम में प्रत्येक पैकेट को एक अद्वितीय अनुक्रम संख्या निर्दिष्ट करके एंटी-रिप्ले सुरक्षा प्रदान करता है। यह अनुक्रम संख्या किसी हमलावर द्वारा डेटा पैकेट की नकल करने से सुरक्षा प्रदान करती है। एंटी-रिप्ले सुरक्षा के साथ, प्रेषक एकसमान रूप से बढ़ती अनुक्रम संख्याएँ निर्दिष्ट करता है, और गंतव्य डुप्लिकेट का पता लगाने के लिए इन अनुक्रम संख्याओं की जाँच करता है। चूँकि पैकेट अक्सर क्रम में नहीं आते हैं, इसलिए गंतव्य अनुक्रम संख्याओं की एक स्लाइडिंग विंडो बनाए रखता है जिसे वह स्वीकार करेगा।

अनुक्रम संख्या वाले पैकेट जो स्लाइडिंग विंडो रेंज के बाईं ओर आते हैं, उन्हें पुराना या डुप्लिकेट माना जाता है, और गंतव्य उन्हें छोड़ देता है। गंतव्य अपने द्वारा प्राप्त उच्चतम अनुक्रम संख्या को ट्रैक करता है, और उच्च मूल्य वाले पैकेट प्राप्त होने पर स्लाइडिंग विंडो को समायोजित करता है।

डिफ़ॉल्ट रूप से, स्लाइडिंग विंडो 512 पैकेट पर सेट होती है। इसे 64 और 4096 के बीच किसी भी मान पर सेट किया जा सकता है जो 2 की घात है (यानी, 64, 128, 256, 512, 1024, 2048, या 4096)। एंटी-रिप्ले विंडो के आकार को संशोधित करने के लिए, विंडो के आकार को निर्दिष्ट करते हुए रीप्ले-विंडो कमांड का उपयोग करें:

डिवाइस(config)# सुरक्षा ipsec रीप्ले-विंडो नंबर

कॉन्फ़िगरेशन इस प्रकार दिखता है:
सुरक्षा ipsec रिप्ले विंडो संख्या !!

QoS में सहायता के लिए, पहले आठ ट्रैफ़िक चैनलों में से प्रत्येक के लिए अलग-अलग रीप्ले विंडो बनाए रखी जाती हैं। कॉन्फ़िगर किए गए रीप्ले विंडो आकार को प्रत्येक चैनल के लिए आठ से विभाजित किया जाता है। यदि QoS को राउटर पर कॉन्फ़िगर किया गया है, तो उस राउटर को IPsec एंटी-रीप्ले मैकेनिज्म के परिणामस्वरूप अपेक्षित संख्या से अधिक पैकेट ड्रॉप का अनुभव हो सकता है, और ड्रॉप किए गए कई पैकेट वैध होते हैं। ऐसा इसलिए होता है क्योंकि QoS पैकेट को फिर से क्रमित करता है, उच्च-प्राथमिकता वाले पैकेट को तरजीह देता है और कम-प्राथमिकता वाले पैकेट को विलंबित करता है। इस स्थिति को कम करने या रोकने के लिए, आप निम्न कार्य कर सकते हैं:

एंटी-रिप्ले विंडो का आकार बढ़ाएँ.
पहले आठ यातायात चैनलों पर यातायात को व्यवस्थित करें ताकि यह सुनिश्चित हो सके कि एक चैनल के भीतर यातायात पुनःक्रमित न हो।

IKE-सक्षम IPsec सुरंगों को कॉन्फ़िगर करें
ओवरले नेटवर्क से सर्विस नेटवर्क पर ट्रैफ़िक को सुरक्षित रूप से स्थानांतरित करने के लिए, आप IPsec सुरंगों को कॉन्फ़िगर कर सकते हैं जो इंटरनेट कुंजी एक्सचेंज (IKE) प्रोटोकॉल चलाते हैं। IKE-सक्षम IPsec सुरंगें सुरक्षित पैकेट परिवहन सुनिश्चित करने के लिए प्रमाणीकरण और एन्क्रिप्शन प्रदान करती हैं। आप IPsec इंटरफ़ेस कॉन्फ़िगर करके IKE-सक्षम IPsec सुरंग बनाते हैं। IPsec इंटरफ़ेस तार्किक इंटरफ़ेस हैं, और आप उन्हें किसी अन्य भौतिक इंटरफ़ेस की तरह ही कॉन्फ़िगर करते हैं। आप IPsec इंटरफ़ेस पर IKE प्रोटोकॉल पैरामीटर कॉन्फ़िगर करते हैं, और आप अन्य इंटरफ़ेस गुण कॉन्फ़िगर कर सकते हैं।

टिप्पणी सिस्को IKE संस्करण 2 का उपयोग करने की अनुशंसा करता है। सिस्को SD-WAN 19.2.x रिलीज़ के बाद से, प्री-शेयर्ड कुंजी की लंबाई कम से कम 16 बाइट्स होनी चाहिए। यदि राउटर को संस्करण 16 में अपग्रेड करने पर कुंजी का आकार 19.2 वर्णों से कम है, तो IPsec सुरंग स्थापना विफल हो जाती है।

टिप्पणी
सिस्को कैटालिस्ट SD-WAN सॉफ़्टवेयर IKE वर्शन 2 को सपोर्ट करता है जैसा कि RFC 7296 में परिभाषित किया गया है। IPsec टनल के लिए एक उपयोग Amazon AWS पर चलने वाले vEdge क्लाउड राउटर VM इंस्टेंस को Amazon वर्चुअल प्राइवेट क्लाउड (VPC) से कनेक्ट करने की अनुमति देना है। आपको इन राउटर पर IKE वर्शन 1 को कॉन्फ़िगर करना होगा। सिस्को vEdge डिवाइस IPSec कॉन्फ़िगरेशन में केवल रूट-आधारित VPN का समर्थन करते हैं क्योंकि ये डिवाइस एन्क्रिप्शन डोमेन में ट्रैफ़िक चयनकर्ताओं को परिभाषित नहीं कर सकते हैं।

IPsec टनल कॉन्फ़िगर करें
किसी सेवा नेटवर्क से सुरक्षित परिवहन ट्रैफ़िक के लिए IPsec टनल इंटरफ़ेस कॉन्फ़िगर करने के लिए, आप एक तार्किक IPsec इंटरफ़ेस बनाते हैं:

आप ट्रांसपोर्ट VPN (VPN 0) और किसी भी सर्विस VPN (VPN 1 से 65530 तक, 512 को छोड़कर) में IPsec टनल बना सकते हैं। IPsec इंटरफ़ेस का नाम ipsecnumber प्रारूप में होता है, जहाँ संख्या 1 से 255 तक हो सकती है। प्रत्येक IPsec इंटरफ़ेस में IPv4 पता होना चाहिए। यह पता /30 उपसर्ग होना चाहिए। VPN में सभी ट्रैफ़िक जो इस IPv4 उपसर्ग के भीतर है, उसे VPN 0 में एक भौतिक इंटरफ़ेस पर निर्देशित किया जाता है ताकि उसे IPsec टनल पर सुरक्षित रूप से भेजा जा सके। स्थानीय डिवाइस पर IPsec टनल के स्रोत को कॉन्फ़िगर करने के लिए, आप भौतिक इंटरफ़ेस का IP पता (टनल-सोर्स कमांड में) या भौतिक इंटरफ़ेस का नाम (टनल-सोर्स-इंटरफ़ेस कमांड में) निर्दिष्ट कर सकते हैं। सुनिश्चित करें कि भौतिक इंटरफ़ेस VPN 0 में कॉन्फ़िगर किया गया है। IPsec टनल के गंतव्य को कॉन्फ़िगर करने के लिए, टनल-डेस्टिनेशन कमांड में दूरस्थ डिवाइस का IP पता निर्दिष्ट करें। स्रोत पता (या स्रोत इंटरफ़ेस नाम) और गंतव्य पता का संयोजन एक एकल IPsec सुरंग को परिभाषित करता है। केवल एक IPsec सुरंग ही मौजूद हो सकती है जो एक विशिष्ट स्रोत पता (या इंटरफ़ेस नाम) और गंतव्य पता जोड़ी का उपयोग करती है।

IPsec स्टेटिक रूट कॉन्फ़िगर करें

सेवा VPN से ट्रांसपोर्ट VPN (VPN 0) में IPsec टनल तक ट्रैफ़िक को निर्देशित करने के लिए, आप सेवा VPN (VPN 0 या VPN 512 के अलावा कोई अन्य VPN) में IPsec-विशिष्ट स्थिर रूट कॉन्फ़िगर करते हैं:

vEdge(config)# vpn vpn-id
vEdge(config-vpn)# ip ipsec-route उपसर्ग/लंबाई vpn 0 इंटरफ़ेस
आईपीएसईसीनंबर [आईपीएसईसीनंबर2]

VPN ID किसी भी सर्विस VPN (VPN 1 से 65530 तक, 512 को छोड़कर) की होती है। प्रीफ़िक्स/लेंथ IP एड्रेस या प्रीफ़िक्स है, जो दशमलव चार-भाग-डॉटेड नोटेशन में है, और IPsec-विशिष्ट स्टैटिक रूट की प्रीफ़िक्स लंबाई है। इंटरफ़ेस VPN 0 में IPsec टनल इंटरफ़ेस है। आप एक या दो IPsec टनल इंटरफ़ेस कॉन्फ़िगर कर सकते हैं। यदि आप दो कॉन्फ़िगर करते हैं, तो पहला प्राथमिक IPsec टनल है, और दूसरा बैकअप है। दो इंटरफ़ेस के साथ, सभी पैकेट केवल प्राथमिक टनल में भेजे जाते हैं। यदि वह टनल विफल हो जाती है, तो सभी पैकेट द्वितीयक टनल में भेजे जाते हैं। यदि प्राथमिक टनल वापस आ जाती है, तो सभी ट्रैफ़िक को प्राथमिक IPsec टनल में वापस ले जाया जाता है।

IKE संस्करण 1 सक्षम करें
जब आप vEdge राउटर पर IPsec टनल बनाते हैं, तो टनल इंटरफ़ेस पर IKE वर्शन 1 डिफ़ॉल्ट रूप से सक्षम होता है। IKEv1 के लिए निम्न गुण भी डिफ़ॉल्ट रूप से सक्षम होते हैं:

प्रमाणीकरण और एन्क्रिप्शन - अखंडता के लिए HMAC-SHA256 कुंजी-हैश संदेश प्रमाणीकरण कोड एल्गोरिथ्म के साथ AES-1 उन्नत एन्क्रिप्शन मानक CBC एन्क्रिप्शन

डिफी-हेलमैन समूह संख्या—16
पुनः कुंजीयन समय अंतराल—4 घंटे
एसए स्थापना मोड—मुख्य

डिफ़ॉल्ट रूप से, IKEv1 IKE SA स्थापित करने के लिए IKE मुख्य मोड का उपयोग करता है। इस मोड में, SA स्थापित करने के लिए छह बातचीत पैकेट का आदान-प्रदान किया जाता है। केवल तीन बातचीत पैकेट का आदान-प्रदान करने के लिए, आक्रामक मोड सक्षम करें:

टिप्पणी
जहाँ तक संभव हो, प्री-शेयर्ड कीज़ के साथ IKE आक्रामक मोड से बचना चाहिए। अन्यथा एक मजबूत प्री-शेयर्ड की को चुना जाना चाहिए।

vEdge(config)# vpn vpn-id इंटरफ़ेस ipsec नंबर ike

vEdge(config-ike)# मोड आक्रामक

डिफ़ॉल्ट रूप से, IKEv1 IKE कुंजी विनिमय में डिफी-हेलमैन समूह 16 का उपयोग करता है। यह समूह IKE कुंजी विनिमय के दौरान 4096-बिट अधिक मॉड्यूलर एक्सपोनेंशियल (MODP) समूह का उपयोग करता है। आप समूह संख्या को 2 (1024-बिट MODP के लिए), 14 (2048-बिट MODP) या 15 (3072-बिट MODP) में बदल सकते हैं:

vEdge(config)# vpn vpn-id इंटरफ़ेस ipsec नंबर ike

vEdge(config-ike)# समूह संख्या

डिफ़ॉल्ट रूप से, IKE कुंजी एक्सचेंज अखंडता के लिए HMAC-SHA256 कुंजी-हैश संदेश प्रमाणीकरण कोड एल्गोरिथ्म के साथ AES-1 उन्नत एन्क्रिप्शन मानक CBC एन्क्रिप्शन का उपयोग करता है। आप प्रमाणीकरण बदल सकते हैं:

vEdge(config)# vpn vpn-id इंटरफ़ेस ipsec नंबर ike

vEdge(config-ike)# cipher-suite suite

प्रमाणीकरण सूट निम्न में से एक हो सकता है:

aes128-cbc-sha1—AES-128 उन्नत एन्क्रिप्शन मानक CBC एन्क्रिप्शन अखंडता के लिए HMAC-SHA1 कुंजी-हैश संदेश प्रमाणीकरण कोड एल्गोरिथ्म के साथ

aes128-cbc-sha2—AES-128 उन्नत एन्क्रिप्शन मानक CBC एन्क्रिप्शन अखंडता के लिए HMAC-SHA256 कुंजी-हैश संदेश प्रमाणीकरण कोड एल्गोरिथ्म के साथ
aes256-cbc-sha1 - AES-256 उन्नत एन्क्रिप्शन मानक CBC एन्क्रिप्शन, अखंडता के लिए HMAC-SHA1 कुंजी-हैश संदेश प्रमाणीकरण कोड एल्गोरिथ्म के साथ; यह डिफ़ॉल्ट है।
aes256-cbc-sha2—AES-256 उन्नत एन्क्रिप्शन मानक CBC एन्क्रिप्शन अखंडता के लिए HMAC-SHA256 कुंजी-हैश संदेश प्रमाणीकरण कोड एल्गोरिथ्म के साथ

डिफ़ॉल्ट रूप से, IKE कुंजियाँ हर 1 घंटे (3600 सेकंड) में ताज़ा होती हैं। आप रीकीइंग अंतराल को 30 सेकंड से लेकर 14 दिन (1209600 सेकंड) तक के मान में बदल सकते हैं। यह अनुशंसा की जाती है कि रीकीइंग अंतराल कम से कम 1 घंटा हो।

vEdge(config)# vpn vpn-id इंटरफ़ेस ipsec नंबर जैसा
vEdge(config-ike)# rekey सेकंड

IKE सत्र के लिए नई कुंजियों को बाध्य करने के लिए, request ipsec ike-rekey कमांड जारी करें।

vEdge(config)# vpn vpn-id इंटरफ़ेसipsec नंबर ike

IKE के लिए, आप प्रीशेयर्ड कुंजी (PSK) प्रमाणीकरण भी कॉन्फ़िगर कर सकते हैं:

vEdge(config)# vpn vpn-id इंटरफ़ेस ipsec नंबर ike
vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password पासवर्ड वह पासवर्ड है जिसे preshared key के साथ इस्तेमाल किया जाता है। यह 1 से 127 अक्षरों तक की ASCII या हेक्साडेसिमल स्ट्रिंग हो सकती है।

यदि दूरस्थ IKE पीयर को स्थानीय या दूरस्थ ID की आवश्यकता है, तो आप इस पहचानकर्ता को कॉन्फ़िगर कर सकते हैं:

vEdge(config)# vpn vpn-id इंटरफ़ेस ipsec नंबर ike authentication-type
vEdge(config-authentication-type)# local-id आईडी
vEdge(config-authentication-type)# remote-id आईडी

पहचानकर्ता एक आईपी पता या 1 से 63 अक्षरों तक की कोई भी टेक्स्ट स्ट्रिंग हो सकती है। डिफ़ॉल्ट रूप से, स्थानीय आईडी सुरंग का स्रोत आईपी पता है और दूरस्थ आईडी सुरंग का गंतव्य आईपी पता है।

IKE संस्करण 2 सक्षम करें
जब आप IKE संस्करण 2 का उपयोग करने के लिए IPsec टनल को कॉन्फ़िगर करते हैं, तो IKEv2 के लिए निम्न गुण भी डिफ़ॉल्ट रूप से सक्षम होते हैं:

प्रमाणीकरण और एन्क्रिप्शन - अखंडता के लिए HMAC-SHA256 कुंजी-हैश संदेश प्रमाणीकरण कोड एल्गोरिथ्म के साथ AES-1 उन्नत एन्क्रिप्शन मानक CBC एन्क्रिप्शन

डिफी-हेलमैन समूह संख्या—16
पुनः कुंजीयन समय अंतराल—4 घंटे

डिफ़ॉल्ट रूप से, IKEv2 IKE कुंजी विनिमय में डिफी-हेलमैन समूह 16 का उपयोग करता है। यह समूह IKE कुंजी विनिमय के दौरान 4096-बिट अधिक मॉड्यूलर एक्सपोनेंशियल (MODP) समूह का उपयोग करता है। आप समूह संख्या को 2 (1024-बिट MODP के लिए), 14 (2048-बिट MODP) या 15 (3072-बिट MODP) में बदल सकते हैं:

vEdge(config)# vpn vpn-id इंटरफ़ेस ipsecnumber ike
vEdge(config-ike)# समूह संख्या

vEdge(config)# vpn vpn-id इंटरफ़ेस ipsecnumber ike
vEdge(config-ike)# cipher-suite suite

प्रमाणीकरण सूट निम्न में से एक हो सकता है:

aes128-cbc-sha1—AES-128 उन्नत एन्क्रिप्शन मानक CBC एन्क्रिप्शन अखंडता के लिए HMAC-SHA1 कुंजी-हैश संदेश प्रमाणीकरण कोड एल्गोरिथ्म के साथ
aes128-cbc-sha2—AES-128 उन्नत एन्क्रिप्शन मानक CBC एन्क्रिप्शन अखंडता के लिए HMAC-SHA256 कुंजी-हैश संदेश प्रमाणीकरण कोड एल्गोरिथ्म के साथ
aes256-cbc-sha1 - AES-256 उन्नत एन्क्रिप्शन मानक CBC एन्क्रिप्शन, अखंडता के लिए HMAC-SHA1 कुंजी-हैश संदेश प्रमाणीकरण कोड एल्गोरिथ्म के साथ; यह डिफ़ॉल्ट है।

aes256-cbc-sha2—AES-256 उन्नत एन्क्रिप्शन मानक CBC एन्क्रिप्शन अखंडता के लिए HMAC-SHA256 कुंजी-हैश संदेश प्रमाणीकरण कोड एल्गोरिथ्म के साथ

डिफ़ॉल्ट रूप से, IKE कुंजियाँ हर 4 घंटे (14,400 सेकंड) में ताज़ा होती हैं। आप रीकीइंग अंतराल को 30 सेकंड से लेकर 14 दिन (1209600 सेकंड) तक के मान में बदल सकते हैं:

vEdge(config)# vpn vpn-id इंटरफ़ेस ipsecnumber ike

vEdge(config-ike)# rekey सेकंड

IKE सत्र के लिए नई कुंजियों के निर्माण को बाध्य करने के लिए, request ipsec ike-rekey कमांड जारी करें। IKE के लिए, आप प्रीशेयर्ड कुंजी (PSK) प्रमाणीकरण भी कॉन्फ़िगर कर सकते हैं:

vEdge(config)# vpn vpn-id इंटरफ़ेस ipsecnumber ike

vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password पासवर्ड वह पासवर्ड है जिसका उपयोग प्रीशेयर्ड कुंजी के साथ किया जाता है। यह ASCII या हेक्साडेसिमल स्ट्रिंग हो सकता है, या यह AES-एन्क्रिप्टेड कुंजी हो सकती है। यदि रिमोट IKE पीयर को स्थानीय या रिमोट ID की आवश्यकता है, तो आप इस पहचानकर्ता को कॉन्फ़िगर कर सकते हैं:
vEdge(config)# vpn vpn-id इंटरफ़ेस ipsecnumber ike authentication-type
vEdge(config-authentication-type)# local-id आईडी

vEdge(config-authentication-type)# remote-id आईडी

पहचानकर्ता एक आईपी पता या 1 से 64 अक्षरों तक की कोई भी टेक्स्ट स्ट्रिंग हो सकती है। डिफ़ॉल्ट रूप से, स्थानीय आईडी सुरंग का स्रोत आईपी पता है और दूरस्थ आईडी सुरंग का गंतव्य आईपी पता है।

IPsec टनल पैरामीटर कॉन्फ़िगर करें

तालिका 4: फीचर इतिहास

विशेषता नाम	रिलीज सूचना	विवरण
अतिरिक्त क्रिप्टोग्राफ़िक	सिस्को एसडी-डब्ल्यूएएन रिलीज़ 20.1.1	यह सुविधा निम्नलिखित के लिए समर्थन जोड़ती है
IPSec के लिए एल्गोरिदमिक समर्थन		HMAC_SHA256, HMAC_SHA384, और
सुरंगों		HMAC_SHA512 एल्गोरिदम के लिए
		सुरक्षा बढ़ाना।

डिफ़ॉल्ट रूप से, IKE ट्रैफ़िक को ले जाने वाले IPsec टनल पर निम्नलिखित पैरामीटर का उपयोग किया जाता है:

प्रमाणीकरण और एन्क्रिप्शन - GCM (गैलोइस/काउंटर मोड) में AES-256 एल्गोरिदम
पुनः कुंजीयन अंतराल - 4 घंटे

रीप्ले विंडो—32 पैकेट

आप IPsec सुरंग पर एन्क्रिप्शन को CBC में AES-256 सिफर में बदल सकते हैं (सिफर ब्लॉक चेनिंग मोड, HMAC द्वारा SHA-1 या SHA-2 कुंजी-हैश संदेश प्रमाणीकरण का उपयोग करते हुए या HMAC द्वारा SHA-1 या SHA-2 कुंजी-हैश संदेश प्रमाणीकरण का उपयोग करते हुए शून्य करने के लिए, IKE कुंजी विनिमय यातायात के लिए प्रयुक्त IPsec सुरंग को एन्क्रिप्ट न करने के लिए:

vEdge(config-interface-ipsecnumber)# ipsec

vEdge(config-ipsec)# सिफर-सूट (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256-null-sha384 | aes256-null-sha512)

vEdge(config-interface-ipsecnumber)# ipsec

vEdge(config-ipsec)# rekey सेकंड

IPsec सुरंग के लिए नई कुंजियों के निर्माण को बाध्य करने के लिए, request ipsec ipsec-rekey कमांड जारी करें। डिफ़ॉल्ट रूप से, IPsec सुरंगों पर परफेक्ट फ़ॉरवर्ड सीक्रेसी (PFS) सक्षम है, ताकि यह सुनिश्चित किया जा सके कि भविष्य की कुंजियों के साथ छेड़छाड़ होने पर पिछले सत्र प्रभावित न हों। PFS डिफ़ॉल्ट रूप से 4096-बिट डिफी-हेलमैन प्राइम मॉड्यूल समूह का उपयोग करके एक नया डिफी-हेलमैन कुंजी एक्सचेंज बाध्य करता है। आप PFS सेटिंग बदल सकते हैं:

vEdge(config-interface-ipsecnumber)# ipsec

vEdge(config-ipsec)# परफेक्ट-फॉरवर्ड-सीक्रेसी pfs-सेटिंग

pfs-सेटिंग निम्न में से एक हो सकती है:

समूह-2 - 1024-बिट डिफी-हेलमैन प्राइम मापांक समूह का उपयोग करें।

समूह-14 - 2048-बिट डिफी-हेलमैन प्राइम मापांक समूह का उपयोग करें।
समूह-15 - 3072-बिट डिफी-हेलमैन प्राइम मापांक समूह का उपयोग करें।
समूह-16—4096-बिट डिफी-हेलमैन प्राइम मॉड्यूलस समूह का उपयोग करें। यह डिफ़ॉल्ट है।
कोई नहीं—PFS अक्षम करें.

डिफ़ॉल्ट रूप से, IPsec टनल पर IPsec रीप्ले विंडो 512 बाइट्स की होती है। आप रीप्ले विंडो का आकार 64, 128, 256, 512, 1024, 2048 या 4096 पैकेट पर सेट कर सकते हैं:

vEdge(config-interface-ipsecnumber)# ipsec
vEdge(config-ipsec)# रीप्ले-विंडो नंबर

IKE डेड-पीयर डिटेक्शन को संशोधित करें

IKE एक डेड-पीयर डिटेक्शन मैकेनिज्म का उपयोग यह निर्धारित करने के लिए करता है कि IKE पीयर से कनेक्शन कार्यात्मक और पहुंच योग्य है या नहीं। इस मैकेनिज्म को लागू करने के लिए, IKE अपने पीयर को एक हैलो पैकेट भेजता है, और पीयर प्रतिक्रिया में एक पावती भेजता है। डिफ़ॉल्ट रूप से, IKE हर 10 सेकंड में हैलो पैकेट भेजता है, और तीन अस्वीकृत पैकेट के बाद, IKE पड़ोसी को मृत घोषित करता है और पीयर को सुरंग को फाड़ देता है। इसके बाद, IKE समय-समय पर पीयर को एक हैलो पैकेट भेजता है, और जब पीयर वापस ऑनलाइन आता है तो सुरंग को फिर से स्थापित करता है। आप लाइवनेस डिटेक्शन अंतराल को 0 से 65535 तक के मान में बदल सकते हैं, और आप पुनः प्रयासों की संख्या को 0 से 255 तक के मान में बदल सकते हैं।

टिप्पणी

ट्रांसपोर्ट VPN के लिए, लाइवनेस डिटेक्शन अंतराल को निम्न सूत्र का उपयोग करके सेकंड में परिवर्तित किया जाता है: पुनःप्रसारण प्रयास संख्या के लिए अंतराल N = अंतराल * 1.8N-1उदाहरण के लिएampयदि अंतराल 10 पर सेट किया जाता है और पुनः 5 पर प्रयास किया जाता है, तो पता लगाने का अंतराल निम्नानुसार बढ़ता है:

प्रयास 1: 10 * 1.81-1= 10 सेकंड
कोशिश करना 2: 10 * 1.82-1= 18 सेकंड
कोशिश करना 3: 10 * 1.83-1= 32.4 सेकंड
कोशिश करना 4: 10 * 1.84-1= 58.32 सेकंड
कोशिश करना 5: 10 * 1.85-1= 104.976 सेकंड

vEdge(config-interface-ipsecnumber)# डेड-पीयर-डिटेक्शन अंतराल पुनर्प्रयास संख्या

अन्य इंटरफ़ेस गुण कॉन्फ़िगर करें

IPsec टनल इंटरफेस के लिए, आप केवल निम्नलिखित अतिरिक्त इंटरफ़ेस गुण कॉन्फ़िगर कर सकते हैं:

vEdge(config-interface-ipsec)# mtu बाइट्स
vEdge(config-interface-ipsec)# tcp-mss-adjust बाइट्स

सिस्को SD-WAN मैनेजर पर कमज़ोर SSH एन्क्रिप्शन एल्गोरिदम अक्षम करें

तालिका 5: फ़ीचर इतिहास तालिका

विशेषता नाम	रिलीज सूचना	विशेषता विवरण
सिस्को SD-WAN मैनेजर पर कमज़ोर SSH एन्क्रिप्शन एल्गोरिदम अक्षम करें	सिस्को वीमैनेज रिलीज 20.9.1	यह सुविधा आपको सिस्को SD-WAN प्रबंधक पर कमजोर SSH एल्गोरिदम को अक्षम करने की अनुमति देती है जो कुछ डेटा सुरक्षा मानकों का अनुपालन नहीं कर सकते हैं।

सिस्को SD-WAN मैनेजर पर कमज़ोर SSH एन्क्रिप्शन एल्गोरिदम को अक्षम करने के बारे में जानकारी
सिस्को SD-WAN प्रबंधक नियंत्रकों और एज डिवाइस सहित नेटवर्क में घटकों के साथ संचार के लिए एक SSH क्लाइंट प्रदान करता है। SSH क्लाइंट विभिन्न एन्क्रिप्शन एल्गोरिदम के आधार पर सुरक्षित डेटा ट्रांसफ़र के लिए एक एन्क्रिप्टेड कनेक्शन प्रदान करता है। कई संगठनों को SHA-1, AES-128 और AES-192 द्वारा प्रदान किए गए एन्क्रिप्शन की तुलना में अधिक मजबूत एन्क्रिप्शन की आवश्यकता होती है। सिस्को vManage रिलीज़ 20.9.1 से, आप निम्न कमज़ोर एन्क्रिप्शन एल्गोरिदम को अक्षम कर सकते हैं ताकि कोई SSH क्लाइंट इन एल्गोरिदम का उपयोग न करे:

एसएचए-1
एईएस-128
एईएस-192

इन एन्क्रिप्शन एल्गोरिदम को अक्षम करने से पहले, सुनिश्चित करें कि नेटवर्क में Cisco vEdge डिवाइस, यदि कोई हो, Cisco SD-WAN रिलीज़ 18.4.6 के बाद के सॉफ़्टवेयर रिलीज़ का उपयोग कर रहे हैं।

सिस्को SD-WAN मैनेजर पर कमज़ोर SSH एन्क्रिप्शन एल्गोरिदम को अक्षम करने के लाभ
कमजोर SSH एन्क्रिप्शन एल्गोरिदम को अक्षम करने से SSH संचार की सुरक्षा में सुधार होता है, और यह सुनिश्चित होता है कि Cisco Catalyst SD-WAN का उपयोग करने वाले संगठन सख्त सुरक्षा विनियमों का अनुपालन कर रहे हैं।

CLI का उपयोग करके Cisco SD-WAN प्रबंधक पर कमज़ोर SSH एन्क्रिप्शन एल्गोरिदम को अक्षम करें

सिस्को SD-WAN प्रबंधक मेनू से, टूल्स > SSH टर्मिनल चुनें।
उस Cisco SD-WAN प्रबंधक डिवाइस को चुनें जिस पर आप कमजोर SSH एल्गोरिदम को अक्षम करना चाहते हैं।
डिवाइस में लॉग इन करने के लिए उपयोगकर्ता नाम और पासवर्ड दर्ज करें।
SSH सर्वर मोड में प्रवेश करें.
- vmanage(config)# सिस्टम
- vmanage(config-system)# ssh-सर्वर
SSH एन्क्रिप्शन एल्गोरिथ्म को अक्षम करने के लिए निम्न में से कोई एक कार्य करें:
- SHA-1 अक्षम करें:
प्रबंधन(config-ssh-server)# कोई kex-algo sha1 नहीं
प्रबंधन(config-ssh-server)# प्रतिबद्ध
निम्न चेतावनी संदेश प्रदर्शित होता है: निम्न चेतावनियाँ उत्पन्न की गईं: 'सिस्टम ssh-सर्वर kex-algo sha1': चेतावनी: कृपया सुनिश्चित करें कि आपके सभी किनारे कोड संस्करण > 18.4.6 चलाते हैं जो vManage के साथ SHA1 से बेहतर तरीके से बातचीत करता है। अन्यथा वे किनारे ऑफ़लाइन हो सकते हैं। आगे बढ़ें? [हाँ,नहीं] हाँ
- सुनिश्चित करें कि नेटवर्क में सभी Cisco vEdge डिवाइस Cisco SD-WAN रिलीज़ 18.4.6 या बाद का संस्करण चला रहे हैं और हाँ दर्ज करें।
- AES-128 और AES-192 अक्षम करें:
- vmanage(config-ssh-server)# कोई सिफर नहीं aes-128-192
- vmanage(config-ssh-server)# कमिट
  निम्नलिखित चेतावनी संदेश प्रदर्शित होता है:
  निम्नलिखित चेतावनियाँ उत्पन्न हुईं:
  'सिस्टम ssh-सर्वर सिफर aes-128-192': चेतावनी: कृपया सुनिश्चित करें कि आपके सभी किनारे कोड संस्करण > 18.4.6 चलाते हैं जो vManage के साथ AES-128-192 से बेहतर तरीके से काम करता है। अन्यथा वे किनारे ऑफ़लाइन हो सकते हैं। आगे बढ़ें? [हाँ,नहीं] हाँ
- सुनिश्चित करें कि नेटवर्क में सभी Cisco vEdge डिवाइस Cisco SD-WAN रिलीज़ 18.4.6 या बाद का संस्करण चला रहे हैं और हाँ दर्ज करें।

सत्यापित करें कि CLI का उपयोग करके Cisco SD-WAN प्रबंधक पर कमज़ोर SSH एन्क्रिप्शन एल्गोरिदम अक्षम हैं

सिस्को SD-WAN प्रबंधक मेनू से, टूल्स > SSH टर्मिनल चुनें।
उस Cisco SD-WAN प्रबंधक डिवाइस का चयन करें जिसे आप सत्यापित करना चाहते हैं।
डिवाइस में लॉग इन करने के लिए उपयोगकर्ता नाम और पासवर्ड दर्ज करें।
निम्न आदेश चलाएँ: show running-config system ssh-server
पुष्टि करें कि आउटपुट में एक या अधिक कमांड्स प्रदर्शित होते हैं जो कमजोर एन्क्रिप्शन एल्गोरिदम को अक्षम करते हैं:
- कोई सिफर नहीं aes-128-192
- कोई kex-algo sha1 नहीं

दस्तावेज़ / संसाधन

CISCO SD-WAN सुरक्षा पैरामीटर कॉन्फ़िगर करें [पीडीएफ] उपयोगकर्ता गाइड
SD-WAN सुरक्षा पैरामीटर कॉन्फ़िगर करें, SD-WAN, सुरक्षा पैरामीटर कॉन्फ़िगर करें, सुरक्षा पैरामीटर

संदर्भ

उपयोगकर्ता पुस्तिका

CISCO SD-WAN सुरक्षा पैरामीटर कॉन्फ़िगर करें

सुरक्षा पैरामीटर कॉन्फ़िगर करें

कंट्रोल प्लेन सुरक्षा पैरामीटर कॉन्फ़िगर करें

Cisco SD-WAN प्रबंधक में DTLS कॉन्फ़िगर करें

डेटा प्लेन सुरक्षा पैरामीटर कॉन्फ़िगर करें

स्वीकृत प्रमाणीकरण प्रकार कॉन्फ़िगर करें

रीकीइंग टाइमर बदलें

एंटी-रिप्ले विंडो का आकार बदलें

IPsec स्टेटिक रूट कॉन्फ़िगर करें

IPsec टनल पैरामीटर कॉन्फ़िगर करें

IKE डेड-पीयर डिटेक्शन को संशोधित करें

अन्य इंटरफ़ेस गुण कॉन्फ़िगर करें

सिस्को SD-WAN मैनेजर पर कमज़ोर SSH एन्क्रिप्शन एल्गोरिदम अक्षम करें

दस्तावेज़ / संसाधन

संदर्भ

एक टिप्पणी छोड़ें

उत्तर रद्द