kandungan bersembunyi
1 CISCO SD-WAN Konfigurasikan Parameter Keselamatan
2 Konfigurasikan Parameter Keselamatan
3 Konfigurasikan Parameter Keselamatan Pesawat Kawalan
4 Konfigurasikan DTLS dalam Pengurus Cisco SD-WAN
5 Konfigurasikan Parameter Keselamatan Pesawat Data
6 Konfigurasikan Jenis Pengesahan yang Dibenarkan
7 Tukar Pemasa Pengunci Semula
8 Tukar Saiz Tetingkap Anti-Main Semula
9 Konfigurasikan Laluan Statik IPsec
10 Konfigurasikan Parameter Terowong IPsec
11 Ubah suai IKE Dead-Peer Detection
12 Konfigurasikan Sifat Antara Muka Lain
13 Lumpuhkan Algoritma Penyulitan SSH Lemah pada Pengurus Cisco SD-WAN
14 Dokumen / Sumber
14.1 Rujukan

CISCO-LOGO

CISCO SD-WAN Konfigurasikan Parameter Keselamatan

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Konfigurasikan Parameter Keselamatan

Nota

Untuk mencapai pemudahan dan ketekalan, penyelesaian Cisco SD-WAN telah dijenamakan semula sebagai Cisco Catalyst SD-WAN. Selain itu, daripada Keluaran Cisco IOS XE SD-WAN 17.12.1a dan Keluaran Cisco Catalyst SD-WAN 20.12.1, perubahan komponen berikut boleh digunakan: Cisco vManage kepada Pengurus SD-WAN Cisco Catalyst, Cisco vAnalytics kepada Cisco Catalyst SD-WAN Analitis, Cisco vBond kepada Cisco Catalyst SD-WAN Validator dan Cisco vSmart to Cisco Catalyst SD-WAN Controller. Lihat Nota Keluaran terkini untuk mendapatkan senarai lengkap semua perubahan nama jenama komponen. Semasa kami beralih kepada nama baharu, beberapa ketidakkonsistenan mungkin terdapat dalam set dokumentasi kerana pendekatan berperingkat kepada kemas kini antara muka pengguna produk perisian.

Bahagian ini menerangkan cara menukar parameter keselamatan untuk satah kawalan dan satah data dalam rangkaian tindanan Cisco Catalyst SD-WAN.

  • Konfigurasikan Parameter Keselamatan Pesawat Kawalan, hidupkan
  • Konfigurasikan Parameter Keselamatan Pesawat Data, hidupkan
  • Konfigurasikan Terowong IPsec Didayakan IKE, hidupkan
  • Lumpuhkan Algoritma Penyulitan SSH Lemah pada Pengurus Cisco SD-WAN, hidupkan

Konfigurasikan Parameter Keselamatan Pesawat Kawalan

Secara lalai, pesawat kawalan menggunakan DTLS sebagai protokol yang menyediakan privasi pada semua terowongnya. DTLS berjalan di atas UDP. Anda boleh menukar protokol keselamatan pesawat kawalan kepada TLS, yang menjalankan TCP. Sebab utama untuk menggunakan TLS ialah, jika anda menganggap Cisco SD-WAN Controller sebagai pelayan, firewall melindungi pelayan TCP lebih baik daripada pelayan UDP. Anda mengkonfigurasi protokol terowong satah kawalan pada Pengawal Cisco SD-WAN: vSmart(config)# protokol kawalan keselamatan tls Dengan perubahan ini, semua terowong satah kawalan antara Pengawal Cisco SD-WAN dan penghala dan antara Pengawal Cisco SD-WAN dan Pengurus Cisco SD-WAN menggunakan TLS. Kawal terowong satah ke Cisco Catalyst SD-WAN Validator sentiasa menggunakan DTLS, kerana sambungan ini mesti dikendalikan oleh UDP. Dalam domain dengan berbilang Pengawal Cisco SD-WAN, apabila anda mengkonfigurasi TLS pada salah satu Pengawal Cisco SD-WAN, semua terowong satah kawalan daripada pengawal itu kepada pengawal lain menggunakan TLS. Dengan cara lain, TLS sentiasa diutamakan daripada DTLS. Walau bagaimanapun, dari perspektif Pengawal Cisco SD-WAN yang lain, jika anda belum mengkonfigurasi TLS pada mereka, mereka menggunakan TLS pada terowong satah kawalan hanya kepada satu Pengawal Cisco SD-WAN itu dan mereka menggunakan terowong DTLS kepada semua yang lain. Pengawal Cisco SD-WAN dan kepada semua penghala yang disambungkan. Untuk memastikan semua Pengawal Cisco SD-WAN menggunakan TLS, konfigurasikannya pada kesemuanya. Secara lalai, Pengawal Cisco SD-WAN mendengar pada port 23456 untuk permintaan TLS. Untuk menukar ini: vSmart(config)# kawalan keselamatan nombor port tls Port boleh menjadi nombor dari 1025 hingga 65535. Untuk memaparkan maklumat keselamatan pesawat kawalan, gunakan arahan sambungan tunjukkan kawalan pada Pengawal Cisco SD-WAN. Untuk example: vSmart-2# menunjukkan sambungan kawalan

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Konfigurasikan DTLS dalam Pengurus Cisco SD-WAN

Jika anda mengkonfigurasi Pengurus Cisco SD-WAN untuk menggunakan TLS sebagai protokol keselamatan pesawat kawalan, anda mesti mendayakan pemajuan port pada NAT anda. Jika anda menggunakan DTLS sebagai protokol keselamatan pesawat kawalan, anda tidak perlu melakukan apa-apa. Bilangan port yang dimajukan bergantung pada bilangan proses vdaemon yang dijalankan pada Pengurus Cisco SD-WAN. Untuk memaparkan maklumat tentang proses ini dan tentang dan bilangan port yang sedang dimajukan, gunakan perintah ringkasan kawalan tunjukkan menunjukkan bahawa empat proses daemon sedang berjalan:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Untuk melihat port pendengaran, gunakan perintah show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Output ini menunjukkan bahawa port TCP mendengar ialah 23456. Jika anda menjalankan Pengurus Cisco SD-WAN di belakang NAT, anda harus membuka port berikut pada peranti NAT:

  • 23456 (asas – contoh 0 port)
  • 23456 + 100 (asas + 100)
  • 23456 + 200 (asas + 200)
  • 23456 + 300 (asas + 300)

Ambil perhatian bahawa bilangan kejadian adalah sama dengan bilangan teras yang telah anda tetapkan untuk Pengurus Cisco SD-WAN, sehingga maksimum 8.

Konfigurasikan Parameter Keselamatan Menggunakan Templat Ciri Keselamatan

Gunakan templat ciri Keselamatan untuk semua peranti Cisco vEdge. Pada penghala tepi dan pada Pengesah Cisco SD-WAN, gunakan templat ini untuk mengkonfigurasi IPsec untuk keselamatan pesawat data. Pada Pengurus Cisco SD-WAN dan Pengawal Cisco SD-WAN, gunakan templat ciri Keselamatan untuk mengkonfigurasi DTLS atau TLS untuk mengawal keselamatan pesawat.

Konfigurasikan Parameter Keselamatan

  1. Daripada menu Pengurus Cisco SD-WAN, pilih Konfigurasi > Templat.
  2. Klik Templat Ciri dan kemudian klik Tambah Templat.
    Nota Dalam Cisco vManage Release 20.7.1 dan keluaran terdahulu, Templat Ciri dipanggil Ciri.
  3. Daripada senarai Peranti dalam anak tetingkap kiri, pilih peranti. Templat yang digunakan untuk peranti yang dipilih muncul dalam anak tetingkap kanan.
  4. Klik Keselamatan untuk membuka templat.
  5. Dalam medan Nama Templat, masukkan nama untuk templat. Nama boleh sehingga 128 aksara dan hanya boleh mengandungi aksara abjad angka.
  6. Dalam medan Perihalan Templat, masukkan perihalan templat. Perihalan boleh sehingga 2048 aksara dan hanya boleh mengandungi aksara abjad angka.

Apabila anda mula-mula membuka templat ciri, untuk setiap parameter yang mempunyai nilai lalai, skop ditetapkan kepada Lalai (ditunjukkan dengan tanda semak) dan tetapan atau nilai lalai ditunjukkan. Untuk menukar lalai atau memasukkan nilai, klik menu lungsur turun skop di sebelah kiri medan parameter dan pilih salah satu daripada yang berikut:

Jadual 1:

Parameter Skop Penerangan Skop
Khusus Peranti (ditunjukkan oleh ikon hos) Gunakan nilai khusus peranti untuk parameter. Untuk parameter khusus peranti, anda tidak boleh memasukkan nilai dalam templat ciri. Anda memasukkan nilai apabila anda melampirkan peranti Viptela pada templat peranti.

Apabila anda mengklik Khusus Peranti, kotak Enter Key terbuka. Kotak ini memaparkan kunci, iaitu rentetan unik yang mengenal pasti parameter dalam CSV file yang anda cipta. ini file ialah hamparan Excel yang mengandungi satu lajur untuk setiap kunci. Baris pengepala mengandungi nama kunci (satu kunci setiap lajur), dan setiap baris selepas itu sepadan dengan peranti dan mentakrifkan nilai kunci untuk peranti itu. Anda memuat naik CSV file apabila anda melampirkan peranti Viptela pada templat peranti. Untuk maklumat lanjut, lihat Cipta Hamparan Pembolehubah Templat.

Untuk menukar kekunci lalai, taip rentetan baharu dan alihkan kursor keluar daripada kotak Enter Key.

ExampParameter khusus peranti adalah alamat IP sistem, nama hos, lokasi GPS dan ID tapak.
Parameter Skop Penerangan Skop
Global (ditunjukkan oleh ikon glob) Masukkan nilai untuk parameter dan gunakan nilai itu pada semua peranti.

Exampbeberapa parameter yang mungkin anda gunakan secara global pada sekumpulan peranti ialah pelayan DNS, pelayan syslog dan MTU antara muka.

Konfigurasikan Keselamatan Pesawat Kawalan

Nota
Bahagian Konfigurasi Keselamatan Pesawat Kawalan terpakai kepada Pengurus Cisco SD-WAN dan Pengawal Cisco SD-WAN sahaja. Untuk mengkonfigurasi protokol sambungan pesawat kawalan pada contoh Pengurus Cisco SD-WAN atau Pengawal Cisco SD-WAN, pilih kawasan Konfigurasi Asas dan konfigurasikan parameter berikut:

Jadual 2:

Parameter Nama Penerangan
Protokol Pilih protokol untuk digunakan pada sambungan satah kawalan ke Pengawal Cisco SD-WAN:

• DTLS (DatagKeselamatan Lapisan Pengangkutan ram). Ini adalah lalai.

•  TLS (Keselamatan Lapisan Pengangkutan)
Kawal Pelabuhan TLS Jika anda memilih TLS, konfigurasikan nombor port untuk digunakan:Julat: 1025 hingga 65535Lalai: 23456

Klik Simpan

Konfigurasikan Keselamatan Pesawat Data
Untuk mengkonfigurasi keselamatan pesawat data pada Pengesah Cisco SD-WAN atau penghala Cisco vEdge, pilih tab Jenis Konfigurasi dan Pengesahan Asas, dan konfigurasikan parameter berikut:

Jadual 3:

Parameter Nama Penerangan
Masa Rekey Nyatakan kekerapan penghala Cisco vEdge menukar kunci AES yang digunakan pada sambungan DTLS selamatnya kepada Pengawal Cisco SD-WAN. Jika mula semula anggun OMP didayakan, masa penguncian semula mestilah sekurang-kurangnya dua kali ganda nilai pemasa mula semula anggun OMP.Julat: 10 hingga 1209600 saat (14 hari)Lalai: 86400 saat (24 jam)
Tetingkap Main Semula Tentukan saiz tetingkap main semula gelongsor.

Nilai: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketLalai: 512 peket
IPsec

kekunci berpasangan

 Ini dimatikan secara lalai. klik On untuk menghidupkannya.
Parameter Nama Penerangan
Jenis Pengesahan Pilih jenis pengesahan daripada Pengesahan Senaraikan, dan klik anak panah yang menunjuk ke kanan untuk mengalihkan jenis pengesahan ke Senarai Terpilih lajur.

Jenis pengesahan yang disokong daripada Cisco SD-WAN Release 20.6.1:

•  esp: Mendayakan penyulitan Encapsulating Security Payload (ESP) dan semakan integriti pada pengepala ESP.

•  ip-udp-esp: Mendayakan penyulitan ESP. Selain semakan integriti pada pengepala dan muatan ESP, semakan juga termasuk pengepala IP luar dan UDP.

•  ip-udp-esp-no-id: Abaikan medan ID dalam pengepala IP supaya Cisco Catalyst SD-WAN boleh berfungsi bersama-sama dengan peranti bukan Cisco.

•  tiada: Mematikan pemeriksaan integriti pada paket IPSec. Kami tidak mengesyorkan menggunakan pilihan ini.

 

Jenis pengesahan yang disokong dalam Cisco SD-WAN Release 20.5.1 dan lebih awal:

•  ah-tiada-id: Dayakan versi dipertingkatkan AH-SHA1 HMAC dan ESP HMAC-SHA1 yang mengabaikan medan ID dalam pengepala IP luar paket.

•  ah-sha1-hmac: Dayakan AH-SHA1 HMAC dan ESP HMAC-SHA1.

•  tiada: Pilih tiada pengesahan.

•  sha1-hmac: Dayakan ESP HMAC-SHA1.

 

Nota              Untuk peranti tepi yang dijalankan pada Cisco SD-WAN Release 20.5.1 atau lebih awal, anda mungkin telah mengkonfigurasi jenis pengesahan menggunakan Keselamatan templat. Apabila anda menaik taraf peranti kepada Cisco SD-WAN Release 20.6.1 atau lebih baru, kemas kini jenis pengesahan yang dipilih dalam Keselamatan templat kepada jenis pengesahan yang disokong daripada Cisco SD-WAN Release 20.6.1. Untuk mengemas kini jenis pengesahan, lakukan perkara berikut:

1.      Daripada menu Pengurus Cisco SD-WAN, pilih Konfigurasi >

templat.

2.      klik Templat Ciri.

3.      Cari Keselamatan templat untuk mengemas kini dan klik … dan klik Sunting.

4.      klik Kemas kini. Jangan ubah suai sebarang konfigurasi.

Pengurus Cisco SD-WAN mengemas kini Keselamatan templat untuk memaparkan jenis pengesahan yang disokong.

Klik Simpan.

Konfigurasikan Parameter Keselamatan Pesawat Data

Dalam satah data, IPsec didayakan secara lalai pada semua penghala dan secara lalai sambungan terowong IPsec menggunakan versi dipertingkatkan protokol Encapsulating Security Payload (ESP) untuk pengesahan pada terowong IPsec. Pada penghala, anda boleh menukar jenis pengesahan, pemasa penguncian semula IPsec dan saiz tetingkap anti-main semula IPsec.

Konfigurasikan Jenis Pengesahan yang Dibenarkan

Jenis Pengesahan dalam Keluaran Cisco SD-WAN 20.6.1 dan Kemudian
Daripada Cisco SD-WAN Release 20.6.1, jenis integriti berikut disokong:

  • esp: Pilihan ini mendayakan penyulitan Encapsulating Security Payload (ESP) dan semakan integriti pada pengepala ESP.
  • ip-udp-esp: Pilihan ini membolehkan penyulitan ESP. Selain semakan integriti pada pengepala ESP dan muatan, semakan juga termasuk pengepala IP luar dan UDP.
  • ip-udp-esp-no-id: Pilihan ini serupa dengan ip-udp-esp, walau bagaimanapun, medan ID pengepala IP luar diabaikan. Konfigurasikan pilihan ini dalam senarai jenis integriti supaya perisian Cisco Catalyst SD-WAN mengabaikan medan ID dalam pengepala IP supaya Cisco Catalyst SD-WAN boleh berfungsi bersama-sama dengan peranti bukan Cisco.
  • tiada: Pilihan ini mematikan pemeriksaan integriti pada paket IPSec. Kami tidak mengesyorkan menggunakan pilihan ini.

Secara lalai, sambungan terowong IPsec menggunakan versi dipertingkatkan protokol Encapsulating Security Payload (ESP) untuk pengesahan. Untuk mengubah suai jenis interiti yang dirundingkan atau untuk melumpuhkan semakan integriti, gunakan arahan berikut: jenis integriti { tiada | ip-udp-esp | ip-udp-esp-no-id | esp }

Jenis Pengesahan Sebelum Keluaran Cisco SD-WAN 20.6.1
Secara lalai, sambungan terowong IPsec menggunakan versi dipertingkatkan protokol Encapsulating Security Payload (ESP) untuk pengesahan. Untuk mengubah suai jenis pengesahan yang dirundingkan atau untuk melumpuhkan pengesahan, gunakan arahan berikut: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Secara lalai, IPsec sambungan terowong menggunakan AES-GCM-256, yang menyediakan kedua-dua penyulitan dan pengesahan. Konfigurasikan setiap jenis pengesahan dengan perintah jenis pengesahan ipsec keselamatan yang berasingan. Pilihan arahan memetakan kepada jenis pengesahan berikut, yang disenaraikan mengikut urutan daripada yang paling kuat kepada yang paling tidak kuat:

Nota
Sha1 dalam pilihan konfigurasi digunakan atas sebab sejarah. Pilihan pengesahan menunjukkan berapa banyak pemeriksaan integriti paket dilakukan. Mereka tidak menyatakan algoritma yang menyemak integriti. Kecuali untuk penyulitan trafik multicast, algoritma pengesahan yang disokong oleh Cisco Catalyst SD WAN tidak menggunakan SHA1. Walau bagaimanapun dalam Cisco SD-WAN Release 20.1.x dan seterusnya, kedua-dua unicast dan multicast tidak menggunakan SHA1.

  • ah-sha1-hmac membolehkan penyulitan dan enkapsulasi menggunakan ESP. Walau bagaimanapun, sebagai tambahan kepada semakan integriti pada pengepala dan muatan ESP, semakan juga termasuk pengepala IP luar dan UDP. Oleh itu, pilihan ini menyokong semakan integriti paket yang serupa dengan protokol Pengepala Pengesahan (AH). Semua integriti dan penyulitan dilakukan menggunakan AES-256-GCM.
  • ah-no-id mendayakan mod yang serupa dengan ah-sha1-hmac, walau bagaimanapun, medan ID pengepala IP luar diabaikan. Pilihan ini memuatkan beberapa peranti SD-WAN bukan Cisco Catalyst, termasuk Apple AirPort Express NAT, yang mempunyai pepijat yang menyebabkan medan ID dalam pengepala IP, medan tidak boleh ubah, diubah suai. Konfigurasikan pilihan ah-no-id dalam senarai jenis pengesahan agar perisian Cisco Catalyst SD-WAN AH mengabaikan medan ID dalam pengepala IP supaya perisian Cisco Catalyst SD-WAN boleh berfungsi bersama peranti ini.
  • sha1-hmac membolehkan penyulitan ESP dan semakan integriti.
  • tiada peta kepada tiada pengesahan. Pilihan ini hanya boleh digunakan jika ia diperlukan untuk penyahpepijatan sementara. Anda juga boleh memilih pilihan ini dalam situasi di mana pengesahan dan integriti satah data tidak menjadi kebimbangan. Cisco tidak mengesyorkan menggunakan pilihan ini untuk rangkaian pengeluaran.

Untuk mendapatkan maklumat tentang medan paket data yang dipengaruhi oleh jenis pengesahan ini, lihat Integriti Pesawat Data. Peranti SD-WAN Cisco IOS XE Catalyst dan peranti Cisco vEdge mengiklankan jenis pengesahan yang dikonfigurasikan dalam sifat TLOC mereka. Kedua-dua penghala di kedua-dua belah sambungan terowong IPsec merundingkan pengesahan untuk digunakan pada sambungan antara mereka, menggunakan jenis pengesahan terkuat yang dikonfigurasikan pada kedua-dua penghala. Untuk exampOleh itu, jika satu penghala mengiklankan jenis ah-sha1-hmac dan ah-no-id, dan penghala kedua mengiklankan jenis ah-no-id, kedua-dua penghala berunding untuk menggunakan ah-no-id pada sambungan terowong IPsec antara mereka. Jika tiada jenis pengesahan biasa dikonfigurasikan pada kedua-dua rakan setara, tiada terowong IPsec diwujudkan di antara mereka. Algoritma penyulitan pada sambungan terowong IPsec bergantung pada jenis trafik:

  • Untuk trafik unicast, algoritma penyulitan ialah AES-256-GCM.
  • Untuk trafik multicast:
  • Cisco SD-WAN Release 20.1.x dan lebih baru– algoritma penyulitan ialah AES-256-GCM
  • Keluaran sebelumnya– algoritma penyulitan ialah AES-256-CBC dengan SHA1-HMAC.

Apabila jenis pengesahan IPsec ditukar, kunci AES untuk laluan data ditukar.

Tukar Pemasa Pengunci Semula

Sebelum peranti Cisco IOS XE Catalyst SD-WAN dan peranti Cisco vEdge boleh bertukar-tukar trafik data, mereka menyediakan saluran komunikasi yang disahkan selamat di antara mereka. Penghala menggunakan terowong IPSec di antara mereka sebagai saluran, dan sifir AES-256 untuk melakukan penyulitan. Setiap penghala menjana kunci AES baharu untuk laluan datanya secara berkala. Secara lalai, kunci sah selama 86400 saat (24 jam) dan julat pemasa ialah 10 saat hingga 1209600 saat (14 hari). Untuk menukar nilai pemasa rekey: Device(config)# security ipsec rekey seconds Konfigurasi kelihatan seperti ini:

  • keselamatan ipsec rekey saat !

Jika anda ingin menjana kunci IPsec baharu dengan segera, anda boleh melakukannya tanpa mengubah suai konfigurasi penghala. Untuk melakukan ini, keluarkan perintah ipsecrekey keselamatan permintaan pada penghala yang terjejas. Untuk example, output berikut menunjukkan bahawa SA tempatan mempunyai Indeks Parameter Keselamatan (SPI) sebanyak 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Kunci unik dikaitkan dengan setiap SPI. Jika kunci ini terjejas, gunakan perintah permintaan keselamatan ipsec-rekey untuk menjana kunci baharu dengan segera. Perintah ini menambah SPI. Dalam bekas kitaampOleh itu, SPI berubah kepada 257 dan kunci yang dikaitkan dengannya kini digunakan:

  • Peranti# meminta keselamatan ipsecrekey
  • Peranti# tunjukkan ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Selepas kunci baharu dijana, penghala menghantarnya serta-merta kepada Pengawal Cisco SD-WAN menggunakan DTLS atau TLS. Pengawal Cisco SD-WAN menghantar kunci kepada penghala rakan sebaya. Penghala mula menggunakannya sebaik sahaja mereka menerimanya. Ambil perhatian bahawa kunci yang dikaitkan dengan SPI lama (256) akan terus digunakan untuk masa yang singkat sehingga tamat tempoh. Untuk berhenti menggunakan kekunci lama serta-merta, keluarkan perintah ipsec-rekey permintaan keselamatan dua kali, berturut-turut. Urutan arahan ini mengalih keluar kedua-dua SPI 256 dan 257 dan menetapkan SPI kepada 258. Penghala kemudian menggunakan kunci berkaitan SPI 258. Walau bagaimanapun, ambil perhatian bahawa sesetengah paket akan digugurkan untuk tempoh yang singkat sehingga semua penghala jauh belajar kunci baru.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Tukar Saiz Tetingkap Anti-Main Semula

Pengesahan IPsec menyediakan perlindungan anti-main semula dengan memberikan nombor urutan unik kepada setiap paket dalam aliran data. Penomboran jujukan ini melindungi daripada penyerang yang menduplikasi paket data. Dengan perlindungan anti-main semula, pengirim menetapkan nombor jujukan yang meningkat secara monoton, dan destinasi menyemak nombor jujukan ini untuk mengesan pendua. Oleh kerana paket selalunya tidak sampai mengikut urutan, destinasi mengekalkan tetingkap gelongsor nombor jujukan yang akan diterima.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Paket dengan nombor jujukan yang terletak di sebelah kiri julat tetingkap gelongsor dianggap lama atau pendua, dan destinasi menjatuhkannya. Destinasi menjejaki nombor jujukan tertinggi yang telah diterima dan melaraskan tetingkap gelongsor apabila ia menerima paket dengan nilai yang lebih tinggi.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Secara lalai, tetingkap gelongsor ditetapkan kepada 512 paket. Ia boleh ditetapkan kepada sebarang nilai antara 64 dan 4096 iaitu kuasa 2 (iaitu, 64, 128, 256, 512, 1024, 2048 atau 4096). Untuk mengubah suai saiz tetingkap anti-main semula, gunakan arahan tetingkap ulang-ulang, menyatakan saiz tetingkap:

Peranti(config)# nombor tetingkap ulang tayang ipsec keselamatan

Konfigurasi kelihatan seperti ini:
nombor tetingkap ulang tayang ipsec keselamatan ! !

Untuk membantu dengan QoS, tetingkap ulang tayang berasingan dikekalkan untuk setiap lapan saluran trafik pertama. Saiz tetingkap ulang tayang yang dikonfigurasikan dibahagikan dengan lapan untuk setiap saluran. Jika QoS dikonfigurasikan pada penghala, penghala itu mungkin mengalami bilangan penurunan paket yang lebih besar daripada jangkaan akibat mekanisme anti-main semula IPsec, dan kebanyakan paket yang digugurkan adalah yang sah. Ini berlaku kerana QoS menyusun semula paket, memberikan paket keutamaan lebih tinggi layanan keutamaan dan menangguhkan paket keutamaan lebih rendah. Untuk meminimumkan atau mencegah keadaan ini, anda boleh melakukan perkara berikut:

  • Tingkatkan saiz tetingkap anti-main semula.
  • Jurutera trafik ke lapan saluran trafik pertama untuk memastikan trafik dalam saluran tidak disusun semula.

Konfigurasikan Terowong IPsec Didayakan IKE
Untuk memindahkan trafik dengan selamat dari rangkaian tindanan kepada rangkaian perkhidmatan, anda boleh mengkonfigurasi terowong IPsec yang menjalankan protokol Internet Key Exchange (IKE). Terowong IPsec yang didayakan IKE menyediakan pengesahan dan penyulitan untuk memastikan pengangkutan paket selamat. Anda mencipta terowong IPsec yang didayakan IKE dengan mengkonfigurasi antara muka IPsec. Antara muka IPsec ialah antara muka logik, dan anda mengkonfigurasinya sama seperti antara muka fizikal yang lain. Anda mengkonfigurasi parameter protokol IKE pada antara muka IPsec, dan anda boleh mengkonfigurasi sifat antara muka yang lain.

Nota Cisco mengesyorkan menggunakan IKE Versi 2. Dari keluaran Cisco SD-WAN 19.2.x dan seterusnya, kunci prakongsi perlu sekurang-kurangnya 16 bait panjangnya. Penubuhan terowong IPsec gagal jika saiz kunci kurang daripada 16 aksara apabila penghala dinaik taraf kepada versi 19.2.

Nota
Perisian Cisco Catalyst SD-WAN menyokong IKE Versi 2 seperti yang ditakrifkan dalam RFC 7296. Satu kegunaan untuk terowong IPsec adalah untuk membenarkan kejadian VM penghala vEdge Cloud yang dijalankan pada Amazon AWS untuk menyambung ke awan peribadi maya (VPC) Amazon. Anda mesti mengkonfigurasi IKE Versi 1 pada penghala ini. Peranti Cisco vEdge hanya menyokong VPN berasaskan laluan dalam konfigurasi IPSec kerana peranti ini tidak boleh menentukan pemilih trafik dalam domain penyulitan.

Konfigurasikan Terowong IPsec
Untuk mengkonfigurasi antara muka terowong IPsec untuk trafik pengangkutan selamat daripada rangkaian perkhidmatan, anda membuat antara muka IPsec logik:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Anda boleh mencipta terowong IPsec dalam VPN pengangkutan (VPN 0) dan dalam mana-mana VPN perkhidmatan (VPN 1 hingga 65530, kecuali untuk 512). Antara muka IPsec mempunyai nama dalam format ipsecnumber, di mana nombor boleh dari 1 hingga 255. Setiap antara muka IPsec mesti mempunyai alamat IPv4. Alamat ini mestilah awalan /30. Semua trafik dalam VPN yang berada dalam awalan IPv4 ini diarahkan ke antara muka fizikal dalam VPN 0 untuk dihantar dengan selamat melalui terowong IPsec. Untuk mengkonfigurasi sumber terowong IPsec pada peranti tempatan, anda boleh menentukan sama ada alamat IP bagi antara muka fizikal (dalam arahan sumber terowong) atau nama antara muka fizikal (dalam arahan antara muka sumber terowong). Pastikan antara muka fizikal dikonfigurasikan dalam VPN 0. Untuk mengkonfigurasi destinasi terowong IPsec, nyatakan alamat IP peranti jauh dalam arahan destinasi terowong. Gabungan alamat sumber (atau nama antara muka sumber) dan alamat destinasi mentakrifkan terowong IPsec tunggal. Hanya satu terowong IPsec boleh wujud yang menggunakan alamat sumber tertentu (atau nama antara muka) dan pasangan alamat destinasi.

Konfigurasikan Laluan Statik IPsec

Untuk mengarahkan trafik daripada VPN perkhidmatan ke terowong IPsec dalam VPN pengangkutan (VPN 0), anda mengkonfigurasi laluan statik khusus IPsec dalam VPN perkhidmatan (VPN selain VPN 0 atau VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route awalan/panjang vpn 0 antara muka
  • ipsecnumber [ipecnumber2]

ID VPN ialah mana-mana VPN perkhidmatan (VPN 1 hingga 65530, kecuali untuk 512). awalan/panjang ialah alamat IP atau awalan, dalam tatatanda empat bahagian titik perpuluhan dan panjang awalan laluan statik khusus IPsec. Antara muka ialah antara muka terowong IPsec dalam VPN 0. Anda boleh mengkonfigurasi satu atau dua antara muka terowong IPsec. Jika anda mengkonfigurasi dua, yang pertama ialah terowong IPsec utama, dan yang kedua ialah sandaran. Dengan dua antara muka, semua paket dihantar hanya ke terowong utama. Jika terowong itu gagal, semua paket kemudiannya dihantar ke terowong sekunder. Jika terowong utama muncul semula, semua trafik dialihkan kembali ke terowong IPsec utama.

Dayakan IKE Versi 1
Apabila anda mencipta terowong IPsec pada penghala vEdge, IKE Versi 1 didayakan secara lalai pada antara muka terowong. Sifat berikut juga didayakan secara lalai untuk IKEv1:

  • Pengesahan dan penyulitan—Penyulitan CBC standard penyulitan lanjutan AES-256 dengan algoritma kod pengesahan mesej cincang berkunci HMAC-SHA1 untuk integriti
  • Nombor kumpulan Diffie-Hellman—16
  • Selang masa mengunci semula—4 jam
  • Mod penubuhan SA—Utama

Secara lalai, IKEv1 menggunakan mod utama IKE untuk mewujudkan IKE SA. Dalam mod ini, enam paket rundingan ditukar untuk menubuhkan SA. Untuk menukar hanya tiga paket rundingan, dayakan mod agresif:

Nota
Mod agresif IKE dengan kunci prakongsi harus dielakkan di mana mungkin. Jika tidak, kunci prakongsi yang kukuh harus dipilih.

  • vEdge(config)# vpn vpn-id antara muka nombor ipsec ike
  • vEdge(config-ike)# mod agresif

Secara lalai, IKEv1 menggunakan kumpulan Diffie-Hellman 16 dalam pertukaran kunci IKE. Kumpulan ini menggunakan kumpulan eksponen modular (MODP) 4096-bit lebih semasa pertukaran kunci IKE. Anda boleh menukar nombor kumpulan kepada 2 (untuk MODP 1024-bit), 14 (MOP 2048-bit) atau 15 (MOP 3072-bit):

  • vEdge(config)# vpn vpn-id antara muka nombor ipsec ike
  • vEdge(config-ike)# nombor kumpulan

Secara lalai, pertukaran kunci IKE menggunakan penyulitan CBC standard penyulitan lanjutan AES-256 dengan algoritma kod pengesahan mesej cincang berkunci HMAC-SHA1 untuk integriti. Anda boleh menukar pengesahan:

  • vEdge(config)# vpn vpn-id antara muka nombor ipsec ike
  • vEdge(config-ike)# suite sifir-suite

Suite pengesahan boleh menjadi salah satu daripada yang berikut:

  • aes128-cbc-sha1—Penyulitan lanjutan AES-128 standard penyulitan CBC dengan algoritma kod pengesahan mesej berkunci-cincang HMAC-SHA1 untuk integriti
  • aes128-cbc-sha2—Penyulitan lanjutan AES-128 standard penyulitan CBC dengan algoritma kod pengesahan mesej berkunci-cincang HMAC-SHA256 untuk integriti
  • aes256-cbc-sha1—AES-256 penyulitan lanjutan standard penyulitan CBC dengan algoritma kod pengesahan mesej berkunci-cincang HMAC-SHA1 untuk integriti; ini adalah lalai.
  • aes256-cbc-sha2—Penyulitan lanjutan AES-256 standard penyulitan CBC dengan algoritma kod pengesahan mesej berkunci-cincang HMAC-SHA256 untuk integriti

Secara lalai, kekunci IKE dimuat semula setiap 1 jam (3600 saat). Anda boleh menukar selang penguncian semula kepada nilai dari 30 saat hingga 14 hari (1209600 saat). Adalah disyorkan bahawa selang penguncian semula sekurang-kurangnya 1 jam.

  • vEdge(config)# vpn vpn-id antara muka nombor ipsec seperti
  • vEdge(config-ike)# rekey saat

Untuk memaksa penjanaan kunci baharu bagi sesi IKE, keluarkan perintah permintaan ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id antaramuka nombor ipsek

Untuk IKE, anda juga boleh mengkonfigurasi pengesahan kunci prakongsi (PSK):

  • vEdge(config)# vpn vpn-id antara muka nombor ipsec ike
  • vEdge(config-ike)# kata laluan pra-kongsi-kunci jenis pengesahan pra-kongsi-rahsia ialah kata laluan untuk digunakan dengan kunci prakongsi. Ia boleh menjadi ASCII atau rentetan heksadesimal dari 1 hingga 127 aksara panjang.

Jika rakan IKE jauh memerlukan ID setempat atau jauh, anda boleh mengkonfigurasi pengecam ini:

  • vEdge(config)# vpn vpn-id antara muka nombor ipsec seperti jenis pengesahan
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Pengecam boleh berupa alamat IP atau sebarang rentetan teks daripada 1 hingga 63 aksara panjang. Secara lalai, ID tempatan ialah alamat IP sumber terowong dan ID jauh ialah alamat IP destinasi terowong.

Dayakan IKE Versi 2
Apabila anda mengkonfigurasi terowong IPsec untuk menggunakan IKE Versi 2, sifat berikut juga didayakan secara lalai untuk IKEv2:

  • Pengesahan dan penyulitan—Penyulitan CBC standard penyulitan lanjutan AES-256 dengan algoritma kod pengesahan mesej cincang berkunci HMAC-SHA1 untuk integriti
  • Nombor kumpulan Diffie-Hellman—16
  • Selang masa mengunci semula—4 jam

Secara lalai, IKEv2 menggunakan kumpulan Diffie-Hellman 16 dalam pertukaran kunci IKE. Kumpulan ini menggunakan kumpulan eksponen modular (MODP) 4096-bit lebih semasa pertukaran kunci IKE. Anda boleh menukar nombor kumpulan kepada 2 (untuk MODP 1024-bit), 14 (MOP 2048-bit) atau 15 (MOP 3072-bit):

  • vEdge(config)# vpn vpn-id antara muka ipsecnumber ike
  • vEdge(config-ike)# nombor kumpulan

Secara lalai, pertukaran kunci IKE menggunakan penyulitan CBC standard penyulitan lanjutan AES-256 dengan algoritma kod pengesahan mesej cincang berkunci HMAC-SHA1 untuk integriti. Anda boleh menukar pengesahan:

  • vEdge(config)# vpn vpn-id antara muka ipsecnumber ike
  • vEdge(config-ike)# suite sifir-suite

Suite pengesahan boleh menjadi salah satu daripada yang berikut:

  • aes128-cbc-sha1—Penyulitan lanjutan AES-128 standard penyulitan CBC dengan algoritma kod pengesahan mesej berkunci-cincang HMAC-SHA1 untuk integriti
  • aes128-cbc-sha2—Penyulitan lanjutan AES-128 standard penyulitan CBC dengan algoritma kod pengesahan mesej berkunci-cincang HMAC-SHA256 untuk integriti
  • aes256-cbc-sha1—AES-256 penyulitan lanjutan standard penyulitan CBC dengan algoritma kod pengesahan mesej berkunci-cincang HMAC-SHA1 untuk integriti; ini adalah lalai.
  • aes256-cbc-sha2—Penyulitan lanjutan AES-256 standard penyulitan CBC dengan algoritma kod pengesahan mesej berkunci-cincang HMAC-SHA256 untuk integriti

Secara lalai, kekunci IKE dimuat semula setiap 4 jam (14,400 saat). Anda boleh menukar selang penguncian semula kepada nilai dari 30 saat hingga 14 hari (1209600 saat):

  • vEdge(config)# vpn vpn-id antara muka ipsecnumber ike
  • vEdge(config-ike)# rekey saat

Untuk memaksa penjanaan kunci baharu bagi sesi IKE, keluarkan perintah permintaan ipsec ike-rekey. Untuk IKE, anda juga boleh mengkonfigurasi pengesahan kunci prakongsi (PSK):

  • vEdge(config)# vpn vpn-id antara muka ipsecnumber ike
  • vEdge(config-ike)# kata laluan pra-kongsi-kunci jenis pengesahan pra-kongsi-rahsia ialah kata laluan untuk digunakan dengan kunci prakongsi. Ia boleh menjadi ASCII atau rentetan heksadesimal, atau ia boleh menjadi kunci disulitkan AES. Jika rakan IKE jauh memerlukan ID setempat atau jauh, anda boleh mengkonfigurasi pengecam ini:
  • vEdge(config)# vpn vpn-id antara muka ipsecnumber seperti jenis pengesahan
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Pengecam boleh berupa alamat IP atau sebarang rentetan teks daripada 1 hingga 64 aksara panjang. Secara lalai, ID tempatan ialah alamat IP sumber terowong dan ID jauh ialah alamat IP destinasi terowong.

Konfigurasikan Parameter Terowong IPsec

Jadual 4: Sejarah Ciri

Ciri Nama Maklumat Keluaran Penerangan
Kriptografi Tambahan Cisco SD-WAN Keluaran 20.1.1 Ciri ini menambah sokongan untuk
Sokongan Algoritma untuk IPSec   HMAC_SHA256, HMAC_SHA384 dan
Terowong   Algoritma HMAC_SHA512 untuk
    keselamatan yang dipertingkatkan.

Secara lalai, parameter berikut digunakan pada terowong IPsec yang membawa trafik IKE:

  • Pengesahan dan penyulitan—Algoritma AES-256 dalam GCM (mod Galois/kaunter)
  • Selang penguncian semula—4 jam
  • Tetingkap main semula—32 paket

Anda boleh menukar penyulitan pada terowong IPsec kepada sifir AES-256 dalam CBC (mod rantaian blok sifir, dengan HMAC menggunakan sama ada pengesahan mesej cincang berkunci SHA-1 atau SHA-2 atau menjadi batal dengan HMAC menggunakan sama ada SHA-1 atau Pengesahan mesej berkunci-cincang SHA-2, untuk tidak menyulitkan terowong IPsec yang digunakan untuk trafik pertukaran kunci IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null | aes256-null-sha256 | aes384-null-sha256)

Secara lalai, kekunci IKE dimuat semula setiap 4 jam (14,400 saat). Anda boleh menukar selang penguncian semula kepada nilai dari 30 saat hingga 14 hari (1209600 saat):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey saat

Untuk memaksa penjanaan kunci baharu bagi terowong IPsec, keluarkan perintah permintaan ipsec ipsec-rekey. Secara lalai, kerahsiaan hadapan sempurna (PFS) didayakan pada terowong IPsec, untuk memastikan sesi lepas tidak terjejas jika kunci masa hadapan terjejas. PFS memaksa pertukaran kunci Diffie-Hellman baharu, secara lalai menggunakan kumpulan modul utama Diffie-Hellman 4096-bit. Anda boleh menukar tetapan PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# tetapan pfs-kerahsiaan-kerahsiaan-sempurna

pfs-setting boleh menjadi salah satu daripada yang berikut:

  • kumpulan-2—Gunakan kumpulan modulus perdana Diffie-Hellman 1024-bit.
  • kumpulan-14—Gunakan kumpulan modulus perdana Diffie-Hellman 2048-bit.
  • kumpulan-15—Gunakan kumpulan modulus perdana Diffie-Hellman 3072-bit.
  • kumpulan-16—Gunakan kumpulan modulus perdana Diffie-Hellman 4096-bit. Ini adalah lalai.
  • tiada—Lumpuhkan PFS.

Secara lalai, tetingkap main semula IPsec pada terowong IPsec ialah 512 bait. Anda boleh menetapkan saiz tetingkap ulang tayang kepada 64, 128, 256, 512, 1024, 2048 atau 4096 paket:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# nombor tetingkap ulang tayang

Ubah suai IKE Dead-Peer Detection

IKE menggunakan mekanisme pengesanan rakan sebaya mati untuk menentukan sama ada sambungan kepada rakan sebaya IKE berfungsi dan boleh dicapai. Untuk melaksanakan mekanisme ini, IKE menghantar paket Hello kepada rakan sebayanya, dan rakan sebaya menghantar pengakuan sebagai tindak balas. Secara lalai, IKE menghantar paket Hello setiap 10 saat, dan selepas tiga paket yang tidak diketahui, IKE mengisytiharkan jiran itu mati dan meruntuhkan terowong kepada rakan sebaya. Selepas itu, IKE secara berkala menghantar paket Hello kepada rakan sebaya, dan mewujudkan semula terowong apabila rakan sebaya kembali dalam talian. Anda boleh menukar selang pengesanan keaktifan kepada nilai dari 0 hingga 65535 dan anda boleh menukar bilangan percubaan semula kepada nilai dari 0 hingga 255.

Nota

Untuk VPN pengangkutan, selang pengesanan keaktifan ditukar kepada saat dengan menggunakan formula berikut: Selang untuk percubaan penghantaran semula nombor N = selang * 1.8N-1Untuk example, jika selang ditetapkan kepada 10 dan cuba semula kepada 5, selang pengesanan meningkat seperti berikut:

  • Percubaan 1: 10 * 1.81-1= 10 saat
  • Percubaan 2: 10 * 1.82-1= 18 saat
  • Percubaan 3: 10 * 1.83-1= 32.4 saat
  • Percubaan 4: 10 * 1.84-1= 58.32 saat
  • Percubaan 5: 10 * 1.85-1= 104.976 saat

vEdge(config-interface-ipsecnumber)# nombor percubaan semula selang pengesanan-peer-mati

Konfigurasikan Sifat Antara Muka Lain

Untuk antara muka terowong IPsec, anda hanya boleh mengkonfigurasi sifat antara muka tambahan berikut:

  • vEdge(config-interface-ipsec)# mtu bait
  • vEdge(config-interface-ipsec)# tcp-mss-adjust byte

Lumpuhkan Algoritma Penyulitan SSH Lemah pada Pengurus Cisco SD-WAN

Jadual 5: Jadual Sejarah Ciri

Ciri Nama Maklumat Keluaran Ciri Penerangan
Lumpuhkan Algoritma Penyulitan SSH Lemah pada Pengurus Cisco SD-WAN Cisco vManage Keluaran 20.9.1 Ciri ini membolehkan anda melumpuhkan algoritma SSH yang lebih lemah pada Pengurus Cisco SD-WAN yang mungkin tidak mematuhi piawaian keselamatan data tertentu.

Maklumat Mengenai Melumpuhkan Algoritma Penyulitan SSH Lemah pada Pengurus Cisco SD-WAN
Pengurus Cisco SD-WAN menyediakan klien SSH untuk komunikasi dengan komponen dalam rangkaian, termasuk pengawal dan peranti tepi. Pelanggan SSH menyediakan sambungan yang disulitkan untuk pemindahan data yang selamat, berdasarkan pelbagai algoritma penyulitan. Banyak organisasi memerlukan penyulitan yang lebih kukuh daripada yang disediakan oleh SHA-1, AES-128 dan AES-192. Daripada Cisco vManage Release 20.9.1, anda boleh melumpuhkan algoritma penyulitan yang lebih lemah berikut supaya pelanggan SSH tidak menggunakan algoritma ini:

  • SHA-1
  • AES-128
  • AES-192

Sebelum melumpuhkan algoritma penyulitan ini, pastikan peranti Cisco vEdge, jika ada, dalam rangkaian, menggunakan keluaran perisian lewat daripada Cisco SD-WAN Release 18.4.6.

Faedah Melumpuhkan Algoritma Penyulitan SSH Lemah pada Pengurus Cisco SD-WAN
Melumpuhkan algoritma penyulitan SSH yang lebih lemah meningkatkan keselamatan komunikasi SSH dan memastikan organisasi yang menggunakan Cisco Catalyst SD-WAN mematuhi peraturan keselamatan yang ketat.

Lumpuhkan Algoritma Penyulitan SSH Lemah pada Pengurus Cisco SD-WAN Menggunakan CLI

  1. Daripada menu Pengurus Cisco SD-WAN, pilih Alat > Terminal SSH.
  2. Pilih peranti Pengurus Cisco SD-WAN yang anda ingin lumpuhkan algoritma SSH yang lebih lemah.
  3. Masukkan nama pengguna dan kata laluan untuk log masuk ke peranti.
  4. Masukkan mod pelayan SSH.
    • vmanage(config)# sistem
    • vmanage(config-system)# ssh-server
  5. Lakukan salah satu daripada yang berikut untuk melumpuhkan algoritma penyulitan SSH:
    • Lumpuhkan SHA-1:
  6. manage(config-ssh-server)# tiada kex-algo sha1
  7. manage(config-ssh-server)# commit
    Mesej amaran berikut dipaparkan: Amaran berikut telah dijana: 'sistem ssh-server kex-algo sha1': AMARAN: Sila pastikan semua tepi anda menjalankan versi kod > 18.4.6 yang berunding lebih baik daripada SHA1 dengan vManage. Jika tidak, tepi tersebut mungkin menjadi luar talian. Teruskan? [ya, tidak] ya
    • Pastikan mana-mana peranti Cisco vEdge dalam rangkaian menjalankan Cisco SD-WAN Release 18.4.6 atau lebih baru dan masukkan ya.
    • Lumpuhkan AES-128 dan AES-192:
    • vmanage(config-ssh-server)# tiada cipher aes-128-192
    • vmanage(config-ssh-server)# commit
      Mesej amaran berikut dipaparkan:
      Amaran berikut telah dihasilkan:
      'sistem ssh-server cipher aes-128-192': AMARAN: Sila pastikan semua tepi anda menjalankan versi kod > 18.4.6 yang berunding lebih baik daripada AES-128-192 dengan vManage. Jika tidak, tepi tersebut mungkin menjadi luar talian. Teruskan? [ya, tidak] ya
    • Pastikan mana-mana peranti Cisco vEdge dalam rangkaian menjalankan Cisco SD-WAN Release 18.4.6 atau lebih baru dan masukkan ya.

Sahkan bahawa Algoritma Penyulitan SSH Lemah Dilumpuhkan pada Pengurus Cisco SD-WAN Menggunakan CLI

  1. Daripada menu Pengurus Cisco SD-WAN, pilih Alat > Terminal SSH.
  2. Pilih peranti Pengurus Cisco SD-WAN yang ingin anda sahkan.
  3. Masukkan nama pengguna dan kata laluan untuk log masuk ke peranti.
  4. Jalankan arahan berikut: tunjukkan running-config system ssh-server
  5. Sahkan bahawa output menunjukkan satu atau lebih daripada perintah yang melumpuhkan algoritma penyulitan yang lebih lemah:
    • tiada sifir aes-128-192
    • tiada kex-algo sha1

Dokumen / Sumber

CISCO SD-WAN Konfigurasikan Parameter Keselamatan [pdf] Panduan Pengguna
SD-WAN Konfigurasikan Parameter Keselamatan, SD-WAN, Konfigurasikan Parameter Keselamatan, Parameter Keselamatan

Rujukan

Tinggalkan komen

Alamat e-mel anda tidak akan diterbitkan. Medan yang diperlukan ditanda *