Բովանդակություն թաքցնել
1 CISCO SD-WAN Կարգավորել անվտանգության պարամետրերը
2 Կարգավորել անվտանգության պարամետրերը
3 Կարգավորել Կառավարման հարթության անվտանգության պարամետրերը
4 Կարգավորեք DTLS-ը Cisco SD-WAN Manager-ում
5 Կազմաձևեք տվյալների հարթության անվտանգության պարամետրերը
6 Կազմաձևեք վավերացման թույլատրելի տեսակները
7 Փոխեք Rekeying Timer-ը
8 Փոխեք հակավերարտադրման պատուհանի չափը
9 Կարգավորեք IPsec ստատիկ երթուղին
10 Կարգավորեք IPsec թունելի պարամետրերը
11 Փոփոխել IKE Dead-Peer Detection-ը
12 Կազմաձևեք միջերեսի այլ հատկություններ
13 Անջատեք թույլ SSH կոդավորման ալգորիթմները Cisco SD-WAN կառավարչի վրա
14 Փաստաթղթեր / ռեսուրսներ
14.1 Հղումներ

CISCO-LOGO

CISCO SD-WAN Կարգավորել անվտանգության պարամետրերը

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Կարգավորել անվտանգության պարամետրերը

Նշում

Պարզեցման և հետևողականության հասնելու համար Cisco SD-WAN լուծումը վերաբրենդավորվել է որպես Cisco Catalyst SD-WAN: Բացի այդ, Cisco IOS XE SD-WAN թողարկումից 17.12.1a և Cisco Catalyst SD-WAN թողարկումից 20.12.1 կիրառելի են հետևյալ բաղադրիչների փոփոխությունները. Վերլուծություն, Cisco vBond to Cisco Catalyst SD-WAN Validator և Cisco vSmart to Cisco Catalyst SD-WAN Controller: Տեսեք վերջին թողարկման նշումները բաղադրիչի ապրանքանիշի բոլոր փոփոխությունների համապարփակ ցանկի համար: Մինչ մենք անցնում ենք նոր անուններին, որոշ անհամապատասխանություններ կարող են առկա լինել փաստաթղթերի հավաքածուում՝ ծրագրային ապահովման արտադրանքի օգտատիրոջ միջերեսի թարմացումների փուլային մոտեցման պատճառով:

Այս բաժինը նկարագրում է, թե ինչպես փոխել անվտանգության պարամետրերը կառավարման հարթության և տվյալների հարթության համար Cisco Catalyst SD-WAN ծածկույթի ցանցում:

  • Կարգավորել Կառավարման հարթության անվտանգության պարամետրերը, միացված է
  • Կարգավորել տվյալների հարթության անվտանգության պարամետրերը, միացված է
  • Կարգավորեք IKE-միացված IPsec թունելները, միացված
  • Անջատել թույլ SSH գաղտնագրման ալգորիթմները Cisco SD-WAN Manager-ում, միացված

Կարգավորել Կառավարման հարթության անվտանգության պարամետրերը

Լռելյայնորեն, կառավարման ինքնաթիռը օգտագործում է DTLS-ը որպես արձանագրություն, որն ապահովում է գաղտնիություն իր բոլոր թունելներում: DTLS-ն աշխատում է UDP-ով: Դուք կարող եք փոխել կառավարման հարթության անվտանգության արձանագրությունը TLS-ի, որն աշխատում է TCP-ով: TLS-ի օգտագործման հիմնական պատճառն այն է, որ եթե Cisco SD-WAN Controller-ը համարում եք սերվեր, ապա firewalls-ը ավելի լավ է պաշտպանում TCP սերվերները, քան UDP սերվերները: Դուք կարգավորում եք կառավարման հարթության թունելի արձանագրությունը Cisco SD-WAN վերահսկիչի վրա. vSmart(config)# անվտանգության կառավարման արձանագրություն tls Այս փոփոխությամբ բոլոր կառավարման հարթության թունելները Cisco SD-WAN վերահսկիչի և երթուղիչների միջև և Cisco SD-WAN վերահսկիչի միջև: և Cisco SD-WAN Manager-ը օգտագործում են TLS: Cisco Catalyst SD-WAN Validator-ի կառավարման հարթ թունելները միշտ օգտագործում են DTLS, քանի որ այս միացումները պետք է կարգավորվեն UDP-ի կողմից: Cisco-ի մի քանի SD-WAN Կարգավորիչներ ունեցող տիրույթում, երբ դուք կարգավորում եք TLS-ը Cisco SD-WAN Կարգավորիչներից մեկի վրա, բոլոր կառավարման հարթության թունելներն այդ կարգավորիչից մինչև մյուս կարգավորիչներ օգտագործում են TLS: Այլ կերպ ասած, TLS-ը միշտ գերակայում է DTLS-ից: Այնուամենայնիվ, Cisco-ի մյուս SD-WAN Կարգավորիչների տեսանկյունից, եթե դուք չեք կարգավորել TLS-ը դրանց վրա, նրանք օգտագործում են TLS կառավարման հարթության թունելում միայն այդ Cisco SD-WAN վերահսկիչի համար, և նրանք օգտագործում են DTLS թունելներ մնացած բոլորի համար: Cisco SD-WAN Կարգավորիչներ և նրանց միացված բոլոր երթուղիչները: Որպեսզի բոլոր Cisco SD-WAN Կարգավորիչներն օգտագործեն TLS, կարգավորեք այն բոլորի վրա: Լռելյայնորեն, Cisco SD-WAN Controller-ը լսում է 23456 նավահանգիստը TLS հարցումների համար: Սա փոխելու համար. vSmart(config)# անվտանգության հսկողություն tls-port համարը Նավահանգիստը կարող է լինել 1025-ից մինչև 65535 թվեր: Կառավարման հարթության անվտանգության մասին տեղեկատվությունը ցուցադրելու համար օգտագործեք ցուցադրման կառավարման կապերի հրամանը Cisco SD-WAN վերահսկիչի վրա: Նախample: vSmart-2# ցուցադրել կառավարման կապերը

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Կարգավորեք DTLS-ը Cisco SD-WAN Manager-ում

Եթե ​​դուք կարգավորել եք Cisco SD-WAN Manager-ը, որպեսզի օգտագործի TLS որպես կառավարման հարթության անվտանգության արձանագրություն, դուք պետք է միացնեք նավահանգիստների վերահասցեավորումը ձեր NAT-ում: Եթե ​​դուք օգտագործում եք DTLS-ը որպես հսկիչ հարթության անվտանգության արձանագրություն, ապա ձեզ հարկավոր չէ որևէ բան անել: Փոխանցվող նավահանգիստների քանակը կախված է Cisco SD-WAN կառավարչի վրա աշխատող vdaemon գործընթացների քանակից: Այս գործընթացների և փոխանցվող նավահանգիստների մասին տեղեկատվություն ցուցադրելու համար օգտագործեք ցուցադրման կառավարման ամփոփման հրամանը, որը ցույց է տալիս, որ չորս դեյմոն գործընթացներ են աշխատում.CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Լսելու պորտերը տեսնելու համար օգտագործեք show control local-properties հրամանը՝ vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Այս ելքը ցույց է տալիս, որ լսող TCP պորտը 23456 է: Եթե դուք օգտագործում եք Cisco SD-WAN Manager-ը NAT-ի հետևում, դուք պետք է բացեք հետևյալ պորտերը NAT սարքի վրա.

  • 23456 (բազային – օրինակ 0 նավահանգիստ)
  • 23456 + 100 (բազային + 100)
  • 23456 + 200 (բազային + 200)
  • 23456 + 300 (բազային + 300)

Նկատի ունեցեք, որ օրինակների թիվը նույնն է, ինչ ձեր կողմից հատկացված միջուկների թիվը Cisco SD-WAN Manager-ի համար, մինչև առավելագույնը 8:

Անվտանգության պարամետրերի կարգավորում՝ օգտագործելով անվտանգության առանձնահատկությունների ձևանմուշը

Օգտագործեք անվտանգության գործառույթի ձևանմուշը բոլոր Cisco veEdge սարքերի համար: Եզրային երթուղիչների վրա և Cisco SD-WAN Validator-ում օգտագործեք այս ձևանմուշը՝ տվյալների հարթության անվտանգության համար IPsec-ը կարգավորելու համար: Cisco SD-WAN Manager-ում և Cisco SD-WAN Controller-ում օգտագործեք Անվտանգության գործառույթի ձևանմուշը՝ DTLS-ը կամ TLS-ը կարգավորելու համար կառավարման հարթության անվտանգության համար:

Կարգավորել անվտանգության պարամետրերը

  1. Cisco SD-WAN Manager ցանկից ընտրեք Կազմաձև > Կաղապարներ:
  2. Սեղմեք Feature Templates, ապա սեղմեք Ավելացնել Կաղապար:
    Նշում Cisco vManage Release 20.7.1 և ավելի վաղ թողարկումներում Feature Templates-ը կոչվում է Feature:
  3. Ձախ վահանակի Սարքեր ցանկից ընտրեք սարքը: Ընտրված սարքի համար կիրառելի ձևանմուշները հայտնվում են աջ վահանակում:
  4. Կաղապարը բացելու համար սեղմեք Անվտանգություն:
  5. Կաղապարի անուն դաշտում մուտքագրեք կաղապարի անունը: Անունը կարող է լինել մինչև 128 նիշ և կարող է պարունակել միայն այբբենական թվային նիշեր:
  6. Կաղապարի նկարագրություն դաշտում մուտքագրեք կաղապարի նկարագրությունը: Նկարագրությունը կարող է լինել մինչև 2048 նիշ և կարող է պարունակել միայն այբբենական թվային նիշեր:

Երբ դուք առաջին անգամ բացում եք հատկանիշի ձևանմուշը, յուրաքանչյուր պարամետրի համար, որն ունի լռելյայն արժեք, շրջանակը սահմանվում է «Լռակյաց» (նշվում է նշանով), և ցուցադրվում է կանխադրված պարամետրը կամ արժեքը: Նախնականը փոխելու կամ արժեք մուտքագրելու համար կտտացրեք պարամետրի դաշտի ձախ կողմում գտնվող շրջանակի բացվող ընտրացանկը և ընտրեք հետևյալներից մեկը.

Աղյուսակ 1:

Պարամետր Շրջանակ Շրջանակի նկարագրություն
Հատուկ սարք (նշված է հյուրընկալող պատկերակով) Պարամետրի համար օգտագործեք սարքի հատուկ արժեք: Սարքի հատուկ պարամետրերի համար դուք չեք կարող արժեք մուտքագրել գործառույթի ձևանմուշում: Դուք մուտքագրում եք արժեքը, երբ Viptela սարքը կցում եք սարքի ձևանմուշին:

Երբ սեղմում եք Device Specific, բացվում է «Enter Key» տուփը: Այս վանդակում ցուցադրվում է բանալի, որը եզակի տող է, որը նույնականացնում է պարամետրը CSV-ում file որ դու ստեղծում ես։ Սա file Excel աղյուսակ է, որը պարունակում է մեկ սյունակ յուրաքանչյուր բանալի համար: Վերնագրի տողը պարունակում է բանալիների անունները (մեկ բանալի յուրաքանչյուր սյունակում), և դրանից հետո յուրաքանչյուր տող համապատասխանում է սարքին և սահմանում է այդ սարքի ստեղների արժեքները: Դուք վերբեռնում եք CSV-ն file երբ դուք կցում եք Viptela սարքը սարքի ձևանմուշին: Լրացուցիչ տեղեկությունների համար տե՛ս Ստեղծել կաղապարի փոփոխականների աղյուսակ:

Լռելյայն ստեղնը փոխելու համար մուտքագրեք նոր տող և կուրսորը տեղափոխեք Enter Key տուփից դուրս:

ExampՍարքի հատուկ պարամետրերն են՝ համակարգի IP հասցեն, հյուրընկալողի անունը, GPS-ի գտնվելու վայրը և կայքի ID-ն:
Պարամետր Շրջանակ Շրջանակի նկարագրություն
Գլոբալ (նշված է գլոբուսի պատկերակով) Մուտքագրեք արժեք պարամետրի համար և կիրառեք այդ արժեքը բոլոր սարքերի վրա:

ExampՊարամետրերը, որոնք դուք կարող եք գլոբալ կերպով կիրառել մի խումբ սարքերի համար, դրանք են՝ DNS սերվերը, syslog սերվերը և ինտերֆեյսի MTU-ները:

Կարգավորել Կառավարման ինքնաթիռի անվտանգությունը

Նշում
Կարգավորել Կառավարման հարթության անվտանգությունը բաժինը վերաբերում է միայն Cisco SD-WAN կառավարչին և Cisco SD-WAN վերահսկիչին: Cisco SD-WAN կառավարչի օրինակի կամ Cisco SD-WAN վերահսկիչի վրա կառավարման հարթության միացման արձանագրությունը կարգավորելու համար ընտրեք Հիմնական կազմաձևման տարածքը: և կարգավորեք հետևյալ պարամետրերը.

Աղյուսակ 2:

Պարամետր Անուն Նկարագրություն
Արձանագրություն Ընտրեք արձանագրությունը, որը կօգտագործվի Cisco SD-WAN վերահսկիչի հետ կառավարման հարթության միացումներում.

• DTLS (Datagram Transport Layer Security): Սա լռելյայն է:

• TLS (Transport Layer Security)
Վերահսկել TLS պորտը Եթե ​​ընտրել եք TLS, կարգավորեք պորտի համարը՝ օգտագործելու համար՝Շրջանակ: 1025-ից 65535Կանխադրված: 23456

Սեղմեք Պահպանել

Կարգավորել տվյալների հարթության անվտանգությունը
Cisco SD-WAN Validator-ի կամ Cisco vEdge երթուղիչի վրա տվյալների հարթության անվտանգությունը կարգավորելու համար ընտրեք Հիմնական կազմաձևման և վավերացման տիպի ներդիրները և կազմաձևեք հետևյալ պարամետրերը.

Աղյուսակ 3:

Պարամետր Անուն Նկարագրություն
Rekey Time Նշեք, թե որքան հաճախ է Cisco vEdge երթուղիչը փոխում AES ստեղնը, որն օգտագործվում է իր անվտանգ DTLS կապի վրա Cisco SD-WAN Controller-ի հետ: Եթե ​​OMP-ի նրբագեղ վերագործարկումը միացված է, վերաբանալու ժամանակը պետք է լինի OMP-ի նրբագեղ վերագործարկման ժամանակաչափի արժեքից առնվազն երկու անգամ:Շրջանակ: 10-ից 1209600 վայրկյան (14 օր)Կանխադրված: 86400 վայրկյան (24 ժամ)
Replay պատուհան Նշեք լոգարիթմական վերարտադրման պատուհանի չափը:

Արժեքներ: 64, 128, 256, 512, 1024, 2048, 4096, 8192 փաթեթներԿանխադրված: 512 փաթեթ
IPsec

pairwise-keying

 Սա լռելյայն անջատված է: Սեղմեք On այն միացնելու համար:
Պարամետր Անուն Նկարագրություն
Նույնականացման տեսակը Ընտրեք նույնականացման տեսակները Նույնականացում Ցուցակ, և սեղմեք աջ մատնանշող սլաքը՝ նույնականացման տեսակները տեղափոխելու համար Ընտրված ցուցակ սյունակ.

Նույնականացման տեսակներն աջակցվում են Cisco SD-WAN 20.6.1 թողարկումից.

•  իսպՄիացնում է Encapsulating Security Payload (ESP) կոդավորումը և ամբողջականության ստուգումը ESP վերնագրի վրա:

•  ip-udp-esp: Միացնում է ESP կոդավորումը: Բացի ESP վերնագրի և օգտակար բեռի ամբողջականության ստուգումներից, ստուգումները ներառում են նաև արտաքին IP և UDP վերնագրեր:

•  ip-udp-esp-no-idԱնտեսում է IP-ի վերնագրի ID-ի դաշտը, որպեսզի Cisco Catalyst SD-WAN-ը կարողանա աշխատել ոչ Cisco սարքերի հետ համատեղ:

•  ոչ մեկըԱնջատում է IPSec փաթեթների ամբողջականության ստուգումը: Մենք խորհուրդ չենք տալիս օգտագործել այս տարբերակը:

 

Cisco SD-WAN Release 20.5.1 և ավելի վաղ աջակցվող նույնականացման տեսակները.

•  ah-no-idՄիացնել AH-SHA1 HMAC-ի և ESP HMAC-SHA1-ի ընդլայնված տարբերակը, որն անտեսում է փաթեթի արտաքին IP վերնագրի ID դաշտը:

•  ah-sha1-hmacՄիացնել AH-SHA1 HMAC և ESP HMAC-SHA1:

•  ոչ մեկըԸնտրեք առանց նույնականացման:

•  sha1-hmacՄիացնել ESP HMAC-SHA1-ը:

 

Նշում              Cisco SD-WAN Release 20.5.1 կամ ավելի վաղ տարբերակով աշխատող եզրային սարքի համար դուք կարող եք կարգավորել նույնականացման տեսակները՝ օգտագործելով Անվտանգություն կաղապար: Երբ սարքը թարմացնում եք Cisco SD-WAN Release 20.6.1 կամ ավելի նոր տարբերակի, թարմացրեք ընտրված նույնականացման տեսակները Անվտանգություն Cisco SD-WAN 20.6.1 թողարկումից աջակցվող նույնականացման տեսակների ձևանմուշ: Նույնականացման տեսակները թարմացնելու համար կատարեք հետևյալը.

1.      Cisco SD-WAN Manager ցանկից ընտրեք Կոնֆիգուրացիա >

Կաղապարներ.

2.      Սեղմեք Առանձնահատկությունների կաղապարներ.

3.      Գտեք Անվտանգություն կաղապարը թարմացնելու համար և սեղմեք … և սեղմեք Խմբագրել.

4.      Սեղմեք Թարմացնել. Մի փոփոխեք որևէ կոնֆիգուրացիա:

Cisco SD-WAN Manager-ը թարմացնում է Անվտանգություն ձևանմուշ՝ աջակցվող նույնականացման տեսակները ցուցադրելու համար:

Սեղմեք Պահպանել:

Կազմաձևեք տվյալների հարթության անվտանգության պարամետրերը

Տվյալների հարթությունում IPsec-ը լռելյայն միացված է բոլոր երթուղիչների վրա, և լռելյայն IPsec թունելի միացումներն օգտագործում են Encapsulating Security Payload (ESP) արձանագրության ընդլայնված տարբերակը՝ IPsec թունելներում նույնականացման համար: Երթուղիչների վրա դուք կարող եք փոխել նույնականացման տեսակը, IPsec-ի վերաբաշխման ժամանակաչափը և IPsec հակավերարտադրման պատուհանի չափը:

Կազմաձևեք վավերացման թույլատրելի տեսակները

Նույնականացման տեսակները Cisco SD-WAN թողարկում 20.6.1 և ավելի ուշ
Cisco SD-WAN Release 20.6.1-ից աջակցվում են ամբողջականության հետևյալ տեսակները.

  • esp. Այս տարբերակը հնարավորություն է տալիս Encapsulating Security Payload (ESP) կոդավորումը և ամբողջականության ստուգումը ESP վերնագրի վրա:
  • ip-udp-esp. Այս տարբերակը հնարավորություն է տալիս ESP կոդավորումը: Բացի ESP վերնագրի և օգտակար բեռի ամբողջականության ստուգումներից, ստուգումները ներառում են նաև արտաքին IP և UDP վերնագրեր:
  • ip-udp-esp-no-id: Այս տարբերակը նման է ip-udp-esp-ին, սակայն արտաքին IP վերնագրի ID դաշտը անտեսվում է: Կազմաձևեք այս տարբերակը ամբողջականության տեսակների ցանկում, որպեսզի Cisco Catalyst SD-WAN ծրագրաշարը անտեսի IP վերնագրի ID դաշտը, որպեսզի Cisco Catalyst SD-WAN-ը կարողանա աշխատել Cisco-ի չհանդիսացող սարքերի հետ համատեղ:
  • ոչ մեկը: Այս տարբերակը անջատում է IPSec փաթեթների ամբողջականության ստուգումը: Մենք խորհուրդ չենք տալիս օգտագործել այս տարբերակը:

Լռելյայնորեն, IPsec թունելի միացումները նույնականացման համար օգտագործում են Encapsulating Security Payload (ESP) արձանագրության ընդլայնված տարբերակը: Բանակցված միջակայքի տեսակները փոփոխելու կամ ամբողջականության ստուգումն անջատելու համար օգտագործեք հետևյալ հրամանը՝ integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp}

Նույնականացման տեսակները մինչև Cisco SD-WAN թողարկումը 20.6.1
Լռելյայնորեն, IPsec թունելի միացումները նույնականացման համար օգտագործում են Encapsulating Security Payload (ESP) արձանագրության ընդլայնված տարբերակը: Բանակցված վավերացման տեսակները փոփոխելու կամ նույնականացումն անջատելու համար օգտագործեք հետևյալ հրամանը՝ Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Լռելյայն, IPsec Թունելի միացումներն օգտագործում են AES-GCM-256, որն ապահովում է և՛ կոդավորումը, և՛ իսկությունը: Կազմաձևեք նույնականացման յուրաքանչյուր տեսակ առանձին անվտանգության ipsec վավերացման տիպի հրամանով: Հրամանի ընտրանքները քարտեզագրվում են վավերացման հետևյալ տեսակների հետ, որոնք թվարկված են ամենահզորից մինչև ամենաուժեղը հերթականությամբ.

Նշում
Կազմաձևման տարբերակներում sha1-ն օգտագործվում է պատմական պատճառներով: Նույնականացման ընտրանքները ցույց են տալիս, թե որքան է կատարվել փաթեթի ամբողջականության ստուգումը: Նրանք չեն նշում այն ​​ալգորիթմը, որը ստուգում է ամբողջականությունը: Բացառությամբ բազմաբնույթ տրաֆիկի գաղտնագրման, Cisco Catalyst SD WAN-ի կողմից աջակցվող նույնականացման ալգորիթմները չեն օգտագործում SHA1: Այնուամենայնիվ, Cisco SD-WAN Release 20.1.x և ավելի ուշ տարբերակներում և՛ unicast, և՛ multicast չեն օգտագործում SHA1:

  • ah-sha1-hmac-ը հնարավորություն է տալիս գաղտնագրել և ընդգրկել ESP-ի միջոցով: Այնուամենայնիվ, ESP վերնագրի և օգտակար բեռի ամբողջականության ստուգումներից բացի, ստուգումները ներառում են նաև արտաքին IP և UDP վերնագրեր: Հետևաբար, այս տարբերակը աջակցում է փաթեթի ամբողջականության ստուգմանը, որը նման է վավերացման վերնագրի (AH) արձանագրությանը: Ամբողջ ամբողջականությունը և գաղտնագրումը կատարվում է AES-256-GCM-ի միջոցով:
  • ah-no-id-ը միացնում է ռեժիմը, որը նման է ah-sha1-hmac-ին, սակայն արտաքին IP վերնագրի ID դաշտն անտեսվում է: Այս ընտրանքը տեղավորում է որոշ ոչ Cisco Catalyst SD-WAN սարքեր, ներառյալ Apple AirPort Express NAT-ը, որոնք ունեն սխալ, որը հանգեցնում է IP-ի վերնագրի ID-ի դաշտի փոփոխմանը, որը չփոփոխվող դաշտ է: Կազմաձևեք ah-no-id տարբերակը նույնականացման տեսակների ցանկում, որպեսզի Cisco Catalyst SD-WAN AH ծրագրաշարը անտեսի IP վերնագրի ID դաշտը, որպեսզի Cisco Catalyst SD-WAN ծրագրաշարը կարողանա աշխատել այս սարքերի հետ համատեղ:
  • sha1-hmac-ը հնարավորություն է տալիս ESP կոդավորումը և ամբողջականության ստուգումը:
  • ոչ մեկը չի քարտեզագրվում առանց նույնականացման: Այս տարբերակը պետք է օգտագործվի միայն այն դեպքում, եթե այն պահանջվում է ժամանակավոր վրիպազերծման համար: Դուք կարող եք նաև ընտրել այս տարբերակը այն իրավիճակներում, երբ տվյալների հարթության իսկությունը և ամբողջականությունը մտահոգիչ չեն: Cisco-ն խորհուրդ չի տալիս օգտագործել այս տարբերակը արտադրական ցանցերի համար:

Տեղեկությունների համար, թե որ տվյալների փաթեթների դաշտերն են ազդում նույնականացման այս տեսակների վրա, տես Տվյալների հարթության ամբողջականությունը: Cisco IOS XE Catalyst SD-WAN սարքերը և Cisco vEdge սարքերը գովազդում են իրենց կազմաձևված նույնականացման տեսակները իրենց TLOC հատկություններում: IPsec թունելի միացման երկու կողմերում գտնվող երկու երթուղիչները բանակցում են նույնականացման մասին, որպեսզի օգտագործեն իրենց միջև կապի վրա՝ օգտագործելով նույնականացման ամենաուժեղ տեսակը, որը կազմաձևված է երկու երթուղիչների վրա: ՆախampԵթե ​​մեկ երթուղիչ գովազդում է ah-sha1-hmac և ah-no-id տեսակները, իսկ երկրորդ երթուղիչը գովազդում է ah-no-id տիպը, երկու երթուղիչները բանակցում են օգտագործել ah-no-id IPsec թունելի միացման համար: նրանց. Եթե ​​երկու հասակակիցների վրա հաստատման ընդհանուր տեսակներ չեն կազմաձևվել, նրանց միջև IPsec թունել չի հաստատվում: IPsec թունելի միացումների գաղտնագրման ալգորիթմը կախված է տրաֆիկի տեսակից.

  • Միասին տրաֆիկի համար կոդավորման ալգորիթմը AES-256-GCM է:
  • Multicast տրաֆիկի համար.
  • Cisco SD-WAN թողարկում 20.1.x և ավելի ուշ – գաղտնագրման ալգորիթմն է AES-256-GCM
  • Նախորդ թողարկումներ – գաղտնագրման ալգորիթմը AES-256-CBC է SHA1-HMAC-ով:

Երբ IPsec վավերացման տեսակը փոխվում է, տվյալների ուղու համար AES բանալին փոխվում է:

Փոխեք Rekeying Timer-ը

Մինչ Cisco IOS XE Catalyst SD-WAN սարքերը և Cisco vEdge սարքերը կկարողանան փոխանակել տվյալների տրաֆիկը, նրանք ստեղծել են անվտանգ վավերացված հաղորդակցման ալիք նրանց միջև: Երթուղիչները օգտագործում են IPSec թունելներ իրենց միջև որպես ալիք, իսկ AES-256 ծածկագիրը՝ կոդավորումը կատարելու համար: Յուրաքանչյուր երթուղիչ պարբերաբար ստեղծում է նոր AES բանալի իր տվյալների ուղու համար: Լռելյայնորեն, բանալին վավեր է 86400 վայրկյան (24 ժամ), իսկ ժամաչափի միջակայքը 10 վայրկյանից մինչև 1209600 վայրկյան (14 օր): Վերաբանալու ժմչփի արժեքը փոխելու համար՝ Device(config)# Security ipsec rekey seconds Կազմաձևն այսպիսի տեսք ունի.

  • անվտանգություն ipsec rekey վայրկյաններ!

Եթե ​​ցանկանում եք անմիջապես ստեղծել նոր IPsec ստեղներ, կարող եք դա անել առանց երթուղիչի կոնֆիգուրացիան փոփոխելու: Դա անելու համար վտանգված երթուղիչի վրա թողարկեք անվտանգության ipsecrekey հրամանը: ՆախampՀետևյալ արդյունքը ցույց է տալիս, որ տեղական SA-ն ունի 256 անվտանգության պարամետրի ինդեքս (SPI):CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Յուրաքանչյուր SPI-ի հետ կապված է եզակի բանալին: Եթե ​​այս բանալին վտանգված է, օգտագործեք հարցման անվտանգության ipsec-rekey հրամանը՝ անմիջապես նոր բանալի ստեղծելու համար: Այս հրամանը մեծացնում է SPI-ը: Մեր նախկինումample, SPI-ը փոխվում է 257-ի և դրա հետ կապված բանալին այժմ օգտագործվում է.

  • Սարքի# հարցում անվտանգության ipsecrekey
  • Սարքը # ցույց տալ ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Նոր բանալին ստեղծելուց հետո երթուղիչն այն անմիջապես ուղարկում է Cisco SD-WAN Կարգավորիչներ՝ օգտագործելով DTLS կամ TLS: Cisco SD-WAN Կարգավորիչները բանալին ուղարկում են գործընկեր երթուղիչներին: Երթուղիչները սկսում են օգտագործել այն հենց որ ստանում են այն: Նկատի ունեցեք, որ հին SPI-ի հետ կապված բանալին (256) կշարունակի օգտագործվել կարճ ժամանակով, մինչև դրա ժամկետը սպառվի: Հին բանալին անմիջապես դադարեցնելու համար, արագ հաջորդաբար երկու անգամ թողարկեք անվտանգության ipsec-rekey հրամանը: Հրամանների այս հաջորդականությունը հեռացնում է և՛ SPI 256-ը, և՛ 257-ը և սահմանում է SPI-ը 258-ի: Այնուհետև երթուղիչը օգտագործում է SPI 258-ի հետ կապված բանալին: Այնուամենայնիվ, նկատի ունեցեք, որ որոշ փաթեթներ կհեռացվեն կարճ ժամանակով, մինչև բոլոր հեռավոր երթուղիչները սովորեն: նոր բանալին։CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Փոխեք հակավերարտադրման պատուհանի չափը

IPsec նույնականացումը ապահովում է հակակրկնակի պաշտպանություն՝ տվյալների հոսքում յուրաքանչյուր փաթեթին հատկացնելով եզակի հաջորդական համար: Այս հաջորդական համարակալումը պաշտպանում է հարձակվողից, որը կրկնօրինակում է տվյալների փաթեթները: Հակակրկնակի պաշտպանությամբ ուղարկողը նշանակում է միապաղաղ աճող հաջորդական թվեր, իսկ նպատակակետը ստուգում է այս հաջորդականության համարները՝ կրկնօրինակները հայտնաբերելու համար: Քանի որ փաթեթները հաճախ կարգով չեն հասնում, նպատակակետը պահպանում է հաջորդական թվերի լոգարիթմական պատուհանը, որը նա կընդունի:CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Հերթական թվերով փաթեթները, որոնք ընկնում են լոգարիթմական պատուհանի տիրույթի ձախ կողմում, համարվում են հին կամ կրկնօրինակներ, և նպատակակետը դրանք թողնում է: Նպատակակետը հետևում է իր ստացած ամենաբարձր հաջորդական համարին և կարգավորում է սահող պատուհանը, երբ ստանում է ավելի բարձր արժեք ունեցող փաթեթ:CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Լռելյայնորեն, լոգարիթմական պատուհանը դրված է 512 փաթեթի վրա: Այն կարող է սահմանվել 64-ի և 4096-ի միջև ընկած ցանկացած արժեքի, որը 2-ի հզորություն է (այսինքն՝ 64, 128, 256, 512, 1024, 2048 կամ 4096): Հակակրկնակի պատուհանի չափը փոփոխելու համար օգտագործեք replay-window հրամանը՝ նշելով պատուհանի չափը.

Device(config)# Security ipsec replay-window number

Կազմաձևն այսպիսի տեսք ունի.
անվտանգություն ipsec replay-window number ! !

QoS-ին օգնելու համար առանձին կրկնվող պատուհաններ են պահպանվում առաջին ութ երթևեկության ալիքներից յուրաքանչյուրի համար: Կազմաձևված վերարտադրման պատուհանի չափը բաժանված է ութի յուրաքանչյուր ալիքի համար: Եթե ​​QoS-ը կազմաձևված է երթուղիչի վրա, ապա այդ երթուղիչը կարող է սպասվածից ավելի մեծ թվով փաթեթների անկում ունենալ IPsec հակավերարտադրման մեխանիզմի արդյունքում, և բաց թողնված փաթեթներից շատերը օրինական են: Դա տեղի է ունենում այն ​​պատճառով, որ QoS-ը վերադասավորում է փաթեթները՝ ավելի բարձր առաջնահերթություն ունեցող փաթեթներին տալով արտոնյալ վերաբերմունք և հետաձգելով ավելի ցածր առաջնահերթության փաթեթները: Այս իրավիճակը նվազագույնի հասցնելու կամ կանխելու համար կարող եք անել հետևյալը.

  • Բարձրացրեք հակակրկնակի պատուհանի չափը:
  • Ինժեներական երթևեկությունը առաջին ութ երթևեկության ալիքներով ապահովելու համար, որ ալիքի ներսում երթևեկությունը չի վերադասավորվում:

Կարգավորել IKE-միացված IPsec թունելները
Երթևեկությունը ծածկույթի ցանցից սպասարկման ցանց ապահով փոխանցելու համար կարող եք կարգավորել IPsec թունելները, որոնք գործարկում են Internet Key Exchange (IKE) արձանագրությունը: IKE-ով միացված IPsec թունելներն ապահովում են նույնականացում և գաղտնագրում, որպեսզի ապահովեն փաթեթների անվտանգ փոխադրումը: Դուք ստեղծում եք IKE միացված IPsec թունել՝ կարգավորելով IPsec ինտերֆեյսը: IPsec ինտերֆեյսները տրամաբանական միջերեսներ են, և դուք դրանք կարգավորում եք այնպես, ինչպես ցանկացած այլ ֆիզիկական ինտերֆեյս: Դուք կարգավորում եք IKE արձանագրության պարամետրերը IPsec ինտերֆեյսի վրա և կարող եք կարգավորել ինտերֆեյսի այլ հատկություններ:

Նշում Cisco-ն խորհուրդ է տալիս օգտագործել IKE տարբերակը 2: Cisco SD-WAN 19.2.x-ի թողարկումից սկսած՝ նախնական համօգտագործվող բանալին պետք է ունենա առնվազն 16 բայթ երկարություն: IPsec թունելի ստեղծումը ձախողվում է, եթե բանալու չափը 16 նիշից պակաս է, երբ երթուղիչը թարմացվում է 19.2 տարբերակի:

Նշում
Cisco Catalyst SD-WAN ծրագրաշարն աջակցում է IKE տարբերակ 2-ին, ինչպես սահմանված է RFC 7296-ում: IPsec թունելների օգտագործումից մեկն այն է, որ թույլատրվի vEdge Cloud երթուղիչի VM օրինակները, որոնք աշխատում են Amazon AWS-ով, միանալու Amazon վիրտուալ մասնավոր ամպին (VPC): Դուք պետք է կարգավորեք IKE-ի 1-ին տարբերակը այս երթուղիչների վրա: Cisco vEdge սարքերը աջակցում են միայն երթուղու վրա հիմնված VPN-ներ IPSec կազմաձևում, քանի որ այս սարքերը չեն կարող սահմանել երթևեկության ընտրիչներ կոդավորման տիրույթում:

Կարգավորեք IPsec թունելը
IPsec թունելի միջերեսը սպասարկման ցանցից անվտանգ տրանսպորտային երթևեկության համար կարգավորելու համար դուք ստեղծում եք տրամաբանական IPsec ինտերֆեյս.CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Դուք կարող եք ստեղծել IPsec թունել տրանսպորտային VPN-ում (VPN 0) և ցանկացած VPN ծառայության մեջ (VPN 1-ից մինչև 65530, բացառությամբ 512-ի): IPsec ինտերֆեյսն ունի անուն ipsecnumber ձևաչափով, որտեղ թիվը կարող է լինել 1-ից մինչև 255: Յուրաքանչյուր IPsec ինտերֆեյս պետք է ունենա IPv4 հասցե: Այս հասցեն պետք է լինի /30 նախածանց: VPN-ի ողջ երթևեկությունը, որը գտնվում է այս IPv4 նախածանցի մեջ, ուղղվում է VPN 0-ի ֆիզիկական ինտերֆեյսի, որպեսզի ապահով կերպով ուղարկվի IPsec թունելի միջոցով: Տեղական սարքի վրա IPsec թունելի աղբյուրը կարգավորելու համար կարող եք նշել կամ IP հասցեն: ֆիզիկական ինտերֆեյսը (tunnel-source հրամանում) կամ ֆիզիկական ինտերֆեյսի անվանումը (tunnel-source-interface հրամանում): Համոզվեք, որ ֆիզիկական ինտերֆեյսը կազմաձևված է VPN 0-ով: IPsec թունելի նպատակակետը կարգավորելու համար նշեք հեռավոր սարքի IP հասցեն tunnel-destination հրամանում: Աղբյուրի հասցեի (կամ աղբյուրի միջերեսի անվան) և նպատակակետ հասցեի համադրությունը սահմանում է մեկ IPsec թունել: Միայն մեկ IPsec թունել կարող է գոյություն ունենալ, որն օգտագործում է որոշակի սկզբնաղբյուր հասցե (կամ միջերեսի անուն) և նպատակակետ հասցեների զույգ:

Կարգավորեք IPsec ստատիկ երթուղին

Ծառայության VPN-ից երթևեկությունն ուղղորդելու համար դեպի IPsec թունել տրանսպորտային VPN-ում (VPN 0), դուք կարգավորում եք IPsec-ին հատուկ ստատիկ երթուղի ծառայության VPN-ում (VPN, բացի VPN 0-ից կամ VPN 512-ից):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 ինտերֆեյս
  • ipsecnumber [ipsecnumber2]

VPN ID-ն ցանկացած ծառայության VPN-ն է (VPN 1-ից մինչև 65530, բացառությամբ 512-ի): նախածանցը/երկարությունը IP հասցեն կամ նախածանցն է՝ տասնորդական չորս մասից բաղկացած կետավոր նշումով և IPsec-ին հատուկ ստատիկ երթուղու նախածանցի երկարությունը: Ինտերֆեյսը VPN 0-ի IPsec թունելի ինտերֆեյսն է: Դուք կարող եք կարգավորել մեկ կամ երկու IPsec թունելի միջերես: Եթե ​​կարգավորեք երկուսը, ապա առաջինը առաջնային IPsec թունելն է, իսկ երկրորդը՝ կրկնօրինակը: Երկու ինտերֆեյսով բոլոր փաթեթներն ուղարկվում են միայն առաջնային թունել: Եթե ​​այդ թունելը ձախողվի, ապա բոլոր փաթեթներն ուղարկվում են երկրորդական թունել: Եթե ​​առաջնային թունելը վերադառնում է, ամբողջ երթևեկությունը հետ է տեղափոխվում առաջնային IPsec թունել:

Միացնել IKE տարբերակը 1
Երբ դուք ստեղծում եք IPsec թունել vEdge երթուղիչի վրա, IKE-ի 1-ին տարբերակը լռելյայն միացված է թունելի ինտերֆեյսի վրա: Հետևյալ հատկությունները նույնպես լռելյայն միացված են IKEv1-ի համար.

  • Նույնականացում և գաղտնագրում – AES-256 առաջադեմ գաղտնագրման ստանդարտ CBC գաղտնագրում HMAC-SHA1 keyed-hash հաղորդագրությունների նույնականացման կոդի ալգորիթմով ամբողջականության համար
  • Diffie-Hellman խմբի համարը — 16
  • Վերականգնման ժամանակի ընդմիջումը՝ 4 ժամ
  • SA-ի ստեղծման ռեժիմ — Հիմնական

Լռելյայնորեն, IKEv1-ն օգտագործում է IKE հիմնական ռեժիմը՝ IKE SA-ներ ստեղծելու համար: Այս ռեժիմում վեց բանակցային փաթեթներ փոխանակվում են SA-ի ստեղծման համար: Միայն երեք բանակցային փաթեթ փոխանակելու համար միացրեք ագրեսիվ ռեժիմը.

Նշում
Հնարավորության դեպքում պետք է խուսափել IKE ագրեսիվ ռեժիմից՝ նախապես համօգտագործվող ստեղներով: Հակառակ դեպքում պետք է ընտրել ուժեղ նախապես համօգտագործվող բանալի:

  • vEdge(config)# vpn vpn-id ինտերֆեյս ipsec համարը ike
  • vEdge(config-ike)# ռեժիմ ագրեսիվ

Լռելյայնորեն, IKEv1-ն օգտագործում է Diffie-Hellman 16 խումբը IKE բանալիների փոխանակման մեջ: Այս խումբը օգտագործում է 4096-բիթանոց ավելի մոդուլային էքսպոնենցիալ (MODP) խումբը IKE բանալիների փոխանակման ժամանակ: Դուք կարող եք փոխել խմբի համարը 2-ի (1024-bit MODP-ի համար), 14-ի (2048-bit MODP) կամ 15-ի (3072-bit MODP):

  • vEdge(config)# vpn vpn-id ինտերֆեյս ipsec համարը ike
  • vEdge(config-ike)# խմբի համար

Լռելյայնորեն, IKE բանալիների փոխանակումը օգտագործում է AES-256 առաջադեմ գաղտնագրման ստանդարտ CBC կոդավորումը HMAC-SHA1 keyed-hash հաղորդագրության նույնականացման կոդի ալգորիթմով ամբողջականության համար: Դուք կարող եք փոխել նույնականացումը.

  • vEdge(config)# vpn vpn-id ինտերֆեյս ipsec համարը ike
  • vEdge(config-ike)# cipher-suite suite

Նույնականացման փաթեթը կարող է լինել հետևյալներից մեկը.

  • aes128-cbc-sha1—AES-128 առաջադեմ գաղտնագրման ստանդարտ CBC գաղտնագրում HMAC-SHA1 keyed-hash հաղորդագրությունների նույնականացման կոդի ալգորիթմով ամբողջականության համար
  • aes128-cbc-sha2—AES-128 առաջադեմ գաղտնագրման ստանդարտ CBC գաղտնագրում HMAC-SHA256 keyed-hash հաղորդագրությունների նույնականացման կոդի ալգորիթմով ամբողջականության համար
  • aes256-cbc-sha1—AES-256 առաջադեմ գաղտնագրման ստանդարտ CBC գաղտնագրում HMAC-SHA1 keyed-hash հաղորդագրությունների նույնականացման կոդի ալգորիթմով ամբողջականության համար; սա լռելյայն է:
  • aes256-cbc-sha2—AES-256 առաջադեմ գաղտնագրման ստանդարտ CBC գաղտնագրում HMAC-SHA256 keyed-hash հաղորդագրությունների նույնականացման կոդի ալգորիթմով ամբողջականության համար

Լռելյայնորեն, IKE ստեղները թարմացվում են յուրաքանչյուր 1 ժամը մեկ (3600 վայրկյան): Դուք կարող եք փոխել ստեղնավորման միջակայքը 30 վայրկյանից մինչև 14 օր (1209600 վայրկյան) արժեքի: Խորհուրդ է տրվում, որ ստեղնավորման ընդմիջումը լինի առնվազն 1 ժամ:

  • vEdge(config)# vpn vpn-id ինտերֆեյսի ipsec համարը նման է
  • vEdge(config-ike)# rekey վայրկյան

IKE նիստի համար նոր ստեղների ստեղծումը ստիպելու համար թողարկեք ipsec ike-rekey հրամանը:

  • vEdge(config)# vpn vpn-id interfaceipsec համարը ike

IKE-ի համար կարող եք նաև կարգավորել նախնական համօգտագործված բանալիով (PSK) նույնականացումը.

  • vEdge(config)# vpn vpn-id ինտերֆեյս ipsec համարը ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret գաղտնաբառի գաղտնաբառն այն գաղտնաբառը է, որն օգտագործվում է նախապես համօգտագործված բանալիով: Այն կարող է լինել ASCII կամ տասնվեցական տող 1-ից 127 նիշ երկարությամբ:

Եթե ​​հեռակառավարվող IKE գործընկերը պահանջում է տեղական կամ հեռավոր ID, կարող եք կարգավորել այս նույնացուցիչը.

  • vEdge(config)# vpn vpn-id ինտերֆեյս ipsec համարը, օրինակ, նույնականացման տեսակը
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Նույնացուցիչը կարող է լինել IP հասցե կամ ցանկացած տեքստային տող 1-ից 63 նիշ: Լռելյայնորեն, տեղական ID-ն թունելի սկզբնաղբյուր IP հասցեն է, իսկ հեռավոր ID-ն թունելի նպատակակետ IP հասցեն է:

Միացնել IKE տարբերակը 2
Երբ դուք կարգավորում եք IPsec թունելը, որպեսզի օգտագործի IKE տարբերակ 2-ը, հետևյալ հատկությունները նույնպես լռելյայն միացված են IKEv2-ի համար.

  • Նույնականացում և գաղտնագրում – AES-256 առաջադեմ գաղտնագրման ստանդարտ CBC գաղտնագրում HMAC-SHA1 keyed-hash հաղորդագրությունների նույնականացման կոդի ալգորիթմով ամբողջականության համար
  • Diffie-Hellman խմբի համարը — 16
  • Վերականգնման ժամանակի ընդմիջումը՝ 4 ժամ

Լռելյայնորեն, IKEv2-ն օգտագործում է Diffie-Hellman 16 խումբը IKE բանալիների փոխանակման մեջ: Այս խումբը օգտագործում է 4096-բիթանոց ավելի մոդուլային էքսպոնենցիալ (MODP) խումբը IKE բանալիների փոխանակման ժամանակ: Դուք կարող եք փոխել խմբի համարը 2-ի (1024-bit MODP-ի համար), 14-ի (2048-bit MODP) կամ 15-ի (3072-bit MODP):

  • vEdge(config)# vpn vpn-id ինտերֆեյս ipsecnumber ike
  • vEdge(config-ike)# խմբի համար

Լռելյայնորեն, IKE բանալիների փոխանակումը օգտագործում է AES-256 առաջադեմ գաղտնագրման ստանդարտ CBC կոդավորումը HMAC-SHA1 keyed-hash հաղորդագրության նույնականացման կոդի ալգորիթմով ամբողջականության համար: Դուք կարող եք փոխել նույնականացումը.

  • vEdge(config)# vpn vpn-id ինտերֆեյս ipsecnumber ike
  • vEdge(config-ike)# cipher-suite suite

Նույնականացման փաթեթը կարող է լինել հետևյալներից մեկը.

  • aes128-cbc-sha1—AES-128 առաջադեմ գաղտնագրման ստանդարտ CBC գաղտնագրում HMAC-SHA1 keyed-hash հաղորդագրությունների նույնականացման կոդի ալգորիթմով ամբողջականության համար
  • aes128-cbc-sha2—AES-128 առաջադեմ գաղտնագրման ստանդարտ CBC գաղտնագրում HMAC-SHA256 keyed-hash հաղորդագրությունների նույնականացման կոդի ալգորիթմով ամբողջականության համար
  • aes256-cbc-sha1—AES-256 առաջադեմ գաղտնագրման ստանդարտ CBC գաղտնագրում HMAC-SHA1 keyed-hash հաղորդագրությունների նույնականացման կոդի ալգորիթմով ամբողջականության համար; սա լռելյայն է:
  • aes256-cbc-sha2—AES-256 առաջադեմ գաղտնագրման ստանդարտ CBC գաղտնագրում HMAC-SHA256 keyed-hash հաղորդագրությունների նույնականացման կոդի ալգորիթմով ամբողջականության համար

Լռելյայնորեն, IKE ստեղները թարմացվում են յուրաքանչյուր 4 ժամը մեկ (14,400 վայրկյան): Դուք կարող եք փոխել ստեղնավորման միջակայքը 30 վայրկյանից մինչև 14 օր (1209600 վայրկյան) արժեքի:

  • vEdge(config)# vpn vpn-id ինտերֆեյս ipsecnumber ike
  • vEdge(config-ike)# rekey վայրկյան

IKE նիստի համար նոր ստեղների ստեղծումը ստիպելու համար թողարկեք ipsec ike-rekey հրամանը: IKE-ի համար կարող եք նաև կարգավորել նախնական համօգտագործված բանալիով (PSK) նույնականացումը.

  • vEdge(config)# vpn vpn-id ինտերֆեյս ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret գաղտնաբառի գաղտնաբառն այն գաղտնաբառը է, որն օգտագործվում է նախապես համօգտագործված բանալիով: Այն կարող է լինել ASCII կամ տասնվեցական տող, կամ կարող է լինել AES կոդավորված բանալի: Եթե ​​հեռակառավարվող IKE գործընկերը պահանջում է տեղական կամ հեռավոր ID, կարող եք կարգավորել այս նույնացուցիչը.
  • vEdge(config)# vpn vpn-id ինտերֆեյս ipsecnumber ike authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Նույնացուցիչը կարող է լինել IP հասցե կամ ցանկացած տեքստային տող 1-ից 64 նիշ: Լռելյայնորեն, տեղական ID-ն թունելի սկզբնաղբյուր IP հասցեն է, իսկ հեռավոր ID-ն թունելի նպատակակետ IP հասցեն է:

Կարգավորեք IPsec թունելի պարամետրերը

Աղյուսակ 4. Խաղարկային պատմություն

Առանձնահատկություն Անուն Տեղեկություն թողարկման մասին Նկարագրություն
Լրացուցիչ գաղտնագրություն Cisco SD-WAN թողարկում 20.1.1 Այս հատկությունը ավելացնում է աջակցություն
Ալգորիթմական աջակցություն IPSec-ի համար   HMAC_SHA256, HMAC_SHA384 և
Թունելներ   HMAC_SHA512 ալգորիթմների համար
    ուժեղացված անվտանգություն:

Լռելյայնորեն, հետևյալ պարամետրերը օգտագործվում են IPsec թունելում, որը կրում է IKE տրաֆիկ.

  • Նույնականացում և գաղտնագրում – AES-256 ալգորիթմ GCM-ում (Galois/counter ռեժիմ)
  • Վերականգնման ընդմիջումը՝ 4 ժամ
  • Կրկնվող պատուհան — 32 փաթեթ

Դուք կարող եք փոխել IPsec թունելի գաղտնագրումը AES-256 ծածկագրով CBC-ում (գաղտնագրերի բլոկների շղթայական ռեժիմ, HMAC-ով, օգտագործելով SHA-1 կամ SHA-2 keyed-hash հաղորդագրությունների իսկությունը, կամ չեղարկել HMAC-ով SHA-1 կամ SHA-2-ի միջոցով: SHA-XNUMX keyed-hash հաղորդագրությունների նույնականացում՝ IKE բանալիների փոխանակման տրաֆիկի համար օգտագործվող IPsec թունելը չգաղտնագրելու համար.

  • vEdge (config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# ծածկագրման հավաքածու (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-cbc-sha384 | | aes256-null-sha512 |.

Լռելյայնորեն, IKE ստեղները թարմացվում են յուրաքանչյուր 4 ժամը մեկ (14,400 վայրկյան): Դուք կարող եք փոխել ստեղնավորման միջակայքը 30 վայրկյանից մինչև 14 օր (1209600 վայրկյան) արժեքի:

  • vEdge (config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey վայրկյան

IPsec թունելի համար նոր ստեղների ստեղծումը ստիպելու համար թողարկեք ipsec ipsec-rekey հրամանը: Լռելյայնորեն, կատարյալ փոխանցման գաղտնիությունը (PFS) միացված է IPsec թունելներում, որպեսզի համոզվեն, որ անցյալ նստաշրջանները չեն ազդի, եթե ապագա բանալիները վտանգի ենթարկվեն: PFS-ն ստիպում է նոր Diffie-Hellman բանալիների փոխանակում կատարել՝ լռելյայն օգտագործելով 4096-բիթանոց Diffie-Hellman հիմնական մոդուլների խումբը: Դուք կարող եք փոխել PFS պարամետրը.

  • vEdge (config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-setting-ը կարող է լինել հետևյալներից մեկը.

  • group-2 - Օգտագործեք 1024-բիթանոց Diffie-Hellman հիմնական մոդուլի խումբը:
  • group-14 - Օգտագործեք 2048-բիթանոց Diffie-Hellman հիմնական մոդուլի խումբը:
  • group-15 - Օգտագործեք 3072-բիթանոց Diffie-Hellman հիմնական մոդուլի խումբը:
  • group-16 - Օգտագործեք 4096-բիթանոց Diffie-Hellman հիմնական մոդուլի խումբը: Սա լռելյայն է:
  • ոչ մեկը — Անջատել PFS-ը:

Լռելյայնորեն, IPsec-ի վերարտադրման պատուհանը IPsec թունելում 512 բայթ է: Կրկնվող պատուհանի չափը կարող եք սահմանել 64, 128, 256, 512, 1024, 2048 կամ 4096 փաթեթների.

  • vEdge (config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# replay-window համարը

Փոփոխել IKE Dead-Peer Detection-ը

IKE-ն օգտագործում է մեռած գործընկերների հայտնաբերման մեխանիզմ՝ որոշելու, թե արդյոք կապը IKE-ի հետ ֆունկցիոնալ է և հասանելի: Այս մեխանիզմն իրականացնելու համար IKE-ն ուղարկում է Hello փաթեթ իր հասակակիցին, իսկ գործընկերը ի պատասխան ուղարկում է հաստատում: Լռելյայնորեն, IKE-ն ուղարկում է Hello փաթեթներ յուրաքանչյուր 10 վայրկյանը մեկ, և երեք չճանաչված փաթեթներից հետո IKE-ն հայտարարում է հարևանի մահացածի մասին և քանդում է թունելը հասակակիցների մոտ: Այնուհետև, IKE-ը պարբերաբար ուղարկում է Hello փաթեթ գործընկերին և վերահաստատում է թունելը, երբ գործընկերը վերադառնում է առցանց: Դուք կարող եք փոխել ակտիվության հայտնաբերման միջակայքը արժեքի 0-ից մինչև 65535, և կարող եք փոխել կրկնվող փորձերի քանակը 0-ից մինչև 255 արժեքի:

Նշում

Տրանսպորտային VPN-ների համար ակտիվության հայտնաբերման միջակայքը փոխարկվում է վայրկյանների՝ օգտագործելով հետևյալ բանաձևը.ample, եթե միջակայքը դրված է 10-ի և նորից փորձում է 5-ի, հայտնաբերման միջակայքը մեծանում է հետևյալ կերպ.

  • Փորձ 1: 10 * 1.81-1 = 10 վայրկյան
  • Փորձ 2: 10 * 1.82-1 = 18 վայրկյան
  • Փորձ 3: 10 * 1.83-1 = 32.4 վայրկյան
  • Փորձ 4: 10 * 1.84-1 = 58.32 վայրկյան
  • Փորձ 5: 10 * 1.85-1 = 104.976 վայրկյան

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval կրկնակի փորձերի համար

Կազմաձևեք միջերեսի այլ հատկություններ

IPsec թունելի միջերեսների համար կարող եք կարգավորել միայն հետևյալ լրացուցիչ ինտերֆեյսի հատկությունները.

  • vEdge(config-interface-ipsec)# mtu բայթ
  • vEdge (config-interface-ipsec)# tcp-mss-adjust bytes

Անջատեք թույլ SSH կոդավորման ալգորիթմները Cisco SD-WAN կառավարչի վրա

Աղյուսակ 5. Հատկանիշների պատմության աղյուսակ

Առանձնահատկություն Անուն Տեղեկություն թողարկման մասին Առանձնահատկություն Նկարագրություն
Անջատեք թույլ SSH կոդավորման ալգորիթմները Cisco SD-WAN կառավարչի վրա Cisco vManage թողարկում 20.9.1 Այս հատկությունը թույլ է տալիս անջատել ավելի թույլ SSH ալգորիթմները Cisco SD-WAN Manager-ում, որոնք կարող են չհամապատասխանել տվյալների անվտանգության որոշակի ստանդարտներին:

Cisco SD-WAN կառավարչի վրա թույլ SSH կոդավորման ալգորիթմների անջատման մասին տեղեկատվություն
Cisco SD-WAN Manager-ը ապահովում է SSH հաճախորդ ցանցի բաղադրիչների հետ հաղորդակցվելու համար, ներառյալ կարգավորիչներն ու եզրային սարքերը: SSH հաճախորդը ապահովում է գաղտնագրված կապ տվյալների անվտանգ փոխանցման համար՝ հիմնված գաղտնագրման մի շարք ալգորիթմների վրա: Շատ կազմակերպություններ պահանջում են ավելի ուժեղ գաղտնագրում, քան SHA-1-ի, AES-128-ի և AES-192-ի կողմից տրամադրվածը: Cisco vManage Release 20.9.1-ից կարող եք անջատել հետևյալ ավելի թույլ կոդավորման ալգորիթմները, որպեսզի SSH հաճախորդը չօգտագործի այս ալգորիթմները.

  • SHA-1
  • AES-128
  • AES-192

Նախքան այս գաղտնագրման ալգորիթմներն անջատելը, համոզվեք, որ Cisco vEdge սարքերը, եթե այդպիսիք կան, ցանցում, օգտագործում են ծրագրաշարի թողարկում ավելի ուշ, քան Cisco SD-WAN 18.4.6 թողարկումը:

Cisco SD-WAN մենեջերի վրա թույլ SSH կոդավորման ալգորիթմների անջատման առավելությունները
Ավելի թույլ SSH գաղտնագրման ալգորիթմների անջատումը բարելավում է SSH հաղորդակցության անվտանգությունը և երաշխավորում, որ Cisco Catalyst SD-WAN օգտագործող կազմակերպությունները համապատասխանում են անվտանգության խիստ կանոններին:

Անջատել թույլ SSH կոդավորման ալգորիթմները Cisco SD-WAN մենեջերի վրա՝ օգտագործելով CLI

  1. Cisco SD-WAN Manager ցանկից ընտրեք Գործիքներ > SSH տերմինալ:
  2. Ընտրեք Cisco SD-WAN Manager սարքը, որի վրա ցանկանում եք անջատել ավելի թույլ SSH ալգորիթմները:
  3. Մուտքագրեք օգտվողի անունը և գաղտնաբառը՝ սարք մուտք գործելու համար:
  4. Մուտք գործեք SSH սերվերի ռեժիմ:
    • vmanage(config)# համակարգ
    • vmanage(config-system)# ssh-server
  5. SSH կոդավորման ալգորիթմն անջատելու համար կատարեք հետևյալներից մեկը.
    • Անջատել SHA-1:
  6. կառավարել (config-ssh-server)# no kex-algo sha1
  7. manager(config-ssh-server)# commit
    Ցուցադրվում է հետևյալ նախազգուշական հաղորդագրությունը. Հետևյալ նախազգուշացումները ստեղծվել են՝ «system ssh-server kex-algo sha1»: ԶԳՈՒՇԱՑՈՒՄ. Խնդրում ենք համոզվել, որ ձեր բոլոր եզրերը գործարկեն կոդը > 18.4.6 տարբերակը, որն ավելի լավ է բանակցում, քան SHA1-ը vManage-ի հետ: Հակառակ դեպքում այդ եզրերը կարող են անցանց դառնալ: Շարունակե՞լ [այո, ոչ] այո
    • Համոզվեք, որ ցանցում առկա Cisco vEdge սարքերը աշխատում են Cisco SD-WAN թողարկում 18.4.6 կամ ավելի նոր տարբերակով և մուտքագրեք այո:
    • Անջատեք AES-128 և AES-192:
    • vmanage (config-ssh-server)# առանց ծածկագրի aes-128-192
    • vmanage(config-ssh-server)# commit
      Ցուցադրվում է հետևյալ նախազգուշական հաղորդագրությունը.
      Ստեղծվել են հետևյալ նախազգուշացումները.
      «համակարգի ssh-server cipher aes-128-192»: ԶԳՈՒՇԱՑՈՒՄ. Խնդրում ենք համոզվել, որ ձեր բոլոր եզրերը գործարկեն կոդը > 18.4.6 տարբերակը, որն ավելի լավ է բանակցում, քան AES-128-192-ը vManage-ի հետ: Հակառակ դեպքում այդ եզրերը կարող են անցանց դառնալ: Շարունակե՞լ [այո, ոչ] այո
    • Համոզվեք, որ ցանցում առկա Cisco vEdge սարքերը աշխատում են Cisco SD-WAN թողարկում 18.4.6 կամ ավելի նոր տարբերակով և մուտքագրեք այո:

Ստուգեք, որ թույլ SSH կոդավորման ալգորիթմներն անջատված են Cisco SD-WAN մենեջերում՝ օգտագործելով CLI

  1. Cisco SD-WAN Manager ցանկից ընտրեք Գործիքներ > SSH տերմինալ:
  2. Ընտրեք Cisco SD-WAN Manager սարքը, որը ցանկանում եք ստուգել:
  3. Մուտքագրեք օգտվողի անունը և գաղտնաբառը՝ սարք մուտք գործելու համար:
  4. Գործարկեք հետևյալ հրամանը՝ ցույց տալ run-config համակարգի ssh-server
  5. Հաստատեք, որ ելքը ցույց է տալիս մեկ կամ մի քանի հրամաններ, որոնք անջատում են ավելի թույլ կոդավորման ալգորիթմները.
    • ոչ ծածկագիր aes-128-192
    • ոչ kex-algo sha1

Փաստաթղթեր / ռեսուրսներ

CISCO SD-WAN Կարգավորել անվտանգության պարամետրերը [pdf] Օգտագործողի ուղեցույց
SD-WAN Կարգավորել անվտանգության պարամետրերը, SD-WAN, կարգավորել անվտանգության պարամետրերը, անվտանգության պարամետրերը

Հղումներ

Թողնել մեկնաբանություն

Ձեր էլփոստի հասցեն չի հրապարակվի: Պարտադիր դաշտերը նշված են *