Innihald fela sig
1 CISCO SD-WAN Stilla öryggisfæribreytur
2 Stilla öryggisfæribreytur
3 Stilla öryggisfæribreytur Control Plane
4 Stilltu DTLS í Cisco SD-WAN Manager
5 Stilla Öryggisfæribreytur Data Plane
6 Stilla leyfðar auðkenningargerðir
7 Breyttu endurkeyrslutímamælinum
8 Breyttu stærð endurspilunargluggans
9 Stilltu IPsec Static Route
10 Stilla IPsec Tunnel Parameters
11 Breyta IKE Dead-Peer Detection
12 Stilla aðra tengieiginleika
13 Slökktu á veikum SSH dulkóðunaralgrímum á Cisco SD-WAN Manager
14 Skjöl / auðlindir
14.1 Heimildir

CISCO-LOGO

CISCO SD-WAN Stilla öryggisfæribreytur

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Stilla öryggisfæribreytur

Athugið

Til að ná fram einföldun og samkvæmni hefur Cisco SD-WAN lausnin verið endurmerkt sem Cisco Catalyst SD-WAN. Að auki, frá Cisco IOS XE SD-WAN útgáfu 17.12.1a og Cisco Catalyst SD-WAN útgáfu 20.12.1, eiga eftirfarandi íhlutabreytingar við: Cisco vManage til Cisco Catalyst SD-WAN Manager, Cisco vAnalytics til Cisco Catalyst SD-WAN Analytics, Cisco vBond til Cisco Catalyst SD-WAN Validator og Cisco vSmart til Cisco Catalyst SD-WAN stjórnandi. Skoðaðu nýjustu útgáfuskýringarnar til að fá yfirgripsmikinn lista yfir allar vörumerkjabreytingar íhluta. Þó að við förum yfir í nýju nöfnin, gæti eitthvað ósamræmi verið til staðar í skjalasettinu vegna áfangaskiptrar nálgunar við uppfærslur á notendaviðmóti hugbúnaðarvörunnar.

Þessi hluti lýsir því hvernig á að breyta öryggisbreytum fyrir stjórnplanið og gagnaplanið í Cisco Catalyst SD-WAN yfirlagsnetinu.

  • Stilla öryggisfæribreytur stjórnplans, kveikt á
  • Stilla öryggisfæribreytur gagnaplans, kveikt á
  • Stilla IKE-virkjað IPsec göng, kveikt á
  • Slökktu á veikum SSH dulkóðunaralgrímum á Cisco SD-WAN Manager, á

Stilla öryggisfæribreytur Control Plane

Sjálfgefið er að stjórnvélin notar DTLS sem samskiptareglur sem veitir næði í öllum göngunum sínum. DTLS keyrir yfir UDP. Þú getur breytt öryggissamskiptareglum stjórnflugvélarinnar í TLS, sem keyrir yfir TCP. Aðalástæðan fyrir því að nota TLS er sú að ef þú telur Cisco SD-WAN stjórnandann vera netþjón, þá vernda eldveggir TCP netþjóna betur en UDP netþjónar. Þú stillir samskiptareglur stjórnplansgöngsins á Cisco SD-WAN stjórnanda: vSmart(config)# öryggisstjórnunarsamskiptareglur tls Með þessari breytingu fara öll stjórnplansgöng milli Cisco SD-WAN stjórnandans og beinanna og milli Cisco SD-WAN stjórnandans. og Cisco SD-WAN Manager nota TLS. Stjórna flugvélargöngum til Cisco Catalyst SD-WAN Validator nota alltaf DTLS, vegna þess að þessar tengingar verða að vera meðhöndlaðar af UDP. Á léni með marga Cisco SD-WAN stýringar, þegar þú stillir TLS á einum af Cisco SD-WAN stýristækjunum, nota öll stjórnflugvélargöng frá þeim stjórnanda til hinna stýringanna TLS. Sagt á annan hátt, TLS hefur alltaf forgang fram yfir DTLS. Hins vegar, frá sjónarhóli hinna Cisco SD-WAN stjórnendanna, ef þú hefur ekki stillt TLS á þá, þá nota þeir TLS á stjórnplansgöngin aðeins til þessa eina Cisco SD-WAN stjórnanda, og þeir nota DTLS göng til allra hinna. Cisco SD-WAN stýringar og til allra tengdra beina þeirra. Til að allir Cisco SD-WAN stýringar noti TLS skaltu stilla það á þeim öllum. Sjálfgefið er að Cisco SD-WAN stjórnandi hlustar á höfn 23456 fyrir TLS beiðnir. Til að breyta þessu: vSmart(config)# öryggisstýring tls-port númer Gáttin getur verið númer frá 1025 til 65535. Til að birta öryggisupplýsingar stjórnplans, notaðu skipunina show control connections á Cisco SD-WAN Controller. Til dæmisample: vSmart-2# sýna stjórnunartengingar

CISCO-SD-WAN-Configure-Security-Parameters-MYND-1

Stilltu DTLS í Cisco SD-WAN Manager

Ef þú stillir Cisco SD-WAN Manager til að nota TLS sem öryggissamskiptareglur stýriplans, verður þú að virkja höfn áfram á NAT þínum. Ef þú ert að nota DTLS sem öryggissamskiptareglur stýriflugvélar þarftu ekki að gera neitt. Fjöldi gátta sem send er áfram fer eftir fjölda vdaemon ferla sem keyra á Cisco SD-WAN Manager. Til að birta upplýsingar um þessi ferli og um og fjölda gátta sem verið er að senda áfram, notaðu skipunina sýna stjórn samantekt sýnir að fjögur púkaferli eru í gangi:CISCO-SD-WAN-Configure-Security-Parameters-MYND-2

Til að sjá hlustunargáttirnar, notaðu show control local-properties skipunina: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-MYND-3

Þetta úttak sýnir að hlustunar TCP tengið er 23456. Ef þú ert að keyra Cisco SD-WAN Manager á bak við NAT, ættir þú að opna eftirfarandi tengi á NAT tækinu:

  • 23456 (grunnur – dæmi 0 höfn)
  • 23456 + 100 (grunnur + 100)
  • 23456 + 200 (grunnur + 200)
  • 23456 + 300 (grunnur + 300)

Athugaðu að fjöldi tilvika er sá sami og fjöldi kjarna sem þú hefur úthlutað fyrir Cisco SD-WAN Manager, að hámarki 8.

Stilltu öryggisfæribreytur með því að nota öryggiseiginleikasniðmátið

Notaðu öryggiseiginleikasniðmátið fyrir öll Cisco vEdge tæki. Á brúnbeini og á Cisco SD-WAN Validator, notaðu þetta sniðmát til að stilla IPsec fyrir gagnaflugsöryggi. Á Cisco SD-WAN Manager og Cisco SD-WAN Controller, notaðu öryggiseiginleikasniðmátið til að stilla DTLS eða TLS til að stjórna flugvélaröryggi.

Stilla öryggisfæribreytur

  1. Í valmyndinni Cisco SD-WAN Manager skaltu velja Stillingar > Sniðmát.
  2. Smelltu á Eiginleikasniðmát og smelltu síðan á Bæta við sniðmáti.
    Athugið Í Cisco vManage útgáfu 20.7.1 og eldri útgáfum er Eiginleikasniðmát kallað Eiginleiki.
  3. Veldu tæki af listanum Tæki í vinstri glugganum. Sniðmátin sem eiga við valið tæki birtast í hægri glugganum.
  4. Smelltu á Öryggi til að opna sniðmátið.
  5. Sláðu inn heiti fyrir sniðmátið í reitnum Nafn sniðmáts. Nafnið getur verið allt að 128 stafir og getur aðeins innihaldið tölustafi.
  6. Í reitnum Lýsing sniðmáts skal slá inn lýsingu á sniðmátinu. Lýsingin getur verið allt að 2048 stafir og getur aðeins innihaldið tölustafi.

Þegar þú opnar eiginleikasniðmát fyrst, fyrir hverja færibreytu sem hefur sjálfgefið gildi, er umfangið stillt á Sjálfgefið (gefið til kynna með gátmerki) og sjálfgefna stillingin eða gildið birtist. Til að breyta sjálfgefnu eða slá inn gildi, smelltu á fellivalmyndina umfang vinstra megin við færibreytusvæðið og veldu eitt af eftirfarandi:

Tafla 1:

Parameter Gildissvið Gildissvið Lýsing
Tækjasértæk (gefin til kynna með gestgjafatákni) Notaðu tækissértækt gildi fyrir færibreytuna. Fyrir tækissértækar færibreytur geturðu ekki slegið inn gildi í eiginleikasniðmátið. Þú slærð inn gildið þegar þú tengir Viptela tæki við tækissniðmát.

Þegar þú smellir á Device Specific opnast Enter Key kassi. Þessi kassi sýnir lykil, sem er einstakur strengur sem auðkennir færibreytuna í CSV file sem þú býrð til. Þetta file er Excel töflureikni sem inniheldur einn dálk fyrir hvern lykil. Hauslínan inniheldur lyklanöfnin (einn lykill í hverjum dálki) og hver röð þar á eftir samsvarar tæki og skilgreinir gildi lyklanna fyrir það tæki. Þú hleður upp CSV file þegar þú tengir Viptela tæki við tækissniðmát. Fyrir frekari upplýsingar, sjá Búa til töflureikni fyrir sniðmátsbreytur.

Til að breyta sjálfgefna lyklinum, sláðu inn nýjan streng og færðu bendilinn út úr Enter Key kassanum.

ExampLesa af tækisértækum færibreytum eru IP-tala kerfisins, hýsingarheiti, GPS staðsetning og auðkenni vefsvæðis.
Parameter Gildissvið Gildissvið Lýsing
Alþjóðlegt (táknað með hnattartákni) Sláðu inn gildi fyrir færibreytuna og notaðu það gildi á öll tæki.

ExampLes af breytum sem þú gætir notað á heimsvísu fyrir hóp tækja eru DNS þjónn, syslog þjónn og tengi MTU.

Stilla Control Plane Security

Athugið
Hlutinn Stilla öryggi stjórnplans á aðeins við um Cisco SD-WAN stjórnanda og Cisco SD-WAN stjórnanda. Til að stilla samskiptareglur stjórnplanstengingar á Cisco SD-WAN Manager tilviki eða Cisco SD-WAN stjórnanda skaltu velja grunnstillingarsvæðið og stilltu eftirfarandi færibreytur:

Tafla 2:

Parameter Nafn Lýsing
Bókun Veldu samskiptareglur sem á að nota á stýriplanstengingum við Cisco SD-WAN stjórnanda:

• DTLS (Datagram Transport Layer Security). Þetta er sjálfgefið.

• TLS (Transport Layer Security)
Stjórna TLS tengi Ef þú valdir TLS skaltu stilla gáttarnúmerið sem á að nota:Svið: 1025 til 65535Sjálfgefið: 23456

Smelltu á Vista

Stilla Öryggi gagnaflugvélar
Til að stilla gagnaflugsöryggi á Cisco SD-WAN Validator eða Cisco vEdge bein, veldu Basic Configuration og Authentication Type flipana og stilltu eftirfarandi færibreytur:

Tafla 3:

Parameter Nafn Lýsing
Rekey Time Tilgreindu hversu oft Cisco vEdge bein breytir AES lyklinum sem notaður er á öruggri DTLS tengingu við Cisco SD-WAN stjórnandann. Ef OMP þokkafull endurræsing er virkjuð verður endurskráningartíminn að vera að minnsta kosti tvöfalt gildi OMP þokkafullrar endurræsingartímamælis.Svið: 10 til 1209600 sekúndur (14 dagar)Sjálfgefið: 86400 sekúndur (24 klst.)
Endurspilunargluggi Tilgreindu stærð endurspilunargluggans sem rennur.

Gildi: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakkarSjálfgefið: 512 pakkar
IPsec

paralykill

 Þetta er sjálfgefið slökkt. Smellur On að kveikja á því.
Parameter Nafn Lýsing
Auðkenningartegund Veldu auðkenningargerðir úr Auðkenning Listi, og smelltu á örina sem vísar til hægri til að færa auðkenningargerðirnar í Valinn listi dálk.

Auðkenningargerðir studdar frá Cisco SD-WAN útgáfu 20.6.1:

•  esp: Virkjar Encapsulating Security Payload (ESP) dulkóðun og heilleikaathugun á ESP haus.

•  ip-udp-esp: Virkjar ESP dulkóðun. Til viðbótar við heilleikaathugun á ESP haus og hleðslu, innihalda athuganirnar einnig ytri IP og UDP hausa.

•  ip-udp-esp-no-id: Hunsar auðkennisreitinn í IP-hausnum svo að Cisco Catalyst SD-WAN geti unnið í tengslum við tæki sem ekki eru frá Cisco.

•  engin: Slökkva á heilleikamerkingu á IPSec pökkum. Við mælum ekki með því að nota þennan valkost.

 

Auðkenningargerðir studdar í Cisco SD-WAN útgáfu 20.5.1 og eldri:

•  ah-no-id: Virkjaðu endurbætta útgáfu af AH-SHA1 HMAC og ESP HMAC-SHA1 sem hunsar auðkennisreitinn í ytri IP-haus pakkans.

•  ah-sha1-hmac: Virkja AH-SHA1 HMAC og ESP HMAC-SHA1.

•  engin: Veldu engin auðkenning.

•  sha1-hmac: Virkja ESP HMAC-SHA1.

 

Athugið              Fyrir brúntæki sem keyrir á Cisco SD-WAN útgáfu 20.5.1 eða eldri gætirðu hafa stillt auðkenningargerðir með því að nota Öryggi sniðmát. Þegar þú uppfærir tækið í Cisco SD-WAN útgáfu 20.6.1 eða nýrri skaltu uppfæra valdar auðkenningargerðir í Öryggi sniðmát til auðkenningartegunda sem studdar eru af Cisco SD-WAN útgáfu 20.6.1. Til að uppfæra auðkenningargerðirnar skaltu gera eftirfarandi:

1.      Í valmyndinni Cisco SD-WAN Manager skaltu velja Stillingar >

Sniðmát.

2.      Smelltu Eiginleikasniðmát.

3.      Finndu Öryggi sniðmát til að uppfæra og smelltu á ... og smelltu Breyta.

4.      Smelltu Uppfærsla. Ekki breyta neinum stillingum.

Cisco SD-WAN Manager uppfærir Öryggi sniðmát til að sýna studdar auðkenningargerðir.

Smelltu á Vista.

Stilla Öryggisfæribreytur Data Plane

Í gagnaplaninu er IPsec sjálfgefið virkt á öllum beinum og sjálfgefið er að IPsec göngutengingar nota endurbætta útgáfu af Encapsulating Security Payload (ESP) samskiptareglum fyrir auðkenningu á IPsec göngum. Á beinum geturðu breytt tegund auðkenningar, IPsec endurkeyrslutímamæli og stærð IPsec and-endurspilunargluggans.

Stilla leyfðar auðkenningargerðir

Auðkenningargerðir í Cisco SD-WAN útgáfu 20.6.1 og síðar
Frá Cisco SD-WAN útgáfu 20.6.1 eru eftirfarandi gerðir heilleika studdar:

  • esp: Þessi valkostur gerir kleift að encapsulating Security Payload (ESP) dulkóðun og heilleikaathugun á ESP hausnum.
  • ip-udp-esp: Þessi valkostur gerir ESP dulkóðun kleift. Auk heilleikaathugana á ESP hausnum og farmálaginu, innihalda athuganirnar einnig ytri IP og UDP hausa.
  • ip-udp-esp-no-id: Þessi valkostur er svipaður og ip-udp-esp, hins vegar er auðkennisreit ytri IP-haussins hunsuð. Stilltu þennan valkost á listanum yfir heilleikagerðir þannig að Cisco Catalyst SD-WAN hugbúnaðurinn hunsi auðkennisreitinn í IP-hausnum svo að Cisco Catalyst SD-WAN geti unnið í tengslum við tæki sem ekki eru frá Cisco.
  • enginn: Þessi valkostur slekkur á heilindum á IPSec pökkum. Við mælum ekki með því að nota þennan valkost.

Sjálfgefið er að IPsec göngtengingar nota endurbætta útgáfu af Encapsulating Security Payload (ESP) samskiptareglum til auðkenningar. Notaðu eftirfarandi skipun til að breyta umsömdu tegundunum eða slökkva á heiðarleikaathugun: integrity-type { enginn | ip-udp-esp | ip-udp-esp-no-id | esp }

Auðkenningargerðir fyrir útgáfu Cisco SD-WAN 20.6.1
Sjálfgefið er að IPsec göngtengingar nota endurbætta útgáfu af Encapsulating Security Payload (ESP) samskiptareglum til auðkenningar. Til að breyta samþykktum auðkenningartegundum eða slökkva á auðkenningu, notaðu eftirfarandi skipun: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Sjálfgefið er IPsec jarðgangatengingar nota AES-GCM-256, sem veitir bæði dulkóðun og auðkenningu. Stilltu hverja auðkenningargerð með sérstakri öryggis-ipsec auðkenningarskipun. Skipunarvalkostirnir varpa til eftirfarandi auðkenningartegunda, sem eru skráðar í röð frá sterkustu til minnstu sterkustu:

Athugið
Sha1 í stillingarvalkostunum er notað af sögulegum ástæðum. Auðkenningarvalkostirnir gefa til kynna hversu mikið af eftirliti með heilleika pakka er gert. Þeir tilgreina ekki reikniritið sem athugar heilleikann. Fyrir utan dulkóðun fjölvarps umferðar, nota auðkenningaralgrím sem studd eru af Cisco Catalyst SD WAN ekki SHA1. Hins vegar í Cisco SD-WAN útgáfu 20.1.x og áfram, nota bæði unicast og multicast ekki SHA1.

  • ah-sha1-hmac gerir dulkóðun og hjúpun kleift með ESP. Hins vegar, til viðbótar við heilleikaathugun á ESP haus og farmálagi, innihalda athuganir einnig ytri IP og UDP hausa. Þess vegna styður þessi valkostur heilleikaathugun á pakkanum svipað og Authentication Header (AH) siðareglur. Allur heilleiki og dulkóðun er framkvæmd með AES-256-GCM.
  • ah-no-id gerir stillingu svipað og ah-sha1-hmac, hins vegar er auðkennisreit ytri IP haussins hunsuð. Þessi valkostur tekur við sumum tækjum sem ekki eru frá Cisco Catalyst SD-WAN, þar á meðal Apple AirPort Express NAT, sem eru með villu sem veldur því að auðkennisreiturinn í IP-hausnum, óbreytanlegum reit, er breytt. Stilltu ah-no-id valmöguleikann á listanum yfir auðkenningargerðir til að láta Cisco Catalyst SD-WAN AH hugbúnaðinn hunsa auðkennisreitinn í IP hausnum svo að Cisco Catalyst SD-WAN hugbúnaðurinn geti virkað í tengslum við þessi tæki.
  • sha1-hmac gerir ESP dulkóðun og heilleikaathugun kleift.
  • engin kort til engin auðkenning. Þessi valkostur ætti aðeins að nota ef hann er nauðsynlegur fyrir tímabundna villuleit. Þú getur líka valið þennan valkost í aðstæðum þar sem auðkenning og heilindi gagnaflugs eru ekki áhyggjuefni. Cisco mælir ekki með því að nota þennan valkost fyrir framleiðslunet.

Fyrir upplýsingar um hvaða gagnapakkareitir verða fyrir áhrifum af þessum auðkenningartegundum, sjá Gagnaplansheilleiki. Cisco IOS XE Catalyst SD-WAN tæki og Cisco vEdge tæki auglýsa uppsettar auðkenningargerðir sínar í TLOC eiginleikum sínum. Beinarnir tveir sitt hvoru megin við IPsec göngtengingu semja um auðkenninguna sem á að nota á tengingunni á milli þeirra, með því að nota sterkustu auðkenningargerðina sem er stillt á báðum beinum. Til dæmisample, ef einn beini auglýsir ah-sha1-hmac og ah-no-id gerðirnar og annar beini auglýsir ah-no-id tegundina, semja beinarnir tveir um að nota ah-no-id á IPsec tunnel tengingunni milli þeim. Ef engar algengar auðkenningargerðir eru stilltar á jafningjunum tveimur, er engin IPsec göng komið á milli þeirra. Dulkóðunaralgrímið á IPsec göngutengingum fer eftir tegund umferðar:

  • Fyrir unicast umferð er dulkóðunaralgrímið AES-256-GCM.
  • Fyrir fjölvarps umferð:
  • Cisco SD-WAN útgáfa 20.1.x og síðar – dulkóðunaralgrímið er AES-256-GCM
  • Fyrri útgáfur - dulkóðunaralgrímið er AES-256-CBC með SHA1-HMAC.

Þegar IPsec auðkenningargerðinni er breytt er AES lyklinum fyrir gagnaslóðina breytt.

Breyttu endurkeyrslutímamælinum

Áður en Cisco IOS XE Catalyst SD-WAN tæki og Cisco vEdge tæki geta skiptst á gagnaumferð, setja þau upp örugga staðfesta samskiptarás á milli þeirra. Beinarnir nota IPSec göng á milli sín sem rásina og AES-256 dulmálið til að framkvæma dulkóðun. Hver leið býr til nýjan AES lykil fyrir gagnaleið sína reglulega. Sjálfgefið er að lykill gildir í 86400 sekúndur (24 klst) og tímamælirinn er 10 sekúndur til 1209600 sekúndur (14 dagar). Til að breyta gildi tímamælis endurlykils: Device(config)# security ipsec rekey seconds Stillingin lítur svona út:

  • öryggi ipsec rekey sekúndur!

Ef þú vilt búa til nýja IPsec lykla strax geturðu gert það án þess að breyta stillingum beinisins. Til að gera þetta skaltu gefa út beiðni um öryggi ipsecrekey skipunina á beininum sem er í hættu. Til dæmisample, eftirfarandi framleiðsla sýnir að staðbundin SA er með öryggisfæribreytuvísitölu (SPI) upp á 256:CISCO-SD-WAN-Configure-Security-Parameters-MYND-4

Einstakur lykill er tengdur hverjum SPI. Ef þessi lykill er í hættu, notaðu beiðni öryggis ipsec-rekey skipunina til að búa til nýjan lykil strax. Þessi skipun hækkar SPI. Í okkar fyrrverandiample, SPI breytist í 257 og lykillinn sem tengist honum er nú notaður:

  • Device# beiðni um öryggi ipsecrekey
  • Tæki# sýna ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-MYND-5

Eftir að nýi lykillinn er búinn til sendir beininn hann strax til Cisco SD-WAN stjórnenda með DTLS eða TLS. Cisco SD-WAN stýringarnar senda lykilinn til jafningjabeina. Beinarnir byrja að nota það um leið og þeir fá það. Athugaðu að lykillinn sem tengist gamla SPI (256) verður áfram notaður í stuttan tíma þar til hann rennur út. Til að hætta að nota gamla lykilinn strax skaltu gefa út beiðni öryggis ipsec-rekey skipunina tvisvar, í fljótu röð. Þessi röð skipana fjarlægir bæði SPI 256 og 257 og stillir SPI á 258. Beininn notar þá tilheyrandi lykil SPI 258. Athugaðu þó að sumum pakka verður sleppt í stuttan tíma þar til allir ytri beinir læra nýja lykilinn.CISCO-SD-WAN-Configure-Security-Parameters-MYND-6

Breyttu stærð endurspilunargluggans

IPsec auðkenning veitir endurspilunarvörn með því að úthluta einstöku raðnúmeri á hvern pakka í gagnastraumi. Þessi raðnúmerun verndar gegn því að árásarmaður afriti gagnapakka. Með endurspilunarvörn úthlutar sendandinn eintóna hækkandi raðnúmerum og áfangastaðurinn athugar þessi raðnúmer til að greina tvítekningar. Vegna þess að pakkar berast oft ekki í röð, heldur áfangastaðurinn glugga með raðnúmerum sem hann mun samþykkja.CISCO-SD-WAN-Configure-Security-Parameters-MYND-7

Pakkar með raðnúmerum sem falla vinstra megin við rennigluggasviðið eru taldir gamlir eða tvíteknir og áfangastaðurinn sleppir þeim. Áfangastaðurinn rekur hæstu raðnúmerið sem hann hefur fengið og stillir rennigluggann þegar hann fær pakka með hærra gildi.CISCO-SD-WAN-Configure-Security-Parameters-MYND-8

Sjálfgefið er að renniglugginn er stilltur á 512 pakka. Það er hægt að stilla það á hvaða gildi sem er á milli 64 og 4096 sem er krafturinn 2 (það er 64, 128, 256, 512, 1024, 2048 eða 4096). Til að breyta stærð gluggastærðarinnar, notaðu replay-window skipunina og tilgreindu stærð gluggans:

Device(config)# security ipsec endurspilunarglugganúmer

Stillingin lítur svona út:
öryggis ipsec endurspilunarglugganúmer! !

Til að hjálpa til við QoS er viðhaldið aðskildum endurspilunargluggum fyrir hverja af fyrstu átta umferðarrásunum. Stilltri endurspilunargluggastærð er deilt með átta fyrir hverja rás. Ef QoS er stillt á beini gæti sá beini fundið fyrir meiri fjölda pakkafalla en búist var við vegna IPsec and-endurspilunarkerfisins og margir pakkanna sem sleppt er eru lögmætir. Þetta gerist vegna þess að QoS endurraðar pökkum, gefur pökkum með hærri forgang forgangsmeðferð og seinkar pökkum með lægri forgang. Til að lágmarka eða koma í veg fyrir þetta ástand geturðu gert eftirfarandi:

  • Auktu stærð endurspilunargluggans.
  • Verkfræðingaumferð inn á fyrstu átta umferðarrásirnar til að tryggja að umferð innan rásar sé ekki endurröðuð.

Stilla IKE-virkjað IPsec göng
Til að flytja umferð á öruggan hátt frá yfirborðsneti yfir á þjónustunet geturðu stillt IPsec göng sem keyra Internet Key Exchange (IKE) samskiptareglur. IKE-virkt IPsec göng veita auðkenningu og dulkóðun til að tryggja öruggan pakkaflutning. Þú býrð til IKE-virkt IPsec göng með því að stilla IPsec tengi. IPsec tengi eru rökrétt tengi og þú stillir þau alveg eins og önnur líkamleg viðmót. Þú stillir IKE samskiptabreytur á IPsec viðmótinu og þú getur stillt aðra viðmótseiginleika.

Athugið Cisco mælir með því að nota IKE útgáfu 2. Frá útgáfu Cisco SD-WAN 19.2.x og áfram þarf forsamnýtti lykillinn að vera að minnsta kosti 16 bæti að lengd. Stofnun IPsec göngin mistekst ef lykilstærðin er minni en 16 stafir þegar beininn er uppfærður í útgáfu 19.2.

Athugið
Cisco Catalyst SD-WAN hugbúnaðurinn styður IKE útgáfu 2 eins og skilgreint er í RFC 7296. Ein notkun fyrir IPsec göng er að leyfa vEdge Cloud router VM tilvikum sem keyra á Amazon AWS að tengjast Amazon sýndar einkaskýinu (VPC). Þú verður að stilla IKE útgáfu 1 á þessum beinum. Cisco vEdge tæki styðja aðeins leiðarbundið VPN í IPSec uppsetningu vegna þess að þessi tæki geta ekki skilgreint umferðarval á dulkóðunarléninu.

Stilltu IPsec göng
Til að stilla IPsec göngviðmót fyrir örugga flutningsumferð frá þjónustuneti, býrðu til rökrétt IPsec tengi:CISCO-SD-WAN-Configure-Security-Parameters-MYND-9

Þú getur búið til IPsec göngin í flutnings-VPN (VPN 0) og í hvaða VPN-þjónustu sem er (VPN 1 til 65530, nema 512). IPsec viðmótið hefur nafn á sniðinu ipsecnumber, þar sem tala getur verið frá 1 til 255. Hvert IPsec viðmót verður að hafa IPv4 vistfang. Þetta heimilisfang verður að vera /30 forskeytið. Öllum umferð í VPN-netinu sem er innan þessa IPv4-forskeyti er beint að líkamlegu viðmóti í VPN 0 til að senda á öruggan hátt um IPsec-göng.Til að stilla uppruna IPsec-ganganna á staðartækinu geturðu tilgreint annað hvort IP-tölu líkamlega viðmótið (í skipuninni tunnel-source) eða heiti líkamlega viðmótsins (í skipuninni tunnel-source-interface). Gakktu úr skugga um að líkamlega viðmótið sé stillt í VPN 0. Til að stilla áfangastað IPsec-ganganna skaltu tilgreina IP-tölu ytra tækisins í skipuninni göng-áfangastaður. Samsetning upprunavistfangs (eða heiti upprunaviðmóts) og áfangastaðsfangs skilgreinir ein IPsec göng. Aðeins ein IPsec göng geta verið til sem notar tiltekið upprunavistfang (eða viðmótsheiti) og áfangastaðsfangapör.

Stilltu IPsec Static Route

Til að beina umferð frá þjónustu VPN til IPsec göng í flutnings VPN (VPN 0), stillir þú IPsec-sértæka kyrrstæða leið í þjónustu VPN (VPN annað en VPN 0 eða VPN 512):

  • vEdge(config)# vpn vpn-auðkenni
  • vEdge(config-vpn)# ip ipsec-leiðarforskeyti/lengd vpn 0 tengi
  • ipsectal [ipsecnumber2]

VPN auðkennið er auðkenni hvers þjónustu VPN (VPN 1 til 65530, nema 512). forskeyti/lengd er IP-tala eða forskeyti, með fjórum tugabrotum með punktum, og lengd forskeytis á IPsec-sértæku kyrrstöðuleiðinni. Viðmótið er IPsec göngviðmótið í VPN 0. Hægt er að stilla eitt eða tvö IPsec göngviðmót. Ef þú stillir tvö, er það fyrsta aðal IPsec göngin og hið síðara er öryggisafritið. Með tveimur viðmótum eru allir pakkar sendir aðeins í aðalgöngin. Ef þessi göng mistekst eru allir pakkar síðan sendir í aukagöngin. Ef aðalgöngin koma aftur upp er öll umferð flutt aftur í aðal IPsec göngin.

Virkjaðu IKE útgáfu 1
Þegar þú býrð til IPsec göng á vEdge beini er IKE útgáfa 1 sjálfkrafa virkjuð á göngviðmótinu. Eftirfarandi eiginleikar eru einnig virkjaðir sjálfgefið fyrir IKEv1:

  • Sannvottun og dulkóðun — AES-256 háþróaður dulkóðun staðall CBC dulkóðun með HMAC-SHA1 lykill-hash skilaboða auðkenningarkóða reiknirit fyrir heilleika
  • Diffie-Hellman hópnúmer—16
  • Tímabil endurskráningar—4 klst
  • SA stofnunarhamur—Aðal

Sjálfgefið er að IKEv1 notar IKE aðalstillingu til að koma á IKE SA. Í þessum ham skiptast sex samningapakkar til að koma á SA. Til að skiptast á aðeins þremur samningapökkum skaltu virkja árásargjarnan hátt:

Athugið
Forðast ætti IKE árásargjarnan hátt með fyrirfram samnýttum lyklum þar sem hægt er. Annars ætti að velja sterkan fyrirfram deilt lykil.

  • vEdge(config)# vpn vpn-id tengi ipsec númer ike
  • vEdge(config-ike)# háttur árásargjarn

Sjálfgefið er að IKEv1 notar Diffie-Hellman hóp 16 í IKE lyklaskiptum. Þessi hópur notar 4096 bita meira mát veldisvísis (MODP) hópinn við IKE lyklaskipti. Þú getur breytt hópnúmerinu í 2 (fyrir 1024 bita MODP), 14 (2048 bita MODP) eða 15 (3072 bita MODP):

  • vEdge(config)# vpn vpn-id tengi ipsec númer ike
  • vEdge(config-ike)# hópnúmer

Sjálfgefið er að IKE lyklaskipti notar AES-256 háþróaða dulkóðun staðlaða CBC dulkóðun með HMAC-SHA1 lykla-hash skilaboða auðkenningarkóða reiknirit fyrir heilleika. Þú getur breytt auðkenningu:

  • vEdge(config)# vpn vpn-id tengi ipsec númer ike
  • vEdge(config-ike)# dulmálssvíta

Auðkenningarsvítan getur verið eitt af eftirfarandi:

  • aes128-cbc-sha1—AES-128 háþróaður dulkóðunar staðall CBC dulkóðun með HMAC-SHA1 lykill-hash skilaboða auðkenningarkóða reiknirit fyrir heilleika
  • aes128-cbc-sha2—AES-128 háþróaður dulkóðunar staðall CBC dulkóðun með HMAC-SHA256 lykill-hash skilaboða auðkenningarkóða reiknirit fyrir heilleika
  • aes256-cbc-sha1—AES-256 háþróaður dulkóðun staðall CBC dulkóðun með HMAC-SHA1 lykill-hash skilaboða auðkenningarkóða reiknirit fyrir heilleika; þetta er sjálfgefið.
  • aes256-cbc-sha2—AES-256 háþróaður dulkóðunar staðall CBC dulkóðun með HMAC-SHA256 lykill-hash skilaboða auðkenningarkóða reiknirit fyrir heilleika

Sjálfgefið er að IKE lyklar eru endurnýjaðir á 1 klukkustundar fresti (3600 sekúndur). Þú getur breytt endurkeyrslubilinu í gildi frá 30 sekúndum til 14 daga (1209600 sekúndur). Mælt er með því að endurskráningarbilið sé að minnsta kosti 1 klst.

  • vEdge(config)# vpn vpn-id tengi ipsec númer eins og
  • vEdge(config-ike)# endurtakið sekúndur

Til að þvinga fram kynslóð nýrra lykla fyrir IKE lotu skaltu gefa út beiðnina ipsec ike-rekey skipunina.

  • vEdge(config)# vpn vpn-id interfaceipsec númer ike

Fyrir IKE geturðu einnig stillt auðkenningu á fyrirfram deilt lykil (PSK):

  • vEdge(config)# vpn vpn-id tengi ipsec númer ike
  • vEdge(config-ike)# auðkenningartegund fyrirfram deilt lykilorði fyrirfram deilt-leyndarmál lykilorð er lykilorðið sem á að nota með forsamnýtta lyklinum. Það getur verið ASCII eða sextánskur strengur frá 1 til 127 stafir að lengd.

Ef ytri IKE jafninginn krefst staðbundins eða fjarlægs auðkennis geturðu stillt þetta auðkenni:

  • vEdge(config)# vpn vpn-id tengi ipsec númer ike auðkenningargerð
  • vEdge(config-authentication-type)# staðbundið auðkenni
  • vEdge(config-authentication-type)# auðkenni fjarstýringar

Auðkennið getur verið IP-tala eða hvaða textastrengur sem er frá 1 til 63 stafir að lengd. Sjálfgefið er að staðbundið auðkenni er upphafs-IP-tala gönganna og fjarauðkenni er IP-tala áfangastaðar ganganna.

Virkjaðu IKE útgáfu 2
Þegar þú stillir IPsec göng til að nota IKE útgáfu 2, eru eftirfarandi eiginleikar einnig virkjaðir sjálfgefið fyrir IKEv2:

  • Sannvottun og dulkóðun — AES-256 háþróaður dulkóðun staðall CBC dulkóðun með HMAC-SHA1 lykill-hash skilaboða auðkenningarkóða reiknirit fyrir heilleika
  • Diffie-Hellman hópnúmer—16
  • Tímabil endurskráningar—4 klst

Sjálfgefið er að IKEv2 notar Diffie-Hellman hóp 16 í IKE lyklaskiptum. Þessi hópur notar 4096 bita meira mát veldisvísis (MODP) hópinn við IKE lyklaskipti. Þú getur breytt hópnúmerinu í 2 (fyrir 1024 bita MODP), 14 (2048 bita MODP) eða 15 (3072 bita MODP):

  • vEdge(config)# vpn vpn-id tengi ipsecnúmer ég
  • vEdge(config-ike)# hópnúmer

Sjálfgefið er að IKE lyklaskipti notar AES-256 háþróaða dulkóðun staðlaða CBC dulkóðun með HMAC-SHA1 lykla-hash skilaboða auðkenningarkóða reiknirit fyrir heilleika. Þú getur breytt auðkenningu:

  • vEdge(config)# vpn vpn-id tengi ipsecnúmer ég
  • vEdge(config-ike)# dulmálssvíta

Auðkenningarsvítan getur verið eitt af eftirfarandi:

  • aes128-cbc-sha1—AES-128 háþróaður dulkóðunar staðall CBC dulkóðun með HMAC-SHA1 lykill-hash skilaboða auðkenningarkóða reiknirit fyrir heilleika
  • aes128-cbc-sha2—AES-128 háþróaður dulkóðunar staðall CBC dulkóðun með HMAC-SHA256 lykill-hash skilaboða auðkenningarkóða reiknirit fyrir heilleika
  • aes256-cbc-sha1—AES-256 háþróaður dulkóðun staðall CBC dulkóðun með HMAC-SHA1 lykill-hash skilaboða auðkenningarkóða reiknirit fyrir heilleika; þetta er sjálfgefið.
  • aes256-cbc-sha2—AES-256 háþróaður dulkóðunar staðall CBC dulkóðun með HMAC-SHA256 lykill-hash skilaboða auðkenningarkóða reiknirit fyrir heilleika

Sjálfgefið er að IKE lyklar eru endurnýjaðir á 4 klukkustunda fresti (14,400 sekúndur). Þú getur breytt endurkeyrslubilinu í gildi frá 30 sekúndum til 14 daga (1209600 sekúndur):

  • vEdge(config)# vpn vpn-id tengi ipsecnúmer ég
  • vEdge(config-ike)# endurtakið sekúndur

Til að þvinga fram kynslóð nýrra lykla fyrir IKE lotu skaltu gefa út beiðnina ipsec ike-rekey skipunina. Fyrir IKE geturðu líka stillt auðkenningu á fyrirfram deilt lykil (PSK):

  • vEdge(config)# vpn vpn-id tengi ipsecnúmer ég
  • vEdge(config-ike)# auðkenningartegund fyrirfram deilt lykilorði fyrirfram deilt-leyndarmál lykilorð er lykilorðið sem á að nota með forsamnýtta lyklinum. Það getur verið ASCII eða sextánskur strengur, eða það getur verið AES-dulkóðaður lykill. Ef ytri IKE jafninginn krefst staðbundins eða fjarlægs auðkennis geturðu stillt þetta auðkenni:
  • vEdge(config)# vpn vpn-id tengi ipsecnumber ike auðkenningargerð
  • vEdge(config-authentication-type)# staðbundið auðkenni
  • vEdge(config-authentication-type)# auðkenni fjarstýringar

Auðkennið getur verið IP-tala eða hvaða textastrengur sem er frá 1 til 64 stafir að lengd. Sjálfgefið er að staðbundið auðkenni er upphafs-IP-tala gönganna og fjarauðkenni er IP-tala áfangastaðar ganganna.

Stilla IPsec Tunnel Parameters

Tafla 4: Eiginleikasaga

Eiginleiki Nafn Upplýsingar um útgáfu Lýsing
Viðbótar dulmál Cisco SD-WAN útgáfa 20.1.1 Þessi eiginleiki bætir við stuðningi við
Algóritmískur stuðningur fyrir IPSec   HMAC_SHA256, HMAC_SHA384 og
Jarðgöng   HMAC_SHA512 reiknirit fyrir
    aukið öryggi.

Sjálfgefið er að eftirfarandi færibreytur eru notaðar á IPsec göngunum sem bera IKE umferð:

  • Auðkenning og dulkóðun—AES-256 reiknirit í GCM (Galois/teljarastilling)
  • Endurskráningarbil—4 klst
  • Endurspilunargluggi—32 pakkar

Þú getur breytt dulkóðuninni á IPsec göngunum í AES-256 dulmálið í CBC (dulkóðunarblokkakeðjuham, þar sem HMAC notar annaðhvort SHA-1 eða SHA-2 auðkenningu með lykla-hash skilaboðum eða núll með HMAC með því að nota annað hvort SHA-1 eða SHA-2 lykill-hash skilaboð auðkenning, til að dulkóða ekki IPsec göngin sem notuð eru fyrir IKE lyklaskipti:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# dulmálssvíta (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1n | aes256-null-sha256n | | aes256-null-sha384 | aes256-null-sha512)

Sjálfgefið er að IKE lyklar eru endurnýjaðir á 4 klukkustunda fresti (14,400 sekúndur). Þú getur breytt endurkeyrslubilinu í gildi frá 30 sekúndum til 14 daga (1209600 sekúndur):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# endurlykil sekúndur

Til að þvinga fram myndun nýrra lykla fyrir IPsec göng, gefðu út beiðnina ipsec ipsec-rekey skipunina. Sjálfgefið er að fullkomið áframhaldandi leynd (PFS) er virkt á IPsec göngum, til að tryggja að fyrri lotur verði ekki fyrir áhrifum ef framtíðarlyklar eru í hættu. PFS þvingar fram nýja Diffie-Hellman lyklaskipti, sjálfgefið með því að nota 4096-bita Diffie-Hellman aðaleiningahópinn. Þú getur breytt PFS stillingunni:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-leynd pfs-stilling

pfs-stilling getur verið ein af eftirfarandi:

  • hópur-2—Notaðu 1024 bita Diffie-Hellman frumstuðull hópinn.
  • hópur-14—Notaðu 2048 bita Diffie-Hellman frumstuðull hópinn.
  • hópur-15—Notaðu 3072 bita Diffie-Hellman frumstuðull hópinn.
  • hópur-16—Notaðu 4096 bita Diffie-Hellman prime modulus hópinn. Þetta er sjálfgefið.
  • enginn—Slökkva á PFS.

Sjálfgefið er að IPsec endurspilunarglugginn á IPsec göngunum er 512 bæti. Þú getur stillt stærð endurspilunargluggans á 64, 128, 256, 512, 1024, 2048 eða 4096 pakka:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# endurspilunarglugganúmer

Breyta IKE Dead-Peer Detection

IKE notar dead-peer uppgötvunarkerfi til að ákvarða hvort tengingin við IKE jafningja sé virk og aðgengileg. Til að innleiða þetta kerfi sendir IKE Hello pakka til jafningja síns og jafninginn sendir staðfestingu sem svar. Sjálfgefið er að IKE sendir Hello pakka á 10 sekúndna fresti og eftir þrjá óviðurkennda pakka lýsir IKE því yfir að nágranninn sé látinn og rífur niður göngin til jafningjans. Eftir það sendir IKE reglulega Hello pakka til jafningjans og endurreisir göngin þegar jafninginn kemur aftur á netið. Þú getur breytt lifunarskynjunarbilinu í gildi frá 0 til 65535 og þú getur breytt fjölda endurtekinna tilrauna í gildi frá 0 til 255.

Athugið

Fyrir flutnings-VPN er lifunarskynjunarbilinu breytt í sekúndur með því að nota eftirfarandi formúlu: Bil fyrir endursendingstilraun númer N = bil * 1.8N-1Td.ample, ef bilið er stillt á 10 og reynir aftur í 5, eykst greiningarbilið sem hér segir:

  • Tilraun 1: 10 * 1.81-1= 10 sekúndur
  • Tilraun 2: 10 * 1.82-1= 18 sekúndur
  • Tilraun 3: 10 * 1.83-1= 32.4 sekúndur
  • Tilraun 4: 10 * 1.84-1= 58.32 sekúndur
  • Tilraun 5: 10 * 1.85-1= 104.976 sekúndur

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval rereyings number

Stilla aðra tengieiginleika

Fyrir IPsec göng tengi geturðu aðeins stillt eftirfarandi viðbótarviðmótseiginleika:

  • vEdge(config-interface-ipsec)# mtu bæti
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bæti

Slökktu á veikum SSH dulkóðunaralgrímum á Cisco SD-WAN Manager

Tafla 5: Tafla yfir eiginleika sögu

Eiginleiki Nafn Upplýsingar um útgáfu Eiginleiki Lýsing
Slökktu á veikum SSH dulkóðunaralgrímum á Cisco SD-WAN Manager Cisco vManage útgáfa 20.9.1 Þessi eiginleiki gerir þér kleift að slökkva á veikari SSH reiknirit á Cisco SD-WAN Manager sem gæti ekki verið í samræmi við ákveðna gagnaöryggisstaðla.

Upplýsingar um að slökkva á veikum SSH dulkóðunaralgrími á Cisco SD-WAN Manager
Cisco SD-WAN Manager veitir SSH viðskiptavin fyrir samskipti við íhluti á netinu, þar á meðal stýringar og brún tæki. SSH viðskiptavinurinn býður upp á dulkóðaða tengingu fyrir öruggan gagnaflutning, byggt á ýmsum dulkóðunaralgrímum. Margar stofnanir þurfa sterkari dulkóðun en SHA-1, AES-128 og AES-192. Frá Cisco vManage útgáfu 20.9.1 geturðu slökkt á eftirfarandi veikari dulkóðunaralgrími þannig að SSH viðskiptavinur noti ekki þessi reiknirit:

  • SHA-1
  • AES-128
  • AES-192

Áður en slökkt er á þessum dulkóðunaralgrímum skaltu ganga úr skugga um að Cisco vEdge tæki, ef einhver eru, á netinu, noti síðari hugbúnaðarútgáfu en Cisco SD-WAN útgáfu 18.4.6.

Kostir þess að slökkva á veikum SSH dulkóðunaralgrímum á Cisco SD-WAN Manager
Að slökkva á veikari SSH dulkóðunaralgrím bætir öryggi SSH samskipta og tryggir að stofnanir sem nota Cisco Catalyst SD-WAN séu í samræmi við strangar öryggisreglur.

Slökktu á veikum SSH dulkóðunaralgrímum á Cisco SD-WAN Manager með CLI

  1. Í valmyndinni Cisco SD-WAN Manager, veldu Tools > SSH Terminal.
  2. Veldu Cisco SD-WAN Manager tækið sem þú vilt slökkva á veikari SSH reiknirit.
  3. Sláðu inn notandanafn og lykilorð til að skrá þig inn á tækið.
  4. Farðu í SSH miðlaraham.
    • vmanage(config)# kerfi
    • vmanage(config-system)# ssh-þjónn
  5. Gerðu eitt af eftirfarandi til að slökkva á SSH dulkóðunaralgrími:
    • Slökkva á SHA-1:
  6. stjórna(config-ssh-þjónn)# engin kex-algo sha1
  7. stjórna (config-ssh-þjónn) # skuldbinda
    Eftirfarandi viðvörunarskilaboð birtast: Eftirfarandi viðvaranir voru búnar til: 'system ssh-server kex-algo sha1': VIÐVÖRUN: Vinsamlegast tryggðu að allar brúnir þínar keyri kóðaútgáfu > 18.4.6 sem gengur betur en SHA1 með vManage. Annars geta þessar brúnir orðið ótengdar. Halda áfram? [já, nei] já
    • Gakktu úr skugga um að öll Cisco vEdge tæki á netinu keyri Cisco SD-WAN útgáfu 18.4.6 eða nýrri og sláðu inn já.
    • Slökktu á AES-128 og AES-192:
    • vmanage(config-ssh-server)# engin dulmál aes-128-192
    • vmanage(config-ssh-þjónn)# skuldbinda
      Eftirfarandi viðvörunarskilaboð birtast:
      Eftirfarandi viðvaranir voru búnar til:
      'system ssh-server cipher aes-128-192': VIÐVÖRUN: Vinsamlegast tryggðu að allar brúnir þínar keyri kóðaútgáfu > 18.4.6 sem gengur betur en AES-128-192 með vManage. Annars geta þessar brúnir orðið ótengdar. Halda áfram? [já, nei] já
    • Gakktu úr skugga um að öll Cisco vEdge tæki á netinu keyri Cisco SD-WAN útgáfu 18.4.6 eða nýrri og sláðu inn já.

Staðfestu að veikir SSH dulkóðunaralgrímar séu óvirkir á Cisco SD-WAN Manager með því að nota CLI

  1. Í valmyndinni Cisco SD-WAN Manager, veldu Tools > SSH Terminal.
  2. Veldu Cisco SD-WAN Manager tækið sem þú vilt staðfesta.
  3. Sláðu inn notandanafn og lykilorð til að skrá þig inn á tækið.
  4. Keyra eftirfarandi skipun: show running-config system ssh-server
  5. Staðfestu að úttakið sýni eina eða fleiri af skipunum sem slökkva á veikari dulkóðunaralgrími:
    • engin dulmál aes-128-192
    • engin kex-algo sha1

Skjöl / auðlindir

CISCO SD-WAN Stilla öryggisfæribreytur [pdfNotendahandbók
SD-WAN Stilla öryggisfæribreytur, SD-WAN, Stilla öryggisfæribreytur, öryggisfæribreytur

Heimildir

Skildu eftir athugasemd

Netfangið þitt verður ekki birt. Nauðsynlegir reitir eru merktir *