CISCO SD-WAN Конфигурирајте ги безбедносните параметри

Конфигурирајте ги безбедносните параметри

Забелешка

За да се постигне поедноставување и конзистентност, решението Cisco SD-WAN е ребрендирано како Cisco Catalyst SD-WAN. Дополнително, од Cisco IOS XE SD-WAN Release 17.12.1a и Cisco Catalyst SD-WAN Release 20.12.1, се применуваат следните промени во компонентите: Cisco vManage во Cisco Catalyst SD-WAN Manager, Cisco vAnalytics во SD-WAN Catalyst Анализа, Cisco vBond to Cisco Catalyst SD-WAN Validator и Cisco vSmart to Cisco Catalyst SD-WAN контролер. Видете ги најновите Белешки за издавање за сеопфатен список на сите промени на името на брендот на компонентите. Додека преминуваме кон новите имиња, може да има некои недоследности во комплетот документација поради фазен пристап кон ажурирањата на корисничкиот интерфејс на софтверскиот производ.

Овој дел опишува како да ги промените безбедносните параметри за контролната рамнина и рамнината на податоци во мрежата за преклопување на Cisco Catalyst SD-WAN.

• Конфигурирајте ги безбедносните параметри на контролната рамнина, вклучено
• Конфигурирајте ги безбедносните параметри на податочниот план, вклучено
• Конфигурирајте ги тунелите за IPsec овозможени од IKE, вклучено
• Оневозможи слаби алгоритми за шифрирање SSH на Cisco SD-WAN Manager, вклучено

Конфигурирајте ги безбедносните параметри на контролната рамнина

Стандардно, контролната рамнина користи DTLS како протокол кој обезбедува приватност на сите негови тунели. DTLS работи преку UDP. Можете да го промените безбедносниот протокол на контролната рамнина во TLS, кој работи преку TCP. Примарната причина за користење на TLS е тоа што, ако сметате дека Cisco SD-WAN контролерот е сервер, огнените ѕидови ги штитат TCP серверите подобро од UDP серверите. Го конфигурирате протоколот за тунел на контролната рамнина на Cisco SD-WAN контролер: vSmart(config)# безбедносен контролен протокол tls Со оваа промена, сите тунели на контролната рамнина помеѓу Cisco SD-WAN контролерот и рутерите и помеѓу Cisco SD-WAN контролерот и Cisco SD-WAN Manager користат TLS. Контролните тунели на рамнината до Cisco Catalyst SD-WAN Validator секогаш користат DTLS, бидејќи овие врски мора да се ракуваат со UDP. Во домен со повеќе Cisco SD-WAN контролери, кога конфигурирате TLS на еден од Cisco SD-WAN контролерите, сите тунели на контролната рамнина од тој контролер до другите контролери користат TLS. На друг начин, TLS секогаш има предност пред DTLS. Сепак, од перспектива на другите Cisco SD-WAN контролери, ако не сте го конфигурирале TLS на нив, тие користат TLS на тунелот на контролната рамнина само до тој еден Cisco SD-WAN контролер, а користат тунели DTLS за сите други Cisco SD-WAN контролери и на сите нивни поврзани рутери. За сите Cisco SD-WAN контролери да користат TLS, конфигурирајте го на сите нив. Стандардно, Cisco SD-WAN контролерот слуша на портата 23456 за TLS барања. За да го промените ова: vSmart(config)# безбедносна контрола tls-порта број Портата може да биде број од 1025 до 65535. За да се прикажат безбедносните информации за контролната рамнина, користете ја командата show контролни врски на Cisco SD-WAN контролерот. За прample: vSmart-2# покажуваат контролни врски

Конфигурирајте го DTLS во Cisco SD-WAN Manager

Ако го конфигурирате Cisco SD-WAN Manager да користи TLS како безбедносен протокол на контролната рамнина, мора да овозможите препраќање порти на вашиот NAT. Ако користите DTLS како безбедносен протокол на контролната рамнина, не треба да правите ништо. Бројот на препратени порти зависи од бројот на процеси на vdaemon што се извршуваат на Cisco SD-WAN Manager. За да прикажете информации за овие процеси и за и бројот на порти што се препраќаат, користете ја командата за резиме за контрола на прикажување покажува дека се извршуваат четири демонски процеси:

За да ги видите портите за слушање, користете ја командата show control local-properties: vManage# show control local-properties

Овој излез покажува дека TCP-портата за слушање е 23456. Ако користите Cisco SD-WAN Manager зад NAT, треба да ги отворите следните порти на уредот NAT:

• 23456 (основа – пример 0 порта)
• 23456 + 100 (основа + 100)
• 23456 + 200 (основа + 200)
• 23456 + 300 (основа + 300)

Имајте предвид дека бројот на примероци е ист со бројот на јадра што сте ги доделиле за Cisco SD-WAN Manager, до максимум 8.

Конфигурирајте ги безбедносните параметри користејќи го шаблонот за безбедносни карактеристики

Користете го шаблонот за функции за безбедност за сите уреди на Cisco veEdge. На рабните рутери и на Cisco SD-WAN Validator, користете го овој шаблон за да го конфигурирате IPsec за безбедност на податочната рамнина. На Cisco SD-WAN Manager и Cisco SD-WAN контролер, користете го шаблонот за функции за безбедност за да ги конфигурирате DTLS или TLS за безбедност на контролната рамнина.

Конфигурирајте ги безбедносните параметри

1. Од менито Cisco SD-WAN Manager, изберете Конфигурација > Шаблони.
2. Кликнете на Шаблони за карактеристики и потоа кликнете Додај шаблон.
   Забелешка Во Cisco vManage Release 20.7.1 и претходните изданија, шаблоните за функции се нарекуваат функција.
3. Од списокот Уреди во левиот панел, изберете уред. Шаблоните што се применуваат на избраниот уред се појавуваат во десниот панел.
4. Кликнете Безбедност за да го отворите шаблонот.
5. Во полето Име на шаблон, внесете име за шаблонот. Името може да содржи до 128 знаци и може да содржи само алфанумерички знаци.
6. Во полето Опис на шаблонот, внесете опис на шаблонот. Описот може да содржи до 2048 знаци и може да содржи само алфанумерички знаци.

Кога за прв пат ќе отворите шаблон за одлика, за секој параметар што има стандардна вредност, опсегот е поставен на Стандарден (означен со ознака) и се прикажува стандардната поставка или вредност. За да го промените стандардното или да внесете вредност, кликнете на паѓачкото мени за опсег лево од полето за параметри и изберете едно од следниве:

Табела 1:

Параметар Опсег

Опис на опсегот

Специфичен уред (означен со икона за домаќин)

Користете вредност специфична за уредот за параметарот. За параметри специфични за уредот, не можете да внесете вредност во шаблонот за функции. Вредноста ја внесувате кога прикачувате уред Viptela на шаблон на уред. Кога ќе кликнете Специфичен уред, се отвора полето Enter Key. Ова поле прикажува клуч, кој е единствена низа што го идентификува параметарот во CSV file што го создавате. Ова file е табела на Excel која содржи по една колона за секој клуч. Редот за заглавие ги содржи имињата на клучевите (еден клуч по колона), а секој ред после тоа одговара на уред и ги дефинира вредностите на копчињата за тој уред. Го поставувате CSV-то file кога прикачувате уред Viptela на шаблон на уред. За повеќе информации, видете Креирај табеларен лист со променливи шаблон. За да го промените стандардното копче, напишете нова низа и поместете го курсорот од полето Enter Key. ExampДел од параметрите специфични за уредот се IP адресата на системот, името на домаќинот, локацијата на GPS и ID на локацијата.

Параметар Опсег	Опис на опсегот
Глобално (означено со икона за глобус)	Внесете вредност за параметарот и применете ја таа вредност на сите уреди. ExampПараметрите што може да ги примените глобално на група уреди се DNS сервер, системски сервер и интерфејс MTU.

Конфигурирајте ја безбедноста на контролната рамнина

Забелешка
Секцијата Конфигурирај безбедност на контролната рамнина се однесува само на Cisco SD-WAN менаџерот и Cisco SD-WAN контролерот. и конфигурирајте ги следните параметри:

Табела 2:

Параметар Име	Опис
Протокол	Изберете го протоколот што ќе го користите за поврзување на контролната рамнина со Cisco SD-WAN контролер: • DTLS (Даtagрам безбедност на транспортниот слој). Ова е стандардно. • TLS (безбедност на транспортниот слој)
Контрола на TLS порта	Ако избравте TLS, конфигурирајте го бројот на портата за користење:Опсег: 1025 до 65535Стандардно: 23456

Кликнете Зачувај

Конфигурирајте ја безбедноста на рамнината на податоци
За да ја конфигурирате безбедноста на рамнината на податоци на Cisco SD-WAN Validator или Cisco vEdge рутер, изберете ги табовите Основна конфигурација и Тип на автентикација и конфигурирајте ги следните параметри:

Табела 3:

Параметар Име	Опис
Време на повторно клучеви	Наведете колку често Cisco vEdge рутер го менува клучот AES што се користи на неговата безбедна DTLS конекција со Cisco SD-WAN контролерот. Ако е овозможено грациозното рестартирање на OMP, времето за повторно клучување мора да биде најмалку двапати од вредноста на грациозниот тајмер за рестартирање на OMP.Опсег: 10 до 1209600 секунди (14 дена)Стандардно: 86400 секунди (24 часа)
Прозорец за повторување	Наведете ја големината на лизгачкиот прозорец за повторување. Вредности: 64, 128, 256, 512, 1024, 2048, 4096, 8192 пакетиСтандардно: 512 пакети
IPsec парно-клучување	Ова е стандардно исклучено. Кликнете On да го вклучите.

Параметар Име

Опис

Тип на автентикација

Изберете ги типовите за автентикација од Автентикација Список, и кликнете на стрелката што покажува десно за да ги преместите типовите на автентикација во Избрана листа колона. Типови на автентикација поддржани од Cisco SD-WAN Release 20.6.1: •  пр: Овозможува Encapsulating Security Payload (ESP) шифрирање и проверка на интегритетот на ESP заглавието. •  ip-udp-esp: Овозможува шифрирање на ESP. Покрај проверките на интегритетот на ESP заглавието и товарот, проверките ги вклучуваат и надворешните заглавија на IP и UDP. •  ip-udp-esp-no-id: Го игнорира полето ID во заглавието на IP за да може Cisco Catalyst SD-WAN да работи заедно со уреди кои не се Cisco. •  ниеден: Ја исклучува проверката на интегритетот на пакетите IPSec. Не препорачуваме да ја користите оваа опција.   Типови на автентикација поддржани во Cisco SD-WAN издание 20.5.1 и порано: •  ах-не-ид: Овозможете подобрена верзија на AH-SHA1 HMAC и ESP HMAC-SHA1 што го игнорира полето ID во надворешното заглавие на IP на пакетот. •  ах-ша1-хмац: Овозможете AH-SHA1 HMAC и ESP HMAC-SHA1. •  ниеден: Изберете без автентикација. •  sha1-hmac: Овозможете ESP HMAC-SHA1.   Забелешка              За уред со раб што работи на Cisco SD-WAN Release 20.5.1 или порано, можеби сте конфигурирале типови на автентикација користејќи Безбедност шаблон. Кога ќе го надградите уредот на Cisco SD-WAN Release 20.6.1 или понова верзија, ажурирајте ги избраните типови на автентикација во Безбедност шаблон за типовите за автентикација поддржани од Cisco SD-WAN Release 20.6.1. За да ги ажурирате типовите на автентикација, направете го следново: 1.      Од менито Cisco SD-WAN Manager, изберете Конфигурација > Шаблони. 2.      Кликнете Шаблони за карактеристики. 3.      Најдете го Безбедност шаблон за ажурирање и кликнете ... и кликнете Уреди. 4.      Кликнете Ажурирање. Не менувајте ниту една конфигурација. Cisco SD-WAN Manager го ажурира Безбедност шаблон за прикажување на поддржаните типови за автентикација.

Кликнете Зачувај.

Конфигурирајте ги безбедносните параметри на податочната рамнина

Во податочната рамнина, IPsec е стандардно овозможена на сите рутери, а стандардно поврзувањата на тунелот IPsec користат подобрена верзија на протоколот Encapsulating Security Payload (ESP) за автентикација на IPsec тунелите. На рутерите, можете да го промените типот на автентикација, тајмерот за повторно клучеви IPsec и големината на прозорецот против повторување IPsec.

Конфигурирајте ги дозволените типови на автентикација

Видови автентикација во Cisco SD-WAN издание 20.6.1 и подоцна
Од Cisco SD-WAN Release 20.6.1, се поддржани следниве типови на интегритет:

• esp: Оваа опција овозможува Encapsulating Security Payload (ESP) шифрирање и проверка на интегритетот на ESP заглавието.
• ip-udp-esp: оваа опција овозможува ESP шифрирање. Покрај проверките на интегритетот на заглавието на ESP и товарот, проверките ги вклучуваат и надворешните заглавија на IP и UDP.
• ip-udp-esp-no-id: оваа опција е слична на ip-udp-esp, меѓутоа, полето за ID на надворешното заглавие на IP е игнорирано. Конфигурирајте ја оваа опција во списокот со типови на интегритет за софтверот Cisco Catalyst SD-WAN да го игнорира полето ID во заглавието на IP за да може Cisco Catalyst SD-WAN да работи заедно со уреди кои не се Cisco.
• нема: оваа опција ја исклучува проверката на интегритетот на пакетите IPSec. Не препорачуваме да ја користите оваа опција.

Стандардно, IPsec тунелните врски користат подобрена верзија на протоколот Encapsulating Security Payload (ESP) за автентикација. За да ги измените договорените типови на меѓусебност или да ја оневозможите проверката на интегритетот, користете ја следнава команда: интегритет-тип { нема | ip-udp-esp | ip-udp-esp-no-id | esp }

Видови на автентикација пред издавањето на Cisco SD-WAN 20.6.1
Стандардно, поврзувањата на тунелот IPsec користат подобрена верзија на протоколот Encapsulating Security Payload (ESP) за автентикација. За да ги измените договорените типови на автентикација или да ја оневозможите автентикацијата, користете ја следнава команда: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | нема) Стандардно, IPsec тунелските врски користат AES-GCM-256, кој обезбедува и шифрирање и автентикација. Конфигурирајте го секој тип на автентикација со посебна безбедносна команда од типот на автентикација ipsec. Опциите на командата се пресликуваат на следните типови на автентикација, кои се наведени по редослед од најсилни до најмалку силни:

Забелешка
Ша1 во опциите за конфигурација се користи од историски причини. Опциите за автентикација покажуваат колку од проверката на интегритетот на пакетот е извршена. Тие не го специфицираат алгоритмот што го проверува интегритетот. Освен за шифрирање на мултикаст сообраќај, алгоритмите за автентикација поддржани од Cisco Catalyst SD WAN не користат SHA1. Меѓутоа, во Cisco SD-WAN Release 20.1.x и натаму, и unicast и multicast не користат SHA1.

• ah-sha1-hmac овозможува шифрирање и капсулирање со помош на ESP. Меѓутоа, покрај проверките на интегритетот на ESP заглавието и товарот, проверките ги вклучуваат и надворешните заглавија на IP и UDP. Оттука, оваа опција поддржува проверка на интегритетот на пакетот слична на протоколот за заглавие за автентикација (AH). Целиот интегритет и шифрирање се вршат со помош на AES-256-GCM.
• ah-no-id овозможува режим кој е сличен на ah-sha1-hmac, меѓутоа, полето за ID на надворешното заглавие на IP е игнорирано. Оваа опција опфаќа некои SD-WAN уреди кои не се на Cisco Catalyst, вклучувајќи го и Apple AirPort Express NAT, кои имаат грешка што предизвикува модифицирање на полето за ID во заглавието на IP, непроменливо поле. Конфигурирајте ја опцијата ah-no-id во списокот со типови на автентикација за софтверот Cisco Catalyst SD-WAN AH да го игнорира полето ID во заглавието на IP за да може софтверот Cisco Catalyst SD-WAN да работи заедно со овие уреди.
• sha1-hmac овозможува ESP шифрирање и проверка на интегритетот.
• никој не се мапира на без автентикација. Оваа опција треба да се користи само ако е потребна за привремено отстранување грешки. Оваа опција може да ја изберете и во ситуации кога автентикацијата и интегритетот на рамнината на податоците не се загрижени. Cisco не препорачува користење на оваа опција за производствени мрежи.

За информации за тоа кои полиња на пакети со податоци се засегнати од овие типови на автентикација, видете Интегритет на рамнината на податоци. Cisco IOS XE Catalyst SD-WAN уредите и Cisco vEdge уредите ги рекламираат нивните конфигурирани типови на автентикација во нивните својства TLOC. Двата рутери од двете страни на врската со IPsec тунел преговараат за автентикацијата што треба да се користи за врската меѓу нив, користејќи го најсилниот тип на автентикација што е конфигуриран на двата рутери. За прampако еден рутер ги рекламира типовите ah-sha1-hmac и ah-no-id, а вториот рутер го рекламира типот ah-no-id, двата рутери преговараат да користат ah-no-id на IPsec тунелската врска помеѓу нив. Ако не се конфигурирани заеднички типови за автентикација на двата врсници, не се воспоставува IPsec тунел меѓу нив. Алгоритмот за шифрирање на IPsec тунелните врски зависи од видот на сообраќајот:

• За уникатен сообраќај, алгоритмот за шифрирање е AES-256-GCM.
• За повеќекратен сообраќај:
• Cisco SD-WAN Release 20.1.x и подоцна - алгоритмот за шифрирање е AES-256-GCM
• Претходни изданија – алгоритмот за шифрирање е AES-256-CBC со SHA1-HMAC.

Кога ќе се смени типот на автентикација IPsec, се менува клучот AES за патеката за податоци.

Променете го тајмерот за повторно клучеви

Пред уредите Cisco IOS XE Catalyst SD-WAN и уредите Cisco vEdge да разменуваат сообраќај на податоци, тие поставуваат безбеден автентификуван комуникациски канал меѓу нив. Рутерите користат IPSec тунели меѓу нив како канал, а шифрата AES-256 за извршување на шифрирање. Секој рутер периодично генерира нов AES клуч за својата патека на податоци. Стандардно, клучот важи 86400 секунди (24 часа), а опсегот на тајмерот е од 10 секунди до 1209600 секунди (14 дена). За да ја промените вредноста на тајмерот за повторно клуч: Уред(конфигурација)# безбедност ipsec rekey seconds Конфигурацијата изгледа вака:

• безбедност ipsec rekey секунди!

Ако сакате веднаш да генерирате нови IPsec клучеви, можете да го направите тоа без да ја менувате конфигурацијата на рутерот. За да го направите ова, издадете ја командата за безбедност ipsecrekey за барање на компромитиран рутер. За прampле, следниов излез покажува дека локалната SA има Индекс на безбедносни параметри (SPI) од 256:

Уникатен клуч е поврзан со секој SPI. Ако овој клуч е компромитиран, користете ја командата за безбедност ipsec-rekey за барање за веднаш да генерирате нов клуч. Оваа команда го зголемува SPI. Во нашиот поранешенample, SPI се менува на 257 и клучот поврзан со него сега се користи:

• Уред # барање за безбедност ipsecrekey
• Уредот # прикажи ipsec local-sa

Откако ќе се генерира новиот клуч, рутерот веднаш го испраќа до контролорите на Cisco SD-WAN користејќи DTLS или TLS. Контролерите на Cisco SD-WAN го испраќаат клучот до врсниците. Рутерите почнуваат да го користат веднаш штом ќе го добијат. Имајте предвид дека клучот поврзан со стариот SPI (256) ќе продолжи да се користи кратко време додека не истече. За веднаш да престанете да го користите стариот клуч, издадете ја командата за безбедност ipsec-rekey за барање двапати, брзо последователно. Оваа низа од команди ги отстранува и SPI 256 и 257 и го поставува SPI на 258. Потоа рутерот го користи поврзаниот клуч на SPI 258. Сепак, имајте предвид дека некои пакети ќе бидат исфрлени за краток временски период додека не научат сите оддалечени рутери новиот клуч.

Променете ја големината на прозорецот против повторување

IPsec автентикацијата обезбедува заштита против повторување со доделување единствен број на секвенца на секој пакет во проток на податоци. Ова секвенциско нумерирање штити од напаѓач кој ги дуплира пакетите со податоци. Со заштита против повторување, испраќачот доделува монотоно зголемени секвенци, а дестинацијата ги проверува овие секвенци за да открие дупликати. Бидејќи пакетите често не пристигнуваат по ред, дестинацијата одржува лизгачки прозорец со секвенци кои ќе ги прифати.

Пакетите со секвентни броеви кои паѓаат лево од опсегот на лизгачки прозорец се сметаат за стари или дупликати, а дестинацијата ги испушта. Дестинацијата го следи највисокиот секвенциски број што го примила и го прилагодува лизгачкиот прозорец кога прима пакет со поголема вредност.

Стандардно, лизгачкиот прозорец е поставен на 512 пакети. Може да се постави на која било вредност помеѓу 64 и 4096 што е моќност од 2 (односно, 64, 128, 256, 512, 1024, 2048 или 4096). За да ја измените големината на прозорецот против повторување, користете ја командата за повторување-прозорец, наведувајќи ја големината на прозорецот:

Уред (конфигурација) # безбедност ipsec број на прозорец за повторување

Конфигурацијата изгледа вака:
безбедност ipsec реприза-прозорец број ! !

За да се помогне со QoS, се одржуваат посебни прозорци за повторување за секој од првите осум сообраќајни канали. Конфигурираната големина на прозорецот за повторување е поделена со осум за секој канал. Ако QoS е конфигуриран на рутер, тој рутер може да доживее поголем од очекуваниот број на падови на пакети како резултат на механизмот за спречување на повторување IPsec, а многу од пакетите што се исфрлени се легитимни. Ова се случува затоа што QoS ги прередува пакетите, давајќи им повластен третман на пакетите со повисок приоритет и одложувајќи ги пакетите со понизок приоритет. За да ја минимизирате или спречите оваа ситуација, можете да го направите следново:

• Зголемете ја големината на прозорецот против повторување.
• Инжинерирајте го сообраќајот на првите осум сообраќајни канали за да се осигурате дека сообраќајот во каналот не е преуреден.

Конфигурирајте ги тунелите за IPsec овозможени од IKE
За безбедно префрлање на сообраќајот од преклопената мрежа на услужна мрежа, можете да конфигурирате IPsec тунели што го извршуваат протоколот за размена на клучеви за Интернет (IKE). IPsec тунелите овозможени со IKE обезбедуваат автентикација и шифрирање за да се обезбеди безбеден транспорт на пакети. Вие креирате IPsec тунел со овозможен IKE со конфигурирање на интерфејс IPsec. IPsec интерфејсите се логички интерфејси и ги конфигурирате исто како и секој друг физички интерфејс. Вие ги конфигурирате параметрите на протоколот IKE на интерфејсот IPsec и можете да конфигурирате други својства на интерфејсот.

Забелешка Cisco препорачува користење IKE верзија 2. Од издавањето на Cisco SD-WAN 19.2.x па натаму, претходно споделениот клуч треба да биде долг најмалку 16 бајти. Воспоставувањето на тунелот IPsec не успее ако големината на клучот е помала од 16 знаци кога рутерот е надграден на верзијата 19.2.

Забелешка
Софтверот Cisco Catalyst SD-WAN поддржува IKE верзија 2 како што е дефинирано во RFC 7296. Една од употребата на IPsec тунелите е да се дозволи VM рутерот vEdge Cloud да работи на Amazon AWS да се поврзат со виртуелниот приватен облак на Amazon (VPC). Мора да ја конфигурирате верзијата IKE 1 на овие рутери. Уредите на Cisco vEdge поддржуваат само VPN базирани на рути во конфигурација на IPSec бидејќи овие уреди не можат да дефинираат избирачи на сообраќај во доменот за шифрирање.

Конфигурирајте IPsec тунел
За да конфигурирате интерфејс тунел IPsec за безбеден транспортен сообраќај од сервисна мрежа, креирате логичен интерфејс IPsec:

Можете да креирате IPsec тунел во транспортниот VPN (VPN 0) и во која било услуга VPN (VPN 1 до 65530, освен 512). IPsec интерфејсот има име во формат ipsecnumber, каде што бројот може да биде од 1 до 255. Секој IPsec интерфејс мора да има IPv4 адреса. Оваа адреса мора да биде префикс /30. Целиот сообраќај во VPN што е во рамките на овој префикс IPv4 е насочен кон физички интерфејс во VPN 0 за безбедно да се испрати преку тунел IPsec. За да го конфигурирате изворот на тунелот IPsec на локалниот уред, можете да ја наведете или IP адресата на физичкиот интерфејс (во командата tunnel-source) или името на физичкиот интерфејс (во командата tunnel-source-interface). Осигурете се дека физичкиот интерфејс е конфигуриран во VPN 0. За да ја конфигурирате дестинацијата на тунелот IPsec, наведете ја IP адресата на оддалечениот уред во командата tunnel-destination. Комбинацијата на изворна адреса (или име на изворниот интерфејс) и дестинациона адреса дефинира еден IPsec тунел. Може да постои само еден IPsec тунел кој користи специфична изворна адреса (или име на интерфејс) и пар адреси на дестинација.

Конфигурирајте IPsec статичка рута

За да го насочите сообраќајот од услугата VPN кон IPsec тунел во транспортната VPN (VPN 0), конфигурирате статичка рута специфична за IPsec во сервисна VPN (ВПН различен од VPN 0 или VPN 512):

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-route префикс/должина vpn 0 интерфејс
• ipsecnumber [ipsecnumber2]

ИД на VPN е оној на која било услуга VPN (VPN 1 до 65530, освен за 512). префикс/должина е IP адресата или префиксот, во децимална нотација со четири точки, и должина на префиксот на статичната рута специфична IPsec. Интерфејсот е IPsec тунелен интерфејс во VPN 0. Можете да конфигурирате еден или два IPsec тунелни интерфејси. Ако конфигурирате два, првиот е примарниот IPsec тунел, а вториот е резервната копија. Со два интерфејси, сите пакети се испраќаат само до примарниот тунел. Ако тој тунел не успее, сите пакети потоа се испраќаат во секундарниот тунел. Ако примарниот тунел се врати, целиот сообраќај се преместува назад во примарниот IPsec тунел.

Овозможете IKE верзија 1
Кога креирате IPsec тунел на vEdge рутер, IKE верзијата 1 е стандардно овозможена на интерфејсот на тунелот. Следниве својства се исто така стандардно овозможени за IKEv1:

• Автентикација и шифрирање - AES-256 напреден стандард за шифрирање CBC шифрирање со алгоритам за автентикација на пораки со клучен хаш HMAC-SHA1 за интегритет
• Број на групата Дифи-Хелман-16
• Временски интервал за повторно клучување-4 часа
• Режим на основање SA-Главна

Стандардно, IKEv1 користи главен режим на IKE за да воспостави IKE SA. Во овој режим, шест преговарачки пакети се разменуваат за да се воспостави SA. За да разменувате само три пакети за преговори, овозможете агресивен режим:

Забелешка
Агресивниот режим на IKE со претходно споделени клучеви треба да се избегнува секогаш кога е можно. Во спротивно треба да се избере силен претходно споделен клуч.

• vEdge(config)# vpn vpn-id интерфејс ipsec број ike
• vEdge(config-ike)# режим агресивен

Стандардно, IKEv1 користи Diffie-Hellman група 16 во размената на клучеви IKE. Оваа група користи 4096-битна помодуларна експоненцијална (MODP) група за време на размена на клучеви IKE. Можете да го промените бројот на групата на 2 (за 1024-битен MODP), 14 (2048-битен MODP) или 15 (3072-битен MODP):

• vEdge(config)# vpn vpn-id интерфејс ipsec број ike
• vEdge(config-ike)# број на група

Стандардно, размената на клучеви IKE користи напредна стандардна шифрирана CBC шифрирање со AES-256 со алгоритам за автентикација на пораки со клучен хеш HMAC-SHA1 за интегритет. Можете да ја промените автентикацијата:

• vEdge(config)# vpn vpn-id интерфејс ipsec број ike
• vEdge(config-ike)# пакет со шифри

Пакетот за автентикација може да биде еден од следниве:

• aes128-cbc-sha1—AES-128 напредно стандардно шифрирање CBC шифрирање со алгоритам за автентикација на пораки со клучен хаш HMAC-SHA1 за интегритет
• aes128-cbc-sha2—AES-128 напредно стандардно шифрирање CBC шифрирање со алгоритам за автентикација на пораки со клучен хаш HMAC-SHA256 за интегритет
• aes256-cbc-sha1—AES-256 напредно стандардно шифрирање CBC шифрирање со алгоритам за автентикација на пораки со клучен хаш HMAC-SHA1 за интегритет; ова е стандардно.
• aes256-cbc-sha2—AES-256 напредно стандардно шифрирање CBC шифрирање со алгоритам за автентикација на пораки со клучен хаш HMAC-SHA256 за интегритет

Стандардно, копчињата IKE се освежуваат на секои 1 час (3600 секунди). Можете да го промените интервалот за повторно клучеви на вредност од 30 секунди до 14 дена (1209600 секунди). Се препорачува интервалот за повторно клучување да биде најмалку 1 час.

• vEdge(config)# vpn vpn-id интерфејс ipsec број како
• vEdge(config-ike)# rekey seconds

За да го принудите генерирањето нови клучеви за сесија IKE, издадете ја командата за барање ipsec ike-rekey.

• vEdge(config)# vpn vpn-id interfaceipsec број ike

За IKE, можете исто така да конфигурирате автентикација со претходно споделен клуч (PSK):

• vEdge(config)# vpn vpn-id интерфејс ipsec број ike
• vEdge(config-ike)# автентикација-тип на претходно споделен клуч, претходно споделена тајна лозинка за лозинка е лозинката што треба да се користи со претходно споделениот клуч. Може да биде ASCII или хексадецимална низа од 1 до 127 знаци.

Ако оддалечениот IKE врсник бара локален или далечински ID, можете да го конфигурирате овој идентификатор:

• vEdge(config)# vpn vpn-id интерфејс ipsec број ike тип на автентикација
• vEdge(config-authentication-type)# local-id id
• vEdge(config-authentication-type)# ID на далечински

Идентификаторот може да биде IP адреса или која било текстуална низа долга од 1 до 63 знаци. Стандардно, локалниот ID е изворната IP-адреса на тунелот, а далечинскиот ID е одредишната IP адреса на тунелот.

Овозможете IKE верзија 2
Кога конфигурирате IPsec тунел да користи IKE верзија 2, следните својства се исто така стандардно овозможени за IKEv2:

• Автентикација и шифрирање - AES-256 напреден стандард за шифрирање CBC шифрирање со алгоритам за автентикација на пораки со клучен хаш HMAC-SHA1 за интегритет
• Број на групата Дифи-Хелман-16
• Временски интервал за повторно клучување-4 часа

Стандардно, IKEv2 користи Diffie-Hellman група 16 во размената на клучеви IKE. Оваа група користи 4096-битна помодуларна експоненцијална (MODP) група за време на размена на клучеви IKE. Можете да го промените бројот на групата на 2 (за 1024-битен MODP), 14 (2048-битен MODP) или 15 (3072-битен MODP):

• vEdge(config)# vpn vpn-id интерфејс ipsecnumber ike
• vEdge(config-ike)# број на група

Стандардно, размената на клучеви IKE користи напредна стандардна шифрирана CBC шифрирање со AES-256 со алгоритам за автентикација на пораки со клучен хеш HMAC-SHA1 за интегритет. Можете да ја промените автентикацијата:

• vEdge(config)# vpn vpn-id интерфејс ipsecnumber ike
• vEdge(config-ike)# пакет со шифри

Пакетот за автентикација може да биде еден од следниве:

• aes128-cbc-sha1—AES-128 напредно стандардно шифрирање CBC шифрирање со алгоритам за автентикација на пораки со клучен хаш HMAC-SHA1 за интегритет
• aes128-cbc-sha2—AES-128 напредно стандардно шифрирање CBC шифрирање со алгоритам за автентикација на пораки со клучен хаш HMAC-SHA256 за интегритет
• aes256-cbc-sha1—AES-256 напредно стандардно шифрирање CBC шифрирање со алгоритам за автентикација на пораки со клучен хаш HMAC-SHA1 за интегритет; ова е стандардно.
• aes256-cbc-sha2—AES-256 напредно стандардно шифрирање CBC шифрирање со алгоритам за автентикација на пораки со клучен хаш HMAC-SHA256 за интегритет

Стандардно, копчињата IKE се освежуваат на секои 4 часа (14,400 секунди). Можете да го промените интервалот за повторно клучување на вредност од 30 секунди до 14 дена (1209600 секунди):

• vEdge(config)# vpn vpn-id интерфејс ipsecnumber ike
• vEdge(config-ike)# rekey seconds

За да го принудите генерирањето нови клучеви за сесија IKE, издадете ја командата за барање ipsec ike-rekey. За IKE, можете исто така да конфигурирате автентикација со претходно споделен клуч (PSK):

• vEdge(config)# vpn vpn-id интерфејс ipsecnumber ike
• vEdge(config-ike)# автентикација-тип на претходно споделен клуч, претходно споделена тајна лозинка за лозинка е лозинката што треба да се користи со претходно споделениот клуч. Може да биде ASCII или хексадецимална низа, или може да биде клуч шифриран со AES. Ако оддалечениот IKE врсник бара локален или далечински ID, можете да го конфигурирате овој идентификатор:
• vEdge(config)# vpn vpn-id интерфејс ipsecnumber ike тип на автентикација
• vEdge(config-authentication-type)# local-id id
• vEdge(config-authentication-type)# ID на далечински

Идентификаторот може да биде IP адреса или која било текстуална низа долга од 1 до 64 знаци. Стандардно, локалниот ID е изворната IP-адреса на тунелот, а далечинскиот ID е одредишната IP адреса на тунелот.

Конфигурирајте ги параметрите на тунелот IPsec

Табела 4: Историја на карактеристики

Карактеристика Име	Информации за издавање	Опис
Дополнителна криптографска	Издание на Cisco SD-WAN 20.1.1	Оваа функција додава поддршка за
Алгоритамска поддршка за IPSec		HMAC_SHA256, HMAC_SHA384 и
Тунели		HMAC_SHA512 алгоритми за
		зајакната безбедност.

Стандардно, следните параметри се користат на тунелот IPsec што носи сообраќај IKE:

• Автентикација и шифрирање - алгоритам AES-256 во GCM (режим Galois/counter)
• Интервал на повторно клучеви - 4 часа
• Прозорец за повторување - 32 пакети

Може да ја смените шифрирањето на тунелот IPsec во шифрата AES-256 во CBC (режим на поврзување блокови на шифри, со HMAC користејќи автентикација на пораки со клучен хаш SHA-1 или SHA-2 или да ја поништите со HMAC користејќи SHA-1 или SHA-2 автентикација на порака со клучен хаш, за да не се шифрира IPsec тунелот што се користи за сообраќајот за размена на клучеви IKE:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# пакет-шифра (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-cbc-sha1 | aes256-null-256sha256 | aes384-null-256sha512 | |. aesXNUMX-null-shaXNUMX |.

Стандардно, копчињата IKE се освежуваат на секои 4 часа (14,400 секунди). Можете да го промените интервалот за повторно клучување на вредност од 30 секунди до 14 дена (1209600 секунди):

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# rekey seconds

За да го принудите генерирањето нови клучеви за IPsec тунел, издадете ја командата за барање ipsec ipsec-rekey. Стандардно, на тунелите IPsec е овозможена совршена тајност за напред (PFS), за да се осигура дека минатите сесии нема да бидат засегнати ако идните клучеви се компромитирани. PFS принудува нова размена на клучеви Diffie-Hellman, стандардно користејќи ја 4096-битната Diffie-Hellman prime модулна група. Можете да ја промените поставката за PFS:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# perfekt-forward-secrecy pfs-поставување

Поставувањето pfs може да биде едно од следниве:

• group-2-Користете ја 1024-битната Diffie-Hellman група на прости модули.
• group-14-Користете ја 2048-битната Diffie-Hellman група на прости модули.
• group-15-Користете ја 3072-битната Diffie-Hellman група на прости модули.
• group-16-Користете ја 4096-битната Diffie-Hellman prime modulus group. Ова е стандардно.
• нема - Оневозможи PFS.

Стандардно, прозорецот за повторување на IPsec на тунелот IPsec е 512 бајти. Можете да ја поставите големината на прозорецот за повторување на 64, 128, 256, 512, 1024, 2048 или 4096 пакети:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# број на прозорец за повторување

Изменете го IKE Dead-Peer Detection

IKE користи механизам за откривање мртви врсници за да утврди дали врската со IKE е функционална и достапна. За да го имплементира овој механизам, IKE испраќа Hello пакет до својот врсник, а врсникот испраќа потврда како одговор. Стандардно, IKE испраќа Hello пакети на секои 10 секунди, а по три непризнаени пакети, IKE го прогласува соседот за мртов и го урива тунелот до врсникот. Потоа, IKE периодично испраќа Hello пакет до врсникот и повторно го воспоставува тунелот кога врсникот ќе се врати онлајн. Можете да го промените интервалот за откривање живост на вредност од 0 до 65535 и може да го промените бројот на повторувања во вредност од 0 до 255.

Забелешка

За транспортните VPN, интервалот за откривање живост се претвора во секунди со користење на следнава формула: Интервал за обид за реемитување број N = интервал * 1.8N-1 За пр.ampако интервалот е поставен на 10 и се обиде повторно на 5, интервалот за откривање се зголемува на следниов начин:

• Обид 1: 10 * 1.81-1 = 10 секунди
• Обид 2: 10 * 1.82-1 = 18 секунди
• Обид 3: 10 * 1.83-1 = 32.4 секунди
• Обид 4: 10 * 1.84-1 = 58.32 секунди
• Обид 5: 10 * 1.85-1 = 104.976 секунди

vEdge(config-interface-ipsecnumber)# број на повторувања на интервал за откривање мртви врсници

Конфигурирајте други својства на интерфејсот

За интерфејсите на тунелот IPsec, можете да ги конфигурирате само следните дополнителни својства на интерфејсот:

• vEdge(config-interface-ipsec)# mtu бајти
• vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Оневозможи слаби алгоритми за шифрирање SSH на Cisco SD-WAN менаџер

Табела 5: Табела со историја на карактеристики

Карактеристика Име	Информации за издавање	Карактеристика Опис
Оневозможи слаби алгоритми за шифрирање SSH на Cisco SD-WAN менаџер	Издание на Cisco vManage 20.9.1	Оваа функција ви овозможува да ги оневозможите послабите SSH алгоритми на Cisco SD-WAN Manager кои можеби не се во согласност со одредени стандарди за безбедност на податоците.

Информации за оневозможување на слаби SSH алгоритми за шифрирање на Cisco SD-WAN Manager
Cisco SD-WAN Manager обезбедува SSH клиент за комуникација со компоненти во мрежата, вклучувајќи контролери и уреди со рабови. Клиентот SSH обезбедува шифрирана врска за безбеден пренос на податоци, врз основа на различни алгоритми за шифрирање. Многу организации бараат посилно шифрирање од она што го обезбедуваат SHA-1, AES-128 и AES-192. Од Cisco vManage Release 20.9.1, можете да ги оневозможите следните послаби алгоритми за шифрирање, така што клиентот SSH не ги користи овие алгоритми:

• SHA-1
• AES-128
• AES-192

Пред да ги оневозможите овие алгоритми за шифрирање, проверете дали уредите Cisco vEdge, доколку ги има, во мрежата, користат софтверско издание подоцна од Cisco SD-WAN Release 18.4.6.

Придобивките од оневозможувањето на слабите SSH алгоритми за шифрирање на Cisco SD-WAN менаџер
Оневозможувањето на послабите SSH алгоритми за шифрирање ја подобрува безбедноста на SSH комуникацијата и гарантира дека организациите што користат Cisco Catalyst SD-WAN се усогласени со строгите безбедносни прописи.

Оневозможи слаби алгоритми за шифрирање SSH на Cisco SD-WAN менаџер користејќи CLI

1. Од менито Cisco SD-WAN Manager, изберете Tools > SSH Terminal.
2. Изберете го уредот Cisco SD-WAN Manager на кој сакате да ги оневозможите послабите SSH алгоритми.
3. Внесете ги корисничкото име и лозинката за да се најавите на уредот.
4. Влезете во режим на SSH сервер.
   • vmanage(config)# систем
   • vmanage(config-system)# ssh-сервер
5. Направете едно од следново за да оневозможите SSH алгоритам за шифрирање:
   • Оневозможи SHA-1:
6. управување (config-ssh-сервер)# нема kex-algo sha1
7. управување (config-ssh-server)# commit
   Се прикажува следнава предупредувачка порака: Генерирани се следните предупредувања: „систем ssh-сервер kex-algo sha1“: ПРЕДУПРЕДУВАЊЕ: Ве молиме проверете дали сите ваши рабови ја користат верзијата на кодот > 18.4.6 која преговара подобро од SHA1 со vManage. Во спротивно тие рабови може да станат офлајн. Продолжи? [да, не] да
   • Проверете дали сите уреди на Cisco vEdge во мрежата работат на Cisco SD-WAN Release 18.4.6 или понова верзија и внесете Да.
   • Оневозможи AES-128 и AES-192:
   • vmanage(config-ssh-server)# без шифра aes-128-192
   • vmanage(config-ssh-server)# commit
     Се прикажува следнава предупредувачка порака:
     Следниве предупредувања беа генерирани:
     „Системски ssh-сервер шифра aes-128-192“: ПРЕДУПРЕДУВАЊЕ: Ве молиме проверете дали сите ваши рабови ја извршуваат верзијата на кодот > 18.4.6 која преговара подобро од AES-128-192 со vManage. Во спротивно тие рабови може да станат офлајн. Продолжи? [да, не] да
   • Проверете дали сите уреди на Cisco vEdge во мрежата работат на Cisco SD-WAN Release 18.4.6 или понова верзија и внесете Да.

Потврдете дека слабите алгоритми за шифрирање SSH се оневозможени на Cisco SD-WAN менаџерот користејќи го CLI

1. Од менито Cisco SD-WAN Manager, изберете Tools > SSH Terminal.
2. Изберете го уредот Cisco SD-WAN Manager што сакате да го потврдите.
3. Внесете ги корисничкото име и лозинката за да се најавите на уредот.
4. Извршете ја следнава команда: покажете ssh-сервер на системот running-config
5. Потврдете дека излезот прикажува една или повеќе од командите што ги оневозможуваат послабите алгоритми за шифрирање:
   • без шифра aes-128-192
   • нема кекс-алго ша1

Документи / ресурси

CISCO SD-WAN Конфигурирајте ги безбедносните параметри [pdf] Упатство за корисникот SD-WAN Конфигурирај безбедносни параметри, SD-WAN, конфигурирај безбедносни параметри, безбедносни параметри

Референци

• Упатство за употреба