CISCO SD-WAN הגדרת פרמטרי אבטחה

הגדר פרמטרי אבטחה

פֶּתֶק

כדי להשיג פישוט ועקביות, פתרון Cisco SD-WAN מותג מחדש כ-Cisco Catalyst SD-WAN. בנוסף, מ-Cisco IOS XE SD-WAN Release 17.12.1a ו-Cisco Catalyst SD-WAN Release 20.12.1, השינויים ברכיבים הבאים חלים: Cisco vManage ל-Cisco Catalyst SD-WAN Manager, Cisco vAnalytics ל-Cisco Catalyst SD-WAN Analytics, Cisco vBond ל-Cisco Catalyst SD-WAN Validator, ו-Cisco vSmart ל-Cisco Catalyst SD-WAN Controller. עיין בהערות המהדורה העדכניות ביותר לרשימה מקיפה של כל השינויים בשמות המותג של הרכיבים. בעוד אנו עוברים לשמות החדשים, ייתכן שחלק מהאי-עקביות נמצאות בערכת התיעוד בגלל גישה מדורגת לעדכוני ממשק המשתמש של מוצר התוכנה.

סעיף זה מתאר כיצד לשנות פרמטרי אבטחה עבור מישור הבקרה ומישור הנתונים ברשת שכבת-על Cisco Catalyst SD-WAN.

• קבע תצורה של פרמטרי אבטחה של מטוס בקרה, מופעל
• קבע תצורה של פרמטרי אבטחה של מטוס נתונים, מופעל
• קבע תצורה של IKE-Enabled Tunnels IPsec, מופעל
• השבת אלגוריתמי הצפנת SSH חלשים ב-Cisco SD-WAN Manager, על

קבע תצורה של פרמטרי אבטחה של מטוס בקרה

כברירת מחדל, מטוס הבקרה משתמש ב-DTLS כפרוטוקול המספק פרטיות בכל המנהרות שלו. DTLS פועל על UDP. אתה יכול לשנות את פרוטוקול האבטחה של מטוס הבקרה ל-TLS, הפועל על TCP. הסיבה העיקרית להשתמש ב-TLS היא שאם אתה מחשיב את Cisco SD-WAN Controller כשרת, חומות אש מגנות על שרתי TCP טוב יותר משרתי UDP. אתה מגדיר את פרוטוקול המנהרה של מטוס הבקרה בבקר של Cisco SD-WAN: vSmart(config)# פרוטוקול בקרת אבטחה tls עם שינוי זה, כל המנהרות של מישור הבקרה עוברות בין בקר SD-WAN של Cisco לנתבים ובין בקר ה-Cisco SD-WAN ו-Cisco SD-WAN Manager משתמשים ב-TLS. בקרת מנהרות מטוסים ל-Cisco Catalyst SD-WAN Validator משתמש תמיד ב-DTLS, מכיוון שחיבורים אלה חייבים להיות מטופלים על ידי UDP. בדומיין עם מספר בקרי SD-WAN של Cisco, כאשר אתה מגדיר TLS באחד מבקרי ה-SD-WAN של Cisco, כל מנהרות מטוס הבקרה מהבקר הזה לבקרים האחרים משתמשות ב-TLS. נאמר אחרת, TLS תמיד מקבל עדיפות על פני DTLS. עם זאת, מנקודת המבט של בקרי ה-SD-WAN האחרים של Cisco, אם לא הגדרתם TLS עליהם, הם משתמשים ב-TLS במנהרת מטוס הבקרה רק לאותו בקר SD-WAN של Cisco, והם משתמשים במנהרות DTLS לכל האחרות. בקרי SD-WAN של Cisco ולכל הנתבים המחוברים שלהם. כדי שכל בקרי ה-SD-WAN של Cisco ישתמשו ב-TLS, הגדר זאת בכולם. כברירת מחדל, בקר Cisco SD-WAN מאזין ביציאה 23456 לבקשות TLS. כדי לשנות זאת: vSmart(config)# בקרת אבטחה tls-port number היציאה יכולה להיות מספר מ-1025 עד 65535. כדי להציג מידע אבטחה של מישור הבקרה, השתמש בפקודת הצג חיבורי שליטה בבקר Cisco SD-WAN. למשלample: vSmart-2# הצג חיבורי בקרה

הגדר DTLS ב-Cisco SD-WAN Manager

אם תגדיר את Cisco SD-WAN Manager להשתמש ב-TLS כפרוטוקול האבטחה של מטוס הבקרה, עליך לאפשר העברת יציאות ב-NAT שלך. אם אתה משתמש ב-DTLS כפרוטוקול האבטחה של מטוס הבקרה, אינך צריך לעשות דבר. מספר היציאות המועברות תלוי במספר תהליכי vdaemon הפועלים ב-Cisco SD-WAN Manager. כדי להציג מידע על תהליכים אלו ועל מספר היציאות המועברות, השתמש בפקודה show control summary מראה שארבעה תהליכי דמון פועלים:

כדי לראות את יציאות ההאזנה, השתמש בפקודה show control local-properties: vManage# show control local-properties

פלט זה מראה שיציאת ה-TCP המאזין היא 23456. אם אתה מפעיל את Cisco SD-WAN Manager מאחורי NAT, עליך לפתוח את היציאות הבאות בהתקן ה-NAT:

• 23456 (בסיס - יציאת מופע 0)
• 23456 + 100 (בסיס + 100)
• 23456 + 200 (בסיס + 200)
• 23456 + 300 (בסיס + 300)

שים לב שמספר המופעים זהה למספר הליבות שהקצית עבור Cisco SD-WAN Manager, עד למקסימום של 8.

קבע תצורה של פרמטרי אבטחה באמצעות תבנית תכונת האבטחה

השתמש בתבנית תכונת האבטחה עבור כל מכשירי Cisco vEdge. בנתבי הקצה וב-Cisco SD-WAN Validator, השתמש בתבנית זו כדי להגדיר IPsec לאבטחת מטוסי נתונים. ב-Cisco SD-WAN Manager ו-Cisco SD-WAN Controller, השתמש בתבנית תכונת האבטחה כדי להגדיר DTLS או TLS לאבטחת מטוס בקרה.

הגדר פרמטרי אבטחה

1. מתפריט Cisco SD-WAN Manager, בחר תצורה > תבניות.
2. לחץ על תבניות תכונה ולאחר מכן לחץ על הוסף תבנית.
   פֶּתֶק ב- Cisco vManage Release 20.7.1 ובגרסאות קודמות, תבניות תכונות נקראות Feature.
3. מרשימת ההתקנים בחלונית השמאלית, בחר מכשיר. התבניות החלות על המכשיר הנבחר מופיעות בחלונית הימנית.
4. לחץ על אבטחה כדי לפתוח את התבנית.
5. בשדה שם תבנית, הזן שם עבור התבנית. השם יכול להיות עד 128 תווים ויכול להכיל תווים אלפאנומריים בלבד.
6. בשדה תיאור תבנית, הזן תיאור של התבנית. התיאור יכול להכיל עד 2048 תווים ויכול להכיל תווים אלפאנומריים בלבד.

כאשר אתה פותח לראשונה תבנית תכונה, עבור כל פרמטר שיש לו ערך ברירת מחדל, ההיקף מוגדר לברירת מחדל (מסומן באמצעות סימן ביקורת), והגדרת ברירת המחדל או ערך ברירת המחדל מוצגים. כדי לשנות את ברירת המחדל או להזין ערך, לחץ על התפריט הנפתח היקף משמאל לשדה הפרמטר ובחר באחת מהאפשרויות הבאות:

טבלה 1:

פָּרָמֶטֶר תְחוּם

תיאור היקף

מכשיר ספציפי (מסומן על ידי סמל מארח)

השתמש בערך ספציפי למכשיר עבור הפרמטר. עבור פרמטרים ספציפיים למכשיר, לא ניתן להזין ערך בתבנית התכונה. אתה מזין את הערך כאשר אתה מצרף מכשיר Viptela לתבנית מכשיר. כאשר אתה לוחץ על Device Specific, תיבת Enter Key נפתחת. תיבה זו מציגה מפתח, שהוא מחרוזת ייחודית המזהה את הפרמטר ב-CSV file שאתה יוצר. זֶה file הוא גיליון אלקטרוני של Excel המכיל עמודה אחת עבור כל מפתח. שורת הכותרת מכילה את שמות המפתחות (מפתח אחד לכל עמודה), וכל שורה לאחר מכן מתאימה למכשיר ומגדירה את ערכי המפתחות לאותו התקן. אתה מעלה את ה-CSV file כאשר אתה מחבר מכשיר Viptela לתבנית מכשיר. למידע נוסף, ראה יצירת גיליון אלקטרוני של משתני תבנית. כדי לשנות את מפתח ברירת המחדל, הקלד מחרוזת חדשה והזז את הסמן מתיבה Enter Key. Exampהפרמטרים הספציפיים למכשיר הם כתובת IP של המערכת, שם מארח, מיקום GPS ומזהה אתר.

פָּרָמֶטֶר תְחוּם	תיאור היקף
גלובלי (מסומן על ידי סמל גלובוס)	הזן ערך עבור הפרמטר, והחל את הערך הזה על כל המכשירים. Exampקבוצות של פרמטרים שאתה עשוי להחיל באופן גלובלי על קבוצת מכשירים הם שרת DNS, שרת syslog ו-MTUs ממשק.

הגדר את אבטחת המטוס בקרה

פֶּתֶק
הסעיף קביעת תצורת אבטחת מטוס בקרה חל על Cisco SD-WAN Manager ו-Cisco SD-WAN Controller בלבד. כדי להגדיר את פרוטוקול חיבור מטוס הבקרה במופע של Cisco SD-WAN Manager או בבקר של Cisco SD-WAN, בחר את אזור התצורה הבסיסית והגדר את הפרמטרים הבאים:

טבלה 2:

פָּרָמֶטֶר שֵׁם	תֵאוּר
פּרוֹטוֹקוֹל	בחר את הפרוטוקול לשימוש בחיבורי מטוס בקרה לבקר של Cisco SD-WAN: •  DTLS (דהtagRam Transport Layer Security). זוהי ברירת המחדל. •  TLS (אבטחת שכבת תחבורה)
שליטה ביציאת TLS	אם בחרת ב-TLS, הגדר את מספר היציאה לשימוש:לָנוּעַ: 1025 עד 65535בְּרִירַת מֶחדָל: 23456

לחץ על שמור

הגדר את אבטחת מטוס הנתונים
כדי להגדיר את אבטחת מישור הנתונים ב-Cisco SD-WAN Validator או בנתב Cisco vEdge, בחר בכרטיסיות Basic Configuration ו-Authentication Type, והגדר את הפרמטרים הבאים:

טבלה 3:

פָּרָמֶטֶר שֵׁם	תֵאוּר
Rekey Time	ציין באיזו תדירות נתב Cisco vEdge משנה את מפתח AES המשמש בחיבור ה-DTLS המאובטח שלו לבקר של Cisco SD-WAN. אם הפעלה מחדש חיננית של OMP מופעלת, זמן המפתח מחדש חייב להיות לפחות פי שניים מהערך של טיימר ההפעלה מחדש החסד של OMP.לָנוּעַ: 10 עד 1209600 שניות (14 ימים)בְּרִירַת מֶחדָל: 86400 שניות (24 שעות)
חלון הפעלה חוזרת	ציין את גודל חלון ההצגה החוזרת. ערכים: 64, 128, 256, 512, 1024, 2048, 4096, 8192 מנותבְּרִירַת מֶחדָל: 512 מנות
IPsec מקשים צמדים	זה כבוי כברירת מחדל. נְקִישָׁה On כדי להפעיל אותו.

פָּרָמֶטֶר שֵׁם

תֵאוּר

סוג אימות

בחר את סוגי האימות מתוך אימות רְשִׁימָה, ולחץ על החץ המצביע ימינה כדי להעביר את סוגי האימות ל- רשימה נבחרה עַמוּדָה. סוגי אימות נתמכים מגרסה 20.6.1 של Cisco SD-WAN: •  בפרט: מאפשר הצפנה של Encapsulating Security Payload (ESP) ובדיקת תקינות בכותרת ה-ESP. •  ip-udp-esp: מאפשר הצפנת ESP. בנוסף לבדיקות התקינות בכותרת ה-ESP והמטען, הבדיקות כוללות גם את כותרות ה-IP וה-UDP החיצוניות. •  ip-udp-esp-no-id: מתעלם משדה המזהה בכותרת ה-IP כך ש-Cisco Catalyst SD-WAN יכול לעבוד בשילוב עם התקנים שאינם של Cisco. •  אַף לֹא אֶחָד: מכבה את בדיקת השלמות במנות IPSec. אנחנו לא ממליצים להשתמש באפשרות זו.   סוגי אימות נתמכים ב-Cisco SD-WAN מהדורה 20.5.1 ואילך: •  אה-לא-מזהה: אפשר גרסה משופרת של AH-SHA1 HMAC ו-ESP HMAC-SHA1 שמתעלמת משדה המזהה בכותרת ה-IP החיצונית של החבילה. •  אה-שא1-המאק: אפשר את AH-SHA1 HMAC ו-ESP HMAC-SHA1. •  אַף לֹא אֶחָד: בחר ללא אימות. •  sha1-hmac: אפשר ESP HMAC-SHA1.   פֶּתֶק              עבור התקן קצה הפועל על Cisco SD-WAN מהדורה 20.5.1 או מוקדמת יותר, ייתכן שהגדרת סוגי אימות באמצעות בִּטָחוֹן תבנית. כאשר אתה משדרג את המכשיר ל-Cisco SD-WAN Release 20.6.1 ואילך, עדכן את סוגי האימות שנבחרו ב- בִּטָחוֹן תבנית לסוגי האימות הנתמכים מגרסה 20.6.1 של Cisco SD-WAN. כדי לעדכן את סוגי האימות, בצע את הפעולות הבאות: 1.      מתפריט Cisco SD-WAN Manager, בחר תְצוּרָה > תבניות. 2.      נְקִישָׁה תבניות תכונה. 3.      מצא את בִּטָחוֹן תבנית לעדכון ולחץ על ... ולחץ לַעֲרוֹך. 4.      נְקִישָׁה לְעַדְכֵּן. אל תשנה שום תצורה. Cisco SD-WAN Manager מעדכן את בִּטָחוֹן תבנית להצגת סוגי האימות הנתמכים.

לחץ על שמור.

קבע תצורה של פרמטרי אבטחה של מטוס נתונים

במישור הנתונים, IPsec מופעל כברירת מחדל בכל הנתבים, וכברירת מחדל, חיבורי מנהרת IPsec משתמשים בגרסה משופרת של פרוטוקול Encapsulating Security Payload (ESP) לאימות במנהרות IPsec. בנתבים, אתה יכול לשנות את סוג האימות, את טיימר המפתח מחדש של IPsec ואת גודל החלון נגד השידור החוזר של IPsec.

הגדר סוגי אימות מותרים

סוגי אימות ב-Cisco SD-WAN מהדורה 20.6.1 ואילך
מ-Cisco SD-WAN Release 20.6.1, סוגי השלמות הבאים נתמכים:

• esp: אפשרות זו מאפשרת Encapsulating Security Payload (ESP) הצפנה ובדיקת תקינות בכותרת ה-ESP.
• ip-udp-esp: אפשרות זו מאפשרת הצפנת ESP. בנוסף לבדיקות השלמות בכותרת ה-ESP והמטען, הבדיקות כוללות גם את כותרות ה-IP וה-UDP החיצוניות.
• ip-udp-esp-no-id: אפשרות זו דומה ל-ip-udp-esp, עם זאת, מתעלמים משדה המזהה של כותרת ה-IP החיצונית. הגדר אפשרות זו ברשימת סוגי השלמות כך שתוכנת Cisco Catalyst SD-WAN תתעלם משדה המזהה בכותרת ה-IP כך ש-Cisco Catalyst SD-WAN יוכל לעבוד בשילוב עם התקנים שאינם של Cisco.
• none: אפשרות זו מבטלת את בדיקת השלמות במנות IPSec. אנחנו לא ממליצים להשתמש באפשרות זו.

כברירת מחדל, חיבורי מנהרת IPsec משתמשים בגרסה משופרת של פרוטוקול Encapsulating Security Payload (ESP) לצורך אימות. כדי לשנות את סוגי האינטריטי שנקבעו במשא ומתן או כדי להשבית בדיקת תקינות, השתמש בפקודה הבאה: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | במיוחד }

סוגי אימות לפני יציאת Cisco SD-WAN 20.6.1
כברירת מחדל, חיבורי מנהרת IPsec משתמשים בגרסה משופרת של פרוטוקול Encapsulating Security Payload (ESP) לצורך אימות. כדי לשנות את סוגי האימות שנקבעו במשא ומתן או כדי להשבית את האימות, השתמש בפקודה הבאה: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) כברירת מחדל, IPsec חיבורי מנהרה משתמשים ב-AES-GCM-256, המספק גם הצפנה וגם אימות. הגדר כל סוג אימות עם פקודת אבטחה נפרדת מסוג ipsec אימות מסוג. אפשרויות הפקודה ממפות לסוגי האימות הבאים, הרשומים לפי הסדר מהחזק ביותר לחזק לפחות:

פֶּתֶק
ה-sha1 באפשרויות התצורה משמש מסיבות היסטוריות. אפשרויות האימות מציינות כמה מבדיקת תקינות החבילה מתבצעת. הם לא מציינים את האלגוריתם שבודק את התקינות. פרט להצפנה של תעבורת ריבוי שידורים, אלגוריתמי האימות הנתמכים על ידי Cisco Catalyst SD WAN אינם משתמשים ב-SHA1. עם זאת ב-Cisco SD-WAN מהדורה 20.1.x ואילך, גם unicast וגם multicast אינם משתמשים ב-SHA1.

• ah-sha1-hmac מאפשר הצפנה ואנקפסולציה באמצעות ESP. עם זאת, בנוסף לבדיקות התקינות בכותרת ה-ESP והמטען, הבדיקות כוללות גם את כותרות ה-IP החיצוניות וה-UDP. לפיכך, אפשרות זו תומכת בבדיקת תקינות החבילה בדומה לפרוטוקול ה-Authentication Header (AH). כל השלמות וההצפנה מתבצעות באמצעות AES-256-GCM.
• ah-no-id מאפשר מצב הדומה ל-ah-sha1-hmac, עם זאת, מתעלמים משדה המזהה של כותרת ה-IP החיצונית. אפשרות זו מתאימה לכמה התקני SD-WAN שאינם של Cisco Catalyst, כולל Apple AirPort Express NAT, שיש להם באג שגורם לשינוי שדה המזהה בכותרת ה-IP, שדה שאינו ניתן לשינוי. הגדר את האפשרות ah-no-id ברשימת סוגי האימות כך שתוכנת Cisco Catalyst SD-WAN AH תתעלם משדה המזהה בכותרת ה-IP כך שתוכנת Cisco Catalyst SD-WAN תוכל לעבוד בשילוב עם מכשירים אלו.
• sha1-hmac מאפשר הצפנת ESP ובדיקת תקינות.
• אין מפות ללא אימות. יש להשתמש באפשרות זו רק אם היא נדרשת עבור איתור באגים זמני. אתה יכול גם לבחור באפשרות זו במצבים שבהם אימות מטוס נתונים ושלמות אינם מהווים דאגה. סיסקו אינה ממליצה להשתמש באפשרות זו עבור רשתות ייצור.

למידע על אילו שדות מנות נתונים מושפעים מסוגי אימות אלה, ראה שלמות מישור נתונים. התקני Cisco IOS XE Catalyst SD-WAN והתקני Cisco vEdge מפרסמים את סוגי האימות המוגדרים שלהם במאפייני ה-TLOC שלהם. שני הנתבים משני הצדדים של חיבור מנהרת IPsec מנהלים משא ומתן על האימות לשימוש בחיבור ביניהם, תוך שימוש בסוג האימות החזק ביותר שמוגדר בשני הנתבים. למשלampאם נתב אחד מפרסם את סוגי ah-sha1-hmac ו-ah-no-id, ונתב שני מפרסם את סוג ah-no-id, שני הנתבים מנהלים משא ומתן לשימוש ב-ah-no-id בחיבור מנהרת IPsec בין אוֹתָם. אם לא מוגדרים סוגי אימות נפוצים בשני העמיתים, לא נוצרה מנהרת IPsec ביניהם. אלגוריתם ההצפנה בחיבורי מנהרת IPsec תלוי בסוג התעבורה:

• עבור תעבורת unicast, אלגוריתם ההצפנה הוא AES-256-GCM.
• עבור תעבורת ריבוי שידורים:
• Cisco SD-WAN מהדורה 20.1.x ואילך – אלגוריתם ההצפנה הוא AES-256-GCM
• מהדורות קודמות- אלגוריתם ההצפנה הוא AES-256-CBC עם SHA1-HMAC.

כאשר סוג האימות IPsec משתנה, מפתח AES עבור נתיב הנתונים משתנה.

שנה את טיימר המפתח מחדש

לפני שהתקני Cisco IOS XE Catalyst SD-WAN ומכשירי Cisco vEdge יכולים להחליף תעבורת נתונים, הם הקימו ערוץ תקשורת מאומת מאובטח ביניהם. הנתבים משתמשים במנהרות IPSec ביניהן בתור הערוץ, ובצופן AES-256 כדי לבצע הצפנה. כל נתב יוצר מפתח AES חדש עבור נתיב הנתונים שלו מעת לעת. כברירת מחדל, מפתח תקף למשך 86400 שניות (24 שעות), וטווח הטיימר הוא 10 שניות עד 1209600 שניות (14 ימים). כדי לשנות את ערך טיימר המפתח מחדש: Device(config)# security ipsec rekey seconds התצורה נראית כך:

• אבטחה ipsec rekey שניות!

אם ברצונך ליצור מפתחות IPsec חדשים באופן מיידי, תוכל לעשות זאת מבלי לשנות את תצורת הנתב. כדי לעשות זאת, הפק את פקודת אבטחת הבקשה ipsecrekey בנתב שנפרץ. למשלample, הפלט הבא מראה של-SA המקומי יש מדד אבטחה פרמטר (SPI) של 256:

מפתח ייחודי משויך לכל SPI. אם מפתח זה נפרץ, השתמש בפקודה request security ipsec-rekey כדי ליצור מפתח חדש באופן מיידי. פקודה זו מגדילה את ה-SPI. באקס שלנוample, ה-SPI משתנה ל-257 והמפתח המשויך אליו משמש כעת:

• בקשת אבטחה מכשיר # ipsecrekey
• Device# show ipsec local-sa

לאחר יצירת המפתח החדש, הנתב שולח אותו מיד לבקרי סיסקו SD-WAN באמצעות DTLS או TLS. בקרי ה-SD-WAN של Cisco שולחים את המפתח לנתבי העמיתים. הנתבים מתחילים להשתמש בו ברגע שהם מקבלים אותו. שים לב שהמפתח המשויך ל-SPI הישן (256) ימשיך לשמש לזמן קצר עד לפסק זמן. כדי להפסיק להשתמש במפתח הישן באופן מיידי, הפק את פקודת request security ipsec-rekey פעמיים, ברצף מהיר. רצף פקודות זה מסיר גם את SPI 256 וגם 257 ומגדיר את ה-SPI ל-258. לאחר מכן, הנתב משתמש במפתח המשויך של SPI 258. שים לב, עם זאת, חלק מהמנות יוסרו לפרק זמן קצר עד שכל הנתבים המרוחקים ילמדו המפתח החדש.

שנה את הגודל של חלון האנטי-שידור חוזר

אימות IPsec מספק הגנה נגד הפעלה חוזרת על ידי הקצאת מספר רצף ייחודי לכל מנה בזרם נתונים. מספור רצף זה מגן מפני שכפול מנות נתונים של תוקף. עם הגנה נגד הפעלה חוזרת, השולח מקצה מספרי רצף גדלים באופן מונוטוני, והיעד בודק את מספרי הרצף הללו כדי לזהות כפילויות. מכיוון שלעתים קרובות מנות אינן מגיעות לפי הסדר, היעד שומר על חלון הזזה של מספרי רצף שהוא יקבל.

מנות עם מספרי רצף הנופלים משמאל לטווח החלונות ההזזה נחשבות ישנות או כפולות, והיעד מפיל אותן. היעד עוקב אחר מספר הרצף הגבוה ביותר שקיבל, ומתאים את חלון ההזזה כאשר הוא מקבל חבילה בעלת ערך גבוה יותר.

כברירת מחדל, חלון ההזזה מוגדר ל-512 מנות. ניתן להגדיר אותו לכל ערך בין 64 ל-4096 שהוא חזקת 2 (כלומר, 64, 128, 256, 512, 1024, 2048 או 4096). כדי לשנות את גודל החלון נגד הפעלה חוזרת, השתמש בפקודה replay-window, תוך ציון גודל החלון:

Device(config)# security ipsec replay-window number

התצורה נראית כך:
אבטחה ipsec מספר חלון חוזר! !

כדי לסייע ב-QoS, נשמרים חלונות הפעלה חוזרים נפרדים עבור כל אחד משמונת ערוצי התעבורה הראשונים. גודל חלון השידור החוזר המוגדר מחולק בשמונה עבור כל ערוץ. אם QoS מוגדר על נתב, נתב זה עלול לחוות מספר גדול מהצפוי של נפילות מנות כתוצאה ממנגנון האנטי-שידור חוזר של IPsec, ורבות מהמנות שיושמטו הן לגיטימיות. זה קורה בגלל ש-QoS מסדר מחדש מנות, נותן יחס מועדף לחבילות בעדיפות גבוהה יותר ועיכוב מנות בעדיפות נמוכה יותר. כדי למזער או למנוע מצב זה, תוכל לעשות את הפעולות הבאות:

• הגדל את גודל החלון נגד השידור החוזר.
• הנדס תנועה אל שמונת ערוצי התנועה הראשונים כדי להבטיח שהתנועה בתוך ערוץ לא מסודרת מחדש.

הגדר מנהרות IPsec התומכות ב-IKE
כדי להעביר בצורה מאובטחת תעבורה מרשת השכבה לרשת שירות, תוכל להגדיר מנהרות IPsec המריצות את פרוטוקול Internet Key Exchange (IKE). מנהרות IPsec התומכות ב-IKE מספקות אימות והצפנה כדי להבטיח העברת מנות מאובטחת. אתה יוצר מנהרה IPsec התומכת ב-IKE על ידי הגדרת ממשק IPsec. ממשקי IPsec הם ממשקים לוגיים, ואתה מגדיר אותם בדיוק כמו כל ממשק פיזי אחר. אתה מגדיר פרמטרים של פרוטוקול IKE בממשק IPsec, ותוכל להגדיר מאפייני ממשק אחרים.

פֶּתֶק סיסקו ממליצה להשתמש ב-IKE גרסה 2. מהגרסה של Cisco SD-WAN 19.2.x ואילך, המפתח המשותף מראש צריך להיות באורך של לפחות 16 בתים. הקמת מנהרת IPsec נכשלת אם גודל המפתח קטן מ-16 תווים כאשר הנתב משודרג לגרסה 19.2.

פֶּתֶק
תוכנת Cisco Catalyst SD-WAN תומכת ב-IKE גרסה 2 כפי שהוגדרה ב-RFC 7296. שימוש אחד עבור מנהרות IPsec הוא לאפשר למופעי VM של נתב vEdge Cloud הפועלים על Amazon AWS להתחבר לענן הפרטי הוירטואלי של אמזון (VPC). עליך להגדיר את IKE גרסה 1 בנתבים אלה. התקני Cisco vEdge תומכים רק ב-VPNs מבוססי מסלול בתצורת IPSec מכיוון שהתקנים אלו אינם יכולים להגדיר בוררי תעבורה בתחום ההצפנה.

הגדר מנהרת IPsec
כדי להגדיר ממשק מנהרת IPsec עבור תעבורת הובלה מאובטחת מרשת שירות, אתה יוצר ממשק IPsec לוגי:

אתה יכול ליצור את מנהרת IPsec ב-VPN התחבורה (VPN 0) ובכל שירות VPN (VPN 1 עד 65530, למעט 512). לממשק IPsec יש שם בפורמט ipsecnumber, כאשר המספר יכול להיות מ-1 עד 255. לכל ממשק IPsec חייב להיות כתובת IPv4. כתובת זו חייבת להיות קידומת /30. כל התעבורה ב-VPN שנמצאת בתוך קידומת IPv4 זו מופנית לממשק פיזי ב-VPN 0 כדי להישלח בצורה מאובטחת דרך מנהרה IPsec. כדי להגדיר את המקור של מנהרת IPsec במכשיר המקומי, אתה יכול לציין את כתובת ה-IP של הממשק הפיזי (בפקודה tunnel-source) או שם הממשק הפיזי (בפקודה tunnel-source-interface). ודא שהממשק הפיזי מוגדר ב-VPN 0. כדי להגדיר את היעד של מנהרת IPsec, ציין את כתובת ה-IP של ההתקן המרוחק בפקודת המנהרה-יעד. השילוב של כתובת מקור (או שם ממשק מקור) וכתובת יעד מגדיר מנהרת IPsec אחת. יכולה להתקיים רק מנהרת IPsec אחת המשתמשת בכתובת מקור ספציפית (או שם ממשק) וצמד כתובות יעד.

הגדר נתיב סטטי IPsec

כדי להפנות תעבורה מה-VPN של השירות למנהרת IPsec ב-VPN התחבורה (VPN 0), אתה מגדיר נתיב סטטי ספציפי ל-IPsec ב-VPN של שירות (VPN שאינו VPN 0 או VPN 512):

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 ממשק
• ipsecnumber [ipsecnumber2]

מזהה ה-VPN הוא זה של כל VPN של שירות (VPN 1 עד 65530, למעט 512). קידומת/אורך היא כתובת ה-IP או הקידומת, בסימון מנוקד בארבעה חלקים עשרוני, ואורך הקידומת של המסלול הסטטי הספציפי ל-IPsec. הממשק הוא ממשק מנהרת IPsec ב-VPN 0. ניתן להגדיר ממשק מנהרת IPsec אחד או שניים. אם תגדיר שניים, הראשון הוא מנהרת ה-IPsec הראשית, והשני הוא הגיבוי. עם שני ממשקים, כל החבילות נשלחות רק למנהרה הראשית. אם המנהרה הזו נכשלת, כל החבילות נשלחות למנהרה המשנית. אם המנהרה הראשית חוזרת למעלה, כל התעבורה מועברת חזרה למנהרת IPsec הראשית.

הפעל את IKE גרסה 1
כאשר אתה יוצר מנהרה IPsec בנתב vEdge, IKE גרסה 1 מופעלת כברירת מחדל בממשק המנהרה. המאפיינים הבאים מופעלים גם כברירת מחדל עבור IKEv1:

• אימות והצפנה - AES-256 הצפנה מתקדמת בתקן CBC עם אלגוריתם קוד אימות הודעות HMAC-SHA1 המפתח Hash עבור שלמות
• מספר קבוצת דיפי-הלמן-16
• מרווח זמן של מפתח מחדש - 4 שעות
• מצב הקמה של SA - ראשי

כברירת מחדל, IKEv1 משתמש במצב הראשי של IKE כדי להקים IKE SAs. במצב זה, שש חבילות משא ומתן מוחלפות כדי לבסס את ה-SA. כדי להחליף רק שלוש מנות משא ומתן, הפעל מצב אגרסיבי:

פֶּתֶק
יש להימנע ממצב אגרסיבי של IKE עם מפתחות משותפים מראש בכל מקום אפשרי. אחרת יש לבחור מפתח משותף חזק מראש.

• vEdge(config)# ממשק vpn vpn-id ipsec number ike
• vEdge(config-ike) מצב # אגרסיבי

כברירת מחדל, IKEv1 משתמש בקבוצת Diffie-Hellman 16 בבורסת המפתחות של IKE. קבוצה זו משתמשת בקבוצת 4096 סיביות יותר מודולרית אקספוננציאלית (MODP) במהלך החלפת מפתחות IKE. אתה יכול לשנות את מספר הקבוצה ל-2 (עבור 1024 סיביות MODP), 14 (2048 סיביות MODP), או 15 (3072 סיביות MODP):

• vEdge(config)# ממשק vpn vpn-id ipsec number ike
• מספר קבוצה vEdge(config-ike)#

כברירת מחדל, חילופי מפתחות IKE משתמשת בהצפנת CBC סטנדרטית AES-256 מתקדמת עם אלגוריתם קוד אימות הודעות HMAC-SHA1 המפתחות-hash עבור שלמות. אתה יכול לשנות את האימות:

• vEdge(config)# ממשק vpn vpn-id ipsec number ike
• vEdge(config-ike) # חבילת צופן

חבילת האימות יכולה להיות אחת מהאפשרויות הבאות:

• aes128-cbc-sha1—הצפנה מתקדמת של AES-128 סטנדרטית CBC עם אלגוריתם קוד אימות הודעות HMAC-SHA1 עם מפתח-hash עבור שלמות
• aes128-cbc-sha2—הצפנה מתקדמת של AES-128 סטנדרטית CBC עם אלגוריתם קוד אימות הודעות HMAC-SHA256 עם מפתח-hash עבור שלמות
• aes256-cbc-sha1—הצפנה מתקדמת של AES-256 בתקן CBC עם אלגוריתם קוד אימות הודעות HMAC-SHA1 עם מפתח-hash עבור שלמות; זוהי ברירת המחדל.
• aes256-cbc-sha2—הצפנה מתקדמת של AES-256 סטנדרטית CBC עם אלגוריתם קוד אימות הודעות HMAC-SHA256 עם מפתח-hash עבור שלמות

כברירת מחדל, מפתחות IKE מתרעננים כל שעה (1 שניות). אתה יכול לשנות את מרווח המפתח מחדש לערך שבין 3600 שניות ל-30 ימים (14 שניות). מומלץ כי מרווח הקידוד החוזר יהיה לפחות שעה אחת.

• vEdge(config)# vpn vpn-id interface ipsec number like
• vEdge(config-ike)# שניות מפתח מחדש

כדי לאלץ יצירת מפתחות חדשים עבור הפעלת IKE, הפק את הפקודה request ipsec ike-rekey.

• vEdge(config)# vpn vpn-id interfaceipsec number ike

עבור IKE, אתה יכול גם להגדיר אימות מפתח משותף מראש (PSK):

• vEdge(config)# ממשק vpn vpn-id ipsec number ike
• vEdge(config-ike)# סוג אימות pre-shared-key pre-shared-secret password סיסמה היא הסיסמה לשימוש עם המפתח המשותף מראש. זה יכול להיות ASCII או מחרוזת הקסדצימלית באורך של 1 עד 127 תווים.

אם עמית IKE המרוחק דורש מזהה מקומי או מרוחק, תוכל להגדיר את המזהה הזה:

• vEdge(config)# vpn vpn-id interface ipsec number ike authentication-type
• vEdge(config-authentication-type)# מזהה מקומי
• vEdge(config-authentication-type)# מזהה מרחוק

המזהה יכול להיות כתובת IP או כל מחרוזת טקסט באורך של 1 עד 63 תווים. כברירת מחדל, המזהה המקומי הוא כתובת ה-IP המקור של המנהרה והמזהה המרוחק הוא כתובת ה-IP של היעד של המנהרה.

הפעל את IKE גרסה 2
כאשר אתה מגדיר מנהרת IPsec לשימוש ב-IKE גרסה 2, המאפיינים הבאים מופעלים כברירת מחדל עבור IKEv2:

• אימות והצפנה - AES-256 הצפנה מתקדמת בתקן CBC עם אלגוריתם קוד אימות הודעות HMAC-SHA1 המפתח Hash עבור שלמות
• מספר קבוצת דיפי-הלמן-16
• מרווח זמן של מפתח מחדש - 4 שעות

כברירת מחדל, IKEv2 משתמש בקבוצת Diffie-Hellman 16 בבורסת המפתחות של IKE. קבוצה זו משתמשת בקבוצת 4096 סיביות יותר מודולרית אקספוננציאלית (MODP) במהלך החלפת מפתחות IKE. אתה יכול לשנות את מספר הקבוצה ל-2 (עבור 1024 סיביות MODP), 14 (2048 סיביות MODP), או 15 (3072 סיביות MODP):

• vEdge(config)# ממשק vpn vpn-id ipsecnumber ike
• מספר קבוצה vEdge(config-ike)#

כברירת מחדל, חילופי מפתחות IKE משתמשת בהצפנת CBC סטנדרטית AES-256 מתקדמת עם אלגוריתם קוד אימות הודעות HMAC-SHA1 המפתחות-hash עבור שלמות. אתה יכול לשנות את האימות:

• vEdge(config)# ממשק vpn vpn-id ipsecnumber ike
• vEdge(config-ike) # חבילת צופן

חבילת האימות יכולה להיות אחת מהאפשרויות הבאות:

• aes128-cbc-sha1—הצפנה מתקדמת של AES-128 סטנדרטית CBC עם אלגוריתם קוד אימות הודעות HMAC-SHA1 עם מפתח-hash עבור שלמות
• aes128-cbc-sha2—הצפנה מתקדמת של AES-128 סטנדרטית CBC עם אלגוריתם קוד אימות הודעות HMAC-SHA256 עם מפתח-hash עבור שלמות
• aes256-cbc-sha1—הצפנה מתקדמת של AES-256 בתקן CBC עם אלגוריתם קוד אימות הודעות HMAC-SHA1 עם מפתח-hash עבור שלמות; זוהי ברירת המחדל.
• aes256-cbc-sha2—הצפנה מתקדמת של AES-256 סטנדרטית CBC עם אלגוריתם קוד אימות הודעות HMAC-SHA256 עם מפתח-hash עבור שלמות

כברירת מחדל, מפתחות IKE מתרעננים כל 4 שעות (14,400 שניות). אתה יכול לשנות את מרווח המפתח מחדש לערך שבין 30 שניות ל-14 ימים (1209600 שניות):

• vEdge(config)# ממשק vpn vpn-id ipsecnumber ike
• vEdge(config-ike)# שניות מפתח מחדש

כדי לאלץ יצירת מפתחות חדשים עבור הפעלת IKE, הפק את הפקודה request ipsec ike-rekey. עבור IKE, אתה יכול גם להגדיר אימות מפתח משותף מראש (PSK):

• vEdge(config)# ממשק vpn vpn-id ipsecnumber ike
• vEdge(config-ike)# סוג אימות pre-shared-key pre-shared-secret password סיסמה היא הסיסמה לשימוש עם המפתח המשותף מראש. זה יכול להיות ASCII או מחרוזת הקסדצימלית, או שזה יכול להיות מפתח מוצפן AES. אם עמית IKE המרוחק דורש מזהה מקומי או מרוחק, תוכל להגדיר את המזהה הזה:
• vEdge(config)# vpn vpn-id interface ipsecnumber ike Authentication-type
• vEdge(config-authentication-type)# מזהה מקומי
• vEdge(config-authentication-type)# מזהה מרחוק

המזהה יכול להיות כתובת IP או כל מחרוזת טקסט באורך של 1 עד 64 תווים. כברירת מחדל, המזהה המקומי הוא כתובת ה-IP המקור של המנהרה והמזהה המרוחק הוא כתובת ה-IP של היעד של המנהרה.

הגדר פרמטרים של מנהרת IPsec

טבלה 4: היסטוריית תכונות

תכונה שֵׁם	מידע על שחרור	תֵאוּר
קריפטוגרפיה נוספת	Cisco SD-WAN מהדורה 20.1.1	תכונה זו מוסיפה תמיכה עבור
תמיכה אלגוריתמית עבור IPSec		HMAC_SHA256, HMAC_SHA384, ו
מנהרות		אלגוריתמים HMAC_SHA512 עבור
		אבטחה משופרת.

כברירת מחדל, הפרמטרים הבאים משמשים במנהרת IPsec הנושאת תעבורת IKE:

• אימות והצפנה - אלגוריתם AES-256 ב-GCM (מצב גלוי/מונה)
• מרווח מפתח מחדש - 4 שעות
• חלון הפעלה חוזרת - 32 מנות

אתה יכול לשנות את ההצפנה במנהרת IPsec לצופן AES-256 ב-CBC (מצב שרשור בלוק צופן, כאשר HMAC משתמש באימות הודעות SHA-1 או SHA-2 עם מפתח-hash או ל-null עם HMAC באמצעות SHA-1 או אימות הודעות SHA-2 keyed-hash, כדי לא להצפין את מנהרת ה-IPsec המשמשת לתעבורת חילופי מפתחות IKE:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1n | aes256-null-sha256n | | aes256-null-sha384 | aes256-null-sha512)

כברירת מחדל, מפתחות IKE מתרעננים כל 4 שעות (14,400 שניות). אתה יכול לשנות את מרווח המפתח מחדש לערך שבין 30 שניות ל-14 ימים (1209600 שניות):

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# שניות מפתח מחדש

כדי לאלץ יצירת מפתחות חדשים עבור מנהרת IPsec, הפק את הפקודה request ipsec ipsec-rekey. כברירת מחדל, סודיות קדימה מושלמת (PFS) מופעלת במנהרות IPsec, כדי להבטיח שהפעלות קודמות לא יושפעו אם מפתחות עתידיים נפגעים. PFS מאלץ החלפת מפתחות חדשה של Diffie-Hellman, כברירת מחדל באמצעות קבוצת המודולים הראשיים של Diffie-Hellman של 4096 סיביות. אתה יכול לשנות את הגדרת ה-PFS:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

הגדרת pfs יכולה להיות אחת מהאפשרויות הבאות:

• group-2—השתמש בקבוצת מודלוס ראשי של Diffie-Hellman של 1024 סיביות.
• group-14—השתמש בקבוצת מודלוס ראשי של Diffie-Hellman של 2048 סיביות.
• group-15—השתמש בקבוצת מודלוס ראשי של Diffie-Hellman של 3072 סיביות.
• group-16—השתמש בקבוצת המודולוס העיקרי של Diffie-Hellman של 4096 סיביות. זוהי ברירת המחדל.
• none - השבת PFS.

כברירת מחדל, חלון ההשמעה החוזרת של IPsec במנהרת IPsec הוא 512 בתים. אתה יכול להגדיר את גודל חלון השידור החוזר ל-64, 128, 256, 512, 1024, 2048 או 4096 מנות:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# מספר חלון חוזר

שנה IKE Dead-Peer Detection

IKE משתמש במנגנון זיהוי מתים של עמיתים כדי לקבוע אם החיבור לעמית IKE פונקציונלי וניתן להגיע אליו. כדי ליישם מנגנון זה, IKE שולח חבילת Hello לעמיתו, והעמית שולח אישור בתגובה. כברירת מחדל, IKE שולח מנות Hello כל 10 שניות, ולאחר שלוש מנות לא מאושרות, IKE מכריז על השכן כמת ומוריד את המנהרה לעמית. לאחר מכן, IKE שולח מעת לעת חבילת Hello לעמית, ומקים מחדש את המנהרה כשהעמית חוזר לאינטרנט. אתה יכול לשנות את מרווח זיהוי החיים לערך מ-0 עד 65535, ותוכל לשנות את מספר הניסיונות החוזרים לערך מ-0 עד 255.

פֶּתֶק

עבור VPNs לתחבורה, מרווח זיהוי החיים מומר לשניות באמצעות הנוסחה הבאה: מרווח לניסיון שידור חוזר מספר N = מרווח * 1.8N-1לדוגמהample, אם המרווח מוגדר ל-10 ומנסה שוב ל-5, מרווח הזיהוי גדל באופן הבא:

• ניסיון 1: 10 * 1.81-1= 10 שניות
• לְנַסוֹת 2: 10 * 1.82-1= 18 שניות
• לְנַסוֹת 3: 10 * 1.83-1= 32.4 שניות
• לְנַסוֹת 4: 10 * 1.84-1= 58.32 שניות
• לְנַסוֹת 5: 10 * 1.85-1= 104.976 שניות

vEdge(config-interface-ipsecnumber)# מספר מרווח חוזר של זיהוי עמיתים מתים

הגדר מאפייני ממשק אחרים

עבור ממשקי מנהרת IPsec, תוכל להגדיר רק את מאפייני הממשק הנוספים הבאים:

• vEdge(config-interface-ipsec)# mtu bytes
• vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

השבת אלגוריתמי הצפנת SSH חלשים ב-Cisco SD-WAN Manager

טבלה 5: טבלת היסטוריית תכונות

תכונה שֵׁם	מידע על שחרור	תכונה תֵאוּר
השבת אלגוריתמי הצפנת SSH חלשים ב-Cisco SD-WAN Manager	מהדורת Cisco vManage 20.9.1	תכונה זו מאפשרת לך להשבית אלגוריתמי SSH חלשים יותר ב-Cisco SD-WAN Manager שעשויים שלא לעמוד בתקני אבטחת נתונים מסוימים.

מידע על השבתת אלגוריתמי הצפנת SSH חלשים ב-Cisco SD-WAN Manager
Cisco SD-WAN Manager מספק לקוח SSH לתקשורת עם רכיבים ברשת, כולל בקרים והתקני קצה. לקוח SSH מספק חיבור מוצפן להעברת נתונים מאובטחת, המבוסס על מגוון אלגוריתמי הצפנה. ארגונים רבים דורשים הצפנה חזקה יותר מזו המסופקת על ידי SHA-1, AES-128 ו-AES-192. מתוך Cisco vManage Release 20.9.1, אתה יכול להשבית את אלגוריתמי ההצפנה החלשים הבאים כך שלקוח SSH לא ישתמש באלגוריתמים אלה:

• SHA-1
• AES-128
• AES-192

לפני השבתת אלגוריתמי ההצפנה הללו, ודא שהתקני Cisco vEdge, אם קיימים, ברשת, משתמשים במהדורת תוכנה מאוחרת מגרסה 18.4.6 של Cisco SD-WAN.

היתרונות של השבתת אלגוריתמי הצפנת SSH חלשים ב-Cisco SD-WAN Manager
השבתת אלגוריתמי הצפנת SSH חלשים יותר משפרת את האבטחה של תקשורת SSH, ומבטיחה שארגונים המשתמשים ב-Cisco Catalyst SD-WAN עומדים בתקנות אבטחה מחמירות.

השבת אלגוריתמי הצפנת SSH חלשים ב-Cisco SD-WAN Manager באמצעות CLI

1. מתפריט Cisco SD-WAN Manager, בחר כלים > מסוף SSH.
2. בחר את התקן Cisco SD-WAN Manager שבו ברצונך להשבית אלגוריתמי SSH חלשים יותר.
3. הזן את שם המשתמש והסיסמה כדי להיכנס למכשיר.
4. היכנס למצב שרת SSH.
   • מערכת vmanage(config)#
   • vmanage(config-system)# ssh-server
5. בצע אחת מהפעולות הבאות כדי להשבית אלגוריתם הצפנת SSH:
   • השבת את SHA-1:
6. manage(config-ssh-server)# ללא kex-algo sha1
7. manage(config-ssh-server)# commit
   הודעת האזהרה הבאה מוצגת: האזהרות הבאות נוצרו: 'system ssh-server kex-algo sha1': אזהרה: אנא ודא שכל הקצוות שלך מפעילים קוד בגרסה > 18.4.6 אשר מנהלת משא ומתן טוב יותר מ-SHA1 עם vManage. אחרת הקצוות האלה עלולים להיות לא מקוונים. להמשיך? [כן, לא] כן
   • ודא שבכל התקני Cisco vEdge ברשת פועלים Cisco SD-WAN מהדורה 18.4.6 ואילך והזן כן.
   • השבת את AES-128 ו-AES-192:
   • vmanage(config-ssh-server)# ללא צופן aes-128-192
   • vmanage(config-ssh-server)# commit
     הודעת האזהרה הבאה מוצגת:
     האזהרות הבאות נוצרו:
     'מערכת ssh-server cipher aes-128-192': אזהרה: אנא ודא שכל הקצוות שלך מפעילים קוד בגרסה > 18.4.6 אשר מנהלת משא ומתן טוב יותר מאשר AES-128-192 עם vManage. אחרת הקצוות האלה עלולים להיות לא מקוונים. להמשיך? [כן, לא] כן
   • ודא שבכל התקני Cisco vEdge ברשת פועלים Cisco SD-WAN מהדורה 18.4.6 ואילך והזן כן.

ודא שאלגוריתמי הצפנת SSH חלשים מושבתים ב-Cisco SD-WAN Manager באמצעות ה-CLI

1. מתפריט Cisco SD-WAN Manager, בחר כלים > מסוף SSH.
2. בחר את התקן Cisco SD-WAN Manager שברצונך לאמת.
3. הזן את שם המשתמש והסיסמה כדי להיכנס למכשיר.
4. הפעל את הפקודה הבאה: show running-config system ssh-server
5. אשר שהפלט מציג אחת או יותר מהפקודות המשביתות אלגוריתמי הצפנה חלשים יותר:
   • ללא צופן aes-128-192
   • אין kex-algo sha1

מסמכים / משאבים

CISCO SD-WAN הגדרת פרמטרי אבטחה [pdfמדריך למשתמש SD-WAN הגדרת פרמטרי אבטחה, SD-WAN, הגדרת פרמטרי אבטחה, פרמטרי אבטחה

הפניות

• מדריך למשתמש