CISCO SD-WAN कन्फिगर सुरक्षा प्यारामिटर प्रयोगकर्ता गाइड

सरलीकरण र स्थिरता प्राप्त गर्न, Cisco SD-WAN समाधानलाई Cisco Catalyst SD-WAN को रूपमा पुन: ब्रान्ड गरिएको छ। थप रूपमा, Cisco IOS XE SD-WAN रिलीज 17.12.1a र Cisco Catalyst SD-WAN रिलीज 20.12.1 बाट, निम्न घटक परिवर्तनहरू लागू हुन्छन्: Cisco vManage to Cisco Catalyst SD-WAN प्रबन्धक, Cisco vAnalytics बाट Cisco-SDN Catalyst एनालिटिक्स, Cisco vBond to Cisco Catalyst SD-WAN Validator, र Cisco vSmart देखि Cisco Catalyst SD-WAN कन्ट्रोलर। सबै कम्पोनेन्ट ब्रान्ड नाम परिवर्तनहरूको विस्तृत सूचीको लागि नवीनतम रिलीज नोटहरू हेर्नुहोस्। हामी नयाँ नामहरूमा ट्रान्जिसन गर्दा, सफ्टवेयर उत्पादनको प्रयोगकर्ता इन्टरफेस अपडेटहरूमा चरणबद्ध दृष्टिकोणको कारणले कागजात सेटमा केही असंगतिहरू उपस्थित हुन सक्छन्।

यस खण्डले सिस्को उत्प्रेरक SD-WAN ओभरले नेटवर्कमा कन्ट्रोल प्लेन र डाटा प्लेनका लागि सुरक्षा मापदण्डहरू कसरी परिवर्तन गर्ने भनेर वर्णन गर्दछ।

नियन्त्रण विमान सुरक्षा प्यारामिटरहरू कन्फिगर गर्नुहोस्, अन

डाटा प्लेन सुरक्षा प्यारामिटरहरू कन्फिगर गर्नुहोस्, अन
IKE-सक्षम IPsec टनेलहरू कन्फिगर गर्नुहोस्, अन

सिस्को SD-WAN प्रबन्धकमा कमजोर SSH एन्क्रिप्शन एल्गोरिदम असक्षम गर्नुहोस्, अन

नियन्त्रण विमान सुरक्षा प्यारामिटरहरू कन्फिगर गर्नुहोस्

पूर्वनिर्धारित रूपमा, नियन्त्रण विमानले DTLS लाई प्रोटोकलको रूपमा प्रयोग गर्दछ जसले यसको सबै टनेलहरूमा गोपनीयता प्रदान गर्दछ। DTLS UDP मा चल्छ। तपाईले नियन्त्रण विमान सुरक्षा प्रोटोकललाई TLS मा परिवर्तन गर्न सक्नुहुन्छ, जुन TCP मा चल्छ। TLS प्रयोग गर्ने प्राथमिक कारण यो हो कि, यदि तपाइँ Cisco SD-WAN नियन्त्रकलाई सर्भर मान्नुहुन्छ भने, फायरवालहरूले TCP सर्भरहरू UDP सर्भरहरू भन्दा राम्रोसँग सुरक्षित गर्दछ। तपाईंले सिस्को SD-WAN कन्ट्रोलरमा कन्ट्रोल प्लेन टनेल प्रोटोकल कन्फिगर गर्नुहुन्छ: vSmart(config)# सुरक्षा नियन्त्रण प्रोटोकल tls यो परिवर्तनको साथ, सिस्को SD-WAN नियन्त्रक र राउटरहरू र सिस्को SD-WAN नियन्त्रक बीचको सबै नियन्त्रण प्लेन टनेलहरू। र Cisco SD-WAN प्रबन्धकले TLS प्रयोग गर्दछ। Cisco Catalyst SD-WAN Validator लाई प्लेन टनेलहरू नियन्त्रण गर्नुहोस् सधैं DTLS प्रयोग गर्नुहोस्, किनभने यी जडानहरू UDP द्वारा ह्यान्डल हुनुपर्छ। धेरै Cisco SD-WAN नियन्त्रकहरू भएको डोमेनमा, जब तपाइँ Cisco SD-WAN नियन्त्रकहरू मध्ये एउटामा TLS कन्फिगर गर्नुहुन्छ, त्यो नियन्त्रकबाट अन्य नियन्त्रकहरूमा सबै नियन्त्रण प्लेन टनेलहरूले TLS प्रयोग गर्छन्। अर्को तरिकाले भन्यो, TLS ले सधैं DTLS भन्दा प्राथमिकता लिन्छ। यद्यपि, अन्य सिस्को SD-WAN नियन्त्रकहरूको परिप्रेक्ष्यमा, यदि तपाईंले तिनीहरूमा TLS कन्फिगर गर्नुभएको छैन भने, तिनीहरूले नियन्त्रण प्लेन टनेलमा केवल एक सिस्को SD-WAN नियन्त्रकमा TLS प्रयोग गर्छन्, र तिनीहरूले अन्य सबैमा DTLS टनेलहरू प्रयोग गर्छन्। Cisco SD-WAN नियन्त्रकहरू र तिनीहरूका सबै जडान गरिएका राउटरहरूमा। सबै Cisco SD-WAN नियन्त्रकहरू TLS प्रयोग गर्न, तिनीहरूलाई सबैमा कन्फिगर गर्नुहोस्। पूर्वनिर्धारित रूपमा, Cisco SD-WAN नियन्त्रकले TLS अनुरोधहरूको लागि पोर्ट 23456 मा सुन्छ। यसलाई परिवर्तन गर्नको लागि: vSmart(config)# security control tls-port number यो पोर्ट 1025 देखि 65535 सम्मको नम्बर हुन सक्छ। कन्ट्रोल प्लेन सुरक्षा जानकारी प्रदर्शन गर्न, सिस्को SD-WAN कन्ट्रोलरमा शो कन्ट्रोल जडान कमाण्ड प्रयोग गर्नुहोस्। पूर्वका लागिample: vSmart-2# नियन्त्रण जडानहरू देखाउनुहोस्

Cisco SD-WAN प्रबन्धकमा DTLS कन्फिगर गर्नुहोस्

यदि तपाईंले सिस्को SD-WAN प्रबन्धक कन्फिगर गर्नुहुन्छ TLS लाई नियन्त्रण विमान सुरक्षा प्रोटोकलको रूपमा प्रयोग गर्न, तपाईंले आफ्नो NAT मा पोर्ट फर्वार्डिङ सक्षम गर्नुपर्छ। यदि तपाइँ नियन्त्रण विमान सुरक्षा प्रोटोकलको रूपमा DTLS प्रयोग गर्दै हुनुहुन्छ भने, तपाइँले केहि गर्न आवश्यक छैन। फर्वार्ड गरिएका पोर्टहरूको संख्या सिस्को SD-WAN प्रबन्धकमा चलिरहेको vdaemon प्रक्रियाहरूको संख्यामा निर्भर गर्दछ। यी प्रक्रियाहरू र फर्वार्ड गरिएका पोर्टहरूको संख्या बारे जानकारी प्रदर्शन गर्न, शो नियन्त्रण सारांश आदेश प्रयोग गर्नुहोस् चार डेमन प्रक्रियाहरू चलिरहेको देखाउँछ:

सुन्ने पोर्टहरू हेर्नको लागि, show control local-properties आदेश प्रयोग गर्नुहोस्: vManage# show control local-properties

यो आउटपुटले सुन्ने TCP पोर्ट २३४५६ हो भनेर देखाउँछ। यदि तपाइँ NAT पछि Cisco SD-WAN प्रबन्धक चलाउँदै हुनुहुन्छ भने, तपाइँ NAT उपकरणमा निम्न पोर्टहरू खोल्नुपर्दछ:

23456 (आधार - उदाहरण 0 पोर्ट)

23456 + 100 (आधार + 100)
23456 + 200 (आधार + 200)

23456 + 300 (आधार + 300)

ध्यान दिनुहोस् कि उदाहरणहरूको संख्या तपाईंले Cisco SD-WAN प्रबन्धकको लागि तोकिएको कोरको संख्या जत्तिकै हो, अधिकतम 8 सम्म।

सुरक्षा सुविधा टेम्प्लेट प्रयोग गरेर सुरक्षा प्यारामिटरहरू कन्फिगर गर्नुहोस्

सबै Cisco vEdge उपकरणहरूको लागि सुरक्षा सुविधा टेम्प्लेट प्रयोग गर्नुहोस्। किनारा राउटरहरूमा र Cisco SD-WAN Validator मा, डाटा प्लेन सुरक्षाको लागि IPsec कन्फिगर गर्न यो टेम्प्लेट प्रयोग गर्नुहोस्। Cisco SD-WAN प्रबन्धक र Cisco SD-WAN नियन्त्रकमा, नियन्त्रण विमान सुरक्षाको लागि DTLS वा TLS कन्फिगर गर्न सुरक्षा सुविधा टेम्प्लेट प्रयोग गर्नुहोस्।

सुरक्षा प्यारामिटरहरू कन्फिगर गर्नुहोस्

Cisco SD-WAN प्रबन्धक मेनुबाट, कन्फिगरेसन > टेम्प्लेटहरू छान्नुहोस्।

फीचर टेम्प्लेटमा क्लिक गर्नुहोस् र त्यसपछि टेम्प्लेट थप्नुहोस् क्लिक गर्नुहोस्।
नोट Cisco vManage Release 20.7.1 र अघिल्लो रिलीजहरूमा, फीचर टेम्प्लेटहरूलाई फीचर भनिन्छ।
बायाँ फलकमा यन्त्रहरूको सूचीबाट, एउटा यन्त्र छान्नुहोस्। चयन गरिएको उपकरणमा लागू हुने टेम्प्लेटहरू दायाँ फलकमा देखा पर्दछ।

टेम्प्लेट खोल्न सुरक्षामा क्लिक गर्नुहोस्।
टेम्प्लेट नाम फिल्डमा, टेम्प्लेटको लागि नाम प्रविष्ट गर्नुहोस्। नाम 128 वर्ण सम्म हुन सक्छ र केवल अल्फान्यूमेरिक वर्णहरू हुन सक्छ।

टेम्प्लेट विवरण फिल्डमा, टेम्प्लेटको विवरण प्रविष्ट गर्नुहोस्। विवरण 2048 वर्णहरू सम्म हुन सक्छ र केवल अल्फान्यूमेरिक वर्णहरू समावेश हुन सक्छ।

जब तपाइँ पहिलो पटक सुविधा टेम्प्लेट खोल्नुहुन्छ, प्रत्येक प्यारामिटरको लागि पूर्वनिर्धारित मान छ, स्कोपलाई पूर्वनिर्धारित (चेकमार्क द्वारा संकेत गरिएको) मा सेट गरिन्छ, र पूर्वनिर्धारित सेटिङ वा मान देखाइन्छ। पूर्वनिर्धारित परिवर्तन गर्न वा मान प्रविष्ट गर्न, प्यारामिटर फिल्डको बाँयामा रहेको स्कोप ड्रप-डाउन मेनुमा क्लिक गर्नुहोस् र निम्न मध्ये एउटा छान्नुहोस्:

तालिका १०:

प्यारामिटर स्कोप

दायरा विवरण

यन्त्र विशिष्ट (होस्ट आइकन द्वारा संकेत गरिएको)

प्यारामिटरको लागि यन्त्र-विशिष्ट मान प्रयोग गर्नुहोस्। यन्त्र-विशेष प्यारामिटरहरूको लागि, तपाईंले सुविधा टेम्प्लेटमा मान प्रविष्ट गर्न सक्नुहुन्न। तपाईंले यन्त्र टेम्प्लेटमा Viptela यन्त्र संलग्न गर्दा तपाईंले मान प्रविष्ट गर्नुहुन्छ।

जब तपाइँ उपकरण विशिष्ट क्लिक गर्नुहुन्छ, इन्टर कुञ्जी बक्स खुल्छ। यो बाकसले एउटा कुञ्जी देखाउँछ, जुन एक अद्वितीय स्ट्रिङ हो जसले CSV मा प्यारामिटर पहिचान गर्छ file जुन तपाईले सिर्जना गर्नुभयो। यो file एउटा एक्सेल स्प्रेडसिट हो जसमा प्रत्येक कुञ्जीको लागि एउटा स्तम्भ हुन्छ। हेडर पङ्क्तिले कुञ्जी नामहरू समावेश गर्दछ (प्रति स्तम्भमा एउटा कुञ्जी), र त्यस पछिको प्रत्येक पङ्क्तिले उपकरणसँग मेल खान्छ र त्यो यन्त्रको लागि कुञ्जीहरूको मानहरू परिभाषित गर्दछ। तपाईंले CSV अपलोड गर्नुहोस् file जब तपाइँ यन्त्र टेम्प्लेटमा Viptela उपकरण संलग्न गर्नुहुन्छ। थप जानकारीको लागि, टेम्प्लेट चर स्प्रेडसिट सिर्जना गर्नुहोस् हेर्नुहोस्।

पूर्वनिर्धारित कुञ्जी परिवर्तन गर्न, नयाँ स्ट्रिङ टाइप गर्नुहोस् र इन्टर कुञ्जी बाकसबाट कर्सर बाहिर सार्नुहोस्।

Exampयन्त्र-विशिष्ट प्यारामिटरहरू प्रणाली IP ठेगाना, होस्टनाम, GPS स्थान, र साइट ID हुन्।

प्यारामिटर स्कोप

दायरा विवरण

विश्वव्यापी (ग्लोब आइकनद्वारा संकेत गरिएको)

प्यारामिटरको लागि मान प्रविष्ट गर्नुहोस्, र सबै यन्त्रहरूमा त्यो मान लागू गर्नुहोस्।

Exampतपाईंले यन्त्रहरूको समूहमा विश्वव्यापी रूपमा लागू गर्न सक्ने प्यारामिटरहरू DNS सर्भर, syslog सर्भर, र इन्टरफेस MTUs हुन्।

नियन्त्रण विमान सुरक्षा कन्फिगर गर्नुहोस्

नोट
कन्फिगर कन्ट्रोल प्लेन सुरक्षा खण्ड सिस्को SD-WAN प्रबन्धक र Cisco SD-WAN नियन्त्रकमा मात्र लागू हुन्छ। Cisco SD-WAN प्रबन्धक उदाहरण वा Cisco SD-WAN नियन्त्रकमा नियन्त्रण विमान जडान प्रोटोकल कन्फिगर गर्न, आधारभूत कन्फिगरेसन क्षेत्र छान्नुहोस्। र निम्न प्यारामिटरहरू कन्फिगर गर्नुहोस्:

तालिका १०:

प्यारामिटर नाम

विवरण

प्रोटोकल

Cisco SD-WAN नियन्त्रकमा नियन्त्रण प्लेन जडानहरूमा प्रयोग गर्न प्रोटोकल छनोट गर्नुहोस्:

• DTLS (Datagराम यातायात तह सुरक्षा)। यो पूर्वनिर्धारित हो।

• TLS (ट्रान्सपोर्ट लेयर सुरक्षा)

TLS पोर्ट नियन्त्रण गर्नुहोस्

यदि तपाईंले TLS चयन गर्नुभयो भने, प्रयोग गर्न पोर्ट नम्बर कन्फिगर गर्नुहोस्:दायरा: 1025 देखि 65535 सम्मपूर्वनिर्धारित: 23456

बचत क्लिक गर्नुहोस्

डाटा प्लेन सुरक्षा कन्फिगर गर्नुहोस्
Cisco SD-WAN Validator वा Cisco vEdge राउटरमा डेटा विमान सुरक्षा कन्फिगर गर्न, आधारभूत कन्फिगरेसन र प्रमाणीकरण प्रकार ट्याबहरू छान्नुहोस्, र निम्न प्यारामिटरहरू कन्फिगर गर्नुहोस्:

तालिका १०:

प्यारामिटर नाम	विवरण
रेकी समय	Cisco vEdge राउटरले आफ्नो सुरक्षित DTLS जडानमा प्रयोग गरिएको AES कुञ्जीलाई Cisco SD-WAN कन्ट्रोलरमा कति पटक परिवर्तन गर्छ निर्दिष्ट गर्नुहोस्। यदि OMP ग्रेसफुल रिस्टार्ट सक्षम छ भने, पुन: किइङ समय OMP ग्रेसफुल रिस्टार्ट टाइमरको कम्तीमा दुई गुणा हुनुपर्छ।दायरा: १० देखि १२०९६०० सेकेन्ड (१४ दिन)पूर्वनिर्धारित: ८६४०० सेकेन्ड (२४ घण्टा)
विन्डो रिप्ले गर्नुहोस्	स्लाइडिङ रिप्ले विन्डोको साइज निर्दिष्ट गर्नुहोस्। मानहरू: 64, 128, 256, 512, 1024, 2048, 4096, 8192 प्याकेटहरूपूर्वनिर्धारित: ५१२ प्याकेटहरू
IPsec pairwise-keying	यो पूर्वनिर्धारित रूपमा बन्द छ। क्लिक गर्नुहोस् On यसलाई खोल्न।

प्यारामिटर नाम

विवरण

प्रमाणीकरण प्रकार

बाट प्रमाणीकरण प्रकारहरू चयन गर्नुहोस् प्रमाणीकरण सूची, र प्रमाणिकरण प्रकारहरूलाई सार्न दायाँ देखाउने तीरमा क्लिक गर्नुहोस् चयन गरिएको सूची स्तम्भ।

Cisco SD-WAN रिलीज 20.6.1 बाट समर्थित प्रमाणीकरण प्रकारहरू:

• esp: ESP हेडरमा Encapsulating Security Payload (ESP) इन्क्रिप्सन र अखण्डता जाँचलाई सक्षम बनाउँछ।

• ip-udp-esp: ESP इन्क्रिप्सन सक्षम गर्दछ। ESP हेडर र पेलोडमा अखण्डता जाँचको अतिरिक्त, चेकहरूले बाहिरी IP र UDP हेडरहरू पनि समावेश गर्दछ।

• ip-udp-esp-no-id: सिस्को उत्प्रेरक SD-WAN गैर-सिस्को उपकरणहरूसँग संयोजनमा काम गर्न सकून् भनेर IP हेडरमा ID क्षेत्रलाई बेवास्ता गर्छ।

• कुनै पनि: IPSec प्याकेटहरूमा पूर्णता जाँच बन्द गर्छ। हामी यो विकल्प प्रयोग गर्न सिफारिस गर्दैनौं।

Cisco SD-WAN रिलीज 20.5.1 र अघिल्लो मा समर्थित प्रमाणीकरण प्रकारहरू:

• ah-no-id: AH-SHA1 HMAC र ESP HMAC-SHA1 को परिष्कृत संस्करण सक्षम गर्नुहोस् जसले प्याकेटको बाहिरी IP हेडरमा ID फिल्डलाई बेवास्ता गर्छ।

• ah-sha1-hmac: AH-SHA1 HMAC र ESP HMAC-SHA1 सक्षम गर्नुहोस्।

• कुनै पनि: कुनै प्रमाणीकरण छैन चयन गर्नुहोस्।

• sha1-hmac: ESP HMAC-SHA1 सक्षम गर्नुहोस्।

नोट Cisco SD-WAN रिलीज 20.5.1 वा पहिले चलिरहेको एज उपकरणको लागि, तपाईंले प्रमाणीकरण प्रकारहरू प्रयोग गरेर कन्फिगर गर्नुभएको हुन सक्छ। सुरक्षा टेम्प्लेट। जब तपाइँ सिस्को SD-WAN रिलीज 20.6.1 वा पछिको उपकरणमा स्तरवृद्धि गर्नुहुन्छ, चयन गरिएका प्रमाणीकरण प्रकारहरू अपडेट गर्नुहोस्। सुरक्षा Cisco SD-WAN रिलीज 20.6.1 बाट समर्थित प्रमाणीकरण प्रकारहरूको टेम्प्लेट। प्रमाणीकरण प्रकारहरू अद्यावधिक गर्न, निम्न गर्नुहोस्:

1. Cisco SD-WAN प्रबन्धक मेनुबाट, छनौट गर्नुहोस् कन्फिगरेसन >

टेम्प्लेटहरू.

2. क्लिक गर्नुहोस् फीचर टेम्प्लेटहरू.

3. फेला पार्नुहोस् सुरक्षा टेम्प्लेट अपडेट गर्न र क्लिक गर्नुहोस् ... र क्लिक गर्नुहोस् सम्पादन गर्नुहोस्.

4. क्लिक गर्नुहोस् अपडेट गर्नुहोस्। कुनै पनि कन्फिगरेसन परिमार्जन नगर्नुहोस्।

Cisco SD-WAN प्रबन्धक अपडेट गर्दछ सुरक्षा टेम्प्लेट समर्थित प्रमाणीकरण प्रकारहरू प्रदर्शन गर्न।

बचत क्लिक गर्नुहोस्।

डाटा प्लेन सुरक्षा प्यारामिटरहरू कन्फिगर गर्नुहोस्

डाटा प्लेनमा, IPsec सबै राउटरहरूमा पूर्वनिर्धारित रूपमा सक्षम गरिएको छ, र पूर्वनिर्धारित रूपमा IPsec टनेल जडानहरूले IPsec टनेलहरूमा प्रमाणीकरणको लागि Encapsulating Security Payload (ESP) प्रोटोकलको परिष्कृत संस्करण प्रयोग गर्दछ। राउटरहरूमा, तपाईंले प्रमाणीकरणको प्रकार, IPsec पुन: किइङ टाइमर, र IPsec एन्टी-रिप्ले विन्डोको आकार परिवर्तन गर्न सक्नुहुन्छ।

अनुमति दिइएको प्रमाणीकरण प्रकारहरू कन्फिगर गर्नुहोस्

सिस्को SD-WAN रिलीज २०.६.१ र पछिको प्रमाणीकरण प्रकारहरू
Cisco SD-WAN रिलीज 20.6.1 बाट, निम्न अखण्डता प्रकारहरू समर्थित छन्:

esp: यो विकल्पले ESP हेडरमा Encapsulating Security Payload (ESP) इन्क्रिप्सन र अखण्डता जाँचलाई सक्षम बनाउँछ।
ip-udp-esp: यो विकल्पले ESP गुप्तिकरण सक्षम गर्दछ। ESP हेडर र पेलोडमा अखण्डता जाँचको अतिरिक्त, चेकहरूले बाहिरी IP र UDP हेडरहरू पनि समावेश गर्दछ।
ip-udp-esp-no-id: यो विकल्प ip-udp-esp सँग मिल्दोजुल्दो छ, यद्यपि, बाहिरी IP हेडरको ID क्षेत्रलाई बेवास्ता गरिएको छ। सिस्को उत्प्रेरक SD-WAN सफ्टवेयरले IP हेडरमा ID फिल्डलाई बेवास्ता गर्नको लागि अखण्डता प्रकारहरूको सूचीमा यो विकल्प कन्फिगर गर्नुहोस् ताकि सिस्को उत्प्रेरक SD-WAN गैर-सिस्को उपकरणहरूसँग संयोजनमा काम गर्न सक्छ।
कुनै पनि छैन: यो विकल्पले IPSec प्याकेटहरूमा पूर्णता जाँच बन्द गर्छ। हामी यो विकल्प प्रयोग गर्न सिफारिस गर्दैनौं।

पूर्वनिर्धारित रूपमा, IPsec टनेल जडानहरूले प्रमाणीकरणको लागि Encapsulating Security Payload (ESP) प्रोटोकलको परिष्कृत संस्करण प्रयोग गर्दछ। वार्तालाप गरिएको इन्टरिटी प्रकारहरू परिमार्जन गर्न वा पूर्णता जाँच असक्षम गर्न, निम्न आदेश प्रयोग गर्नुहोस्: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | विशेष }

Cisco SD-WAN रिलीज 20.6.1 अघि प्रमाणीकरण प्रकारहरू
पूर्वनिर्धारित रूपमा, IPsec टनेल जडानहरूले प्रमाणीकरणको लागि Encapsulating Security Payload (ESP) प्रोटोकलको परिष्कृत संस्करण प्रयोग गर्दछ। वार्तालाप गरिएका प्रमाणीकरण प्रकारहरू परिमार्जन गर्न वा प्रमाणीकरण असक्षम गर्न, निम्न आदेश प्रयोग गर्नुहोस्: Device(config)# security ipsec प्रमाणीकरण-प्रकार (ah-sha1-hmac | ah-no-id | sha1-hmac | | कुनै पनि छैन) पूर्वनिर्धारित रूपमा, IPsec टनेल जडानहरूले AES-GCM-256 प्रयोग गर्दछ, जसले इन्क्रिप्सन र प्रमाणीकरण दुवै प्रदान गर्दछ। अलग सुरक्षा ipsec प्रमाणीकरण-प्रकार आदेशको साथ प्रत्येक प्रमाणीकरण प्रकार कन्फिगर गर्नुहोस्। आदेश विकल्पहरू निम्न प्रमाणिकरण प्रकारहरूमा नक्सा, जुन सबैभन्दा बलियो देखि कम्तिमा बलियो क्रममा सूचीबद्ध छन्:

नोट
कन्फिगरेसन विकल्पहरूमा sha1 ऐतिहासिक कारणहरूको लागि प्रयोग गरिन्छ। प्रमाणीकरण विकल्पहरूले कति प्याकेट अखण्डता जाँच गरिन्छ भनेर संकेत गर्दछ। तिनीहरूले अखण्डता जाँच गर्ने एल्गोरिदम निर्दिष्ट गर्दैनन्। मल्टीकास्ट ट्राफिकको इन्क्रिप्सन बाहेक, सिस्को उत्प्रेरक SD WAN द्वारा समर्थित प्रमाणीकरण एल्गोरिदमले SHA1 प्रयोग गर्दैन। यद्यपि Cisco SD-WAN रिलीज 20.1.x र त्यसपछि, दुबै युनिकास्ट र मल्टिकास्टले SHA1 प्रयोग गर्दैन।

ah-sha1-hmac ले ईएसपी प्रयोग गरेर एन्क्रिप्शन र इन्क्याप्सुलेशन सक्षम गर्दछ। यद्यपि, ESP हेडर र पेलोडमा अखण्डता जाँचहरूका अतिरिक्त, चेकहरूले बाहिरी IP र UDP हेडरहरू पनि समावेश गर्दछ। तसर्थ, यो विकल्पले प्रमाणीकरण हेडर (AH) प्रोटोकल जस्तै प्याकेटको अखण्डता जाँचलाई समर्थन गर्दछ। सबै अखण्डता र एन्क्रिप्शन AES-256-GCM प्रयोग गरी गरिन्छ।
ah-no-id ले ah-sha1-hmac सँग मिल्दोजुल्दो मोड सक्षम गर्दछ, यद्यपि, बाहिरी IP हेडरको ID क्षेत्रलाई बेवास्ता गरिएको छ। यो विकल्पले एप्पल एयरपोर्ट एक्सप्रेस NAT सहित केही गैर-सिस्को उत्प्रेरक SD-WAN यन्त्रहरू समायोजन गर्दछ, जसमा एउटा बग छ जसले IP हेडरमा ID फिल्ड, एक गैर-परिवर्तनीय क्षेत्र, परिमार्जन गर्दछ। Cisco Catalyst SD-WAN AH सफ्टवेयरले IP हेडरमा ID फिल्डलाई बेवास्ता गर्नको लागि प्रमाणीकरण प्रकारहरूको सूचीमा ah-no-id विकल्प कन्फिगर गर्नुहोस् ताकि Cisco Catalyst SD-WAN सफ्टवेयरले यी यन्त्रहरूसँग संयोजनमा काम गर्न सक्छ।

sha1-hmac ले ESP एन्क्रिप्शन र अखण्डता जाँच सक्षम गर्दछ।
कुनै नक्सा कुनै प्रमाणीकरण छैन। यो विकल्प अस्थायी डिबगिङको लागि आवश्यक भएमा मात्र प्रयोग गर्नुपर्छ। डाटा प्लेन प्रमाणीकरण र अखण्डता चिन्ताको विषय नभएको अवस्थामा तपाईले यो विकल्प पनि रोज्न सक्नुहुन्छ। सिस्कोले उत्पादन नेटवर्कको लागि यो विकल्प प्रयोग गर्न सिफारिस गर्दैन।

कुन डाटा प्याकेट फिल्डहरू यी प्रमाणीकरण प्रकारहरूद्वारा प्रभावित छन् भन्ने बारे जानकारीको लागि, डाटा प्लेन इन्टिग्रिटी हेर्नुहोस्। Cisco IOS XE उत्प्रेरक SD-WAN यन्त्रहरू र Cisco vEdge उपकरणहरूले तिनीहरूको TLOC गुणहरूमा कन्फिगर गरिएका प्रमाणीकरण प्रकारहरूको विज्ञापन गर्छन्। IPsec टनेल जडानको दुबै छेउमा रहेका दुई राउटरहरूले दुवै राउटरहरूमा कन्फिगर गरिएको सबैभन्दा बलियो प्रमाणीकरण प्रकार प्रयोग गरी तिनीहरूको बीचको जडानमा प्रयोग गर्न प्रमाणीकरणको लागि वार्ता गर्दछ। पूर्वका लागिampले, यदि एउटा राउटरले ah-sha1-hmac र ah-no-id प्रकारहरूको विज्ञापन गर्छ, र दोस्रो राउटरले ah-no-id प्रकारको विज्ञापन गर्छ भने, दुई राउटरहरूले IPsec टनेल जडानमा ah-no-id प्रयोग गर्न सम्झौता गर्छन्। उनीहरु। यदि दुई साथीहरूमा कुनै पनि सामान्य प्रमाणीकरण प्रकारहरू कन्फिगर गरिएको छैन भने, तिनीहरू बीच कुनै IPsec सुरुङ स्थापित हुँदैन। IPsec टनेल जडानहरूमा इन्क्रिप्शन एल्गोरिदम ट्राफिकको प्रकारमा निर्भर गर्दछ:

युनिकास्ट ट्राफिकको लागि, एन्क्रिप्शन एल्गोरिथ्म AES-256-GCM हो।
मल्टीकास्ट ट्राफिकको लागि:
Cisco SD-WAN रिलीज 20.1.x र पछि- एन्क्रिप्शन एल्गोरिथ्म AES-256-GCM हो

अघिल्लो विज्ञप्ति- एन्क्रिप्शन एल्गोरिथ्म SHA256-HMAC सँग AES-1-CBC हो।

जब IPsec प्रमाणीकरण प्रकार परिवर्तन हुन्छ, डाटा मार्गको लागि AES कुञ्जी परिवर्तन हुन्छ।

Rekeying टाइमर परिवर्तन गर्नुहोस्

Cisco IOS XE उत्प्रेरक SD-WAN यन्त्रहरू र Cisco vEdge उपकरणहरूले डाटा ट्राफिक आदानप्रदान गर्न सक्नु अघि, तिनीहरूले तिनीहरूको बीचमा एक सुरक्षित प्रमाणीकृत सञ्चार च्यानल सेटअप गर्छन्। राउटरहरूले तिनीहरूको बीचमा च्यानलको रूपमा IPSec टनेलहरू प्रयोग गर्छन्, र एन्क्रिप्शन प्रदर्शन गर्न AES-256 साइफर। प्रत्येक राउटरले आवधिक रूपमा यसको डेटा मार्गको लागि नयाँ AES कुञ्जी उत्पन्न गर्दछ। पूर्वनिर्धारित रूपमा, कुञ्जी 86400 सेकेन्ड (24 घण्टा) को लागि मान्य छ, र टाइमर दायरा 10 सेकेन्ड देखि 1209600 सेकेन्ड (14 दिन) सम्म हुन्छ। rekey टाइमर मान परिवर्तन गर्न: Device(config)# security ipsec rekey सेकेन्ड कन्फिगरेसन यस्तो देखिन्छ:

सुरक्षा ipsec rekey सेकेन्ड!

यदि तपाइँ तुरुन्तै नयाँ IPsec कुञ्जीहरू उत्पन्न गर्न चाहनुहुन्छ भने, तपाइँ राउटरको कन्फिगरेसन परिमार्जन नगरी त्यसो गर्न सक्नुहुन्छ। यो गर्नका लागि, सम्झौता राउटरमा अनुरोध सुरक्षा ipsecrekey आदेश जारी गर्नुहोस्। पूर्वका लागिampले, निम्न आउटपुटले देखाउँछ कि स्थानीय SA सँग 256 को सुरक्षा प्यारामिटर सूचकांक (SPI) छ:

एक अद्वितीय कुञ्जी प्रत्येक SPI सँग सम्बन्धित छ। यदि यो कुञ्जी सम्झौता गरिएको छ भने, तुरुन्तै नयाँ कुञ्जी उत्पन्न गर्न अनुरोध सुरक्षा ipsec-rekey आदेश प्रयोग गर्नुहोस्। यो आदेशले SPI बढाउँछ। हाम्रो पूर्व माample, SPI 257 मा परिवर्तन हुन्छ र योसँग सम्बन्धित कुञ्जी अब प्रयोग गरिन्छ:

यन्त्र # अनुरोध सुरक्षा ipsecrekey
यन्त्र # ipsec local-sa देखाउनुहोस्

नयाँ कुञ्जी उत्पन्न भएपछि, राउटरले यसलाई तुरुन्तै सिस्को SD-WAN नियन्त्रकहरूमा DTLS वा TLS प्रयोग गरेर पठाउँछ। Cisco SD-WAN नियन्त्रकहरूले पियर राउटरहरूमा कुञ्जी पठाउँछन्। राउटरहरूले यसलाई प्राप्त गर्ने बित्तिकै प्रयोग गर्न थाल्छन्। नोट गर्नुहोस् कि पुरानो SPI (256) सँग सम्बन्धित कुञ्जी यो समय समाप्त नभएसम्म छोटो समयको लागि प्रयोग गर्न जारी रहनेछ। पुरानो कुञ्जी तुरुन्तै प्रयोग गर्न रोक्नको लागि, द्रुत उत्तराधिकारमा दुई पटक अनुरोध सुरक्षा ipsec-rekey आदेश जारी गर्नुहोस्। आदेशहरूको यो क्रमले SPI 256 र 257 दुवै हटाउँछ र SPI लाई 258 मा सेट गर्छ। राउटरले SPI 258 को सम्बन्धित कुञ्जी प्रयोग गर्दछ। नोट गर्नुहोस्, यद्यपि, सबै रिमोट राउटरहरूले नजान्दासम्म केही प्याकेटहरू छोटो अवधिको लागि छोडिनेछन्। नयाँ कुञ्जी।

एन्टी-रिप्ले विन्डोको साइज परिवर्तन गर्नुहोस्

IPsec प्रमाणीकरणले डेटा स्ट्रिममा प्रत्येक प्याकेटमा एक अद्वितीय अनुक्रम नम्बर असाइन गरेर एन्टी-रिप्ले सुरक्षा प्रदान गर्दछ। यो अनुक्रम नम्बरिङले डाटा प्याकेटहरू डुप्लिकेट गर्ने आक्रमणकारीबाट सुरक्षा गर्छ। एन्टी-रिप्ले संरक्षणको साथ, प्रेषकले मोनोटोनिक रूपमा बढ्दो अनुक्रम संख्याहरू नियुक्त गर्दछ, र गन्तव्यले नक्कलहरू पत्ता लगाउन यी अनुक्रम संख्याहरू जाँच गर्दछ। किनकी प्याकेटहरू प्रायः क्रमबद्ध रूपमा आइपुग्दैनन्, गन्तव्यले क्रम संख्याहरूको स्लाइडिङ सञ्झ्याल कायम राख्छ जुन यसले स्वीकार गर्नेछ।

स्लाइडिङ सञ्झ्याल दायराको बाँयामा पर्ने क्रम संख्या भएका प्याकेटहरूलाई पुरानो वा नक्कल मानिन्छ, र गन्तव्यले तिनीहरूलाई छोड्छ। गन्तव्यले प्राप्त गरेको उच्चतम अनुक्रम नम्बर ट्र्याक गर्दछ, र उच्च मूल्य भएको प्याकेट प्राप्त गर्दा स्लाइडिङ सञ्झ्याल समायोजन गर्दछ।

पूर्वनिर्धारित रूपमा, स्लाइडिङ विन्डो 512 प्याकेटहरूमा सेट गरिएको छ। यसलाई 64 र 4096 बीचको कुनै पनि मानमा सेट गर्न सकिन्छ जुन 2 को पावर हो (अर्थात, 64, 128, 256, 512, 1024, 2048, वा 4096)। एन्टी-रिप्ले विन्डो साइज परिमार्जन गर्न, सञ्झ्यालको साइज निर्दिष्ट गर्दै रिप्ले-विन्डो आदेश प्रयोग गर्नुहोस्:

यन्त्र(कन्फिग)# सुरक्षा ipsec रिप्ले-विन्डो नम्बर

कन्फिगरेसन यस्तो देखिन्छ:
सुरक्षा ipsec रिप्ले-विन्डो नम्बर! !

QoS मा मद्दत गर्न, पहिलो आठ ट्राफिक च्यानलहरू मध्ये प्रत्येकको लागि छुट्टै रिप्ले विन्डोहरू राखिन्छन्। कन्फिगर गरिएको रिप्ले सञ्झ्याल आकार प्रत्येक च्यानलको लागि आठ द्वारा विभाजित गरिएको छ। यदि QoS राउटरमा कन्फिगर गरिएको छ भने, त्यो राउटरले IPsec एन्टी-रिप्ले मेकानिजमको परिणाम स्वरूप प्याकेट ड्रपहरूको अपेक्षाकृत ठूलो संख्या अनुभव गर्न सक्छ, र छोडिएका धेरै प्याकेटहरू वैध छन्। यो हुन्छ किनभने QoS ले प्याकेटहरू पुन: क्रमबद्ध गर्दछ, उच्च-प्राथमिकता प्याकेटहरूलाई प्राथमिकता दिने र निम्न-प्राथमिकता प्याकेटहरूलाई ढिलाइ गर्छ। यस अवस्थालाई कम गर्न वा रोक्नको लागि, तपाइँ निम्न गर्न सक्नुहुन्छ:

एन्टी-रिप्ले विन्डोको आकार बढाउनुहोस्।
पहिलो आठ ट्राफिक च्यानलहरूमा इन्जिनियर ट्राफिक एक च्यानल भित्र ट्राफिक पुन: क्रमबद्ध छैन भनेर सुनिश्चित गर्न।

IKE-सक्षम IPsec टनेलहरू कन्फिगर गर्नुहोस्
ओभरले नेटवर्कबाट सेवा नेटवर्कमा सुरक्षित रूपमा ट्राफिक स्थानान्तरण गर्न, तपाईंले इन्टरनेट कुञ्जी एक्सचेन्ज (IKE) प्रोटोकल चलाउने IPsec टनेलहरू कन्फिगर गर्न सक्नुहुन्छ। IKE-सक्षम IPsec टनेलहरूले सुरक्षित प्याकेट यातायात सुनिश्चित गर्न प्रमाणीकरण र इन्क्रिप्सन प्रदान गर्दछ। तपाईंले IPsec इन्टरफेस कन्फिगर गरेर IKE-सक्षम IPsec सुरुङ सिर्जना गर्नुहुन्छ। IPsec इन्टरफेसहरू तार्किक इन्टरफेसहरू हुन्, र तपाईंले तिनीहरूलाई अन्य भौतिक इन्टरफेस जस्तै कन्फिगर गर्नुहुन्छ। तपाइँ IPsec इन्टरफेसमा IKE प्रोटोकल प्यारामिटरहरू कन्फिगर गर्नुहुन्छ, र तपाइँ अन्य इन्टरफेस गुणहरू कन्फिगर गर्न सक्नुहुन्छ।

नोट Cisco ले IKE संस्करण 2 प्रयोग गर्न सिफारिस गर्दछ। Cisco SD-WAN 19.2.x रिलिज पछि, पूर्व-साझेदार कुञ्जी कम्तिमा 16 बाइट लम्बाइ हुनु आवश्यक छ। राउटर संस्करण 16 मा स्तरवृद्धि गर्दा कुञ्जी आकार 19.2 क्यारेक्टर भन्दा कम भएमा IPsec टनेल स्थापना असफल हुन्छ।

नोट
Cisco Catalyst SD-WAN सफ्टवेयरले RFC 2 मा परिभाषित गरिए अनुसार IKE संस्करण 7296 लाई समर्थन गर्दछ। IPsec टनेलहरूको लागि एउटा प्रयोग अमेजन AWS मा चलिरहेको vEdge क्लाउड राउटर VM उदाहरणहरूलाई Amazon भर्चुअल निजी क्लाउड (VPC) मा जडान गर्न अनुमति दिनु हो। तपाईंले यी राउटरहरूमा IKE संस्करण 1 कन्फिगर गर्नुपर्छ। Cisco vEdge यन्त्रहरूले IPSec कन्फिगरेसनमा केवल मार्ग-आधारित VPN हरूलाई समर्थन गर्दछ किनभने यी उपकरणहरूले एन्क्रिप्शन डोमेनमा ट्राफिक चयनकर्ताहरूलाई परिभाषित गर्न सक्दैनन्।

IPsec टनेल कन्फिगर गर्नुहोस्
सेवा नेटवर्कबाट सुरक्षित यातायात ट्राफिकको लागि IPsec टनेल इन्टरफेस कन्फिगर गर्न, तपाईंले तार्किक IPsec इन्टरफेस सिर्जना गर्नुहोस्:

तपाईंले यातायात VPN (VPN 0) र कुनै पनि सेवा VPN (VPN 1 देखि 65530 सम्म, ५१२ बाहेक) मा IPsec सुरुङ सिर्जना गर्न सक्नुहुन्छ। IPsec इन्टरफेसको ipsecnumber ढाँचामा एउटा नाम छ, जहाँ संख्या 512 देखि 1 सम्म हुन सक्छ। प्रत्येक IPsec इन्टरफेसमा IPv255 ठेगाना हुनुपर्छ। यो ठेगाना /4 उपसर्ग हुनुपर्छ। VPN मा भएका सबै ट्राफिकहरू जुन यस IPv30 उपसर्ग भित्र छन् VPN 4 को भौतिक इन्टरफेसमा IPsec टनेलमा सुरक्षित रूपमा पठाउनको लागि निर्देशित गरिन्छ। स्थानीय यन्त्रमा IPsec टनेलको स्रोत कन्फिगर गर्न, तपाईंले आईपी ठेगाना निर्दिष्ट गर्न सक्नुहुन्छ। भौतिक इन्टरफेस (टनेल-स्रोत आदेशमा) वा भौतिक इन्टरफेसको नाम (टनेल-स्रोत-इन्टरफेस आदेशमा)। सुनिश्चित गर्नुहोस् कि भौतिक इन्टरफेस VPN 0 मा कन्फिगर गरिएको छ। IPsec टनेलको गन्तव्य कन्फिगर गर्न, tunnel-destination आदेशमा रिमोट उपकरणको IP ठेगाना निर्दिष्ट गर्नुहोस्। स्रोत ठेगाना (वा स्रोत इन्टरफेस नाम) र गन्तव्य ठेगानाको संयोजनले एकल IPsec सुरुङ परिभाषित गर्दछ। केवल एउटा IPsec सुरुङ अवस्थित हुन सक्छ जसले एक विशिष्ट स्रोत ठेगाना (वा इन्टरफेस नाम) र गन्तव्य ठेगाना जोडी प्रयोग गर्दछ।

IPsec स्थिर मार्ग कन्फिगर गर्नुहोस्

सेवा VPN बाट यातायात VPN (VPN 0) मा IPsec टनेलमा ट्राफिक निर्देशित गर्न, तपाईंले सेवा VPN (VPN 0 वा VPN 512 बाहेकको VPN) मा IPsec-विशिष्ट स्थिर मार्ग कन्फिगर गर्नुहुन्छ :

vEdge(config)# vpn vpn-id
vEdge(config-vpn)# ip ipsec-मार्ग उपसर्ग/लम्बाइ vpn ० इन्टरफेस
ipsecnumber [ipsecnumber2]

VPN ID कुनै पनि सेवा VPN को हो (VPN 1 देखि 65530 सम्म, 512 बाहेक)। उपसर्ग/लम्बाइ IP ठेगाना वा उपसर्ग हो, दशमलव चार-भाग-डट्टेड नोटेशनमा, र IPsec-विशिष्ट स्थिर मार्गको उपसर्ग लम्बाइ। इन्टरफेस VPN 0 मा IPsec टनेल इन्टरफेस हो। तपाईंले एक वा दुई IPsec टनेल इन्टरफेसहरू कन्फिगर गर्न सक्नुहुन्छ। यदि तपाईंले दुईवटा कन्फिगर गर्नुभयो भने, पहिलो प्राथमिक IPsec सुरुङ हो, र दोस्रो ब्याकअप हो। दुई इन्टरफेसको साथ, सबै प्याकेटहरू प्राथमिक सुरुङमा मात्र पठाइन्छ। यदि त्यो सुरुङ असफल भयो भने, सबै प्याकेटहरू त्यसपछि माध्यमिक सुरुङमा पठाइन्छ। यदि प्राथमिक सुरुङ फिर्ता आउँछ भने, सबै ट्राफिकहरू प्राथमिक IPsec सुरुङमा फिर्ता सारियो।

IKE संस्करण 1 सक्षम गर्नुहोस्
जब तपाइँ vEdge राउटरमा IPsec सुरुङ सिर्जना गर्नुहुन्छ, IKE संस्करण 1 लाई सुरुङ इन्टरफेसमा पूर्वनिर्धारित रूपमा सक्षम पारिएको छ। निम्न गुणहरू पनि IKEv1 को लागि पूर्वनिर्धारित रूपमा सक्षम छन्:

प्रमाणीकरण र इन्क्रिप्शन — AES-256 उन्नत इन्क्रिप्शन मानक CBC इन्क्रिप्शन HMAC-SHA1 कुञ्जी-ह्यास सन्देश प्रमाणीकरण कोड एल्गोरिथ्म अखण्डताको लागि

Diffie-Hellman समूह नम्बर-16
पुनरावृत्ति समय अन्तराल - 4 घण्टा
SA स्थापना मोड - मुख्य

पूर्वनिर्धारित रूपमा, IKEv1 ले IKE SAs स्थापना गर्न IKE मुख्य मोड प्रयोग गर्दछ। यस मोडमा, SA स्थापना गर्न छवटा वार्ता प्याकेटहरू आदानप्रदान गरिन्छ। केवल तीन वार्ता प्याकेटहरू साटासाट गर्न, आक्रामक मोड सक्षम गर्नुहोस्:

नोट
पूर्व-साझा कुञ्जीहरूसँग IKE आक्रामक मोड जहाँ सम्भव छ बेवास्ता गर्नुपर्छ। अन्यथा बलियो पूर्व-साझा कुञ्जी छनोट गर्नुपर्छ।

vEdge(config)# vpn vpn-id इन्टरफेस ipsec नम्बर ike

vEdge(config-ike)# मोड आक्रामक

पूर्वनिर्धारित रूपमा, IKEv1 ले IKE कुञ्जी एक्सचेन्जमा Diffie-Hellman समूह 16 प्रयोग गर्दछ। यो समूहले 4096-बिट थप मोड्युलर एक्सपोनेन्शियल (MODP) समूह IKE कुञ्जी आदानप्रदानको क्रममा प्रयोग गर्दछ। तपाईं समूह नम्बर 2 (1024-bit MODP को लागि), 14 (2048-bit MODP), वा 15 (3072-bit MODP) मा परिवर्तन गर्न सक्नुहुन्छ:

vEdge(config)# vpn vpn-id इन्टरफेस ipsec नम्बर ike

vEdge(config-ike) # समूह नम्बर

पूर्वनिर्धारित रूपमा, IKE कुञ्जी एक्सचेन्जले पूर्णताको लागि HMAC-SHA256 कुञ्जी-ह्यास सन्देश प्रमाणीकरण कोड एल्गोरिदमको साथ AES-1 उन्नत इन्क्रिप्शन मानक CBC इन्क्रिप्शन प्रयोग गर्दछ। तपाईं प्रमाणीकरण परिवर्तन गर्न सक्नुहुन्छ:

vEdge(config)# vpn vpn-id इन्टरफेस ipsec नम्बर ike

vEdge(config-ike)# सिफर-सुइट सुइट

प्रमाणीकरण सुइट निम्न मध्ये एक हुन सक्छ:

aes128-cbc-sha1—AES-128 उन्नत इन्क्रिप्शन मानक CBC इन्क्रिप्शन HMAC-SHA1 कुञ्जी-ह्यास सन्देश प्रमाणीकरण कोड एल्गोरिथ्म अखण्डताको लागि

aes128-cbc-sha2—AES-128 उन्नत इन्क्रिप्शन मानक CBC इन्क्रिप्शन HMAC-SHA256 कुञ्जी-ह्यास सन्देश प्रमाणीकरण कोड एल्गोरिथ्म अखण्डताको लागि
aes256-cbc-sha1—AES-256 उन्नत ईन्क्रिप्शन मानक CBC इन्क्रिप्शन HMAC-SHA1 कुञ्जी-ह्यास सन्देश प्रमाणीकरण कोड एल्गोरिथ्म अखण्डताको लागि; यो पूर्वनिर्धारित हो।
aes256-cbc-sha2—AES-256 उन्नत इन्क्रिप्शन मानक CBC इन्क्रिप्शन HMAC-SHA256 कुञ्जी-ह्यास सन्देश प्रमाणीकरण कोड एल्गोरिथ्म अखण्डताको लागि

पूर्वनिर्धारित रूपमा, IKE कुञ्जीहरू प्रत्येक 1 घण्टा (3600 सेकेन्ड) ताजा हुन्छन्। तपाईँले 30 सेकेन्ड बाट 14 दिन (1209600 सेकेन्ड) सम्मको मानमा पुन: कुञ्जी अन्तराल परिवर्तन गर्न सक्नुहुन्छ। यो सिफारिस गरिन्छ कि rekeying अन्तराल कम्तिमा 1 घण्टा हो।

vEdge(config)# vpn vpn-id इन्टरफेस ipsec नम्बर जस्तै
vEdge(config-ike)# rekey सेकेन्ड

IKE सत्रको लागि नयाँ कुञ्जीहरूको उत्पादनलाई जबरजस्ती गर्न, अनुरोध ipsec ike-rekey आदेश जारी गर्नुहोस्।

vEdge(config)# vpn vpn-id इन्टरफेसिपसेक नम्बर ike

IKE को लागि, तपाइँ प्रिसेयर गरिएको कुञ्जी (PSK) प्रमाणीकरण पनि कन्फिगर गर्न सक्नुहुन्छ:

vEdge(config)# vpn vpn-id इन्टरफेस ipsec नम्बर ike
vEdge(config-ike)# प्रमाणीकरण-प्रकार पूर्व-साझा-कुञ्जी पूर्व-साझा-गोपनीय पासवर्ड पासवर्ड पूर्व-साझा गरिएको कुञ्जीसँग प्रयोग गर्नको लागि पासवर्ड हो। यो 1 देखि 127 वर्ण लामो ASCII वा हेक्साडेसिमल स्ट्रिङ हुन सक्छ।

यदि रिमोट IKE साथीलाई स्थानीय वा रिमोट आईडी चाहिन्छ भने, तपाइँ यो पहिचानकर्ता कन्फिगर गर्न सक्नुहुन्छ:

vEdge(config)# vpn vpn-id इन्टरफेस ipsec नम्बर ike प्रमाणीकरण-प्रकार
vEdge(config-authentication-type)# local-id id
vEdge(config-authentication-type)# remote-id id

पहिचानकर्ता IP ठेगाना वा 1 देखि 63 वर्ण लामो कुनै पनि पाठ स्ट्रिङ हुन सक्छ। पूर्वनिर्धारित रूपमा, स्थानीय ID सुरुङको स्रोत IP ठेगाना हो र रिमोट ID सुरुङको गन्तव्य IP ठेगाना हो।

IKE संस्करण 2 सक्षम गर्नुहोस्
जब तपाइँ IKE संस्करण 2 प्रयोग गर्न IPsec सुरुङ कन्फिगर गर्नुहुन्छ, निम्न गुणहरू पनि IKEv2 को लागि पूर्वनिर्धारित रूपमा सक्षम हुन्छन्:

प्रमाणीकरण र इन्क्रिप्शन — AES-256 उन्नत इन्क्रिप्शन मानक CBC इन्क्रिप्शन HMAC-SHA1 कुञ्जी-ह्यास सन्देश प्रमाणीकरण कोड एल्गोरिथ्म अखण्डताको लागि

Diffie-Hellman समूह नम्बर-16
पुनरावृत्ति समय अन्तराल - 4 घण्टा

पूर्वनिर्धारित रूपमा, IKEv2 ले IKE कुञ्जी एक्सचेन्जमा Diffie-Hellman समूह 16 प्रयोग गर्दछ। यो समूहले 4096-बिट थप मोड्युलर एक्सपोनेन्शियल (MODP) समूह IKE कुञ्जी आदानप्रदानको क्रममा प्रयोग गर्दछ। तपाईं समूह नम्बर 2 (1024-bit MODP को लागि), 14 (2048-bit MODP), वा 15 (3072-bit MODP) मा परिवर्तन गर्न सक्नुहुन्छ:

vEdge(config)# vpn vpn-id इन्टरफेस ipsecnumber ike
vEdge(config-ike) # समूह नम्बर

vEdge(config)# vpn vpn-id इन्टरफेस ipsecnumber ike
vEdge(config-ike)# सिफर-सुइट सुइट

प्रमाणीकरण सुइट निम्न मध्ये एक हुन सक्छ:

aes128-cbc-sha1—AES-128 उन्नत इन्क्रिप्शन मानक CBC इन्क्रिप्शन HMAC-SHA1 कुञ्जी-ह्यास सन्देश प्रमाणीकरण कोड एल्गोरिथ्म अखण्डताको लागि
aes128-cbc-sha2—AES-128 उन्नत इन्क्रिप्शन मानक CBC इन्क्रिप्शन HMAC-SHA256 कुञ्जी-ह्यास सन्देश प्रमाणीकरण कोड एल्गोरिथ्म अखण्डताको लागि
aes256-cbc-sha1—AES-256 उन्नत ईन्क्रिप्शन मानक CBC इन्क्रिप्शन HMAC-SHA1 कुञ्जी-ह्यास सन्देश प्रमाणीकरण कोड एल्गोरिथ्म अखण्डताको लागि; यो पूर्वनिर्धारित हो।

aes256-cbc-sha2—AES-256 उन्नत इन्क्रिप्शन मानक CBC इन्क्रिप्शन HMAC-SHA256 कुञ्जी-ह्यास सन्देश प्रमाणीकरण कोड एल्गोरिथ्म अखण्डताको लागि

पूर्वनिर्धारित रूपमा, IKE कुञ्जीहरू प्रत्येक 4 घण्टा (14,400 सेकेन्ड) ताजा हुन्छन्। तपाईंले पुन: किइङ अन्तराललाई ३० सेकेन्डदेखि १४ दिन (१२०९६०० सेकेन्ड) सम्मको मानमा परिवर्तन गर्न सक्नुहुन्छ:

vEdge(config)# vpn vpn-id इन्टरफेस ipsecnumber ike

vEdge(config-ike)# rekey सेकेन्ड

IKE सत्रको लागि नयाँ कुञ्जीहरूको उत्पादनलाई जबरजस्ती गर्न, अनुरोध ipsec ike-rekey आदेश जारी गर्नुहोस्। IKE को लागि, तपाइँ प्रिसेयर गरिएको कुञ्जी (PSK) प्रमाणीकरण पनि कन्फिगर गर्न सक्नुहुन्छ:

vEdge(config)# vpn vpn-id इन्टरफेस ipsecnumber ike

vEdge(config-ike)# प्रमाणीकरण-प्रकार पूर्व-साझा-कुञ्जी पूर्व-साझा-गोपनीय पासवर्ड पासवर्ड पूर्व-साझा गरिएको कुञ्जीसँग प्रयोग गर्नको लागि पासवर्ड हो। यो ASCII वा हेक्साडेसिमल स्ट्रिङ हुन सक्छ, वा यो AES-इन्क्रिप्टेड कुञ्जी हुन सक्छ। यदि रिमोट IKE साथीलाई स्थानीय वा रिमोट आईडी चाहिन्छ भने, तपाइँ यो पहिचानकर्ता कन्फिगर गर्न सक्नुहुन्छ:
vEdge(config)# vpn vpn-id इन्टरफेस ipsecnumber ike प्रमाणीकरण-प्रकार
vEdge(config-authentication-type)# local-id id

vEdge(config-authentication-type)# remote-id id

पहिचानकर्ता IP ठेगाना वा 1 देखि 64 वर्ण लामो कुनै पनि पाठ स्ट्रिङ हुन सक्छ। पूर्वनिर्धारित रूपमा, स्थानीय ID सुरुङको स्रोत IP ठेगाना हो र रिमोट ID सुरुङको गन्तव्य IP ठेगाना हो।

IPsec टनेल प्यारामिटरहरू कन्फिगर गर्नुहोस्

तालिका १: विशेषता इतिहास

सुविधा नाम	सूचना जारी गर्नुहोस्	विवरण
अतिरिक्त क्रिप्टोग्राफिक	सिस्को SD-WAN रिलीज 20.1.1	यो सुविधा को लागी समर्थन थप्छ
IPSec को लागि एल्गोरिदमिक समर्थन		HMAC_SHA256, HMAC_SHA384, र
सुरुङहरू		को लागि HMAC_SHA512 एल्गोरिदम
		बढेको सुरक्षा।

पूर्वनिर्धारित रूपमा, निम्न प्यारामिटरहरू IKE ट्राफिक बोक्ने IPsec सुरुङमा प्रयोग गरिन्छ:

प्रमाणीकरण र एन्क्रिप्शन - GCM मा AES-256 एल्गोरिथ्म (Galois/काउन्टर मोड)
पुनरावृत्ति अन्तराल - 4 घण्टा

रिप्ले विन्डो—३२ प्याकेटहरू

तपाईंले IPsec टनेलमा रहेको एन्क्रिप्शनलाई CBC मा AES-256 साइफरमा परिवर्तन गर्न सक्नुहुन्छ (साइफर ब्लक चेनिङ मोड, HMAC सँग SHA-1 वा SHA-2 कुञ्जी-ह्यास सन्देश प्रमाणीकरण प्रयोग गरेर वा SHA-1 प्रयोग गरेर HMAC सँग शून्य गर्न सक्नुहुन्छ। SHA-2 कुञ्जी-ह्यास सन्देश प्रमाणीकरण, IKE कुञ्जी विनिमय ट्राफिकको लागि प्रयोग गरिएको IPsec टनेल इन्क्रिप्ट नगर्न:

vEdge(config-interface-ipsecnumber)# ipsec

vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | | aes256-null-sha256 | aes256-null-sha384)

vEdge(config-interface-ipsecnumber)# ipsec

vEdge(config-ipsec)# rekey सेकेन्ड

IPsec टनेलको लागि नयाँ कुञ्जीहरूको उत्पादनलाई जबरजस्ती गर्न, अनुरोध ipsec ipsec-rekey आदेश जारी गर्नुहोस्। पूर्वनिर्धारित रूपमा, IPsec टनेलहरूमा सिद्ध फर्वार्ड सेक्रेसी (PFS) सक्षम गरिएको छ, भविश्यका कुञ्जीहरू सम्झौता भएमा विगतका सत्रहरू प्रभावित हुँदैनन् भनी सुनिश्चित गर्न। PFS ले 4096-bit Diffie-Hellman प्राइम मोड्युल समूह प्रयोग गरी पूर्वनिर्धारित रूपमा नयाँ Diffie-Hellman कुञ्जी आदान प्रदान गर्दछ। तपाईं PFS सेटिङ परिवर्तन गर्न सक्नुहुन्छ:

vEdge(config-interface-ipsecnumber)# ipsec

vEdge(config-ipsec)# उत्तम-फर्वार्ड-सेक्रेसी pfs-सेटिङ

pfs-setting निम्न मध्ये एक हुन सक्छ:

समूह-२—१०२४-बिट डिफी-हेलम्यान प्राइम मोड्युलस समूह प्रयोग गर्नुहोस्।

समूह-२—१०२४-बिट डिफी-हेलम्यान प्राइम मोड्युलस समूह प्रयोग गर्नुहोस्।
समूह-२—१०२४-बिट डिफी-हेलम्यान प्राइम मोड्युलस समूह प्रयोग गर्नुहोस्।
समूह-१६—४०९६-बिट डिफी-हेलम्यान प्राइम मोडुलस समूह प्रयोग गर्नुहोस्। यो पूर्वनिर्धारित हो।
कुनै पनि छैन - PFS असक्षम गर्नुहोस्।

पूर्वनिर्धारित रूपमा, IPsec सुरुङमा IPsec रिप्ले विन्डो 512 बाइट्स हो। तपाईंले रिप्ले विन्डो साइज 64, 128, 256, 512, 1024, 2048, वा 4096 प्याकेटहरूमा सेट गर्न सक्नुहुन्छ:

vEdge(config-interface-ipsecnumber)# ipsec
vEdge(config-ipsec)# रिप्ले-विन्डो नम्बर

IKE डेड-पियर पत्ता लगाउने परिमार्जन गर्नुहोस्

IKE एक IKE साथीसँग जडान कार्यात्मक र पहुँचयोग्य छ कि भनेर निर्धारण गर्न मृत-सहकर्मी पत्ता लगाउने संयन्त्र प्रयोग गर्दछ। यो मेकानिजम लागू गर्न, IKE ले आफ्नो साथीलाई नमस्कार प्याकेट पठाउँछ, र साथीले प्रतिक्रियामा एक स्वीकृति पठाउँछ। पूर्वनिर्धारित रूपमा, IKE ले प्रत्येक 10 सेकेन्डमा हेलो प्याकेटहरू पठाउँछ, र तीनवटा अपरिचित प्याकेटहरू पछि, IKE ले छिमेकीलाई मरेको घोषणा गर्छ र साथीहरूलाई सुरुङ झर्छ। त्यसपछि, IKE ले समय-समयमा पियरलाई हेलो प्याकेट पठाउँछ, र पियर अनलाइन फर्किएपछि सुरुङलाई पुन: स्थापना गर्छ। तपाईले लाइभनेस पत्ता लगाउने अन्तराललाई 0 देखि 65535 सम्मको मानमा परिवर्तन गर्न सक्नुहुन्छ, र तपाईले पुन: प्रयासहरूको संख्यालाई 0 देखि 255 सम्मको मानमा परिवर्तन गर्न सक्नुहुन्छ।

नोट

यातायात VPN को लागि, जीवन्तता पत्ता लगाउने अन्तराललाई निम्न सूत्र प्रयोग गरेर सेकेन्डमा रूपान्तरण गरिन्छ: पुन: प्रसारण प्रयास नम्बर N = अन्तराल * 1.8N-1 को लागि अन्तरालample, यदि अन्तराल 10 मा सेट गरिएको छ र 5 मा पुन: प्रयास गर्दछ भने, पत्ता लगाउने अन्तराल निम्नानुसार बढ्छ:

प्रयास १: 10 * 1.81-1 = 10 सेकेन्ड
प्रयास 2: 10 * 1.82-1 = 18 सेकेन्ड
प्रयास 3: 10 * 1.83-1 = 32.4 सेकेन्ड
प्रयास 4: 10 * 1.84-1 = 58.32 सेकेन्ड
प्रयास 5: 10 * 1.85-1 = 104.976 सेकेन्ड

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval retry number

अन्य इन्टरफेस गुणहरू कन्फिगर गर्नुहोस्

IPsec टनेल इन्टरफेसहरूको लागि, तपाईंले निम्न अतिरिक्त इन्टरफेस गुणहरू मात्र कन्फिगर गर्न सक्नुहुन्छ:

vEdge(config-interface-ipsec)# mtu बाइट्स
vEdge(config-interface-ipsec)# tcp-mss-समायोजित बाइट्स

सिस्को SD-WAN प्रबन्धकमा कमजोर SSH एन्क्रिप्शन एल्गोरिदम असक्षम गर्नुहोस्

तालिका १: विशेषता इतिहास तालिका

सुविधा नाम	सूचना जारी गर्नुहोस्	सुविधा विवरण
सिस्को SD-WAN प्रबन्धकमा कमजोर SSH एन्क्रिप्शन एल्गोरिदम असक्षम गर्नुहोस्	Cisco vManage रिलीज २०.५.१	यो सुविधाले तपाइँलाई सिस्को SD-WAN प्रबन्धकमा कमजोर SSH एल्गोरिदमहरू असक्षम गर्न अनुमति दिन्छ जुन निश्चित डेटा सुरक्षा मापदण्डहरूको पालना नगर्न सक्छ।

सिस्को SD-WAN प्रबन्धकमा कमजोर SSH एन्क्रिप्शन एल्गोरिदम असक्षम गर्ने बारे जानकारी
Cisco SD-WAN प्रबन्धकले नियन्त्रक र किनारा यन्त्रहरू सहित नेटवर्कमा कम्पोनेन्टहरूसँग सञ्चारको लागि SSH क्लाइन्ट प्रदान गर्दछ। SSH क्लाइन्टले विभिन्न इन्क्रिप्शन एल्गोरिदमहरूमा आधारित, सुरक्षित डाटा स्थानान्तरणको लागि एक इन्क्रिप्टेड जडान प्रदान गर्दछ। धेरै संस्थाहरूलाई SHA-1, AES-128, र AES-192 द्वारा प्रदान गरिएको भन्दा बलियो इन्क्रिप्सन चाहिन्छ। Cisco vManage Release 20.9.1 बाट, तपाईले निम्न कमजोर इन्क्रिप्शन एल्गोरिदम असक्षम गर्न सक्नुहुन्छ ताकि SSH क्लाइन्टले यी एल्गोरिदमहरू प्रयोग गर्दैन:

SHA-1
AES-128
AES-192

यी एन्क्रिप्शन एल्गोरिदमहरू असक्षम गर्नु अघि, सुनिश्चित गर्नुहोस् कि Cisco vEdge उपकरणहरू, यदि कुनै हो भने, नेटवर्कमा, Cisco SD-WAN रिलीज 18.4.6 भन्दा पछि सफ्टवेयर रिलीज प्रयोग गर्दैछन्।

सिस्को SD-WAN प्रबन्धकमा कमजोर SSH एन्क्रिप्शन एल्गोरिदम असक्षम गर्ने फाइदाहरू
कमजोर SSH एन्क्रिप्शन एल्गोरिदम असक्षम पार्नुले SSH सञ्चारको सुरक्षामा सुधार गर्छ, र Cisco Catalyst SD-WAN प्रयोग गर्ने संस्थाहरूले कडा सुरक्षा नियमहरूको पालना गरेको सुनिश्चित गर्दछ।

CLI प्रयोग गरेर सिस्को SD-WAN प्रबन्धकमा कमजोर SSH एन्क्रिप्शन एल्गोरिदम असक्षम पार्नुहोस्

Cisco SD-WAN प्रबन्धक मेनुबाट, उपकरण > SSH टर्मिनल छान्नुहोस्।
सिस्को SD-WAN प्रबन्धक उपकरण छान्नुहोस् जसमा तपाइँ कमजोर SSH एल्गोरिदम असक्षम गर्न चाहनुहुन्छ।
उपकरणमा लग इन गर्न प्रयोगकर्ता नाम र पासवर्ड प्रविष्ट गर्नुहोस्।
SSH सर्भर मोड प्रविष्ट गर्नुहोस्।
- vmanage(config)# प्रणाली
- vmanage(config-system)# ssh-सर्भर
SSH एन्क्रिप्शन एल्गोरिथ्म असक्षम गर्न निम्न मध्ये एउटा गर्नुहोस्:
- SHA-1 असक्षम गर्नुहोस्:
व्यवस्थापन(config-ssh-server)# no kex-algo sha1
व्यवस्थापन(config-ssh-server)# कमिट
निम्न चेतावनी सन्देश प्रदर्शित गरिएको छ: निम्न चेतावनीहरू उत्पन्न गरिएको थियो: 'system ssh-server kex-algo sha1': चेतावनी: कृपया तपाइँका सबै किनारहरू रन कोड संस्करण > 18.4.6 सुनिश्चित गर्नुहोस् जसले vManage सँग SHA1 भन्दा राम्रोसँग कुराकानी गर्दछ। अन्यथा ती किनारहरू अफलाइन हुन सक्छन्। अगाडि बढ्ने हो? [हो, होइन] हो
- नेटवर्कमा कुनै पनि Cisco vEdge उपकरणहरू Cisco SD-WAN रिलीज 18.4.6 वा पछि चलिरहेको छ भनी सुनिश्चित गर्नुहोस् र हो प्रविष्ट गर्नुहोस्।
- AES-128 र AES-192 असक्षम गर्नुहोस्:
- vmanage(config-ssh-server)# no cipher aes-128-192
- vmanage(config-ssh-server)# कमिट
  निम्न चेतावनी सन्देश प्रदर्शित छ:
  निम्न चेतावनीहरू उत्पन्न गरियो:
  'system ssh-server cipher aes-128-192': चेतावनी: कृपया तपाईंको सबै किनाराहरू रन कोड संस्करण > 18.4.6 सुनिश्चित गर्नुहोस् जसले vManage सँग AES-128-192 भन्दा राम्रोसँग कुराकानी गर्छ। अन्यथा ती किनारहरू अफलाइन हुन सक्छन्। अगाडि बढ्ने हो? [हो, होइन] हो
- नेटवर्कमा कुनै पनि Cisco vEdge उपकरणहरू Cisco SD-WAN रिलीज 18.4.6 वा पछि चलिरहेको छ भनी सुनिश्चित गर्नुहोस् र हो प्रविष्ट गर्नुहोस्।

प्रमाणित गर्नुहोस् कि कमजोर SSH एन्क्रिप्शन एल्गोरिदमहरू CLI प्रयोग गरेर सिस्को SD-WAN प्रबन्धकमा असक्षम छन्।

Cisco SD-WAN प्रबन्धक मेनुबाट, उपकरण > SSH टर्मिनल छान्नुहोस्।
तपाईंले प्रमाणित गर्न चाहनुभएको सिस्को SD-WAN प्रबन्धक उपकरण चयन गर्नुहोस्।
उपकरणमा लग इन गर्न प्रयोगकर्ता नाम र पासवर्ड प्रविष्ट गर्नुहोस्।
निम्न आदेश चलाउनुहोस्: चलिरहेको कन्फिगरेसन प्रणाली ssh-सर्भर देखाउनुहोस्
पुष्टि गर्नुहोस् कि आउटपुटले कमजोर एन्क्रिप्शन एल्गोरिदमहरू असक्षम गर्ने आदेशहरू मध्ये एक वा बढी देखाउँछ:
- कुनै साइफर aes-128-192
- kex-algo sha1 छैन

कागजातहरू / स्रोतहरू

CISCO SD-WAN सुरक्षा प्यारामिटरहरू कन्फिगर गर्नुहोस् [pdf] प्रयोगकर्ता गाइड
SD-WAN कन्फिगर सुरक्षा प्यारामिटरहरू, SD-WAN, सुरक्षा प्यारामिटरहरू, सुरक्षा प्यारामिटरहरू कन्फिगर गर्नुहोस्

सन्दर्भहरू

प्रयोगकर्ता पुस्तिका

CISCO SD-WAN सुरक्षा प्यारामिटरहरू कन्फिगर गर्नुहोस्

सुरक्षा प्यारामिटरहरू कन्फिगर गर्नुहोस्

नियन्त्रण विमान सुरक्षा प्यारामिटरहरू कन्फिगर गर्नुहोस्

Cisco SD-WAN प्रबन्धकमा DTLS कन्फिगर गर्नुहोस्

डाटा प्लेन सुरक्षा प्यारामिटरहरू कन्फिगर गर्नुहोस्

अनुमति दिइएको प्रमाणीकरण प्रकारहरू कन्फिगर गर्नुहोस्

Rekeying टाइमर परिवर्तन गर्नुहोस्

एन्टी-रिप्ले विन्डोको साइज परिवर्तन गर्नुहोस्

IPsec स्थिर मार्ग कन्फिगर गर्नुहोस्

IPsec टनेल प्यारामिटरहरू कन्फिगर गर्नुहोस्

IKE डेड-पियर पत्ता लगाउने परिमार्जन गर्नुहोस्

अन्य इन्टरफेस गुणहरू कन्फिगर गर्नुहोस्

सिस्को SD-WAN प्रबन्धकमा कमजोर SSH एन्क्रिप्शन एल्गोरिदम असक्षम गर्नुहोस्

कागजातहरू / स्रोतहरू

सन्दर्भहरू

एक टिप्पणी छोड्नुहोस्

जवाफ रद्द गर्नुहोस्