CISCO SD-WAN កំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រសុវត្ថិភាព

កំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រសុវត្ថិភាព

ចំណាំ

ដើម្បីសម្រេចបាននូវភាពសាមញ្ញ និងភាពស៊ីសង្វាក់គ្នា ដំណោះស្រាយ Cisco SD-WAN ត្រូវបានប្តូរឈ្មោះជា Cisco Catalyst SD-WAN ។ លើសពីនេះទៀត ពី Cisco IOS XE SD-WAN Release 17.12.1a និង Cisco Catalyst SD-WAN Release 20.12.1 ការផ្លាស់ប្តូរសមាសភាគខាងក្រោមគឺអាចអនុវត្តបាន៖ Cisco vManage to Cisco Catalyst SD-WAN Manager, Cisco vAnalytics ទៅ Cisco Catalyst SD-WAN Analytics, Cisco vBond ទៅ Cisco Catalyst SD-WAN Validator និង Cisco vSmart ទៅ Cisco Catalyst SD-WAN Controller ។ សូមមើលកំណត់ចំណាំចេញផ្សាយចុងក្រោយបំផុតសម្រាប់បញ្ជីទូលំទូលាយនៃការផ្លាស់ប្តូរឈ្មោះម៉ាកសមាសភាគទាំងអស់។ ខណៈពេលដែលយើងប្តូរទៅឈ្មោះថ្មី ភាពមិនស៊ីសង្វាក់គ្នាមួយចំនួនអាចមានវត្តមាននៅក្នុងឯកសារដែលបានកំណត់ ដោយសារតែវិធីសាស្រ្តជាដំណាក់កាលសម្រាប់ការអាប់ដេតចំណុចប្រទាក់អ្នកប្រើនៃផលិតផលសូហ្វវែរ។

ផ្នែកនេះពិពណ៌នាអំពីរបៀបផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសម្រាប់យន្តហោះបញ្ជា និងយន្តហោះទិន្នន័យនៅក្នុងបណ្តាញត្រួតលើគ្នារបស់ Cisco Catalyst SD-WAN ។

• កំណត់រចនាសម្ព័ន្ធគ្រប់គ្រងប៉ារ៉ាម៉ែត្រសុវត្ថិភាពយន្តហោះ បើក
• កំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រសុវត្ថិភាពយន្តហោះទិន្នន័យ បើក
• កំណត់រចនាសម្ព័ន្ធផ្លូវរូងក្រោមដី IPsec ដែលបានបើក IKE-បើក
• បិទដំណើរការក្បួនដោះស្រាយការអ៊ិនគ្រីប SSH ខ្សោយនៅលើកម្មវិធីគ្រប់គ្រង Cisco SD-WAN បើក

កំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រសុវត្ថិភាពយន្តហោះត្រួតពិនិត្យ

តាមលំនាំដើម យន្តហោះគ្រប់គ្រងប្រើ DTLS ជាពិធីការដែលផ្តល់ភាពឯកជននៅលើផ្លូវរូងក្រោមដីទាំងអស់របស់វា។ DTLS ដំណើរការលើ UDP ។ អ្នកអាចផ្លាស់ប្តូរពិធីការសុវត្ថិភាពយន្តហោះគ្រប់គ្រងទៅជា TLS ដែលដំណើរការលើ TCP ។ ហេតុផលចម្បងក្នុងការប្រើប្រាស់ TLS គឺថា ប្រសិនបើអ្នកចាត់ទុក Cisco SD-WAN Controller ជាម៉ាស៊ីនមេ ជញ្ជាំងភ្លើងការពារម៉ាស៊ីនមេ TCP ប្រសើរជាងម៉ាស៊ីនមេ UDP ។ អ្នកកំណត់រចនាសម្ព័ន្ធពិធីការផ្លូវរូងក្រោមដីរបស់យន្តហោះគ្រប់គ្រងនៅលើ Cisco SD-WAN Controller៖ vSmart(config)# security control protocol tls ជាមួយនឹងការផ្លាស់ប្តូរនេះ ផ្លូវរូងក្រោមដីយន្តហោះគ្រប់គ្រងទាំងអស់រវាង Cisco SD-WAN Controller និង routers និងរវាង Cisco SD-WAN Controller និង Cisco SD-WAN Manager ប្រើ TLS ។ គ្រប់គ្រងផ្លូវរូងក្រោមដីរបស់យន្តហោះទៅកាន់ Cisco Catalyst SD-WAN Validator តែងតែប្រើ DTLS ពីព្រោះការតភ្ជាប់ទាំងនេះត្រូវតែគ្រប់គ្រងដោយ UDP ។ នៅក្នុងដែនដែលមានឧបករណ៍បញ្ជា Cisco SD-WAN ច្រើន នៅពេលអ្នកកំណត់រចនាសម្ព័ន្ធ TLS នៅលើឧបករណ៍បញ្ជា Cisco SD-WAN មួយ ផ្លូវរូងក្រោមដីរបស់យន្តហោះគ្រប់គ្រងទាំងអស់ពីឧបករណ៍បញ្ជានោះទៅឧបករណ៍បញ្ជាផ្សេងទៀតប្រើ TLS ។ និយាយវិធីមួយទៀត TLS តែងតែមានអាទិភាពជាង DTLS ។ ទោះយ៉ាងណាក៏ដោយ តាមទស្សនៈរបស់ Cisco SD-WAN Controllers ផ្សេងទៀត ប្រសិនបើអ្នកមិនបានកំណត់រចនាសម្ព័ន្ធ TLS លើពួកវាទេ ពួកគេប្រើ TLS នៅលើផ្លូវរូងក្រោមដីរបស់យន្តហោះបញ្ជាសម្រាប់តែ Cisco SD-WAN Controller មួយប៉ុណ្ណោះ ហើយពួកគេប្រើផ្លូវរូងក្រោមដី DTLS ទៅផ្លូវរូងក្រោមដីទាំងអស់ ឧបករណ៍បញ្ជា Cisco SD-WAN និងរ៉ោតទ័រដែលបានភ្ជាប់ទាំងអស់របស់ពួកគេ។ ដើម្បីឱ្យ Cisco SD-WAN Controllers ទាំងអស់ប្រើ TLS សូមកំណត់រចនាសម្ព័ន្ធវានៅលើពួកវាទាំងអស់។ តាមលំនាំដើម ឧបករណ៍បញ្ជា Cisco SD-WAN ស្តាប់នៅលើច្រក 23456 សម្រាប់សំណើ TLS ។ ដើម្បីផ្លាស់ប្តូរវា៖ vSmart(config)# security control tls-port number ច្រកអាចជាលេខពី 1025 ដល់ 65535។ ដើម្បីបង្ហាញព័ត៌មានសុវត្ថិភាពយន្តហោះគ្រប់គ្រង សូមប្រើពាក្យបញ្ជា show control connections នៅលើ Cisco SD-WAN Controller។ សម្រាប់អតីតample: vSmart-2# បង្ហាញការតភ្ជាប់ការគ្រប់គ្រង

កំណត់រចនាសម្ព័ន្ធ DTLS នៅក្នុង Cisco SD-WAN Manager

ប្រសិនបើអ្នកកំណត់រចនាសម្ព័ន្ធកម្មវិធីគ្រប់គ្រង Cisco SD-WAN ដើម្បីប្រើ TLS ជាពិធីការសុវត្ថិភាពយន្តហោះគ្រប់គ្រង អ្នកត្រូវតែបើកការបញ្ជូនបន្តច្រកនៅលើ NAT របស់អ្នក។ ប្រសិនបើអ្នកកំពុងប្រើ DTLS ជាពិធីការសុវត្ថិភាពយន្តហោះគ្រប់គ្រង អ្នកមិនចាំបាច់ធ្វើអ្វីនោះទេ។ ចំនួនច្រកបញ្ជូនបន្តអាស្រ័យលើចំនួនដំណើរការ vdaemon ដែលដំណើរការលើ Cisco SD-WAN Manager ។ ដើម្បីបង្ហាញព័ត៌មានអំពីដំណើរការទាំងនេះ និងអំពី និងចំនួនច្រកដែលកំពុងត្រូវបានបញ្ជូនបន្ត សូមប្រើពាក្យបញ្ជាសង្ខេបនៃការគ្រប់គ្រង បង្ហាញថាដំណើរការដេមិនចំនួនបួនកំពុងដំណើរការ៖

ដើម្បីមើលច្រកស្តាប់ សូមប្រើពាក្យបញ្ជា show control local-properties៖ vManage# show control local-properties

លទ្ធផលនេះបង្ហាញថាច្រក TCP ស្តាប់គឺ 23456។ ប្រសិនបើអ្នកកំពុងដំណើរការកម្មវិធីគ្រប់គ្រង Cisco SD-WAN នៅពីក្រោយ NAT អ្នកគួរតែបើកច្រកខាងក្រោមនៅលើឧបករណ៍ NAT៖

• 23456 (មូលដ្ឋាន – ច្រក 0)
• 23456 + 100 (មូលដ្ឋាន + 100)
• 23456 + 200 (មូលដ្ឋាន + 200)
• 23456 + 300 (មូលដ្ឋាន + 300)

ចំណាំថាចំនួននៃវត្ថុគឺដូចគ្នានឹងចំនួនស្នូលដែលអ្នកបានកំណត់សម្រាប់កម្មវិធីគ្រប់គ្រង Cisco SD-WAN រហូតដល់អតិបរមា 8 ។

កំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រសុវត្ថិភាពដោយប្រើគំរូមុខងារសុវត្ថិភាព

ប្រើគំរូមុខងារសុវត្ថិភាពសម្រាប់ឧបករណ៍ Cisco vEdge ទាំងអស់។ នៅលើ Edge Routers និងនៅលើ Cisco SD-WAN Validator ប្រើគំរូនេះដើម្បីកំណត់ IPsec សម្រាប់សុវត្ថិភាពយន្តហោះទិន្នន័យ។ នៅលើ Cisco SD-WAN Manager និង Cisco SD-WAN Controller សូមប្រើគំរូមុខងារសុវត្ថិភាព ដើម្បីកំណត់រចនាសម្ព័ន្ធ DTLS ឬ TLS សម្រាប់គ្រប់គ្រងសុវត្ថិភាពយន្តហោះ។

កំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រសុវត្ថិភាព

1. ពីម៉ឺនុយកម្មវិធីគ្រប់គ្រង Cisco SD-WAN សូមជ្រើសរើស ការកំណត់រចនាសម្ព័ន្ធ > គំរូ។
2. ចុច Feature Templates រួចចុច Add Template។
   ចំណាំ នៅក្នុង Cisco vManage Release 20.7.1 និងការចេញផ្សាយមុននេះ Feature Templates ត្រូវបានគេហៅថា Feature។
3. ពីបញ្ជីឧបករណ៍នៅក្នុងបន្ទះខាងឆ្វេង សូមជ្រើសរើសឧបករណ៍មួយ។ គំរូដែលអាចអនុវត្តបានចំពោះឧបករណ៍ដែលបានជ្រើសរើសបង្ហាញនៅក្នុងបន្ទះខាងស្តាំ។
4. ចុច សុវត្ថិភាព ដើម្បីបើកពុម្ព។
5. នៅក្នុងវាល ឈ្មោះគំរូ បញ្ចូលឈ្មោះសម្រាប់គំរូ។ ឈ្មោះអាចមានរហូតដល់ 128 តួអក្សរ ហើយអាចមានតែតួអក្សរអក្សរក្រមលេខប៉ុណ្ណោះ។
6. នៅក្នុងវាល ការពិពណ៌នាគំរូ បញ្ចូលការពិពណ៌នានៃគំរូ។ ការពិពណ៌នាអាចមានរហូតដល់ 2048 តួអក្សរ ហើយអាចមានតែតួអក្សរអក្សរក្រមលេខប៉ុណ្ណោះ។

នៅពេលអ្នកបើកគំរូលក្ខណៈពិសេសដំបូង សម្រាប់ប៉ារ៉ាម៉ែត្រនីមួយៗដែលមានតម្លៃលំនាំដើម វិសាលភាពត្រូវបានកំណត់ទៅជាលំនាំដើម (បង្ហាញដោយសញ្ញាធីក) ហើយការកំណត់ ឬតម្លៃលំនាំដើមត្រូវបានបង្ហាញ។ ដើម្បីផ្លាស់ប្តូរលំនាំដើម ឬបញ្ចូលតម្លៃ សូមចុចម៉ឺនុយទម្លាក់ចុះវិសាលភាពនៅខាងឆ្វេងនៃវាលប៉ារ៉ាម៉ែត្រ ហើយជ្រើសរើសមួយក្នុងចំណោមខាងក្រោម៖

តារាងទី 1៖

ប៉ារ៉ាម៉ែត្រ វិសាលភាព

ការពិពណ៌នាវិសាលភាព

ឧបករណ៍ជាក់លាក់ (បង្ហាញដោយរូបតំណាងម៉ាស៊ីន)

ប្រើតម្លៃជាក់លាក់នៃឧបករណ៍សម្រាប់ប៉ារ៉ាម៉ែត្រ។ សម្រាប់ប៉ារ៉ាម៉ែត្រជាក់លាក់នៃឧបករណ៍ អ្នកមិនអាចបញ្ចូលតម្លៃនៅក្នុងគំរូលក្ខណៈពិសេសបានទេ។ អ្នកបញ្ចូលតម្លៃនៅពេលអ្នកភ្ជាប់ឧបករណ៍ Viptela ទៅនឹងគំរូឧបករណ៍។ នៅពេលអ្នកចុចលើ Device Specific នោះប្រអប់ Enter Key នឹងបើក។ ប្រអប់នេះបង្ហាញកូនសោ ដែលជាខ្សែអក្សរតែមួយគត់ដែលកំណត់ប៉ារ៉ាម៉ែត្រនៅក្នុង CSV file ដែលអ្នកបង្កើត។ នេះ។ file គឺជាសៀវភៅបញ្ជី Excel ដែលមានជួរឈរមួយសម្រាប់សោនីមួយៗ។ ជួរដេកបឋមកថាមានឈ្មោះគន្លឹះ (គ្រាប់ចុចមួយក្នុងមួយជួរ) ហើយជួរនីមួយៗបន្ទាប់ពីនោះត្រូវគ្នានឹងឧបករណ៍មួយ ហើយកំណត់តម្លៃនៃគ្រាប់ចុចសម្រាប់ឧបករណ៍នោះ។ អ្នកផ្ទុកឡើង CSV file នៅពេលអ្នកភ្ជាប់ឧបករណ៍ Viptela ទៅនឹងគំរូឧបករណ៍។ សម្រាប់ព័ត៌មានបន្ថែម សូមមើល បង្កើតតារាងតារាងអថេរគំរូ។ ដើម្បីផ្លាស់ប្តូរសោលំនាំដើម វាយខ្សែអក្សរថ្មី ហើយផ្លាស់ទីទស្សន៍ទ្រនិចចេញពីប្រអប់បញ្ចូលគ្រាប់ចុច។ Exampប៉ារ៉ាម៉ែត្រជាក់លាក់នៃឧបករណ៍គឺអាសយដ្ឋាន IP ប្រព័ន្ធ ឈ្មោះម៉ាស៊ីន ទីតាំង GPS និងលេខសម្គាល់គេហទំព័រ។

ប៉ារ៉ាម៉ែត្រ វិសាលភាព	ការពិពណ៌នាវិសាលភាព
សកល (បង្ហាញដោយរូបតំណាងពិភពលោក)	បញ្ចូលតម្លៃសម្រាប់ប៉ារ៉ាម៉ែត្រ ហើយអនុវត្តតម្លៃនោះចំពោះឧបករណ៍ទាំងអស់។ Examples នៃប៉ារ៉ាម៉ែត្រដែលអ្នកអាចអនុវត្តជាសកលចំពោះក្រុមឧបករណ៍គឺ DNS server, syslog server និង interface MTUs ។

កំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពយន្តហោះត្រួតពិនិត្យ

ចំណាំ
ផ្នែក Configure Control Plane Security អនុវត្តចំពោះ Cisco SD-WAN Manager និង Cisco SD-WAN Controller តែប៉ុណ្ណោះ។ ដើម្បីកំណត់រចនាសម្ព័ន្ធពិធីការការតភ្ជាប់យន្តហោះបញ្ជានៅលើ Cisco SD-WAN Manager ឬ Cisco SD-WAN Controller សូមជ្រើសរើសតំបន់កំណត់រចនាសម្ព័ន្ធមូលដ្ឋាន និងកំណត់ប៉ារ៉ាម៉ែត្រដូចខាងក្រោមៈ

តារាងទី 2៖

ប៉ារ៉ាម៉ែត្រ ឈ្មោះ	ការពិពណ៌នា
ពិធីការ	ជ្រើសរើសពិធីការដើម្បីប្រើលើការតភ្ជាប់យន្តហោះគ្រប់គ្រងទៅឧបករណ៍បញ្ជា Cisco SD-WAN៖ • DTLS (ដាtagram សុវត្ថិភាពស្រទាប់ដឹកជញ្ជូន) ។ នេះគឺជាលំនាំដើម។ • TLS (សុវត្ថិភាពស្រទាប់ដឹកជញ្ជូន)
គ្រប់គ្រងច្រក TLS	ប្រសិនបើអ្នកជ្រើសរើស TLS កំណត់លេខច្រកដែលត្រូវប្រើ៖ជួរ៖ 1025 ដល់ 65535លំនាំដើម៖ 23456

ចុចរក្សាទុក

កំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពយន្តហោះទិន្នន័យ
ដើម្បីកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពយន្តហោះទិន្នន័យនៅលើ Cisco SD-WAN Validator ឬ Cisco vEdge router សូមជ្រើសរើសផ្ទាំង Basic Configuration and Authentication Types ហើយកំណត់រចនាសម្ព័ន្ធដូចខាងក្រោម៖

តារាងទី 3៖

ប៉ារ៉ាម៉ែត្រ ឈ្មោះ	ការពិពណ៌នា
ពេលវេលា Rekey	បញ្ជាក់ថាតើញឹកញាប់ប៉ុណ្ណាដែលរ៉ោតទ័រ Cisco vEdge ផ្លាស់ប្តូរសោ AES ដែលប្រើនៅលើការតភ្ជាប់ DTLS ដែលមានសុវត្ថិភាពរបស់វាទៅ Cisco SD-WAN Controller ។ ប្រសិនបើ OMP ចាប់ផ្តើមឡើងវិញដោយសោភ័ណភាពត្រូវបានបើក នោះពេលវេលានៃការចុចម្តងទៀតត្រូវតែមានយ៉ាងហោចណាស់ពីរដងនៃតម្លៃនៃ OMP កម្មវិធីកំណត់ពេលវេលាចាប់ផ្តើមឡើងវិញដោយប្រណិត។ជួរ៖ 10 ដល់ 1209600 វិនាទី (14 ថ្ងៃ)លំនាំដើម៖ 86400 វិនាទី (24 ម៉ោង)
ចាក់បង្អួចឡើងវិញ	បញ្ជាក់​ទំហំ​នៃ​បង្អួច​ចាក់​ឡើងវិញ​ដែល​រអិល។ តម្លៃ៖ 64, 128, 256, 512, 1024, 2048, 4096, 8192 កញ្ចប់លំនាំដើម៖ ៥១២ កញ្ចប់
IPsec ការចាក់សោជាគូ	វាត្រូវបានបិទតាមលំនាំដើម។ ចុច On ដើម្បីបើកវា។

ប៉ារ៉ាម៉ែត្រ ឈ្មោះ

ការពិពណ៌នា

ប្រភេទការផ្ទៀងផ្ទាត់

ជ្រើសរើសប្រភេទការផ្ទៀងផ្ទាត់ពី ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ បញ្ជីហើយចុចលើព្រួញដែលចង្អុលទៅស្តាំ ដើម្បីផ្លាស់ទីប្រភេទការផ្ទៀងផ្ទាត់ទៅឯកសារ បញ្ជីដែលបានជ្រើសរើស ជួរឈរ។ ប្រភេទការផ្ទៀងផ្ទាត់ដែលគាំទ្រពី Cisco SD-WAN Release 20.6.1៖ •  ឧ៖ បើកដំណើរការការអ៊ិនគ្រីប និងភាពសុវតិ្ថភាពនៃការទូទាត់បន្ទុក (ESP) លើក្បាល ESP ។ •  ip-udp-esp៖ បើកការអ៊ិនគ្រីប ESP ។ បន្ថែមពីលើការត្រួតពិនិត្យភាពត្រឹមត្រូវនៅលើបឋមកថា ESP និងបន្ទុក ការត្រួតពិនិត្យក៏រួមបញ្ចូលផងដែរនូវផ្នែកខាងក្រៅ IP និងបឋមកថា UDP ។ •  ip-udp-esp-no-id៖ មិនអើពើនឹងវាល ID នៅក្នុងបឋមកថា IP ដូច្នេះ Cisco Catalyst SD-WAN អាចដំណើរការជាមួយឧបករណ៍ដែលមិនមែនជា Cisco ។ •  គ្មាន៖ បិទការត្រួតពិនិត្យភាពត្រឹមត្រូវនៅលើកញ្ចប់ព័ត៌មាន IPSec ។ យើងមិនណែនាំឱ្យប្រើជម្រើសនេះទេ។   ប្រភេទការផ្ទៀងផ្ទាត់ដែលគាំទ្រនៅក្នុង Cisco SD-WAN Release 20.5.1 និងមុននេះ៖ •  ah-no-id៖ បើកដំណើរការកំណែប្រសើរឡើងនៃ AH-SHA1 HMAC និង ESP HMAC-SHA1 ដែលមិនអើពើនឹងវាល ID នៅក្នុងបឋមកថា IP ខាងក្រៅរបស់កញ្ចប់ព័ត៌មាន។ •  ah-sha1-hmac៖ បើកដំណើរការ AH-SHA1 HMAC និង ESP HMAC-SHA1 ។ •  គ្មាន៖ ជ្រើសរើសគ្មានការផ្ទៀងផ្ទាត់។ •  sha1-hmac៖ បើកដំណើរការ ESP HMAC-SHA1។   ចំណាំ              សម្រាប់ឧបករណ៍គែមដែលដំណើរការនៅលើ Cisco SD-WAN Release 20.5.1 ឬមុននេះ អ្នកអាចកំណត់រចនាសម្ព័ន្ធប្រភេទការផ្ទៀងផ្ទាត់ដោយប្រើ សន្តិសុខ គំរូ។ នៅពេលអ្នកដំឡើងកំណែឧបករណ៍ទៅ Cisco SD-WAN Release 20.6.1 ឬថ្មីជាងនេះ សូមធ្វើបច្ចុប្បន្នភាពប្រភេទការផ្ទៀងផ្ទាត់ដែលបានជ្រើសរើសនៅក្នុង សន្តិសុខ គំរូសម្រាប់ប្រភេទការផ្ទៀងផ្ទាត់ដែលគាំទ្រពី Cisco SD-WAN Release 20.6.1 ។ ដើម្បីធ្វើបច្ចុប្បន្នភាពប្រភេទការផ្ទៀងផ្ទាត់ ធ្វើដូចខាងក្រោម៖ 1.      ពីម៉ឺនុយកម្មវិធីគ្រប់គ្រង Cisco SD-WAN សូមជ្រើសរើស ការកំណត់រចនាសម្ព័ន្ធ > គំរូ. 2.      ចុច គំរូលក្ខណៈពិសេស. 3.      ស្វែងរក សន្តិសុខ គំរូដើម្បីធ្វើបច្ចុប្បន្នភាព ហើយចុច … ហើយចុច កែសម្រួល. 4.      ចុច ធ្វើបច្ចុប្បន្នភាព. កុំកែប្រែការកំណត់ណាមួយឡើយ។ កម្មវិធីគ្រប់គ្រង Cisco SD-WAN ធ្វើបច្ចុប្បន្នភាព សន្តិសុខ គំរូដើម្បីបង្ហាញប្រភេទការផ្ទៀងផ្ទាត់ដែលគាំទ្រ។

ចុចរក្សាទុក។

កំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រសុវត្ថិភាពយន្តហោះទិន្នន័យ

នៅក្នុងយន្តហោះទិន្នន័យ IPsec ត្រូវបានបើកតាមលំនាំដើមនៅលើរ៉ោតទ័រទាំងអស់ ហើយតាមលំនាំដើម ការតភ្ជាប់ផ្លូវរូងក្រោមដី IPsec ប្រើកំណែប្រសើរឡើងនៃពិធីការ Encapsulating Security Payload (ESP) សម្រាប់ការផ្ទៀងផ្ទាត់លើផ្លូវរូងក្រោមដី IPsec ។ នៅលើរ៉ោតទ័រ អ្នកអាចផ្លាស់ប្តូរប្រភេទនៃការផ្ទៀងផ្ទាត់ ការកំណត់ពេលវេលាកំណត់ឡើងវិញ IPsec និងទំហំនៃបង្អួចប្រឆាំងនឹងការលេងឡើងវិញ IPsec ។

កំណត់រចនាសម្ព័ន្ធប្រភេទការផ្ទៀងផ្ទាត់ដែលអនុញ្ញាត

ប្រភេទការផ្ទៀងផ្ទាត់នៅក្នុង Cisco SD-WAN Release 20.6.1 និងក្រោយ
ពី Cisco SD-WAN Release 20.6.1 ប្រភេទសុចរិតភាពខាងក្រោមត្រូវបានគាំទ្រ៖

• esp៖ ជម្រើសនេះបើកការអ៊ិនគ្រីបសុវត្ថិភាព Payload (ESP) និងការត្រួតពិនិត្យភាពត្រឹមត្រូវនៅលើបឋមកថា ESP ។
• ip-udp-esp៖ ជម្រើសនេះបើកការអ៊ិនគ្រីប ESP ។ បន្ថែមពីលើការត្រួតពិនិត្យភាពត្រឹមត្រូវនៅលើបឋមកថា ESP និងបន្ទុក ការត្រួតពិនិត្យក៏រួមបញ្ចូលផងដែរនូវផ្នែកខាងក្រៅ IP និងបឋមកថា UDP ។
• ip-udp-esp-no-id៖ ជម្រើសនេះគឺស្រដៀងទៅនឹង ip-udp-esp ទោះយ៉ាងណាក៏ដោយ វាល ID នៃបឋមកថា IP ខាងក្រៅមិនត្រូវបានអើពើ។ កំណត់រចនាសម្ព័ន្ធជម្រើសនេះនៅក្នុងបញ្ជីនៃប្រភេទសុចរិតភាពដើម្បីឱ្យកម្មវិធី Cisco Catalyst SD-WAN មិនអើពើនឹងវាល ID នៅក្នុងបឋមកថា IP ដូច្នេះ Cisco Catalyst SD-WAN អាចដំណើរការជាមួយឧបករណ៍ដែលមិនមែនជា Cisco ។
• គ្មាន៖ ជម្រើសនេះបិទការត្រួតពិនិត្យភាពត្រឹមត្រូវនៅលើកញ្ចប់ព័ត៌មាន IPSec ។ យើងមិនណែនាំឱ្យប្រើជម្រើសនេះទេ។

តាមលំនាំដើម ការតភ្ជាប់ផ្លូវរូងក្រោមដី IPsec ប្រើកំណែប្រសើរឡើងនៃពិធីការ Encapsulating Security Payload (ESP) សម្រាប់ការផ្ទៀងផ្ទាត់។ ដើម្បី​កែប្រែ​ប្រភេទ​អន្តរកម្ម​ដែល​បាន​ចរចា ឬ​បិទ​ការ​ពិនិត្យ​ភាព​សុចរិត សូម​ប្រើ​ពាក្យ​បញ្ជា​ដូច​ខាង​ក្រោម៖ integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

ប្រភេទការផ្ទៀងផ្ទាត់មុនពេលចេញលក់ Cisco SD-WAN 20.6.1
តាមលំនាំដើម ការតភ្ជាប់ផ្លូវរូងក្រោមដី IPsec ប្រើកំណែប្រសើរឡើងនៃពិធីការ Encapsulating Security Payload (ESP) សម្រាប់ការផ្ទៀងផ្ទាត់។ ដើម្បីកែប្រែប្រភេទការផ្ទៀងផ្ទាត់ដែលបានចរចារ ឬដើម្បីបិទការផ្ទៀងផ្ទាត់ ប្រើពាក្យបញ្ជាខាងក្រោម៖ ឧបករណ៍(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) តាមលំនាំដើម IPsec ការតភ្ជាប់ផ្លូវរូងក្រោមដីប្រើ AES-GCM-256 ដែលផ្តល់ទាំងការអ៊ិនគ្រីប និងការផ្ទៀងផ្ទាត់។ កំណត់រចនាសម្ព័ន្ធប្រភេទការផ្ទៀងផ្ទាត់នីមួយៗដោយប្រើពាក្យបញ្ជាប្រភេទសុវត្ថិភាព ipsec ដាច់ដោយឡែក។ ជម្រើសពាក្យបញ្ជាគូសផែនទីទៅនឹងប្រភេទការផ្ទៀងផ្ទាត់ខាងក្រោម ដែលត្រូវបានរាយបញ្ជីតាមលំដាប់ពីខ្លាំងបំផុតទៅខ្លាំងបំផុត៖

ចំណាំ
sha1 នៅក្នុងជម្រើសកំណត់រចនាសម្ព័ន្ធត្រូវបានប្រើសម្រាប់ហេតុផលប្រវត្តិសាស្ត្រ។ ជម្រើសនៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបង្ហាញពីចំនួននៃការត្រួតពិនិត្យភាពត្រឹមត្រូវនៃកញ្ចប់ព័ត៌មាន។ ពួកគេមិនបញ្ជាក់ក្បួនដោះស្រាយដែលពិនិត្យភាពត្រឹមត្រូវនោះទេ។ លើកលែងតែការអ៊ិនគ្រីបនៃចរាចរច្រើន ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់ដែលគាំទ្រដោយ Cisco Catalyst SD WAN មិនប្រើ SHA1 ទេ។ ទោះយ៉ាងណាក៏ដោយនៅក្នុង Cisco SD-WAN Release 20.1.x និងបន្តទៀត ទាំង unicast និង multicast មិនប្រើ SHA1 ទេ។

• ah-sha1-hmac បើកការអ៊ិនគ្រីប និងការបំប្លែងដោយប្រើ ESP ។ ទោះយ៉ាងណាក៏ដោយ បន្ថែមពីលើការត្រួតពិនិត្យភាពត្រឹមត្រូវនៅលើបឋមកថា ESP និងបន្ទុក ការត្រួតពិនិត្យក៏រួមបញ្ចូលផងដែរនូវ IP ខាងក្រៅ និងបឋមកថា UDP ។ ដូច្នេះ ជម្រើសនេះគាំទ្រការត្រួតពិនិត្យភាពត្រឹមត្រូវនៃកញ្ចប់ព័ត៌មានដែលស្រដៀងនឹងពិធីការបឋមកថាការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ (AH) ។ ភាពសុចរិត និងការអ៊ិនគ្រីបទាំងអស់ត្រូវបានអនុវត្តដោយប្រើ AES-256-GCM ។
• ah-no-id បើកមុខងារដែលស្រដៀងនឹង ah-sha1-hmac ទោះយ៉ាងណាក៏ដោយ វាល ID នៃបឋមកថា IP ខាងក្រៅមិនត្រូវបានអើពើ។ ជម្រើសនេះផ្ទុកឧបករណ៍ SD-WAN ដែលមិនមែនជា Cisco Catalyst មួយចំនួន រួមទាំង Apple AirPort Express NAT ដែលមានកំហុសដែលបណ្តាលឱ្យវាលលេខសម្គាល់នៅក្នុងបឋមកថា IP ដែលជាវាលដែលមិនអាចផ្លាស់ប្តូរបានត្រូវបានកែប្រែ។ កំណត់រចនាសម្ព័ន្ធជម្រើស ah-no-id នៅក្នុងបញ្ជីនៃប្រភេទការផ្ទៀងផ្ទាត់ដើម្បីឱ្យមានកម្មវិធី Cisco Catalyst SD-WAN AH មិនអើពើនឹងវាល ID នៅក្នុងបឋមកថា IP ដូច្នេះកម្មវិធី Cisco Catalyst SD-WAN អាចដំណើរការជាមួយឧបករណ៍ទាំងនេះ។
• sha1-hmac បើកដំណើរការការអ៊ិនគ្រីប ESP និងការត្រួតពិនិត្យភាពត្រឹមត្រូវ។
• គ្មានផែនទីដើម្បីគ្មានការផ្ទៀងផ្ទាត់។ ជម្រើសនេះគួរតែត្រូវបានប្រើលុះត្រាតែវាត្រូវបានទាមទារសម្រាប់ការបំបាត់កំហុសបណ្តោះអាសន្ន។ អ្នកក៏អាចជ្រើសរើសជម្រើសនេះក្នុងស្ថានភាពដែលការផ្ទៀងផ្ទាត់យន្តហោះទិន្នន័យ និងភាពសុចរិតមិនមែនជាកង្វល់។ Cisco មិនណែនាំឱ្យប្រើជម្រើសនេះសម្រាប់បណ្តាញផលិតកម្មទេ។

សម្រាប់ព័ត៌មានអំពីកន្លែងដែលកញ្ចប់ទិន្នន័យត្រូវបានប៉ះពាល់ដោយប្រភេទការផ្ទៀងផ្ទាត់ទាំងនេះ សូមមើល Data Plane Integrity។ ឧបករណ៍ Cisco IOS XE Catalyst SD-WAN និងឧបករណ៍ Cisco vEdge ផ្សព្វផ្សាយប្រភេទការផ្ទៀងផ្ទាត់ដែលបានកំណត់រចនាសម្ព័ន្ធរបស់ពួកគេនៅក្នុងលក្ខណៈសម្បត្តិ TLOC របស់ពួកគេ។ រ៉ោតទ័រទាំងពីរនៅផ្នែកម្ខាងនៃការតភ្ជាប់ផ្លូវរូងក្រោមដី IPsec ចរចាការផ្ទៀងផ្ទាត់ដើម្បីប្រើលើការតភ្ជាប់រវាងពួកវា ដោយប្រើប្រភេទការផ្ទៀងផ្ទាត់ខ្លាំងបំផុតដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅលើរ៉ោតទ័រទាំងពីរ។ សម្រាប់អតីតample ប្រសិនបើរ៉ោតទ័រមួយផ្សាយប្រភេទ ah-sha1-hmac និង ah-no-id ហើយរ៉ោតទ័រទីពីរផ្សាយពាណិជ្ជកម្មប្រភេទ ah-no-id នោះរ៉ោតទ័រទាំងពីរចរចាដើម្បីប្រើ ah-no-id នៅលើការតភ្ជាប់ផ្លូវរូងក្រោមដី IPsec រវាង ពួកគេ។ ប្រសិនបើគ្មានប្រភេទការផ្ទៀងផ្ទាត់ធម្មតាត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅលើមិត្តភក្ដិទាំងពីរទេនោះ គ្មានផ្លូវរូងក្រោមដី IPsec ត្រូវបានបង្កើតឡើងរវាងពួកវាទេ។ ក្បួនដោះស្រាយការអ៊ិនគ្រីបលើការតភ្ជាប់ផ្លូវរូងក្រោមដី IPsec អាស្រ័យលើប្រភេទនៃចរាចរណ៍៖

• សម្រាប់ចរាចរណ៍ unicast ក្បួនដោះស្រាយការអ៊ិនគ្រីបគឺ AES-256-GCM ។
• សម្រាប់ចរាចរណ៍ពហុខាសៈ
• Cisco SD-WAN Release 20.1.x និងនៅពេលក្រោយ- ក្បួនដោះស្រាយការអ៊ិនគ្រីបគឺ AES-256-GCM
• ការចេញផ្សាយពីមុន- ក្បួនដោះស្រាយការអ៊ិនគ្រីបគឺ AES-256-CBC ជាមួយ SHA1-HMAC ។

នៅពេលដែលប្រភេទការផ្ទៀងផ្ទាត់ IPsec ត្រូវបានផ្លាស់ប្តូរ សោ AES សម្រាប់ផ្លូវទិន្នន័យត្រូវបានផ្លាស់ប្តូរ។

ផ្លាស់ប្តូរកម្មវិធីកំណត់ម៉ោង Rekeying

មុនពេល Cisco IOS XE Catalyst SD-WAN ឧបករណ៍ និងឧបករណ៍ Cisco vEdge អាចផ្លាស់ប្តូរចរាចរណ៍ទិន្នន័យ ពួកគេបានបង្កើតបណ្តាញទំនាក់ទំនងដែលមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរវាងពួកគេ។ រ៉ោតទ័រប្រើប្រាស់ផ្លូវរូងក្រោមដី IPSec រវាងពួកវាជាឆានែល និងលេខកូដ AES-256 ដើម្បីធ្វើការអ៊ិនគ្រីប។ រ៉ោតទ័រនីមួយៗបង្កើតសោ AES ថ្មីសម្រាប់ផ្លូវទិន្នន័យរបស់វាជាទៀងទាត់។ តាមលំនាំដើម គ្រាប់ចុចមានសុពលភាព 86400 វិនាទី (24 ម៉ោង) ហើយជួរកម្មវិធីកំណត់ម៉ោងគឺ 10 វិនាទីដល់ 1209600 វិនាទី (14 ថ្ងៃ)។ ដើម្បីផ្លាស់ប្តូរតម្លៃកម្មវិធីកំណត់ពេលវេលា rekey៖ ឧបករណ៍(កំណត់)# សុវត្ថិភាព ipsec rekey វិនាទី ការកំណត់រចនាសម្ព័ន្ធមើលទៅដូចនេះ៖

• សុវត្ថិភាព ipsec rekey វិនាទី!

ប្រសិនបើអ្នកចង់បង្កើតកូនសោ IPsec ថ្មីភ្លាមៗ អ្នកអាចធ្វើបានដោយមិនចាំបាច់កែប្រែការកំណត់រចនាសម្ព័ន្ធរបស់រ៉ោតទ័រ។ ដើម្បីធ្វើដូចនេះចេញពាក្យបញ្ជា ipsecrekey សុវត្ថិភាពនៅលើរ៉ោតទ័រដែលត្រូវបានសម្របសម្រួល។ សម្រាប់អតីតampដូច្នេះ លទ្ធផលខាងក្រោមបង្ហាញថា SA ក្នុងស្រុកមានសន្ទស្សន៍សុវត្ថិភាព (SPI) នៃ 256៖

សោពិសេសមួយត្រូវបានភ្ជាប់ជាមួយ SPI នីមួយៗ។ ប្រសិនបើសោនេះត្រូវបានសម្របសម្រួល សូមប្រើពាក្យបញ្ជា ipsec-rekey សុវត្ថិភាពស្នើសុំដើម្បីបង្កើតសោថ្មីភ្លាមៗ។ ពាក្យបញ្ជានេះបង្កើន SPI ។ នៅក្នុងអតីតរបស់យើង។ample, SPI ផ្លាស់ប្តូរទៅ 257 ហើយគន្លឹះដែលភ្ជាប់ជាមួយវាឥឡូវនេះត្រូវបានប្រើ៖

• ឧបករណ៍# ស្នើសុំសុវត្ថិភាព ipsecrekey
• ឧបករណ៍# បង្ហាញ ipsec local-sa

បន្ទាប់ពីបង្កើតសោថ្មី រ៉ោតទ័របញ្ជូនវាភ្លាមៗទៅកាន់ Cisco SD-WAN Controllers ដោយប្រើ DTLS ឬ TLS ។ ឧបករណ៍បញ្ជា Cisco SD-WAN ផ្ញើកូនសោទៅរ៉ោតទ័រមិត្តភ័ក្តិ។ រ៉ោតទ័រចាប់ផ្តើមប្រើវាភ្លាមៗនៅពេលដែលពួកគេទទួលបានវា។ ចំណាំថាសោដែលភ្ជាប់ជាមួយ SPI ចាស់ (256) នឹងបន្តប្រើក្នុងរយៈពេលខ្លីរហូតដល់វាអស់។ ដើម្បីបញ្ឈប់ការប្រើប្រាស់សោចាស់ភ្លាមៗ សូមចេញពាក្យបញ្ជាសុវត្ថិភាព ipsec-rekey ពីរដងជាប់ៗគ្នាយ៉ាងរហ័ស។ លំដាប់នៃពាក្យបញ្ជានេះដកចេញទាំង SPI 256 និង 257 ហើយកំណត់ SPI ទៅ 258។ បន្ទាប់មក រ៉ោតទ័រប្រើសោដែលពាក់ព័ន្ធនៃ SPI 258។ ទោះជាយ៉ាងណាក៏ដោយ សូមចំណាំថាកញ្ចប់ព័ត៌មានមួយចំនួននឹងត្រូវបានទម្លាក់ក្នុងរយៈពេលខ្លីមួយ រហូតទាល់តែរ៉ោតទ័រពីចម្ងាយទាំងអស់រៀន។ សោថ្មី។

ផ្លាស់ប្តូរទំហំបង្អួចប្រឆាំងការចាក់ឡើងវិញ

ការផ្ទៀងផ្ទាត់ IPsec ផ្តល់នូវការការពារប្រឆាំងនឹងការចាក់ឡើងវិញដោយកំណត់លេខលំដាប់តែមួយគត់ទៅកញ្ចប់ព័ត៌មាននីមួយៗនៅក្នុងស្ទ្រីមទិន្នន័យ។ លេខរៀងលំដាប់នេះការពារប្រឆាំងនឹងអ្នកវាយប្រហារដែលស្ទួនកញ្ចប់ទិន្នន័យ។ ជាមួយនឹងការការពារប្រឆាំងនឹងការចាក់ឡើងវិញ អ្នកផ្ញើកំណត់លេខលំដាប់ដែលបង្កើនដោយឯកតា ហើយគោលដៅពិនិត្យលេខលំដាប់ទាំងនេះដើម្បីរកមើលលេខស្ទួន។ ដោយសារកញ្ចប់ព័ត៌មានជារឿយៗមិនមកដល់តាមលំដាប់លំដោយ គោលដៅរក្សាបង្អួចរអិលនៃលេខលំដាប់ដែលវានឹងទទួលយក។

កញ្ចប់ដែលមានលេខលំដាប់ដែលធ្លាក់នៅខាងឆ្វេងនៃជួរបង្អួចរអិលត្រូវបានចាត់ទុកថាចាស់ ឬស្ទួន ហើយទិសដៅទម្លាក់ពួកគេ។ ទិសដៅតាមដានលេខលំដាប់ខ្ពស់បំផុតដែលវាបានទទួល ហើយកែតម្រូវបង្អួចរអិលនៅពេលដែលវាទទួលបានកញ្ចប់ព័ត៌មានដែលមានតម្លៃខ្ពស់ជាង។

តាមលំនាំដើម បង្អួចរអិលត្រូវបានកំណត់ទៅ 512 កញ្ចប់។ វាអាចត្រូវបានកំណត់ទៅតម្លៃណាមួយរវាង 64 និង 4096 ដែលជាថាមពលនៃ 2 (នោះគឺ 64, 128, 256, 512, 1024, 2048 ឬ 4096) ។ ដើម្បី​កែប្រែ​ទំហំ​បង្អួច​ប្រឆាំង​ការ​ចាក់​ឡើងវិញ សូម​ប្រើ​ពាក្យ​បញ្ជា replay-window ដោយ​បញ្ជាក់​ទំហំ​បង្អួច៖

Device(config)# security ipsec replay-window number

ការកំណត់មើលទៅដូចនេះ៖
សុវត្ថិភាព ipsec replay-window number ! !

ដើម្បីជួយជាមួយ QoS បង្អួចចាក់ឡើងវិញដាច់ដោយឡែកត្រូវបានរក្សាទុកសម្រាប់បណ្តាញចរាចរណ៍ប្រាំបីដំបូងនីមួយៗ។ ទំហំបង្អួចចាក់ឡើងវិញដែលបានកំណត់ត្រូវបានបែងចែកដោយប្រាំបីសម្រាប់ឆានែលនីមួយៗ។ ប្រសិនបើ QoS ត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅលើរ៉ោតទ័រ រ៉ោតទ័រនោះអាចជួបប្រទះនឹងចំនួនកញ្ចប់ព័ត៌មានធ្លាក់ចុះធំជាងការរំពឹងទុក ដែលជាលទ្ធផលនៃយន្តការប្រឆាំងការលេងឡើងវិញរបស់ IPsec ហើយកញ្ចប់ព័ត៌មានជាច្រើនដែលត្រូវបានទម្លាក់គឺជាកញ្ចប់ដែលស្របច្បាប់។ វាកើតឡើងដោយសារតែ QoS រៀបចំកញ្ចប់ព័ត៌មានឡើងវិញ ដោយផ្តល់ការព្យាបាលជាអាទិភាពលើកញ្ចប់ឯកសារដែលមានអាទិភាពខ្ពស់ និងពន្យារពេលកញ្ចប់ព័ត៌មានអាទិភាពទាប។ ដើម្បីកាត់បន្ថយ ឬទប់ស្កាត់ស្ថានភាពនេះ អ្នកអាចធ្វើបានដូចខាងក្រោម៖

• បង្កើនទំហំនៃបង្អួចប្រឆាំងនឹងការចាក់ឡើងវិញ។
• ចរាចរណ៍វិស្វករទៅកាន់បណ្តាញចរាចរណ៍ប្រាំបីដំបូងដើម្បីធានាថាចរាចរណ៍នៅក្នុងឆានែលមិនត្រូវបានតម្រៀបឡើងវិញទេ។

កំណត់រចនាសម្ព័ន្ធផ្លូវរូងក្រោមដី IPsec ដែលបានបើក IKE
ដើម្បីផ្ទេរចរាចរណ៍ដោយសុវត្ថិភាពពីបណ្តាញត្រួតលើគ្នាទៅបណ្តាញសេវាកម្ម អ្នកអាចកំណត់រចនាសម្ព័ន្ធផ្លូវរូងក្រោមដី IPsec ដែលដំណើរការពិធីការ Internet Key Exchange (IKE) ។ ផ្លូវរូងក្រោមដី IPsec ដែលបានបើកដំណើរការ IKE ផ្តល់នូវការផ្ទៀងផ្ទាត់ និងការអ៊ិនគ្រីប ដើម្បីធានាបាននូវការដឹកជញ្ជូនកញ្ចប់ព័ត៌មានប្រកបដោយសុវត្ថិភាព។ អ្នកបង្កើតផ្លូវរូងក្រោមដី IPsec ដែលបានបើក IKE ដោយកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ IPsec ។ ចំណុចប្រទាក់ IPsec គឺជាចំណុចប្រទាក់ឡូជីខល ហើយអ្នកកំណត់រចនាសម្ព័ន្ធពួកវាដូចចំណុចប្រទាក់រូបវន្តផ្សេងទៀតដែរ។ អ្នកកំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រពិធីការ IKE នៅលើចំណុចប្រទាក់ IPsec ហើយអ្នកអាចកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ផ្សេងទៀត។

ចំណាំ Cisco ណែនាំអោយប្រើ IKE កំណែ 2 ការបង្កើតផ្លូវរូងក្រោមដី IPsec បរាជ័យ ប្រសិនបើទំហំសោមានតិចជាង 19.2 តួអក្សរ នៅពេលដែលរ៉ោតទ័រត្រូវបានដំឡើងកំណែទៅកំណែ 16 ។

ចំណាំ
កម្មវិធី Cisco Catalyst SD-WAN គាំទ្រ IKE កំណែ 2 ដូចដែលបានកំណត់ក្នុង RFC 7296 ។ ការប្រើប្រាស់មួយសម្រាប់ផ្លូវរូងក្រោមដី IPsec គឺអនុញ្ញាតឱ្យ vEdge Cloud router VM ដែលដំណើរការលើ Amazon AWS ដើម្បីភ្ជាប់ទៅ Amazon virtual private cloud (VPC) ។ អ្នកត្រូវតែកំណត់រចនាសម្ព័ន្ធ IKE កំណែ 1 នៅលើរ៉ោតទ័រទាំងនេះ។ ឧបករណ៍ Cisco vEdge គាំទ្រតែ VPNs ផ្អែកលើផ្លូវក្នុងការកំណត់រចនាសម្ព័ន្ធ IPSec ពីព្រោះឧបករណ៍ទាំងនេះមិនអាចកំណត់ឧបករណ៍ជ្រើសរើសចរាចរណ៍នៅក្នុងដែនអ៊ិនគ្រីបបានទេ។

កំណត់រចនាសម្ព័ន្ធផ្លូវរូងក្រោមដី IPsec
ដើម្បីកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ផ្លូវរូងក្រោមដី IPsec សម្រាប់ចរាចរណ៍ដឹកជញ្ជូនប្រកបដោយសុវត្ថិភាពពីបណ្តាញសេវាកម្ម អ្នកបង្កើតចំណុចប្រទាក់ IPsec ឡូជីខល៖

អ្នកអាចបង្កើតផ្លូវរូងក្រោមដី IPsec នៅក្នុងការដឹកជញ្ជូន VPN (VPN 0) និងនៅក្នុងសេវាកម្ម VPN ណាមួយ (VPN 1 ដល់ 65530 លើកលែងតែ 512) ។ ចំណុចប្រទាក់ IPsec មានឈ្មោះក្នុងទម្រង់ ipsecnumber ដែលលេខអាចមានចាប់ពី 1 ដល់ 255។ ចំណុចប្រទាក់ IPsec នីមួយៗត្រូវតែមានអាសយដ្ឋាន IPv4 ។ អាសយដ្ឋាននេះត្រូវតែជាបុព្វបទ /30 ។ ចរាចរណ៍ទាំងអស់នៅក្នុង VPN ដែលស្ថិតនៅក្នុងបុព្វបទ IPv4 នេះត្រូវបានបញ្ជូនទៅចំណុចប្រទាក់ជាក់ស្តែងនៅក្នុង VPN 0 ដើម្បីផ្ញើដោយសុវត្ថិភាពតាមរយៈផ្លូវរូងក្រោមដី IPsec។ ដើម្បីកំណត់រចនាសម្ព័ន្ធប្រភពនៃផ្លូវរូងក្រោមដី IPsec នៅលើឧបករណ៍មូលដ្ឋាន អ្នកអាចបញ្ជាក់អាសយដ្ឋាន IP របស់ ចំណុចប្រទាក់រាងកាយ (នៅក្នុងពាក្យបញ្ជាប្រភពផ្លូវរូងក្រោមដី) ឬឈ្មោះចំណុចប្រទាក់រូបវន្ត (នៅក្នុងពាក្យបញ្ជា tunnel-source-interface) ។ សូមប្រាកដថាចំណុចប្រទាក់រូបវន្តត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅក្នុង VPN 0។ ដើម្បីកំណត់រចនាសម្ព័ន្ធទិសដៅនៃផ្លូវរូងក្រោមដី IPsec សូមបញ្ជាក់អាសយដ្ឋាន IP របស់ឧបករណ៍ពីចម្ងាយនៅក្នុងពាក្យបញ្ជា tunnel-destination ។ ការរួមបញ្ចូលគ្នានៃអាសយដ្ឋានប្រភព (ឬឈ្មោះចំណុចប្រទាក់ប្រភព) និងអាសយដ្ឋានគោលដៅកំណត់ផ្លូវរូងក្រោមដី IPsec តែមួយ។ មានតែផ្លូវរូងក្រោមដី IPsec មួយប៉ុណ្ណោះដែលអាចមានដែលប្រើអាសយដ្ឋានប្រភពជាក់លាក់ (ឬឈ្មោះចំណុចប្រទាក់) និងគូអាសយដ្ឋានគោលដៅ។

កំណត់រចនាសម្ព័ន្ធ IPsec ផ្លូវឋិតិវន្ត

ដើម្បីដឹកនាំចរាចរណ៍ពីសេវាកម្ម VPN ទៅកាន់ផ្លូវរូងក្រោមដី IPsec ក្នុងការដឹកជញ្ជូន VPN (VPN 0) អ្នកកំណត់រចនាសម្ព័ន្ធផ្លូវឋិតិវន្តជាក់លាក់ IPsec នៅក្នុងសេវាកម្ម VPN ( VPN ក្រៅពី VPN 0 ឬ VPN 512)៖

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 interface
• ipsecnumber [ipsecnumber2]

លេខសម្គាល់ VPN គឺជាសេវាកម្ម VPN ណាមួយ (VPN 1 ដល់ 65530 លើកលែងតែ 512) ។ បុព្វបទ/ប្រវែង គឺជាអាសយដ្ឋាន IP ឬបុព្វបទ ជាសញ្ញាណបួនផ្នែកទសភាគ និងប្រវែងបុព្វបទនៃផ្លូវឋិតិវន្តជាក់លាក់ IPsec ។ ចំណុចប្រទាក់គឺជាចំណុចប្រទាក់ផ្លូវរូងក្រោមដី IPsec នៅក្នុង VPN 0។ អ្នកអាចកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ផ្លូវរូងក្រោមដី IPsec មួយ ឬពីរ។ ប្រសិនបើអ្នកកំណត់រចនាសម្ព័ន្ធពីរ ទីមួយគឺជាផ្លូវរូងក្រោមដី IPsec ចម្បង ហើយទីពីរគឺការបម្រុងទុក។ ជាមួយនឹងចំណុចប្រទាក់ពីរ កញ្ចប់ព័ត៌មានទាំងអស់ត្រូវបានផ្ញើទៅតែផ្លូវរូងក្រោមដីបឋមប៉ុណ្ណោះ។ ប្រសិនបើផ្លូវរូងក្រោមដីនោះបរាជ័យ កញ្ចប់ទាំងអស់ត្រូវបានបញ្ជូនទៅផ្លូវរូងក្រោមដីបន្ទាប់បន្សំ។ ប្រសិនបើផ្លូវរូងក្រោមដីចម្បងត្រលប់មកវិញ ចរាចរណ៍ទាំងអស់ត្រូវបានផ្លាស់ទីត្រឡប់ទៅផ្លូវរូងក្រោមដី IPsec បឋមវិញ។

បើកដំណើរការ IKE កំណែ 1
នៅពេលអ្នកបង្កើតផ្លូវរូងក្រោមដី IPsec នៅលើរ៉ោតទ័រ vEdge កំណែ IKE 1 ត្រូវបានបើកតាមលំនាំដើមនៅលើចំណុចប្រទាក់ផ្លូវរូងក្រោមដី។ លក្ខណសម្បត្តិខាងក្រោមក៏ត្រូវបានបើកតាមលំនាំដើមសម្រាប់ IKEv1៖

• ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងការអ៊ិនគ្រីប - ការអ៊ិនគ្រីបស្តង់ដារ CBC កម្រិតខ្ពស់ AES-256 ជាមួយ HMAC-SHA1 keyed-hash message algorithm authentication code authentication code algorithm for integrity
• លេខក្រុម Diffie-Hellman—16
• ចន្លោះពេលនៃការចាក់សោឡើងវិញ - 4 ម៉ោង។
• របៀបបង្កើត SA - មេ

តាមលំនាំដើម IKEv1 ប្រើរបៀបមេ IKE ដើម្បីបង្កើត IKE SAs ។ នៅក្នុងរបៀបនេះ កញ្ចប់ចរចាចំនួនប្រាំមួយត្រូវបានផ្លាស់ប្តូរដើម្បីបង្កើត SA ។ ដើម្បីផ្លាស់ប្តូរកញ្ចប់ចរចារតែបីប៉ុណ្ណោះ សូមបើករបៀបឈ្លានពាន៖

ចំណាំ
របៀបឈ្លានពាន IKE ជាមួយសោដែលបានចែករំលែកជាមុនគួរតែត្រូវបានជៀសវាងគ្រប់ទីកន្លែងដែលអាចធ្វើទៅបាន។ បើមិនដូច្នេះទេ គន្លឹះចែករំលែកជាមុនដ៏រឹងមាំគួរតែត្រូវបានជ្រើសរើស។

• vEdge(config)# vpn vpn-id interface ipsec number ike
• vEdge(config-ike)# របៀបឈ្លានពាន

តាមលំនាំដើម IKEv1 ប្រើ Diffie-Hellman group 16 ក្នុងការផ្លាស់ប្តូរសោ IKE ។ ក្រុមនេះប្រើក្រុម 4096-bit more modular exponential (MODP) កំឡុងពេលផ្លាស់ប្តូរសោ IKE ។ អ្នកអាចប្តូរលេខក្រុមទៅជាលេខ 2 (សម្រាប់ MODP 1024 ប៊ីត), 14 (2048 ប៊ីត MODP) ឬ 15 (3072 ប៊ីត MODP)៖

• vEdge(config)# vpn vpn-id interface ipsec number ike
• vEdge(config-ike)# លេខក្រុម

តាមលំនាំដើម ការផ្លាស់ប្តូរសោ IKE ប្រើស្តង់ដារការអ៊ិនគ្រីបកម្រិតខ្ពស់ AES-256 ការអ៊ិនគ្រីប CBC ជាមួយ HMAC-SHA1 keyed-hash message authentication code algorithm សម្រាប់ភាពសុចរិត។ អ្នកអាចផ្លាស់ប្តូរការផ្ទៀងផ្ទាត់៖

• vEdge(config)# vpn vpn-id interface ipsec number ike
• vEdge(config-ike)# ឈុត cipher-suite

ឈុតការផ្ទៀងផ្ទាត់អាចជាផ្នែកមួយដូចខាងក្រោម៖

• aes128-cbc-sha1—AES-128 ស្តង់ដារការអ៊ិនគ្រីបកម្រិតខ្ពស់ CBC ការអ៊ិនគ្រីបជាមួយ HMAC-SHA1 keyed-hash message authentication code algorithm for integrity
• aes128-cbc-sha2—AES-128 ស្តង់ដារការអ៊ិនគ្រីបកម្រិតខ្ពស់ CBC ការអ៊ិនគ្រីបជាមួយ HMAC-SHA256 keyed-hash message authentication code algorithm for integrity
• aes256-cbc-sha1—AES-256 ស្តង់ដារការអ៊ិនគ្រីបកម្រិតខ្ពស់ CBC ការអ៊ិនគ្រីបជាមួយ HMAC-SHA1 keyed-hash message authentication code algorithm for integrity; នេះគឺជាលំនាំដើម។
• aes256-cbc-sha2—AES-256 ស្តង់ដារការអ៊ិនគ្រីបកម្រិតខ្ពស់ CBC ការអ៊ិនគ្រីបជាមួយ HMAC-SHA256 keyed-hash message authentication code algorithm for integrity

តាមលំនាំដើម គ្រាប់ចុច IKE ត្រូវបានធ្វើឱ្យស្រស់រៀងរាល់ 1 ម៉ោងម្តង (3600 វិនាទី)។ អ្នកអាចផ្លាស់ប្តូរចន្លោះពេល rekeying ទៅជាតម្លៃពី 30 វិនាទីរហូតដល់ 14 ថ្ងៃ (1209600 វិនាទី)។ វាត្រូវបានណែនាំថា ចន្លោះពេលនៃការចុចឡើងវិញគឺយ៉ាងហោចណាស់ 1 ម៉ោង។

• vEdge(config)# vpn vpn-id interface លេខ ipsec ដូច
• vEdge(config-ike)# គ្រាប់ចុចឡើងវិញវិនាទី

ដើម្បីបង្ខំការបង្កើតកូនសោថ្មីសម្រាប់សម័យ IKE សូមចេញពាក្យបញ្ជា ipsec ike-rekey សំណើ។

• vEdge(config)# vpn vpn-id interfaceipsec លេខ ike

សម្រាប់ IKE អ្នកក៏អាចកំណត់រចនាសម្ព័ន្ធការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃកូនសោដែលបានចែករំលែកជាមុន (PSK)៖

• vEdge(config)# vpn vpn-id interface ipsec number ike
• vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password គឺជាពាក្យសម្ងាត់ដែលត្រូវប្រើជាមួយសោដែលបានចែករំលែកជាមុន។ វាអាចជា ASCII ឬខ្សែអក្សរគោលដប់ប្រាំមួយចាប់ពី 1 ដល់ 127 តួអក្សរ។

ប្រសិនបើ IKE ពីចម្ងាយត្រូវការលេខសម្គាល់មូលដ្ឋាន ឬពីចម្ងាយ អ្នកអាចកំណត់រចនាសម្ព័ន្ធអត្តសញ្ញាណនេះបាន៖

• vEdge(config)# vpn vpn-id interface លេខ ipsec ike authentication-type
• vEdge(config-authentication-type)# local-id ID
• vEdge(config-authentication-type)# លេខសម្គាល់ពីចម្ងាយ

ឧបករណ៍កំណត់អត្តសញ្ញាណអាចជាអាសយដ្ឋាន IP ឬខ្សែអក្សរណាមួយដែលមានចាប់ពី 1 ដល់ 63 តួអក្សរ។ តាមលំនាំដើម លេខសម្គាល់មូលដ្ឋានគឺជាអាសយដ្ឋាន IP ប្រភពផ្លូវរូងក្រោមដី ហើយលេខសម្គាល់ពីចម្ងាយគឺជាអាសយដ្ឋាន IP ទិសដៅផ្លូវរូងក្រោមដី។

បើកដំណើរការ IKE កំណែ 2
នៅពេលអ្នកកំណត់រចនាសម្ព័ន្ធផ្លូវរូងក្រោមដី IPsec ដើម្បីប្រើ IKE កំណែ 2 លក្ខណៈសម្បត្តិខាងក្រោមក៏ត្រូវបានបើកតាមលំនាំដើមសម្រាប់ IKEv2៖

• ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងការអ៊ិនគ្រីប - ការអ៊ិនគ្រីបស្តង់ដារ CBC កម្រិតខ្ពស់ AES-256 ជាមួយ HMAC-SHA1 keyed-hash message algorithm authentication code authentication code algorithm for integrity
• លេខក្រុម Diffie-Hellman—16
• ចន្លោះពេលនៃការចាក់សោឡើងវិញ - 4 ម៉ោង។

តាមលំនាំដើម IKEv2 ប្រើ Diffie-Hellman group 16 ក្នុងការផ្លាស់ប្តូរសោ IKE ។ ក្រុមនេះប្រើក្រុម 4096-bit more modular exponential (MODP) កំឡុងពេលផ្លាស់ប្តូរសោ IKE ។ អ្នកអាចប្តូរលេខក្រុមទៅជាលេខ 2 (សម្រាប់ MODP 1024 ប៊ីត), 14 (2048 ប៊ីត MODP) ឬ 15 (3072 ប៊ីត MODP)៖

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# លេខក្រុម

តាមលំនាំដើម ការផ្លាស់ប្តូរសោ IKE ប្រើស្តង់ដារការអ៊ិនគ្រីបកម្រិតខ្ពស់ AES-256 ការអ៊ិនគ្រីប CBC ជាមួយ HMAC-SHA1 keyed-hash message authentication code algorithm សម្រាប់ភាពសុចរិត។ អ្នកអាចផ្លាស់ប្តូរការផ្ទៀងផ្ទាត់៖

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# ឈុត cipher-suite

ឈុតការផ្ទៀងផ្ទាត់អាចជាផ្នែកមួយដូចខាងក្រោម៖

• aes128-cbc-sha1—AES-128 ស្តង់ដារការអ៊ិនគ្រីបកម្រិតខ្ពស់ CBC ការអ៊ិនគ្រីបជាមួយ HMAC-SHA1 keyed-hash message authentication code algorithm for integrity
• aes128-cbc-sha2—AES-128 ស្តង់ដារការអ៊ិនគ្រីបកម្រិតខ្ពស់ CBC ការអ៊ិនគ្រីបជាមួយ HMAC-SHA256 keyed-hash message authentication code algorithm for integrity
• aes256-cbc-sha1—AES-256 ស្តង់ដារការអ៊ិនគ្រីបកម្រិតខ្ពស់ CBC ការអ៊ិនគ្រីបជាមួយ HMAC-SHA1 keyed-hash message authentication code algorithm for integrity; នេះគឺជាលំនាំដើម។
• aes256-cbc-sha2—AES-256 ស្តង់ដារការអ៊ិនគ្រីបកម្រិតខ្ពស់ CBC ការអ៊ិនគ្រីបជាមួយ HMAC-SHA256 keyed-hash message authentication code algorithm for integrity

តាមលំនាំដើម គ្រាប់ចុច IKE ត្រូវបានធ្វើឱ្យស្រស់រៀងរាល់ 4 ម៉ោងម្តង (14,400 វិនាទី)។ អ្នកអាចផ្លាស់ប្តូរចន្លោះពេល rekeying ទៅជាតម្លៃពី 30 វិនាទីដល់ 14 ថ្ងៃ (1209600 វិនាទី)៖

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# គ្រាប់ចុចឡើងវិញវិនាទី

ដើម្បីបង្ខំការបង្កើតកូនសោថ្មីសម្រាប់សម័យ IKE សូមចេញពាក្យបញ្ជា ipsec ike-rekey សំណើ។ សម្រាប់ IKE អ្នកក៏អាចកំណត់រចនាសម្ព័ន្ធការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃកូនសោដែលបានចែករំលែកជាមុន (PSK)៖

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password គឺជាពាក្យសម្ងាត់ដែលត្រូវប្រើជាមួយសោដែលបានចែករំលែកជាមុន។ វាអាចជា ASCII ឬខ្សែអក្សរគោលដប់ប្រាំមួយ ឬវាអាចជាសោដែលបានអ៊ិនគ្រីប AES ។ ប្រសិនបើ IKE ពីចម្ងាយត្រូវការលេខសម្គាល់មូលដ្ឋាន ឬពីចម្ងាយ អ្នកអាចកំណត់រចនាសម្ព័ន្ធអត្តសញ្ញាណនេះបាន៖
• vEdge(config)# vpn vpn-id interface ipsecnumber ike authentication-type
• vEdge(config-authentication-type)# local-id ID
• vEdge(config-authentication-type)# លេខសម្គាល់ពីចម្ងាយ

ឧបករណ៍កំណត់អត្តសញ្ញាណអាចជាអាសយដ្ឋាន IP ឬខ្សែអក្សរណាមួយដែលមានចាប់ពី 1 ដល់ 64 តួអក្សរ។ តាមលំនាំដើម លេខសម្គាល់មូលដ្ឋានគឺជាអាសយដ្ឋាន IP ប្រភពផ្លូវរូងក្រោមដី ហើយលេខសម្គាល់ពីចម្ងាយគឺជាអាសយដ្ឋាន IP ទិសដៅផ្លូវរូងក្រោមដី។

កំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រផ្លូវរូងក្រោមដី IPsec

តារាងទី 4: ប្រវត្តិលក្ខណៈពិសេស

លក្ខណៈ ឈ្មោះ	ចេញផ្សាយព័ត៌មាន	ការពិពណ៌នា
កូដសម្ងាត់បន្ថែម	Cisco SD-WAN ចេញផ្សាយ 20.1.1	លក្ខណៈពិសេសនេះបន្ថែមការគាំទ្រសម្រាប់
ការគាំទ្រក្បួនដោះស្រាយសម្រាប់ IPSec		HMAC_SHA256, HMAC_SHA384, និង
ផ្លូវរូងក្រោមដី		HMAC_SHA512 ក្បួនដោះស្រាយសម្រាប់
		សន្តិសុខប្រសើរឡើង។

តាមលំនាំដើម ប៉ារ៉ាម៉ែត្រខាងក្រោមត្រូវបានប្រើនៅលើផ្លូវរូងក្រោមដី IPsec ដែលផ្ទុកចរាចរណ៍ IKE៖

• ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងការអ៊ិនគ្រីប-AES-256 algorithm នៅក្នុង GCM (Galois/counter mode)
• ចន្លោះពេលចាក់សោ - 4 ម៉ោង។
• បង្អួចចាក់ឡើងវិញ - 32 កញ្ចប់

អ្នកអាចផ្លាស់ប្តូរការអ៊ិនគ្រីបនៅលើផ្លូវរូងក្រោមដី IPsec ទៅជាអក្សរសម្ងាត់ AES-256 នៅក្នុង CBC (របៀបដាក់ខ្សែសង្វាក់កូដដោយ HMAC ដោយប្រើ SHA-1 ឬ SHA-2 keyed-hash message authentication ឬទុកជាមោឃៈជាមួយ HMAC ដោយប្រើ SHA-1 ឬ SHA-2 keyed-hash message authentication ដើម្បីមិនអ៊ិនគ្រីបផ្លូវរូងក្រោមដី IPsec ដែលប្រើសម្រាប់ចរាចរណ៍ប្តូរសោ IKE៖

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-aes1-nulles256 | aes256-null-sha256 | aes384-null-sha256)

តាមលំនាំដើម គ្រាប់ចុច IKE ត្រូវបានធ្វើឱ្យស្រស់រៀងរាល់ 4 ម៉ោងម្តង (14,400 វិនាទី)។ អ្នកអាចផ្លាស់ប្តូរចន្លោះពេល rekeying ទៅជាតម្លៃពី 30 វិនាទីដល់ 14 ថ្ងៃ (1209600 វិនាទី)៖

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# rekey វិនាទី

ដើម្បីបង្ខំការបង្កើតកូនសោថ្មីសម្រាប់ផ្លូវរូងក្រោមដី IPsec សូមចេញសំណើ ipsec ipsec-rekey ពាក្យបញ្ជា។ តាមលំនាំដើម ការសម្ងាត់ឆ្ពោះទៅមុខដ៏ល្អឥតខ្ចោះ (PFS) ត្រូវបានបើកនៅលើផ្លូវរូងក្រោមដី IPsec ដើម្បីធានាថាវគ្គកន្លងមកមិនត្រូវបានប៉ះពាល់ ប្រសិនបើសោនាពេលអនាគតត្រូវបានសម្របសម្រួល។ PFS បង្ខំការផ្លាស់ប្តូរសោ Diffie-Hellman ថ្មីតាមលំនាំដើមដោយប្រើក្រុមម៉ូឌុលសំខាន់ 4096-bit Diffie-Hellman ។ អ្នកអាចផ្លាស់ប្តូរការកំណត់ PFS៖

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-setting អាចជាផ្នែកមួយដូចខាងក្រោម៖

• ក្រុម-2- ប្រើក្រុមម៉ូឌុលបឋម Diffie-Hellman 1024 ប៊ីត។
• ក្រុម-14- ប្រើក្រុមម៉ូឌុលបឋម Diffie-Hellman 2048 ប៊ីត។
• ក្រុម-15- ប្រើក្រុមម៉ូឌុលបឋម Diffie-Hellman 3072 ប៊ីត។
• ក្រុម-16- ប្រើក្រុមម៉ូឌុលសំខាន់ 4096 ប៊ីត Diffie-Hellman ។ នេះគឺជាលំនាំដើម។
• គ្មាន - បិទ PFS ។

តាមលំនាំដើម បង្អួចចាក់ឡើងវិញ IPsec នៅលើផ្លូវរូងក្រោមដី IPsec គឺ 512 បៃ។ អ្នកអាចកំណត់ទំហំបង្អួចចាក់ឡើងវិញទៅ 64, 128, 256, 512, 1024, 2048 ឬ 4096 កញ្ចប់៖

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# replay-window number

កែប្រែ IKE Dead-Peer Detection

IKE ប្រើយន្តការស្វែងរកមនុស្សស្លាប់ដើម្បីកំណត់ថាតើការភ្ជាប់ទៅមិត្តភ័ក្តិ IKE មានមុខងារ និងអាចទៅដល់បានដែរឬទេ។ ដើម្បីអនុវត្តយន្តការនេះ IKE ផ្ញើកញ្ចប់ Hello ទៅកាន់មិត្តភ័ក្តិរបស់ខ្លួន ហើយមិត្តភ័ក្តិផ្ញើការទទួលស្គាល់ជាការឆ្លើយតប។ តាមលំនាំដើម IKE ផ្ញើកញ្ចប់ Hello រៀងរាល់ 10 វិនាទី ហើយបន្ទាប់ពីកញ្ចប់ព័ត៌មានចំនួន 0 ដែលមិនបានទទួលស្គាល់ IKE ប្រកាសថាអ្នកជិតខាងបានស្លាប់ ហើយស្រក់ទឹកភ្នែកពីផ្លូវរូងក្រោមដីទៅមិត្តភក្ដិ។ បន្ទាប់មក IKE ផ្ញើកញ្ចប់ Hello ទៅកាន់មិត្តភ័ក្តិជាទៀងទាត់ ហើយបង្កើតផ្លូវរូងក្រោមដីឡើងវិញ នៅពេលដែលមិត្តភ័ក្តិត្រលប់មកអនឡាញវិញ។ អ្នកអាចផ្លាស់ប្តូរចន្លោះពេលនៃការរកឃើញភាពរស់រវើកទៅជាតម្លៃពី 65535 ដល់ 0 ហើយអ្នកអាចផ្លាស់ប្តូរចំនួននៃការព្យាយាមម្តងទៀតទៅជាតម្លៃពី 255 ដល់ XNUMX ។

ចំណាំ

សម្រាប់ការដឹកជញ្ជូន VPN ចន្លោះពេលរកឃើញភាពរស់រវើកត្រូវបានបំប្លែងទៅជាវិនាទីដោយប្រើរូបមន្តខាងក្រោម៖ ចន្លោះពេលសម្រាប់ការព្យាយាមបញ្ជូនឡើងវិញលេខ N = ចន្លោះពេល * 1.8N-1For example ប្រសិនបើចន្លោះពេលត្រូវបានកំណត់ទៅ 10 ហើយព្យាយាមម្តងទៀតទៅ 5 ចន្លោះពេលរកឃើញនឹងកើនឡើងដូចខាងក្រោម៖

• ការប៉ុនប៉ង 1: 10 * 1.81-1 = 10 វិនាទី
• ការប៉ុនប៉ង 2: 10 * 1.82-1 = 18 វិនាទី
• ការប៉ុនប៉ង 3: 10 * 1.83-1 = 32.4 វិនាទី
• ការប៉ុនប៉ង 4: 10 * 1.84-1 = 58.32 វិនាទី
• ការប៉ុនប៉ង 5: 10 * 1.85-1 = 104.976 វិនាទី

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval try number

កំណត់រចនាសម្ព័ន្ធមុខងារចំណុចប្រទាក់ផ្សេងទៀត។

សម្រាប់ចំណុចប្រទាក់ផ្លូវរូងក្រោមដី IPsec អ្នកអាចកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់បន្ថែមខាងក្រោមតែប៉ុណ្ណោះ៖

• vEdge(config-interface-ipsec)# mtu bytes
• vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

បិទដំណើរការក្បួនដោះស្រាយការអ៊ិនគ្រីប SSH ខ្សោយនៅលើកម្មវិធីគ្រប់គ្រង Cisco SD-WAN

តារាងទី 5: តារាងប្រវត្តិលក្ខណៈពិសេស

លក្ខណៈ ឈ្មោះ	ចេញផ្សាយព័ត៌មាន	លក្ខណៈ ការពិពណ៌នា
បិទដំណើរការក្បួនដោះស្រាយការអ៊ិនគ្រីប SSH ខ្សោយនៅលើកម្មវិធីគ្រប់គ្រង Cisco SD-WAN	Cisco vManage ចេញផ្សាយ 20.9.1	មុខងារនេះអនុញ្ញាតឱ្យអ្នកបិទក្បួនដោះស្រាយ SSH ខ្សោយនៅលើកម្មវិធីគ្រប់គ្រង Cisco SD-WAN ដែលអាចមិនអនុលោមតាមស្តង់ដារសុវត្ថិភាពទិន្នន័យជាក់លាក់។

ព័ត៌មានអំពីការបិទក្បួនដោះស្រាយការអ៊ិនគ្រីប SSH ខ្សោយនៅលើកម្មវិធីគ្រប់គ្រង Cisco SD-WAN
កម្មវិធីគ្រប់គ្រង Cisco SD-WAN ផ្តល់ម៉ាស៊ីនភ្ញៀវ SSH សម្រាប់ការទំនាក់ទំនងជាមួយសមាសធាតុនៅក្នុងបណ្តាញ រួមទាំងឧបករណ៍បញ្ជា និងឧបករណ៍គែម។ ម៉ាស៊ីនភ្ញៀវ SSH ផ្តល់នូវការតភ្ជាប់ដែលបានអ៊ិនគ្រីបសម្រាប់ការផ្ទេរទិន្នន័យប្រកបដោយសុវត្ថិភាព ដោយផ្អែកលើភាពខុសគ្នានៃក្បួនដោះស្រាយការអ៊ិនគ្រីប។ អង្គការជាច្រើនទាមទារការអ៊ិនគ្រីបខ្លាំងជាងអ្វីដែលផ្តល់ដោយ SHA-1, AES-128 និង AES-192 ។ ពី Cisco vManage Release 20.9.1 អ្នក​អាច​បិទ​ក្បួន​ដោះស្រាយ​ការ​អ៊ិនគ្រីប​ខ្សោយ​ដូច​ខាង​ក្រោម ដើម្បី​កុំ​ឱ្យ​កម្មវិធី SSH ប្រើ​ក្បួន​ដោះស្រាយ​ទាំងនេះ៖

• SHA-1
• AES-128
• AES-192

មុនពេលបិទដំណើរការក្បួនដោះស្រាយការអ៊ិនគ្រីបទាំងនេះ សូមប្រាកដថាឧបករណ៍ Cisco vEdge បើមាននៅក្នុងបណ្តាញ កំពុងប្រើការចេញផ្សាយកម្មវិធីក្រោយ Cisco SD-WAN Release 18.4.6។

អត្ថប្រយោជន៍នៃការបិទក្បួនដោះស្រាយការអ៊ិនគ្រីប SSH ខ្សោយនៅលើកម្មវិធីគ្រប់គ្រង Cisco SD-WAN
ការបិទដំណើរការក្បួនដោះស្រាយការអ៊ិនគ្រីប SSH ខ្សោយ ធ្វើអោយប្រសើរឡើងនូវសុវត្ថិភាពនៃការទំនាក់ទំនង SSH និងធានាថាស្ថាប័នដែលប្រើប្រាស់ Cisco Catalyst SD-WAN គឺអនុលោមតាមបទប្បញ្ញត្តិសុវត្ថិភាពដ៏តឹងរឹង។

បិទដំណើរការក្បួនដោះស្រាយការអ៊ិនគ្រីប SSH ខ្សោយនៅលើកម្មវិធីគ្រប់គ្រង Cisco SD-WAN ដោយប្រើ CLI

1. ពី Cisco SD-WAN Manager ជ្រើសរើស Tools > SSH Terminal។
2. ជ្រើសរើសឧបករណ៍ Cisco SD-WAN Manager ដែលអ្នកចង់បិទក្បួនដោះស្រាយ SSH ដែលខ្សោយជាង។
3. បញ្ចូលឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ ដើម្បីចូលឧបករណ៍។
4. បញ្ចូលរបៀបម៉ាស៊ីនមេ SSH ។
   • vmanage(config) # ប្រព័ន្ធ
   • vmanage(config-system)# ssh-server
5. ធ្វើមួយក្នុងចំណោមវិធីខាងក្រោមដើម្បីបិទក្បួនដោះស្រាយការអ៊ិនគ្រីប SSH៖
   • បិទ SHA-1៖
6. គ្រប់គ្រង(config-ssh-server)# no kex-algo sha1
7. គ្រប់គ្រង(config-ssh-server) # ប្តេជ្ញា
   សារព្រមានខាងក្រោមត្រូវបានបង្ហាញ៖ ការព្រមានខាងក្រោមត្រូវបានបង្កើត៖ 'system ssh-server kex-algo sha1': ការព្រមាន៖ សូមប្រាកដថាគែមទាំងអស់របស់អ្នកដំណើរការកូដកំណែ> 18.4.6 ដែលចរចាប្រសើរជាង SHA1 ជាមួយ vManage។ បើមិនដូច្នេះទេ គែមទាំងនោះអាចក្លាយជាគ្មានអ៊ីនធឺណិត។ បន្ត? [បាទ/ចាស ទេ] បាទ
   • ត្រូវប្រាកដថាឧបករណ៍ Cisco vEdge ណាមួយនៅក្នុងបណ្តាញកំពុងដំណើរការ Cisco SD-WAN Release 18.4.6 ឬថ្មីជាងនេះ ហើយបញ្ចូលបាទ។
   • បិទ AES-128 និង AES-192៖
   • vmanage(config-ssh-server)# no cipher aes-128-192
   • vmanage(config-ssh-server)# commit
     សារព្រមានខាងក្រោមត្រូវបានបង្ហាញ៖
     ការព្រមានខាងក្រោមត្រូវបានបង្កើតឡើង៖
     'system ssh-server cipher aes-128-192'៖ ការព្រមាន៖ សូមប្រាកដថាគែមទាំងអស់របស់អ្នកដំណើរការកូដ កំណែ> 18.4.6 ដែលចរចាបានប្រសើរជាង AES-128-192 ជាមួយ vManage។ បើមិនដូច្នេះទេ គែមទាំងនោះអាចក្លាយជាគ្មានអ៊ីនធឺណិត។ បន្ត? [បាទ/ចាស ទេ] បាទ
   • ត្រូវប្រាកដថាឧបករណ៍ Cisco vEdge ណាមួយនៅក្នុងបណ្តាញកំពុងដំណើរការ Cisco SD-WAN Release 18.4.6 ឬថ្មីជាងនេះ ហើយបញ្ចូលបាទ។

ផ្ទៀងផ្ទាត់ថា ក្បួនដោះស្រាយការអ៊ិនគ្រីប SSH ខ្សោយត្រូវបានបិទនៅលើកម្មវិធីគ្រប់គ្រង Cisco SD-WAN ដោយប្រើ CLI

1. ពី Cisco SD-WAN Manager ជ្រើសរើស Tools > SSH Terminal។
2. ជ្រើសរើសឧបករណ៍គ្រប់គ្រង Cisco SD-WAN ដែលអ្នកចង់ផ្ទៀងផ្ទាត់។
3. បញ្ចូលឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ ដើម្បីចូលឧបករណ៍។
4. ដំណើរការពាក្យបញ្ជាខាងក្រោម៖ បង្ហាញការដំណើរការប្រព័ន្ធ ssh-server
5. បញ្ជាក់​ថា​លទ្ធផល​បង្ហាញ​ពាក្យ​បញ្ជា​មួយ​ឬ​ច្រើន​ដែល​បិទ​ក្បួន​ដោះស្រាយ​ការ​អ៊ិនគ្រីប​ខ្សោយ៖
   • គ្មានលេខកូដ aes-128-192
   • គ្មាន kex-algo sha1

ឯកសារ/ធនធាន

CISCO SD-WAN កំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រសុវត្ថិភាព [pdf] ការណែនាំអ្នកប្រើប្រាស់ SD-WAN កំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រសុវត្ថិភាព SD-WAN កំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រសុវត្ថិភាព ប៉ារ៉ាម៉ែត្រសុវត្ថិភាព

ឯកសារយោង

• សៀវភៅណែនាំអ្នកប្រើប្រាស់