Мазмұны жасыру
1 CISCO SD-WAN қауіпсіздік параметрлерін конфигурациялау
2 Қауіпсіздік параметрлерін конфигурациялаңыз
3 Басқару жазықтығының қауіпсіздік параметрлерін конфигурациялаңыз
4 Cisco SD-WAN менеджерінде DTLS теңшеңіз
5 Деректер жазықтығының қауіпсіздік параметрлерін конфигурациялаңыз
6 Рұқсат етілген аутентификация түрлерін конфигурациялаңыз
7 Қайта енгізу таймерін өзгертіңіз
8 Қайталауға қарсы терезенің өлшемін өзгертіңіз
9 IPsec статикалық маршрутын конфигурациялаңыз
10 IPsec туннель параметрлерін конфигурациялаңыз
11 IKE Dead-Peer Detection функциясын өзгерту
12 Басқа интерфейс сипаттарын конфигурациялаңыз
13 Cisco SD-WAN менеджеріндегі әлсіз SSH шифрлау алгоритмдерін өшіріңіз
14 Құжаттар / Ресурстар
14.1 Анықтамалар

CISCO-LOGO

CISCO SD-WAN қауіпсіздік параметрлерін конфигурациялау

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Қауіпсіздік параметрлерін конфигурациялаңыз

Ескерту

Жеңілдетуге және жүйелілікке қол жеткізу үшін Cisco SD-WAN шешімі Cisco Catalyst SD-WAN ретінде ребрендингке ие болды. Сонымен қатар, Cisco IOS XE SD-WAN шығарылымының 17.12.1a және Cisco Catalyst SD-WAN шығарылымының 20.12.1 нұсқасынан келесі құрамдас өзгерістер қолданылады: Cisco vManage - Cisco Catalyst SD-WAN менеджері, Cisco vAnalytics - SD-WAN Analytics, Cisco vBond - Cisco Catalyst SD-WAN Validator және Cisco vSmart - Cisco Catalyst SD-WAN контроллері. Құрамдас бренд атауының барлық өзгерістерінің толық тізімін алу үшін соңғы шығарылым жазбаларын қараңыз. Біз жаңа атауларға көшкен кезде бағдарламалық құрал өнімінің пайдаланушы интерфейсін жаңартуға кезең-кезеңімен қарауға байланысты құжаттама жинағында кейбір сәйкессіздіктер болуы мүмкін.

Бұл бөлім Cisco Catalyst SD-WAN қабаттастыру желісіндегі басқару жазықтығы мен деректер жазықтығы үшін қауіпсіздік параметрлерін өзгерту жолын сипаттайды.

  • Басқару жазықтығының қауіпсіздік параметрлерін конфигурациялау, қосулы
  • Деректер жазықтығы қауіпсіздік параметрлерін конфигурациялау, қосулы
  • IKE-қосылған IPsec туннельдерін конфигурациялау, қосулы
  • Cisco SD-WAN менеджеріндегі әлсіз SSH шифрлау алгоритмдерін өшіру, қосулы

Басқару жазықтығының қауіпсіздік параметрлерін конфигурациялаңыз

Әдепкі бойынша, басқару жазықтығы DTLS протоколын өзінің барлық туннельдерінде құпиялылықты қамтамасыз ететін протокол ретінде пайдаланады. DTLS UDP арқылы жұмыс істейді. Басқару жазықтығының қауіпсіздік протоколын TCP арқылы жұмыс істейтін TLS түріне өзгертуге болады. TLS пайдаланудың негізгі себебі, егер сіз Cisco SD-WAN контроллерін сервер деп санасаңыз, брандмауэр TCP серверлерін UDP серверлеріне қарағанда жақсырақ қорғайды. Сіз Cisco SD-WAN контроллерінде басқару жазықтығы туннелі протоколын конфигурациялайсыз: vSmart(config)# қауіпсіздікті басқару протоколы tls Осы өзгерту арқылы Cisco SD-WAN контроллері мен маршрутизаторлар арасындағы және Cisco SD-WAN контроллері арасындағы барлық басқару жазықтығы туннельдері және Cisco SD-WAN менеджері TLS пайдаланады. Cisco Catalyst SD-WAN Validator жүйесіне арналған басқару жазықтығы туннельдері әрқашан DTLS пайдаланады, себебі бұл қосылымдар UDP арқылы өңделуі керек. Бірнеше Cisco SD-WAN контроллері бар доменде Cisco SD-WAN контроллерінің бірінде TLS конфигурациялағанда, сол контроллерден басқа контроллерлерге дейінгі барлық басқару жазықтығы туннельдері TLS пайдаланады. Басқаша айтқанда, TLS әрқашан DTLS-тен басым болады. Дегенмен, басқа Cisco SD-WAN контроллерлерінің көзқарасы бойынша, егер сіз оларда TLS конфигурацияламаған болсаңыз, олар басқару жазықтығы туннелінде тек бір Cisco SD-WAN контроллеріне TLS пайдаланады, ал олар DTLS туннельдерін барлық басқаларына пайдаланады. Cisco SD-WAN контроллері және олардың барлық қосылған маршрутизаторлары. Барлық Cisco SD-WAN контроллері TLS пайдалануы үшін оны барлығында теңшеңіз. Әдепкі бойынша, Cisco SD-WAN контроллері TLS сұраулары үшін 23456 портында тыңдайды. Мұны өзгерту үшін: vSmart(config)# қауіпсіздікті басқару tls-порт нөмірі Порт 1025 пен 65535 аралығындағы сан болуы мүмкін. Басқару жазықтығы қауіпсіздік ақпаратын көрсету үшін Cisco SD-WAN контроллеріндегі басқару қосылымдарын көрсету пәрменін пайдаланыңыз. Мысалыample: vSmart-2# басқару қосылымдарын көрсетеді

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Cisco SD-WAN менеджерінде DTLS теңшеңіз

Cisco SD-WAN менеджерін TLS протоколын басқару жазықтығы қауіпсіздік протоколы ретінде пайдалану үшін конфигурацияласаңыз, NAT құрылғысында портты қайта жіберуді қосу керек. Егер сіз DTLS-ті басқару жазықтығының қауіпсіздік протоколы ретінде пайдалансаңыз, сізге ештеңе істеудің қажеті жоқ. Жіберілген порттардың саны Cisco SD-WAN менеджерінде іске қосылған vdaemon процестерінің санына байланысты. Осы процестер туралы және жіберілетін порттар саны туралы ақпаратты көрсету үшін басқару жиынын көрсету пәрменін пайдаланыңыз төрт демон процесі іске қосылғанын көрсетеді:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Тыңдау порттарын көру үшін жергілікті сипаттарды басқару пәрменін пайдаланыңыз: vManage# жергілікті сипаттарды басқаруды көрсету

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Бұл шығыс тыңдау TCP портының 23456 екенін көрсетеді. Егер сіз NAT артында Cisco SD-WAN менеджерін іске қосып жатсаңыз, NAT құрылғысында келесі порттарды ашуыңыз керек:

  • 23456 (негізгі – данасы 0 порты)
  • 23456 + 100 (негізгі + 100)
  • 23456 + 200 (негізгі + 200)
  • 23456 + 300 (негізгі + 300)

Даналардың саны Cisco SD-WAN менеджері үшін тағайындалған өзектер санымен бірдей, ең көбі 8-ге дейін екенін ескеріңіз.

Қауіпсіздік мүмкіндігі үлгісін пайдаланып қауіпсіздік параметрлерін конфигурациялаңыз

Барлық Cisco vEdge құрылғылары үшін қауіпсіздік мүмкіндігі үлгісін пайдаланыңыз. Шеткі маршрутизаторларда және Cisco SD-WAN Validator құрылғысында деректер жазықтығы қауіпсіздігі үшін IPsec конфигурациялау үшін осы үлгіні пайдаланыңыз. Cisco SD-WAN менеджерінде және Cisco SD-WAN контроллерінде басқару жазықтығы қауіпсіздігі үшін DTLS немесе TLS конфигурациялау үшін Қауіпсіздік мүмкіндігі үлгісін пайдаланыңыз.

Қауіпсіздік параметрлерін конфигурациялаңыз

  1. Cisco SD-WAN менеджері мәзірінен Конфигурация > Үлгілер тармағын таңдаңыз.
  2. Мүмкіндік үлгілері түймешігін басып, Үлгі қосу түймешігін басыңыз.
    Ескерту Cisco vManage Release 20.7.1 және одан бұрынғы шығарылымдарында мүмкіндік үлгілері мүмкіндік деп аталады.
  3. Сол жақ аумақтағы Құрылғылар тізімінен құрылғыны таңдаңыз. Таңдалған құрылғыға қолданылатын үлгілер оң жақ тақтада пайда болады.
  4. Үлгіні ашу үшін Қауіпсіздік түймесін басыңыз.
  5. Үлгі атауы өрісінде үлгінің атын енгізіңіз. Атау 128 таңбаға дейін болуы мүмкін және тек әріптік-сандық таңбаларды қамтуы мүмкін.
  6. Үлгі сипаттамасы өрісіне үлгінің сипаттамасын енгізіңіз. Сипаттама 2048 таңбаға дейін болуы мүмкін және тек әріптік-сандық таңбаларды қамтуы мүмкін.

Мүмкіндік үлгісін алғаш ашқанда, әдепкі мәні бар әрбір параметр үшін аумақ Әдепкіге орнатылады (құсбелгі арқылы көрсетіледі) және әдепкі параметр немесе мән көрсетіледі. Әдепкі мәнді өзгерту немесе мәнді енгізу үшін параметр өрісінің сол жағындағы аумақ ашылмалы мәзірін басып, келесілердің бірін таңдаңыз:

1-кесте:

Параметр Қолдану аясы Ауқым сипаттамасы
Арнайы құрылғы (хост белгішесі арқылы көрсетіледі) Параметр үшін құрылғыға тән мәнді пайдаланыңыз. Құрылғыға тән параметрлер үшін мүмкіндік үлгісіне мән енгізе алмайсыз. Viptela құрылғысын құрылғы үлгісіне тіркеген кезде мәнді енгізесіз.

«Құрылғыға тән» түймешігін басқан кезде Enter Key жолағы ашылады. Бұл өріс CSV файлындағы параметрді анықтайтын бірегей жол болып табылатын кілтті көрсетеді file сіз жасайтын. Бұл file әрбір кілт үшін бір бағанды ​​қамтитын Excel электрондық кестесі. Тақырып жолында кілт атаулары бар (әр бағанға бір кілт) және одан кейінгі әрбір жол құрылғыға сәйкес келеді және сол құрылғы үшін пернелердің мәндерін анықтайды. Сіз CSV жүктеп салыңыз file Viptela құрылғысын құрылғы үлгісіне тіркегенде. Қосымша ақпарат алу үшін Үлгі айнымалылар электрондық кестесін жасау бөлімін қараңыз.

Әдепкі кілтті өзгерту үшін жаңа жолды теріп, курсорды Enter Key жолағынан жылжытыңыз.

Exampқұрылғының арнайы параметрлері жүйенің IP мекенжайы, хост атауы, GPS орны және сайт идентификаторы болып табылады.
Параметр Қолдану аясы Ауқым сипаттамасы
Ғаламдық (глобус белгішесі арқылы көрсетілген) Параметр үшін мән енгізіп, сол мәнді барлық құрылғыларға қолданыңыз.

ExampҚұрылғылар тобына ғаламдық түрде қолдануға болатын параметрлер: DNS сервері, жүйе сервері және интерфейс MTU.

Басқару жазықтығының қауіпсіздігін конфигурациялаңыз

Ескерту
Басқару жазықтығының қауіпсіздігін конфигурациялау бөлімі тек Cisco SD-WAN менеджеріне және Cisco SD-WAN контроллеріне қолданылады. Cisco SD-WAN менеджері данасында немесе Cisco SD-WAN контроллерінде басқару жазықтығы қосылым протоколын конфигурациялау үшін Негізгі конфигурация аймағын таңдаңыз. және келесі параметрлерді конфигурациялаңыз:

2-кесте:

Параметр Аты Сипаттама
Протокол Cisco SD-WAN контроллеріне басқару жазықтығы қосылымдарында қолданылатын протоколды таңдаңыз:

• DTLS (Datagram Transport Layer Security). Бұл әдепкі.

•  TLS (тасымалдау деңгейінің қауіпсіздігі)
TLS портын басқару TLS таңдасаңыз, келесі порт нөмірін конфигурациялаңыз:Ауқым: 1025 пен 65535Әдепкі: 23456

Сақтау түймесін басыңыз

Деректер жазықтығы қауіпсіздігін конфигурациялаңыз
Cisco SD-WAN Validator немесе Cisco vEdge маршрутизаторында деректер жазықтығы қауіпсіздігін конфигурациялау үшін Негізгі конфигурация және аутентификация түрі қойындыларын таңдап, келесі параметрлерді конфигурациялаңыз:

3-кесте:

Параметр Аты Сипаттама
Қайталау уақыты Cisco vEdge маршрутизаторының Cisco SD-WAN контроллеріне қауіпсіз DTLS қосылымында пайдаланылатын AES кілтін қаншалықты жиі өзгертетінін көрсетіңіз. Егер OMP керемет қайта іске қосу қосылса, қайта қосу уақыты OMP керемет қайта іске қосу таймерінің мәнінен кемінде екі есе болуы керек.Ауқым: 10-нан 1209600 секундқа дейін (14 күн)Әдепкі: 86400 секунд (24 сағат)
Қайталау терезесі Жылжымалы қайталау терезесінің өлшемін көрсетіңіз.

Мәндер: 64, 128, 256, 512, 1024, 2048, 4096, 8192 пакеттерӘдепкі: 512 пакет
IPsec

жұптық кілттеу

 Бұл әдепкі бойынша өшірілген. басыңыз On оны қосу үшін.
Параметр Аты Сипаттама
Аутентификация түрі ішінен аутентификация түрлерін таңдаңыз Аутентификация Тізім, және аутентификация түрлерін келесіге жылжыту үшін оң жақ көрсеткіні басыңыз Таңдалған тізім баған.

Cisco SD-WAN 20.6.1 шығарылымында қолдау көрсетілетін аутентификация түрлері:

•  атап айтқанда: ESP тақырыбындағы Encapsulating Security Payload (ESP) шифрлауын және тұтастығын тексеруді қосады.

•  ip-udp-esp: ESP шифрлауын қосады. ESP тақырыбы мен пайдалы жүктемедегі тұтастық тексерулерінен басқа, тексерулерге сыртқы IP және UDP тақырыптары да кіреді.

•  ip-udp-esp-no-id: Cisco Catalyst SD-WAN жүйесі Cisco емес құрылғылармен бірге жұмыс істей алатындай IP тақырыбындағы ID өрісін елемейді.

•  жоқ: IPSec пакеттерінде тұтастықты тексеруді өшіреді. Біз бұл опцияны пайдалануды ұсынбаймыз.

 

Cisco SD-WAN Release 20.5.1 және одан бұрынғы нұсқаларында қолдау көрсетілетін аутентификация түрлері:

•  а-жоқ-идентификатор: пакеттің сыртқы IP тақырыбындағы идентификатор өрісін елемейтін AH-SHA1 HMAC және ESP HMAC-SHA1 кеңейтілген нұсқасын қосыңыз.

•  ah-sha1-hmac: AH-SHA1 HMAC және ESP HMAC-SHA1 қосыңыз.

•  жоқ: Аутентификация жоқ параметрін таңдаңыз.

•  sha1-hmac: ESP HMAC-SHA1 қосыңыз.

 

Ескерту              Cisco SD-WAN Release 20.5.1 немесе одан бұрынғы нұсқасында жұмыс істейтін шеткі құрылғы үшін сіз аутентификация түрлерін конфигурациялаған болуыңыз мүмкін. Қауіпсіздік шаблон. Құрылғыны Cisco SD-WAN Release 20.6.1 немесе одан кейінгі нұсқасына жаңартқанда, таңдалған аутентификация түрлерін жаңартыңыз. Қауіпсіздік Cisco SD-WAN 20.6.1 шығарылымынан қолдау көрсетілетін аутентификация түрлеріне үлгі. Аутентификация түрлерін жаңарту үшін келесі әрекеттерді орындаңыз:

1.      Cisco SD-WAN менеджері мәзірінен таңдаңыз Конфигурация >

Үлгілер.

2.      басыңыз Мүмкіндік үлгілері.

3.      табыңыз Қауіпсіздік жаңарту үшін үлгіні таңдап, … түймесін басып, басыңыз Өңдеу.

4.      басыңыз Жаңарту. Ешбір конфигурацияны өзгертпеңіз.

Cisco SD-WAN менеджері жаңартады Қауіпсіздік қолдау көрсетілетін аутентификация түрлерін көрсету үшін үлгі.

Сақтау түймесін басыңыз.

Деректер жазықтығының қауіпсіздік параметрлерін конфигурациялаңыз

Деректер жазықтығында IPsec әдепкі бойынша барлық маршрутизаторларда қосылады және әдепкі бойынша IPsec туннель қосылымдары IPsec туннельдеріндегі аутентификация үшін Encapsulating Security Payload (ESP) протоколының жақсартылған нұсқасын пайдаланады. Маршрутизаторларда аутентификация түрін, IPsec қайта енгізу таймерін және IPsec қайта ойнауға қарсы терезенің өлшемін өзгертуге болады.

Рұқсат етілген аутентификация түрлерін конфигурациялаңыз

Cisco SD-WAN 20.6.1 және одан кейінгі нұсқасындағы аутентификация түрлері
Cisco SD-WAN 20.6.1 шығарылымынан келесі тұтастық түрлеріне қолдау көрсетіледі:

  • esp: Бұл опция ESP тақырыбындағы Encapsulating Security Payload (ESP) шифрлауын және тұтастығын тексеруді қосады.
  • ip-udp-esp: Бұл опция ESP шифрлауын қосады. ESP тақырыбы мен пайдалы жүктемедегі тұтастық тексерулерінен басқа, тексерулерге сыртқы IP және UDP тақырыптары да кіреді.
  • ip-udp-esp-no-id: Бұл опция ip-udp-esp параметріне ұқсас, бірақ сыртқы IP тақырыбының ID өрісі еленбейді. Cisco Catalyst SD-WAN бағдарламалық құралы IP тақырыбындағы идентификатор өрісін елемейтін етіп, Cisco Catalyst SD-WAN Cisco емес құрылғылармен бірге жұмыс істей алатындай етіп тұтастық түрлерінің тізімінде осы опцияны конфигурациялаңыз.
  • none: Бұл опция IPSec пакеттерінде тұтастықты тексеруді өшіреді. Біз бұл опцияны пайдалануды ұсынбаймыз.

Әдепкі бойынша, IPsec туннель қосылымдары аутентификация үшін Encapsulating Security Payload (ESP) протоколының жақсартылған нұсқасын пайдаланады. Келісілген интеритет түрлерін өзгерту немесе тұтастықты тексеруді өшіру үшін келесі пәрменді пайдаланыңыз: тұтастық түрі { ешбір | ip-udp-esp | ip-udp-esp-no-id | esp}

Cisco SD-WAN шығарылымына дейінгі аутентификация түрлері 20.6.1
Әдепкі бойынша, IPsec туннель қосылымдары аутентификация үшін Encapsulating Security Payload (ESP) протоколының жақсартылған нұсқасын пайдаланады. Келісілген аутентификация түрлерін өзгерту немесе аутентификацияны өшіру үшін келесі пәрменді пайдаланыңыз: Device(config)# security ipsec аутентификация түрі (ah-sha1-hmac | ah-no-id | sha1-hmac | | жоқ) Әдепкі бойынша, IPsec туннель қосылымдары шифрлауды да, аутентификацияны да қамтамасыз ететін AES-GCM-256 пайдаланады. Әрбір аутентификация түрін жеке қауіпсіздік ipsec аутентификация түрі пәрменімен конфигурациялаңыз. Пәрмен опциялары ең күштіден ең күштіге қарай ретімен тізімделген келесі аутентификация түрлерімен салыстырылады:

Ескерту
Конфигурация опцияларындағы sha1 тарихи себептер бойынша пайдаланылады. Түпнұсқалық растама опциялары пакет тұтастығын тексерудің қаншалықты орындалғанын көрсетеді. Олар тұтастығын тексеретін алгоритмді көрсетпейді. Көп тарату трафикті шифрлауды қоспағанда, Cisco Catalyst SD WAN қолдайтын аутентификация алгоритмдері SHA1 қолданбайды. Дегенмен Cisco SD-WAN Release 20.1.x және одан кейінгі нұсқаларында бір және мультикаст екеуі де SHA1 қолданбайды.

  • ah-sha1-hmac ESP көмегімен шифрлау мен инкапсуляцияны қосады. Дегенмен, ESP тақырыбы мен пайдалы жүктемедегі тұтастық тексерулерінен басқа, тексерулерге сыртқы IP және UDP тақырыптары да кіреді. Демек, бұл опция аутентификация тақырыбы (AH) протоколына ұқсас пакеттің тұтастығын тексеруді қолдайды. Барлық тұтастық пен шифрлау AES-256-GCM көмегімен орындалады.
  • ah-no-id ah-sha1-hmac режиміне ұқсас режимді қосады, бірақ сыртқы IP тақырыбының ID өрісі еленбейді. Бұл опция IP тақырыбындағы ID өрісін өзгертуге әкелетін қатесі бар Apple AirPort Express NAT қоса алғанда, Cisco Catalyst емес SD-WAN құрылғыларын орналастырады, өзгермейтін өріс. Cisco Catalyst SD-WAN бағдарламалық құралы осы құрылғылармен бірге жұмыс істей алатындай етіп, Cisco Catalyst SD-WAN AH бағдарламалық құралы IP тақырыбындағы идентификатор өрісін елемеуі үшін аутентификация түрлерінің тізіміндегі ah-no-id опциясын конфигурациялаңыз.
  • sha1-hmac ESP шифрлауын және тұтастығын тексеруді қосады.
  • ешқайсысы аутентификацияға сәйкес келмейді. Бұл опцияны уақытша жөндеу үшін қажет болған жағдайда ғана пайдалану керек. Сондай-ақ, бұл опцияны деректер жазықтығының аутентификациясы мен тұтастығы алаңдатпайтын жағдайларда таңдауға болады. Cisco бұл опцияны өндірістік желілер үшін пайдалануды ұсынбайды.

Осы аутентификация түрлері қандай деректер пакеті өрістеріне әсер ететіні туралы ақпаратты Деректер жазықтығының тұтастығын қараңыз. Cisco IOS XE Catalyst SD-WAN құрылғылары және Cisco vEdge құрылғылары TLOC сипаттарында конфигурацияланған аутентификация түрлерін жарнамалайды. IPsec туннель қосылымының екі жағындағы екі маршрутизатор екі маршрутизаторда теңшелген ең күшті аутентификация түрін пайдаланып, олардың арасындағы қосылымда пайдалану үшін аутентификацияны келіседі. Мысалыample, егер бір маршрутизатор ah-sha1-hmac және ah-no-id түрлерін, ал екінші маршрутизатор ah-no-id түрін жарнамаласа, екі маршрутизатор IPsec туннель қосылымында ah-no-id пайдалану туралы келіссөздер жүргізеді. олар. Екі теңдесінде ортақ аутентификация түрлері конфигурацияланбаса, олардың арасында IPsec туннелі орнатылмайды. IPsec туннель қосылымдарындағы шифрлау алгоритмі трафик түріне байланысты:

  • Unicast трафик үшін шифрлау алгоритмі AES-256-GCM болып табылады.
  • Көп тарату трафигі үшін:
  • Cisco SD-WAN Release 20.1.x және одан кейінгі нұсқалары – шифрлау алгоритмі AES-256-GCM
  • Алдыңғы шығарылымдар – шифрлау алгоритмі SHA256-HMAC бар AES-1-CBC.

IPsec аутентификация түрі өзгертілгенде, деректер жолының AES кілті өзгереді.

Қайта енгізу таймерін өзгертіңіз

Cisco IOS XE Catalyst SD-WAN құрылғылары мен Cisco vEdge құрылғылары деректер трафигін алмас бұрын, олар арасында қауіпсіз аутентификацияланған байланыс арнасын орнатады. Маршрутизаторлар арна ретінде олардың арасындағы IPSec туннельдерін және шифрлауды орындау үшін AES-256 шифрін пайдаланады. Әрбір маршрутизатор өзінің деректер жолы үшін мерзімді түрде жаңа AES кілтін жасайды. Әдепкі бойынша, кілт 86400 секунд (24 сағат) ішінде жарамды және таймер ауқымы 10 секунд пен 1209600 секунд (14 күн) аралығында болады. Қайта кілт таймерінің мәнін өзгерту үшін: Device(config)# security ipsec rekey seconds Конфигурация келесідей көрінеді:

  • қауіпсіздік ipsec қайта кілт секунд!

Жаңа IPsec кілттерін дереу жасағыңыз келсе, оны маршрутизатордың конфигурациясын өзгертпей-ақ жасауға болады. Бұл әрекетті орындау үшін бұзылған маршрутизаторға сұрау қауіпсіздік ipsecrekey пәрменін беріңіз. Мысалыample, келесі шығыс жергілікті SA қауіпсіздік параметрінің индексі (SPI) 256 екенін көрсетеді:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Бірегей кілт әрбір SPI-мен байланысты. Егер бұл кілт бұзылса, жаңа кілтті дереу жасау үшін сұрау қауіпсіздігі ipsec-rekey пәрменін пайдаланыңыз. Бұл пәрмен SPI мәнін арттырады. Біздің бұрынғыample, SPI 257-ге өзгереді және онымен байланысты кілт енді пайдаланылады:

  • Құрылғы # қауіпсіздік ipsecrekey сұрауы
  • Құрылғы # ipsec local-sa көрсетеді

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Жаңа кілт жасалғаннан кейін маршрутизатор оны DTLS немесе TLS көмегімен дереу Cisco SD-WAN контроллеріне жібереді. Cisco SD-WAN контроллері кілтті тең маршрутизаторларға жібереді. Маршрутизаторлар оны алған бойда пайдалана бастайды. Ескі SPI-мен (256) байланысты кілт уақыт біткенше қысқа уақыт ішінде пайдаланыла беретінін ескеріңіз. Ескі кілтті пайдалануды дереу тоқтату үшін, сұраныс қауіпсіздігі ipsec-rekey пәрменін екі рет, жылдам орындаңыз. Бұл пәрмендер тізбегі SPI 256 және 257 екеуін де жояды және SPI мәнін 258-ге орнатады. Маршрутизатор содан кейін SPI 258 байланыстырылған кілтін пайдаланады. Дегенмен, барлық қашықтағы маршрутизаторлар үйренгенше кейбір пакеттер қысқа уақыт кезеңіне жойылатынын ескеріңіз. жаңа кілт.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Қайталауға қарсы терезенің өлшемін өзгертіңіз

IPsec аутентификациясы деректер ағынындағы әрбір пакетке бірегей реттік нөмірді тағайындау арқылы қайта ойнауға қарсы қорғауды қамтамасыз етеді. Бұл реттілік нөмірлеу деректер пакеттерін көшіретін шабуылдаушыдан қорғайды. Қайта ойнауға қарсы қорғаныспен жіберуші монотонды түрде өсетін реттік нөмірлерді тағайындайды, ал тағайындалған орын көшірмелерді анықтау үшін осы реттік нөмірлерді тексереді. Пакеттер жиі ретімен келмейтіндіктен, тағайындалған орын өзі қабылдайтын реттік нөмірлердің жылжымалы терезесін сақтайды.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Жылжымалы терезе ауқымының сол жағына түсетін реттік нөмірлері бар пакеттер ескі немесе көшірме болып саналады және тағайындалған орын оларды тастайды. Тағайындалған орын алған ең жоғары реттік нөмірді қадағалайды және мәні жоғары пакетті алған кезде жылжымалы терезені реттейді.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Әдепкі бойынша жылжымалы терезе 512 пакетке орнатылған. Оны 64 және 4096 арасындағы кез келген мәнге орнатуға болады, яғни 2 дәрежесі (яғни, 64, 128, 256, 512, 1024, 2048 немесе 4096). Қайталауға қарсы терезе өлшемін өзгерту үшін терезе өлшемін көрсете отырып, replay-window пәрменін пайдаланыңыз:

Device(config)# қауіпсіздік ipsec қайта ойнату терезесінің нөмірі

Конфигурация келесідей көрінеді:
қауіпсіздік ipsec қайталау терезесінің нөмірі! !

QoS-ке көмектесу үшін алғашқы сегіз трафик арнасының әрқайсысы үшін бөлек қайта ойнату терезелері сақталады. Конфигурацияланған қайта ойнату терезесінің өлшемі әр арна үшін сегізге бөлінеді. Маршрутизаторда QoS конфигурацияланса, бұл маршрутизатор IPsec қайта ойнауға қарсы механизмінің нәтижесінде күтілгеннен көп пакеттердің түсуіне ұшырауы мүмкін және түсірілген пакеттердің көпшілігі заңды болып табылады. Бұл QoS пакеттердің ретін өзгертіп, басымдылығы жоғары пакеттерге артықшылықты режим беріп, төмен басымдылықтағы пакеттерді кешіктіретіндіктен орын алады. Бұл жағдайды азайту немесе болдырмау үшін келесі әрекеттерді орындауға болады:

  • Қайталауға қарсы терезенің өлшемін үлкейтіңіз.
  • Арна ішіндегі трафик қайта реттелмейтініне көз жеткізу үшін алғашқы сегіз трафик арнасына инженерлік трафик.

IKE қосылған IPsec туннельдерін конфигурациялаңыз
Трафикті қабаттас желіден қызмет көрсету желісіне қауіпсіз тасымалдау үшін Internet Key Exchange (IKE) протоколын іске қосатын IPsec туннельдерін конфигурациялауға болады. IKE қосылған IPsec туннельдері пакеттерді қауіпсіз тасымалдауды қамтамасыз ету үшін аутентификация мен шифрлауды қамтамасыз етеді. IPsec интерфейсін конфигурациялау арқылы IKE қосылған IPsec туннелін жасайсыз. IPsec интерфейстері логикалық интерфейстер болып табылады және сіз оларды кез келген басқа физикалық интерфейс сияқты конфигурациялайсыз. IKE протоколының параметрлерін IPsec интерфейсінде конфигурациялайсыз және басқа интерфейс сипаттарын теңшей аласыз.

Ескерту Cisco IKE 2-нұсқасын пайдалануды ұсынады. Cisco SD-WAN 19.2.x шығарылымынан бастап, алдын ала ортақ кілттің ұзындығы кемінде 16 байт болуы керек. Маршрутизатор 16 нұсқасына жаңартылған кезде кілт өлшемі 19.2 таңбадан аз болса, IPsec туннелін орнату сәтсіз аяқталады.

Ескерту
Cisco Catalyst SD-WAN бағдарламалық құралы RFC 2 стандартында анықталғандай IKE 7296 нұсқасын қолдайды. IPsec туннельдерін пайдаланудың бірі Amazon AWS жүйесінде жұмыс істейтін vEdge Cloud маршрутизаторының VM даналарына Amazon виртуалды жеке бұлтына (VPC) қосылуға рұқсат беру болып табылады. Осы маршрутизаторларда IKE 1 нұсқасын конфигурациялау керек. Cisco vEdge құрылғылары IPSec конфигурациясында тек маршрутқа негізделген VPN-ді қолдайды, себебі бұл құрылғылар шифрлау доменіндегі трафик селекторларын анықтай алмайды.

IPsec туннелін конфигурациялаңыз
Қызметтік желіден қауіпсіз тасымалдау трафигі үшін IPsec туннель интерфейсін конфигурациялау үшін логикалық IPsec интерфейсін жасайсыз:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

IPsec туннелін VPN транспортында (VPN 0) және кез келген VPN қызметінде (1-ден басқа VPN 65530 мен 512) жасауға болады. IPsec интерфейсінің ipsecnumber пішіміндегі атауы бар, онда нөмір 1-ден 255-ке дейін болуы мүмкін. Әрбір IPsec интерфейсінде IPv4 мекенжайы болуы керек. Бұл мекенжай /30 префиксі болуы керек. Осы IPv4 префиксіндегі VPN ішіндегі барлық трафик IPsec туннелі арқылы қауіпсіз жіберілу үшін VPN 0 жүйесіндегі физикалық интерфейске бағытталған. Жергілікті құрылғыдағы IPsec туннелінің көзін конфигурациялау үшін IP мекенжайын көрсетуге болады. физикалық интерфейс (туннель-көз пәрменінде) немесе физикалық интерфейстің атауы (tunnel-source-interface пәрменінде). Физикалық интерфейс VPN 0 жүйесінде конфигурацияланғанына көз жеткізіңіз. IPsec туннелінің тағайындалған орнын конфигурациялау үшін tunnel-destination пәрменінде қашықтағы құрылғының IP мекенжайын көрсетіңіз. Бастапқы мекенжай (немесе бастапқы интерфейс атауы) мен тағайындалған мекенжайдың тіркесімі жалғыз IPsec туннелін анықтайды. Арнайы бастапқы мекенжайды (немесе интерфейс атауын) және тағайындалған мекенжай жұбын пайдаланатын тек бір IPsec туннелі болуы мүмкін.

IPsec статикалық маршрутын конфигурациялаңыз

VPN қызметінен трафикті VPN (VPN 0) транспортындағы IPsec туннеліне бағыттау үшін VPN қызметіндегі IPsec-арнайы статикалық маршрутты конфигурациялайсыз (VPN 0 немесе VPN 512-ден басқа VPN):

  • vEdge(config)# vpn vpn-идентификаторы
  • vEdge(config-vpn)# ip ipsec-бағыт префиксі/ұзындығы vpn 0 интерфейсі
  • ipsecnumber [ipsecnumber2]

VPN идентификаторы кез келген VPN қызметінің (1-ден басқа VPN 65530-ден 512-ға дейін) болып табылады. префикс/ұзындық - ондық төрт бөліктен тұратын нүктелік белгілеудегі IP мекенжайы немесе префикс және IPsec арнайы статикалық маршрутының префикс ұзындығы. Интерфейс VPN 0 жүйесіндегі IPsec туннель интерфейсі болып табылады. Бір немесе екі IPsec туннель интерфейсін конфигурациялауға болады. Егер екеуін теңшесеңіз, біріншісі - негізгі IPsec туннелі, екіншісі - сақтық көшірме. Екі интерфейспен барлық пакеттер тек бастапқы туннельге жіберіледі. Егер бұл туннель сәтсіз болса, барлық пакеттер екінші туннельге жіберіледі. Бастапқы туннель қайта көтерілсе, барлық трафик бастапқы IPsec туннельіне қайта жылжытылады.

IKE 1 нұсқасын қосыңыз
vEdge маршрутизаторында IPsec туннелін жасаған кезде IKE 1 нұсқасы туннель интерфейсінде әдепкі бойынша қосылады. Келесі сипаттар да IKEv1 үшін әдепкі бойынша қосылады:

  • Түпнұсқалық растау және шифрлау — тұтастық үшін HMAC-SHA256 кілтті хэштік хабарламаның аутентификация кодының алгоритмі бар AES-1 кеңейтілген шифрлау стандарты CBC шифрлау
  • Диффи-Хеллман тобының нөмірі — 16
  • Қайта енгізу уақыт аралығы — 4 сағат
  • SA орнату режимі — Негізгі

Әдепкі бойынша, IKEv1 IKE SA орнату үшін IKE негізгі режимін пайдаланады. Бұл режимде SA құру үшін алты келіссөздер пакеті алмасады. Тек үш келіссөз пакетін алмасу үшін агрессивті режимді қосыңыз:

Ескерту
Мүмкіндігінше алдын ала ортақ кілттері бар IKE агрессивті режимінен аулақ болу керек. Әйтпесе, күшті алдын ала ортақ кілтті таңдау керек.

  • vEdge(config)# vpn vpn-id интерфейсі ipsec нөмірі
  • vEdge(config-ike)# режимі агрессивті

Әдепкі бойынша, IKEv1 IKE кілт алмасуында Diffie-Hellman 16 тобын пайдаланады. Бұл топ IKE кілт алмасуы кезінде 4096-биттік модульдік экспоненциалды (MODP) топты пайдаланады. Топ нөмірін 2 (1024 биттік MODP үшін), 14 (2048 биттік MODP) немесе 15 (3072 бит MODP) етіп өзгертуге болады:

  • vEdge(config)# vpn vpn-id интерфейсі ipsec нөмірі
  • vEdge(config-ike)# топ нөмірі

Әдепкі бойынша, IKE кілт алмасуы AES-256 кеңейтілген шифрлау стандарты CBC шифрлауын тұтастық үшін HMAC-SHA1 кілтті хэш хабарының аутентификация кодының алгоритмімен пайдаланады. Аутентификацияны өзгертуге болады:

  • vEdge(config)# vpn vpn-id интерфейсі ipsec нөмірі
  • vEdge(config-ike)# шифрлар жинағы

Аутентификация жинағы келесілердің бірі болуы мүмкін:

  • aes128-cbc-sha1—AES-128 кеңейтілген шифрлау стандарты CBC шифрлауы HMAC-SHA1 кілттелген хэштік хабарламаның түпнұсқалық кодының тұтастығы үшін алгоритмі
  • aes128-cbc-sha2—AES-128 кеңейтілген шифрлау стандарты CBC шифрлауы HMAC-SHA256 кілттелген хэштік хабарламаның түпнұсқалық кодының тұтастығы үшін алгоритмі
  • aes256-cbc-sha1—AES-256 кеңейтілген шифрлау стандарты тұтастық үшін HMAC-SHA1 кілттелген хэш хабарының аутентификация кодының алгоритмімен CBC шифрлауы; бұл әдепкі.
  • aes256-cbc-sha2—AES-256 кеңейтілген шифрлау стандарты CBC шифрлауы HMAC-SHA256 кілттелген хэштік хабарламаның түпнұсқалық кодының тұтастығы үшін алгоритмі

Әдепкі бойынша, IKE пернелері әрбір 1 сағат сайын (3600 секунд) жаңартылады. Қайта енгізу аралығын 30 секундтан 14 күнге (1209600 секунд) дейінгі мәнге өзгертуге болады. Қайта енгізу аралығы кемінде 1 сағат болуы ұсынылады.

  • vEdge(config)# vpn vpn-id интерфейсі ipsec нөмірі сияқты
  • vEdge(config-ike)# қайта перне секунды

IKE сеансы үшін жаңа кілттерді жасауға мәжбүрлеу үшін ipsec ike-rekey сұрау пәрменін беріңіз.

  • vEdge(config)# vpn vpn-идентификатор интерфейсіипсек саны ike

IKE үшін алдын ала ортақ кілттің (PSK) аутентификациясын конфигурациялауға болады:

  • vEdge(config)# vpn vpn-id интерфейсі ipsec нөмірі
  • vEdge(config-ike)# аутентификация түріндегі алдын ала ортақ кілтпен алдын ала ортақ құпия құпия сөз құпия сөзі — алдын ала ортақ кілтпен пайдаланылатын құпия сөз. Бұл ASCII немесе 1-ден 127 таңбаға дейінгі он алтылық жол болуы мүмкін.

Қашықтағы IKE теңі жергілікті немесе қашықтағы идентификаторды қажет етсе, осы идентификаторды конфигурациялауға болады:

  • vEdge(config)# vpn vpn-id интерфейсі ipsec нөмірі ike аутентификация түрі
  • vEdge(config-authentication-type)# жергілікті идентификатор
  • vEdge(config-authentication-type)# қашықтағы идентификатор

Идентификатор IP мекенжайы немесе ұзындығы 1-ден 63 таңбаға дейінгі кез келген мәтіндік жол болуы мүмкін. Әдепкі бойынша, жергілікті идентификатор туннельдің бастапқы IP мекенжайы және қашықтағы идентификатор туннельдің тағайындалған IP мекенжайы болып табылады.

IKE 2 нұсқасын қосыңыз
IKE 2-нұсқасын пайдалану үшін IPsec туннелін конфигурациялағанда, келесі сипаттар да IKEv2 үшін әдепкі бойынша қосылады:

  • Түпнұсқалық растау және шифрлау — тұтастық үшін HMAC-SHA256 кілтті хэштік хабарламаның аутентификация кодының алгоритмі бар AES-1 кеңейтілген шифрлау стандарты CBC шифрлау
  • Диффи-Хеллман тобының нөмірі — 16
  • Қайта енгізу уақыт аралығы — 4 сағат

Әдепкі бойынша, IKEv2 IKE кілт алмасуында Diffie-Hellman 16 тобын пайдаланады. Бұл топ IKE кілт алмасуы кезінде 4096-биттік модульдік экспоненциалды (MODP) топты пайдаланады. Топ нөмірін 2 (1024 биттік MODP үшін), 14 (2048 биттік MODP) немесе 15 (3072 бит MODP) етіп өзгертуге болады:

  • vEdge(config)# vpn vpn-id интерфейсі ipsecnumber ike
  • vEdge(config-ike)# топ нөмірі

Әдепкі бойынша, IKE кілт алмасуы AES-256 кеңейтілген шифрлау стандарты CBC шифрлауын тұтастық үшін HMAC-SHA1 кілтті хэш хабарының аутентификация кодының алгоритмімен пайдаланады. Аутентификацияны өзгертуге болады:

  • vEdge(config)# vpn vpn-id интерфейсі ipsecnumber ike
  • vEdge(config-ike)# шифрлар жинағы

Аутентификация жинағы келесілердің бірі болуы мүмкін:

  • aes128-cbc-sha1—AES-128 кеңейтілген шифрлау стандарты CBC шифрлауы HMAC-SHA1 кілттелген хэштік хабарламаның түпнұсқалық кодының тұтастығы үшін алгоритмі
  • aes128-cbc-sha2—AES-128 кеңейтілген шифрлау стандарты CBC шифрлауы HMAC-SHA256 кілттелген хэштік хабарламаның түпнұсқалық кодының тұтастығы үшін алгоритмі
  • aes256-cbc-sha1—AES-256 кеңейтілген шифрлау стандарты тұтастық үшін HMAC-SHA1 кілттелген хэш хабарының аутентификация кодының алгоритмімен CBC шифрлауы; бұл әдепкі.
  • aes256-cbc-sha2—AES-256 кеңейтілген шифрлау стандарты CBC шифрлауы HMAC-SHA256 кілттелген хэштік хабарламаның түпнұсқалық кодының тұтастығы үшін алгоритмі

Әдепкі бойынша, IKE пернелері әр 4 сағат сайын (14,400 30 секунд) жаңартылады. Қайта енгізу аралығын 14 секундтан 1209600 күнге (XNUMX секунд) дейінгі мәнге өзгертуге болады:

  • vEdge(config)# vpn vpn-id интерфейсі ipsecnumber ike
  • vEdge(config-ike)# қайта перне секунды

IKE сеансы үшін жаңа кілттерді жасауға мәжбүрлеу үшін ipsec ike-rekey сұрау пәрменін беріңіз. IKE үшін алдын ала ортақ кілттің (PSK) аутентификациясын конфигурациялауға болады:

  • vEdge(config)# vpn vpn-id интерфейсі ipsecnumber ike
  • vEdge(config-ike)# аутентификация түріндегі алдын ала ортақ кілтпен алдын ала ортақ құпия құпия сөз құпия сөзі — алдын ала ортақ кілтпен пайдаланылатын құпия сөз. Бұл ASCII немесе он алтылық жол болуы мүмкін немесе ол AES шифрланған кілт болуы мүмкін. Қашықтағы IKE теңі жергілікті немесе қашықтағы идентификаторды қажет етсе, осы идентификаторды конфигурациялауға болады:
  • vEdge(config)# vpn vpn-id интерфейсі ipsecnumber ike аутентификация түрі
  • vEdge(config-authentication-type)# жергілікті идентификатор
  • vEdge(config-authentication-type)# қашықтағы идентификатор

Идентификатор IP мекенжайы немесе ұзындығы 1-ден 64 таңбаға дейінгі кез келген мәтіндік жол болуы мүмкін. Әдепкі бойынша, жергілікті идентификатор туннельдің бастапқы IP мекенжайы және қашықтағы идентификатор туннельдің тағайындалған IP мекенжайы болып табылады.

IPsec туннель параметрлерін конфигурациялаңыз

4-кесте: Мүмкіндік тарихы

Ерекшелік Аты Шығарылым туралы ақпарат Сипаттама
Қосымша криптографиялық Cisco SD-WAN шығарылымы 20.1.1 Бұл мүмкіндік қолдауды қосады
IPSec үшін алгоритмдік қолдау   HMAC_SHA256, HMAC_SHA384 және
Туннельдер   үшін HMAC_SHA512 алгоритмдері
    күшейтілген қауіпсіздік.

Әдепкі бойынша, келесі параметрлер IKE трафигін тасымалдайтын IPsec туннелінде пайдаланылады:

  • Аутентификация және шифрлау — GCM жүйесіндегі AES-256 алгоритмі (Галуа/есептеу режимі)
  • Қайта енгізу аралығы — 4 сағат
  • Қайталау терезесі — 32 пакет

IPsec туннеліндегі шифрлауды CBC жүйесіндегі AES-256 шифрына (шифрлық блок тізбегі режимі, HMAC көмегімен SHA-1 немесе SHA-2 кілттелген хэш хабарының аутентификациясы арқылы немесе SHA-1 немесе SHA-2 көмегімен HMAC арқылы нөлге) өзгертуге болады. IKE кілт алмасу трафигі үшін пайдаланылатын IPsec туннелін шифрламау үшін SHA-XNUMX кілттелген хэш хабарының аутентификациясы:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# шифр жинағы (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-1sha | aes256-null-256sha | aes256-null-sha384 | aes256-null-sha512)

Әдепкі бойынша, IKE пернелері әр 4 сағат сайын (14,400 30 секунд) жаңартылады. Қайта енгізу аралығын 14 секундтан 1209600 күнге (XNUMX секунд) дейінгі мәнге өзгертуге болады:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# қайта перне секунды

IPsec туннелі үшін жаңа кілттерді жасауды мәжбүрлеу үшін ipsec ipsec-rekey сұрау пәрменін беріңіз. Әдепкі бойынша, болашақ кілттерге қауіп төнсе, өткен сеанстарға әсер етпеу үшін IPsec туннельдерінде тамаша алға құпиялық (PFS) қосылады. PFS әдепкі бойынша 4096-биттік Diffie-Hellman негізгі модуль тобын пайдаланып, жаңа Diffie-Hellman кілт алмасуын мәжбүрлейді. PFS параметрін өзгертуге болады:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# тамаша алға-құпиялық pfs-параметрі

pfs параметрі келесілердің бірі болуы мүмкін:

  • топ-2 — 1024-биттік Diffie-Hellman негізгі модуль тобын пайдаланыңыз.
  • топ-14 — 2048-биттік Diffie-Hellman негізгі модуль тобын пайдаланыңыз.
  • топ-15 — 3072-биттік Diffie-Hellman негізгі модуль тобын пайдаланыңыз.
  • топ-16—4096-биттік Diffie-Hellman негізгі модуль тобын пайдаланыңыз. Бұл әдепкі.
  • none — PFS өшіру.

Әдепкі бойынша, IPsec туннеліндегі IPsec қайта ойнату терезесі 512 байт құрайды. Қайта ойнату терезесінің өлшемін 64, 128, 256, 512, 1024, 2048 немесе 4096 пакеттерге орнатуға болады:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# қайта ойнату терезесінің нөмірі

IKE Dead-Peer Detection функциясын өзгерту

IKE бағдарламасы IKE теңімен қосылымның функционалды және қол жетімді екенін анықтау үшін өлі деңгейді анықтау механизмін пайдаланады. Бұл механизмді іске асыру үшін IKE өзінің әріптесіне Hello пакетін жібереді, ал әріптес жауап ретінде растау жібереді. Әдепкі бойынша, IKE әр 10 секунд сайын Hello пакеттерін жібереді және үш расталмаған пакеттен кейін IKE көршісін өлді деп жариялап, туннельді құрдасқа бұзады. Содан кейін IKE мезгіл-мезгіл серіктеске Hello пакетін жібереді және теңдес желіге оралғанда туннельді қайта орнатады. Тірілікті анықтау аралығын 0-ден 65535-ке дейінгі мәнге өзгертуге болады және қайталау әрекеттерінің санын 0-ден 255-ке дейінгі мәнге өзгертуге болады.

Ескерту

Көлік VPN желілері үшін тірілікті анықтау аралығы келесі формула арқылы секундтарға түрлендіріледі: Қайта жіберу әрекетінің интервалы N = интервал * 1.8N-1Мысалы үшінample, егер аралық 10-ға орнатылса және 5-ке қайталанса, анықтау аралығы келесідей артады:

  • 1 әрекет: 10 * 1.81-1= 10 секунд
  • Әрекет 2: 10 * 1.82-1= 18 секунд
  • Әрекет 3: 10 * 1.83-1= 32.4 секунд
  • Әрекет 4: 10 * 1.84-1= 58.32 секунд
  • Әрекет 5: 10 * 1.85-1= 104.976 секунд

vEdge(config-interface-ipsecnumber)# өлі теңдесті анықтау аралығының қайталау саны

Басқа интерфейс сипаттарын конфигурациялаңыз

IPsec туннель интерфейстері үшін тек келесі қосымша интерфейс сипаттарын конфигурациялауға болады:

  • vEdge(config-interface-ipsec)# mtu байт
  • vEdge(config-interface-ipsec)# tcp-mss-реттеу байты

Cisco SD-WAN менеджеріндегі әлсіз SSH шифрлау алгоритмдерін өшіріңіз

5-кесте: мүмкіндіктер тарихы кестесі

Ерекшелік Аты Шығарылым туралы ақпарат Ерекшелік Сипаттама
Cisco SD-WAN менеджеріндегі әлсіз SSH шифрлау алгоритмдерін өшіріңіз Cisco vManage шығарылымы 20.9.1 Бұл мүмкіндік белгілі бір деректер қауіпсіздігі стандарттарына сәйкес келмеуі мүмкін Cisco SD-WAN менеджеріндегі әлсіз SSH алгоритмдерін өшіруге мүмкіндік береді.

Cisco SD-WAN менеджеріндегі әлсіз SSH шифрлау алгоритмдерін өшіру туралы ақпарат
Cisco SD-WAN Manager желідегі компоненттермен, соның ішінде контроллерлермен және шеткі құрылғылармен байланысу үшін SSH клиентін қамтамасыз етеді. SSH клиенті әртүрлі шифрлау алгоритмдеріне негізделген қауіпсіз деректерді тасымалдау үшін шифрланған қосылымды қамтамасыз етеді. Көптеген ұйымдар SHA-1, AES-128 және AES-192 ұсынғаннан гөрі күшті шифрлауды қажет етеді. Cisco vManage 20.9.1 шығарылымынан SSH клиенті бұл алгоритмдерді пайдаланбауы үшін келесі әлсіз шифрлау алгоритмдерін өшіруге болады:

  • SHA-1
  • AES-128
  • AES-192

Бұл шифрлау алгоритмдерін өшірмес бұрын, Cisco vEdge құрылғылары, егер бар болса, желіде Cisco SD-WAN 18.4.6 шығарылымынан кейінгі бағдарламалық құрал шығарылымын пайдаланып жатқанына көз жеткізіңіз.

Cisco SD-WAN менеджерінде әлсіз SSH шифрлау алгоритмдерін өшірудің артықшылықтары
Әлсіз SSH шифрлау алгоритмдерін өшіру SSH байланысының қауіпсіздігін жақсартады және Cisco Catalyst SD-WAN пайдаланатын ұйымдардың қатаң қауіпсіздік ережелеріне сай болуын қамтамасыз етеді.

CLI арқылы Cisco SD-WAN менеджерінде әлсіз SSH шифрлау алгоритмдерін өшіріңіз

  1. Cisco SD-WAN менеджері мәзірінен Құралдар > SSH терминалы тармағын таңдаңыз.
  2. Әлсіз SSH алгоритмдерін өшіргіңіз келетін Cisco SD-WAN Manager құрылғысын таңдаңыз.
  3. Құрылғыға кіру үшін пайдаланушы аты мен құпия сөзді енгізіңіз.
  4. SSH сервер режимін енгізіңіз.
    • vmanage(config)# жүйесі
    • vmanage(config-системі)# ssh-сервері
  5. SSH шифрлау алгоритмін өшіру үшін келесі әрекеттердің бірін орындаңыз:
    • SHA-1 өшіру:
  6. басқару(config-ssh-server)# kex-algo sha1 жоқ
  7. басқару(config-ssh-server)# орындау
    Келесі ескерту хабары көрсетіледі: Келесі ескертулер жасалды: ‘ssh-server kex-algo sha1 жүйесі’: ЕСКЕРТУ: Барлық жиектеріңізде vManage көмегімен SHA18.4.6-ге қарағанда жақсырақ келісетін > 1 код нұсқасы іске қосылатынын тексеріңіз. Әйтпесе, бұл жиектер желіден тыс болуы мүмкін. Жалғастыру керек пе? [иә, жоқ] иә
    • Желідегі кез келген Cisco vEdge құрылғыларында Cisco SD-WAN Release 18.4.6 немесе одан кейінгі нұсқасы жұмыс істеп тұрғанына көз жеткізіп, иә деп енгізіңіз.
    • AES-128 және AES-192 өшіру:
    • vmanage(config-ssh-server)# aes-128-192 шифры жоқ
    • vmanage(config-ssh-server)# орындау
      Келесі ескерту хабары көрсетіледі:
      Келесі ескертулер жасалды:
      ‘system ssh-server cipher aes-128-192’: ЕСКЕРТУ: Барлық жиектеріңізде vManage көмегімен AES-18.4.6-128-ден жақсырақ келісетін > 192 код нұсқасы іске қосылғанына көз жеткізіңіз. Әйтпесе, бұл жиектер желіден тыс болуы мүмкін. Жалғастыру керек пе? [иә, жоқ] иә
    • Желідегі кез келген Cisco vEdge құрылғыларында Cisco SD-WAN Release 18.4.6 немесе одан кейінгі нұсқасы жұмыс істеп тұрғанына көз жеткізіп, иә деп енгізіңіз.

CLI арқылы Cisco SD-WAN менеджерінде әлсіз SSH шифрлау алгоритмдерінің өшірілгенін тексеріңіз

  1. Cisco SD-WAN менеджері мәзірінен Құралдар > SSH терминалы тармағын таңдаңыз.
  2. Тексергіңіз келетін Cisco SD-WAN менеджері құрылғысын таңдаңыз.
  3. Құрылғыға кіру үшін пайдаланушы аты мен құпия сөзді енгізіңіз.
  4. Келесі пәрменді іске қосыңыз: show running-config system ssh-server
  5. Шығару әлсіз шифрлау алгоритмдерін өшіретін пәрмендердің біреуін немесе бірнешеуін көрсететінін растаңыз:
    • aes-128-192 шифры жоқ
    • kex-algo sha1 жоқ

Құжаттар / Ресурстар

CISCO SD-WAN қауіпсіздік параметрлерін конфигурациялау [pdf] Пайдаланушы нұсқаулығы
SD-WAN қауіпсіздік параметрлерін конфигурациялау, SD-WAN, қауіпсіздік параметрлерін конфигурациялау, қауіпсіздік параметрлері

Анықтамалар

Пікір қалдырыңыз

Электрондық пошта мекенжайыңыз жарияланбайды. Міндетті өрістер белгіленген *