Агуулга нуугдах
1 CISCO SD-WAN Аюулгүй байдлын параметрүүдийг тохируулах
2 Аюулгүй байдлын параметрүүдийг тохируулах
3 Хяналтын онгоцны аюулгүй байдлын параметрүүдийг тохируулах
4 Cisco SD-WAN Manager дээр DTLS-ийг тохируулна уу
5 Өгөгдлийн онгоцны аюулгүй байдлын параметрүүдийг тохируулах
6 Зөвшөөрөгдсөн баталгаажуулалтын төрлүүдийг тохируулах
7 Дахин тохируулах таймерыг өөрчлөх
8 Дахин тоглуулахын эсрэг цонхны хэмжээг өөрчлөх
9 IPsec статик маршрутыг тохируулах
10 IPsec туннелийн параметрүүдийг тохируулах
11 IKE Dead-Peer илрүүлэлтийг өөрчлөх
12 Бусад интерфэйсийн шинж чанаруудыг тохируулах
13 Cisco SD-WAN менежер дээрх сул SSH шифрлэлтийн алгоритмуудыг идэвхгүй болгох
14 Баримт бичиг / нөөц
14.1 Лавлагаа

CISCO-LOGO

CISCO SD-WAN Аюулгүй байдлын параметрүүдийг тохируулах

CISCO-SD-WAN-Тохиргоо-Аюулгүй байдлын-Үзүүлэлт-БҮТЭЭГДЭХҮҮН

Аюулгүй байдлын параметрүүдийг тохируулах

Анхаарна уу

Хялбаршуулж, тогтвортой байлгахын тулд Cisco SD-WAN шийдлийг Cisco Catalyst SD-WAN болгон өөрчилсөн. Нэмж дурдахад, Cisco IOS XE SD-WAN Release 17.12.1a болон Cisco Catalyst SD-WAN Release 20.12.1-ээс дараах бүрэлдэхүүн хэсгүүдийн өөрчлөлтийг хийх боломжтой: Cisco vManage-аас Cisco Catalyst SD-WAN Manager-д, Cisco vAnalytics-ээс Cisco Catalyst-т SD-WAN Analytics, Cisco vBond нь Cisco Catalyst SD-WAN Validator, Cisco vSmart нь Cisco Catalyst SD-WAN Controller. Бүрэлдэхүүн хэсгүүдийн брэндийн нэрийн бүх өөрчлөлтийн дэлгэрэнгүй жагсаалтыг хамгийн сүүлийн үеийн хувилбарын тэмдэглэлээс үзнэ үү. Бид шинэ нэрс рүү шилжих үед програм хангамжийн бүтээгдэхүүний хэрэглэгчийн интерфэйсийн шинэчлэлтэд үе шаттайгаар хандсаны улмаас баримт бичгийн багцад зарим зөрчил илэрч болзошгүй.

Энэ хэсэгт Cisco Catalyst SD-WAN давхаргын сүлжээн дэх хяналтын хавтгай болон өгөгдлийн хавтгайд зориулсан аюулгүй байдлын параметрүүдийг хэрхэн өөрчлөх талаар тайлбарлана.

  • Хяналтын хавтгайн аюулгүй байдлын параметрүүдийг тохируулах, асаалттай
  • Өгөгдлийн онгоцны аюулгүй байдлын параметрүүдийг тохируулах, асаалттай
  • IKE-идэвхжүүлсэн IPsec туннелүүдийг тохируулах, асаалттай
  • Cisco SD-WAN менежер дээрх сул SSH шифрлэлтийн алгоритмыг идэвхгүй болгох, асаалттай

Хяналтын онгоцны аюулгүй байдлын параметрүүдийг тохируулах

Анхдагч байдлаар, хяналтын онгоц нь DTLS-ийг бүх хонгилын нууцлалыг хангадаг протокол болгон ашигладаг. DTLS нь UDP дээр ажилладаг. Та хяналтын онгоцны аюулгүй байдлын протоколыг TCP дээр ажилладаг TLS болгон өөрчилж болно. TLS-ийг ашиглах гол шалтгаан нь хэрэв та Cisco SD-WAN Controller-ийг сервер гэж үзвэл галт хана нь TCP серверүүдийг UDP серверүүдээс илүү хамгаалдаг явдал юм. Та Cisco SD-WAN Controller дээр удирдлагын хавтгайн туннелийн протоколыг тохируулна: vSmart(config)# security control protocol tls Энэ өөрчлөлтийг хийснээр Cisco SD-WAN Controller болон чиглүүлэгчийн хооронд болон Cisco SD-WAN Controller хоорондын бүх удирдлагын хавтгайн хонгилууд болон Cisco SD-WAN менежер нь TLS ашигладаг. Cisco Catalyst SD-WAN Validator руу чиглэсэн онгоцны хонгилыг удирдах нь DTLS-ийг үргэлж ашигладаг, учир нь эдгээр холболтыг UDP зохицуулах ёстой. Олон Cisco SD-WAN хянагчтай домэйн дээр та Cisco SD-WAN хянагчуудын аль нэгэнд TLS-ийг тохируулах үед тухайн хянагчаас бусад хянагч хүртэлх бүх удирдлагын онгоцны хонгилууд TLS-ийг ашигладаг. Өөрөөр хэлбэл, TLS үргэлж DTLS-ээс давуу эрхтэй байдаг. Гэсэн хэдий ч, бусад Cisco SD-WAN Controller-ийн үүднээс авч үзвэл, хэрэв та TLS дээр тохируулаагүй бол тэд зөвхөн нэг Cisco SD-WAN Controller руу удирдах хавтгайн туннел дээрх TLS-ийг ашигладаг бөгөөд бусад бүх төхөөрөмжид DTLS туннелийг ашигладаг. Cisco SD-WAN Controllers болон тэдгээрийн холбогдсон бүх чиглүүлэгчид. Бүх Cisco SD-WAN хянагчуудыг TLS ашиглахын тулд бүгдийг нь тохируулна уу. Анхдагч байдлаар, Cisco SD-WAN Controller нь TLS хүсэлтийг 23456 порт дээр сонсдог. Үүнийг өөрчлөхийн тулд: vSmart(config)# security control tls-port number Порт нь 1025-аас 65535 хүртэлх тоо байж болно. Хяналтын онгоцны аюулгүй байдлын мэдээллийг харуулахын тулд Cisco SD-WAN Controller дээрх хяналтын холболтуудыг харуулах командыг ашиглана уу. Жишээ ньample: vSmart-2 # хяналтын холболтыг харуулна

CISCO-SD-WAN-Тохиргоо-Аюулгүй байдлын-параметрүүд-FIG-1

Cisco SD-WAN Manager дээр DTLS-ийг тохируулна уу

Хэрэв та Cisco SD-WAN менежерийг TLS-ийг хяналтын онгоцны аюулгүй байдлын протокол болгон ашиглахаар тохируулсан бол NAT дээрээ порт дамжуулахыг идэвхжүүлэх ёстой. Хэрэв та DTLS-ийг хяналтын онгоцны аюулгүй байдлын протокол болгон ашиглаж байгаа бол юу ч хийх шаардлагагүй. Дамжуулсан портуудын тоо нь Cisco SD-WAN менежер дээр ажиллаж байгаа vdaemon процессуудын тооноос хамаарна. Эдгээр процессуудын тухай болон дамжуулагдаж буй портуудын талаарх мэдээллийг харуулахын тулд хяналтын хураангуй командыг харуулахын тулд дөрвөн демон процесс ажиллаж байгааг харуулна:CISCO-SD-WAN-Тохиргоо-Аюулгүй байдлын-параметрүүд-FIG-2

Сонсох портуудыг харахын тулд show control local-properties командыг ашиглана уу: vManage# show control local-properties

CISCO-SD-WAN-Тохиргоо-Аюулгүй байдлын-параметрүүд-FIG-3

Энэ гаралт нь сонсох TCP порт нь 23456 байгааг харуулж байна. Хэрэв та NAT-ийн ард Cisco SD-WAN Manager-ийг ажиллуулж байгаа бол NAT төхөөрөмж дээр дараах портуудыг нээх хэрэгтэй.

  • 23456 (суурь - жишээ 0 порт)
  • 23456 + 100 (суурь + 100)
  • 23456 + 200 (суурь + 200)
  • 23456 + 300 (суурь + 300)

Тохиолдлын тоо нь таны Cisco SD-WAN менежерт хуваарилсан цөмийн тоотой ижил байх бөгөөд дээд тал нь 8 байх болно.

Хамгаалалтын функцийн загварыг ашиглан аюулгүй байдлын параметрүүдийг тохируулна уу

Бүх Cisco vEdge төхөөрөмжид аюулгүй байдлын функцийн загварыг ашиглаарай. Захын чиглүүлэгчид болон Cisco SD-WAN Баталгаажуулагч дээр өгөгдлийн түвшний аюулгүй байдлын үүднээс IPsec-ийг тохируулахын тулд энэ загварыг ашиглана уу. Cisco SD-WAN Manager болон Cisco SD-WAN Controller дээр хяналтын онгоцны аюулгүй байдлын үүднээс DTLS эсвэл TLS-ийг тохируулахын тулд Хамгаалалтын функцийн загварыг ашиглана уу.

Аюулгүй байдлын параметрүүдийг тохируулах

  1. Cisco SD-WAN менежер цэснээс Тохиргоо > Загваруудыг сонгоно уу.
  2. Онцлогын загварууд дээр дараад Загвар нэмэх дээр дарна уу.
    Анхаарна уу Cisco vManage Release 20.7.1 болон өмнөх хувилбаруудад Feature Templates-ийг Feature гэж нэрлэдэг.
  3. Зүүн талын самбар дээрх Төхөөрөмжийн жагсаалтаас төхөөрөмжийг сонгоно уу. Сонгосон төхөөрөмжид хамаарах загварууд баруун талд гарч ирнэ.
  4. Загварыг нээхийн тулд "Аюулгүй байдал" дээр дарна уу.
  5. Загварын нэр талбарт загварын нэрийг оруулна уу. Нэр нь 128 хүртэлх тэмдэгт байж болох бөгөөд зөвхөн үсэг, тоон тэмдэгт агуулж болно.
  6. Загварын тайлбар талбарт загварын тайлбарыг оруулна уу. Тайлбар нь 2048 тэмдэгт хүртэл байж болох бөгөөд зөвхөн үсэг, тоон тэмдэгтүүдийг агуулж болно.

Онцлогын загварыг анх нээхэд өгөгдмөл утгатай параметр бүрийн хувьд хамрах хүрээг өгөгдмөл (шалгах тэмдгээр тэмдэглэсэн) гэж тохируулсан бөгөөд үндсэн тохиргоо эсвэл утгыг харуулна. Өгөгдмөлийг өөрчлөх эсвэл утгыг оруулахын тулд параметрийн талбарын зүүн талд байрлах хамрах хүрээний унждаг цэсийг товшоод дараахаас аль нэгийг нь сонгоно уу:

Хүснэгт 1:

Параметр Хамрах хүрээ Хамрах хүрээний тодорхойлолт
Төхөөрөмжийн онцлог (хостын дүрсээр тэмдэглэгдсэн) Параметрийн хувьд төхөөрөмжийн тусгай утгыг ашиглана уу. Төхөөрөмжийн тусгай параметрүүдийн хувьд та функцийн загварт утгыг оруулах боломжгүй. Та Viptela төхөөрөмжийг төхөөрөмжийн загварт хавсаргахдаа утгыг оруулна.

Та Device Specific дээр дарахад Enter Key хайрцаг нээгдэнэ. Энэ хайрцаг нь CSV дэх параметрийг тодорхойлох өвөрмөц тэмдэгт мөр болох түлхүүрийг харуулна file Таны бүтээсэн зүйл. Энэ file Түлхүүр бүрт нэг багана агуулсан Excel хүснэгт юм. Толгойн мөрөнд түлхүүрийн нэрс (баган бүрт нэг түлхүүр) агуулагдах ба дараа нь мөр бүр нь төхөөрөмжтэй тохирч, тухайн төхөөрөмжийн товчлууруудын утгыг тодорхойлно. Та CSV-г байршуулна уу file та Viptela төхөөрөмжийг төхөөрөмжийн загварт хавсаргах үед. Дэлгэрэнгүй мэдээллийг Загвар хувьсагчийн хүснэгт үүсгэх хэсгээс үзнэ үү.

Өгөгдмөл түлхүүрийг өөрчлөхийн тулд шинэ мөр бичээд Enter Key талбараас курсорыг зөөнө үү.

ExampТөхөөрөмжийн тусгай параметрүүд нь системийн IP хаяг, хостын нэр, GPS байршил, сайтын ID юм.
Параметр Хамрах хүрээ Хамрах хүрээний тодорхойлолт
Глобал (бөмбөрцгийн дүрсээр тэмдэглэгдсэн) Параметрийн утгыг оруулаад энэ утгыг бүх төхөөрөмжид хэрэглээрэй.

ExampБүлэг төхөөрөмжүүдэд дэлхий даяар хэрэглэж болох параметрүүд нь DNS сервер, системийн сервер, интерфейсийн MTU-ууд юм.

Хяналтын онгоцны аюулгүй байдлыг тохируулах

Анхаарна уу
Хяналтын хавтгайн аюулгүй байдлыг тохируулах хэсэг нь зөвхөн Cisco SD-WAN менежер болон Cisco SD-WAN хянагчдад хамаарна. Cisco SD-WAN менежер эсвэл Cisco SD-WAN хянагч дээр хяналтын хавтгай холболтын протоколыг тохируулахын тулд Үндсэн тохиргооны хэсгийг сонгоно уу. Дараах параметрүүдийг тохируулна уу.

Хүснэгт 2:

Параметр Нэр Тодорхойлолт
Протокол Cisco SD-WAN Controller-тэй удирдлагын хавтгай холболтод ашиглах протоколыг сонгоно уу:

• DTLS (Datagram Transport Layer Security). Энэ бол анхдагч юм.

• TLS (Тээврийн давхаргын аюулгүй байдал)
TLS портыг удирдах Хэрэв та TLS-г сонгосон бол портын дугаарыг тохируулна уу:Хүрээ: 1025-ээс 65535 хүртэлӨгөгдмөл: 23456

Хадгалах товчийг дарна уу

Өгөгдлийн онгоцны аюулгүй байдлыг тохируулах
Cisco SD-WAN Validator эсвэл Cisco vEdge чиглүүлэгч дээр өгөгдлийн түвшний аюулгүй байдлыг тохируулахын тулд Үндсэн тохиргоо болон баталгаажуулалтын төрөл табуудыг сонгоод дараах параметрүүдийг тохируулна уу.

Хүснэгт 3:

Параметр Нэр Тодорхойлолт
Цагийг дахин тохируулах Cisco vEdge чиглүүлэгч нь Cisco SD-WAN хянагчтай аюулгүй DTLS холболтод ашигладаг AES түлхүүрийг хэр олон удаа сольж байгааг зааж өгнө үү. Хэрэв OMP graceful restart идэвхжсэн бол дахин тохируулах хугацаа нь OMP graceful restart таймераас дор хаяж хоёр дахин их байх ёстой.Хүрээ: 10-аас 1209600 секунд (14 хоног)Өгөгдмөл: 86400 секунд (24 цаг)
Дахин тоглуулах цонх Дахин тоглуулах гүйдэг цонхны хэмжээг зааж өгнө үү.

Утга: 64, 128, 256, 512, 1024, 2048, 4096, 8192 багцӨгөгдмөл: 512 багц
IPsec

хос түлхүүр

 Энэ нь анхдагчаар унтарсан байна. дарна уу On асаах.
Параметр Нэр Тодорхойлолт
Баталгаажуулалтын төрөл -ээс баталгаажуулалтын төрлүүдийг сонгоно уу Баталгаажуулалт Жагсаалт, мөн баруун зааж буй сумыг дарж баталгаажуулалтын төрлүүдийг шилжүүлнэ үү Сонгосон жагсаалт багана.

Cisco SD-WAN Release 20.6.1-ээс дэмжигдсэн баталгаажуулалтын төрлүүд:

•  тухайлбал: Encapsulating Security Payload (ESP) шифрлэлт болон ESP толгой дээрх бүрэн бүтэн байдлыг шалгахыг идэвхжүүлдэг.

•  ip-udp-esp: ESP шифрлэлтийг идэвхжүүлдэг. ESP толгой ба ачааллын бүрэн бүтэн байдлыг шалгахаас гадна гаднах IP болон UDP толгойг ч мөн шалгадаг.

•  ip-udp-esp-no-id: Cisco Catalyst SD-WAN нь Cisco-н бус төхөөрөмжүүдтэй хамтран ажиллахын тулд IP толгойн ID талбарыг үл тоомсорлодог.

•  аль нь ч биш: IPSec пакетууд дээр бүрэн бүтэн байдлыг шалгахыг унтраана. Бид энэ сонголтыг ашиглахыг зөвлөдөггүй.

 

Cisco SD-WAN Release 20.5.1 болон түүнээс өмнөх хувилбаруудад дэмжигдсэн баталгаажуулалтын төрлүүд:

•  үгүй ээ: Пакетийн гадна талын IP толгойн ID талбарыг үл тоомсорлодог AH-SHA1 HMAC болон ESP HMAC-SHA1-ийн сайжруулсан хувилбарыг идэвхжүүлнэ.

•  ах-ша1-хмак: AH-SHA1 HMAC болон ESP HMAC-SHA1-г идэвхжүүлнэ.

•  аль нь ч биш: Баталгаажуулалт байхгүйг сонгоно уу.

•  ша1-хмак: ESP HMAC-SHA1-г идэвхжүүлнэ.

 

Анхаарна уу              Cisco SD-WAN Release 20.5.1 буюу түүнээс өмнөх хувилбар дээр ажиллаж байгаа захын төхөөрөмжийн хувьд та баталгаажуулалтын төрлүүдийг тохируулсан байж магадгүй. Аюулгүй байдал загвар. Та төхөөрөмжийг Cisco SD-WAN Release 20.6.1 эсвэл түүнээс хойшхи хувилбар руу шинэчлэхдээ дараах хэсэгт сонгосон баталгаажуулалтын төрлүүдийг шинэчилнэ үү. Аюулгүй байдал Cisco SD-WAN хувилбар 20.6.1-ээс дэмжигдсэн баталгаажуулалтын төрлүүдийн загвар. Баталгаажуулалтын төрлийг шинэчлэхийн тулд дараах зүйлийг хийнэ үү.

1.      Cisco SD-WAN менежер цэснээс сонгоно уу Тохиргоо >

Загварууд.

2.      дарна уу Онцлог загварууд.

3.      -ийг олох Аюулгүй байдал загварыг шинэчилж, … дээр дарж, товшино уу Засварлах.

4.      дарна уу Шинэчлэх. Ямар ч тохиргоог бүү өөрчил.

Cisco SD-WAN менежер нь шинэчлэгддэг Аюулгүй байдал дэмжигдсэн баталгаажуулалтын төрлүүдийг харуулах загвар.

Хадгалах товчийг дарна уу.

Өгөгдлийн онгоцны аюулгүй байдлын параметрүүдийг тохируулах

Өгөгдлийн хавтгайд IPsec нь бүх чиглүүлэгчид анхдагчаар идэвхждэг бөгөөд анхдагчаар IPsec туннелийн холболтууд нь IPsec туннель дээрх баталгаажуулалтад Encapsulating Security Payload (ESP) протоколын сайжруулсан хувилбарыг ашигладаг. Чиглүүлэгч дээр та баталгаажуулалтын төрөл, IPsec дахин тохируулах таймер, IPsec-ийн эсрэг дахин тоглуулах цонхны хэмжээг өөрчилж болно.

Зөвшөөрөгдсөн баталгаажуулалтын төрлүүдийг тохируулах

Cisco SD-WAN хувилбар 20.6.1 ба түүнээс хойшхи хувилбар дахь баталгаажуулалтын төрлүүд
Cisco SD-WAN Release 20.6.1-ээс дараах бүрэн бүтэн байдлын төрлүүдийг дэмждэг:

  • esp: Энэ сонголт нь ESP толгой дээрх Encapsulating Security Payload (ESP) шифрлэлт болон бүрэн бүтэн байдлыг шалгах боломжийг олгодог.
  • ip-udp-esp: Энэ сонголт нь ESP шифрлэлтийг идэвхжүүлдэг. ESP толгой ба ачааллын бүрэн бүтэн байдлыг шалгахаас гадна гаднах IP болон UDP толгойг ч мөн шалгадаг.
  • ip-udp-esp-no-id: Энэ сонголт нь ip-udp-esp-тэй төстэй боловч гаднах IP толгойн ID талбарыг үл тоомсорлодог. Cisco Catalyst SD-WAN нь Cisco-н бус төхөөрөмжүүдтэй хамтран ажиллахын тулд Cisco Catalyst SD-WAN программ хангамж нь IP толгой дахь ID талбарыг үл тоомсорлохын тулд бүрэн бүтэн байдлын төрлүүдийн жагсаалтад энэ сонголтыг тохируулна уу.
  • байхгүй: Энэ сонголт нь IPSec пакетууд дээр бүрэн бүтэн байдлыг шалгахыг унтраадаг. Бид энэ сонголтыг ашиглахыг зөвлөдөггүй.

Анхдагч байдлаар, IPsec туннелийн холболтууд нь баталгаажуулахын тулд Encapsulating Security Payload (ESP) протоколын сайжруулсан хувилбарыг ашигладаг. Тохиролцсон харилцан үйлчлэлийн төрлийг өөрчлөх эсвэл бүрэн бүтэн байдлын шалгалтыг идэвхгүй болгохын тулд дараах тушаалыг ашиглана уу: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Cisco SD-WAN хувилбарын өмнөх баталгаажуулалтын төрлүүд 20.6.1
Анхдагч байдлаар, IPsec туннелийн холболтууд нь баталгаажуулахын тулд Encapsulating Security Payload (ESP) протоколын сайжруулсан хувилбарыг ашигладаг. Зөвшөөрөгдсөн баталгаажуулалтын төрлийг өөрчлөх эсвэл баталгаажуулалтыг идэвхгүй болгохын тулд дараах тушаалыг ашиглана уу: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | байхгүй) Анхдагчаар IPsec туннелийн холболтууд нь AES-GCM-256-г ашигладаг бөгөөд энэ нь шифрлэлт болон баталгаажуулалтыг хоёуланг нь хангадаг. Баталгаажуулалтын төрөл тус бүрийг аюулгүй байдлын ipsec баталгаажуулалтын төрлийн командаар тохируулна уу. Тушаалын сонголтууд нь хамгийн хүчтэйгээс хамгийн хүчтэй хүртэл дарааллаар жагсаагдсан дараах баталгаажуулалтын төрлүүдтэй харагдана.

Анхаарна уу
Тохиргооны сонголтууд дахь sha1 нь түүхэн шалтгааны улмаас ашиглагддаг. Баталгаажуулалтын сонголтууд нь багцын бүрэн бүтэн байдлыг шалгах хэр их байгааг харуулж байна. Тэд бүрэн бүтэн байдлыг шалгадаг алгоритмыг заагаагүй болно. Cisco Catalyst SD WAN-ээр дэмжигдсэн баталгаажуулалтын алгоритмууд нь олон дамжуулалтын траффикийг шифрлэхээс бусад тохиолдолд SHA1 ашигладаггүй. Гэсэн хэдий ч Cisco SD-WAN Release 20.1.x болон түүнээс хойшхи хувилбаруудад unicast болон multicast аль аль нь SHA1 ашигладаггүй.

  • ah-sha1-hmac нь ESP ашиглан шифрлэлт болон капсулжуулалтыг идэвхжүүлдэг. Гэсэн хэдий ч, ESP толгой ба ачааллын бүрэн бүтэн байдлыг шалгахаас гадна гаднах IP болон UDP толгойнуудыг ч мөн шалгадаг. Тиймээс, энэ сонголт нь Authentication Header (AH) протоколтой төстэй пакетын бүрэн бүтэн байдлыг шалгахыг дэмждэг. Бүх бүрэн бүтэн байдал, шифрлэлтийг AES-256-GCM ашиглан гүйцэтгэдэг.
  • ah-no-id нь ah-sha1-hmac-тай төстэй горимыг идэвхжүүлдэг боловч гаднах IP толгойн ID талбарыг үл тоомсорлодог. Энэ сонголт нь Apple AirPort Express NAT зэрэг Cisco Catalyst-ийн бус SD-WAN төхөөрөмжүүдэд зориулагдсан бөгөөд IP толгой хэсэгт ID талбар буюу өөрчлөгддөггүй талбарыг өөрчлөхөд хүргэдэг алдаатай байдаг. Баталгаажуулалтын төрлүүдийн жагсаалтын ah-no-id сонголтыг Cisco Catalyst SD-WAN AH программ хангамж нь IP толгой хэсэгт байгаа ID талбарыг үл тоомсорлож, Cisco Catalyst SD-WAN програм хангамж нь эдгээр төхөөрөмжтэй хамтран ажиллах боломжтой болгож тохируулна уу.
  • sha1-hmac нь ESP шифрлэлт болон бүрэн бүтэн байдлыг шалгах боломжийг олгодог.
  • нотлох баримтгүй газрын зураг байхгүй. Энэ сонголтыг түр зуурын дибаг хийхэд шаардлагатай тохиолдолд л ашиглах ёстой. Өгөгдлийн онгоцны баталгаажуулалт болон бүрэн бүтэн байдал нь асуудалгүй тохиолдолд та энэ сонголтыг сонгож болно. Cisco энэ сонголтыг үйлдвэрлэлийн сүлжээнд ашиглахыг зөвлөдөггүй.

Эдгээр баталгаажуулалтын төрлүүд ямар өгөгдлийн пакетийн талбарт нөлөөлж байгаа талаар мэдээлэл авахыг хүсвэл Өгөгдлийн хавтгайн бүрэн бүтэн байдлыг үзнэ үү. Cisco IOS XE Catalyst SD-WAN төхөөрөмжүүд болон Cisco vEdge төхөөрөмжүүд нь TLOC шинж чанартаа тохируулсан баталгаажуулалтын төрлүүдийг сурталчилдаг. IPsec туннелийн холболтын хоёр талд байгаа хоёр чиглүүлэгч нь хоёр чиглүүлэгч дээр тохируулагдсан хамгийн хүчтэй баталгаажуулалтын төрлийг ашиглан тэдгээрийн хоорондын холболтод ашиглах баталгаажуулалтыг хэлэлцдэг. Жишээ ньampХэрэв нэг чиглүүлэгч нь ah-sha1-hmac болон ah-no-id төрлийг сурталчилж, хоёр дахь чиглүүлэгч нь ah-no-id төрлийг сурталчилж байвал хоёр чиглүүлэгч нь ah-no-id-ийг IPsec туннелийн холболтод ашиглахаар тохиролцдог. тэд. Хэрэв хоёр үе тэнгийнхэн дээр нийтлэг баталгаажуулалтын төрлийг тохируулаагүй бол тэдгээрийн хооронд IPsec туннель байхгүй болно. IPsec туннелийн холболт дээрх шифрлэлтийн алгоритм нь хөдөлгөөний төрлөөс хамаарна.

  • Unicast урсгалын хувьд шифрлэлтийн алгоритм нь AES-256-GCM юм.
  • Олон дамжуулалтын урсгалын хувьд:
  • Cisco SD-WAN Release 20.1.x ба түүнээс дээш хувилбар – шифрлэлтийн алгоритм нь AES-256-GCM
  • Өмнөх хувилбарууд – шифрлэлтийн алгоритм нь SHA256-HMAC-тай AES-1-CBC юм.

IPsec баталгаажуулалтын төрлийг өөрчлөх үед өгөгдлийн замын AES түлхүүр өөрчлөгдөнө.

Дахин тохируулах таймерыг өөрчлөх

Cisco IOS XE Catalyst SD-WAN төхөөрөмжүүд болон Cisco vEdge төхөөрөмжүүд нь өгөгдлийн траффик солилцохоос өмнө тэдгээрийн хооронд найдвартай баталгаажуулсан холбооны сувгийг тохируулдаг. Чиглүүлэгчид IPSec хонгилыг суваг болгон ашигладаг бөгөөд шифрлэлт хийхдээ AES-256 шифрийг ашигладаг. Чиглүүлэгч бүр өөрийн өгөгдлийн замд зориулж шинэ AES түлхүүрийг үе үе үүсгэдэг. Анхдагчаар, түлхүүр нь 86400 секунд (24 цаг) хүчинтэй бөгөөд таймерын хүрээ нь 10 секундээс 1209600 секунд (14 хоног) хүртэл байна. Дахин түлхүүрийн таймерын утгыг өөрчлөхийн тулд: Device(config)# security ipsec rekey seconds Тохиргоо дараах байдалтай байна:

  • аюулгүй байдлын ipsec дахин түлхүүр секунд!

Хэрэв та шинэ IPsec түлхүүрүүдийг нэн даруй үүсгэхийг хүсвэл чиглүүлэгчийн тохиргоог өөрчлөхгүйгээр хийж болно. Үүнийг хийхийн тулд эвдэрсэн чиглүүлэгч дээр хүсэлтийн хамгаалалтын ipsecrekey командыг өгнө үү. Жишээ ньample, дараах гаралт нь орон нутгийн SA нь 256-ийн Аюулгүй байдлын параметрийн индекс (SPI) байгааг харуулж байна:CISCO-SD-WAN-Тохиргоо-Аюулгүй байдлын-параметрүүд-FIG-4

Өвөрмөц түлхүүр нь SPI бүртэй холбоотой байдаг. Хэрэв энэ түлхүүр алдагдсан бол хүсэлтийн аюулгүй байдлын ipsec-rekey командыг ашиглан шинэ түлхүүр үүсгэнэ үү. Энэ тушаал нь SPI-г нэмэгдүүлдэг. Манай экс дээрample, SPI нь 257 болж өөрчлөгдсөн бөгөөд үүнтэй холбоотой түлхүүрийг одоо ашиглаж байна:

  • Төхөөрөмжийн # нууцлалын ipsecrekey хүсэлт
  • Төхөөрөмж # ipsec local-sa-г харуулна

CISCO-SD-WAN-Тохиргоо-Аюулгүй байдлын-параметрүүд-FIG-5

Шинэ түлхүүр үүсгэсний дараа чиглүүлэгч нь DTLS эсвэл TLS ашиглан Cisco SD-WAN Controllers руу шууд илгээдэг. Cisco SD-WAN Controllers нь түлхүүрийг үе тэнгийн чиглүүлэгч рүү илгээдэг. Чиглүүлэгчид үүнийг хүлээн авмагцаа ашиглаж эхэлдэг. Хуучин SPI (256)-тай холбоотой түлхүүрийг хугацаа дуусах хүртэл богино хугацаанд үргэлжлүүлэн ашиглах болно гэдгийг анхаарна уу. Хуучин түлхүүрийг ашиглахаа нэн даруй зогсоохын тулд хүсэлтийн хамгаалалтын ipsec-rekey командыг хоёр удаа дараалан өгнө. Энэхүү тушаалын дараалал нь SPI 256 ба 257-г хоёуланг нь устгаж, SPI-г 258 болгож тохируулна. Дараа нь чиглүүлэгч нь SPI 258-ийн холбогдох түлхүүрийг ашиглана. Гэсэн хэдий ч, бүх алсын чиглүүлэгчид суралцах хүртэл зарим пакетууд богино хугацаанд хасагдах болно гэдгийг анхаарна уу. шинэ түлхүүр.CISCO-SD-WAN-Тохиргоо-Аюулгүй байдлын-параметрүүд-FIG-6

Дахин тоглуулахын эсрэг цонхны хэмжээг өөрчлөх

IPsec нэвтрэлт танилт нь өгөгдлийн урсгал дахь пакет бүрт өвөрмөц дарааллын дугаар өгөх замаар дахин тоглуулахын эсрэг хамгаалалтыг хангадаг. Энэхүү дарааллын дугаарлалт нь өгөгдлийн пакетуудыг хуулбарлах халдагчаас хамгаална. Дахин тоглуулахын эсрэг хамгаалалттай бол илгээгч нь нэг хэвийн өсөн нэмэгдэж буй дарааллын дугааруудыг оноож өгөх ба очих газар нь давхардлыг илрүүлэхийн тулд эдгээр дарааллын дугааруудыг шалгадаг. Багцууд ихэвчлэн дарааллаар нь ирдэггүй тул очих газар нь хүлээн авах дарааллын дугааруудын гүйдэг цонхыг хадгалдаг.CISCO-SD-WAN-Тохиргоо-Аюулгүй байдлын-параметрүүд-FIG-7

Гулсах цонхны зүүн талд байрлах дарааллын дугаар бүхий пакетууд нь хуучин эсвэл давхардсан гэж тооцогддог бөгөөд очих газар нь тэдгээрийг хаядаг. Очих газар нь хүлээн авсан хамгийн дээд дарааллын дугаарыг дагаж, илүү өндөр утгатай пакет хүлээн авах үед гулсах цонхыг тохируулдаг.CISCO-SD-WAN-Тохиргоо-Аюулгүй байдлын-параметрүүд-FIG-8

Анхдагчаар гулсах цонхыг 512 пакет гэж тохируулсан. Үүнийг 64-ын зэрэгтэй (4096, 2, 64, 128, 256, 512, эсвэл 1024) 2048-4096 хооронд ямар ч утгыг тохируулах боломжтой. Дахин тоглуулахын эсрэг цонхны хэмжээг өөрчлөхийн тулд цонхны хэмжээг зааж өгөх replay-window командыг ашиглана уу.

Төхөөрөмж(тохиргоо)# аюулгүй байдлын ipsec дахин тоглуулах цонхны дугаар

Тохиргоо дараах байдлаар харагдаж байна.
аюулгүй байдлын ipsec дахин тоглуулах цонхны дугаар! !

QoS-д туслахын тулд эхний найман замын суваг тус бүрд тус тусад нь дахин тоглуулах цонхыг ажиллуулдаг. Тохируулсан дахин тоглуулах цонхны хэмжээг суваг тус бүрд найм хуваана. Хэрэв чиглүүлэгч дээр QoS тохируулагдсан бол IPsec-ийн дахин тоглуулахын эсрэг механизмын үр дүнд тэр чиглүүлэгч нь хүлээгдэж байснаас илүү олон пакет уналтанд өртөж болзошгүй бөгөөд унасан пакетуудын ихэнх нь хууль ёсных юм. Энэ нь QoS нь пакетуудыг дахин эрэмбэлж, илүү өндөр ач холбогдолтой пакетуудад давуу эрх олгож, бага ач холбогдолтой пакетуудыг хойшлуулдагтай холбоотой юм. Энэ нөхцөл байдлыг багасгах эсвэл урьдчилан сэргийлэхийн тулд та дараахь зүйлийг хийж болно.

  • Дахин тоглуулахын эсрэг цонхны хэмжээг нэмэгдүүлэх.
  • Сувгийн доторх урсгалыг дахин эрэмбэлэхгүй байхын тулд замын хөдөлгөөний эхний найман суваг руу чиглүүл.

IKE идэвхжүүлсэн IPsec туннельуудыг тохируулна уу
Давхардсан сүлжээнээс үйлчилгээний сүлжээнд траффикийг найдвартай шилжүүлэхийн тулд та Internet Key Exchange (IKE) протоколыг ажиллуулдаг IPsec туннелийг тохируулах боломжтой. IKE-ийг идэвхжүүлсэн IPsec туннель нь багцын аюулгүй тээвэрлэлтийг хангахын тулд нэвтрэлт танилт, шифрлэлтээр хангадаг. Та IPsec интерфэйсийг тохируулснаар IKE идэвхжүүлсэн IPsec туннелийг үүсгэдэг. IPsec интерфэйсүүд нь логик интерфэйсүүд бөгөөд та тэдгээрийг бусад физик интерфэйстэй адил тохируулдаг. Та IPsec интерфэйс дээр IKE протоколын параметрүүдийг тохируулах ба бусад интерфэйсийн шинж чанарыг тохируулах боломжтой.

Анхаарна уу Cisco нь IKE хувилбар 2-г ашиглахыг зөвлөж байна. Cisco SD-WAN 19.2.x хувилбараас эхлэн урьдчилан хуваалцсан түлхүүрийн урт нь дор хаяж 16 байт байх шаардлагатай. Чиглүүлэгчийг 16 хувилбар руу шинэчлэх үед түлхүүрийн хэмжээ 19.2 тэмдэгтээс бага байвал IPsec туннелийн тохиргоо амжилтгүй болно.

Анхаарна уу
Cisco Catalyst SD-WAN програм хангамж нь RFC 2-д тодорхойлсон IKE 7296-р хувилбарыг дэмждэг. IPsec туннелийн нэг хэрэглээ нь Amazon AWS дээр ажиллаж байгаа vEdge Cloud чиглүүлэгчийн VM инстансуудад Amazon виртуал хувийн үүлэн (VPC) холбогдохыг зөвшөөрөх явдал юм. Та эдгээр чиглүүлэгчид IKE 1-р хувилбарыг тохируулах ёстой. Cisco vEdge төхөөрөмжүүд нь IPSec тохиргоонд зөвхөн чиглүүлэлтэд суурилсан VPN-г дэмждэг, учир нь эдгээр төхөөрөмжүүд нь шифрлэлтийн домайн дахь траффик сонгогчийг тодорхойлж чадахгүй.

IPsec туннелийг тохируулах
Үйлчилгээний сүлжээнээс тээвэрлэлтийн аюулгүй байдлыг хангахын тулд IPsec туннелийн интерфейсийг тохируулахын тулд та логик IPsec интерфэйсийг үүсгэнэ.CISCO-SD-WAN-Тохиргоо-Аюулгүй байдлын-параметрүүд-FIG-9

Та IPsec туннелийг тээврийн VPN (VPN 0) болон VPN үйлчилгээнд (1-оос бусад VPN 65530-ээс 512 хүртэл) үүсгэж болно. IPsec интерфэйс нь 1-ээс 255 хүртэл байж болох ipsec дугаар форматтай нэртэй байдаг. IPsec интерфэйс бүр IPv4 хаягтай байх ёстой. Энэ хаяг нь /30 угтвар байх ёстой. Энэ IPv4 угтвар дотор байгаа VPN-н бүх траффик нь VPN 0 дахь физик интерфэйс рүү чиглэгдэж, IPsec туннелээр найдвартай илгээгдэнэ. Дотоод төхөөрөмж дээрх IPsec туннелийн эх сурвалжийг тохируулахын тулд та IP хаягийн аль нэгийг зааж өгч болно. физик интерфэйс (туннель-эх командын дотор) эсвэл физик интерфэйсийн нэр (туннель-эх сурвалж-интерфэйс командын). Физик интерфэйсийг VPN 0-д тохируулсан эсэхийг шалгаарай. IPsec туннелийн очих газрыг тохируулахын тулд tunnel-destination команд дээр алсын төхөөрөмжийн IP хаягийг зааж өгнө. Эх хаяг (эсвэл эх интерфэйсийн нэр) болон очих хаягийн хослол нь нэг IPsec туннелийг тодорхойлдог. Тодорхой эх хаяг (эсвэл интерфейсийн нэр) болон очих хаягийн хосыг ашигладаг зөвхөн нэг IPsec туннель байж болно.

IPsec статик маршрутыг тохируулах

VPN (VPN 0) тээврийн VPN (VPN 0) дахь IPsec туннель руу үйлчилгээний VPN-ээс траффикийг чиглүүлэхийн тулд та VPN үйлчилгээнд (VPN 512 эсвэл VPN XNUMX-аас өөр VPN) IPsec-ийн тусгай статик маршрутыг тохируулна:

  • vEdge(тохиргоо)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-маршрутын угтвар/урт vpn 0 интерфейс
  • ipsecnumber [ipsecnumber2]

VPN ID нь ямар ч VPN үйлчилгээнийх (VPN 1-ээс 65530 хүртэл, 512-оос бусад). угтвар/урт нь IP хаяг буюу угтвар, аравтын бутархай дөрвөн хэсэгтэй тасархай тэмдэглэгээ ба IPsec-ийн тусгай статик маршрутын угтварын урт юм. Интерфэйс нь VPN 0 дахь IPsec туннелийн интерфейс юм. Та нэг эсвэл хоёр IPsec туннелийн интерфейсийг тохируулах боломжтой. Хэрэв та хоёрыг тохируулбал эхнийх нь үндсэн IPsec туннель, хоёр дахь нь нөөцлөлт юм. Хоёр интерфейстэй бол бүх пакетуудыг зөвхөн анхдагч хонгил руу илгээдэг. Хэрэв энэ хонгил бүтэлгүйтвэл бүх пакетуудыг хоёрдогч хонгил руу илгээнэ. Хэрэв үндсэн хонгил буцаж ирвэл бүх урсгалыг үндсэн IPsec туннель руу шилжүүлнэ.

IKE 1-р хувилбарыг идэвхжүүлнэ үү
Та vEdge чиглүүлэгч дээр IPsec туннель үүсгэх үед туннелийн интерфейс дээр анхдагчаар IKE хувилбар 1 идэвхждэг. Дараах шинж чанаруудыг мөн IKEv1-д анхдагчаар идэвхжүүлсэн байна:

  • Баталгаажуулалт ба шифрлэлт - AES-256 дэвшилтэт шифрлэлтийн стандарт CBC шифрлэлт нь HMAC-SHA1 түлхүүртэй хэш мессежийн баталгаажуулалтын кодын бүрэн бүтэн байдлын алгоритмтай
  • Диффи-Хеллман бүлгийн дугаар - 16
  • Дахин тохируулах хугацааны интервал - 4 цаг
  • SA байгуулах горим - Үндсэн

Анхдагч байдлаар, IKEv1 нь IKE SA-г үүсгэхийн тулд IKE үндсэн горимыг ашигладаг. Энэ горимд SA-г байгуулахын тулд зургаан хэлэлцээрийн багцыг солилцдог. Зөвхөн гурван хэлэлцээрийн багц солилцохын тулд түрэмгий горимыг идэвхжүүлнэ үү:

Анхаарна уу
Урьдчилан хуваалцсан түлхүүр бүхий IKE түрэмгий горимоос аль болох зайлсхийх хэрэгтэй. Үгүй бол хүчтэй урьдчилан хуваалцсан түлхүүр сонгох хэрэгтэй.

  • vEdge(config)# vpn vpn-id интерфэйс ipsec дугаартай
  • vEdge(config-ike)# горим түрэмгий

Анхдагч байдлаар, IKEv1 нь IKE түлхүүр солилцохдоо Diffie-Hellman групп 16-г ашигладаг. Энэ бүлэг нь IKE түлхүүр солилцох үед 4096 бит илүү модульчлагдсан экспоненциал (MODP) бүлгийг ашигладаг. Та бүлгийн дугаарыг 2 (1024 битийн MODP), 14 (2048 битийн MODP) эсвэл 15 (3072 битийн MODP) болгож өөрчилж болно:

  • vEdge(config)# vpn vpn-id интерфэйс ipsec дугаартай
  • vEdge(config-ike)# бүлгийн дугаар

Анхдагч байдлаар, IKE түлхүүр солилцох AES-256 дэвшилтэт шифрлэлтийн стандарт CBC шифрлэлтийг HMAC-SHA1 түлхүүртэй хэш мессежийн баталгаажуулалтын кодын бүрэн бүтэн байдлын алгоритмтай ашигладаг. Та баталгаажуулалтыг өөрчилж болно:

  • vEdge(config)# vpn vpn-id интерфэйс ipsec дугаартай
  • vEdge(config-ike)# шифрийн багц

Баталгаажуулалтын багц нь дараахь зүйлсийн аль нэг байж болно.

  • aes128-cbc-sha1—AES-128 дэвшилтэт шифрлэлтийн стандарт CBC шифрлэлт нь HMAC-SHA1 түлхүүртэй хэш мессежийн баталгаажуулалтын кодыг бүрэн бүтэн байлгах алгоритмтай
  • aes128-cbc-sha2—AES-128 дэвшилтэт шифрлэлтийн стандарт CBC шифрлэлт нь HMAC-SHA256 түлхүүртэй хэш мессежийн баталгаажуулалтын кодыг бүрэн бүтэн байлгах алгоритмтай
  • aes256-cbc-sha1—AES-256 дэвшилтэт шифрлэлтийн стандарт CBC шифрлэлт нь HMAC-SHA1 түлхүүртэй хэш мессежийн баталгаажуулалтын кодын бүрэн бүтэн байдлын алгоритмтай; энэ бол анхдагч юм.
  • aes256-cbc-sha2—AES-256 дэвшилтэт шифрлэлтийн стандарт CBC шифрлэлт нь HMAC-SHA256 түлхүүртэй хэш мессежийн баталгаажуулалтын кодыг бүрэн бүтэн байлгах алгоритмтай

Анхдагч байдлаар, IKE түлхүүрүүд 1 цаг тутамд (3600 секунд) шинэчлэгддэг. Та дахин тохируулах интервалыг 30 секундээс 14 хоног (1209600 секунд) хүртэлх утга болгон өөрчилж болно. Дахин тохируулах интервал дор хаяж 1 цаг байхыг зөвлөж байна.

  • vEdge(config)# vpn vpn-id интерфэйс ipsec дугаар гэх мэт
  • vEdge(config-ike) # секунд дахин товчилно

IKE сессийн шинэ түлхүүрүүдийг хүчээр үүсгэхийн тулд хүсэлтийн ipsec ike-rekey командыг өгнө үү.

  • vEdge(config)# vpn vpn-id интерфэйсipsec дугаар

IKE-ийн хувьд та урьдчилан хуваалцсан түлхүүр (PSK) баталгаажуулалтыг тохируулах боломжтой:

  • vEdge(config)# vpn vpn-id интерфэйс ipsec дугаартай
  • vEdge(config-ike)# баталгаажуулалтын төрлийн урьдчилан хуваалцсан түлхүүрийн урьдчилан хуваалцсан нууц үгийн нууц үг нь урьдчилан хуваалцсан түлхүүрээр ашиглах нууц үг юм. Энэ нь ASCII эсвэл 1-ээс 127 тэмдэгтийн урттай арван арван арван тэмдэгт мөр байж болно.

Хэрэв алсын IKE-д локал эсвэл алсын ID шаардлагатай бол та энэ танигчийг тохируулж болно:

  • vEdge(config)# vpn vpn-id интерфэйс ipsec дугаар ike баталгаажуулалтын төрөл
  • vEdge(тохиргооны баталгаажуулалтын төрөл)# орон нутгийн ID ID
  • vEdge(тохиргооны баталгаажуулалтын төрөл)# алсын id ID

Тодорхойлогч нь IP хаяг эсвэл 1-ээс 63 тэмдэгт хүртэл текстийн мөр байж болно. Анхдагч байдлаар, локал ID нь туннелийн эх IP хаяг бөгөөд алсын ID нь туннелийн очих IP хаяг юм.

IKE 2-р хувилбарыг идэвхжүүлнэ үү
Та IPsec туннелийг IKE Хувилбар 2-г ашиглахаар тохируулах үед дараах шинж чанарууд мөн IKEv2-д анхдагчаар идэвхждэг.

  • Баталгаажуулалт ба шифрлэлт - AES-256 дэвшилтэт шифрлэлтийн стандарт CBC шифрлэлт нь HMAC-SHA1 түлхүүртэй хэш мессежийн баталгаажуулалтын кодын бүрэн бүтэн байдлын алгоритмтай
  • Диффи-Хеллман бүлгийн дугаар - 16
  • Дахин тохируулах хугацааны интервал - 4 цаг

Анхдагч байдлаар, IKEv2 нь IKE түлхүүр солилцохдоо Diffie-Hellman групп 16-г ашигладаг. Энэ бүлэг нь IKE түлхүүр солилцох үед 4096 бит илүү модульчлагдсан экспоненциал (MODP) бүлгийг ашигладаг. Та бүлгийн дугаарыг 2 (1024 битийн MODP), 14 (2048 битийн MODP) эсвэл 15 (3072 битийн MODP) болгож өөрчилж болно:

  • vEdge(тохиргоо)# vpn vpn-id интерфейсийн ipsec дугаар
  • vEdge(config-ike)# бүлгийн дугаар

Анхдагч байдлаар, IKE түлхүүр солилцох AES-256 дэвшилтэт шифрлэлтийн стандарт CBC шифрлэлтийг HMAC-SHA1 түлхүүртэй хэш мессежийн баталгаажуулалтын кодын бүрэн бүтэн байдлын алгоритмтай ашигладаг. Та баталгаажуулалтыг өөрчилж болно:

  • vEdge(тохиргоо)# vpn vpn-id интерфейсийн ipsec дугаар
  • vEdge(config-ike)# шифрийн багц

Баталгаажуулалтын багц нь дараахь зүйлсийн аль нэг байж болно.

  • aes128-cbc-sha1—AES-128 дэвшилтэт шифрлэлтийн стандарт CBC шифрлэлт нь HMAC-SHA1 түлхүүртэй хэш мессежийн баталгаажуулалтын кодыг бүрэн бүтэн байлгах алгоритмтай
  • aes128-cbc-sha2—AES-128 дэвшилтэт шифрлэлтийн стандарт CBC шифрлэлт нь HMAC-SHA256 түлхүүртэй хэш мессежийн баталгаажуулалтын кодыг бүрэн бүтэн байлгах алгоритмтай
  • aes256-cbc-sha1—AES-256 дэвшилтэт шифрлэлтийн стандарт CBC шифрлэлт нь HMAC-SHA1 түлхүүртэй хэш мессежийн баталгаажуулалтын кодын бүрэн бүтэн байдлын алгоритмтай; энэ бол анхдагч юм.
  • aes256-cbc-sha2—AES-256 дэвшилтэт шифрлэлтийн стандарт CBC шифрлэлт нь HMAC-SHA256 түлхүүртэй хэш мессежийн баталгаажуулалтын кодыг бүрэн бүтэн байлгах алгоритмтай

Анхдагч байдлаар, IKE түлхүүрүүд 4 цаг тутамд (14,400 секунд) шинэчлэгддэг. Та дахин оруулах интервалыг 30 секундээс 14 хоног (1209600 секунд) хүртэлх утга болгон өөрчилж болно:

  • vEdge(тохиргоо)# vpn vpn-id интерфейсийн ipsec дугаар
  • vEdge(config-ike) # секунд дахин товчилно

IKE сессийн шинэ түлхүүрүүдийг хүчээр үүсгэхийн тулд хүсэлтийн ipsec ike-rekey командыг өгнө үү. IKE-ийн хувьд та урьдчилан хуваалцсан түлхүүр (PSK) баталгаажуулалтыг тохируулах боломжтой:

  • vEdge(тохиргоо)# vpn vpn-id интерфейсийн ipsec дугаар
  • vEdge(config-ike)# баталгаажуулалтын төрлийн урьдчилан хуваалцсан түлхүүрийн урьдчилан хуваалцсан нууц үгийн нууц үг нь урьдчилан хуваалцсан түлхүүрээр ашиглах нууц үг юм. Энэ нь ASCII эсвэл арван зургаан тоот мөр байж болно, эсвэл AES шифрлэгдсэн түлхүүр байж болно. Хэрэв алсын IKE-д локал эсвэл алсын ID шаардлагатай бол та энэ танигчийг тохируулж болно:
  • vEdge(тохиргоо)# vpn vpn-id интерфэйс ipsec дугаар ike баталгаажуулалтын төрөл
  • vEdge(тохиргооны баталгаажуулалтын төрөл)# орон нутгийн ID ID
  • vEdge(тохиргооны баталгаажуулалтын төрөл)# алсын id ID

Тодорхойлогч нь IP хаяг эсвэл 1-ээс 64 тэмдэгт хүртэл текстийн мөр байж болно. Анхдагч байдлаар, локал ID нь туннелийн эх IP хаяг бөгөөд алсын ID нь туннелийн очих IP хаяг юм.

IPsec туннелийн параметрүүдийг тохируулах

Хүснэгт 4: Онцлогын түүх

Онцлог Нэр Мэдээлэл гаргах Тодорхойлолт
Нэмэлт криптограф Cisco SD-WAN хувилбар 20.1.1 Энэ функц нь дэмжлэгийг нэмдэг
IPSec-ийн алгоритмын дэмжлэг   HMAC_SHA256, HMAC_SHA384 болон
Хонгилууд   HMAC_SHA512 алгоритмууд
    сайжруулсан аюулгүй байдал.

Анхдагч байдлаар, дараах параметрүүдийг IKE урсгалыг дамжуулдаг IPsec туннель дээр ашигладаг.

  • Баталгаажуулалт ба шифрлэлт - GCM дахь AES-256 алгоритм (Галуа/тоолуур горим)
  • Дахин тохируулах интервал - 4 цаг
  • Дахин тоглуулах цонх - 32 пакет

Та IPsec туннель дээрх шифрлэлтийг CBC дахь AES-256 шифр (шифр блокийн гинжин хэлхээний горим, SHA-1 эсвэл SHA-2 түлхүүртэй хэш мессежийн баталгаажуулалтыг ашиглан HMAC-тай эсвэл SHA-1 эсвэл SHA-2 эсвэл HMAC ашиглан null) болгон өөрчилж болно. IKE түлхүүр солилцох урсгалд ашигладаг IPsec туннелийг шифрлэхгүйн тулд SHA-XNUMX түлхүүртэй хэш мессежийн баталгаажуулалт:

  • vEdge(тохиргооны интерфэйс-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# шифрлэлтийн багц (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-1sha256 | | aes256-null-sha256 | aes384-null-sha256)

Анхдагч байдлаар, IKE түлхүүрүүд 4 цаг тутамд (14,400 секунд) шинэчлэгддэг. Та дахин оруулах интервалыг 30 секундээс 14 хоног (1209600 секунд) хүртэлх утга болгон өөрчилж болно:

  • vEdge(тохиргооны интерфэйс-ipsecnumber)# ipsec
  • vEdge(config-ipsec) # секунд дахин товчилно

IPsec туннелийн шинэ түлхүүрүүдийг хүчээр үүсгэхийн тулд хүсэлтийн ipsec ipsec-rekey командыг өгнө. Анхдагч байдлаар, ирээдүйн түлхүүрүүд эвдэрсэн тохиолдолд өмнөх сессүүдэд нөлөөлөхгүй байхын тулд IPsec туннель дээр төгс дамжуулалтын нууцлалыг (PFS) идэвхжүүлсэн байна. PFS нь анхдагчаар 4096 битийн Diffie-Hellman үндсэн модулийн бүлгийг ашиглан шинэ Diffie-Hellman түлхүүр солилцохыг албаддаг. Та PFS тохиргоог өөрчилж болно:

  • vEdge(тохиргооны интерфэйс-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# төгс урагшлах нууцлалын pfs тохиргоо

pfs-тохиргоо нь дараах зүйлсийн аль нэг байж болно.

  • бүлэг-2—1024 битийн Diffie-Hellman үндсэн модулийн бүлгийг ашиглах.
  • бүлэг-14—2048 битийн Diffie-Hellman үндсэн модулийн бүлгийг ашиглах.
  • бүлэг-15—3072 битийн Diffie-Hellman үндсэн модулийн бүлгийг ашиглах.
  • group-16—4096 битийн Diffie-Hellman үндсэн модулийн бүлгийг ашиглах. Энэ бол анхдагч юм.
  • байхгүй - PFS-г идэвхгүй болгох.

Анхдагч байдлаар, IPsec туннель дээрх IPsec дахин тоглуулах цонх нь 512 байт байна. Та дахин тоглуулах цонхны хэмжээг 64, 128, 256, 512, 1024, 2048, эсвэл 4096 багц болгон тохируулж болно.

  • vEdge(тохиргооны интерфэйс-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# дахин тоглуулах цонхны дугаар

IKE Dead-Peer илрүүлэлтийг өөрчлөх

IKE нь IKE үе тэнгийн холболт нь ажиллагаатай, холбогдох боломжтой эсэхийг тодорхойлохын тулд үхсэн үеийг илрүүлэх механизмыг ашигладаг. Энэ механизмыг хэрэгжүүлэхийн тулд IKE нь Hello багцыг үе тэнгийнхэн рүүгээ илгээдэг бөгөөд үе тэнгийнхэн нь хариуд нь талархал илгээдэг. Анхдагч байдлаар, IKE нь Hello багцыг 10 секунд тутамд илгээдэг бөгөөд хүлээн зөвшөөрөөгүй гурван пакетын дараа IKE хөршөө үхсэн гэж зарлаж, үе тэнгийнхэндээ хонгилыг нураадаг. Үүний дараа IKE нь үе тэнгийнхэн рүүгээ Hello багц илгээж, үе тэнгийнхэн нь онлайн болох үед туннелийг дахин сэргээдэг. Та амьд байдлыг илрүүлэх интервалыг 0-ээс 65535 хүртэлх утга болгон өөрчлөх боломжтой ба дахин оролдлогын тоог 0-ээс 255 хүртэлх утга болгон өөрчилж болно.

Анхаарна уу

Тээврийн VPN-ийн хувьд амьд байдлыг илрүүлэх интервалыг дараах томъёогоор секунд болгон хөрвүүлнэ: Дахин дамжуулах оролдлогын интервал тоо N = интервал * 1.8N-1Жишээ нь:ample, хэрэв интервалыг 10 болгож, 5 болгож дахин оролдвол илрүүлэх интервал дараах байдлаар нэмэгдэнэ.

  • 1-р оролдлого: 10 * 1.81-1 = 10 секунд
  • оролдлого 2: 10 * 1.82-1 = 18 секунд
  • оролдлого 3: 10 * 1.83-1 = 32.4 секунд
  • оролдлого 4: 10 * 1.84-1 = 58.32 секунд
  • оролдлого 5: 10 * 1.85-1 = 104.976 секунд

vEdge(config-interface-ipsecnumber)# үхсэн үе тэнгийн илрүүлэх интервалын дахин оролдлогын дугаар

Бусад интерфэйсийн шинж чанаруудыг тохируулах

IPsec туннелийн интерфэйсийн хувьд та зөвхөн дараах нэмэлт интерфэйсийн шинж чанарыг тохируулах боломжтой.

  • vEdge(config-interface-ipsec)# mtu байт
  • vEdge(config-interface-ipsec)# tcp-mss-тохируулга хийх байт

Cisco SD-WAN менежер дээрх сул SSH шифрлэлтийн алгоритмуудыг идэвхгүй болгох

Хүснэгт 5: Онцлогын түүхийн хүснэгт

Онцлог Нэр Мэдээлэл гаргах Онцлог Тодорхойлолт
Cisco SD-WAN менежер дээрх сул SSH шифрлэлтийн алгоритмуудыг идэвхгүй болгох Cisco vManage хувилбар 20.9.1 Энэ функц нь Cisco SD-WAN Manager дээрх мэдээллийн аюулгүй байдлын зарим стандартад нийцэхгүй байж болох сул SSH алгоритмуудыг идэвхгүй болгох боломжийг танд олгоно.

Cisco SD-WAN менежер дээрх сул SSH шифрлэлтийн алгоритмуудыг идэвхгүй болгох тухай мэдээлэл
Cisco SD-WAN менежер нь хянагч болон захын төхөөрөмжүүд зэрэг сүлжээн дэх бүрэлдэхүүн хэсгүүдтэй харилцах SSH клиентээр хангадаг. SSH клиент нь олон төрлийн шифрлэлтийн алгоритм дээр суурилсан аюулгүй өгөгдөл дамжуулахын тулд шифрлэгдсэн холболтоор хангадаг. Олон байгууллага SHA-1, AES-128, AES-192-оос илүү хүчтэй шифрлэлт шаарддаг. Cisco vManage Release 20.9.1-ээс та SSH үйлчлүүлэгч эдгээр алгоритмуудыг ашиглахгүйн тулд дараах сул шифрлэлтийн алгоритмуудыг идэвхгүй болгож болно:

  • SHA-1
  • AES-128
  • AES-192

Эдгээр шифрлэлтийн алгоритмуудыг идэвхгүй болгохын өмнө Cisco vEdge төхөөрөмжүүд нь сүлжээнд байгаа бол Cisco SD-WAN Release 18.4.6-аас хожуу програм хангамжийн хувилбарыг ашиглаж байгаа эсэхийг шалгаарай.

Cisco SD-WAN менежер дээр сул SSH шифрлэлтийн алгоритмуудыг идэвхгүй болгохын ашиг тус
Сул дорой SSH шифрлэлтийн алгоритмуудыг идэвхгүй болгосноор SSH холбооны аюулгүй байдлыг сайжруулж, Cisco Catalyst SD-WAN ашигладаг байгууллагууд аюулгүй байдлын хатуу дүрэм журмыг дагаж мөрддөг.

CLI ашиглан Cisco SD-WAN менежер дээрх сул SSH шифрлэлтийн алгоритмыг идэвхгүй болгох

  1. Cisco SD-WAN Manager цэснээс Tools > SSH Terminal-ийг сонгоно уу.
  2. Та сул SSH алгоритмуудыг идэвхгүй болгохыг хүсч буй Cisco SD-WAN Manager төхөөрөмжийг сонгоно уу.
  3. Төхөөрөмж рүү нэвтрэхийн тулд хэрэглэгчийн нэр, нууц үгээ оруулна уу.
  4. SSH серверийн горимыг оруулна уу.
    • vmanage(config)# систем
    • vmanage(config-system)# ssh-сервер
  5. SSH шифрлэлтийн алгоритмыг идэвхгүй болгохын тулд дараах зүйлсийн аль нэгийг хийнэ үү:
    • SHA-1-г идэвхгүй болгох:
  6. удирдах(config-ssh-server)# no kex-algo sha1
  7. удирдах(config-ssh-server)# commit
    Дараах сэрэмжлүүлгийн зурвас гарч ирнэ: Дараах анхааруулга үүсгэгдсэн: 'system ssh-server kex-algo sha1': АНХААРУУЛГА: Таны бүх ирмэгүүд vManage-тэй SHA18.4.6-ээс илүү сайн тохирдог > 1 код хувилбарыг ажиллуулж байгаа эсэхийг шалгана уу. Үгүй бол тэдгээр ирмэгүүд офлайн болж болзошгүй. Үргэлжлүүлэх үү? [тийм, үгүй] тийм
    • Сүлжээнд байгаа аливаа Cisco vEdge төхөөрөмж Cisco SD-WAN Release 18.4.6 буюу түүнээс хойшхи хувилбарыг ажиллуулж байгаа эсэхийг шалгаад тийм гэж бичнэ үү.
    • AES-128 болон AES-192-г идэвхгүй болгох:
    • vmanage(config-ssh-server)# aes-128-192 шифр байхгүй
    • vmanage(config-ssh-server)# commit
      Дараах анхааруулах мессеж гарч ирнэ.
      Дараах сэрэмжлүүлгийг үүсгэсэн.
      'system ssh-server cipher aes-128-192': АНХААРУУЛГА: Таны бүх ирмэгүүд vManage-тэй AES-18.4.6-128-с илүү тохирдог > 192 код хувилбарыг ажиллуулж байгаа эсэхийг шалгана уу. Үгүй бол тэдгээр ирмэгүүд офлайн болж болзошгүй. Үргэлжлүүлэх үү? [тийм, үгүй] тийм
    • Сүлжээнд байгаа аливаа Cisco vEdge төхөөрөмж Cisco SD-WAN Release 18.4.6 буюу түүнээс хойшхи хувилбарыг ажиллуулж байгаа эсэхийг шалгаад тийм гэж бичнэ үү.

CLI ашиглан Cisco SD-WAN менежер дээр сул SSH шифрлэлтийн алгоритмууд идэвхгүй болсон эсэхийг шалгана уу.

  1. Cisco SD-WAN Manager цэснээс Tools > SSH Terminal-ийг сонгоно уу.
  2. Баталгаажуулахыг хүсэж буй Cisco SD-WAN Manager төхөөрөмжөө сонгоно уу.
  3. Төхөөрөмж рүү нэвтрэхийн тулд хэрэглэгчийн нэр, нууц үгээ оруулна уу.
  4. Дараах тушаалыг ажиллуулна уу: show running-config system ssh-server
  5. Гаралт нь сул шифрлэлтийн алгоритмуудыг идэвхгүй болгодог нэг буюу хэд хэдэн командыг харуулж байгааг баталгаажуулна уу:
    • aes-128-192 шифр байхгүй
    • ямар ч kex-algo sha1

Баримт бичиг / нөөц

CISCO SD-WAN Аюулгүй байдлын параметрүүдийг тохируулах [pdf] Хэрэглэгчийн гарын авлага
SD-WAN Аюулгүй байдлын параметрүүдийг тохируулах, SD-WAN, Аюулгүй байдлын параметрүүдийг тохируулах, Аюулгүй байдлын параметрүүдийг тохируулах

Лавлагаа

Сэтгэгдэл үлдээгээрэй

Таны имэйл хаягийг нийтлэхгүй. Шаардлагатай талбаруудыг тэмдэглэсэн *