CISCO SD-WAN ກຳນົດຄ່າພາລາມິເຕີຄວາມປອດໄພ ຄູ່ມືຜູ້ໃຊ້

ເພື່ອບັນລຸຄວາມງ່າຍດາຍແລະຄວາມສອດຄ່ອງ, ການແກ້ໄຂ Cisco SD-WAN ໄດ້ຖືກປ່ຽນຊື່ເປັນ Cisco Catalyst SD-WAN. ນອກຈາກນັ້ນ, ຈາກ Cisco IOS XE SD-WAN Release 17.12.1a ແລະ Cisco Catalyst SD-WAN Release 20.12.1, ການປ່ຽນແປງອົງປະກອບຕໍ່ໄປນີ້ແມ່ນໃຊ້ໄດ້: Cisco vManage to Cisco Catalyst SD-WAN Manager, Cisco vAnalytics to Cisco Catalyst SD-WAN Analytics, Cisco vBond ກັບ Cisco Catalyst SD-WAN Validator, ແລະ Cisco vSmart ກັບ Cisco Catalyst SD-WAN Controller. ເບິ່ງບັນທຶກການປ່ອຍຫລ້າສຸດສໍາລັບບັນຊີລາຍຊື່ທີ່ສົມບູນແບບຂອງການປ່ຽນແປງຊື່ຍີ່ຫໍ້ອົງປະກອບທັງຫມົດ. ໃນຂະນະທີ່ພວກເຮົາປ່ຽນໄປຫາຊື່ໃຫມ່, ບາງຄວາມບໍ່ສອດຄ່ອງອາດຈະມີຢູ່ໃນເອກະສານທີ່ກໍານົດໄວ້ເນື່ອງຈາກວິທີການເປັນຂັ້ນຕອນຂອງການອັບເດດສ່ວນຕິດຕໍ່ຜູ້ໃຊ້ຂອງຜະລິດຕະພັນຊອບແວ.

ພາກນີ້ອະທິບາຍວິທີການປ່ຽນຕົວກໍານົດຄວາມປອດໄພສໍາລັບຍົນຄວບຄຸມແລະຍົນຂໍ້ມູນໃນ Cisco Catalyst SD-WAN overlay network.

ຕັ້ງຄ່າພາຣາມີເຕີຄວາມປອດໄພຂອງຍົນຄວບຄຸມ, ເປີດ

ຕັ້ງຄ່າພາຣາມີເຕີຄວາມປອດໄພຂອງຍົນຂໍ້ມູນ, ເປີດ
ຕັ້ງຄ່າ IKE-Enabled IPsec Tunnels, ເປີດ

ປິດການນຳໃຊ້ລະບົບການເຂົ້າລະຫັດ SSH ທີ່ອ່ອນແອຢູ່ໃນຕົວຈັດການ Cisco SD-WAN, ເປີດ

ກຳນົດຄ່າພາຣາມີເຕີຄວາມປອດໄພຂອງຍົນຄວບຄຸມ

ໂດຍຄ່າເລີ່ມຕົ້ນ, ຍົນຄວບຄຸມຈະໃຊ້ DTLS ເປັນໂປຣໂຕຄໍທີ່ໃຫ້ຄວາມເປັນສ່ວນຕົວໃນອຸໂມງທັງໝົດຂອງມັນ. DTLS ແລ່ນຜ່ານ UDP. ທ່ານສາມາດປ່ຽນໂປໂຕຄອນຄວາມປອດໄພຍົນຄວບຄຸມເປັນ TLS, ເຊິ່ງແລ່ນຜ່ານ TCP. ເຫດຜົນຕົ້ນຕໍທີ່ຈະໃຊ້ TLS ແມ່ນວ່າ, ຖ້າທ່ານພິຈາລະນາ Cisco SD-WAN Controller ເປັນເຄື່ອງແມ່ຂ່າຍ, firewalls ປົກປ້ອງເຄື່ອງແມ່ຂ່າຍ TCP ດີກວ່າເຄື່ອງແມ່ຂ່າຍ UDP. ທ່ານກຳນົດຄ່າໂປຣໂຕຄອນອຸໂມງຍົນຄວບຄຸມຢູ່ໃນຕົວຄວບຄຸມ Cisco SD-WAN: vSmart(config)# ໂປຣໂຕຄອນຄວບຄຸມຄວາມປອດໄພ tls ດ້ວຍການປ່ຽນແປງນີ້, ທຸກໆອຸໂມງຍົນຄວບຄຸມລະຫວ່າງ Cisco SD-WAN Controller ກັບເຣົາເຕີ ແລະລະຫວ່າງຕົວຄວບຄຸມ Cisco SD-WAN. ແລະ Cisco SD-WAN Manager ໃຊ້ TLS. ຄວບຄຸມອຸໂມງຍົນໄປຫາ Cisco Catalyst SD-WAN Validator ໃຊ້ DTLS ສະເໝີ, ເພາະວ່າການເຊື່ອມຕໍ່ເຫຼົ່ານີ້ຕ້ອງຖືກຈັດການໂດຍ UDP. ຢູ່ໃນໂດເມນທີ່ມີຕົວຄວບຄຸມ Cisco SD-WAN ຫຼາຍອັນ, ເມື່ອທ່ານຕັ້ງຄ່າ TLS ໃນໜຶ່ງໃນຕົວຄວບຄຸມ Cisco SD-WAN, ອຸໂມງຍົນຄວບຄຸມທັງໝົດຈາກຕົວຄວບຄຸມນັ້ນໄປຫາຕົວຄວບຄຸມອື່ນໃຊ້ TLS. ເວົ້າອີກຢ່າງ ໜຶ່ງ, TLS ມີຄວາມສຳຄັນກວ່າ DTLS ສະເໝີ. ຢ່າງໃດກໍຕາມ, ຈາກທັດສະນະຂອງ Cisco SD-WAN Controllers ອື່ນໆ, ຖ້າທ່ານບໍ່ໄດ້ຕັ້ງຄ່າ TLS ຢູ່ໃນພວກມັນ, ພວກເຂົາໃຊ້ TLS ໃນອຸໂມງຂອງຍົນຄວບຄຸມພຽງແຕ່ຫນຶ່ງ Cisco SD-WAN Controller, ແລະພວກເຂົາໃຊ້ອຸໂມງ DTLS ໄປຫາບ່ອນອື່ນທັງຫມົດ. Cisco SD-WAN Controllers ແລະຕໍ່ທຸກ router ທີ່ເຊື່ອມຕໍ່ຂອງເຂົາເຈົ້າ. ເພື່ອໃຫ້ທຸກ Cisco SD-WAN Controllers ໃຊ້ TLS, ຕັ້ງຄ່າມັນຢູ່ໃນພວກມັນທັງໝົດ. ໂດຍຄ່າເລີ່ມຕົ້ນ, Cisco SD-WAN Controller ຟັງຢູ່ໃນຜອດ 23456 ສໍາລັບການຮ້ອງຂໍ TLS. ເພື່ອປ່ຽນອັນນີ້: vSmart(config)# ໝາຍເລກຄວບຄຸມຄວາມປອດໄພ tls-port ພອດສາມາດເປັນຕົວເລກຈາກ 1025 ຫາ 65535. ເພື່ອສະແດງຂໍ້ມູນຄວາມປອດໄພຂອງຍົນຄວບຄຸມ, ໃຫ້ໃຊ້ຄຳສັ່ງສະແດງການຄວບຄຸມການເຊື່ອມຕໍ່ຢູ່ໃນ Cisco SD-WAN Controller. ຕົວຢ່າງample: vSmart-2# ສະແດງການເຊື່ອມຕໍ່ຄວບຄຸມ

ຕັ້ງຄ່າ DTLS ໃນ Cisco SD-WAN Manager

ຖ້າທ່ານຕັ້ງຄ່າຕົວຈັດການ Cisco SD-WAN ເພື່ອໃຊ້ TLS ເປັນໂປໂຕຄອນຄວາມປອດໄພຍົນຄວບຄຸມ, ທ່ານຕ້ອງເປີດໃຊ້ການສົ່ງຕໍ່ພອດໃນ NAT ຂອງທ່ານ. ຖ້າທ່ານກໍາລັງໃຊ້ DTLS ເປັນໂປໂຕຄອນຄວາມປອດໄພຂອງຍົນຄວບຄຸມ, ທ່ານບໍ່ຈໍາເປັນຕ້ອງເຮັດຫຍັງ. ຈໍານວນຂອງພອດສົ່ງຕໍ່ແມ່ນຂຶ້ນກັບຈໍານວນຂອງຂະບວນການ vdaemon ແລ່ນຢູ່ໃນ Cisco SD-WAN Manager. ເພື່ອສະແດງຂໍ້ມູນກ່ຽວກັບຂະບວນການເຫຼົ່ານີ້ແລະກ່ຽວກັບແລະຈໍານວນຂອງພອດທີ່ກໍາລັງສົ່ງຕໍ່, ໃຊ້ຄໍາສັ່ງສະຫຼຸບສະແດງການຄວບຄຸມສະແດງໃຫ້ເຫັນວ່າສີ່ຂະບວນການ daemon ກໍາລັງແລ່ນ:

ເພື່ອເບິ່ງພອດການຟັງ, ໃຫ້ໃຊ້ຄໍາສັ່ງ show control local-properties: vManage# show control local-properties

ຜົນໄດ້ຮັບນີ້ສະແດງໃຫ້ເຫັນວ່າພອດ TCP ຟັງແມ່ນ 23456. ຖ້າທ່ານກໍາລັງແລ່ນ Cisco SD-WAN Manager ຢູ່ຫລັງ NAT, ທ່ານຄວນເປີດພອດຕໍ່ໄປນີ້ຢູ່ໃນອຸປະກອນ NAT:

23456 (ຖານ – instance 0 port)

23456 + 100 (ຖານ + 100)
23456 + 200 (ຖານ + 200)

23456 + 300 (ຖານ + 300)

ໃຫ້ສັງເກດວ່າຈໍານວນຂອງ instances ແມ່ນຄືກັນກັບຈໍານວນຂອງ cores ທີ່ທ່ານໄດ້ມອບຫມາຍສໍາລັບ Cisco SD-WAN Manager, ສູງສຸດຂອງ 8.

ຕັ້ງຄ່າພາລາມິເຕີຄວາມປອດໄພໂດຍໃຊ້ແມ່ແບບຄຸນສົມບັດຄວາມປອດໄພ

ໃຊ້ແມ່ແບບຄຸນສົມບັດຄວາມປອດໄພສຳລັບອຸປະກອນ Cisco vEdge ທັງໝົດ. ໃນເຣົາເຕີຂອບ ແລະໃນ Cisco SD-WAN Validator, ໃຊ້ແມ່ແບບນີ້ເພື່ອປັບຄ່າ IPsec ສໍາລັບຄວາມປອດໄພຂອງຍົນຂໍ້ມູນ. ໃນ Cisco SD-WAN Manager ແລະ Cisco SD-WAN Controller, ໃຊ້ແມ່ແບບຄຸນສົມບັດຄວາມປອດໄພເພື່ອກໍານົດ DTLS ຫຼື TLS ສໍາລັບການຄວບຄຸມຄວາມປອດໄພຂອງຍົນ.

ຕັ້ງຄ່າພາລາມິເຕີຄວາມປອດໄພ

ຈາກ Cisco SD-WAN Manager ເມນູ, ເລືອກການຕັ້ງຄ່າ > ແມ່ແບບ.

ກົດ Feature Templates ແລະຫຼັງຈາກນັ້ນໃຫ້ຄລິກໃສ່ Add Template.
ໝາຍເຫດ ໃນ Cisco vManage Release 20.7.1 ແລະລຸ້ນກ່ອນໜ້ານີ້, Feature Templates ເອີ້ນວ່າ Feature.
ຈາກລາຍການອຸປະກອນໃນແຖບດ້ານຊ້າຍ, ເລືອກອຸປະກອນ. ແມ່ແບບທີ່ໃຊ້ໄດ້ກັບອຸປະກອນທີ່ເລືອກຈະປາກົດຢູ່ໃນແຖບດ້ານຂວາ.

ຄລິກຄວາມປອດໄພເພື່ອເປີດແມ່ແບບ.
ໃນຊື່ແມ່ແບບພາກສະຫນາມ, ໃສ່ຊື່ສໍາລັບແມ່ແບບ. ຊື່ສາມາດມີເຖິງ 128 ຕົວອັກສອນ ແລະສາມາດມີຕົວອັກສອນທີ່ເປັນຕົວເລກ.

ໃນລາຍລະອຽດແມ່ແບບພາກສະຫນາມ, ໃສ່ຄໍາອະທິບາຍຂອງແມ່ແບບ. ຄໍາອະທິບາຍສາມາດສູງເຖິງ 2048 ຕົວອັກສອນແລະສາມາດມີພຽງແຕ່ຕົວອັກສອນທີ່ເປັນຕົວເລກ.

ເມື່ອທ່ານເປີດແມ່ແບບລັກສະນະທໍາອິດ, ສໍາລັບແຕ່ລະພາລາມິເຕີທີ່ມີຄ່າເລີ່ມຕົ້ນ, ຂອບເຂດຖືກຕັ້ງເປັນຄ່າເລີ່ມຕົ້ນ (ຊີ້ໃຫ້ເຫັນໂດຍເຄື່ອງຫມາຍຕິກ), ແລະການຕັ້ງຄ່າເລີ່ມຕົ້ນຫຼືຄ່າຈະສະແດງ. ເພື່ອປ່ຽນຄ່າເລີ່ມຕົ້ນ ຫຼືໃສ່ຄ່າໃດໜຶ່ງ, ໃຫ້ຄລິກທີ່ເມນູເລື່ອນລົງຂອບເຂດທີ່ຢູ່ດ້ານຊ້າຍຂອງຊ່ອງຂໍ້ມູນພາລາມິເຕີ ແລະເລືອກອັນໃດອັນນຶ່ງຕໍ່ໄປນີ້:

ຕາຕະລາງ 1:

ພາລາມິເຕີ ຂອບເຂດ

ລາຍລະອຽດຂອບເຂດ

ສະເພາະອຸປະກອນ (ສະແດງໂດຍໄອຄອນເຈົ້າພາບ)

ໃຊ້ຄ່າສະເພາະອຸປະກອນສຳລັບພາລາມິເຕີ. ສໍາລັບຕົວກໍານົດການສະເພາະອຸປະກອນ, ທ່ານບໍ່ສາມາດໃສ່ຄ່າໃນແມ່ແບບຄຸນນະສົມບັດ. ທ່ານໃສ່ຄ່າໃນເວລາທີ່ທ່ານແນບອຸປະກອນ Viptela ກັບແມ່ແບບອຸປະກອນ.

ເມື່ອທ່ານຄລິກໃສ່ອຸປະກອນສະເພາະ, ປ່ອງ Enter Key ເປີດ. ກ່ອງນີ້ສະແດງລະຫັດ, ເຊິ່ງເປັນສະຕຣິງທີ່ເປັນເອກະລັກທີ່ກໍານົດພາລາມິເຕີໃນ CSV file ທີ່ທ່ານສ້າງ. ນີ້ file ແມ່ນຕາຕະລາງ Excel ທີ່ປະກອບດ້ວຍຫນຶ່ງຄໍລໍາສໍາລັບແຕ່ລະກະແຈ. ແຖວຫົວປະກອບມີຊື່ຫຼັກ (ໜຶ່ງກະແຈຕໍ່ຖັນ), ແລະແຕ່ລະແຖວຫຼັງຈາກນັ້ນຈະກົງກັບອຸປະກອນໃດໜຶ່ງ ແລະກຳນົດຄ່າຂອງກະແຈສຳລັບອຸປະກອນນັ້ນ. ທ່ານອັບໂຫລດ CSV file ເມື່ອທ່ານຕິດອຸປະກອນ Viptela ກັບແມ່ແບບອຸປະກອນ. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ, ເບິ່ງ ສ້າງຕາຕະລາງຕົວແປຂອງແມ່ແບບ.

ເພື່ອປ່ຽນລະຫັດເລີ່ມຕົ້ນ, ພິມສະຕຣິງໃໝ່ ແລະຍ້າຍຕົວກະພິບອອກຈາກປ່ອງ Enter Key.

Exampຕົວກໍານົດການສະເພາະອຸປະກອນແມ່ນທີ່ຢູ່ IP ຂອງລະບົບ, ຊື່ເຈົ້າພາບ, ສະຖານທີ່ GPS, ແລະ ID ສະຖານທີ່.

ພາລາມິເຕີ ຂອບເຂດ

ລາຍລະອຽດຂອບເຂດ

ທົ່ວໂລກ (ສະແດງໂດຍໄອຄອນໂລກ)

ໃສ່ຄ່າສໍາລັບພາລາມິເຕີ, ແລະນໍາໃຊ້ຄ່ານັ້ນກັບອຸປະກອນທັງຫມົດ.

Examples ຂອງພາລາມິເຕີທີ່ທ່ານອາດຈະນໍາໃຊ້ໃນທົ່ວໂລກກັບກຸ່ມຂອງອຸປະກອນແມ່ນ DNS server, syslog server, ແລະ interface MTUs.

ຕັ້ງຄ່າຄວາມປອດໄພຂອງຍົນຄວບຄຸມ

ໝາຍເຫດ
ພາກສ່ວນ Configure Control Plane Security ນຳໃຊ້ກັບ Cisco SD-WAN Manager ແລະ Cisco SD-WAN Controller ເທົ່ານັ້ນ. ເພື່ອກຳນົດຄ່າໂປຣໂຕຄໍການເຊື່ອມຕໍ່ຍົນຄວບຄຸມຢູ່ໃນຕົວຢ່າງ Cisco SD-WAN Manager ຫຼື Cisco SD-WAN Controller, ເລືອກພື້ນທີ່ການຕັ້ງຄ່າພື້ນຖານ. ແລະຕັ້ງຄ່າພາລາມິເຕີຕໍ່ໄປນີ້:

ຕາຕະລາງ 2:

ພາລາມິເຕີ ຊື່

ລາຍລະອຽດ

ພິທີການ

ເລືອກໂປຣໂຕຄໍເພື່ອໃຊ້ໃນການເຊື່ອມຕໍ່ຍົນຄວບຄຸມກັບ Cisco SD-WAN Controller:

• DTLS (ດtagram ຄວາມປອດໄພຊັ້ນການຂົນສົ່ງ). ນີ້ແມ່ນຄ່າເລີ່ມຕົ້ນ.

• TLS (ຄວາມປອດໄພຊັ້ນການຂົນສົ່ງ)

ຄວບຄຸມພອດ TLS

ຖ້າທ່ານເລືອກ TLS, ຕັ້ງຄ່າໝາຍເລກພອດເພື່ອໃຊ້:ຊ່ວງ: 1025 ຫາ 65535ຄ່າເລີ່ມຕົ້ນ: 23456

ກົດ Save

ຕັ້ງຄ່າຄວາມປອດໄພຂອງຍົນຂໍ້ມູນ
ເພື່ອຕັ້ງຄ່າຄວາມປອດໄພຂອງຍົນຂໍ້ມູນຢູ່ໃນ Cisco SD-WAN Validator ຫຼືເຣົາເຕີ Cisco vEdge, ເລືອກແຖບການຕັ້ງຄ່າພື້ນຖານ ແລະປະເພດການພິສູດຢືນຢັນ, ແລະກຳນົດຄ່າພາລາມິເຕີຕໍ່ໄປນີ້:

ຕາຕະລາງ 3:

ພາລາມິເຕີ ຊື່	ລາຍລະອຽດ
ເວລາ Rekey	ລະບຸວ່າເຣົາເຕີ Cisco vEdge ປ່ຽນແປງກະແຈ AES ທີ່ໃຊ້ໃນການເຊື່ອມຕໍ່ DTLS ທີ່ປອດໄພຂອງມັນຕໍ່ກັບ Cisco SD-WAN Controller ເລື້ອຍໆສໍ່າໃດ. ຖ້າ OMP restart ທີ່ສວຍງາມຖືກເປີດໃຊ້, ເວລາ rekeying ຕ້ອງມີຢ່າງຫນ້ອຍສອງເທົ່າຂອງມູນຄ່າ OMP timer restart ທີ່ສວຍງາມ.ຊ່ວງ: 10 ເຖິງ 1209600 ວິນາທີ (14 ມື້)ຄ່າເລີ່ມຕົ້ນ: 86400 ວິນາທີ (24 ຊົ່ວໂມງ)
Replay Window	ລະບຸຂະຫນາດຂອງປ່ອງຢ້ຽມ replay ເລື່ອນໄດ້. ຄ່າ: 64, 128, 256, 512, 1024, 2048, 4096, 8192 ແພັກເກັດຄ່າເລີ່ມຕົ້ນ: 512 ຊອງ
IPsec ຄີຄູ່	ອັນນີ້ຖືກປິດໄວ້ເປັນຄ່າເລີ່ມຕົ້ນ. ກົດ On ເພື່ອເປີດມັນ.

ພາລາມິເຕີ ຊື່

ລາຍລະອຽດ

ປະເພດການຢັ້ງຢືນ

ເລືອກປະເພດການກວດສອບຈາກ ການຢືນຢັນ ລາຍການ, ແລະຄລິກລູກສອນຊີ້ຂວາເພື່ອຍ້າຍປະເພດການພິສູດຢືນຢັນໄປຫາ ລາຍຊື່ທີ່ເລືອກ ຖັນ.

ປະເພດການພິສູດຢືນຢັນທີ່ຮອງຮັບຈາກ Cisco SD-WAN Release 20.6.1:

• esp: ເປີດໃຊ້ການເຂົ້າລະຫັດລັບ Encapsulating Security Payload (ESP) ແລະການກວດສອບຄວາມສົມບູນຢູ່ໃນສ່ວນຫົວ ESP.

• ip-udp-esp: ເປີດໃຊ້ການເຂົ້າລະຫັດ ESP. ນອກເໜືອໄປຈາກການກວດສອບຄວາມຊື່ສັດໃນສ່ວນຫົວຂອງ ESP ແລະ payload, ການກວດສອບຍັງປະກອບມີ IP ແລະຫົວ UDP ພາຍນອກ.

• ip-udp-esp-no-id: ບໍ່ສົນໃຈຊ່ອງ ID ໃນສ່ວນຫົວ IP ເພື່ອໃຫ້ Cisco Catalyst SD-WAN ສາມາດເຮັດວຽກຮ່ວມກັນກັບອຸປະກອນທີ່ບໍ່ແມ່ນ Cisco.

• ບໍ່ມີ: ປິດການກວດສອບຄວາມສົມບູນຢູ່ແພັກເກັດ IPSec. ພວກເຮົາບໍ່ແນະນໍາໃຫ້ໃຊ້ທາງເລືອກນີ້.

ປະເພດການພິສູດຢືນຢັນທີ່ຮອງຮັບໃນ Cisco SD-WAN Release 20.5.1 ແລະກ່ອນໜ້ານັ້ນ:

• ah-no-id: ເປີດໃຊ້ເວີຊັນປັບປຸງຂອງ AH-SHA1 HMAC ແລະ ESP HMAC-SHA1 ທີ່ບໍ່ສົນໃຈຊ່ອງ ID ໃນສ່ວນຫົວ IP ດ້ານນອກຂອງແພັກເກັດ.

• ah-sha1-hmac: ເປີດໃຊ້ AH-SHA1 HMAC ແລະ ESP HMAC-SHA1.

• ບໍ່ມີ: ເລືອກບໍ່ມີການຢືນຢັນ.

• sha1-hmac: ເປີດໃຊ້ ESP HMAC-SHA1.

ໝາຍເຫດ ສຳລັບອຸປະກອນຂອບທີ່ແລ່ນຢູ່ໃນ Cisco SD-WAN Release 20.5.1 ຫຼືກ່ອນໜ້ານັ້ນ, ທ່ານອາດຈະໄດ້ກຳນົດຄ່າການພິສູດຢືນຢັນແບບນຳໃຊ້ ຄວາມປອດໄພ ແມ່ແບບ. ເມື່ອທ່ານອັບເກຣດອຸປະກອນເປັນ Cisco SD-WAN Release 20.6.1 ຫຼືໃໝ່ກວ່ານັ້ນ, ໃຫ້ອັບເດດປະເພດການພິສູດຢືນຢັນທີ່ເລືອກໄວ້ໃນ ຄວາມປອດໄພ ແມ່ແບບໃຫ້ກັບປະເພດການພິສູດຢືນຢັນທີ່ຮອງຮັບຈາກ Cisco SD-WAN Release 20.6.1. ເພື່ອອັບເດດປະເພດການພິສູດຢືນຢັນ, ໃຫ້ເຮັດສິ່ງຕໍ່ໄປນີ້:

1. ຈາກ Cisco SD-WAN Manager ເມນູ, ເລືອກ ການຕັ້ງຄ່າ >

ແມ່ແບບ.

2. ກົດ ແມ່ແບບຄຸນສົມບັດ.

3. ຊອກຫາ ຄວາມປອດໄພ ແມ່ແບບເພື່ອອັບເດດ ແລະຄລິກ… ແລະຄລິກ ແກ້ໄຂ.

4. ກົດ ອັບເດດ. ຢ່າແກ້ໄຂການຕັ້ງຄ່າໃດໆ.

Cisco SD-WAN Manager ອັບເດດ ຄວາມປອດໄພ ແມ່ແບບເພື່ອສະແດງປະເພດການພິສູດຢືນຢັນທີ່ຮອງຮັບ.

ກົດ Save.

ກຳນົດຄ່າພາຣາມີເຕີຄວາມປອດໄພຂອງຍົນຂໍ້ມູນ

ໃນຍົນຂໍ້ມູນ, IPsec ຖືກເປີດໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນໃນທຸກເຣົາເຕີ, ແລະໂດຍຄ່າເລີ່ມຕົ້ນ ການເຊື່ອມຕໍ່ອຸໂມງ IPsec ໃຊ້ໂປຣໂຕຄໍ Encapsulating Security Payload (ESP) ສະບັບປັບປຸງສໍາລັບການພິສູດຢືນຢັນໃນອຸໂມງ IPsec. ໃນເຣົາເຕີ, ທ່ານສາມາດປ່ຽນປະເພດຂອງການພິສູດຢືນຢັນ, ຕົວຈັບເວລາ rekeying IPsec, ແລະຂະຫນາດຂອງປ່ອງຢ້ຽມຕ້ານການຫຼິ້ນຄືນ IPsec.

ກຳນົດຄ່າປະເພດການພິສູດຢືນຢັນທີ່ອະນຸຍາດ

ປະເພດການພິສູດຢືນຢັນໃນ Cisco SD-WAN Release 20.6.1 ແລະຕໍ່ມາ
ຈາກ Cisco SD-WAN Release 20.6.1, ປະເພດຄວາມສົມບູນຕໍ່ໄປນີ້ຖືກຮອງຮັບ:

esp: ຕົວເລືອກນີ້ເຮັດໃຫ້ການເຂົ້າລະຫັດລັບ Encapsulating Security Payload (ESP) ແລະການກວດສອບຄວາມຖືກຕ້ອງຢູ່ໃນສ່ວນຫົວຂອງ ESP.
ip-udp-esp: ທາງເລືອກນີ້ເປີດໃຊ້ການເຂົ້າລະຫັດ ESP. ນອກເໜືອໄປຈາກການກວດສອບຄວາມຊື່ສັດໃນສ່ວນຫົວ ESP ແລະ payload, ການກວດສອບຍັງປະກອບມີ IP ແລະຫົວ UDP ພາຍນອກ.
ip-udp-esp-no-id: ຕົວເລືອກນີ້ແມ່ນຄ້າຍຄືກັນກັບ ip-udp-esp, ແນວໃດກໍ່ຕາມ, ຊ່ອງ ID ຂອງສ່ວນຫົວ IP ພາຍນອກແມ່ນຖືກລະເລີຍ. ຕັ້ງຄ່າຕົວເລືອກນີ້ຢູ່ໃນບັນຊີລາຍຊື່ຂອງປະເພດຄວາມສົມບູນເພື່ອໃຫ້ຊອບແວ Cisco Catalyst SD-WAN ບໍ່ສົນໃຈພາກສະຫນາມ ID ໃນຫົວຂໍ້ IP ເພື່ອໃຫ້ Cisco Catalyst SD-WAN ສາມາດເຮັດວຽກຮ່ວມກັນກັບອຸປະກອນທີ່ບໍ່ແມ່ນ Cisco.
none: ທາງເລືອກນີ້ປິດການກວດສອບຄວາມສົມບູນຢູ່ໃນແພັກເກັດ IPSec. ພວກເຮົາບໍ່ແນະນໍາໃຫ້ໃຊ້ທາງເລືອກນີ້.

ໂດຍຄ່າເລີ່ມຕົ້ນ, ການເຊື່ອມຕໍ່ອຸໂມງ IPsec ໃຊ້ໂປຣໂຕຄໍ Encapsulating Security Payload (ESP) ສະບັບປັບປຸງເພື່ອກວດສອບຄວາມຖືກຕ້ອງ. ເພື່ອດັດແປງປະເພດຂອງການເຈລະຈາຕໍ່ລອງຫຼືປິດການກວດສອບຄວາມສົມບູນ, ໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

ປະເພດການພິສູດຢືນຢັນກ່ອນການປ່ອຍ Cisco SD-WAN 20.6.1
ໂດຍຄ່າເລີ່ມຕົ້ນ, ການເຊື່ອມຕໍ່ອຸໂມງ IPsec ໃຊ້ໂປຣໂຕຄໍ Encapsulating Security Payload (ESP) ສະບັບປັບປຸງເພື່ອກວດສອບຄວາມຖືກຕ້ອງ. ເພື່ອແກ້ໄຂປະເພດການພິສູດຢືນຢັນທີ່ເຈລະຈາ ຫຼືປິດການພິສູດຢືນຢັນ, ໃຫ້ໃຊ້ຄຳສັ່ງຕໍ່ໄປນີ້: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) ໂດຍຄ່າເລີ່ມຕົ້ນ, IPsec ການເຊື່ອມຕໍ່ອຸໂມງໃຊ້ AES-GCM-256, ເຊິ່ງສະຫນອງທັງການເຂົ້າລະຫັດແລະການພິສູດຢືນຢັນ. ກຳນົດຄ່າແຕ່ລະປະເພດການພິສູດຢືນຢັນດ້ວຍຄຳສັ່ງຄວາມປອດໄພ ipsec authentication-type ແຍກຕ່າງຫາກ. ຕົວເລືອກຄຳສັ່ງມີແຜນທີ່ກັບປະເພດການພິສູດຢືນຢັນຕໍ່ໄປນີ້, ເຊິ່ງຖືກລະບຸໄວ້ຕາມລຳດັບຈາກທີ່ເຂັ້ມແຂງທີ່ສຸດຫາແຮງໜ້ອຍທີ່ສຸດ:

ໝາຍເຫດ
sha1 ໃນຕົວເລືອກການຕັ້ງຄ່າແມ່ນໃຊ້ສໍາລັບເຫດຜົນທາງປະຫວັດສາດ. ທາງເລືອກໃນການກວດສອບຄວາມຖືກຕ້ອງຊີ້ບອກວ່າການກວດສອບຄວາມສົມບູນຂອງແພັກເກັດແມ່ນເຮັດໄດ້ຫຼາຍປານໃດ. ພວກເຂົາບໍ່ໄດ້ລະບຸ algorithm ທີ່ກວດສອບຄວາມສົມບູນ. ຍົກເວັ້ນການເຂົ້າລະຫັດຂອງ multicast traffic, authentication algorithms ສະຫນັບສະຫນູນໂດຍ Cisco Catalyst SD WAN ບໍ່ໄດ້ໃຊ້ SHA1. ແນວໃດກໍ່ຕາມໃນ Cisco SD-WAN Release 20.1.x ເປັນຕົ້ນໄປ, ທັງ unicast ແລະ multicast ບໍ່ໄດ້ໃຊ້ SHA1.

ah-sha1-hmac ເປີດໃຊ້ການເຂົ້າລະຫັດ ແລະ encapsulation ໂດຍໃຊ້ ESP. ຢ່າງໃດກໍ່ຕາມ, ນອກເຫນືອຈາກການກວດສອບຄວາມສົມບູນໃນສ່ວນຫົວ ESP ແລະ payload, ການກວດສອບຍັງປະກອບມີ IP ພາຍນອກແລະຫົວ UDP. ເພາະສະນັ້ນ, ທາງເລືອກນີ້ສະຫນັບສະຫນູນການກວດສອບຄວາມສົມບູນຂອງແພັກເກັດທີ່ຄ້າຍຄືກັນກັບໂປໂຕຄອນການພິສູດຄວາມຖືກຕ້ອງ (AH). ຄວາມສົມບູນແລະການເຂົ້າລະຫັດທັງຫມົດແມ່ນດໍາເນີນການໂດຍໃຊ້ AES-256-GCM.
ah-no-id ເປີດໃຊ້ໂຫມດທີ່ຄ້າຍຄືກັບ ah-sha1-hmac, ແນວໃດກໍ່ຕາມ, ຊ່ອງ ID ຂອງສ່ວນຫົວ IP ພາຍນອກແມ່ນຖືກລະເລີຍ. ທາງເລືອກນີ້ຮອງຮັບອຸປະກອນ SD-WAN ທີ່ບໍ່ແມ່ນ Cisco Catalyst ບາງອັນ, ລວມທັງ Apple AirPort Express NAT, ທີ່ມີຂໍ້ບົກພ່ອງທີ່ເຮັດໃຫ້ພາກສະຫນາມ ID ໃນສ່ວນຫົວ IP, ພາກສະຫນາມທີ່ບໍ່ສາມາດປ່ຽນແປງໄດ້. ຕັ້ງຄ່າຕົວເລືອກ ah-no-id ໃນບັນຊີລາຍຊື່ຂອງປະເພດການກວດສອບເພື່ອໃຫ້ຊອບແວ Cisco Catalyst SD-WAN AH ບໍ່ສົນໃຈຊ່ອງ ID ໃນສ່ວນຫົວ IP ເພື່ອໃຫ້ຊອບແວ Cisco Catalyst SD-WAN ສາມາດເຮັດວຽກຮ່ວມກັນກັບອຸປະກອນເຫຼົ່ານີ້.

sha1-hmac ເປີດໃຊ້ການເຂົ້າລະຫັດ ESP ແລະການກວດສອບຄວາມຖືກຕ້ອງ.
ບໍ່ມີແຜນທີ່ເພື່ອບໍ່ມີການພິສູດຢືນຢັນ. ທາງເລືອກນີ້ຄວນຈະຖືກນໍາໃຊ້ພຽງແຕ່ຖ້າມັນຕ້ອງການສໍາລັບການດີບັກຊົ່ວຄາວ. ນອກນັ້ນທ່ານຍັງສາມາດເລືອກຕົວເລືອກນີ້ໃນສະຖານະການທີ່ການພິສູດຄວາມຖືກຕ້ອງແລະຄວາມຊື່ສັດຂອງຍົນບໍ່ແມ່ນຄວາມກັງວົນ. Cisco ບໍ່ແນະນໍາໃຫ້ໃຊ້ທາງເລືອກນີ້ສໍາລັບເຄືອຂ່າຍການຜະລິດ.

ສຳລັບຂໍ້ມູນກ່ຽວກັບຊ່ອງຂໍ້ມູນແພັກເກັດໃດທີ່ໄດ້ຮັບຜົນກະທົບຈາກປະເພດການພິສູດຢືນຢັນເຫຼົ່ານີ້, ເບິ່ງຄວາມສົມບູນຂອງແຜນຂໍ້ມູນ. Cisco IOS XE Catalyst ອຸປະກອນ SD-WAN ແລະອຸປະກອນ Cisco vEdge ໂຄສະນາປະເພດການພິສູດຢືນຢັນທີ່ຖືກຕັ້ງຄ່າໄວ້ໃນຄຸນສົມບັດ TLOC ຂອງເຂົາເຈົ້າ. ສອງເຣົາເຕີທັງສອງຂ້າງຂອງການເຊື່ອມຕໍ່ອຸໂມງ IPsec ເຈລະຈາການພິສູດຢືນຢັນເພື່ອໃຊ້ໃນການເຊື່ອມຕໍ່ລະຫວ່າງພວກມັນ, ໂດຍນໍາໃຊ້ປະເພດການພິສູດຢືນຢັນທີ່ເຂັ້ມແຂງທີ່ສຸດທີ່ຖືກກໍານົດໄວ້ໃນທັງສອງ routers. ຕົວຢ່າງample, ຖ້າ router ຫນຶ່ງໂຄສະນາປະເພດ ah-sha1-hmac ແລະ ah-no-id, ແລະ router ທີສອງໂຄສະນາປະເພດ ah-no-id, ສອງ routers ເຈລະຈາທີ່ຈະໃຊ້ ah-no-id ໃນການເຊື່ອມຕໍ່ອຸໂມງ IPsec ລະຫວ່າງ ເຂົາເຈົ້າ. ຖ້າບໍ່ມີປະເພດການພິສູດຢືນຢັນທົ່ວໄປຖືກຕັ້ງຄ່າໃນສອງຄູ່, ບໍ່ມີອຸໂມງ IPsec ຖືກສ້າງຕັ້ງຂຶ້ນລະຫວ່າງພວກມັນ. ຂັ້ນຕອນການເຂົ້າລະຫັດໃນການເຊື່ອມຕໍ່ອຸໂມງ IPsec ແມ່ນຂຶ້ນກັບປະເພດຂອງການຈະລາຈອນ:

ສໍາລັບການຈະລາຈອນ unicast, ສູດການເຂົ້າລະຫັດແມ່ນ AES-256-GCM.
ສໍາລັບການຈະລາຈອນ multicast:
Cisco SD-WAN Release 20.1.x ແລະຕໍ່ມາ- ຂັ້ນຕອນການເຂົ້າລະຫັດແມ່ນ AES-256-GCM

ລຸ້ນທີ່ຜ່ານມາ– ຂັ້ນຕອນການເຂົ້າລະຫັດແມ່ນ AES-256-CBC ກັບ SHA1-HMAC.

ເມື່ອປະເພດການພິສູດຢືນຢັນ IPsec ຖືກປ່ຽນແປງ, ປຸ່ມ AES ສໍາລັບເສັ້ນທາງຂໍ້ມູນຈະຖືກປ່ຽນ.

ປ່ຽນໂມງຈັບເວລາ Rekeying

ກ່ອນທີ່ອຸປະກອນ Cisco IOS XE Catalyst SD-WAN ແລະອຸປະກອນ Cisco vEdge ສາມາດແລກປ່ຽນຂໍ້ມູນການຈາລະຈອນໄດ້, ພວກເຂົາເຈົ້າໄດ້ຕັ້ງຊ່ອງທາງການສື່ສານທີ່ປອດໄພລະຫວ່າງພວກມັນ. ເຣົາເຕີໃຊ້ອຸໂມງ IPSec ລະຫວ່າງພວກມັນເປັນຊ່ອງທາງ, ແລະລະຫັດລັບ AES-256 ເພື່ອປະຕິບັດການເຂົ້າລະຫັດ. ແຕ່ລະເຣົາເຕີສ້າງລະຫັດ AES ໃໝ່ສຳລັບເສັ້ນທາງຂໍ້ມູນຂອງມັນແຕ່ລະໄລຍະ. ໂດຍຄ່າເລີ່ມຕົ້ນ, ລະຫັດແມ່ນຖືກຕ້ອງເປັນເວລາ 86400 ວິນາທີ (24 ຊົ່ວໂມງ), ແລະຊ່ວງເວລາຈັບເວລາແມ່ນ 10 ວິນາທີຫາ 1209600 ວິນາທີ (14 ມື້). ເພື່ອປ່ຽນຄ່າ timer rekey: Device(config)# security ipsec rekey seconds ການຕັ້ງຄ່າເບິ່ງຄືດັ່ງນີ້:

ຄວາມປອດໄພ ipsec rekey ວິນາທີ !

ຖ້າທ່ານຕ້ອງການສ້າງລະຫັດ IPsec ໃຫມ່ໃນທັນທີ, ທ່ານສາມາດເຮັດແນວນັ້ນໂດຍບໍ່ມີການດັດແປງການຕັ້ງຄ່າຂອງ router. ເພື່ອເຮັດສິ່ງນີ້, ອອກຄໍາສັ່ງ ipsecrekey ຄວາມປອດໄພຄໍາຮ້ອງຂໍກ່ຽວກັບ router ທີ່ຖືກທໍາລາຍ. ຕົວຢ່າງample, ຜົນໄດ້ຮັບຕໍ່ໄປນີ້ສະແດງໃຫ້ເຫັນວ່າ SA ທ້ອງຖິ່ນມີດັດສະນີພາລາມິເຕີຄວາມປອດໄພ (SPI) ຂອງ 256:

ກະແຈທີ່ເປັນເອກະລັກແມ່ນກ່ຽວຂ້ອງກັບແຕ່ລະ SPI. ຖ້າກະແຈນີ້ຖືກທຳລາຍ, ໃຫ້ໃຊ້ຄຳສັ່ງ ipsec-rekey ຄວາມປອດໄພຄຳຮ້ອງຂໍເພື່ອສ້າງກະແຈໃໝ່ໃນທັນທີ. ຄໍາສັ່ງນີ້ເພີ່ມ SPI. ໃນ ex ຂອງພວກເຮົາample, SPI ປ່ຽນແປງເປັນ 257 ແລະກຸນແຈທີ່ກ່ຽວຂ້ອງກັບມັນຖືກນໍາໃຊ້ໃນປັດຈຸບັນ:

ອຸປະກອນ# ຮ້ອງຂໍຄວາມປອດໄພ ipsecrekey
ອຸປະກອນ# ສະແດງ ipsec local-sa

ຫຼັງຈາກກະແຈໃໝ່ຖືກສ້າງຂຶ້ນ, ເຣົາເຕີຈະສົ່ງມັນໄປໃຫ້ Cisco SD-WAN Controllers ທັນທີໂດຍໃຊ້ DTLS ຫຼື TLS. Cisco SD-WAN Controllers ສົ່ງລະຫັດໄປຫາ routers peer. routers ເລີ່ມໃຊ້ມັນທັນທີທີ່ເຂົາເຈົ້າໄດ້ຮັບມັນ. ຈົ່ງສັງເກດວ່າກະແຈທີ່ກ່ຽວຂ້ອງກັບ SPI ເກົ່າ (256) ຈະສືບຕໍ່ຖືກນໍາໃຊ້ໃນເວລາສັ້ນໆຈົນກ່ວາມັນຫມົດເວລາ. ເພື່ອຢຸດການໃຊ້ກະແຈເກົ່າໃນທັນທີ, ອອກຄຳສັ່ງຄວາມປອດໄພຂອງຄຳຮ້ອງຂໍ ipsec-rekey ສອງເທື່ອ, ຕິດຕໍ່ກັນຢ່າງໄວວາ. ລໍາດັບຂອງຄໍາສັ່ງນີ້ເອົາທັງ SPI 256 ແລະ 257 ແລະກໍານົດ SPI ເປັນ 258. router ຫຼັງຈາກນັ້ນໃຊ້ກະແຈທີ່ກ່ຽວຂ້ອງຂອງ SPI 258. ຢ່າງໃດກໍຕາມ, ໃຫ້ສັງເກດວ່າບາງແພັກເກັດຈະຖືກລຸດລົງໃນໄລຍະເວລາສັ້ນໆຈົນກ່ວາ routers ຫ່າງໄກສອກຫຼີກທັງຫມົດຮຽນຮູ້. ກະແຈໃໝ່.

ການປ່ຽນແປງຂະຫນາດຂອງປ່ອງຢ້ຽມຕ້ານການ Replay ໄດ້

ການກວດສອບຄວາມຖືກຕ້ອງ IPsec ສະຫນອງການປົກປ້ອງຕ້ານການຫຼິ້ນຄືນໃຫມ່ໂດຍການມອບຫມາຍເລກລໍາດັບທີ່ເປັນເອກະລັກໃຫ້ກັບແຕ່ລະແພັກເກັດໃນກະແສຂໍ້ມູນ. ໝາຍເລກລຳດັບນີ້ປົກປ້ອງຈາກຜູ້ໂຈມຕີທີ່ສຳເນົາແພັກເກັດຂໍ້ມູນ. ດ້ວຍການປົກປ້ອງຕ້ານການຫຼິ້ນຄືນ, ຜູ້ສົ່ງມອບຫມາຍເລກລໍາດັບທີ່ເພີ່ມຂຶ້ນແບບ monotonically, ແລະປາຍທາງຈະກວດເບິ່ງຕົວເລກລໍາດັບເຫຼົ່ານີ້ເພື່ອກວດພົບການຊໍ້າກັນ. ເນື່ອງຈາກວ່າແພັກເກັດມັກຈະບໍ່ມາຮອດຕາມລໍາດັບ, ຈຸດຫມາຍປາຍທາງຮັກສາປ່ອງຢ້ຽມເລື່ອນຂອງຕົວເລກລໍາດັບທີ່ມັນຈະຍອມຮັບ.

ແພັກເກັດທີ່ມີເລກລໍາດັບທີ່ຕົກໄປທາງຊ້າຍຂອງຊ່ວງປ່ອງຢ້ຽມເລື່ອນແມ່ນຖືວ່າເກົ່າແກ່ຫຼືຊໍ້າກັນ, ແລະຈຸດຫມາຍປາຍທາງຫຼຸດລົງພວກມັນ. ປາຍທາງຕິດຕາມຕົວເລກລໍາດັບສູງສຸດທີ່ມັນໄດ້ຮັບ, ແລະປັບປ່ອງຢ້ຽມເລື່ອນເມື່ອມັນໄດ້ຮັບແພັກເກັດທີ່ມີຄ່າສູງກວ່າ.

ໂດຍຄ່າເລີ່ມຕົ້ນ, ປ່ອງຢ້ຽມເລື່ອນແມ່ນຕັ້ງເປັນ 512 ແພັກເກັດ. ມັນສາມາດຖືກກໍານົດເປັນຄ່າໃດໆລະຫວ່າງ 64 ແລະ 4096 ທີ່ເປັນພະລັງງານຂອງ 2 (ນັ້ນແມ່ນ, 64, 128, 256, 512, 1024, 2048, ຫຼື 4096). ເພື່ອແກ້ໄຂຂະຫນາດຂອງປ່ອງຢ້ຽມຕ້ານການຫຼິ້ນຄືນໃຫມ່, ໃຊ້ຄໍາສັ່ງ replay-window, ການລະບຸຂະຫນາດຂອງປ່ອງຢ້ຽມ:

Device(config)# ຄວາມປອດໄພ ipsec replay-window number

ການຕັ້ງຄ່າເບິ່ງຄືນີ້:
ຄວາມປອດໄພ ipsec replay-window number ! !

ເພື່ອຊ່ວຍໃຫ້ມີ QoS, ປ່ອງຢ້ຽມ replay ແຍກຕ່າງຫາກແມ່ນເກັບຮັກສາໄວ້ສໍາລັບແຕ່ລະແປດຊ່ອງການຈະລາຈອນທໍາອິດ. ຂະໜາດຂອງໜ້າຕ່າງ replay ທີ່ກຳນົດຄ່າແມ່ນແບ່ງອອກດ້ວຍແປດສຳລັບແຕ່ລະຊ່ອງ. ຖ້າ QoS ຖືກຕັ້ງຄ່າຢູ່ໃນເຣົາເຕີ, ເຣົາເຕີນັ້ນອາດຈະປະສົບກັບຈໍານວນແພັກເກັດຫຼຸດລົງຫຼາຍກວ່າທີ່ຄາດໄວ້ເນື່ອງຈາກກົນໄກການຕ້ານການຫຼິ້ນຄືນຂອງ IPsec, ແລະຫຼາຍໆແພັກເກັດທີ່ຖືກຫຼຸດລົງແມ່ນອັນທີ່ຖືກຕ້ອງຕາມກົດໝາຍ. ອັນນີ້ເກີດຂຶ້ນຍ້ອນວ່າ QoS ສັ່ງຊຸດແພັກເກັດຄືນໃໝ່, ໃຫ້ການປິ່ນປົວບຸລິມະສິດຂອງແພັກເກັດທີ່ມີບູລິມະສິດສູງກວ່າ ແລະການຊັກຊ້າຂອງແພັກເກັດທີ່ມີບູລິມະສິດຕໍ່າກວ່າ. ເພື່ອຫຼຸດຜ່ອນຫຼືປ້ອງກັນສະຖານະການນີ້, ທ່ານສາມາດເຮັດດັ່ງຕໍ່ໄປນີ້:

ເພີ່ມຂະຫນາດຂອງປ່ອງຢ້ຽມຕ້ານການ replay ໄດ້.
ການຈາລະຈອນຂອງວິສະວະກອນໃສ່ແປດຊ່ອງການຈະລາຈອນທໍາອິດເພື່ອຮັບປະກັນວ່າການຈະລາຈອນພາຍໃນຊ່ອງບໍ່ໄດ້ຖືກຈັດລໍາດັບໃຫມ່.

ຕັ້ງຄ່າ IKE-Enabled IPsec Tunnels
ເພື່ອໂອນທຣາບຟິກຈາກເຄືອຂ່າຍຊ້ອນກັນໄປສູ່ເຄືອຂ່າຍບໍລິການຢ່າງປອດໄພ, ທ່ານສາມາດກຳນົດຄ່າອຸໂມງ IPsec ທີ່ແລ່ນໂປຣໂຕຄໍ Internet Key Exchange (IKE) ໄດ້. ອຸໂມງ IPsec ທີ່ເປີດໃຊ້ IKE ສະໜອງການພິສູດຢືນຢັນ ແລະເຂົ້າລະຫັດເພື່ອຮັບປະກັນການຂົນສົ່ງແພັກເກັດທີ່ປອດໄພ. ທ່ານສ້າງອຸໂມງ IPsec ທີ່ເປີດໃຊ້ IKE ໂດຍການຕັ້ງຄ່າການໂຕ້ຕອບ IPsec. ການໂຕ້ຕອບ IPsec ແມ່ນການໂຕ້ຕອບທີ່ມີເຫດຜົນ, ແລະທ່ານກໍານົດພວກມັນຄືກັນກັບການໂຕ້ຕອບທາງກາຍະພາບອື່ນໆ. ທ່ານກໍາຫນົດຄ່າຕົວກໍານົດການຂອງໂປໂຕຄອນ IKE ໃນອິນເຕີເຟດ IPsec, ແລະທ່ານສາມາດກໍານົດຄຸນສົມບັດການໂຕ້ຕອບອື່ນໆ.

ໝາຍເຫດ Cisco ແນະນຳໃຫ້ໃຊ້ IKE ເວີຊັ່ນ 2. ຕັ້ງແຕ່ລຸ້ນ Cisco SD-WAN 19.2.x ເປັນຕົ້ນໄປ, ກະແຈທີ່ແບ່ງປັນກ່ອນຈະຕ້ອງມີຄວາມຍາວຢ່າງໜ້ອຍ 16 ໄບຕ໌. ການສ້າງຕັ້ງອຸໂມງ IPsec ລົ້ມເຫລວຖ້າຫາກວ່າຂະຫນາດກະແຈແມ່ນຫນ້ອຍກວ່າ 16 ຕົວອັກສອນເມື່ອ router ໄດ້ຖືກຍົກລະດັບເປັນເວີຊັ່ນ 19.2.

ໝາຍເຫດ
ຊອບແວ Cisco Catalyst SD-WAN ຮອງຮັບ IKE ເວີຊັ່ນ 2 ຕາມທີ່ກຳນົດໄວ້ໃນ RFC 7296. ການນຳໃຊ້ໜຶ່ງໃນອຸໂມງ IPsec ແມ່ນອະນຸຍາດໃຫ້ vEdge Cloud router VM instances ແລ່ນຢູ່ໃນ Amazon AWS ເພື່ອເຊື່ອມຕໍ່ກັບ Amazon virtual private cloud (VPC). ທ່ານຕ້ອງກຳນົດຄ່າ IKE ເວີຊັ່ນ 1 ໃນເຣົາເຕີເຫຼົ່ານີ້. ອຸປະກອນ Cisco vEdge ຮອງຮັບສະເພາະ VPNs ທີ່ອີງໃສ່ເສັ້ນທາງໃນການຕັ້ງຄ່າ IPSec ເພາະວ່າອຸປະກອນເຫຼົ່ານີ້ບໍ່ສາມາດກໍານົດຕົວເລືອກການຈະລາຈອນໃນໂດເມນການເຂົ້າລະຫັດໄດ້.

ຕັ້ງຄ່າອຸໂມງ IPsec
ເພື່ອຕັ້ງຄ່າການໂຕ້ຕອບອຸໂມງ IPsec ສໍາລັບການຈະລາຈອນຂົນສົ່ງທີ່ປອດໄພຈາກເຄືອຂ່າຍການບໍລິການ, ທ່ານສ້າງການໂຕ້ຕອບ IPsec ຢ່າງມີເຫດຜົນ:

ທ່ານສາມາດສ້າງອຸໂມງ IPsec ໃນການຂົນສົ່ງ VPN (VPN 0) ແລະໃນການບໍລິການ VPN ໃດໆ (VPN 1 ເຖິງ 65530, ຍົກເວັ້ນ 512). ການໂຕ້ຕອບ IPsec ມີຊື່ໃນຮູບແບບ ipsecnumber, ບ່ອນທີ່ຕົວເລກສາມາດຕັ້ງແຕ່ 1 ຫາ 255. ແຕ່ລະຕົວເຊື່ອມຕໍ່ IPsec ຕ້ອງມີທີ່ຢູ່ IPv4. ທີ່ຢູ່ນີ້ຕ້ອງເປັນ /30 ຄໍານໍາຫນ້າ. ການຈະລາຈອນທັງໝົດໃນ VPN ທີ່ຢູ່ໃນຄໍານໍາຫນ້າ IPv4 ນີ້ຖືກນໍາໄປຫາສ່ວນຕິດຕໍ່ທາງດ້ານຮ່າງກາຍໃນ VPN 0 ເພື່ອສົ່ງຢ່າງປອດໄພຜ່ານອຸໂມງ IPsec. ເພື່ອກໍານົດແຫຼ່ງທີ່ມາຂອງອຸໂມງ IPsec ໃນອຸປະກອນທ້ອງຖິ່ນ, ທ່ານສາມາດລະບຸທີ່ຢູ່ IP ຂອງ ການໂຕ້ຕອບທາງກາຍະພາບ (ໃນຄໍາສັ່ງ tunnel-source) ຫຼືຊື່ຂອງການໂຕ້ຕອບທາງດ້ານຮ່າງກາຍ (ໃນຄໍາສັ່ງ tunnel-source-interface). ໃຫ້ແນ່ໃຈວ່າການໂຕ້ຕອບທາງດ້ານຮ່າງກາຍຖືກຕັ້ງຄ່າໃນ VPN 0. ເພື່ອກໍານົດຈຸດຫມາຍປາຍທາງຂອງອຸໂມງ IPsec, ໃຫ້ລະບຸທີ່ຢູ່ IP ຂອງອຸປະກອນຫ່າງໄກສອກຫຼີກໃນຄໍາສັ່ງ - ຈຸດຫມາຍປາຍທາງ tunnel. ການປະສົມປະສານຂອງທີ່ຢູ່ແຫຼ່ງ (ຫຼືຊື່ສ່ວນຕິດຕໍ່ແຫຼ່ງ) ແລະທີ່ຢູ່ປາຍທາງກໍານົດອຸໂມງ IPsec ດຽວ. ມີພຽງອຸໂມງ IPsec ອັນດຽວເທົ່ານັ້ນທີ່ສາມາດມີທີ່ຢູ່ຂອງແຫຼ່ງສະເພາະ (ຫຼືຊື່ສ່ວນຕິດຕໍ່) ແລະຄູ່ທີ່ຢູ່ປາຍທາງ.

ຕັ້ງຄ່າເສັ້ນທາງຄົງທີ່ IPsec

ເພື່ອນໍາທາງການຈະລາຈອນຈາກການບໍລິການ VPN ໄປຫາອຸໂມງ IPsec ໃນການຂົນສົ່ງ VPN (VPN 0), ທ່ານກໍານົດເສັ້ນທາງຄົງທີ່ສະເພາະ IPsec ໃນການບໍລິການ VPN ( VPN ອື່ນທີ່ບໍ່ແມ່ນ VPN 0 ຫຼື VPN 512):

vEdge(config)# vpn vpn-id
vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 interface
ipsecnumber [ipsecnumber2]

VPN ID ແມ່ນການບໍລິການ VPN (VPN 1 ເຖິງ 65530, ຍົກເວັ້ນ 512). prefix/length ແມ່ນທີ່ຢູ່ IP ຫຼືຄໍານໍາຫນ້າ, ໃນຕົວເລກທົດສະນິຍົມສີ່ສ່ວນຈຸດ, ແລະຄວາມຍາວຂອງຄໍານໍາຫນ້າຂອງເສັ້ນທາງຄົງທີ່ສະເພາະ IPsec. ການໂຕ້ຕອບແມ່ນ IPsec tunnel interface ໃນ VPN 0. ທ່ານສາມາດ configure ຫນຶ່ງຫຼືສອງ tunnel IPsec interfaces. ຖ້າທ່ານກໍານົດສອງ, ທໍາອິດແມ່ນອຸໂມງ IPsec ຕົ້ນຕໍ, ແລະທີສອງແມ່ນການສໍາຮອງຂໍ້ມູນ. ດ້ວຍສອງການໂຕ້ຕອບ, ແພັກເກັດທັງຫມົດຖືກສົ່ງໄປຫາອຸໂມງຕົ້ນຕໍເທົ່ານັ້ນ. ຖ້າອຸໂມງນັ້ນລົ້ມເຫລວ, ແພັກເກັດທັງໝົດຈະຖືກສົ່ງໄປທີ່ອຸໂມງສຳຮອງ. ຖ້າອຸໂມງຕົ້ນຕໍກັບຄືນມາ, ການຈະລາຈອນທັງຫມົດຈະຖືກຍ້າຍໄປທີ່ອຸໂມງ IPsec ຕົ້ນຕໍ.

ເປີດໃຊ້ IKE ເວີຊັນ 1
ເມື່ອທ່ານສ້າງອຸໂມງ IPsec ໃນເຣົາເຕີ vEdge, IKE ເວີຊັ່ນ 1 ຖືກເປີດໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນໃນອິນເຕີເຟດອຸໂມງ. ຄຸນສົມບັດຕໍ່ໄປນີ້ຍັງຖືກເປີດໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນສໍາລັບ IKEv1:

ການກວດສອບຄວາມຖືກຕ້ອງແລະການເຂົ້າລະຫັດ - AES-256 ມາດຕະຖານການເຂົ້າລະຫັດແບບພິເສດ CBC ການເຂົ້າລະຫັດກັບ HMAC-SHA1 keyed-hash message authentication code algorithm ເພື່ອຄວາມສົມບູນ

ໝາຍເລກກຸ່ມ Diffie-Hellman—16
ໄລຍະທີ່ໃຊ້ເວລາ rekeying — 4 ຊົ່ວໂມງ
ຮູບແບບການສ້າງຕັ້ງ SA—ຫຼັກ

ໂດຍຄ່າເລີ່ມຕົ້ນ, IKEv1 ໃຊ້ໂໝດຫຼັກ IKE ເພື່ອສ້າງ IKE SAs. ໃນຮູບແບບນີ້, ຫົກຊຸດການເຈລະຈາໄດ້ຮັບການແລກປ່ຽນເພື່ອສ້າງຕັ້ງ SA ໄດ້. ເພື່ອແລກປ່ຽນພຽງແຕ່ສາມຊຸດການເຈລະຈາ, ເປີດໃຊ້ໂໝດຮຸກຮານ:

ໝາຍເຫດ
ໂໝດຮຸກຮານ IKE ທີ່ມີກະແຈທີ່ແບ່ງປັນລ່ວງໜ້າຄວນຫຼີກເວັ້ນທຸກທີ່ທີ່ເປັນໄປໄດ້. ຖ້າບໍ່ດັ່ງນັ້ນ, ຄວນເລືອກກະແຈທີ່ແບ່ງປັນລ່ວງໜ້າທີ່ເຂັ້ມແຂງ.

vEdge(config)# vpn vpn-id interface ipsec number ike

vEdge(config-ike)# ໂໝດຮຸກຮານ

ໂດຍຄ່າເລີ່ມຕົ້ນ, IKEv1 ໃຊ້ Diffie-Hellman group 16 ໃນການແລກປ່ຽນລະຫັດ IKE. ກຸ່ມນີ້ໃຊ້ກຸ່ມ modular exponential (MODP) 4096-bit ໃນລະຫວ່າງການແລກປ່ຽນລະຫັດ IKE. ທ່ານສາມາດປ່ຽນຈໍານວນກຸ່ມເປັນ 2 (ສໍາລັບ 1024-bit MODP), 14 (2048-bit MODP), ຫຼື 15 (3072-bit MODP):

vEdge(config)# vpn vpn-id interface ipsec number ike

vEdge(config-ike)# ໝາຍເລກກຸ່ມ

ໂດຍຄ່າເລີ່ມຕົ້ນ, ການແລກປ່ຽນລະຫັດ IKE ໃຊ້ມາດຕະຖານການເຂົ້າລະຫັດແບບພິເສດ AES-256 ການເຂົ້າລະຫັດ CBC ທີ່ມີລະບົບການຢືນຢັນລະຫັດຂໍ້ຄວາມ HMAC-SHA1 keyed-hash ເພື່ອຄວາມສົມບູນ. ທ່ານສາມາດປ່ຽນການພິສູດຢືນຢັນໄດ້:

vEdge(config)# vpn vpn-id interface ipsec number ike

vEdge(config-ike)# cipher-suite

ຊຸດການພິສູດຢືນຢັນສາມາດເປັນຫນຶ່ງໃນຕໍ່ໄປນີ້:

aes128-cbc-sha1—AES-128 ມາດຕະຖານການເຂົ້າລະຫັດແບບພິເສດ CBC ການເຂົ້າລະຫັດກັບ HMAC-SHA1 keyed-hash message authentication code algorithm ເພື່ອຄວາມສົມບູນ

aes128-cbc-sha2—AES-128 ມາດຕະຖານການເຂົ້າລະຫັດແບບພິເສດ CBC ການເຂົ້າລະຫັດກັບ HMAC-SHA256 keyed-hash message authentication code algorithm ເພື່ອຄວາມສົມບູນ
aes256-cbc-sha1—AES-256 ມາດຕະຖານການເຂົ້າລະຫັດແບບພິເສດ CBC ການເຂົ້າລະຫັດກັບ HMAC-SHA1 keyed-hash message authentication code algorithm ເພື່ອຄວາມສົມບູນ; ນີ້ແມ່ນຄ່າເລີ່ມຕົ້ນ.
aes256-cbc-sha2—AES-256 ມາດຕະຖານການເຂົ້າລະຫັດແບບພິເສດ CBC ການເຂົ້າລະຫັດກັບ HMAC-SHA256 keyed-hash message authentication code algorithm ເພື່ອຄວາມສົມບູນ

ໂດຍຄ່າເລີ່ມຕົ້ນ, ປຸ່ມ IKE ຈະຖືກໂຫຼດຄືນໃໝ່ທຸກໆ 1 ຊົ່ວໂມງ (3600 ວິນາທີ). ທ່ານສາມາດປ່ຽນລະຫວ່າງ rekeying ເປັນຄ່າຈາກ 30 ວິນາທີໄປຫາ 14 ມື້ (1209600 ວິນາທີ). ແນະນຳວ່າໄລຍະການກົດປຸ່ມຄືນໃໝ່ແມ່ນຢ່າງໜ້ອຍ 1 ຊົ່ວໂມງ.

vEdge(config)# vpn vpn-id interface ipsec ຕົວເລກເຊັ່ນ
vEdge(config-ike)# ວິນາທີ rekey

ເພື່ອບັງຄັບການສ້າງລະຫັດໃຫມ່ສໍາລັບເຊດຊັນ IKE, ອອກຄໍາຮ້ອງຂໍ ipsec ike-rekey ຄໍາສັ່ງ.

vEdge(config)# vpn vpn-id interfaceipsec ໝາຍເລກ ike

ສໍາລັບ IKE, ທ່ານຍັງສາມາດຕັ້ງຄ່າການພິສູດຢືນຢັນລະຫັດ preshared (PSK) ໄດ້:

vEdge(config)# vpn vpn-id interface ipsec number ike
vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password ແມ່ນລະຫັດຜ່ານທີ່ຈະໃຊ້ກັບກະແຈທີ່ແບ່ງປັນລ່ວງໜ້າ. ມັນສາມາດເປັນ ASCII ຫຼືສະຕຣິງເລກຖານສິບຫົກຕັ້ງແຕ່ 1 ຫາ 127 ຕົວອັກສອນຍາວ.

ຖ້າ IKE peer ຫ່າງໄກສອກຫຼີກຕ້ອງການ ID ທ້ອງຖິ່ນຫຼືຫ່າງໄກສອກຫຼີກ, ທ່ານສາມາດປັບຄ່າຕົວລະບຸນີ້ໄດ້:

vEdge(config)# vpn vpn-id interface ipsec number ike authentication-type
vEdge(config-authentication-type)# local-id id
vEdge(config-authentication-type)# remote-id ID

ຕົວລະບຸສາມາດເປັນທີ່ຢູ່ IP ຫຼືສະຕຣິງຂໍ້ຄວາມຈາກ 1 ຫາ 63 ຕົວອັກສອນຍາວ. ໂດຍຄ່າເລີ່ມຕົ້ນ, ID ທ້ອງຖິ່ນແມ່ນທີ່ຢູ່ IP ແຫຼ່ງຂອງອຸໂມງ ແລະ ID ໄລຍະໄກແມ່ນທີ່ຢູ່ IP ປາຍທາງຂອງອຸໂມງ.

ເປີດໃຊ້ IKE ເວີຊັນ 2
ເມື່ອທ່ານຕັ້ງຄ່າອຸໂມງ IPsec ເພື່ອໃຊ້ IKE ເວີຊັ່ນ 2, ຄຸນສົມບັດຕໍ່ໄປນີ້ຈະຖືກເປີດໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນສຳລັບ IKEv2:

ການກວດສອບຄວາມຖືກຕ້ອງແລະການເຂົ້າລະຫັດ - AES-256 ມາດຕະຖານການເຂົ້າລະຫັດແບບພິເສດ CBC ການເຂົ້າລະຫັດກັບ HMAC-SHA1 keyed-hash message authentication code algorithm ເພື່ອຄວາມສົມບູນ

ໝາຍເລກກຸ່ມ Diffie-Hellman—16
ໄລຍະທີ່ໃຊ້ເວລາ rekeying — 4 ຊົ່ວໂມງ

ໂດຍຄ່າເລີ່ມຕົ້ນ, IKEv2 ໃຊ້ Diffie-Hellman group 16 ໃນການແລກປ່ຽນລະຫັດ IKE. ກຸ່ມນີ້ໃຊ້ກຸ່ມ modular exponential (MODP) 4096-bit ໃນລະຫວ່າງການແລກປ່ຽນລະຫັດ IKE. ທ່ານສາມາດປ່ຽນຈໍານວນກຸ່ມເປັນ 2 (ສໍາລັບ 1024-bit MODP), 14 (2048-bit MODP), ຫຼື 15 (3072-bit MODP):

vEdge(config)# vpn vpn-id interface ipsecnumber ike
vEdge(config-ike)# ໝາຍເລກກຸ່ມ

vEdge(config)# vpn vpn-id interface ipsecnumber ike
vEdge(config-ike)# cipher-suite

ຊຸດການພິສູດຢືນຢັນສາມາດເປັນຫນຶ່ງໃນຕໍ່ໄປນີ້:

aes128-cbc-sha1—AES-128 ມາດຕະຖານການເຂົ້າລະຫັດແບບພິເສດ CBC ການເຂົ້າລະຫັດກັບ HMAC-SHA1 keyed-hash message authentication code algorithm ເພື່ອຄວາມສົມບູນ
aes128-cbc-sha2—AES-128 ມາດຕະຖານການເຂົ້າລະຫັດແບບພິເສດ CBC ການເຂົ້າລະຫັດກັບ HMAC-SHA256 keyed-hash message authentication code algorithm ເພື່ອຄວາມສົມບູນ
aes256-cbc-sha1—AES-256 ມາດຕະຖານການເຂົ້າລະຫັດແບບພິເສດ CBC ການເຂົ້າລະຫັດກັບ HMAC-SHA1 keyed-hash message authentication code algorithm ເພື່ອຄວາມສົມບູນ; ນີ້ແມ່ນຄ່າເລີ່ມຕົ້ນ.

aes256-cbc-sha2—AES-256 ມາດຕະຖານການເຂົ້າລະຫັດແບບພິເສດ CBC ການເຂົ້າລະຫັດກັບ HMAC-SHA256 keyed-hash message authentication code algorithm ເພື່ອຄວາມສົມບູນ

ໂດຍຄ່າເລີ່ມຕົ້ນ, ປຸ່ມ IKE ຈະຖືກໂຫຼດຄືນໃໝ່ທຸກໆ 4 ຊົ່ວໂມງ (14,400 ວິນາທີ). ທ່ານສາມາດປ່ຽນລະຫວ່າງ rekeying ເປັນຄ່າຈາກ 30 ວິນາທີໄປຫາ 14 ມື້ (1209600 ວິນາທີ):

vEdge(config)# vpn vpn-id interface ipsecnumber ike

vEdge(config-ike)# ວິນາທີ rekey

ເພື່ອບັງຄັບການສ້າງລະຫັດໃຫມ່ສໍາລັບເຊດຊັນ IKE, ອອກຄໍາຮ້ອງຂໍ ipsec ike-rekey ຄໍາສັ່ງ. ສໍາລັບ IKE, ທ່ານຍັງສາມາດຕັ້ງຄ່າການພິສູດຢືນຢັນລະຫັດ preshared (PSK) ໄດ້:

vEdge(config)# vpn vpn-id interface ipsecnumber ike

vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password ແມ່ນລະຫັດຜ່ານທີ່ຈະໃຊ້ກັບກະແຈທີ່ແບ່ງປັນລ່ວງໜ້າ. ມັນສາມາດເປັນ ASCII ຫຼືສະຕຣິງເລກຖານສິບຫົກ, ຫຼືມັນສາມາດເປັນລະຫັດ AES-ເຂົ້າລະຫັດ. ຖ້າ IKE peer ຫ່າງໄກສອກຫຼີກຕ້ອງການ ID ທ້ອງຖິ່ນຫຼືຫ່າງໄກສອກຫຼີກ, ທ່ານສາມາດປັບຄ່າຕົວລະບຸນີ້ໄດ້:
vEdge(config)# vpn vpn-id interface ipsecnumber ike authentication-type
vEdge(config-authentication-type)# local-id id

vEdge(config-authentication-type)# remote-id ID

ຕົວລະບຸສາມາດເປັນທີ່ຢູ່ IP ຫຼືສະຕຣິງຂໍ້ຄວາມຈາກ 1 ຫາ 64 ຕົວອັກສອນຍາວ. ໂດຍຄ່າເລີ່ມຕົ້ນ, ID ທ້ອງຖິ່ນແມ່ນທີ່ຢູ່ IP ແຫຼ່ງຂອງອຸໂມງ ແລະ ID ໄລຍະໄກແມ່ນທີ່ຢູ່ IP ປາຍທາງຂອງອຸໂມງ.

ຕັ້ງຄ່າພາຣາມີເຕີ IPsec Tunnel

ຕາຕະລາງ 4: ປະຫວັດຄຸນສົມບັດ

ຄຸນສົມບັດ ຊື່	ປ່ອຍຂໍ້ມູນ	ລາຍລະອຽດ
Cryptographic ເພີ່ມເຕີມ	Cisco SD-WAN ປ່ອຍ 20.1.1	ຄຸນນະສົມບັດນີ້ເພີ່ມການສະຫນັບສະຫນູນສໍາລັບ
ຮອງຮັບ Algorithmic ສໍາລັບ IPSec		HMAC_SHA256, HMAC_SHA384, ແລະ
ອຸໂມງ		HMAC_SHA512 ສູດການຄິດໄລ່ສໍາລັບ
		ປັບປຸງຄວາມປອດໄພ.

ໂດຍຄ່າເລີ່ມຕົ້ນ, ພາລາມິເຕີຕໍ່ໄປນີ້ຖືກໃຊ້ໃນອຸໂມງ IPsec ທີ່ສົ່ງການຈະລາຈອນ IKE:

ການພິສູດຢືນຢັນແລະການເຂົ້າລະຫັດ—AES-256 algorithm ໃນ GCM (Galois/counter mode)
ໄລຍະຫ່າງ rekeying — 4 ຊົ່ວໂມງ

Replay window—32 ແພັກເກັດ

ທ່ານສາມາດປ່ຽນການເຂົ້າລະຫັດໃນອຸໂມງ IPsec ເປັນລະຫັດ AES-256 ໃນ CBC (ໂໝດລະບົບຕ່ອງໂສ້ລະຫັດລະຫັດ, ດ້ວຍ HMAC ໂດຍໃຊ້ SHA-1 ຫຼື SHA-2 keyed-hash message authentication ຫຼືໃຫ້ null ກັບ HMAC ໂດຍໃຊ້ SHA-1 ຫຼື SHA-2 keyed-hash message authentication, ເພື່ອບໍ່ໃຫ້ເຂົ້າລະຫັດອຸໂມງ IPsec ທີ່ໃຊ້ສໍາລັບການຈະລາຈອນແລກປ່ຽນລະຫັດ IKE:

vEdge(config-interface-ipsecnumber)# ipsec

vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-aes1-null-sha | aes256-null-sha256 | aes256-null-sha384)

vEdge(config-interface-ipsecnumber)# ipsec

vEdge(config-ipsec)# ວິນາທີ rekey

ເພື່ອບັງຄັບການສ້າງລະຫັດໃຫມ່ສໍາລັບອຸໂມງ IPsec, ອອກຄໍາຮ້ອງຂໍ ipsec ipsec-rekey ຄໍາສັ່ງ. ໂດຍຄ່າເລີ່ມຕົ້ນ, ຄວາມລັບໄປຂ້າງຫນ້າທີ່ສົມບູນແບບ (PFS) ຖືກເປີດໃຊ້ໃນອຸໂມງ IPsec, ເພື່ອຮັບປະກັນວ່າກອງປະຊຸມທີ່ຜ່ານມາບໍ່ໄດ້ຮັບຜົນກະທົບຖ້າຫາກວ່າກະແຈໃນອະນາຄົດຖືກທໍາລາຍ. PFS ບັງຄັບໃຫ້ມີການແລກປ່ຽນກະແຈ Diffie-Hellman ໃໝ່, ໂດຍຄ່າເລີ່ມຕົ້ນໂດຍໃຊ້ກຸ່ມໂມດູນຫຼັກ 4096-bit Diffie-Hellman. ທ່ານສາມາດປ່ຽນການຕັ້ງຄ່າ PFS:

vEdge(config-interface-ipsecnumber)# ipsec

vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-setting ສາມາດເປັນຫນຶ່ງໃນຕໍ່ໄປນີ້:

ກຸ່ມ-2—ໃຊ້ 1024-bit Diffie-Hellman prime modulus group.

ກຸ່ມ-14—ໃຊ້ 2048-bit Diffie-Hellman prime modulus group.
ກຸ່ມ-15—ໃຊ້ 3072-bit Diffie-Hellman prime modulus group.
group-16—ໃຊ້ກຸ່ມ Diffie-Hellman prime modulus 4096-bit. ນີ້ແມ່ນຄ່າເລີ່ມຕົ້ນ.
none—ປິດການໃຊ້ງານ PFS.

ໂດຍຄ່າເລີ່ມຕົ້ນ, ປ່ອງຢ້ຽມ replay IPsec ໃນອຸໂມງ IPsec ແມ່ນ 512 bytes. ທ່ານສາມາດກໍານົດຂະຫນາດປ່ອງຢ້ຽມ replay ເປັນ 64, 128, 256, 512, 1024, 2048, ຫຼື 4096 packets:

vEdge(config-interface-ipsecnumber)# ipsec
vEdge(config-ipsec)# replay-window number

ແກ້ໄຂ IKE Dead-Peer Detection

IKE ໃຊ້ກົນໄກການຊອກຄົ້ນຫາທີ່ຕາຍແລ້ວເພື່ອກໍານົດວ່າການເຊື່ອມຕໍ່ກັບ IKE peer ເຮັດວຽກໄດ້ຫຼືບໍ່. ເພື່ອປະຕິບັດກົນໄກນີ້, IKE ສົ່ງຊຸດສະບາຍດີໄປຫາເພື່ອນມິດຂອງຕົນ, ແລະເພື່ອນມິດສົ່ງການຮັບຮູ້ໃນການຕອບສະຫນອງ. ໂດຍຄ່າເລີ່ມຕົ້ນ, IKE ສົ່ງແພັກເກັດສະບາຍດີທຸກໆ 10 ວິນາທີ, ແລະຫຼັງຈາກສາມແພັກເກັດທີ່ບໍ່ໄດ້ຮັບການຍອມຮັບ, IKE ປະກາດວ່າເພື່ອນບ້ານຕາຍແລ້ວແລະນໍ້າຕາລົງອຸໂມງໄປຫາເພື່ອນບ້ານ. ຫຼັງຈາກນັ້ນ, IKE ຈະສົ່ງຊຸດສະບາຍດີໄປໃຫ້ໝູ່ເພື່ອນເປັນໄລຍະໆ, ແລະຕັ້ງອຸໂມງຄືນໃໝ່ເມື່ອໝູ່ເພື່ອນກັບມາອອນລາຍ. ທ່ານສາມາດປ່ຽນໄລຍະການກວດພົບການມີຊີວິດເປັນຄ່າຈາກ 0 ຫາ 65535, ແລະທ່ານສາມາດປ່ຽນຈໍານວນການລອງອີກຄັ້ງເປັນຄ່າຈາກ 0 ຫາ 255.

ໝາຍເຫດ

ສໍາລັບການຂົນສົ່ງ VPNs, ໄລຍະການກວດພົບຊີວິດແມ່ນປ່ຽນເປັນວິນາທີໂດຍໃຊ້ສູດຕໍ່ໄປນີ້: ໄລຍະຫ່າງສໍາລັບຄວາມພະຍາຍາມສົ່ງຄືນຈໍານວນ N = ໄລຍະຫ່າງ * 1.8N-1For example, ຖ້າໄລຍະຫ່າງຖືກຕັ້ງເປັນ 10 ແລະພະຍາຍາມເປັນ 5, ໄລຍະການກວດພົບຈະເພີ່ມຂຶ້ນດັ່ງຕໍ່ໄປນີ້:

ຄວາມພະຍາຍາມ 1: 10*1.81-1= 10 ວິນາທີ
ຄວາມພະຍາຍາມ 2: 10*1.82-1= 18 ວິນາທີ
ຄວາມພະຍາຍາມ 3: 10*1.83-1= 32.4 ວິນາທີ
ຄວາມພະຍາຍາມ 4: 10*1.84-1= 58.32 ວິນາທີ
ຄວາມພະຍາຍາມ 5: 10*1.85-1= 104.976 ວິນາທີ

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval retry number

ຕັ້ງຄ່າຄຸນສົມບັດການໂຕ້ຕອບອື່ນໆ

ສໍາລັບຕົວເຊື່ອມຕໍ່ IPsec tunnel, ທ່ານສາມາດ configure ພຽງແຕ່ຄຸນສົມບັດການໂຕ້ຕອບເພີ່ມເຕີມດັ່ງຕໍ່ໄປນີ້:

vEdge(config-interface-ipsec)# mtu bytes
vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

ປິດການນຳໃຊ້ລະບົບການເຂົ້າລະຫັດ SSH ທີ່ອ່ອນແອຢູ່ໃນຕົວຈັດການ Cisco SD-WAN

ຕາຕະລາງ 5: ຕາຕະລາງປະຫວັດຄຸນສົມບັດ

ຄຸນສົມບັດ ຊື່	ປ່ອຍຂໍ້ມູນ	ຄຸນສົມບັດ ລາຍລະອຽດ
ປິດການນຳໃຊ້ລະບົບການເຂົ້າລະຫັດ SSH ທີ່ອ່ອນແອຢູ່ໃນຕົວຈັດການ Cisco SD-WAN	Cisco vManage Release 20.9.1	ຄຸນສົມບັດນີ້ອະນຸຍາດໃຫ້ທ່ານປິດລະບົບ SSH algorithms ທີ່ອ່ອນກວ່າຢູ່ໃນ Cisco SD-WAN Manager ທີ່ອາດຈະບໍ່ປະຕິບັດຕາມມາດຕະຖານຄວາມປອດໄພຂໍ້ມູນທີ່ແນ່ນອນ.

ຂໍ້ມູນກ່ຽວກັບການປິດການນຳໃຊ້ລະບົບການເຂົ້າລະຫັດ SSH ທີ່ອ່ອນແອຢູ່ໃນຕົວຈັດການ Cisco SD-WAN
ຜູ້ຈັດການ Cisco SD-WAN ໃຫ້ລູກຄ້າ SSH ສໍາລັບການສື່ສານກັບອົງປະກອບໃນເຄືອຂ່າຍ, ລວມທັງຕົວຄວບຄຸມແລະອຸປະກອນຂອບ. ລູກຄ້າ SSH ສະໜອງການເຊື່ອມຕໍ່ແບບເຂົ້າລະຫັດເພື່ອການໂອນຂໍ້ມູນທີ່ປອດໄພ, ອີງໃສ່ລະບົບການເຂົ້າລະຫັດທີ່ຫຼາກຫຼາຍ. ອົງການຈັດຕັ້ງຈໍານວນຫຼາຍຕ້ອງການການເຂົ້າລະຫັດທີ່ເຂັ້ມແຂງກວ່າທີ່ສະຫນອງໃຫ້ໂດຍ SHA-1, AES-128, ແລະ AES-192. ຈາກ Cisco vManage Release 20.9.1, ທ່ານສາມາດປິດການນຳໃຊ້ລະບົບການເຂົ້າລະຫັດທີ່ອ່ອນກວ່າຕໍ່ໄປນີ້ເພື່ອບໍ່ໃຫ້ລູກຄ້າ SSH ໃຊ້ສູດການຄິດໄລ່ເຫຼົ່ານີ້:

SHA-1
AES-128
AES-192

ກ່ອນທີ່ຈະປິດການນຳໃຊ້ລະບົບການເຂົ້າລະຫັດເຫຼົ່ານີ້, ໃຫ້ແນ່ໃຈວ່າອຸປະກອນ Cisco vEdge, ຖ້າມີຢູ່ໃນເຄືອຂ່າຍ, ກໍາລັງໃຊ້ຊອບແວທີ່ອອກມາຊ້າກວ່າ Cisco SD-WAN Release 18.4.6.

ປະໂຫຍດຂອງການປິດການນຳໃຊ້ລະບົບການເຂົ້າລະຫັດ SSH ທີ່ອ່ອນແອຢູ່ໃນຕົວຈັດການ Cisco SD-WAN
ການປິດການນຳໃຊ້ລະບົບການເຂົ້າລະຫັດ SSH ທີ່ອ່ອນກວ່າຈະຊ່ວຍປັບປຸງຄວາມປອດໄພຂອງການສື່ສານ SSH, ແລະຮັບປະກັນວ່າອົງການຈັດຕັ້ງທີ່ໃຊ້ Cisco Catalyst SD-WAN ແມ່ນປະຕິບັດຕາມກົດລະບຽບຄວາມປອດໄພທີ່ເຂັ້ມງວດ.

ປິດການນຳໃຊ້ລະບົບການເຂົ້າລະຫັດ SSH ທີ່ອ່ອນແອຢູ່ໃນຕົວຈັດການ Cisco SD-WAN ໂດຍໃຊ້ CLI

ຈາກ Cisco SD-WAN Manager ເມນູ, ເລືອກ ເຄື່ອງມື > SSH Terminal.
ເລືອກອຸປະກອນ Cisco SD-WAN Manager ທີ່ທ່ານຕ້ອງການປິດການນຳໃຊ້ລະບົບ SSH ທີ່ອ່ອນກວ່າ.
ໃສ່ຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານເພື່ອເຂົ້າສູ່ລະບົບອຸປະກອນ.
ເຂົ້າສູ່ໂໝດເຊີບເວີ SSH.
- vmanage(config)# ລະບົບ
- vmanage(config-system)# ssh-server
ເຮັດສິ່ງໜຶ່ງຕໍ່ໄປນີ້ເພື່ອປິດການນຳໃຊ້ລະບົບການເຂົ້າລະຫັດ SSH:
- ປິດໃຊ້ງານ SHA-1:
manage(config-ssh-server)# no kex-algo sha1
ຈັດການ(config-ssh-server)# commit
ຂໍ້ຄວາມເຕືອນຕໍ່ໄປນີ້ຖືກສະແດງ: ການເຕືອນຕໍ່ໄປນີ້ໄດ້ຖືກສ້າງຂື້ນ: 'system ssh-server kex-algo sha1': ຄໍາເຕືອນ: ກະລຸນາໃຫ້ແນ່ໃຈວ່າທຸກຂອບຂອງທ່ານແລ່ນລະຫັດເວີຊັ່ນ> 18.4.6 ເຊິ່ງເຈລະຈາໄດ້ດີກວ່າ SHA1 ກັບ vManage. ຖ້າບໍ່ດັ່ງນັ້ນ, ຂອບເຫຼົ່ານັ້ນອາດຈະກາຍເປັນອອບລາຍ. ດໍາເນີນການ? [ແມ່ນ, ບໍ່] ແມ່ນແລ້ວ
- ກວດໃຫ້ແນ່ໃຈວ່າອຸປະກອນ Cisco vEdge ໃດໆກໍຕາມໃນເຄືອຂ່າຍກຳລັງແລ່ນ Cisco SD-WAN Release 18.4.6 ຫຼືໃໝ່ກວ່ານັ້ນ ແລະໃສ່ແມ່ນ.
- ປິດໃຊ້ງານ AES-128 ແລະ AES-192:
- vmanage(config-ssh-server)# no cipher aes-128-192
- vmanage(config-ssh-server)# commit
  ຂໍ້ຄວາມເຕືອນຕໍ່ໄປນີ້ຈະສະແດງ:
  ການເຕືອນໄພຕໍ່ໄປນີ້ໄດ້ຖືກສ້າງຂື້ນ:
  'system ssh-server cipher aes-128-192': ຄຳເຕືອນ: ກະລຸນາຮັບປະກັນວ່າທຸກຂອບຂອງທ່ານແລ່ນລະຫັດເວີຊັນ> 18.4.6 ເຊິ່ງເຈລະຈາໄດ້ດີກວ່າ AES-128-192 ດ້ວຍ vManage. ຖ້າບໍ່ດັ່ງນັ້ນ, ຂອບເຫຼົ່ານັ້ນອາດຈະກາຍເປັນອອບລາຍ. ດໍາເນີນການ? [ແມ່ນ, ບໍ່] ແມ່ນແລ້ວ
- ກວດໃຫ້ແນ່ໃຈວ່າອຸປະກອນ Cisco vEdge ໃດໆກໍຕາມໃນເຄືອຂ່າຍກຳລັງແລ່ນ Cisco SD-WAN Release 18.4.6 ຫຼືໃໝ່ກວ່ານັ້ນ ແລະໃສ່ແມ່ນ.

ກວດສອບວ່າລະບົບການເຂົ້າລະຫັດ SSH ທີ່ອ່ອນແອຖືກປິດໃຊ້ງານຢູ່ໃນຕົວຈັດການ Cisco SD-WAN ໂດຍໃຊ້ CLI

ຈາກ Cisco SD-WAN Manager ເມນູ, ເລືອກ ເຄື່ອງມື > SSH Terminal.
ເລືອກອຸປະກອນ Cisco SD-WAN Manager ທີ່ທ່ານຕ້ອງການກວດສອບ.
ໃສ່ຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານເພື່ອເຂົ້າສູ່ລະບົບອຸປະກອນ.
ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້: showrunning-config system ssh-server
ຢືນຢັນວ່າຜົນໄດ້ຮັບສະແດງໃຫ້ເຫັນຫນຶ່ງຫຼືຫຼາຍຄໍາສັ່ງທີ່ປິດລະບົບການເຂົ້າລະຫັດທີ່ອ່ອນແອກວ່າ:
- ບໍ່ມີລະຫັດ aes-128-192
- ບໍ່ມີ kex-algo sha1

ເອກະສານ / ຊັບພະຍາກອນ

CISCO SD-WAN ກຳນົດຄ່າພາຣາມີເຕີຄວາມປອດໄພ [pdf] ຄູ່ມືຜູ້ໃຊ້
SD-WAN ກຳນົດຄ່າພາຣາມີເຕີຄວາມປອດໄພ, SD-WAN, ກຳນົດຄ່າພາຣາມີເຕີຄວາມປອດໄພ, ພາຣາມີເຕີຄວາມປອດໄພ

ເອກະສານອ້າງອີງ

ຄູ່ມືຜູ້ໃຊ້

CISCO SD-WAN ກຳນົດຄ່າພາຣາມີເຕີຄວາມປອດໄພ

ຕັ້ງຄ່າພາລາມິເຕີຄວາມປອດໄພ

ກຳນົດຄ່າພາຣາມີເຕີຄວາມປອດໄພຂອງຍົນຄວບຄຸມ

ຕັ້ງຄ່າ DTLS ໃນ Cisco SD-WAN Manager

ກຳນົດຄ່າພາຣາມີເຕີຄວາມປອດໄພຂອງຍົນຂໍ້ມູນ

ກຳນົດຄ່າປະເພດການພິສູດຢືນຢັນທີ່ອະນຸຍາດ

ປ່ຽນໂມງຈັບເວລາ Rekeying

ການປ່ຽນແປງຂະຫນາດຂອງປ່ອງຢ້ຽມຕ້ານການ Replay ໄດ້

ຕັ້ງຄ່າເສັ້ນທາງຄົງທີ່ IPsec

ຕັ້ງຄ່າພາຣາມີເຕີ IPsec Tunnel

ແກ້ໄຂ IKE Dead-Peer Detection

ຕັ້ງຄ່າຄຸນສົມບັດການໂຕ້ຕອບອື່ນໆ

ປິດການນຳໃຊ້ລະບົບການເຂົ້າລະຫັດ SSH ທີ່ອ່ອນແອຢູ່ໃນຕົວຈັດການ Cisco SD-WAN

ເອກະສານ / ຊັບພະຍາກອນ

ເອກະສານອ້າງອີງ

ອອກຄໍາເຫັນ

ຍົກເລີກການຕອບ

CISCO SD-WAN ກຳນົດຄ່າພາຣາມີເຕີຄວາມປອດໄພ

ຕັ້ງຄ່າພາລາມິເຕີຄວາມປອດໄພ

ກຳນົດຄ່າພາຣາມີເຕີຄວາມປອດໄພຂອງຍົນຄວບຄຸມ

ຕັ້ງຄ່າ DTLS ໃນ Cisco SD-WAN Manager

ກຳນົດຄ່າພາຣາມີເຕີຄວາມປອດໄພຂອງຍົນຂໍ້ມູນ

ກຳນົດຄ່າປະເພດການພິສູດຢືນຢັນທີ່ອະນຸຍາດ

ປ່ຽນໂມງຈັບເວລາ Rekeying

ການ​ປ່ຽນ​ແປງ​ຂະ​ຫນາດ​ຂອງ​ປ່ອງ​ຢ້ຽມ​ຕ້ານ​ການ Replay ໄດ້​

ຕັ້ງຄ່າເສັ້ນທາງຄົງທີ່ IPsec

ຕັ້ງຄ່າພາຣາມີເຕີ IPsec Tunnel

ແກ້ໄຂ IKE Dead-Peer Detection

ຕັ້ງຄ່າຄຸນສົມບັດການໂຕ້ຕອບອື່ນໆ

ປິດການນຳໃຊ້ລະບົບການເຂົ້າລະຫັດ SSH ທີ່ອ່ອນແອຢູ່ໃນຕົວຈັດການ Cisco SD-WAN

ເອກະສານ / ຊັບພະຍາກອນ

ເອກະສານອ້າງອີງ

ອອກຄໍາເຫັນ

ຍົກເລີກການຕອບ

ການປ່ຽນແປງຂະຫນາດຂອງປ່ອງຢ້ຽມຕ້ານການ Replay ໄດ້