CISCO SD-WAN सुरक्षा पॅरामीटर्स कॉन्फिगर करा

सुरक्षा पॅरामीटर्स कॉन्फिगर करा

नोंद

सरलीकरण आणि सुसंगतता प्राप्त करण्यासाठी, Cisco SD-WAN सोल्यूशनला Cisco Catalyst SD-WAN असे नाव दिले गेले आहे. याव्यतिरिक्त, Cisco IOS XE SD-WAN रिलीज 17.12.1a आणि Cisco Catalyst SD-WAN रिलीज 20.12.1 पासून, खालील घटक बदल लागू आहेत: Cisco vManage ते Cisco Catalyst SD-WAN व्यवस्थापक, Cisco vAnalytics ते Cisco-WAN Catalyst विश्लेषण, Cisco vBond ते Cisco Catalyst SD-WAN Validator, आणि Cisco vSmart ते Cisco Catalyst SD-WAN कंट्रोलर. सर्व घटक ब्रँड नाव बदलांच्या सर्वसमावेशक सूचीसाठी नवीनतम रिलीज नोट्स पहा. आम्ही नवीन नावांमध्ये संक्रमण करत असताना, सॉफ्टवेअर उत्पादनाच्या वापरकर्ता इंटरफेस अद्यतनांसाठी टप्प्याटप्प्याने दृष्टिकोनामुळे काही विसंगती दस्तऐवजीकरण सेटमध्ये उपस्थित असू शकतात.

हा विभाग Cisco Catalyst SD-WAN ओव्हरले नेटवर्कमधील कंट्रोल प्लेन आणि डेटा प्लेनसाठी सुरक्षा पॅरामीटर्स कसे बदलायचे याचे वर्णन करतो.

• नियंत्रण विमान सुरक्षा पॅरामीटर्स कॉन्फिगर करा, चालू
• डेटा प्लेन सुरक्षा पॅरामीटर्स कॉन्फिगर करा, चालू
• IKE-सक्षम IPsec बोगदे कॉन्फिगर करा, चालू
• Cisco SD-WAN व्यवस्थापक वर कमकुवत SSH एनक्रिप्शन अल्गोरिदम अक्षम करा, चालू

नियंत्रण विमान सुरक्षा पॅरामीटर्स कॉन्फिगर करा

डीफॉल्टनुसार, कंट्रोल प्लेन DTLS चा प्रोटोकॉल म्हणून वापर करते जे त्याच्या सर्व बोगद्यांवर गोपनीयता प्रदान करते. DTLS UDP वर चालते. तुम्ही नियंत्रण विमान सुरक्षा प्रोटोकॉल TLS मध्ये बदलू शकता, जे TCP वर चालते. TLS वापरण्याचे प्राथमिक कारण म्हणजे, जर तुम्ही Cisco SD-WAN कंट्रोलरला सर्व्हर मानत असाल, तर फायरवॉल TCP सर्व्हरचे UDP सर्व्हरपेक्षा चांगले संरक्षण करतात. तुम्ही Cisco SD-WAN कंट्रोलरवर कंट्रोल प्लेन टनेल प्रोटोकॉल कॉन्फिगर करा: vSmart(config)# security control protocol tls या बदलासह, सिस्को SD-WAN कंट्रोलर आणि राउटर आणि सिस्को SD-WAN कंट्रोलर दरम्यान सर्व कंट्रोल प्लेन बोगदे आणि Cisco SD-WAN व्यवस्थापक TLS वापरतात. Cisco Catalyst SD-WAN Validator ला प्लेन बोगदे नियंत्रित करा नेहमी DTLS वापरतात, कारण हे कनेक्शन UDP द्वारे हाताळले जाणे आवश्यक आहे. एकाधिक Cisco SD-WAN कंट्रोलर्स असलेल्या डोमेनमध्ये, जेव्हा तुम्ही Cisco SD-WAN कंट्रोलरपैकी एकावर TLS कॉन्फिगर करता, तेव्हा त्या कंट्रोलरपासून इतर कंट्रोलर्सपर्यंतचे सर्व कंट्रोल प्लेन बोगदे TLS वापरतात. दुसऱ्या मार्गाने सांगितले की, TLS नेहमी DTLS पेक्षा प्राधान्य घेते. तथापि, इतर Cisco SD-WAN नियंत्रकांच्या दृष्टीकोनातून, जर तुम्ही त्यांच्यावर TLS कॉन्फिगर केले नसेल, तर ते नियंत्रण समतल बोगद्यावरील TLS फक्त एका Cisco SD-WAN नियंत्रकासाठी वापरतात आणि ते इतर सर्वांसाठी DTLS बोगदे वापरतात. Cisco SD-WAN कंट्रोलर्स आणि त्यांचे सर्व कनेक्टेड राउटर. सर्व Cisco SD-WAN कंट्रोलर्स TLS वापरण्यासाठी, त्या सर्वांवर कॉन्फिगर करा. डीफॉल्टनुसार, Cisco SD-WAN कंट्रोलर TLS विनंत्यांसाठी पोर्ट 23456 वर ऐकतो. हे बदलण्यासाठी: vSmart(config)# security control tls-port number पोर्ट हा 1025 ते 65535 पर्यंतचा क्रमांक असू शकतो. कंट्रोल प्लेन सुरक्षा माहिती प्रदर्शित करण्यासाठी, Cisco SD-WAN कंट्रोलरवरील show control connections कमांड वापरा. उदाample: vSmart-2# नियंत्रण कनेक्शन दाखवा

Cisco SD-WAN व्यवस्थापक मध्ये DTLS कॉन्फिगर करा

जर तुम्ही Cisco SD-WAN मॅनेजरला TLS चा कंट्रोल प्लेन सिक्युरिटी प्रोटोकॉल म्हणून वापर करण्यासाठी कॉन्फिगर केले, तर तुम्ही तुमच्या NAT वर पोर्ट फॉरवर्डिंग सक्षम करणे आवश्यक आहे. तुम्ही नियंत्रण विमान सुरक्षा प्रोटोकॉल म्हणून DTLS वापरत असल्यास, तुम्हाला काहीही करण्याची गरज नाही. फॉरवर्ड केलेल्या पोर्टची संख्या सिस्को SD-WAN मॅनेजरवर चालणाऱ्या vdaemon प्रक्रियांच्या संख्येवर अवलंबून असते. या प्रक्रियांबद्दल माहिती प्रदर्शित करण्यासाठी आणि फॉरवर्ड केल्या जाणाऱ्या पोर्ट्सची संख्या, शो कंट्रोल सारांश कमांड वापरा चार डिमन प्रक्रिया चालू असल्याचे दर्शविते:

ऐकण्याचे पोर्ट पाहण्यासाठी, show control local-properties कमांड वापरा: vManage# show control local-properties

हे आउटपुट दाखवते की ऐकणारा TCP पोर्ट 23456 आहे. जर तुम्ही NAT च्या मागे Cisco SD-WAN मॅनेजर चालवत असाल, तर तुम्ही NAT डिव्हाइसवर खालील पोर्ट उघडले पाहिजेत:

• 23456 (बेस - उदाहरण 0 पोर्ट)
• 23456 + 100 (आधार + 100)
• 23456 + 200 (आधार + 200)
• 23456 + 300 (आधार + 300)

लक्षात घ्या की उदाहरणांची संख्या तुम्ही Cisco SD-WAN व्यवस्थापकासाठी नियुक्त केलेल्या कोरच्या संख्येइतकीच आहे, कमाल 8 पर्यंत.

सुरक्षा वैशिष्ट्य टेम्पलेट वापरून सुरक्षा पॅरामीटर्स कॉन्फिगर करा

सर्व Cisco vEdge उपकरणांसाठी सुरक्षा वैशिष्ट्य टेम्पलेट वापरा. एज राउटरवर आणि Cisco SD-WAN व्हॅलिडेटरवर, डेटा प्लेन सुरक्षिततेसाठी IPsec कॉन्फिगर करण्यासाठी हे टेम्पलेट वापरा. Cisco SD-WAN व्यवस्थापक आणि Cisco SD-WAN कंट्रोलरवर, विमान सुरक्षिततेसाठी DTLS किंवा TLS कॉन्फिगर करण्यासाठी सुरक्षा वैशिष्ट्य टेम्पलेट वापरा.

सुरक्षा पॅरामीटर्स कॉन्फिगर करा

1. Cisco SD-WAN मॅनेजर मेनूमधून, कॉन्फिगरेशन > टेम्पलेट्स निवडा.
2. वैशिष्ट्य टेम्पलेट क्लिक करा आणि नंतर टेम्पलेट जोडा क्लिक करा.
   नोंद Cisco vManage Release 20.7.1 आणि पूर्वीच्या रिलीझमध्ये, फीचर टेम्प्लेट्सना फीचर म्हणतात.
3. डाव्या उपखंडातील डिव्हाइसेस सूचीमधून, एक डिव्हाइस निवडा. निवडलेल्या उपकरणाला लागू होणारे टेम्पलेट उजव्या उपखंडात दिसतात.
4. टेम्पलेट उघडण्यासाठी सुरक्षा वर क्लिक करा.
5. टेम्पलेट नाव फील्डमध्ये, टेम्पलेटसाठी नाव प्रविष्ट करा. नाव 128 वर्णांपर्यंत असू शकते आणि त्यात फक्त अल्फान्यूमेरिक वर्ण असू शकतात.
6. टेम्पलेट वर्णन फील्डमध्ये, टेम्पलेटचे वर्णन प्रविष्ट करा. वर्णन 2048 वर्णांपर्यंत असू शकते आणि त्यात फक्त अल्फान्यूमेरिक वर्ण असू शकतात.

जेव्हा तुम्ही प्रथम वैशिष्ट्य टेम्पलेट उघडता, तेव्हा प्रत्येक पॅरामीटरसाठी ज्यामध्ये डीफॉल्ट मूल्य असते, स्कोप डीफॉल्ट (चेकमार्कद्वारे दर्शविला जातो) वर सेट केला जातो आणि डीफॉल्ट सेटिंग किंवा मूल्य दर्शविले जाते. डीफॉल्ट बदलण्यासाठी किंवा मूल्य प्रविष्ट करण्यासाठी, पॅरामीटर फील्डच्या डावीकडील स्कोप ड्रॉप-डाउन मेनूवर क्लिक करा आणि खालीलपैकी एक निवडा:

तक्ता 1:

पॅरामीटर व्याप्ती

व्याप्ती वर्णन

डिव्हाइस विशिष्ट (होस्ट आयकॉनद्वारे सूचित)

पॅरामीटरसाठी डिव्हाइस-विशिष्ट मूल्य वापरा. डिव्हाइस-विशिष्ट पॅरामीटर्ससाठी, तुम्ही वैशिष्ट्य टेम्पलेटमध्ये मूल्य प्रविष्ट करू शकत नाही. जेव्हा तुम्ही डिव्हाइस टेम्प्लेटमध्ये Viptela डिव्हाइस संलग्न करता तेव्हा तुम्ही मूल्य प्रविष्ट करता. जेव्हा तुम्ही Device Specific वर क्लिक करता तेव्हा Enter Key बॉक्स उघडतो. हा बॉक्स एक की प्रदर्शित करतो, जी एक अद्वितीय स्ट्रिंग आहे जी CSV मध्ये पॅरामीटर ओळखते file जे तुम्ही तयार करता. या file एक एक्सेल स्प्रेडशीट आहे ज्यामध्ये प्रत्येक कीसाठी एक स्तंभ असतो. शीर्षलेख पंक्तीमध्ये मुख्य नावे असतात (प्रति स्तंभ एक की), आणि त्यानंतरची प्रत्येक पंक्ती डिव्हाइसशी संबंधित असते आणि त्या डिव्हाइससाठी कीची मूल्ये परिभाषित करते. तुम्ही CSV अपलोड करा file जेव्हा तुम्ही व्हिप्टेला डिव्हाइस डिव्हाइस टेम्पलेटला संलग्न करता. अधिक माहितीसाठी, टेम्पलेट व्हेरिएबल्स स्प्रेडशीट तयार करा पहा. डीफॉल्ट की बदलण्यासाठी, नवीन स्ट्रिंग टाइप करा आणि एंटर की बॉक्सच्या बाहेर कर्सर हलवा. Exampडिव्हाइस-विशिष्ट पॅरामीटर्समध्ये सिस्टम IP पत्ता, होस्टनाव, GPS स्थान आणि साइट आयडी आहेत.

पॅरामीटर व्याप्ती	व्याप्ती वर्णन
ग्लोबल (ग्लोब आयकॉनद्वारे सूचित)	पॅरामीटरसाठी एक मूल्य प्रविष्ट करा आणि ते मूल्य सर्व डिव्हाइसेसवर लागू करा. Exampडिव्हायसेसच्या गटाला तुम्ही जागतिक स्तरावर लागू करू शकता असे पॅरामीटर्स म्हणजे DNS सर्व्हर, syslog सर्व्हर आणि इंटरफेस MTU.

नियंत्रण विमान सुरक्षा कॉन्फिगर करा

नोंद
कॉन्फिगर कंट्रोल प्लेन सुरक्षा विभाग फक्त Cisco SD-WAN मॅनेजर आणि Cisco SD-WAN कंट्रोलरला लागू होतो. Cisco SD-WAN मॅनेजर उदाहरणावर किंवा Cisco SD-WAN कंट्रोलरवर कंट्रोल प्लेन कनेक्शन प्रोटोकॉल कॉन्फिगर करण्यासाठी, बेसिक कॉन्फिगरेशन क्षेत्र निवडा. आणि खालील पॅरामीटर्स कॉन्फिगर करा:

तक्ता 2:

पॅरामीटर नाव	वर्णन
प्रोटोकॉल	Cisco SD-WAN कंट्रोलरशी कंट्रोल प्लेन कनेक्शनवर वापरण्यासाठी प्रोटोकॉल निवडा: • DTLS (Datagram वाहतूक स्तर सुरक्षा). हे डीफॉल्ट आहे. • TLS (वाहतूक स्तर सुरक्षा)
TLS पोर्ट नियंत्रित करा	तुम्ही TLS निवडल्यास, वापरण्यासाठी पोर्ट नंबर कॉन्फिगर करा:श्रेणी: 1025 ते 65535 पर्यंतडीफॉल्ट: 23456

Save वर क्लिक करा

डेटा प्लेन सुरक्षा कॉन्फिगर करा
Cisco SD-WAN Validator किंवा Cisco vEdge राउटरवर डेटा प्लेन सुरक्षा कॉन्फिगर करण्यासाठी, बेसिक कॉन्फिगरेशन आणि ऑथेंटिकेशन प्रकार टॅब निवडा आणि खालील पॅरामीटर्स कॉन्फिगर करा:

तक्ता 3:

पॅरामीटर नाव	वर्णन
रेकी वेळ	Cisco vEdge राउटर त्याच्या सुरक्षित DTLS कनेक्शनवर वापरलेली AES की किती वेळा Cisco SD-WAN कंट्रोलरला बदलते ते निर्दिष्ट करा. OMP ग्रेसफुल रीस्टार्ट सक्षम असल्यास, रीकीइंग वेळ OMP ग्रेसफुल रीस्टार्ट टाइमरच्या किमान दुप्पट असणे आवश्यक आहे.श्रेणी: 10 ते 1209600 सेकंद (14 दिवस)डीफॉल्ट: 86400 सेकंद (24 तास)
विंडो रिप्ले करा	स्लाइडिंग रिप्ले विंडोचा आकार निर्दिष्ट करा. मूल्ये: 64, 128, 256, 512, 1024, 2048, 4096, 8192 पॅकेटडीफॉल्ट: 512 पॅकेट
IPsec pairwise-keying	हे डीफॉल्टनुसार बंद आहे. क्लिक करा On ते चालू करण्यासाठी.

पॅरामीटर नाव

वर्णन

प्रमाणीकरण प्रकार

मधून प्रमाणीकरण प्रकार निवडा प्रमाणीकरण यादी, आणि प्रमाणीकरण प्रकारांना वर हलविण्यासाठी उजवीकडे निर्देशित करणारा बाण क्लिक करा निवडलेली यादी स्तंभ Cisco SD-WAN रिलीज 20.6.1 वरून समर्थित प्रमाणीकरण प्रकार: •  विशेष: ESP शीर्षलेखावर एन्कॅप्स्युलेटिंग सिक्युरिटी पेलोड (ESP) एन्क्रिप्शन आणि अखंडता तपासणी सक्षम करते. •  ip-udp-esp: ESP एन्क्रिप्शन सक्षम करते. ESP शीर्षलेख आणि पेलोडवरील अखंडता तपासण्यांव्यतिरिक्त, चेकमध्ये बाह्य IP आणि UDP शीर्षलेख देखील समाविष्ट आहेत. •  ip-udp-esp-no-id: IP हेडरमधील ID फील्डकडे दुर्लक्ष करते जेणेकरून Cisco Catalyst SD-WAN नॉन-सिस्को उपकरणांसह कार्य करू शकेल. •  काहीही नाही: IPSec पॅकेट्सवर अखंडता तपासणी बंद करते. आम्ही हा पर्याय वापरण्याची शिफारस करत नाही.   Cisco SD-WAN रिलीझ 20.5.1 आणि त्यापूर्वीचे प्रमाणीकरण प्रकार समर्थित: •  ah-no-id: AH-SHA1 HMAC आणि ESP HMAC-SHA1 ची वर्धित आवृत्ती सक्षम करा जी पॅकेटच्या बाह्य IP शीर्षलेखातील ID फील्डकडे दुर्लक्ष करते. •  ah-sha1-hmac: AH-SHA1 HMAC आणि ESP HMAC-SHA1 सक्षम करा. •  काहीही नाही: कोणतेही प्रमाणीकरण नाही निवडा. •  sha1-hmac: ESP HMAC-SHA1 सक्षम करा.   नोंद              Cisco SD-WAN Release 20.5.1 किंवा त्यापूर्वी चालणाऱ्या एज डिव्हाइससाठी, तुम्ही वापरून प्रमाणीकरण प्रकार कॉन्फिगर केले असतील. सुरक्षा टेम्पलेट जेव्हा तुम्ही सिस्को SD-WAN रिलीझ 20.6.1 किंवा नंतरचे डिव्हाइस अपग्रेड करता, तेव्हा निवडलेल्या प्रमाणीकरण प्रकारांमध्ये अद्यतनित करा. सुरक्षा Cisco SD-WAN प्रकाशन 20.6.1 पासून समर्थित प्रमाणीकरण प्रकारांसाठी टेम्पलेट. प्रमाणीकरण प्रकार अद्यतनित करण्यासाठी, पुढील गोष्टी करा: 1.      Cisco SD-WAN व्यवस्थापक मेनूमधून, निवडा कॉन्फिगरेशन > टेम्पलेट्स. 2.      क्लिक करा वैशिष्ट्य टेम्पलेट्स. 3.      शोधा सुरक्षा अद्यतनित करण्यासाठी टेम्पलेट आणि क्लिक करा ... आणि क्लिक करा संपादित करा. 4.      क्लिक करा अपडेट करा. कोणत्याही कॉन्फिगरेशनमध्ये बदल करू नका. Cisco SD-WAN व्यवस्थापक अद्यतनित करते सुरक्षा समर्थित प्रमाणीकरण प्रकार प्रदर्शित करण्यासाठी टेम्पलेट.

Save वर क्लिक करा.

डेटा प्लेन सुरक्षा पॅरामीटर्स कॉन्फिगर करा

डेटा प्लेनमध्ये, IPsec सर्व राउटरवर डीफॉल्टनुसार सक्षम केले जाते आणि डीफॉल्टनुसार IPsec बोगदे कनेक्शन IPsec बोगद्यांवर प्रमाणीकरणासाठी Encapsulating Security Payload (ESP) प्रोटोकॉलची वर्धित आवृत्ती वापरतात. राउटरवर, तुम्ही प्रमाणीकरणाचा प्रकार, IPsec रीकीइंग टाइमर आणि IPsec अँटी-रीप्ले विंडोचा आकार बदलू शकता.

अनुमत प्रमाणीकरण प्रकार कॉन्फिगर करा

सिस्को SD-WAN प्रकाशन 20.6.1 आणि नंतरचे प्रमाणीकरण प्रकार
Cisco SD-WAN रिलीज 20.6.1 वरून, खालील अखंडता प्रकार समर्थित आहेत:

• esp: हा पर्याय Encapsulating Security Payload (ESP) एन्क्रिप्शन आणि ESP शीर्षलेखावर अखंडता तपासणी सक्षम करतो.
• ip-udp-esp: हा पर्याय ESP एनक्रिप्शन सक्षम करतो. ESP शीर्षलेख आणि पेलोडवरील अखंडता तपासण्याव्यतिरिक्त, चेकमध्ये बाह्य IP आणि UDP शीर्षलेख देखील समाविष्ट आहेत.
• ip-udp-esp-no-id: हा पर्याय ip-udp-esp सारखाच आहे, तथापि, बाह्य IP शीर्षलेखाच्या ID फील्डकडे दुर्लक्ष केले जाते. Cisco Catalyst SD-WAN सॉफ्टवेअरने IP हेडरमधील ID फील्डकडे दुर्लक्ष करण्यासाठी अखंडता प्रकारांच्या सूचीमध्ये हा पर्याय कॉन्फिगर करा जेणेकरून Cisco Catalyst SD-WAN नॉन-Cisco उपकरणांसोबत काम करू शकेल.
• काहीही नाही: हा पर्याय IPSec पॅकेट्सवर अखंडता तपासणी बंद करतो. आम्ही हा पर्याय वापरण्याची शिफारस करत नाही.

डीफॉल्टनुसार, IPsec टनल कनेक्शन प्रमाणीकरणासाठी एन्कॅप्स्युलेटिंग सिक्युरिटी पेलोड (ESP) प्रोटोकॉलची वर्धित आवृत्ती वापरतात. निगोशिएटेड इंटरिटी प्रकार सुधारण्यासाठी किंवा अखंडता तपासणी अक्षम करण्यासाठी, खालील आदेश वापरा: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | विशेष }

सिस्को SD-WAN प्रकाशन 20.6.1 पूर्वी प्रमाणीकरण प्रकार
डीफॉल्टनुसार, IPsec टनल कनेक्शन प्रमाणीकरणासाठी एन्कॅप्स्युलेटिंग सिक्युरिटी पेलोड (ESP) प्रोटोकॉलची वर्धित आवृत्ती वापरतात. निगोशिएटेड ऑथेंटिकेशन प्रकार सुधारण्यासाठी किंवा ऑथेंटिकेशन अक्षम करण्यासाठी, खालील कमांड वापरा: Device(config)# security ipsec प्रमाणीकरण-प्रकार (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) बाय डीफॉल्ट, IPsec बोगदा कनेक्शन AES-GCM-256 वापरतात, जे एन्क्रिप्शन आणि प्रमाणीकरण दोन्ही प्रदान करते. प्रत्येक प्रमाणीकरण प्रकार वेगळ्या सुरक्षा ipsec प्रमाणीकरण-प्रकार कमांडसह कॉन्फिगर करा. कमांड ऑप्शन्स खालील प्रमाणीकरण प्रकारांवर मॅप करतात, जे सर्वात मजबूत ते कमीतकमी मजबूत अशा क्रमाने सूचीबद्ध आहेत:

नोंद
कॉन्फिगरेशन पर्यायांमधील sha1 ऐतिहासिक कारणांसाठी वापरला जातो. प्रमाणीकरण पर्याय सूचित करतात की किती पॅकेट अखंडता तपासणी केली जाते. ते अखंडता तपासणारे अल्गोरिदम निर्दिष्ट करत नाहीत. मल्टीकास्ट रहदारीचे एनक्रिप्शन वगळता, Cisco Catalyst SD WAN द्वारे समर्थित प्रमाणीकरण अल्गोरिदम SHA1 वापरत नाहीत. तथापि Cisco SD-WAN रिलीज 20.1.x आणि त्यानंतर, युनिकास्ट आणि मल्टीकास्ट दोन्ही SHA1 वापरत नाहीत.

• ah-sha1-hmac ESP वापरून एन्क्रिप्शन आणि एन्कॅप्सुलेशन सक्षम करते. तथापि, ESP शीर्षलेख आणि पेलोडवरील अखंडता तपासण्यांव्यतिरिक्त, चेकमध्ये बाह्य IP आणि UDP शीर्षलेख देखील समाविष्ट आहेत. म्हणून, हा पर्याय ऑथेंटिकेशन हेडर (AH) प्रोटोकॉल प्रमाणेच पॅकेटच्या अखंडता तपासणीस समर्थन देतो. सर्व अखंडता आणि एन्क्रिप्शन AES-256-GCM वापरून केले जाते.
• ah-no-id एक मोड सक्षम करते जो ah-sha1-hmac सारखा आहे, तथापि, बाह्य IP शीर्षलेखाच्या ID फील्डकडे दुर्लक्ष केले जाते. हा पर्याय काही नॉन-सिस्को कॅटॅलिस्ट SD-WAN डिव्हाइसेसला सामावून घेतो, ज्यामध्ये Apple AirPort Express NAT समाविष्ट आहे, ज्यामध्ये एक बग आहे ज्यामुळे आयपी हेडर, नॉन-म्युटेबल फील्ड, सुधारित केले जाऊ शकते. Cisco Catalyst SD-WAN AH सॉफ्टवेअर आयपी हेडरमधील आयडी फील्डकडे दुर्लक्ष करण्यासाठी प्रमाणीकरण प्रकारांच्या सूचीमध्ये ah-no-id पर्याय कॉन्फिगर करा जेणेकरुन Cisco Catalyst SD-WAN सॉफ्टवेअर या उपकरणांच्या संयोगाने कार्य करू शकेल.
• sha1-hmac ESP एनक्रिप्शन आणि अखंडता तपासणी सक्षम करते.
• कोणतेही नकाशे ते प्रमाणीकरण नाही. हा पर्याय तात्पुरत्या डीबगिंगसाठी आवश्यक असल्यासच वापरला जावा. डेटा प्लेन ऑथेंटिकेशन आणि अखंडता ही चिंता नसलेल्या परिस्थितीतही तुम्ही हा पर्याय निवडू शकता. सिस्को उत्पादन नेटवर्कसाठी हा पर्याय वापरण्याची शिफारस करत नाही.

या प्रमाणीकरण प्रकारांमुळे कोणते डेटा पॅकेट फील्ड प्रभावित होतात याबद्दल माहितीसाठी, डेटा प्लेन इंटिग्रिटी पहा. Cisco IOS XE उत्प्रेरक SD-WAN उपकरणे आणि Cisco vEdge उपकरणे त्यांच्या TLOC गुणधर्मांमध्ये कॉन्फिगर केलेल्या प्रमाणीकरण प्रकारांची जाहिरात करतात. IPsec टनेल कनेक्शनच्या दोन्ही बाजूला असलेले दोन राउटर दोन्ही राउटरवर कॉन्फिगर केलेले सर्वात मजबूत प्रमाणीकरण प्रकार वापरून, त्यांच्यामधील कनेक्शनवर वापरण्यासाठी प्रमाणीकरणाची वाटाघाटी करतात. उदाampले, जर एक राउटर ah-sha1-hmac आणि ah-no-id प्रकारांची जाहिरात करत असेल आणि दुसरा राउटर ah-no-id प्रकाराची जाहिरात करत असेल, तर दोन राउटर IPsec टनेल कनेक्शनवर ah-no-id वापरण्यासाठी वाटाघाटी करतात. त्यांना दोन समवयस्कांवर कोणतेही सामान्य प्रमाणीकरण प्रकार कॉन्फिगर केलेले नसल्यास, त्यांच्यामध्ये कोणताही IPsec बोगदा स्थापित केला जात नाही. IPsec बोगदा कनेक्शनवरील एन्क्रिप्शन अल्गोरिदम रहदारीच्या प्रकारावर अवलंबून आहे:

• युनिकास्ट रहदारीसाठी, एन्क्रिप्शन अल्गोरिदम AES-256-GCM आहे.
• मल्टीकास्ट रहदारीसाठी:
• Cisco SD-WAN रिलीज 20.1.x आणि नंतर- एन्क्रिप्शन अल्गोरिदम AES-256-GCM आहे
• मागील प्रकाशन- एनक्रिप्शन अल्गोरिदम SHA256-HMAC सह AES-1-CBC आहे.

जेव्हा IPsec प्रमाणीकरण प्रकार बदलला जातो, तेव्हा डेटा मार्गासाठी AES की बदलली जाते.

रीकीइंग टाइमर बदला

Cisco IOS XE Catalyst SD-WAN डिव्हाइसेस आणि Cisco vEdge डिव्हाइसेस डेटा ट्रॅफिकची देवाणघेवाण करण्यापूर्वी, त्यांनी त्यांच्या दरम्यान एक सुरक्षित प्रमाणीकृत संप्रेषण चॅनेल सेट केले. राउटर त्यांच्या दरम्यान चॅनेल म्हणून IPSec बोगदे वापरतात आणि एन्क्रिप्शन करण्यासाठी AES-256 सायफर वापरतात. प्रत्येक राउटर वेळोवेळी त्याच्या डेटा पाथसाठी नवीन AES की व्युत्पन्न करतो. डीफॉल्टनुसार, की 86400 सेकंद (24 तास) साठी वैध असते आणि टाइमर श्रेणी 10 सेकंद ते 1209600 सेकंद (14 दिवस) असते. rekey टाइमर मूल्य बदलण्यासाठी: Device(config)# security ipsec rekey सेकंद कॉन्फिगरेशन असे दिसते:

• सुरक्षा ipsec rekey सेकंद!

तुम्हाला नवीन IPsec की तात्काळ व्युत्पन्न करायच्या असल्यास, तुम्ही राउटरचे कॉन्फिगरेशन बदलल्याशिवाय करू शकता. हे करण्यासाठी, तडजोड केलेल्या राउटरवर विनंती सुरक्षा ipsecrekey कमांड जारी करा. उदाample, खालील आउटपुट दाखवते की स्थानिक SA ​​मध्ये 256 चा सिक्युरिटी पॅरामीटर इंडेक्स (SPI) आहे:

प्रत्येक SPI शी एक अनन्य की संबद्ध असते. ही की तडजोड केली असल्यास, ताबडतोब नवीन की व्युत्पन्न करण्यासाठी विनंती सुरक्षा ipsec-rekey कमांड वापरा. ही आज्ञा SPI वाढवते. आमच्या माजी मध्येample, SPI 257 मध्ये बदलते आणि त्याच्याशी संबंधित की आता वापरली जाते:

• डिव्हाइस# सुरक्षा ipsecrekey विनंती
• डिव्हाइस# ipsec local-sa दर्शवा

नवीन की व्युत्पन्न झाल्यानंतर, राउटर DTLS किंवा TLS वापरून सिस्को SD-WAN कंट्रोलर्सकडे लगेच पाठवतो. Cisco SD-WAN कंट्रोलर्स पीअर राउटरला की पाठवतात. राउटर ते प्राप्त होताच ते वापरण्यास सुरुवात करतात. लक्षात ठेवा की जुन्या SPI (256) शी संबंधित की कालबाह्य होईपर्यंत थोड्या काळासाठी वापरली जाईल. जुनी की ताबडतोब वापरणे थांबवण्यासाठी, विनंती सुरक्षा ipsec-rekey आदेश दोनदा, द्रुतगतीने जारी करा. आदेशांचा हा क्रम SPI 256 आणि 257 दोन्ही काढून टाकतो आणि SPI ला 258 वर सेट करतो. त्यानंतर राउटर SPI 258 ची संबंधित की वापरतो. लक्षात ठेवा, सर्व रिमोट राउटर शिकत नाही तोपर्यंत काही पॅकेट थोड्या काळासाठी सोडले जातील. नवीन की.

अँटी-रीप्ले विंडोचा आकार बदला

IPsec प्रमाणीकरण डेटा स्ट्रीममधील प्रत्येक पॅकेटला एक अद्वितीय अनुक्रम क्रमांक नियुक्त करून अँटी-रीप्ले संरक्षण प्रदान करते. हे अनुक्रम क्रमांकन डेटा पॅकेट्स डुप्लिकेट करणाऱ्या आक्रमणकर्त्यापासून संरक्षण करते. अँटी-रीप्ले संरक्षणासह, प्रेषक नीरसपणे वाढणारे अनुक्रम क्रमांक नियुक्त करतो आणि डुप्लिकेट शोधण्यासाठी गंतव्यस्थान हे अनुक्रम क्रमांक तपासते. पॅकेट अनेकदा क्रमाने येत नसल्यामुळे, गंतव्यस्थान क्रम संख्यांची स्लाइडिंग विंडो ठेवते जी ते स्वीकारेल.

स्लाइडिंग विंडो रेंजच्या डावीकडे येणारे अनुक्रम क्रमांक असलेले पॅकेट जुने किंवा डुप्लिकेट मानले जातात आणि गंतव्यस्थान त्यांना ड्रॉप करते. गंतव्यस्थान त्याला मिळालेल्या सर्वोच्च क्रम क्रमांकाचा मागोवा घेते आणि जेव्हा त्याला जास्त मूल्य असलेले पॅकेट मिळते तेव्हा स्लाइडिंग विंडो समायोजित करते.

डीफॉल्टनुसार, स्लाइडिंग विंडो 512 पॅकेटवर सेट केली जाते. हे 64 आणि 4096 मधील कोणत्याही मूल्यावर सेट केले जाऊ शकते जे 2 ची पॉवर आहे (म्हणजे, 64, 128, 256, 512, 1024, 2048, किंवा 4096). अँटी-रिप्ले विंडोचा आकार बदलण्यासाठी, विंडोचा आकार निर्दिष्ट करून, replay-window कमांड वापरा:

डिव्हाइस(कॉन्फिगरेशन)# सुरक्षा ipsec रीप्ले-विंडो क्रमांक

कॉन्फिगरेशन असे दिसते:
सुरक्षा ipsec रिप्ले-विंडो क्रमांक! !

QoS मध्ये मदत करण्यासाठी, प्रत्येक पहिल्या आठ ट्रॅफिक चॅनेलसाठी स्वतंत्र रिप्ले विंडो ठेवल्या जातात. कॉन्फिगर केलेल्या रीप्ले विंडोचा आकार प्रत्येक चॅनेलसाठी आठने विभागलेला आहे. जर राउटरवर QoS कॉन्फिगर केले असेल, तर IPsec अँटी-रीप्ले मेकॅनिझमच्या परिणामी त्या राउटरला अपेक्षेपेक्षा जास्त पॅकेट ड्रॉप्सचा अनुभव येऊ शकतो आणि टाकलेली अनेक पॅकेट्स कायदेशीर आहेत. हे उद्भवते कारण QoS पॅकेटचे पुनर्क्रमण करते, उच्च-प्राधान्य पॅकेटला प्राधान्य देते आणि कमी-प्राधान्य पॅकेट्सला विलंब करते. ही परिस्थिती कमी करण्यासाठी किंवा प्रतिबंध करण्यासाठी, आपण पुढील गोष्टी करू शकता:

• अँटी-रीप्ले विंडोचा आकार वाढवा.
• पहिल्या आठ ट्रॅफिक चॅनेलवर इंजिनीयर ट्रॅफिक हे सुनिश्चित करण्यासाठी की चॅनेलमधील रहदारी पुनर्क्रमित केली जात नाही.

IKE-सक्षम IPsec बोगदे कॉन्फिगर करा
ओव्हरले नेटवर्कवरून ट्रॅफिक सुरक्षितपणे सर्व्हिस नेटवर्कवर हस्तांतरित करण्यासाठी, तुम्ही IPsec बोगदे कॉन्फिगर करू शकता जे इंटरनेट की एक्सचेंज (IKE) प्रोटोकॉल चालवतात. सुरक्षित पॅकेट वाहतूक सुनिश्चित करण्यासाठी IKE-सक्षम IPsec बोगदे प्रमाणीकरण आणि एन्क्रिप्शन प्रदान करतात. तुम्ही IPsec इंटरफेस कॉन्फिगर करून IKE-सक्षम IPsec बोगदा तयार करता. IPsec इंटरफेस हे लॉजिकल इंटरफेस आहेत आणि तुम्ही ते इतर कोणत्याही भौतिक इंटरफेसप्रमाणेच कॉन्फिगर करता. तुम्ही IPsec इंटरफेसवर IKE प्रोटोकॉल पॅरामीटर्स कॉन्फिगर करता आणि तुम्ही इतर इंटरफेस गुणधर्म कॉन्फिगर करू शकता.

नोंद Cisco IKE आवृत्ती 2 वापरण्याची शिफारस करते. Cisco SD-WAN 19.2.x रिलीझपासून, पूर्व-सामायिक कीची लांबी किमान 16 बाइट्स असणे आवश्यक आहे. जेव्हा राउटर आवृत्ती 16 वर अपग्रेड केले जाते तेव्हा की आकार 19.2 वर्णांपेक्षा कमी असल्यास IPsec टनेल स्थापना अयशस्वी होते.

नोंद
Cisco Catalyst SD-WAN सॉफ्टवेअर RFC 2 मध्ये परिभाषित केल्यानुसार IKE आवृत्ती 7296 चे समर्थन करते. IPsec बोगद्यांचा एक वापर म्हणजे ॲमेझॉन AWS वर चालणाऱ्या vEdge क्लाउड राउटर VM घटनांना Amazon आभासी खाजगी क्लाउड (VPC) शी कनेक्ट होण्यासाठी परवानगी देणे. आपण या राउटरवर IKE आवृत्ती 1 कॉन्फिगर करणे आवश्यक आहे. Cisco vEdge डिव्हाइसेस IPSec कॉन्फिगरेशनमध्ये फक्त मार्ग-आधारित VPN चे समर्थन करतात कारण ही उपकरणे एनक्रिप्शन डोमेनमध्ये रहदारी निवडक परिभाषित करू शकत नाहीत.

IPsec बोगदा कॉन्फिगर करा
सेवा नेटवर्कवरून सुरक्षित वाहतूक रहदारीसाठी IPsec बोगदा इंटरफेस कॉन्फिगर करण्यासाठी, तुम्ही लॉजिकल IPsec इंटरफेस तयार करा:

तुम्ही ट्रान्सपोर्ट VPN (VPN 0) आणि VPN (VPN 1 ते 65530, 512 व्यतिरिक्त) कोणत्याही सेवेमध्ये IPsec बोगदा तयार करू शकता. IPsec इंटरफेसला ipsecnumber या फॉरमॅटमध्ये एक नाव आहे, जिथे संख्या 1 ते 255 पर्यंत असू शकते. प्रत्येक IPsec इंटरफेसमध्ये IPv4 पत्ता असणे आवश्यक आहे. हा पत्ता /30 उपसर्ग असणे आवश्यक आहे. VPN मधील सर्व ट्रॅफिक जे या IPv4 उपसर्गामध्ये आहे ते VPN 0 मधील भौतिक इंटरफेसवर IPsec बोगद्यावर सुरक्षितपणे पाठवण्याकरिता निर्देशित केले जाते. स्थानिक डिव्हाइसवर IPsec बोगद्याचा स्त्रोत कॉन्फिगर करण्यासाठी, तुम्ही एकतर IP पत्ता निर्दिष्ट करू शकता भौतिक इंटरफेस (टनेल-स्रोत कमांडमध्ये) किंवा भौतिक इंटरफेसचे नाव (टनेल-स्रोत-इंटरफेस कमांडमध्ये). VPN 0 मध्ये भौतिक इंटरफेस कॉन्फिगर केला असल्याची खात्री करा. IPsec बोगद्याचे गंतव्यस्थान कॉन्फिगर करण्यासाठी, tunnel-destination कमांडमध्ये रिमोट डिव्हाइसचा IP पत्ता निर्दिष्ट करा. स्त्रोत पत्ता (किंवा स्त्रोत इंटरफेस नाव) आणि गंतव्य पत्त्याचे संयोजन एकल IPsec बोगदा परिभाषित करते. फक्त एक IPsec बोगदा अस्तित्वात असू शकतो जो विशिष्ट स्त्रोत पत्ता (किंवा इंटरफेस नाव) आणि गंतव्य पत्त्याच्या जोडीचा वापर करतो.

IPsec स्थिर मार्ग कॉन्फिगर करा

सेवा VPN मधून वाहतूक VPN (VPN 0) मधील IPsec बोगद्याकडे रहदारी निर्देशित करण्यासाठी, तुम्ही सेवा VPN (VPN 0 किंवा VPN 512 व्यतिरिक्त एक VPN) मध्ये IPsec-विशिष्ट स्थिर मार्ग कॉन्फिगर करता :

• vEdge(कॉन्फिगरेशन)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-मार्ग उपसर्ग/लांबी vpn 0 इंटरफेस
• ipsecnumber [ipsecnumber2]

VPN ID कोणत्याही सेवेचा VPN (VPN 1 ते 65530, 512 वगळता) असतो. उपसर्ग/लांबी हा IP पत्ता किंवा उपसर्ग आहे, दशांश चार-भाग-डॉटेड नोटेशनमध्ये आणि IPsec-विशिष्ट स्थिर मार्गाचा उपसर्ग लांबी. इंटरफेस हा VPN 0 मधील IPsec टनेल इंटरफेस आहे. तुम्ही एक किंवा दोन IPsec टनेल इंटरफेस कॉन्फिगर करू शकता. तुम्ही दोन कॉन्फिगर केल्यास, पहिला प्राथमिक IPsec बोगदा आहे आणि दुसरा बॅकअप आहे. दोन इंटरफेससह, सर्व पॅकेट फक्त प्राथमिक बोगद्याकडे पाठवले जातात. तो बोगदा अयशस्वी झाल्यास, सर्व पॅकेट नंतर दुय्यम बोगद्याकडे पाठवले जातात. प्राथमिक बोगदा परत आल्यास, सर्व रहदारी पुन्हा प्राथमिक IPsec बोगद्याकडे हलवली जाईल.

IKE आवृत्ती 1 सक्षम करा
जेव्हा तुम्ही vEdge राउटरवर IPsec बोगदा तयार करता, तेव्हा IKE आवृत्ती 1 टनल इंटरफेसवर डीफॉल्टनुसार सक्षम केली जाते. खालील गुणधर्म देखील IKEv1 साठी डीफॉल्टनुसार सक्षम केले आहेत:

• प्रमाणीकरण आणि एन्क्रिप्शन—AES-256 प्रगत एनक्रिप्शन मानक CBC एन्क्रिप्शन HMAC-SHA1 कीड-हॅश संदेश प्रमाणीकरण कोड अल्गोरिदम अखंडतेसाठी
• डिफी-हेलमन गट क्रमांक—१६
• रीकीइंग वेळ मध्यांतर—4 तास
• SA स्थापना मोड-मुख्य

डीफॉल्टनुसार, IKEv1 IKE SAs स्थापित करण्यासाठी IKE मुख्य मोड वापरते. या मोडमध्ये, SA स्थापित करण्यासाठी सहा वाटाघाटी पॅकेट्सची देवाणघेवाण केली जाते. फक्त तीन निगोशिएशन पॅकेट्सची देवाणघेवाण करण्यासाठी, आक्रमक मोड सक्षम करा:

नोंद
पूर्व-सामायिक की सह IKE आक्रमक मोड शक्य तेथे टाळावे. अन्यथा एक मजबूत पूर्व-सामायिक की निवडली पाहिजे.

• vEdge(config)# vpn vpn-id इंटरफेस ipsec क्रमांक ike
• vEdge(config-ike)# मोड आक्रमक

डीफॉल्टनुसार, IKEv1 IKE की एक्सचेंजमध्ये Diffie-Hellman गट 16 वापरतो. हा गट IKE की एक्सचेंज दरम्यान 4096-बिट अधिक मॉड्यूलर एक्सपोनेन्शियल (MODP) गट वापरतो. तुम्ही गट क्रमांक 2 (1024-बिट MODP साठी), 14 (2048-बिट MODP), किंवा 15 (3072-बिट MODP) मध्ये बदलू शकता:

• vEdge(config)# vpn vpn-id इंटरफेस ipsec क्रमांक ike
• vEdge(config-ike)# गट क्रमांक

डीफॉल्टनुसार, IKE की एक्सचेंज अखंडतेसाठी HMAC-SHA256 कीड-हॅश संदेश प्रमाणीकरण कोड अल्गोरिदमसह AES-1 प्रगत एन्क्रिप्शन मानक CBC एन्क्रिप्शन वापरते. तुम्ही प्रमाणीकरण बदलू शकता:

• vEdge(config)# vpn vpn-id इंटरफेस ipsec क्रमांक ike
• vEdge(config-ike)# सिफर-सूट सूट

प्रमाणीकरण संच खालीलपैकी एक असू शकतो:

• aes128-cbc-sha1—AES-128 अखंडतेसाठी HMAC-SHA1 की-हॅश संदेश प्रमाणीकरण कोड अल्गोरिदमसह प्रगत एन्क्रिप्शन मानक CBC एन्क्रिप्शन
• aes128-cbc-sha2—AES-128 अखंडतेसाठी HMAC-SHA256 की-हॅश संदेश प्रमाणीकरण कोड अल्गोरिदमसह प्रगत एन्क्रिप्शन मानक CBC एन्क्रिप्शन
• aes256-cbc-sha1—AES-256 अखंडतेसाठी HMAC-SHA1 कीड-हॅश संदेश प्रमाणीकरण कोड अल्गोरिदमसह प्रगत एन्क्रिप्शन मानक CBC एन्क्रिप्शन; हे डीफॉल्ट आहे.
• aes256-cbc-sha2—AES-256 अखंडतेसाठी HMAC-SHA256 की-हॅश संदेश प्रमाणीकरण कोड अल्गोरिदमसह प्रगत एन्क्रिप्शन मानक CBC एन्क्रिप्शन

डीफॉल्टनुसार, IKE की दर 1 तासांनी (3600 सेकंद) रीफ्रेश केल्या जातात. तुम्ही रीकीइंग अंतराल 30 सेकंद ते 14 दिवस (1209600 सेकंद) पर्यंत बदलू शकता. रीकीइंग मध्यांतर किमान 1 तास असावा अशी शिफारस केली जाते.

• vEdge(config)# vpn vpn-id इंटरफेस ipsec नंबर सारखा
• vEdge(config-ike)# rekey सेकंद

IKE सत्रासाठी नवीन की तयार करण्यास सक्ती करण्यासाठी, विनंती ipsec ike-rekey कमांड जारी करा.

• vEdge(config)# vpn vpn-id इंटरफेसिपसेक क्रमांक ike

IKE साठी, तुम्ही प्रीशेअर की (PSK) प्रमाणीकरण देखील कॉन्फिगर करू शकता:

• vEdge(config)# vpn vpn-id इंटरफेस ipsec क्रमांक ike
• vEdge(config-ike)# प्रमाणीकरण-प्रकार प्री-सामायिक-की प्री-सामायिक-गुप्त पासवर्ड पासवर्ड प्री-शेअर कीसह वापरण्यासाठी पासवर्ड आहे. ही ASCII किंवा 1 ते 127 वर्णांची हेक्साडेसिमल स्ट्रिंग असू शकते.

रिमोट IKE पीअरला स्थानिक किंवा रिमोट आयडी आवश्यक असल्यास, तुम्ही हा अभिज्ञापक कॉन्फिगर करू शकता:

• vEdge(config)# vpn vpn-id इंटरफेस ipsec क्रमांक ike प्रमाणीकरण-प्रकार
• vEdge(कॉन्फिग-ऑथेंटिकेशन-प्रकार)# स्थानिक-आयडी आयडी
• vEdge(कॉन्फिग-ऑथेंटिकेशन-प्रकार)# रिमोट-आयडी आयडी

आयडेंटिफायर हा IP पत्ता किंवा 1 ते 63 वर्णांपर्यंतचा कोणताही मजकूर स्ट्रिंग असू शकतो. डीफॉल्टनुसार, स्थानिक आयडी हा बोगद्याचा स्त्रोत IP पत्ता असतो आणि रिमोट आयडी हा बोगद्याचा गंतव्य IP पत्ता असतो.

IKE आवृत्ती 2 सक्षम करा
जेव्हा तुम्ही IKE आवृत्ती 2 वापरण्यासाठी IPsec बोगदा कॉन्फिगर करता, तेव्हा खालील गुणधर्म देखील IKEv2 साठी डीफॉल्टनुसार सक्षम केले जातात:

• प्रमाणीकरण आणि एन्क्रिप्शन—AES-256 प्रगत एनक्रिप्शन मानक CBC एन्क्रिप्शन HMAC-SHA1 कीड-हॅश संदेश प्रमाणीकरण कोड अल्गोरिदम अखंडतेसाठी
• डिफी-हेलमन गट क्रमांक—१६
• रीकीइंग वेळ मध्यांतर—4 तास

डीफॉल्टनुसार, IKEv2 IKE की एक्सचेंजमध्ये Diffie-Hellman गट 16 वापरतो. हा गट IKE की एक्सचेंज दरम्यान 4096-बिट अधिक मॉड्यूलर एक्सपोनेन्शियल (MODP) गट वापरतो. तुम्ही गट क्रमांक 2 (1024-बिट MODP साठी), 14 (2048-बिट MODP), किंवा 15 (3072-बिट MODP) मध्ये बदलू शकता:

• vEdge(config)# vpn vpn-id इंटरफेस ipsecnumber ike
• vEdge(config-ike)# गट क्रमांक

डीफॉल्टनुसार, IKE की एक्सचेंज अखंडतेसाठी HMAC-SHA256 कीड-हॅश संदेश प्रमाणीकरण कोड अल्गोरिदमसह AES-1 प्रगत एन्क्रिप्शन मानक CBC एन्क्रिप्शन वापरते. तुम्ही प्रमाणीकरण बदलू शकता:

• vEdge(config)# vpn vpn-id इंटरफेस ipsecnumber ike
• vEdge(config-ike)# सिफर-सूट सूट

प्रमाणीकरण संच खालीलपैकी एक असू शकतो:

• aes128-cbc-sha1—AES-128 अखंडतेसाठी HMAC-SHA1 की-हॅश संदेश प्रमाणीकरण कोड अल्गोरिदमसह प्रगत एन्क्रिप्शन मानक CBC एन्क्रिप्शन
• aes128-cbc-sha2—AES-128 अखंडतेसाठी HMAC-SHA256 की-हॅश संदेश प्रमाणीकरण कोड अल्गोरिदमसह प्रगत एन्क्रिप्शन मानक CBC एन्क्रिप्शन
• aes256-cbc-sha1—AES-256 अखंडतेसाठी HMAC-SHA1 कीड-हॅश संदेश प्रमाणीकरण कोड अल्गोरिदमसह प्रगत एन्क्रिप्शन मानक CBC एन्क्रिप्शन; हे डीफॉल्ट आहे.
• aes256-cbc-sha2—AES-256 अखंडतेसाठी HMAC-SHA256 की-हॅश संदेश प्रमाणीकरण कोड अल्गोरिदमसह प्रगत एन्क्रिप्शन मानक CBC एन्क्रिप्शन

डीफॉल्टनुसार, IKE की दर 4 तासांनी (14,400 सेकंद) रीफ्रेश केल्या जातात. तुम्ही रीकीइंग अंतराल 30 सेकंद ते 14 दिवस (1209600 सेकंद) पर्यंत बदलू शकता:

• vEdge(config)# vpn vpn-id इंटरफेस ipsecnumber ike
• vEdge(config-ike)# rekey सेकंद

IKE सत्रासाठी नवीन की तयार करण्यास सक्ती करण्यासाठी, विनंती ipsec ike-rekey कमांड जारी करा. IKE साठी, तुम्ही प्रीशेअर की (PSK) प्रमाणीकरण देखील कॉन्फिगर करू शकता:

• vEdge(config)# vpn vpn-id इंटरफेस ipsecnumber ike
• vEdge(config-ike)# प्रमाणीकरण-प्रकार प्री-सामायिक-की प्री-सामायिक-गुप्त पासवर्ड पासवर्ड प्री-शेअर कीसह वापरण्यासाठी पासवर्ड आहे. ती ASCII किंवा हेक्साडेसिमल स्ट्रिंग असू शकते किंवा ती AES-एनक्रिप्टेड की असू शकते. रिमोट IKE पीअरला स्थानिक किंवा रिमोट आयडी आवश्यक असल्यास, तुम्ही हा अभिज्ञापक कॉन्फिगर करू शकता:
• vEdge(config)# vpn vpn-id इंटरफेस ipsecnumber ike प्रमाणीकरण-प्रकार
• vEdge(कॉन्फिग-ऑथेंटिकेशन-प्रकार)# स्थानिक-आयडी आयडी
• vEdge(कॉन्फिग-ऑथेंटिकेशन-प्रकार)# रिमोट-आयडी आयडी

आयडेंटिफायर हा IP पत्ता किंवा 1 ते 64 वर्णांपर्यंतचा कोणताही मजकूर स्ट्रिंग असू शकतो. डीफॉल्टनुसार, स्थानिक आयडी हा बोगद्याचा स्त्रोत IP पत्ता असतो आणि रिमोट आयडी हा बोगद्याचा गंतव्य IP पत्ता असतो.

IPsec टनेल पॅरामीटर्स कॉन्फिगर करा

सारणी 4: वैशिष्ट्य इतिहास

वैशिष्ट्य नाव	माहिती प्रकाशन	वर्णन
अतिरिक्त क्रिप्टोग्राफिक	Cisco SD-WAN प्रकाशन 20.1.1	हे वैशिष्ट्य यासाठी समर्थन जोडते
IPSec साठी अल्गोरिदमिक समर्थन		HMAC_SHA256, HMAC_SHA384, आणि
बोगदे		साठी HMAC_SHA512 अल्गोरिदम
		वर्धित सुरक्षा.

डीफॉल्टनुसार, IKE रहदारी असलेल्या IPsec बोगद्यावर खालील पॅरामीटर्स वापरले जातात:

• प्रमाणीकरण आणि एन्क्रिप्शन—GCM मध्ये AES-256 अल्गोरिदम (गॅलोइस/काउंटर मोड)
• रीकीइंग मध्यांतर-4 तास
• रीप्ले विंडो - 32 पॅकेट

तुम्ही IPsec बोगद्यावरील एन्क्रिप्शन CBC मधील AES-256 सायफरमध्ये बदलू शकता (सिफर ब्लॉक चेनिंग मोड, HMAC सह SHA-1 किंवा SHA-2 कीड-हॅश संदेश प्रमाणीकरण वापरून किंवा SHA-1 वापरून HMAC सह शून्य करू शकता. SHA-2 की-हॅश संदेश प्रमाणीकरण, IKE की एक्सचेंज रहदारीसाठी वापरलेला IPsec बोगदा एनक्रिप्ट न करण्यासाठी:

• vEdge(कॉन्फिग-इंटरफेस-ipsecnumber)# ipsec
• vEdge(config-ipsec)# सिफर-सूट (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | | aes256-null-sha256 | aes256-null-sha384)

डीफॉल्टनुसार, IKE की दर 4 तासांनी (14,400 सेकंद) रीफ्रेश केल्या जातात. तुम्ही रीकीइंग अंतराल 30 सेकंद ते 14 दिवस (1209600 सेकंद) पर्यंत बदलू शकता:

• vEdge(कॉन्फिग-इंटरफेस-ipsecnumber)# ipsec
• vEdge(config-ipsec)# rekey सेकंद

IPsec बोगद्यासाठी नवीन की तयार करण्यास सक्ती करण्यासाठी, विनंती ipsec ipsec-rekey आदेश जारी करा. डीफॉल्टनुसार, भविष्यातील कळांशी तडजोड झाल्यास मागील सत्रांवर परिणाम होणार नाही याची खात्री करण्यासाठी, IPsec बोगद्यांवर परिपूर्ण फॉरवर्ड गुप्तता (PFS) सक्षम केली जाते. PFS 4096-बिट डिफी-हेलमन प्राइम मॉड्यूल ग्रुप वापरून डीफॉल्टनुसार नवीन डिफी-हेलमन की एक्सचेंज सक्ती करते. तुम्ही PFS सेटिंग बदलू शकता:

• vEdge(कॉन्फिग-इंटरफेस-ipsecnumber)# ipsec
• vEdge(config-ipsec)# परिपूर्ण-फॉरवर्ड-सेक्रेसी pfs-सेटिंग

pfs-सेटिंग खालीलपैकी एक असू शकते:

• गट-२—१०२४-बिट डिफी-हेलमन प्राइम मॉड्यूलस गट वापरा.
• गट-२—१०२४-बिट डिफी-हेलमन प्राइम मॉड्यूलस गट वापरा.
• गट-२—१०२४-बिट डिफी-हेलमन प्राइम मॉड्यूलस गट वापरा.
• ग्रुप-१६—४०९६-बिट डिफी-हेलमन प्राइम मॉड्यूलस ग्रुप वापरा. हे डीफॉल्ट आहे.
• काहीही नाही - PFS अक्षम करा.

डीफॉल्टनुसार, IPsec बोगद्यावरील IPsec रीप्ले विंडो 512 बाइट्स आहे. तुम्ही रिप्ले विंडोचा आकार 64, 128, 256, 512, 1024, 2048 किंवा 4096 पॅकेटवर सेट करू शकता:

• vEdge(कॉन्फिग-इंटरफेस-ipsecnumber)# ipsec
• vEdge(config-ipsec)# रीप्ले-विंडो क्रमांक

IKE डेड-पीअर डिटेक्शन सुधारित करा

आयकेई पीअरचे कनेक्शन कार्यशील आणि पोहोचण्यायोग्य आहे की नाही हे निर्धारित करण्यासाठी IKE डेड-पीअर डिटेक्शन यंत्रणा वापरते. ही यंत्रणा कार्यान्वित करण्यासाठी, IKE त्याच्या समवयस्कांना हॅलो पॅकेट पाठवते आणि समवयस्क प्रतिसादात एक पावती पाठवते. डीफॉल्टनुसार, IKE दर 10 सेकंदांनी हॅलो पॅकेट पाठवते, आणि तीन नकळत पॅकेट्सनंतर, IKE शेजारी मृत झाल्याचे घोषित करते आणि समवयस्कांना बोगदा खाली पाडते. त्यानंतर, IKE वेळोवेळी पीअरला हॅलो पॅकेट पाठवते आणि जेव्हा पीअर परत ऑनलाइन येतो तेव्हा बोगदा पुन्हा स्थापित करतो. तुम्ही लाइव्हनेस डिटेक्शन इंटरव्हल 0 ते 65535 मधील व्हॅल्यूमध्ये बदलू शकता आणि तुम्ही पुन्हा प्रयत्नांची संख्या 0 ते 255 मधील व्हॅल्यूमध्ये बदलू शकता.

नोंद

वाहतूक व्हीपीएनसाठी, खालील सूत्र वापरून लाइव्हनेस डिटेक्शन इंटरव्हल सेकंदात रूपांतरित केले जाते: रिट्रांसमिशन प्रयत्न क्रमांक N = मध्यांतर * 1.8N-1 साठी मध्यांतरample, मध्यांतर 10 वर सेट केले असल्यास आणि 5 वर पुन्हा प्रयत्न केल्यास, शोध मध्यांतर खालीलप्रमाणे वाढते:

• प्रयत्न १: 10 * 1.81-1 = 10 सेकंद
• प्रयत्न 2: 10 * 1.82-1 = 18 सेकंद
• प्रयत्न 3: 10 * 1.83-1 = 32.4 सेकंद
• प्रयत्न 4: 10 * 1.84-1 = 58.32 सेकंद
• प्रयत्न 5: 10 * 1.85-1 = 104.976 सेकंद

vEdge(कॉन्फिग-इंटरफेस-ipsecnumber)# डेड-पीअर-डिटेक्शन इंटरव्हल पुन्हा प्रयत्न संख्या

इतर इंटरफेस गुणधर्म कॉन्फिगर करा

IPsec टनेल इंटरफेससाठी, तुम्ही फक्त खालील अतिरिक्त इंटरफेस गुणधर्म कॉन्फिगर करू शकता:

• vEdge(config-interface-ipsec)# mtu बाइट्स
• vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Cisco SD-WAN व्यवस्थापकावर कमकुवत SSH एन्क्रिप्शन अल्गोरिदम अक्षम करा

सारणी 5: वैशिष्ट्य इतिहास सारणी

वैशिष्ट्य नाव	माहिती प्रकाशन	वैशिष्ट्य वर्णन
Cisco SD-WAN व्यवस्थापकावर कमकुवत SSH एन्क्रिप्शन अल्गोरिदम अक्षम करा	Cisco vManage प्रकाशन 20.9.1	हे वैशिष्ट्य तुम्हाला Cisco SD-WAN व्यवस्थापकावर कमकुवत SSH अल्गोरिदम अक्षम करण्याची परवानगी देते जे काही डेटा सुरक्षा मानकांचे पालन करू शकत नाहीत.

Cisco SD-WAN व्यवस्थापकावर कमकुवत SSH एनक्रिप्शन अल्गोरिदम अक्षम करण्याबद्दल माहिती
Cisco SD-WAN व्यवस्थापक नेटवर्कमधील घटकांसह संप्रेषणासाठी एक SSH क्लायंट प्रदान करतो, ज्यामध्ये कंट्रोलर आणि एज डिव्हाइसेसचा समावेश आहे. विविध प्रकारच्या एन्क्रिप्शन अल्गोरिदमवर आधारित, सुरक्षित डेटा ट्रान्सफरसाठी SSH क्लायंट एनक्रिप्टेड कनेक्शन प्रदान करतो. अनेक संस्थांना SHA-1, AES-128 आणि AES-192 द्वारे प्रदान केलेल्या पेक्षा मजबूत एन्क्रिप्शन आवश्यक आहे. Cisco vManage Release 20.9.1 वरून, तुम्ही खालील कमकुवत एन्क्रिप्शन अल्गोरिदम अक्षम करू शकता जेणेकरून SSH क्लायंट हे अल्गोरिदम वापरू शकत नाही:

• SHA-1
• AES-128
• AES-192

हे एन्क्रिप्शन अल्गोरिदम अक्षम करण्यापूर्वी, नेटवर्कमध्ये Cisco vEdge डिव्हाइसेस, जर असेल तर, Cisco SD-WAN रिलीज 18.4.6 पेक्षा नंतर सॉफ्टवेअर रिलीझ वापरत आहेत याची खात्री करा.

सिस्को SD-WAN व्यवस्थापकावर कमकुवत SSH एनक्रिप्शन अल्गोरिदम अक्षम करण्याचे फायदे
कमकुवत SSH एन्क्रिप्शन अल्गोरिदम अक्षम केल्याने SSH संप्रेषणाची सुरक्षितता सुधारते आणि Cisco Catalyst SD-WAN वापरणाऱ्या संस्था कडक सुरक्षा नियमांचे पालन करत असल्याची खात्री करते.

CLI वापरून Cisco SD-WAN व्यवस्थापकावर कमकुवत SSH एन्क्रिप्शन अल्गोरिदम अक्षम करा

1. Cisco SD-WAN व्यवस्थापक मेनूमधून, Tools > SSH टर्मिनल निवडा.
2. Cisco SD-WAN व्यवस्थापक साधन निवडा ज्यावर तुम्ही कमकुवत SSH अल्गोरिदम अक्षम करू इच्छिता.
3. डिव्हाइसवर लॉग इन करण्यासाठी वापरकर्तानाव आणि संकेतशब्द प्रविष्ट करा.
4. SSH सर्व्हर मोड प्रविष्ट करा.
   • vmanage(config)# सिस्टम
   • vmanage(config-system)# ssh-server
5. SSH एन्क्रिप्शन अल्गोरिदम अक्षम करण्यासाठी खालीलपैकी एक करा:
   • SHA-1 अक्षम करा:
6. व्यवस्थापित करा(config-ssh-server)# no kex-algo sha1
7. व्यवस्थापित करा(config-ssh-server)# कमिट
   खालील चेतावणी संदेश प्रदर्शित केला आहे: खालील इशारे व्युत्पन्न केल्या गेल्या: 'system ssh-server kex-algo sha1': चेतावणी: कृपया खात्री करा की तुमची सर्व किनार कोड आवृत्ती > 18.4.6 चालते जी vManage सह SHA1 पेक्षा चांगली वाटाघाटी करते. अन्यथा त्या कडा ऑफलाइन होऊ शकतात. पुढे जायचे? [होय, नाही] होय
   • नेटवर्कमधील कोणतीही Cisco vEdge उपकरणे Cisco SD-WAN Release 18.4.6 किंवा नंतर चालवत असल्याची खात्री करा आणि होय प्रविष्ट करा.
   • AES-128 आणि AES-192 अक्षम करा:
   • vmanage(config-ssh-server)# नो सायफर aes-128-192
   • vmanage(config-ssh-server)# कमिट
     खालील चेतावणी संदेश प्रदर्शित केला आहे:
     खालील इशारे व्युत्पन्न केल्या होत्या:
     'system ssh-server cipher aes-128-192': चेतावणी: कृपया खात्री करा की तुमची सर्व किनार कोड आवृत्ती > 18.4.6 चालते जी vManage सह AES-128-192 पेक्षा चांगली वाटाघाटी करते. अन्यथा त्या कडा ऑफलाइन होऊ शकतात. पुढे जायचे? [होय, नाही] होय
   • नेटवर्कमधील कोणतीही Cisco vEdge उपकरणे Cisco SD-WAN Release 18.4.6 किंवा नंतर चालवत असल्याची खात्री करा आणि होय प्रविष्ट करा.

CLI वापरून सिस्को SD-WAN मॅनेजरवर कमकुवत SSH एनक्रिप्शन अल्गोरिदम अक्षम केले असल्याचे सत्यापित करा.

1. Cisco SD-WAN व्यवस्थापक मेनूमधून, Tools > SSH टर्मिनल निवडा.
2. आपण सत्यापित करू इच्छित असलेले Cisco SD-WAN व्यवस्थापक उपकरण निवडा.
3. डिव्हाइसवर लॉग इन करण्यासाठी वापरकर्तानाव आणि संकेतशब्द प्रविष्ट करा.
4. खालील आदेश चालवा: रनिंग-कॉन्फिग सिस्टम ssh-सर्व्हर दर्शवा
5. पुष्टी करा की आउटपुट कमकुवत एन्क्रिप्शन अल्गोरिदम अक्षम करणाऱ्या एक किंवा अधिक आज्ञा दर्शविते:
   • सायफर aes-128-192 नाही
   • kex-algo sha1 नाही

कागदपत्रे / संसाधने

CISCO SD-WAN सुरक्षा पॅरामीटर्स कॉन्फिगर करा [pdf] वापरकर्ता मार्गदर्शक SD-WAN सुरक्षा पॅरामीटर्स कॉन्फिगर करा, SD-WAN, सुरक्षा पॅरामीटर्स कॉन्फिगर करा, सुरक्षा पॅरामीटर्स

संदर्भ

• वापरकर्ता मॅन्युअल