CISCO SD-WAN ਸੁਰੱਖਿਆ ਮਾਪਦੰਡਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ

ਸੁਰੱਖਿਆ ਮਾਪਦੰਡ ਕੌਂਫਿਗਰ ਕਰੋ

ਨੋਟ ਕਰੋ

ਸਰਲੀਕਰਨ ਅਤੇ ਇਕਸਾਰਤਾ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ, Cisco SD-WAN ਹੱਲ ਨੂੰ Cisco Catalyst SD-WAN ਦੇ ਰੂਪ ਵਿੱਚ ਪੁਨਰ-ਬ੍ਰਾਂਡ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, Cisco IOS XE SD-WAN ਰੀਲੀਜ਼ 17.12.1a ਅਤੇ Cisco Catalyst SD-WAN ਰੀਲੀਜ਼ 20.12.1 ਤੋਂ, ਹੇਠਾਂ ਦਿੱਤੇ ਕੰਪੋਨੈਂਟ ਬਦਲਾਅ ਲਾਗੂ ਹਨ: Cisco vManage ਤੋਂ Cisco Catalyst SD-WAN ਮੈਨੇਜਰ, Cisco vAnalytics ਤੋਂ CiscoSDN ਤੱਕ ਵਿਸ਼ਲੇਸ਼ਣ, Cisco vBond ਤੋਂ Cisco Catalyst SD-WAN ਵੈਲੀਡੇਟਰ, ਅਤੇ Cisco vSmart ਤੋਂ Cisco Catalyst SD-WAN ਕੰਟਰੋਲਰ। ਸਾਰੇ ਕੰਪੋਨੈਂਟ ਬ੍ਰਾਂਡ ਨਾਮ ਤਬਦੀਲੀਆਂ ਦੀ ਇੱਕ ਵਿਆਪਕ ਸੂਚੀ ਲਈ ਨਵੀਨਤਮ ਰੀਲੀਜ਼ ਨੋਟਸ ਦੇਖੋ। ਜਦੋਂ ਅਸੀਂ ਨਵੇਂ ਨਾਵਾਂ ਵਿੱਚ ਤਬਦੀਲੀ ਕਰਦੇ ਹਾਂ, ਤਾਂ ਸੌਫਟਵੇਅਰ ਉਤਪਾਦ ਦੇ ਉਪਭੋਗਤਾ ਇੰਟਰਫੇਸ ਅੱਪਡੇਟ ਲਈ ਪੜਾਅਵਾਰ ਪਹੁੰਚ ਦੇ ਕਾਰਨ ਦਸਤਾਵੇਜ਼ ਸੈੱਟ ਵਿੱਚ ਕੁਝ ਅਸੰਗਤਤਾਵਾਂ ਮੌਜੂਦ ਹੋ ਸਕਦੀਆਂ ਹਨ।

ਇਹ ਭਾਗ ਦੱਸਦਾ ਹੈ ਕਿ ਸਿਸਕੋ ਕੈਟਾਲਿਸਟ SD-WAN ਓਵਰਲੇ ਨੈੱਟਵਰਕ ਵਿੱਚ ਕੰਟਰੋਲ ਪਲੇਨ ਅਤੇ ਡੇਟਾ ਪਲੇਨ ਲਈ ਸੁਰੱਖਿਆ ਮਾਪਦੰਡਾਂ ਨੂੰ ਕਿਵੇਂ ਬਦਲਣਾ ਹੈ।

• ਕੰਟਰੋਲ ਪਲੇਨ ਸੁਰੱਖਿਆ ਮਾਪਦੰਡਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ, ਚਾਲੂ ਕਰੋ
• ਡਾਟਾ ਪਲੇਨ ਸੁਰੱਖਿਆ ਪੈਰਾਮੀਟਰਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ, ਚਾਲੂ ਕਰੋ
• IKE-ਸਮਰੱਥ IPsec ਸੁਰੰਗਾਂ ਨੂੰ ਚਾਲੂ ਕਰੋ
• Cisco SD-WAN ਮੈਨੇਜਰ 'ਤੇ ਕਮਜ਼ੋਰ SSH ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਓ, ਚਾਲੂ

ਕੰਟਰੋਲ ਪਲੇਨ ਸੁਰੱਖਿਆ ਮਾਪਦੰਡਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ

ਮੂਲ ਰੂਪ ਵਿੱਚ, ਕੰਟਰੋਲ ਪਲੇਨ DTLS ਨੂੰ ਪ੍ਰੋਟੋਕੋਲ ਵਜੋਂ ਵਰਤਦਾ ਹੈ ਜੋ ਇਸਦੀਆਂ ਸਾਰੀਆਂ ਸੁਰੰਗਾਂ 'ਤੇ ਗੋਪਨੀਯਤਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। DTLS UDP ਉੱਤੇ ਚੱਲਦਾ ਹੈ। ਤੁਸੀਂ ਕੰਟਰੋਲ ਪਲੇਨ ਸੁਰੱਖਿਆ ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ TLS ਵਿੱਚ ਬਦਲ ਸਕਦੇ ਹੋ, ਜੋ TCP ਉੱਤੇ ਚੱਲਦਾ ਹੈ। TLS ਦੀ ਵਰਤੋਂ ਕਰਨ ਦਾ ਮੁੱਖ ਕਾਰਨ ਇਹ ਹੈ ਕਿ, ਜੇਕਰ ਤੁਸੀਂ Cisco SD-WAN ਕੰਟਰੋਲਰ ਨੂੰ ਸਰਵਰ ਮੰਨਦੇ ਹੋ, ਤਾਂ ਫਾਇਰਵਾਲ TCP ਸਰਵਰਾਂ ਨੂੰ UDP ਸਰਵਰਾਂ ਨਾਲੋਂ ਬਿਹਤਰ ਸੁਰੱਖਿਅਤ ਕਰਦੇ ਹਨ। ਤੁਸੀਂ Cisco SD-WAN ਕੰਟਰੋਲਰ 'ਤੇ ਕੰਟਰੋਲ ਪਲੇਨ ਟਨਲ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਸੰਰਚਨਾ ਕਰਦੇ ਹੋ: vSmart(config)# ਸੁਰੱਖਿਆ ਕੰਟਰੋਲ ਪ੍ਰੋਟੋਕੋਲ tls ਇਸ ਬਦਲਾਅ ਦੇ ਨਾਲ, ਸਿਸਕੋ SD-WAN ਕੰਟਰੋਲਰ ਅਤੇ ਰਾਊਟਰਾਂ ਅਤੇ ਸਿਸਕੋ SD-WAN ਕੰਟਰੋਲਰ ਵਿਚਕਾਰ ਸਾਰੀਆਂ ਕੰਟਰੋਲ ਪਲੇਨ ਟਨਲ ਅਤੇ Cisco SD-WAN ਮੈਨੇਜਰ TLS ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। Cisco Catalyst SD-WAN ਵੈਲੀਡੇਟਰ ਲਈ ਪਲੇਨ ਸੁਰੰਗਾਂ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰੋ, ਹਮੇਸ਼ਾ DTLS ਦੀ ਵਰਤੋਂ ਕਰੋ, ਕਿਉਂਕਿ ਇਹ ਕਨੈਕਸ਼ਨ UDP ਦੁਆਰਾ ਹੈਂਡਲ ਕੀਤੇ ਜਾਣੇ ਚਾਹੀਦੇ ਹਨ। ਮਲਟੀਪਲ Cisco SD-WAN ਕੰਟਰੋਲਰਾਂ ਵਾਲੇ ਡੋਮੇਨ ਵਿੱਚ, ਜਦੋਂ ਤੁਸੀਂ Cisco SD-WAN ਕੰਟਰੋਲਰਾਂ ਵਿੱਚੋਂ ਇੱਕ 'ਤੇ TLS ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਦੇ ਹੋ, ਤਾਂ ਉਸ ਕੰਟਰੋਲਰ ਤੋਂ ਦੂਜੇ ਕੰਟਰੋਲਰਾਂ ਤੱਕ ਸਾਰੀਆਂ ਕੰਟਰੋਲ ਪਲੇਨ ਸੁਰੰਗਾਂ TLS ਦੀ ਵਰਤੋਂ ਕਰਦੀਆਂ ਹਨ। ਇੱਕ ਹੋਰ ਤਰੀਕੇ ਨਾਲ ਕਿਹਾ, TLS ਹਮੇਸ਼ਾ DTLS ਉੱਤੇ ਪਹਿਲ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਦੂਜੇ Cisco SD-WAN ਕੰਟਰੋਲਰਾਂ ਦੇ ਦ੍ਰਿਸ਼ਟੀਕੋਣ ਤੋਂ, ਜੇਕਰ ਤੁਸੀਂ ਉਹਨਾਂ 'ਤੇ TLS ਦੀ ਸੰਰਚਨਾ ਨਹੀਂ ਕੀਤੀ ਹੈ, ਤਾਂ ਉਹ ਕੰਟਰੋਲ ਪਲੇਨ ਸੁਰੰਗ 'ਤੇ TLS ਦੀ ਵਰਤੋਂ ਸਿਰਫ਼ ਉਸ ਇੱਕ Cisco SD-WAN ਕੰਟਰੋਲਰ ਲਈ ਕਰਦੇ ਹਨ, ਅਤੇ ਉਹ ਬਾਕੀ ਸਾਰੇ ਲਈ DTLS ਸੁਰੰਗਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। Cisco SD-WAN ਕੰਟਰੋਲਰ ਅਤੇ ਉਹਨਾਂ ਦੇ ਸਾਰੇ ਜੁੜੇ ਹੋਏ ਰਾਊਟਰਾਂ ਲਈ। ਸਾਰੇ Cisco SD-WAN ਕੰਟਰੋਲਰ TLS ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ, ਉਹਨਾਂ ਸਾਰਿਆਂ 'ਤੇ ਇਸਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ। ਮੂਲ ਰੂਪ ਵਿੱਚ, Cisco SD-WAN ਕੰਟਰੋਲਰ TLS ਬੇਨਤੀਆਂ ਲਈ ਪੋਰਟ 23456 'ਤੇ ਸੁਣਦਾ ਹੈ। ਇਸਨੂੰ ਬਦਲਣ ਲਈ: vSmart(config)# ਸੁਰੱਖਿਆ ਕੰਟਰੋਲ tls-ਪੋਰਟ ਨੰਬਰ ਪੋਰਟ 1025 ਤੋਂ 65535 ਤੱਕ ਇੱਕ ਨੰਬਰ ਹੋ ਸਕਦਾ ਹੈ। ਕੰਟਰੋਲ ਪਲੇਨ ਸੁਰੱਖਿਆ ਜਾਣਕਾਰੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ, Cisco SD-WAN ਕੰਟਰੋਲਰ 'ਤੇ ਸ਼ੋਅ ਕੰਟਰੋਲ ਕਨੈਕਸ਼ਨ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ। ਸਾਬਕਾ ਲਈample: vSmart-2# ਕੰਟਰੋਲ ਕਨੈਕਸ਼ਨ ਦਿਖਾਓ

Cisco SD-WAN ਮੈਨੇਜਰ ਵਿੱਚ DTLS ਕੌਂਫਿਗਰ ਕਰੋ

ਜੇਕਰ ਤੁਸੀਂ Cisco SD-WAN ਮੈਨੇਜਰ ਨੂੰ TLS ਨੂੰ ਕੰਟਰੋਲ ਪਲੇਨ ਸੁਰੱਖਿਆ ਪ੍ਰੋਟੋਕੋਲ ਵਜੋਂ ਵਰਤਣ ਲਈ ਕੌਂਫਿਗਰ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਨੂੰ ਆਪਣੇ NAT 'ਤੇ ਪੋਰਟ ਫਾਰਵਰਡਿੰਗ ਨੂੰ ਯੋਗ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਜੇਕਰ ਤੁਸੀਂ DTLS ਨੂੰ ਕੰਟਰੋਲ ਪਲੇਨ ਸੁਰੱਖਿਆ ਪ੍ਰੋਟੋਕੋਲ ਵਜੋਂ ਵਰਤ ਰਹੇ ਹੋ, ਤਾਂ ਤੁਹਾਨੂੰ ਕੁਝ ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ। ਅੱਗੇ ਭੇਜੀਆਂ ਗਈਆਂ ਪੋਰਟਾਂ ਦੀ ਗਿਣਤੀ Cisco SD-WAN ਮੈਨੇਜਰ 'ਤੇ ਚੱਲ ਰਹੀਆਂ vdaemon ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਗਿਣਤੀ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ। ਇਹਨਾਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਬਾਰੇ ਅਤੇ ਅੱਗੇ ਭੇਜੀਆਂ ਜਾ ਰਹੀਆਂ ਪੋਰਟਾਂ ਦੀ ਗਿਣਤੀ ਬਾਰੇ ਜਾਣਕਾਰੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ, ਸ਼ੋਅ ਕੰਟਰੋਲ ਸੰਖੇਪ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ ਦਿਖਾਉਂਦੀ ਹੈ ਕਿ ਚਾਰ ਡੈਮਨ ਪ੍ਰਕਿਰਿਆਵਾਂ ਚੱਲ ਰਹੀਆਂ ਹਨ:

ਸੁਣਨ ਵਾਲੀਆਂ ਪੋਰਟਾਂ ਨੂੰ ਦੇਖਣ ਲਈ, show control local-properties ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ: vManage# show control local-properties

ਇਹ ਆਉਟਪੁੱਟ ਦਿਖਾਉਂਦਾ ਹੈ ਕਿ ਸੁਣਨ ਵਾਲਾ TCP ਪੋਰਟ 23456 ਹੈ। ਜੇਕਰ ਤੁਸੀਂ NAT ਦੇ ਪਿੱਛੇ Cisco SD-WAN ਮੈਨੇਜਰ ਚਲਾ ਰਹੇ ਹੋ, ਤਾਂ ਤੁਹਾਨੂੰ NAT ਡਿਵਾਈਸ 'ਤੇ ਹੇਠਾਂ ਦਿੱਤੀਆਂ ਪੋਰਟਾਂ ਨੂੰ ਖੋਲ੍ਹਣਾ ਚਾਹੀਦਾ ਹੈ:

• 23456 (ਬੇਸ - ਉਦਾਹਰਣ 0 ਪੋਰਟ)
• 23456 + 100 (ਆਧਾਰ + 100)
• 23456 + 200 (ਆਧਾਰ + 200)
• 23456 + 300 (ਆਧਾਰ + 300)

ਨੋਟ ਕਰੋ ਕਿ ਉਦਾਹਰਨਾਂ ਦੀ ਗਿਣਤੀ ਤੁਹਾਡੇ ਵੱਲੋਂ Cisco SD-WAN ਮੈਨੇਜਰ ਲਈ ਨਿਰਧਾਰਤ ਕੋਰਾਂ ਦੀ ਗਿਣਤੀ ਦੇ ਬਰਾਬਰ ਹੈ, ਵੱਧ ਤੋਂ ਵੱਧ 8 ਤੱਕ।

ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾ ਟੈਂਪਲੇਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸੁਰੱਖਿਆ ਮਾਪਦੰਡਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ

ਸਾਰੇ Cisco vEdge ਡਿਵਾਈਸਾਂ ਲਈ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾ ਟੈਂਪਲੇਟ ਦੀ ਵਰਤੋਂ ਕਰੋ। ਕਿਨਾਰੇ ਰਾਊਟਰਾਂ ਅਤੇ ਸਿਸਕੋ SD-WAN ਵੈਲੀਡੇਟਰ 'ਤੇ, ਡਾਟਾ ਪਲੇਨ ਸੁਰੱਖਿਆ ਲਈ IPsec ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ ਇਸ ਟੈਂਪਲੇਟ ਦੀ ਵਰਤੋਂ ਕਰੋ। Cisco SD-WAN ਮੈਨੇਜਰ ਅਤੇ Cisco SD-WAN ਕੰਟਰੋਲਰ 'ਤੇ, ਕੰਟਰੋਲ ਪਲੇਨ ਸੁਰੱਖਿਆ ਲਈ DTLS ਜਾਂ TLS ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾ ਟੈਂਪਲੇਟ ਦੀ ਵਰਤੋਂ ਕਰੋ।

ਸੁਰੱਖਿਆ ਮਾਪਦੰਡ ਕੌਂਫਿਗਰ ਕਰੋ

1. Cisco SD-WAN ਮੈਨੇਜਰ ਮੀਨੂ ਤੋਂ, ਕੌਂਫਿਗਰੇਸ਼ਨ > ਟੈਂਪਲੇਟਸ ਚੁਣੋ।
2. ਫੀਚਰ ਟੈਂਪਲੇਟ 'ਤੇ ਕਲਿੱਕ ਕਰੋ ਅਤੇ ਫਿਰ ਟੈਮਪਲੇਟ ਸ਼ਾਮਲ ਕਰੋ 'ਤੇ ਕਲਿੱਕ ਕਰੋ।
   ਨੋਟ ਕਰੋ ਸਿਸਕੋ vManage ਰੀਲੀਜ਼ 20.7.1 ਅਤੇ ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਦੀਆਂ ਰੀਲੀਜ਼ਾਂ ਵਿੱਚ, ਫੀਚਰ ਟੈਂਪਲੇਟਸ ਨੂੰ ਫੀਚਰ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
3. ਖੱਬੇ ਉਪਖੰਡ ਵਿੱਚ ਡਿਵਾਈਸਾਂ ਦੀ ਸੂਚੀ ਵਿੱਚੋਂ, ਇੱਕ ਡਿਵਾਈਸ ਚੁਣੋ। ਚੁਣੀ ਗਈ ਡਿਵਾਈਸ ਤੇ ਲਾਗੂ ਹੋਣ ਵਾਲੇ ਟੈਂਪਲੇਟ ਸੱਜੇ ਪੈਨ ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ।
4. ਟੈਂਪਲੇਟ ਨੂੰ ਖੋਲ੍ਹਣ ਲਈ ਸੁਰੱਖਿਆ 'ਤੇ ਕਲਿੱਕ ਕਰੋ।
5. ਵਿੱਚ ਟੈਪਲੇਟ ਨਾਮ ਖੇਤਰ, ਟੈਪਲੇਟ ਲਈ ਇੱਕ ਨਾਮ ਦਰਜ ਕਰੋ. ਨਾਮ 128 ਅੱਖਰਾਂ ਤੱਕ ਦਾ ਹੋ ਸਕਦਾ ਹੈ ਅਤੇ ਇਸ ਵਿੱਚ ਸਿਰਫ਼ ਅੱਖਰ-ਅੰਕ ਵਾਲੇ ਅੱਖਰ ਹੀ ਹੋ ਸਕਦੇ ਹਨ।
6. ਵਿੱਚ ਟੈਪਲੇਟ ਵੇਰਵਾ ਖੇਤਰ, ਟੈਪਲੇਟ ਦਾ ਵੇਰਵਾ ਦਿਓ. ਵਰਣਨ 2048 ਅੱਖਰਾਂ ਤੱਕ ਦਾ ਹੋ ਸਕਦਾ ਹੈ ਅਤੇ ਇਸ ਵਿੱਚ ਸਿਰਫ਼ ਅੱਖਰ-ਅੰਕ ਵਾਲੇ ਅੱਖਰ ਹੀ ਹੋ ਸਕਦੇ ਹਨ।

ਜਦੋਂ ਤੁਸੀਂ ਪਹਿਲੀ ਵਾਰ ਇੱਕ ਵਿਸ਼ੇਸ਼ਤਾ ਟੈਮਪਲੇਟ ਖੋਲ੍ਹਦੇ ਹੋ, ਹਰੇਕ ਪੈਰਾਮੀਟਰ ਲਈ ਜਿਸਦਾ ਇੱਕ ਪੂਰਵ-ਨਿਰਧਾਰਤ ਮੁੱਲ ਹੁੰਦਾ ਹੈ, ਸਕੋਪ ਨੂੰ ਡਿਫੌਲਟ (ਚੈਕਮਾਰਕ ਦੁਆਰਾ ਦਰਸਾਏ) 'ਤੇ ਸੈੱਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਡਿਫੌਲਟ ਸੈਟਿੰਗ ਜਾਂ ਮੁੱਲ ਦਿਖਾਇਆ ਜਾਂਦਾ ਹੈ। ਪੂਰਵ-ਨਿਰਧਾਰਤ ਨੂੰ ਬਦਲਣ ਜਾਂ ਮੁੱਲ ਦਾਖਲ ਕਰਨ ਲਈ, ਪੈਰਾਮੀਟਰ ਖੇਤਰ ਦੇ ਖੱਬੇ ਪਾਸੇ ਦੇ ਸਕੋਪ ਡ੍ਰੌਪ-ਡਾਊਨ ਮੀਨੂ 'ਤੇ ਕਲਿੱਕ ਕਰੋ ਅਤੇ ਹੇਠਾਂ ਦਿੱਤੇ ਵਿੱਚੋਂ ਇੱਕ ਚੁਣੋ:

ਸਾਰਣੀ 1:

ਪੈਰਾਮੀਟਰ ਸਕੋਪ

ਸਕੋਪ ਵਰਣਨ

ਡਿਵਾਈਸ ਖਾਸ (ਹੋਸਟ ਆਈਕਨ ਦੁਆਰਾ ਦਰਸਾਈ ਗਈ)

ਪੈਰਾਮੀਟਰ ਲਈ ਇੱਕ ਡਿਵਾਈਸ-ਵਿਸ਼ੇਸ਼ ਮੁੱਲ ਦੀ ਵਰਤੋਂ ਕਰੋ। ਡਿਵਾਈਸ-ਵਿਸ਼ੇਸ਼ ਪੈਰਾਮੀਟਰਾਂ ਲਈ, ਤੁਸੀਂ ਵਿਸ਼ੇਸ਼ਤਾ ਟੈਮਪਲੇਟ ਵਿੱਚ ਕੋਈ ਮੁੱਲ ਦਰਜ ਨਹੀਂ ਕਰ ਸਕਦੇ ਹੋ। ਜਦੋਂ ਤੁਸੀਂ ਇੱਕ ਡਿਵਾਈਸ ਟੈਮਪਲੇਟ ਨਾਲ ਵਿਪਟਲਾ ਡਿਵਾਈਸ ਨੂੰ ਜੋੜਦੇ ਹੋ ਤਾਂ ਤੁਸੀਂ ਮੁੱਲ ਦਾਖਲ ਕਰਦੇ ਹੋ। ਜਦੋਂ ਤੁਸੀਂ ਡਿਵਾਈਸ ਵਿਸ਼ੇਸ਼ 'ਤੇ ਕਲਿੱਕ ਕਰਦੇ ਹੋ, ਤਾਂ ਐਂਟਰ ਕੁੰਜੀ ਬਾਕਸ ਖੁੱਲ੍ਹਦਾ ਹੈ। ਇਹ ਬਾਕਸ ਇੱਕ ਕੁੰਜੀ ਦਿਖਾਉਂਦਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਵਿਲੱਖਣ ਸਤਰ ਹੈ ਜੋ ਇੱਕ CSV ਵਿੱਚ ਪੈਰਾਮੀਟਰ ਦੀ ਪਛਾਣ ਕਰਦੀ ਹੈ file ਜੋ ਤੁਸੀਂ ਬਣਾਉਂਦੇ ਹੋ। ਇਹ file ਇੱਕ ਐਕਸਲ ਸਪ੍ਰੈਡਸ਼ੀਟ ਹੈ ਜਿਸ ਵਿੱਚ ਹਰੇਕ ਕੁੰਜੀ ਲਈ ਇੱਕ ਕਾਲਮ ਹੁੰਦਾ ਹੈ। ਸਿਰਲੇਖ ਕਤਾਰ ਵਿੱਚ ਮੁੱਖ ਨਾਮ (ਪ੍ਰਤੀ ਕਾਲਮ ਇੱਕ ਕੁੰਜੀ) ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ, ਅਤੇ ਉਸ ਤੋਂ ਬਾਅਦ ਦੀ ਹਰ ਕਤਾਰ ਇੱਕ ਡਿਵਾਈਸ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ ਅਤੇ ਉਸ ਡਿਵਾਈਸ ਲਈ ਕੁੰਜੀਆਂ ਦੇ ਮੁੱਲਾਂ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦੀ ਹੈ। ਤੁਸੀਂ CSV ਅੱਪਲੋਡ ਕਰੋ file ਜਦੋਂ ਤੁਸੀਂ ਇੱਕ ਵਿਪਟੇਲਾ ਡਿਵਾਈਸ ਨੂੰ ਇੱਕ ਡਿਵਾਈਸ ਟੈਂਪਲੇਟ ਨਾਲ ਜੋੜਦੇ ਹੋ। ਵਧੇਰੇ ਜਾਣਕਾਰੀ ਲਈ, ਇੱਕ ਟੈਂਪਲੇਟ ਵੇਰੀਏਬਲ ਸਪ੍ਰੈਡਸ਼ੀਟ ਬਣਾਓ ਵੇਖੋ। ਡਿਫਾਲਟ ਕੁੰਜੀ ਨੂੰ ਬਦਲਣ ਲਈ, ਇੱਕ ਨਵੀਂ ਸਤਰ ਟਾਈਪ ਕਰੋ ਅਤੇ ਕਰਸਰ ਨੂੰ ਐਂਟਰ ਕੀ ਬਾਕਸ ਤੋਂ ਬਾਹਰ ਲੈ ਜਾਓ। Exampਡਿਵਾਈਸ-ਵਿਸ਼ੇਸ਼ ਪੈਰਾਮੀਟਰ ਸਿਸਟਮ IP ਐਡਰੈੱਸ, ਹੋਸਟ-ਨਾਂ, GPS ਟਿਕਾਣਾ, ਅਤੇ ਸਾਈਟ ID ਹਨ।

ਪੈਰਾਮੀਟਰ ਸਕੋਪ	ਸਕੋਪ ਵਰਣਨ
ਗਲੋਬਲ (ਇੱਕ ਗਲੋਬ ਆਈਕਨ ਦੁਆਰਾ ਦਰਸਾਇਆ ਗਿਆ)	ਪੈਰਾਮੀਟਰ ਲਈ ਇੱਕ ਮੁੱਲ ਦਾਖਲ ਕਰੋ, ਅਤੇ ਉਸ ਮੁੱਲ ਨੂੰ ਸਾਰੀਆਂ ਡਿਵਾਈਸਾਂ 'ਤੇ ਲਾਗੂ ਕਰੋ। Exampਪੈਰਾਮੀਟਰਾਂ ਦੇ ਲੇਸ ਜੋ ਤੁਸੀਂ ਡਿਵਾਈਸਾਂ ਦੇ ਸਮੂਹ ਲਈ ਵਿਸ਼ਵ ਪੱਧਰ 'ਤੇ ਲਾਗੂ ਕਰ ਸਕਦੇ ਹੋ ਉਹ ਹਨ DNS ਸਰਵਰ, syslog ਸਰਵਰ, ਅਤੇ ਇੰਟਰਫੇਸ MTUs।

ਕੰਟਰੋਲ ਪਲੇਨ ਸੁਰੱਖਿਆ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ

ਨੋਟ ਕਰੋ
ਕੌਂਫਿਗਰ ਕੰਟਰੋਲ ਪਲੇਨ ਸੁਰੱਖਿਆ ਸੈਕਸ਼ਨ ਸਿਰਫ Cisco SD-WAN ਮੈਨੇਜਰ ਅਤੇ Cisco SD-WAN ਕੰਟਰੋਲਰ 'ਤੇ ਲਾਗੂ ਹੁੰਦਾ ਹੈ। Cisco SD-WAN ਮੈਨੇਜਰ ਉਦਾਹਰਣ ਜਾਂ Cisco SD-WAN ਕੰਟਰੋਲਰ 'ਤੇ ਕੰਟਰੋਲ ਪਲੇਨ ਕਨੈਕਸ਼ਨ ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ, ਮੂਲ ਸੰਰਚਨਾ ਖੇਤਰ ਚੁਣੋ। ਅਤੇ ਹੇਠ ਦਿੱਤੇ ਪੈਰਾਮੀਟਰਾਂ ਦੀ ਸੰਰਚਨਾ ਕਰੋ:

ਸਾਰਣੀ 2:

ਪੈਰਾਮੀਟਰ ਨਾਮ	ਵਰਣਨ
ਪ੍ਰੋਟੋਕੋਲ	Cisco SD-WAN ਕੰਟਰੋਲਰ ਨਾਲ ਕੰਟਰੋਲ ਪਲੇਨ ਕਨੈਕਸ਼ਨਾਂ 'ਤੇ ਵਰਤਣ ਲਈ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਚੋਣ ਕਰੋ: •  DTLS (ਡਾtagਰੈਮ ਟ੍ਰਾਂਸਪੋਰਟ ਲੇਅਰ ਸੁਰੱਖਿਆ)। ਇਹ ਡਿਫਾਲਟ ਹੈ। •  TLS (ਟ੍ਰਾਂਸਪੋਰਟ ਲੇਅਰ ਸੁਰੱਖਿਆ)
TLS ਪੋਰਟ ਨੂੰ ਕੰਟਰੋਲ ਕਰੋ	ਜੇਕਰ ਤੁਸੀਂ TLS ਨੂੰ ਚੁਣਿਆ ਹੈ, ਤਾਂ ਵਰਤਣ ਲਈ ਪੋਰਟ ਨੰਬਰ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ:ਰੇਂਜ: 1025 ਤੋਂ 65535 ਤੱਕਪੂਰਵ-ਨਿਰਧਾਰਤ: 23456

ਸੇਵ 'ਤੇ ਕਲਿੱਕ ਕਰੋ

ਡੇਟਾ ਪਲੇਨ ਸੁਰੱਖਿਆ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ
Cisco SD-WAN ਵੈਲੀਡੇਟਰ ਜਾਂ Cisco vEdge ਰਾਊਟਰ 'ਤੇ ਡਾਟਾ ਪਲੇਨ ਸੁਰੱਖਿਆ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ, ਬੇਸਿਕ ਕੌਂਫਿਗਰੇਸ਼ਨ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮ ਟੈਬਾਂ ਦੀ ਚੋਣ ਕਰੋ, ਅਤੇ ਹੇਠਾਂ ਦਿੱਤੇ ਪੈਰਾਮੀਟਰਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ:

ਸਾਰਣੀ 3:

ਪੈਰਾਮੀਟਰ ਨਾਮ	ਵਰਣਨ
ਰੀਕੀ ਟਾਈਮ	ਨਿਰਧਾਰਤ ਕਰੋ ਕਿ ਇੱਕ Cisco vEdge ਰਾਊਟਰ ਆਪਣੇ ਸੁਰੱਖਿਅਤ DTLS ਕਨੈਕਸ਼ਨ 'ਤੇ ਵਰਤੀ ਗਈ AES ਕੁੰਜੀ ਨੂੰ Cisco SD-WAN ਕੰਟਰੋਲਰ ਨਾਲ ਕਿੰਨੀ ਵਾਰ ਬਦਲਦਾ ਹੈ। ਜੇਕਰ OMP ਗ੍ਰੇਸਫੁੱਲ ਰੀਸਟਾਰਟ ਸਮਰਥਿਤ ਹੈ, ਤਾਂ ਰੀਕੀਇੰਗ ਸਮਾਂ OMP ਗ੍ਰੇਸਫੁੱਲ ਰੀਸਟਾਰਟ ਟਾਈਮਰ ਦੇ ਮੁੱਲ ਤੋਂ ਘੱਟੋ-ਘੱਟ ਦੁੱਗਣਾ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ।ਰੇਂਜ: 10 ਤੋਂ 1209600 ਸਕਿੰਟ (14 ਦਿਨ)ਪੂਰਵ-ਨਿਰਧਾਰਤ: 86400 ਸਕਿੰਟ (24 ਘੰਟੇ)
ਵਿੰਡੋ ਨੂੰ ਰੀਪਲੇਅ ਕਰੋ	ਸਲਾਈਡਿੰਗ ਰੀਪਲੇ ਵਿੰਡੋ ਦਾ ਆਕਾਰ ਦਿਓ। ਮੁੱਲ: 64, 128, 256, 512, 1024, 2048, 4096, 8192 ਪੈਕੇਟਪੂਰਵ-ਨਿਰਧਾਰਤ: 512 ਪੈਕੇਟ
IPsec pairwise-keying	ਇਹ ਮੂਲ ਰੂਪ ਵਿੱਚ ਬੰਦ ਹੈ। ਕਲਿੱਕ ਕਰੋ On ਇਸ ਨੂੰ ਚਾਲੂ ਕਰਨ ਲਈ.

ਪੈਰਾਮੀਟਰ ਨਾਮ

ਵਰਣਨ

ਪ੍ਰਮਾਣੀਕਰਨ ਦੀ ਕਿਸਮ

ਤੋਂ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮਾਂ ਦੀ ਚੋਣ ਕਰੋ ਪ੍ਰਮਾਣਿਕਤਾ ਸੂਚੀ, ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮਾਂ ਨੂੰ 'ਤੇ ਲਿਜਾਣ ਲਈ ਸੱਜੇ ਇਸ਼ਾਰਾ ਕਰਨ ਵਾਲੇ ਤੀਰ 'ਤੇ ਕਲਿੱਕ ਕਰੋ ਚੁਣੀ ਗਈ ਸੂਚੀ ਕਾਲਮ ਸਿਸਕੋ SD-WAN ਰੀਲੀਜ਼ 20.6.1 ਤੋਂ ਸਮਰਥਿਤ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮ: •  esp: ESP ਸਿਰਲੇਖ 'ਤੇ ਸੁਰੱਖਿਆ ਪੇਲੋਡ (ESP) ਐਨਕ੍ਰਿਪਸ਼ਨ ਅਤੇ ਇਕਸਾਰਤਾ ਜਾਂਚ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। •  ip-udp-esp: ESP ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ESP ਸਿਰਲੇਖ ਅਤੇ ਪੇਲੋਡ 'ਤੇ ਇਕਸਾਰਤਾ ਜਾਂਚਾਂ ਤੋਂ ਇਲਾਵਾ, ਜਾਂਚਾਂ ਵਿੱਚ ਬਾਹਰੀ IP ਅਤੇ UDP ਸਿਰਲੇਖ ਵੀ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ। •  ip-udp-esp-no-id: IP ਸਿਰਲੇਖ ਵਿੱਚ ID ਖੇਤਰ ਨੂੰ ਅਣਡਿੱਠ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ Cisco Catalyst SD-WAN ਗੈਰ-Cisco ਡਿਵਾਈਸਾਂ ਦੇ ਨਾਲ ਕੰਮ ਕਰ ਸਕੇ। •  ਕੋਈ ਨਹੀਂ: IPSec ਪੈਕੇਟਾਂ 'ਤੇ ਇਕਸਾਰਤਾ ਜਾਂਚ ਨੂੰ ਬੰਦ ਕਰਦਾ ਹੈ। ਅਸੀਂ ਇਸ ਵਿਕਲਪ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਸਿਫਾਰਸ਼ ਨਹੀਂ ਕਰਦੇ ਹਾਂ।   ਸਿਸਕੋ SD-WAN ਰੀਲੀਜ਼ 20.5.1 ਅਤੇ ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਵਿੱਚ ਸਮਰਥਿਤ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮ: •  ah-no-id: AH-SHA1 HMAC ਅਤੇ ESP HMAC-SHA1 ਦੇ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਸੰਸਕਰਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ ਜੋ ਪੈਕੇਟ ਦੇ ਬਾਹਰੀ IP ਸਿਰਲੇਖ ਵਿੱਚ ID ਖੇਤਰ ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਦਾ ਹੈ। •  ah-sha1-hmac: AH-SHA1 HMAC ਅਤੇ ESP HMAC-SHA1 ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ। •  ਕੋਈ ਨਹੀਂ: ਕੋਈ ਪ੍ਰਮਾਣਿਕਤਾ ਨਹੀਂ ਚੁਣੋ। •  sha1-hmac: ESP HMAC-SHA1 ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ।   ਨੋਟ ਕਰੋ              Cisco SD-WAN ਰੀਲੀਜ਼ 20.5.1 ਜਾਂ ਇਸਤੋਂ ਪਹਿਲਾਂ ਚੱਲ ਰਹੇ ਇੱਕ ਕਿਨਾਰੇ ਡਿਵਾਈਸ ਲਈ, ਤੁਸੀਂ ਇੱਕ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪ੍ਰਮਾਣੀਕਰਨ ਕਿਸਮਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕੀਤਾ ਹੋ ਸਕਦਾ ਹੈ ਸੁਰੱਖਿਆ ਟੈਮਪਲੇਟ ਜਦੋਂ ਤੁਸੀਂ ਡਿਵਾਈਸ ਨੂੰ Cisco SD-WAN ਰੀਲੀਜ਼ 20.6.1 ਜਾਂ ਬਾਅਦ ਵਿੱਚ ਅੱਪਗਰੇਡ ਕਰਦੇ ਹੋ, ਤਾਂ ਵਿੱਚ ਚੁਣੀਆਂ ਗਈਆਂ ਪ੍ਰਮਾਣੀਕਰਨ ਕਿਸਮਾਂ ਨੂੰ ਅੱਪਡੇਟ ਕਰੋ। ਸੁਰੱਖਿਆ ਸਿਸਕੋ SD-WAN ਰੀਲੀਜ਼ 20.6.1 ਤੋਂ ਸਮਰਥਿਤ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮਾਂ ਲਈ ਟੈਪਲੇਟ। ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮਾਂ ਨੂੰ ਅਪਡੇਟ ਕਰਨ ਲਈ, ਹੇਠਾਂ ਦਿੱਤੇ ਕੰਮ ਕਰੋ: 1.      Cisco SD-WAN ਮੈਨੇਜਰ ਮੀਨੂ ਤੋਂ, ਚੁਣੋ ਸੰਰਚਨਾ > ਟੈਂਪਲੇਟਸ. 2.      ਕਲਿੱਕ ਕਰੋ ਫੀਚਰ ਟੈਮਪਲੇਟ. 3.      ਲੱਭੋ ਸੁਰੱਖਿਆ ਅੱਪਡੇਟ ਕਰਨ ਲਈ ਟੈਂਪਲੇਟ ਅਤੇ ਕਲਿੱਕ ਕਰੋ … ਅਤੇ ਕਲਿੱਕ ਕਰੋ ਸੰਪਾਦਿਤ ਕਰੋ. 4.      ਕਲਿੱਕ ਕਰੋ ਅੱਪਡੇਟ ਕਰੋ. ਕੋਈ ਸੰਰਚਨਾ ਨਾ ਸੋਧੋ। Cisco SD-WAN ਮੈਨੇਜਰ ਅਪਡੇਟ ਕਰਦਾ ਹੈ ਸੁਰੱਖਿਆ ਸਮਰਥਿਤ ਪ੍ਰਮਾਣੀਕਰਨ ਕਿਸਮਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ ਟੈਂਪਲੇਟ।

ਸੇਵ 'ਤੇ ਕਲਿੱਕ ਕਰੋ।

ਡਾਟਾ ਪਲੇਨ ਸੁਰੱਖਿਆ ਮਾਪਦੰਡਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ

ਡੇਟਾ ਪਲੇਨ ਵਿੱਚ, IPsec ਸਾਰੇ ਰਾਊਟਰਾਂ 'ਤੇ ਡਿਫੌਲਟ ਰੂਪ ਵਿੱਚ ਸਮਰੱਥ ਹੁੰਦਾ ਹੈ, ਅਤੇ ਮੂਲ ਰੂਪ ਵਿੱਚ IPsec ਟਨਲ ਕਨੈਕਸ਼ਨ IPsec ਸੁਰੰਗਾਂ 'ਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ Encapsulating Security Payload (ESP) ਪ੍ਰੋਟੋਕੋਲ ਦੇ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਸੰਸਕਰਣ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਰਾਊਟਰਾਂ 'ਤੇ, ਤੁਸੀਂ ਪ੍ਰਮਾਣੀਕਰਨ ਦੀ ਕਿਸਮ, IPsec ਰੀਕੀਇੰਗ ਟਾਈਮਰ, ਅਤੇ IPsec ਐਂਟੀ-ਰੀਪਲੇ ਵਿੰਡੋ ਦਾ ਆਕਾਰ ਬਦਲ ਸਕਦੇ ਹੋ।

ਮਨਜ਼ੂਰਸ਼ੁਦਾ ਪ੍ਰਮਾਣੀਕਰਨ ਕਿਸਮਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ

ਸਿਸਕੋ SD-WAN ਰੀਲੀਜ਼ 20.6.1 ਅਤੇ ਬਾਅਦ ਵਿੱਚ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮਾਂ
Cisco SD-WAN ਰੀਲੀਜ਼ 20.6.1 ਤੋਂ, ਹੇਠ ਲਿਖੀਆਂ ਇਕਸਾਰਤਾ ਕਿਸਮਾਂ ਸਮਰਥਿਤ ਹਨ:

• esp: ਇਹ ਵਿਕਲਪ ESP ਸਿਰਲੇਖ 'ਤੇ ਸੁਰੱਖਿਆ ਪੇਲੋਡ (ESP) ਐਨਕ੍ਰਿਪਸ਼ਨ ਅਤੇ ਇਕਸਾਰਤਾ ਜਾਂਚ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।
• ip-udp-esp: ਇਹ ਵਿਕਲਪ ESP ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ESP ਸਿਰਲੇਖ ਅਤੇ ਪੇਲੋਡ 'ਤੇ ਇਕਸਾਰਤਾ ਜਾਂਚਾਂ ਤੋਂ ਇਲਾਵਾ, ਜਾਂਚਾਂ ਵਿੱਚ ਬਾਹਰੀ IP ਅਤੇ UDP ਸਿਰਲੇਖ ਵੀ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ।
• ip-udp-esp-no-id: ਇਹ ਵਿਕਲਪ ip-udp-esp ਦੇ ਸਮਾਨ ਹੈ, ਹਾਲਾਂਕਿ, ਬਾਹਰੀ IP ਸਿਰਲੇਖ ਦੇ ID ਖੇਤਰ ਨੂੰ ਅਣਡਿੱਠ ਕੀਤਾ ਗਿਆ ਹੈ। Cisco Catalyst SD-WAN ਸੌਫਟਵੇਅਰ ਨੂੰ IP ਸਿਰਲੇਖ ਵਿੱਚ ID ਖੇਤਰ ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਨ ਲਈ ਇਕਸਾਰਤਾ ਕਿਸਮਾਂ ਦੀ ਸੂਚੀ ਵਿੱਚ ਇਸ ਵਿਕਲਪ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ ਤਾਂ ਜੋ Cisco Catalyst SD-WAN ਗੈਰ-Cisco ਡਿਵਾਈਸਾਂ ਦੇ ਨਾਲ ਕੰਮ ਕਰ ਸਕੇ।
• ਕੋਈ ਨਹੀਂ: ਇਹ ਵਿਕਲਪ IPSec ਪੈਕੇਟਾਂ 'ਤੇ ਇਕਸਾਰਤਾ ਜਾਂਚ ਨੂੰ ਬੰਦ ਕਰ ਦਿੰਦਾ ਹੈ। ਅਸੀਂ ਇਸ ਵਿਕਲਪ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਸਿਫਾਰਸ਼ ਨਹੀਂ ਕਰਦੇ ਹਾਂ।

ਮੂਲ ਰੂਪ ਵਿੱਚ, IPsec ਸੁਰੰਗ ਕਨੈਕਸ਼ਨ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਐਨਕੈਪਸੁਲੇਟਿੰਗ ਸਕਿਓਰਿਟੀ ਪੇਲੋਡ (ESP) ਪ੍ਰੋਟੋਕੋਲ ਦੇ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਸੰਸਕਰਣ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਨੈਗੋਸ਼ੀਏਟਿਡ ਇੰਟਰੀਟੀ ਕਿਸਮਾਂ ਨੂੰ ਸੋਧਣ ਲਈ ਜਾਂ ਇਕਸਾਰਤਾ ਜਾਂਚ ਨੂੰ ਅਯੋਗ ਕਰਨ ਲਈ, ਹੇਠ ਦਿੱਤੀ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | ਖਾਸ }

ਸਿਸਕੋ SD-WAN ਰੀਲੀਜ਼ 20.6.1 ਤੋਂ ਪਹਿਲਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀਆਂ ਕਿਸਮਾਂ
ਮੂਲ ਰੂਪ ਵਿੱਚ, IPsec ਸੁਰੰਗ ਕਨੈਕਸ਼ਨ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਐਨਕੈਪਸੁਲੇਟਿੰਗ ਸਕਿਓਰਿਟੀ ਪੇਲੋਡ (ESP) ਪ੍ਰੋਟੋਕੋਲ ਦੇ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਸੰਸਕਰਣ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਗੱਲਬਾਤ ਕੀਤੀ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮਾਂ ਨੂੰ ਸੋਧਣ ਲਈ ਜਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਅਯੋਗ ਕਰਨ ਲਈ, ਹੇਠ ਦਿੱਤੀ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ: ਡਿਵਾਈਸ(config)# ਸੁਰੱਖਿਆ ipsec ਪ੍ਰਮਾਣਿਕਤਾ-ਕਿਸਮ (ah-sha1-hmac | ah-no-id | sha1-hmac | | ਕੋਈ ਨਹੀਂ) ਮੂਲ ਰੂਪ ਵਿੱਚ, IPsec ਸੁਰੰਗ ਕੁਨੈਕਸ਼ਨ AES-GCM-256 ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਜੋ ਕਿ ਇਨਕ੍ਰਿਪਸ਼ਨ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਦੋਵੇਂ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਹਰੇਕ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮ ਨੂੰ ਇੱਕ ਵੱਖਰੀ ਸੁਰੱਖਿਆ ipsec ਪ੍ਰਮਾਣੀਕਰਨ-ਕਿਸਮ ਕਮਾਂਡ ਨਾਲ ਕੌਂਫਿਗਰ ਕਰੋ। ਕਮਾਂਡ ਵਿਕਲਪ ਹੇਠ ਲਿਖੀਆਂ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮਾਂ ਨੂੰ ਮੈਪ ਕਰਦੇ ਹਨ, ਜੋ ਕਿ ਸਭ ਤੋਂ ਮਜ਼ਬੂਤ ​​ਤੋਂ ਘੱਟੋ-ਘੱਟ ਮਜ਼ਬੂਤ ​​ਤੱਕ ਕ੍ਰਮ ਵਿੱਚ ਸੂਚੀਬੱਧ ਹਨ:

ਨੋਟ ਕਰੋ
ਸੰਰਚਨਾ ਵਿਕਲਪਾਂ ਵਿੱਚ sha1 ਇਤਿਹਾਸਕ ਕਾਰਨਾਂ ਕਰਕੇ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਕਲਪ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ ਪੈਕੇਟ ਦੀ ਇਕਸਾਰਤਾ ਦੀ ਕਿੰਨੀ ਜਾਂਚ ਕੀਤੀ ਗਈ ਹੈ। ਉਹ ਐਲਗੋਰਿਦਮ ਨੂੰ ਨਿਸ਼ਚਿਤ ਨਹੀਂ ਕਰਦੇ ਜੋ ਇਕਸਾਰਤਾ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਮਲਟੀਕਾਸਟ ਟ੍ਰੈਫਿਕ ਦੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਛੱਡ ਕੇ, ਸਿਸਕੋ ਕੈਟਾਲਿਸਟ SD WAN ਦੁਆਰਾ ਸਮਰਥਿਤ ਪ੍ਰਮਾਣਿਕਤਾ ਐਲਗੋਰਿਦਮ SHA1 ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕਰਦੇ ਹਨ। ਹਾਲਾਂਕਿ Cisco SD-WAN ਰੀਲੀਜ਼ 20.1.x ਅਤੇ ਇਸ ਤੋਂ ਬਾਅਦ, ਯੂਨੀਕਾਸਟ ਅਤੇ ਮਲਟੀਕਾਸਟ ਦੋਵੇਂ SHA1 ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕਰਦੇ ਹਨ।

• ah-sha1-hmac ESP ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਅਤੇ ਇਨਕੈਪਸੂਲੇਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ESP ਸਿਰਲੇਖ ਅਤੇ ਪੇਲੋਡ 'ਤੇ ਇਕਸਾਰਤਾ ਜਾਂਚਾਂ ਤੋਂ ਇਲਾਵਾ, ਜਾਂਚਾਂ ਵਿੱਚ ਬਾਹਰੀ IP ਅਤੇ UDP ਸਿਰਲੇਖ ਵੀ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ। ਇਸ ਲਈ, ਇਹ ਵਿਕਲਪ ਪ੍ਰਮਾਣਿਕਤਾ ਸਿਰਲੇਖ (ਏਐਚ) ਪ੍ਰੋਟੋਕੋਲ ਦੇ ਸਮਾਨ ਪੈਕੇਟ ਦੀ ਇਕਸਾਰਤਾ ਜਾਂਚ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਸਾਰੀ ਇਕਸਾਰਤਾ ਅਤੇ ਏਨਕ੍ਰਿਪਸ਼ਨ AES-256-GCM ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
• ah-no-id ਇੱਕ ਮੋਡ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ ਜੋ ah-sha1-hmac ਦੇ ਸਮਾਨ ਹੈ, ਹਾਲਾਂਕਿ, ਬਾਹਰੀ IP ਸਿਰਲੇਖ ਦੇ ID ਖੇਤਰ ਨੂੰ ਅਣਡਿੱਠ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਵਿਕਲਪ ਐਪਲ ਏਅਰਪੋਰਟ ਐਕਸਪ੍ਰੈਸ NAT ਸਮੇਤ, ਕੁਝ ਗੈਰ-ਸਿਸਕੋ ਕੈਟਾਲਿਸਟ SD-WAN ਡਿਵਾਈਸਾਂ ਨੂੰ ਅਨੁਕੂਲਿਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਬੱਗ ਹੈ ਜੋ IP ਸਿਰਲੇਖ ਵਿੱਚ ID ਖੇਤਰ, ਇੱਕ ਗੈਰ-ਮਿਊਟੇਬਲ ਫੀਲਡ, ਨੂੰ ਸੋਧਣ ਦਾ ਕਾਰਨ ਬਣਦਾ ਹੈ। Cisco Catalyst SD-WAN AH ਸਾਫਟਵੇਅਰ IP ਸਿਰਲੇਖ ਵਿੱਚ ID ਖੇਤਰ ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਨ ਲਈ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮਾਂ ਦੀ ਸੂਚੀ ਵਿੱਚ ah-no-id ਵਿਕਲਪ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ ਤਾਂ ਕਿ Cisco Catalyst SD-WAN ਸੌਫਟਵੇਅਰ ਇਹਨਾਂ ਡਿਵਾਈਸਾਂ ਦੇ ਨਾਲ ਕੰਮ ਕਰ ਸਕੇ।
• sha1-hmac ESP ਇਨਕ੍ਰਿਪਸ਼ਨ ਅਤੇ ਇਕਸਾਰਤਾ ਜਾਂਚ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।
• ਕੋਈ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਕੋਈ ਨਕਸ਼ਾ ਨਹੀਂ। ਇਹ ਵਿਕਲਪ ਤਾਂ ਹੀ ਵਰਤਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਜੇਕਰ ਇਹ ਆਰਜ਼ੀ ਡੀਬੱਗਿੰਗ ਲਈ ਲੋੜੀਂਦਾ ਹੈ। ਤੁਸੀਂ ਇਸ ਵਿਕਲਪ ਨੂੰ ਉਹਨਾਂ ਸਥਿਤੀਆਂ ਵਿੱਚ ਵੀ ਚੁਣ ਸਕਦੇ ਹੋ ਜਿੱਥੇ ਡੇਟਾ ਪਲੇਨ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਅਖੰਡਤਾ ਕੋਈ ਚਿੰਤਾ ਨਹੀਂ ਹੈ। Cisco ਉਤਪਾਦਨ ਨੈੱਟਵਰਕਾਂ ਲਈ ਇਸ ਵਿਕਲਪ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਸਿਫਾਰਸ਼ ਨਹੀਂ ਕਰਦਾ ਹੈ।

ਇਹਨਾਂ ਪ੍ਰਮਾਣੀਕਰਣ ਕਿਸਮਾਂ ਦੁਆਰਾ ਕਿਹੜੇ ਡੇਟਾ ਪੈਕੇਟ ਖੇਤਰ ਪ੍ਰਭਾਵਿਤ ਹੁੰਦੇ ਹਨ ਇਸ ਬਾਰੇ ਜਾਣਕਾਰੀ ਲਈ, ਡੇਟਾ ਪਲੇਨ ਇੰਟੈਗਰਿਟੀ ਵੇਖੋ। Cisco IOS XE Catalyst SD-WAN ਡਿਵਾਈਸਾਂ ਅਤੇ Cisco vEdge ਡਿਵਾਈਸਾਂ ਉਹਨਾਂ ਦੀਆਂ TLOC ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚ ਉਹਨਾਂ ਦੀਆਂ ਕੌਂਫਿਗਰ ਕੀਤੀਆਂ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮਾਂ ਦਾ ਇਸ਼ਤਿਹਾਰ ਦਿੰਦੇ ਹਨ। ਇੱਕ IPsec ਸੁਰੰਗ ਕਨੈਕਸ਼ਨ ਦੇ ਦੋਵੇਂ ਪਾਸੇ ਦੇ ਦੋ ਰਾਊਟਰ, ਦੋਵਾਂ ਰਾਊਟਰਾਂ 'ਤੇ ਕੌਂਫਿਗਰ ਕੀਤੇ ਗਏ ਸਭ ਤੋਂ ਮਜ਼ਬੂਤ ​​ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਉਹਨਾਂ ਦੇ ਵਿਚਕਾਰ ਕਨੈਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਪ੍ਰਮਾਣੀਕਰਨ ਦੀ ਗੱਲਬਾਤ ਕਰਦੇ ਹਨ। ਸਾਬਕਾ ਲਈample, ਜੇਕਰ ਇੱਕ ਰਾਊਟਰ ah-sha1-hmac ਅਤੇ ah-no-id ਕਿਸਮਾਂ ਦਾ ਇਸ਼ਤਿਹਾਰ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਇੱਕ ਦੂਜਾ ਰਾਊਟਰ ah-no-id ਕਿਸਮ ਦਾ ਇਸ਼ਤਿਹਾਰ ਦਿੰਦਾ ਹੈ, ਤਾਂ ਦੋਵੇਂ ਰਾਊਟਰ IPsec ਸੁਰੰਗ ਕਨੈਕਸ਼ਨ 'ਤੇ ah-no-id ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਗੱਲਬਾਤ ਕਰਦੇ ਹਨ। ਉਹਨਾਂ ਨੂੰ। ਜੇਕਰ ਦੋ ਪੀਅਰਾਂ 'ਤੇ ਕੋਈ ਆਮ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮਾਂ ਦੀ ਸੰਰਚਨਾ ਨਹੀਂ ਕੀਤੀ ਗਈ ਹੈ, ਤਾਂ ਉਹਨਾਂ ਵਿਚਕਾਰ ਕੋਈ IPsec ਸੁਰੰਗ ਸਥਾਪਤ ਨਹੀਂ ਕੀਤੀ ਗਈ ਹੈ। IPsec ਸੁਰੰਗ ਕਨੈਕਸ਼ਨਾਂ 'ਤੇ ਇਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਟ੍ਰੈਫਿਕ ਦੀ ਕਿਸਮ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ:

• ਯੂਨੀਕਾਸਟ ਟ੍ਰੈਫਿਕ ਲਈ, ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ AES-256-GCM ਹੈ।
• ਮਲਟੀਕਾਸਟ ਟ੍ਰੈਫਿਕ ਲਈ:
• Cisco SD-WAN ਰੀਲੀਜ਼ 20.1.x ਅਤੇ ਬਾਅਦ ਵਿੱਚ- ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ AES-256-GCM ਹੈ
• ਪਿਛਲੀਆਂ ਰੀਲੀਜ਼ਾਂ- ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ SHA256-HMAC ਦੇ ਨਾਲ AES-1-CBC ਹੈ।

ਜਦੋਂ IPsec ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮ ਬਦਲੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਡੇਟਾ ਮਾਰਗ ਲਈ AES ਕੁੰਜੀ ਬਦਲ ਜਾਂਦੀ ਹੈ।

ਰੀਕੀਇੰਗ ਟਾਈਮਰ ਬਦਲੋ

Cisco IOS XE Catalyst SD-WAN ਡਿਵਾਈਸਾਂ ਅਤੇ Cisco vEdge ਡਿਵਾਈਸਾਂ ਡਾਟਾ ਟ੍ਰੈਫਿਕ ਦਾ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ, ਉਹਨਾਂ ਵਿਚਕਾਰ ਇੱਕ ਸੁਰੱਖਿਅਤ ਪ੍ਰਮਾਣਿਤ ਸੰਚਾਰ ਚੈਨਲ ਸਥਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਰਾਊਟਰ ਚੈਨਲ ਦੇ ਤੌਰ 'ਤੇ ਉਹਨਾਂ ਦੇ ਵਿਚਕਾਰ IPSec ਸੁਰੰਗਾਂ ਅਤੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਕਰਨ ਲਈ AES-256 ਸਾਈਫਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਹਰੇਕ ਰਾਊਟਰ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਆਪਣੇ ਡੇਟਾ ਮਾਰਗ ਲਈ ਇੱਕ ਨਵੀਂ AES ਕੁੰਜੀ ਬਣਾਉਂਦਾ ਹੈ। ਮੂਲ ਰੂਪ ਵਿੱਚ, ਇੱਕ ਕੁੰਜੀ 86400 ਸਕਿੰਟਾਂ (24 ਘੰਟੇ) ਲਈ ਵੈਧ ਹੁੰਦੀ ਹੈ, ਅਤੇ ਟਾਈਮਰ ਦੀ ਰੇਂਜ 10 ਸਕਿੰਟ ਤੋਂ 1209600 ਸਕਿੰਟਾਂ (14 ਦਿਨ) ਤੱਕ ਹੁੰਦੀ ਹੈ। ਰੀਕੀ ਟਾਈਮਰ ਮੁੱਲ ਨੂੰ ਬਦਲਣ ਲਈ: ਡਿਵਾਈਸ(config)# ਸੁਰੱਖਿਆ ipsec ਰੀਕੀ ਸਕਿੰਟ ਸੰਰਚਨਾ ਇਸ ਤਰ੍ਹਾਂ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ:

• ਸੁਰੱਖਿਆ ipsec ਰੀਕੀ ਸਕਿੰਟ!

ਜੇਕਰ ਤੁਸੀਂ ਤੁਰੰਤ ਨਵੀਂ IPsec ਕੁੰਜੀਆਂ ਬਣਾਉਣਾ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਰਾਊਟਰ ਦੀ ਸੰਰਚਨਾ ਨੂੰ ਸੋਧੇ ਬਿਨਾਂ ਅਜਿਹਾ ਕਰ ਸਕਦੇ ਹੋ। ਅਜਿਹਾ ਕਰਨ ਲਈ, ਸਮਝੌਤਾ ਕੀਤੇ ਰਾਊਟਰ 'ਤੇ ਬੇਨਤੀ ਸੁਰੱਖਿਆ ipsecrekey ਕਮਾਂਡ ਜਾਰੀ ਕਰੋ। ਸਾਬਕਾ ਲਈample, ਹੇਠ ਦਿੱਤੀ ਆਉਟਪੁੱਟ ਦਿਖਾਉਂਦਾ ਹੈ ਕਿ ਸਥਾਨਕ SA ਕੋਲ 256 ਦਾ ਸੁਰੱਖਿਆ ਪੈਰਾਮੀਟਰ ਇੰਡੈਕਸ (SPI) ਹੈ:

ਹਰੇਕ SPI ਨਾਲ ਇੱਕ ਵਿਲੱਖਣ ਕੁੰਜੀ ਜੁੜੀ ਹੋਈ ਹੈ। ਜੇਕਰ ਇਹ ਕੁੰਜੀ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ, ਤਾਂ ਤੁਰੰਤ ਨਵੀਂ ਕੁੰਜੀ ਬਣਾਉਣ ਲਈ ਬੇਨਤੀ ਸੁਰੱਖਿਆ ipsec-rekey ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ। ਇਹ ਕਮਾਂਡ SPI ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ। ਸਾਡੇ ਸਾਬਕਾ ਵਿੱਚample, SPI 257 ਵਿੱਚ ਬਦਲਦਾ ਹੈ ਅਤੇ ਇਸ ਨਾਲ ਜੁੜੀ ਕੁੰਜੀ ਹੁਣ ਵਰਤੀ ਜਾਂਦੀ ਹੈ:

• ਡਿਵਾਈਸ# ਸੁਰੱਖਿਆ ipsecrekey ਦੀ ਬੇਨਤੀ ਕਰੋ
• ਡਿਵਾਈਸ# ipsec local-sa ਦਿਖਾਓ

ਨਵੀਂ ਕੁੰਜੀ ਤਿਆਰ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਰਾਊਟਰ ਇਸਨੂੰ ਤੁਰੰਤ DTLS ਜਾਂ TLS ਦੀ ਵਰਤੋਂ ਕਰਕੇ Cisco SD-WAN ਕੰਟਰੋਲਰਾਂ ਨੂੰ ਭੇਜਦਾ ਹੈ। Cisco SD-WAN ਕੰਟਰੋਲਰ ਪੀਅਰ ਰਾਊਟਰਾਂ ਨੂੰ ਕੁੰਜੀ ਭੇਜਦੇ ਹਨ। ਰਾਊਟਰ ਇਸ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹੀ ਇਸਨੂੰ ਵਰਤਣਾ ਸ਼ੁਰੂ ਕਰ ਦਿੰਦੇ ਹਨ। ਨੋਟ ਕਰੋ ਕਿ ਪੁਰਾਣੇ SPI (256) ਨਾਲ ਜੁੜੀ ਕੁੰਜੀ ਥੋੜ੍ਹੇ ਸਮੇਂ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਰਹੇਗੀ ਜਦੋਂ ਤੱਕ ਇਹ ਸਮਾਂ ਖਤਮ ਨਹੀਂ ਹੋ ਜਾਂਦੀ। ਪੁਰਾਣੀ ਕੁੰਜੀ ਨੂੰ ਤੁਰੰਤ ਵਰਤਣਾ ਬੰਦ ਕਰਨ ਲਈ, ਬੇਨਤੀ ਸੁਰੱਖਿਆ ipsec-rekey ਕਮਾਂਡ ਨੂੰ ਦੋ ਵਾਰ, ਤੁਰੰਤ ਬਾਅਦ ਜਾਰੀ ਕਰੋ। ਕਮਾਂਡਾਂ ਦਾ ਇਹ ਕ੍ਰਮ SPI 256 ਅਤੇ 257 ਦੋਵਾਂ ਨੂੰ ਹਟਾ ਦਿੰਦਾ ਹੈ ਅਤੇ SPI ਨੂੰ 258 'ਤੇ ਸੈੱਟ ਕਰਦਾ ਹੈ। ਰਾਊਟਰ ਫਿਰ SPI 258 ਦੀ ਸੰਬੰਧਿਤ ਕੁੰਜੀ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਨੋਟ ਕਰੋ, ਹਾਲਾਂਕਿ, ਕੁਝ ਪੈਕੇਟ ਥੋੜ੍ਹੇ ਸਮੇਂ ਲਈ ਛੱਡੇ ਜਾਣਗੇ ਜਦੋਂ ਤੱਕ ਸਾਰੇ ਰਿਮੋਟ ਰਾਊਟਰ ਸਿੱਖ ਨਹੀਂ ਜਾਂਦੇ ਹਨ. ਨਵੀਂ ਕੁੰਜੀ.

ਐਂਟੀ-ਰੀਪਲੇ ਵਿੰਡੋ ਦਾ ਆਕਾਰ ਬਦਲੋ

IPsec ਪ੍ਰਮਾਣੀਕਰਨ ਡੇਟਾ ਸਟ੍ਰੀਮ ਵਿੱਚ ਹਰੇਕ ਪੈਕੇਟ ਨੂੰ ਇੱਕ ਵਿਲੱਖਣ ਕ੍ਰਮ ਨੰਬਰ ਨਿਰਧਾਰਤ ਕਰਕੇ ਐਂਟੀ-ਰੀਪਲੇ ਸੁਰੱਖਿਆ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਹ ਕ੍ਰਮ ਨੰਬਰਿੰਗ ਡੇਟਾ ਪੈਕੇਟਾਂ ਦੀ ਡੁਪਲੀਕੇਟ ਕਰਨ ਵਾਲੇ ਹਮਲਾਵਰ ਤੋਂ ਸੁਰੱਖਿਆ ਕਰਦੀ ਹੈ। ਐਂਟੀ-ਰੀਪਲੇ ਸੁਰੱਖਿਆ ਦੇ ਨਾਲ, ਭੇਜਣ ਵਾਲਾ ਮੋਨੋਟੋਨਿਕ ਤੌਰ 'ਤੇ ਵਧ ਰਹੇ ਕ੍ਰਮ ਨੰਬਰਾਂ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ, ਅਤੇ ਮੰਜ਼ਿਲ ਡੁਪਲੀਕੇਟ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਇਹਨਾਂ ਕ੍ਰਮ ਨੰਬਰਾਂ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਕਿਉਂਕਿ ਪੈਕੇਟ ਅਕਸਰ ਕ੍ਰਮ ਵਿੱਚ ਨਹੀਂ ਆਉਂਦੇ ਹਨ, ਮੰਜ਼ਿਲ ਕ੍ਰਮ ਨੰਬਰਾਂ ਦੀ ਇੱਕ ਸਲਾਈਡਿੰਗ ਵਿੰਡੋ ਬਣਾਈ ਰੱਖਦੀ ਹੈ ਜਿਸਨੂੰ ਇਹ ਸਵੀਕਾਰ ਕਰੇਗਾ।

ਕ੍ਰਮ ਨੰਬਰਾਂ ਵਾਲੇ ਪੈਕੇਟ ਜੋ ਸਲਾਈਡਿੰਗ ਵਿੰਡੋ ਰੇਂਜ ਦੇ ਖੱਬੇ ਪਾਸੇ ਆਉਂਦੇ ਹਨ, ਪੁਰਾਣੇ ਜਾਂ ਡੁਪਲੀਕੇਟ ਮੰਨੇ ਜਾਂਦੇ ਹਨ, ਅਤੇ ਮੰਜ਼ਿਲ ਉਹਨਾਂ ਨੂੰ ਛੱਡ ਦਿੰਦੀ ਹੈ। ਮੰਜ਼ਿਲ ਇਸ ਨੂੰ ਪ੍ਰਾਪਤ ਹੋਏ ਸਭ ਤੋਂ ਉੱਚੇ ਕ੍ਰਮ ਨੰਬਰ ਨੂੰ ਟਰੈਕ ਕਰਦਾ ਹੈ, ਅਤੇ ਸਲਾਈਡਿੰਗ ਵਿੰਡੋ ਨੂੰ ਐਡਜਸਟ ਕਰਦਾ ਹੈ ਜਦੋਂ ਇਹ ਇੱਕ ਉੱਚ ਮੁੱਲ ਵਾਲਾ ਪੈਕੇਟ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।

ਮੂਲ ਰੂਪ ਵਿੱਚ, ਸਲਾਈਡਿੰਗ ਵਿੰਡੋ ਨੂੰ 512 ਪੈਕੇਟ 'ਤੇ ਸੈੱਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ 64 ਅਤੇ 4096 ਦੇ ਵਿਚਕਾਰ ਕਿਸੇ ਵੀ ਮੁੱਲ 'ਤੇ ਸੈੱਟ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਜੋ ਕਿ 2 ਦੀ ਪਾਵਰ ਹੈ (ਜੋ ਕਿ, 64, 128, 256, 512, 1024, 2048, ਜਾਂ 4096)। ਐਂਟੀ-ਰੀਪਲੇ ਵਿੰਡੋ ਸਾਈਜ਼ ਨੂੰ ਸੋਧਣ ਲਈ, ਵਿੰਡੋ ਦੇ ਆਕਾਰ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹੋਏ, ਰੀਪਲੇ-ਵਿੰਡੋ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ:

ਡਿਵਾਈਸ(config)# ਸੁਰੱਖਿਆ ipsec ਰੀਪਲੇ-ਵਿੰਡੋ ਨੰਬਰ

ਸੰਰਚਨਾ ਇਸ ਤਰ੍ਹਾਂ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ:
ਸੁਰੱਖਿਆ ipsec ਰੀਪਲੇ-ਵਿੰਡੋ ਨੰਬਰ! !

QoS ਵਿੱਚ ਮਦਦ ਕਰਨ ਲਈ, ਪਹਿਲੇ ਅੱਠ ਟ੍ਰੈਫਿਕ ਚੈਨਲਾਂ ਵਿੱਚੋਂ ਹਰੇਕ ਲਈ ਵੱਖਰੀ ਰੀਪਲੇ ਵਿੰਡੋਜ਼ ਬਣਾਈਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਸੰਰਚਿਤ ਰੀਪਲੇਅ ਵਿੰਡੋ ਦਾ ਆਕਾਰ ਹਰੇਕ ਚੈਨਲ ਲਈ ਅੱਠ ਨਾਲ ਵੰਡਿਆ ਗਿਆ ਹੈ। ਜੇਕਰ QoS ਨੂੰ ਰਾਊਟਰ 'ਤੇ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਤਾਂ ਉਹ ਰਾਊਟਰ IPsec ਐਂਟੀ-ਰੀਪਲੇ ਮਕੈਨਿਜ਼ਮ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਪੈਕੇਟ ਡਰਾਪਾਂ ਦੀ ਉਮੀਦ ਤੋਂ ਵੱਧ ਗਿਣਤੀ ਦਾ ਅਨੁਭਵ ਕਰ ਸਕਦਾ ਹੈ, ਅਤੇ ਬਹੁਤ ਸਾਰੇ ਪੈਕੇਟ ਜੋ ਛੱਡੇ ਗਏ ਹਨ ਉਹ ਜਾਇਜ਼ ਹਨ। ਅਜਿਹਾ ਇਸ ਲਈ ਹੁੰਦਾ ਹੈ ਕਿਉਂਕਿ QoS ਪੈਕਟਾਂ ਨੂੰ ਮੁੜ-ਕ੍ਰਮਬੱਧ ਕਰਦਾ ਹੈ, ਉੱਚ-ਪ੍ਰਾਥਮਿਕਤਾ ਵਾਲੇ ਪੈਕਟਾਂ ਨੂੰ ਤਰਜੀਹੀ ਇਲਾਜ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਅਤੇ ਘੱਟ-ਪ੍ਰਾਥਮਿਕਤਾ ਵਾਲੇ ਪੈਕੇਟਾਂ ਵਿੱਚ ਦੇਰੀ ਕਰਦਾ ਹੈ। ਇਸ ਸਥਿਤੀ ਨੂੰ ਘਟਾਉਣ ਜਾਂ ਰੋਕਣ ਲਈ, ਤੁਸੀਂ ਹੇਠਾਂ ਦਿੱਤੇ ਕੰਮ ਕਰ ਸਕਦੇ ਹੋ:

• ਐਂਟੀ-ਰੀਪਲੇ ਵਿੰਡੋ ਦਾ ਆਕਾਰ ਵਧਾਓ।
• ਪਹਿਲੇ ਅੱਠ ਟ੍ਰੈਫਿਕ ਚੈਨਲਾਂ 'ਤੇ ਇੰਜੀਨੀਅਰ ਟ੍ਰੈਫਿਕ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਕਿਸੇ ਚੈਨਲ ਦੇ ਅੰਦਰ ਟ੍ਰੈਫਿਕ ਨੂੰ ਮੁੜ ਕ੍ਰਮਬੱਧ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਹੈ।

IKE-ਸਮਰੱਥ IPsec ਸੁਰੰਗਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ
ਓਵਰਲੇ ਨੈੱਟਵਰਕ ਤੋਂ ਟਰੈਫਿਕ ਨੂੰ ਇੱਕ ਸਰਵਿਸ ਨੈੱਟਵਰਕ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਰੂਪ ਨਾਲ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਲਈ, ਤੁਸੀਂ IPsec ਸੁਰੰਗਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ ਜੋ ਇੰਟਰਨੈੱਟ ਕੀ ਐਕਸਚੇਂਜ (IKE) ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਚਲਾਉਂਦੀਆਂ ਹਨ। IKE- ਸਮਰਥਿਤ IPsec ਸੁਰੰਗਾਂ ਸੁਰੱਖਿਅਤ ਪੈਕੇਟ ਟ੍ਰਾਂਸਪੋਰਟ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਐਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ। ਤੁਸੀਂ ਇੱਕ IPsec ਇੰਟਰਫੇਸ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਕੇ ਇੱਕ IKE- ਸਮਰਥਿਤ IPsec ਸੁਰੰਗ ਬਣਾਉਂਦੇ ਹੋ। IPsec ਇੰਟਰਫੇਸ ਲਾਜ਼ੀਕਲ ਇੰਟਰਫੇਸ ਹਨ, ਅਤੇ ਤੁਸੀਂ ਉਹਨਾਂ ਨੂੰ ਕਿਸੇ ਹੋਰ ਭੌਤਿਕ ਇੰਟਰਫੇਸ ਵਾਂਗ ਹੀ ਸੰਰਚਿਤ ਕਰਦੇ ਹੋ। ਤੁਸੀਂ IPsec ਇੰਟਰਫੇਸ 'ਤੇ IKE ਪ੍ਰੋਟੋਕੋਲ ਪੈਰਾਮੀਟਰਾਂ ਦੀ ਸੰਰਚਨਾ ਕਰਦੇ ਹੋ, ਅਤੇ ਤੁਸੀਂ ਹੋਰ ਇੰਟਰਫੇਸ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ।

ਨੋਟ ਕਰੋ Cisco IKE ਸੰਸਕਰਣ 2 ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਸਿਫ਼ਾਰਿਸ਼ ਕਰਦਾ ਹੈ। Cisco SD-WAN 19.2.x ਰੀਲੀਜ਼ ਤੋਂ ਬਾਅਦ, ਪ੍ਰੀ-ਸ਼ੇਅਰਡ ਕੁੰਜੀ ਦੀ ਲੰਬਾਈ ਘੱਟੋ-ਘੱਟ 16 ਬਾਈਟ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ। IPsec ਸੁਰੰਗ ਸਥਾਪਨਾ ਅਸਫਲ ਹੋ ਜਾਂਦੀ ਹੈ ਜੇਕਰ ਰਾਊਟਰ ਨੂੰ ਵਰਜਨ 16 ਵਿੱਚ ਅੱਪਗਰੇਡ ਕਰਨ ਵੇਲੇ ਕੁੰਜੀ ਦਾ ਆਕਾਰ 19.2 ਅੱਖਰਾਂ ਤੋਂ ਘੱਟ ਹੁੰਦਾ ਹੈ।

ਨੋਟ ਕਰੋ
Cisco Catalyst SD-WAN ਸਾਫਟਵੇਅਰ IKE ਸੰਸਕਰਣ 2 ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ ਜਿਵੇਂ ਕਿ RFC 7296 ਵਿੱਚ ਪਰਿਭਾਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। IPsec ਸੁਰੰਗਾਂ ਲਈ ਇੱਕ ਵਰਤੋਂ ਐਮਾਜ਼ਾਨ ਵਰਚੁਅਲ ਪ੍ਰਾਈਵੇਟ ਕਲਾਉਡ (VPC) ਨਾਲ ਜੁੜਨ ਲਈ ਐਮਾਜ਼ਾਨ AWS 'ਤੇ ਚੱਲ ਰਹੇ vEdge ਕਲਾਉਡ ਰਾਊਟਰ VM ਉਦਾਹਰਨਾਂ ਨੂੰ ਆਗਿਆ ਦੇਣਾ ਹੈ। ਤੁਹਾਨੂੰ ਇਹਨਾਂ ਰਾਊਟਰਾਂ 'ਤੇ IKE ਸੰਸਕਰਣ 1 ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। Cisco vEdge ਡਿਵਾਈਸਾਂ ਇੱਕ IPSec ਸੰਰਚਨਾ ਵਿੱਚ ਸਿਰਫ ਰੂਟ-ਅਧਾਰਿਤ VPN ਦਾ ਸਮਰਥਨ ਕਰਦੀਆਂ ਹਨ ਕਿਉਂਕਿ ਇਹ ਡਿਵਾਈਸਾਂ ਏਨਕ੍ਰਿਪਸ਼ਨ ਡੋਮੇਨ ਵਿੱਚ ਟ੍ਰੈਫਿਕ ਚੋਣਕਾਰਾਂ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਨਹੀਂ ਕਰ ਸਕਦੀਆਂ ਹਨ।

ਇੱਕ IPsec ਸੁਰੰਗ ਕੌਂਫਿਗਰ ਕਰੋ
ਸਰਵਿਸ ਨੈੱਟਵਰਕ ਤੋਂ ਸੁਰੱਖਿਅਤ ਟਰਾਂਸਪੋਰਟ ਟ੍ਰੈਫਿਕ ਲਈ ਇੱਕ IPsec ਸੁਰੰਗ ਇੰਟਰਫੇਸ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ, ਤੁਸੀਂ ਇੱਕ ਲਾਜ਼ੀਕਲ IPsec ਇੰਟਰਫੇਸ ਬਣਾਉਂਦੇ ਹੋ:

ਤੁਸੀਂ ਟ੍ਰਾਂਸਪੋਰਟ VPN (VPN 0) ਅਤੇ ਕਿਸੇ ਵੀ ਸੇਵਾ VPN (VPN 1 ਤੋਂ 65530 ਤੱਕ, 512 ਨੂੰ ਛੱਡ ਕੇ) ਵਿੱਚ IPsec ਸੁਰੰਗ ਬਣਾ ਸਕਦੇ ਹੋ। IPsec ਇੰਟਰਫੇਸ ਦਾ ਫਾਰਮੈਟ ipsecnumber ਵਿੱਚ ਇੱਕ ਨਾਮ ਹੈ, ਜਿੱਥੇ ਨੰਬਰ 1 ਤੋਂ 255 ਤੱਕ ਹੋ ਸਕਦਾ ਹੈ। ਹਰੇਕ IPsec ਇੰਟਰਫੇਸ ਦਾ ਇੱਕ IPv4 ਪਤਾ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ। ਇਹ ਪਤਾ ਇੱਕ /30 ਅਗੇਤਰ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ। VPN ਵਿਚਲਾ ਸਾਰਾ ਟ੍ਰੈਫਿਕ ਜੋ ਇਸ IPv4 ਅਗੇਤਰ ਦੇ ਅੰਦਰ ਹੈ, VPN 0 ਵਿੱਚ ਇੱਕ ਭੌਤਿਕ ਇੰਟਰਫੇਸ ਨੂੰ ਇੱਕ IPsec ਸੁਰੰਗ ਉੱਤੇ ਸੁਰੱਖਿਅਤ ਰੂਪ ਨਾਲ ਭੇਜਣ ਲਈ ਨਿਰਦੇਸ਼ਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਸਥਾਨਕ ਡਿਵਾਈਸ ਉੱਤੇ IPsec ਸੁਰੰਗ ਦੇ ਸਰੋਤ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ, ਤੁਸੀਂ ਜਾਂ ਤਾਂ ਦਾ IP ਪਤਾ ਨਿਰਧਾਰਤ ਕਰ ਸਕਦੇ ਹੋ ਭੌਤਿਕ ਇੰਟਰਫੇਸ (ਟਨਲ-ਸਰੋਤ ਕਮਾਂਡ ਵਿੱਚ) ਜਾਂ ਭੌਤਿਕ ਇੰਟਰਫੇਸ ਦਾ ਨਾਮ (ਟੰਨਲ-ਸਰੋਤ-ਇੰਟਰਫੇਸ ਕਮਾਂਡ ਵਿੱਚ)। ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਭੌਤਿਕ ਇੰਟਰਫੇਸ ਨੂੰ VPN 0 ਵਿੱਚ ਸੰਰਚਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। IPsec ਸੁਰੰਗ ਦੀ ਮੰਜ਼ਿਲ ਨੂੰ ਸੰਰਚਿਤ ਕਰਨ ਲਈ, tunnel-destination ਕਮਾਂਡ ਵਿੱਚ ਰਿਮੋਟ ਡਿਵਾਈਸ ਦਾ IP ਪਤਾ ਦਿਓ। ਇੱਕ ਸਰੋਤ ਪਤਾ (ਜਾਂ ਸਰੋਤ ਇੰਟਰਫੇਸ ਨਾਮ) ਅਤੇ ਇੱਕ ਮੰਜ਼ਿਲ ਪਤੇ ਦਾ ਸੁਮੇਲ ਇੱਕ ਸਿੰਗਲ IPsec ਸੁਰੰਗ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਸਿਰਫ਼ ਇੱਕ IPsec ਸੁਰੰਗ ਮੌਜੂਦ ਹੋ ਸਕਦੀ ਹੈ ਜੋ ਇੱਕ ਖਾਸ ਸਰੋਤ ਪਤਾ (ਜਾਂ ਇੰਟਰਫੇਸ ਨਾਮ) ਅਤੇ ਮੰਜ਼ਿਲ ਪਤਾ ਜੋੜੀ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ।

ਇੱਕ IPsec ਸਥਿਰ ਰੂਟ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ

ਟਰਾਂਸਪੋਰਟ VPN (VPN 0) ਵਿੱਚ ਸੇਵਾ VPN ਤੋਂ ਇੱਕ IPsec ਸੁਰੰਗ ਵੱਲ ਟ੍ਰੈਫਿਕ ਨੂੰ ਨਿਰਦੇਸ਼ਤ ਕਰਨ ਲਈ, ਤੁਸੀਂ ਇੱਕ ਸੇਵਾ VPN (VPN 0 ਜਾਂ VPN 512 ਤੋਂ ਇਲਾਵਾ ਇੱਕ VPN) ਵਿੱਚ ਇੱਕ IPsec-ਵਿਸ਼ੇਸ਼ ਸਥਿਰ ਰੂਟ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਦੇ ਹੋ :

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-ਰੂਟ ਪ੍ਰੀਫਿਕਸ/ਲੰਬਾਈ vpn 0 ਇੰਟਰਫੇਸ
• ipsecnumber [ipsecnumber2]

VPN ID ਕਿਸੇ ਵੀ ਸੇਵਾ VPN (VPN 1 ਤੋਂ 65530 ਤੱਕ, 512 ਨੂੰ ਛੱਡ ਕੇ) ਦੀ ਹੈ। ਅਗੇਤਰ/ਲੰਬਾਈ IP ਐਡਰੈੱਸ ਜਾਂ ਅਗੇਤਰ ਹੈ, ਦਸ਼ਮਲਵ ਚਾਰ-ਭਾਗ-ਡੌਟਡ ਸੰਕੇਤ ਵਿੱਚ, ਅਤੇ IPsec-ਵਿਸ਼ੇਸ਼ ਸਥਿਰ ਰੂਟ ਦੀ ਅਗੇਤਰ ਲੰਬਾਈ। ਇੰਟਰਫੇਸ VPN 0 ਵਿੱਚ IPsec ਟਨਲ ਇੰਟਰਫੇਸ ਹੈ। ਤੁਸੀਂ ਇੱਕ ਜਾਂ ਦੋ IPsec ਸੁਰੰਗ ਇੰਟਰਫੇਸ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ। ਜੇਕਰ ਤੁਸੀਂ ਦੋ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਦੇ ਹੋ, ਤਾਂ ਪਹਿਲੀ ਪ੍ਰਾਇਮਰੀ IPsec ਸੁਰੰਗ ਹੈ, ਅਤੇ ਦੂਜੀ ਬੈਕਅੱਪ ਹੈ। ਦੋ ਇੰਟਰਫੇਸਾਂ ਦੇ ਨਾਲ, ਸਾਰੇ ਪੈਕੇਟ ਕੇਵਲ ਪ੍ਰਾਇਮਰੀ ਸੁਰੰਗ ਨੂੰ ਭੇਜੇ ਜਾਂਦੇ ਹਨ। ਜੇਕਰ ਉਹ ਸੁਰੰਗ ਫੇਲ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਸਾਰੇ ਪੈਕੇਟ ਸੈਕੰਡਰੀ ਸੁਰੰਗ ਨੂੰ ਭੇਜੇ ਜਾਂਦੇ ਹਨ। ਜੇਕਰ ਪ੍ਰਾਇਮਰੀ ਸੁਰੰਗ ਵਾਪਸ ਆ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਸਾਰਾ ਟ੍ਰੈਫਿਕ ਵਾਪਸ ਪ੍ਰਾਇਮਰੀ IPsec ਸੁਰੰਗ ਵਿੱਚ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ।

IKE ਸੰਸਕਰਣ 1 ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ
ਜਦੋਂ ਤੁਸੀਂ ਇੱਕ vEdge ਰਾਊਟਰ 'ਤੇ ਇੱਕ IPsec ਸੁਰੰਗ ਬਣਾਉਂਦੇ ਹੋ, ਤਾਂ IKE ਸੰਸਕਰਣ 1 ਸੁਰੰਗ ਇੰਟਰਫੇਸ 'ਤੇ ਮੂਲ ਰੂਪ ਵਿੱਚ ਸਮਰੱਥ ਹੁੰਦਾ ਹੈ। ਨਿਮਨਲਿਖਤ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵੀ IKEv1 ਲਈ ਮੂਲ ਰੂਪ ਵਿੱਚ ਸਮਰੱਥ ਹਨ:

• ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਏਨਕ੍ਰਿਪਸ਼ਨ—ਏਈਐਸ-256 ਅਡਵਾਂਸਡ ਏਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ ਸੀਬੀਸੀ ਇਨਕ੍ਰਿਪਸ਼ਨ ਐਚਐਮਏਸੀ-ਐਸਐਚਏ1 ਕੀਡ-ਹੈਸ਼ ਸੰਦੇਸ਼ ਪ੍ਰਮਾਣਿਕਤਾ ਕੋਡ ਐਲਗੋਰਿਦਮ ਲਈ ਇਕਸਾਰਤਾ ਲਈ
• ਡਿਫੀ-ਹੇਲਮੈਨ ਗਰੁੱਪ ਨੰਬਰ-16
• ਰੀਕੀਇੰਗ ਸਮਾਂ ਅੰਤਰਾਲ—4 ਘੰਟੇ
• SA ਸਥਾਪਨਾ ਮੋਡ—ਮੁੱਖ

ਮੂਲ ਰੂਪ ਵਿੱਚ, IKEv1 IKE SAs ਸਥਾਪਤ ਕਰਨ ਲਈ IKE ਮੁੱਖ ਮੋਡ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਸ ਮੋਡ ਵਿੱਚ, SA ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਲਈ ਛੇ ਗੱਲਬਾਤ ਪੈਕੇਟਾਂ ਦਾ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਸਿਰਫ਼ ਤਿੰਨ ਗੱਲਬਾਤ ਪੈਕੇਟਾਂ ਦਾ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ, ਹਮਲਾਵਰ ਮੋਡ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ:

ਨੋਟ ਕਰੋ
ਪੂਰਵ-ਸਾਂਝੀਆਂ ਕੁੰਜੀਆਂ ਦੇ ਨਾਲ IKE ਹਮਲਾਵਰ ਮੋਡ ਜਿੱਥੇ ਵੀ ਸੰਭਵ ਹੋਵੇ ਬਚਣਾ ਚਾਹੀਦਾ ਹੈ। ਨਹੀਂ ਤਾਂ ਇੱਕ ਮਜ਼ਬੂਤ ​​ਪ੍ਰੀ-ਸ਼ੇਅਰਡ ਕੁੰਜੀ ਚੁਣੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ।

• vEdge(config)# vpn vpn-id ਇੰਟਰਫੇਸ ipsec ਨੰਬਰ ike
• vEdge(config-ike)# ਮੋਡ ਹਮਲਾਵਰ

ਮੂਲ ਰੂਪ ਵਿੱਚ, IKEv1 IKE ਕੁੰਜੀ ਐਕਸਚੇਂਜ ਵਿੱਚ Diffie-Hellman ਸਮੂਹ 16 ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਸਮੂਹ IKE ਕੁੰਜੀ ਐਕਸਚੇਂਜ ਦੌਰਾਨ 4096-ਬਿੱਟ ਹੋਰ ਮਾਡਯੂਲਰ ਐਕਸਪੋਨੈਂਸ਼ੀਅਲ (MODP) ਸਮੂਹ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਤੁਸੀਂ ਗਰੁੱਪ ਨੰਬਰ ਨੂੰ 2 (1024-bit MODP ਲਈ), 14 (2048-bit MODP), ਜਾਂ 15 (3072-bit MODP) ਵਿੱਚ ਬਦਲ ਸਕਦੇ ਹੋ:

• vEdge(config)# vpn vpn-id ਇੰਟਰਫੇਸ ipsec ਨੰਬਰ ike
• vEdge(config-ike)# ਸਮੂਹ ਨੰਬਰ

ਮੂਲ ਰੂਪ ਵਿੱਚ, IKE ਕੁੰਜੀ ਐਕਸਚੇਂਜ ਅਖੰਡਤਾ ਲਈ HMAC-SHA256 ਕੀਡ-ਹੈਸ਼ ਸੰਦੇਸ਼ ਪ੍ਰਮਾਣੀਕਰਨ ਕੋਡ ਐਲਗੋਰਿਦਮ ਦੇ ਨਾਲ AES-1 ਐਡਵਾਂਸਡ ਐਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ CBC ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਤੁਸੀਂ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਬਦਲ ਸਕਦੇ ਹੋ:

• vEdge(config)# vpn vpn-id ਇੰਟਰਫੇਸ ipsec ਨੰਬਰ ike
• vEdge(config-ike)# ਸਿਫਰ-ਸੂਟ ਸੂਟ

ਪ੍ਰਮਾਣਿਕਤਾ ਸੂਟ ਹੇਠਾਂ ਦਿੱਤੇ ਵਿੱਚੋਂ ਇੱਕ ਹੋ ਸਕਦਾ ਹੈ:

• aes128-cbc-sha1—ਏਈਐਸ-128 ਅਡਵਾਂਸਡ ਏਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ ਸੀਬੀਸੀ ਇਨਕ੍ਰਿਪਸ਼ਨ ਪੂਰਨਤਾ ਲਈ HMAC-SHA1 ਕੀਡ-ਹੈਸ਼ ਸੰਦੇਸ਼ ਪ੍ਰਮਾਣੀਕਰਨ ਕੋਡ ਐਲਗੋਰਿਦਮ ਨਾਲ
• aes128-cbc-sha2—ਏਈਐਸ-128 ਅਡਵਾਂਸਡ ਏਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ ਸੀਬੀਸੀ ਇਨਕ੍ਰਿਪਸ਼ਨ ਪੂਰਨਤਾ ਲਈ HMAC-SHA256 ਕੀਡ-ਹੈਸ਼ ਸੰਦੇਸ਼ ਪ੍ਰਮਾਣੀਕਰਨ ਕੋਡ ਐਲਗੋਰਿਦਮ ਨਾਲ
• aes256-cbc-sha1—AES-256 ਅਡਵਾਂਸਡ ਏਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ CBC ਇਨਕ੍ਰਿਪਸ਼ਨ ਪੂਰਨਤਾ ਲਈ HMAC-SHA1 ਕੀਡ-ਹੈਸ਼ ਸੰਦੇਸ਼ ਪ੍ਰਮਾਣਿਕਤਾ ਕੋਡ ਐਲਗੋਰਿਦਮ ਨਾਲ; ਇਹ ਡਿਫਾਲਟ ਹੈ।
• aes256-cbc-sha2—ਏਈਐਸ-256 ਅਡਵਾਂਸਡ ਏਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ ਸੀਬੀਸੀ ਇਨਕ੍ਰਿਪਸ਼ਨ ਪੂਰਨਤਾ ਲਈ HMAC-SHA256 ਕੀਡ-ਹੈਸ਼ ਸੰਦੇਸ਼ ਪ੍ਰਮਾਣੀਕਰਨ ਕੋਡ ਐਲਗੋਰਿਦਮ ਨਾਲ

ਮੂਲ ਰੂਪ ਵਿੱਚ, IKE ਕੁੰਜੀਆਂ ਹਰ 1 ਘੰਟੇ (3600 ਸਕਿੰਟ) ਵਿੱਚ ਤਾਜ਼ਾ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਤੁਸੀਂ ਰੀਕੀਇੰਗ ਅੰਤਰਾਲ ਨੂੰ 30 ਸਕਿੰਟਾਂ ਤੋਂ 14 ਦਿਨਾਂ (1209600 ਸਕਿੰਟ) ਤੱਕ ਇੱਕ ਮੁੱਲ ਵਿੱਚ ਬਦਲ ਸਕਦੇ ਹੋ। ਇਹ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਰੀਕੀਇੰਗ ਅੰਤਰਾਲ ਘੱਟੋ-ਘੱਟ 1 ਘੰਟਾ ਹੋਵੇ।

• vEdge(config)# vpn vpn-id ਇੰਟਰਫੇਸ ipsec ਨੰਬਰ ਵਰਗਾ
• vEdge(config-ike)# ਰੀਕੀ ਸਕਿੰਟ

ਇੱਕ IKE ਸੈਸ਼ਨ ਲਈ ਨਵੀਆਂ ਕੁੰਜੀਆਂ ਬਣਾਉਣ ਲਈ ਮਜਬੂਰ ਕਰਨ ਲਈ, ਬੇਨਤੀ ipsec ike-rekey ਕਮਾਂਡ ਜਾਰੀ ਕਰੋ।

• vEdge(config)# vpn vpn-id ਇੰਟਰਫੇਸਸਿਪਸਿਕ ਨੰਬਰ ike

IKE ਲਈ, ਤੁਸੀਂ ਪ੍ਰੀਸ਼ੇਅਰਡ ਕੁੰਜੀ (PSK) ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਵੀ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ:

• vEdge(config)# vpn vpn-id ਇੰਟਰਫੇਸ ipsec ਨੰਬਰ ike
• vEdge(config-ike)# ਪ੍ਰਮਾਣੀਕਰਨ-ਕਿਸਮ ਪ੍ਰੀ-ਸ਼ੇਅਰਡ-ਕੁੰਜੀ ਪ੍ਰੀ-ਸ਼ੇਅਰਡ-ਗੁਪਤ ਪਾਸਵਰਡ ਪਾਸਵਰਡ ਪ੍ਰੀ-ਸ਼ੇਅਰਡ ਕੁੰਜੀ ਨਾਲ ਵਰਤਣ ਲਈ ਪਾਸਵਰਡ ਹੈ। ਇਹ ਇੱਕ ASCII ਜਾਂ 1 ਤੋਂ 127 ਅੱਖਰਾਂ ਤੱਕ ਦੀ ਇੱਕ ਹੈਕਸਾਡੈਸੀਮਲ ਸਤਰ ਹੋ ਸਕਦੀ ਹੈ।

ਜੇਕਰ ਰਿਮੋਟ IKE ਪੀਅਰ ਨੂੰ ਇੱਕ ਸਥਾਨਕ ਜਾਂ ਰਿਮੋਟ ID ਦੀ ਲੋੜ ਹੈ, ਤਾਂ ਤੁਸੀਂ ਇਸ ਪਛਾਣਕਰਤਾ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ:

• vEdge(config)# vpn vpn-id ਇੰਟਰਫੇਸ ipsec ਨੰਬਰ ike ਪ੍ਰਮਾਣਿਕਤਾ-ਕਿਸਮ
• vEdge(config-authentication-type)# ਲੋਕਲ-ਆਈਡੀ ਆਈ.ਡੀ
• vEdge(config-authentication-type)# ਰਿਮੋਟ-ਆਈ.ਡੀ

ਪਛਾਣਕਰਤਾ ਇੱਕ IP ਪਤਾ ਜਾਂ 1 ਤੋਂ 63 ਅੱਖਰਾਂ ਤੱਕ ਦੀ ਕੋਈ ਟੈਕਸਟ ਸਤਰ ਹੋ ਸਕਦੀ ਹੈ। ਮੂਲ ਰੂਪ ਵਿੱਚ, ਸਥਾਨਕ ID ਸੁਰੰਗ ਦਾ ਸਰੋਤ IP ਪਤਾ ਹੈ ਅਤੇ ਰਿਮੋਟ ID ਸੁਰੰਗ ਦਾ ਮੰਜ਼ਿਲ IP ਪਤਾ ਹੈ।

IKE ਸੰਸਕਰਣ 2 ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ
ਜਦੋਂ ਤੁਸੀਂ IKE ਸੰਸਕਰਣ 2 ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਇੱਕ IPsec ਸੁਰੰਗ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਦੇ ਹੋ, ਤਾਂ ਹੇਠਾਂ ਦਿੱਤੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵੀ IKEv2 ਲਈ ਮੂਲ ਰੂਪ ਵਿੱਚ ਸਮਰੱਥ ਹੁੰਦੀਆਂ ਹਨ:

• ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਏਨਕ੍ਰਿਪਸ਼ਨ—ਏਈਐਸ-256 ਅਡਵਾਂਸਡ ਏਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ ਸੀਬੀਸੀ ਇਨਕ੍ਰਿਪਸ਼ਨ ਐਚਐਮਏਸੀ-ਐਸਐਚਏ1 ਕੀਡ-ਹੈਸ਼ ਸੰਦੇਸ਼ ਪ੍ਰਮਾਣਿਕਤਾ ਕੋਡ ਐਲਗੋਰਿਦਮ ਲਈ ਇਕਸਾਰਤਾ ਲਈ
• ਡਿਫੀ-ਹੇਲਮੈਨ ਗਰੁੱਪ ਨੰਬਰ-16
• ਰੀਕੀਇੰਗ ਸਮਾਂ ਅੰਤਰਾਲ—4 ਘੰਟੇ

ਮੂਲ ਰੂਪ ਵਿੱਚ, IKEv2 IKE ਕੁੰਜੀ ਐਕਸਚੇਂਜ ਵਿੱਚ Diffie-Hellman ਸਮੂਹ 16 ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਸਮੂਹ IKE ਕੁੰਜੀ ਐਕਸਚੇਂਜ ਦੌਰਾਨ 4096-ਬਿੱਟ ਹੋਰ ਮਾਡਯੂਲਰ ਐਕਸਪੋਨੈਂਸ਼ੀਅਲ (MODP) ਸਮੂਹ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਤੁਸੀਂ ਗਰੁੱਪ ਨੰਬਰ ਨੂੰ 2 (1024-bit MODP ਲਈ), 14 (2048-bit MODP), ਜਾਂ 15 (3072-bit MODP) ਵਿੱਚ ਬਦਲ ਸਕਦੇ ਹੋ:

• vEdge(config)# vpn vpn-id ਇੰਟਰਫੇਸ ipsecnumber ike
• vEdge(config-ike)# ਸਮੂਹ ਨੰਬਰ

ਮੂਲ ਰੂਪ ਵਿੱਚ, IKE ਕੁੰਜੀ ਐਕਸਚੇਂਜ ਅਖੰਡਤਾ ਲਈ HMAC-SHA256 ਕੀਡ-ਹੈਸ਼ ਸੰਦੇਸ਼ ਪ੍ਰਮਾਣੀਕਰਨ ਕੋਡ ਐਲਗੋਰਿਦਮ ਦੇ ਨਾਲ AES-1 ਐਡਵਾਂਸਡ ਐਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ CBC ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਤੁਸੀਂ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਬਦਲ ਸਕਦੇ ਹੋ:

• vEdge(config)# vpn vpn-id ਇੰਟਰਫੇਸ ipsecnumber ike
• vEdge(config-ike)# ਸਿਫਰ-ਸੂਟ ਸੂਟ

ਪ੍ਰਮਾਣਿਕਤਾ ਸੂਟ ਹੇਠਾਂ ਦਿੱਤੇ ਵਿੱਚੋਂ ਇੱਕ ਹੋ ਸਕਦਾ ਹੈ:

• aes128-cbc-sha1—ਏਈਐਸ-128 ਅਡਵਾਂਸਡ ਏਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ ਸੀਬੀਸੀ ਇਨਕ੍ਰਿਪਸ਼ਨ ਪੂਰਨਤਾ ਲਈ HMAC-SHA1 ਕੀਡ-ਹੈਸ਼ ਸੰਦੇਸ਼ ਪ੍ਰਮਾਣੀਕਰਨ ਕੋਡ ਐਲਗੋਰਿਦਮ ਨਾਲ
• aes128-cbc-sha2—ਏਈਐਸ-128 ਅਡਵਾਂਸਡ ਏਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ ਸੀਬੀਸੀ ਇਨਕ੍ਰਿਪਸ਼ਨ ਪੂਰਨਤਾ ਲਈ HMAC-SHA256 ਕੀਡ-ਹੈਸ਼ ਸੰਦੇਸ਼ ਪ੍ਰਮਾਣੀਕਰਨ ਕੋਡ ਐਲਗੋਰਿਦਮ ਨਾਲ
• aes256-cbc-sha1—AES-256 ਅਡਵਾਂਸਡ ਏਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ CBC ਇਨਕ੍ਰਿਪਸ਼ਨ ਪੂਰਨਤਾ ਲਈ HMAC-SHA1 ਕੀਡ-ਹੈਸ਼ ਸੰਦੇਸ਼ ਪ੍ਰਮਾਣਿਕਤਾ ਕੋਡ ਐਲਗੋਰਿਦਮ ਨਾਲ; ਇਹ ਡਿਫਾਲਟ ਹੈ।
• aes256-cbc-sha2—ਏਈਐਸ-256 ਅਡਵਾਂਸਡ ਏਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ ਸੀਬੀਸੀ ਇਨਕ੍ਰਿਪਸ਼ਨ ਪੂਰਨਤਾ ਲਈ HMAC-SHA256 ਕੀਡ-ਹੈਸ਼ ਸੰਦੇਸ਼ ਪ੍ਰਮਾਣੀਕਰਨ ਕੋਡ ਐਲਗੋਰਿਦਮ ਨਾਲ

ਮੂਲ ਰੂਪ ਵਿੱਚ, IKE ਕੁੰਜੀਆਂ ਹਰ 4 ਘੰਟਿਆਂ (14,400 ਸਕਿੰਟਾਂ) ਵਿੱਚ ਤਾਜ਼ਾ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਤੁਸੀਂ ਰੀਕੀਇੰਗ ਅੰਤਰਾਲ ਨੂੰ 30 ਸਕਿੰਟਾਂ ਤੋਂ ਲੈ ਕੇ 14 ਦਿਨਾਂ (1209600 ਸਕਿੰਟ) ਵਿੱਚ ਬਦਲ ਸਕਦੇ ਹੋ:

• vEdge(config)# vpn vpn-id ਇੰਟਰਫੇਸ ipsecnumber ike
• vEdge(config-ike)# ਰੀਕੀ ਸਕਿੰਟ

ਇੱਕ IKE ਸੈਸ਼ਨ ਲਈ ਨਵੀਆਂ ਕੁੰਜੀਆਂ ਬਣਾਉਣ ਲਈ ਮਜਬੂਰ ਕਰਨ ਲਈ, ਬੇਨਤੀ ipsec ike-rekey ਕਮਾਂਡ ਜਾਰੀ ਕਰੋ। IKE ਲਈ, ਤੁਸੀਂ ਪ੍ਰੀਸ਼ੇਅਰਡ ਕੁੰਜੀ (PSK) ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਵੀ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ:

• vEdge(config)# vpn vpn-id ਇੰਟਰਫੇਸ ipsecnumber ike
• vEdge(config-ike)# ਪ੍ਰਮਾਣੀਕਰਨ-ਕਿਸਮ ਪ੍ਰੀ-ਸ਼ੇਅਰਡ-ਕੁੰਜੀ ਪ੍ਰੀ-ਸ਼ੇਅਰਡ-ਗੁਪਤ ਪਾਸਵਰਡ ਪਾਸਵਰਡ ਪ੍ਰੀ-ਸ਼ੇਅਰਡ ਕੁੰਜੀ ਨਾਲ ਵਰਤਣ ਲਈ ਪਾਸਵਰਡ ਹੈ। ਇਹ ਇੱਕ ASCII ਜਾਂ ਇੱਕ ਹੈਕਸਾਡੈਸੀਮਲ ਸਤਰ ਹੋ ਸਕਦੀ ਹੈ, ਜਾਂ ਇਹ ਇੱਕ AES-ਇਨਕ੍ਰਿਪਟਡ ਕੁੰਜੀ ਹੋ ਸਕਦੀ ਹੈ। ਜੇਕਰ ਰਿਮੋਟ IKE ਪੀਅਰ ਨੂੰ ਇੱਕ ਸਥਾਨਕ ਜਾਂ ਰਿਮੋਟ ID ਦੀ ਲੋੜ ਹੈ, ਤਾਂ ਤੁਸੀਂ ਇਸ ਪਛਾਣਕਰਤਾ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ:
• vEdge(config)# vpn vpn-id ਇੰਟਰਫੇਸ ipsecnumber ike ਪ੍ਰਮਾਣਿਕਤਾ-ਕਿਸਮ
• vEdge(config-authentication-type)# ਲੋਕਲ-ਆਈਡੀ ਆਈ.ਡੀ
• vEdge(config-authentication-type)# ਰਿਮੋਟ-ਆਈ.ਡੀ

ਪਛਾਣਕਰਤਾ ਇੱਕ IP ਪਤਾ ਜਾਂ 1 ਤੋਂ 64 ਅੱਖਰਾਂ ਤੱਕ ਦੀ ਕੋਈ ਟੈਕਸਟ ਸਤਰ ਹੋ ਸਕਦੀ ਹੈ। ਮੂਲ ਰੂਪ ਵਿੱਚ, ਸਥਾਨਕ ID ਸੁਰੰਗ ਦਾ ਸਰੋਤ IP ਪਤਾ ਹੈ ਅਤੇ ਰਿਮੋਟ ID ਸੁਰੰਗ ਦਾ ਮੰਜ਼ਿਲ IP ਪਤਾ ਹੈ।

IPsec ਸੁਰੰਗ ਪੈਰਾਮੀਟਰਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ

ਸਾਰਣੀ 4: ਵਿਸ਼ੇਸ਼ਤਾ ਇਤਿਹਾਸ

ਵਿਸ਼ੇਸ਼ਤਾ ਨਾਮ	ਜਾਣਕਾਰੀ ਜਾਰੀ ਕਰੋ	ਵਰਣਨ
ਵਧੀਕ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ	Cisco SD-WAN ਰੀਲੀਜ਼ 20.1.1	ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਲਈ ਸਮਰਥਨ ਜੋੜਦੀ ਹੈ
IPSec ਲਈ ਐਲਗੋਰਿਦਮਿਕ ਸਹਾਇਤਾ		HMAC_SHA256, HMAC_SHA384, ਅਤੇ
ਸੁਰੰਗਾਂ		ਲਈ HMAC_SHA512 ਐਲਗੋਰਿਦਮ
		ਵਧੀ ਹੋਈ ਸੁਰੱਖਿਆ।

ਮੂਲ ਰੂਪ ਵਿੱਚ, ਹੇਠਾਂ ਦਿੱਤੇ ਪੈਰਾਮੀਟਰਾਂ ਦੀ ਵਰਤੋਂ IPsec ਸੁਰੰਗ 'ਤੇ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜੋ IKE ਟ੍ਰੈਫਿਕ ਨੂੰ ਲੈ ਕੇ ਜਾਂਦੀ ਹੈ:

• ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਐਨਕ੍ਰਿਪਸ਼ਨ—GCM ਵਿੱਚ AES-256 ਐਲਗੋਰਿਦਮ (ਗੈਲੋਇਸ/ਕਾਊਂਟਰ ਮੋਡ)
• ਰੀਕੀਇੰਗ ਅੰਤਰਾਲ—4 ਘੰਟੇ
• ਰੀਪਲੇ ਵਿੰਡੋ—32 ਪੈਕੇਟ

ਤੁਸੀਂ CBC ਵਿੱਚ IPsec ਸੁਰੰਗ 'ਤੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ AES-256 ਸਾਈਫਰ ਵਿੱਚ ਬਦਲ ਸਕਦੇ ਹੋ (ਸਾਈਫਰ ਬਲਾਕ ਚੇਨਿੰਗ ਮੋਡ, HMAC ਨਾਲ SHA-1 ਜਾਂ SHA-2 ਕੀਡ-ਹੈਸ਼ ਸੰਦੇਸ਼ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਜਾਂ SHA-1 ਜਾਂ SHA-2 ਦੀ ਵਰਤੋਂ ਕਰਕੇ HMAC ਨਾਲ ਰੱਦ ਕਰ ਸਕਦੇ ਹੋ। SHA-XNUMX ਕੀਡ-ਹੈਸ਼ ਸੁਨੇਹਾ ਪ੍ਰਮਾਣਿਕਤਾ, IKE ਕੁੰਜੀ ਐਕਸਚੇਂਜ ਟ੍ਰੈਫਿਕ ਲਈ ਵਰਤੀ ਜਾਂਦੀ IPsec ਸੁਰੰਗ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਨਾ ਕਰਨ ਲਈ:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# ਸਾਈਫਰ-ਸੂਟ (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | | aes256-null-sha256 | aes256-null-sha384)

ਮੂਲ ਰੂਪ ਵਿੱਚ, IKE ਕੁੰਜੀਆਂ ਹਰ 4 ਘੰਟਿਆਂ (14,400 ਸਕਿੰਟਾਂ) ਵਿੱਚ ਤਾਜ਼ਾ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਤੁਸੀਂ ਰੀਕੀਇੰਗ ਅੰਤਰਾਲ ਨੂੰ 30 ਸਕਿੰਟਾਂ ਤੋਂ ਲੈ ਕੇ 14 ਦਿਨਾਂ (1209600 ਸਕਿੰਟ) ਵਿੱਚ ਬਦਲ ਸਕਦੇ ਹੋ:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# ਰੀਕੀ ਸਕਿੰਟ

ਇੱਕ IPsec ਸੁਰੰਗ ਲਈ ਨਵੀਆਂ ਕੁੰਜੀਆਂ ਬਣਾਉਣ ਲਈ ਮਜਬੂਰ ਕਰਨ ਲਈ, ਬੇਨਤੀ ipsec ipsec-rekey ਕਮਾਂਡ ਜਾਰੀ ਕਰੋ। ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ, IPsec ਸੁਰੰਗਾਂ 'ਤੇ ਸੰਪੂਰਨ ਫਾਰਵਰਡ ਸੀਕਰੇਸੀ (PFS) ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਜੇਕਰ ਭਵਿੱਖ ਦੀਆਂ ਕੁੰਜੀਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਤਾਂ ਪਿਛਲੇ ਸੈਸ਼ਨਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। PFS 4096-bit Diffie-Hellman ਪ੍ਰਾਈਮ ਮੋਡੀਊਲ ਗਰੁੱਪ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਡਿਫੌਲਟ ਰੂਪ ਵਿੱਚ, ਇੱਕ ਨਵੀਂ ਡਿਫੀ-ਹੇਲਮੈਨ ਕੁੰਜੀ ਐਕਸਚੇਂਜ ਨੂੰ ਮਜਬੂਰ ਕਰਦਾ ਹੈ। ਤੁਸੀਂ PFS ਸੈਟਿੰਗ ਨੂੰ ਬਦਲ ਸਕਦੇ ਹੋ:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# ਸੰਪੂਰਣ-ਅੱਗੇ-ਗੁਪਤ pfs-ਸੈਟਿੰਗ

pfs-ਸੈਟਿੰਗ ਇਹਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਹੋ ਸਕਦੀ ਹੈ:

• ਗਰੁੱਪ-2—1024-ਬਿੱਟ ਡਿਫੀ-ਹੇਲਮੈਨ ਪ੍ਰਾਈਮ ਮਾਡਿਊਲਸ ਗਰੁੱਪ ਦੀ ਵਰਤੋਂ ਕਰੋ।
• ਗਰੁੱਪ-14—2048-ਬਿੱਟ ਡਿਫੀ-ਹੇਲਮੈਨ ਪ੍ਰਾਈਮ ਮਾਡਿਊਲਸ ਗਰੁੱਪ ਦੀ ਵਰਤੋਂ ਕਰੋ।
• ਗਰੁੱਪ-15—3072-ਬਿੱਟ ਡਿਫੀ-ਹੇਲਮੈਨ ਪ੍ਰਾਈਮ ਮਾਡਿਊਲਸ ਗਰੁੱਪ ਦੀ ਵਰਤੋਂ ਕਰੋ।
• ਗਰੁੱਪ-16—4096-ਬਿੱਟ ਡਿਫੀ-ਹੇਲਮੈਨ ਪ੍ਰਾਈਮ ਮੋਡਿਊਲਸ ਗਰੁੱਪ ਦੀ ਵਰਤੋਂ ਕਰੋ। ਇਹ ਡਿਫਾਲਟ ਹੈ।
• ਕੋਈ ਨਹੀਂ - PFS ਨੂੰ ਅਯੋਗ ਕਰੋ।

ਮੂਲ ਰੂਪ ਵਿੱਚ, IPsec ਸੁਰੰਗ 'ਤੇ IPsec ਰੀਪਲੇਅ ਵਿੰਡੋ 512 ਬਾਈਟਸ ਹੈ। ਤੁਸੀਂ ਰੀਪਲੇ ਵਿੰਡੋ ਦਾ ਆਕਾਰ 64, 128, 256, 512, 1024, 2048, ਜਾਂ 4096 ਪੈਕੇਟ 'ਤੇ ਸੈੱਟ ਕਰ ਸਕਦੇ ਹੋ:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# ਰੀਪਲੇ-ਵਿੰਡੋ ਨੰਬਰ

IKE ਡੈੱਡ-ਪੀਅਰ ਖੋਜ ਨੂੰ ਸੋਧੋ

IKE ਇਹ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਇੱਕ ਡੈੱਡ-ਪੀਅਰ ਖੋਜ ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਇੱਕ IKE ਪੀਅਰ ਨਾਲ ਕੁਨੈਕਸ਼ਨ ਕਾਰਜਸ਼ੀਲ ਅਤੇ ਪਹੁੰਚਯੋਗ ਹੈ। ਇਸ ਵਿਧੀ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ, IKE ਆਪਣੇ ਪੀਅਰ ਨੂੰ ਇੱਕ ਹੈਲੋ ਪੈਕੇਟ ਭੇਜਦਾ ਹੈ, ਅਤੇ ਪੀਅਰ ਜਵਾਬ ਵਿੱਚ ਇੱਕ ਰਸੀਦ ਭੇਜਦਾ ਹੈ। ਮੂਲ ਰੂਪ ਵਿੱਚ, IKE ਹਰ 10 ਸਕਿੰਟਾਂ ਵਿੱਚ ਹੈਲੋ ਪੈਕੇਟ ਭੇਜਦਾ ਹੈ, ਅਤੇ ਤਿੰਨ ਅਣਪਛਾਤੇ ਪੈਕੇਟਾਂ ਤੋਂ ਬਾਅਦ, IKE ਗੁਆਂਢੀ ਨੂੰ ਮਰਿਆ ਹੋਇਆ ਘੋਸ਼ਿਤ ਕਰਦਾ ਹੈ ਅਤੇ ਪੀਅਰ ਨੂੰ ਸੁਰੰਗ ਹੇਠਾਂ ਸੁੱਟ ਦਿੰਦਾ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ, IKE ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਪੀਅਰ ਨੂੰ ਹੈਲੋ ਪੈਕੇਟ ਭੇਜਦਾ ਹੈ, ਅਤੇ ਜਦੋਂ ਪੀਅਰ ਵਾਪਸ ਆਨਲਾਈਨ ਆਉਂਦਾ ਹੈ ਤਾਂ ਸੁਰੰਗ ਨੂੰ ਮੁੜ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ। ਤੁਸੀਂ ਸਜੀਵਤਾ ਖੋਜ ਅੰਤਰਾਲ ਨੂੰ 0 ਤੋਂ 65535 ਦੇ ਮੁੱਲ ਵਿੱਚ ਬਦਲ ਸਕਦੇ ਹੋ, ਅਤੇ ਤੁਸੀਂ ਮੁੜ ਕੋਸ਼ਿਸ਼ਾਂ ਦੀ ਗਿਣਤੀ ਨੂੰ 0 ਤੋਂ 255 ਤੱਕ ਮੁੱਲ ਵਿੱਚ ਬਦਲ ਸਕਦੇ ਹੋ।

ਨੋਟ ਕਰੋ

ਟਰਾਂਸਪੋਰਟ VPNs ਲਈ, ਲਾਈਵਨੈਸ ਖੋਜ ਅੰਤਰਾਲ ਨੂੰ ਹੇਠਾਂ ਦਿੱਤੇ ਫਾਰਮੂਲੇ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਕਿੰਟਾਂ ਵਿੱਚ ਬਦਲਿਆ ਜਾਂਦਾ ਹੈ: ਮੁੜ ਪ੍ਰਸਾਰਣ ਕੋਸ਼ਿਸ਼ ਨੰਬਰ N = ਅੰਤਰਾਲ * 1.8N-1 ਸਾਬਕਾ ਲਈ ਅੰਤਰਾਲample, ਜੇਕਰ ਅੰਤਰਾਲ 10 'ਤੇ ਸੈੱਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ 5 'ਤੇ ਮੁੜ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ, ਤਾਂ ਖੋਜ ਅੰਤਰਾਲ ਇਸ ਤਰ੍ਹਾਂ ਵਧਦਾ ਹੈ:

• ਕੋਸ਼ਿਸ਼ 1: 10 * 1.81-1 = 10 ਸਕਿੰਟ
• ਕੋਸ਼ਿਸ਼ 2: 10 * 1.82-1 = 18 ਸਕਿੰਟ
• ਕੋਸ਼ਿਸ਼ 3: 10 * 1.83-1 = 32.4 ਸਕਿੰਟ
• ਕੋਸ਼ਿਸ਼ 4: 10 * 1.84-1 = 58.32 ਸਕਿੰਟ
• ਕੋਸ਼ਿਸ਼ 5: 10 * 1.85-1 = 104.976 ਸਕਿੰਟ

vEdge(config-interface-ipsecnumber)# ਡੈੱਡ-ਪੀਅਰ-ਡਿਟੈਕਸ਼ਨ ਅੰਤਰਾਲ ਮੁੜ ਕੋਸ਼ਿਸ਼ਾਂ ਨੰਬਰ

ਹੋਰ ਇੰਟਰਫੇਸ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਸੰਰਚਨਾ ਕਰੋ

IPsec ਟਨਲ ਇੰਟਰਫੇਸ ਲਈ, ਤੁਸੀਂ ਸਿਰਫ ਹੇਠਾਂ ਦਿੱਤੇ ਵਾਧੂ ਇੰਟਰਫੇਸ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ:

• vEdge(config-interface-ipsec)# mtu ਬਾਈਟ
• vEdge(config-interface-ipsec)# tcp-mss-ਐਡਜਸਟ ਬਾਈਟਸ

Cisco SD-WAN ਮੈਨੇਜਰ 'ਤੇ ਕਮਜ਼ੋਰ SSH ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਓ

ਸਾਰਣੀ 5: ਵਿਸ਼ੇਸ਼ਤਾ ਇਤਿਹਾਸ ਸਾਰਣੀ

ਵਿਸ਼ੇਸ਼ਤਾ ਨਾਮ	ਜਾਣਕਾਰੀ ਜਾਰੀ ਕਰੋ	ਵਿਸ਼ੇਸ਼ਤਾ ਵਰਣਨ
Cisco SD-WAN ਮੈਨੇਜਰ 'ਤੇ ਕਮਜ਼ੋਰ SSH ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਓ	Cisco vManage ਰੀਲੀਜ਼ 20.9.1	ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਤੁਹਾਨੂੰ Cisco SD-WAN ਮੈਨੇਜਰ 'ਤੇ ਕਮਜ਼ੋਰ SSH ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ ਜੋ ਕੁਝ ਡਾਟਾ ਸੁਰੱਖਿਆ ਮਿਆਰਾਂ ਦੀ ਪਾਲਣਾ ਨਹੀਂ ਕਰ ਸਕਦੇ ਹਨ।

Cisco SD-WAN ਮੈਨੇਜਰ 'ਤੇ ਕਮਜ਼ੋਰ SSH ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਣ ਬਾਰੇ ਜਾਣਕਾਰੀ
Cisco SD-WAN ਮੈਨੇਜਰ ਨੈੱਟਵਰਕ ਵਿੱਚ ਕੰਪੋਨੈਂਟਸ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਲਈ ਇੱਕ SSH ਕਲਾਇੰਟ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਕੰਟਰੋਲਰ ਅਤੇ ਕਿਨਾਰੇ ਵਾਲੇ ਯੰਤਰ ਸ਼ਾਮਲ ਹਨ। SSH ਕਲਾਇੰਟ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਦੇ ਅਧਾਰ 'ਤੇ, ਸੁਰੱਖਿਅਤ ਡੇਟਾ ਟ੍ਰਾਂਸਫਰ ਲਈ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਕਨੈਕਸ਼ਨ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਬਹੁਤ ਸਾਰੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ SHA-1, AES-128, ਅਤੇ AES-192 ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੇ ਗਏ ਨਾਲੋਂ ਮਜ਼ਬੂਤ ​​ਏਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। Cisco vManage Release 20.9.1 ਤੋਂ, ਤੁਸੀਂ ਹੇਠਾਂ ਦਿੱਤੇ ਕਮਜ਼ੋਰ ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾ ਸਕਦੇ ਹੋ ਤਾਂ ਜੋ ਇੱਕ SSH ਕਲਾਇੰਟ ਇਹਨਾਂ ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਨਾ ਕਰੇ:

• SHA-1
• AES-128
• AES-192

ਇਹਨਾਂ ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਣ ਤੋਂ ਪਹਿਲਾਂ, ਯਕੀਨੀ ਬਣਾਓ ਕਿ Cisco vEdge ਡਿਵਾਈਸਾਂ, ਜੇਕਰ ਕੋਈ ਹੈ, ਨੈੱਟਵਰਕ ਵਿੱਚ, Cisco SD-WAN ਰੀਲੀਜ਼ 18.4.6 ਤੋਂ ਬਾਅਦ ਵਿੱਚ ਇੱਕ ਸਾਫਟਵੇਅਰ ਰੀਲੀਜ਼ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ।

ਸਿਸਕੋ SD-WAN ਮੈਨੇਜਰ 'ਤੇ ਕਮਜ਼ੋਰ SSH ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਯੋਗ ਕਰਨ ਦੇ ਲਾਭ
ਕਮਜ਼ੋਰ SSH ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਣਾ SSH ਸੰਚਾਰ ਦੀ ਸੁਰੱਖਿਆ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਂਦਾ ਹੈ, ਅਤੇ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ Cisco Catalyst SD-WAN ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੀਆਂ ਸੰਸਥਾਵਾਂ ਸਖਤ ਸੁਰੱਖਿਆ ਨਿਯਮਾਂ ਦੀ ਪਾਲਣਾ ਕਰਦੀਆਂ ਹਨ।

CLI ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ Cisco SD-WAN ਮੈਨੇਜਰ 'ਤੇ ਕਮਜ਼ੋਰ SSH ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਓ

1. Cisco SD-WAN ਮੈਨੇਜਰ ਮੀਨੂ ਤੋਂ, Tools > SSH ਟਰਮੀਨਲ ਚੁਣੋ।
2. Cisco SD-WAN ਮੈਨੇਜਰ ਡਿਵਾਈਸ ਚੁਣੋ ਜਿਸ 'ਤੇ ਤੁਸੀਂ ਕਮਜ਼ੋਰ SSH ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਯੋਗ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ।
3. ਡਿਵਾਈਸ ਵਿੱਚ ਲੌਗਇਨ ਕਰਨ ਲਈ ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ ਪਾਸਵਰਡ ਦਰਜ ਕਰੋ।
4. SSH ਸਰਵਰ ਮੋਡ ਦਾਖਲ ਕਰੋ।
   • vmanage(config)# ਸਿਸਟਮ
   • vmanage(config-system)# ssh-ਸਰਵਰ
5. ਇੱਕ SSH ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਇਹਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਕਰੋ:
   • SHA-1 ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਓ:
6. ਪ੍ਰਬੰਧਿਤ ਕਰੋ(config-ssh-server)# no kex-algo sha1
7. ਪ੍ਰਬੰਧਿਤ ਕਰੋ(config-ssh-server)# ਪ੍ਰਤੀਬੱਧ
   ਹੇਠ ਦਿੱਤਾ ਚੇਤਾਵਨੀ ਸੁਨੇਹਾ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਹੈ: ਹੇਠ ਲਿਖੀਆਂ ਚੇਤਾਵਨੀਆਂ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ: 'system ssh-server kex-algo sha1': ਚੇਤਾਵਨੀ: ਕਿਰਪਾ ਕਰਕੇ ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਤੁਹਾਡੇ ਸਾਰੇ ਕਿਨਾਰੇ ਕੋਡ ਵਰਜ਼ਨ > 18.4.6 ਨੂੰ ਚਲਾਏ ਹਨ ਜੋ vManage ਨਾਲ SHA1 ਨਾਲੋਂ ਬਿਹਤਰ ਗੱਲਬਾਤ ਕਰਦਾ ਹੈ। ਨਹੀਂ ਤਾਂ ਉਹ ਕਿਨਾਰੇ ਔਫਲਾਈਨ ਹੋ ਸਕਦੇ ਹਨ। ਅੱਗੇ ਵਧਣਾ? [ਹਾਂ, ਨਹੀਂ] ਹਾਂ
   • ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਨੈੱਟਵਰਕ ਵਿੱਚ ਕੋਈ ਵੀ Cisco vEdge ਯੰਤਰ Cisco SD-WAN ਰੀਲੀਜ਼ 18.4.6 ਜਾਂ ਬਾਅਦ ਵਿੱਚ ਚੱਲ ਰਹੇ ਹਨ ਅਤੇ ਹਾਂ ਦਰਜ ਕਰੋ।
   • AES-128 ਅਤੇ AES-192 ਨੂੰ ਅਸਮਰੱਥ ਕਰੋ:
   • vmanage(config-ssh-server)# no cipher aes-128-192
   • vmanage(config-ssh-server)# ਪ੍ਰਤੀਬੱਧ
     ਹੇਠ ਦਿੱਤੀ ਚੇਤਾਵਨੀ ਸੁਨੇਹਾ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਹੈ:
     ਹੇਠ ਲਿਖੀਆਂ ਚੇਤਾਵਨੀਆਂ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ:
     'system ssh-server cipher aes-128-192': ਚੇਤਾਵਨੀ: ਕਿਰਪਾ ਕਰਕੇ ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਤੁਹਾਡੇ ਸਾਰੇ ਕਿਨਾਰੇ ਕੋਡ ਵਰਜਨ > 18.4.6 ਰਨ ਹਨ ਜੋ vManage ਨਾਲ AES-128-192 ਨਾਲੋਂ ਬਿਹਤਰ ਗੱਲਬਾਤ ਕਰਦਾ ਹੈ। ਨਹੀਂ ਤਾਂ ਉਹ ਕਿਨਾਰੇ ਔਫਲਾਈਨ ਹੋ ਸਕਦੇ ਹਨ। ਅੱਗੇ ਵਧਣਾ? [ਹਾਂ, ਨਹੀਂ] ਹਾਂ
   • ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਨੈੱਟਵਰਕ ਵਿੱਚ ਕੋਈ ਵੀ Cisco vEdge ਯੰਤਰ Cisco SD-WAN ਰੀਲੀਜ਼ 18.4.6 ਜਾਂ ਬਾਅਦ ਵਿੱਚ ਚੱਲ ਰਹੇ ਹਨ ਅਤੇ ਹਾਂ ਦਰਜ ਕਰੋ।

ਜਾਂਚ ਕਰੋ ਕਿ ਕਮਜ਼ੋਰ SSH ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ CLI ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ Cisco SD-WAN ਮੈਨੇਜਰ 'ਤੇ ਅਸਮਰੱਥ ਹਨ।

1. Cisco SD-WAN ਮੈਨੇਜਰ ਮੀਨੂ ਤੋਂ, Tools > SSH ਟਰਮੀਨਲ ਚੁਣੋ।
2. Cisco SD-WAN ਮੈਨੇਜਰ ਡਿਵਾਈਸ ਚੁਣੋ ਜਿਸਦੀ ਤੁਸੀਂ ਪੁਸ਼ਟੀ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ।
3. ਡਿਵਾਈਸ ਵਿੱਚ ਲੌਗਇਨ ਕਰਨ ਲਈ ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ ਪਾਸਵਰਡ ਦਰਜ ਕਰੋ।
4. ਹੇਠ ਦਿੱਤੀ ਕਮਾਂਡ ਚਲਾਓ: ਰਨਿੰਗ-ਕਨਫਿਗ ਸਿਸਟਮ ssh-ਸਰਵਰ ਦਿਖਾਓ
5. ਪੁਸ਼ਟੀ ਕਰੋ ਕਿ ਆਉਟਪੁੱਟ ਇੱਕ ਜਾਂ ਵੱਧ ਕਮਾਂਡਾਂ ਨੂੰ ਦਿਖਾਉਂਦਾ ਹੈ ਜੋ ਕਮਜ਼ੋਰ ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਂਦੇ ਹਨ:
   • ਕੋਈ ਸਿਫਰ aes-128-192 ਨਹੀਂ
   • ਕੋਈ kex-algo sha1

ਦਸਤਾਵੇਜ਼ / ਸਰੋਤ

CISCO SD-WAN ਸੁਰੱਖਿਆ ਮਾਪਦੰਡਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ [pdf] ਯੂਜ਼ਰ ਗਾਈਡ SD-WAN ਸੁਰੱਖਿਆ ਮਾਪਦੰਡਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ, SD-WAN, ਸੁਰੱਖਿਆ ਮਾਪਦੰਡਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ, ਸੁਰੱਖਿਆ ਪੈਰਾਮੀਟਰ

ਹਵਾਲੇ

• ਯੂਜ਼ਰ ਮੈਨੂਅਲ