ಪರಿವಿಡಿ ಮರೆಮಾಡಿ
1 CISCO SD-WAN ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
2 ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
3 ಕಂಟ್ರೋಲ್ ಪ್ಲೇನ್ ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
4 Cisco SD-WAN ಮ್ಯಾನೇಜರ್‌ನಲ್ಲಿ DTLS ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
5 ಡೇಟಾ ಪ್ಲೇನ್ ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
6 ಅನುಮತಿಸಲಾದ ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
7 ರಿಕಿಯಿಂಗ್ ಟೈಮರ್ ಅನ್ನು ಬದಲಾಯಿಸಿ
8 ಆಂಟಿ-ರೀಪ್ಲೇ ವಿಂಡೋದ ಗಾತ್ರವನ್ನು ಬದಲಾಯಿಸಿ
9 IPsec ಸ್ಥಿರ ಮಾರ್ಗವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
10 IPsec ಟನಲ್ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
11 IKE ಡೆಡ್-ಪೀರ್ ಪತ್ತೆಯನ್ನು ಮಾರ್ಪಡಿಸಿ
12 ಇತರ ಇಂಟರ್ಫೇಸ್ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
13 Cisco SD-WAN ಮ್ಯಾನೇಜರ್‌ನಲ್ಲಿ ದುರ್ಬಲ SSH ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ
14 ದಾಖಲೆಗಳು / ಸಂಪನ್ಮೂಲಗಳು
14.1 ಉಲ್ಲೇಖಗಳು

ಸಿಸ್ಕೋ-ಲೋಗೋ

CISCO SD-WAN ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ

CISCO-SD-WAN-ಕಾನ್ಫಿಗರ್-ಸೆಕ್ಯುರಿಟಿ-ಪ್ಯಾರಾಮೀಟರ್‌ಗಳು-PRODUCT

ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ

ಗಮನಿಸಿ

ಸರಳೀಕರಣ ಮತ್ತು ಸ್ಥಿರತೆಯನ್ನು ಸಾಧಿಸಲು, Cisco SD-WAN ಪರಿಹಾರವನ್ನು Cisco ಕ್ಯಾಟಲಿಸ್ಟ್ SD-WAN ಎಂದು ಮರುನಾಮಕರಣ ಮಾಡಲಾಗಿದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, Cisco IOS XE SD-WAN ಬಿಡುಗಡೆ 17.12.1a ಮತ್ತು Cisco ಕ್ಯಾಟಲಿಸ್ಟ್ SD-WAN ಬಿಡುಗಡೆ 20.12.1 ನಿಂದ, ಈ ಕೆಳಗಿನ ಘಟಕ ಬದಲಾವಣೆಗಳು ಅನ್ವಯವಾಗುತ್ತವೆ: Cisco vManage ನಿಂದ Cisco ಕ್ಯಾಟಲಿಸ್ಟ್ SD-WAN ಮ್ಯಾನೇಜರ್, Cisco vAnalytics to CiscoWANAnalytics ಗೆ Analytics, Cisco vBond to Cisco Catalyst SD-WAN ವ್ಯಾಲಿಡೇಟರ್, ಮತ್ತು Cisco vSmart to Cisco Catalyst SD-WAN ಕಂಟ್ರೋಲರ್. ಎಲ್ಲಾ ಘಟಕಗಳ ಬ್ರ್ಯಾಂಡ್ ಹೆಸರು ಬದಲಾವಣೆಗಳ ಸಮಗ್ರ ಪಟ್ಟಿಗಾಗಿ ಇತ್ತೀಚಿನ ಬಿಡುಗಡೆ ಟಿಪ್ಪಣಿಗಳನ್ನು ನೋಡಿ. ನಾವು ಹೊಸ ಹೆಸರುಗಳಿಗೆ ಪರಿವರ್ತನೆ ಮಾಡುವಾಗ, ಸಾಫ್ಟ್‌ವೇರ್ ಉತ್ಪನ್ನದ ಬಳಕೆದಾರ ಇಂಟರ್ಫೇಸ್ ಅಪ್‌ಡೇಟ್‌ಗಳಿಗೆ ಹಂತಹಂತವಾದ ವಿಧಾನದ ಕಾರಣದಿಂದ ಕೆಲವು ಅಸಂಗತತೆಗಳು ದಾಖಲಾತಿ ಸೆಟ್‌ನಲ್ಲಿ ಕಂಡುಬರಬಹುದು.

Cisco ಕ್ಯಾಟಲಿಸ್ಟ್ SD-WAN ಓವರ್‌ಲೇ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ನಿಯಂತ್ರಣ ಪ್ಲೇನ್ ಮತ್ತು ಡೇಟಾ ಪ್ಲೇನ್‌ಗಾಗಿ ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಹೇಗೆ ಬದಲಾಯಿಸುವುದು ಎಂಬುದನ್ನು ಈ ವಿಭಾಗವು ವಿವರಿಸುತ್ತದೆ.

  • ಕಂಟ್ರೋಲ್ ಪ್ಲೇನ್ ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ, ಆನ್
  • ಡೇಟಾ ಪ್ಲೇನ್ ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ, ಆನ್
  • IKE-ಸಕ್ರಿಯಗೊಳಿಸಿದ IPsec ಸುರಂಗಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ, ಆನ್
  • Cisco SD-WAN ಮ್ಯಾನೇಜರ್‌ನಲ್ಲಿ ದುರ್ಬಲ SSH ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ, ಆನ್

ಕಂಟ್ರೋಲ್ ಪ್ಲೇನ್ ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ನಿಯಂತ್ರಣ ಸಮತಲವು ಅದರ ಎಲ್ಲಾ ಸುರಂಗಗಳಲ್ಲಿ ಗೌಪ್ಯತೆಯನ್ನು ಒದಗಿಸುವ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿ DTLS ಅನ್ನು ಬಳಸುತ್ತದೆ. DTLS UDP ಮೇಲೆ ಚಲಿಸುತ್ತದೆ. ನೀವು ಕಂಟ್ರೋಲ್ ಪ್ಲೇನ್ ಸೆಕ್ಯುರಿಟಿ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು TLS ಗೆ ಬದಲಾಯಿಸಬಹುದು, ಇದು TCP ಯಲ್ಲಿ ಚಲಿಸುತ್ತದೆ. TLS ಅನ್ನು ಬಳಸಲು ಪ್ರಾಥಮಿಕ ಕಾರಣವೆಂದರೆ, ನೀವು Cisco SD-WAN ನಿಯಂತ್ರಕವನ್ನು ಸರ್ವರ್ ಎಂದು ಪರಿಗಣಿಸಿದರೆ, UDP ಸರ್ವರ್‌ಗಳಿಗಿಂತ ಫೈರ್‌ವಾಲ್‌ಗಳು TCP ಸರ್ವರ್‌ಗಳನ್ನು ಉತ್ತಮವಾಗಿ ರಕ್ಷಿಸುತ್ತವೆ. ನೀವು Cisco SD-WAN ನಿಯಂತ್ರಕದಲ್ಲಿ ಕಂಟ್ರೋಲ್ ಪ್ಲೇನ್ ಟನಲ್ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ: vSmart(config)# ಭದ್ರತಾ ನಿಯಂತ್ರಣ ಪ್ರೋಟೋಕಾಲ್ tls ಈ ಬದಲಾವಣೆಯೊಂದಿಗೆ, Cisco SD-WAN ನಿಯಂತ್ರಕ ಮತ್ತು ರೂಟರ್‌ಗಳ ನಡುವೆ ಮತ್ತು Cisco SD-WAN ನಿಯಂತ್ರಕ ನಡುವೆ ಎಲ್ಲಾ ನಿಯಂತ್ರಣ ಪ್ಲೇನ್ ಸುರಂಗಗಳು ಮತ್ತು Cisco SD-WAN ಮ್ಯಾನೇಜರ್ TLS ಅನ್ನು ಬಳಸುತ್ತದೆ. Cisco ಕ್ಯಾಟಲಿಸ್ಟ್ SD-WAN ವ್ಯಾಲಿಡೇಟರ್‌ಗೆ ಕಂಟ್ರೋಲ್ ಪ್ಲೇನ್ ಸುರಂಗಗಳು ಯಾವಾಗಲೂ DTLS ಅನ್ನು ಬಳಸುತ್ತವೆ, ಏಕೆಂದರೆ ಈ ಸಂಪರ್ಕಗಳನ್ನು UDP ಮೂಲಕ ನಿರ್ವಹಿಸಬೇಕು. ಬಹು ಸಿಸ್ಕೋ SD-WAN ನಿಯಂತ್ರಕಗಳನ್ನು ಹೊಂದಿರುವ ಡೊಮೇನ್‌ನಲ್ಲಿ, ನೀವು Cisco SD-WAN ನಿಯಂತ್ರಕಗಳಲ್ಲಿ ಒಂದರಲ್ಲಿ TLS ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿದಾಗ, ಆ ನಿಯಂತ್ರಕದಿಂದ ಇತರ ನಿಯಂತ್ರಕಗಳಿಗೆ ಎಲ್ಲಾ ನಿಯಂತ್ರಣ ಪ್ಲೇನ್ ಸುರಂಗಗಳು TLS ಅನ್ನು ಬಳಸುತ್ತವೆ. ಇನ್ನೊಂದು ರೀತಿಯಲ್ಲಿ ಹೇಳುವುದಾದರೆ, TLS ಯಾವಾಗಲೂ DTLS ಗಿಂತ ಆದ್ಯತೆಯನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ಆದಾಗ್ಯೂ, ಇತರ Cisco SD-WAN ನಿಯಂತ್ರಕಗಳ ದೃಷ್ಟಿಕೋನದಿಂದ, ನೀವು ಅವುಗಳ ಮೇಲೆ TLS ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡದಿದ್ದರೆ, ಅವರು TLS ಅನ್ನು ನಿಯಂತ್ರಣ ಪ್ಲೇನ್ ಸುರಂಗದಲ್ಲಿ ಆ ಒಂದು Cisco SD-WAN ನಿಯಂತ್ರಕಕ್ಕೆ ಮಾತ್ರ ಬಳಸುತ್ತಾರೆ ಮತ್ತು ಅವರು DTLS ಸುರಂಗಗಳನ್ನು ಇತರ ಎಲ್ಲದಕ್ಕೂ ಬಳಸುತ್ತಾರೆ. Cisco SD-WAN ನಿಯಂತ್ರಕಗಳು ಮತ್ತು ಅವರ ಎಲ್ಲಾ ಸಂಪರ್ಕಿತ ರೂಟರ್‌ಗಳಿಗೆ. ಎಲ್ಲಾ Cisco SD-WAN ನಿಯಂತ್ರಕಗಳು TLS ಅನ್ನು ಬಳಸುವುದನ್ನು ಹೊಂದಲು, ಎಲ್ಲವನ್ನೂ ಕಾನ್ಫಿಗರ್ ಮಾಡಿ. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, TLS ವಿನಂತಿಗಳಿಗಾಗಿ Cisco SD-WAN ನಿಯಂತ್ರಕವು ಪೋರ್ಟ್ 23456 ನಲ್ಲಿ ಆಲಿಸುತ್ತದೆ. ಇದನ್ನು ಬದಲಾಯಿಸಲು: vSmart(config)# ಭದ್ರತಾ ನಿಯಂತ್ರಣ tls-ಪೋರ್ಟ್ ಸಂಖ್ಯೆ ಪೋರ್ಟ್ 1025 ರಿಂದ 65535 ರವರೆಗಿನ ಸಂಖ್ಯೆಯಾಗಿರಬಹುದು. ನಿಯಂತ್ರಣ ಪ್ಲೇನ್ ಭದ್ರತಾ ಮಾಹಿತಿಯನ್ನು ಪ್ರದರ್ಶಿಸಲು, Cisco SD-WAN ನಿಯಂತ್ರಕದಲ್ಲಿ ಪ್ರದರ್ಶನ ನಿಯಂತ್ರಣ ಸಂಪರ್ಕಗಳ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ. ಉದಾಹರಣೆಗೆample: vSmart-2# ನಿಯಂತ್ರಣ ಸಂಪರ್ಕಗಳನ್ನು ತೋರಿಸು

CISCO-SD-WAN-ಕಾನ್ಫಿಗರ್-ಸೆಕ್ಯುರಿಟಿ-ಪ್ಯಾರಾಮೀಟರ್‌ಗಳು-FIG-1

Cisco SD-WAN ಮ್ಯಾನೇಜರ್‌ನಲ್ಲಿ DTLS ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ

ಕಂಟ್ರೋಲ್ ಪ್ಲೇನ್ ಸೆಕ್ಯುರಿಟಿ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿ TLS ಅನ್ನು ಬಳಸಲು ನೀವು Cisco SD-WAN ಮ್ಯಾನೇಜರ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿದರೆ, ನಿಮ್ಮ NAT ನಲ್ಲಿ ಪೋರ್ಟ್ ಫಾರ್ವರ್ಡ್ ಮಾಡುವಿಕೆಯನ್ನು ನೀವು ಸಕ್ರಿಯಗೊಳಿಸಬೇಕು. ನೀವು ಕಂಟ್ರೋಲ್ ಪ್ಲೇನ್ ಸೆಕ್ಯುರಿಟಿ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿ DTLS ಅನ್ನು ಬಳಸುತ್ತಿದ್ದರೆ, ನೀವು ಏನನ್ನೂ ಮಾಡಬೇಕಾಗಿಲ್ಲ. ಫಾರ್ವರ್ಡ್ ಮಾಡಲಾದ ಪೋರ್ಟ್‌ಗಳ ಸಂಖ್ಯೆಯು ಸಿಸ್ಕೋ SD-WAN ಮ್ಯಾನೇಜರ್‌ನಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ vdaemon ಪ್ರಕ್ರಿಯೆಗಳ ಸಂಖ್ಯೆಯನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ. ಈ ಪ್ರಕ್ರಿಯೆಗಳ ಬಗ್ಗೆ ಮತ್ತು ಫಾರ್ವರ್ಡ್ ಮಾಡಲಾಗುತ್ತಿರುವ ಪೋರ್ಟ್‌ಗಳ ಸಂಖ್ಯೆಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಪ್ರದರ್ಶಿಸಲು, ಪ್ರದರ್ಶನ ನಿಯಂತ್ರಣ ಸಾರಾಂಶ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ ನಾಲ್ಕು ಡೀಮನ್ ಪ್ರಕ್ರಿಯೆಗಳು ಚಾಲನೆಯಲ್ಲಿವೆ ಎಂದು ತೋರಿಸುತ್ತದೆ:CISCO-SD-WAN-ಕಾನ್ಫಿಗರ್-ಸೆಕ್ಯುರಿಟಿ-ಪ್ಯಾರಾಮೀಟರ್‌ಗಳು-FIG-2

ಆಲಿಸುವ ಪೋರ್ಟ್‌ಗಳನ್ನು ನೋಡಲು, ಶೋ ಕಂಟ್ರೋಲ್ ಲೋಕಲ್-ಪ್ರಾಪರ್ಟೀಸ್ ಕಮಾಂಡ್ ಅನ್ನು ಬಳಸಿ: vManage# ಶೋ ಕಂಟ್ರೋಲ್ ಲೋಕಲ್-ಪ್ರಾಪರ್ಟೀಸ್

CISCO-SD-WAN-ಕಾನ್ಫಿಗರ್-ಸೆಕ್ಯುರಿಟಿ-ಪ್ಯಾರಾಮೀಟರ್‌ಗಳು-FIG-3

ಆಲಿಸುವ TCP ಪೋರ್ಟ್ 23456 ಎಂದು ಈ ಔಟ್‌ಪುಟ್ ತೋರಿಸುತ್ತದೆ. ನೀವು NAT ಹಿಂದೆ Cisco SD-WAN ಮ್ಯಾನೇಜರ್ ಅನ್ನು ಚಾಲನೆ ಮಾಡುತ್ತಿದ್ದರೆ, ನೀವು NAT ಸಾಧನದಲ್ಲಿ ಈ ಕೆಳಗಿನ ಪೋರ್ಟ್‌ಗಳನ್ನು ತೆರೆಯಬೇಕು:

  • 23456 (ಬೇಸ್ - ನಿದರ್ಶನ 0 ಪೋರ್ಟ್)
  • 23456 + 100 (ಬೇಸ್ + 100)
  • 23456 + 200 (ಬೇಸ್ + 200)
  • 23456 + 300 (ಬೇಸ್ + 300)

ನಿದರ್ಶನಗಳ ಸಂಖ್ಯೆಯು Cisco SD-WAN ಮ್ಯಾನೇಜರ್‌ಗಾಗಿ ನೀವು ನಿಯೋಜಿಸಿರುವ ಕೋರ್‌ಗಳ ಸಂಖ್ಯೆಯು ಗರಿಷ್ಠ 8 ರವರೆಗೆ ಒಂದೇ ಆಗಿರುತ್ತದೆ ಎಂಬುದನ್ನು ಗಮನಿಸಿ.

ಭದ್ರತಾ ವೈಶಿಷ್ಟ್ಯದ ಟೆಂಪ್ಲೇಟ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ

ಎಲ್ಲಾ Cisco vEdge ಸಾಧನಗಳಿಗೆ ಭದ್ರತಾ ವೈಶಿಷ್ಟ್ಯದ ಟೆಂಪ್ಲೇಟ್ ಅನ್ನು ಬಳಸಿ. ಎಡ್ಜ್ ರೂಟರ್‌ಗಳಲ್ಲಿ ಮತ್ತು Cisco SD-WAN ವ್ಯಾಲಿಡೇಟರ್‌ನಲ್ಲಿ, ಡೇಟಾ ಪ್ಲೇನ್ ಸುರಕ್ಷತೆಗಾಗಿ IPsec ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಈ ಟೆಂಪ್ಲೇಟ್ ಅನ್ನು ಬಳಸಿ. Cisco SD-WAN ಮ್ಯಾನೇಜರ್ ಮತ್ತು Cisco SD-WAN ನಿಯಂತ್ರಕದಲ್ಲಿ, ನಿಯಂತ್ರಣ ಪ್ಲೇನ್ ಭದ್ರತೆಗಾಗಿ DTLS ಅಥವಾ TLS ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಭದ್ರತಾ ವೈಶಿಷ್ಟ್ಯದ ಟೆಂಪ್ಲೇಟ್ ಅನ್ನು ಬಳಸಿ.

ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ

  1. Cisco SD-WAN ಮ್ಯಾನೇಜರ್ ಮೆನುವಿನಿಂದ, ಕಾನ್ಫಿಗರೇಶನ್ > ಟೆಂಪ್ಲೇಟ್‌ಗಳನ್ನು ಆಯ್ಕೆಮಾಡಿ.
  2. ವೈಶಿಷ್ಟ್ಯ ಟೆಂಪ್ಲೇಟ್‌ಗಳನ್ನು ಕ್ಲಿಕ್ ಮಾಡಿ ಮತ್ತು ನಂತರ ಟೆಂಪ್ಲೇಟ್ ಸೇರಿಸಿ ಕ್ಲಿಕ್ ಮಾಡಿ.
    ಗಮನಿಸಿ Cisco vManage ಬಿಡುಗಡೆ 20.7.1 ಮತ್ತು ಹಿಂದಿನ ಬಿಡುಗಡೆಗಳಲ್ಲಿ, ವೈಶಿಷ್ಟ್ಯ ಟೆಂಪ್ಲೇಟ್‌ಗಳನ್ನು ವೈಶಿಷ್ಟ್ಯ ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ.
  3. ಎಡ ಫಲಕದಲ್ಲಿರುವ ಸಾಧನಗಳ ಪಟ್ಟಿಯಿಂದ, ಸಾಧನವನ್ನು ಆಯ್ಕೆಮಾಡಿ. ಆಯ್ಕೆಮಾಡಿದ ಸಾಧನಕ್ಕೆ ಅನ್ವಯವಾಗುವ ಟೆಂಪ್ಲೇಟ್‌ಗಳು ಬಲ ಫಲಕದಲ್ಲಿ ಗೋಚರಿಸುತ್ತವೆ.
  4. ಟೆಂಪ್ಲೇಟ್ ತೆರೆಯಲು ಭದ್ರತೆ ಕ್ಲಿಕ್ ಮಾಡಿ.
  5. ಟೆಂಪ್ಲೇಟ್ ಹೆಸರು ಕ್ಷೇತ್ರದಲ್ಲಿ, ಟೆಂಪ್ಲೇಟ್‌ಗೆ ಹೆಸರನ್ನು ನಮೂದಿಸಿ. ಹೆಸರು 128 ಅಕ್ಷರಗಳವರೆಗೆ ಇರಬಹುದು ಮತ್ತು ಆಲ್ಫಾನ್ಯೂಮರಿಕ್ ಅಕ್ಷರಗಳನ್ನು ಮಾತ್ರ ಹೊಂದಿರಬಹುದು.
  6. ಟೆಂಪ್ಲೇಟ್ ವಿವರಣೆ ಕ್ಷೇತ್ರದಲ್ಲಿ, ಟೆಂಪ್ಲೇಟ್‌ನ ವಿವರಣೆಯನ್ನು ನಮೂದಿಸಿ. ವಿವರಣೆಯು 2048 ಅಕ್ಷರಗಳವರೆಗೆ ಇರಬಹುದು ಮತ್ತು ಆಲ್ಫಾನ್ಯೂಮರಿಕ್ ಅಕ್ಷರಗಳನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿರಬಹುದು.

ನೀವು ಮೊದಲು ವೈಶಿಷ್ಟ್ಯದ ಟೆಂಪ್ಲೇಟ್ ಅನ್ನು ತೆರೆದಾಗ, ಡೀಫಾಲ್ಟ್ ಮೌಲ್ಯವನ್ನು ಹೊಂದಿರುವ ಪ್ರತಿ ಪ್ಯಾರಾಮೀಟರ್‌ಗೆ, ಸ್ಕೋಪ್ ಅನ್ನು ಡೀಫಾಲ್ಟ್‌ಗೆ ಹೊಂದಿಸಲಾಗಿದೆ (ಚೆಕ್‌ಮಾರ್ಕ್‌ನಿಂದ ಸೂಚಿಸಲಾಗುತ್ತದೆ), ಮತ್ತು ಡೀಫಾಲ್ಟ್ ಸೆಟ್ಟಿಂಗ್ ಅಥವಾ ಮೌಲ್ಯವನ್ನು ತೋರಿಸಲಾಗುತ್ತದೆ. ಡೀಫಾಲ್ಟ್ ಅನ್ನು ಬದಲಾಯಿಸಲು ಅಥವಾ ಮೌಲ್ಯವನ್ನು ನಮೂದಿಸಲು, ಪ್ಯಾರಾಮೀಟರ್ ಕ್ಷೇತ್ರದ ಎಡಭಾಗದಲ್ಲಿರುವ ಸ್ಕೋಪ್ ಡ್ರಾಪ್-ಡೌನ್ ಮೆನುವನ್ನು ಕ್ಲಿಕ್ ಮಾಡಿ ಮತ್ತು ಕೆಳಗಿನವುಗಳಲ್ಲಿ ಒಂದನ್ನು ಆಯ್ಕೆಮಾಡಿ:

ಕೋಷ್ಟಕ 1:

ಪ್ಯಾರಾಮೀಟರ್ ವ್ಯಾಪ್ತಿ ವ್ಯಾಪ್ತಿ ವಿವರಣೆ
ನಿರ್ದಿಷ್ಟ ಸಾಧನ (ಹೋಸ್ಟ್ ಐಕಾನ್‌ನಿಂದ ಸೂಚಿಸಲಾಗುತ್ತದೆ) ನಿಯತಾಂಕಕ್ಕಾಗಿ ಸಾಧನ-ನಿರ್ದಿಷ್ಟ ಮೌಲ್ಯವನ್ನು ಬಳಸಿ. ಸಾಧನ-ನಿರ್ದಿಷ್ಟ ನಿಯತಾಂಕಗಳಿಗಾಗಿ, ನೀವು ವೈಶಿಷ್ಟ್ಯದ ಟೆಂಪ್ಲೇಟ್‌ನಲ್ಲಿ ಮೌಲ್ಯವನ್ನು ನಮೂದಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ. ನೀವು ವಿಪ್ಟೆಲಾ ಸಾಧನವನ್ನು ಸಾಧನದ ಟೆಂಪ್ಲೇಟ್‌ಗೆ ಲಗತ್ತಿಸಿದಾಗ ನೀವು ಮೌಲ್ಯವನ್ನು ನಮೂದಿಸುತ್ತೀರಿ.

ನೀವು ನಿರ್ದಿಷ್ಟ ಸಾಧನವನ್ನು ಕ್ಲಿಕ್ ಮಾಡಿದಾಗ, ನಮೂದಿಸಿ ಕೀ ಬಾಕ್ಸ್ ತೆರೆಯುತ್ತದೆ. ಈ ಬಾಕ್ಸ್ ಒಂದು ಕೀಲಿಯನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ, ಇದು CSV ನಲ್ಲಿ ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು ಗುರುತಿಸುವ ಅನನ್ಯ ಸ್ಟ್ರಿಂಗ್ ಆಗಿದೆ file ನೀವು ರಚಿಸಿ ಎಂದು. ಈ file ಪ್ರತಿ ಕೀಲಿಗಾಗಿ ಒಂದು ಕಾಲಮ್ ಅನ್ನು ಒಳಗೊಂಡಿರುವ ಎಕ್ಸೆಲ್ ಸ್ಪ್ರೆಡ್‌ಶೀಟ್ ಆಗಿದೆ. ಹೆಡರ್ ಸಾಲು ಪ್ರಮುಖ ಹೆಸರುಗಳನ್ನು ಹೊಂದಿರುತ್ತದೆ (ಪ್ರತಿ ಕಾಲಮ್‌ಗೆ ಒಂದು ಕೀ), ಮತ್ತು ಅದರ ನಂತರ ಪ್ರತಿ ಸಾಲು ಸಾಧನಕ್ಕೆ ಅನುರೂಪವಾಗಿದೆ ಮತ್ತು ಆ ಸಾಧನಕ್ಕಾಗಿ ಕೀಗಳ ಮೌಲ್ಯಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ. ನೀವು CSV ಅನ್ನು ಅಪ್‌ಲೋಡ್ ಮಾಡಿ file ನೀವು ಸಾಧನ ಟೆಂಪ್ಲೇಟ್‌ಗೆ ವಿಪ್ಟೆಲಾ ಸಾಧನವನ್ನು ಲಗತ್ತಿಸಿದಾಗ. ಹೆಚ್ಚಿನ ಮಾಹಿತಿಗಾಗಿ, ಟೆಂಪ್ಲೇಟ್ ವೇರಿಯೇಬಲ್ಸ್ ಸ್ಪ್ರೆಡ್‌ಶೀಟ್ ಅನ್ನು ರಚಿಸಿ ನೋಡಿ.

ಡೀಫಾಲ್ಟ್ ಕೀಲಿಯನ್ನು ಬದಲಾಯಿಸಲು, ಹೊಸ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಟೈಪ್ ಮಾಡಿ ಮತ್ತು ಕರ್ಸರ್ ಅನ್ನು ಎಂಟರ್ ಕೀ ಬಾಕ್ಸ್‌ನಿಂದ ಹೊರಗೆ ಸರಿಸಿ.

Exampಸಾಧನ-ನಿರ್ದಿಷ್ಟ ನಿಯತಾಂಕಗಳೆಂದರೆ ಸಿಸ್ಟಮ್ ಐಪಿ ವಿಳಾಸ, ಹೋಸ್ಟ್ ಹೆಸರು, ಜಿಪಿಎಸ್ ಸ್ಥಳ ಮತ್ತು ಸೈಟ್ ಐಡಿ.
ಪ್ಯಾರಾಮೀಟರ್ ವ್ಯಾಪ್ತಿ ವ್ಯಾಪ್ತಿ ವಿವರಣೆ
ಗ್ಲೋಬಲ್ (ಗ್ಲೋಬ್ ಐಕಾನ್‌ನಿಂದ ಸೂಚಿಸಲಾಗಿದೆ) ನಿಯತಾಂಕಕ್ಕಾಗಿ ಮೌಲ್ಯವನ್ನು ನಮೂದಿಸಿ ಮತ್ತು ಆ ಮೌಲ್ಯವನ್ನು ಎಲ್ಲಾ ಸಾಧನಗಳಿಗೆ ಅನ್ವಯಿಸಿ.

Exampಸಾಧನಗಳ ಗುಂಪಿಗೆ ನೀವು ಜಾಗತಿಕವಾಗಿ ಅನ್ವಯಿಸಬಹುದಾದ ನಿಯತಾಂಕಗಳೆಂದರೆ DNS ಸರ್ವರ್, ಸಿಸ್ಲಾಗ್ ಸರ್ವರ್ ಮತ್ತು ಇಂಟರ್ಫೇಸ್ MTU ಗಳು.

ಕಂಟ್ರೋಲ್ ಪ್ಲೇನ್ ಭದ್ರತೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ

ಗಮನಿಸಿ
ಕಾನ್ಫಿಗರ್ ಕಂಟ್ರೋಲ್ ಪ್ಲೇನ್ ಸೆಕ್ಯುರಿಟಿ ವಿಭಾಗವು Cisco SD-WAN ಮ್ಯಾನೇಜರ್ ಮತ್ತು Cisco SD-WAN ನಿಯಂತ್ರಕಕ್ಕೆ ಮಾತ್ರ ಅನ್ವಯಿಸುತ್ತದೆ. Cisco SD-WAN ಮ್ಯಾನೇಜರ್ ನಿದರ್ಶನ ಅಥವಾ Cisco SD-WAN ನಿಯಂತ್ರಕದಲ್ಲಿ ನಿಯಂತ್ರಣ ಪ್ಲೇನ್ ಸಂಪರ್ಕ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು, ಮೂಲ ಕಾನ್ಫಿಗರೇಶನ್ ಪ್ರದೇಶವನ್ನು ಆಯ್ಕೆಮಾಡಿ ಮತ್ತು ಕೆಳಗಿನ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ:

ಕೋಷ್ಟಕ 2:

ಪ್ಯಾರಾಮೀಟರ್ ಹೆಸರು ವಿವರಣೆ
ಪ್ರೋಟೋಕಾಲ್ Cisco SD-WAN ನಿಯಂತ್ರಕಕ್ಕೆ ನಿಯಂತ್ರಣ ಪ್ಲೇನ್ ಸಂಪರ್ಕಗಳಲ್ಲಿ ಬಳಸಲು ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಆರಿಸಿ:

• DTLS (ಡಾtagರಾಮ್ ಟ್ರಾನ್ಸ್‌ಪೋರ್ಟ್ ಲೇಯರ್ ಸೆಕ್ಯುರಿಟಿ). ಇದು ಡೀಫಾಲ್ಟ್ ಆಗಿದೆ.

• TLS (ಸಾರಿಗೆ ಲೇಯರ್ ಭದ್ರತೆ)
TLS ಪೋರ್ಟ್ ಅನ್ನು ನಿಯಂತ್ರಿಸಿ ನೀವು TLS ಅನ್ನು ಆಯ್ಕೆ ಮಾಡಿದರೆ, ಬಳಸಲು ಪೋರ್ಟ್ ಸಂಖ್ಯೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ:ಶ್ರೇಣಿ: 1025 ರಿಂದ 65535ಡೀಫಾಲ್ಟ್: 23456

ಉಳಿಸು ಕ್ಲಿಕ್ ಮಾಡಿ

ಡೇಟಾ ಪ್ಲೇನ್ ಭದ್ರತೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
Cisco SD-WAN ವ್ಯಾಲಿಡೇಟರ್ ಅಥವಾ Cisco vEdge ರೂಟರ್‌ನಲ್ಲಿ ಡೇಟಾ ಪ್ಲೇನ್ ಸುರಕ್ಷತೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು, ಮೂಲ ಕಾನ್ಫಿಗರೇಶನ್ ಮತ್ತು ದೃಢೀಕರಣ ಪ್ರಕಾರದ ಟ್ಯಾಬ್‌ಗಳನ್ನು ಆಯ್ಕೆಮಾಡಿ ಮತ್ತು ಕೆಳಗಿನ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ:

ಕೋಷ್ಟಕ 3:

ಪ್ಯಾರಾಮೀಟರ್ ಹೆಸರು ವಿವರಣೆ
ರೆಕಿ ಸಮಯ Cisco SD-WAN ನಿಯಂತ್ರಕಕ್ಕೆ ಅದರ ಸುರಕ್ಷಿತ DTLS ಸಂಪರ್ಕದಲ್ಲಿ ಬಳಸಿದ AES ಕೀಲಿಯನ್ನು Cisco vEdge ರೂಟರ್ ಎಷ್ಟು ಬಾರಿ ಬದಲಾಯಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ. OMP ಗ್ರೇಸ್‌ಫುಲ್ ಮರುಪ್ರಾರಂಭವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದರೆ, ರೀಕೀಯಿಂಗ್ ಸಮಯವು OMP ಗ್ರೇಸ್‌ಫುಲ್ ಮರುಪ್ರಾರಂಭದ ಟೈಮರ್‌ನ ಮೌಲ್ಯಕ್ಕಿಂತ ಕನಿಷ್ಠ ಎರಡು ಪಟ್ಟು ಇರಬೇಕು.ಶ್ರೇಣಿ: 10 ರಿಂದ 1209600 ಸೆಕೆಂಡುಗಳು (14 ದಿನಗಳು)ಡೀಫಾಲ್ಟ್: 86400 ಸೆಕೆಂಡುಗಳು (24 ಗಂಟೆಗಳು)
ರಿಪ್ಲೇ ವಿಂಡೋ ಸ್ಲೈಡಿಂಗ್ ರಿಪ್ಲೇ ವಿಂಡೋದ ಗಾತ್ರವನ್ನು ಸೂಚಿಸಿ.

ಮೌಲ್ಯಗಳು: 64, 128, 256, 512, 1024, 2048, 4096, 8192 ಪ್ಯಾಕೆಟ್‌ಗಳುಡೀಫಾಲ್ಟ್: 512 ಪ್ಯಾಕೆಟ್‌ಗಳು
IPsec

ಜೋಡಿಯಾಗಿ ಕೀಯಿಂಗ್

 ಇದನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಆಫ್ ಮಾಡಲಾಗಿದೆ. ಕ್ಲಿಕ್ On ಅದನ್ನು ಆನ್ ಮಾಡಲು.
ಪ್ಯಾರಾಮೀಟರ್ ಹೆಸರು ವಿವರಣೆ
ದೃಢೀಕರಣದ ಪ್ರಕಾರ ನಿಂದ ದೃಢೀಕರಣದ ಪ್ರಕಾರಗಳನ್ನು ಆಯ್ಕೆಮಾಡಿ ದೃಢೀಕರಣ ಪಟ್ಟಿ, ಮತ್ತು ದೃಢೀಕರಣದ ಪ್ರಕಾರಗಳನ್ನು ಸರಿಸಲು ಬಲಕ್ಕೆ ತೋರಿಸುವ ಬಾಣದ ಗುರುತನ್ನು ಕ್ಲಿಕ್ ಮಾಡಿ ಆಯ್ದ ಪಟ್ಟಿ ಕಾಲಮ್.

Cisco SD-WAN ಬಿಡುಗಡೆ 20.6.1 ನಿಂದ ಬೆಂಬಲಿತವಾದ ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳು:

•  esp: ESP ಹೆಡರ್‌ನಲ್ಲಿ ಎನ್‌ಕ್ಯಾಪ್ಸುಲೇಟಿಂಗ್ ಸೆಕ್ಯುರಿಟಿ ಪೇಲೋಡ್ (ESP) ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಮತ್ತು ಸಮಗ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸುವುದನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ.

•  ip-udp-esp: ESP ಗೂಢಲಿಪೀಕರಣವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ. ESP ಹೆಡರ್ ಮತ್ತು ಪೇಲೋಡ್‌ನಲ್ಲಿನ ಸಮಗ್ರತೆಯ ಪರಿಶೀಲನೆಗಳ ಜೊತೆಗೆ, ಚೆಕ್‌ಗಳು ಹೊರಗಿನ IP ಮತ್ತು UDP ಹೆಡರ್‌ಗಳನ್ನು ಸಹ ಒಳಗೊಂಡಿರುತ್ತವೆ.

•  ip-udp-esp-no-id: IP ಹೆಡರ್‌ನಲ್ಲಿ ID ಕ್ಷೇತ್ರವನ್ನು ನಿರ್ಲಕ್ಷಿಸುತ್ತದೆ ಇದರಿಂದ Cisco ಕ್ಯಾಟಲಿಸ್ಟ್ SD-WAN ಸಿಸ್ಕೊ ​​ಅಲ್ಲದ ಸಾಧನಗಳೊಂದಿಗೆ ಸಂಯೋಗದೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.

•  ಯಾವುದೂ ಇಲ್ಲ: IPSec ಪ್ಯಾಕೆಟ್‌ಗಳಲ್ಲಿ ಸಮಗ್ರತೆಯ ತಪಾಸಣೆಯನ್ನು ಆಫ್ ಮಾಡುತ್ತದೆ. ಈ ಆಯ್ಕೆಯನ್ನು ಬಳಸಲು ನಾವು ಶಿಫಾರಸು ಮಾಡುವುದಿಲ್ಲ.

 

Cisco SD-WAN ಬಿಡುಗಡೆ 20.5.1 ಮತ್ತು ಹಿಂದಿನದರಲ್ಲಿ ಬೆಂಬಲಿತವಾದ ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳು:

•  ah-no-id: ಪ್ಯಾಕೆಟ್‌ನ ಹೊರಗಿನ IP ಹೆಡರ್‌ನಲ್ಲಿ ID ಕ್ಷೇತ್ರವನ್ನು ನಿರ್ಲಕ್ಷಿಸುವ AH-SHA1 HMAC ಮತ್ತು ESP HMAC-SHA1 ನ ವರ್ಧಿತ ಆವೃತ್ತಿಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ.

•  ah-sha1-hmac: AH-SHA1 HMAC ಮತ್ತು ESP HMAC-SHA1 ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ.

•  ಯಾವುದೂ ಇಲ್ಲ: ಯಾವುದೇ ದೃಢೀಕರಣವನ್ನು ಆಯ್ಕೆಮಾಡಿ.

•  sha1-hmac: ESP HMAC-SHA1 ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ.

 

ಗಮನಿಸಿ              Cisco SD-WAN ಬಿಡುಗಡೆ 20.5.1 ಅಥವಾ ಅದಕ್ಕಿಂತ ಮೊದಲು ಚಾಲನೆಯಲ್ಲಿರುವ ಎಡ್ಜ್ ಸಾಧನಕ್ಕಾಗಿ, ನೀವು ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಕಾನ್ಫಿಗರ್ ಮಾಡಿರಬಹುದು ಭದ್ರತೆ ಟೆಂಪ್ಲೇಟ್. ನೀವು ಸಾಧನವನ್ನು Cisco SD-WAN ಬಿಡುಗಡೆ 20.6.1 ಅಥವಾ ನಂತರದ ಆವೃತ್ತಿಗೆ ಅಪ್‌ಗ್ರೇಡ್ ಮಾಡಿದಾಗ, ಆಯ್ಕೆಮಾಡಿದ ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳನ್ನು ನವೀಕರಿಸಿ ಭದ್ರತೆ Cisco SD-WAN ಬಿಡುಗಡೆ 20.6.1 ನಿಂದ ಬೆಂಬಲಿತವಾದ ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳಿಗೆ ಟೆಂಪ್ಲೇಟ್. ದೃಢೀಕರಣದ ಪ್ರಕಾರಗಳನ್ನು ನವೀಕರಿಸಲು, ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಮಾಡಿ:

1.      Cisco SD-WAN ಮ್ಯಾನೇಜರ್ ಮೆನುವಿನಿಂದ, ಆಯ್ಕೆಮಾಡಿ ಸಂರಚನೆ >

ಟೆಂಪ್ಲೇಟ್‌ಗಳು.

2.      ಕ್ಲಿಕ್ ಮಾಡಿ ವೈಶಿಷ್ಟ್ಯ ಟೆಂಪ್ಲೇಟ್‌ಗಳು.

3.      ಹುಡುಕಿ ಭದ್ರತೆ ನವೀಕರಿಸಲು ಟೆಂಪ್ಲೇಟ್ ಮತ್ತು ಕ್ಲಿಕ್ ಮಾಡಿ ... ಮತ್ತು ಕ್ಲಿಕ್ ಮಾಡಿ ಸಂಪಾದಿಸು.

4.      ಕ್ಲಿಕ್ ಮಾಡಿ ನವೀಕರಿಸಿ. ಯಾವುದೇ ಸಂರಚನೆಯನ್ನು ಮಾರ್ಪಡಿಸಬೇಡಿ.

Cisco SD-WAN ಮ್ಯಾನೇಜರ್ ನವೀಕರಿಸುತ್ತದೆ ಭದ್ರತೆ ಬೆಂಬಲಿತ ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲು ಟೆಂಪ್ಲೇಟ್.

ಉಳಿಸು ಕ್ಲಿಕ್ ಮಾಡಿ.

ಡೇಟಾ ಪ್ಲೇನ್ ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ

ಡೇಟಾ ಪ್ಲೇನ್‌ನಲ್ಲಿ, ಎಲ್ಲಾ ರೂಟರ್‌ಗಳಲ್ಲಿ ಡೀಫಾಲ್ಟ್ ಆಗಿ IPsec ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ IPsec ಸುರಂಗ ಸಂಪರ್ಕಗಳು IPsec ಸುರಂಗಗಳಲ್ಲಿ ದೃಢೀಕರಣಕ್ಕಾಗಿ ಎನ್‌ಕ್ಯಾಪ್ಸುಲೇಟಿಂಗ್ ಸೆಕ್ಯುರಿಟಿ ಪೇಲೋಡ್ (ESP) ಪ್ರೋಟೋಕಾಲ್‌ನ ವರ್ಧಿತ ಆವೃತ್ತಿಯನ್ನು ಬಳಸುತ್ತವೆ. ಮಾರ್ಗನಿರ್ದೇಶಕಗಳಲ್ಲಿ, ನೀವು ದೃಢೀಕರಣದ ಪ್ರಕಾರವನ್ನು ಬದಲಾಯಿಸಬಹುದು, IPsec ಮರುಕಳಿಸುವಿಕೆಯ ಟೈಮರ್ ಮತ್ತು IPsec ಆಂಟಿ-ರೀಪ್ಲೇ ವಿಂಡೋದ ಗಾತ್ರವನ್ನು ಬದಲಾಯಿಸಬಹುದು.

ಅನುಮತಿಸಲಾದ ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ

Cisco SD-WAN ಬಿಡುಗಡೆ 20.6.1 ಮತ್ತು ನಂತರದ ದೃಢೀಕರಣ ವಿಧಗಳು
Cisco SD-WAN ಬಿಡುಗಡೆ 20.6.1 ನಿಂದ, ಕೆಳಗಿನ ಸಮಗ್ರತೆಯ ಪ್ರಕಾರಗಳನ್ನು ಬೆಂಬಲಿಸಲಾಗುತ್ತದೆ:

  • esp: ಈ ಆಯ್ಕೆಯು ESP ಹೆಡರ್‌ನಲ್ಲಿ ಎನ್‌ಕ್ಯಾಪ್ಸುಲೇಟಿಂಗ್ ಸೆಕ್ಯುರಿಟಿ ಪೇಲೋಡ್ (ESP) ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಮತ್ತು ಸಮಗ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸುವುದನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ.
  • ip-udp-esp: ಈ ಆಯ್ಕೆಯು ESP ಗೂಢಲಿಪೀಕರಣವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ. ESP ಹೆಡರ್ ಮತ್ತು ಪೇಲೋಡ್‌ನಲ್ಲಿನ ಸಮಗ್ರತೆಯ ಪರಿಶೀಲನೆಗಳ ಜೊತೆಗೆ, ಚೆಕ್‌ಗಳು ಹೊರಗಿನ IP ಮತ್ತು UDP ಹೆಡರ್‌ಗಳನ್ನು ಸಹ ಒಳಗೊಂಡಿರುತ್ತವೆ.
  • ip-udp-esp-no-id: ಈ ಆಯ್ಕೆಯು ip-udp-esp ಅನ್ನು ಹೋಲುತ್ತದೆ, ಆದಾಗ್ಯೂ, ಹೊರಗಿನ IP ಹೆಡರ್‌ನ ID ಕ್ಷೇತ್ರವನ್ನು ನಿರ್ಲಕ್ಷಿಸಲಾಗಿದೆ. Cisco ಕ್ಯಾಟಲಿಸ್ಟ್ SD-WAN ಸಾಫ್ಟ್‌ವೇರ್ IP ಹೆಡರ್‌ನಲ್ಲಿ ID ಕ್ಷೇತ್ರವನ್ನು ನಿರ್ಲಕ್ಷಿಸಲು ಸಮಗ್ರತೆಯ ಪ್ರಕಾರಗಳ ಪಟ್ಟಿಯಲ್ಲಿ ಈ ಆಯ್ಕೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ ಇದರಿಂದ Cisco ಕ್ಯಾಟಲಿಸ್ಟ್ SD-WAN ಸಿಸ್ಕೋ ಅಲ್ಲದ ಸಾಧನಗಳೊಂದಿಗೆ ಸಂಯೋಗದೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.
  • ಯಾವುದೂ ಇಲ್ಲ: ಈ ಆಯ್ಕೆಯು IPSec ಪ್ಯಾಕೆಟ್‌ಗಳಲ್ಲಿ ಸಮಗ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸುವುದನ್ನು ಆಫ್ ಮಾಡುತ್ತದೆ. ಈ ಆಯ್ಕೆಯನ್ನು ಬಳಸಲು ನಾವು ಶಿಫಾರಸು ಮಾಡುವುದಿಲ್ಲ.

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IPsec ಸುರಂಗ ಸಂಪರ್ಕಗಳು ದೃಢೀಕರಣಕ್ಕಾಗಿ ಎನ್‌ಕ್ಯಾಪ್ಸುಲೇಟಿಂಗ್ ಸೆಕ್ಯುರಿಟಿ ಪೇಲೋಡ್ (ESP) ಪ್ರೋಟೋಕಾಲ್‌ನ ವರ್ಧಿತ ಆವೃತ್ತಿಯನ್ನು ಬಳಸುತ್ತವೆ. ಸಮಾಲೋಚನೆಯ ಆಂತರಿಕ ಪ್ರಕಾರಗಳನ್ನು ಮಾರ್ಪಡಿಸಲು ಅಥವಾ ಸಮಗ್ರತೆಯ ಪರಿಶೀಲನೆಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು, ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ: ಸಮಗ್ರತೆ-ಪ್ರಕಾರ { ಯಾವುದೂ ಇಲ್ಲ | ip-udp-esp | ip-udp-esp-no-id | esp }

Cisco SD-WAN ಬಿಡುಗಡೆಯ ಮೊದಲು ದೃಢೀಕರಣ ವಿಧಗಳು 20.6.1
ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IPsec ಸುರಂಗ ಸಂಪರ್ಕಗಳು ದೃಢೀಕರಣಕ್ಕಾಗಿ ಎನ್‌ಕ್ಯಾಪ್ಸುಲೇಟಿಂಗ್ ಸೆಕ್ಯುರಿಟಿ ಪೇಲೋಡ್ (ESP) ಪ್ರೋಟೋಕಾಲ್‌ನ ವರ್ಧಿತ ಆವೃತ್ತಿಯನ್ನು ಬಳಸುತ್ತವೆ. ಮಾತುಕತೆಯ ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳನ್ನು ಮಾರ್ಪಡಿಸಲು ಅಥವಾ ದೃಢೀಕರಣವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು, ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ: Device(config)# ಭದ್ರತೆ ipsec ದೃಢೀಕರಣ-ಪ್ರಕಾರ (ah-sha1-hmac | ah-no-id | sha1-hmac | | ಯಾವುದೂ ಇಲ್ಲ) ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IPsec ಸುರಂಗ ಸಂಪರ್ಕಗಳು AES-GCM-256 ಅನ್ನು ಬಳಸುತ್ತವೆ, ಇದು ಗೂಢಲಿಪೀಕರಣ ಮತ್ತು ದೃಢೀಕರಣ ಎರಡನ್ನೂ ಒದಗಿಸುತ್ತದೆ. ಪ್ರತ್ಯೇಕ ಭದ್ರತಾ ipsec ದೃಢೀಕರಣ-ರೀತಿಯ ಆಜ್ಞೆಯೊಂದಿಗೆ ಪ್ರತಿ ದೃಢೀಕರಣ ಪ್ರಕಾರವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ. ಕಮಾಂಡ್ ಆಯ್ಕೆಗಳು ಕೆಳಗಿನ ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳಿಗೆ ಮ್ಯಾಪ್ ಮಾಡುತ್ತವೆ, ಇವುಗಳನ್ನು ಅತ್ಯಂತ ಪ್ರಬಲದಿಂದ ಕನಿಷ್ಠ ಬಲಕ್ಕೆ ಪಟ್ಟಿಮಾಡಲಾಗಿದೆ:

ಗಮನಿಸಿ
ಸಂರಚನಾ ಆಯ್ಕೆಗಳಲ್ಲಿನ sha1 ಅನ್ನು ಐತಿಹಾಸಿಕ ಕಾರಣಗಳಿಗಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ. ದೃಢೀಕರಣ ಆಯ್ಕೆಗಳು ಎಷ್ಟು ಪ್ಯಾಕೆಟ್ ಸಮಗ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸಲಾಗಿದೆ ಎಂಬುದನ್ನು ಸೂಚಿಸುತ್ತದೆ. ಅವರು ಸಮಗ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸುವ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವುದಿಲ್ಲ. ಮಲ್ಟಿಕಾಸ್ಟ್ ಟ್ರಾಫಿಕ್‌ನ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಹೊರತುಪಡಿಸಿ, ಸಿಸ್ಕೋ ಕ್ಯಾಟಲಿಸ್ಟ್ SD WAN ನಿಂದ ಬೆಂಬಲಿತವಾದ ದೃಢೀಕರಣ ಅಲ್ಗಾರಿದಮ್‌ಗಳು SHA1 ಅನ್ನು ಬಳಸುವುದಿಲ್ಲ. ಆದಾಗ್ಯೂ Cisco SD-WAN ಬಿಡುಗಡೆ 20.1.x ಮತ್ತು ನಂತರದಲ್ಲಿ, ಯುನಿಕಾಸ್ಟ್ ಮತ್ತು ಮಲ್ಟಿಕಾಸ್ಟ್ ಎರಡೂ SHA1 ಅನ್ನು ಬಳಸುವುದಿಲ್ಲ.

  • ah-sha1-hmac ESP ಬಳಸಿಕೊಂಡು ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಮತ್ತು ಎನ್‌ಕ್ಯಾಪ್ಸುಲೇಶನ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ. ಆದಾಗ್ಯೂ, ESP ಹೆಡರ್ ಮತ್ತು ಪೇಲೋಡ್‌ನಲ್ಲಿನ ಸಮಗ್ರತೆಯ ಪರಿಶೀಲನೆಗಳ ಜೊತೆಗೆ, ಚೆಕ್‌ಗಳು ಹೊರಗಿನ IP ಮತ್ತು UDP ಹೆಡರ್‌ಗಳನ್ನು ಸಹ ಒಳಗೊಂಡಿರುತ್ತವೆ. ಆದ್ದರಿಂದ, ಈ ಆಯ್ಕೆಯು ಅಥೆಂಟಿಕೇಶನ್ ಹೆಡರ್ (AH) ಪ್ರೋಟೋಕಾಲ್‌ನಂತೆಯೇ ಪ್ಯಾಕೆಟ್‌ನ ಸಮಗ್ರತೆಯ ಪರಿಶೀಲನೆಯನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ. ಎಲ್ಲಾ ಸಮಗ್ರತೆ ಮತ್ತು ಗೂಢಲಿಪೀಕರಣವನ್ನು AES-256-GCM ಬಳಸಿ ನಡೆಸಲಾಗುತ್ತದೆ.
  • ah-no-id ah-sha1-hmac ಅನ್ನು ಹೋಲುವ ಮೋಡ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ, ಆದಾಗ್ಯೂ, ಹೊರಗಿನ IP ಹೆಡರ್‌ನ ID ಕ್ಷೇತ್ರವನ್ನು ನಿರ್ಲಕ್ಷಿಸಲಾಗುತ್ತದೆ. ಈ ಆಯ್ಕೆಯು ಆಪಲ್ ಏರ್‌ಪೋರ್ಟ್ ಎಕ್ಸ್‌ಪ್ರೆಸ್ ನ್ಯಾಟ್ ಸೇರಿದಂತೆ ಕೆಲವು ಸಿಸ್ಕೋ ಕ್ಯಾಟಲಿಸ್ಟ್ ಅಲ್ಲದ SD-WAN ಸಾಧನಗಳಿಗೆ ಅವಕಾಶ ಕಲ್ಪಿಸುತ್ತದೆ, ಅದು ದೋಷವನ್ನು ಹೊಂದಿರುವ ಐಪಿ ಹೆಡರ್, ಮಾರ್ಪಡಿಸಲಾಗದ ಕ್ಷೇತ್ರವಾದ ಐಡಿ ಕ್ಷೇತ್ರವನ್ನು ಮಾರ್ಪಡಿಸಲು ಕಾರಣವಾಗುತ್ತದೆ. Cisco Catalyst SD-WAN AH ಸಾಫ್ಟ್‌ವೇರ್ IP ಹೆಡರ್‌ನಲ್ಲಿ ID ಕ್ಷೇತ್ರವನ್ನು ನಿರ್ಲಕ್ಷಿಸಲು ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳ ಪಟ್ಟಿಯಲ್ಲಿ ah-no-id ಆಯ್ಕೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ ಇದರಿಂದ Cisco ಕ್ಯಾಟಲಿಸ್ಟ್ SD-WAN ಸಾಫ್ಟ್‌ವೇರ್ ಈ ಸಾಧನಗಳೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.
  • sha1-hmac ESP ಗೂಢಲಿಪೀಕರಣ ಮತ್ತು ಸಮಗ್ರತೆಯ ಪರಿಶೀಲನೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ.
  • ಯಾವುದೇ ದೃಢೀಕರಣಕ್ಕೆ ಯಾವುದೇ ನಕ್ಷೆಗಳಿಲ್ಲ. ತಾತ್ಕಾಲಿಕ ಡೀಬಗ್ ಮಾಡಲು ಅಗತ್ಯವಿದ್ದರೆ ಮಾತ್ರ ಈ ಆಯ್ಕೆಯನ್ನು ಬಳಸಬೇಕು. ಡೇಟಾ ಪ್ಲೇನ್ ದೃಢೀಕರಣ ಮತ್ತು ಸಮಗ್ರತೆಯು ಕಾಳಜಿಯಿಲ್ಲದ ಸಂದರ್ಭಗಳಲ್ಲಿ ನೀವು ಈ ಆಯ್ಕೆಯನ್ನು ಸಹ ಆಯ್ಕೆ ಮಾಡಬಹುದು. ಉತ್ಪಾದನಾ ಜಾಲಗಳಿಗಾಗಿ ಈ ಆಯ್ಕೆಯನ್ನು ಬಳಸಲು ಸಿಸ್ಕೋ ಶಿಫಾರಸು ಮಾಡುವುದಿಲ್ಲ.

ಈ ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳಿಂದ ಯಾವ ಡೇಟಾ ಪ್ಯಾಕೆಟ್ ಕ್ಷೇತ್ರಗಳು ಪರಿಣಾಮ ಬೀರುತ್ತವೆ ಎಂಬುದರ ಕುರಿತು ಮಾಹಿತಿಗಾಗಿ, ಡೇಟಾ ಪ್ಲೇನ್ ಸಮಗ್ರತೆಯನ್ನು ನೋಡಿ. Cisco IOS XE ಕ್ಯಾಟಲಿಸ್ಟ್ SD-WAN ಸಾಧನಗಳು ಮತ್ತು Cisco vEdge ಸಾಧನಗಳು ತಮ್ಮ TLOC ಗುಣಲಕ್ಷಣಗಳಲ್ಲಿ ತಮ್ಮ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾದ ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳನ್ನು ಜಾಹೀರಾತು ಮಾಡುತ್ತವೆ. IPsec ಸುರಂಗ ಸಂಪರ್ಕದ ಎರಡೂ ಬದಿಯಲ್ಲಿರುವ ಎರಡು ಮಾರ್ಗನಿರ್ದೇಶಕಗಳು ಎರಡೂ ರೂಟರ್‌ಗಳಲ್ಲಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾದ ಪ್ರಬಲ ದೃಢೀಕರಣ ಪ್ರಕಾರವನ್ನು ಬಳಸಿಕೊಂಡು ಅವುಗಳ ನಡುವಿನ ಸಂಪರ್ಕದಲ್ಲಿ ಬಳಸಲು ದೃಢೀಕರಣವನ್ನು ಮಾತುಕತೆ ನಡೆಸುತ್ತವೆ. ಉದಾಹರಣೆಗೆample, ಒಂದು ರೂಟರ್ ah-sha1-hmac ಮತ್ತು ah-no-id ಪ್ರಕಾರಗಳನ್ನು ಜಾಹೀರಾತು ಮಾಡಿದರೆ ಮತ್ತು ಎರಡನೇ ರೂಟರ್ ah-no-id ಪ್ರಕಾರವನ್ನು ಜಾಹೀರಾತು ಮಾಡಿದರೆ, ಎರಡು ರೂಟರ್‌ಗಳು IPsec ಸುರಂಗ ಸಂಪರ್ಕದಲ್ಲಿ ah-no-id ಅನ್ನು ಬಳಸಲು ಮಾತುಕತೆ ನಡೆಸುತ್ತವೆ. ಅವರು. ಇಬ್ಬರು ಪೀರ್‌ಗಳಲ್ಲಿ ಯಾವುದೇ ಸಾಮಾನ್ಯ ದೃಢೀಕರಣ ಪ್ರಕಾರಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡದಿದ್ದರೆ, ಅವುಗಳ ನಡುವೆ ಯಾವುದೇ IPsec ಸುರಂಗವನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿಲ್ಲ. IPsec ಸುರಂಗ ಸಂಪರ್ಕಗಳಲ್ಲಿನ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್ ಟ್ರಾಫಿಕ್ ಪ್ರಕಾರವನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ:

  • ಯುನಿಕಾಸ್ಟ್ ಟ್ರಾಫಿಕ್‌ಗಾಗಿ, ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್ AES-256-GCM ಆಗಿದೆ.
  • ಮಲ್ಟಿಕಾಸ್ಟ್ ಸಂಚಾರಕ್ಕಾಗಿ:
  • Cisco SD-WAN ಬಿಡುಗಡೆ 20.1.x ಮತ್ತು ನಂತರದ- ಗೂಢಲಿಪೀಕರಣ ಅಲ್ಗಾರಿದಮ್ AES-256-GCM ಆಗಿದೆ
  • ಹಿಂದಿನ ಬಿಡುಗಡೆಗಳು- ಗೂಢಲಿಪೀಕರಣ ಅಲ್ಗಾರಿದಮ್ SHA256-HMAC ಜೊತೆಗೆ AES-1-CBC ಆಗಿದೆ.

IPsec ದೃಢೀಕರಣದ ಪ್ರಕಾರವನ್ನು ಬದಲಾಯಿಸಿದಾಗ, ಡೇಟಾ ಮಾರ್ಗಕ್ಕಾಗಿ AES ಕೀಲಿಯನ್ನು ಬದಲಾಯಿಸಲಾಗುತ್ತದೆ.

ರಿಕಿಯಿಂಗ್ ಟೈಮರ್ ಅನ್ನು ಬದಲಾಯಿಸಿ

Cisco IOS XE ಕ್ಯಾಟಲಿಸ್ಟ್ SD-WAN ಸಾಧನಗಳು ಮತ್ತು Cisco vEdge ಸಾಧನಗಳು ಡೇಟಾ ಟ್ರಾಫಿಕ್ ಅನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳುವ ಮೊದಲು, ಅವುಗಳು ಅವುಗಳ ನಡುವೆ ಸುರಕ್ಷಿತ ದೃಢೀಕೃತ ಸಂವಹನ ಚಾನಲ್ ಅನ್ನು ಹೊಂದಿಸುತ್ತವೆ. ಮಾರ್ಗನಿರ್ದೇಶಕಗಳು ಅವುಗಳ ನಡುವೆ IPSec ಸುರಂಗಗಳನ್ನು ಚಾನಲ್‌ನಂತೆ ಬಳಸುತ್ತವೆ ಮತ್ತು ಗೂಢಲಿಪೀಕರಣವನ್ನು ನಿರ್ವಹಿಸಲು AES-256 ಸೈಫರ್ ಅನ್ನು ಬಳಸುತ್ತವೆ. ಪ್ರತಿಯೊಂದು ರೂಟರ್ ನಿಯತಕಾಲಿಕವಾಗಿ ಅದರ ಡೇಟಾ ಮಾರ್ಗಕ್ಕಾಗಿ ಹೊಸ AES ಕೀಲಿಯನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಒಂದು ಕೀಲಿಯು 86400 ಸೆಕೆಂಡುಗಳವರೆಗೆ (24 ಗಂಟೆಗಳು) ಮಾನ್ಯವಾಗಿರುತ್ತದೆ ಮತ್ತು ಟೈಮರ್ ಶ್ರೇಣಿಯು 10 ಸೆಕೆಂಡುಗಳಿಂದ 1209600 ಸೆಕೆಂಡುಗಳು (14 ದಿನಗಳು) ಇರುತ್ತದೆ. rekey ಟೈಮರ್ ಮೌಲ್ಯವನ್ನು ಬದಲಾಯಿಸಲು: Device(config)# Security ipsec rekey seconds ಕಾನ್ಫಿಗರೇಶನ್ ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:

  • ಭದ್ರತೆ ipsec rekey ಸೆಕೆಂಡುಗಳು !

ನೀವು ತಕ್ಷಣ ಹೊಸ IPsec ಕೀಗಳನ್ನು ರಚಿಸಲು ಬಯಸಿದರೆ, ರೂಟರ್‌ನ ಸಂರಚನೆಯನ್ನು ಮಾರ್ಪಡಿಸದೆಯೇ ನೀವು ಹಾಗೆ ಮಾಡಬಹುದು. ಇದನ್ನು ಮಾಡಲು, ರಾಜಿ ರೌಟರ್ನಲ್ಲಿ ವಿನಂತಿಯ ಭದ್ರತಾ ipsecrekey ಆಜ್ಞೆಯನ್ನು ನೀಡಿ. ಉದಾಹರಣೆಗೆample, ಸ್ಥಳೀಯ SA 256 ರ ಭದ್ರತಾ ಪ್ಯಾರಾಮೀಟರ್ ಇಂಡೆಕ್ಸ್ (SPI) ಅನ್ನು ಹೊಂದಿದೆ ಎಂದು ಕೆಳಗಿನ ಔಟ್‌ಪುಟ್ ತೋರಿಸುತ್ತದೆ:CISCO-SD-WAN-ಕಾನ್ಫಿಗರ್-ಸೆಕ್ಯುರಿಟಿ-ಪ್ಯಾರಾಮೀಟರ್‌ಗಳು-FIG-4

ಪ್ರತಿ SPI ಯೊಂದಿಗೆ ವಿಶಿಷ್ಟವಾದ ಕೀಲಿಯನ್ನು ಸಂಯೋಜಿಸಲಾಗಿದೆ. ಈ ಕೀಲಿಯು ರಾಜಿ ಮಾಡಿಕೊಂಡರೆ, ತಕ್ಷಣವೇ ಹೊಸ ಕೀಲಿಯನ್ನು ರಚಿಸಲು ವಿನಂತಿ ಭದ್ರತಾ ipsec-rekey ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ. ಈ ಆಜ್ಞೆಯು SPI ಅನ್ನು ಹೆಚ್ಚಿಸುತ್ತದೆ. ನಮ್ಮ ಮಾಜಿample, SPI 257 ಗೆ ಬದಲಾಗುತ್ತದೆ ಮತ್ತು ಅದರೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ ಕೀಲಿಯನ್ನು ಈಗ ಬಳಸಲಾಗುತ್ತದೆ:

  • ಸಾಧನ# ವಿನಂತಿಯ ಭದ್ರತೆ ipsecrekey
  • ಸಾಧನ# ipsec ಲೋಕಲ್-ಸಾ ತೋರಿಸು

CISCO-SD-WAN-ಕಾನ್ಫಿಗರ್-ಸೆಕ್ಯುರಿಟಿ-ಪ್ಯಾರಾಮೀಟರ್‌ಗಳು-FIG-5

ಹೊಸ ಕೀಲಿಯನ್ನು ರಚಿಸಿದ ನಂತರ, ರೂಟರ್ ಅದನ್ನು ತಕ್ಷಣವೇ DTLS ಅಥವಾ TLS ಬಳಸಿಕೊಂಡು Cisco SD-WAN ನಿಯಂತ್ರಕಗಳಿಗೆ ಕಳುಹಿಸುತ್ತದೆ. Cisco SD-WAN ನಿಯಂತ್ರಕಗಳು ಕೀಲಿಯನ್ನು ಪೀರ್ ರೂಟರ್‌ಗಳಿಗೆ ಕಳುಹಿಸುತ್ತವೆ. ರೂಟರ್‌ಗಳು ಅದನ್ನು ಸ್ವೀಕರಿಸಿದ ತಕ್ಷಣ ಅದನ್ನು ಬಳಸಲು ಪ್ರಾರಂಭಿಸುತ್ತವೆ. ಹಳೆಯ SPI (256) ನೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ ಕೀಯು ಅವಧಿ ಮುಗಿಯುವವರೆಗೆ ಸ್ವಲ್ಪ ಸಮಯದವರೆಗೆ ಬಳಸುವುದನ್ನು ಮುಂದುವರಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ಗಮನಿಸಿ. ಹಳೆಯ ಕೀಲಿಯನ್ನು ತಕ್ಷಣವೇ ಬಳಸುವುದನ್ನು ನಿಲ್ಲಿಸಲು, ವಿನಂತಿಯ ಭದ್ರತಾ ipsec-rekey ಆದೇಶವನ್ನು ತ್ವರಿತವಾಗಿ ಅನುಕ್ರಮವಾಗಿ ಎರಡು ಬಾರಿ ನೀಡಿ. ಆಜ್ಞೆಗಳ ಈ ಅನುಕ್ರಮವು SPI 256 ಮತ್ತು 257 ಎರಡನ್ನೂ ತೆಗೆದುಹಾಕುತ್ತದೆ ಮತ್ತು SPI ಅನ್ನು 258 ಗೆ ಹೊಂದಿಸುತ್ತದೆ. ರೂಟರ್ ನಂತರ SPI 258 ನ ಸಂಯೋಜಿತ ಕೀಲಿಯನ್ನು ಬಳಸುತ್ತದೆ. ಆದಾಗ್ಯೂ, ಎಲ್ಲಾ ರಿಮೋಟ್ ರೂಟರ್‌ಗಳು ಕಲಿಯುವವರೆಗೆ ಕೆಲವು ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಅಲ್ಪಾವಧಿಗೆ ಬಿಡಲಾಗುತ್ತದೆ ಎಂಬುದನ್ನು ಗಮನಿಸಿ ಹೊಸ ಕೀ.CISCO-SD-WAN-ಕಾನ್ಫಿಗರ್-ಸೆಕ್ಯುರಿಟಿ-ಪ್ಯಾರಾಮೀಟರ್‌ಗಳು-FIG-6

ಆಂಟಿ-ರೀಪ್ಲೇ ವಿಂಡೋದ ಗಾತ್ರವನ್ನು ಬದಲಾಯಿಸಿ

ಡೇಟಾ ಸ್ಟ್ರೀಮ್‌ನಲ್ಲಿ ಪ್ರತಿ ಪ್ಯಾಕೆಟ್‌ಗೆ ಅನನ್ಯ ಅನುಕ್ರಮ ಸಂಖ್ಯೆಯನ್ನು ನಿಯೋಜಿಸುವ ಮೂಲಕ IPsec ದೃಢೀಕರಣವು ಮರು-ವಿರೋಧಿ ರಕ್ಷಣೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ. ಡೇಟಾ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ನಕಲು ಮಾಡುವ ಆಕ್ರಮಣಕಾರರ ವಿರುದ್ಧ ಈ ಅನುಕ್ರಮ ಸಂಖ್ಯೆಯು ರಕ್ಷಿಸುತ್ತದೆ. ಆಂಟಿ-ರೀಪ್ಲೇ ರಕ್ಷಣೆಯೊಂದಿಗೆ, ಕಳುಹಿಸುವವರು ಏಕತಾನತೆಯಿಂದ ಹೆಚ್ಚುತ್ತಿರುವ ಅನುಕ್ರಮ ಸಂಖ್ಯೆಗಳನ್ನು ನಿಯೋಜಿಸುತ್ತಾರೆ ಮತ್ತು ನಕಲುಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಗಮ್ಯಸ್ಥಾನವು ಈ ಅನುಕ್ರಮ ಸಂಖ್ಯೆಗಳನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ. ಪ್ಯಾಕೆಟ್‌ಗಳು ಸಾಮಾನ್ಯವಾಗಿ ಕ್ರಮವಾಗಿ ಬರುವುದಿಲ್ಲವಾದ್ದರಿಂದ, ಗಮ್ಯಸ್ಥಾನವು ಅದು ಸ್ವೀಕರಿಸುವ ಅನುಕ್ರಮ ಸಂಖ್ಯೆಗಳ ಸ್ಲೈಡಿಂಗ್ ವಿಂಡೋವನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ.CISCO-SD-WAN-ಕಾನ್ಫಿಗರ್-ಸೆಕ್ಯುರಿಟಿ-ಪ್ಯಾರಾಮೀಟರ್‌ಗಳು-FIG-7

ಸ್ಲೈಡಿಂಗ್ ವಿಂಡೋ ಶ್ರೇಣಿಯ ಎಡಕ್ಕೆ ಬೀಳುವ ಅನುಕ್ರಮ ಸಂಖ್ಯೆಗಳ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಹಳೆಯ ಅಥವಾ ನಕಲು ಎಂದು ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಗಮ್ಯಸ್ಥಾನವು ಅವುಗಳನ್ನು ಬೀಳಿಸುತ್ತದೆ. ಗಮ್ಯಸ್ಥಾನವು ಅದು ಸ್ವೀಕರಿಸಿದ ಹೆಚ್ಚಿನ ಅನುಕ್ರಮ ಸಂಖ್ಯೆಯನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಹೆಚ್ಚಿನ ಮೌಲ್ಯದೊಂದಿಗೆ ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಸ್ವೀಕರಿಸಿದಾಗ ಸ್ಲೈಡಿಂಗ್ ವಿಂಡೋವನ್ನು ಸರಿಹೊಂದಿಸುತ್ತದೆ.CISCO-SD-WAN-ಕಾನ್ಫಿಗರ್-ಸೆಕ್ಯುರಿಟಿ-ಪ್ಯಾರಾಮೀಟರ್‌ಗಳು-FIG-8

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಸ್ಲೈಡಿಂಗ್ ವಿಂಡೋವನ್ನು 512 ಪ್ಯಾಕೆಟ್‌ಗಳಿಗೆ ಹೊಂದಿಸಲಾಗಿದೆ. ಇದನ್ನು 64 ಮತ್ತು 4096 ರ ನಡುವಿನ ಯಾವುದೇ ಮೌಲ್ಯಕ್ಕೆ ಹೊಂದಿಸಬಹುದು ಅದು 2 ರ ಶಕ್ತಿಯಾಗಿದೆ (ಅಂದರೆ, 64, 128, 256, 512, 1024, 2048, ಅಥವಾ 4096). ಆಂಟಿ-ರೀಪ್ಲೇ ವಿಂಡೋ ಗಾತ್ರವನ್ನು ಮಾರ್ಪಡಿಸಲು, ಮರುಪಂದ್ಯ-ವಿಂಡೋ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ, ವಿಂಡೋದ ಗಾತ್ರವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ:

ಸಾಧನ(ಸಂರಚನೆ)# ಭದ್ರತೆ ipsec ಮರುಪಂದ್ಯ-ವಿಂಡೋ ಸಂಖ್ಯೆ

ಸಂರಚನೆಯು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಭದ್ರತೆ ipsec ಮರುಪಂದ್ಯ-ವಿಂಡೋ ಸಂಖ್ಯೆ ! !

QoS ಗೆ ಸಹಾಯ ಮಾಡಲು, ಮೊದಲ ಎಂಟು ಟ್ರಾಫಿಕ್ ಚಾನಲ್‌ಗಳಿಗೆ ಪ್ರತ್ಯೇಕ ಮರುಪಂದ್ಯವನ್ನು ನಿರ್ವಹಿಸಲಾಗುತ್ತದೆ. ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾದ ಮರುಪಂದ್ಯದ ವಿಂಡೋ ಗಾತ್ರವನ್ನು ಪ್ರತಿ ಚಾನಲ್‌ಗೆ ಎಂಟರಿಂದ ಭಾಗಿಸಲಾಗಿದೆ. QoS ಅನ್ನು ರೂಟರ್‌ನಲ್ಲಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ್ದರೆ, IPsec ಆಂಟಿ-ರೀಪ್ಲೇ ಕಾರ್ಯವಿಧಾನದ ಪರಿಣಾಮವಾಗಿ ಆ ರೂಟರ್ ನಿರೀಕ್ಷಿತ ಸಂಖ್ಯೆಯ ಪ್ಯಾಕೆಟ್ ಡ್ರಾಪ್‌ಗಳನ್ನು ಅನುಭವಿಸಬಹುದು ಮತ್ತು ಕೈಬಿಡಲಾದ ಹಲವು ಪ್ಯಾಕೆಟ್‌ಗಳು ಕಾನೂನುಬದ್ಧವಾಗಿವೆ. QoS ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಮರುಕ್ರಮಗೊಳಿಸುವುದರಿಂದ ಇದು ಸಂಭವಿಸುತ್ತದೆ, ಹೆಚ್ಚಿನ ಆದ್ಯತೆಯ ಪ್ಯಾಕೆಟ್‌ಗಳಿಗೆ ಆದ್ಯತೆಯ ಚಿಕಿತ್ಸೆಯನ್ನು ನೀಡುತ್ತದೆ ಮತ್ತು ಕಡಿಮೆ-ಆದ್ಯತೆಯ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ವಿಳಂಬಗೊಳಿಸುತ್ತದೆ. ಈ ಪರಿಸ್ಥಿತಿಯನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಅಥವಾ ತಡೆಯಲು, ನೀವು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಮಾಡಬಹುದು:

  • ಆಂಟಿ-ರೀಪ್ಲೇ ವಿಂಡೋದ ಗಾತ್ರವನ್ನು ಹೆಚ್ಚಿಸಿ.
  • ಚಾನೆಲ್‌ನೊಳಗೆ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಮರುಕ್ರಮಗೊಳಿಸಲಾಗಿಲ್ಲ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಮೊದಲ ಎಂಟು ಟ್ರಾಫಿಕ್ ಚಾನಲ್‌ಗಳಿಗೆ ಇಂಜಿನಿಯರ್ ಟ್ರಾಫಿಕ್.

IKE-ಸಕ್ರಿಯಗೊಳಿಸಿದ IPsec ಸುರಂಗಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
ಓವರ್‌ಲೇ ನೆಟ್‌ವರ್ಕ್‌ನಿಂದ ಸೇವಾ ನೆಟ್‌ವರ್ಕ್‌ಗೆ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಸುರಕ್ಷಿತವಾಗಿ ವರ್ಗಾಯಿಸಲು, ನೀವು ಇಂಟರ್ನೆಟ್ ಕೀ ಎಕ್ಸ್‌ಚೇಂಜ್ (ಐಕೆಇ) ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಚಲಾಯಿಸುವ IPsec ಸುರಂಗಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು. IKE-ಶಕ್ತಗೊಂಡ IPsec ಸುರಂಗಗಳು ಸುರಕ್ಷಿತ ಪ್ಯಾಕೆಟ್ ಸಾಗಣೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ದೃಢೀಕರಣ ಮತ್ತು ಗೂಢಲಿಪೀಕರಣವನ್ನು ಒದಗಿಸುತ್ತವೆ. IPsec ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುವ ಮೂಲಕ ನೀವು IKE-ಸಕ್ರಿಯಗೊಳಿಸಿದ IPsec ಸುರಂಗವನ್ನು ರಚಿಸುತ್ತೀರಿ. IPsec ಇಂಟರ್‌ಫೇಸ್‌ಗಳು ತಾರ್ಕಿಕ ಇಂಟರ್‌ಫೇಸ್‌ಗಳಾಗಿವೆ ಮತ್ತು ನೀವು ಅವುಗಳನ್ನು ಯಾವುದೇ ಇತರ ಭೌತಿಕ ಇಂಟರ್‌ಫೇಸ್‌ನಂತೆ ಕಾನ್ಫಿಗರ್ ಮಾಡುತ್ತೀರಿ. ನೀವು IPsec ಇಂಟರ್ಫೇಸ್‌ನಲ್ಲಿ IKE ಪ್ರೋಟೋಕಾಲ್ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುತ್ತೀರಿ ಮತ್ತು ನೀವು ಇತರ ಇಂಟರ್ಫೇಸ್ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು.

ಗಮನಿಸಿ IKE ಆವೃತ್ತಿ 2 ಅನ್ನು ಬಳಸಲು Cisco ಶಿಫಾರಸು ಮಾಡುತ್ತದೆ. Cisco SD-WAN 19.2.x ಬಿಡುಗಡೆಯಿಂದ, ಪೂರ್ವ-ಹಂಚಿಕೊಂಡ ಕೀ ಕನಿಷ್ಠ 16 ಬೈಟ್‌ಗಳಷ್ಟು ಉದ್ದವಿರಬೇಕು. ರೂಟರ್ ಅನ್ನು ಆವೃತ್ತಿ 16 ಗೆ ಅಪ್‌ಗ್ರೇಡ್ ಮಾಡಿದಾಗ ಕೀ ಗಾತ್ರವು 19.2 ಅಕ್ಷರಗಳಿಗಿಂತ ಕಡಿಮೆಯಿದ್ದರೆ IPsec ಸುರಂಗ ಸ್ಥಾಪನೆಯು ವಿಫಲಗೊಳ್ಳುತ್ತದೆ.

ಗಮನಿಸಿ
Cisco Catalyst SD-WAN ಸಾಫ್ಟ್‌ವೇರ್ RFC 2 ರಲ್ಲಿ ವಿವರಿಸಿದಂತೆ IKE ಆವೃತ್ತಿ 7296 ಅನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ. IPsec ಸುರಂಗಗಳ ಒಂದು ಉಪಯೋಗವೆಂದರೆ Amazon AWS ನಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ vEdge ಕ್ಲೌಡ್ ರೂಟರ್ VM ನಿದರ್ಶನಗಳನ್ನು Amazon ವರ್ಚುವಲ್ ಪ್ರೈವೇಟ್ ಕ್ಲೌಡ್ (VPC) ಗೆ ಸಂಪರ್ಕಿಸಲು ಅನುಮತಿಸುವುದು. ಈ ರೂಟರ್‌ಗಳಲ್ಲಿ ನೀವು IKE ಆವೃತ್ತಿ 1 ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬೇಕು. Cisco vEdge ಸಾಧನಗಳು IPSec ಕಾನ್ಫಿಗರೇಶನ್‌ನಲ್ಲಿ ಮಾರ್ಗ-ಆಧಾರಿತ VPN ಗಳನ್ನು ಮಾತ್ರ ಬೆಂಬಲಿಸುತ್ತವೆ ಏಕೆಂದರೆ ಈ ಸಾಧನಗಳು ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಡೊಮೇನ್‌ನಲ್ಲಿ ಟ್ರಾಫಿಕ್ ಸೆಲೆಕ್ಟರ್‌ಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ.

IPsec ಸುರಂಗವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
ಸೇವಾ ಜಾಲದಿಂದ ಸುರಕ್ಷಿತ ಸಾರಿಗೆ ಸಂಚಾರಕ್ಕಾಗಿ IPsec ಸುರಂಗ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು, ನೀವು ತಾರ್ಕಿಕ IPsec ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ರಚಿಸುತ್ತೀರಿ:CISCO-SD-WAN-ಕಾನ್ಫಿಗರ್-ಸೆಕ್ಯುರಿಟಿ-ಪ್ಯಾರಾಮೀಟರ್‌ಗಳು-FIG-9

ನೀವು ಸಾರಿಗೆ VPN ನಲ್ಲಿ IPsec ಸುರಂಗವನ್ನು ರಚಿಸಬಹುದು (VPN 0) ಮತ್ತು ಯಾವುದೇ ಸೇವೆ VPN ನಲ್ಲಿ (VPN 1 ರಿಂದ 65530, 512 ಹೊರತುಪಡಿಸಿ). IPsec ಇಂಟರ್ಫೇಸ್ ipsecnumber ಸ್ವರೂಪದಲ್ಲಿ ಹೆಸರನ್ನು ಹೊಂದಿದೆ, ಅಲ್ಲಿ ಸಂಖ್ಯೆ 1 ರಿಂದ 255 ರವರೆಗೆ ಇರಬಹುದು. ಪ್ರತಿ IPsec ಇಂಟರ್ಫೇಸ್ IPv4 ವಿಳಾಸವನ್ನು ಹೊಂದಿರಬೇಕು. ಈ ವಿಳಾಸವು /30 ಪೂರ್ವಪ್ರತ್ಯಯವಾಗಿರಬೇಕು. ಈ IPv4 ಪೂರ್ವಪ್ರತ್ಯಯದಲ್ಲಿರುವ VPN ನಲ್ಲಿನ ಎಲ್ಲಾ ಟ್ರಾಫಿಕ್ ಅನ್ನು VPN 0 ನಲ್ಲಿನ ಭೌತಿಕ ಇಂಟರ್ಫೇಸ್‌ಗೆ IPsec ಸುರಂಗದ ಮೂಲಕ ಸುರಕ್ಷಿತವಾಗಿ ಕಳುಹಿಸಲು ನಿರ್ದೇಶಿಸಲಾಗಿದೆ. ಸ್ಥಳೀಯ ಸಾಧನದಲ್ಲಿ IPsec ಸುರಂಗದ ಮೂಲವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು, ನೀವು ಇದರ IP ವಿಳಾಸವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು ಭೌತಿಕ ಇಂಟರ್ಫೇಸ್ (ಸುರಂಗ-ಮೂಲ ಆಜ್ಞೆಯಲ್ಲಿ) ಅಥವಾ ಭೌತಿಕ ಇಂಟರ್ಫೇಸ್‌ನ ಹೆಸರು (ಸುರಂಗ-ಮೂಲ-ಇಂಟರ್‌ಫೇಸ್ ಆಜ್ಞೆಯಲ್ಲಿ). ಭೌತಿಕ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು VPN 0 ನಲ್ಲಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ. IPsec ಸುರಂಗದ ಗಮ್ಯಸ್ಥಾನವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು, tunnel-destination ಆಜ್ಞೆಯಲ್ಲಿ ರಿಮೋಟ್ ಸಾಧನದ IP ವಿಳಾಸವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ. ಮೂಲ ವಿಳಾಸ (ಅಥವಾ ಮೂಲ ಇಂಟರ್ಫೇಸ್ ಹೆಸರು) ಮತ್ತು ಗಮ್ಯಸ್ಥಾನದ ವಿಳಾಸದ ಸಂಯೋಜನೆಯು ಒಂದೇ IPsec ಸುರಂಗವನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ. ನಿರ್ದಿಷ್ಟ ಮೂಲ ವಿಳಾಸ (ಅಥವಾ ಇಂಟರ್ಫೇಸ್ ಹೆಸರು) ಮತ್ತು ಗಮ್ಯಸ್ಥಾನ ವಿಳಾಸ ಜೋಡಿಯನ್ನು ಬಳಸುವ ಒಂದು IPsec ಸುರಂಗ ಮಾತ್ರ ಅಸ್ತಿತ್ವದಲ್ಲಿರಬಹುದು.

IPsec ಸ್ಥಿರ ಮಾರ್ಗವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ

ಸಾರಿಗೆ VPN (VPN 0) ನಲ್ಲಿನ IPsec ಸುರಂಗಕ್ಕೆ VPN ಸೇವೆಯಿಂದ ಟ್ರಾಫಿಕ್ ಅನ್ನು ನಿರ್ದೇಶಿಸಲು, ನೀವು VPN ಸೇವೆಯಲ್ಲಿ IPsec-ನಿರ್ದಿಷ್ಟ ಸ್ಥಿರ ಮಾರ್ಗವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ (VPN 0 ಅಥವಾ VPN 512 ಹೊರತುಪಡಿಸಿ VPN):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route ಪೂರ್ವಪ್ರತ್ಯಯ/ಉದ್ದ vpn 0 ಇಂಟರ್ಫೇಸ್
  • ipsecnumber [ipsecnumber2]

VPN ID ಎಂಬುದು ಯಾವುದೇ ಸೇವೆಯ VPN ಆಗಿದೆ (VPN 1 ರಿಂದ 65530, 512 ಹೊರತುಪಡಿಸಿ). ಪೂರ್ವಪ್ರತ್ಯಯ/ಉದ್ದವು IP ವಿಳಾಸ ಅಥವಾ ಪೂರ್ವಪ್ರತ್ಯಯವಾಗಿದೆ, ದಶಮಾಂಶ ನಾಲ್ಕು-ಭಾಗ-ಚುಕ್ಕೆಗಳ ಸಂಕೇತ, ಮತ್ತು IPsec-ನಿರ್ದಿಷ್ಟ ಸ್ಥಿರ ಮಾರ್ಗದ ಪೂರ್ವಪ್ರತ್ಯಯ ಉದ್ದ. ಇಂಟರ್ಫೇಸ್ VPN 0 ನಲ್ಲಿ IPsec ಸುರಂಗ ಇಂಟರ್ಫೇಸ್ ಆಗಿದೆ. ನೀವು ಒಂದು ಅಥವಾ ಎರಡು IPsec ಟನಲ್ ಇಂಟರ್ಫೇಸ್ಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು. ನೀವು ಎರಡನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿದರೆ, ಮೊದಲನೆಯದು ಪ್ರಾಥಮಿಕ IPsec ಸುರಂಗ, ಮತ್ತು ಎರಡನೆಯದು ಬ್ಯಾಕಪ್ ಆಗಿದೆ. ಎರಡು ಇಂಟರ್ಫೇಸ್‌ಗಳೊಂದಿಗೆ, ಎಲ್ಲಾ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಪ್ರಾಥಮಿಕ ಸುರಂಗಕ್ಕೆ ಮಾತ್ರ ಕಳುಹಿಸಲಾಗುತ್ತದೆ. ಆ ಸುರಂಗ ವಿಫಲವಾದರೆ, ಎಲ್ಲಾ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ನಂತರ ದ್ವಿತೀಯ ಸುರಂಗಕ್ಕೆ ಕಳುಹಿಸಲಾಗುತ್ತದೆ. ಪ್ರಾಥಮಿಕ ಸುರಂಗವು ಮರಳಿ ಬಂದರೆ, ಎಲ್ಲಾ ದಟ್ಟಣೆಯನ್ನು ಪ್ರಾಥಮಿಕ IPsec ಸುರಂಗಕ್ಕೆ ಹಿಂತಿರುಗಿಸಲಾಗುತ್ತದೆ.

IKE ಆವೃತ್ತಿ 1 ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ
ನೀವು vEdge ರೂಟರ್‌ನಲ್ಲಿ IPsec ಸುರಂಗವನ್ನು ರಚಿಸಿದಾಗ, IKE ಆವೃತ್ತಿ 1 ಅನ್ನು ಟನಲ್ ಇಂಟರ್‌ಫೇಸ್‌ನಲ್ಲಿ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ. IKEv1 ಗಾಗಿ ಈ ಕೆಳಗಿನ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ:

  • ದೃಢೀಕರಣ ಮತ್ತು ಗೂಢಲಿಪೀಕರಣ-AES-256 ಸುಧಾರಿತ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಪ್ರಮಾಣಿತ CBC ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಜೊತೆಗೆ HMAC-SHA1 ಕೀಯಡ್-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣ ಕೋಡ್ ಅಲ್ಗಾರಿದಮ್ ಸಮಗ್ರತೆಗಾಗಿ
  • ಡಿಫಿ-ಹೆಲ್ಮನ್ ಗುಂಪು ಸಂಖ್ಯೆ-16
  • ರಿಕಿಯಿಂಗ್ ಸಮಯದ ಮಧ್ಯಂತರ - 4 ಗಂಟೆಗಳು
  • SA ಸ್ಥಾಪನೆ ಮೋಡ್-ಮುಖ್ಯ

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IKE SAಗಳನ್ನು ಸ್ಥಾಪಿಸಲು IKEv1 IKE ಮುಖ್ಯ ಮೋಡ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. ಈ ಕ್ರಮದಲ್ಲಿ, SA ಸ್ಥಾಪಿಸಲು ಆರು ಸಮಾಲೋಚನಾ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳಲಾಗುತ್ತದೆ. ಕೇವಲ ಮೂರು ಸಮಾಲೋಚನಾ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳಲು, ಆಕ್ರಮಣಕಾರಿ ಮೋಡ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ:

ಗಮನಿಸಿ
ಪೂರ್ವ-ಹಂಚಿಕೊಂಡ ಕೀಗಳನ್ನು ಹೊಂದಿರುವ IKE ಆಕ್ರಮಣಕಾರಿ ಮೋಡ್ ಅನ್ನು ಸಾಧ್ಯವಿರುವಲ್ಲೆಲ್ಲಾ ತಪ್ಪಿಸಬೇಕು. ಇಲ್ಲದಿದ್ದರೆ ಪ್ರಬಲವಾದ ಪೂರ್ವ-ಹಂಚಿಕೆಯ ಕೀಲಿಯನ್ನು ಆಯ್ಕೆ ಮಾಡಬೇಕು.

  • vEdge(config)# vpn vpn-id ಇಂಟರ್ಫೇಸ್ ipsec ಸಂಖ್ಯೆ ike
  • vEdge(config-ike)# ಮೋಡ್ ಆಕ್ರಮಣಕಾರಿ

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IKEv1 IKE ಕೀ ವಿನಿಮಯದಲ್ಲಿ Diffie-Hellman group 16 ಅನ್ನು ಬಳಸುತ್ತದೆ. IKE ಕೀ ವಿನಿಮಯದ ಸಮಯದಲ್ಲಿ ಈ ಗುಂಪು 4096-ಬಿಟ್ ಹೆಚ್ಚು ಮಾಡ್ಯುಲರ್ ಘಾತೀಯ (MODP) ಗುಂಪನ್ನು ಬಳಸುತ್ತದೆ. ನೀವು ಗುಂಪು ಸಂಖ್ಯೆಯನ್ನು 2 (1024-ಬಿಟ್ MODP ಗಾಗಿ), 14 (2048-ಬಿಟ್ MODP) ಅಥವಾ 15 (3072-ಬಿಟ್ MODP) ಗೆ ಬದಲಾಯಿಸಬಹುದು:

  • vEdge(config)# vpn vpn-id ಇಂಟರ್ಫೇಸ್ ipsec ಸಂಖ್ಯೆ ike
  • vEdge(config-ike)# ಗುಂಪು ಸಂಖ್ಯೆ

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IKE ಕೀ ವಿನಿಮಯವು ಸಮಗ್ರತೆಗಾಗಿ HMAC-SHA256 ಕೀಯಡ್-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣ ಕೋಡ್ ಅಲ್ಗಾರಿದಮ್‌ನೊಂದಿಗೆ AES-1 ಸುಧಾರಿತ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಪ್ರಮಾಣಿತ CBC ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. ನೀವು ದೃಢೀಕರಣವನ್ನು ಬದಲಾಯಿಸಬಹುದು:

  • vEdge(config)# vpn vpn-id ಇಂಟರ್ಫೇಸ್ ipsec ಸಂಖ್ಯೆ ike
  • vEdge(config-ike)# ಸೈಫರ್-ಸೂಟ್ ಸೂಟ್

ದೃಢೀಕರಣ ಸೂಟ್ ಈ ಕೆಳಗಿನವುಗಳಲ್ಲಿ ಒಂದಾಗಿರಬಹುದು:

  • aes128-cbc-sha1—AES-128 ಸುಧಾರಿತ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಪ್ರಮಾಣಿತ CBC ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಜೊತೆಗೆ HMAC-SHA1 ಕೀಯಡ್-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣ ಕೋಡ್ ಅಲ್ಗಾರಿದಮ್ ಸಮಗ್ರತೆಗಾಗಿ
  • aes128-cbc-sha2—AES-128 ಸುಧಾರಿತ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಪ್ರಮಾಣಿತ CBC ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಜೊತೆಗೆ HMAC-SHA256 ಕೀಯಡ್-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣ ಕೋಡ್ ಅಲ್ಗಾರಿದಮ್ ಸಮಗ್ರತೆಗಾಗಿ
  • aes256-cbc-sha1—AES-256 ಸುಧಾರಿತ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಪ್ರಮಾಣಿತ CBC ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಜೊತೆಗೆ HMAC-SHA1 ಕೀಯಡ್-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣ ಕೋಡ್ ಅಲ್ಗಾರಿದಮ್ ಸಮಗ್ರತೆಗಾಗಿ; ಇದು ಡೀಫಾಲ್ಟ್ ಆಗಿದೆ.
  • aes256-cbc-sha2—AES-256 ಸುಧಾರಿತ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಪ್ರಮಾಣಿತ CBC ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಜೊತೆಗೆ HMAC-SHA256 ಕೀಯಡ್-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣ ಕೋಡ್ ಅಲ್ಗಾರಿದಮ್ ಸಮಗ್ರತೆಗಾಗಿ

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IKE ಕೀಗಳನ್ನು ಪ್ರತಿ 1 ಗಂಟೆಗಳಿಗೊಮ್ಮೆ (3600 ಸೆಕೆಂಡುಗಳು) ರಿಫ್ರೆಶ್ ಮಾಡಲಾಗುತ್ತದೆ. ನೀವು 30 ಸೆಕೆಂಡುಗಳಿಂದ 14 ದಿನಗಳವರೆಗೆ (1209600 ಸೆಕೆಂಡುಗಳು) ಮೌಲ್ಯಕ್ಕೆ ಮರುಕಳಿಸುವಿಕೆಯ ಮಧ್ಯಂತರವನ್ನು ಬದಲಾಯಿಸಬಹುದು. ಮರುಕಳಿಸುವಿಕೆಯ ಮಧ್ಯಂತರವು ಕನಿಷ್ಠ 1 ಗಂಟೆ ಎಂದು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ.

  • vEdge(config)# vpn vpn-id ಇಂಟರ್ಫೇಸ್ ipsec ಸಂಖ್ಯೆ ಹಾಗೆ
  • vEdge(config-ike)# rekey ಸೆಕೆಂಡುಗಳು

IKE ಸೆಶನ್‌ಗಾಗಿ ಹೊಸ ಕೀಗಳ ಉತ್ಪಾದನೆಯನ್ನು ಒತ್ತಾಯಿಸಲು, ವಿನಂತಿಯನ್ನು ipsec ike-rekey ಆಜ್ಞೆಯನ್ನು ನೀಡಿ.

  • vEdge(config)# vpn vpn-id interfaceipsec ಸಂಖ್ಯೆ ike

IKE ಗಾಗಿ, ನೀವು ಪೂರ್ವ ಹಂಚಿಕೆಯ ಕೀ (PSK) ದೃಢೀಕರಣವನ್ನು ಸಹ ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು:

  • vEdge(config)# vpn vpn-id ಇಂಟರ್ಫೇಸ್ ipsec ಸಂಖ್ಯೆ ike
  • vEdge(config-ike)# ದೃಢೀಕರಣ-ಮಾದರಿಯ ಪೂರ್ವ-ಹಂಚಿಕೆಯ-ಕೀ ಪೂರ್ವ-ಹಂಚಿಕೊಂಡ-ರಹಸ್ಯ ಪಾಸ್‌ವರ್ಡ್ ಪಾಸ್‌ವರ್ಡ್ ಪೂರ್ವ-ಹಂಚಿಕೊಂಡ ಕೀಲಿಯೊಂದಿಗೆ ಬಳಸಲು ಪಾಸ್‌ವರ್ಡ್ ಆಗಿದೆ. ಇದು 1 ರಿಂದ 127 ಅಕ್ಷರಗಳವರೆಗೆ ASCII ಅಥವಾ ಹೆಕ್ಸಾಡೆಸಿಮಲ್ ಸ್ಟ್ರಿಂಗ್ ಆಗಿರಬಹುದು.

ರಿಮೋಟ್ IKE ಪೀರ್‌ಗೆ ಸ್ಥಳೀಯ ಅಥವಾ ರಿಮೋಟ್ ಐಡಿ ಅಗತ್ಯವಿದ್ದರೆ, ನೀವು ಈ ಗುರುತಿಸುವಿಕೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು:

  • vEdge(config)# vpn vpn-id ಇಂಟರ್ಫೇಸ್ ipsec ಸಂಖ್ಯೆಯು ದೃಢೀಕರಣದ ಪ್ರಕಾರ
  • vEdge(config-authentication-type)# ಲೋಕಲ್-ಐಡಿ ಐಡಿ
  • vEdge(config-authentication-type)# ರಿಮೋಟ್-ಐಡಿ ಐಡಿ

ಗುರುತಿಸುವಿಕೆಯು IP ವಿಳಾಸ ಅಥವಾ 1 ರಿಂದ 63 ಅಕ್ಷರಗಳವರೆಗಿನ ಯಾವುದೇ ಪಠ್ಯ ಸ್ಟ್ರಿಂಗ್ ಆಗಿರಬಹುದು. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಸ್ಥಳೀಯ ID ಸುರಂಗದ ಮೂಲ IP ವಿಳಾಸವಾಗಿದೆ ಮತ್ತು ದೂರಸ್ಥ ID ಸುರಂಗದ ಗಮ್ಯಸ್ಥಾನ IP ವಿಳಾಸವಾಗಿದೆ.

IKE ಆವೃತ್ತಿ 2 ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ
IKE ಆವೃತ್ತಿ 2 ಅನ್ನು ಬಳಸಲು ನೀವು IPsec ಸುರಂಗವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿದಾಗ, IKEv2 ಗಾಗಿ ಕೆಳಗಿನ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ:

  • ದೃಢೀಕರಣ ಮತ್ತು ಗೂಢಲಿಪೀಕರಣ-AES-256 ಸುಧಾರಿತ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಪ್ರಮಾಣಿತ CBC ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಜೊತೆಗೆ HMAC-SHA1 ಕೀಯಡ್-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣ ಕೋಡ್ ಅಲ್ಗಾರಿದಮ್ ಸಮಗ್ರತೆಗಾಗಿ
  • ಡಿಫಿ-ಹೆಲ್ಮನ್ ಗುಂಪು ಸಂಖ್ಯೆ-16
  • ರಿಕಿಯಿಂಗ್ ಸಮಯದ ಮಧ್ಯಂತರ - 4 ಗಂಟೆಗಳು

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IKEv2 IKE ಕೀ ವಿನಿಮಯದಲ್ಲಿ Diffie-Hellman group 16 ಅನ್ನು ಬಳಸುತ್ತದೆ. IKE ಕೀ ವಿನಿಮಯದ ಸಮಯದಲ್ಲಿ ಈ ಗುಂಪು 4096-ಬಿಟ್ ಹೆಚ್ಚು ಮಾಡ್ಯುಲರ್ ಘಾತೀಯ (MODP) ಗುಂಪನ್ನು ಬಳಸುತ್ತದೆ. ನೀವು ಗುಂಪು ಸಂಖ್ಯೆಯನ್ನು 2 (1024-ಬಿಟ್ MODP ಗಾಗಿ), 14 (2048-ಬಿಟ್ MODP) ಅಥವಾ 15 (3072-ಬಿಟ್ MODP) ಗೆ ಬದಲಾಯಿಸಬಹುದು:

  • vEdge(config)# vpn vpn-id ಇಂಟರ್ಫೇಸ್ ipsecnumber ike
  • vEdge(config-ike)# ಗುಂಪು ಸಂಖ್ಯೆ

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IKE ಕೀ ವಿನಿಮಯವು ಸಮಗ್ರತೆಗಾಗಿ HMAC-SHA256 ಕೀಯಡ್-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣ ಕೋಡ್ ಅಲ್ಗಾರಿದಮ್‌ನೊಂದಿಗೆ AES-1 ಸುಧಾರಿತ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಪ್ರಮಾಣಿತ CBC ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. ನೀವು ದೃಢೀಕರಣವನ್ನು ಬದಲಾಯಿಸಬಹುದು:

  • vEdge(config)# vpn vpn-id ಇಂಟರ್ಫೇಸ್ ipsecnumber ike
  • vEdge(config-ike)# ಸೈಫರ್-ಸೂಟ್ ಸೂಟ್

ದೃಢೀಕರಣ ಸೂಟ್ ಈ ಕೆಳಗಿನವುಗಳಲ್ಲಿ ಒಂದಾಗಿರಬಹುದು:

  • aes128-cbc-sha1—AES-128 ಸುಧಾರಿತ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಪ್ರಮಾಣಿತ CBC ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಜೊತೆಗೆ HMAC-SHA1 ಕೀಯಡ್-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣ ಕೋಡ್ ಅಲ್ಗಾರಿದಮ್ ಸಮಗ್ರತೆಗಾಗಿ
  • aes128-cbc-sha2—AES-128 ಸುಧಾರಿತ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಪ್ರಮಾಣಿತ CBC ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಜೊತೆಗೆ HMAC-SHA256 ಕೀಯಡ್-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣ ಕೋಡ್ ಅಲ್ಗಾರಿದಮ್ ಸಮಗ್ರತೆಗಾಗಿ
  • aes256-cbc-sha1—AES-256 ಸುಧಾರಿತ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಪ್ರಮಾಣಿತ CBC ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಜೊತೆಗೆ HMAC-SHA1 ಕೀಯಡ್-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣ ಕೋಡ್ ಅಲ್ಗಾರಿದಮ್ ಸಮಗ್ರತೆಗಾಗಿ; ಇದು ಡೀಫಾಲ್ಟ್ ಆಗಿದೆ.
  • aes256-cbc-sha2—AES-256 ಸುಧಾರಿತ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಪ್ರಮಾಣಿತ CBC ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಜೊತೆಗೆ HMAC-SHA256 ಕೀಯಡ್-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣ ಕೋಡ್ ಅಲ್ಗಾರಿದಮ್ ಸಮಗ್ರತೆಗಾಗಿ

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IKE ಕೀಗಳನ್ನು ಪ್ರತಿ 4 ಗಂಟೆಗಳಿಗೊಮ್ಮೆ (14,400 ಸೆಕೆಂಡುಗಳು) ರಿಫ್ರೆಶ್ ಮಾಡಲಾಗುತ್ತದೆ. ನೀವು 30 ಸೆಕೆಂಡ್‌ಗಳಿಂದ 14 ದಿನಗಳವರೆಗೆ (1209600 ಸೆಕೆಂಡುಗಳು) ಮೌಲ್ಯಕ್ಕೆ ಮರುಕಳಿಸುವಿಕೆಯ ಮಧ್ಯಂತರವನ್ನು ಬದಲಾಯಿಸಬಹುದು:

  • vEdge(config)# vpn vpn-id ಇಂಟರ್ಫೇಸ್ ipsecnumber ike
  • vEdge(config-ike)# rekey ಸೆಕೆಂಡುಗಳು

IKE ಸೆಶನ್‌ಗಾಗಿ ಹೊಸ ಕೀಗಳ ಉತ್ಪಾದನೆಯನ್ನು ಒತ್ತಾಯಿಸಲು, ವಿನಂತಿಯನ್ನು ipsec ike-rekey ಆಜ್ಞೆಯನ್ನು ನೀಡಿ. IKE ಗಾಗಿ, ನೀವು ಪೂರ್ವ ಹಂಚಿಕೆಯ ಕೀ (PSK) ದೃಢೀಕರಣವನ್ನು ಸಹ ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು:

  • vEdge(config)# vpn vpn-id ಇಂಟರ್ಫೇಸ್ ipsecnumber ike
  • vEdge(config-ike)# ದೃಢೀಕರಣ-ಮಾದರಿಯ ಪೂರ್ವ-ಹಂಚಿಕೆಯ-ಕೀ ಪೂರ್ವ-ಹಂಚಿಕೊಂಡ-ರಹಸ್ಯ ಪಾಸ್‌ವರ್ಡ್ ಪಾಸ್‌ವರ್ಡ್ ಪೂರ್ವ-ಹಂಚಿಕೊಂಡ ಕೀಲಿಯೊಂದಿಗೆ ಬಳಸಲು ಪಾಸ್‌ವರ್ಡ್ ಆಗಿದೆ. ಇದು ASCII ಅಥವಾ ಹೆಕ್ಸಾಡೆಸಿಮಲ್ ಸ್ಟ್ರಿಂಗ್ ಆಗಿರಬಹುದು ಅಥವಾ AES-ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಕೀ ಆಗಿರಬಹುದು. ರಿಮೋಟ್ IKE ಪೀರ್‌ಗೆ ಸ್ಥಳೀಯ ಅಥವಾ ರಿಮೋಟ್ ಐಡಿ ಅಗತ್ಯವಿದ್ದರೆ, ನೀವು ಈ ಗುರುತಿಸುವಿಕೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು:
  • vEdge(config)# vpn vpn-id ಇಂಟರ್ಫೇಸ್ ipsecnumber ನಂತಹ ದೃಢೀಕರಣ-ಪ್ರಕಾರ
  • vEdge(config-authentication-type)# ಲೋಕಲ್-ಐಡಿ ಐಡಿ
  • vEdge(config-authentication-type)# ರಿಮೋಟ್-ಐಡಿ ಐಡಿ

ಗುರುತಿಸುವಿಕೆಯು IP ವಿಳಾಸ ಅಥವಾ 1 ರಿಂದ 64 ಅಕ್ಷರಗಳವರೆಗಿನ ಯಾವುದೇ ಪಠ್ಯ ಸ್ಟ್ರಿಂಗ್ ಆಗಿರಬಹುದು. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಸ್ಥಳೀಯ ID ಸುರಂಗದ ಮೂಲ IP ವಿಳಾಸವಾಗಿದೆ ಮತ್ತು ದೂರಸ್ಥ ID ಸುರಂಗದ ಗಮ್ಯಸ್ಥಾನ IP ವಿಳಾಸವಾಗಿದೆ.

IPsec ಟನಲ್ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ

ಕೋಷ್ಟಕ 4: ವೈಶಿಷ್ಟ್ಯ ಇತಿಹಾಸ

ವೈಶಿಷ್ಟ್ಯ ಹೆಸರು ಬಿಡುಗಡೆ ಮಾಹಿತಿ ವಿವರಣೆ
ಹೆಚ್ಚುವರಿ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ Cisco SD-WAN ಬಿಡುಗಡೆ 20.1.1 ಈ ವೈಶಿಷ್ಟ್ಯವು ಬೆಂಬಲವನ್ನು ಸೇರಿಸುತ್ತದೆ
IPSec ಗಾಗಿ ಅಲ್ಗಾರಿದಮಿಕ್ ಬೆಂಬಲ   HMAC_SHA256, HMAC_SHA384, ಮತ್ತು
ಸುರಂಗಗಳು   HMAC_SHA512 ಅಲ್ಗಾರಿದಮ್‌ಗಳು
    ವರ್ಧಿತ ಭದ್ರತೆ.

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IKE ಟ್ರಾಫಿಕ್ ಅನ್ನು ಸಾಗಿಸುವ IPsec ಸುರಂಗದಲ್ಲಿ ಕೆಳಗಿನ ನಿಯತಾಂಕಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ:

  • GCM (Galois/ಕೌಂಟರ್ ಮೋಡ್) ನಲ್ಲಿ ದೃಢೀಕರಣ ಮತ್ತು ಗೂಢಲಿಪೀಕರಣ-AES-256 ಅಲ್ಗಾರಿದಮ್
  • ಮರುಕಳಿಸುವಿಕೆಯ ಮಧ್ಯಂತರ - 4 ಗಂಟೆಗಳು
  • ರಿಪ್ಲೇ ವಿಂಡೋ-32 ಪ್ಯಾಕೆಟ್‌ಗಳು

ನೀವು IPsec ಟನಲ್‌ನಲ್ಲಿನ ಗೂಢಲಿಪೀಕರಣವನ್ನು CBC ಯಲ್ಲಿ AES-256 ಸೈಫರ್‌ಗೆ ಬದಲಾಯಿಸಬಹುದು (ಸೈಫರ್ ಬ್ಲಾಕ್ ಚೈನಿಂಗ್ ಮೋಡ್, SHA-1 ಅಥವಾ SHA-2 ಕೀಯಡ್-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣವನ್ನು ಬಳಸಿಕೊಂಡು HMAC ನೊಂದಿಗೆ ಅಥವಾ SHA-1 ಅಥವಾ HMAC ನೊಂದಿಗೆ ಶೂನ್ಯಗೊಳಿಸಬಹುದು SHA-2 ಕೀಲಿ-ಹ್ಯಾಶ್ ಸಂದೇಶ ದೃಢೀಕರಣ, IKE ಕೀ ವಿನಿಮಯ ಟ್ರಾಫಿಕ್‌ಗಾಗಿ ಬಳಸುವ IPsec ಸುರಂಗವನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡದಿರಲು:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# ಸೈಫರ್-ಸೂಟ್ (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1-null-sha256 |. aes256-null-sha256 | aes384-null-sha256)

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IKE ಕೀಗಳನ್ನು ಪ್ರತಿ 4 ಗಂಟೆಗಳಿಗೊಮ್ಮೆ (14,400 ಸೆಕೆಂಡುಗಳು) ರಿಫ್ರೆಶ್ ಮಾಡಲಾಗುತ್ತದೆ. ನೀವು 30 ಸೆಕೆಂಡ್‌ಗಳಿಂದ 14 ದಿನಗಳವರೆಗೆ (1209600 ಸೆಕೆಂಡುಗಳು) ಮೌಲ್ಯಕ್ಕೆ ಮರುಕಳಿಸುವಿಕೆಯ ಮಧ್ಯಂತರವನ್ನು ಬದಲಾಯಿಸಬಹುದು:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey ಸೆಕೆಂಡುಗಳು

IPsec ಸುರಂಗಕ್ಕಾಗಿ ಹೊಸ ಕೀಗಳ ಉತ್ಪಾದನೆಯನ್ನು ಒತ್ತಾಯಿಸಲು, ವಿನಂತಿಯನ್ನು ipsec ipsec-rekey ಆಜ್ಞೆಯನ್ನು ನೀಡಿ. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಭವಿಷ್ಯದ ಕೀಗಳು ರಾಜಿ ಮಾಡಿಕೊಂಡರೆ ಹಿಂದಿನ ಸೆಷನ್‌ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು IPsec ಸುರಂಗಗಳಲ್ಲಿ ಪರಿಪೂರ್ಣ ಫಾರ್ವರ್ಡ್ ಗೌಪ್ಯತೆಯನ್ನು (PFS) ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ. PFS 4096-ಬಿಟ್ Diffie-Hellman ಪ್ರೈಮ್ ಮಾಡ್ಯೂಲ್ ಗುಂಪನ್ನು ಬಳಸಿಕೊಂಡು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಹೊಸ Diffie-Hellman ಕೀ ವಿನಿಮಯವನ್ನು ಒತ್ತಾಯಿಸುತ್ತದೆ. ನೀವು PFS ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಬದಲಾಯಿಸಬಹುದು:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# ಪರಿಪೂರ್ಣ-ಫಾರ್ವರ್ಡ್-ರಹ್ಯತೆ pfs-ಸೆಟ್ಟಿಂಗ್

pfs-ಸೆಟ್ಟಿಂಗ್ ಈ ಕೆಳಗಿನವುಗಳಲ್ಲಿ ಒಂದಾಗಿರಬಹುದು:

  • ಗುಂಪು-2-1024-ಬಿಟ್ ಡಿಫಿ-ಹೆಲ್ಮನ್ ಪ್ರೈಮ್ ಮಾಡ್ಯುಲಸ್ ಗುಂಪನ್ನು ಬಳಸಿ.
  • ಗುಂಪು-14-2048-ಬಿಟ್ ಡಿಫಿ-ಹೆಲ್ಮನ್ ಪ್ರೈಮ್ ಮಾಡ್ಯುಲಸ್ ಗುಂಪನ್ನು ಬಳಸಿ.
  • ಗುಂಪು-15-3072-ಬಿಟ್ ಡಿಫಿ-ಹೆಲ್ಮನ್ ಪ್ರೈಮ್ ಮಾಡ್ಯುಲಸ್ ಗುಂಪನ್ನು ಬಳಸಿ.
  • ಗುಂಪು-16-4096-ಬಿಟ್ ಡಿಫಿ-ಹೆಲ್‌ಮ್ಯಾನ್ ಪ್ರೈಮ್ ಮಾಡ್ಯುಲಸ್ ಗುಂಪನ್ನು ಬಳಸಿ. ಇದು ಡೀಫಾಲ್ಟ್ ಆಗಿದೆ.
  • ಯಾವುದೂ ಇಲ್ಲ - PFS ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ.

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IPsec ಸುರಂಗದಲ್ಲಿ IPsec ಮರುಪಂದ್ಯದ ವಿಂಡೋ 512 ಬೈಟ್‌ಗಳು. ನೀವು ಮರುಪಂದ್ಯದ ವಿಂಡೋ ಗಾತ್ರವನ್ನು 64, 128, 256, 512, 1024, 2048, ಅಥವಾ 4096 ಪ್ಯಾಕೆಟ್‌ಗಳಿಗೆ ಹೊಂದಿಸಬಹುದು:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# ಮರುಪಂದ್ಯ-ವಿಂಡೋ ಸಂಖ್ಯೆ

IKE ಡೆಡ್-ಪೀರ್ ಪತ್ತೆಯನ್ನು ಮಾರ್ಪಡಿಸಿ

IKE ಪೀರ್‌ಗೆ ಸಂಪರ್ಕವು ಕ್ರಿಯಾತ್ಮಕವಾಗಿದೆಯೇ ಮತ್ತು ತಲುಪಬಹುದೇ ಎಂದು ನಿರ್ಧರಿಸಲು IKE ಸತ್ತ-ಪೀರ್ ಪತ್ತೆ ಕಾರ್ಯವಿಧಾನವನ್ನು ಬಳಸುತ್ತದೆ. ಈ ಕಾರ್ಯವಿಧಾನವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು, IKE ತನ್ನ ಪೀರ್‌ಗೆ ಹಲೋ ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಕಳುಹಿಸುತ್ತದೆ ಮತ್ತು ಪೀರ್ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ ಸ್ವೀಕೃತಿಯನ್ನು ಕಳುಹಿಸುತ್ತದೆ. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, IKE ಪ್ರತಿ 10 ಸೆಕೆಂಡುಗಳಿಗೊಮ್ಮೆ ಹಲೋ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಕಳುಹಿಸುತ್ತದೆ ಮತ್ತು ಮೂರು ಅಂಗೀಕರಿಸದ ಪ್ಯಾಕೆಟ್‌ಗಳ ನಂತರ, IKE ನೆರೆಹೊರೆಯವರು ಸತ್ತಿದ್ದಾರೆ ಎಂದು ಘೋಷಿಸುತ್ತದೆ ಮತ್ತು ಸುರಂಗವನ್ನು ಪೀರ್‌ಗೆ ಹರಿದು ಹಾಕುತ್ತದೆ. ಅದರ ನಂತರ, IKE ನಿಯತಕಾಲಿಕವಾಗಿ ಪೀರ್‌ಗೆ ಹಲೋ ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಕಳುಹಿಸುತ್ತದೆ ಮತ್ತು ಪೀರ್ ಆನ್‌ಲೈನ್‌ಗೆ ಹಿಂತಿರುಗಿದಾಗ ಸುರಂಗವನ್ನು ಮರು-ಸ್ಥಾಪಿಸುತ್ತದೆ. ನೀವು ಲೈವ್‌ನೆಸ್ ಡಿಟೆಕ್ಷನ್ ಮಧ್ಯಂತರವನ್ನು 0 ರಿಂದ 65535 ರವರೆಗಿನ ಮೌಲ್ಯಕ್ಕೆ ಬದಲಾಯಿಸಬಹುದು ಮತ್ತು ನೀವು ಮರುಪ್ರಯತ್ನಗಳ ಸಂಖ್ಯೆಯನ್ನು 0 ರಿಂದ 255 ರವರೆಗಿನ ಮೌಲ್ಯಕ್ಕೆ ಬದಲಾಯಿಸಬಹುದು.

ಗಮನಿಸಿ

ಸಾರಿಗೆ VPN ಗಳಿಗಾಗಿ, ಈ ಕೆಳಗಿನ ಸೂತ್ರವನ್ನು ಬಳಸಿಕೊಂಡು ಲೈವ್‌ನೆಸ್ ಪತ್ತೆ ಮಧ್ಯಂತರವನ್ನು ಸೆಕೆಂಡುಗಳಿಗೆ ಪರಿವರ್ತಿಸಲಾಗುತ್ತದೆ: ಮರುಪ್ರಸಾರ ಪ್ರಯತ್ನ ಸಂಖ್ಯೆ N = ಮಧ್ಯಂತರ * 1.8N-1ಉದಾ.ample, ಮಧ್ಯಂತರವನ್ನು 10 ಕ್ಕೆ ಹೊಂದಿಸಿದರೆ ಮತ್ತು 5 ಕ್ಕೆ ಮರುಪ್ರಯತ್ನಿಸಿದರೆ, ಪತ್ತೆ ಮಧ್ಯಂತರವು ಈ ಕೆಳಗಿನಂತೆ ಹೆಚ್ಚಾಗುತ್ತದೆ:

  • ಪ್ರಯತ್ನ 1: 10 * 1.81-1= 10 ಸೆಕೆಂಡುಗಳು
  • ಪ್ರಯತ್ನ 2: 10 * 1.82-1= 18 ಸೆಕೆಂಡುಗಳು
  • ಪ್ರಯತ್ನ 3: 10 * 1.83-1= 32.4 ಸೆಕೆಂಡುಗಳು
  • ಪ್ರಯತ್ನ 4: 10 * 1.84-1= 58.32 ಸೆಕೆಂಡುಗಳು
  • ಪ್ರಯತ್ನ 5: 10 * 1.85-1= 104.976 ಸೆಕೆಂಡುಗಳು

vEdge(config-interface-ipsecnumber)# ಡೆಡ್-ಪೀರ್-ಡಿಟೆಕ್ಷನ್ ಇಂಟರ್ವಲ್ ಮರುಪ್ರಯತ್ನ ಸಂಖ್ಯೆ

ಇತರ ಇಂಟರ್ಫೇಸ್ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ

IPsec ಟನಲ್ ಇಂಟರ್ಫೇಸ್‌ಗಳಿಗಾಗಿ, ನೀವು ಈ ಕೆಳಗಿನ ಹೆಚ್ಚುವರಿ ಇಂಟರ್ಫೇಸ್ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಮಾತ್ರ ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು:

  • vEdge(config-interface-ipsec)# mtu ಬೈಟ್‌ಗಳು
  • vEdge(config-interface-ipsec)# tcp-mss-ಹೊಂದಾಣಿಕೆ ಬೈಟ್‌ಗಳು

Cisco SD-WAN ಮ್ಯಾನೇಜರ್‌ನಲ್ಲಿ ದುರ್ಬಲ SSH ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ

ಕೋಷ್ಟಕ 5: ವೈಶಿಷ್ಟ್ಯ ಇತಿಹಾಸ ಕೋಷ್ಟಕ

ವೈಶಿಷ್ಟ್ಯ ಹೆಸರು ಬಿಡುಗಡೆ ಮಾಹಿತಿ ವೈಶಿಷ್ಟ್ಯ ವಿವರಣೆ
Cisco SD-WAN ಮ್ಯಾನೇಜರ್‌ನಲ್ಲಿ ದುರ್ಬಲ SSH ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ Cisco vManage ಬಿಡುಗಡೆ 20.9.1 ಕೆಲವು ಡೇಟಾ ಭದ್ರತಾ ಮಾನದಂಡಗಳನ್ನು ಅನುಸರಿಸದಿರುವ ಸಿಸ್ಕೋ SD-WAN ಮ್ಯಾನೇಜರ್‌ನಲ್ಲಿ ದುರ್ಬಲ SSH ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಈ ವೈಶಿಷ್ಟ್ಯವು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

ಸಿಸ್ಕೋ SD-WAN ಮ್ಯಾನೇಜರ್‌ನಲ್ಲಿ ದುರ್ಬಲ SSH ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವುದರ ಕುರಿತು ಮಾಹಿತಿ
Cisco SD-WAN ಮ್ಯಾನೇಜರ್ ನಿಯಂತ್ರಕಗಳು ಮತ್ತು ಅಂಚಿನ ಸಾಧನಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿನ ಘಟಕಗಳೊಂದಿಗೆ ಸಂವಹನಕ್ಕಾಗಿ SSH ಕ್ಲೈಂಟ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ. SSH ಕ್ಲೈಂಟ್ ವಿವಿಧ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳ ಆಧಾರದ ಮೇಲೆ ಸುರಕ್ಷಿತ ಡೇಟಾ ವರ್ಗಾವಣೆಗಾಗಿ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಂಪರ್ಕವನ್ನು ಒದಗಿಸುತ್ತದೆ. ಅನೇಕ ಸಂಸ್ಥೆಗಳಿಗೆ SHA-1, AES-128, ಮತ್ತು AES-192 ಒದಗಿಸಿದ ಎನ್‌ಕ್ರಿಪ್ಶನ್‌ಗಿಂತ ಬಲವಾದ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಗತ್ಯವಿರುತ್ತದೆ. Cisco vManage ಬಿಡುಗಡೆ 20.9.1 ನಿಂದ, ನೀವು ಕೆಳಗಿನ ದುರ್ಬಲ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು ಇದರಿಂದ SSH ಕ್ಲೈಂಟ್ ಈ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ಬಳಸುವುದಿಲ್ಲ:

  • SHA-1
  • AES-128
  • AES-192

ಈ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವ ಮೊದಲು, Cisco vEdge ಸಾಧನಗಳು ಯಾವುದಾದರೂ ಇದ್ದರೆ, ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ, Cisco SD-WAN ಬಿಡುಗಡೆ 18.4.6 ಕ್ಕಿಂತ ನಂತರದ ಸಾಫ್ಟ್‌ವೇರ್ ಬಿಡುಗಡೆಯನ್ನು ಬಳಸುತ್ತಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ.

ಸಿಸ್ಕೋ SD-WAN ಮ್ಯಾನೇಜರ್‌ನಲ್ಲಿ ದುರ್ಬಲ SSH ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವುದರ ಪ್ರಯೋಜನಗಳು
ದುರ್ಬಲ SSH ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವುದು SSH ಸಂವಹನದ ಸುರಕ್ಷತೆಯನ್ನು ಸುಧಾರಿಸುತ್ತದೆ ಮತ್ತು Cisco ಕ್ಯಾಟಲಿಸ್ಟ್ SD-WAN ಅನ್ನು ಬಳಸುವ ಸಂಸ್ಥೆಗಳು ಕಟ್ಟುನಿಟ್ಟಾದ ಭದ್ರತಾ ನಿಯಮಗಳಿಗೆ ಅನುಗುಣವಾಗಿರುತ್ತವೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ.

CLI ಬಳಸಿಕೊಂಡು ಸಿಸ್ಕೊ ​​SD-WAN ಮ್ಯಾನೇಜರ್‌ನಲ್ಲಿ ದುರ್ಬಲ SSH ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ

  1. Cisco SD-WAN ಮ್ಯಾನೇಜರ್ ಮೆನುವಿನಿಂದ, ಪರಿಕರಗಳು > SSH ಟರ್ಮಿನಲ್ ಆಯ್ಕೆಮಾಡಿ.
  2. ನೀವು ದುರ್ಬಲ SSH ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಬಯಸುವ Cisco SD-WAN ಮ್ಯಾನೇಜರ್ ಸಾಧನವನ್ನು ಆಯ್ಕೆಮಾಡಿ.
  3. ಸಾಧನಕ್ಕೆ ಲಾಗ್ ಇನ್ ಮಾಡಲು ಬಳಕೆದಾರಹೆಸರು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನಮೂದಿಸಿ.
  4. SSH ಸರ್ವರ್ ಮೋಡ್ ಅನ್ನು ನಮೂದಿಸಿ.
    • vmanage(config)# ವ್ಯವಸ್ಥೆ
    • vmanage(config-system)# ssh-server
  5. SSH ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಈ ಕೆಳಗಿನವುಗಳಲ್ಲಿ ಒಂದನ್ನು ಮಾಡಿ:
    • SHA-1 ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ:
  6. ನಿರ್ವಹಿಸಿ(config-ssh-server)# kex-algo sha1 ಇಲ್ಲ
  7. ನಿರ್ವಹಿಸಿ (config-ssh-server)# ಬದ್ಧತೆ
    ಈ ಕೆಳಗಿನ ಎಚ್ಚರಿಕೆ ಸಂದೇಶವನ್ನು ಪ್ರದರ್ಶಿಸಲಾಗಿದೆ: ಈ ಕೆಳಗಿನ ಎಚ್ಚರಿಕೆಗಳನ್ನು ರಚಿಸಲಾಗಿದೆ: 'system ssh-server kex-algo sha1': ಎಚ್ಚರಿಕೆ: ದಯವಿಟ್ಟು ನಿಮ್ಮ ಎಲ್ಲಾ ಅಂಚುಗಳು ಕೋಡ್ ಆವೃತ್ತಿ > 18.4.6 ಅನ್ನು ರನ್ ಮಾಡುವುದನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ ಇದು vManage ಜೊತೆಗೆ SHA1 ಗಿಂತ ಉತ್ತಮವಾಗಿ ಮಾತುಕತೆ ನಡೆಸುತ್ತದೆ. ಇಲ್ಲದಿದ್ದರೆ ಆ ಅಂಚುಗಳು ಆಫ್‌ಲೈನ್ ಆಗಬಹುದು. ಮುಂದುವರೆಯಲು? [ಹೌದು, ಇಲ್ಲ] ಹೌದು
    • ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿರುವ ಯಾವುದೇ Cisco vEdge ಸಾಧನಗಳು Cisco SD-WAN ಬಿಡುಗಡೆ 18.4.6 ಅಥವಾ ನಂತರದ ಆವೃತ್ತಿಯನ್ನು ಚಾಲನೆ ಮಾಡುತ್ತಿವೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ ಮತ್ತು ಹೌದು ಎಂದು ನಮೂದಿಸಿ.
    • AES-128 ಮತ್ತು AES-192 ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ:
    • vmanage(config-ssh-server)# ಸೈಫರ್ aes-128-192 ಇಲ್ಲ
    • vmanage(config-ssh-server)# ಬದ್ಧತೆ
      ಕೆಳಗಿನ ಎಚ್ಚರಿಕೆ ಸಂದೇಶವನ್ನು ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ:
      ಕೆಳಗಿನ ಎಚ್ಚರಿಕೆಗಳನ್ನು ರಚಿಸಲಾಗಿದೆ:
      'system ssh-server ಸೈಫರ್ aes-128-192': ಎಚ್ಚರಿಕೆ: ದಯವಿಟ್ಟು ನಿಮ್ಮ ಎಲ್ಲಾ ಅಂಚುಗಳು vManage ಜೊತೆಗೆ AES-18.4.6-128 ಗಿಂತ ಉತ್ತಮವಾಗಿ ಮಾತುಕತೆ ನಡೆಸುವ ಕೋಡ್ ಆವೃತ್ತಿ > 192 ಅನ್ನು ರನ್ ಮಾಡುವುದನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ. ಇಲ್ಲದಿದ್ದರೆ ಆ ಅಂಚುಗಳು ಆಫ್‌ಲೈನ್ ಆಗಬಹುದು. ಮುಂದುವರೆಯಲು? [ಹೌದು, ಇಲ್ಲ] ಹೌದು
    • ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿರುವ ಯಾವುದೇ Cisco vEdge ಸಾಧನಗಳು Cisco SD-WAN ಬಿಡುಗಡೆ 18.4.6 ಅಥವಾ ನಂತರದ ಆವೃತ್ತಿಯನ್ನು ಚಾಲನೆ ಮಾಡುತ್ತಿವೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ ಮತ್ತು ಹೌದು ಎಂದು ನಮೂದಿಸಿ.

CLI ಅನ್ನು ಬಳಸಿಕೊಂಡು ಸಿಸ್ಕೊ ​​SD-WAN ಮ್ಯಾನೇಜರ್‌ನಲ್ಲಿ ದುರ್ಬಲ SSH ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಿ

  1. Cisco SD-WAN ಮ್ಯಾನೇಜರ್ ಮೆನುವಿನಿಂದ, ಪರಿಕರಗಳು > SSH ಟರ್ಮಿನಲ್ ಆಯ್ಕೆಮಾಡಿ.
  2. ನೀವು ಪರಿಶೀಲಿಸಲು ಬಯಸುವ Cisco SD-WAN ಮ್ಯಾನೇಜರ್ ಸಾಧನವನ್ನು ಆಯ್ಕೆಮಾಡಿ.
  3. ಸಾಧನಕ್ಕೆ ಲಾಗ್ ಇನ್ ಮಾಡಲು ಬಳಕೆದಾರಹೆಸರು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನಮೂದಿಸಿ.
  4. ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸಿ: ರನ್ನಿಂಗ್-ಕಾನ್ಫಿಗ್ ಸಿಸ್ಟಮ್ ssh-ಸರ್ವರ್ ಅನ್ನು ತೋರಿಸಿ
  5. ದುರ್ಬಲ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವ ಒಂದು ಅಥವಾ ಹೆಚ್ಚಿನ ಆಜ್ಞೆಗಳನ್ನು ಔಟ್‌ಪುಟ್ ತೋರಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ದೃಢೀಕರಿಸಿ:
    • ಸೈಫರ್ aes-128-192 ಇಲ್ಲ
    • ಯಾವುದೇ kex-algo sha1 ಇಲ್ಲ

ದಾಖಲೆಗಳು / ಸಂಪನ್ಮೂಲಗಳು

CISCO SD-WAN ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ [ಪಿಡಿಎಫ್] ಬಳಕೆದಾರ ಮಾರ್ಗದರ್ಶಿ
SD-WAN ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ, SD-WAN, ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ, ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು

ಉಲ್ಲೇಖಗಳು

ಕಾಮೆಂಟ್ ಬಿಡಿ

ನಿಮ್ಮ ಇಮೇಲ್ ವಿಳಾಸವನ್ನು ಪ್ರಕಟಿಸಲಾಗುವುದಿಲ್ಲ. ಅಗತ್ಯವಿರುವ ಕ್ಷೇತ್ರಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ *