CISCO SD-WAN د امنیت پیرامیټونه تنظیموي

د امنیت پیرامیټونه تنظیم کړئ

نوټ

د ساده کولو او ثبات ترلاسه کولو لپاره، د سیسکو SD-WAN حل د Cisco Catalyst SD-WAN په توګه بیا نومول شوی. برسېره پردې، د Cisco IOS XE SD-WAN ریلیز 17.12.1a او د Cisco Catalyst SD-WAN ریلیز 20.12.1 څخه، لاندې برخې بدلونونه د تطبیق وړ دي: Cisco vManage د Cisco Catalyst SD-WAN مدیر، د Cisco vAnalytics څخه Catalyst-Cisco. تجزیات، سیسکو vBond د Cisco Catalyst SD-WAN Validator، او Cisco vSmart د Cisco Catalyst SD-WAN کنټرولر ته. د ټولو برخو د برانډ نوم بدلونونو جامع لیست لپاره وروستي ریلیز یادداشتونه وګورئ. پداسې حال کې چې موږ نوي نومونو ته لیږدوو، ځینې ناانډولتیاوې ممکن د اسنادو په ترتیب کې شتون ولري ځکه چې د سافټویر محصول د کاروونکي انٹرفیس تازه کولو ته د مرحلې طریقې له امله.

دا برخه د سیسکو کتلست SD-WAN پوښښ شبکه کې د کنټرول الوتکې او ډیټا الوتکې لپاره د امنیت پیرامیټونو بدلولو څرنګوالی تشریح کوي.

• د کنټرول الوتکې امنیت پیرامیټونه تنظیم کړئ، آن
• د ډیټا الوتکې امنیت پیرامیټونه تنظیم کړئ ، آن
• د IKE-فعال شوي IPsec تونلونه تنظیم کړئ، آن
• په سیسکو SD-WAN مدیر کې د کمزوري SSH کوډ کولو الګوریتم غیر فعال کړئ

د کنټرول الوتکې امنیت پیرامیټونه تنظیم کړئ

د ډیفالټ په واسطه، د کنټرول الوتکه DTLS د پروتوکول په توګه کاروي چې په ټولو تونلونو کې محرمیت چمتو کوي. DTLS په UDP باندې تیریږي. تاسو کولی شئ د کنټرول الوتکې امنیت پروتوکول TLS ته بدل کړئ، کوم چې د TCP څخه تیریږي. د TLS کارولو لومړنی دلیل دا دی چې که تاسو د سیسکو SD-WAN کنټرولر سرور په پام کې ونیسئ، د اور وژنې والونه د UDP سرورونو څخه غوره TCP سرورونه ساتي. تاسو د سیسکو SD-WAN کنټرولر کې د کنټرول الوتکې تونل پروتوکول ترتیب کړئ: vSmart(config)# د امنیت کنټرول پروتوکول tls د دې بدلون سره ، د سیسکو SD-WAN کنټرولر او راوټرونو او د سیسکو SD-WAN کنټرولر ترمینځ د الوتکې ټول کنټرول تونلونه او د سیسکو SD-WAN مدیر TLS کاروي. د Cisco Catalyst SD-WAN Validator ته د الوتکې تونلونه کنټرول کول تل د DTLS کاروي، ځکه چې دا اړیکې باید د UDP لخوا اداره شي. په یو ډومین کې د ډیری سیسکو SD-WAN کنټرولرانو سره، کله چې تاسو د Cisco SD-WAN کنټرولرونو څخه TLS تنظیم کړئ، د هغه کنټرولر څخه نورو کنټرولرانو ته د کنټرول الوتکې ټول تونلونه TLS کاروي. بله لاره وویل، TLS تل د DTLS په پرتله لومړیتوب لري. په هرصورت، د نورو سیسکو SD-WAN کنټرولرونو له نظره، که تاسو په دوی باندې TLS نه وي ترتیب کړی، دوی یوازې د سیسکو SD-WAN کنټرولر ته د کنټرول الوتکې تونل کې TLS کاروي، او دوی نورو ټولو ته DTLS تونلونه کاروي. د سیسکو SD-WAN کنټرولرونه او د دوی ټولو وصل شوي روټرونو ته. د دې لپاره چې ټول Cisco SD-WAN کنټرولرونه TLS کاروي، دا په ټولو کې تنظیم کړئ. په ډیفالټ ډول، د سیسکو SD-WAN کنټرولر د TLS غوښتنو لپاره په 23456 بندر کې اوري. د دې بدلولو لپاره: vSmart(config)# security control tls-port number پورټ د 1025 څخه تر 65535 پورې شمیره کیدی شي. د کنټرول الوتکې امنیت معلوماتو ښودلو لپاره، د سیسکو SD-WAN کنټرولر کې د شو کنټرول کنکشن کمانډ وکاروئ. د مثال لپارهample: vSmart-2# د کنټرول پیوستون ښیې

په سیسکو SD-WAN مدیر کې DTLS تنظیم کړئ

که تاسو د سیسکو SD-WAN مدیر تنظیم کړئ ترڅو TLS د کنټرول الوتکې امنیت پروتوکول په توګه وکاروي، تاسو باید په خپل NAT کې د پورټ فارورډینګ فعال کړئ. که تاسو د کنټرول الوتکې امنیت پروتوکول په توګه DTLS کاروئ، تاسو اړتیا نلرئ هیڅ شی وکړئ. د لیږل شوي بندرونو شمیر د ویډیمون پروسې په شمیر پورې اړه لري چې د سیسکو SD-WAN مدیر پرمخ وړي. د دې پروسو او په اړه د معلوماتو ښودلو لپاره او د پورټونو شمیره چې لیږل کیږي، د شو کنټرول لنډیز کمانډ وکاروئ ښیي چې څلور ډیمون پروسې روانې دي:

د اوریدلو بندرونو لیدلو لپاره، د show control local-properties کمانډ وکاروئ: vManage# show control local-properties

دا محصول ښیي چې د اوریدلو TCP پورټ 23456 دی. که تاسو د NAT شاته د Cisco SD-WAN مدیر پرمخ وړئ، تاسو باید د NAT وسیله لاندې پورټونه خلاص کړئ:

• 23456 (بیس – مثال 0 پورټ)
• 23456 + 100 (بیس + 100)
• 23456 + 200 (بیس + 200)
• 23456 + 300 (بیس + 300)

په یاد ولرئ چې د مثالونو شمیر د کور شمیر سره ورته دی چې تاسو د سیسکو SD-WAN مدیر لپاره ټاکلی دی ، تر اعظمي حد پورې 8 پورې.

د امنیت فیچر ټیمپلیټ په کارولو سره د امنیت پیرامیټونه تنظیم کړئ

د ټولو سیسکو ویج وسیلو لپاره د امنیت فیچر ټیمپلیټ وکاروئ. په څنډه روټرونو او د سیسکو SD-WAN تایید کونکي کې ، دا ټیمپلیټ د ډیټا الوتکې امنیت لپاره IPsec تنظیم کولو لپاره وکاروئ. د Cisco SD-WAN مدیر او د Cisco SD-WAN کنټرولر کې، د کنټرول الوتکې امنیت لپاره د DTLS یا TLS تنظیم کولو لپاره د امنیت فیچر ټیمپلیټ وکاروئ.

د امنیت پیرامیټونه تنظیم کړئ

1. د Cisco SD-WAN مدیر مینو څخه، ترتیب> ټیمپلیټونه غوره کړئ.
2. د فیچر ټیمپلیټ کلیک وکړئ او بیا کلیک وکړئ کېنډۍ اضافه کړئ.
   نوټ په Cisco vManage Release 20.7.1 او پخوانیو خپرونو کې، د فیچر ټیمپلیټ د فیچر په نوم یادیږي.
3. په ښي اړخ کې د وسیلو لیست څخه، یو وسیله غوره کړئ. هغه ټیمپلیټونه چې په ټاکل شوي وسیلې کې پلي کیږي په ښي پین کې ښکاري.
4. د ټیمپلیټ خلاصولو لپاره امنیت کلیک وکړئ.
5. د کينډۍ نوم په ډګر کې، د کينډۍ لپاره نوم دننه کړئ. نوم تر 128 تورو پورې کیدی شي او یوازې د الفانومریک حروف ولري.
6. د کينډۍ د وضاحت په ډګر کې، د کينډۍ وضاحت دننه کړئ. توضیحات تر 2048 حروف پورې کیدی شي او یوازې د الفانومریک حروف ولري.

کله چې تاسو لومړی د فیچر ټیمپلیټ خلاص کړئ ، د هر پیرامیټر لپاره چې ډیفالټ ارزښت لري ، ساحه ډیفالټ ته ټاکل شوې (د چیک مارک لخوا اشاره شوې) ، او ډیفالټ ترتیب یا ارزښت ښودل شوی. د ډیفالټ بدلولو یا ارزښت ته د ننوتلو لپاره ، د پیرامیټر ساحې کیڼ اړخ ته د سکایپ ډراپ ډاون مینو کلیک وکړئ او له لاندې څخه یو غوره کړئ:

جدول 1:

پیرامیټر ساحه

د ساحې توضیحات

د وسیلې مشخص (د کوربه آیکون لخوا ښودل شوی)

د پیرامیټر لپاره د وسیلې ځانګړي ارزښت وکاروئ. د وسیلې ځانګړي پیرامیټونو لپاره ، تاسو نشئ کولی د فیچر ټیمپلیټ کې ارزښت داخل کړئ. تاسو ارزښت دننه کړئ کله چې تاسو د وسیلې ټیمپلیټ ته د ویپټیلا وسیله وصل کړئ. کله چې تاسو د وسیلې ځانګړي کلیک وکړئ ، د انټر کیلي بکس خلاصیږي. دا بکس یو کیلي ښیي، کوم چې یو ځانګړی تار دی چې په CSV کې پیرامیټر پیژني file چې تاسو جوړ کړئ. دا file د ایکسل سپریډ شیټ دی چې د هرې کیلي لپاره یو کالم لري. د سرلیک قطار کلیدي نومونه لري (په هر کالم کې یوه کیلي)، او له هغې وروسته هر قطار د یوې وسیلې سره مطابقت لري او د دې وسیلې لپاره د کیلي ارزښتونه تعریفوي. تاسو CSV اپلوډ کړئ file کله چې تاسو د ویپټیلا وسیله د وسیلې ټیمپلیټ سره ضمیمه کړئ. د نورو معلوماتو لپاره، وګورئ د کينډۍ متغیر سپریډ شیټ جوړ کړئ. د ډیفالټ کیلي بدلولو لپاره، یو نوی تار ولیکئ او کرسر د Enter Key بکس څخه بهر وباسئ. Exampد وسیلې ځانګړي پیرامیټونه د سیسټم IP پته ، کوربه نوم ، د GPS موقعیت ، او د سایټ ID دي.

پیرامیټر ساحه	د ساحې توضیحات
نړیوال (د ګلوب آئیکون لخوا ښودل شوی)	د پیرامیټر لپاره ارزښت دننه کړئ، او دا ارزښت په ټولو وسیلو کې پلي کړئ. Exampد پیرامیټونو لست چې تاسو ممکن په نړیواله کچه د وسیلو یوې ډلې ته پلي کړئ د DNS سرور ، سیسلاګ سرور ، او انٹرفیس MTUs دي.

د کنټرول الوتکې امنیت تنظیم کړئ

نوټ
د کنټرول الوتکې امنیت برخه یوازې د سیسکو SD-WAN مدیر او د سیسکو SD-WAN کنټرولر لپاره پلي کیږي. د سیسکو SD-WAN مدیر مثال یا د سیسکو SD-WAN کنټرولر کې د کنټرول الوتکې اتصال پروتوکول تنظیم کولو لپاره ، د لومړني ترتیب ساحه غوره کړئ. او لاندې پیرامیټونه تنظیم کړئ:

جدول 2:

پیرامیټر نوم	تفصیل
پروتوکول	د سیسکو SD-WAN کنټرولر سره د کنټرول الوتکې اتصالونو کې کارولو لپاره پروتوکول غوره کړئ: • DTLS (Datagد ram ترانسپورت پرت امنیت). دا ډیفالټ دی. • TLS (د ترانسپورت پرت امنیت)
د TLS بندر کنټرول کړئ	که تاسو TLS غوره کړی، د کارولو لپاره د پورټ شمیره ترتیب کړئ:سلسله: 1025 له 65535 څخهډیفالټ: 23456

په خوندي کولو کلیک وکړئ

د ډیټا الوتکې امنیت تنظیم کړئ
د سیسکو SD-WAN تایید کونکي یا د سیسکو ویج روټر کې د ډیټا الوتکې امنیت تنظیم کولو لپاره ، د لومړني ترتیب او تصدیق ډول ټبونه غوره کړئ ، او لاندې پیرامیټونه تنظیم کړئ:

جدول 3:

پیرامیټر نوم	تفصیل
د ریکی وخت	مشخص کړئ چې څو ځله د سیسکو ویج روټر د سیسکو SD-WAN کنټرولر ته په خپل خوندي DTLS اتصال کې کارول شوي AES کیلي بدلوي. که د OMP په زړه پورې بیا پیل کول فعال شوي وي، د بیا پیل کولو وخت باید لږترلږه د OMP ښکلی بیا پیل کولو وخت دوه چنده وي.سلسله: له 10 څخه تر 1209600 ثانیو پورې (14 ورځې)ډیفالټ: 86400 ثانیې (24 ساعته)
کړکۍ بیا پیل کړئ	د سلیډینګ بیا پلی کولو کړکۍ اندازه مشخص کړئ. ارزښتونه: 64، 128، 256، 512، 1024، 2048، 4096، 8192 پیکټونهډیفالټ: 512 کڅوړې
IPsec pairwise- keying	دا د ډیفالټ لخوا بند شوی. کلیک وکړئ On د هغه د فعالولو لپاره.

پیرامیټر نوم

تفصیل

د تصدیق ډول

له دې څخه د تصدیق ډولونه غوره کړئ تصدیق کول لیست، او د تصدیق ډولونو ته د حرکت کولو لپاره ښي خوا ته په ګوته شوي تیر کلیک وکړئ ټاکل شوی لیست کالم د تصدیق ډولونه د Cisco SD-WAN ریلیز 20.6.1 څخه ملاتړ شوي: •  esp: د ESP سرلیک کې د Encapsulating Security Payload (ESP) کوډ کول او د بشپړتیا چک کول فعالوي. •  ip-udp-esp: د ESP کوډ کول فعالوي. د ESP سرلیک او تادیاتو کې د بشپړتیا چکونو سربیره، په چکونو کې بهرنی IP او UDP سرلیکونه هم شامل دي. •  ip-udp-esp-no-id: د IP سرلیک کې د ID ساحه له پامه غورځوي ترڅو د Cisco Catalyst SD-WAN کولی شي د غیر سیسکو وسیلو سره په ګډه کار وکړي. •  هیڅ نه: په IPSec پاکټونو کې د بشپړتیا چک کول بندوي. موږ د دې اختیار کارولو وړاندیز نه کوو.   د تصدیق ډولونه په Cisco SD-WAN ریلیز 20.5.1 او پخوا کې ملاتړ شوي: •  ah-no-id: د AH-SHA1 HMAC او ESP HMAC-SHA1 یوه پرمختللې نسخه فعاله کړئ چې د پیکټ په بهرني IP سرلیک کې د ID ساحه له پامه غورځوي. •  ah-sha1-hmac: AH-SHA1 HMAC او ESP HMAC-SHA1 فعال کړئ. •  هیڅ نه: نه تصدیق انتخاب کړئ. •  sha1-hmac: ESP HMAC-SHA1 فعال کړئ.   نوټ              د یوې څنډې وسیلې لپاره چې په Cisco SD-WAN ریلیز 20.5.1 یا دمخه چلیږي ، تاسو ممکن د تصدیق ډولونه تنظیم کړي وي امنیت کينډۍ کله چې تاسو وسیله د Cisco SD-WAN ریلیز 20.6.1 یا وروسته لوړ کړئ، په کې د ټاکل شوي تصدیق ډولونه تازه کړئ. امنیت د تصدیق ډولونو ته ټیمپلیټ د Cisco SD-WAN ریلیز 20.6.1 څخه ملاتړ شوی. د تصدیق ډولونو تازه کولو لپاره، لاندې کار وکړئ: 1.      د سیسکو SD-WAN مدیر مینو څخه، غوره کړئ ترتیب > کينډۍ. 2.      کلیک وکړئ د فیچر ټیمپلیټونه. 3.      موندل امنیت د تازه کولو لپاره ټیمپلیټ او کلیک وکړئ ... او کلیک وکړئ سمون. 4.      کلیک وکړئ تازه کول. هیڅ ترتیب مه بدلوئ. د سیسکو SD-WAN مدیر تازه کوي امنیت د ملاتړ شوي تصدیق ډولونو ښودلو لپاره ټیمپلیټ.

په خوندي کلیک وکړئ.

د ډیټا الوتکې امنیت پیرامیټونه تنظیم کړئ

د ډیټا په الوتکه کې ، IPsec په ټولو روټرونو کې د ډیفالټ لخوا فعال شوی ، او د ډیفالټ IPsec تونل اړیکې په IPsec تونلونو کې د تصدیق لپاره د Encapsulating Security Payload (ESP) پروتوکول پرمختللې نسخه کاروي. په روټرونو کې ، تاسو کولی شئ د تصدیق ډول ، د IPsec ریکیینګ ټایمر ، او د IPsec ضد بیا پلی کولو کړکۍ اندازه بدل کړئ.

اجازه ورکړل شوي تصدیق ډولونه تنظیم کړئ

په سیسکو SD-WAN ریلیز 20.6.1 او وروسته کې د تصدیق ډولونه
د Cisco SD-WAN ریلیز 20.6.1 څخه، لاندې بشپړتیا ډولونه ملاتړ کیږي:

• esp: دا اختیار د ESP سرلیک کې د Encapsulating Security Payload (ESP) کوډ کولو او بشپړتیا چک کول وړوي.
• ip-udp-esp: دا اختیار د ESP کوډ کول فعالوي. د ESP سرلیک او تادیاتو کې د بشپړتیا چکونو سربیره، په چکونو کې بهرنی IP او UDP سرلیکونه هم شامل دي.
• ip-udp-esp-no-id: دا اختیار د ip-udp-esp سره ورته دی، په هرصورت، د بهرنی IP سرلیک ID ساحه له پامه غورځول شوې. دا اختیار د بشپړتیا ډولونو لیست کې تنظیم کړئ ترڅو د Cisco Catalyst SD-WAN سافټویر د IP سرلیک کې د ID ساحه له پامه غورځوي ترڅو د Cisco Catalyst SD-WAN د غیر سیسکو وسیلو سره په ګډه کار وکړي.
• هیڅ نه: دا اختیار د IPSec پاکټونو کې د بشپړتیا چک کول بندوي. موږ د دې اختیار کارولو وړاندیز نه کوو.

په ډیفالټ ډول ، د IPsec تونل اړیکې د تصدیق لپاره د Encapsulating Security Payload (ESP) پروتوکول پرمختللې نسخه کاروي. د خبرو اترو د منځګړیتوب ډولونو بدلولو یا د بشپړتیا چک غیر فعالولو لپاره، لاندې کمانډ وکاروئ: بشپړتیا ډول { none | ip-udp-esp | ip-udp-esp-no-id | esp }

د سیسکو SD-WAN خپریدو دمخه د تصدیق ډولونه 20.6.1
په ډیفالټ ، د IPsec تونل اړیکې د تصدیق لپاره د Encapsulating Security Payload (ESP) پروتوکول پرمختللې نسخه کاروي. د مذاکره شوي تصدیق ډولونو بدلولو یا د تصدیق غیر فعالولو لپاره ، لاندې کمانډ وکاروئ: وسیله(config)# security ipsec تصدیق ډول (ah-sha1-hmac | ah-no-id | sha1-hmac | | هیڅ نه) په ډیفالټ ، IPsec د تونل اړیکې AES-GCM-256 کاروي، کوم چې دواړه کوډ کول او تصدیق چمتو کوي. د هر تصدیق کولو ډول د جلا امنیت ipsec تصدیق ډول کمانډ سره تنظیم کړئ. د کمانډ اختیارونه لاندې تصدیق ډولونو ته نقشه ورکوي، کوم چې د خورا قوي څخه تر لږترلږه قوي پورې لیست شوي دي:

نوټ
د ترتیب کولو اختیارونو کې sha1 د تاریخي دلایلو لپاره کارول کیږي. د تصدیق کولو اختیارونه په ګوته کوي چې د پاکټ بشپړتیا چیک څومره ترسره کیږي. دوی هغه الګوریتم نه مشخص کوي چې بشپړتیا چک کوي. د ملټي کاسټ ټرافیک کوډ کولو پرته ، د سیسکو کتلست SD WAN لخوا ملاتړ شوي تصدیق الګوریتمونه SHA1 نه کاروي. په هرصورت، په Cisco SD-WAN ریلیز 20.1.x او وروسته، دواړه یونیکاسټ او ملټي کاسټ SHA1 نه کاروي.

• ah-sha1-hmac د ESP په کارولو سره کوډ کول او انکیپسول فعالوي. په هرصورت، د ESP سرلیک او تادیاتو کې د بشپړتیا چکونو سربیره، په چکونو کې بهرنی IP او UDP سرلیکونه هم شامل دي. لدې امله، دا اختیار د تصدیق سرلیک (AH) پروتوکول ته ورته د پاکټ بشپړتیا چیک ملاتړ کوي. ټول بشپړتیا او کوډ کول د AES-256-GCM په کارولو سره ترسره کیږي.
• ah-no-id یو حالت فعالوي چې د ah-sha1-hmac سره ورته وي، په هرصورت، د بهرنی IP سرلیک ID ساحه له پامه غورځول شوې. دا اختیار ځینې غیر سیسکو کتلست SD-WAN وسیلې ځای په ځای کوي ، پشمول د Apple AirPort Express NAT، چې یو بګ لري چې د IP سرلیک کې د ID ساحه رامینځته کوي ، یو نه بدلیدونکی ساحه ، د بدلون لپاره. د تصدیق ډولونو لیست کې د ah-no-id اختیار تنظیم کړئ ترڅو د سیسکو کتلست SD-WAN AH سافټویر د IP سرلیک کې د ID ساحه له پامه غورځوي ترڅو د سیسکو کتلست SD-WAN سافټویر د دې وسیلو سره په ګډه کار وکړي.
• sha1-hmac د ESP کوډ کول او د بشپړتیا چک کول فعالوي.
• هیڅ نقشه نه تصدیق ته. دا اختیار باید یوازې وکارول شي که چیرې دا د لنډمهاله ډیبګ کولو لپاره اړین وي. تاسو کولی شئ دا اختیار په داسې شرایطو کې هم غوره کړئ چیرې چې د ډیټا الوتکې تصدیق او بشپړتیا اندیښنه نده. سیسکو د تولید شبکې لپاره د دې اختیار کارولو وړاندیز نه کوي.

د دې په اړه د معلوماتو لپاره چې د ډیټا پیکټ ساحې د دې تصدیق ډولونو لخوا اغیزمن کیږي، د ډیټا پلین بشپړتیا وګورئ. د سیسکو IOS XE کتلست SD-WAN وسیلې او د سیسکو ویج وسیلې د دوی د TLOC ملکیتونو کې د دوی ترتیب شوي تصدیق ډولونه اعلانوي. د IPsec تونل اتصال په دواړو اړخونو کې دوه روټرونه د دوی ترمینځ اتصال کې کارولو لپاره تصدیق سره خبرې کوي ، د قوي تصدیق ډول په کارولو سره چې په دواړو روټرونو کې تنظیم شوی. د مثال لپارهampکه یو روټر د ah-sha1-hmac او ah-no-id ډولونه اعلانوي، او دویم روټر د ah-no-id ډول اعلانوي، دوه روټرونه د IPsec تونل ارتباط کې د ah-no-id کارولو لپاره خبرې کوي. دوی. که چیرې په دوه ملګرو کې د عام تصدیق ډولونه ترتیب شوي نه وي، د دوی ترمنځ هیڅ IPsec تونل ندی رامینځته شوی. د IPsec تونل ارتباطاتو کې د کوډ کولو الګوریتم د ترافیک ډول پورې اړه لري:

• د یونیکاسټ ټرافیک لپاره، د کوډ کولو الګوریتم AES-256-GCM دی.
• د ملټي کاسټ ترافیک لپاره:
• د سیسکو SD-WAN ریلیز 20.1.x او وروسته- د کوډ کولو الګوریتم AES-256-GCM دی
• مخکیني خپرونه- د کوډ کولو الګوریتم AES-256-CBC د SHA1-HMAC سره دی.

کله چې د IPsec تصدیق ډول بدل شي، د ډیټا لارې لپاره د AES کیلي بدلیږي.

د ریکیینګ ټایمر بدل کړئ

مخکې لدې چې د سیسکو IOS XE کتلست SD-WAN وسایل او د سیسکو ویج وسیلې د ډیټا ترافیک تبادله کولی شي ، دوی د دوی ترمینځ یو خوندي مستند مخابراتي چینل رامینځته کړی. روټرونه د دوی تر مینځ IPSec تونلونه د چینل په توګه کاروي ، او د کوډ کولو ترسره کولو لپاره AES-256 سیفر. هر روټر په دوره توګه د دې ډیټا لارې لپاره نوی AES کیلي رامینځته کوي. په ډیفالټ ډول، یوه کیلي د 86400 ثانیو (24 ساعتونو) لپاره اعتبار لري، او د ټایمر حد د 10 ثانیو څخه تر 1209600 ثانیو (14 ورځو) پورې دی. د ریکی ټایمر ارزښت بدلولو لپاره: Device(config)# security ipsec rekey seconds تشکیلات داسې ښکاري:

• امنیت ipsec rekey ثانیې!

که تاسو غواړئ سمدلاسه نوي IPsec کیلي رامینځته کړئ ، تاسو کولی شئ دا د روټر ترتیب بدلولو پرته ترسره کړئ. د دې کولو لپاره ، په جوړ شوي روټر کې د غوښتنې امنیت ipsecrekey کمانډ خپور کړئ. د مثال لپارهample، لاندې محصول ښیي چې سیمه ایز SA د 256 د امنیت پیرامیټر شاخص (SPI) لري:

یو ځانګړی کیلي د هر SPI سره تړاو لري. که دا کیلي موافقت شوې وي ، نو سمدلاسه نوې کیلي رامینځته کولو لپاره د غوښتنې امنیت ipsec-rekey کمانډ وکاروئ. دا کمانډ SPI زیاتوي. زموږ په پخوانیو کېample، SPI 257 ته بدلیږي او د دې سره تړلې کلیدي اوس کارول کیږي:

• وسیله # د امنیت ipsecrekey غوښتنه کوي
• وسیله # ipsec local-sa ښیې

وروسته له دې چې نوې کیلي رامینځته شي ، روټر سمدلاسه د DTLS یا TLS په کارولو سره د سیسکو SD-WAN کنټرولرانو ته لیږي. د سیسکو SD-WAN کنټرولر د پیر روټرونو ته کیلي لیږي. روټرونه د دې ترلاسه کولو سره سم کارول پیل کوي. په یاد ولرئ چې د زوړ SPI (256) سره تړلې کیلي به د لنډ وخت لپاره کارول کیږي تر هغه چې وخت پای ته ورسیږي. د زوړ کیلي سمدلاسه کارولو بندولو لپاره ، په چټکۍ سره د غوښتنې امنیت ipsec-rekey کمانډ دوه ځله صادر کړئ. د کمانډونو دا ترتیب دواړه SPI 256 او 257 لرې کوي او SPI 258 ته ټاکي. روټر بیا د SPI 258 پورې تړلي کیلي کاروي. په هرصورت، یادونه وکړئ چې ځینې کڅوړې به د لنډې مودې لپاره غورځول شي تر هغه چې ټول ریموټ روټر زده کړي. نوې کیلي.

د بیاکتنې ضد کړکۍ اندازه بدل کړئ

د IPsec تصدیق د ډیټا جریان کې هرې کڅوړې ته د ځانګړي ترتیب نمبر په ورکولو سره د بیا پلې ضد محافظت چمتو کوي. د دې ترتیب شمیره د برید کونکي څخه ساتي چې د ډیټا پاکټونو نقل کوي. د بیا پلی کولو ضد محافظت سره ، لیږونکی په واحد ډول د سلسلې شمیرې ډیریږي ، او منزل د نقلونو موندلو لپاره دا ترتیب شمیرې ګوري. ځکه چې پاکټونه اکثرا په ترتیب سره نه راځي، منزل د ترتیب شمیرو یوه سلیډینګ کړکۍ ساتي چې دا به یې ومني.

د ترتیب شمیرې سره کڅوړې چې د سلیډینګ کړکۍ سلسلې کیڼ اړخ ته راوتلي زاړه یا نقل ګڼل کیږي، او منزل یې غورځوي. منزل د ترلاسه شوي ترټولو لوړ ترتیب شمیره تعقیبوي، او د سلیډینګ کړکۍ تنظیموي کله چې دا د لوړ ارزښت سره پیکټ ترلاسه کوي.

د ډیفالټ په واسطه، د سلیډینګ کړکۍ 512 پیکټونو ته ټاکل شوې. دا د 64 او 4096 ترمنځ هر ارزښت ته ټاکل کیدی شي چې د 2 ځواک وي (یعنې 64، 128، 256، 512، 1024، 2048، یا 4096). د انټي ریپلې کړکۍ اندازه بدلولو لپاره، د ریپلې کړکۍ کمانډ وکاروئ، د کړکۍ اندازه مشخص کړئ:

وسیله(config)# امنیت ipsec بیا پلی کړکۍ شمیره

تشکیلات داسې ښکاري:
امنیت ipsec بیا پلې کړکۍ شمیره! !

د QoS سره د مرستې لپاره، د هرې اتو ټرافيکي چینلونو لپاره جلا جلا کړکۍ ساتل کیږي. د ترتیب شوي بیا پلی کولو کړکۍ اندازه د هر چینل لپاره په اتو ویشل شوې. که QoS په روټر کې تنظیم شوی وي ، نو دا روټر ممکن د IPsec ضد بیا پیل کولو میکانیزم په پایله کې د تمه شوي څخه د پیکټ ډراپونو لوی شمیر تجربه کړي ، او ډیری پاکټونه چې غورځول شوي قانوني دي. دا پیښیږي ځکه چې QoS پاکټونه بیا تنظیموي، د لوړ لومړیتوب پاکټونو ته ترجیحي درملنه ورکوي او د ټیټ لومړیتوب کڅوړې ځنډوي. د دې حالت د کمولو یا مخنیوي لپاره، تاسو کولی شئ لاندې کارونه ترسره کړئ:

• د ریپلی ضد کړکۍ اندازه زیاته کړئ.
• په لومړیو اتو ټرافيکي چینلونو کې انجنیري ترافیک ډاډ ترلاسه کړئ چې په یوه چینل کې ترافیک له سره تنظیم شوی نه وي.

د IKE فعال شوي IPsec تونلونه تنظیم کړئ
د پوښښ شبکې څخه د خدماتو شبکې ته په خوندي ډول ټرافيک لیږدولو لپاره، تاسو کولی شئ د IPsec تونلونه تنظیم کړئ چې د انټرنیټ کیلي ایکسچینج (IKE) پروتوکول چلوي. د IKE فعال شوي IPsec تونلونه تصدیق او کوډ کول چمتو کوي ترڅو د خوندي پاکټ ټرانسپورټ ډاډ ترلاسه کړي. تاسو د IPsec انٹرفیس تنظیم کولو سره د IKE فعال IPsec تونل رامینځته کوئ. IPsec انٹرفیسونه منطقي انٹرفیسونه دي، او تاسو یې د بل فزیکي انٹرفیس په څیر تنظیم کړئ. تاسو په IPsec انٹرفیس کې د IKE پروتوکول پیرامیټونه تنظیم کړئ ، او تاسو کولی شئ د انٹرفیس نور ملکیتونه تنظیم کړئ.

نوټ سیسکو د IKE نسخه 2 کارولو وړاندیز کوي. د Cisco SD-WAN 19.2.x خوشې کیدو څخه وروسته ، مخکې شریک شوی کیلي باید لږترلږه 16 بایټ اوږدوالی ولري. د IPsec تونل تاسیس ناکام کیږي که چیرې د کلیدي اندازه د 16 حروف څخه کم وي کله چې روټر 19.2 نسخه ته لوړ شي.

نوټ
د Cisco Catalyst SD-WAN سافټویر د IKE نسخه 2 ملاتړ کوي لکه څنګه چې په RFC 7296 کې تعریف شوی. د IPsec تونلونو لپاره یوه کارول د ویج کلاوډ روټر VM مثالونو ته اجازه ورکول دي چې په ایمیزون AWS کې روان وي ترڅو د ایمیزون مجازی شخصي کلاوډ (VPC) سره وصل شي. تاسو باید پدې راوټرونو کې د IKE نسخه 1 تنظیم کړئ. د سیسکو ویج وسیلې د IPSec ترتیب کې یوازې د روټ پراساس VPNs ملاتړ کوي ځکه چې دا وسایل نشي کولی د کوډ کولو ډومین کې ترافیک ټاکونکي تعریف کړي.

د IPsec تونل تنظیم کړئ
د خدماتو شبکې څخه د خوندي ټرانسپورټ ترافیک لپاره د IPsec تونل انٹرفیس تنظیم کولو لپاره ، تاسو یو منطقي IPsec انٹرفیس رامینځته کړئ:

تاسو کولی شئ د ټرانسپورټ VPN (VPN 0) او په هر خدمت VPN (VPN 1 څخه تر 65530 پورې IPsec تونل رامینځته کړئ ، پرته له 512). د IPsec انٹرفیس د ipsecnumber په شکل کې نوم لري، چیرې چې شمیره کیدای شي له 1 څخه تر 255 پورې وي. هر IPsec انٹرفیس باید د IPv4 پته ولري. دا پته باید د /30 مخکینۍ وي. په VPN کې ټول ټرافیک چې د دې IPv4 مخکینۍ دننه دی په VPN 0 کې فزیکي انٹرفیس ته لیږل کیږي ترڅو په خوندي ډول د IPsec تونل څخه واستول شي. په محلي وسیله کې د IPsec تونل سرچینه تنظیم کولو لپاره، تاسو کولی شئ د IP پته مشخص کړئ. فزیکي انٹرفیس (د تونل سرچینې کمانډ کې) یا د فزیکي انٹرفیس نوم (د تونل سرچینې-انټرفیس کمانډ کې). ډاډ ترلاسه کړئ چې فزیکي انٹرفیس په VPN 0 کې ترتیب شوی دی. د IPsec تونل د منزل د تنظیم کولو لپاره، د تونل - منزل کمانډ کې د لرې پرتو وسیلې IP پته مشخص کړئ. د سرچینې پته (یا د سرچینې انٹرفیس نوم) او د منزل پته ترکیب یو واحد IPsec تونل تعریفوي. یوازې یو IPsec تونل شتون لري چې د ځانګړي سرچینې پته (یا د انٹرفیس نوم) او د منزل پته جوړه کاروي.

د IPsec جامد لاره تنظیم کړئ

د ترانسپورت VPN (VPN 0) کې د خدماتو VPN څخه IPsec تونل ته د ترافیک مستقیم کولو لپاره ، تاسو په خدمت VPN کې د IPsec مشخص جامد لاره تنظیم کړئ (د VPN 0 یا VPN 512 پرته بل VPN):

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 انٹرفیس
• ipsecnumber [ipsecnumber2]

د VPN ID د هر خدمت VPN (VPN 1 څخه تر 65530 پورې، پرته له 512) څخه دی. prefix/length د IP پته یا مخفف دی، په لسیزه کې څلور برخې - نقطه شوي نوټیشن کې، او د IPsec ځانګړي جامد لارې مخکینۍ اوږدوالی. انٹرفیس په VPN 0 کې د IPsec تونل انٹرفیس دی. تاسو کولی شئ یو یا دوه IPsec تونل انٹرفیس تنظیم کړئ. که تاسو دوه تنظیم کړئ، لومړی لومړنی IPsec تونل دی، او دویم یې بیک اپ دی. د دوه انٹرفیسونو سره، ټول پاکټونه یوازې لومړني تونل ته لیږل کیږي. که دا تونل ناکام شي، ټول کڅوړې بیا ثانوي تونل ته لیږل کیږي. که لومړنی تونل بیرته راشي، ټول ټرافیک بیرته لومړني IPsec تونل ته لیږدول کیږي.

د IKE نسخه 1 فعال کړئ
کله چې تاسو په ویج روټر کې IPsec تونل رامینځته کوئ ، د IKE نسخه 1 د تونل انٹرفیس کې د ډیفالټ لخوا فعال شوی. لاندې ملکیتونه هم د IKEv1 لپاره د ډیفالټ لخوا فعال شوي:

• تصدیق او کوډ کول — د بشپړتیا لپاره د HMAC-SHA256 کلید-هیش پیغام تصدیق کولو کوډ الګوریتم سره AES-1 پرمختللي کوډ کولو معیاري CBC کوډ کول
• د ډیفي هیلمن ګروپ شمیره - 16
• د بیا پیل کولو وخت وقفه - 4 ساعته
• د SA تاسیس حالت - اصلي

په ډیفالټ ، IKEv1 د IKE SAs رامینځته کولو لپاره د IKE اصلي حالت کاروي. په دې حالت کې، د SA د جوړولو لپاره د خبرو اترو شپږ کڅوړې تبادله کیږي. یوازې د خبرو اترو درې کڅوړې تبادله کولو لپاره، د تیریدونکي حالت فعال کړئ:

نوټ
د مخکې شریک شوي کیلي سره د IKE تیریدونکي حالت باید هرچیرې چې امکان ولري مخنیوی وشي. که نه نو یو پیاوړی مخکې شریک شوی کیلي باید غوره شي.

• vEdge(config)# vpn vpn-id انٹرفیس ipsec شمیره ike
• vEdge(config-ike)# حالت تیریدونکی

په ډیفالټ ډول، IKEv1 د IKE کلیدي تبادلې کې د Diffie-Hellman ګروپ 16 کاروي. دا ګروپ د IKE کلیدي تبادلې په جریان کې د 4096-bit ډیر ماډلر اکسپونیشل (MODP) ګروپ کاروي. تاسو کولی شئ د ګروپ شمیره 2 ته بدل کړئ (د 1024-bit MODP لپاره)، 14 (2048-bit MODP)، یا 15 (3072-bit MODP):

• vEdge(config)# vpn vpn-id انٹرفیس ipsec شمیره ike
• vEdge(config-ike) # ګروپ شمیره

په ډیفالټ ډول، د IKE کلیدي تبادله د بشپړتیا لپاره د HMAC-SHA256 کلید-هیش پیغام تصدیق کولو کوډ الګوریتم سره د AES-1 پرمختللي کوډ کولو معیاري CBC کوډ کول کاروي. تاسو کولی شئ تصدیق بدل کړئ:

• vEdge(config)# vpn vpn-id انٹرفیس ipsec شمیره ike
• vEdge(config-ike)# cipher-suite suite

د تصدیق سویټ کولی شي له لاندې څخه یو وي:

• aes128-cbc-sha1—AES-128 پرمختللي کوډ کولو معیاري CBC کوډ کول د بشپړتیا لپاره د HMAC-SHA1 کلید-هیش پیغام تصدیق کولو کوډ الګوریتم سره
• aes128-cbc-sha2—AES-128 پرمختللي کوډ کولو معیاري CBC کوډ کول د بشپړتیا لپاره د HMAC-SHA256 کلید-هیش پیغام تصدیق کولو کوډ الګوریتم سره
• aes256-cbc-sha1—AES-256 د بشپړتیا لپاره د HMAC-SHA1 کلید-هیش پیغام تصدیق کولو کوډ الګوریتم سره د پرمختللي کوډ کولو معیاري CBC کوډ کول؛ دا ډیفالټ دی.
• aes256-cbc-sha2—AES-256 پرمختللي کوډ کولو معیاري CBC کوډ کول د بشپړتیا لپاره د HMAC-SHA256 کلید-هیش پیغام تصدیق کولو کوډ الګوریتم سره

په ډیفالټ ډول، د IKE کیلي په هر 1 ساعت (3600 ثانیو) کې تازه کیږي. تاسو کولی شئ د بیا پیل کولو وقفه د 30 ثانیو څخه تر 14 ورځو (1209600 ثانیو) ارزښت ته بدل کړئ. دا سپارښتنه کیږي چې د بیا پیل کولو وقفه لږترلږه 1 ساعت وي.

• vEdge(config)# vpn vpn-id انٹرفیس ipsec شمیره
• vEdge(config-ike)# rekey ثانیې

د IKE ناستې لپاره د نویو کیليونو تولید مجبورولو لپاره ، د ipsec ike-rekey کمانډ غوښتنه وکړئ.

• vEdge(config)# vpn vpn-id interfaceipsec شمیره ike

د IKE لپاره، تاسو کولی شئ د مخکینۍ کیلي (PSK) تصدیق هم تنظیم کړئ:

• vEdge(config)# vpn vpn-id انٹرفیس ipsec شمیره ike
• vEdge(config-ike)# د تصدیق ډول ډول پری-شریک کیلي پری-شریک شوي پټ پټنوم پاسورډ هغه پټنوم دی چې د پریشیر شوي کیلي سره کارول کیږي. دا کیدای شي د ASCII یا هیکساډیسیمل تار وي چې د 1 څخه تر 127 حروف پورې اوږد وي.

که چیرې د لرې پرتو IKE ملګری ځایی یا ریموټ ID ته اړتیا ولري ، تاسو کولی شئ دا پیژندونکی تنظیم کړئ:

• vEdge(config)# vpn vpn-id انٹرفیس ipsec شمیره لکه د تصدیق ډول
• vEdge(config-authentication-type)# ځايي-id id
• vEdge(config-authentication-type)# remote-id id

پیژندونکی کیدای شي د IP پته یا کوم متن تار وي چې له 1 څخه تر 63 حروف پورې اوږد وي. په ډیفالټ کې، محلي ID د تونل سرچینه IP پته ده او د لرې پرتو ID د تونل د منزل IP پته ده.

د IKE نسخه 2 فعال کړئ
کله چې تاسو د IKE نسخه 2 کارولو لپاره IPsec تونل تنظیم کړئ ، لاندې ملکیتونه هم د IKEv2 لپاره د ډیفالټ لخوا فعال شوي:

• تصدیق او کوډ کول — د بشپړتیا لپاره د HMAC-SHA256 کلید-هیش پیغام تصدیق کولو کوډ الګوریتم سره AES-1 پرمختللي کوډ کولو معیاري CBC کوډ کول
• د ډیفي هیلمن ګروپ شمیره - 16
• د بیا پیل کولو وخت وقفه - 4 ساعته

په ډیفالټ ډول، IKEv2 د IKE کلیدي تبادلې کې د Diffie-Hellman ګروپ 16 کاروي. دا ګروپ د IKE کلیدي تبادلې په جریان کې د 4096-bit ډیر ماډلر اکسپونیشل (MODP) ګروپ کاروي. تاسو کولی شئ د ګروپ شمیره 2 ته بدل کړئ (د 1024-bit MODP لپاره)، 14 (2048-bit MODP)، یا 15 (3072-bit MODP):

• vEdge(config)# vpn vpn-id انٹرفیس ipsecnumber ike
• vEdge(config-ike) # ګروپ شمیره

په ډیفالټ ډول، د IKE کلیدي تبادله د بشپړتیا لپاره د HMAC-SHA256 کلید-هیش پیغام تصدیق کولو کوډ الګوریتم سره د AES-1 پرمختللي کوډ کولو معیاري CBC کوډ کول کاروي. تاسو کولی شئ تصدیق بدل کړئ:

• vEdge(config)# vpn vpn-id انٹرفیس ipsecnumber ike
• vEdge(config-ike)# cipher-suite suite

د تصدیق سویټ کولی شي له لاندې څخه یو وي:

• aes128-cbc-sha1—AES-128 پرمختللي کوډ کولو معیاري CBC کوډ کول د بشپړتیا لپاره د HMAC-SHA1 کلید-هیش پیغام تصدیق کولو کوډ الګوریتم سره
• aes128-cbc-sha2—AES-128 پرمختللي کوډ کولو معیاري CBC کوډ کول د بشپړتیا لپاره د HMAC-SHA256 کلید-هیش پیغام تصدیق کولو کوډ الګوریتم سره
• aes256-cbc-sha1—AES-256 د بشپړتیا لپاره د HMAC-SHA1 کلید-هیش پیغام تصدیق کولو کوډ الګوریتم سره د پرمختللي کوډ کولو معیاري CBC کوډ کول؛ دا ډیفالټ دی.
• aes256-cbc-sha2—AES-256 پرمختللي کوډ کولو معیاري CBC کوډ کول د بشپړتیا لپاره د HMAC-SHA256 کلید-هیش پیغام تصدیق کولو کوډ الګوریتم سره

په ډیفالټ ډول، د IKE کیلي په هرو 4 ساعتونو کې تازه کیږي (14,400 ثانیې). تاسو کولی شئ د بیاکتنې وقفه له 30 ثانیو څخه تر 14 ورځو پورې (1209600 ثانیو) ارزښت ته بدل کړئ:

• vEdge(config)# vpn vpn-id انٹرفیس ipsecnumber ike
• vEdge(config-ike)# rekey ثانیې

د IKE ناستې لپاره د نویو کیليونو تولید مجبورولو لپاره ، د ipsec ike-rekey کمانډ غوښتنه وکړئ. د IKE لپاره، تاسو کولی شئ د مخکینۍ کیلي (PSK) تصدیق هم تنظیم کړئ:

• vEdge(config)# vpn vpn-id انٹرفیس ipsecnumber ike
• vEdge(config-ike)# د تصدیق ډول ډول پری-شریک کیلي پری-شریک شوي پټ پټنوم پاسورډ هغه پټنوم دی چې د پریشیر شوي کیلي سره کارول کیږي. دا کیدای شي ASCII یا د هیکساډیسیمل تار وي، یا دا د AES- کوډ شوی کیلي وي. که چیرې د لرې پرتو IKE ملګری ځایی یا ریموټ ID ته اړتیا ولري ، تاسو کولی شئ دا پیژندونکی تنظیم کړئ:
• vEdge(config)# vpn vpn-id انٹرفیس ipsecnumber ike د تصدیق ډول
• vEdge(config-authentication-type)# ځايي-id id
• vEdge(config-authentication-type)# remote-id id

پیژندونکی کیدای شي د IP پته یا کوم متن تار وي چې له 1 څخه تر 64 حروف پورې اوږد وي. په ډیفالټ کې، محلي ID د تونل سرچینه IP پته ده او د لرې پرتو ID د تونل د منزل IP پته ده.

د IPsec تونل پیرامیټونه تنظیم کړئ

جدول 4: د فیچر تاریخ

فیچر نوم	د معلوماتو خپرول	تفصیل
اضافي کریپټوګرافیک	د سیسکو SD-WAN خپرول 20.1.1	دا ځانګړتیا د دې لپاره ملاتړ زیاتوي
د IPSec لپاره الګوریتمیک ملاتړ		HMAC_SHA256، HMAC_SHA384، او
تونلونه		لپاره HMAC_SHA512 الګوریتم
		ښه امنیت.

په ډیفالټ کې، لاندې پیرامیټونه په IPsec تونل کې کارول کیږي چې د IKE ترافیک لیږدوي:

• تصدیق او کوډ کول — AES-256 الګوریتم په GCM کې (ګالوس / کاونټر حالت)
• د بیا پیل کولو وقفه - 4 ساعته
• بیا پلی کړکۍ - 32 کڅوړې

تاسو کولی شئ د IPsec تونل کې کوډ کول په CBC کې AES-256 سایفر ته بدل کړئ (د سیفر بلاک چینینګ حالت، د HMAC سره د SHA-1 یا SHA-2 کلید-هیش پیغام تصدیق کولو په کارولو سره یا د SHA-1 په کارولو سره د HMAC سره null کړئ یا د SHA-2 keyed-hash پیغام تصدیق، د IPsec تونل نه کوډ کولو لپاره چې د IKE کلیدي تبادلې ترافیک لپاره کارول کیږي:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | | aes256-null-sha256 | aes256-null-sha384)

په ډیفالټ ډول، د IKE کیلي په هرو 4 ساعتونو کې تازه کیږي (14,400 ثانیې). تاسو کولی شئ د بیاکتنې وقفه له 30 ثانیو څخه تر 14 ورځو پورې (1209600 ثانیو) ارزښت ته بدل کړئ:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# ریکی ثانیې

د IPsec تونل لپاره د نویو کیليونو تولید مجبورولو لپاره، د ipsec ipsec-rekey کمانډ غوښتنه وکړئ. په ډیفالټ کې، د کامل فارورډ محرمیت (PFS) په IPsec تونلونو کې فعال شوی، ترڅو ډاډ ترلاسه شي چې تیرې ناستې اغیزمنې شوي نه وي که راتلونکي کیلي سره موافقت وشي. PFS د 4096-bit Diffie-Hellman پریم ماډل ګروپ په کارولو سره د ډیفالټ په واسطه د نوي ډیفي - هیلمن کلیدي تبادله مجبوروي. تاسو کولی شئ د PFS ترتیب بدل کړئ:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# کامل-فارورډ-سیکریسی pfs-سیټینګ

pfs-setting له لاندې څخه یو کیدی شي:

• ګروپ-2 — د 1024-bit Diffie-Hellman پرائم موډولس ګروپ وکاروئ.
• ګروپ-14 — د 2048-bit Diffie-Hellman پرائم موډولس ګروپ وکاروئ.
• ګروپ-15 — د 3072-bit Diffie-Hellman پرائم موډولس ګروپ وکاروئ.
• ګروپ-16—د 4096-bit Diffie-Hellman پرائم موډولس ګروپ وکاروئ. دا ډیفالټ دی.
• هیڅ نه - PFS غیر فعال کړئ.

په ډیفالټ ډول ، د IPsec تونل کې د IPsec بیا پیل کړکۍ 512 بایټس دی. تاسو کولی شئ د بیا پلی کولو کړکۍ اندازه 64، 128، 256، 512، 1024، 2048، یا 4096 پیکټونو ته وټاکئ:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# د بیا پلی کولو کړکۍ شمیره

د IKE Dead-peer Detection تعدیل کړئ

IKE د مړ شوي ملګري کشف میکانیزم کاروي ترڅو معلومه کړي چې ایا د IKE پیر سره اړیکه فعاله او د لاسرسي وړ ده. د دې میکانیزم پلي کولو لپاره، IKE خپل ملګري ته د هیلو پاکټ لیږي، او ملګری په ځواب کې یو اعتراف لیږي. د ډیفالټ له مخې، IKE په هرو 10 ثانیو کې د هیلو پاکټونه لیږي، او د دریو نه منل شوي پاکټونو وروسته، IKE ګاونډی مړ اعلانوي او ملګري ته تونل ماتوي. بیا وروسته، IKE په دوره توګه ملګري ته د هیلو پاکټ لیږي، او تونل بیا تاسیس کوي کله چې ملګری بیرته آنلاین راشي. تاسو کولی شئ د ژوند موندنې وقفه له 0 څخه تر 65535 پورې ارزښت ته بدل کړئ، او تاسو کولی شئ د بیاکتنې شمیر له 0 څخه تر 255 پورې ارزښت ته بدل کړئ.

نوټ

د ترانسپورت VPNs لپاره، د ژوند موندنې وقفه د لاندې فورمول په کارولو سره ثانیو ته بدلیږي: د بیا لیږد هڅې لپاره وقفه N = وقفه * 1.8N-1 د پخوا لپارهample، که وقفه 10 ته ټاکل شوې وي او 5 ته بیا هڅه وکړي، د کشف وقفه په لاندې ډول زیاتیږي:

• 1 هڅه: 10 * 1.81-1 = 10 ثانیې
• هڅه 2: 10 * 1.82-1 = 18 ثانیې
• هڅه 3: 10 * 1.83-1 = 32.4 ثانیې
• هڅه 4: 10 * 1.84-1 = 58.32 ثانیې
• هڅه 5: 10 * 1.85-1 = 104.976 ثانیې

vEdge(config-interface-ipsecnumber)# مړ-پییر-د کشف وقفه بیا تکرار شمیره

د نورو انٹرفیس ملکیتونه تنظیم کړئ

د IPsec تونل انٹرفیسونو لپاره ، تاسو کولی شئ یوازې لاندې اضافي انٹرفیس ملکیتونه تنظیم کړئ:

• vEdge(config-interface-ipsec)# mtu بایټ
• vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

په سیسکو SD-WAN مدیر کې ضعیف SSH کوډ کولو الګوریتم غیر فعال کړئ

جدول 5: د فیچر تاریخ جدول

فیچر نوم	د معلوماتو خپرول	فیچر تفصیل
په سیسکو SD-WAN مدیر کې ضعیف SSH کوډ کولو الګوریتم غیر فعال کړئ	د سیسکو vManage خوشې کول 20.9.1	دا فیچر تاسو ته اجازه درکوي چې په سیسکو SD-WAN مدیر کې ضعیف SSH الګوریتمونه غیر فعال کړئ چې ممکن د ځینې ډیټا امنیت معیارونو سره مطابقت ونلري.

په سیسکو SD-WAN مدیر کې د ضعیف SSH کوډ کولو الګوریتمونو غیر فعال کولو په اړه معلومات
د سیسکو SD-WAN مدیر په شبکه کې د اجزاو سره د اړیکو لپاره د SSH پیرودونکی چمتو کوي ، پشمول د کنټرولر او څنډې وسیلو. د SSH پیرودونکي د خوندي ډیټا لیږد لپاره کوډ شوی پیوستون چمتو کوي ، د مختلف کوډ کولو الګوریتمونو پراساس. ډیری سازمانونه د SHA-1، AES-128، او AES-192 لخوا چمتو شوي په پرتله قوي کوډ کولو ته اړتیا لري. د Cisco vManage Release 20.9.1 څخه، تاسو کولی شئ لاندې ضعیف کوډ کولو الګوریتمونه غیر فعال کړئ ترڅو د SSH پیرودونکي دا الګوریتمونه ونه کاروي:

• SHA-1
• AES-128
• AES-192

د دې کوډ کولو الګوریتمونو غیر فعال کولو دمخه، ډاډ ترلاسه کړئ چې د Cisco vEdge وسایل، که کوم وي، په شبکه کې، د Cisco SD-WAN ریلیز 18.4.6 څخه وروسته د سافټویر خوشې کولو څخه کار اخلي.

په سیسکو SD-WAN مدیر کې د ضعیف SSH کوډ کولو الګوریتمونو غیر فعال کولو ګټې
د کمزوري SSH کوډ کولو الګوریتمونو غیر فعال کول د SSH مخابراتو امنیت ته وده ورکوي، او ډاډ ترلاسه کوي چې هغه سازمانونه چې د Cisco Catalyst SD-WAN کاروي د سخت امنیتي مقرراتو سره مطابقت لري.

د CLI په کارولو سره د سیسکو SD-WAN مدیر کې ضعیف SSH کوډ کولو الګوریتم غیر فعال کړئ

1. د سیسکو SD-WAN مدیر مینو څخه، اوزار > SSH ټرمینل غوره کړئ.
2. د سیسکو SD-WAN مدیر وسیله غوره کړئ په کوم کې چې تاسو غواړئ ضعیف SSH الګوریتم غیر فعال کړئ.
3. وسیله ته د ننوتلو لپاره کارن نوم او پټنوم دننه کړئ.
4. د SSH سرور حالت ته ننوځئ.
   • vmanage(config)# سیسټم
   • vmanage(config-system)# ssh-server
5. د SSH کوډ کولو الګوریتم غیر فعالولو لپاره لاندې څخه یو وکړئ:
   • SHA-1 غیر فعال کړئ:
6. اداره کول(config-ssh-server)# no kex-algo sha1
7. اداره کول(config-ssh-server)# ژمنه
   لاندې خبرتیا پیغام ښودل شوی: لاندې اخطارونه رامینځته شوي: 'system ssh-server kex-algo sha1': خبرداری: مهرباني وکړئ ډاډ ترلاسه کړئ چې ستاسو ټولې څنډې د کوډ نسخه چلوي> 18.4.6 چې د vManage سره د SHA1 په پرتله ښه خبرې کوي. که نه نو دا څنډې ممکن آفلاین شي. پرمخ وړئ؟ [هو، نه] هو
   • ډاډ ترلاسه کړئ چې په شبکه کې د Cisco vEdge وسیلې د Cisco SD-WAN ریلیز 18.4.6 یا وروسته پرمخ ځي او هو داخل کړئ.
   • AES-128 او AES-192 غیر فعال کړئ:
   • vmanage(config-ssh-server)# no cipher aes-128-192
   • vmanage(config-ssh-server)# ژمنه
     لاندې خبرتیا پیغام ښودل شوی:
     لاندې اخطارونه رامینځته شوي:
     'system ssh-server cipher aes-128-192': خبرداری: مهرباني وکړئ ډاډ ترلاسه کړئ چې ستاسو ټولې څنډې د کوډ نسخه چلوي> 18.4.6 کوم چې د VManage سره د AES-128-192 څخه ښه خبرې کوي. که نه نو دا څنډې ممکن آفلاین شي. پرمخ ځي؟ [هو، نه] هو
   • ډاډ ترلاسه کړئ چې په شبکه کې د Cisco vEdge وسیلې د Cisco SD-WAN ریلیز 18.4.6 یا وروسته پرمخ ځي او هو داخل کړئ.

تایید کړئ چې د CLI په کارولو سره د سیسکو SD-WAN مدیر کې ضعیف SSH کوډ کولو الګوریتمونه غیر فعال شوي

1. د سیسکو SD-WAN مدیر مینو څخه، اوزار > SSH ټرمینل غوره کړئ.
2. د سیسکو SD-WAN مدیر وسیله غوره کړئ چې تاسو یې تایید کول غواړئ.
3. وسیله ته د ننوتلو لپاره کارن نوم او پټنوم دننه کړئ.
4. لاندې کمانډ چل کړئ: د چلولو-config سیسټم ssh-server وښایاست
5. تایید کړئ چې محصول یو یا څو کمانډونه ښیې چې د ضعیف کوډ کولو الګوریتم غیر فعالوي:
   • no cipher aes-128-192
   • هیڅ کیکس-الګو sha1 نشته

اسناد / سرچینې

CISCO SD-WAN د امنیت پیرامیټونه تنظیموي [pdf] د کارونکي لارښود SD-WAN د امنیت پیرامیټونه تنظیم کړئ، SD-WAN، د امنیت پیرامیټونه تنظیم کړئ، امنیتي پیرامیټونه

حوالې

• د کارن لارښود