Sary virtoaly fiarovana

Mba hahazoana fanatsorana sy tsy miovaova, ny vahaolana Cisco SD-WAN dia novana anarana ho Cisco Catalyst SD-WAN. Ankoatra izany, avy amin'ny Cisco IOS XE SD-WAN Release 17.12.1a sy Cisco Catalyst SD-WAN Release 20.12.1, dia azo ampiharina ireto fanovana singa manaraka ireto: Cisco vManage ho an'ny Cisco Catalyst SD-WAN Manager, Cisco vAnalytics ho an'ny Cisco Catalyst SD-WAN Analytics, Cisco vBond mankany Cisco Catalyst SD-WAN Validator, ary Cisco vSmart ho Cisco Catalyst SD-WAN Controller. Jereo ny naoty famoahana farany ho an'ny lisitra feno amin'ny fanovana anarana marika singa rehetra. Raha mifindra mankany amin'ireo anarana vaovao isika, dia mety hisy ny tsy fitovian-kevitra sasany ao amin'ny antontan-taratasy napetraka noho ny fomba fiasa miandalana amin'ny fanavaozam-baovaon'ny mpampiasa amin'ny vokatra rindrambaiko.

Cisco SD-WAN Manager dia mampiasa sary virtoaly fiarovana mba ahafahan'ny endri-piarovana toy ny Intrusion Prevention System (IPS), Intrusion Detection System (IDS), URL Sivana (URL-F), ary Advanced Malware Protection (AMP) amin'ny Cisco IOS XE Catalyst SD-WAN Devices. Ireo endri-javatra ireo dia ahafahan'ny fampiantranoana fampiharana, ny famakafakana ny fifamoivoizana amin'ny fotoana tena izy, ary ny fampidirana fonosana amin'ny tambajotra IP. Indray mandeha ny sary file dia nakarina tao amin'ny Cisco SD-WAN Manager Software Repository, afaka mamorona politika ianao, profile, ary ny môdely fitaovana izay hanosika ho azy ny politika sy ny fanavaozana ho an'ny fitaovana marina.
Alohan'ny hampiasanao ireo endri-javatra ireo dia tsy maintsy mametraka sy manamboatra IPS/IDs aloha ianao, URL-F, na AMP politika fiarovana, ary ampidiro ao amin'ny Cisco SD-WAN Manager ny Security Virtual Image. Aorian'ny fanavaozana ny rindrambaiko amin'ny fitaovana dia tsy maintsy manavao ny Sary virtoaly fiarovana ihany koa ianao.
Ity toko ity dia mamaritra ny fomba hanatanterahana ireo asa ireo.

• Ampidiro sy amboary ny IPS/IDS, URL-F, na AMP Politika fiarovana, pejy 1
• Fantaro ny dikan-tsary virtoaly azo antoka ho an'ny fiarovana, eo amin'ny pejy 4
• Ampidiro ao amin'ny Cisco SD-WAN Manager ny Cisco Security Virtual Image, pejy 4
• Fanavaozana sary virtoaly fiarovana, pejy 5

Ampidiro sy amboary ny IPS/IDS, URL-F, na AMP Politika fiarovana

Fametrahana sy fanamboarana IPS/IDS, URL-F, na AMP Ny politikan'ny fiarovana dia mitaky ireto asa manaraka ireto:
Asa 1: Mamorona modely politika momba ny fiarovana ho an'ny IPS/IDS, URL-F, na AMP fanasivanana
Asa 2: Mamorona maodely endri-javatra ho an'ny fampiantranoana fampiharana fiarovana
Asa 3: Mamorona modely fitaovana

Asa 4: Ampifandraiso amin'ny Modely fitaovana ny fitaovana
Mamorona modely politika fiarovana

1. Avy amin'ny menio Cisco SD-WAN Manager, safidio ny Configuration> Security.
2. Kitiho ny Add Security Policy.
3. Ao amin'ny fikandrana Add Security Policy, safidio ny scenario fiarovana anao amin'ny lisitry ny safidy.
4. Tsindrio Proceed.

Mamorona maodely endri-javatra ho an'ny fampiantranoana fampiharana fiarovana
Ny feature profile Ny template dia manamboatra fiasa roa:

• NAT: Mamela na manafoana ny Network Address Translation (NAT), izay miaro ny adiresy IP anatiny rehefa ivelan'ny firewall.
• Resource Profile: Manome loharano mahazatra na avo lenta ho an'ny zanabolana na fitaovana samihafa.

A feature profile môdely, na dia tsy tena ilaina aza, dia asaina.

Mba hamoronana endri-javatra profile môdely, araho ireto dingana ireto:

1. Avy amin'ny menio Cisco SD-WAN Manager, safidio ny Configuration> Templates.
2. Tsindrio Feature Templates ary tsindrio Add Template.
   Ao amin'ny Cisco vManage Release 20.7.1 sy ny famoahana teo aloha dia antsoina hoe Feature.
3. Avy amin'ny lisitry ny Select Devices, safidio ny fitaovana tianao ampifandraisina amin'ny môdely.
4. Eo ambanin'ny fampahalalana fototra, tsindrio Security App Hosting.
5. Ampidiro ny anarana sy ny famaritana template.
6. Eo ambanin'ny paramètres politika fiarovana, amboary ny masontsivana politikam-piarovana raha ilaina.
   • Alefaso na esory ny endri-javatra Network Address Translation (NAT), mifototra amin'ny tranga fampiasanao. Amin'ny alàlan'ny default, mandeha ny NAT.
   • Kitiho ny zana-tsipìka midina mba hametrahana fetran'ny politika. Ny default dia Default.
   Global: Mamela ny NAT ho an'ny fitaovana rehetra mifandray amin'ny môdely.
   Fitaovana manokana: Mamela ny NAT ho an'ny fitaovana voafaritra ihany. Raha misafidy Device Specific ianao dia ampidiro ny anaran'ny fanalahidin'ny fitaovana iray.
   Default: Mandefa ny politikan'ny NAT default ho an'ny fitaovana mifandray amin'ny môdely.
   • Mametraha Resource Profile. Ity safidy ity dia mametraka ny isan'ny tranga snort ampiasaina amin'ny router. Ny default dia Low izay manondro ohatra snort iray. Ny antonony dia manondro tranga roa ary ny ambony dia manondro tranga telo.
   • Kitiho ny zana-tsipìka midina hanisy fetra ho an'ny pro resourcefile. Ny default dia Global.
   Maneran-tany: Mandeha ny pro resource voafantinafile ho an'ny fitaovana rehetra mifandray amin'ny môdely.
   Fitaovana manokana: Mandeha ny profile ho an'ny fitaovana voafaritra ihany. Raha misafidy Device Specific ianao dia ampidiro ny anaran'ny fanalahidin'ny fitaovana iray.
   Default: Mandefa ny pro resource defaultfile ho an'ny fitaovana mifandray amin'ny môdely.
7. Set Download URL Database amin'ny Device mankany Eny raha te-hisintona ny URL-F database amin'ny fitaovana. Amin'ity tranga ity, mijery ao amin'ny angon-drakitra eo an-toerana ilay fitaovana alohan'ny hanandrana ny fitadiavana rahona.
8. Tsindrio Save.

Mamorona modely fitaovana
Mba hampavitrika ny politika tianao hampiharina dia azonao atao ny mamorona môdely fitaovana izay hanosika ny politika ho any amin'ireo fitaovana mila azy ireo. Ny safidy misy dia miovaova arakaraka ny karazana fitaovana. Ho an'ny exampNy fitaovana Cisco SD-WAN Manager dia mitaky ampahany voafetra amin'ny môdely fitaovana lehibe kokoa. Safidy manan-kery ho an'io modely fitaovana io ihany no ho hitanao.
Raha hamorona môdely fitaovana fiarovana, araho ity example ho an'ny router modely vEdge 2000:

1. Avy amin'ny menio Cisco SD-WAN Manager, safidio ny Configuration> Templates.
2. Kitiho ny Templates Device, ary mifidiana Mamorona Template > Avy amin'ny Template Feature.
   Ao amin'ny Cisco vManage Release 20.7.1 sy ny famoahana teo aloha, ny Device Templates dia antsoina hoe Device.
3. Avy amin'ny lisitry ny fampidinana Modely fitaovana, safidio ny modely fitaovana.
4. Avy amin'ny lisitry ny fidinan'ny Device Role, safidio ny andraikitry ny fitaovana.
5. Ampidiro ny anarana sy ny famaritana template.
6. Alefaso midina ny pejy mankany amin'ny submenus config izay ahafahanao misafidy môdely efa misy, mamorona môdely vaovao, na view ny môdely efa misy. Ho an'ny exampary, raha hamorona môdely System vaovao, tsindrio Create Template.

Ampifandraiso amin'ny Modely ny fitaovana

1. Avy amin'ny menio Cisco SD-WAN Manager, safidio ny Configuration> Templates.
2. Kitiho ny Templates Device, ary mifidiana Mamorona Template > Avy amin'ny Template Feature.
   Ao amin'ny Cisco vManage Release 20.7.1 sy ny famoahana teo aloha, ny Device Templates dia antsoina hoe Device.
3. Ao amin'ny laharan'ny môdely fitaovana irina, tsindrio ... ary mifidiana Attach Devices.
4. Ao amin'ny fikandrana Attach Devices, safidio ny fitaovana irina avy amin'ny lisitry ny fitaovana azo ampiasaina, ary tsindrio ny zana-tsipìka manondro havanana mba hamindra azy ireo amin'ny lisitry ny fitaovana voafantina.
5. Tsindrio Attach.

Fantaro ny dikan-tsary virtoaly fiarovana atolotra

Indraindray, azonao atao ny manamarina ny laharana famotsorana Security Virtual Image (SVI) ho an'ny fitaovana iray. Raha hanamarina izany amin'ny alàlan'ny Cisco SD-WAN Manager:
Dingana 1
Avy amin'ny menio Cisco SD-WAN Manager, safidio ny Monitor> Devices.
Cisco vManage Release 20.6.x sy teo aloha: Avy amin'ny menio Cisco SD-WAN Manager, safidio ny Monitor> Network.
Dingana 2
Mifidiana WAN - Edge.
Dingana 3
Fidio ny fitaovana izay hampandeha ny SVI.
Ny pejy System Status dia miseho.
Dingana 4
Mandehana mankany amin'ny faran'ny menio fitaovana, ary tsindrio ny Real Time.
Miseho ny pejy fampahalalana momba ny rafitra.
Dingana 5
Tsindrio ny Device Options saha, ary mifidiana Security App Version Status avy amin'ny sakafo.
Dingana 6
Ny anaran'ny sary dia aseho ao amin'ny tsanganana Version Recommended. Tokony hifanaraka amin'ny SVI misy ho an'ny router-nao avy amin'ny fampidinana Cisco website.

Alefaso any amin'ny mpitantana Cisco SD-WAN ny Cisco Security Virtual Image

Ny sarin'ny router tsirairay dia manohana dikan-teny manokana ho an'ny fampiharana nampiantranoana. Ho an'ny IPS/IDS sy URL-Ny fanivanana, dia afaka mahita ny isan'ny dikan-teny tohanana (sy ny dikan-teny atolotra) ho an'ny fitaovana iray ao amin'ny pejin'ny Device Options.
Rehefa nesorina tamin'ny fitaovana Cisco IOS XE Catalyst SD-WAN ny politikan'ny fiarovana, dia esorina amin'ireo fitaovana ihany koa ny motera Virtual Image na Snort.

Dingana 1 Avy amin'ny pejy Download Software ho an'ny router-nao, tadiavo ny sary UTD Engine ho an'ny IOS XE SD-WAN.
Dingana 2 Tsindrio ny fampidinana raha hisintona ny sary file.
Dingana 3 Avy amin'ny menio Cisco SD-WAN Manager, safidio ny fikojakojana> Software Repository
Dingana 4 Mifidiana sary virtoaly.
Dingana 5 Kitiho ny Ampidiro ny sary virtoaly, ary safidio ny vManage na Remote Server - vManage. Misokatra ny varavarankelin'ny Upload Virtual Image to vManage.
Dingana 6 Tariho ary ampidino, na mijery ny sary file.
Dingana 7 Tsindrio ny Upload. Rehefa vita ny fampiakarana dia misy hafatra fanamafisana miseho. Ny sary virtoaly vaovao dia miseho ao amin'ny Virtual Images Software Repository.

Fanavaozana sary virtoaly fiarovana

Rehefa misy fitaovana Cisco IOS XE Catalyst SD-WAN nohavaozina ho sary rindrankajy vaovao, dia tsy maintsy havaozina koa ny sary virtoaly fiarovana mba hifanaraka amin'izany. Raha tsy mifanaraka amin'ny sarin'ny rindrambaiko dia tsy hahomby ny fanosehana môdely VPN amin'ilay fitaovana.
Raha alefa ny safidy IPS Signature Update, dia havaozina ho azy ny fonosana sonia IPS mifanaraka amin'ny ampahany amin'ny fanavaozana. Azonao atao ny mamela ny fanovana avy amin'ny Administration> Settings> IPS Signature Update.
Raha te hanavao ny fampiharana fampiantranoana sary virtoaly ho an'ny fitaovana iray, araho ireto dingana ireto:

Dingana 1 Araho ny dingana ao amin'ny Ampidiro ny sary virtoaly Cisco Security ho vManage mba hisintonana ny dikan-tsarimihetsika SVI ho an'ny router-nao. Mariho ny anarana dikan-.
Dingana 2 Avy amin'ny menio Cisco SD-WAN Manager, safidio ny fikojakojana> Software Repository> Sary virtoaly mba hanamarina fa ny dikan-tsary voatanisa eo ambanin'ny tsanganana Recommended Version dia mifanandrify amin'ny sary virtoaly voatanisa ao amin'ny tabilao virtoaly.
Dingana 3 Avy amin'ny menio Cisco SD-WAN Manager, fidio Fikojakojana> Fanavaozana ny rindrambaiko. Ny pejy fanavaozana WAN Edge Software dia miseho.
Dingana 4 Safidio ny fitaovana tianao havaozina, ary jereo ny boaty marika eo amin'ny tsanganana ankavia indrindra. Rehefa nisafidy fitaovana iray na maromaro ianao dia hiseho ny andalana misy safidy, ary koa ny isan'ny andalana nofidinao.
Dingana 5 Rehefa afa-po amin'ny safidinao ianao dia mifidiana Upgrade Virtual Image avy amin'ny menio safidy. Miseho ny boaty fifanakalozan-dresaka Virtual Image Upgrade.
Dingana 6 Ho an'ny fitaovana tsirairay nofidinao, safidio ny kinova fanavaozana marina avy amin'ny menio midina midina.
Dingana 7 Rehefa nisafidy ny fanavaozana ho an'ny fitaovana tsirairay ianao, tsindrio ny Upgrade. Rehefa vita ny fanavaozana dia misy hafatra fanamafisana miseho.

Documents / Loharano

CISCO SD-WAN Catalyst Security Configuration [pdf] Torolàlana ho an'ny mpampiasa SD-WAN, SD-WAN Catalyst Security Configuration, Catalyst Security Configuration, Security Configuration, Configuration

References

• User Manual