Isi bersembunyi
1 CISCO SD-WAN Konfigurasikan Parameter Keamanan
2 Konfigurasikan Parameter Keamanan
3 Konfigurasikan Parameter Keamanan Bidang Kontrol
4 Konfigurasikan DTLS di Cisco SD-WAN Manager
5 Konfigurasikan Parameter Keamanan Data Plane
6 Konfigurasikan Jenis Otentikasi yang Diizinkan
7 Ubah Timer Penguncian Ulang
8 Ubah Ukuran Jendela Anti-Putar Ulang
9 Konfigurasikan Rute Statis IPsec
10 Konfigurasikan Parameter Terowongan IPsec
11 Ubah Deteksi Rekan Mati IKE
12 Konfigurasikan Properti Antarmuka Lainnya
13 Nonaktifkan Algoritma Enkripsi SSH yang Lemah pada Cisco SD-WAN Manager
14 Dokumen / Sumber Daya
14.1 Referensi

CISCO-LOGO

CISCO SD-WAN Konfigurasikan Parameter Keamanan

CISCO-SD-WAN-Konfigurasi-Parameter-Keamanan-PRODUK

Konfigurasikan Parameter Keamanan

Catatan

Untuk mencapai penyederhanaan dan konsistensi, solusi Cisco SD-WAN telah diganti namanya menjadi Cisco Catalyst SD-WAN. Selain itu, mulai Cisco IOS XE SD-WAN Release 17.12.1a dan Cisco Catalyst SD-WAN Release 20.12.1, perubahan komponen berikut berlaku: Cisco vManage menjadi Cisco Catalyst SD-WAN Manager, Cisco vAnalytics menjadi Cisco Catalyst SD-WAN Analytics, Cisco vBond ke Cisco Catalyst SD-WAN Validator, dan Cisco vSmart ke Cisco Catalyst SD-WAN Controller. Lihat Catatan Rilis terbaru untuk daftar lengkap semua perubahan nama merek komponen. Saat kami beralih ke nama baru, beberapa ketidakkonsistenan mungkin muncul dalam kumpulan dokumentasi karena pendekatan bertahap terhadap pembaruan antarmuka pengguna produk perangkat lunak.

Bagian ini menjelaskan cara mengubah parameter keamanan untuk bidang kontrol dan bidang data di jaringan overlay Cisco Catalyst SD-WAN.

  • Konfigurasikan Parameter Keamanan Bidang Kontrol, aktif
  • Konfigurasikan Parameter Keamanan Data Plane, aktif
  • Konfigurasikan Terowongan IPsec yang Diaktifkan IKE, aktif
  • Nonaktifkan Algoritma Enkripsi SSH yang Lemah pada Cisco SD-WAN Manager, aktif

Konfigurasikan Parameter Keamanan Bidang Kontrol

Secara default, bidang kendali menggunakan DTLS sebagai protokol yang memberikan privasi di semua terowongannya. DTLS berjalan di atas UDP. Anda dapat mengubah protokol keamanan sarana kontrol ke TLS, yang berjalan melalui TCP. Alasan utama menggunakan TLS adalah, jika Anda menganggap Cisco SD-WAN Controller sebagai server, firewall melindungi server TCP lebih baik daripada server UDP. Anda mengonfigurasi protokol terowongan bidang kendali pada Pengontrol Cisco SD-WAN: vSmart(config)# protokol kendali keamanan tls Dengan perubahan ini, semua terowongan bidang kendali antara Pengontrol Cisco SD-WAN dan router serta antara Pengontrol Cisco SD-WAN dan Cisco SD-WAN Manager menggunakan TLS. Control plane tunnel ke Cisco Catalyst SD-WAN Validator selalu menggunakan DTLS, karena koneksi ini harus ditangani oleh UDP. Dalam domain dengan beberapa Pengontrol Cisco SD-WAN, saat Anda mengonfigurasi TLS di salah satu Pengontrol Cisco SD-WAN, semua terowongan bidang kontrol dari pengontrol tersebut ke pengontrol lainnya menggunakan TLS. Dengan kata lain, TLS selalu diutamakan daripada DTLS. Namun, dari perspektif Pengontrol Cisco SD-WAN lainnya, jika Anda belum mengonfigurasi TLS pada pengontrol tersebut, mereka menggunakan TLS pada terowongan bidang kontrol hanya ke satu Pengontrol Cisco SD-WAN tersebut, dan mereka menggunakan terowongan DTLS ke semua Pengontrol Cisco SD-WAN lainnya. Pengontrol Cisco SD-WAN dan semua routernya yang terhubung. Agar semua Pengontrol Cisco SD-WAN menggunakan TLS, konfigurasikan pada semuanya. Secara default, Pengontrol Cisco SD-WAN mendengarkan pada port 23456 untuk permintaan TLS. Untuk mengubahnya: vSmart(config)# nomor port tls kontrol keamanan Port dapat berupa nomor dari 1025 hingga 65535. Untuk menampilkan informasi keamanan bidang kontrol, gunakan perintah tampilkan koneksi kontrol pada Pengontrol Cisco SD-WAN. Misalnyaample: vSmart-2# tampilkan koneksi kontrol

CISCO-SD-WAN-Konfigurasi-Parameter-Keamanan-Gbr-1

Konfigurasikan DTLS di Cisco SD-WAN Manager

Jika Anda mengonfigurasi Cisco SD-WAN Manager untuk menggunakan TLS sebagai protokol keamanan bidang kontrol, Anda harus mengaktifkan penerusan port pada NAT Anda. Jika Anda menggunakan DTLS sebagai protokol keamanan bidang kendali, Anda tidak perlu melakukan apa pun. Jumlah port yang diteruskan tergantung pada jumlah proses vdaemon yang berjalan di Cisco SD-WAN Manager. Untuk menampilkan informasi tentang proses ini dan tentang jumlah port yang diteruskan, gunakan perintah show control ringkasan yang menunjukkan bahwa empat proses daemon sedang berjalan:CISCO-SD-WAN-Konfigurasi-Parameter-Keamanan-Gbr-2

Untuk melihat port mendengarkan, gunakan perintah show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Konfigurasi-Parameter-Keamanan-Gbr-3

Output ini menunjukkan bahwa port TCP yang mendengarkan adalah 23456. Jika Anda menjalankan Cisco SD-WAN Manager di belakang NAT, Anda harus membuka port berikut pada perangkat NAT:

  • 23456 (basis – port contoh 0)
  • 23456 + 100 (basis + 100)
  • 23456 + 200 (basis + 200)
  • 23456 + 300 (basis + 300)

Perhatikan bahwa jumlah instans sama dengan jumlah inti yang telah Anda tetapkan untuk Cisco SD-WAN Manager, hingga maksimum 8.

Konfigurasikan Parameter Keamanan Menggunakan Templat Fitur Keamanan

Gunakan templat fitur Keamanan untuk semua perangkat Cisco vEdge. Di router edge dan Validator Cisco SD-WAN, gunakan templat ini untuk mengonfigurasi IPsec untuk keamanan bidang data. Pada Cisco SD-WAN Manager dan Cisco SD-WAN Controller, gunakan templat fitur Keamanan untuk mengonfigurasi DTLS atau TLS untuk keamanan bidang kendali.

Konfigurasikan Parameter Keamanan

  1. Dari menu Cisco SD-WAN Manager, pilih Konfigurasi > Templat.
  2. Klik Templat Fitur lalu klik Tambahkan Templat.
    Catatan Di Cisco vManage Rilis 20.7.1 dan rilis sebelumnya, Templat Fitur disebut Fitur.
  3. Dari daftar Perangkat di panel kiri, pilih perangkat. Templat yang berlaku untuk perangkat yang dipilih muncul di panel kanan.
  4. Klik Keamanan untuk membuka templat.
  5. Pada kolom Nama Templat, masukkan nama templat. Nama maksimal 128 karakter dan hanya boleh berisi karakter alfanumerik.
  6. Pada kolom Deskripsi Templat, masukkan deskripsi templat. Deskripsi maksimal 2048 karakter dan hanya boleh berisi karakter alfanumerik.

Saat Anda pertama kali membuka templat fitur, untuk setiap parameter yang memiliki nilai default, cakupan diatur ke Default (ditunjukkan dengan tanda centang), dan pengaturan atau nilai default ditampilkan. Untuk mengubah nilai default atau memasukkan nilai, klik menu tarik-turun cakupan di sebelah kiri bidang parameter dan pilih salah satu hal berikut:

Tabel 1:

Parameter Cakupan Deskripsi Ruang Lingkup
Khusus Perangkat (ditunjukkan dengan ikon host) Gunakan nilai khusus perangkat untuk parameter tersebut. Untuk parameter khusus perangkat, Anda tidak dapat memasukkan nilai dalam templat fitur. Anda memasukkan nilai saat Anda memasang perangkat Viptela ke templat perangkat.

Saat Anda mengklik Khusus Perangkat, kotak Enter Key akan terbuka. Kotak ini menampilkan kunci, yaitu string unik yang mengidentifikasi parameter dalam CSV file yang Anda buat. Ini file adalah spreadsheet Excel yang berisi satu kolom untuk setiap kunci. Baris header berisi nama kunci (satu kunci per kolom), dan setiap baris setelahnya berhubungan dengan perangkat dan menentukan nilai kunci untuk perangkat tersebut. Anda mengunggah CSV file saat Anda memasang perangkat Viptela ke templat perangkat. Untuk informasi selengkapnya, lihat Membuat Spreadsheet Variabel Templat.

Untuk mengubah kunci default, ketikkan string baru dan gerakkan kursor keluar dari kotak Enter Key.

ExampFile parameter khusus perangkat adalah alamat IP sistem, nama host, lokasi GPS, dan ID situs.
Parameter Cakupan Deskripsi Ruang Lingkup
Global (ditunjukkan dengan ikon globe) Masukkan nilai untuk parameter, dan terapkan nilai tersebut ke semua perangkat.

ExampFile parameter yang mungkin Anda terapkan secara global ke sekelompok perangkat adalah server DNS, server syslog, dan antarmuka MTU.

Konfigurasikan Keamanan Bidang Kontrol

Catatan
Bagian Konfigurasikan Keamanan Bidang Kontrol hanya berlaku untuk Cisco SD-WAN Manager dan Cisco SD-WAN Controller. Untuk mengonfigurasi protokol koneksi bidang kontrol pada instans Cisco SD-WAN Manager atau Pengontrol Cisco SD-WAN, pilih area Konfigurasi Dasar dan konfigurasikan parameter berikut:

Tabel 2:

Parameter Nama Keterangan
Protokol Pilih protokol yang akan digunakan pada koneksi bidang kendali ke Pengontrol Cisco SD-WAN:

• DTLS (DatagKeamanan Lapisan Transportasi ram). Ini adalah standarnya.

•  TLS (Keamanan Lapisan Transportasi)
Kontrol Pelabuhan TLS Jika Anda memilih TLS, konfigurasikan nomor port yang akan digunakan:Jangkauan: 1025 sampai 65535Bawaan: 23456

Klik Simpan

Konfigurasikan Keamanan Data Plane
Untuk mengonfigurasi keamanan bidang data pada Cisco SD-WAN Validator atau router Cisco vEdge, pilih tab Konfigurasi Dasar dan Jenis Otentikasi, dan konfigurasikan parameter berikut:

Tabel 3:

Parameter Nama Keterangan
Waktu Rekey Tentukan seberapa sering router Cisco vEdge mengubah kunci AES yang digunakan pada koneksi DTLS amannya ke Pengontrol Cisco SD-WAN. Jika restart anggun OMP diaktifkan, waktu pengekuncian ulang harus setidaknya dua kali nilai pengatur waktu restart anggun OMP.Jangkauan: 10 hingga 1209600 detik (14 hari)Bawaan: 86400 detik (24 jam)
Jendela Putar Ulang Tentukan ukuran jendela pemutaran ulang geser.

Nilai: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketBawaan: 512 paket
Bahasa Indonesia: IPsec

penguncian berpasangan

 Ini dinonaktifkan secara default. Klik On untuk menyalakannya.
Parameter Nama Keterangan
Jenis Autentikasi Pilih jenis otentikasi dari Autentikasi Daftar, dan klik panah yang mengarah ke kanan untuk memindahkan jenis autentikasi ke Daftar yang Dipilih kolom.

Jenis otentikasi yang didukung dari Cisco SD-WAN Rilis 20.6.1:

•  khususnya: Mengaktifkan enkripsi Encapsulate Security Payload (ESP) dan pemeriksaan integritas pada header ESP.

•  ip-udp-esp: Mengaktifkan enkripsi ESP. Selain pemeriksaan integritas pada header dan payload ESP, pemeriksaan tersebut juga mencakup header IP luar dan UDP.

•  ip-udp-esp-no-id: Mengabaikan bidang ID di header IP sehingga Cisco Catalyst SD-WAN dapat bekerja bersama dengan perangkat non-Cisco.

•  tidak ada: Menonaktifkan pemeriksaan integritas pada paket IPSec. Kami tidak menyarankan penggunaan opsi ini.

 

Jenis autentikasi yang didukung di Cisco SD-WAN Rilis 20.5.1 dan yang lebih lama:

•  ah-tidak-id: Mengaktifkan versi AH-SHA1 HMAC dan ESP HMAC-SHA1 yang disempurnakan yang mengabaikan kolom ID di header IP luar paket.

•  ah-sha1-hmac: Aktifkan AH-SHA1 HMAC dan ESP HMAC-SHA1.

•  tidak ada: Pilih tanpa autentikasi.

•  sha1-hmac: Aktifkan ESP HMAC-SHA1.

 

Catatan              Untuk perangkat edge yang berjalan pada Cisco SD-WAN Rilis 20.5.1 atau lebih lama, Anda mungkin telah mengonfigurasi jenis autentikasi menggunakan Keamanan templat. Saat Anda memutakhirkan perangkat ke Cisco SD-WAN Rilis 20.6.1 atau lebih baru, perbarui jenis otentikasi yang dipilih di Keamanan template ke jenis otentikasi yang didukung dari Cisco SD-WAN Rilis 20.6.1. Untuk memperbarui jenis autentikasi, lakukan hal berikut:

1.      Dari menu Cisco SD-WAN Manager, pilih Konfigurasi >

Templat.

2.      Klik Templat Fitur.

3.      Temukan Keamanan template untuk diperbarui dan klik … dan klik Sunting.

4.      Klik Memperbarui. Jangan mengubah konfigurasi apa pun.

Cisco SD-WAN Manager memperbarui Keamanan templat untuk menampilkan jenis autentikasi yang didukung.

Klik Simpan.

Konfigurasikan Parameter Keamanan Data Plane

Di bidang data, IPsec diaktifkan secara default di semua router, dan secara default koneksi terowongan IPsec menggunakan versi protokol Encapsulate Security Payload (ESP) yang disempurnakan untuk otentikasi pada terowongan IPsec. Di router, Anda dapat mengubah jenis autentikasi, pengatur waktu pengekuncian ulang IPsec, dan ukuran jendela anti-pemutaran ulang IPsec.

Konfigurasikan Jenis Otentikasi yang Diizinkan

Jenis Otentikasi di Cisco SD-WAN Rilis 20.6.1 dan Lebih Baru
Dari Cisco SD-WAN Rilis 20.6.1, tipe integritas berikut didukung:

  • esp: Opsi ini mengaktifkan enkripsi Encapsulate Security Payload (ESP) dan pemeriksaan integritas pada header ESP.
  • ip-udp-esp: Opsi ini mengaktifkan enkripsi ESP. Selain pemeriksaan integritas pada header ESP dan payload, pemeriksaan tersebut juga mencakup header IP luar dan UDP.
  • ip-udp-esp-no-id: Opsi ini mirip dengan ip-udp-esp, namun bidang ID pada header IP luar diabaikan. Konfigurasikan opsi ini dalam daftar tipe integritas agar perangkat lunak Cisco Catalyst SD-WAN mengabaikan bidang ID di header IP sehingga Cisco Catalyst SD-WAN dapat bekerja bersama dengan perangkat non-Cisco.
  • none: Opsi ini menonaktifkan pemeriksaan integritas pada paket IPSec. Kami tidak menyarankan penggunaan opsi ini.

Secara default, koneksi terowongan IPsec menggunakan versi protokol Encapsulate Security Payload (ESP) yang disempurnakan untuk autentikasi. Untuk mengubah tipe interitas yang dinegosiasikan atau untuk menonaktifkan pemeriksaan integritas, gunakan perintah berikut: tipe integritas { tidak ada | ip-udp-esp | ip-udp-esp-no-id | khususnya }

Jenis Otentikasi Sebelum Cisco SD-WAN Rilis 20.6.1
Secara default, koneksi terowongan IPsec menggunakan versi protokol Encapsulate Security Payload (ESP) yang disempurnakan untuk autentikasi. Untuk mengubah tipe autentikasi yang dinegosiasikan atau menonaktifkan autentikasi, gunakan perintah berikut: Perangkat(config)# keamanan tipe autentikasi ipsec (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Secara default, IPsec koneksi terowongan menggunakan AES-GCM-256, yang menyediakan enkripsi dan autentikasi. Konfigurasikan setiap jenis autentikasi dengan perintah jenis autentikasi ipsec keamanan terpisah. Opsi perintah dipetakan ke jenis autentikasi berikut, yang diurutkan dari yang paling kuat hingga yang paling tidak kuat:

Catatan
Sha1 dalam opsi konfigurasi digunakan karena alasan historis. Opsi otentikasi menunjukkan seberapa banyak pemeriksaan integritas paket dilakukan. Mereka tidak menentukan algoritma yang memeriksa integritas. Kecuali untuk enkripsi lalu lintas multicast, algoritma otentikasi yang didukung oleh Cisco Catalyst SD WAN tidak menggunakan SHA1. Namun di Cisco SD-WAN Rilis 20.1.x dan seterusnya, unicast dan multicast tidak menggunakan SHA1.

  • ah-sha1-hmac mengaktifkan enkripsi dan enkapsulasi menggunakan ESP. Namun, selain pemeriksaan integritas pada header dan payload ESP, pemeriksaan tersebut juga mencakup header IP luar dan UDP. Oleh karena itu, opsi ini mendukung pemeriksaan integritas paket yang mirip dengan protokol Authentication Header (AH). Semua integritas dan enkripsi dilakukan menggunakan AES-256-GCM.
  • ah-no-id mengaktifkan mode yang mirip dengan ah-sha1-hmac, namun bidang ID header IP luar diabaikan. Opsi ini mengakomodasi beberapa perangkat SD-WAN non-Cisco Catalyst, termasuk Apple AirPort Express NAT, yang memiliki bug yang menyebabkan bidang ID di header IP, bidang yang tidak dapat diubah, diubah. Konfigurasikan opsi ah-no-id dalam daftar jenis autentikasi agar perangkat lunak Cisco Catalyst SD-WAN AH mengabaikan bidang ID di header IP sehingga perangkat lunak Cisco Catalyst SD-WAN dapat bekerja bersama dengan perangkat ini.
  • sha1-hmac mengaktifkan enkripsi ESP dan pemeriksaan integritas.
  • tidak ada yang memetakan ke tidak ada otentikasi. Opsi ini hanya boleh digunakan jika diperlukan untuk debugging sementara. Anda juga dapat memilih opsi ini dalam situasi di mana autentikasi dan integritas bidang data tidak menjadi perhatian. Cisco tidak merekomendasikan penggunaan opsi ini untuk jaringan produksi.

Untuk informasi tentang bidang paket data mana yang dipengaruhi oleh jenis autentikasi ini, lihat Integritas Bidang Data. Perangkat Cisco IOS XE Catalyst SD-WAN dan perangkat Cisco vEdge mengiklankan jenis otentikasi yang dikonfigurasi di properti TLOC mereka. Kedua router di kedua sisi koneksi terowongan IPsec menegosiasikan otentikasi untuk digunakan pada koneksi di antara mereka, menggunakan jenis otentikasi terkuat yang dikonfigurasi pada kedua router. Misalnyaampmisalnya, jika satu router mengiklankan tipe ah-sha1-hmac dan ah-no-id, dan router kedua mengiklankan tipe ah-no-id, kedua router bernegosiasi untuk menggunakan ah-no-id pada koneksi terowongan IPsec antara mereka. Jika tidak ada jenis autentikasi umum yang dikonfigurasi pada kedua rekan tersebut, tidak ada terowongan IPsec yang dibuat di antara keduanya. Algoritma enkripsi pada koneksi terowongan IPSec bergantung pada jenis lalu lintas:

  • Untuk lalu lintas unicast, algoritma enkripsinya adalah AES-256-GCM.
  • Untuk lalu lintas multicast:
  • Cisco SD-WAN Rilis 20.1.x dan yang lebih baru– algoritma enkripsinya adalah AES-256-GCM
  • Rilis sebelumnya– algoritma enkripsinya adalah AES-256-CBC dengan SHA1-HMAC.

Ketika jenis autentikasi IPsec diubah, kunci AES untuk jalur data diubah.

Ubah Timer Penguncian Ulang

Sebelum perangkat Cisco IOS XE Catalyst SD-WAN dan perangkat Cisco vEdge dapat bertukar lalu lintas data, mereka menyiapkan saluran komunikasi aman yang diautentikasi di antara keduanya. Router menggunakan terowongan IPSec di antara keduanya sebagai saluran, dan sandi AES-256 untuk melakukan enkripsi. Setiap router menghasilkan kunci AES baru untuk jalur datanya secara berkala. Secara default, kunci berlaku selama 86400 detik (24 jam), dan rentang pengatur waktu adalah 10 detik hingga 1209600 detik (14 hari). Untuk mengubah nilai rekey timer: Device(config)# security ipsec rekey second Konfigurasinya terlihat seperti ini:

  • keamanan ipsec rekey detik!

Jika Anda ingin segera membuat kunci IPsec baru, Anda dapat melakukannya tanpa mengubah konfigurasi router. Untuk melakukan ini, jalankan perintah permintaan keamanan ipsecrekey pada router yang disusupi. Misalnyaample, output berikut menunjukkan bahwa SA lokal memiliki Indeks Parameter Keamanan (SPI) sebesar 256:CISCO-SD-WAN-Konfigurasi-Parameter-Keamanan-Gbr-4

Kunci unik dikaitkan dengan setiap SPI. Jika kunci ini disusupi, gunakan perintah request security ipsec-rekey untuk segera membuat kunci baru. Perintah ini menambah SPI. Di mantan kitaample, SPI berubah menjadi 257 dan kunci yang terkait dengannya sekarang digunakan:

  • Perangkat# meminta keamanan ipsecrekey
  • Perangkat# tampilkan ipsec lokal-sa

CISCO-SD-WAN-Konfigurasi-Parameter-Keamanan-Gbr-5

Setelah kunci baru dibuat, router segera mengirimkannya ke Pengontrol Cisco SD-WAN menggunakan DTLS atau TLS. Pengontrol Cisco SD-WAN mengirimkan kunci ke router rekan. Router mulai menggunakannya segera setelah mereka menerimanya. Perhatikan bahwa kunci yang terkait dengan SPI lama (256) akan terus digunakan untuk waktu yang singkat hingga waktu habis. Untuk segera berhenti menggunakan kunci lama, jalankan perintah permintaan keamanan ipsec-rekey dua kali, secara berurutan. Urutan perintah ini menghapus SPI 256 dan 257 dan mengatur SPI ke 258. Router kemudian menggunakan kunci terkait SPI 258. Namun perlu diperhatikan bahwa beberapa paket akan dibuang untuk jangka waktu singkat sampai semua router jarak jauh mempelajarinya. kunci baru.CISCO-SD-WAN-Konfigurasi-Parameter-Keamanan-Gbr-6

Ubah Ukuran Jendela Anti-Putar Ulang

Otentikasi IPsec memberikan perlindungan anti-pemutaran ulang dengan menetapkan nomor urut unik untuk setiap paket dalam aliran data. Penomoran urutan ini melindungi terhadap penyerang yang menggandakan paket data. Dengan perlindungan anti-replay, pengirim memberikan nomor urut yang meningkat secara monoton, dan tujuan memeriksa nomor urut ini untuk mendeteksi duplikat. Karena paket sering kali tidak tiba secara berurutan, tujuan mempertahankan jendela geser berisi nomor urut yang akan diterimanya.CISCO-SD-WAN-Konfigurasi-Parameter-Keamanan-Gbr-7

Paket dengan nomor urut yang berada di sebelah kiri rentang jendela geser dianggap lama atau duplikat, dan tujuan membuangnya. Tujuan melacak nomor urut tertinggi yang diterimanya, dan menyesuaikan jendela geser ketika menerima paket dengan nilai lebih tinggi.CISCO-SD-WAN-Konfigurasi-Parameter-Keamanan-Gbr-8

Secara default, jendela geser diatur ke 512 paket. Ini dapat diatur ke nilai apa pun antara 64 dan 4096 yang merupakan pangkat 2 (yaitu, 64, 128, 256, 512, 1024, 2048, atau 4096). Untuk mengubah ukuran jendela anti-pemutaran ulang, gunakan perintah replay-window, tentukan ukuran jendela:

Perangkat(konfigurasi)# nomor jendela putar ulang keamanan IPSec

Konfigurasinya terlihat seperti ini:
nomor jendela putar ulang keamanan IPSec! !

Untuk membantu QoS, jendela pemutaran ulang terpisah dipertahankan untuk masing-masing dari delapan saluran lalu lintas pertama. Ukuran jendela pemutaran ulang yang dikonfigurasi dibagi delapan untuk setiap saluran. Jika QoS dikonfigurasi pada router, router tersebut mungkin mengalami jumlah paket yang dijatuhkan lebih besar dari perkiraan akibat mekanisme anti-pemutaran ulang IPsec, dan banyak paket yang dijatuhkan adalah paket yang sah. Hal ini terjadi karena QoS menata ulang paket, memberikan perlakuan istimewa pada paket dengan prioritas lebih tinggi dan menunda paket dengan prioritas lebih rendah. Untuk meminimalkan atau mencegah situasi ini, Anda dapat melakukan hal berikut:

  • Tingkatkan ukuran jendela anti-pemutaran ulang.
  • Merekayasa lalu lintas ke delapan saluran lalu lintas pertama untuk memastikan bahwa lalu lintas dalam suatu saluran tidak diatur ulang.

Konfigurasikan Terowongan IPsec yang Diaktifkan IKE
Untuk mentransfer lalu lintas dengan aman dari jaringan overlay ke jaringan layanan, Anda dapat mengonfigurasi terowongan IPsec yang menjalankan protokol Internet Key Exchange (IKE). Terowongan IPsec berkemampuan IKE menyediakan otentikasi dan enkripsi untuk memastikan transportasi paket yang aman. Anda membuat terowongan IPsec berkemampuan IKE dengan mengkonfigurasi antarmuka IPsec. Antarmuka IPsec adalah antarmuka logis, dan Anda mengonfigurasinya sama seperti antarmuka fisik lainnya. Anda mengonfigurasi parameter protokol IKE pada antarmuka IPsec, dan Anda dapat mengonfigurasi properti antarmuka lainnya.

Catatan Cisco merekomendasikan penggunaan IKE Versi 2. Mulai rilis Cisco SD-WAN 19.2.x dan seterusnya, kunci yang dibagikan sebelumnya harus memiliki panjang minimal 16 byte. Pembuatan terowongan IPsec gagal jika ukuran kunci kurang dari 16 karakter saat router ditingkatkan ke versi 19.2.

Catatan
Perangkat lunak Cisco Catalyst SD-WAN mendukung IKE Versi 2 sebagaimana didefinisikan dalam RFC 7296. Salah satu kegunaan terowongan IPsec adalah untuk memungkinkan instans VM router vEdge Cloud yang berjalan di Amazon AWS terhubung ke virtual private cloud (VPC) Amazon. Anda harus mengkonfigurasi IKE Versi 1 pada router ini. Perangkat Cisco vEdge hanya mendukung VPN berbasis rute dalam konfigurasi IPSec karena perangkat ini tidak dapat menentukan pemilih lalu lintas di domain enkripsi.

Konfigurasikan Terowongan IPsec
Untuk mengonfigurasi antarmuka terowongan IPsec untuk lalu lintas transportasi aman dari jaringan layanan, Anda membuat antarmuka IPsec logis:CISCO-SD-WAN-Konfigurasi-Parameter-Keamanan-Gbr-9

Anda dapat membuat terowongan IPsec di VPN transport (VPN 0) dan di VPN layanan apa pun (VPN 1 hingga 65530, kecuali 512). Antarmuka IPsec memiliki nama dalam format ipsecnumber, dimana nomornya bisa dari 1 hingga 255. Setiap antarmuka IPsec harus memiliki alamat IPv4. Alamat ini harus berupa awalan /30. Semua lalu lintas di VPN yang berada dalam awalan IPv4 ini diarahkan ke antarmuka fisik di VPN 0 untuk dikirim dengan aman melalui terowongan IPsec. Untuk mengonfigurasi sumber terowongan IPsec pada perangkat lokal, Anda dapat menentukan alamat IP antarmuka fisik (dalam perintah terowongan-sumber) atau nama antarmuka fisik (dalam perintah antarmuka sumber-terowongan). Pastikan antarmuka fisik dikonfigurasi di VPN 0. Untuk mengonfigurasi tujuan terowongan IPsec, tentukan alamat IP perangkat jarak jauh dalam perintah terowongan-tujuan. Kombinasi alamat sumber (atau nama antarmuka sumber) dan alamat tujuan mendefinisikan terowongan IPsec tunggal. Hanya ada satu terowongan IPsec yang menggunakan alamat sumber tertentu (atau nama antarmuka) dan pasangan alamat tujuan.

Konfigurasikan Rute Statis IPsec

Untuk mengarahkan lalu lintas dari layanan VPN ke terowongan IPsec di VPN transport (VPN 0), Anda mengonfigurasi rute statis khusus IPsec di layanan VPN (VPN selain VPN 0 atau VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip awalan rute ipsec/panjang antarmuka vpn 0
  • nomor ipsec [nomor ipsec2]

ID VPN adalah ID layanan VPN apa pun (VPN 1 hingga 65530, kecuali 512). awalan/panjang adalah alamat IP atau awalan, dalam notasi titik empat bagian desimal, dan panjang awalan dari rute statis khusus IPsec. Antarmukanya adalah antarmuka terowongan IPsec di VPN 0. Anda dapat mengonfigurasi satu atau dua antarmuka terowongan IPsec. Jika Anda mengonfigurasi dua, yang pertama adalah terowongan IPsec utama, dan yang kedua adalah cadangan. Dengan dua antarmuka, semua paket dikirim hanya ke terowongan utama. Jika terowongan tersebut gagal, semua paket kemudian dikirim ke terowongan sekunder. Jika terowongan utama muncul kembali, semua lalu lintas dipindahkan kembali ke terowongan IPsec utama.

Aktifkan IKE Versi 1
Saat Anda membuat terowongan IPsec di router vEdge, IKE Versi 1 diaktifkan secara default di antarmuka terowongan. Properti berikut juga diaktifkan secara default untuk IKEv1:

  • Otentikasi dan enkripsi—Enkripsi CBC standar enkripsi canggih AES-256 dengan algoritme kode autentikasi pesan hash berkunci HMAC-SHA1 untuk integritas
  • Nomor grup Diffie-Hellman—16
  • Mengunci ulang interval waktu—4 jam
  • Mode pendirian SA—Utama

Secara default, IKEv1 menggunakan mode utama IKE untuk membentuk IKE SA. Dalam mode ini, enam paket negosiasi dipertukarkan untuk membentuk SA. Untuk menukar hanya tiga paket negosiasi, aktifkan mode agresif:

Catatan
Mode agresif IKE dengan kunci yang dibagikan sebelumnya harus dihindari sedapat mungkin. Jika tidak, kunci yang kuat dan dibagikan sebelumnya harus dipilih.

  • vEdge(config)# vpn vpn-id antarmuka nomor ipsec seperti
  • vEdge(config-ike)# mode agresif

Secara default, IKEv1 menggunakan grup Diffie-Hellman 16 dalam pertukaran kunci IKE. Grup ini menggunakan grup eksponensial modular (MODP) 4096-bit selama pertukaran kunci IKE. Anda dapat mengubah nomor grup menjadi 2 (untuk MODP 1024-bit), 14 (MODP 2048-bit), atau 15 (MODP 3072-bit):

  • vEdge(config)# vpn vpn-id antarmuka nomor ipsec seperti
  • vEdge(config-ike)# nomor grup

Secara default, pertukaran kunci IKE menggunakan enkripsi CBC standar enkripsi canggih AES-256 dengan algoritma kode otentikasi pesan hash berkunci HMAC-SHA1 untuk integritas. Anda dapat mengubah otentikasi:

  • vEdge(config)# vpn vpn-id antarmuka nomor ipsec seperti
  • vEdge(config-ike)# rangkaian sandi-suite

Rangkaian autentikasi dapat berupa salah satu dari berikut ini:

  • aes128-cbc-sha1—Enkripsi CBC standar enkripsi canggih AES-128 dengan algoritme kode autentikasi pesan hash berkunci HMAC-SHA1 untuk integritas
  • aes128-cbc-sha2—Enkripsi CBC standar enkripsi canggih AES-128 dengan algoritme kode autentikasi pesan hash berkunci HMAC-SHA256 untuk integritas
  • aes256-cbc-sha1—enkripsi CBC standar enkripsi canggih AES-256 dengan algoritme kode autentikasi pesan hash berkunci HMAC-SHA1 untuk integritas; ini adalah standarnya.
  • aes256-cbc-sha2—Enkripsi CBC standar enkripsi canggih AES-256 dengan algoritme kode autentikasi pesan hash berkunci HMAC-SHA256 untuk integritas

Secara default, kunci IKE disegarkan setiap 1 jam (3600 detik). Anda dapat mengubah interval pengetikan ulang ke nilai dari 30 detik hingga 14 hari (1209600 detik). Disarankan agar interval pengisian ulang minimal 1 jam.

  • vEdge(config)# vpn vpn-id antarmuka nomor ipsec seperti
  • vEdge(config-ike)# ulangi detik

Untuk memaksa pembuatan kunci baru untuk sesi IKE, jalankan perintah request ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id antarmuka nomor ipsec seperti

Untuk IKE, Anda juga dapat mengonfigurasi autentikasi kunci preshared (PSK):

  • vEdge(config)# vpn vpn-id antarmuka nomor ipsec seperti
  • vEdge(config-ike)# kata sandi rahasia pra-berbagi tipe autentikasi kata sandi adalah kata sandi untuk digunakan dengan kunci yang dibagikan sebelumnya. Ini bisa berupa ASCII atau string heksadesimal dengan panjang 1 hingga 127 karakter.

Jika rekan IKE jarak jauh memerlukan ID lokal atau jarak jauh, Anda dapat mengonfigurasi pengidentifikasi ini:

  • vEdge(config)# vpn vpn-id antarmuka nomor ipsec seperti tipe otentikasi
  • vEdge(config-authentication-type)# id-lokal id
  • vEdge(tipe-autentikasi konfigurasi)# id id jarak jauh

Pengidentifikasi dapat berupa alamat IP atau string teks apa pun dengan panjang 1 hingga 63 karakter. Secara default, ID lokal adalah alamat IP sumber terowongan dan ID jarak jauh adalah alamat IP tujuan terowongan.

Aktifkan IKE Versi 2
Saat Anda mengonfigurasi terowongan IPsec untuk menggunakan IKE Versi 2, properti berikut juga diaktifkan secara default untuk IKEv2:

  • Otentikasi dan enkripsi—Enkripsi CBC standar enkripsi canggih AES-256 dengan algoritme kode autentikasi pesan hash berkunci HMAC-SHA1 untuk integritas
  • Nomor grup Diffie-Hellman—16
  • Mengunci ulang interval waktu—4 jam

Secara default, IKEv2 menggunakan grup Diffie-Hellman 16 dalam pertukaran kunci IKE. Grup ini menggunakan grup eksponensial modular (MODP) 4096-bit selama pertukaran kunci IKE. Anda dapat mengubah nomor grup menjadi 2 (untuk MODP 1024-bit), 14 (MODP 2048-bit), atau 15 (MODP 3072-bit):

  • vEdge(config)# vpn antarmuka vpn-id ipsecnumber serupa
  • vEdge(config-ike)# nomor grup

Secara default, pertukaran kunci IKE menggunakan enkripsi CBC standar enkripsi canggih AES-256 dengan algoritma kode otentikasi pesan hash berkunci HMAC-SHA1 untuk integritas. Anda dapat mengubah otentikasi:

  • vEdge(config)# vpn antarmuka vpn-id ipsecnumber serupa
  • vEdge(config-ike)# rangkaian sandi-suite

Rangkaian autentikasi dapat berupa salah satu dari berikut ini:

  • aes128-cbc-sha1—Enkripsi CBC standar enkripsi canggih AES-128 dengan algoritme kode autentikasi pesan hash berkunci HMAC-SHA1 untuk integritas
  • aes128-cbc-sha2—Enkripsi CBC standar enkripsi canggih AES-128 dengan algoritme kode autentikasi pesan hash berkunci HMAC-SHA256 untuk integritas
  • aes256-cbc-sha1—enkripsi CBC standar enkripsi canggih AES-256 dengan algoritme kode autentikasi pesan hash berkunci HMAC-SHA1 untuk integritas; ini adalah standarnya.
  • aes256-cbc-sha2—Enkripsi CBC standar enkripsi canggih AES-256 dengan algoritme kode autentikasi pesan hash berkunci HMAC-SHA256 untuk integritas

Secara default, kunci IKE disegarkan setiap 4 jam (14,400 detik). Anda dapat mengubah interval pengetikan ulang ke nilai dari 30 detik hingga 14 hari (1209600 detik):

  • vEdge(config)# vpn antarmuka vpn-id ipsecnumber serupa
  • vEdge(config-ike)# ulangi detik

Untuk memaksa pembuatan kunci baru untuk sesi IKE, jalankan perintah request ipsec ike-rekey. Untuk IKE, Anda juga dapat mengonfigurasi autentikasi kunci preshared (PSK):

  • vEdge(config)# vpn antarmuka vpn-id ipsecnumber serupa
  • vEdge(config-ike)# kata sandi rahasia pra-berbagi tipe autentikasi kata sandi adalah kata sandi untuk digunakan dengan kunci yang dibagikan sebelumnya. Ini bisa berupa string ASCII atau heksadesimal, atau bisa berupa kunci terenkripsi AES. Jika rekan IKE jarak jauh memerlukan ID lokal atau jarak jauh, Anda dapat mengonfigurasi pengidentifikasi ini:
  • vEdge(config)# vpn vpn-id antarmuka ipsecnumber seperti tipe otentikasi
  • vEdge(config-authentication-type)# id-lokal id
  • vEdge(tipe-autentikasi konfigurasi)# id id jarak jauh

Pengidentifikasi dapat berupa alamat IP atau string teks apa pun dengan panjang 1 hingga 64 karakter. Secara default, ID lokal adalah alamat IP sumber terowongan dan ID jarak jauh adalah alamat IP tujuan terowongan.

Konfigurasikan Parameter Terowongan IPsec

Tabel 4: Riwayat Fitur

Fitur Nama Informasi Rilis Keterangan
Kriptografi Tambahan Cisco SD-WAN Rilis 20.1.1 Fitur ini menambahkan dukungan untuk
Dukungan Algoritmik untuk IPSec   HMAC_SHA256, HMAC_SHA384, dan
Terowongan   Algoritma HMAC_SHA512 untuk
    keamanan yang ditingkatkan.

Secara default, parameter berikut digunakan pada terowongan IPsec yang membawa lalu lintas IKE:

  • Otentikasi dan enkripsi—Algoritme AES-256 di GCM (mode Galois/penghitung)
  • Interval penguncian ulang—4 jam
  • Jendela putar ulang—32 paket

Anda dapat mengubah enkripsi pada terowongan IPsec ke cipher AES-256 dalam CBC (mode rantai blok cipher, dengan HMAC menggunakan autentikasi pesan hash berkunci SHA-1 atau SHA-2 atau menjadi null dengan HMAC menggunakan SHA-1 atau Otentikasi pesan hash dengan kunci SHA-2, untuk tidak mengenkripsi terowongan IPsec yang digunakan untuk lalu lintas pertukaran kunci IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256-null-sha384 | aes256-null-sha512)

Secara default, kunci IKE disegarkan setiap 4 jam (14,400 detik). Anda dapat mengubah interval pengetikan ulang ke nilai dari 30 detik hingga 14 hari (1209600 detik):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# ulangi detik

Untuk memaksa pembuatan kunci baru untuk terowongan IPsec, jalankan perintah request ipsec ipsec-rekey. Secara default, kerahasiaan penerusan sempurna (PFS) diaktifkan di terowongan IPsec, untuk memastikan bahwa sesi sebelumnya tidak terpengaruh jika kunci di masa depan disusupi. PFS memaksa pertukaran kunci Diffie-Hellman baru, secara default menggunakan grup modul utama Diffie-Hellman 4096-bit. Anda dapat mengubah pengaturan PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# pengaturan pfs kerahasiaan sempurna

pengaturan pfs dapat berupa salah satu dari berikut ini:

  • grup-2—Gunakan grup modulus prima Diffie-Hellman 1024-bit.
  • grup-14—Gunakan grup modulus prima Diffie-Hellman 2048-bit.
  • grup-15—Gunakan grup modulus prima Diffie-Hellman 3072-bit.
  • grup-16—Gunakan grup modulus prima Diffie-Hellman 4096-bit. Ini adalah standarnya.
  • tidak ada—Nonaktifkan PFS.

Secara default, jendela pemutaran ulang IPsec di terowongan IPsec adalah 512 byte. Anda dapat mengatur ukuran jendela pemutaran ulang menjadi 64, 128, 256, 512, 1024, 2048, atau 4096 paket:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# nomor jendela pemutaran ulang

Ubah Deteksi Rekan Mati IKE

IKE menggunakan mekanisme deteksi rekan mati untuk menentukan apakah koneksi ke rekan IKE berfungsi dan dapat dijangkau. Untuk mengimplementasikan mekanisme ini, IKE mengirimkan paket Hello ke rekannya, dan rekan tersebut mengirimkan pengakuan sebagai tanggapan. Secara default, IKE mengirimkan paket Hello setiap 10 detik, dan setelah tiga paket yang tidak diakui, IKE menyatakan tetangganya telah mati dan meruntuhkan terowongan ke rekannya. Setelah itu, IKE secara berkala mengirimkan paket Hello ke peer, dan membangun kembali terowongan ketika peer kembali online. Anda dapat mengubah interval deteksi keaktifan ke nilai dari 0 hingga 65535, dan Anda dapat mengubah jumlah percobaan ulang ke nilai dari 0 hingga 255.

Catatan

Untuk VPN transport, interval deteksi keaktifan dikonversi ke detik dengan menggunakan rumus berikut: Interval untuk upaya transmisi ulang nomor N = interval * 1.8N-1Misalnyaample, jika interval diatur ke 10 dan percobaan ulang ke 5, interval deteksi meningkat sebagai berikut:

  • Percobaan 1: 10 * 1.81-1= 10 detik
  • Percobaan 2: 10 * 1.82-1= 18 detik
  • Percobaan 3: 10 * 1.83-1= 32.4 detik
  • Percobaan 4: 10 * 1.84-1= 58.32 detik
  • Percobaan 5: 10 * 1.85-1= 104.976 detik

vEdge(config-interface-ipsecnumber)# nomor percobaan ulang interval deteksi rekan mati

Konfigurasikan Properti Antarmuka Lainnya

Untuk antarmuka terowongan IPsec, Anda hanya dapat mengonfigurasi properti antarmuka tambahan berikut:

  • vEdge(config-interface-ipsec)# mtu byte
  • vEdge(config-interface-ipsec)# tcp-mss-sesuaikan byte

Nonaktifkan Algoritma Enkripsi SSH yang Lemah pada Cisco SD-WAN Manager

Tabel 5: Tabel Riwayat Fitur

Fitur Nama Informasi Rilis Fitur Keterangan
Nonaktifkan Algoritma Enkripsi SSH yang Lemah pada Cisco SD-WAN Manager Cisco vManage Rilis 20.9.1 Fitur ini memungkinkan Anda menonaktifkan algoritma SSH yang lebih lemah pada Cisco SD-WAN Manager yang mungkin tidak mematuhi standar keamanan data tertentu.

Informasi Tentang Menonaktifkan Algoritma Enkripsi SSH yang Lemah pada Cisco SD-WAN Manager
Cisco SD-WAN Manager menyediakan klien SSH untuk komunikasi dengan komponen dalam jaringan, termasuk pengontrol dan perangkat edge. Klien SSH menyediakan koneksi terenkripsi untuk transfer data yang aman, berdasarkan berbagai algoritma enkripsi. Banyak organisasi memerlukan enkripsi yang lebih kuat daripada yang disediakan oleh SHA-1, AES-128, dan AES-192. Dari Cisco vManage Rilis 20.9.1, Anda dapat menonaktifkan algoritma enkripsi yang lebih lemah berikut ini sehingga klien SSH tidak menggunakan algoritma ini:

  • SHA-1
  • Bahasa Indonesia: AES-128
  • Bahasa Indonesia: AES-192

Sebelum menonaktifkan algoritme enkripsi ini, pastikan perangkat Cisco vEdge, jika ada, di jaringan, menggunakan rilis perangkat lunak yang lebih baru dari Cisco SD-WAN Rilis 18.4.6.

Manfaat Menonaktifkan Algoritma Enkripsi SSH yang Lemah pada Cisco SD-WAN Manager
Menonaktifkan algoritme enkripsi SSH yang lebih lemah akan meningkatkan keamanan komunikasi SSH, dan memastikan bahwa organisasi yang menggunakan Cisco Catalyst SD-WAN mematuhi peraturan keamanan yang ketat.

Nonaktifkan Algoritma Enkripsi SSH yang Lemah pada Cisco SD-WAN Manager Menggunakan CLI

  1. Dari menu Cisco SD-WAN Manager, pilih Alat > Terminal SSH.
  2. Pilih perangkat Cisco SD-WAN Manager tempat Anda ingin menonaktifkan algoritma SSH yang lebih lemah.
  3. Masukkan nama pengguna dan kata sandi untuk masuk ke perangkat.
  4. Masuk ke mode server SSH.
    • vmanage(config)#sistem
    • vmanage(sistem konfigurasi)# ssh-server
  5. Lakukan salah satu langkah berikut untuk menonaktifkan algoritma enkripsi SSH:
    • Nonaktifkan SHA-1:
  6. kelola(config-ssh-server)# no kex-algo sha1
  7. kelola(config-ssh-server)# komit
    Pesan peringatan berikut ditampilkan: Peringatan berikut dihasilkan: 'system ssh-server kex-algo sha1': PERINGATAN: Harap pastikan semua edge Anda menjalankan versi kode > 18.4.6 yang melakukan negosiasi lebih baik daripada SHA1 dengan vManage. Jika tidak, tepi tersebut mungkin menjadi offline. Melanjutkan? [ya, tidak] ya
    • Pastikan semua perangkat Cisco vEdge di jaringan menjalankan Cisco SD-WAN Rilis 18.4.6 atau lebih baru dan masukkan ya.
    • Nonaktifkan AES-128 dan AES-192:
    • vmanage(config-ssh-server)# tanpa sandi aes-128-192
    • vmanage(config-ssh-server)# komit
      Pesan peringatan berikut ditampilkan:
      Peringatan berikut dihasilkan:
      'system ssh-server cipher aes-128-192': PERINGATAN: Harap pastikan semua edge Anda menjalankan versi kode > 18.4.6 yang bernegosiasi lebih baik daripada AES-128-192 dengan vManage. Jika tidak, tepi tersebut mungkin menjadi offline. Melanjutkan? [ya, tidak] ya
    • Pastikan semua perangkat Cisco vEdge di jaringan menjalankan Cisco SD-WAN Rilis 18.4.6 atau lebih baru dan masukkan ya.

Verifikasi bahwa Algoritma Enkripsi SSH yang Lemah Dinonaktifkan pada Cisco SD-WAN Manager Menggunakan CLI

  1. Dari menu Cisco SD-WAN Manager, pilih Alat > Terminal SSH.
  2. Pilih perangkat Cisco SD-WAN Manager yang ingin Anda verifikasi.
  3. Masukkan nama pengguna dan kata sandi untuk masuk ke perangkat.
  4. Jalankan perintah berikut: tampilkan running-config system ssh-server
  5. Konfirmasikan bahwa output menunjukkan satu atau lebih perintah yang menonaktifkan algoritma enkripsi yang lebih lemah:
    • tidak ada sandi aes-128-192
    • tidak ada kex-algo sha1

Dokumen / Sumber Daya

CISCO SD-WAN Konfigurasikan Parameter Keamanan [Bahasa Indonesia:] Panduan Pengguna
SD-WAN Konfigurasi Parameter Keamanan, SD-WAN, Konfigurasi Parameter Keamanan, Parameter Keamanan

Referensi

Tinggalkan komentar

Alamat email Anda tidak akan dipublikasikan. Bidang yang wajib diisi ditandai *