Мазмуну жашыруу
1 CISCO SD-WAN Коопсуздук Параметрлерин конфигурациялайт
2 Коопсуздук Параметрлерин конфигурациялоо
3 Башкаруу учагынын коопсуздук параметрлерин конфигурациялаңыз
4 Cisco SD-WAN менеджеринде DTLS конфигурациялаңыз
5 Маалымат учагынын коопсуздук параметрлерин конфигурациялаңыз
6 Уруксат берилген аутентификация түрлөрүн конфигурациялаңыз
7 Кайра ачкыч таймерди өзгөртүңүз
8 Кайталап ойнотууга каршы терезенин өлчөмүн өзгөртүү
9 IPsec статикалык маршрутун конфигурациялаңыз
10 IPsec туннелинин параметрлерин конфигурациялаңыз
11 IKE Dead-Peer Detection функциясын өзгөртүү
12 Башка интерфейс касиеттерин конфигурациялаңыз
13 Cisco SD-WAN менеджеринде алсыз SSH шифрлөө алгоритмдерин өчүрүү
14 Документтер / Ресурстар
14.1 Шилтемелер

CISCO-LOGO

CISCO SD-WAN Коопсуздук Параметрлерин конфигурациялайт

CISCO-SD-WAN-конфигурациялоо-коопсуздук-параметрлер-ПРОДУКЦИЯ

Коопсуздук Параметрлерин конфигурациялоо

Эскертүү

Жөнөкөйлөтүүгө жана ырааттуулукка жетишүү үчүн, Cisco SD-WAN чечими Cisco Catalyst SD-WAN катары ребрендингге ээ болду. Кошумчалай кетсек, Cisco IOS XE SD-WAN Release 17.12.1a жана Cisco Catalyst SD-WAN Release 20.12.1ден төмөнкү компоненттик өзгөртүүлөр колдонулат: Cisco vManage - Cisco Catalyst SD-WAN менеджери, Cisco vAnalytics - SD-WAN Analytics, Cisco vBond - Cisco Catalyst SD-WAN Validator жана Cisco vSmart - Cisco Catalyst SD-WAN Controller. Компоненттин бренд атын өзгөртүүнүн толук тизмеси үчүн акыркы Release Notes караңыз. Жаңы аталыштарга өтүп жатканыбызда, программалык продуктунун колдонуучу интерфейсинин жаңыртууларына этап-этабы менен мамиле кылгандыктан, документтердин топтомунда кээ бир карама-каршылыктар болушу мүмкүн.

Бул бөлүмдө Cisco Catalyst SD-WAN кабаттуу тармагында башкаруу тегиздиги жана маалымат тегиздиги үчүн коопсуздук параметрлерин кантип өзгөртүү керектиги сүрөттөлөт.

  • Башкаруу учагынын коопсуздук параметрлерин конфигурациялоо, күйгүзүү
  • Маалымат учагынын коопсуздук параметрлерин конфигурациялоо, күйгүзүү
  • IKE иштетилген IPsec туннелдерин конфигурациялоо, күйүк
  • Cisco SD-WAN менеджеринде алсыз SSH шифрлөө алгоритмдерин өчүрүү, күйгүзүү

Башкаруу учагынын коопсуздук параметрлерин конфигурациялаңыз

Демейки боюнча, башкаруу учагы өзүнүн бардык туннелдеринде купуялуулукту камсыз кылган протокол катары DTLS колдонот. DTLS UDP аркылуу иштейт. Сиз башкаруу учагынын коопсуздук протоколун TCP аркылуу иштеген TLSге өзгөртө аласыз. TLS колдонуунун негизги себеби, эгерде сиз Cisco SD-WAN контроллерин сервер деп эсептесеңиз, брандмауэрлер TCP серверлерин UDP серверлерине караганда жакшыраак коргойт. Сиз Cisco SD-WAN Controllerдеги башкаруу учак туннелинин протоколун конфигурациялайсыз: vSmart(config)# коопсуздукту башкаруу протоколу tls Бул өзгөртүү менен Cisco SD-WAN контроллери менен роутерлердин жана Cisco SD-WAN контроллерунун ортосундагы бардык башкаруу учак туннелдери жана Cisco SD-WAN менеджери TLS колдонушат. Cisco Catalyst SD-WAN Validator менен башкаруу учак туннелдери ар дайым DTLS колдонушат, анткени бул байланыштар UDP тарабынан иштетилиши керек. Бир нече Cisco SD-WAN контроллери бар доменде, сиз Cisco SD-WAN контроллерлорунун биринде TLS конфигурациялаганыңызда, ошол контроллерден башка контроллерге чейинки бардык башкаруучу учак туннелдери TLS колдонушат. Башкача айтканда, TLS ар дайым DTLSге караганда артыкчылыкка ээ. Бирок, башка Cisco SD-WAN контроллерлорунун көз карашы боюнча, эгер сиз аларга TLS конфигурациялабаган болсоңуз, алар башкаруучу учак туннелиндеги TLSди ошол бир Cisco SD-WAN контроллерине гана колдонушат, ал эми башкалардын баарына DTLS туннелдерин колдонушат. Cisco SD-WAN контроллерлору жана алардын бардык туташкан роутерлерине. Бардык Cisco SD-WAN контроллерлору TLS колдонушу үчүн, аларды бардыгында конфигурациялаңыз. Демейки боюнча, Cisco SD-WAN контроллери TLS сурамдары үчүн 23456 портунда угат. Муну өзгөртүү үчүн: vSmart(config)# коопсуздукту башкаруу tls-портунун номери Порт 1025тен 65535ке чейинки сан болушу мүмкүн. Башкаруучу учактын коопсуздук маалыматын көрсөтүү үчүн, Cisco SD-WAN контроллерундагы show control connections буйругун колдонуңуз. Мисалы үчүнample: vSmart-2 # башкаруу байланыштарын көрсөтөт

CISCO-SD-WAN-конфигурациялоо-коопсуздук-параметрлери-FIG-1

Cisco SD-WAN менеджеринде DTLS конфигурациялаңыз

Эгер сиз Cisco SD-WAN менеджерин TLSти башкаруу учагынын коопсуздук протоколу катары колдонууга конфигурацияласаңыз, NATыңызда портту багыттоону иштетишиңиз керек. Эгер сиз DTLSти башкаруу учагынын коопсуздук протоколу катары колдонуп жатсаңыз, эч нерсе кылуунун кереги жок. Багытталган порттордун саны Cisco SD-WAN менеджеринде иштеген vdaemon процесстеринин санына жараша болот. Бул процесстер жана жөнөтүлүп жаткан порттордун саны жөнүндө маалыматты көрсөтүү үчүн, төрт демон процесси иштеп жатканын көрсөтүүнү башкаруунун жыйынтыктоочу буйругун колдонуңуз:CISCO-SD-WAN-конфигурациялоо-коопсуздук-параметрлери-FIG-2

Угуу портторун көрүү үчүн, show control local-properties буйругун колдонуңуз: vManage# show control local-properties

CISCO-SD-WAN-конфигурациялоо-коопсуздук-параметрлери-FIG-3

Бул чыгаруу угуучу TCP порту 23456 экенин көрсөтүп турат. Эгер сиз NATтын артында Cisco SD-WAN менеджерин иштетип жатсаңыз, NAT түзмөгүндө төмөнкү портторду ачышыңыз керек:

  • 23456 (базалык – инстанция 0 порт)
  • 23456 + 100 (базалык + 100)
  • 23456 + 200 (базалык + 200)
  • 23456 + 300 (базалык + 300)

Эсиңизде болсун, инстанциялардын саны Cisco SD-WAN менеджери үчүн сиз дайындаган өзөктөрдүн саны менен бирдей, максимум 8ге чейин.

Коопсуздук Функциясынын шаблонун колдонуу менен коопсуздук параметрлерин конфигурациялаңыз

Бардык Cisco vEdge түзмөктөрү үчүн Коопсуздук өзгөчөлүгү үлгүсүн колдонуңуз. Чектеги роутерлерде жана Cisco SD-WAN Validator'до бул шаблонду IPsecти маалымат учагынын коопсуздугу үчүн конфигурациялоо үчүн колдонуңуз. Cisco SD-WAN менеджеринде жана Cisco SD-WAN контроллеринде, башкаруу учагынын коопсуздугу үчүн DTLS же TLS конфигурациялоо үчүн Коопсуздук өзгөчөлүгү үлгүсүн колдонуңуз.

Коопсуздук Параметрлерин конфигурациялоо

  1. Cisco SD-WAN менеджери менюсунан Конфигурация > Калыптарды тандаңыз.
  2. Функция калыптарын чыкылдатып, андан кийин Калып кошуу баскычын чыкылдатыңыз.
    Эскертүү Cisco vManage Release 20.7.1 жана мурунку релиздерде Функция калыптары Функция деп аталат.
  3. Сол панелдеги Түзмөктөр тизмесинен түзмөктү тандаңыз. Тандалган түзмөккө тиешелүү калыптар оң панелде пайда болот.
  4. Шаблонду ачуу үчүн Коопсуздукту басыңыз.
  5. Үлгү аты талаасына шаблондун атын киргизиңиз. Аты 128 белгиге чейин болушу мүмкүн жана алфавиттик-сандык белгилерди гана камтышы мүмкүн.
  6. Калыптын сүрөттөмөсү талаасына шаблондун сүрөттөмөсүн киргизиңиз. Сүрөттөмө 2048 белгиге чейин болушу мүмкүн жана алфавиттик-сандык белгилерди гана камтышы мүмкүн.

Сиз өзгөчөлүк үлгүсүн биринчи жолу ачканда, демейки мааниси бар ар бир параметр үчүн масштаб Демейкиге коюлат (белги белгиси менен көрсөтүлгөн) жана демейки жөндөө же маани көрсөтүлөт. Демейкиди өзгөртүү же маани киргизүү үчүн, параметр талаасынын сол жагындагы ылдый түшүүчү менюну чыкылдатып, төмөнкүлөрдүн бирин тандаңыз:

1-таблица:

Параметр Колдонуу чөйрөсү Колдонуу чөйрөсү
Түзмөккө тиешелүү (хосттун сөлөкөтү менен көрсөтүлгөн) Параметр үчүн түзмөккө тиешелүү маанини колдонуңуз. Түзмөккө тиешелүү параметрлер үчүн, өзгөчөлүк үлгүсүнө маани киргизе албайсыз. Сиз Viptela түзмөгүн түзмөк үлгүсүнө тиркөөңүздө маанини киргизесиз.

Түзмөктүн өзгөчөлүгүн басканда, Enter Key кутучасы ачылат. Бул кутуча ачкычты көрсөтөт, ал CSVдеги параметрди аныктаган уникалдуу сап file сен жараткан. Бул file ар бир ачкыч үчүн бир мамычаны камтыган Excel электрондук жадыбал. Башкы сабы ачкыч аталыштарын камтыйт (ар бир тилкеге ​​бир ачкыч), андан кийинки ар бир сап түзмөккө туура келет жана ошол түзмөк үчүн баскычтардын маанилерин аныктайт. Сиз CSV жүктөйсүз file Viptela түзмөгүн түзмөк шаблонуна тиркөөңүздө. Көбүрөөк маалымат алуу үчүн, Калып өзгөрмөлөр электрондук жадыбалын түзүү караңыз.

Демейки ачкычты өзгөртүү үчүн жаңы сапты териңиз жана курсорду Enter Key кутучасынан жылдырыңыз.

Exampтүзмөккө тиешелүү параметрлер бул системанын IP дареги, хосттун аты, GPS жайгашкан жери жана сайттын идентификатору.
Параметр Колдонуу чөйрөсү Колдонуу чөйрөсү
Глобалдык (глобус сөлөкөтү менен көрсөтүлгөн) Параметрге маани киргизип, ал маанини бардык түзмөктөргө колдонуңуз.

ExampТүзмөктөр тобуна глобалдык түрдө колдоно ала турган параметрлер бул DNS сервери, syslog сервери жана интерфейс MTUs.

Control Plane Security конфигурациялоо

Эскертүү
Configure Control Plane Security бөлүмү Cisco SD-WAN Manager жана Cisco SD-WAN Controller үчүн гана колдонулат. Cisco SD-WAN Manager инстанциясында же Cisco SD-WAN Controllerинде башкаруу тегиздигинин туташуу протоколун конфигурациялоо үчүн, Негизги Конфигурация аймагын тандаңыз. жана төмөнкү параметрлерди конфигурациялаңыз:

2-таблица:

Параметр аты Description
Протокол Cisco SD-WAN контроллерине башкаруу тегиздигин туташууда колдонуу үчүн протоколду тандаңыз:

• DTLS (Datagкочкор транспорт катмарынын коопсуздугу). Бул демейки болуп саналат.

•  TLS (Транспорт катмарынын коопсуздугу)
TLS портун башкаруу Эгер сиз TLS тандасаңыз, порт номерин колдонуу үчүн конфигурациялаңыз:Диапазон: 1025ден 65535ге чейинДемейки: 23456

Сактоо баскычын басыңыз

Data Plane Коопсуздукту конфигурациялоо
Cisco SD-WAN Validator же Cisco vEdge роутеринде маалымат тегиздигинин коопсуздугун конфигурациялоо үчүн Негизги Конфигурация жана Аутентификация түрү өтмөктөрүн тандап, төмөнкү параметрлерди конфигурациялаңыз:

3-таблица:

Параметр аты Description
Rekey Time Cisco vEdge роутери Cisco SD-WAN контроллерине анын коопсуз DTLS туташуусунда колдонулган AES ачкычын канчалык көп өзгөртөрүн көрсөтүңүз. Эгерде OMP graceful restart иштетилген болсо, кайра ачуу убактысы OMP graceful restart таймеринин маанисинен кеминде эки эсе болушу керек.Диапазон: 10дон 1209600 секунда чейин (14 күн)Демейки: 86400 секунд (24 саат)
Кайра ойнотуу терезеси Жылдырма кайра ойнотуу терезесинин өлчөмүн белгилеңиз.

Маанилер: 64, 128, 256, 512, 1024, 2048, 4096, 8192 пакеттерДемейки: 512 пакет
IPsec

жуп баскычтуу

 Бул демейки боюнча өчүрүлгөн. Click On аны күйгүзүү үчүн.
Параметр аты Description
Аутентификация түрү ичинен аутентификация түрлөрүн тандаңыз Аутентификация Тизме, жана аныктыгын текшерүү түрлөрүн жылдыруу үчүн оңго көрсөткөн жебени басыңыз Тандалган тизме тилке.

Cisco SD-WAN Release 20.6.1 тарабынан колдоого алынган аутентификация түрлөрү:

•  esp: ESP аталышындагы Encapsulating Security Payload (ESP) шифрлөөсүн жана бүтүндүгүн текшерүүнү иштетет.

•  ip-udp-esp: ESP шифрлөөсүн иштетет. ESP аталышындагы жана пайдалуу жүктөгү бүтүндүк текшерүүлөрүнөн тышкары, текшерүүлөр тышкы IP жана UDP аталыштарын да камтыйт.

•  ip-udp-esp-no-id: Cisco Catalyst SD-WAN Cisco эмес түзмөктөр менен бирге иштеши үчүн IP башындагы ID талаасын этибарга албайт.

•  эч ким: IPSec пакеттеринде бүтүндүктү текшерүүнү өчүрөт. Бул параметрди колдонууну сунуштабайбыз.

 

Cisco SD-WAN Release 20.5.1 жана андан мурунку версияларында колдоого алынган аутентификация түрлөрү:

•  ah-no-id: Пакеттин тышкы IP башындагы ID талаасын этибар албаган AH-SHA1 HMAC жана ESP HMAC-SHA1 өркүндөтүлгөн версиясын иштетиңиз.

•  ах-ша1-хмак: AH-SHA1 HMAC жана ESP HMAC-SHA1ди иштетүү.

•  эч ким: Аутентификация жок тандаңыз.

•  ша1-хмак: ESP HMAC-SHA1ди иштетүү.

 

Эскертүү              Cisco SD-WAN Release 20.5.1 же андан мурунку версиясында иштеген четтеги түзмөк үчүн сиз аутентификация түрлөрүн конфигурациялаган болушуңуз мүмкүн Коопсуздук шаблон. Аппаратты Cisco SD-WAN Release 20.6.1 же кийинкиге жаңыртканыңызда, тандалган аутентификация түрлөрүн жаңыртыңыз Коопсуздук Cisco SD-WAN Release 20.6.1 тарабынан колдоого алынган аутентификация түрлөрүнө шаблон. Аутентификация түрлөрүн жаңыртуу үчүн, төмөнкүлөрдү аткарыңыз:

1.      Cisco SD-WAN менеджери менюсунан тандаңыз Конфигурация >

Шаблондор.

2.      Click Функция шаблондору.

3.      табыңыз Коопсуздук жаңыртуу үчүн шаблонду басыңыз жана чыкылдатыңыз ... жана басыңыз Түзөтүү.

4.      Click Жаңыртуу. Эч кандай конфигурацияны өзгөртпөңүз.

Cisco SD-WAN менеджери жаңыртат Коопсуздук колдоого алынган аутентификация түрлөрүн көрсөтүү үчүн шаблон.

Сактоо баскычын басыңыз.

Маалымат учагынын коопсуздук параметрлерин конфигурациялаңыз

Берилиштер тегиздигинде, IPsec демейки боюнча бардык роутерлерде иштетилген жана демейки боюнча IPsec туннелдик байланыштары IPsec туннелдеринде аутентификация үчүн Encapsulating Security Payload (ESP) протоколунун өркүндөтүлгөн версиясын колдонушат. Маршрутизаторлордо сиз аутентификациянын түрүн, IPsec кайра ачкыч таймерин жана IPsec анти-кайра ойнотуу терезесинин өлчөмүн өзгөртө аласыз.

Уруксат берилген аутентификация түрлөрүн конфигурациялаңыз

Cisco SD-WAN Release 20.6.1 жана кийинчерээк аныктыгын текшерүү түрлөрү
Cisco SD-WAN Release 20.6.1ден төмөнкү бүтүндүк түрлөрү колдоого алынат:

  • esp: Бул параметр ESP аталышындагы Encapsulating Security Payload (ESP) шифрлөөсүн жана бүтүндүгүн текшерүүнү иштетет.
  • ip-udp-esp: Бул параметр ESP шифрлөөсүн иштетет. ESP аталышындагы жана пайдалуу жүктөгү бүтүндүк текшерүүлөрүнөн тышкары, текшерүүлөр тышкы IP жана UDP аталыштарын да камтыйт.
  • ip-udp-esp-no-id: Бул параметр ip-udp-espге окшош, бирок тышкы IP аталышынын ID талаасы этибарга алынбайт. Cisco Catalyst SD-WAN Cisco эмес түзмөктөр менен бирге иштеши үчүн, Cisco Catalyst SD-WAN программасы IP башындагы ID талаасын этибарга албоо үчүн бүтүндүктүн түрлөрүнүн тизмесинде бул параметрди конфигурациялаңыз.
  • эч ким: Бул параметр IPSec пакеттеринде бүтүндүктү текшерүүнү өчүрөт. Бул параметрди колдонууну сунуштабайбыз.

Демейки боюнча, IPsec туннель байланыштары аутентификация үчүн Encapsulating Security Payload (ESP) протоколунун өркүндөтүлгөн версиясын колдонушат. Макулдашылган интеритеттин түрлөрүн өзгөртүү үчүн же бүтүндүктү текшерүүнү өчүрүү үчүн төмөнкү буйрукту колдонуңуз: бүтүндүк түрү { эч ким | ip-udp-esp | ip-udp-esp-no-id | esp }

Cisco SD-WAN релизине чейинки аутентификациянын түрлөрү 20.6.1
Демейки боюнча, IPsec туннель байланыштары аутентификация үчүн Encapsulating Security Payload (ESP) протоколунун өркүндөтүлгөн версиясын колдонушат. Макулдашылган аутентификациянын түрлөрүн өзгөртүү үчүн же аутентификацияны өчүрүү үчүн төмөнкү буйрукту колдонуңуз: Device(config)# security ipsec аутентификация-тип (ah-sha1-hmac | ah-no-id | sha1-hmac | | жок) Демейки боюнча, IPsec туннель байланыштары шифрлөө жана аныктыгын текшерүүнү камсыз кылган AES-GCM-256 колдонот. Ар бир аутентификация түрүн өзүнчө коопсуздук ipsec аутентификация түрү буйругу менен конфигурациялаңыз. Буйрук опциялары эң күчтүүдөн эң күчтүүсүнө чейин тизмеленген төмөнкү аутентификация түрлөрүнө карта:

Эскертүү
Конфигурация параметрлериндеги sha1 тарыхый себептерден улам колдонулат. Аутентификация параметрлери пакеттин бүтүндүгүн текшерүүнүн канчалык деңгээлде аткарылгандыгын көрсөтөт. Алар бүтүндүктү текшерген алгоритмди такташпайт. Мультикастациялык трафикти шифрлөөдөн башка, Cisco Catalyst SD WAN тарабынан колдоого алынган аутентификация алгоритмдери SHA1ди колдонушпайт. Бирок Cisco SD-WAN Release 20.1.x жана андан кийинки версияларында Unicast да, мультикаст да SHA1 колдонбойт.

  • ah-sha1-hmac ESP аркылуу шифрлөө жана инкапсуляцияны камсыз кылат. Бирок, ESP аталышындагы жана пайдалуу жүктөгү бүтүндүктү текшерүүдөн тышкары, текшерүүлөр тышкы IP жана UDP аталыштарын да камтыйт. Демек, бул параметр Аутентификациянын аталышы (AH) протоколуна окшош пакеттин бүтүндүгүн текшерүүнү колдойт. Бардык бүтүндүк жана шифрлөө AES-256-GCM аркылуу ишке ашырылат.
  • ah-no-id ah-sha1-hmacга окшош режимди иштетет, бирок тышкы IP аталышынын ID талаасы этибарга алынбайт. Бул параметр кээ бир Cisco Catalyst эмес SD-WAN түзмөктөрүн, анын ичинде Apple AirPort Express NAT түзмөктөрүн камтыйт, аларда IP башындагы ID талаасын, өзгөрүлбөгөн талааны өзгөртүүгө алып келген ката бар. Cisco Catalyst SD-WAN AH программасы Cisco Catalyst SD-WAN программасы бул түзмөктөр менен бирге иштеши үчүн, аныктыгын текшерүү түрлөрүнүн тизмесиндеги ah-no-id опциясын конфигурациялаңыз.
  • sha1-hmac ESP шифрлөө жана бүтүндүгүн текшерүү мүмкүнчүлүгүн берет.
  • эч кандай карта жок аутентификация. Бул параметр убактылуу мүчүлүштүктөрдү оңдоо үчүн талап кылынса гана колдонулушу керек. Бул параметрди маалымат учагынын аутентификациясы жана бүтүндүгү тынчсыздандырбаган учурларда да тандай аласыз. Cisco бул параметрди өндүрүш тармактары үчүн колдонууну сунуштабайт.

Бул аутентификация түрлөрүнөн кайсы маалымат пакетинин талаалары таасир этээри тууралуу маалымат алуу үчүн, Маалыматтын тегиздигин караңыз. Cisco IOS XE Catalyst SD-WAN түзмөктөрү жана Cisco vEdge түзмөктөрү конфигурацияланган аутентификация түрлөрүн TLOC касиеттеринде жарнамалайт. IPsec туннель байланышынын эки тарабындагы эки роутер эки роутерде тең конфигурацияланган эң күчтүү аутентификация түрүн колдонуп, алардын ортосундагы байланышта колдонуу үчүн аутентификацияны сүйлөшөт. Мисалы үчүнample, эгерде бир роутер ah-sha1-hmac жана ah-no-id түрлөрүн, ал эми экинчи роутер ah-no-id түрүн жарнамаласа, эки роутер ah-no-idди IPsec туннелинин ортосундагы байланышта колдонуу үчүн сүйлөшүүлөрдү жүргүзүшөт. алар. Эгерде эки теңдеште жалпы аутентификация түрлөрү конфигурацияланбаса, алардын ортосунда IPsec туннели орнотулбайт. IPsec туннелдик байланыштарындагы шифрлөө алгоритми трафиктин түрүнө жараша болот:

  • Unicast трафик үчүн шифрлөө алгоритми AES-256-GCM болуп саналат.
  • Көптөгөн трафик үчүн:
  • Cisco SD-WAN Release 20.1.x жана андан кийинкиси – шифрлөө алгоритми AES-256-GCM
  • Мурунку чыгарылыштар – шифрлөө алгоритми SHA256-HMAC менен AES-1-CBC.

IPsec аутентификация түрү өзгөртүлгөндө, маалымат жолу үчүн AES ачкычы өзгөрөт.

Кайра ачкыч таймерди өзгөртүңүз

Cisco IOS XE Catalyst SD-WAN түзмөктөрү жана Cisco vEdge түзмөктөрү маалымат трафигин алмаштыра электе, алардын ортосунда коопсуз аутентификацияланган байланыш каналын орнотушкан. Маршрутизаторлор канал катары алардын ортосундагы IPSec туннелдерин жана шифрлөө үчүн AES-256 шифрин колдонушат. Ар бир роутер мезгил-мезгили менен маалымат жолу үчүн жаңы AES ачкычын жаратат. Демейки боюнча, ачкыч 86400 секундга (24 саат) жарактуу, ал эми таймер диапазону 10 секунддан 1209600 секундага чейин (14 күн) түзөт. Кайра ачкыч таймеринин маанисин өзгөртүү үчүн: Device(config)# security ipsec rekey seconds Конфигурация төмөнкүдөй көрүнөт:

  • коопсуздук ipsec кайра ачкыч секунд!

Жаңы IPsec ачкычтарын дароо жараткыңыз келсе, роутердин конфигурациясын өзгөртпөстөн жасай аласыз. Бул үчүн, бузулган роутерге суроо коопсуздук ipsecrekey буйругун чыгарыңыз. Мисалы үчүнample, төмөнкү натыйжа жергиликтүү SAнын Коопсуздук Параметринин Индекси (SPI) 256 экенин көрсөтүп турат:CISCO-SD-WAN-конфигурациялоо-коопсуздук-параметрлери-FIG-4

Ар бир SPI менен уникалдуу ачкыч байланышкан. Эгер бул ачкыч бузулуп калса, дароо жаңы ачкычты түзүү үчүн суроо коопсуздук ipsec-rekey буйругун колдонуңуз. Бул буйрук SPI жогорулатат. Биздин мурункуample, SPI 257ге өзгөрөт жана аны менен байланышкан ачкыч азыр колдонулат:

  • Түзмөк # суроо коопсуздук ipsecrekey
  • Түзмөк # ipsec local-sa көрсөтөт

CISCO-SD-WAN-конфигурациялоо-коопсуздук-параметрлери-FIG-5

Жаңы ачкыч түзүлгөндөн кийин, роутер аны дароо DTLS же TLS аркылуу Cisco SD-WAN контроллерлоруна жөнөтөт. Cisco SD-WAN контроллерлору ачкычты тең роутерлерге жөнөтүшөт. Маршрутизаторлор аны кабыл алар замат колдоно башташат. Эски SPI (256) менен байланышкан ачкыч анын мөөнөтү бүткүчө кыска убакытка колдонула берерин эске алыңыз. Эски ачкычты колдонууну токтоосуз токтотуу үчүн, сурамдын коопсуздук боюнча ipsec-rekey буйругун эки жолу, тез арада бериңиз. Буйруктардын бул ырааттуулугу SPI 256 жана 257 экөөнү тең жок кылат жана SPIди 258ге орнотот. Андан кийин роутер SPI 258 менен байланышкан ачкычты колдонот. Бирок, бардык алыскы роутерлор үйрөнмөйүнчө, кээ бир пакеттер кыска убакытка түшүп калаарын эске алыңыз. жаңы ачкыч.CISCO-SD-WAN-конфигурациялоо-коопсуздук-параметрлери-FIG-6

Кайталап ойнотууга каршы терезенин өлчөмүн өзгөртүү

IPsec аутентификациясы берилиштер агымындагы ар бир пакетке уникалдуу катар номерин ыйгаруу аркылуу кайталоодон коргоону камсыз кылат. Бул ырааттуу номерлөө маалымат пакеттерин кайталаган чабуулчудан коргойт. Кайталап ойнотууга каршы коргоо менен жөнөтүүчү монотондуу өскөн катар номерлерин дайындайт, ал эми көздөгөн жер дубликаттарды аныктоо үчүн бул катар номерлерин текшерет. Пакеттер көбүнчө ирети менен келбегендиктен, көздөгөн жер ал кабыл ала турган катар номерлеринин жылма терезесин сактайт.CISCO-SD-WAN-конфигурациялоо-коопсуздук-параметрлери-FIG-7

Жылдыруучу терезе диапазонунун сол жагына түшкөн ырааттуулугу бар пакеттер эски же кайталанма деп эсептелет жана көздөгөн жер аларды таштайт. Бара турган жер алган эң жогорку ырааттуулугун көзөмөлдөйт жана жогорураак маанидеги пакетти алганда жылма терезени тууралайт.CISCO-SD-WAN-конфигурациялоо-коопсуздук-параметрлери-FIG-8

Демейки боюнча, жылма терезе 512 пакетке коюлган. Ал 64 жана 4096 ортосундагы ар кандай мааниге коюлушу мүмкүн, бул 2нин күчү (башкача айтканда, 64, 128, 256, 512, 1024, 2048 же 4096). Кайталап ойнотууга каршы терезенин өлчөмүн өзгөртүү үчүн терезенин өлчөмүн көрсөтүү менен replay-window буйругун колдонуңуз:

Түзмөк(конфигурация)# коопсуздук ipsec кайра ойнотуу терезесинин номери

Конфигурация төмөнкүдөй көрүнөт:
коопсуздук ipsec кайталоо терезесинин саны! !

QoS менен жардам берүү үчүн, биринчи сегиз трафик каналынын ар бири үчүн өзүнчө кайталоо терезелери сакталат. Конфигурацияланган кайра ойнотуу терезесинин өлчөмү ар бир канал үчүн сегизге бөлүнөт. Эгерде QoS роутерде конфигурацияланса, ал роутер IPsec анти-кайра ойнотуу механизминин натыйжасында күтүлгөндөн көп пакет төмөндөшүнө дуушар болушу мүмкүн жана түшүрүлгөн пакеттердин көбү мыйзамдуу. Бул QoS пакеттердин иретин өзгөртүп, артыкчылыктуу пакеттерге артыкчылыктарды берип, төмөнкү артыкчылыктуу пакеттерди кечеңдеткендиктен келип чыгат. Бул кырдаалды азайтуу же алдын алуу үчүн, сиз төмөнкүлөрдү кыла аласыз:

  • Кайра ойнотууга каршы терезенин өлчөмүн чоңойтуңуз.
  • Канал ичиндеги трафик кайра иреттелбөө үчүн биринчи сегиз трафик каналына инженердик трафик.

IKE иштетилген IPsec туннелдерин конфигурациялаңыз
Трафикти кабатталган тармактан тейлөө тармагына коопсуз өткөрүү үчүн, сиз Internet Key Exchange (IKE) протоколун иштеткен IPsec туннелдерин конфигурациялай аласыз. IKE иштетилген IPsec туннелдери пакеттерди коопсуз ташууну камсыз кылуу үчүн аутентификацияны жана шифрлөөнү камсыз кылат. Сиз IPsec интерфейсин конфигурациялоо менен IKE иштетилген IPsec туннелин түзөсүз. IPsec интерфейстери логикалык интерфейстер жана сиз аларды башка физикалык интерфейстер сыяктуу конфигурациялайсыз. Сиз IPsec интерфейсинде IKE протоколунун параметрлерин конфигурациялайсыз жана башка интерфейс касиеттерин конфигурациялай аласыз.

Эскертүү Cisco IKE 2 версиясын колдонууну сунуштайт. Cisco SD-WAN 19.2.x релизинен баштап, алдын ала бөлүшүлгөн ачкычтын узундугу кеминде 16 байт болушу керек. Роутер 16 версиясына жаңыртылганда, ачкычтын өлчөмү 19.2 белгиден аз болсо, IPsec туннелин орнотуу иштебей калат.

Эскертүү
Cisco Catalyst SD-WAN программасы RFC 2да аныкталгандай IKE 7296 версиясын колдойт. IPsec туннелдерин колдонуунун бири Amazon AWSде иштеген vEdge Cloud роутер VM инстанцияларына Amazon виртуалдык жеке булутуна (VPC) туташуу мүмкүнчүлүгүн берүү. Бул роутерлерде IKE 1 версиясын конфигурациялашыңыз керек. Cisco vEdge түзмөктөрү IPSec конфигурациясында маршрутка негизделген VPN'дерди гана колдойт, анткени бул түзмөктөр шифрлөө домениндеги трафик селекторлорун аныктай албайт.

IPsec туннелин конфигурациялаңыз
Кызмат тармагынан коопсуз транспорт трафиги үчүн IPsec туннель интерфейсин конфигурациялоо үчүн, сиз логикалык IPsec интерфейсин түзөсүз:CISCO-SD-WAN-конфигурациялоо-коопсуздук-параметрлери-FIG-9

Сиз IPsec туннелин транспорттук VPN (VPN 0) жана каалаган VPN кызматында түзө аласыз (1ден башка VPN 65530ден 512га чейин). IPsec интерфейсинин ipsecnumber форматындагы аталышы бар, мында сан 1ден 255ке чейин болушу мүмкүн. Ар бир IPsec интерфейсинин IPv4 дареги болушу керек. Бул дарек /30 префикси болушу керек. Бул IPv4 префиксиндеги VPNдеги бардык трафик IPsec туннели аркылуу коопсуз жөнөтүү үчүн VPN 0 ичиндеги физикалык интерфейске багытталган. Жергиликтүү түзмөктөгү IPsec туннелинин булагын конфигурациялоо үчүн, сиз же IP дарегин көрсөтсөңүз болот. физикалык интерфейс (туннель-булак командасында) же физикалык интерфейстин аталышы (туннель-булак-интерфейс командасында). Физикалык интерфейс VPN 0де конфигурацияланганын текшериңиз. IPsec туннелинин көздөгөн жерин конфигурациялоо үчүн туннель-дестинация буйругунда алыскы түзмөктүн IP дарегин көрсөтүңүз. Булак дареги (же булак интерфейсинин аталышы) менен көздөгөн даректин айкалышы бирдиктүү IPsec туннелин аныктайт. Белгилүү бир булак дарегин (же интерфейстин атын) жана көздөгөн дарек жуптарын колдонгон бир гана IPsec туннели болушу мүмкүн.

IPsec статикалык маршрутун конфигурациялаңыз

VPN кызматынан трафикти VPN транспортундагы IPsec туннелине (VPN 0) багыттоо үчүн, VPN кызматында IPsec үчүн атайын статикалык маршрутту конфигурациялайсыз (VPN 0 же VPN 512ден башка VPN):

  • vEdge(конфигурация)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-маршрут префикси/узундук vpn 0 интерфейси
  • ipsecnumber [ipsecnumber2]

VPN ID бардык VPN кызматына таандык (VPN 1ден 65530га чейин, 512ден башкасы). префикс/узундук - ондук төрт бөлүктөн турган чекиттердеги IP дареги же префикси жана IPsec үчүн атайын статикалык маршруттун префиксинин узундугу. Интерфейс VPN 0догу IPsec туннелинин интерфейси. Сиз бир же эки IPsec туннель интерфейсин конфигурациялай аласыз. Эгер экөөнү конфигурацияласаңыз, биринчиси - негизги IPsec туннели, экинчиси - камдык. Эки интерфейс менен бардык пакеттер негизги туннелге гана жөнөтүлөт. Бул туннель иштебей калса, анда бардык пакеттер экинчи туннелге жөнөтүлөт. Эгерде негизги туннель кайра көтөрүлсө, бардык трафик кайра негизги IPsec туннелине жылдырылат.

IKE 1-версиясын иштетүү
vEdge роутеринде IPsec туннелин түзгөнүңүздө, туннель интерфейсинде демейки боюнча IKE 1-версиясы иштетилет. IKEv1 үчүн төмөнкү касиеттер демейки боюнча иштетилген:

  • Аутентификация жана шифрлөө — AES-256 өркүндөтүлгөн шифрлөө стандарты CBC шифрлөө менен HMAC-SHA1 ачкычтуу хэш билдирүүнүн аныктыгын текшерүү кодунун бүтүндүгү үчүн алгоритми
  • Диффи-Хелман тобунун номери — 16
  • Кайталоо убакыт аралыгы — 4 саат
  • SA орнотуу режими — Негизги

Демейки боюнча, IKEv1 IKE SAларды түзүү үчүн IKE негизги режимин колдонот. Бул режимде SA түзүү үчүн алты сүйлөшүү пакеттери алмашылды. Үч сүйлөшүү пакетин гана алмашуу үчүн агрессивдүү режимди иштетиңиз:

Эскертүү
Алдын ала бөлүшүлгөн ачкычтар менен IKE агрессивдүү режиминен мүмкүн болушунча качуу керек. Болбосо күчтүү алдын ала бөлүшүлгөн ачкыч тандалышы керек.

  • vEdge(config)# vpn vpn-id интерфейси ipsec саны
  • vEdge(config-ike)# режими агрессивдүү

Демейки боюнча, IKEv1 IKE ачкыч алмашуусунда Diffie-Hellman 16 тобун колдонот. Бул топ IKE ачкыч алмашуу учурунда 4096-бит көбүрөөк модулдук экспоненциалдык (MODP) тобун колдонот. Топтун номерин 2 (1024-бит MODP үчүн), 14 (2048-бит MODP) же 15 (3072-бит MODP) кылып өзгөртө аласыз:

  • vEdge(config)# vpn vpn-id интерфейси ipsec саны
  • vEdge(config-ike)# топтун номери

Демейки боюнча, IKE ачкыч алмашуу AES-256 өркүндөтүлгөн шифрлөө стандартын CBC шифрлөөсүн HMAC-SHA1 ачкычтуу хэш билдирүүнүн аныктыгын текшерүү кодунун бүтүндүгү үчүн алгоритмин колдонот. Сиз аутентификацияны өзгөртө аласыз:

  • vEdge(config)# vpn vpn-id интерфейси ipsec саны
  • vEdge(config-ike)# шифр топтому

Аутентификация топтому төмөнкүлөрдүн бири болушу мүмкүн:

  • aes128-cbc-sha1 — AES-128 өркүндөтүлгөн шифрлөө стандарты CBC шифрлөө менен HMAC-SHA1 ачкычтуу хэш билдирүүнүн аныктыгын текшерүү кодунун бүтүндүгү үчүн алгоритми
  • aes128-cbc-sha2 — AES-128 өркүндөтүлгөн шифрлөө стандарты CBC шифрлөө менен HMAC-SHA256 ачкычтуу хэш билдирүүнүн аныктыгын текшерүү кодунун бүтүндүгү үчүн алгоритми
  • aes256-cbc-sha1—AES-256 өркүндөтүлгөн шифрлөө стандарты CBC шифрлөө менен HMAC-SHA1 ачкычтуу хэш билдирүүнүн аныктыгын текшерүү кодунун бүтүндүгү үчүн алгоритми; бул демейки болуп саналат.
  • aes256-cbc-sha2 — AES-256 өркүндөтүлгөн шифрлөө стандарты CBC шифрлөө менен HMAC-SHA256 ачкычтуу хэш билдирүүнүн аныктыгын текшерүү кодунун бүтүндүгү үчүн алгоритми

Демейки боюнча, IKE ачкычтары ар 1 саат сайын (3600 секунд) жаңыланып турат. Сиз кайра киргизүү аралыгын 30 секунддан 14 күнгө чейинки мааниге өзгөртө аласыз (1209600 секунд). Кайталоо аралыгы 1 сааттан кем эмес болушу сунушталат.

  • vEdge(config)# vpn vpn-id интерфейси ipsec саны сыяктуу
  • vEdge(config-ike)# кайра ачкыч секунд

IKE сеансы үчүн жаңы ачкычтарды чыгарууга мажбурлоо үчүн ipsec ike-rekey талабын бериңиз.

  • vEdge(config)# vpn vpn-id интерфейсиипсек саны окшош

IKE үчүн сиз ошондой эле алдын ала бөлүшүлгөн ачкычтын (PSK) аутентификациясын конфигурациялай аласыз:

  • vEdge(config)# vpn vpn-id интерфейси ipsec саны
  • vEdge(config-ike)# аутентификация тибиндеги алдын ала бөлүшүлгөн ачкыч алдын ала бөлүшүлгөн сырсөз сырсөз - бул алдын ала бөлүшүлгөн ачкыч менен колдонуу үчүн сырсөз. Бул ASCII же 1ден 127 белгиге чейинки он алтылык сап болушу мүмкүн.

Эгер алыскы IKE теңдеши жергиликтүү же алыскы ID талап кылса, сиз бул идентификаторду конфигурациялай аласыз:

  • vEdge(config)# vpn vpn-id интерфейси ipsec саны ike аутентификация түрү
  • vEdge(конфигурация-аныктыгын текшерүү түрү)# жергиликтүү ID ID
  • vEdge(конфигурация-аныктыгын текшерүү түрү)# алыскы ID ID

Идентификатор IP дареги же 1ден 63 белгиге чейинки ар кандай текст саптары болушу мүмкүн. Демейки боюнча, жергиликтүү ID туннелдин булак IP дареги, ал эми алыскы ID туннелдин көздөгөн IP дареги болуп саналат.

IKE 2-версиясын иштетүү
IKE 2-версиясын колдонуу үчүн IPsec туннелин конфигурациялаганыңызда, IKEv2 үчүн демейки боюнча төмөнкү касиеттер да иштетилет:

  • Аутентификация жана шифрлөө — AES-256 өркүндөтүлгөн шифрлөө стандарты CBC шифрлөө менен HMAC-SHA1 ачкычтуу хэш билдирүүнүн аныктыгын текшерүү кодунун бүтүндүгү үчүн алгоритми
  • Диффи-Хелман тобунун номери — 16
  • Кайталоо убакыт аралыгы — 4 саат

Демейки боюнча, IKEv2 IKE ачкыч алмашуусунда Diffie-Hellman 16 тобун колдонот. Бул топ IKE ачкыч алмашуу учурунда 4096-бит көбүрөөк модулдук экспоненциалдык (MODP) тобун колдонот. Топтун номерин 2 (1024-бит MODP үчүн), 14 (2048-бит MODP) же 15 (3072-бит MODP) кылып өзгөртө аласыз:

  • vEdge(config)# vpn vpn-id интерфейси ipsecnumber ike
  • vEdge(config-ike)# топтун номери

Демейки боюнча, IKE ачкыч алмашуу AES-256 өркүндөтүлгөн шифрлөө стандартын CBC шифрлөөсүн HMAC-SHA1 ачкычтуу хэш билдирүүнүн аныктыгын текшерүү кодунун бүтүндүгү үчүн алгоритмин колдонот. Сиз аутентификацияны өзгөртө аласыз:

  • vEdge(config)# vpn vpn-id интерфейси ipsecnumber ike
  • vEdge(config-ike)# шифр топтому

Аутентификация топтому төмөнкүлөрдүн бири болушу мүмкүн:

  • aes128-cbc-sha1 — AES-128 өркүндөтүлгөн шифрлөө стандарты CBC шифрлөө менен HMAC-SHA1 ачкычтуу хэш билдирүүнүн аныктыгын текшерүү кодунун бүтүндүгү үчүн алгоритми
  • aes128-cbc-sha2 — AES-128 өркүндөтүлгөн шифрлөө стандарты CBC шифрлөө менен HMAC-SHA256 ачкычтуу хэш билдирүүнүн аныктыгын текшерүү кодунун бүтүндүгү үчүн алгоритми
  • aes256-cbc-sha1—AES-256 өркүндөтүлгөн шифрлөө стандарты CBC шифрлөө менен HMAC-SHA1 ачкычтуу хэш билдирүүнүн аныктыгын текшерүү кодунун бүтүндүгү үчүн алгоритми; бул демейки болуп саналат.
  • aes256-cbc-sha2 — AES-256 өркүндөтүлгөн шифрлөө стандарты CBC шифрлөө менен HMAC-SHA256 ачкычтуу хэш билдирүүнүн аныктыгын текшерүү кодунун бүтүндүгү үчүн алгоритми

Демейки боюнча, IKE баскычтары ар 4 саат сайын (14,400 30 секунд) жаңыланып турат. Сиз кайра киргизүү аралыгын 14 секунддан 1209600 күнгө чейинки мааниге өзгөртө аласыз (XNUMX секунд):

  • vEdge(config)# vpn vpn-id интерфейси ipsecnumber ike
  • vEdge(config-ike)# кайра ачкыч секунд

IKE сеансы үчүн жаңы ачкычтарды чыгарууга мажбурлоо үчүн ipsec ike-rekey талабын бериңиз. IKE үчүн сиз ошондой эле алдын ала бөлүшүлгөн ачкычтын (PSK) аутентификациясын конфигурациялай аласыз:

  • vEdge(config)# vpn vpn-id интерфейси ipsecnumber ike
  • vEdge(config-ike)# аутентификация тибиндеги алдын ала бөлүшүлгөн ачкыч алдын ала бөлүшүлгөн сырсөз сырсөз - бул алдын ала бөлүшүлгөн ачкыч менен колдонуу үчүн сырсөз. Бул ASCII же он алтылык сап болушу мүмкүн, же AES-шифрленген ачкыч болушу мүмкүн. Эгер алыскы IKE теңдеши жергиликтүү же алыскы ID талап кылса, сиз бул идентификаторду конфигурациялай аласыз:
  • vEdge(config)# vpn vpn-id интерфейси ipsecnumber ike аутентификация түрү
  • vEdge(конфигурация-аныктыгын текшерүү түрү)# жергиликтүү ID ID
  • vEdge(конфигурация-аныктыгын текшерүү түрү)# алыскы ID ID

Идентификатор IP дареги же 1ден 64 белгиге чейинки ар кандай текст саптары болушу мүмкүн. Демейки боюнча, жергиликтүү ID туннелдин булак IP дареги, ал эми алыскы ID туннелдин көздөгөн IP дареги болуп саналат.

IPsec туннелинин параметрлерин конфигурациялаңыз

4-таблица: Функция тарыхы

Өзгөчөлүк аты Чыгаруу маалыматы Description
Кошумча криптографиялык Cisco SD-WAN чыгаруу 20.1.1 Бул өзгөчөлүк үчүн колдоо кошот
IPSec үчүн алгоритмдик колдоо   HMAC_SHA256, HMAC_SHA384 жана
Туннелдер   үчүн HMAC_SHA512 алгоритмдери
    күчөтүлгөн коопсуздук.

Демейки боюнча, төмөнкү параметрлер IKE трафигин ташыган IPsec туннелинде колдонулат:

  • Аутентификация жана шифрлөө — GCMдеги AES-256 алгоритми (Галуа/эсептөө режими)
  • Кайталоо аралыгы — 4 саат
  • Кайра ойнотуу терезеси — 32 пакет

Сиз IPsec туннелиндеги шифрлөөнү CBCдеги AES-256 шифрине өзгөртө аласыз (шифрдик блоктордун чынжырчалуу режими, HMAC менен SHA-1 же SHA-2 ачкычтуу хэш билдирүүнүн аныктыгын текшерүү же HMAC менен SHA-1 же болбосо нөлгө IKE ачкыч алмашуу трафиги үчүн колдонулган IPsec туннелин шифрлебөө үчүн SHA-2 ачкычтуу хэш билдирүү аутентификациясы:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# шифр топтому (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-1sha | aes256-null-sha256 | aes256-null-sha384)

Демейки боюнча, IKE баскычтары ар 4 саат сайын (14,400 30 секунд) жаңыланып турат. Сиз кайра киргизүү аралыгын 14 секунддан 1209600 күнгө чейинки мааниге өзгөртө аласыз (XNUMX секунд):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# кайра ачкыч секунд

IPsec туннели үчүн жаңы ачкычтарды чыгарууга мажбурлоо үчүн, ipsec ipsec-rekey буйругун бериңиз. Демейки боюнча, келечектеги ачкычтар бузулуп калса, мурунку сеанстарга таасир этпеши үчүн, IPsec туннелдеринде алдыга идеалдуу жашыруун сыр (PFS) иштетилген. PFS жаңы Diffie-Hellman ачкыч алмашуусун мажбурлайт, демейки боюнча 4096-бит Diffie-Hellman негизги модулдук тобун колдонуу менен. Сиз PFS жөндөөлөрүн өзгөртө аласыз:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# эң сонун алдыга-жашыруун pfs-жөндөө

pfs орнотуулары төмөнкүлөрдүн бири болушу мүмкүн:

  • group-2 — 1024 биттик Diffie-Hellman негизги модулдук тобун колдонуңуз.
  • group-14 — 2048 биттик Diffie-Hellman негизги модулдук тобун колдонуңуз.
  • group-15 — 3072 биттик Diffie-Hellman негизги модулдук тобун колдонуңуз.
  • group-16 — 4096 биттик Diffie-Hellman негизги модулдук тобун колдонуңуз. Бул демейки болуп саналат.
  • эч ким — PFSди өчүрүү.

Демейки боюнча, IPsec туннелиндеги IPsec кайра ойнотуу терезеси 512 байт. Сиз кайра ойнотуу терезесинин өлчөмүн 64, 128, 256, 512, 1024, 2048 же 4096 пакеттерге орното аласыз:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# кайра ойнотуу терезесинин номери

IKE Dead-Peer Detection функциясын өзгөртүү

IKE IKE теңдеши менен туташуу функционалдык жана жеткиликтүү экендигин аныктоо үчүн өлүк теңдештерди аныктоо механизмин колдонот. Бул механизмди ишке ашыруу үчүн, IKE өзүнүн теңдешине Hello пакетин жөнөтөт, ал эми курбу жооп катары ырастоо жөнөтөт. Демейки боюнча, IKE ар бир 10 секунд сайын Hello пакеттерин жөнөтөт жана үч таанылбаган пакеттен кийин IKE кошунасын өлдү деп жарыялап, туннелди теңтушуна бузду. Андан кийин, IKE мезгил-мезгили менен кесиптешине Hello пакетин жөнөтөт жана теңтуш онлайнга келгенде туннелди кайра орнотот. Сиз жандуулукту аныктоо аралыгын 0дөн 65535ке чейинки мааниге өзгөртө аласыз жана кайра аракет кылуулардын санын 0дөн 255ке чейинки мааниге өзгөртө аласыз.

Эскертүү

Транспорттук VPN'дер үчүн жандуулукту аныктоо аралыгы төмөнкү формуланы колдонуу менен секундага айландырылат: Кайра жөнөтүү аракети үчүн интервал N = интервал * 1.8N-1 Мурунample, эгерде интервал 10 деп коюлса жана 5ке кайра аракет кылса, аныктоо аралыгы төмөнкүдөй көбөйөт:

  • 1 аракет: 10 * 1.81-1= 10 секунд
  • аракет 2: 10 * 1.82-1= 18 секунд
  • аракет 3: 10 * 1.83-1= 32.4 секунд
  • аракет 4: 10 * 1.84-1= 58.32 секунд
  • аракет 5: 10 * 1.85-1= 104.976 секунд

vEdge(config-interface-ipsecnumber)# өлүк теңдешти аныктоо аралыгы кайра аракет саны

Башка интерфейс касиеттерин конфигурациялаңыз

IPsec туннелинин интерфейстери үчүн сиз төмөнкү кошумча интерфейс касиеттерин гана конфигурациялай аласыз:

  • vEdge(config-interface-ipsec)# mtu байт
  • vEdge(config-interface-ipsec)# tcp-mss-түздөө байттары

Cisco SD-WAN менеджеринде алсыз SSH шифрлөө алгоритмдерин өчүрүү

5-таблица: Функция тарыхы таблицасы

Өзгөчөлүк аты Чыгаруу маалыматы Өзгөчөлүк Description
Cisco SD-WAN менеджеринде алсыз SSH шифрлөө алгоритмдерин өчүрүү Cisco vManage Release 20.9.1 Бул өзгөчөлүк сизге Cisco SD-WAN менеджериндеги алсызыраак SSH алгоритмдерин өчүрүүгө мүмкүндүк берет, алар белгилүү бир маалымат коопсуздугунун стандарттарына туура келбеши мүмкүн.

Cisco SD-WAN менеджеринде алсыз SSH шифрлөө алгоритмдерин өчүрүү жөнүндө маалымат
Cisco SD-WAN менеджери тармактагы компоненттер, анын ичинде контроллерлор жана четки түзмөктөр менен байланышуу үчүн SSH кардарын камсыз кылат. SSH кардары ар кандай шифрлөө алгоритмдеринин негизинде коопсуз маалыматтарды берүү үчүн шифрленген байланышты камсыз кылат. Көптөгөн уюмдар SHA-1, AES-128 жана AES-192 тарабынан берилгенге караганда күчтүүрөөк шифрлөөнү талап кылат. Cisco vManage Release 20.9.1ден, SSH кардары бул алгоритмдерди колдонбошу үчүн төмөнкү алсызыраак шифрлөө алгоритмдерин өчүрө аласыз:

  • SHA-1
  • AES-128
  • AES-192

Бул шифрлөө алгоритмдерин өчүрүүдөн мурун, Cisco vEdge түзмөктөрү, эгер бар болсо, тармакта, Cisco SD-WAN Release 18.4.6.дан кечирээк программалык чыгарууну колдонуп жатканын текшериңиз.

Cisco SD-WAN менеджериндеги начар SSH шифрлөө алгоритмдерин өчүрүүнүн артыкчылыктары
Алсызыраак SSH шифрлөө алгоритмдерин өчүрүү SSH байланышынын коопсуздугун жакшыртат жана Cisco Catalyst SD-WAN колдонгон уюмдар катуу коопсуздук эрежелерине шайкеш келишин камсыздайт.

CLI колдонуу менен Cisco SD-WAN менеджеринде алсыз SSH шифрлөө алгоритмдерин өчүрүңүз

  1. Cisco SD-WAN менеджери менюсунан Tools > SSH Terminal тандаңыз.
  2. Алсызыраак SSH алгоритмдерин өчүргүңүз келген Cisco SD-WAN Manager түзмөгүн тандаңыз.
  3. Аппаратка кирүү үчүн колдонуучу атын жана паролду киргизиңиз.
  4. SSH сервер режимине кириңиз.
    • vmanage(config)# системасы
    • vmanage(config-системасы)# ssh-сервер
  5. SSH шифрлөө алгоритмин өчүрүү үчүн төмөнкүлөрдүн бирин аткарыңыз:
    • SHA-1ди өчүрүү:
  6. башкаруу(config-ssh-server)# kex-algo sha1 жок
  7. башкаруу(config-ssh-server)# аткаруу
    Төмөнкү эскертүү билдирүүсү көрсөтүлөт: Төмөнкү эскертүүлөр түзүлдү: 'системасы ssh-server kex-algo sha1': ЭСКЕРТҮҮ: Бардык четтериңизде vManage менен SHA18.4.6ге караганда жакшыраак иштеген код версиясы > 1 экенин текшериңиз. Болбосо, ал четтер оффлайн болуп калышы мүмкүн. Улантасызбы? [ооба, жок] ооба
    • Тармактагы бардык Cisco vEdge түзмөктөрү Cisco SD-WAN Release 18.4.6 же андан кийинки версиясында иштеп жатканын текшерип, ооба деп киргизиңиз.
    • AES-128 жана AES-192ди өчүрүү:
    • vmanage(config-ssh-server)# aes-128-192 шифри жок
    • vmanage(config-ssh-server)# аткаруу
      Төмөнкү эскертүү билдирүүсү көрсөтүлөт:
      Төмөнкү эскертүүлөр түзүлдү:
      'sistem ssh-server cipher aes-128-192': ЭСКЕРТҮҮ: Бардык четтериңизде vManage менен AES-18.4.6-128ге караганда жакшыраак иштеген код версиясы > 192 экенин текшериңиз. Болбосо, ал четтер оффлайн болуп калышы мүмкүн. Улантасызбы? [ооба, жок] ооба
    • Тармактагы бардык Cisco vEdge түзмөктөрү Cisco SD-WAN Release 18.4.6 же андан кийинки версиясында иштеп жатканын текшерип, ооба деп киргизиңиз.

CLI аркылуу Cisco SD-WAN менеджеринде начар SSH шифрлөө алгоритмдери өчүрүлгөнүн текшериңиз

  1. Cisco SD-WAN менеджери менюсунан Tools > SSH Terminal тандаңыз.
  2. Текшергиңиз келген Cisco SD-WAN Manager түзмөгүн тандаңыз.
  3. Аппаратка кирүү үчүн колдонуучу атын жана паролду киргизиңиз.
  4. Төмөнкү буйрукту иштетиңиз: show running-config system ssh-server
  5. Чыгуу алсызыраак шифрлөө алгоритмдерин өчүргөн бир же бир нече буйруктарды көрсөткөнүн ырастаңыз:
    • aes-128-192 шифри жок
    • жок кекс-алго ша1

Документтер / Ресурстар

CISCO SD-WAN Коопсуздук Параметрлерин конфигурациялайт [pdf] Колдонуучунун колдонмосу
SD-WAN Коопсуздук Параметрлерин конфигурациялоо, SD-WAN, Коопсуздук Параметрлерин Конфигурациялоо, Коопсуздук Параметрлерин

Шилтемелер

Комментарий калтырыңыз

Сиздин электрондук почта дарегиңиз жарыяланбайт. Талап кылынган талаалар белгиленген *