CISCO SD-WAN സെക്യൂരിറ്റി പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക

സുരക്ഷാ പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക

കുറിപ്പ്

ലളിതവൽക്കരണവും സ്ഥിരതയും കൈവരിക്കുന്നതിന്, Cisco SD-WAN സൊല്യൂഷൻ Cisco Catalyst SD-WAN ആയി പുനർനാമകരണം ചെയ്യപ്പെട്ടു. കൂടാതെ, Cisco IOS XE SD-WAN റിലീസ് 17.12.1a, Cisco Catalyst SD-WAN Release 20.12.1 എന്നിവയിൽ നിന്ന്, ഇനിപ്പറയുന്ന ഘടക മാറ്റങ്ങൾ ബാധകമാണ്: Cisco vManage മുതൽ Cisco Catalyst SD-WAN മാനേജർ, Cisco vAnalytics-ലേക്ക് CiscoWAnalytics-ലേക്ക് Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator, Cisco vSmart to Cisco Catalyst SD-WAN കൺട്രോളർ. എല്ലാ ഘടക ബ്രാൻഡ് നാമ മാറ്റങ്ങളുടെയും സമഗ്രമായ ലിസ്റ്റിനായി ഏറ്റവും പുതിയ റിലീസ് കുറിപ്പുകൾ കാണുക. ഞങ്ങൾ പുതിയ പേരുകളിലേക്ക് മാറുമ്പോൾ, സോഫ്റ്റ്‌വെയർ ഉൽപ്പന്നത്തിൻ്റെ ഉപയോക്തൃ ഇൻ്റർഫേസ് അപ്‌ഡേറ്റുകളിലേക്കുള്ള ഘട്ടം ഘട്ടമായുള്ള സമീപനം കാരണം ഡോക്യുമെൻ്റേഷൻ സെറ്റിൽ ചില പൊരുത്തക്കേടുകൾ ഉണ്ടായേക്കാം.

Cisco Catalyst SD-WAN ഓവർലേ നെറ്റ്‌വർക്കിലെ കൺട്രോൾ പ്ലെയിനിനും ഡാറ്റാ പ്ലെയിനിനുമുള്ള സുരക്ഷാ പാരാമീറ്ററുകൾ എങ്ങനെ മാറ്റാമെന്ന് ഈ വിഭാഗം വിവരിക്കുന്നു.

• കൺട്രോൾ പ്ലെയിൻ സുരക്ഷാ പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക, ഓണാണ്
• ഡാറ്റാ പ്ലെയിൻ സുരക്ഷാ പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക, ഓണാണ്
• IKE- പ്രവർത്തനക്ഷമമാക്കിയ IPsec ടണലുകൾ കോൺഫിഗർ ചെയ്യുക
• Cisco SD-WAN മാനേജറിൽ ദുർബലമായ SSH എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കുക

കൺട്രോൾ പ്ലെയിൻ സുരക്ഷാ പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക

ഡിഫോൾട്ടായി, കൺട്രോൾ പ്ലെയിൻ അതിൻ്റെ എല്ലാ തുരങ്കങ്ങളിലും സ്വകാര്യത നൽകുന്ന പ്രോട്ടോക്കോൾ ആയി DTLS ഉപയോഗിക്കുന്നു. DTLS UDP-യിൽ പ്രവർത്തിക്കുന്നു. TCP-യിൽ പ്രവർത്തിക്കുന്ന TLS-ലേക്ക് നിങ്ങൾക്ക് കൺട്രോൾ പ്ലെയിൻ സുരക്ഷാ പ്രോട്ടോക്കോൾ മാറ്റാം. TLS ഉപയോഗിക്കുന്നതിനുള്ള പ്രാഥമിക കാരണം, നിങ്ങൾ Cisco SD-WAN കൺട്രോളർ ഒരു സെർവറായി പരിഗണിക്കുകയാണെങ്കിൽ, UDP സെർവറുകളേക്കാൾ മികച്ച രീതിയിൽ TCP സെർവറുകൾ ഫയർവാളുകൾ സംരക്ഷിക്കുന്നു എന്നതാണ്. നിങ്ങൾ ഒരു Cisco SD-WAN കൺട്രോളറിൽ കൺട്രോൾ പ്ലെയിൻ ടണൽ പ്രോട്ടോക്കോൾ കോൺഫിഗർ ചെയ്യുന്നു: vSmart(config)# സെക്യൂരിറ്റി കൺട്രോൾ പ്രോട്ടോക്കോൾ tls ഈ മാറ്റത്തോടെ, Cisco SD-WAN കൺട്രോളറിനും റൂട്ടറുകൾക്കുമിടയിലും Cisco SD-WAN കൺട്രോളറിനും ഇടയിലുള്ള എല്ലാ നിയന്ത്രണ പ്ലെയിൻ ടണലുകളും കൂടാതെ Cisco SD-WAN മാനേജർ TLS ഉപയോഗിക്കുന്നു. Cisco Catalyst SD-WAN വാലിഡേറ്ററിലേക്കുള്ള കൺട്രോൾ പ്ലെയിൻ ടണലുകൾ എപ്പോഴും DTLS ഉപയോഗിക്കുന്നു, കാരണം ഈ കണക്ഷനുകൾ UDP ആണ് കൈകാര്യം ചെയ്യേണ്ടത്. ഒന്നിലധികം Cisco SD-WAN കൺട്രോളറുകളുള്ള ഒരു ഡൊമെയ്‌നിൽ, Cisco SD-WAN കൺട്രോളറുകളിലൊന്നിൽ നിങ്ങൾ TLS കോൺഫിഗർ ചെയ്യുമ്പോൾ, ആ കൺട്രോളറിൽ നിന്ന് മറ്റ് കൺട്രോളറുകളിലേക്കുള്ള എല്ലാ നിയന്ത്രണ പ്ലെയിൻ ടണലുകളും TLS ഉപയോഗിക്കുന്നു. മറ്റൊരു രീതിയിൽ പറഞ്ഞാൽ, TLS എപ്പോഴും DTLS-നേക്കാൾ മുൻഗണന നൽകുന്നു. എന്നിരുന്നാലും, മറ്റ് Cisco SD-WAN കൺട്രോളറുകളുടെ വീക്ഷണകോണിൽ, നിങ്ങൾ അവയിൽ TLS കോൺഫിഗർ ചെയ്‌തിട്ടില്ലെങ്കിൽ, അവർ കൺട്രോൾ പ്ലെയിൻ ടണലിൽ ആ ഒരു Cisco SD-WAN കൺട്രോളറിലേക്ക് മാത്രം TLS ഉപയോഗിക്കുന്നു, കൂടാതെ അവർ മറ്റെല്ലാം DTLS ടണലുകൾ ഉപയോഗിക്കുന്നു. Cisco SD-WAN കൺട്രോളറുകളും അവയുടെ കണക്റ്റുചെയ്‌ത എല്ലാ റൂട്ടറുകളിലേക്കും. എല്ലാ Cisco SD-WAN കൺട്രോളറുകളും TLS ഉപയോഗിക്കുന്നതിന്, അവയിൽ എല്ലാം കോൺഫിഗർ ചെയ്യുക. സ്ഥിരസ്ഥിതിയായി, TLS അഭ്യർത്ഥനകൾക്കായി Cisco SD-WAN കൺട്രോളർ പോർട്ട് 23456-ൽ ശ്രദ്ധിക്കുന്നു. ഇത് മാറ്റാൻ: vSmart(config)# സെക്യൂരിറ്റി കൺട്രോൾ tls-പോർട്ട് നമ്പർ 1025 മുതൽ 65535 വരെയുള്ള ഒരു സംഖ്യയാണ് പോർട്ട്. കൺട്രോൾ പ്ലെയിൻ സുരക്ഷാ വിവരങ്ങൾ പ്രദർശിപ്പിക്കുന്നതിന്, Cisco SD-WAN കൺട്രോളറിലെ ഷോ കൺട്രോൾ കണക്ഷൻ കമാൻഡ് ഉപയോഗിക്കുക. ഉദാample: vSmart-2# കൺട്രോൾ കണക്ഷനുകൾ കാണിക്കുക

Cisco SD-WAN മാനേജറിൽ DTLS കോൺഫിഗർ ചെയ്യുക

കൺട്രോൾ പ്ലെയിൻ സുരക്ഷാ പ്രോട്ടോക്കോളായി TLS ഉപയോഗിക്കുന്നതിന് നിങ്ങൾ Cisco SD-WAN മാനേജർ കോൺഫിഗർ ചെയ്യുകയാണെങ്കിൽ, നിങ്ങളുടെ NAT-ൽ പോർട്ട് ഫോർവേഡിംഗ് പ്രവർത്തനക്ഷമമാക്കണം. കൺട്രോൾ പ്ലെയിൻ സുരക്ഷാ പ്രോട്ടോക്കോളായി നിങ്ങൾ DTLS ഉപയോഗിക്കുകയാണെങ്കിൽ, നിങ്ങൾ ഒന്നും ചെയ്യേണ്ടതില്ല. ഫോർവേഡ് ചെയ്യുന്ന പോർട്ടുകളുടെ എണ്ണം സിസ്കോ SD-WAN മാനേജറിൽ പ്രവർത്തിക്കുന്ന vdaemon പ്രോസസ്സുകളുടെ എണ്ണത്തെ ആശ്രയിച്ചിരിക്കുന്നു. ഈ പ്രക്രിയകളെക്കുറിച്ചും ഫോർവേഡ് ചെയ്യുന്ന പോർട്ടുകളുടെ എണ്ണത്തെക്കുറിച്ചും ഉള്ള വിവരങ്ങൾ പ്രദർശിപ്പിക്കുന്നതിന്, ഷോ കൺട്രോൾ സമ്മറി കമാൻഡ് ഉപയോഗിക്കുക നാല് ഡെമൺ പ്രോസസ്സുകൾ പ്രവർത്തിക്കുന്നുണ്ടെന്ന് കാണിക്കുന്നു:

ലിസണിംഗ് പോർട്ടുകൾ കാണുന്നതിന്, ഷോ കൺട്രോൾ ലോക്കൽ പ്രോപ്പർട്ടീസ് കമാൻഡ് ഉപയോഗിക്കുക: vManage# ഷോ കൺട്രോൾ ലോക്കൽ പ്രോപ്പർട്ടീസ്

കേൾക്കുന്ന TCP പോർട്ട് 23456 ആണെന്ന് ഈ ഔട്ട്‌പുട്ട് കാണിക്കുന്നു. നിങ്ങൾ NAT-ന് പിന്നിൽ Cisco SD-WAN മാനേജർ പ്രവർത്തിപ്പിക്കുകയാണെങ്കിൽ, നിങ്ങൾ NAT ഉപകരണത്തിൽ ഇനിപ്പറയുന്ന പോർട്ടുകൾ തുറക്കണം:

• 23456 (ബേസ് - ഉദാഹരണം 0 പോർട്ട്)
• 23456 + 100 (അടിസ്ഥാനം + 100)
• 23456 + 200 (അടിസ്ഥാനം + 200)
• 23456 + 300 (അടിസ്ഥാനം + 300)

Cisco SD-WAN മാനേജറിനായി നിങ്ങൾ അസൈൻ ചെയ്‌തിരിക്കുന്ന കോറുകളുടെ എണ്ണത്തിന് സമാനമാണ് സംഭവങ്ങളുടെ എണ്ണം, പരമാവധി 8 വരെ.

സെക്യൂരിറ്റി ഫീച്ചർ ടെംപ്ലേറ്റ് ഉപയോഗിച്ച് സെക്യൂരിറ്റി പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക

എല്ലാ Cisco vEdge ഉപകരണങ്ങൾക്കും സുരക്ഷാ ഫീച്ചർ ടെംപ്ലേറ്റ് ഉപയോഗിക്കുക. എഡ്ജ് റൂട്ടറുകളിലും Cisco SD-WAN വാലിഡേറ്ററിലും, ഡാറ്റാ പ്ലെയിൻ സുരക്ഷയ്ക്കായി IPsec കോൺഫിഗർ ചെയ്യാൻ ഈ ടെംപ്ലേറ്റ് ഉപയോഗിക്കുക. Cisco SD-WAN മാനേജറിലും Cisco SD-WAN കൺട്രോളറിലും, നിയന്ത്രണ വിമാന സുരക്ഷയ്ക്കായി DTLS അല്ലെങ്കിൽ TLS കോൺഫിഗർ ചെയ്യുന്നതിന് സുരക്ഷാ ഫീച്ചർ ടെംപ്ലേറ്റ് ഉപയോഗിക്കുക.

സുരക്ഷാ പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക

1. Cisco SD-WAN മാനേജർ മെനുവിൽ നിന്ന്, കോൺഫിഗറേഷൻ > ടെംപ്ലേറ്റുകൾ തിരഞ്ഞെടുക്കുക.
2. ഫീച്ചർ ടെംപ്ലേറ്റുകൾ ക്ലിക്കുചെയ്യുക, തുടർന്ന് ടെംപ്ലേറ്റ് ചേർക്കുക ക്ലിക്കുചെയ്യുക.
   കുറിപ്പ് Cisco vManage Release 20.7.1 ലും മുമ്പത്തെ പതിപ്പുകളിലും, ഫീച്ചർ ടെംപ്ലേറ്റുകളെ ഫീച്ചർ എന്ന് വിളിക്കുന്നു.
3. ഇടത് പാളിയിലെ ഉപകരണങ്ങളുടെ പട്ടികയിൽ നിന്ന്, ഒരു ഉപകരണം തിരഞ്ഞെടുക്കുക. തിരഞ്ഞെടുത്ത ഉപകരണത്തിന് ബാധകമായ ടെംപ്ലേറ്റുകൾ വലത് പാളിയിൽ ദൃശ്യമാകും.
4. ടെംപ്ലേറ്റ് തുറക്കാൻ സുരക്ഷയിൽ ക്ലിക്ക് ചെയ്യുക.
5. ടെംപ്ലേറ്റ് നെയിം ഫീൽഡിൽ, ടെംപ്ലേറ്റിനായി ഒരു പേര് നൽകുക. പേരിന് 128 പ്രതീകങ്ങൾ വരെ ആകാം, അതിൽ ആൽഫാന്യൂമെറിക് പ്രതീകങ്ങൾ മാത്രമേ ഉണ്ടാകൂ.
6. ടെംപ്ലേറ്റ് വിവരണം ഫീൽഡിൽ, ടെംപ്ലേറ്റിൻ്റെ ഒരു വിവരണം നൽകുക. വിവരണത്തിൽ 2048 പ്രതീകങ്ങൾ വരെ ആകാം, അതിൽ ആൽഫാന്യൂമെറിക് പ്രതീകങ്ങൾ മാത്രമേ അടങ്ങിയിരിക്കാവൂ.

നിങ്ങൾ ആദ്യം ഒരു ഫീച്ചർ ടെംപ്ലേറ്റ് തുറക്കുമ്പോൾ, ഒരു ഡിഫോൾട്ട് മൂല്യമുള്ള ഓരോ പാരാമീറ്ററിനും, സ്കോപ്പ് ഡിഫോൾട്ടായി സജ്ജീകരിക്കും (ഒരു ചെക്ക്മാർക്ക് സൂചിപ്പിച്ചിരിക്കുന്നു), സ്ഥിരസ്ഥിതി ക്രമീകരണമോ മൂല്യമോ കാണിക്കും. ഡിഫോൾട്ട് മാറ്റുന്നതിനോ ഒരു മൂല്യം നൽകുന്നതിനോ, പാരാമീറ്റർ ഫീൽഡിൻ്റെ ഇടതുവശത്തുള്ള സ്കോപ്പ് ഡ്രോപ്പ്-ഡൗൺ മെനുവിൽ ക്ലിക്ക് ചെയ്ത് ഇനിപ്പറയുന്നതിൽ ഒന്ന് തിരഞ്ഞെടുക്കുക:

പട്ടിക 1:

പരാമീറ്റർ വ്യാപ്തി

വ്യാപ്തി വിവരണം

ഉപകരണ നിർദ്ദിഷ്‌ട (ഒരു ഹോസ്റ്റ് ഐക്കൺ സൂചിപ്പിക്കുന്നത്)

പാരാമീറ്ററിനായി ഒരു ഉപകരണ-നിർദ്ദിഷ്ട മൂല്യം ഉപയോഗിക്കുക. ഉപകരണ-നിർദ്ദിഷ്ട പാരാമീറ്ററുകൾക്കായി, ഫീച്ചർ ടെംപ്ലേറ്റിൽ നിങ്ങൾക്ക് ഒരു മൂല്യം നൽകാനാവില്ല. നിങ്ങൾ ഒരു ഉപകരണ ടെംപ്ലേറ്റിലേക്ക് ഒരു Viptela ഉപകരണം അറ്റാച്ചുചെയ്യുമ്പോൾ നിങ്ങൾ മൂല്യം നൽകുന്നു. നിങ്ങൾ ഡിവൈസ് സ്പെസിഫിക് ക്ലിക്ക് ചെയ്യുമ്പോൾ, എൻ്റർ കീ ബോക്സ് തുറക്കുന്നു. ഈ ബോക്സ് ഒരു കീ പ്രദർശിപ്പിക്കുന്നു, അത് ഒരു CSV-യിലെ പാരാമീറ്റർ തിരിച്ചറിയുന്ന ഒരു അദ്വിതീയ സ്ട്രിംഗ് ആണ് file നിങ്ങൾ സൃഷ്ടിക്കുന്നത്. ഈ file ഓരോ കീയ്ക്കും ഒരു കോളം അടങ്ങുന്ന ഒരു Excel സ്‌പ്രെഡ്‌ഷീറ്റാണ്. ഹെഡർ വരിയിൽ കീ പേരുകൾ അടങ്ങിയിരിക്കുന്നു (ഒരു കോളത്തിന് ഒരു കീ), അതിന് ശേഷമുള്ള ഓരോ വരിയും ഒരു ഉപകരണവുമായി പൊരുത്തപ്പെടുകയും ആ ഉപകരണത്തിനുള്ള കീകളുടെ മൂല്യങ്ങൾ നിർവചിക്കുകയും ചെയ്യുന്നു. നിങ്ങൾ CSV അപ്‌ലോഡ് ചെയ്യുക file നിങ്ങൾ ഒരു ഉപകരണ ടെംപ്ലേറ്റിലേക്ക് ഒരു Viptela ഉപകരണം അറ്റാച്ചുചെയ്യുമ്പോൾ. കൂടുതൽ വിവരങ്ങൾക്ക്, ഒരു ടെംപ്ലേറ്റ് വേരിയബിൾ സ്പ്രെഡ്ഷീറ്റ് സൃഷ്ടിക്കുക കാണുക. ഡിഫോൾട്ട് കീ മാറ്റാൻ, ഒരു പുതിയ സ്ട്രിംഗ് ടൈപ്പ് ചെയ്ത് എൻ്റർ കീ ബോക്സിൽ നിന്ന് കഴ്സർ നീക്കുക. Exampസിസ്റ്റം ഐപി വിലാസം, ഹോസ്റ്റ്നാമം, ജിപിഎസ് ലൊക്കേഷൻ, സൈറ്റ് ഐഡി എന്നിവയാണ് ഉപകരണ-നിർദ്ദിഷ്ട പാരാമീറ്ററുകൾ.

പരാമീറ്റർ വ്യാപ്തി	വ്യാപ്തി വിവരണം
ഗ്ലോബൽ (ഒരു ഗ്ലോബ് ഐക്കൺ സൂചിപ്പിക്കുന്നത്)	പരാമീറ്ററിനായി ഒരു മൂല്യം നൽകുക, എല്ലാ ഉപകരണങ്ങളിലും ആ മൂല്യം പ്രയോഗിക്കുക. ExampDNS സെർവർ, സിസ്‌ലോഗ് സെർവർ, ഇൻ്റർഫേസ് MTU-കൾ എന്നിവയാണ് ഒരു കൂട്ടം ഉപകരണങ്ങളിൽ ആഗോളതലത്തിൽ നിങ്ങൾ പ്രയോഗിക്കാൻ സാധ്യതയുള്ള പാരാമീറ്ററുകൾ.

കൺട്രോൾ പ്ലെയിൻ സെക്യൂരിറ്റി കോൺഫിഗർ ചെയ്യുക

കുറിപ്പ്
കോൺഫിഗർ കൺട്രോൾ പ്ലെയിൻ സെക്യൂരിറ്റി വിഭാഗം Cisco SD-WAN മാനേജറിനും Cisco SD-WAN കൺട്രോളറിനും മാത്രം ബാധകമാണ്. Cisco SD-WAN മാനേജർ ഇൻസ്‌റ്റൻസിലോ ഒരു Cisco SD-WAN കൺട്രോളറിലോ കൺട്രോൾ പ്ലെയിൻ കണക്ഷൻ പ്രോട്ടോക്കോൾ കോൺഫിഗർ ചെയ്യുന്നതിന്, അടിസ്ഥാന കോൺഫിഗറേഷൻ ഏരിയ തിരഞ്ഞെടുക്കുക. കൂടാതെ ഇനിപ്പറയുന്ന പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക:

പട്ടിക 2:

പരാമീറ്റർ പേര്	വിവരണം
പ്രോട്ടോക്കോൾ	Cisco SD-WAN കൺട്രോളറിലേക്കുള്ള കൺട്രോൾ പ്ലെയിൻ കണക്ഷനുകളിൽ ഉപയോഗിക്കുന്നതിനുള്ള പ്രോട്ടോക്കോൾ തിരഞ്ഞെടുക്കുക: • DTLS (ഡാtagറാം ട്രാൻസ്പോർട്ട് ലെയർ സെക്യൂരിറ്റി). ഇതാണ് സ്ഥിരസ്ഥിതി. • TLS (ട്രാൻസ്‌പോർട്ട് ലെയർ സെക്യൂരിറ്റി)
TLS പോർട്ട് നിയന്ത്രിക്കുക	നിങ്ങൾ TLS തിരഞ്ഞെടുത്തെങ്കിൽ, ഉപയോഗിക്കുന്നതിന് പോർട്ട് നമ്പർ കോൺഫിഗർ ചെയ്യുക:പരിധി: 1025 മുതൽ 65535 വരെഡിഫോൾട്ട്: 23456

സേവ് ക്ലിക്ക് ചെയ്യുക

ഡാറ്റാ പ്ലെയിൻ സുരക്ഷ കോൺഫിഗർ ചെയ്യുക
ഒരു Cisco SD-WAN വാലിഡേറ്ററിലോ ഒരു Cisco vEdge റൂട്ടറിലോ ഡാറ്റാ പ്ലെയിൻ സുരക്ഷ കോൺഫിഗർ ചെയ്യുന്നതിന്, അടിസ്ഥാന കോൺഫിഗറേഷൻ, പ്രാമാണീകരണ തരം ടാബുകൾ തിരഞ്ഞെടുത്ത് ഇനിപ്പറയുന്ന പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക:

പട്ടിക 3:

പരാമീറ്റർ പേര്	വിവരണം
റെക്കി സമയം	Cisco vEdge റൂട്ടർ, Cisco SD-WAN കൺട്രോളറിലേക്കുള്ള സുരക്ഷിത DTLS കണക്ഷനിൽ ഉപയോഗിക്കുന്ന AES കീ എത്ര തവണ മാറ്റുന്നുവെന്ന് വ്യക്തമാക്കുക. OMP ഗ്രേസ്‌ഫുൾ റീസ്റ്റാർട്ട് പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടെങ്കിൽ, റീകീയിംഗ് സമയം OMP ഗ്രേസ്‌ഫുൾ റീസ്റ്റാർട്ട് ടൈമറിൻ്റെ മൂല്യത്തിൻ്റെ ഇരട്ടിയെങ്കിലും ആയിരിക്കണം.പരിധി: 10 മുതൽ 1209600 സെക്കൻഡ് (14 ദിവസം)ഡിഫോൾട്ട്: 86400 സെക്കൻഡ് (24 മണിക്കൂർ)
റീപ്ലേ വിൻഡോ	സ്ലൈഡിംഗ് റീപ്ലേ വിൻഡോയുടെ വലുപ്പം വ്യക്തമാക്കുക. മൂല്യങ്ങൾ: 64, 128, 256, 512, 1024, 2048, 4096, 8192 പാക്കറ്റുകൾഡിഫോൾട്ട്: 512 പാക്കറ്റുകൾ
IPsec ജോടിയായി-കീയിംഗ്	ഇത് സ്ഥിരസ്ഥിതിയായി ഓഫാക്കിയിരിക്കുന്നു. ക്ലിക്ക് ചെയ്യുക On അത് ഓണാക്കാൻ.

പരാമീറ്റർ പേര്

വിവരണം

പ്രാമാണീകരണ തരം

എന്നതിൽ നിന്ന് പ്രാമാണീകരണ തരങ്ങൾ തിരഞ്ഞെടുക്കുക പ്രാമാണീകരണം ലിസ്റ്റ്, എന്നതിലേക്ക് പ്രാമാണീകരണ തരങ്ങൾ നീക്കുന്നതിന് വലത്തേക്ക് ചൂണ്ടുന്ന അമ്പടയാളത്തിൽ ക്ലിക്കുചെയ്യുക തിരഞ്ഞെടുത്ത ലിസ്റ്റ് കോളം. Cisco SD-WAN റിലീസ് 20.6.1-ൽ നിന്ന് പിന്തുണയ്‌ക്കുന്ന പ്രാമാണീകരണ തരങ്ങൾ: •  ഉദാ: ESP തലക്കെട്ടിൽ എൻക്യാപ്‌സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ് (ESP) എൻക്രിപ്ഷനും സമഗ്രത പരിശോധിക്കലും പ്രവർത്തനക്ഷമമാക്കുന്നു. •  ip-udp-esp: ESP എൻക്രിപ്ഷൻ പ്രവർത്തനക്ഷമമാക്കുന്നു. ESP തലക്കെട്ടിലെയും പേലോഡിലെയും സമഗ്രത പരിശോധനകൾക്ക് പുറമേ, ചെക്കുകളിൽ ബാഹ്യ IP, UDP തലക്കെട്ടുകളും ഉൾപ്പെടുന്നു. •  ip-udp-esp-no-id: സിസ്കോ കാറ്റലിസ്റ്റ് SD-WAN-ന് സിസ്‌കോ ഇതര ഉപകരണങ്ങളുമായി സംയോജിച്ച് പ്രവർത്തിക്കാൻ കഴിയുന്ന തരത്തിൽ IP ഹെഡറിലെ ഐഡി ഫീൽഡ് അവഗണിക്കുന്നു. •  ഒന്നുമില്ല: IPSec പാക്കറ്റുകളിൽ സമഗ്രത പരിശോധിക്കുന്നത് ഓഫുചെയ്യുന്നു. ഈ ഓപ്ഷൻ ഉപയോഗിക്കാൻ ഞങ്ങൾ ശുപാർശ ചെയ്യുന്നില്ല.   Cisco SD-WAN റിലീസ് 20.5.1-ലും അതിനുമുമ്പും പിന്തുണയ്‌ക്കുന്ന പ്രാമാണീകരണ തരങ്ങൾ: •  ah-no-id: പാക്കറ്റിൻ്റെ പുറം IP തലക്കെട്ടിലെ ഐഡി ഫീൽഡ് അവഗണിക്കുന്ന AH-SHA1 HMAC, ESP HMAC-SHA1 എന്നിവയുടെ മെച്ചപ്പെടുത്തിയ പതിപ്പ് പ്രവർത്തനക്ഷമമാക്കുക. •  ah-sha1-hmac: AH-SHA1 HMAC, ESP HMAC-SHA1 എന്നിവ പ്രവർത്തനക്ഷമമാക്കുക. •  ഒന്നുമില്ല: ആധികാരികത ഇല്ല എന്ന് തിരഞ്ഞെടുക്കുക. •  sha1-hmac: ESP HMAC-SHA1 പ്രവർത്തനക്ഷമമാക്കുക.   കുറിപ്പ്              Cisco SD-WAN റിലീസ് 20.5.1-ലോ അതിനുമുമ്പോ പ്രവർത്തിക്കുന്ന ഒരു എഡ്ജ് ഉപകരണത്തിന്, നിങ്ങൾ ഒരു പ്രാമാണീകരണ തരങ്ങൾ കോൺഫിഗർ ചെയ്‌തിരിക്കാം സുരക്ഷ ടെംപ്ലേറ്റ്. നിങ്ങൾ ഉപകരണം Cisco SD-WAN റിലീസ് 20.6.1 അല്ലെങ്കിൽ അതിന് ശേഷമുള്ളതിലേക്ക് അപ്‌ഗ്രേഡ് ചെയ്യുമ്പോൾ, തിരഞ്ഞെടുത്ത പ്രാമാണീകരണ തരങ്ങൾ അപ്‌ഡേറ്റ് ചെയ്യുക സുരക്ഷ Cisco SD-WAN റിലീസ് 20.6.1-ൽ നിന്ന് പിന്തുണയ്‌ക്കുന്ന പ്രാമാണീകരണ തരങ്ങളിലേക്കുള്ള ടെംപ്ലേറ്റ്. പ്രാമാണീകരണ തരങ്ങൾ അപ്ഡേറ്റ് ചെയ്യുന്നതിന്, ഇനിപ്പറയുന്നവ ചെയ്യുക: 1.      Cisco SD-WAN മാനേജർ മെനുവിൽ നിന്ന് തിരഞ്ഞെടുക്കുക കോൺഫിഗറേഷൻ > ടെംപ്ലേറ്റുകൾ. 2.      ക്ലിക്ക് ചെയ്യുക ഫീച്ചർ ടെംപ്ലേറ്റുകൾ. 3.      കണ്ടെത്തുക സുരക്ഷ അപ്ഡേറ്റ് ചെയ്യാനുള്ള ടെംപ്ലേറ്റ് ക്ലിക്ക് ചെയ്യുക... ക്ലിക്ക് ചെയ്യുക എഡിറ്റ് ചെയ്യുക. 4.      ക്ലിക്ക് ചെയ്യുക അപ്ഡേറ്റ്. ഒരു കോൺഫിഗറേഷനും പരിഷ്‌ക്കരിക്കരുത്. Cisco SD-WAN മാനേജർ അപ്ഡേറ്റ് ചെയ്യുന്നു സുരക്ഷ പിന്തുണയ്‌ക്കുന്ന പ്രാമാണീകരണ തരങ്ങൾ പ്രദർശിപ്പിക്കുന്നതിനുള്ള ടെംപ്ലേറ്റ്.

സേവ് ക്ലിക്ക് ചെയ്യുക.

ഡാറ്റാ പ്ലെയിൻ സുരക്ഷാ പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക

ഡാറ്റാ പ്ലെയിനിൽ, എല്ലാ റൂട്ടറുകളിലും IPsec സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനക്ഷമമാക്കുന്നു, കൂടാതെ IPsec ടണലുകളിൽ ആധികാരികത ഉറപ്പാക്കുന്നതിനായി IPsec ടണൽ കണക്ഷനുകൾ എൻക്യാപ്സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ് (ESP) പ്രോട്ടോക്കോളിൻ്റെ മെച്ചപ്പെടുത്തിയ പതിപ്പ് ഉപയോഗിക്കുന്നു. റൂട്ടറുകളിൽ, നിങ്ങൾക്ക് പ്രാമാണീകരണ തരം, IPsec റീകീയിംഗ് ടൈമർ, IPsec ആൻ്റി റീപ്ലേ വിൻഡോയുടെ വലുപ്പം എന്നിവ മാറ്റാൻ കഴിയും.

അനുവദനീയമായ പ്രാമാണീകരണ തരങ്ങൾ കോൺഫിഗർ ചെയ്യുക

സിസ്‌കോ SD-WAN റിലീസ് 20.6.1-ലും അതിനുശേഷവും ഉള്ള പ്രാമാണീകരണ തരങ്ങൾ
Cisco SD-WAN റിലീസ് 20.6.1-ൽ നിന്ന്, ഇനിപ്പറയുന്ന സമഗ്രത തരങ്ങൾ പിന്തുണയ്ക്കുന്നു:

• esp: ഈ ഓപ്‌ഷൻ എൻക്യാപ്‌സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ് (ഇഎസ്‌പി) എൻക്രിപ്ഷനും ഇഎസ്പി ഹെഡറിലെ സമഗ്രത പരിശോധിക്കലും പ്രാപ്തമാക്കുന്നു.
• ip-udp-esp: ഈ ഓപ്ഷൻ ESP എൻക്രിപ്ഷൻ പ്രാപ്തമാക്കുന്നു. ESP തലക്കെട്ടിലെയും പേലോഡിലെയും സമഗ്രത പരിശോധനകൾക്ക് പുറമേ, ചെക്കുകളിൽ ബാഹ്യ IP, UDP തലക്കെട്ടുകളും ഉൾപ്പെടുന്നു.
• ip-udp-esp-no-id: ഈ ഓപ്‌ഷൻ ip-udp-esp-ന് സമാനമാണ്, എന്നിരുന്നാലും, ബാഹ്യ ഐപി ഹെഡറിൻ്റെ ഐഡി ഫീൽഡ് അവഗണിക്കപ്പെടുന്നു. Cisco Catalyst SD-WAN സോഫ്‌റ്റ്‌വെയർ IP ഹെഡറിലെ ഐഡി ഫീൽഡ് അവഗണിക്കുന്നതിന് ഇൻ്റഗ്രിറ്റി തരങ്ങളുടെ പട്ടികയിൽ ഈ ഓപ്‌ഷൻ കോൺഫിഗർ ചെയ്യുക, അതുവഴി Cisco Catalyst SD-WAN-ന് നോൺ-സിസ്‌കോ ഉപകരണങ്ങളുമായി സംയോജിച്ച് പ്രവർത്തിക്കാനാകും.
• ഒന്നുമില്ല: ഈ ഓപ്ഷൻ IPSec പാക്കറ്റുകളിൽ സമഗ്രത പരിശോധിക്കുന്നത് ഓഫാക്കി. ഈ ഓപ്ഷൻ ഉപയോഗിക്കാൻ ഞങ്ങൾ ശുപാർശ ചെയ്യുന്നില്ല.

സ്ഥിരസ്ഥിതിയായി, IPsec ടണൽ കണക്ഷനുകൾ പ്രാമാണീകരണത്തിനായി എൻക്യാപ്സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ് (ESP) പ്രോട്ടോക്കോളിൻ്റെ മെച്ചപ്പെടുത്തിയ പതിപ്പ് ഉപയോഗിക്കുന്നു. ചർച്ച ചെയ്യപ്പെടുന്ന ഇൻ്ററിറ്റി തരങ്ങൾ പരിഷ്‌ക്കരിക്കുന്നതിനോ സമഗ്രത പരിശോധന പ്രവർത്തനരഹിതമാക്കുന്നതിനോ, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കുക: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Cisco SD-WAN റിലീസിന് മുമ്പുള്ള പ്രാമാണീകരണ തരങ്ങൾ 20.6.1
സ്ഥിരസ്ഥിതിയായി, IPsec ടണൽ കണക്ഷനുകൾ പ്രാമാണീകരണത്തിനായി എൻക്യാപ്സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ് (ESP) പ്രോട്ടോക്കോളിൻ്റെ മെച്ചപ്പെടുത്തിയ പതിപ്പ് ഉപയോഗിക്കുന്നു. ചർച്ച ചെയ്‌ത പ്രാമാണീകരണ തരങ്ങൾ പരിഷ്‌ക്കരിക്കുന്നതിനോ ആധികാരികത അപ്രാപ്‌തമാക്കുന്നതിനോ, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കുക: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | ഒന്നുമില്ല) ഡിഫോൾട്ടായി, IPsec ടണൽ കണക്ഷനുകൾ AES-GCM-256 ഉപയോഗിക്കുന്നു, ഇത് എൻക്രിപ്ഷനും പ്രാമാണീകരണവും നൽകുന്നു. ഒരു പ്രത്യേക സുരക്ഷാ ipsec ഓതൻ്റിക്കേഷൻ-ടൈപ്പ് കമാൻഡ് ഉപയോഗിച്ച് ഓരോ പ്രാമാണീകരണ തരവും കോൺഫിഗർ ചെയ്യുക. കമാൻഡ് ഓപ്‌ഷനുകൾ ഇനിപ്പറയുന്ന പ്രാമാണീകരണ തരങ്ങളിലേക്ക് മാപ്പ് ചെയ്യുന്നു, അവ ഏറ്റവും ശക്തമായത് മുതൽ ഏറ്റവും ശക്തമായത് വരെയുള്ള ക്രമത്തിൽ പട്ടികപ്പെടുത്തിയിരിക്കുന്നു:

കുറിപ്പ്
കോൺഫിഗറേഷൻ ഓപ്ഷനുകളിലെ sha1 ചരിത്രപരമായ കാരണങ്ങളാൽ ഉപയോഗിക്കുന്നു. പാക്കറ്റ് ഇൻ്റഗ്രിറ്റി ചെക്കിംഗ് എത്രത്തോളം നടന്നിട്ടുണ്ടെന്ന് പ്രാമാണീകരണ ഓപ്ഷനുകൾ സൂചിപ്പിക്കുന്നു. സമഗ്രത പരിശോധിക്കുന്ന അൽഗോരിതം അവർ വ്യക്തമാക്കുന്നില്ല. മൾട്ടികാസ്റ്റ് ട്രാഫിക്കിൻ്റെ എൻക്രിപ്ഷൻ ഒഴികെ, Cisco Catalyst SD WAN പിന്തുണയ്ക്കുന്ന പ്രാമാണീകരണ അൽഗോരിതങ്ങൾ SHA1 ഉപയോഗിക്കുന്നില്ല. എന്നിരുന്നാലും, Cisco SD-WAN റിലീസ് 20.1.x-ലും അതിനുശേഷമുള്ള പതിപ്പുകളിലും, യൂണികാസ്റ്റും മൾട്ടികാസ്റ്റും SHA1 ഉപയോഗിക്കുന്നില്ല.

• ah-sha1-hmac, ESP ഉപയോഗിച്ച് എൻക്രിപ്ഷനും എൻക്യാപ്സുലേഷനും പ്രാപ്തമാക്കുന്നു. എന്നിരുന്നാലും, ESP തലക്കെട്ടിലെയും പേലോഡിലെയും സമഗ്രത പരിശോധനകൾക്ക് പുറമേ, ചെക്കുകളിൽ ബാഹ്യ IP, UDP തലക്കെട്ടുകളും ഉൾപ്പെടുന്നു. അതിനാൽ, ഓതൻ്റിക്കേഷൻ ഹെഡർ (AH) പ്രോട്ടോക്കോളിന് സമാനമായ പാക്കറ്റിൻ്റെ സമഗ്രത പരിശോധിക്കുന്നതിനെ ഈ ഓപ്ഷൻ പിന്തുണയ്ക്കുന്നു. എല്ലാ സമഗ്രതയും എൻക്രിപ്ഷനും AES-256-GCM ഉപയോഗിച്ചാണ് നടത്തുന്നത്.
• ah-no-id ah-sha1-hmac-ന് സമാനമായ ഒരു മോഡ് പ്രവർത്തനക്ഷമമാക്കുന്നു, എന്നിരുന്നാലും, ബാഹ്യ IP ഹെഡറിൻ്റെ ഐഡി ഫീൽഡ് അവഗണിക്കപ്പെടുന്നു. ഈ ഓപ്‌ഷൻ, Apple AirPort Express NAT ഉൾപ്പെടെയുള്ള ചില നോൺ-സിസ്‌കോ കാറ്റലിസ്റ്റ് SD-WAN ഉപകരണങ്ങളെ ഉൾക്കൊള്ളുന്നു, അത് IP ഹെഡറിലെ ഐഡി ഫീൽഡ് പരിഷ്‌ക്കരിക്കുന്നതിന് കാരണമാകുന്ന ഒരു ബഗ് ഉണ്ട്. Cisco Catalyst SD-WAN AH സോഫ്‌റ്റ്‌വെയർ IP ഹെഡറിലെ ഐഡി ഫീൽഡ് അവഗണിക്കുന്നതിന് പ്രാമാണീകരണ തരങ്ങളുടെ പട്ടികയിൽ ah-no-id ഓപ്‌ഷൻ കോൺഫിഗർ ചെയ്യുക, അതുവഴി Cisco Catalyst SD-WAN സോഫ്‌റ്റ്‌വെയർ ഈ ഉപകരണങ്ങളുമായി സംയോജിച്ച് പ്രവർത്തിക്കാൻ കഴിയും.
• sha1-hmac ESP എൻക്രിപ്ഷനും ഇൻ്റഗ്രിറ്റി ചെക്കിംഗും പ്രാപ്തമാക്കുന്നു.
• ആധികാരികത ഉറപ്പാക്കാൻ ആരും മാപ്പ് ചെയ്യുന്നില്ല. താൽക്കാലിക ഡീബഗ്ഗിംഗിന് ആവശ്യമെങ്കിൽ മാത്രമേ ഈ ഓപ്ഷൻ ഉപയോഗിക്കാവൂ. ഡാറ്റാ പ്ലെയിൻ പ്രാമാണീകരണവും സമഗ്രതയും ആശങ്കപ്പെടാത്ത സാഹചര്യങ്ങളിലും നിങ്ങൾക്ക് ഈ ഓപ്ഷൻ തിരഞ്ഞെടുക്കാം. പ്രൊഡക്ഷൻ നെറ്റ്‌വർക്കുകൾക്കായി ഈ ഓപ്ഷൻ ഉപയോഗിക്കാൻ സിസ്കോ ശുപാർശ ചെയ്യുന്നില്ല.

ഈ പ്രാമാണീകരണ തരങ്ങൾ ഏത് ഡാറ്റാ പാക്കറ്റ് ഫീൽഡുകളെയാണ് ബാധിക്കുന്നത് എന്നതിനെക്കുറിച്ചുള്ള വിവരങ്ങൾക്ക്, ഡാറ്റാ പ്ലെയിൻ ഇൻ്റഗ്രിറ്റി കാണുക. Cisco IOS XE Catalyst SD-WAN ഉപകരണങ്ങളും Cisco vEdge ഉപകരണങ്ങളും അവരുടെ TLOC പ്രോപ്പർട്ടികളിൽ അവരുടെ കോൺഫിഗർ ചെയ്ത പ്രാമാണീകരണ തരങ്ങൾ പരസ്യപ്പെടുത്തുന്നു. ഒരു IPsec ടണൽ കണക്ഷൻ്റെ ഇരുവശത്തുമുള്ള രണ്ട് റൂട്ടറുകൾ, രണ്ട് റൂട്ടറുകളിലും കോൺഫിഗർ ചെയ്‌തിരിക്കുന്ന ഏറ്റവും ശക്തമായ ആധികാരികത തരം ഉപയോഗിച്ച്, അവ തമ്മിലുള്ള കണക്ഷനിൽ ഉപയോഗിക്കുന്നതിനുള്ള പ്രാമാണീകരണം ചർച്ച ചെയ്യുന്നു. ഉദാample, ഒരു റൂട്ടർ ah-sha1-hmac, ah-no-id തരങ്ങൾ പരസ്യപ്പെടുത്തുകയും രണ്ടാമത്തെ റൂട്ടർ ah-no-id തരം പരസ്യപ്പെടുത്തുകയും ചെയ്യുന്നുവെങ്കിൽ, രണ്ട് റൂട്ടറുകളും IPsec ടണൽ കണക്ഷനിൽ ah-no-id ഉപയോഗിക്കുന്നതിന് വിലപേശുന്നു. അവരെ. രണ്ട് സമപ്രായക്കാരിലും പൊതുവായ പ്രാമാണീകരണ തരങ്ങളൊന്നും കോൺഫിഗർ ചെയ്തിട്ടില്ലെങ്കിൽ, അവയ്ക്കിടയിൽ IPsec ടണൽ സ്ഥാപിച്ചിട്ടില്ല. IPsec ടണൽ കണക്ഷനുകളിലെ എൻക്രിപ്ഷൻ അൽഗോരിതം ട്രാഫിക്കിൻ്റെ തരത്തെ ആശ്രയിച്ചിരിക്കുന്നു:

• ഏകീകൃത ട്രാഫിക്കിന്, എൻക്രിപ്ഷൻ അൽഗോരിതം AES-256-GCM ആണ്.
• മൾട്ടികാസ്റ്റ് ട്രാഫിക്കിനായി:
• Cisco SD-WAN റിലീസ് 20.1.x ഉം അതിനുശേഷവും– എൻക്രിപ്ഷൻ അൽഗോരിതം AES-256-GCM ആണ്
• മുമ്പത്തെ പതിപ്പുകൾ- SHA256-HMAC ഉള്ള AES-1-CBC ആണ് എൻക്രിപ്ഷൻ അൽഗോരിതം.

IPsec പ്രാമാണീകരണ തരം മാറ്റുമ്പോൾ, ഡാറ്റാ പാത്തിനായുള്ള AES കീ മാറുന്നു.

റീകിംഗ് ടൈമർ മാറ്റുക

Cisco IOS XE Catalyst SD-WAN ഉപകരണങ്ങൾക്കും Cisco vEdge ഉപകരണങ്ങൾക്കും ഡാറ്റാ ട്രാഫിക്കുകൾ കൈമാറുന്നതിന് മുമ്പ്, അവർ അവയ്ക്കിടയിൽ ഒരു സുരക്ഷിതമായ ആധികാരിക ആശയവിനിമയ ചാനൽ സജ്ജീകരിക്കുന്നു. റൂട്ടറുകൾ ചാനൽ ആയി അവയ്ക്കിടയിലുള്ള IPSec ടണലുകളും എൻക്രിപ്ഷൻ നടത്താൻ AES-256 സൈഫറും ഉപയോഗിക്കുന്നു. ഓരോ റൂട്ടറും അതിൻ്റെ ഡാറ്റാ പാതയ്ക്കായി കാലാകാലങ്ങളിൽ ഒരു പുതിയ AES കീ സൃഷ്ടിക്കുന്നു. സ്ഥിരസ്ഥിതിയായി, ഒരു കീ 86400 സെക്കൻഡ് (24 മണിക്കൂർ) വരെ സാധുതയുള്ളതാണ്, കൂടാതെ ടൈമർ ശ്രേണി 10 സെക്കൻഡ് മുതൽ 1209600 സെക്കൻഡ് (14 ദിവസം) വരെയാണ്. rekey ടൈമർ മൂല്യം മാറ്റാൻ: Device(config)# Security ipsec rekey seconds കോൺഫിഗറേഷൻ ഇതുപോലെ കാണപ്പെടുന്നു:

• സെക്യൂരിറ്റി ipsec rekey സെക്കൻ്റുകൾ !

നിങ്ങൾക്ക് ഉടനടി പുതിയ IPsec കീകൾ സൃഷ്ടിക്കണമെങ്കിൽ, റൂട്ടറിൻ്റെ കോൺഫിഗറേഷൻ പരിഷ്‌ക്കരിക്കാതെ തന്നെ നിങ്ങൾക്ക് അത് ചെയ്യാൻ കഴിയും. ഇത് ചെയ്യുന്നതിന്, അപഹരിക്കപ്പെട്ട റൂട്ടറിൽ അഭ്യർത്ഥന സുരക്ഷാ ipsecrekey കമാൻഡ് നൽകുക. ഉദാample, ലോക്കൽ SA-യ്ക്ക് 256-ൻ്റെ സുരക്ഷാ പാരാമീറ്റർ സൂചിക (SPI) ഉണ്ടെന്ന് ഇനിപ്പറയുന്ന ഔട്ട്പുട്ട് കാണിക്കുന്നു:

ഓരോ എസ്പിഐയുമായും ഒരു അദ്വിതീയ കീ ബന്ധപ്പെട്ടിരിക്കുന്നു. ഈ കീ അപഹരിക്കപ്പെട്ടാൽ, ഉടൻ തന്നെ ഒരു പുതിയ കീ ജനറേറ്റ് ചെയ്യുന്നതിന് റിക്വസ്റ്റ് സെക്യൂരിറ്റി ipsec-rekey കമാൻഡ് ഉപയോഗിക്കുക. ഈ കമാൻഡ് SPI വർദ്ധിപ്പിക്കുന്നു. ഞങ്ങളുടെ മുൻample, SPI 257 ആയി മാറുന്നു, അതുമായി ബന്ധപ്പെട്ട കീ ഇപ്പോൾ ഉപയോഗിക്കുന്നു:

• ഉപകരണം# അഭ്യർത്ഥന സുരക്ഷ ipsecrekey
• ഉപകരണം# കാണിക്കുക ipsec ലോക്കൽ-സ

പുതിയ കീ ജനറേറ്റുചെയ്‌തതിനുശേഷം, റൂട്ടർ അത് ഉടൻ തന്നെ DTLS അല്ലെങ്കിൽ TLS ഉപയോഗിച്ച് Cisco SD-WAN കൺട്രോളറുകളിലേക്ക് അയയ്ക്കുന്നു. Cisco SD-WAN കൺട്രോളറുകൾ പിയർ റൂട്ടറുകളിലേക്ക് കീ അയയ്ക്കുന്നു. റൂട്ടറുകൾ അത് ലഭിച്ചാലുടൻ അത് ഉപയോഗിക്കാൻ തുടങ്ങും. പഴയ SPI (256) യുമായി ബന്ധപ്പെട്ട കീ കാലഹരണപ്പെടുന്നതുവരെ കുറച്ച് സമയത്തേക്ക് ഉപയോഗിക്കുന്നത് തുടരും എന്നത് ശ്രദ്ധിക്കുക. പഴയ കീ ഉപയോഗിക്കുന്നത് ഉടൻ നിർത്താൻ, അഭ്യർത്ഥന സുരക്ഷാ ipsec-rekey കമാൻഡ് രണ്ട് തവണ, തുടർച്ചയായി നൽകുക. കമാൻഡുകളുടെ ഈ ശ്രേണി SPI 256, 257 എന്നിവ നീക്കം ചെയ്യുകയും SPI 258 ആയി സജ്ജീകരിക്കുകയും ചെയ്യുന്നു. തുടർന്ന് റൂട്ടർ SPI 258-ൻ്റെ അനുബന്ധ കീ ഉപയോഗിക്കുന്നു. എന്നിരുന്നാലും, എല്ലാ വിദൂര റൂട്ടറുകളും പഠിക്കുന്നത് വരെ കുറച്ച് സമയത്തേക്ക് ചില പാക്കറ്റുകൾ ഉപേക്ഷിക്കപ്പെടും. പുതിയ കീ.

ആൻ്റി റീപ്ലേ വിൻഡോയുടെ വലിപ്പം മാറ്റുക

IPsec പ്രാമാണീകരണം ഒരു ഡാറ്റ സ്ട്രീമിലെ ഓരോ പാക്കറ്റിനും ഒരു തനതായ സീക്വൻസ് നമ്പർ നൽകി ആൻ്റി-റിപ്ലേ പരിരക്ഷ നൽകുന്നു. ഡാറ്റ പാക്കറ്റുകൾ ഡ്യൂപ്ലിക്കേറ്റ് ചെയ്യുന്ന ആക്രമണകാരിക്കെതിരെ ഈ സീക്വൻസ് നമ്പറിംഗ് പരിരക്ഷിക്കുന്നു. ആൻ്റി-റിപ്ലേ പ്രൊട്ടക്ഷൻ ഉപയോഗിച്ച്, അയച്ചയാൾ ഏകതാനമായി വർദ്ധിക്കുന്ന സീക്വൻസ് നമ്പറുകൾ നൽകുന്നു, കൂടാതെ ഡ്യൂപ്ലിക്കേറ്റുകൾ കണ്ടെത്തുന്നതിന് ലക്ഷ്യസ്ഥാനം ഈ സീക്വൻസ് നമ്പറുകൾ പരിശോധിക്കുന്നു. പാക്കറ്റുകൾ പലപ്പോഴും ക്രമത്തിൽ എത്താത്തതിനാൽ, ലക്ഷ്യസ്ഥാനം അത് സ്വീകരിക്കുന്ന സീക്വൻസ് നമ്പറുകളുടെ സ്ലൈഡിംഗ് വിൻഡോ നിലനിർത്തുന്നു.

സ്ലൈഡിംഗ് വിൻഡോ ശ്രേണിയുടെ ഇടതുവശത്ത് വീഴുന്ന സീക്വൻസ് നമ്പറുകളുള്ള പാക്കറ്റുകൾ പഴയതോ ഡ്യൂപ്ലിക്കേറ്റുകളോ ആയി കണക്കാക്കുന്നു, കൂടാതെ ലക്ഷ്യസ്ഥാനം അവയെ ഡ്രോപ്പ് ചെയ്യുന്നു. ലക്ഷ്യസ്ഥാനം അതിന് ലഭിച്ച ഏറ്റവും ഉയർന്ന സീക്വൻസ് നമ്പർ ട്രാക്ക് ചെയ്യുകയും ഉയർന്ന മൂല്യമുള്ള ഒരു പാക്കറ്റ് ലഭിക്കുമ്പോൾ സ്ലൈഡിംഗ് വിൻഡോ ക്രമീകരിക്കുകയും ചെയ്യുന്നു.

സ്ഥിരസ്ഥിതിയായി, സ്ലൈഡിംഗ് വിൻഡോ 512 പാക്കറ്റുകളായി സജ്ജീകരിച്ചിരിക്കുന്നു. ഇത് 64-നും 4096-നും ഇടയിലുള്ള ഏത് മൂല്യത്തിലേക്കും സജ്ജീകരിക്കാം, അതായത് 2-ൻ്റെ ശക്തി (അതായത്, 64, 128, 256, 512, 1024, 2048, അല്ലെങ്കിൽ 4096). ആൻ്റി-റീപ്ലേ വിൻഡോ വലുപ്പം പരിഷ്‌ക്കരിക്കുന്നതിന്, വിൻഡോയുടെ വലുപ്പം വ്യക്തമാക്കുന്ന റീപ്ലേ-വിൻഡോ കമാൻഡ് ഉപയോഗിക്കുക:

ഉപകരണം(config)# സെക്യൂരിറ്റി ipsec റീപ്ലേ-വിൻഡോ നമ്പർ

കോൺഫിഗറേഷൻ ഇതുപോലെ കാണപ്പെടുന്നു:
സെക്യൂരിറ്റി ipsec റീപ്ലേ-വിൻഡോ നമ്പർ ! !

QoS-നെ സഹായിക്കുന്നതിന്, ആദ്യത്തെ എട്ട് ട്രാഫിക് ചാനലുകൾക്കായി പ്രത്യേകം റീപ്ലേ വിൻഡോകൾ പരിപാലിക്കുന്നു. ക്രമീകരിച്ച റീപ്ലേ വിൻഡോ വലുപ്പം ഓരോ ചാനലിനും എട്ട് കൊണ്ട് ഹരിച്ചിരിക്കുന്നു. ഒരു റൂട്ടറിൽ QoS കോൺഫിഗർ ചെയ്‌തിട്ടുണ്ടെങ്കിൽ, IPsec ആൻ്റി റീപ്ലേ മെക്കാനിസത്തിൻ്റെ ഫലമായി ആ റൂട്ടറിന് പ്രതീക്ഷിച്ചതിലും വലിയ പാക്കറ്റ് ഡ്രോപ്പുകൾ അനുഭവപ്പെട്ടേക്കാം, കൂടാതെ ഉപേക്ഷിക്കപ്പെടുന്ന പല പാക്കറ്റുകളും നിയമാനുസൃതമായവയാണ്. QoS പാക്കറ്റുകൾ പുനഃക്രമീകരിക്കുകയും ഉയർന്ന മുൻഗണനയുള്ള പാക്കറ്റുകൾക്ക് മുൻഗണന നൽകുകയും കുറഞ്ഞ മുൻഗണനയുള്ള പാക്കറ്റുകൾ വൈകിപ്പിക്കുകയും ചെയ്യുന്നതിനാലാണ് ഇത് സംഭവിക്കുന്നത്. ഈ സാഹചര്യം കുറയ്ക്കുന്നതിനോ തടയുന്നതിനോ, നിങ്ങൾക്ക് ഇനിപ്പറയുന്നവ ചെയ്യാവുന്നതാണ്:

• ആൻ്റി റീപ്ലേ വിൻഡോയുടെ വലിപ്പം കൂട്ടുക.
• ഒരു ചാനലിനുള്ളിലെ ട്രാഫിക് പുനഃക്രമീകരിക്കുന്നില്ലെന്ന് ഉറപ്പാക്കാൻ ആദ്യത്തെ എട്ട് ട്രാഫിക് ചാനലുകളിലേക്കുള്ള എഞ്ചിനീയർ ട്രാഫിക്.

IKE- പ്രവർത്തനക്ഷമമാക്കിയ IPsec ടണലുകൾ കോൺഫിഗർ ചെയ്യുക
ഓവർലേ നെറ്റ്‌വർക്കിൽ നിന്ന് ഒരു സേവന നെറ്റ്‌വർക്കിലേക്ക് ട്രാഫിക് സുരക്ഷിതമായി കൈമാറാൻ, നിങ്ങൾക്ക് ഇൻ്റർനെറ്റ് കീ എക്‌സ്‌ചേഞ്ച് (IKE) പ്രോട്ടോക്കോൾ പ്രവർത്തിപ്പിക്കുന്ന IPsec ടണലുകൾ കോൺഫിഗർ ചെയ്യാം. സുരക്ഷിതമായ പാക്കറ്റ് ഗതാഗതം ഉറപ്പാക്കാൻ IKE- പ്രാപ്തമാക്കിയ IPsec ടണലുകൾ പ്രാമാണീകരണവും എൻക്രിപ്ഷനും നൽകുന്നു. ഒരു IPsec ഇൻ്റർഫേസ് ക്രമീകരിച്ചുകൊണ്ട് നിങ്ങൾ IKE- പ്രാപ്തമാക്കിയ IPsec ടണൽ സൃഷ്ടിക്കുന്നു. IPsec ഇൻ്റർഫേസുകൾ ലോജിക്കൽ ഇൻ്റർഫേസുകളാണ്, മറ്റേതൊരു ഫിസിക്കൽ ഇൻ്റർഫേസ് പോലെ നിങ്ങൾ അവ ക്രമീകരിക്കുന്നു. നിങ്ങൾ IPsec ഇൻ്റർഫേസിൽ IKE പ്രോട്ടോക്കോൾ പാരാമീറ്ററുകൾ ക്രമീകരിക്കുന്നു, കൂടാതെ നിങ്ങൾക്ക് മറ്റ് ഇൻ്റർഫേസ് പ്രോപ്പർട്ടികൾ ക്രമീകരിക്കാനും കഴിയും.

കുറിപ്പ് IKE പതിപ്പ് 2 ഉപയോഗിക്കാൻ സിസ്‌കോ ശുപാർശ ചെയ്യുന്നു. Cisco SD-WAN 19.2.x റിലീസ് മുതൽ, മുൻകൂട്ടി പങ്കിട്ട കീയുടെ ദൈർഘ്യം കുറഞ്ഞത് 16 ബൈറ്റുകൾ ആയിരിക്കണം. റൂട്ടർ 16 പതിപ്പിലേക്ക് അപ്‌ഗ്രേഡ് ചെയ്യുമ്പോൾ കീ വലുപ്പം 19.2 പ്രതീകങ്ങളിൽ കുറവാണെങ്കിൽ IPsec ടണൽ സ്ഥാപനം പരാജയപ്പെടും.

കുറിപ്പ്
RFC 2-ൽ നിർവചിച്ചിരിക്കുന്നതുപോലെ Cisco Catalyst SD-WAN സോഫ്‌റ്റ്‌വെയർ IKE പതിപ്പ് 7296-നെ പിന്തുണയ്‌ക്കുന്നു. IPsec ടണലുകളുടെ ഒരു ഉപയോഗം Amazon AWS-ൽ പ്രവർത്തിക്കുന്ന vEdge ക്ലൗഡ് റൂട്ടർ VM ഇൻസ്‌റ്റൻസുകളെ ആമസോൺ വെർച്വൽ പ്രൈവറ്റ് ക്ലൗഡിലേക്ക് (VPC) കണക്‌റ്റ് ചെയ്യാൻ അനുവദിക്കുക എന്നതാണ്. ഈ റൂട്ടറുകളിൽ നിങ്ങൾ IKE പതിപ്പ് 1 കോൺഫിഗർ ചെയ്യണം. Cisco vEdge ഉപകരണങ്ങൾ ഒരു IPSec കോൺഫിഗറേഷനിൽ റൂട്ട് അധിഷ്‌ഠിത VPN-കളെ മാത്രമേ പിന്തുണയ്‌ക്കൂ, കാരണം ഈ ഉപകരണങ്ങൾക്ക് എൻക്രിപ്‌ഷൻ ഡൊമെയ്‌നിലെ ട്രാഫിക് സെലക്ടറുകളെ നിർവചിക്കാൻ കഴിയില്ല.

ഒരു IPsec ടണൽ കോൺഫിഗർ ചെയ്യുക
ഒരു സേവന നെറ്റ്‌വർക്കിൽ നിന്നുള്ള സുരക്ഷിത ഗതാഗത ട്രാഫിക്കിനായി ഒരു IPsec ടണൽ ഇൻ്റർഫേസ് ക്രമീകരിക്കുന്നതിന്, നിങ്ങൾ ഒരു ലോജിക്കൽ IPsec ഇൻ്റർഫേസ് സൃഷ്‌ടിക്കുന്നു:

ട്രാൻസ്പോർട്ട് VPN-ലും (VPN 0) ഏത് സേവന VPN-ലും (VPN 1 മുതൽ 65530 വരെ, 512 ഒഴികെ) നിങ്ങൾക്ക് IPsec ടണൽ സൃഷ്ടിക്കാൻ കഴിയും. IPsec ഇൻ്റർഫേസിന് ipsecnumber ഫോർമാറ്റിൽ ഒരു പേരുണ്ട്, അവിടെ നമ്പർ 1 മുതൽ 255 വരെയാകാം. ഓരോ IPsec ഇൻ്റർഫേസിനും ഒരു IPv4 വിലാസം ഉണ്ടായിരിക്കണം. ഈ വിലാസം ഒരു /30 പ്രിഫിക്‌സ് ആയിരിക്കണം. ഈ IPv4 പ്രിഫിക്‌സിനുള്ളിലുള്ള VPN-ലെ എല്ലാ ട്രാഫിക്കും VPN 0-ലെ ഫിസിക്കൽ ഇൻ്റർഫേസിലേക്ക് ഒരു IPsec ടണലിലൂടെ സുരക്ഷിതമായി അയയ്‌ക്കുന്നു. പ്രാദേശിക ഉപകരണത്തിൽ IPsec ടണലിൻ്റെ ഉറവിടം കോൺഫിഗർ ചെയ്യുന്നതിന്, നിങ്ങൾക്ക് ഇതിൻ്റെ IP വിലാസം വ്യക്തമാക്കാം ഫിസിക്കൽ ഇൻ്റർഫേസ് (ടണൽ-സോഴ്സ് കമാൻഡിൽ) അല്ലെങ്കിൽ ഫിസിക്കൽ ഇൻ്റർഫേസിൻ്റെ പേര് (ടണൽ-സോഴ്സ്-ഇൻ്റർഫേസ് കമാൻഡിൽ). ഫിസിക്കൽ ഇൻ്റർഫേസ് VPN 0-ൽ കോൺഫിഗർ ചെയ്തിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക. IPsec ടണലിൻ്റെ ലക്ഷ്യസ്ഥാനം ക്രമീകരിക്കുന്നതിന്, ടണൽ-ഡെസ്റ്റിനേഷൻ കമാൻഡിൽ റിമോട്ട് ഉപകരണത്തിൻ്റെ IP വിലാസം വ്യക്തമാക്കുക. ഒരു ഉറവിട വിലാസവും (അല്ലെങ്കിൽ ഉറവിട ഇൻ്റർഫേസ് നാമവും) ഒരു ലക്ഷ്യസ്ഥാന വിലാസവും ചേർന്ന് ഒരൊറ്റ IPsec ടണലിനെ നിർവചിക്കുന്നു. ഒരു നിർദ്ദിഷ്ട ഉറവിട വിലാസവും (അല്ലെങ്കിൽ ഇൻ്റർഫേസ് നാമവും) ലക്ഷ്യസ്ഥാന വിലാസ ജോഡിയും ഉപയോഗിക്കുന്ന ഒരു IPsec ടണൽ മാത്രമേ നിലനിൽക്കൂ.

ഒരു IPsec സ്റ്റാറ്റിക് റൂട്ട് കോൺഫിഗർ ചെയ്യുക

VPN-ൽ നിന്ന് ട്രാൻസ്പോർട്ട് VPN-ലെ (VPN 0) ഒരു IPsec ടണലിലേക്ക് ട്രാഫിക്ക് നയിക്കാൻ, നിങ്ങൾ VPN-ൽ ഒരു IPsec-നിർദ്ദിഷ്ട സ്റ്റാറ്റിക് റൂട്ട് കോൺഫിഗർ ചെയ്യുന്നു (VPN 0 അല്ലെങ്കിൽ VPN 512 ഒഴികെയുള്ള VPN):

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 ഇൻ്റർഫേസ്
• ipsecnumber [ipsecnumber2]

VPN ഐഡി ഏതെങ്കിലും സേവന VPN (VPN 1 മുതൽ 65530 വരെ, 512 ഒഴികെ) ആണ്. prefix/length എന്നത് IP വിലാസം അല്ലെങ്കിൽ പ്രിഫിക്‌സ് ആണ്, ദശാംശം നാല്-ഭാഗം-ഡോട്ട് നൊട്ടേഷനിൽ, IPsec-നിർദ്ദിഷ്ട സ്റ്റാറ്റിക് റൂട്ടിൻ്റെ പ്രിഫിക്‌സ് ദൈർഘ്യം. VPN 0-ലെ IPsec ടണൽ ഇൻ്റർഫേസാണ് ഇൻ്റർഫേസ്. നിങ്ങൾക്ക് ഒന്നോ രണ്ടോ IPsec ടണൽ ഇൻ്റർഫേസുകൾ കോൺഫിഗർ ചെയ്യാം. നിങ്ങൾ രണ്ടെണ്ണം കോൺഫിഗർ ചെയ്യുകയാണെങ്കിൽ, ആദ്യത്തേത് പ്രാഥമിക IPsec ടണൽ ആണ്, രണ്ടാമത്തേത് ബാക്കപ്പ് ആണ്. രണ്ട് ഇൻ്റർഫേസുകളോടെ, എല്ലാ പാക്കറ്റുകളും പ്രാഥമിക തുരങ്കത്തിലേക്ക് മാത്രം അയയ്ക്കുന്നു. ആ തുരങ്കം പരാജയപ്പെടുകയാണെങ്കിൽ, എല്ലാ പാക്കറ്റുകളും ദ്വിതീയ ടണലിലേക്ക് അയയ്ക്കും. പ്രാഥമിക തുരങ്കം തിരികെ വന്നാൽ, എല്ലാ ട്രാഫിക്കും പ്രാഥമിക IPsec ടണലിലേക്ക് മാറ്റും.

IKE പതിപ്പ് 1 പ്രവർത്തനക്ഷമമാക്കുക
നിങ്ങൾ ഒരു vEdge റൂട്ടറിൽ ഒരു IPsec ടണൽ സൃഷ്ടിക്കുമ്പോൾ, ടണൽ ഇൻ്റർഫേസിൽ സ്ഥിരസ്ഥിതിയായി IKE പതിപ്പ് 1 പ്രവർത്തനക്ഷമമാകും. IKEv1-നായി ഇനിപ്പറയുന്ന പ്രോപ്പർട്ടികൾ സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനക്ഷമമാക്കിയിരിക്കുന്നു:

• ആധികാരികതയും എൻക്രിപ്ഷനും—എഇഎസ്-256 വിപുലമായ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് സിബിസി എൻക്രിപ്ഷൻ, എച്ച്എംഎസി-എസ്എച്ച്എ1 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണ കോഡ് അൽഗോരിതത്തോടുകൂടിയ സമഗ്രത
• ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പ് നമ്പർ-16
• റിക്കയിംഗ് സമയ ഇടവേള - 4 മണിക്കൂർ
• SA എസ്റ്റാബ്ലിഷ്‌മെൻ്റ് മോഡ്-പ്രധാനം

സ്ഥിരസ്ഥിതിയായി, IKE SA-കൾ സ്ഥാപിക്കാൻ IKEv1 IKE പ്രധാന മോഡ് ഉപയോഗിക്കുന്നു. ഈ മോഡിൽ, എസ്എ സ്ഥാപിക്കാൻ ആറ് നെഗോഷ്യേഷൻ പാക്കറ്റുകൾ കൈമാറ്റം ചെയ്യപ്പെടുന്നു. മൂന്ന് നെഗോഷ്യേഷൻ പാക്കറ്റുകൾ മാത്രം കൈമാറാൻ, അഗ്രസീവ് മോഡ് പ്രവർത്തനക്ഷമമാക്കുക:

കുറിപ്പ്
മുൻകൂട്ടി പങ്കിട്ട കീകളുള്ള IKE അഗ്രസീവ് മോഡ് സാധ്യമാകുന്നിടത്തെല്ലാം ഒഴിവാക്കണം. അല്ലാത്തപക്ഷം ശക്തമായ ഒരു പ്രീ-ഷെയർഡ് കീ തിരഞ്ഞെടുക്കണം.

• vEdge(config)# vpn vpn-id ഇൻ്റർഫേസ് ipsec നമ്പർ ഐകെ
• vEdge(config-ike)# മോഡ് അഗ്രസീവ്

സ്ഥിരസ്ഥിതിയായി, IKE കീ എക്സ്ചേഞ്ചിൽ IKEv1 Diffie-Hellman group 16 ഉപയോഗിക്കുന്നു. IKE കീ എക്സ്ചേഞ്ച് സമയത്ത് ഈ ഗ്രൂപ്പ് 4096-ബിറ്റ് കൂടുതൽ മോഡുലാർ എക്‌സ്‌പോണൻഷ്യൽ (MODP) ഗ്രൂപ്പ് ഉപയോഗിക്കുന്നു. നിങ്ങൾക്ക് ഗ്രൂപ്പ് നമ്പർ 2 ആയി മാറ്റാം (1024-ബിറ്റ് MODP), 14 (2048-ബിറ്റ് MODP), അല്ലെങ്കിൽ 15 (3072-ബിറ്റ് MODP):

• vEdge(config)# vpn vpn-id ഇൻ്റർഫേസ് ipsec നമ്പർ ഐകെ
• vEdge(config-ike)# ഗ്രൂപ്പ് നമ്പർ

സ്ഥിരസ്ഥിതിയായി, IKE കീ എക്സ്ചേഞ്ച് സമഗ്രതയ്ക്കായി HMAC-SHA256 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണ കോഡ് അൽഗോരിതം ഉപയോഗിച്ച് AES-1 വിപുലമായ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് CBC എൻക്രിപ്ഷൻ ഉപയോഗിക്കുന്നു. നിങ്ങൾക്ക് ആധികാരികത മാറ്റാൻ കഴിയും:

• vEdge(config)# vpn vpn-id ഇൻ്റർഫേസ് ipsec നമ്പർ ഐകെ
• vEdge(config-ike)# സൈഫർ-സ്യൂട്ട് സ്യൂട്ട്

പ്രാമാണീകരണ സ്യൂട്ട് ഇനിപ്പറയുന്നതിൽ ഒന്നായിരിക്കാം:

• aes128-cbc-sha1—എഇഎസ്-128 വിപുലമായ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് CBC എൻക്രിപ്ഷൻ, സമഗ്രതയ്ക്കായി HMAC-SHA1 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണ കോഡ് അൽഗോരിതം
• aes128-cbc-sha2—എഇഎസ്-128 വിപുലമായ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് CBC എൻക്രിപ്ഷൻ, സമഗ്രതയ്ക്കായി HMAC-SHA256 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണ കോഡ് അൽഗോരിതം
• aes256-cbc-sha1—AES-256 നൂതന എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് CBC എൻക്രിപ്ഷൻ, സമഗ്രതയ്ക്കായി HMAC-SHA1 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണ കോഡ് അൽഗോരിതം; ഇതാണ് സ്ഥിരസ്ഥിതി.
• aes256-cbc-sha2—എഇഎസ്-256 വിപുലമായ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് CBC എൻക്രിപ്ഷൻ, സമഗ്രതയ്ക്കായി HMAC-SHA256 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണ കോഡ് അൽഗോരിതം

സ്ഥിരസ്ഥിതിയായി, ഓരോ 1 മണിക്കൂറിലും (3600 സെക്കൻഡ്) IKE കീകൾ പുതുക്കുന്നു. നിങ്ങൾക്ക് റീകീയിംഗ് ഇടവേള 30 സെക്കൻഡിൽ നിന്ന് 14 ദിവസം (1209600 സെക്കൻഡ്) വരെ ഒരു മൂല്യത്തിലേക്ക് മാറ്റാം. റീകീയിംഗ് ഇടവേള കുറഞ്ഞത് 1 മണിക്കൂറെങ്കിലും ആയിരിക്കണമെന്ന് ശുപാർശ ചെയ്യുന്നു.

• vEdge(config)# vpn vpn-id ഇൻ്റർഫേസ് ipsec നമ്പർ പോലെ
• vEdge(config-ike)# rekey seconds

ഒരു IKE സെഷനുവേണ്ടി പുതിയ കീകൾ നിർമ്മിക്കാൻ നിർബന്ധിതമാക്കാൻ, ipsec ike-rekey കമാൻഡ് അഭ്യർത്ഥിക്കുക.

• vEdge(config)# vpn vpn-id interfaceipsec നമ്പർ ഐകെ

IKE-യ്‌ക്കായി, നിങ്ങൾക്ക് മുൻകൂട്ടി പങ്കിട്ട കീ (PSK) പ്രാമാണീകരണം ക്രമീകരിക്കാനും കഴിയും:

• vEdge(config)# vpn vpn-id ഇൻ്റർഫേസ് ipsec നമ്പർ ഐകെ
• vEdge(config-ike)# പ്രാമാണീകരണ-തരം പ്രീ-പങ്കിട്ട-കീ പ്രീ-പങ്കിട്ട-രഹസ്യ പാസ്‌വേഡ് പാസ്‌വേഡ് ആണ് മുൻകൂട്ടി പങ്കിട്ട കീയ്‌ക്കൊപ്പം ഉപയോഗിക്കാനുള്ള പാസ്‌വേഡ്. ഇത് 1 മുതൽ 127 പ്രതീകങ്ങൾ വരെ നീളമുള്ള ഒരു ASCII അല്ലെങ്കിൽ ഒരു ഹെക്‌സാഡെസിമൽ സ്‌ട്രിംഗായിരിക്കാം.

റിമോട്ട് IKE പിയർക്ക് ഒരു ലോക്കൽ അല്ലെങ്കിൽ റിമോട്ട് ഐഡി ആവശ്യമാണെങ്കിൽ, നിങ്ങൾക്ക് ഈ ഐഡൻ്റിഫയർ കോൺഫിഗർ ചെയ്യാം:

• vEdge(config)# vpn vpn-id ഇൻ്റർഫേസ് ipsec നമ്പർ പോലെ ആധികാരികത-തരം
• vEdge(config-authentication-type)# ലോക്കൽ-ഐഡി ഐഡി
• vEdge(config-authentication-type)# റിമോട്ട്-ഐഡി ഐഡി

ഐഡൻ്റിഫയർ ഒരു IP വിലാസമോ 1 മുതൽ 63 പ്രതീകങ്ങൾ വരെയുള്ള ഏതെങ്കിലും ടെക്‌സ്‌റ്റ് സ്‌ട്രിംഗോ ആകാം. സ്ഥിരസ്ഥിതിയായി, പ്രാദേശിക ഐഡി ടണലിൻ്റെ ഉറവിട ഐപി വിലാസവും റിമോട്ട് ഐഡി തുരങ്കത്തിൻ്റെ ലക്ഷ്യസ്ഥാന ഐപി വിലാസവുമാണ്.

IKE പതിപ്പ് 2 പ്രവർത്തനക്ഷമമാക്കുക
IKE പതിപ്പ് 2 ഉപയോഗിക്കുന്നതിന് നിങ്ങൾ ഒരു IPsec ടണൽ കോൺഫിഗർ ചെയ്യുമ്പോൾ, IKEv2-നായി ഇനിപ്പറയുന്ന പ്രോപ്പർട്ടികൾ സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനക്ഷമമാക്കും:

• ആധികാരികതയും എൻക്രിപ്ഷനും—എഇഎസ്-256 വിപുലമായ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് സിബിസി എൻക്രിപ്ഷൻ, എച്ച്എംഎസി-എസ്എച്ച്എ1 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണ കോഡ് അൽഗോരിതത്തോടുകൂടിയ സമഗ്രത
• ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പ് നമ്പർ-16
• റിക്കയിംഗ് സമയ ഇടവേള - 4 മണിക്കൂർ

സ്ഥിരസ്ഥിതിയായി, IKE കീ എക്സ്ചേഞ്ചിൽ IKEv2 Diffie-Hellman group 16 ഉപയോഗിക്കുന്നു. IKE കീ എക്സ്ചേഞ്ച് സമയത്ത് ഈ ഗ്രൂപ്പ് 4096-ബിറ്റ് കൂടുതൽ മോഡുലാർ എക്‌സ്‌പോണൻഷ്യൽ (MODP) ഗ്രൂപ്പ് ഉപയോഗിക്കുന്നു. നിങ്ങൾക്ക് ഗ്രൂപ്പ് നമ്പർ 2 ആയി മാറ്റാം (1024-ബിറ്റ് MODP), 14 (2048-ബിറ്റ് MODP), അല്ലെങ്കിൽ 15 (3072-ബിറ്റ് MODP):

• vEdge(config)# vpn vpn-id ഇൻ്റർഫേസ് ipsecnumber ike
• vEdge(config-ike)# ഗ്രൂപ്പ് നമ്പർ

സ്ഥിരസ്ഥിതിയായി, IKE കീ എക്സ്ചേഞ്ച് സമഗ്രതയ്ക്കായി HMAC-SHA256 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണ കോഡ് അൽഗോരിതം ഉപയോഗിച്ച് AES-1 വിപുലമായ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് CBC എൻക്രിപ്ഷൻ ഉപയോഗിക്കുന്നു. നിങ്ങൾക്ക് ആധികാരികത മാറ്റാൻ കഴിയും:

• vEdge(config)# vpn vpn-id ഇൻ്റർഫേസ് ipsecnumber ike
• vEdge(config-ike)# സൈഫർ-സ്യൂട്ട് സ്യൂട്ട്

പ്രാമാണീകരണ സ്യൂട്ട് ഇനിപ്പറയുന്നതിൽ ഒന്നായിരിക്കാം:

• aes128-cbc-sha1—എഇഎസ്-128 വിപുലമായ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് CBC എൻക്രിപ്ഷൻ, സമഗ്രതയ്ക്കായി HMAC-SHA1 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണ കോഡ് അൽഗോരിതം
• aes128-cbc-sha2—എഇഎസ്-128 വിപുലമായ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് CBC എൻക്രിപ്ഷൻ, സമഗ്രതയ്ക്കായി HMAC-SHA256 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണ കോഡ് അൽഗോരിതം
• aes256-cbc-sha1—AES-256 നൂതന എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് CBC എൻക്രിപ്ഷൻ, സമഗ്രതയ്ക്കായി HMAC-SHA1 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണ കോഡ് അൽഗോരിതം; ഇതാണ് സ്ഥിരസ്ഥിതി.
• aes256-cbc-sha2—എഇഎസ്-256 വിപുലമായ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് CBC എൻക്രിപ്ഷൻ, സമഗ്രതയ്ക്കായി HMAC-SHA256 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണ കോഡ് അൽഗോരിതം

സ്ഥിരസ്ഥിതിയായി, ഓരോ 4 മണിക്കൂറിലും (14,400 സെക്കൻഡ്) IKE കീകൾ പുതുക്കുന്നു. നിങ്ങൾക്ക് 30 സെക്കൻഡ് മുതൽ 14 ദിവസം വരെ (1209600 സെക്കൻഡ്) മൂല്യത്തിലേക്ക് റീകീയിംഗ് ഇടവേള മാറ്റാനാകും:

• vEdge(config)# vpn vpn-id ഇൻ്റർഫേസ് ipsecnumber ike
• vEdge(config-ike)# rekey seconds

ഒരു IKE സെഷനുവേണ്ടി പുതിയ കീകൾ നിർമ്മിക്കാൻ നിർബന്ധിതമാക്കാൻ, ipsec ike-rekey കമാൻഡ് അഭ്യർത്ഥിക്കുക. IKE-യ്‌ക്കായി, നിങ്ങൾക്ക് മുൻകൂട്ടി പങ്കിട്ട കീ (PSK) പ്രാമാണീകരണം ക്രമീകരിക്കാനും കഴിയും:

• vEdge(config)# vpn vpn-id ഇൻ്റർഫേസ് ipsecnumber ike
• vEdge(config-ike)# പ്രാമാണീകരണ-തരം പ്രീ-പങ്കിട്ട-കീ പ്രീ-പങ്കിട്ട-രഹസ്യ പാസ്‌വേഡ് പാസ്‌വേഡ് ആണ് മുൻകൂട്ടി പങ്കിട്ട കീയ്‌ക്കൊപ്പം ഉപയോഗിക്കാനുള്ള പാസ്‌വേഡ്. ഇത് ഒരു ASCII അല്ലെങ്കിൽ ഒരു ഹെക്സാഡെസിമൽ സ്ട്രിംഗ് ആകാം, അല്ലെങ്കിൽ ഇത് ഒരു AES-എൻക്രിപ്റ്റ് ചെയ്ത കീ ആകാം. റിമോട്ട് IKE പിയർക്ക് ഒരു ലോക്കൽ അല്ലെങ്കിൽ റിമോട്ട് ഐഡി ആവശ്യമാണെങ്കിൽ, നിങ്ങൾക്ക് ഈ ഐഡൻ്റിഫയർ കോൺഫിഗർ ചെയ്യാം:
• vEdge(config)# vpn vpn-id ഇൻ്റർഫേസ് ipsecnumber പോലെ ആധികാരികത-തരം
• vEdge(config-authentication-type)# ലോക്കൽ-ഐഡി ഐഡി
• vEdge(config-authentication-type)# റിമോട്ട്-ഐഡി ഐഡി

ഐഡൻ്റിഫയർ ഒരു IP വിലാസമോ 1 മുതൽ 64 പ്രതീകങ്ങൾ വരെയുള്ള ഏതെങ്കിലും ടെക്‌സ്‌റ്റ് സ്‌ട്രിംഗോ ആകാം. സ്ഥിരസ്ഥിതിയായി, പ്രാദേശിക ഐഡി ടണലിൻ്റെ ഉറവിട ഐപി വിലാസവും റിമോട്ട് ഐഡി തുരങ്കത്തിൻ്റെ ലക്ഷ്യസ്ഥാന ഐപി വിലാസവുമാണ്.

IPsec ടണൽ പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക

പട്ടിക 4: ഫീച്ചർ ചരിത്രം

ഫീച്ചർ പേര്	റിലീസ് വിവരങ്ങൾ	വിവരണം
അധിക ക്രിപ്റ്റോഗ്രാഫിക്	Cisco SD-WAN റിലീസ് 20.1.1	ഈ സവിശേഷത പിന്തുണ ചേർക്കുന്നു
IPSec-നുള്ള അൽഗോരിതമിക് പിന്തുണ		HMAC_SHA256, HMAC_SHA384, ഒപ്പം
തുരങ്കങ്ങൾ		ഇതിനായി HMAC_SHA512 അൽഗോരിതം
		മെച്ചപ്പെട്ട സുരക്ഷ.

സ്ഥിരസ്ഥിതിയായി, IKE ട്രാഫിക് വഹിക്കുന്ന IPsec ടണലിൽ ഇനിപ്പറയുന്ന പാരാമീറ്ററുകൾ ഉപയോഗിക്കുന്നു:

• ആധികാരികതയും എൻക്രിപ്ഷനും—GCM-ലെ AES-256 അൽഗോരിതം (Galois/counter mode)
• റീകിംഗ് ഇടവേള - 4 മണിക്കൂർ
• റീപ്ലേ വിൻഡോ-32 പാക്കറ്റുകൾ

നിങ്ങൾക്ക് IPsec ടണലിലെ എൻക്രിപ്ഷൻ CBC-യിലെ AES-256 സൈഫറിലേക്ക് മാറ്റാം (സൈഫർ ബ്ലോക്ക് ചെയിനിംഗ് മോഡ്, HMAC ഉപയോഗിച്ച് SHA-1 അല്ലെങ്കിൽ SHA-2 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണം അല്ലെങ്കിൽ SHA-1 അല്ലെങ്കിൽ HMAC ഉപയോഗിച്ച് അസാധുവാക്കുക IKE കീ എക്സ്ചേഞ്ച് ട്രാഫിക്കിനായി ഉപയോഗിക്കുന്ന IPsec ടണൽ എൻക്രിപ്റ്റ് ചെയ്യാതിരിക്കാൻ SHA-2 കീഡ്-ഹാഷ് സന്ദേശ പ്രാമാണീകരണം:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# സൈഫർ-സ്യൂട്ട് (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-sha1 | aes256-null-sha256 | aes256-null-sha384 | aes256-null-sha512)

സ്ഥിരസ്ഥിതിയായി, ഓരോ 4 മണിക്കൂറിലും (14,400 സെക്കൻഡ്) IKE കീകൾ പുതുക്കുന്നു. നിങ്ങൾക്ക് 30 സെക്കൻഡ് മുതൽ 14 ദിവസം വരെ (1209600 സെക്കൻഡ്) മൂല്യത്തിലേക്ക് റീകീയിംഗ് ഇടവേള മാറ്റാനാകും:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# rekey seconds

ഒരു IPsec ടണലിനായി പുതിയ കീകൾ നിർമ്മിക്കുന്നതിന്, ipsec ipsec-rekey കമാൻഡ് അഭ്യർത്ഥിക്കുക. ഡിഫോൾട്ടായി, IPsec ടണലുകളിൽ പൂർണ്ണമായ ഫോർവേഡ് രഹസ്യം (PFS) പ്രവർത്തനക്ഷമമാക്കിയിരിക്കുന്നു, ഭാവിയിലെ കീകൾ അപഹരിക്കപ്പെട്ടാൽ മുൻകാല സെഷനുകളെ ബാധിക്കില്ലെന്ന് ഉറപ്പാക്കാൻ. 4096-ബിറ്റ് ഡിഫി-ഹെൽമാൻ പ്രൈം മൊഡ്യൂൾ ഗ്രൂപ്പ് ഉപയോഗിച്ച് സ്ഥിരസ്ഥിതിയായി ഒരു പുതിയ ഡിഫി-ഹെൽമാൻ കീ എക്സ്ചേഞ്ച് PFS നിർബന്ധിക്കുന്നു. നിങ്ങൾക്ക് PFS ക്രമീകരണം മാറ്റാം:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-ക്രമീകരണം ഇനിപ്പറയുന്നതിൽ ഒന്നായിരിക്കാം:

• ഗ്രൂപ്പ്-2-1024-ബിറ്റ് ഡിഫി-ഹെൽമാൻ പ്രൈം മോഡുലസ് ഗ്രൂപ്പ് ഉപയോഗിക്കുക.
• ഗ്രൂപ്പ്-14-2048-ബിറ്റ് ഡിഫി-ഹെൽമാൻ പ്രൈം മോഡുലസ് ഗ്രൂപ്പ് ഉപയോഗിക്കുക.
• ഗ്രൂപ്പ്-15-3072-ബിറ്റ് ഡിഫി-ഹെൽമാൻ പ്രൈം മോഡുലസ് ഗ്രൂപ്പ് ഉപയോഗിക്കുക.
• group-16—4096-bit Diffie-Hellman പ്രൈം മോഡുലസ് ഗ്രൂപ്പ് ഉപയോഗിക്കുക. ഇതാണ് സ്ഥിരസ്ഥിതി.
• ഒന്നുമില്ല - PFS പ്രവർത്തനരഹിതമാക്കുക.

സ്ഥിരസ്ഥിതിയായി, IPsec ടണലിലെ IPsec റീപ്ലേ വിൻഡോ 512 ബൈറ്റുകളാണ്. നിങ്ങൾക്ക് റീപ്ലേ വിൻഡോ വലുപ്പം 64, 128, 256, 512, 1024, 2048, അല്ലെങ്കിൽ 4096 പാക്കറ്റുകളായി സജ്ജമാക്കാൻ കഴിയും:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# റീപ്ലേ-വിൻഡോ നമ്പർ

IKE ഡെഡ്-പിയർ ഡിറ്റക്ഷൻ പരിഷ്‌ക്കരിക്കുക

ഒരു IKE പിയറിലേക്കുള്ള കണക്ഷൻ പ്രവർത്തനക്ഷമവും എത്തിച്ചേരാവുന്നതുമാണോ എന്ന് നിർണ്ണയിക്കാൻ IKE ഒരു ഡെഡ്-പിയർ ഡിറ്റക്ഷൻ മെക്കാനിസം ഉപയോഗിക്കുന്നു. ഈ സംവിധാനം നടപ്പിലാക്കുന്നതിനായി, IKE അതിൻ്റെ പിയർക്ക് ഒരു ഹലോ പാക്കറ്റ് അയയ്‌ക്കുന്നു, കൂടാതെ പിയർ പ്രതികരണമായി ഒരു അംഗീകാരം അയയ്‌ക്കുന്നു. സ്ഥിരസ്ഥിതിയായി, IKE ഓരോ 10 സെക്കൻഡിലും ഹലോ പാക്കറ്റുകൾ അയയ്‌ക്കുന്നു, മൂന്ന് അംഗീകരിക്കപ്പെടാത്ത പാക്കറ്റുകൾക്ക് ശേഷം, IKE അയൽക്കാരനെ മരിച്ചതായി പ്രഖ്യാപിക്കുകയും തുരങ്കം സമപ്രായക്കാരന് കീറുകയും ചെയ്യുന്നു. അതിനുശേഷം, IKE ഇടയ്‌ക്കിടെ പിയർക്ക് ഒരു ഹലോ പാക്കറ്റ് അയയ്‌ക്കുകയും പിയർ ഓൺലൈനിൽ തിരിച്ചെത്തുമ്പോൾ തുരങ്കം പുനഃസ്ഥാപിക്കുകയും ചെയ്യുന്നു. നിങ്ങൾക്ക് 0 മുതൽ 65535 വരെയുള്ള മൂല്യത്തിലേക്ക് ലൈവ്‌നെസ് ഡിറ്റക്ഷൻ ഇൻ്റർവെൽ മാറ്റാം, കൂടാതെ നിങ്ങൾക്ക് വീണ്ടും ശ്രമങ്ങളുടെ എണ്ണം 0 മുതൽ 255 വരെയുള്ള മൂല്യത്തിലേക്ക് മാറ്റാം.

കുറിപ്പ്

ട്രാൻസ്‌പോർട്ട് VPN-കൾക്കായി, ഇനിപ്പറയുന്ന ഫോർമുല ഉപയോഗിച്ച് ലൈവ്‌നെസ് ഡിറ്റക്ഷൻ ഇടവേള സെക്കൻ്റുകളായി പരിവർത്തനം ചെയ്യപ്പെടുന്നു: പുനഃസംപ്രേഷണ ശ്രമ നമ്പർ N = ഇടവേള * 1.8N-1ഉദാഹരണത്തിന്ample, ഇടവേള 10 ആയി സജ്ജീകരിച്ച് 5 ലേക്ക് വീണ്ടും ശ്രമിക്കുകയാണെങ്കിൽ, കണ്ടെത്തൽ ഇടവേള ഇനിപ്പറയുന്ന രീതിയിൽ വർദ്ധിക്കുന്നു:

• ശ്രമം 1: 10 * 1.81-1= 10 സെക്കൻഡ്
• ശ്രമം 2: 10 * 1.82-1= 18 സെക്കൻഡ്
• ശ്രമം 3: 10 * 1.83-1= 32.4 സെക്കൻഡ്
• ശ്രമം 4: 10 * 1.84-1= 58.32 സെക്കൻഡ്
• ശ്രമം 5: 10 * 1.85-1= 104.976 സെക്കൻഡ്

vEdge(config-interface-ipsecnumber)# ഡെഡ്-പിയർ-ഡിറ്റക്ഷൻ ഇടവേള നമ്പർ വീണ്ടും ശ്രമിക്കുന്നു

മറ്റ് ഇൻ്റർഫേസ് പ്രോപ്പർട്ടികൾ കോൺഫിഗർ ചെയ്യുക

IPsec ടണൽ ഇൻ്റർഫേസുകൾക്കായി, നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന അധിക ഇൻ്റർഫേസ് പ്രോപ്പർട്ടികൾ മാത്രമേ ക്രമീകരിക്കാൻ കഴിയൂ:

• vEdge(config-interface-ipsec)# mtu ബൈറ്റുകൾ
• vEdge(config-interface-ipsec)# tcp-mss-ബൈറ്റുകൾ ക്രമീകരിക്കുക

Cisco SD-WAN മാനേജറിൽ ദുർബലമായ SSH എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കുക

പട്ടിക 5: ഫീച്ചർ ചരിത്ര പട്ടിക

ഫീച്ചർ പേര്	റിലീസ് വിവരങ്ങൾ	ഫീച്ചർ വിവരണം
Cisco SD-WAN മാനേജറിൽ ദുർബലമായ SSH എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കുക	Cisco vManage റിലീസ് 20.9.1	ചില ഡാറ്റ സുരക്ഷാ മാനദണ്ഡങ്ങൾ പാലിക്കാത്ത സിസ്‌കോ SD-WAN മാനേജറിലെ ദുർബലമായ SSH അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കാൻ ഈ സവിശേഷത നിങ്ങളെ അനുവദിക്കുന്നു.

Cisco SD-WAN മാനേജറിൽ ദുർബലമായ SSH എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കുന്നതിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ
കൺട്രോളറുകളും എഡ്ജ് ഉപകരണങ്ങളും ഉൾപ്പെടെ നെറ്റ്‌വർക്കിലെ ഘടകങ്ങളുമായി ആശയവിനിമയം നടത്താൻ Cisco SD-WAN മാനേജർ ഒരു SSH ക്ലയൻ്റ് നൽകുന്നു. വിവിധതരം എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങളെ അടിസ്ഥാനമാക്കി, സുരക്ഷിതമായ ഡാറ്റാ കൈമാറ്റത്തിനായി SSH ക്ലയൻ്റ് ഒരു എൻക്രിപ്റ്റ് ചെയ്ത കണക്ഷൻ നൽകുന്നു. പല സ്ഥാപനങ്ങൾക്കും SHA-1, AES-128, AES-192 എന്നിവ നൽകുന്നതിനേക്കാൾ ശക്തമായ എൻക്രിപ്ഷൻ ആവശ്യമാണ്. Cisco vManage Release 20.9.1-ൽ നിന്ന്, നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന ദുർബലമായ എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കാം, അങ്ങനെ ഒരു SSH ക്ലയൻ്റ് ഈ അൽഗോരിതങ്ങൾ ഉപയോഗിക്കില്ല:

• SHA-1
• AES-128
• AES-192

ഈ എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കുന്നതിന് മുമ്പ്, Cisco vEdge ഉപകരണങ്ങൾ നെറ്റ്‌വർക്കിൽ ഉണ്ടെങ്കിൽ, Cisco SD-WAN റിലീസ് 18.4.6-ന് ശേഷമുള്ള ഒരു സോഫ്റ്റ്‌വെയർ റിലീസ് ഉപയോഗിക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കുക.

Cisco SD-WAN മാനേജറിൽ ദുർബലമായ SSH എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കുന്നതിൻ്റെ പ്രയോജനങ്ങൾ
ദുർബലമായ SSH എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കുന്നത് SSH ആശയവിനിമയത്തിൻ്റെ സുരക്ഷ മെച്ചപ്പെടുത്തുന്നു, കൂടാതെ Cisco Catalyst SD-WAN ഉപയോഗിക്കുന്ന ഓർഗനൈസേഷനുകൾ കർശനമായ സുരക്ഷാ നിയന്ത്രണങ്ങൾ പാലിക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കുന്നു.

CLI ഉപയോഗിച്ച് സിസ്‌കോ SD-WAN മാനേജറിൽ ദുർബലമായ SSH എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കുക

1. Cisco SD-WAN മാനേജർ മെനുവിൽ നിന്ന് ടൂളുകൾ > SSH ടെർമിനൽ തിരഞ്ഞെടുക്കുക.
2. ദുർബലമായ SSH അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്ന Cisco SD-WAN മാനേജർ ഉപകരണം തിരഞ്ഞെടുക്കുക.
3. ഉപകരണത്തിലേക്ക് ലോഗിൻ ചെയ്യുന്നതിന് ഉപയോക്തൃനാമവും പാസ്‌വേഡും നൽകുക.
4. SSH സെർവർ മോഡ് നൽകുക.
   • vmanage(config)# സിസ്റ്റം
   • vmanage(config-system)# ssh-server
5. ഒരു SSH എൻക്രിപ്ഷൻ അൽഗോരിതം പ്രവർത്തനരഹിതമാക്കാൻ ഇനിപ്പറയുന്നവയിൽ ഒന്ന് ചെയ്യുക:
   • SHA-1 പ്രവർത്തനരഹിതമാക്കുക:
6. മാനേജ്(config-ssh-server)# kex-algo sha1 ഇല്ല
7. മാനേജ്(config-ssh-server)# പ്രതിബദ്ധത
   ഇനിപ്പറയുന്ന മുന്നറിയിപ്പ് സന്ദേശം പ്രദർശിപ്പിച്ചിരിക്കുന്നു: ഇനിപ്പറയുന്ന മുന്നറിയിപ്പുകൾ ജനറേറ്റുചെയ്‌തു: 'system ssh-server kex-algo sha1': മുന്നറിയിപ്പ്: നിങ്ങളുടെ എല്ലാ അരികുകളും vManage-മായി SHA18.4.6-നേക്കാൾ മികച്ച ചർച്ചകൾ നടത്തുന്ന കോഡ് പതിപ്പ് > 1 റൺ ചെയ്യുന്നുണ്ടെന്ന് ഉറപ്പാക്കുക. അല്ലെങ്കിൽ ആ അറ്റങ്ങൾ ഓഫ്‌ലൈനായി മാറിയേക്കാം. തുടരണോ? [അതെ, ഇല്ല] അതെ
   • നെറ്റ്‌വർക്കിലെ ഏതെങ്കിലും Cisco vEdge ഉപകരണങ്ങളിൽ Cisco SD-WAN റിലീസ് 18.4.6 അല്ലെങ്കിൽ അതിന് ശേഷമുള്ള പതിപ്പ് പ്രവർത്തിക്കുന്നുണ്ടെന്ന് ഉറപ്പുവരുത്തി അതെ എന്ന് നൽകുക.
   • AES-128, AES-192 എന്നിവ പ്രവർത്തനരഹിതമാക്കുക:
   • vmanage(config-ssh-server)# സൈഫർ ഇല്ല aes-128-192
   • vmanage(config-ssh-server)# പ്രതിബദ്ധത
     ഇനിപ്പറയുന്ന മുന്നറിയിപ്പ് സന്ദേശം പ്രദർശിപ്പിച്ചിരിക്കുന്നു:
     ഇനിപ്പറയുന്ന മുന്നറിയിപ്പുകൾ സൃഷ്ടിച്ചു:
     'system ssh-server cipher aes-128-192': മുന്നറിയിപ്പ്: നിങ്ങളുടെ എല്ലാ അരികുകളും vManage-മായി AES-18.4.6-128 നെക്കാൾ മികച്ച ചർച്ചകൾ നടത്തുന്ന കോഡ് പതിപ്പ് > 192 റൺ ചെയ്യുന്നുണ്ടെന്ന് ഉറപ്പാക്കുക. അല്ലെങ്കിൽ ആ അറ്റങ്ങൾ ഓഫ്‌ലൈനായി മാറിയേക്കാം. തുടരണോ? [അതെ, ഇല്ല] അതെ
   • നെറ്റ്‌വർക്കിലെ ഏതെങ്കിലും Cisco vEdge ഉപകരണങ്ങളിൽ Cisco SD-WAN റിലീസ് 18.4.6 അല്ലെങ്കിൽ അതിന് ശേഷമുള്ള പതിപ്പ് പ്രവർത്തിക്കുന്നുണ്ടെന്ന് ഉറപ്പുവരുത്തി അതെ എന്ന് നൽകുക.

CLI ഉപയോഗിച്ച് സിസ്‌കോ SD-WAN മാനേജറിൽ ദുർബലമായ SSH എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കിയിട്ടുണ്ടോയെന്ന് പരിശോധിക്കുക

1. Cisco SD-WAN മാനേജർ മെനുവിൽ നിന്ന് ടൂളുകൾ > SSH ടെർമിനൽ തിരഞ്ഞെടുക്കുക.
2. നിങ്ങൾ പരിശോധിക്കാൻ ആഗ്രഹിക്കുന്ന Cisco SD-WAN മാനേജർ ഉപകരണം തിരഞ്ഞെടുക്കുക.
3. ഉപകരണത്തിലേക്ക് ലോഗിൻ ചെയ്യുന്നതിന് ഉപയോക്തൃനാമവും പാസ്‌വേഡും നൽകുക.
4. ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക: റണ്ണിംഗ്-config സിസ്റ്റം ssh-server കാണിക്കുക
5. ദുർബലമായ എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ പ്രവർത്തനരഹിതമാക്കുന്ന ഒന്നോ അതിലധികമോ കമാൻഡുകൾ ഔട്ട്പുട്ട് കാണിക്കുന്നുവെന്ന് സ്ഥിരീകരിക്കുക:
   • സിഫർ aes-128-192 ഇല്ല
   • kex-algo sha1 ഇല്ല

പ്രമാണങ്ങൾ / വിഭവങ്ങൾ

CISCO SD-WAN സെക്യൂരിറ്റി പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക [pdf] ഉപയോക്തൃ ഗൈഡ് SD-WAN സെക്യൂരിറ്റി പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക, SD-WAN, സെക്യൂരിറ്റി പാരാമീറ്ററുകൾ, സെക്യൂരിറ്റി പാരാമീറ്ററുകൾ കോൺഫിഗർ ചെയ്യുക

റഫറൻസുകൾ

• ഉപയോക്തൃ മാനുവൽ