Hevitra ato Anatiny afeno ny
1 CISCO SD-WAN Ampifandraiso ireo paramètres fiarovana
2 Ampifanaraho ny paramètre fiarovana
3 Ampifanaraho ny paramètre fiarovana amin'ny fiaramanidina
4 Amboary ny DTLS ao amin'ny Cisco SD-WAN Manager
5 Ampifanaraho ny paramètre fiarovana ny fiaramanidina data
6 Ampifanaraho ireo karazana fanamarinana azo atao
7 Hanova ny Timer Rekeying
8 Hanova ny haben'ny Window Anti-Replay
9 Manamboara lalana IPsec Static
10 Ampifanaraho ny paramètre Tunnel IPsec
11 Ovao ny IKE Dead-Peer Detection
12 Ampifanaraho ny fananana Interface hafa
13 Esory ny Algorithm Encryption Weak SSH amin'ny Cisco SD-WAN Manager
14 Documents / Loharano
14.1 References

CISCO-LOGO

CISCO SD-WAN Ampifandraiso ireo paramètres fiarovana

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Ampifanaraho ny paramètre fiarovana

Fanamarihana

Mba hahazoana fanatsorana sy tsy miovaova, ny vahaolana Cisco SD-WAN dia novana anarana ho Cisco Catalyst SD-WAN. Ankoatra izany, avy amin'ny Cisco IOS XE SD-WAN Release 17.12.1a sy Cisco Catalyst SD-WAN Release 20.12.1, dia azo ampiharina ireto fanovana singa manaraka ireto: Cisco vManage ho an'ny Cisco Catalyst SD-WAN Manager, Cisco vAnalytics ho an'ny Cisco Catalyst SD-WAN Analytics, Cisco vBond mankany Cisco Catalyst SD-WAN Validator, ary Cisco vSmart ho Cisco Catalyst SD-WAN Controller. Jereo ny naoty famoahana farany ho an'ny lisitra feno amin'ny fanovana anarana marika singa rehetra. Raha mifindra amin'ny anarana vaovao isika, dia mety hisy ny tsy fitovian-kevitra sasany ao amin'ny antontan-taratasy napetraka noho ny fomba fiasa miandalana amin'ny fanavaozam-baovaon'ny mpampiasa amin'ny vokatra rindrambaiko.

Ity fizarana ity dia mamaritra ny fomba hanovana masontsivana fiarovana ho an'ny fiaramanidina fanaraha-maso sy ny fiaramanidina data ao amin'ny tambajotra overlay Cisco Catalyst SD-WAN.

  • Ampifanaraho ny paramètre fiarovana amin'ny fiaramanidina fanaraha-maso, mandeha
  • Ampifanaraho ny paramètre fiarovana amin'ny fiaramanidina data, mandeha
  • Tefeo ny tonelina IPsec IKE-Enabled, mandeha
  • Atsaharo ny Algorithm Encryption Weak SSH amin'ny Cisco SD-WAN Manager, on

Ampifanaraho ny paramètre fiarovana amin'ny fiaramanidina

Amin'ny alàlan'ny default, ny fiaramanidina fanaraha-maso dia mampiasa DTLS ho protocol izay manome fiainana manokana amin'ny tonelina rehetra. Ny DTLS dia mihazakazaka amin'ny UDP. Azonao atao ny manova ny protocole fiarovana amin'ny fiaramanidina fanaraha-maso ho TLS, izay mandeha amin'ny TCP. Ny antony voalohany hampiasana ny TLS dia ny hoe, raha heverinao ho mpizara ny Cisco SD-WAN Controller, ny firewall dia miaro ny mpizara TCP tsara kokoa noho ny mpizara UDP. Ampifanaraho amin'ny Cisco SD-WAN Controller ny protocole tonelina fiaramanidina fanaraha-maso: vSmart(config)# protocole fanaraha-maso fiarovana tls Miaraka amin'io fiovana io, ny tonelina rehetra mifehy ny fiaramanidina eo anelanelan'ny Cisco SD-WAN Controller sy ny router ary eo anelanelan'ny Cisco SD-WAN Controller. ary Cisco SD-WAN Manager dia mampiasa TLS. Ny tonelina fiaramanidina mifehy ny Cisco Catalyst SD-WAN Validator dia mampiasa DTLS foana, satria ireo fifandraisana ireo dia tsy maintsy ataon'ny UDP. Ao amin'ny sehatra misy Cisco SD-WAN Controllers marobe, rehefa manamboatra TLS amin'ny iray amin'ireo Cisco SD-WAN Controllers ianao, dia mampiasa TLS ny tonelina fiaramanidina rehetra avy amin'io mpanara-maso io mankany amin'ny mpanara-maso hafa. Raha lazaina amin'ny fomba hafa, ny TLS dia mibahan-toerana foana noho ny DTLS. Na izany aza, amin'ny fomba fijerin'ny Cisco SD-WAN Controllers hafa, raha tsy nanamboatra TLS tamin'izy ireo ianao, dia mampiasa TLS amin'ny tonelina fiaramanidina fanaraha-maso fotsiny izy ireo amin'ny Cisco SD-WAN Controller, ary mampiasa tionelina DTLS amin'ny hafa rehetra. Cisco SD-WAN Controllers sy ny router rehetra mifandray aminy. Raha te hampiasa TLS ny Cisco SD-WAN Controllers rehetra dia amboary amin'izy rehetra izany. Amin'ny alàlan'ny default, ny Cisco SD-WAN Controller dia mihaino amin'ny seranana 23456 ho an'ny fangatahana TLS. Raha hanova izany: vSmart(config)# fanaraha-maso fiarovana tls-serasera laharana Ny seranan-tsambo dia mety ho isa 1025 hatramin'ny 65535. Mba hampisehoana ny fampahafantarana momba ny fiarovana ny fiaramanidina dia ampiasao ny baikon'ny fifandraisana fanaraha-maso amin'ny Cisco SD-WAN Controller. Ho an'ny example: vSmart-2# mampiseho fifandraisana fanaraha-maso

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Amboary ny DTLS ao amin'ny Cisco SD-WAN Manager

Raha amboarinao ny Cisco SD-WAN Manager hampiasa TLS ho protocole fiarovana amin'ny fiaramanidina fanaraha-maso, dia tsy maintsy mamela ny fandefasana seranan-tsambo amin'ny NAT-nao ianao. Raha mampiasa DTLS ianao ho protocole fiarovana amin'ny fiaramanidina, dia tsy mila manao na inona na inona ianao. Ny isan'ny seranana alefa dia miankina amin'ny isan'ny dingana vdaemon mandeha amin'ny Cisco SD-WAN Manager. Mba hampisehoana fampahalalana momba ireo dingana ireo sy ny momba ary ny isan'ny seranana alefa, ampiasao ny baiko famintinana fanaraha-maso mampiseho fa misy dingana daemon efatra mandeha:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Raha te hijery ny seranana fihainoana dia ampiasao ny baiko aseho amin'ny fanaraha-maso an-toerana: vManage# asehoy fanaraha-maso ny fananana eo an-toerana.

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Ity vokatra ity dia mampiseho fa ny seranan-tsambo TCP mihaino dia 23456. Raha mitantana Cisco SD-WAN Manager ao ambadiky ny NAT ianao, dia tokony hanokatra ireto seranana manaraka ireto amin'ny fitaovana NAT ianao:

  • 23456 (base - ohatra 0 port)
  • 23456 + 100 (fototra + 100)
  • 23456 + 200 (fototra + 200)
  • 23456 + 300 (fototra + 300)

Mariho fa ny isan'ny tranga dia mitovy amin'ny isan'ny cores nomenao ho an'ny Cisco SD-WAN Manager, hatramin'ny 8 fara-fahakeliny.

Ampifanaraho ny paramètre fiarovana amin'ny fampiasana ny maodely momba ny fiarovana

Ampiasao ny môdely fiarovana amin'ny fitaovana Cisco vEdge rehetra. Eo amin'ny sisin'ny router sy amin'ny Cisco SD-WAN Validator, ampiasao ity môdely ity hanitsiana ny IPsec ho an'ny fiarovana ny fiaramanidina data. Ao amin'ny Cisco SD-WAN Manager sy Cisco SD-WAN Controller, ampiasao ny maodely momba ny fiarovana mba hanitsiana ny DTLS na TLS ho an'ny fiarovana ny fiaramanidina.

Ampifanaraho ny paramètre fiarovana

  1. Avy amin'ny menio Cisco SD-WAN Manager, safidio ny Configuration> Templates.
  2. Tsindrio Feature Templates ary tsindrio Add Template.
    Fanamarihana Ao amin'ny Cisco vManage Release 20.7.1 sy ny famoahana teo aloha dia antsoina hoe Feature.
  3. Avy amin'ny lisitry ny fitaovana eo amin'ny tontonana havia, mifidiana fitaovana iray. Ny môdely azo ampiharina amin'ny fitaovana voafantina dia miseho eo amin'ny tontonana havanana.
  4. Kitiho ny Security hanokatra ny môdely.
  5. Ao amin'ny saha Name Template, midira anarana ho an'ny môdely. Ny anarana dia mety hahatratra 128 tarehintsoratra ary tsy misy afa-tsy tarehintsoratra alfanumerika.
  6. Ao amin'ny saha Famaritana ny template, ampidiro ny famaritana ny môdely. Ny famaritana dia mety hahatratra 2048 tarehintsoratra ary tsy misy afa-tsy tarehintsoratra alfanumerika.

Rehefa manokatra môdely endri-javatra voalohany ianao, ho an'ny mari-pamantarana tsirairay izay manana sanda voafantina, dia apetraka amin'ny Default ny velarana (voatondro amin'ny mari-pamantarana), ary aseho ny toerana na ny sandany. Raha hanova ny default na hampidirana sanda, kitiho ny menio midina midina eo ankavian'ny sahan'ny parameter ary mifidiana iray amin'ireto manaraka ireto:

tabilao 1:

fikirana sehatra Famariparitana ny sehatra
Fitaovana manokana (voatondro amin'ny kisary mpampiantrano) Mampiasà sanda manokana ho an'ny fitaovana. Ho an'ny masontsivana manokana amin'ny fitaovana dia tsy afaka mampiditra sanda ao amin'ny maodely endri-javatra ianao. Ampidiro ny sanda rehefa mametaka fitaovana Viptela amin'ny môdely fitaovana ianao.

Rehefa tsindrio ny Device Specific dia misokatra ny boaty Enter Key. Ity boaty ity dia mampiseho fanalahidy iray, izay tady tokana izay mamaritra ny mari-pamantarana amin'ny CSV file izay noforoninao. izany file dia takelaka Excel izay misy tsanganana iray isaky ny fanalahidy. Ny andalana lohapejy dia misy ny anaran'ny fanalahidy (fanalahidy iray isaky ny tsanganana), ary ny andalana tsirairay aorian'izany dia mifanitsy amin'ny fitaovana iray ary mamaritra ny sandan'ny fanalahidy ho an'io fitaovana io. Mampakatra ny CSV ianao file rehefa mampifandray fitaovana Viptela amin'ny môdely fitaovana ianao. Raha mila fanazavana fanampiny dia jereo ny Mamorona ny Template Variable Spreadsheet.

Raha hanova ny lakilen'ny default, soraty ny tady vaovao ary esory ny cursor ao amin'ny boaty Enter Key.

ExampNy masontsivana manokana amin'ny fitaovana dia ny adiresy IP rafitra, ny anaran'ny mpampiantrano, ny toerana GPS ary ny ID toerana.
fikirana sehatra Famariparitana ny sehatra
Global (voatondro amin'ny kisary globe) Ampidiro sanda ho an'ny masontsivana, ary ampiharo izany sanda izany amin'ny fitaovana rehetra.

ExampNy masontsivana vitsivitsy azonao ampiharina eran-tany amin'ny vondrona fitaovana dia mpizara DNS, mpizara syslog ary MTU interface tsara.

Ampifanaraho ny fiarovana ny fiaramanidina

Fanamarihana
Ny fizarana Configure Control Plane Security dia mihatra amin'ny Cisco SD-WAN Manager sy Cisco SD-WAN Controller ihany. ary amboary ireto parameter manaraka ireto:

tabilao 2:

fikirana Anarana Description
fifanarahana Safidio ny protocol ampiasaina amin'ny fifandraisana amin'ny fiaramanidina fanaraha-maso amin'ny Cisco SD-WAN Controller:

• DTLS (Datagram Transport Layer Security). Ity no default.

• TLS (Security Layer Transport)
Mifehy ny TLS Port Raha nisafidy TLS ianao dia amboary ny laharan'ny seranan-tsambo hampiasaina:Sarona: 1025 hatramin’ny 65535Default: 23456

Tsindrio Save

Ampifanaraho ny fiarovana ny fiaramanidina data
Raha te handrindra ny fiarovana ny fiaramanidina data amin'ny Cisco SD-WAN Validator na ny router Cisco vEdge, safidio ny tabilao Basic Configuration and Authentication Type, ary amboary ireto mason-tsivana manaraka ireto:

tabilao 3:

fikirana Anarana Description
Rekey Time Lazao hoe impiry ny router Cisco vEdge no manova ny lakile AES ampiasaina amin'ny fifandraisana DTLS azo antoka amin'ny Cisco SD-WAN Controller. Raha alefa ny OMP graceful restart dia tsy maintsy avo roa heny fara-fahakeliny ny sandan'ny fameram-potoana fanombohana mahafinaritra OMP.Sarona: 10 hatramin'ny 1209600 segondra (14 andro)Default: 86400 segondra (24 ora)
Replay Window Lazao ny haben'ny varavarankelin'ny sliding replay.

Soatoavina: 64, 128, 256, 512, 1024, 2048, 4096, 8192 fonosanaDefault: 512 pts
IPsec

pairwise-keying

 Ity dia vonoina amin'ny alàlan'ny default. tsindrio On hamelona azy.
fikirana Anarana Description
Karazana fanamarinana Safidio ny karazana fanamarinana avy amin'ny fanamarinana Lisitra, ary tsindrio ny zana-tsipìka manondro havanana mba hamindra ireo karazana fanamarinana mankany amin'ny Lisitra voafantina tsanganana.

Karazana fanamarinana tohanan'ny Cisco SD-WAN Release 20.6.1:

•  esp: Mamela ny Encapsulating Security Payload (ESP) encryption sy fanamarinana ny fahamendrehana amin'ny lohatenin'ny ESP.

•  ip-udp-esp: Mamela ny fanafenana ESP. Ho fanampin'ny fisavana ny fahamendrehana amin'ny lohatenin'ny ESP sy ny enta-mavesatra, ny fanamarinana dia misy ihany koa ny lohatenin'ny IP ivelany sy ny UDP.

•  ip-udp-esp-no-id: Tsy miraharaha ny saha ID ao amin'ny lohatenin'ny IP mba hahafahan'ny Cisco Catalyst SD-WAN miasa miaraka amin'ny fitaovana tsy Cisco.

•  tsy misy: Mamono ny fanamarinana ny fahamendrehana amin'ny fonosana IPSec. Tsy manoro hevitra ny fampiasana an'io safidy io izahay.

 

Karazana fanamarinana tohanan'ny Cisco SD-WAN Release 20.5.1 sy taloha:

•  ah-tsy-id: Alefaso ny kinova nohatsaraina an'ny AH-SHA1 HMAC sy ESP HMAC-SHA1 izay tsy miraharaha ny saha ID ao amin'ny lohatenin'ny IP ivelany an'ny fonosana.

•  ah-sha1-hmac: Alefaso ny AH-SHA1 HMAC sy ESP HMAC-SHA1.

•  tsy misy: Fanteno tsy misy fanamarinana.

•  sha1-hmac: Alefaso ny ESP HMAC-SHA1.

 

Fanamarihana              Ho an'ny fitaovana sisiny mandeha amin'ny Cisco SD-WAN Release 20.5.1 na teo aloha, dia mety efa nanamboatra karazana fanamarinana ianao tamin'ny fampiasana a ARO môdely. Rehefa manavao ny fitaovana amin'ny Cisco SD-WAN Release 20.6.1 na aoriana ianao, dia havaozy ireo karazana fanamarinana voafantina ao amin'ny ARO môdely amin'ireo karazana fanamarinana tohanan'ny Cisco SD-WAN Release 20.6.1. Mba hanavaozana ny karazana fanamarinana dia ataovy izao manaraka izao:

1.      Avy amin'ny menio Cisco SD-WAN Manager, safidio fanahafana >

iombonana.

2.      tsindrio Modely misy endri-javatra.

3.      Tadiavo ny ARO môdely havaozina sy tsindrio ... ary tsindrio Ovay.

4.      tsindrio vaovao farany. Aza ovaina na inona na inona config.

Cisco SD-WAN Manager dia manavao ny ARO môdely hanehoana ireo karazana fanamarinana tohana.

Tsindrio Save.

Ampifanaraho ny paramètre fiarovana ny fiaramanidina data

Ao amin'ny fiaramanidina data, IPsec dia alefa amin'ny alàlan'ny default amin'ny router rehetra, ary amin'ny alàlan'ny default IPsec tunnel connections dia mampiasa dikan-teny nohatsaraina amin'ny protocol Encapsulating Security Payload (ESP) ho fanamarinana amin'ny tonelina IPsec. Ao amin'ny routers, azonao atao ny manova ny karazana fanamarinana, ny fameram-potoana famerenana ny IPsec, ary ny haben'ny varavarankelin'ny IPsec anti-replay.

Ampifanaraho ireo karazana fanamarinana azo atao

Karazana fanamarinana ao amin'ny Cisco SD-WAN Release 20.6.1 sy aoriana
Avy amin'ny Cisco SD-WAN Release 20.6.1, ireto karazana fahamendrehana manaraka ireto dia tohana:

  • esp: Ity safidy ity dia ahafahan'ny Encapsulating Security Payload (ESP) encryption sy fanamarinana ny fahamendrehana amin'ny lohatenin'ny ESP.
  • ip-udp-esp: Ity safidy ity dia mamela ny fanafenana ESP. Ho fanampin'ny fisavana ny fahamendrehana amin'ny lohatenin'ny ESP sy ny enta-mavesatra, ny fanamarinana dia misy ihany koa ny lohatenin'ny IP ivelany sy ny UDP.
  • ip-udp-esp-no-id: Ity safidy ity dia mitovy amin'ny ip-udp-esp, na izany aza, ny sahan'ny ID amin'ny lohapejy IP ivelany dia tsy raharahaina. Ampifanaraho amin'ny lisitry ny karazana fahamendrehana ity safidy ity mba tsy hiraharaha ny rindrankajy Cisco Catalyst SD-WAN ny saha ID ao amin'ny lohatenin'ny IP mba hahafahan'ny Cisco Catalyst SD-WAN miasa miaraka amin'ny fitaovana tsy Cisco.
  • tsy misy: Ity safidy ity dia mamadika ny fanamarinana ny fahamendrehana amin'ny fonosana IPSec. Tsy manoro hevitra ny fampiasana an'io safidy io izahay.

Amin'ny alàlan'ny default, ny fifandraisana tonelina IPsec dia mampiasa dikan-teny nohatsaraina amin'ny protocol Encapsulating Security Payload (ESP) ho fanamarinana. Raha hanova ny karazana interity nifampiraharaha na hanaisotra ny fanamarinana ny fahamendrehana, ampiasao ity baiko manaraka ity: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp}

Karazana fanamarinana alohan'ny famoahana Cisco SD-WAN 20.6.1
Amin'ny alàlan'ny default, ny fifandraisana tonelina IPsec dia mampiasa dikan-teny nohatsaraina amin'ny protocol Encapsulating Security Payload (ESP) ho fanamarinana. Raha hanova ny karazana fanamarinana nifampiraharaha na hanaisotra ny fanamarinana, ampiasao ity baiko manaraka ity: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Amin'ny alàlan'ny default, IPsec Ny fifandraisana tonelina dia mampiasa AES-GCM-256, izay manome fanafenana sy fanamarinana. Amboary ny karazana fanamarinana tsirairay miaraka amin'ny baiko karazana authentication ipsec fiarovana. Ny safidy baiko dia sarintany amin'ireto karazana fanamarinana manaraka ireto, izay voatanisa araka ny filaharany avy amin'ny matanjaka indrindra ka hatramin'ny kely indrindra:

Fanamarihana
Ny sha1 amin'ny safidy config dia ampiasaina noho ny antony ara-tantara. Ny safidy fanamarinana dia manondro ny habetsaky ny fanamarinana ny fahamendrehan'ny fonosana vita. Tsy mamaritra ny algorithm izay manamarina ny fahamendrehana izy ireo. Afa-tsy ny fanafenana ny fifamoivoizana multicast, ny algorithma fanamarinana tohanan'ny Cisco Catalyst SD WAN dia tsy mampiasa SHA1. Na izany aza, ao amin'ny Cisco SD-WAN Release 20.1.x sy ny manaraka dia tsy mampiasa SHA1 ny unicast na ny multicast.

  • ah-sha1-hmac dia ahafahan'ny encryption sy encapsulation mampiasa ESP. Na izany aza, ho fanampin'ny fanamarinana ny fahamendrehana amin'ny lohatenin'ny ESP sy ny enta-mavesatra, ny fisavana dia misy ihany koa ny lohatenin'ny IP ivelany sy ny UDP. Noho izany, ity safidy ity dia manohana ny fanamarinana ny fahamendrehan'ny fonosana mitovy amin'ny protocol Authentication Header (AH). Ny fahamendrehana sy ny fanafenana rehetra dia atao amin'ny AES-256-GCM.
  • ah-no-id dia manome fomba iray mitovy amin'ny ah-sha1-hmac, na izany aza, ny sahan'ny ID amin'ny lohapejy IP ivelany dia tsy noraharahiana. Ity safidy ity dia mametraka fitaovana SD-WAN tsy Cisco Catalyst, ao anatin'izany ny Apple AirPort Express NAT, izay manana bug izay mahatonga ny sahan'ny ID ao amin'ny lohatenin'ny IP, sehatra tsy miova. Ampifanaraho ny safidy ah-no-id ao amin'ny lisitry ny karazana fanamarinana mba hananana ny Cisco Catalyst SD-WAN AH rindrambaiko tsy miraharaha ny ID saha ao amin'ny IP lohapejy mba ny Cisco Catalyst SD-WAN rindrambaiko afaka miasa miaraka amin'ireo fitaovana ireo.
  • sha1-hmac dia mamela ny fanafenana ESP sy ny fanamarinana ny fahamendrehana.
  • tsy misy sarintany tsy misy authentication. Ity safidy ity dia tsy tokony hampiasaina raha ilaina amin'ny debugging vonjimaika. Azonao atao ihany koa ny misafidy ity safidy ity amin'ny toe-javatra izay tsy misy olana ny fanamarinana ny fiaramanidina data sy ny fahamendrehana. Tsy manoro hevitra ny Cisco ny fampiasana io safidy io ho an'ny tambajotra famokarana.

Raha mila fanazavana momba ny saha fonosana angon-drakitra voakasik'ireo karazana fanamarinana ireo dia jereo ny Data Plane Integrity. Ny fitaovana Cisco IOS XE Catalyst SD-WAN sy ny fitaovana Cisco vEdge dia manao dokambarotra ny karazana fanamarinana voarindra ao amin'ny fananan'izy ireo TLOC. Ny router roa eo amin'ny andaniny roa amin'ny fifandraisana tonelina IPsec dia mifampiraharaha ny fanamarinana hampiasaina amin'ny fifandraisana misy eo amin'izy ireo, amin'ny fampiasana ny karazana fanamarinana matanjaka indrindra izay natsangana amin'ny roa amin'ireo router. Ho an'ny example, raha misy ny router iray manao dokam-barotra ny ah-sha1-hmac sy ah-no-id karazana, ary ny router faharoa manao dokam-barotra ny ah-no-id karazana, ny router roa mifampiraharaha amin'ny fampiasana ah-no-id amin'ny IPsec tonelina fifandraisana eo. azy ireo. Raha tsy misy karazana fanamarinana mahazatra napetraka amin'ny peer roa, dia tsy misy tonelina IPsec napetraka eo anelanelan'izy ireo. Miankina amin'ny karazana fifamoivoizana ny algorithm encryption amin'ny fifandraisana tonelina IPsec:

  • Ho an'ny fifamoivoizana unicast, ny algorithm encryption dia AES-256-GCM.
  • Ho an'ny fifamoivoizana multicast:
  • Cisco SD-WAN Release 20.1.x sy aoriana- ny algorithm encryption dia AES-256-GCM
  • Famoahana teo aloha- ny algorithm encryption dia AES-256-CBC miaraka amin'ny SHA1-HMAC.

Rehefa ovaina ny karazana fanamarinana IPsec dia ovaina ny lakile AES ho an'ny lalan'ny angona.

Hanova ny Timer Rekeying

Alohan'ny ahafahan'ny fitaovana Cisco IOS XE Catalyst SD-WAN sy ny fitaovana Cisco vEdge mifanakalo ny fifamoivoizan'ny angon-drakitra, dia nanangana fantsom-pifandraisana azo antoka azo antoka izy ireo. Ny router dia mampiasa tonelina IPSec eo anelanelan'izy ireo ho fantsona, ary ny cipher AES-256 hanaovana encryption. Ny router tsirairay dia mamokatra fanalahidy AES vaovao ho an'ny lalan'ny angonany tsindraindray. Amin'ny alàlan'ny default, manankery mandritra ny 86400 segondra (24 ora) ny lakile iray, ary 10 segondra ka hatramin'ny 1209600 segondra (14 andro) ny faharetan'ny famerana. Raha hanova ny sandan'ny fameram-potoana rekey: Device(config)# security ipsec rekey seconds Toy izao ny fikirakirana:

  • fiarovana ipsec rekey segondra!

Raha te hamorona fanalahidy IPsec vaovao avy hatrany ianao dia azonao atao izany raha tsy manova ny fanamafisam-peo ny router. Mba hanaovana izany, apetraho ny baiko fangatahana fiarovana ipsecrekey amin'ny router simba. Ho an'ny exampIty vokatra manaraka ity dia mampiseho fa ny SA eo an-toerana dia manana Index Parameter Security (SPI) amin'ny 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Ny fanalahidy tokana dia mifandray amin'ny SPI tsirairay. Raha simbaina io famaha io dia ampiasao ny baiko fangatahana fiarovana ipsec-rekey mba hamoronana fanalahidy vaovao avy hatrany. Ity baiko ity dia mampitombo ny SPI. Amin'ny example, miova ho 257 ny SPI ary ampiasaina izao ny fanalahidy mifandraika amin'izany:

  • Mitaky fiarovana ipsecrekey ny fitaovana#
  • Ny fitaovana # dia mampiseho ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Rehefa voaforona ny fanalahidy vaovao, dia alefan'ny router avy hatrany any amin'ny Cisco SD-WAN Controllers mampiasa DTLS na TLS. Ny Cisco SD-WAN Controllers dia mandefa ny fanalahidin'ny peer routers. Ny router dia manomboka mampiasa izany raha vao mahazo izany. Mariho fa ny fanalahidy mifandraika amin'ny SPI taloha (256) dia mbola hampiasaina mandritra ny fotoana fohy mandra-pahatapitry ny fotoana. Mba hampitsaharana ny fampiasana ny lakile taloha avy hatrany dia alefaso indroa ny baiko fangatahana fiarovana ipsec-rekey, misesy haingana. Ity filaharan'ny baiko ity dia manaisotra ny SPI 256 sy 257 ary mametraka ny SPI ho 258. Avy eo ny router dia mampiasa ny fanalahidy mifandraika amin'ny SPI 258. Mariho anefa fa ny fonosana sasany dia hajanona mandritra ny fotoana fohy mandra-pianaran'ny router lavitra rehetra. ny fanalahidy vaovao.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Hanova ny haben'ny Window Anti-Replay

Ny fanamarinana IPsec dia manome fiarovana manohitra ny famerenana amin'ny alàlan'ny fanomezana laharana filaharana tokana ho an'ny fonosana tsirairay ao anaty stream data. Ity fanisana laharana ity dia miaro amin'ny mpanafika manao kopia ny fonosana angona. Miaraka amin'ny fiarovana anti-replay, ny mpandefa dia manendry laharan'ny filaharana mihamitombo tsikelikely, ary ny toerana haleha dia manamarina ireo laharan'ny filaharana ireo mba hahitana ireo dika mitovy. Satria matetika tsy tonga araka ny filaharany ny packet, ny toerana haleha dia mitazona varavarankely mitongilana misy isa maromaro izay horaisiny.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Ny fonosana misy laharan'ny filaharana izay miankavia amin'ny sahan'ny fikandrana sliding dia heverina ho antitra na dika mitovy, ary ny toerana haleha dia manala azy ireo. Ny toerana haleha dia manara-maso ny laharana ambony indrindra azony, ary manitsy ny varavarankely sliding rehefa mahazo fonosana manana sanda ambony kokoa.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Amin'ny alàlan'ny default, ny varavarankely sliding dia napetraka amin'ny fonosana 512. Azo apetraka amin'ny sanda rehetra eo anelanelan'ny 64 sy 4096 izay herin'ny 2 (izany hoe 64, 128, 256, 512, 1024, 2048, na 4096). Raha hanova ny haben'ny varavarankely manohitra ny famerenana dia ampiasao ny baiko replay-window, mamaritra ny haben'ny varavarankely:

Device(config)# fiarovana ipsec replay-window number

Toy izao ny configuration:
Security ipsec replay-window number ! !

Mba hanampiana amin'ny QoS, misy varavarankely famerenana misaraka dia tazonina ho an'ny tsirairay amin'ireo fantsona fifamoivoizana valo voalohany. Ny haben'ny varavarankelin'ny famerenana indray dia zaraina valo ho an'ny fantsona tsirairay. Raha toa ka amboarina amin'ny router ny QoS, dia mety hihena ny isan'ny packet lehibe kokoa noho ny nampoizina vokatry ny rafitra fanoherana IPsec, ary maro amin'ireo fonosana nariana no ara-dalàna. Mitranga izany satria ny QoS dia mamerina manafatra fonosana, manome ny fonosana laharam-pahamehana ambony kokoa ary manemotra ny fonosana ambany kokoa. Mba hampihenana na hisorohana izany toe-javatra izany dia azonao atao ireto manaraka ireto:

  • Ampitomboy ny haben'ny varavarankely anti-replay.
  • Injeniera ny fifamoivoizana mankany amin'ireo fantsona fifamoivoizana valo voalohany mba hahazoana antoka fa tsy voalamina indray ny fifamoivoizana ao anatin'ny fantsona iray.

Amboary ny tonelina IPsec IKE-Enabled
Mba hamindrana tsara ny fifamoivoizana avy amin'ny tambajotra overlay mankany amin'ny tambajotra serivisy, azonao atao ny manitsy ny tonelina IPsec izay mitondra ny protocol Internet Key Exchange (IKE). Ny tonelina IPsec IKE dia manome fanamarinana sy fanafenana mba hiantohana ny fitaterana fonosana azo antoka. Mamorona tonelina IPsec IKE ianao amin'ny alàlan'ny fanefena ny interface IPsec. Ny interface IPsec dia fifandraisana lojika, ary amboarinao toy ny interface hafa rehetra. Ampifanaraho amin'ny seha-pifaneraserana IPsec ny masontsivana protocol IKE, ary azonao atao ny manitsy ny fananana interface hafa.

Fanamarihana Manoro hevitra ny Cisco ny fampiasana IKE Version 2. Manomboka amin'ny famoahana Cisco SD-WAN 19.2.x, ny fanalahidy efa nozaraina mialoha dia tokony ho 16 bytes farafahakeliny ny halavany. Tsy nahomby ny fananganana tonelina IPsec raha latsaky ny 16 litera ny haben'ny lakile rehefa nohavaozina ho version 19.2 ny router.

Fanamarihana
Ny rindrambaiko Cisco Catalyst SD-WAN dia manohana ny IKE Version 2 araka ny voafaritra ao amin'ny RFC 7296. Ny fampiasana iray ho an'ny tonelina IPsec dia ny mamela ny vEdge Cloud router VM instance mandeha amin'ny Amazon AWS mba hifandray amin'ny Amazon virtual private cloud (VPC). Tsy maintsy manamboatra IKE Version 1 amin'ireo router ireo ianao. Ny fitaovana Cisco vEdge dia tsy manohana afa-tsy VPN mifototra amin'ny lalana amin'ny fanamafisana IPSec satria ireo fitaovana ireo dia tsy afaka mamaritra ireo mpifidy fifamoivoizana ao amin'ny sehatra fanafenana.

Amboary ny tonelina IPsec
Mba hanitsiana ny interface tsara tonelina IPsec ho an'ny fifamoivoizana azo antoka avy amin'ny tambajotran'ny serivisy dia mamorona interface IPsec lojika ianao:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Azonao atao ny mamorona ny tonelina IPsec amin'ny fitaterana VPN (VPN 0) ary amin'ny serivisy VPN rehetra (VPN 1 hatramin'ny 65530, afa-tsy ny 512). Ny interface IPsec dia manana anarana amin'ny format ipsecnumber, izay isa dia mety avy amin'ny 1 ka hatramin'ny 255. Ny interface IPsec tsirairay dia tsy maintsy manana adiresy IPv4. Ity adiresy ity dia tokony ho prefix /30. Ny fifamoivoizana rehetra ao amin'ny VPN izay ao anatin'ity prefix IPv4 ity dia mitodika any amin'ny fifandraisana ara-batana ao amin'ny VPN 0 halefa azo antoka amin'ny tonelina IPsec. ny fifandraisana ara-batana (ao amin'ny baikon'ny tonelina-loharano) na ny anaran'ny fifandraisana ara-batana (ao amin'ny baikon'ny tonelina-source-interface). Ataovy azo antoka fa voarindra ao amin'ny VPN 0 ny fifandraisana ara-batana. Raha te-hametraka ny toerana halehan'ny tonelina IPsec, dia mariho ny adiresy IP an'ny fitaovana lavitra ao amin'ny baiko tonelina-destination. Ny fitambaran'ny adiresy loharano (na anaran'ny interface interface) sy ny adiresy ahatongavana dia mamaritra tonelina IPsec tokana. Tonelina IPsec iray ihany no mety misy mampiasa adiresy loharano manokana (na anaran'ny interface) sy adiresin'ny toera-pizorana.

Manamboara lalana IPsec Static

Mba hitarihana ny fifamoivoizana avy amin'ny serivisy VPN mankany amin'ny tonelina IPsec ao amin'ny fitaterana VPN (VPN 0), dia manangana lalana static manokana IPsec ianao amin'ny serivisy VPN (VPN ankoatry ny VPN 0 na VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-lalana tovona/lavany vpn 0 interface
  • ipsecnumber [ipsecnumber2]

Ny ID VPN dia an'ny serivisy VPN rehetra (VPN 1 hatramin'ny 65530, afa-tsy ny 512). Ny prefix/length dia ny adiresy IP na ny prefix, amin'ny fanamarihana misy teboka efatra amin'ny decimal, ary ny halavan'ny prefix amin'ny lalana static manokana IPsec. Ny interface dia ny IPsec tonelina interface tsara ao amin'ny VPN 0. Azonao atao ny manitsy ny IPsec tonelina interface tsara iray na roa. Raha manamboatra roa ianao, ny voalohany dia ny tonelina IPsec voalohany, ary ny faharoa dia ny backup. Miaraka amin'ny fifandraisana roa, ny fonosana rehetra dia alefa any amin'ny tonelina voalohany ihany. Raha tsy mahomby io tonelina io, dia alefa any amin'ny tonelina faharoa ny fonosana rehetra. Raha miverina ny tonelina voalohany, dia averina any amin'ny tonelina IPsec voalohany ny fifamoivoizana rehetra.

Alefaso ny IKE Version 1
Rehefa mamorona tonelina IPsec amin'ny router vEdge ianao, ny IKE Version 1 dia alefa amin'ny alàlan'ny default amin'ny interface tsara. Ireto toetra manaraka ireto koa dia alefa amin'ny alàlan'ny default ho an'ny IKEv1:

  • Authentication and encryption—AES-256 advanced encryption standard CBC encryption with the HMAC-SHA1 keyed-hash message authentication code algorithm for integrity
  • Laharana vondrona Diffie-Hellman—16
  • Famerenana ny fotoana elanelam-potoana - 4 ora
  • SA fomba fananganana—Main

Amin'ny alàlan'ny default, ny IKEv1 dia mampiasa fomba lehibe IKE hananganana IKE SA. Amin'ity fomba ity, fonosana fifampiraharahana enina no takalo mba hametrahana ny SA. Raha te hanakalo fonosana fifampiraharahana telo ihany, ampio ny fomba mahery vaika:

Fanamarihana
Ny fomba mahery vaika IKE miaraka amin'ny fanalahidy efa nozaraina dia tokony hosorohina na aiza na aiza azo atao. Raha tsy izany dia tokony hofidiana ny fanalahidy matanjaka efa nozaraina.

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# fomba mahery vaika

Amin'ny alàlan'ny default, ny IKEv1 dia mampiasa vondrona Diffie-Hellman 16 amin'ny fifanakalozana fanalahidy IKE. Ity vondrona ity dia mampiasa ny vondrona 4096-bit more modular exponential (MODP) mandritra ny fifanakalozana IKE. Azonao atao ny manova ny laharan'ny vondrona ho 2 (ho an'ny 1024-bit MODP), 14 (2048-bit MODP), na 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# laharana vondrona

Amin'ny alàlan'ny default, ny fifanakalozana fanalahidy IKE dia mampiasa ny AES-256 advanced encryption standard CBC encryption miaraka amin'ny HMAC-SHA1 keyed-hash code authentication code algorithm ho an'ny fahamendrehana. Azonao atao ny manova ny fanamarinana:

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# suite cipher-suite

Ny suite authentication dia mety ho iray amin'ireto manaraka ireto:

  • aes128-cbc-sha1—AES-128 advanced encryption standard CBC encryption miaraka amin'ny HMAC-SHA1 keyed-hash code authentication code algorithm for integrity
  • aes128-cbc-sha2—AES-128 advanced encryption standard CBC encryption miaraka amin'ny HMAC-SHA256 keyed-hash code authentication code algorithm for integrity
  • aes256-cbc-sha1—AES-256 advanced encryption standard CBC encryption miaraka amin'ny HMAC-SHA1 keyed-hash message authentication code algorithm for integrity; ity no default.
  • aes256-cbc-sha2—AES-256 advanced encryption standard CBC encryption miaraka amin'ny HMAC-SHA256 keyed-hash code authentication code algorithm for integrity

Amin'ny alàlan'ny default, ny fanalahidin'ny IKE dia havaozina isaky ny adiny 1 (3600 segondra). Azonao atao ny manova ny elanelam-potoana famerenana amin'ny sanda manomboka amin'ny 30 segondra ka hatramin'ny 14 andro (1209600 segondra). Amporisihina mba haharitra adiny 1 fara fahakeliny ny elanelam-potoana famerenana.

  • vEdge(config)# vpn vpn-id interface ipsec isa toy ny
  • vEdge(config-ike)# rekey segondra

Mba hanerena ny famoronana fanalahidy vaovao ho an'ny fivoriana IKE, dia alefaso ny baiko ipsec ike-rekey fangatahana.

  • vEdge(config)# vpn vpn-id interfaceipsc isa

Ho an'ny IKE, azonao atao koa ny manitsy ny fanamarinana ny lakile efa nozaraina (PSK):

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password tenimiafina no tenimiafina ampiasaina amin'ny lakile efa nozaraina. Mety ho ASCII na tady hexadecimal manomboka amin'ny tarehintsoratra 1 ka hatramin'ny 127 ny halavany.

Raha mila ID eo an-toerana na lavitra ny peer IKE lavitra dia azonao atao ny manamboatra ity famantarana ity:

  • vEdge(config)# vpn vpn-id interface ipsec number toy ny authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Ny famantarana dia mety ho adiresy IP na tady lahatsoratra manomboka amin'ny tarehintsoratra 1 ka hatramin'ny 63. Amin'ny alàlan'ny default, ny ID eo an-toerana dia ny adiresy IP loharanon'ny tonelina ary ny ID lavitra dia ny adiresin'ny tonelina.

Alefaso ny IKE Version 2
Rehefa manamboatra tonelina IPsec ianao hampiasa ny IKE Version 2, ireto toetra manaraka ireto dia alefa amin'ny alàlan'ny default ho an'ny IKEv2:

  • Authentication and encryption—AES-256 advanced encryption standard CBC encryption with the HMAC-SHA1 keyed-hash message authentication code algorithm for integrity
  • Laharana vondrona Diffie-Hellman—16
  • Famerenana ny fotoana elanelam-potoana - 4 ora

Amin'ny alàlan'ny default, ny IKEv2 dia mampiasa vondrona Diffie-Hellman 16 amin'ny fifanakalozana fanalahidy IKE. Ity vondrona ity dia mampiasa ny vondrona 4096-bit more modular exponential (MODP) mandritra ny fifanakalozana IKE. Azonao atao ny manova ny laharan'ny vondrona ho 2 (ho an'ny 1024-bit MODP), 14 (2048-bit MODP), na 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# laharana vondrona

Amin'ny alàlan'ny default, ny fifanakalozana fanalahidy IKE dia mampiasa ny AES-256 advanced encryption standard CBC encryption miaraka amin'ny HMAC-SHA1 keyed-hash code authentication code algorithm ho an'ny fahamendrehana. Azonao atao ny manova ny fanamarinana:

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# suite cipher-suite

Ny suite authentication dia mety ho iray amin'ireto manaraka ireto:

  • aes128-cbc-sha1—AES-128 advanced encryption standard CBC encryption miaraka amin'ny HMAC-SHA1 keyed-hash code authentication code algorithm for integrity
  • aes128-cbc-sha2—AES-128 advanced encryption standard CBC encryption miaraka amin'ny HMAC-SHA256 keyed-hash code authentication code algorithm for integrity
  • aes256-cbc-sha1—AES-256 advanced encryption standard CBC encryption miaraka amin'ny HMAC-SHA1 keyed-hash message authentication code algorithm for integrity; ity no default.
  • aes256-cbc-sha2—AES-256 advanced encryption standard CBC encryption miaraka amin'ny HMAC-SHA256 keyed-hash code authentication code algorithm for integrity

Amin'ny alàlan'ny default, ny fanalahidin'ny IKE dia havaozina isaky ny 4 ora (14,400 segondra). Azonao atao ny manova ny elanelam-potoana famerenana amin'ny sanda manomboka amin'ny 30 segondra ka hatramin'ny 14 andro (1209600 segondra):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# rekey segondra

Mba hanerena ny famoronana fanalahidy vaovao ho an'ny fivoriana IKE, dia alefaso ny baiko ipsec ike-rekey fangatahana. Ho an'ny IKE, azonao atao koa ny manitsy ny fanamarinana ny lakile efa nozaraina (PSK):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password tenimiafina no tenimiafina ampiasaina amin'ny lakile efa nozaraina. Mety ho ASCII na tady hexadecimal izy io, na mety ho fanalahidy AES-encryption. Raha mila ID eo an-toerana na lavitra ny peer IKE lavitra dia azonao atao ny manamboatra ity famantarana ity:
  • vEdge(config)# vpn vpn-id interface ipsecnumber toy ny authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Ny famantarana dia mety ho adiresy IP na tady lahatsoratra manomboka amin'ny tarehintsoratra 1 ka hatramin'ny 64. Amin'ny alàlan'ny default, ny ID eo an-toerana dia ny adiresy IP loharanon'ny tonelina ary ny ID lavitra dia ny adiresin'ny tonelina.

Ampifanaraho ny paramètre Tunnel IPsec

Tabilao 4: Tantara mampiavaka

endri-javatra Anarana Famoahana vaovao Description
Kriptografika fanampiny Cisco SD-WAN Famoahana 20.1.1 Ity endri-javatra ity dia manampy fanohanana ny
Fanohanana Algorithmic ho an'ny IPSec   HMAC_SHA256, HMAC_SHA384, ary
tonelina   HMAC_SHA512 algorithms ho an'ny
    fanatsarana fiarovana.

Amin'ny alàlan'ny default, ireto marika manaraka ireto dia ampiasaina amin'ny tonelina IPsec izay mitondra ny fifamoivoizana IKE:

  • Authentication and encryption—AES-256 algorithm in GCM (Galois/counter mode)
  • Faharetan'ny famerenana - 4 ora
  • Famerenana varavarankely—32 fonosana

Azonao atao ny manova ny encryption ao amin'ny tonelina IPsec amin'ny cipher AES-256 ao amin'ny CBC (mode chaining cipher block, miaraka amin'ny HMAC mampiasa na SHA-1 na SHA-2 keyed-hash message authentication na tsy misy HMAC mampiasa SHA-1 na Fanamarinana hafatra SHA-2 keyed-hash, mba tsy hanafenana ny tonelina IPsec ampiasaina amin'ny fifamoivoizan'ny IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-sha256 | aes256-sha384 | aes256-null-sha512 | aesXNUMX-null-shaXNUMX)

Amin'ny alàlan'ny default, ny fanalahidin'ny IKE dia havaozina isaky ny 4 ora (14,400 segondra). Azonao atao ny manova ny elanelam-potoana famerenana amin'ny sanda manomboka amin'ny 30 segondra ka hatramin'ny 14 andro (1209600 segondra):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey segondra

Mba hanerena ny famoronana fanalahidy vaovao ho an'ny tonelina IPsec, dia alefaso ny baiko fangatahana ipsec ipsec-rekey. Amin'ny alàlan'ny default, ny tsiambaratelo mandroso tonga lafatra (PFS) dia alefa amin'ny tonelina IPsec, mba hahazoana antoka fa tsy hisy fiantraikany amin'ny fotoam-pivoriana taloha raha toa ka voahitsakitsaka ny fanalahidy ho avy. Ny PFS dia manery ny fifanakalozam-bidy Diffie-Hellman vaovao, amin'ny alàlan'ny fampiasana ny tarika 4096-bit Diffie-Hellman prime module. Azonao atao ny manova ny firafitry ny PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-setting dia mety ho iray amin'ireto manaraka ireto:

  • vondrona-2—Ampiasao ny tarika 1024-bit Diffie-Hellman prime modulus.
  • vondrona-14—Ampiasao ny tarika 2048-bit Diffie-Hellman prime modulus.
  • vondrona-15—Ampiasao ny tarika 3072-bit Diffie-Hellman prime modulus.
  • group-16—Ampiasao ny tarika 4096-bit Diffie-Hellman prime modulus. Ity no default.
  • tsy misy—Atsaharo ny PFS.

Amin'ny alàlan'ny default, ny varavarankely famerenana IPsec amin'ny tonelina IPsec dia 512 bytes. Azonao atao ny mametraka ny haben'ny varavarankely famerenana amin'ny fonosana 64, 128, 256, 512, 1024, 2048, na 4096:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# replay-window number

Ovao ny IKE Dead-Peer Detection

IKE dia mampiasa mekanisma fitsikilovana maty-peer mba hamaritana raha miasa sy azo tratrarina ny fifandraisana amin'ny peer IKE. Mba hampiharana an'io mekanika io dia mandefa fonosana Hello amin'ny mpiara-miasa aminy ny IKE, ary mandefa fankasitrahana ho valin'izany ny mpiara-mianatra aminy. Amin'ny alàlan'ny default, ny IKE dia mandefa fonosana Hello isaky ny 10 segondra, ary aorian'ny fonosana telo tsy fantatra dia manambara ny mpifanolobodirindrina ho maty ny IKE ary mandrodana ny tonelina amin'ny mpiara-miasa. Aorian'izay, mandefa tsindraindray fonosana Hello ho an'ny mpiara-mianatra ny IKE, ary mametraka indray ny tonelina rehefa miverina an-tserasera ilay peer. Azonao atao ny manova ny elanelam-pandrenesana velona ho sanda manomboka amin'ny 0 ka hatramin'ny 65535, ary azonao atao ny manova ny isan'ny andrana indray ho sanda manomboka amin'ny 0 ka hatramin'ny 255.

Fanamarihana

Ho an'ny VPN fitaterana, ny elanelam-pandrefesana ny fiainana dia avadika ho segondra amin'ny fampiasana ity formula manaraka ity: Elanelana amin'ny laharan'ny andrana famerenana N = elanelana * 1.8N-1Ho an'ny example, raha apetraka amin'ny 10 ny elanelana ary averina amin'ny 5, dia mitombo toy izao manaraka izao ny elanelana:

  • Andrana 1: 10 * 1.81-1= 10 segondra
  • andrana 2: 10 * 1.82-1= 18 segondra
  • andrana 3: 10 * 1.83-1= 32.4 segondra
  • andrana 4: 10 * 1.84-1= 58.32 segondra
  • andrana 5: 10 * 1.85-1= 104.976 segondra

vEdge(config-interface-ipsecnumber)# maty-peer-detection interval retry number

Ampifanaraho ny fananana Interface hafa

Ho an'ny fifandraisana amin'ny tonelina IPsec dia ireto toetra manaraka ireto ihany no azonao amboarina:

  • vEdge(config-interface-ipsec)# mtu bytes
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Esory ny Algorithm Encryption Weak SSH amin'ny Cisco SD-WAN Manager

Tabilao 5: Table History

endri-javatra Anarana Famoahana vaovao endri-javatra Description
Esory ny Algorithm Encryption Weak SSH amin'ny Cisco SD-WAN Manager Cisco vManage famoahana 20.9.1 Ity endri-javatra ity dia ahafahanao manafoana ny algorithm SSH malemy kokoa amin'ny Cisco SD-WAN Manager izay mety tsy manaraka ny fenitra fiarovana data sasany.

Fampahalalana momba ny fanesorana ny Algorithm Encryption SSH malemy amin'ny mpitantana Cisco SD-WAN
Cisco SD-WAN Manager dia manome mpanjifa SSH ho an'ny fifandraisana amin'ireo singa ao amin'ny tambajotra, ao anatin'izany ny fanaraha-maso sy ny fitaovana edge. Ny mpanjifa SSH dia manome fifandraisana an-tsokosoko ho an'ny famindrana angon-drakitra azo antoka, mifototra amin'ny algorithm encryption isan-karazany. Fikambanana maro no mitaky encryption matanjaka kokoa noho ny omen'ny SHA-1, AES-128, ary AES-192. Avy amin'ny Cisco vManage Release 20.9.1, azonao atao ny manafoana ireto algorithm fanafenana malemy manaraka ireto mba tsy hampiasain'ny mpanjifa SSH ireto algorithm ireto:

  • SHA-1
  • AES-128
  • AES-192

Alohan'ny hanesorana ireo algorithm encryption ireo dia ataovy izay hahazoana antoka fa ny fitaovana Cisco vEdge, raha misy, ao amin'ny tambajotra, dia mampiasa famoahana rindrambaiko aorian'ny Cisco SD-WAN Release 18.4.6.

Tombontsoa amin'ny fanafoanana ny Algorithm Encryption SSH malemy amin'ny Cisco SD-WAN Manager
Manatsara ny fiarovana ny fifandraisana amin'ny SSH ny fanafoanana ny algorithm encryption SSH malemy kokoa, ary manome antoka fa ny fikambanana mampiasa Cisco Catalyst SD-WAN dia mifanaraka amin'ny fitsipika fiarovana henjana.

Atsaharo ny Algorithm Encryption SSH Weak amin'ny Cisco SD-WAN Manager mampiasa CLI

  1. Avy amin'ny menio Cisco SD-WAN Manager, safidio ny Tools> SSH Terminal.
  2. Safidio ny fitaovana Cisco SD-WAN Manager izay tianao hanesorana ny algorithm SSH malemy kokoa.
  3. Ampidiro ny solonanarana sy tenimiafina hidirana amin'ny fitaovana.
  4. Ampidiro ny mode server SSH.
    • vmanage(config)# rafitra
    • vmanage(config-system)# ssh-server
  5. Ataovy ny iray amin'ireto manaraka ireto mba hanesorana ny algorithm fanafenana SSH:
    • Atsaharo ny SHA-1:
  6. mitantana(config-ssh-server)# tsy misy kex-algo sha1
  7. mitantana(config-ssh-server)# commit
    Aseho ity hafatra fampitandremana manaraka ity: Niteraka ireto fampitandremana manaraka ireto: 'system ssh-server kex-algo sha1': FAMPITANDREMANA: Azafady, ataovy azo antoka fa ny sisinao rehetra dia mandeha amin'ny code version > 18.4.6 izay mifampiraharaha tsara kokoa noho ny SHA1 amin'ny vManage. Raha tsy izany dia mety ho lasa ivelan'ny aterineto ireo sisiny ireo. Tohizo? [eny, tsia] eny
    • Ataovy azo antoka fa ny fitaovana Cisco vEdge ao amin'ny tambajotra dia mihazakazaka Cisco SD-WAN Release 18.4.6 na aoriana ary midira eny.
    • Atsaharo ny AES-128 sy AES-192:
    • vmanage(config-ssh-server)# tsy misy cipher aes-128-192
    • vmanage(config-ssh-server)# commit
      Ity hafatra fampitandremana ity dia aseho:
      Navoaka ireto fampitandremana manaraka ireto:
      'system ssh-server cipher aes-128-192': FAMPITANDREMANA: Azafady mba ho azo antoka fa ny sisinao rehetra dia mandeha amin'ny code version > 18.4.6 izay mifampiraharaha tsara kokoa noho ny AES-128-192 miaraka amin'ny vManage. Raha tsy izany dia mety ho lasa ivelan'ny aterineto ireo sisiny ireo. Tohizo? [eny, tsia] eny
    • Ataovy azo antoka fa ny fitaovana Cisco vEdge ao amin'ny tambajotra dia mihazakazaka Cisco SD-WAN Release 18.4.6 na aoriana ary midira eny.

Hamarino fa tsy mandeha ny Algorithm Encryption SSH malemy amin'ny mpitantana Cisco SD-WAN amin'ny fampiasana ny CLI

  1. Avy amin'ny menio Cisco SD-WAN Manager, safidio ny Tools> SSH Terminal.
  2. Safidio ny fitaovana Cisco SD-WAN Manager tianao hamarinina.
  3. Ampidiro ny solonanarana sy tenimiafina hidirana amin'ny fitaovana.
  4. Raiso ity baiko manaraka ity: asehoy ny rafitra run-config ssh-server
  5. Hamafiso fa ny vokatra dia mampiseho ny iray na maromaro amin'ireo baiko manakana ny algorithm fanafenana malemy kokoa:
    • tsy misy cipher aes-128-192
    • tsy misy kex-algo sha1

Documents / Loharano

CISCO SD-WAN Ampifandraiso ireo paramètres fiarovana [pdf] Torolàlana ho an'ny mpampiasa
SD-WAN Ampifanaraho ny parametres fiarovana, SD-WAN, Ampifanaraho ny parametres fiarovana, paramètres fiarovana

References

Mametraha hevitra

Tsy havoaka ny adiresy mailakao. Voamarika ireo saha ilaina *