Contents veşartin
1 CISCO SD-WAN Parametreyên Ewlekariyê Mîheng bikin
2 Parametreyên Ewlekariyê mîheng bikin
3 Parametreyên Ewlekariya Balafira Kontrolê Mîheng bikin
4 DTLS di Rêvebirê Cisco SD-WAN de mîheng bikin
5 Parametreyên Ewlekariya Daneyên Plana Vesaz bikin
6 Tîpên Destûrdarkirina Rastandinê Mîheng bikin
7 Biguherîne Timer Rekeying
8 Mezinahiya Pencera Dij-Replay biguherînin
9 Rêyek statîkî ya IPsec mîheng bikin
10 Parametreyên Tunelê yên IPsec mîheng bikin
11 IKE Dead-Peer Detection biguherîne
12 Taybetmendiyên Navberê yên Din Mîheng bikin
13 Li ser Rêvebirê Cisco SD-WAN Algorîtmayên Şîfrekirina Qels a SSH neçalak bikin
14 Belge / Çavkanî
14.1 Çavkanî

CISCO-LOGO

CISCO SD-WAN Parametreyên Ewlekariyê Mîheng bikin

CISCO-SD-WAN-Security-Parameters-PRODUCT

Parametreyên Ewlekariyê mîheng bikin

Not

Ji bo bidestxistina sadebûn û hevgirtinê, çareseriya Cisco SD-WAN wekî Cisco Catalyst SD-WAN hate binav kirin. Wekî din, ji Cisco IOS XE SD-WAN Release 17.12.1a û Cisco Catalyst SD-WAN Release 20.12.1, guheztinên pêkhateyên jêrîn têne sepandin: Cisco vManage bo Cisco Catalyst Rêvebirê SD-WAN, Cisco vAnalytics bo Cisco Catalyst Analytics, Cisco vBond bo Cisco Catalyst SD-WAN Validator, û Cisco vSmart bo Cisco Catalyst SD-WAN Controller. Ji bo navnîşek berfireh a hemî guheztinên navên marqeya pêkhateyê, Nîşaneyên Daxuyaniyê yên herî dawî bibînin. Dema ku em derbasî navên nû dibin, dibe ku hin nakokî di berhevoka belgekirinê de hebin ji ber nêzîkbûnek qonax ji nûvekirina navbeynkariya bikarhêner a hilbera nermalavê.

Ev beş diyar dike ka meriv çawa pîvanên ewlehiyê ji bo balafira kontrolê û balafira daneyê di tora pêvekirî ya Cisco Catalyst SD-WAN de biguhezîne.

  • Veavakirina Parametreyên Ewlekariya Plana Kontrolê, li ser
  • Mîhengên Parametreyên Ewlekariya Daneyên Plane, li ser
  • Tunelên IPsec-ê yên çalakkirî yên IKE-ê mîheng bikin, li ser
  • Algorîtmayên Şîfrekirina Qels a SSH li ser Rêvebirê Cisco SD-WAN, li ser neçalak bike

Parametreyên Ewlekariya Balafira Kontrolê Mîheng bikin

Bi xwerû, balafira kontrolê DTLS wekî protokola ku nepenîtiyê li ser hemî tunelên xwe peyda dike bikar tîne. DTLS li ser UDP dimeşe. Hûn dikarin protokola ewlehiyê ya balafira kontrolê biguherînin TLS, ku li ser TCP-ê dimeşîne. Sedema bingehîn a karanîna TLS ev e ku, heke hûn Cisco SD-WAN Kontrolker wekî serverek bihesibînin, dîwarên agir ji serverên UDP çêtir serverên TCP diparêzin. Hûn protokola tunela balafira kontrolê li ser Kontrolkerek Cisco SD-WAN mîheng dikin: vSmart(config)# protokola kontrolê ya ewlehiyê tls Bi vê guherînê re, hemî tunelên balafirê yên kontrolê di navbera Kontrolkera Cisco SD-WAN û rêgezan û di navbera Kontrolkerê Cisco SD-WAN de û Rêveberê Cisco SD-WAN TLS bikar tînin. Tunelên balafirê yên kontrolê yên Cisco Catalyst SD-WAN Validator her gav DTLS bikar tînin, ji ber ku ev girêdan divê ji hêla UDP ve werin rêve kirin. Di domînek bi gelek Kontrolkerên Cisco SD-WAN-ê de, gava ku hûn TLS-ê li ser yek ji Kontrolkerên SD-WAN-ê yên Cisco mîheng dikin, hemî tunelên balafirê yên kontrolê ji wê kontrolker heya kontrolkerên din TLS bikar tînin. Wekî din got, TLS her gav pêşî li DTLS digire. Lêbelê, ji perspektîfa Kontrolkerên Cisco SD-WAN yên din, heke we TLS li ser wan mîheng nekiriye, ew TLS-ê li ser tunela balafira kontrolê tenê ji wî Kontrolkerek Cisco SD-WAN re bikar tînin, û ew tunelên DTLS ji hemî yên din re bikar tînin. Kontrolkerên Cisco SD-WAN û hemî rêwerên wan ên girêdayî. Ji bo ku hemî Kontrolkerên Cisco SD-WAN TLS bikar bînin, wê li ser hemî wan mîheng bikin. Bi xwerû, Kontrolkerê Cisco SD-WAN ji bo daxwazên TLS li porta 23456 guhdarî dike. Ji bo guherandina vê: vSmart(config)# kontrola ewlehiyê hejmara tls-port Port dikare ji 1025-an heya 65535-ê jimareyek be. Ji bo nîşandana agahdariya ewlehiya balafira kontrolê, fermana girêdanên kontrolkirina nîşanî li ser Cisco SD-WAN Controller bikar bînin. Ji bo example: vSmart-2# girêdanên kontrolê nîşan bide

CISCO-SD-WAN-Security-Parameters-FIG-1

DTLS di Rêvebirê Cisco SD-WAN de mîheng bikin

Ger hûn Rêvebirê Cisco SD-WAN mîheng bikin da ku TLS wekî protokola ewlehiyê ya balafira kontrolê bikar bîne, divê hûn şandina portê li ser NAT-a xwe çalak bikin. Ger hûn DTLS wekî protokola ewlehiya balafira kontrolê bikar tînin, hûn ne hewce ne ku tiştek bikin. Hejmara portên ku têne şandin bi hejmara pêvajoyên vdaemon ve girêdayî ye ku li ser Rêvebirê Cisco SD-WAN-ê dimeşînin. Ji bo nîşandana agahdariya di derbarê van pêvajoyan û der barê û hejmara portên ku têne şandin, nîşan bide fermana kurteya kontrolê nîşan dide ku çar pêvajoyên daemon dimeşînin:CISCO-SD-WAN-Security-Parameters-FIG-2

Ji bo dîtina benderên guhdarîkirinê, fermana nîşana taybetmendîyên herêmî bikar bînin: vManage# taybetmendîyên herêmî kontrolê nîşan bide

CISCO-SD-WAN-Security-Parameters-FIG-3

Vê derketinê nîşan dide ku porta TCP-ya guhdarîkirinê 23456 e. Heke hûn Rêvebirê Cisco SD-WAN-ê li pişt NAT-ê dimeşînin, divê hûn portên jêrîn li ser cîhaza NAT-ê vekin:

  • 23456 (bingeh - mînak 0 port)
  • 23456 + 100 (bingeh + 100)
  • 23456 + 200 (bingeh + 200)
  • 23456 + 300 (bingeh + 300)

Bala xwe bidinê ku hejmara mînakan bi qasî hejmara core ku we ji bo Rêvebirê Cisco SD-WAN veqetandiye yek e, heya herî zêde 8.

Parametreyên Ewlekariyê Bi karanîna Şablonên Taybetmendiya Ewlekariyê veava bikin

Ji bo hemî cîhazên Cisco vEdge şablonê taybetmendiya Ewlekariyê bikar bînin. Li ser rêwerên keviya û li ser Cisco SD-WAN Validator, vê şablonê bikar bînin da ku IPsec-ê ji bo ewlehiya balafira daneyê mîheng bikin. Li ser Rêvebirê Cisco SD-WAN û Kontrolkerê Cisco SD-WAN, şablona taybetmendiya Ewlekariyê bikar bînin da ku DTLS an TLS ji bo ewlehiya balafira kontrolê mîheng bikin.

Parametreyên Ewlekariyê mîheng bikin

  1. Ji pêşeka Rêvebirê Cisco SD-WAN, Veavakirin> Şablon hilbijêrin.
  2. Bikirtînin Şablonên Taybetmendiyê û dûv re bikirtînin Şablon lê zêde bikin.
    Not Di Cisco vManage Release 20.7.1 û weşanên berê de, Şablonên Taybetmendiyê jê re Taybetmendî tê gotin.
  3. Ji navnîşa Amûrên li paleya çepê, amûrek hilbijêrin. Şablonên ku li ser cîhaza hilbijartî têne sepandin di pencereya rastê de xuya dibin.
  4. Ewlekariyê bikirtînin da ku şablonê vekin.
  5. Di qada Navê Şablonê de, ji bo şablonê navek binivîse. Nav dikare heta 128 tîpan be û tenê tîpên alfanjimarî dihewîne.
  6. Di qada Danasîna Şablonê de, danasîna şablonê binivîse. Danasîn dikare heta 2048 tîpan be û dikare tenê tîpên alfanumerîk hebe.

Dema ku hûn yekem şablonek taybetmendiyê vedikin, ji bo her parametreyek ku xwedan nirxek xwerû ye, çarçove li ser Default tête danîn (bi nîşanek verastkirî tê destnîşan kirin), û mîheng an nirxa xwerû tê xuyang kirin. Ji bo guheztina xwerû an têketina nirxek, menuya dakêşana çarçovê ya li milê çepê yê qada parametreyê bikirtînin û yek ji van jêrîn hilbijêrin:

Tablo 1:

Parametre Scope Scope Description
Amûrek Taybet (ji hêla îkonek mêvandar ve hatî destnîşan kirin) Ji bo pîvanê nirxek taybetî ya cîhazê bikar bînin. Ji bo pîvanên taybetî yên cîhazê, hûn nikarin nirxek di şablonê taybetmendiyê de binivîsin. Dema ku hûn amûrek Viptela bi şablonek cîhazê ve girêdidin hûn nirxê dinivîsin.

Dema ku hûn bitikînin Device Specific, qutiya Enter Key vedibe. Vê qutikê mifteyek nîşan dide, ku rêzek yekta ye ku pîvana di CSV-ê de nas dike file ku hûn diafirînin. Ev file rûpelek Excel-ê ye ku ji bo her kilîtek stûnek vedigire. Di rêza sernavê de navên mifteyê dihewîne (ji her stûnê yek mifteyek), û her rêzek piştî wê bi amûrekê re têkildar e û nirxên bişkokên wê cîhazê diyar dike. Hûn CSV-ê barkirin file gava ku hûn amûrek Viptela bi şablonek amûrekê ve girêdidin. Ji bo bêtir agahdarî, li Afirandina Şablonek Guherbarên Spreadsheet binêre.

Ji bo guheztina mifteya xwerû, rêzikek nû binivîsin û kursorê ji qutiya Enter Key derxînin.

ExampParametreyên taybetî yên cîhazê navnîşana IP-ya pergalê, navê mêvandar, cîhê GPS, û nasnameya malperê ne.
Parametre Scope Scope Description
Gerdûnî (bi îkonek gerdûnî tê destnîşan kirin) Ji bo parametreyê nirxek binivîse, û wê nirxê li hemî cîhazan bicîh bîne.

ExampParametreyên ku hûn dikarin gerdûnî li komek cîhazan bicîh bikin servera DNS, servera syslog, û MTU-yên navbeynkar in.

Ewlekariya Plana Kontrolê Mîheng bikin

Not
Beşa Ewlekariya Balafira Kontrolê Veava bike tenê ji Rêvebirê Cisco SD-WAN û Kontrolkerê Cisco SD-WAN re derbas dibe. û pîvanên jêrîn mîheng bikin:

Tablo 2:

Parametre Nav Terîf
Protokol Protokola ku li ser girêdanên balafirê yên kontrolê bi Kontrolkerek Cisco SD-WAN-ê re bikar bînin hilbijêrin:

• DTLS (Datagram Ewlekariya Layera Veguhestinê). Ev standard e.

• TLS (Ewlehiya Qata Veguhastinê)
Porta TLS kontrol bikin Ger we TLS hilbijart, jimara portê mîheng bikin ku bikar bînin:Dirêjahî: 1025 heta 65535Destçûnî: 23456

Bikirtînin Save

Ewlekariya Daneyên Plana Vesaz bikin
Ji bo mîhengkirina ewlehiya balafira daneyê li ser Cisco SD-WAN Validator an routerek Cisco vEdge, tabên Veavakirina Bingehîn û Tîpa Rastrastkirinê hilbijêrin, û pîvanên jêrîn mîheng bikin:

Tablo 3:

Parametre Nav Terîf
Dema Rekey Diyar bikin ka çend caran routerek Cisco vEdge mifteya AES ya ku li ser girêdana xweya ewledar a DTLS-ê tê bikar anîn bi Kontrolkerê Cisco SD-WAN re diguhezîne. Ger ji nû ve destpêkirina xweş a OMP were çalak kirin, divê dema ji nûvekirina kilîtkirinê herî kêm du caran ji nirxa demjimêra ji nû ve destpêkirina xweş a OMP be.Dirêjahî: 10 heta 1209600 çirke (14 roj)Destçûnî: 86400 çirke (24 saet)
Pencereya Replay Pîvana paceya dubarekirina şemitandinê diyar bikin.

Nirx: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakêtDestçûnî: 512 pakêt
IPsec

pairwise-keying

 Ev ji hêla xwerû ve tê girtin. Bikirtînin On ku wê vekin.
Parametre Nav Terîf
Tîpa Authentication Cûreyên erêkirinê ji nav hilbijêrin Authentication Rêzkirin, û tîra ku rast nîşan dide bikirtînin da ku celebên erêkirinê biguhezînin ser Lîsteya Hilbijartî ling.

Cûreyên erêkirinê yên ku ji Cisco SD-WAN Release 20.6.1 têne piştgirî kirin:

•  esp: Li ser sernavê ESP şîfrekirin û kontrolkirina yekitiyê ya Ewlekariya Payload Encapsulating (ESP) çalak dike.

•  ip-udp-esp: Şîfrekirina ESP-ê çalak dike. Ji bilî kontrolên yekitiyê yên li ser serê ESP û bargiraniyê, di kontrolan de sernavên IP-ya derve û UDP jî hene.

•  ip-udp-esp-no-id: Qada ID-ê ya di sernavê IP-yê de paşguh dike da ku Cisco Catalyst SD-WAN bikaribe bi cîhazên ne-Cisco re bi hev re bixebite.

•  netû: Kontrolkirina yekitiyê li ser pakêtên IPSec radike. Em pêşniyar nakin ku vê vebijarkê bikar bînin.

 

Cureyên erêkirinê yên ku di Cisco SD-WAN Release 20.5.1 û berê de têne piştgirî kirin:

•  ah-no-id: Guhertoyek pêşkeftî ya AH-SHA1 HMAC û ESP HMAC-SHA1 çalak bike ku qada ID ya di sernavê IP-ya derve ya pakêtê de paşguh dike.

•  ah-sha1-hmac: AH-SHA1 HMAC û ESP HMAC-SHA1 çalak bike.

•  netû: Nasnameyê hilbijêrî.

•  sha1-hmac: ESP HMAC-SHA1 çalak bike.

 

Not              Ji bo amûrek qehweyî ku li ser Cisco SD-WAN Release 20.5.1 an pêştir tê xebitandin, dibe ku we cûreyên erêkirinê bi karanîna a Ewlekarî şablon. Dema ku hûn cîhazê nûve dikin Cisco SD-WAN Release 20.6.1 an nûtir, celebên erêkirinê yên hilbijartî di nav de nûve bikin. Ewlekarî şablon ji bo celebên erêkirinê yên ku ji Cisco SD-WAN Release 20.6.1 têne piştgirî kirin. Ji bo nûvekirina celebên erêkirinê, jêrîn bikin:

1.      Ji menuya Rêveberê Cisco SD-WAN, hilbijêrin Veavakirin >

Şablonên.

2.      Bikirtînin Şablonên Taybetmendiyê.

3.      Bibînin Ewlekarî şablon ji bo nûvekirinê û bitikîne… û bitikîne Weşandin.

4.      Bikirtînin Rojanekirin. Tu veavakirinê neguherîne.

Cisco SD-WAN Manager nûjen dike Ewlekarî şablon ku cûreyên piştrastkirina piştgirî nîşan bide.

Bikirtînin Save.

Parametreyên Ewlekariya Daneyên Plana Vesaz bikin

Di balafira daneyê de, IPsec ji hêla xwerû ve li ser hemî routeran tête çalak kirin, û ji hêla xwerû ve girêdanên tunelê IPsec guhertoyek pêşkeftî ya protokola Encapsulating Security Payload (ESP) ji bo rastkirina li ser tunelên IPsec bikar tîne. Li ser routeran, hûn dikarin celebê pejirandinê, demjimêra ji nûvekirina IPsec-ê, û mezinahiya pencereya dijî-replay IPsec-ê biguhezînin.

Tîpên Destûrdarkirina Rastandinê Mîheng bikin

Cûreyên Nasnameyê di Cisco SD-WAN Release 20.6.1 û paşê de
Ji Cisco SD-WAN Release 20.6.1, celebên yekbûna jêrîn têne piştgirî kirin:

  • esp: Ev vebijark şîfrekirina Encapsulasyona Ewlekariya Payload (ESP) û kontrolkirina yekparebûnê li ser serê ESP-ê çalak dike.
  • ip-udp-esp: Ev vebijark şîfrekirina ESP çalak dike. Ji bilî kontrolên yekitiyê yên li ser serê ESP û bargiraniyê, di kontrolan de sernavên IP-ya derve û UDP jî hene.
  • ip-udp-esp-no-id: Ev vebijark dişibihe ip-udp-esp, lêbelê, qada ID ya sernavê IP-ya derve tê paşguh kirin. Vê vebijarkê di navnîşa celebên yekrêziyê de mîheng bikin da ku nermalava Cisco Catalyst SD-WAN qada ID-ê ya di sernavê IP-yê de paşguh bike da ku Cisco Catalyst SD-WAN bikaribe bi cîhazên ne-Cisco re bixebite.
  • tune: Ev vebijark kontrolkirina yekrêziyê li ser pakêtên IPSec vedigire. Em pêşniyar nakin ku vê vebijarkê bikar bînin.

Ji hêla xwerû, girêdanên tunelê IPsec ji bo pejirandinê guhertoyek pêşkeftî ya protokola Encapsulating Security Payload (ESP) bikar tînin. Ji bo guheztina cûreyên navberê yên danûstandinan an ji bo neçalakkirina kontrolkirina yekrêziyê, fermana jêrîn bikar bînin: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Cureyên Authentication Berî Cisco SD-WAN Release 20.6.1
Ji hêla xwerû, girêdanên tunelê IPsec ji bo pejirandinê guhertoyek pêşkeftî ya protokola Encapsulating Security Payload (ESP) bikar tînin. Ji bo guheztina cûreyên pejirandina muzakereyî an jî neçalakkirina otantîkkirinê, emrê jêrîn bikar bînin: Cîhaz(config)# ewlekariya ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | tune) Ji hêla xwerû, IPsec girêdanên tunelê AES-GCM-256 bikar tînin, ku hem şîfrekirin û hem jî rastrastkirinê peyda dike. Her celebê erêkirinê bi fermanek verastkirina-type ya ewlekariya ipsec veava bike. Vebijarkên fermanê bi celebên rastkirina jêrîn re nexşe dikin, yên ku li gorî rêza ji herî bihêz berbi herî kêm têne navnîş kirin:

Not
Sha1 di vebijarkên veavakirinê de ji ber sedemên dîrokî tê bikar anîn. Vebijarkên erêkirinê destnîşan dikin ka çiqas ji kontrolkirina yekrêziya pakêtê tê kirin. Ew algorîtmaya ku yekitiyê kontrol dike diyar nakin. Ji xeynî şîfrekirina seyrûsefera multicast, algorîtmayên erêkirinê yên ku ji hêla Cisco Catalyst SD WAN ve têne piştgirî kirin SHA1 bikar neynin. Lêbelê di Cisco SD-WAN Release 20.1.x û pê de, hem unicast û hem jî multicast SHA1 bikar nakin.

  • ah-sha1-hmac bi karanîna ESP şîfrekirin û vegirtinê dike. Lêbelê, ji bilî kontrolên yekitiyê yên li ser serê ESP û bargiraniyê, di kontrolan de sernavên IP-ya derve û UDP jî hene. Ji ber vê yekê, ev vebijark kontrolek yekparebûna pakêtê wekî protokola Sernavê Nasname (AH) piştgirî dike. Hemî yekitî û şîfrekirin bi karanîna AES-256-GCM tête kirin.
  • ah-no-id moda ku dişibe ah-sha1-hmac çalak dike, lêbelê, qada ID ya sernavê IP-ya derve tê paşguh kirin. Vê vebijarkê hin amûrên ne-Cisco Catalyst SD-WAN, di nav de Apple AirPort Express NAT, ku xeletiyek wan heye ku dibe sedem ku qada ID-ê di sernavê IP-yê de, qadek ne-guhêrbar, were guheztin cih digire. Vebijarka ah-no-id di navnîşa celebên erêkirinê de mîheng bikin da ku nermalava Cisco Catalyst SD-WAN AH qada ID ya di sernavê IP-yê de paşguh bike da ku nermalava Cisco Catalyst SD-WAN bi van amûran re bixebite.
  • sha1-hmac şîfrekirina ESP û kontrolkirina yekrêziyê dike.
  • Nexşe ji bo bê erêkirinê tune. Pêdivî ye ku ev vebijark tenê were bikar anîn heke ew ji bo xeletkirina demkî hewce be. Her weha hûn dikarin vê vebijarkê di rewşên ku piştrastkirina balafira daneyê û yekrêzî ne xem e hilbijêrin. Cisco bikaranîna vê vebijêrkê ji bo torên hilberînê pêşniyar nake.

Ji bo agahdariya li ser kîjan qadên pakêta daneyê ji hêla van celebên pejirandinê ve têne bandor kirin, Binêre Yekbûna Plana Daneyê. Amûrên Cisco IOS XE Catalyst SD-WAN û cîhazên Cisco vEdge di taybetmendiyên xwe yên TLOC-ê de celebên erêkirina xwe yên mîhengkirî reklam dikin. Du rêwerên li her du aliyên girêdanek tunelek IPsec pejirandinê danûstendinê dikin da ku li ser pêwendiya di navbera wan de bikar bînin, bi karanîna celebê pejirandina herî bihêz a ku li ser her du rêgezan tê mîheng kirin. Ji bo example, heke routerek celebên ah-sha1-hmac û ah-no-id reklamê bike, û routerek duyemîn celebê ah-no-id reklamê bike, her du router danûstandinan dikin ku ah-no-id li ser girêdana tunela IPsec-ê di navbera wê. Ger li ser her du peeran cûreyên pejirandina hevpar nehatine mîheng kirin, di navbera wan de tunelek IPsec nayê saz kirin. Algorîtmaya şîfrekirinê ya li ser girêdanên tunelê IPsec bi celebê seyrûseferê ve girêdayî ye:

  • Ji bo seyrûsefera yekgirtî, algorîtmaya şîfrekirinê AES-256-GCM e.
  • Ji bo seyrûsefera multicast:
  • Cisco SD-WAN Release 20.1.x û paşê - algorîtmaya şîfrekirinê AES-256-GCM e
  • Daxuyaniyên berê - algorîtmaya şîfrekirinê AES-256-CBC bi SHA1-HMAC re ye.

Dema ku celebê pejirandina IPsec-ê tê guhertin, mifteya AES ya ji bo riya daneyê tê guhertin.

Biguherîne Timer Rekeying

Berî ku cîhazên Cisco IOS XE Catalyst SD-WAN û cîhazên Cisco vEdge karibin seyrûsefera daneyê biguhezînin, ew di navbera wan de kanalek ragihandinê ya pejirandî ya ewledar saz dikin. Roter tunelên IPSec di navbera wan de wekî kanal, û şîfreya AES-256 bikar tînin da ku şîfrekirinê pêk bînin. Her router ji bo riya daneya xwe bi awayekî periyodîk mifteyek AES-a nû çêdike. Bi xwerû, mifteyek ji bo 86400 saniyeyan (24 saetan) derbasdar e, û rêza demjimêr ji 10 çirkeyan heya 1209600 çirkeyan (14 roj) derbasdar e. Ji bo guheztina nirxa demjimêra ji nûvekişandinê: Cîhaz(config)# ewlekarî ipsec saniyeyên kilîla ji nû ve Veavakirin wiha xuya dike:

  • ewlekarî ipsec rekey seconds!

Heke hûn dixwazin tavilê bişkojkên IPsec-ê yên nû biafirînin, hûn dikarin bêyî guheztina veavakirina routerê wiya bikin. Ji bo kirina vê yekê, fermana ipsecrekey ya ewlehiyê ya daxwaznameyê li ser routerê lihevhatî derxînin. Ji bo example, encamek jêrîn destnîşan dike ku SA-ya herêmî xwedan Indeksa Parametreya Ewlekariyê (SPI) ya 256 e:CISCO-SD-WAN-Security-Parameters-FIG-4

Mifteyek yekta bi her SPI-ê ve girêdayî ye. Ger ev mift hat xerakirin, fermana ewlehiyê ya daxwaznameya ipsec-rekey bikar bînin da ku tavilê mifteyek nû çêbikin. Ev ferman SPI-ê zêde dike. Li berê meample, SPI diguhere 257 û mifteya ku pê re têkildar e nuha tê bikar anîn:

  • Device# daxwaza ipsecrekey ewlehiyê dike
  • Amûra# ipsec herêmî-sa nîşan bide

CISCO-SD-WAN-Security-Parameters-FIG-5

Piştî ku mifteya nû hate çêkirin, router wê tavilê bi karanîna DTLS an TLS-ê ji Kontrolkerên Cisco SD-WAN re dişîne. Kontrolkerên Cisco SD-WAN mifteyê ji routerên peer re dişînin. Roter gava ku ew distînin dest bi karanîna wê dikin. Têbînî ku mifteya ku bi SPI-ya kevn (256) ve girêdayî ye, dê ji bo demek kurt were bikar anîn heya ku wext biqede. Ji bo ku hûn tavilê karanîna mifteya kevn rawestînin, du caran, li pey hev, fermana ewlehiyê ya daxwaznameya ipsec-rekey derxînin. Ev rêza fermanan hem SPI 256 û hem jî 257-an radike û SPI-yê dide 258-an. Dûv re router mifteya têkildar a SPI 258 bikar tîne. Lêbelê bala xwe bidin ku hin pakêt dê ji bo demek kurt werin avêtin heya ku hemî rêwerên dûr fêr bibin. mifteya nû.CISCO-SD-WAN-Security-Parameters-FIG-6

Mezinahiya Pencera Dij-Replay biguherînin

Nasnameya IPsec bi veqetandina jimareyek rêzek bêhempa ji her pakêtê re di herikîna daneyê de parastina dijî-rêveberiyê peyda dike. Vê jimareya rêzê li hember êrîşkerek ku pakêtên daneyê dubare dike diparêze. Digel parastina dijî-rêveberiyê, şander hejmarên rêzê yên monotonîk zêde dike destnîşan dike, û mebest van hejmarên rêzê kontrol dike da ku dubareyan bibîne. Ji ber ku pakêt bi gelemperî bi rêzê nagihîjin, meqsed pencereyek xêzkirî ya hejmarên rêzê ku ew ê qebûl bike diparêze.CISCO-SD-WAN-Security-Parameters-FIG-7

Pakêtên bi jimareyên rêzê yên ku li çepê rêza pencereya xêzkirî davêjin kevn an dubare têne hesibandin, û mebest wan davêje. Mebest jimareya rêza herî bilind a ku wergirtiye dişopîne, û gava ku pakêtek bi nirxek bilindtir distîne pencereya şemitandinê sererast dike.CISCO-SD-WAN-Security-Parameters-FIG-8

Ji hêla xwerû ve, pencereya hilkişînê li ser 512 pakêtan tête danîn. Ew dikare li her nirxek di navbera 64 û 4096 de were danîn ku hêzek 2 ye (ango, 64, 128, 256, 512, 1024, 2048, an 4096). Ji bo guheztina mezinahiya pencereya dijî-replay, fermana replay-window bikar bînin, mezinahiya pencereyê diyar bikin:

Cîhaz(config)# ewlekariya ipsec jimareya dubare-paceyê

Veavakirin wiha xuya dike:
ewlekarî ipsec jimareya dubare-paceyê! !

Ji bo alîkariya QoS-ê, ji bo her heşt kanalên seyrûsefera yekem pencereyên veguheztinê yên cihê têne parastin. Mezinahiya pencereya vegerandinê ya mîhengkirî ji bo her kanalê bi heştan ve tê dabeş kirin. Ger QoS li ser routerek were mîheng kirin, dibe ku ew router ji ber mekanîzmaya dijî-vegêrana IPsec-ê hejmareke mezin a daketina pakêtê ji texmînan mezintir bibîne, û gelek pakêtên ku têne avêtin jî yên rewa ne. Ev yek diqewime ji ber ku QoS pakêtan ji nû ve rêz dike, dermankirina bijartî dide pakêtên pêşanî û pakêtên kêm-pêşeng dereng dixe. Ji bo kêmkirina an pêşîlêgirtina vê rewşê, hûn dikarin jêrîn bikin:

  • Mezinahiya pencereya dijî-replay zêde bikin.
  • Trafîka endezyar li ser heşt kanalên trafîkê yên yekem bicîh bikin da ku pê ewle bibin ku seyrûsefera di nav kanalek de ji nû ve neyê rêz kirin.

Tunelên IPsec-ê yên çalakkirî yên IKE-ê mîheng bikin
Ji bo veguheztina bi ewlehî seyrûseferê ji tora sergirtî berbi torgilokek karûbarê ve, hûn dikarin tunelên IPsec-ê yên ku protokola Exchange Key Internet (IKE) dimeşînin mîheng bikin. Tunelên IPsec-ê yên çalakkirî yên IKE ji bo veguheztina pakêtê ewledar piştrastkirin û şîfrekirinê peyda dikin. Hûn bi mîhengkirina navgînek IPsec-ê tunelek IPsec-ê-çalakkirî diafirînin. Têkiliyên IPsec navgînên mentiqî ne, û hûn wan mîna navbeynkariya laşî ya din mîheng dikin. Hûn pîvanên protokola IKE-ê li ser navbeynkariya IPsec-ê mîheng dikin, û hûn dikarin taybetmendiyên din ên navberê mîheng bikin.

Not Cisco pêşniyar dike ku IKE Guhertoya 2-ê bikar bîne. Ji serbestberdana Cisco SD-WAN 19.2.x û pê ve, pêdivî ye ku mifteya pêş-parvekirî herî kêm 16 bayt be. Dema ku router di guhertoya 16-ê de were nûve kirin heke mezinahiya mifteyê ji 19.2 tîpan kêmtir be sazûmana tunela IPsec têk diçe.

Not
Nermalava Cisco Catalyst SD-WAN piştgirî dide IKE Guhertoya 2 ya ku di RFC 7296 de hatî destnîşan kirin. Yek ji karanîna tunelên IPsec ev e ku rê bide nimûneyên vEdge Cloud router VM ku li ser Amazon AWS-ê dixebitin ku bi ewrê taybet a virtual ya Amazon (VPC) ve girêbide. Divê hûn Guhertoya IKE 1 li ser van routeran mîheng bikin. Amûrên Cisco vEdge di veavakirinek IPSec de tenê VPN-yên-based rê piştgirî dikin ji ber ku ev amûr nikarin hilbijêrên trafîkê di qada şîfrekirinê de diyar bikin.

Tunelek IPsec mîheng bikin
Ji bo ku hûn navbeynek tunelek IPsec-ê ji bo seyrûsefera veguheztina ewledar a ji tora karûbarê mîheng bikin, hûn navgînek IPsec a mantiqî diafirînin:CISCO-SD-WAN-Security-Parameters-FIG-9

Hûn dikarin di veguheztina VPN (VPN 0) û di her karûbarê VPN de (VPN 1 heya 65530, ji bilî 512) tunela IPsec biafirînin. Navbera IPsec di forma ipsecnumber de navek heye, ku hejmar dikare ji 1 heta 255 be. Divê her navbeynkariya IPsec navnîşek IPv4 hebe. Divê ev navnîşana pêşgirek /30 be. Hemî seyrûsefera VPN-ya ku di hundurê vê pêşgira IPv4-ê de ye, berbi navgînek fîzîkî ya VPN 0 ve tê rêve kirin da ku bi ewlehî li ser tunelek IPsec-ê were şandin. pêwendiya fizîkî (di fermana tunnel-çavkaniyê de) an navê navrûya laşî (di fermana tunel-çavkaniya-navberê de). Piştrast bike ku pêwendiya laşî di VPN 0 de hatiye mîheng kirin. Ji bo mîhengkirina mebesta tunela IPsec, navnîşana IP-ya cîhaza dûr di fermana tunel-destination de diyar bike. Têkiliya navnîşek çavkaniyê (an navê navgîniya çavkaniyê) û navnîşek armancê tunelek IPsec-ê yekane diyar dike. Tenê tunelek IPsec dikare hebe ku navnîşek çavkaniyek taybetî (an navnavê navberê) û cotek navnîşana armancê bikar tîne.

Rêyek statîkî ya IPsec mîheng bikin

Ji bo ku seyrûsefera ji karûbarê VPN berbi tunelek IPsec veguhezîne VPN (VPN 0), hûn di VPN-ya karûbarê de rêgezek statîk a IPsec-ya taybetî mîheng dikin (VPN ji bilî VPN 0 an VPN 512) :

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route pêşgir/dirêjiya vpn 0 navber
  • ipsecnumber [ipsecnumber2]

Nasnameya VPN ya her karûbarê VPN ye (VPN 1 heya 65530, ji bilî 512). pêşgir / dirêjî navnîşana IP-ê an pêşgira ye, bi nîşana çar-beş-xalî ya dehan, û dirêjiya pêşgira riya statîk a IPsec-a taybetî ye. Têkilî di VPN 0-ê de pêwendiya tunelê IPsec e. Hûn dikarin yek an du navberên tunelê IPsec mîheng bikin. Ger hûn du mîheng bikin, ya yekem tunela IPsec-ê ya seretayî ye, û ya duyemîn paşvekêşana ye. Bi du navbeynkaran, hemî pakêt tenê ji tunela bingehîn re têne şandin. Ger ew tunel têk biçe, paşê hemî pakêt têne şandin tunela duyemîn. Ger tunela seretayî vegere, hemî seyrûsefer dîsa vedigere tunela IPsec ya bingehîn.

Guhertoya IKE 1 çalak bike
Dema ku hûn tunelek IPsec-ê li ser rêgezek vEdge diafirînin, IKE Guhertoya 1 ji hêla xwerû ve li ser navgîniya tunelê tê çalak kirin. Taybetmendiyên jêrîn ji bo IKEv1 jî ji hêla xwerû ve têne çalak kirin:

  • Nasname û şîfrekirin - AES-256 şîfrekirina pêşkeftî Şîfrekirina standard CBC bi algorîtmaya koda rastkirina peyama keyed-hash HMAC-SHA1 ji bo yekparebûnê.
  • Hejmara koma Diffie-Hellman-16
  • Navbera dema nûvekirinê-4 demjimêr
  • moda damezrandina SA - Serek

Bi xwerû, IKEv1 moda sereke ya IKE bikar tîne da ku IKE SA saz bike. Di vê modê de, şeş pakêtên muzakereyê têne guheztin da ku SA saz bikin. Ji bo ku tenê sê pakêtên danûstendinê biguhezînin, moda aggressive çalak bikin:

Not
Pêdivî ye ku moda êrîşkar a IKE ya bi bişkojkên pêş-parvekirî li ku derê dibe bila bibe. Wekî din divê mifteyek bihêz a pêş-hevbeş were hilbijartin.

  • vEdge(config)# vpn vpn-id navbeynkariya ipsec hejmara ike
  • vEdge(config-ike)# moda êrîşkar

Bi xwerû, IKEv1 koma Diffie-Hellman 16 di danûstendina mifteya IKE de bikar tîne. Ev kom di dema pevguhertina mifteya IKE de koma 4096-bit zêdetir modularî (MODP) bikar tîne. Hûn dikarin hejmara komê biguhezînin 2 (ji bo MODP 1024-bit), 14 (MODP 2048-bit), an 15 (MODP 3072-bit):

  • vEdge(config)# vpn vpn-id navbeynkariya ipsec hejmara ike
  • vEdge(config-ike)# hejmara komê

Ji hêla xwerû, pevguhertina mifteya IKE-ê şîfrekirina pêşkeftî ya AES-256 şîfrekirina standard CBC bi algorîtmaya koda rastkirina peyama keyed-hash-a HMAC-SHA1 re ji bo yekrêziyê bikar tîne. Hûn dikarin erêkirinê biguherînin:

  • vEdge(config)# vpn vpn-id navbeynkariya ipsec hejmara ike
  • vEdge(config-ike)# şîfre-suite suite

Kompleta erêkirinê dikare yek ji jêrîn be:

  • aes128-cbc-sha1-AES-128 şîfrekirina pêşkeftî Şîfrekirina standard CBC bi algorîtmaya koda rastkirina peyama keyed-hash HMAC-SHA1 ji bo yekparebûnê.
  • aes128-cbc-sha2-AES-128 şîfrekirina pêşkeftî Şîfrekirina standard CBC bi algorîtmaya koda rastkirina peyama keyed-hash HMAC-SHA256 ji bo yekparebûnê.
  • aes256-cbc-sha1-AES-256 şîfrekirina pêşkeftî Şîfrekirina standard CBC bi algorîtmaya koda rastkirina peyama keyed-hash HMAC-SHA1 ji bo yekparebûnê; ev standard e.
  • aes256-cbc-sha2-AES-256 şîfrekirina pêşkeftî Şîfrekirina standard CBC bi algorîtmaya koda rastkirina peyama keyed-hash HMAC-SHA256 ji bo yekparebûnê.

Bi xwerû, bişkokên IKE her 1 demjimêran (3600 çirke) têne nûve kirin. Hûn dikarin navbera ji nûvekişandinê biguhezînin nirxek ji 30 çirkeyan heya 14 rojan (1209600 çirke). Tê pêşnîyar kirin ku navbera ji nûvekirinê herî kêm 1 saet be.

  • vEdge(config)# vpn vpn-id navbeynkariya hejmara ipsec wek
  • vEdge(config-ike)# rekey çirkeyan

Ji bo ku ji bo danişînek IKE bi zorê hilberîna mifteyên nû, fermana daxwaza ipsec ike-rekey derxînin.

  • vEdge(config)# vpn vpn-id interfaceipsec jimare ike

Ji bo IKE, hûn dikarin erêkirina mifteya pêşdibistanê (PSK) jî mîheng bikin:

  • vEdge(config)# vpn vpn-id navbeynkariya ipsec hejmara ike
  • vEdge(config-ike)# authentication-type şîfreya şîfreya pêş-parvekirî-veşartî şîfreya şîfreya ku bi mifteya pêşdarkirî re tê bikar anîn e. Ew dikare ASCII an rêzek hexadecimal ji 1 heya 127 tîpan be.

Ger peer IKE-ya ji dûr ve nasnameyek herêmî an dûr hewce dike, hûn dikarin vê nasnameyê mîheng bikin:

  • vEdge(config)# vpn navbeynkariya vpn-id hejmara ipsec ike rastrastkirin-cûre
  • vEdge (config-authentication-type)# ID-ya herêmî
  • vEdge (config-authentication-type)# ID-ya dûr

Nasname dikare navnîşek IP-ê an rêzek nivîsê ya ji 1 heya 63 tîpan be. Ji hêla xwerû ve, nasnameya herêmî navnîşana IP-ya çavkaniyê ya tunelê ye û nasnameya dûr navnîşana IP-ya mebesta tunelê ye.

Guhertoya IKE 2 çalak bike
Dema ku hûn tunelek IPsec mîheng dikin ku IKE Guhertoya 2-ê bikar bîne, taybetmendiyên jêrîn jî ji bo IKEv2 ji hêla xwerû ve têne çalak kirin:

  • Nasname û şîfrekirin - AES-256 şîfrekirina pêşkeftî Şîfrekirina standard CBC bi algorîtmaya koda rastkirina peyama keyed-hash HMAC-SHA1 ji bo yekparebûnê.
  • Hejmara koma Diffie-Hellman-16
  • Navbera dema nûvekirinê-4 demjimêr

Bi xwerû, IKEv2 koma Diffie-Hellman 16 di danûstendina mifteya IKE de bikar tîne. Ev kom di dema pevguhertina mifteya IKE de koma 4096-bit zêdetir modularî (MODP) bikar tîne. Hûn dikarin hejmara komê biguhezînin 2 (ji bo MODP 1024-bit), 14 (MODP 2048-bit), an 15 (MODP 3072-bit):

  • vEdge(config)# vpn vpn-id navrûya ipsecnumber ike
  • vEdge(config-ike)# hejmara komê

Ji hêla xwerû, pevguhertina mifteya IKE-ê şîfrekirina pêşkeftî ya AES-256 şîfrekirina standard CBC bi algorîtmaya koda rastkirina peyama keyed-hash-a HMAC-SHA1 re ji bo yekrêziyê bikar tîne. Hûn dikarin erêkirinê biguherînin:

  • vEdge(config)# vpn vpn-id navrûya ipsecnumber ike
  • vEdge(config-ike)# şîfre-suite suite

Kompleta erêkirinê dikare yek ji jêrîn be:

  • aes128-cbc-sha1-AES-128 şîfrekirina pêşkeftî Şîfrekirina standard CBC bi algorîtmaya koda rastkirina peyama keyed-hash HMAC-SHA1 ji bo yekparebûnê.
  • aes128-cbc-sha2-AES-128 şîfrekirina pêşkeftî Şîfrekirina standard CBC bi algorîtmaya koda rastkirina peyama keyed-hash HMAC-SHA256 ji bo yekparebûnê.
  • aes256-cbc-sha1-AES-256 şîfrekirina pêşkeftî Şîfrekirina standard CBC bi algorîtmaya koda rastkirina peyama keyed-hash HMAC-SHA1 ji bo yekparebûnê; ev standard e.
  • aes256-cbc-sha2-AES-256 şîfrekirina pêşkeftî Şîfrekirina standard CBC bi algorîtmaya koda rastkirina peyama keyed-hash HMAC-SHA256 ji bo yekparebûnê.

Bi xwerû, bişkokên IKE her 4 demjimêran (14,400 çirke) têne nûve kirin. Hûn dikarin navbera ji nûvekişandinê biguhezînin nirxek ji 30 çirkeyan heya 14 rojan (1209600 çirke):

  • vEdge(config)# vpn vpn-id navrûya ipsecnumber ike
  • vEdge(config-ike)# rekey çirkeyan

Ji bo ku ji bo danişînek IKE bi zorê hilberîna mifteyên nû, fermana daxwaza ipsec ike-rekey derxînin. Ji bo IKE, hûn dikarin erêkirina mifteya pêşdibistanê (PSK) jî mîheng bikin:

  • vEdge(config)# vpn vpn-id navrûya ipsecnumber ike
  • vEdge(config-ike)# authentication-type şîfreya şîfreya pêş-parvekirî-veşartî şîfreya şîfreya ku bi mifteya pêşdarkirî re tê bikar anîn e. Ew dikare ASCII an stringek hexadecimal be, an jî ew dikare mifteyek şîfrekirî ya AES be. Ger peer IKE-ya ji dûr ve nasnameyek herêmî an dûr hewce dike, hûn dikarin vê nasnameyê mîheng bikin:
  • vEdge(config)# vpn navbeynkariya vpn-id ipsecnumber ike authentication-type
  • vEdge (config-authentication-type)# ID-ya herêmî
  • vEdge (config-authentication-type)# ID-ya dûr

Nasname dikare navnîşek IP-ê an rêzek nivîsê ya ji 1 heya 64 tîpan be. Ji hêla xwerû ve, nasnameya herêmî navnîşana IP-ya çavkaniyê ya tunelê ye û nasnameya dûr navnîşana IP-ya mebesta tunelê ye.

Parametreyên Tunelê yên IPsec mîheng bikin

Tablo 4: Dîroka Taybetmendiyê

Taybetî Nav Agahdariya berdanê Terîf
Krîptografiya Zêdeyî Cisco SD-WAN berdan 20.1.1 Ev taybetmendî ji bo piştgirî zêde dike
Piştgiriya Algorîtmîkî ji bo IPSec   HMAC_SHA256, HMAC_SHA384, û
Tunels   HMAC_SHA512 algorîtmayên ji bo
    ewlehiya zêdekirî.

Ji hêla xwerû ve, pîvanên jêrîn li ser tunela IPsec-ê ku seyrûsefera IKE digire têne bikar anîn:

  • Nasname û şîfrekirin - Algorîtmaya AES-256 di GCM de (Galois / moda counter)
  • Navbera nûvekirinê - 4 demjimêr
  • Paceya dubare-32 pakêt

Hûn dikarin şîfrekirina li ser tunela IPsec-ê bi şîfreya AES-256-ê ya di CBC-yê de biguherînin (moda zincîrkirina bloka şîfreyê, digel ku HMAC an rastrastkirina peyama keyed-hash-ê SHA-1 an SHA-2 bikar tîne an jî bi HMAC-ê re bi karanîna SHA-1 an jî betal dike. Nasnameya peyama keyed-hash SHA-2, ji bo şîfre nekirina tunela IPsec-ê ya ku ji bo seyrûsefera pevguhertina mifteya IKE tê bikar anîn:

  • vEdge (config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# şîfre-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-null-sha1 | aes256-cbc-sha256 | | aes256-null-sha384 | aes256-null-sha512)

Bi xwerû, bişkokên IKE her 4 demjimêran (14,400 çirke) têne nûve kirin. Hûn dikarin navbera ji nûvekişandinê biguhezînin nirxek ji 30 çirkeyan heya 14 rojan (1209600 çirke):

  • vEdge (config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# saniyeyên rekey

Ji bo ku ji bo tunelek IPsec bi zorê hilberîna mifteyên nû, daxwaza fermana ipsec ipsec-rekey derxînin. Ji hêla xwerû ve, nepeniya pêşerojê ya bêkêmasî (PFS) li ser tunelên IPsec-ê tê çalak kirin, da ku pê ewle bibe ku danişînên paşîn bandor nebin ger mifteyên pêşerojê werin tawîz kirin. PFS danûstendinek nû ya bişkojka Diffie-Hellman ferz dike, ku bi xwerû koma modula sereke ya 4096-bit Diffie-Hellman bikar tîne. Hûn dikarin mîhengê PFS biguherînin:

  • vEdge (config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# mîhenga pfs-ber-pêşve-veşartî

pfs-setting dikare yek ji jêrîn be:

  • kom-2 — Koma modula seretayî ya 1024-bit Diffie-Hellman bikar bînin.
  • kom-14 — Koma modula seretayî ya 2048-bit Diffie-Hellman bikar bînin.
  • kom-15 — Koma modula seretayî ya 3072-bit Diffie-Hellman bikar bînin.
  • koma-16- Koma modula sereke ya 4096-bit Diffie-Hellman bikar bînin. Ev standard e.
  • tune-PFS neçalak bike.

Bi xwerû, pencereya dubarekirina IPsec-ê ya li ser tunela IPsec 512 byte ye. Hûn dikarin mezinahiya pencereya dubarekirinê li pakêtên 64, 128, 256, 512, 1024, 2048, an 4096 destnîşan bikin:

  • vEdge (config-interface-ipsecnumber)# ipsec
  • vEdge (config-ipsec)# jimareya paceya vedîtinê

IKE Dead-Peer Detection biguherîne

IKE mekanîzmayek tespîtkirina heval-hevalan bikar tîne da ku diyar bike ka girêdana bi hevalek IKE re fonksiyonel û gihîştî ye an na. Ji bo bicihanîna vê mekanîzmayê, IKE pakêtek Hello ji hevalbendê xwe re dişîne, û peer di bersivê de pejirandinek dişîne. Ji hêla xwerû ve, IKE her 10 saniyeyan carekê pakêtên Hello dişîne, û piştî sê pakêtên nenaskirî, IKE cîranê mirî radigihîne û tunelê ji hemtayê re hildiweşîne. Dûv re, IKE bi awayekî periyodîk pakêtek Hello ji peer re dişîne, û gava ku peer vegere serhêl, tunelê ji nû ve saz dike. Hûn dikarin navbera vedîtina zindîtiyê biguhezînin nirxek ji 0 heya 65535, û hûn dikarin hejmara dubareyan biguhezînin nirxek ji 0 heta 255.

Not

Ji bo VPN-yên veguheztinê, navbera tespîtkirina jîngehê bi karanîna formula jêrîn vediguhezîne çirkeyan: Navbera ji bo hewldana ji nû ve veguheztinê N = navber * 1.8N-1Ji bo berêampLe, heke navber li 10-ê were danîn û ji nû ve biceribîne 5, navbera tespîtkirinê wiha zêde dibe:

  • Hewldan 1: 10 * 1.81-1 = 10 çirke
  • Ceribandin 2: 10 * 1.82-1 = 18 çirke
  • Ceribandin 3: 10 * 1.83-1 = 32.4 çirke
  • Ceribandin 4: 10 * 1.84-1 = 58.32 çirke
  • Ceribandin 5: 10 * 1.85-1 = 104.976 çirke

vEdge(config-interface-ipsecnumber)# navbera navberê ya mirî-peer-detection hejmara dubare dike

Taybetmendiyên Navberê yên Din Mîheng bikin

Ji bo navgînên tunelê IPsec, hûn dikarin tenê taybetmendiyên navbeynkariya jêrîn ên jêrîn mîheng bikin:

  • vEdge(config-interface-ipsec)# mtu bytes
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Li ser Rêvebirê Cisco SD-WAN Algorîtmayên Şîfrekirina Qels a SSH neçalak bikin

Tablo 5: Tabloya Dîroka Taybetmendiyê

Taybetî Nav Agahdariya berdanê Taybetî Terîf
Li ser Rêvebirê Cisco SD-WAN Algorîtmayên Şîfrekirina Qels a SSH neçalak bikin Cisco vManage Release 20.9.1 Ev taybetmendî dihêle hûn li ser Rêvebirê Cisco SD-WAN algorîtmayên qels ên SSH-ê neçalak bikin ku dibe ku hin standardên ewlehiya daneyê tevnegerin.

Agahdarî Di Derbarê Neçalakkirina Algorîtmayên Şîfrekirina Qels a SSH de li ser Rêvebirê Cisco SD-WAN
Rêvebirê Cisco SD-WAN ji bo danûstendina bi hêmanên di torê re, di nav de kontrolker û cîhazên qiraxê, xerîdarek SSH peyda dike. Xerîdarê SSH ji bo veguheztina daneya ewle, li ser bingeha cûrbecûr algorîtmayên şîfrekirinê, pêwendiyek şîfrekirî peyda dike. Gelek rêxistin ji ya ku ji hêla SHA-1, AES-128, û AES-192 ve hatî peyda kirin şîfrekirinek bihêztir hewce dike. Ji Cisco vManage Release 20.9.1, hûn dikarin algorîtmayên şîfrekirinê yên qels ên jêrîn neçalak bikin da ku xerîdarek SSH van algorîtmayan bikar neyne:

  • SHA-1
  • AES-128
  • AES-192

Berî ku van algorîtmayên şîfrekirinê neçalak bikin, pê ewle bin ku cîhazên Cisco vEdge, heke hebin, di torê de, ji Cisco SD-WAN Release 18.4.6 dereng berdanek nermalavê bikar tînin.

Feydeyên Neçalakkirina Algorîtmayên Şîfrekirina SSH-ya qels li ser Rêvebirê Cisco SD-WAN
Neçalakkirina algorîtmayên şîfrekirina SSH-a qels ewlehiya pêwendiya SSH çêtir dike, û piştrast dike ku rêxistinên ku Cisco Catalyst SD-WAN bikar tînin li gorî rêzikên hişk ên ewlehiyê tevdigerin.

Algorîtmayên şîfrekirina SSH-ya qels a li ser Rêvebirê Cisco SD-WAN-ê Bi karanîna CLI-yê neçalak bike

  1. Ji pêşeka Rêvebirê Cisco SD-WAN, Tools> Termînala SSH hilbijêrin.
  2. Amûra Rêvebirê Cisco SD-WAN ya ku hûn dixwazin algorîtmayên qelstir SSH li ser neçalak bikin hilbijêrin.
  3. Navê bikarhêner û şîfreya xwe binivîse ku têkevin cîhazê.
  4. Têkeve moda servera SSH.
    • vmanage(config)# pergala
    • vmanage(config-pergal)# ssh-server
  5. Ji bo neçalakkirina algorîtmayek şîfrekirina SSH yek ji van jêrîn bikin:
    • SHA-1 neçalak bike:
  6. birêvebirin(config-ssh-server)# ne kex-algo sha1
  7. birêvebirin (config-ssh-server)# commit
    Peyama hişyariya jêrîn tê xuyang kirin: Hişyarîyên jêrîn hatin çêkirin: 'Sîstema ssh-server kex-algo sha1': HIŞYARÎ: Ji kerema xwe piştrast bikin ku hemî keviyên we guhertoya kodê > 18.4.6 ya ku ji SHA1 çêtir bi vManage re danûstandinan dike dimeşîne. Wekî din, dibe ku ew perde negirêdayî bibin. Pêşçûn? [erê, na] belê
    • Piştrast bikin ku cîhazên Cisco vEdge yên di torê de Cisco SD-WAN Release 18.4.6 an nûtir dimeşînin û têkevin erê.
    • AES-128 û AES-192 neçalak bike:
    • vmanage(config-ssh-server)# şîfre tune aes-128-192
    • vmanage(config-ssh-server)# commit
      Peyama hişyariya jêrîn tê xuyang kirin:
      Hişyariyên jêrîn hatin çêkirin:
      'şîfreya pergala ssh-server aes-128-192': HIŞYARÎ: Ji kerema xwe piştrast bikin ku hemî keviyên we guhertoya kodê > 18.4.6-ê ku ji AES-128-192 çêtir bi vManage re danûstandinan dike, dimeşînin. Wekî din, dibe ku ew perde negirêdayî bibin. Pêşçûn? [erê, na] belê
    • Piştrast bikin ku cîhazên Cisco vEdge yên di torê de Cisco SD-WAN Release 18.4.6 an nûtir dimeşînin û têkevin erê.

Verast bikin ku Algorîtmayên Şîfrekirina SSH-ya qels li ser Rêvebirê Cisco SD-WAN-ê Bi karanîna CLI-yê neçalak in

  1. Ji pêşeka Rêvebirê Cisco SD-WAN, Tools> Termînala SSH hilbijêrin.
  2. Amûra Rêvebirê Cisco SD-WAN ya ku hûn dixwazin verast bikin hilbijêrin.
  3. Navê bikarhêner û şîfreya xwe binivîse ku têkevin cîhazê.
  4. Fermana jêrîn bicîh bikin: ssh-server pergala xebitandinê-config nîşan bide
  5. Piştrast bikin ku encam yek an çend fermanên ku algorîtmayên şîfrekirinê yên qels neçalak dikin nîşan dide:
    • no şîfre aes-128-192
    • tu kex-algo şa1

Belge / Çavkanî

CISCO SD-WAN Parametreyên Ewlekariyê Mîheng bikin [pdf] Rehbera bikaranînê
SD-WAN Parametreyên Ewlekariyê Mîheng Bike, SD-WAN, Parametreyên Ewlekariyê Mîheng Bike, Parametreyên Ewlekariyê

Çavkanî

Bihêle şîroveyek

Navnîşana e-nameya we nayê weşandin. Zeviyên pêwîst têne nîşankirin *