CISCO SD-WAN သည် လုံခြုံရေး ကန့်သတ်ချက်များကို စီစဉ်သတ်မှတ်သည်။

လုံခြုံရေး ကန့်သတ်ချက်များကို စီစဉ်သတ်မှတ်ပါ။

မှတ်ချက်

ရိုးရှင်းပြီး လိုက်လျောညီထွေရှိစေရန်အတွက် Cisco SD-WAN ဖြေရှင်းချက်ကို Cisco Catalyst SD-WAN အဖြစ် အမည်ပြောင်းထားပါသည်။ ထို့အပြင် Cisco IOS XE SD-WAN Release 17.12.1a နှင့် Cisco Catalyst SD-WAN Release 20.12.1 တို့မှ အောက်ပါ အစိတ်အပိုင်း အပြောင်းအလဲများကို အသုံးပြုနိုင်ပါသည်- Cisco vManage to Cisco Catalyst SD-WAN Manager၊ Cisco vAnalytics to Cisco Catalyst SD-WAN ပိုင်းခြားစိတ်ဖြာချက်၊ Cisco vBond မှ Cisco Catalyst SD-WAN Validator နှင့် Cisco vSmart မှ Cisco Catalyst SD-WAN Controller။ အစိတ်အပိုင်းအမှတ်တံဆိပ်အမည်ပြောင်းလဲမှုအားလုံး၏ ပြည့်စုံသောစာရင်းအတွက် နောက်ဆုံးထုတ်ဖြန့်ချိရေးမှတ်စုများကို ကြည့်ပါ။ ကျွန်ုပ်တို့သည် အမည်အသစ်များသို့ ကူးပြောင်းစဉ်တွင်၊ ဆော့ဖ်ဝဲလ်ထုတ်ကုန်၏ အသုံးပြုသူမျက်နှာပြင် အပ်ဒိတ်များကို အဆင့်လိုက်ချဉ်းကပ်ခြင်းကြောင့် စာရွက်စာတမ်းအစုံတွင် ကွဲလွဲမှုအချို့ ရှိနေနိုင်သည်။

ထိန်းချုပ်လေယာဉ်အတွက် လုံခြုံရေးဘောင်များနှင့် Cisco Catalyst SD-WAN ထပ်ဆင့်ကွန်ရက်ရှိ ဒေတာလေယာဉ်ကို မည်သို့ပြောင်းလဲရမည်ကို ဤကဏ္ဍတွင် ဖော်ပြထားသည်။

• Control Plane Security Parameters များကို စီစဉ်သတ်မှတ်ပါ၊ ဖွင့်ပါ။
• ဒေတာ လေယာဉ် လုံခြုံရေး ကန့်သတ်ချက်များ ကို စီစဉ်သတ်မှတ်ပါ၊ ဖွင့်ပါ။
• IKE-Enabled IPsec Tunnels ကို စီစဉ်သတ်မှတ်ပါ၊ ဖွင့်ပါ။
• Cisco SD-WAN Manager တွင် အားနည်းသော SSH အသွင်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များကို ပိတ်ပါ။

ထိန်းချုပ်ရေး လေယာဉ်လုံခြုံရေး ကန့်သတ်ချက်များကို စီစဉ်သတ်မှတ်ပါ။

မူရင်းအားဖြင့်၊ ထိန်းချုပ်မှုလေယာဉ်သည် ၎င်း၏ဥမင်လိုဏ်ခေါင်းများအားလုံးတွင် လျှို့ဝှက်ရေးပေးသည့် ပရိုတိုကောအဖြစ် DTLS ကို အသုံးပြုသည်။ DTLS သည် UDP ကိုကျော်သည်။ TCP နှင့်အထက်လုပ်ဆောင်သော ထိန်းချုပ်ရေးလေယာဉ်လုံခြုံရေးပရိုတိုကောကို TLS သို့ ပြောင်းနိုင်သည်။ TLS ကို အသုံးပြုရခြင်း၏ အဓိကအကြောင်းရင်းမှာ Cisco SD-WAN Controller ကို ဆာဗာတစ်ခုအဖြစ် သင်ယူဆပါက Firewall များသည် TCP ဆာဗာများကို UDP ဆာဗာများထက် ပိုမိုကောင်းမွန်စွာ ကာကွယ်ပေးပါသည်။ Cisco SD-WAN Controller တစ်ခုရှိ ထိန်းချုပ်ရေးလေယာဉ်ဥမင်ပရိုတိုကောကို သင်ပြင်ဆင်သတ်မှတ်သည်- vSmart(config)# လုံခြုံရေးထိန်းချုပ်မှုပရိုတိုကော tls ဤပြောင်းလဲမှုနှင့်အတူ၊ Cisco SD-WAN Controller နှင့် router များကြားနှင့် Cisco SD-WAN Controller အကြားရှိ ထိန်းချုပ်သည့်လေယာဉ်ဥမင်လှိုင်ခေါင်းများအားလုံး နှင့် Cisco SD-WAN Manager TLS ကို အသုံးပြုသည်။ Cisco Catalyst SD-WAN Validator သို့ လေယာဉ်ဥမင်လိုဏ်ခေါင်းများကို ထိန်းချုပ်ရန် DTLS ကို အမြဲအသုံးပြုသည်၊ အကြောင်းမှာ အဆိုပါချိတ်ဆက်မှုများကို UDP မှ ကိုင်တွယ်ရမည်ဖြစ်သည်။ Cisco SD-WAN Controller အများအပြားရှိသော ဒိုမိန်းတစ်ခုတွင်၊ Cisco SD-WAN Controllers များထဲမှ TLS ကို သင်စီစဉ်သတ်မှတ်သောအခါ၊ ထိုထိန်းချုပ်ကိရိယာမှ အခြားထိန်းချုပ်ကိရိယာများသို့ လေယာဉ်ဥမင်လိုဏ်ခေါင်းအားလုံးကို TLS ကို အသုံးပြုသည်။ တစ်နည်းဆိုရသော် TLS သည် DTLS ထက် အမြဲတမ်း ဦးစားပေးပါသည်။ သို့သော်လည်း အခြားသော Cisco SD-WAN Controllers များ၏ ရှုထောင့်မှကြည့်လျှင် ၎င်းတို့တွင် TLS ကို မပြင်ဆင်ရသေးပါက၊ ၎င်းတို့တွင် TLS ကို ထိန်းချုပ်သည့် လေယာဉ်ဥမင်လိုဏ်ခေါင်းတွင် Cisco SD-WAN Controller တစ်ခုအတွက်သာ အသုံးပြုကြပြီး ၎င်းတို့သည် အခြားသော DTLS ဥမင်များကို အသုံးပြုကြသည်။ Cisco SD-WAN Controllers နှင့် ၎င်းတို့၏ချိတ်ဆက်ထားသော router များအားလုံးသို့။ Cisco SD-WAN Controllers အားလုံးရှိရန် TLS ကိုအသုံးပြုပါ၊ ၎င်းတို့အားလုံးတွင် ၎င်းကို configure လုပ်ပါ။ မူရင်းအားဖြင့် Cisco SD-WAN Controller သည် TLS တောင်းဆိုမှုများကို port 23456 တွင် နားထောင်သည်။ ၎င်းကိုပြောင်းလဲရန်- vSmart(config)# လုံခြုံရေးထိန်းချုပ်မှု tls-port နံပါတ် ပို့တ်သည် 1025 မှ 65535 မှ နံပါတ်တစ်ခုဖြစ်နိုင်သည်။ လေယာဉ်လုံခြုံရေးအချက်အလက်များကို ထိန်းချုပ်ရန်အတွက် ပြသရန် Cisco SD-WAN Controller ရှိ ထိန်းချုပ်ချိတ်ဆက်မှုအမိန့်ကို အသုံးပြုပါ။ ဟောင်းအတွက်ample- vSmart-2# သည် ထိန်းချုပ်ချိတ်ဆက်မှုများကို ပြသသည်။

Cisco SD-WAN Manager တွင် DTLS ကို စီစဉ်သတ်မှတ်ပါ။

အကယ်၍ သင်သည် Cisco SD-WAN မန်နေဂျာအား TLS ထိန်းချုပ်မှုလေယာဉ်လုံခြုံရေးပရိုတိုကောအဖြစ် အသုံးပြုရန် စီစဉ်ပါက၊ သင်၏ NAT တွင် ပို့တ်ထပ်ဆင့်ခြင်းကို ဖွင့်ရပါမည်။ အကယ်၍ သင်သည် DTLS ကို ထိန်းချုပ်ရန် လေယာဉ်လုံခြုံရေး ပရိုတိုကောအဖြစ် အသုံးပြုနေပါက သင်သည် ဘာမှလုပ်ရန် မလိုအပ်ပါ။ ထပ်ဆင့်ပို့သော port အရေအတွက်သည် Cisco SD-WAN Manager တွင် လုပ်ဆောင်နေသည့် vdaemon လုပ်ငန်းစဉ်များပေါ်တွင် မူတည်သည်။ ဤလုပ်ငန်းစဉ်များနှင့် ပတ်သက်သည့် အချက်အလက်များနှင့် ထပ်ဆင့်ပို့နေသည့် port အရေအတွက်တို့ကို ပြသရန်၊ daemon လုပ်ငန်းစဉ်လေးခု လုပ်ဆောင်နေကြောင်း ပြသသည့် show control summary command ကို အသုံးပြုပါ။

နားဆင်ခြင်းအပေါက်များကိုကြည့်ရန်၊ show control local-properties command ကိုသုံးပါ- vManage# show control local-properties

ဤထွက်ရှိချက်သည် နားထောင်ခြင်း TCP အပေါက်သည် 23456 ဖြစ်ကြောင်းပြသသည်။ အကယ်၍ သင်သည် NAT နောက်ကွယ်ရှိ Cisco SD-WAN မန်နေဂျာကို အသုံးပြုနေပါက၊ သင်သည် NAT စက်တွင် အောက်ပါ port များကို ဖွင့်သင့်သည်-

• 23456 (base – instance 0 port)
• 23456 + 100 (အခြေခံ + 100)
• 23456 + 200 (အခြေခံ + 200)
• 23456 + 300 (အခြေခံ + 300)

Cisco SD-WAN Manager အတွက် အများဆုံး 8 ခုအထိ သင်သတ်မှတ်ပေးထားသော cores အရေအတွက်နှင့် တူညီသော instance အရေအတွက်သည် တူညီကြောင်း သတိပြုပါ။

လုံခြုံရေးအင်္ဂါရပ် နမူနာပုံစံကို အသုံးပြု၍ လုံခြုံရေး ကန့်သတ်ချက်များကို စီစဉ်သတ်မှတ်ပါ။

Cisco vEdge စက်များအားလုံးအတွက် လုံခြုံရေးအင်္ဂါရပ်ပုံစံကို အသုံးပြုပါ။ အစွန်းရောက်ရောက်တာများနှင့် Cisco SD-WAN Validator တွင်၊ ဒေတာလေယာဉ်လုံခြုံရေးအတွက် IPsec ကို စီစဉ်သတ်မှတ်ရန် ဤပုံစံပြားကို အသုံးပြုပါ။ Cisco SD-WAN Manager နှင့် Cisco SD-WAN Controller တွင်၊ လေယာဉ်လုံခြုံရေးကို ထိန်းချုပ်ရန်အတွက် DTLS သို့မဟုတ် TLS ကို စီစဉ်သတ်မှတ်ရန် လုံခြုံရေးအင်္ဂါရပ်ပုံစံကို အသုံးပြုပါ။

လုံခြုံရေး ကန့်သတ်ချက်များကို စီစဉ်သတ်မှတ်ပါ။

1. Cisco SD-WAN Manager menu မှ Configuration > Templates ကို ရွေးပါ။
2. Feature Templates ကိုနှိပ်ပြီး Add Template ကိုနှိပ်ပါ။
   မှတ်ချက် Cisco vManage Release 20.7.1 နှင့် အစောပိုင်းထွက်ရှိမှုများတွင် Feature Templates ကို Feature ဟုခေါ်သည်။
3. ဘယ်ဘက်အကန့်ရှိ စက်ပစ္စည်းများစာရင်းမှ စက်ပစ္စည်းတစ်ခုကို ရွေးချယ်ပါ။ ရွေးချယ်ထားသည့် စက်ပစ္စည်းအတွက် သက်ဆိုင်သည့် နမူနာပုံစံများသည် ညာဘက်အကန့်တွင် ပေါ်နေပါသည်။
4. နမူနာပုံစံကိုဖွင့်ရန် Security ကိုနှိပ်ပါ။
5. Template Name အကွက်တွင်၊ ပုံစံခွက်အတွက် အမည်တစ်ခုထည့်ပါ။ အမည်တွင် စာလုံးရေ 128 လုံးအထိရှိနိုင်ပြီး အက္ခရာဂဏန်းစာလုံးများသာ ပါဝင်နိုင်သည်။
6. နမူနာပုံစံဖော်ပြချက်အကွက်တွင်၊ ပုံစံပလိတ်၏ဖော်ပြချက်တစ်ခုကို ထည့်သွင်းပါ။ ဖော်ပြချက်တွင် စာလုံးရေ 2048 လုံးအထိ ရှိနိုင်ပြီး အက္ခရာစဉ်အလိုက် စာလုံးများသာ ပါဝင်နိုင်သည်။

အင်္ဂါရပ် နမူနာပုံစံတစ်ခုကို သင်ပထမဆုံးဖွင့်သောအခါ၊ ပုံသေတန်ဖိုးရှိသော ပါရာမီတာတစ်ခုစီအတွက်၊ နယ်ပယ်ကို ပုံသေ (အမှန်ခြစ်ဖြင့်ဖော်ပြသည်) သို့ သတ်မှတ်ပြီး ပုံသေဆက်တင် သို့မဟုတ် တန်ဖိုးကို ပြသထားသည်။ ပုံသေကိုပြောင်းရန် သို့မဟုတ် တန်ဖိုးတစ်ခုထည့်ရန်၊ ကန့်သတ်ချက်အကွက်၏ ဘယ်ဘက်ရှိ နယ်ပယ် drop-down menu ကို နှိပ်ပြီး အောက်ပါတို့ထဲမှ တစ်ခုကို ရွေးပါ-

ဇယား 1-

ကန့်သတ်ချက် အတိုင်းအတာ

နယ်ပယ်ဖော်ပြချက်

Device Specific (အိမ်ရှင်အိုင်ကွန်ဖြင့် ညွှန်ပြထားသည်)

ကန့်သတ်ဘောင်အတွက် စက်ပစ္စည်းအလိုက် တန်ဖိုးတစ်ခုကို အသုံးပြုပါ။ စက်ပစ္စည်းအလိုက် သတ်မှတ်ထားသော ကန့်သတ်ဘောင်များအတွက်၊ လုပ်ဆောင်ချက် နမူနာပုံစံတွင် တန်ဖိုးတစ်ခု ထည့်သွင်း၍မရပါ။ Viptela စက်ပစ္စည်းကို စက်ပစ္စည်း နမူနာတစ်ခုသို့ သင်ထည့်သွင်းသောအခါတွင် သင်သည် တန်ဖိုးကို ထည့်သွင်းပါ။ Device Specific ကိုနှိပ်လိုက်သောအခါ Enter Key ဘောက်စ် ပွင့်လာပါမည်။ ဤအကွက်သည် CSV တွင် ပါရာမီတာကို ခွဲခြားသတ်မှတ်ပေးသည့် သီးသန့်စာကြောင်းဖြစ်သည့် သော့တစ်ခုကို ပြသသည်။ file သင်ဖန်တီးသောအရာ။ ဒီ file ကီးတစ်ခုစီအတွက် ကော်လံတစ်ခုပါရှိသော Excel spreadsheet တစ်ခုဖြစ်သည်။ ခေါင်းစီးအတန်းတွင် သော့အမည်များ (ကော်လံတစ်ခုလျှင် သော့တစ်ခု) ပါ၀င်ပြီး ၎င်းနောက်အတန်းတစ်ခုစီသည် စက်ပစ္စည်းတစ်ခုနှင့် သက်ဆိုင်ပြီး ထိုစက်ပစ္စည်းအတွက် သော့များ၏တန်ဖိုးများကို သတ်မှတ်ပေးပါသည်။ သင် CSV ကို အပ်လုဒ်လုပ်ပါ။ file Viptela စက်ပစ္စည်းကို ကိရိယာပုံစံပုံစံတစ်ခုသို့ သင်ထည့်သွင်းသောအခါ။ ပိုမိုသိရှိလိုပါက၊ Template Variables Spreadsheet တစ်ခုဖန်တီးပါ။ မူရင်းကီးကိုပြောင်းရန်၊ စာကြောင်းအသစ်တစ်ခုရိုက်ပြီး ကာဆာကို Enter Key အကွက်မှ ရွှေ့ပါ။ Exampစက်ပစ္စည်း၏ သီးခြားကန့်သတ်ဘောင်များသည် စနစ် IP လိပ်စာ၊ လက်ခံဆောင်ရွက်ပေးသူအမည်၊ GPS တည်နေရာနှင့် ဆိုက် ID တို့ဖြစ်သည်။

ကန့်သတ်ချက် အတိုင်းအတာ	နယ်ပယ်ဖော်ပြချက်
Global (ကမ္ဘာလုံးပုံသင်္ကေတဖြင့် ညွှန်ပြထားသည်)	ပါရာမီတာအတွက် တန်ဖိုးတစ်ခုထည့်ပါ၊ ၎င်းတန်ဖိုးကို စက်အားလုံးတွင် အသုံးပြုပါ။ Exampစက်ပစ္စည်းအုပ်စုတစ်စုအတွက် တစ်ကမ္ဘာလုံးသုံးနိုင်သော ကန့်သတ်ချက်များမှာ DNS ဆာဗာ၊ syslog ဆာဗာနှင့် အင်တာဖေ့စ် MTU များဖြစ်သည်။

ထိန်းချုပ်ရေး လေယာဉ်လုံခြုံရေးကို စီစဉ်သတ်မှတ်ပါ။

မှတ်ချက်
Configure Control Plane Security အပိုင်းသည် Cisco SD-WAN Manager နှင့် Cisco SD-WAN Controller တို့အတွက်သာ အကျုံးဝင်ပါသည်။ Cisco SD-WAN Manager instance တစ်ခုတွင် control plane connection protocol ကို configure လုပ်ရန် သို့မဟုတ် Cisco SD-WAN Controller ၊ Basic Configuration area ကို ရွေးချယ်ပါ။ အောက်ပါ parameters များကို configure လုပ်ပါ။

ဇယား 2-

ကန့်သတ်ချက် နာမည်	ဖော်ပြချက်
ပရိုတိုကော	Cisco SD-WAN Controller သို့ ထိန်းချုပ်လေယာဉ်ချိတ်ဆက်မှုများတွင် အသုံးပြုရန် ပရိုတိုကောကို ရွေးချယ်ပါ- • DTLS (ဒါtagram Transport Layer Security)။ ဤသည်မှာ ပုံသေဖြစ်သည်။ • TLS (သယ်ယူပို့ဆောင်ရေးအလွှာလုံခြုံရေး)
TLS Port ကို ထိန်းချုပ်ပါ။	သင် TLS ကို ရွေးချယ်ပါက အသုံးပြုရန် ပို့တ်နံပါတ်ကို သတ်မှတ်ပါ-အပိုင်းအခြား- ၁၁.၄၃ မှ ၁၇.၀မူရင်း- 23456

Save ကိုနှိပ်ပါ။

ဒေတာလေယာဉ်လုံခြုံရေးကို စီစဉ်သတ်မှတ်ပါ။
Cisco SD-WAN Validator သို့မဟုတ် Cisco vEdge ရောက်တာတွင် ဒေတာလေယာဉ်လုံခြုံရေးကို ပြင်ဆင်သတ်မှတ်ရန်၊ အခြေခံဖွဲ့စည်းမှုပုံစံနှင့် အထောက်အထားစိစစ်ခြင်းအမျိုးအစား တဘ်များကို ရွေးချယ်ပြီး အောက်ပါ ကန့်သတ်ချက်များကို ပြင်ဆင်သတ်မှတ်ပါ-

ဇယား 3-

ကန့်သတ်ချက် နာမည်	ဖော်ပြချက်
Rekey Time	Cisco vEdge router သည် ၎င်း၏ လုံခြုံသော DTLS ချိတ်ဆက်မှုတွင် အသုံးပြုသည့် AES သော့ကို Cisco SD-WAN Controller သို့ မည်မျှမကြာခဏ ပြောင်းလဲကြောင်း သတ်မှတ်ပါ။ OMP ကျက်သရေရှိသော ပြန်လည်စတင်ခြင်းကို ဖွင့်ထားပါက၊ ပြန်လည်သော့ဖွင့်ချိန်သည် OMP ကျက်သရေရှိသော ပြန်လည်စတင်ချိန်မာ၏ တန်ဖိုးထက် အနည်းဆုံး နှစ်ဆဖြစ်ရပါမည်။အပိုင်းအခြား- 10 မှ 1209600 စက္ကန့် (14 ရက်)မူရင်း- 86400 စက္ကန့် (24 နာရီ)
Window ပြန်ဖွင့်ပါ။	လျှောထိုးပြတင်းပေါက်၏ အရွယ်အစားကို သတ်မှတ်ပါ။ တန်ဖိုးများ- ၆၄၊ ၁၂၈၊ ၂၅၆၊ ၅၁၂၊ ၁၀၂၄၊ ၂၀၄၈၊ ၄၀၉၆၊ ၈၁၉၂ ထုပ်၊မူရင်း- ၅၁၂ ထုပ်
IPsec pairwise-keying	၎င်းကို မူရင်းအတိုင်း ပိတ်ထားသည်။ နှိပ်ပါ။ On ဖွင့်ရန်။

ကန့်သတ်ချက် နာမည်

ဖော်ပြချက်

အထောက်အထားစိစစ်ခြင်း အမျိုးအစား

မှ အထောက်အထားစိစစ်ခြင်းအမျိုးအစားများကို ရွေးပါ။ အထောက်အထားပြခြင်း။ စာရင်းနှင့် အထောက်အထားစိစစ်ခြင်းအမျိုးအစားများကို ရွှေ့ရန် ညာဘက်ညွှန်သည့်မြှားကို နှိပ်ပါ။ ရွေးချယ်ထားသောစာရင်း ကော်လံ။ Cisco SD-WAN Release 20.6.1 မှ ပံ့ပိုးထားသော စစ်မှန်ကြောင်းအထောက်အထားအမျိုးအစားများ- •  esp: ESP ခေါင်းစီးတွင် Encapsulating Security Payload (ESP) ကုဒ်ဝှက်ခြင်းနှင့် သမာဓိရှိမှုကို စစ်ဆေးခြင်းကို ဖွင့်ပါ။ •  ip-udp-esp- ESP ကုဒ်ဝှက်ခြင်းကို ဖွင့်ပါ။ ESP ခေါင်းစီးနှင့် payload ပေါ်ရှိ သမာဓိစစ်ဆေးမှုများအပြင်၊ စစ်ဆေးမှုများတွင် ပြင်ပ IP နှင့် UDP ခေါင်းစီးများလည်း ပါဝင်ပါသည်။ •  ip-udp-esp-no-id: Cisco Catalyst SD-WAN သည် Cisco မဟုတ်သော စက်များနှင့် တွဲဖက်အလုပ်လုပ်နိုင်စေရန် IP ခေါင်းစီးရှိ ID အကွက်ကို လျစ်လျူရှုပါ။ •  မရှိ: IPSec ပက်ကတ်များပေါ်တွင် စစ်ဆေးခြင်းအား မှန်ကန်မှုကို ပိတ်စေသည်။ ဤရွေးချယ်မှုကို အသုံးပြုရန် ကျွန်ုပ်တို့ မအကြံပြုပါ။   Cisco SD-WAN Release 20.5.1 နှင့် အထက်တွင် ပံ့ပိုးထားသော စစ်မှန်ကြောင်းအထောက်အထားအမျိုးအစားများ- •  ah-no-id: Packet ၏ အပြင်ဘက် IP ခေါင်းစီးရှိ ID အကွက်ကို လျစ်လျူရှုသော AH-SHA1 HMAC နှင့် ESP HMAC-SHA1 ၏ အဆင့်မြှင့်ဗားရှင်းကို ဖွင့်ပါ။ •  ah-sha1-hmac: AH-SHA1 HMAC နှင့် ESP HMAC-SHA1 ကိုဖွင့်ပါ။ •  မရှိ: စစ်မှန်ကြောင်းအထောက်အထားမရှိတာကို ရွေးပါ။ •  sha1-hmac: ESP HMAC-SHA1 ကိုဖွင့်ပါ။   မှတ်ချက်              Cisco SD-WAN Release 20.5.1 သို့မဟုတ် ၎င်းထက်စောသော အစွန်းထွက်ကိရိယာတစ်ခုအတွက်၊ သင်သည် အထောက်အထားစိစစ်ခြင်းအမျိုးအစားများကို အသုံးပြု၍ ပြင်ဆင်သတ်မှတ်ထားနိုင်သည် လုံခြုံရေး ပုံစံခွက်။ စက်ပစ္စည်းကို Cisco SD-WAN Release 20.6.1 သို့မဟုတ် နောက်ပိုင်းတွင် အဆင့်မြှင့်သောအခါ၊ ရွေးချယ်ထားသော အထောက်အထားစိစစ်ခြင်းအမျိုးအစားများကို အပ်ဒိတ်လုပ်ပါ။ လုံခြုံရေး Cisco SD-WAN Release 20.6.1 မှပံ့ပိုးပေးထားသော စစ်မှန်ကြောင်းအထောက်အထားအမျိုးအစားများအတွက် နမူနာပုံစံ။ အထောက်အထားစိစစ်ခြင်းအမျိုးအစားများကို အပ်ဒိတ်လုပ်ရန် အောက်ပါတို့ကို လုပ်ဆောင်ပါ- 1.      Cisco SD-WAN Manager မီနူးမှ ရွေးချယ်ပါ။ ဖွဲ့စည်းမှု > ပုံစံများ. 2.      နှိပ်ပါ။ အင်္ဂါရပ်ပုံစံများ. 3.      ကိုရှာပါ။ လုံခြုံရေး အပ်ဒိတ်လုပ်ရန် ပုံစံခွက်ကို နှိပ်ပြီး … နှိပ်ပါ။ တည်းဖြတ်ပါ။. 4.      နှိပ်ပါ။ မွမ်းမံ. မည်သည့်ဖွဲ့စည်းမှုပုံစံကိုမျှ မပြင်ဆင်ပါနှင့်။ Cisco SD-WAN Manager သည် ၎င်းကို အပ်ဒိတ်လုပ်သည်။ လုံခြုံရေး ပံ့ပိုးထားသော အထောက်အထားစိစစ်ခြင်းအမျိုးအစားများကို ပြသရန် နမူနာပုံစံ။

Save ကိုနှိပ်ပါ။

Data Plane Security Parameters များကို စီစဉ်သတ်မှတ်ပါ။

ဒေတာလေယာဉ်တွင်၊ IPsec ကို router များအားလုံးတွင် ပုံမှန်အားဖြင့် ဖွင့်ထားပြီး၊ မူရင်း IPsec ဥမင်ချိတ်ဆက်မှုများသည် IPsec ဥမင်များကို စစ်မှန်ကြောင်းအထောက်အထားပြရန်အတွက် Encapsulating Security Payload (ESP) ပရိုတိုကော၏ အဆင့်မြှင့်ဗားရှင်းကို အသုံးပြုပါသည်။ Router များတွင် သင်သည် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းအမျိုးအစား၊ IPsec ပြန်လည်သော့ခတ်ခြင်းအချိန်တိုင်းနှင့် IPsec ဆန့်ကျင်ပြန်ဖွင့်သည့်ဝင်းဒိုး၏အရွယ်အစားကို သင်ပြောင်းလဲနိုင်သည်။

ခွင့်ပြုထားသော အထောက်အထားစိစစ်ခြင်းအမျိုးအစားများကို စီစဉ်သတ်မှတ်ပါ။

Cisco SD-WAN Release 20.6.1 နှင့် နောက်ပိုင်းတွင် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း အမျိုးအစားများ
Cisco SD-WAN Release 20.6.1 မှ၊ အောက်ပါ သမာဓိအမျိုးအစားများကို ပံ့ပိုးထားသည်-

• esp- ဤရွေးချယ်မှုသည် ESP ခေါင်းစီးတွင် Encapsulating Security Payload (ESP) ကုဒ်ဝှက်ခြင်းနှင့် သမာဓိရှိမှုကို စစ်ဆေးခြင်းတို့ကို လုပ်ဆောင်စေသည်။
• ip-udp-esp- ဤရွေးချယ်မှုသည် ESP ကုဒ်ဝှက်ခြင်းကို ဖွင့်ပေးသည်။ ESP ခေါင်းစီးနှင့် payload ပေါ်ရှိ သမာဓိစစ်ဆေးမှုများအပြင်၊ စစ်ဆေးမှုများတွင် ပြင်ပ IP နှင့် UDP ခေါင်းစီးများလည်း ပါဝင်ပါသည်။
• ip-udp-esp-no-id- ဤရွေးချယ်မှုသည် ip-udp-esp နှင့် ဆင်တူသော်လည်း၊ ပြင်ပ IP ခေါင်းစီး၏ ID အကွက်ကို လျစ်လျူရှုထားသည်။ Cisco Catalyst SD-WAN ဆော့ဖ်ဝဲလ်တွင် Cisco Catalyst SD-WAN ဆော့ဖ်ဝဲလ်ရှိရန်အတွက် သမာဓိအမျိုးအစားများစာရင်းတွင် ဤရွေးချယ်မှုကို IP ခေါင်းစီးရှိ ID အကွက်ကို လျစ်လျူရှုထားသောကြောင့် Cisco Catalyst SD-WAN သည် Cisco မဟုတ်သော စက်များနှင့် တွဲဖက်အလုပ်လုပ်နိုင်စေရန်။
• မရှိ- ဤရွေးချယ်မှုသည် IPSec ပက်ကတ်များပေါ်တွင် စစ်ဆေးခြင်းကို ပိတ်စေသည်။ ဤရွေးချယ်မှုကို အသုံးပြုရန် ကျွန်ုပ်တို့ မအကြံပြုပါ။

မူရင်းအားဖြင့်၊ IPsec ဥမင်လိုဏ်ခေါင်းချိတ်ဆက်မှုများသည် အထောက်အထားစိစစ်ရန်အတွက် Encapsulating Security Payload (ESP) ပရိုတိုကော၏ အဆင့်မြှင့်ဗားရှင်းကို အသုံးပြုသည်။ ညှိနှိုင်းထားသော ကြားဖြတ်အမျိုးအစားများကို မွမ်းမံပြင်ဆင်ရန် သို့မဟုတ် သမာဓိစစ်ဆေးမှုကို ပိတ်ရန်၊ အောက်ပါ command ကို အသုံးပြုပါ- သမာဓိအမျိုးအစား { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Cisco SD-WAN 20.6.1 မဖြန့်ချိမီ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း အမျိုးအစားများ
မူရင်းအားဖြင့်၊ IPsec ဥမင်လိုဏ်ခေါင်းချိတ်ဆက်မှုများသည် အထောက်အထားစိစစ်ရန်အတွက် Encapsulating Security Payload (ESP) ပရိုတိုကော၏ အဆင့်မြှင့်ဗားရှင်းကို အသုံးပြုသည်။ ညှိနှိုင်းထားသော အထောက်အထားစိစစ်ခြင်းအမျိုးအစားများကို မွမ်းမံပြင်ဆင်ရန် သို့မဟုတ် အထောက်အထားစိစစ်ခြင်းကို ပိတ်ရန်၊ အောက်ပါအမိန့်ကို အသုံးပြုပါ- စက်ပစ္စည်း(config)# လုံခြုံရေး ipsec အထောက်အထားစိစစ်ခြင်း-အမျိုးအစား (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) မူရင်းအားဖြင့် IPsec ဥမင်လိုဏ်ခေါင်းချိတ်ဆက်မှုများသည် AES-GCM-256 ကိုအသုံးပြုသည်၊ ၎င်းသည် ကုဒ်ဝှက်ခြင်းနှင့် အထောက်အထားစိစစ်ခြင်းနှစ်ခုလုံးကို ပံ့ပိုးပေးသည်။ သီးခြားလုံခြုံရေး ipsec authentication-type command ဖြင့် authentication type တစ်ခုစီကို configure လုပ်ပါ။ အမိန့်ပေးရွေးချယ်မှုများသည် အပြင်းထန်ဆုံးမှ အနည်းဆုံးအထိ အစီအစဥ်အလိုက် ဖော်ပြထားသည့် အောက်ပါ စစ်မှန်ကြောင်းအထောက်အထားစိစစ်ခြင်းအမျိုးအစားများသို့ မြေပုံညွှန်းဖော်ပြထားသည်-

မှတ်ချက်
ဖွဲ့စည်းမှုရွေးချယ်စရာများရှိ sha1 ကို သမိုင်းဆိုင်ရာ အကြောင်းပြချက်များအတွက် အသုံးပြုထားသည်။ အထောက်အထားစိစစ်ခြင်းရွေးချယ်မှုများသည် ပက်ကတ်စစ်ဆေးခြင်း၏ မည်မျှမှန်ကန်ကြောင်းကို ဖော်ပြသည်။ ၎င်းတို့သည် သမာဓိကို စစ်ဆေးသော အယ်လဂိုရီသမ်ကို မသတ်မှတ်ထားပေ။ Multicast traffic ကို ကုဒ်ဝှက်ခြင်းမှလွဲ၍ Cisco Catalyst SD WAN မှပံ့ပိုးပေးသော စစ်မှန်ကြောင်းအထောက်အထားပြသည့် အယ်လဂိုရီသမ်များသည် SHA1 ကို အသုံးမပြုပါ။ သို့သော်လည်း Cisco SD-WAN Release 20.1.x နှင့် နောက်ပိုင်းတွင်၊ unicast နှင့် multicast နှစ်ခုစလုံးသည် SHA1 ကို အသုံးမပြုပါ။

• ah-sha1-hmac သည် ESP ကို ​​အသုံးပြု၍ ကုဒ်ဝှက်ခြင်းနှင့် စာဝှက်ခြင်းတို့ကို ဖွင့်ပေးသည်။ သို့သော် ESP ခေါင်းစီးနှင့် payload ပေါ်ရှိ သမာဓိစစ်ဆေးမှုများအပြင်၊ စစ်ဆေးမှုများတွင် ပြင်ပ IP နှင့် UDP ခေါင်းစီးများလည်း ပါဝင်ပါသည်။ ထို့ကြောင့်၊ ဤရွေးချယ်မှုသည် Authentication Header (AH) protocol နှင့် ဆင်တူသော packet ၏ သမာဓိစစ်ဆေးမှုကို ပံ့ပိုးပေးပါသည်။ ခိုင်မာမှုနှင့် ကုဒ်ဝှက်ခြင်းအားလုံးကို AES-256-GCM အသုံးပြု၍ လုပ်ဆောင်သည်။
• ah-no-id သည် ah-sha1-hmac နှင့် ဆင်တူသည့် မုဒ်ကို ဖွင့်ထားသော်လည်း ပြင်ပ IP ခေါင်းစီး၏ ID အကွက်ကို လျစ်လျူရှုထားသည်။ ဤရွေးချယ်မှုသည် Apple AirPort Express NAT အပါအဝင် Cisco Catalyst မဟုတ်သော SD-WAN စက်အချို့တွင် IP ခေါင်းစီးရှိ ID အကွက်ကို ပြုပြင်မွမ်းမံနိုင်သော ချွတ်ယွင်းချက်ဖြစ်စေသည့် ချွတ်ယွင်းချက်ပါရှိသည်။ Cisco Catalyst SD-WAN AH ဆော့ဖ်ဝဲလ်တွင် Cisco Catalyst SD-WAN AH ဆော့ဖ်ဝဲလ်ရှိရန် ah-no-id ရွေးချယ်ခွင့်ကို IP ခေါင်းစီးရှိ ID အကွက်ကို လျစ်လျူရှုခြင်းဖြင့် Cisco Catalyst SD-WAN ဆော့ဖ်ဝဲသည် ဤစက်ပစ္စည်းများနှင့် တွဲဖက်အလုပ်လုပ်နိုင်စေရန်။
• sha1-hmac သည် ESP ကုဒ်ဝှက်ခြင်းနှင့် ခိုင်မာမှုစစ်ဆေးခြင်းကို ဖွင့်ပေးသည်။
• အထောက်အထားမခိုင်လုံခြင်းအတွက် မြေပုံတစ်ခုမျှမရှိပါ။ ယာယီအမှားရှာပြင်ခြင်းအတွက် လိုအပ်မှသာ ဤရွေးချယ်မှုကို အသုံးပြုသင့်သည်။ ဒေတာလေယာဉ် စစ်မှန်ကြောင်းအထောက်အထားနှင့် သမာဓိရှိမှုသည် စိုးရိမ်စရာမရှိသည့် အခြေအနေများတွင်လည်း ဤရွေးချယ်မှုကို သင်ရွေးချယ်နိုင်သည်။ Cisco သည် ထုတ်လုပ်ရေးကွန်ရက်များအတွက် ဤရွေးချယ်မှုကို အသုံးပြုရန် အကြံပြုထားခြင်းမရှိပါ။

ဤအထောက်အထားစိစစ်ခြင်းအမျိုးအစားများမှ မည်သည့်ဒေတာပက်ကတ်အကွက်များကို အကျိုးသက်ရောက်ကြောင်း အချက်အလက်အတွက်၊ Data Plane Integrity ကို ကြည့်ပါ။ Cisco IOS XE Catalyst SD-WAN စက်များနှင့် Cisco vEdge စက်များသည် ၎င်းတို့၏ TLOC ဂုဏ်သတ္တိများတွင် ၎င်းတို့၏ ပြင်ဆင်သတ်မှတ်ထားသော အထောက်အထားစိစစ်ခြင်းအမျိုးအစားများကို ကြော်ငြာသည်။ IPsec tunnel ချိတ်ဆက်မှု၏တစ်ဖက်တစ်ချက်ရှိ router နှစ်ခုသည် routers နှစ်ခုစလုံးတွင် configure လုပ်ထားသော အပြင်းထန်ဆုံး စစ်မှန်ကြောင်းအထောက်အထားကို အသုံးပြု၍ ၎င်းတို့ကြားရှိ ချိတ်ဆက်မှုတွင် အသုံးပြုရန် စစ်မှန်ကြောင်းအထောက်အထားပြမှုကို ညှိနှိုင်းပါသည်။ ဟောင်းအတွက်ample၊ အကယ်၍ router တစ်ခုသည် ah-sha1-hmac နှင့် ah-no-id အမျိုးအစားများကို ကြော်ငြာပြီး ဒုတိယ router သည် ah-no-id အမျိုးအစားကို ကြော်ငြာပါက၊ routers နှစ်ခုကြားရှိ IPsec tunnel ချိတ်ဆက်မှုတွင် ah-no-id ကိုအသုံးပြုရန် ညှိနှိုင်းသည်။ သူတို့ကို။ သက်တူရွယ်တူနှစ်ဦးတွင် သာမာန်စစ်မှန်ကြောင်းအတည်ပြုခြင်းအမျိုးအစားများကို မသတ်မှတ်ထားပါက ၎င်းတို့ကြားတွင် IPsec ဥမင်ကို တည်ထောင်မည်မဟုတ်ပါ။ IPsec ဥမင်လိုဏ်ခေါင်းချိတ်ဆက်မှုများရှိ ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်သည် အသွားအလာအမျိုးအစားပေါ် မူတည်သည်-

• unicast အသွားအလာအတွက်၊ ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်မှာ AES-256-GCM ဖြစ်သည်။
• Multicast အသွားအလာအတွက်-
• Cisco SD-WAN ဖြန့်ချိသည့် 20.1.x နှင့် နောက်ပိုင်းတွင်- ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်မှာ AES-256-GCM ဖြစ်သည်။
• ယခင်ထုတ်ဝေမှုများ- ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်သည် SHA256-HMAC ဖြင့် AES-1-CBC ဖြစ်သည်။

IPsec စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း အမျိုးအစားကို ပြောင်းသောအခါ၊ ဒေတာလမ်းကြောင်းအတွက် AES သော့ကို ပြောင်းသည်။

Rekeying Timer ကိုပြောင်းပါ။

Cisco IOS XE Catalyst SD-WAN စက်ပစ္စည်းများနှင့် Cisco vEdge စက်ပစ္စည်းများသည် ဒေတာလမ်းကြောင်းကို ဖလှယ်ခြင်းမပြုမီ၊ ၎င်းတို့ကြားတွင် လုံခြုံသော စစ်မှန်သော ဆက်သွယ်ရေးလမ်းကြောင်းတစ်ခုကို တပ်ဆင်ထားသည်။ Router များသည် ၎င်းတို့ကြားရှိ IPSec ဥမင်များကို ချန်နယ်အဖြစ် အသုံးပြုကာ ကုဒ်ဝှက်ခြင်းလုပ်ဆောင်ရန် AES-256 cipher ကို အသုံးပြုသည်။ Router တစ်ခုစီသည် ၎င်း၏ဒေတာလမ်းကြောင်းအတွက် AES သော့အသစ်ကို အခါအားလျော်စွာ ထုတ်ပေးပါသည်။ ပုံမှန်အားဖြင့်၊ ကီးတစ်ခုသည် 86400 စက္ကန့် (24 နာရီ) နှင့် timer range သည် 10 စက္ကန့်မှ 1209600 စက္ကန့် (14 ရက်) ဖြစ်သည်။ rekey timer တန်ဖိုးကို ပြောင်းရန်- Device(config)# လုံခြုံရေး ipsec rekey စက္ကန့်အတွင်း ဖွဲ့စည်းမှုပုံစံသည် ဤကဲ့သို့ဖြစ်သည်-

• လုံခြုံရေး ipsec rekey စက္ကန့်။

IPsec သော့အသစ်များကို ချက်ခြင်းထုတ်လုပ်လိုပါက၊ router ၏ configuration ကို မွမ်းမံပြင်ဆင်ခြင်းမပြုဘဲ ပြုလုပ်နိုင်ပါသည်။ ၎င်းကိုလုပ်ဆောင်ရန်၊ အန္တရာယ်ရှိသောရောက်တာရှိ တောင်းဆိုချက်လုံခြုံရေး ipsecrekey အမိန့်ကိုထုတ်ပါ။ ဟောင်းအတွက်ampအောက်ဖော်ပြပါ ရလဒ်သည် ဒေသတွင်း SA တွင် လုံခြုံရေး ကန့်သတ်ချက်အညွှန်း (SPI) 256 ရှိကြောင်း ပြသသည်-

ထူးခြားသောသော့သည် SPI တစ်ခုစီနှင့် ဆက်စပ်နေသည်။ အကယ်၍ ဤသော့ကို ခိုးယူခံရပါက၊ ကီးအသစ်တစ်ခုကို ချက်ချင်းထုတ်ပေးရန် တောင်းဆိုချက် လုံခြုံရေး ipsec-rekey ကွန်မန်းကို အသုံးပြုပါ။ ဤအမိန့်သည် SPI ကိုတိုးစေသည်။ ကျွန်တော်တို့ရဲ့ ex မှာample၊ SPI သည် 257 သို့ပြောင်းသွားပြီး ၎င်းနှင့်ဆက်စပ်သောသော့ကို ယခုအသုံးပြုသည်-

• စက်ပစ္စည်း# တောင်းဆိုချက် လုံခြုံရေး ipsecrekey
• စက်ပစ္စည်း# သည် ipsec local-sa ကိုပြသသည်။

သော့အသစ်ကိုထုတ်ပေးပြီးနောက်၊ Router သည် DTLS သို့မဟုတ် TLS ကိုအသုံးပြု၍ Cisco SD-WAN Controllers သို့ချက်ချင်းပို့ပေးသည်။ Cisco SD-WAN Controllers များသည် peer routers များသို့ သော့ကို ပေးပို့သည်။ Router များသည် ၎င်းကို လက်ခံရရှိသည်နှင့် စတင်အသုံးပြုသည်။ အဟောင်း SPI (256) နှင့်ဆက်စပ်သောသော့အား အချိန်တိုအတွင်း ဆက်လက်အသုံးပြုသွားမည်ဖြစ်ကြောင်း သတိပြုပါ။ သော့အဟောင်းကို ချက်ခြင်းရပ်ရန်၊ တောင်းဆိုချက် လုံခြုံရေး ipsec-rekey အမိန့်ကို နှစ်ကြိမ်ဆက်တိုက် အမြန်ထုတ်ပါ။ ဤ command များ၏ အတွဲလိုက်သည် SPI 256 နှင့် 257 နှစ်ခုလုံးကို ဖယ်ရှားပြီး SPI 258 သို့ သတ်မှတ်ပေးသည်။ ထို့နောက် Router သည် SPI 258 ၏ ဆက်စပ်သော့ကို အသုံးပြုသည်။ သို့သော်၊ အဝေးရောက်ရောက်တာများအားလုံး သိရှိသည်အထိ အချို့သော packet များကို အချိန်တိုအတွင်း ဖြုတ်ချသွားမည်ဖြစ်ကြောင်း သတိပြုပါ။ သော့အသစ်။

Anti-Replay Window ၏အရွယ်အစားကိုပြောင်းပါ။

IPsec authentication သည် data stream တစ်ခုစီရှိ packet တစ်ခုစီသို့ သီးသန့် sequence နံပါတ်တစ်ခုကို သတ်မှတ်ခြင်းဖြင့် replay anti-replay ကာကွယ်မှုကို ပေးပါသည်။ ဤအစီအစဥ်နံပါတ်သတ်မှတ်ခြင်းသည် ဒေတာပက်ကေ့ခ်ျများကို ပွားနေသော တိုက်ခိုက်သူမှ ကာကွယ်ပေးသည်။ ပြန်လည်ကစားခြင်းကို ဆန့်ကျင်ကာကွယ်မှုဖြင့်၊ ပေးပို့သူသည် ထပ်တူကျနေသော စီးရီးနံပါတ်များကို တစ်ပုံတစ်ပုံ တိုးမြှင့်သတ်မှတ်ပေးကာ ဦးတည်ရာသည် ထပ်နေသည့်အရာများကို သိရှိနိုင်ရန် ဤအတွဲနံပါတ်များကို စစ်ဆေးသည်။ packet များသည် အစဉ်လိုက် မရောက်တတ်သောကြောင့်၊ ဦးတည်ရာသည် လက်ခံမည့် sequence နံပါတ်များ၏ slide window ကို ထိန်းသိမ်းထားသည်။

လျှောပြတင်းပေါက်အကွာအဝေး၏ ဘယ်ဘက်တွင် ကျရောက်နေသည့် အတွဲနံပါတ်ပါသည့် ပက်ကေ့ဂျ်များကို အဟောင်းများ သို့မဟုတ် ထပ်နေသည်ဟု ယူဆကြပြီး ဦးတည်ရာသည် ၎င်းတို့ကို လွှတ်ချသည်။ ဦးတည်ရာသည် ၎င်းရရှိထားသော အမြင့်ဆုံး နံပါတ်စဉ်ကို ခြေရာခံပြီး တန်ဖိုးပိုမြင့်သော ပက်ကတ်ကို လက်ခံရရှိသောအခါ လျှောဝင်းဒိုးကို ချိန်ညှိပေးသည်။

ပုံမှန်အားဖြင့်၊ လျှောဝင်းဒိုးကို 512 ထုပ်ပိုးရန် သတ်မှတ်ထားသည်။ 64 နှင့် 4096 အကြား မည်သည့်တန်ဖိုးကိုမဆို 2 ပါဝါ (ဆိုလိုသည်မှာ၊ 64၊ 128၊ 256၊ 512၊ 1024၊ 2048 သို့မဟုတ် 4096) ဟု သတ်မှတ်နိုင်သည်။ ဆန့်ကျင်ပြန်ဖွင့်သည့် ဝင်းဒိုးအရွယ်အစားကို မွမ်းမံရန်၊ ဝင်းဒိုး၏အရွယ်အစားကို သတ်မှတ်ပေးကာ ပြန်ဖွင့်သည့်ဝင်းဒိုးအမိန့်ကို အသုံးပြုပါ-

စက်ပစ္စည်း(config)# လုံခြုံရေး ipsec ပြန်ဖွင့်-ဝင်းဒိုးနံပါတ်

ဖွဲ့စည်းမှုပုံစံသည် ဤကဲ့သို့ဖြစ်သည်-
လုံခြုံရေး ipsec replay-window နံပါတ်။ !

QoS ကိုကူညီရန်၊ ပထမလမ်းကြောင်း လမ်းကြောင်းရှစ်ခုမှ တစ်ခုစီအတွက် သီးခြားပြန်ဖွင့်သည့်ပြတင်းပေါက်များကို ထိန်းသိမ်းထားသည်။ ချန်နယ်တစ်ခုစီအတွက် ပြင်ဆင်သတ်မှတ်ထားသော ပြန်ဖွင့်သည့်ဝင်းဒိုးအရွယ်အစားကို ရှစ်ခုဖြင့် ပိုင်းခြားထားသည်။ အကယ်၍ QoS ကို router တစ်ခုတွင် configure လုပ်ထားပါက IPsec anti-replay ယန္တရား၏ရလဒ်ကြောင့် အဆိုပါ router သည် မျှော်လင့်ထားသည်ထက် ပိုကြီးသော packet အရေအတွက်ကို ကြုံတွေ့ရနိုင်ပြီး၊ ကျဆင်းသွားသော packet အများစုသည် တရားဝင်ဖြစ်သည်။ QoS သည် ဦးစားပေး ပက်ကေ့ခ်ျများကို ဦးစားပေး ကုသခြင်းနှင့် ဦးစားပေး ဦးစားပေး ပက်ကေ့ဂျ်များကို နှောင့်နှေးစေသော ပက်ကတ်များကို QoS မှ ပြန်လည်မှာယူခြင်းကြောင့် ဖြစ်ရခြင်း ဖြစ်သည်။ ဤအခြေအနေကို လျှော့ချရန် သို့မဟုတ် ကာကွယ်ရန်၊ သင်သည် အောက်ပါတို့ကို လုပ်ဆောင်နိုင်သည်-

• anti-replay window ၏အရွယ်အစားကို တိုးမြှင့်ပါ။
• ချန်နယ်တစ်ခုအတွင်း အသွားအလာကို ပြန်လည်စီစစ်ခြင်းမပြုကြောင်း သေချာစေရန်အတွက် ပထမလမ်းကြောင်း ရှစ်ခုကို အင်ဂျင်နီယာချုပ်မှ လမ်းကြောင်းပြောင်းပါ။

IKE-Enabled IPsec ဥမင်များကို စီစဉ်သတ်မှတ်ပါ။
ထပ်ဆင့်ကွန်ရက်မှ ဝန်ဆောင်မှုကွန်ရက်တစ်ခုသို့ အသွားအလာကို လုံခြုံစွာလွှဲပြောင်းရန်၊ သင်သည် Internet Key Exchange (IKE) ပရိုတိုကောကို လုပ်ဆောင်သည့် IPsec ဥမင်များကို စီစဉ်သတ်မှတ်နိုင်သည်။ IKE-enabled IPsec ဥမင်များသည် လုံခြုံသော packet သယ်ယူပို့ဆောင်ရေးအား သေချာစေရန် စစ်မှန်ကြောင်းနှင့် ကုဒ်ဝှက်ခြင်းကို ပံ့ပိုးပေးပါသည်။ IPsec အင်တာဖေ့စ်ကို ပုံဖော်ခြင်းဖြင့် သင်သည် IKE-enabled IPsec ဥမင်လိုဏ်ခေါင်းတစ်ခုကို ဖန်တီးသည်။ IPsec အင်တာဖေ့စ်များသည် ယုတ္တိတန်သော အင်တာဖေ့စ်များဖြစ်ပြီး ၎င်းတို့ကို အခြားသော ရုပ်ပိုင်းဆိုင်ရာ အင်တာဖေ့စ်များကဲ့သို့ပင် သင်သတ်မှတ်ပေးသည်။ သင်သည် IPsec အင်တာဖေ့စ်တွင် IKE ပရိုတိုကော ဘောင်များကို ပြင်ဆင်သတ်မှတ်ပြီး အခြားအင်တာဖေ့စ်ဂုဏ်သတ္တိများကို သင်သတ်မှတ်နိုင်သည်။

မှတ်ချက် Cisco မှ IKE ဗားရှင်း 2 ကို အသုံးပြုရန် အကြံပြုထားသည်။ Cisco SD-WAN 19.2.x မှ စတင်ကာ၊ ကြိုတင်မျှဝေထားသောကီးသည် အနည်းဆုံး 16 bytes အရှည်ရှိရန် လိုအပ်ပါသည်။ router သည် ဗားရှင်း 16 သို့ အဆင့်မြှင့်တင်သည့်အခါ သော့အရွယ်အစားသည် စာလုံး 19.2 လုံးထက်နည်းပါက IPsec ဥမင်တည်ဆောက်မှု မအောင်မြင်ပါ။

မှတ်ချက်
Cisco Catalyst SD-WAN ဆော့ဖ်ဝဲလ်သည် RFC 2 တွင် သတ်မှတ်ထားသည့်အတိုင်း IKE ဗားရှင်း 7296 ကို ပံ့ပိုးပေးသည်။ IPsec ဥမင်များ အတွက် အသုံးပြုမှုတစ်ခုမှာ Amazon AWS ပေါ်တွင် လုပ်ဆောင်နေသည့် vEdge Cloud router VM instances များကို Amazon virtual private cloud (VPC) သို့ ချိတ်ဆက်ရန် ခွင့်ပြုရန်ဖြစ်သည်။ ဤ router များပေါ်တွင် IKE ဗားရှင်း 1 ကို သင် configure လုပ်ရပါမည်။ Cisco vEdge စက်များသည် IPSec ဖွဲ့စည်းမှုစနစ်တွင် လမ်းကြောင်းအခြေခံ VPN များကိုသာ ပံ့ပိုးပေးသောကြောင့် ဤစက်ပစ္စည်းများသည် ကုဒ်ဝှက်ခြင်းဒိုမိန်းတွင် လမ်းကြောင်းရွေးချယ်ခြင်းများကို မသတ်မှတ်နိုင်ပါ။

IPsec Tunnel တစ်ခုကို စီစဉ်သတ်မှတ်ပါ။
ဝန်ဆောင်မှုကွန်ရက်မှ လုံခြုံသောသယ်ယူပို့ဆောင်ရေးအသွားအလာအတွက် IPsec ဥမင်အင်တာဖေ့စ်ကို ပြင်ဆင်သတ်မှတ်ရန်၊ သင်သည် ယုတ္တိကျသော IPsec အင်တာဖေ့စ်ကို ဖန်တီးသည်-

သယ်ယူပို့ဆောင်ရေး VPN (VPN 0) တွင် IPsec ဥမင်လိုဏ်ခေါင်းကို ဖန်တီးနိုင်ပြီး မည်သည့်ဝန်ဆောင်မှု VPN တွင်မဆို (VPN 1 မှ 65530၊ 512 မှလွဲ၍) ကို ဖန်တီးနိုင်သည်။ IPsec အင်တာဖေ့စ်တွင် နံပါတ် 1 မှ 255 အထိရှိနိုင်သည့် ဖော်မတ် ipsecnumber တွင် အမည်တစ်ခုရှိသည်။ IPsec အင်တာဖေ့စ်တစ်ခုစီတွင် IPv4 လိပ်စာတစ်ခုရှိရပါမည်။ ဤလိပ်စာသည် /30 ရှေ့ဆက်ဖြစ်ရပါမည်။ ဤ IPv4 ရှေ့ဆိက်အတွင်းပါရှိသော VPN အတွင်းရှိ လမ်းကြောင်းအားလုံးကို IPsec ဥမင်အတွင်း လုံခြုံစွာ ပေးပို့ရန် VPN 0 ရှိ ရုပ်ပိုင်းဆိုင်ရာ အင်တာဖေ့စ်ထံသို့ ညွှန်ကြားထားသည်။ စက်တွင်းစက်ပစ္စည်းပေါ်ရှိ IPsec ဥမင်လိုဏ်ခေါင်း၏ အရင်းအမြစ်ကို ပြင်ဆင်သတ်မှတ်ရန်အတွက်၊ သင်သည် IP လိပ်စာကို သော်လည်းကောင်း သတ်မှတ်နိုင်သည်။ ရုပ်ပိုင်းဆိုင်ရာအင်တာဖေ့စ် (ဥမင်လိုဏ်ခေါင်း-ရင်းမြစ်အမိန့်စာတွင်) သို့မဟုတ် ရုပ်ပိုင်းဆိုင်ရာအင်တာဖေ့စ်၏အမည် (ဥမင်လိုဏ်ခေါင်း-ရင်းမြစ်-အင်တာဖေ့စ်ကွန်မန်းတွင်)။ ရုပ်ပိုင်းဆိုင်ရာအင်တာဖေ့စ်ကို VPN 0 တွင် ပြင်ဆင်သတ်မှတ်ထားကြောင်း သေချာပါစေ။ IPsec ဥမင်လိုဏ်ခေါင်း၏ ဦးတည်ရာကို ပြင်ဆင်သတ်မှတ်ရန်အတွက် အဝေးထိန်းကိရိယာ၏ IP လိပ်စာကို tunnel-destination command တွင် သတ်မှတ်ပါ။ အရင်းအမြစ်လိပ်စာ (သို့မဟုတ် ရင်းမြစ် အင်တာဖေ့စ်အမည်) နှင့် ဦးတည်ရာလိပ်စာ ပေါင်းစပ်မှုသည် IPsec ဥမင်တစ်ခုတည်းကို သတ်မှတ်သည်။ သီးခြားအရင်းအမြစ်လိပ်စာ (သို့မဟုတ် အင်တာဖေ့စ်အမည်) နှင့် ဦးတည်ရာလိပ်စာအတွဲကို အသုံးပြုသည့် IPsec ဥမင်တစ်ခုသာ တည်ရှိနိုင်သည်။

IPsec Static Route တစ်ခုကို စီစဉ်သတ်မှတ်ပါ။

ဝန်ဆောင်မှု VPN မှ သယ်ယူပို့ဆောင်ရေး VPN (VPN 0 ရှိ IPsec ဥမင်) သို့ လမ်းကြောင်းကို ညွှန်ပြရန်အတွက် သင်သည် ဝန်ဆောင်မှု VPN ( VPN 0 သို့မဟုတ် VPN 512 မှလွဲ၍ အခြား VPN တွင် IPsec-သတ်မှတ်ထားသော တည်ငြိမ်လမ်းကြောင်းတစ်ခု) ကို စီစဉ်သတ်မှတ်ပါ-

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-လမ်းကြောင်းရှေ့ဆက်/အရှည် vpn 0 အင်တာဖေ့စ်
• ipsecnumber [ipsecnumber2]

VPN ID သည် မည်သည့်ဝန်ဆောင်မှု VPN မဆို (VPN 1 မှ 65530၊ 512 မှလွဲ၍) ဖြစ်သည်။ အကြို/အလျားသည် ဒဿမ လေးပိုင်း-အစက်ဖြင့် အမှတ်အသားပြုထားသော IP လိပ်စာ သို့မဟုတ် ရှေ့ဆုံးစာလုံးဖြစ်ပြီး IPsec သီးသန့် တည်ငြိမ်လမ်းကြောင်း၏ ရှေ့ဆက်အရှည်ဖြစ်သည်။ အင်တာဖေ့စ်သည် VPN 0 ရှိ IPsec ဥမင်အင်တာဖေ့စ်ဖြစ်သည်။ သင်သည် IPsec ဥမင်အင်တာဖေ့စ်တစ်ခု သို့မဟုတ် နှစ်ခုကို စီစဉ်သတ်မှတ်နိုင်သည်။ နှစ်ခုကို သင် configure လုပ်ပါက ပထမတစ်ခုသည် primary IPsec tunnel ဖြစ်ပြီး ဒုတိယမှာ backup ဖြစ်သည်။ အင်တာဖေ့စ်နှစ်ခုဖြင့်၊ ပက်ကေ့ခ်ျအားလုံးကို မူလဥမင်လိုဏ်ခေါင်းသို့သာ ပို့သည်။ အကယ်၍ ထိုဥမင်လိုဏ်ခေါင်း မအောင်မြင်ပါက၊ ပက်ကေ့ခ်ျအားလုံးကို ဒုတိယဥမင်လိုဏ်ခေါင်းသို့ ပို့ပါမည်။ ပင်မဥမင်လိုဏ်ခေါင်းသည် ပြန်တက်လာပါက၊ လမ်းကြောင်းအားလုံးကို မူလ IPsec ဥမင်သို့ ပြန်ရွှေ့သည်။

IKE ဗားရှင်း 1 ကို ဖွင့်ပါ။
vEdge router တွင် IPsec ဥမင်လိုဏ်ခေါင်းတစ်ခုကို ဖန်တီးသောအခါ၊ IKE ဗားရှင်း 1 ကို ဥမင်လိုဏ်ခေါင်းအင်တာဖေ့စ်တွင် ပုံမှန်အားဖြင့် ဖွင့်ထားသည်။ အောက်ဖော်ပြပါ ဂုဏ်သတ္တိများကို IKEv1 အတွက် မူရင်းအတိုင်း ဖွင့်ပေးထားသည်-

• စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းနှင့် ကုဒ်ဝှက်ခြင်း—AES-256 အဆင့်မြင့် ကုဒ်ဝှက်ခြင်းစံ CBC ကုဒ်ဝှက်ခြင်း
• Diffie-Hellman အဖွဲ့ နံပါတ်—၁၆
• ပြန်လည်သော့ဖွင့်ချိန်ကြားကာလ- 4 နာရီ
• SA တည်ထောင်ခြင်းမုဒ်—ပင်မ

မူရင်းအားဖြင့်၊ IKEv1 သည် IKE SAs ကိုတည်ထောင်ရန် IKE ပင်မမုဒ်ကို အသုံးပြုသည်။ ဤမုဒ်တွင် SA ကို တည်ထောင်ရန် ညှိနှိုင်းမှု ပက်ကေ့ခြောက်ခုကို လဲလှယ်ထားသည်။ စေ့စပ်ညှိနှိုင်းရေးပက်ကေ့ဂျ် သုံးခုကိုသာ လဲလှယ်ရန် ပြင်းထန်သောမုဒ်ကို ဖွင့်ပါ-

မှတ်ချက်
ကြိုတင်မျှဝေထားသောသော့များဖြင့် IKE ပြင်းထန်သောမုဒ်ကို တတ်နိုင်သမျှရှောင်ရှားသင့်သည်။ မဟုတ်ပါက ခိုင်မာသောကြိုတင်မျှဝေထားသောကီးကို ရွေးချယ်ရပါမည်။

• vEdge(config)# vpn vpn-id အင်တာဖေ့စ် ipsec နံပါတ် ike
• vEdge(config-ike)# မုဒ် ပြင်းထန်သည်။

မူရင်းအားဖြင့် IKEv1 သည် IKE သော့လဲလှယ်မှုတွင် Diffie-Hellman အုပ်စု 16 ကို အသုံးပြုသည်။ ဤအဖွဲ့သည် IKE သော့လဲလှယ်မှုအတွင်း 4096-bit more modular exponential (MODP) အုပ်စုကို အသုံးပြုသည်။ အုပ်စုနံပါတ်ကို 2 (1024-bit MODP အတွက်)၊ 14 (2048-bit MODP) သို့မဟုတ် 15 (3072-bit MODP) သို့ ပြောင်းနိုင်သည်-

• vEdge(config)# vpn vpn-id အင်တာဖေ့စ် ipsec နံပါတ် ike
• vEdge(config-ike)# အဖွဲ့နံပါတ်

မူရင်းအားဖြင့်၊ IKE သော့လဲလှယ်သည် ခိုင်မာမှုရှိရန်အတွက် HMAC-SHA256 သော့ခတ်-ဟက်ရှ်မက်ဆေ့ဂျ် စစ်မှန်ကြောင်းအထောက်အထားပြကုဒ် အယ်လဂိုရီသမ်ဖြင့် AES-1 အဆင့်မြင့် ကုဒ်ဝှက်စံ CBC ကုဒ်ဝှက်ခြင်းကို အသုံးပြုသည်။ စစ်မှန်ကြောင်းအထောက်အထားကို သင်ပြောင်းလဲနိုင်သည်-

• vEdge(config)# vpn vpn-id အင်တာဖေ့စ် ipsec နံပါတ် ike
• vEdge(config-ike)# cipher-suite အစုံ

စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းအစုံသည် အောက်ပါတို့အနက်မှတစ်ခု ဖြစ်နိုင်သည်-

• aes128-cbc-sha1—AES-128 အဆင့်မြင့် ကုဒ်ဝှက်ခြင်းစံ CBC ကုဒ်ဖြင့် ခိုင်မာမှုရှိစေရန် HMAC-SHA1 keyed-hash မက်ဆေ့ဂျ် စစ်မှန်ကြောင်းအထောက်အထားပြကုဒ် အယ်လဂိုရီသမ်
• aes128-cbc-sha2—AES-128 အဆင့်မြင့် ကုဒ်ဝှက်ခြင်းစံ CBC ကုဒ်ဖြင့် ခိုင်မာမှုရှိစေရန် HMAC-SHA256 keyed-hash မက်ဆေ့ဂျ် စစ်မှန်ကြောင်းအထောက်အထားပြကုဒ် အယ်လဂိုရီသမ်
• aes256-cbc-sha1—AES-256 အဆင့်မြင့် လျှို့ဝှက်ကုဒ်သွင်းမှုစံ CBC ကုဒ်ဝှက်ခြင်း HMAC-SHA1 ခိုင်မာမှုရှိရန်အတွက် သော့ခတ်-hash မက်ဆေ့ဂျ်အထောက်အထားစိစစ်ခြင်းကုဒ် အယ်လဂိုရီသမ်၊ ဒါက ပုံသေပါ။
• aes256-cbc-sha2—AES-256 အဆင့်မြင့် ကုဒ်ဝှက်ခြင်းစံ CBC ကုဒ်ဖြင့် ခိုင်မာမှုရှိစေရန် HMAC-SHA256 keyed-hash မက်ဆေ့ဂျ် စစ်မှန်ကြောင်းအထောက်အထားပြကုဒ် အယ်လဂိုရီသမ်

ပုံမှန်အားဖြင့်၊ IKE ကီးများကို ၁ နာရီတိုင်း (၃၆၀၀ စက္ကန့်) တိုင်း ပြန်လည်စတင်ပါသည်။ rekeying ကြားကာလကို စက္ကန့် 1 မှ 3600 ရက်အထိ (30 စက္ကန့်) မှ တန်ဖိုးသို့ ပြောင်းနိုင်သည်။ ပြန်လည်သော့ခတ်ခြင်းကြားကာလသည် အနည်းဆုံး 14 နာရီဖြစ်ရန် အကြံပြုထားသည်။

• vEdge(config)# vpn vpn-id အင်တာဖေ့စ် ipsec နံပါတ်ကဲ့သို့
• vEdge(config-ike)# rekey စက္ကန့်

IKE စက်ရှင်အတွက် သော့အသစ်များ၏ မျိုးဆက်ကို တွန်းအားပေးရန် တောင်းဆိုချက် ipsec ike-rekey အမိန့်ကို ထုတ်ပါ။

• vEdge(config)# vpn vpn-id interfaceipsec နံပါတ် ike

IKE အတွက်၊ သင်သည် ကြိုတင်မျှဝေထားသောသော့ (PSK) စစ်မှန်ကြောင်းအထောက်အထားပြမှုကိုလည်း စီစဉ်သတ်မှတ်နိုင်သည်-

• vEdge(config)# vpn vpn-id အင်တာဖေ့စ် ipsec နံပါတ် ike
• vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password သည် ကြိုတင်မျှဝေထားသောသော့ဖြင့် အသုံးပြုရမည့် စကားဝှက်ဖြစ်သည်။ ၎င်းသည် ASCII သို့မဟုတ် စာလုံးအရှည် 1 မှ 127 မှ hexadecimal စာကြောင်းဖြစ်နိုင်သည်။

အဝေးထိန်း IKE မျိုးတူသည် ဒေသန္တရ သို့မဟုတ် အဝေးထိန်း ID လိုအပ်ပါက၊ သင်သည် ဤသတ်မှတ်စနစ်ကို ပြင်ဆင်သတ်မှတ်နိုင်သည်-

• vEdge(config)# vpn vpn-id အင်တာဖေ့စ် ipsec နံပါတ် ike authentication-type
• vEdge(config-authentication-type)# local-id ID
• vEdge(config-authentication-type)# remote-id ID

identifier သည် IP လိပ်စာ သို့မဟုတ် အက္ခရာ 1 မှ 63 အထိရှည်သော မည်သည့်စာသားလိုင်းဖြစ်နိုင်သည်။ ပုံမှန်အားဖြင့်၊ ဒေသဆိုင်ရာ ID သည် ဥမင်လိုဏ်ခေါင်း၏ အရင်းအမြစ် IP လိပ်စာဖြစ်ပြီး အဝေးမှ ID သည် ဥမင်လိုဏ်ခေါင်း၏ ဦးတည်ရာ IP လိပ်စာဖြစ်သည်။

IKE ဗားရှင်း 2 ကို ဖွင့်ပါ။
IKE ဗားရှင်း 2 ကိုအသုံးပြုရန် IPsec ဥမင်လိုဏ်ခေါင်းတစ်ခုကို သင်ပြင်ဆင်သတ်မှတ်သောအခါ၊ IKEv2 အတွက် မူရင်းအတိုင်း အောက်ပါဂုဏ်သတ္တိများကို ဖွင့်ပေးထားသည်-

• စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းနှင့် ကုဒ်ဝှက်ခြင်း—AES-256 အဆင့်မြင့် ကုဒ်ဝှက်ခြင်းစံ CBC ကုဒ်ဝှက်ခြင်း
• Diffie-Hellman အဖွဲ့ နံပါတ်—၁၆
• ပြန်လည်သော့ဖွင့်ချိန်ကြားကာလ- 4 နာရီ

မူရင်းအားဖြင့် IKEv2 သည် IKE သော့လဲလှယ်မှုတွင် Diffie-Hellman အုပ်စု 16 ကို အသုံးပြုသည်။ ဤအဖွဲ့သည် IKE သော့လဲလှယ်မှုအတွင်း 4096-bit more modular exponential (MODP) အုပ်စုကို အသုံးပြုသည်။ အုပ်စုနံပါတ်ကို 2 (1024-bit MODP အတွက်)၊ 14 (2048-bit MODP) သို့မဟုတ် 15 (3072-bit MODP) သို့ ပြောင်းနိုင်သည်-

• vEdge(config)# vpn vpn-id အင်တာဖေ့စ် ipsecnumber ike
• vEdge(config-ike)# အဖွဲ့နံပါတ်

မူရင်းအားဖြင့်၊ IKE သော့လဲလှယ်သည် ခိုင်မာမှုရှိရန်အတွက် HMAC-SHA256 သော့ခတ်-ဟက်ရှ်မက်ဆေ့ဂျ် စစ်မှန်ကြောင်းအထောက်အထားပြကုဒ် အယ်လဂိုရီသမ်ဖြင့် AES-1 အဆင့်မြင့် ကုဒ်ဝှက်စံ CBC ကုဒ်ဝှက်ခြင်းကို အသုံးပြုသည်။ စစ်မှန်ကြောင်းအထောက်အထားကို သင်ပြောင်းလဲနိုင်သည်-

• vEdge(config)# vpn vpn-id အင်တာဖေ့စ် ipsecnumber ike
• vEdge(config-ike)# cipher-suite အစုံ

စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းအစုံသည် အောက်ပါတို့အနက်မှတစ်ခု ဖြစ်နိုင်သည်-

• aes128-cbc-sha1—AES-128 အဆင့်မြင့် ကုဒ်ဝှက်ခြင်းစံ CBC ကုဒ်ဖြင့် ခိုင်မာမှုရှိစေရန် HMAC-SHA1 keyed-hash မက်ဆေ့ဂျ် စစ်မှန်ကြောင်းအထောက်အထားပြကုဒ် အယ်လဂိုရီသမ်
• aes128-cbc-sha2—AES-128 အဆင့်မြင့် ကုဒ်ဝှက်ခြင်းစံ CBC ကုဒ်ဖြင့် ခိုင်မာမှုရှိစေရန် HMAC-SHA256 keyed-hash မက်ဆေ့ဂျ် စစ်မှန်ကြောင်းအထောက်အထားပြကုဒ် အယ်လဂိုရီသမ်
• aes256-cbc-sha1—AES-256 အဆင့်မြင့် လျှို့ဝှက်ကုဒ်သွင်းမှုစံ CBC ကုဒ်ဝှက်ခြင်း HMAC-SHA1 ခိုင်မာမှုရှိရန်အတွက် သော့ခတ်-hash မက်ဆေ့ဂျ်အထောက်အထားစိစစ်ခြင်းကုဒ် အယ်လဂိုရီသမ်၊ ဒါက ပုံသေပါ။
• aes256-cbc-sha2—AES-256 အဆင့်မြင့် ကုဒ်ဝှက်ခြင်းစံ CBC ကုဒ်ဖြင့် ခိုင်မာမှုရှိစေရန် HMAC-SHA256 keyed-hash မက်ဆေ့ဂျ် စစ်မှန်ကြောင်းအထောက်အထားပြကုဒ် အယ်လဂိုရီသမ်

ပုံမှန်အားဖြင့်၊ IKE ကီးများကို 4 နာရီတိုင်း (14,400 စက္ကန့်) တိုင်း ပြန်လည်စတင်သည်။ rekeying interval ကို စက္ကန့် 30 မှ 14 ရက်အထိ (1209600 စက္ကန့်) မှ တန်ဖိုးသို့ ပြောင်းနိုင်သည်။

• vEdge(config)# vpn vpn-id အင်တာဖေ့စ် ipsecnumber ike
• vEdge(config-ike)# rekey စက္ကန့်

IKE စက်ရှင်အတွက် သော့အသစ်များ၏ မျိုးဆက်ကို တွန်းအားပေးရန် တောင်းဆိုချက် ipsec ike-rekey အမိန့်ကို ထုတ်ပါ။ IKE အတွက်၊ သင်သည် ကြိုတင်မျှဝေထားသောသော့ (PSK) စစ်မှန်ကြောင်းအထောက်အထားပြမှုကိုလည်း စီစဉ်သတ်မှတ်နိုင်သည်-

• vEdge(config)# vpn vpn-id အင်တာဖေ့စ် ipsecnumber ike
• vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password သည် ကြိုတင်မျှဝေထားသောသော့ဖြင့် အသုံးပြုရမည့် စကားဝှက်ဖြစ်သည်။ ၎င်းသည် ASCII သို့မဟုတ် hexadecimal စာကြောင်းဖြစ်နိုင်သည်၊ သို့မဟုတ် ၎င်းသည် AES-ကုဒ်ဝှက်ထားသောသော့ဖြစ်နိုင်သည်။ အဝေးထိန်း IKE မျိုးတူသည် ဒေသန္တရ သို့မဟုတ် အဝေးထိန်း ID လိုအပ်ပါက၊ သင်သည် ဤသတ်မှတ်စနစ်ကို ပြင်ဆင်သတ်မှတ်နိုင်သည်-
• vEdge(config)# vpn vpn-id အင်တာဖေ့စ် ipsecnumber ike authentication-type
• vEdge(config-authentication-type)# local-id ID
• vEdge(config-authentication-type)# remote-id ID

identifier သည် IP လိပ်စာ သို့မဟုတ် အက္ခရာ 1 မှ 64 အထိရှည်သော မည်သည့်စာသားလိုင်းဖြစ်နိုင်သည်။ ပုံမှန်အားဖြင့်၊ ဒေသဆိုင်ရာ ID သည် ဥမင်လိုဏ်ခေါင်း၏ အရင်းအမြစ် IP လိပ်စာဖြစ်ပြီး အဝေးမှ ID သည် ဥမင်လိုဏ်ခေါင်း၏ ဦးတည်ရာ IP လိပ်စာဖြစ်သည်။

IPsec Tunnel Parameters များကို စီစဉ်သတ်မှတ်ပါ။

ဇယား 4- အင်္ဂါရပ်မှတ်တမ်း

ထူးခြားချက် နာမည်	သတင်းထုတ်ပြန်ချက်	ဖော်ပြချက်
ထပ်လောင်းရေးနည်း	Cisco SD-WAN ဖြန့်ချိရေး 20.1.1	ဤအင်္ဂါရပ်သည် အထောက်အပံ့ကို ပေါင်းထည့်သည်။
IPSec အတွက် Algorithmic ပံ့ပိုးမှု		HMAC_SHA256၊ HMAC_SHA384 နှင့်
ဥမင်များ		HMAC_SHA512 အယ်လဂိုရီသမ်များ
		လုံခြုံရေးတိုးမြှင့်။

မူရင်းအားဖြင့်၊ IKE အသွားအလာကို သယ်ဆောင်ပေးသည့် IPsec ဥမင်တွင် အောက်ဖော်ပြပါ ကန့်သတ်ချက်များကို အသုံးပြုသည်-

• စစ်မှန်ကြောင်းနှင့် ကုဒ်ဝှက်ခြင်း—GCM (Galois/ကောင်တာမုဒ်) ရှိ AES-256 algorithm
• သော့ဖွင့်ချိန်- 4 နာရီ
• ဝင်းဒိုးကို ပြန်ဖွင့်ပါ—32 ထုပ်

IPsec ဥမင်အတွင်း ကုဒ်ဝှက်ခြင်းအား CBC တွင် AES-256 cipher သို့ ပြောင်းလဲနိုင်သည် (SHA-1 သို့မဟုတ် SHA-2 သော့ခတ်ထားသော-hash မက်ဆေ့ချ်ကို အထောက်အထားစိစစ်ခြင်း သို့မဟုတ် SHA-1 ကိုသုံး၍ HMAC ဖြင့် HMAC ဖြင့် cipher ပိတ်ဆို့ခြင်းမုဒ်သို့ ပြောင်းလဲနိုင်သည်။ SHA-2 keyed-hash မက်ဆေ့ဂျ် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း၊ IKE သော့လဲလှယ်လမ်းကြောင်းအတွက်အသုံးပြုသော IPsec ဥမင်ကို စာဝှက်မထားရန်၊

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-aes1-null-sha256 | aes256-null-sha256 | aes384-null-sha256)

ပုံမှန်အားဖြင့်၊ IKE ကီးများကို 4 နာရီတိုင်း (14,400 စက္ကန့်) တိုင်း ပြန်လည်စတင်သည်။ rekeying interval ကို စက္ကန့် 30 မှ 14 ရက်အထိ (1209600 စက္ကန့်) မှ တန်ဖိုးသို့ ပြောင်းနိုင်သည်။

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# rekey စက္ကန့်

IPsec ဥမင်လိုဏ်ခေါင်းတစ်ခုအတွက် သော့အသစ်များ၏ မျိုးဆက်ကို တွန်းအားပေးရန် တောင်းဆိုချက် ipsec ipsec-rekey အမိန့်ကို ထုတ်ပါ။ မူရင်းအားဖြင့်၊ ပြီးပြည့်စုံသောရှေ့ဆက်လျှို့ဝှက်ချက် (PFS) ကို IPsec ဥမင်များပေါ်တွင် ဖွင့်ထားသည်၊၊ အနာဂတ်သော့များကို အပေးအယူလုပ်ခံရပါက ယခင်ဆက်ရှင်များကို ထိခိုက်မည်မဟုတ်ကြောင်း သေချာစေရန်။ PFS သည် 4096-bit Diffie-Hellman prime module group ကို အသုံးပြု၍ မူရင်းအတိုင်း Diffie-Hellman သော့လဲလှယ်မှုအသစ်ကို တွန်းအားပေးသည်။ PFS ဆက်တင်ကို သင်ပြောင်းလဲနိုင်သည်-

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# perfect-forward-secrecy pfs-ဆက်တင်

pfs-setting သည် အောက်ပါတို့ထဲမှ တစ်ခု ဖြစ်နိုင်သည်-

• အုပ်စု-၂- 2-bit Diffie-Hellman prime modulus အုပ်စုကို အသုံးပြုပါ။
• အုပ်စု-၂- 14-bit Diffie-Hellman prime modulus အုပ်စုကို အသုံးပြုပါ။
• အုပ်စု-၂- 15-bit Diffie-Hellman prime modulus အုပ်စုကို အသုံးပြုပါ။
• group-16—4096-bit Diffie-Hellman prime modulus အုပ်စုကိုသုံးပါ။ ဤသည်မှာ ပုံသေဖြစ်သည်။
• မရှိပါ- PFS ကို ပိတ်ပါ။

ပုံမှန်အားဖြင့်၊ IPsec tunnel ရှိ IPsec ပြန်ဖွင့်သည့်ဝင်းဒိုးသည် 512 bytes ဖြစ်သည်။ ပြန်ဖွင့်သည့်ဝင်းဒိုးအရွယ်အစားကို 64၊ 128၊ 256၊ 512၊ 1024၊ 2048 သို့မဟုတ် 4096 အစုံလိုက်အဖြစ် သင်သတ်မှတ်နိုင်သည်။

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# replay-window နံပါတ်

IKE Dead-Peer Detection ကို မွမ်းမံပါ။

IKE သည် IKE သက်တူရွယ်တူနှင့် ချိတ်ဆက်မှုသည် အလုပ်လုပ်နိုင်ပြီး လက်လှမ်းမီနိုင်မှု ရှိမရှိ ဆုံးဖြတ်ရန် dead-peer detection ယန္တရားကို အသုံးပြုသည်။ ဤယန္တရားအား အကောင်အထည်ဖော်ရန်အတွက် IKE သည် ၎င်း၏ရွယ်တူများထံ Hello packet တစ်ခုကို ပေးပို့ပြီး မျိုးတူသည် တုံ့ပြန်မှုဖြင့် အသိအမှတ်ပြုချက်တစ်ခု ပေးပို့သည်။ ပုံမှန်အားဖြင့်၊ IKE သည် Hello packets များကို 10 စက္ကန့်တိုင်း ပို့ပေးပြီး အသိအမှတ်မပြုထားသော packet သုံးခုပြီးနောက် IKE သည် အိမ်နီးချင်းကို သေပြီဟု ကြေညာပြီး ဥမင်လိုဏ်ခေါင်းကို ရွယ်တူချင်းထံ မျက်ရည်ကျစေသည်။ ထို့နောက်တွင်၊ IKE သည် သက်တူရွယ်တူများထံ Hello packet ကို အခါအားလျော်စွာ ပို့ပေးပြီး ရွယ်တူသည် အွန်လိုင်းပြန်တက်လာသောအခါတွင် ဥမင်လိုဏ်ခေါင်းကို ပြန်လည်တည်ဆောက်ပေးပါသည်။ အသက်ရှင်မှု သိရှိခြင်းကြားကာလကို 0 မှ 65535 မှ တန်ဖိုးတစ်ခုသို့ သင်ပြောင်းလဲနိုင်ပြီး 0 မှ 255 မှ တန်ဖိုးတစ်ခုသို့ ထပ်မံကြိုးစားမှုအရေအတွက်ကို သင်ပြောင်းလဲနိုင်သည်။

မှတ်ချက်

သယ်ယူပို့ဆောင်ရေး VPN များအတွက်၊ အသက်ရှင်မှု ထောက်လှမ်းမှုကြားကာလကို အောက်ပါဖော်မြူလာကို အသုံးပြု၍ စက္ကန့်အဖြစ် ပြောင်းလဲသည်- ပြန်လည်ထုတ်လွှင့်မှုကြိုးပမ်းမှုနံပါတ် N = ကြားကာလ * 1.8N-1For example၊ ကြားကာလကို 10 ဟုသတ်မှတ်ပြီး 5 သို့ပြန်လုပ်ပါက၊ ထောက်လှမ်းမှုကြားကာလသည် အောက်ပါအတိုင်း တိုးလာသည်-

• ကြိုးစားမှု 1- 10*1.81-1= 10 စက္ကန့်
• ကြိုးစားမှု 2: 10*1.82-1= 18 စက္ကန့်
• ကြိုးစားမှု 3: 10*1.83-1= 32.4 စက္ကန့်
• ကြိုးစားမှု 4: 10*1.84-1= 58.32 စက္ကန့်
• ကြိုးစားမှု 5: 10*1.85-1= 104.976 စက္ကန့်

vEdge(config-interface-ipsecnumber)# dead-peer-detection ကြားကာလ ထပ်စမ်းခြင်း နံပါတ်

အခြား Interface Properties ကို စီစဉ်သတ်မှတ်ပါ။

IPsec tunnel အင်တာဖေ့စ်များအတွက်၊ သင်သည် အောက်ပါ ထပ်လောင်း အင်တာဖေ့စ် ဂုဏ်သတ္တိများကိုသာ သတ်မှတ်နိုင်သည်-

• vEdge(config-interface-ipsec)# mtu bytes
• vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Cisco SD-WAN မန်နေဂျာရှိ အားနည်းသော SSH ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များကို ပိတ်ပါ။

ဇယား 5- အင်္ဂါရပ်မှတ်တမ်း ဇယား

ထူးခြားချက် နာမည်	သတင်းထုတ်ပြန်ချက်	ထူးခြားချက် ဖော်ပြချက်
Cisco SD-WAN မန်နေဂျာရှိ အားနည်းသော SSH ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များကို ပိတ်ပါ။	Cisco vManage ဖြန့်ချိရေး 20.9.1	ဤအင်္ဂါရပ်သည် သင့်အား အချို့သောဒေတာလုံခြုံရေးစံနှုန်းများနှင့်မကိုက်ညီသည့် Cisco SD-WAN မန်နေဂျာရှိ အားနည်းသော SSH အယ်လဂိုရီသမ်များကို ပိတ်နိုင်စေသည်။

Cisco SD-WAN မန်နေဂျာရှိ အားနည်းသော SSH စာဝှက်စနစ် အယ်လဂိုရီသမ်များကို ပိတ်ခြင်းဆိုင်ရာ အချက်အလက်
Cisco SD-WAN Manager သည် ထိန်းချုပ်သူများ နှင့် edge devices များအပါအဝင် ကွန်ရက်အတွင်းရှိ အစိတ်အပိုင်းများနှင့် ဆက်သွယ်ရန်အတွက် SSH client ကို ပံ့ပိုးပေးပါသည်။ SSH ကလိုင်းယင့်သည် ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်အမျိုးမျိုးအပေါ် အခြေခံ၍ လုံခြုံသောဒေတာလွှဲပြောင်းမှုအတွက် ကုဒ်ဝှက်ထားသောချိတ်ဆက်မှုကို ပံ့ပိုးပေးပါသည်။ အဖွဲ့အစည်းများစွာသည် SHA-1၊ AES-128 နှင့် AES-192 တို့မှ ပံ့ပိုးပေးသည်ထက် ပိုမိုအားကောင်းသည့် ကုဒ်ဝှက်စနစ်ကို လိုအပ်သည်။ Cisco vManage Release 20.9.1 မှ၊ SSH client သည် ဤ algorithms များကို အသုံးမပြုစေရန် အောက်ပါအားနည်းသော ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်ဂိုရီသမ်များကို ပိတ်နိုင်သည်-

• SHA-1
• AES-128
• AES-192

ဤကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များကို ပိတ်ခြင်းမပြုမီ၊ Cisco vEdge စက်များသည် ကွန်ရက်အတွင်းရှိလျှင် Cisco SD-WAN ထုတ်ဝေမှု 18.4.6 ထက် နောက်ကျသွားသော ဆော့ဖ်ဝဲကို အသုံးပြုနေကြောင်း သေချာပါစေ။

Cisco SD-WAN Manager ရှိ အားနည်းသော SSH စာဝှက်စနစ် အယ်လဂိုရီသမ်များကို ပိတ်ခြင်း၏ အကျိုးကျေးဇူးများ
အားနည်းသော SSH ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များကို ပိတ်ခြင်းသည် SSH ဆက်သွယ်ရေး၏ လုံခြုံရေးကို ပိုမိုကောင်းမွန်စေပြီး Cisco Catalyst SD-WAN အသုံးပြုထားသော အဖွဲ့အစည်းများသည် တင်းကျပ်သော လုံခြုံရေးစည်းမျဉ်းများနှင့် ကိုက်ညီကြောင်း သေချာစေသည်။

Cisco SD-WAN Manager တွင် CLI ကိုအသုံးပြု၍ အားနည်းသော SSH အသွင်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များကို ပိတ်ပါ။

1. Cisco SD-WAN Manager မီနူးမှ ကိရိယာများ > SSH Terminal ကို ရွေးပါ။
2. အားနည်းသော SSH အယ်လဂိုရီသမ်များကို ပိတ်လိုသည့် Cisco SD-WAN မန်နေဂျာ စက်ပစ္စည်းကို ရွေးပါ။
3. စက်ပစ္စည်းသို့ အကောင့်ဝင်ရန် အသုံးပြုသူအမည်နှင့် စကားဝှက်ကို ထည့်သွင်းပါ။
4. SSH ဆာဗာမုဒ်ကို ထည့်သွင်းပါ။
   • vmanage(config)# စနစ်
   • vmanage(config-system)# ssh-ဆာဗာ
5. SSH ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်ကို ပိတ်ရန် အောက်ပါတို့မှ တစ်ခုကို လုပ်ဆောင်ပါ-
   • SHA-1 ကို ပိတ်ရန်-
6. manage(config-ssh-server)# kex-algo sha1 မရှိပါ။
7. manage(config-ssh-server)# commit
   အောက်ပါသတိပေးချက်မက်ဆေ့ချ်ကို ပြသထားသည်- အောက်ပါသတိပေးချက်များကို ထုတ်ပေးသည်- 'system ssh-server kex-algo sha1': သတိပေးချက်- ကျေးဇူးပြု၍ သင့်အနားများအားလုံးတွင် ကုဒ်ဗားရှင်း > 18.4.6 နှင့် SHA1 ထက် ပိုမိုကောင်းမွန်အောင်ညှိနှိုင်းပေးသည့် vManage ကို သေချာပါစေ။ မဟုတ်ပါက ထိုအနားများသည် အော့ဖ်လိုင်းဖြစ်သွားနိုင်သည်။ ရှေ့ဆက်မလား။ [ဟုတ်တယ်၊ မဟုတ်ဘူး] ဟုတ်တယ်။
   • ကွန်ရက်အတွင်းရှိ Cisco vEdge စက်ပစ္စည်းများသည် Cisco SD-WAN ဖြန့်ချိရေး 18.4.6 သို့မဟုတ် ထို့ထက်နောက်ပိုင်းတွင် အသုံးပြုနေကြောင်း သေချာစေပြီး yes ဟုရိုက်ထည့်ပါ။
   • AES-128 နှင့် AES-192 ကို ပိတ်ရန်-
   • vmanage(config-ssh-server)# စာဝှက်မရှိ aes-128-192
   • vmanage(config-ssh-server)# commit
     အောက်ဖော်ပြပါသတိပေးစာအား ပြသသည်-
     အောက်ပါသတိပေးချက်များကို ထုတ်ပေးခဲ့သည်-
     'system ssh-server cipher aes-128-192'- သတိပေးချက်- vManage ဖြင့် AES-18.4.6-128 ထက် ပိုမိုကောင်းမွန်သော ညှိနှိုင်းပေးသည့် သင့်အနားများအားလုံးတွင် ကုဒ်ဗားရှင်း > 192 လည်ပတ်ကြောင်း သေချာပါစေ။ မဟုတ်ပါက ထိုအနားများသည် အော့ဖ်လိုင်းဖြစ်သွားနိုင်သည်။ ရှေ့ဆက်မလား။ [ဟုတ်တယ်၊ မဟုတ်ဘူး] ဟုတ်တယ်။
   • ကွန်ရက်အတွင်းရှိ Cisco vEdge စက်ပစ္စည်းများသည် Cisco SD-WAN ဖြန့်ချိရေး 18.4.6 သို့မဟုတ် ထို့ထက်နောက်ပိုင်းတွင် အသုံးပြုနေကြောင်း သေချာစေပြီး yes ဟုရိုက်ထည့်ပါ။

CLI ကိုအသုံးပြု၍ Cisco SD-WAN Manager တွင် အားနည်းသော SSH ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များကို ပိတ်ထားကြောင်း အတည်ပြုပါ

1. Cisco SD-WAN Manager မီနူးမှ ကိရိယာများ > SSH Terminal ကို ရွေးပါ။
2. သင်အတည်ပြုလိုသော Cisco SD-WAN မန်နေဂျာ စက်ပစ္စည်းကို ရွေးချယ်ပါ။
3. စက်ပစ္စည်းသို့ အကောင့်ဝင်ရန် အသုံးပြုသူအမည်နှင့် စကားဝှက်ကို ထည့်သွင်းပါ။
4. အောက်ပါ command ကို run သည်-running-config system ssh-server ကိုပြသပါ။
5. အားနည်းသော ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များကို ပိတ်သည့် ညွှန်ကြားချက်တစ်ခု သို့မဟုတ် တစ်ခုထက်ပိုသော အထွက်တွင် ပြသကြောင်း အတည်ပြုပါ-
   • cipher aes-128-192 မရှိပါ။
   • kex-algo sha1 မရှိပါ။

စာရွက်စာတမ်းများ / အရင်းအမြစ်များ

CISCO SD-WAN သည် လုံခြုံရေး ကန့်သတ်ချက်များကို စီစဉ်သတ်မှတ်သည်။ [pdf] အသုံးပြုသူလမ်းညွှန် SD-WAN လုံခြုံရေး ကန့်သတ်ချက်များ သတ်မှတ်ခြင်း၊ SD-WAN၊ လုံခြုံရေး ကန့်သတ်ချက်များ သတ်မှတ်ခြင်း၊ လုံခြုံရေး ကန့်သတ်ချက်များ

ကိုးကား

• အသုံးပြုသူလက်စွဲ