CISCO SD-WAN سيڪيورٽي پيٽرولر کي ترتيب ڏيو

سيڪيورٽي پيٽرولر کي ترتيب ڏيو

نوٽ

سادگي ۽ استحڪام حاصل ڪرڻ لاء، Cisco SD-WAN حل کي Cisco Catalyst SD-WAN طور تبديل ڪيو ويو آھي. ان کان علاوه، Cisco IOS XE SD-WAN Release 17.12.1a ۽ Cisco Catalyst SD-WAN Release 20.12.1 کان، ھيٺيون جزي تبديليون لاڳو آھن: Cisco vManage to Cisco Catalyst SD-WAN مئنيجر، Cisco vAnalytics to Catalyst-Cisco تجزياتي، Cisco vBond to Cisco Catalyst SD-WAN Validator، ۽ Cisco vSmart کان Cisco Catalyst SD-WAN ڪنٽرولر. ڏسو تازو رليز نوٽس سڀني اجزاء جي برانڊ نالو تبديلين جي هڪ جامع فهرست لاءِ. جڏهن ته اسان نئين نالن ڏانهن منتقلي ڪريون ٿا، سافٽ ويئر پراڊڪٽ جي يوزر انٽرفيس اپڊيٽس جي مرحليوار طريقي جي ڪري دستاويزن جي سيٽ ۾ ڪجهه تضاد موجود هوندا.

هي سيڪشن بيان ڪري ٿو ته ڪيئن سِسکو ڪيٽيلسٽ SD-WAN اوورلي نيٽ ورڪ ۾ ڪنٽرول جهاز ۽ ڊيٽا جهاز لاءِ حفاظتي پيٽرول ڪيئن بدلجي.

• ڪنٽرول جهاز سيڪيورٽي پيٽرولر کي ترتيب ڏيو، تي
• ڊيٽا جهاز سيڪيورٽي پيٽرولر کي ترتيب ڏيو، تي
• IKE-فعال IPsec سرنگون ترتيب ڏيو، آن
• Cisco SD-WAN مئنيجر تي ڪمزور SSH انڪرپشن الگورتھم کي بند ڪريو، آن

ڪنٽرول جهاز سيڪيورٽي پيٽرولر کي ترتيب ڏيو

ڊفالٽ طور، ڪنٽرول جهاز DTLS کي پروٽوڪول طور استعمال ڪري ٿو جيڪو پنهنجي سڀني سرنگن تي رازداري مهيا ڪري ٿو. DTLS UDP تي هلندو آهي. توھان تبديل ڪري سگھو ٿا ڪنٽرول جهاز سيڪيورٽي پروٽوڪول کي TLS ۾، جيڪو TCP مٿان ھلندو آھي. TLS استعمال ڪرڻ جو بنيادي سبب اهو آهي ته، جيڪڏهن توهان Cisco SD-WAN ڪنٽرولر کي سرور سمجهو ٿا، فائر والز TCP سرورز کي UDP سرورز کان بهتر تحفظ ڏين ٿا. توهان هڪ Cisco SD-WAN ڪنٽرولر تي ڪنٽرول جهاز سرنگ پروٽوڪول کي ترتيب ڏيو: vSmart(config)# سيڪيورٽي ڪنٽرول پروٽوڪول tls هن تبديلي سان، سڀني ڪنٽرول جهاز سرنگن جي وچ ۾ Cisco SD-WAN ڪنٽرولر ۽ رستن جي وچ ۾ ۽ Cisco SD-WAN ڪنٽرولر جي وچ ۾. ۽ Cisco SD-WAN مئنيجر TLS استعمال ڪن ٿا. ڪنٽرول جهاز سرنگن کي Cisco Catalyst SD-WAN Validator هميشه DTLS استعمال ڪن ٿا، ڇاڪاڻ ته اهي ڪنيڪشن UDP ذريعي سنڀالڻ گهرجن. هڪ ڊومين ۾ ڪيترن ئي Cisco SD-WAN ڪنٽرولرز سان، جڏهن توهان TLS کي ترتيب ڏيو ٿا Cisco SD-WAN ڪنٽرولرز مان هڪ تي، سڀئي ڪنٽرول جهاز سرنگون ان ڪنٽرولر کان ٻين ڪنٽرولرز تائين TLS استعمال ڪن ٿيون. ٻيو طريقو چيو، TLS هميشه DTLS تي ترجيح ڏئي ٿو. تنهن هوندي، ٻين Cisco SD-WAN ڪنٽرولرز جي نقطه نظر کان، جيڪڏهن توهان انهن تي TLS ترتيب نه ڏني آهي، اهي صرف هڪ Cisco SD-WAN ڪنٽرولر تي ڪنٽرول جهاز سرنگ تي TLS استعمال ڪندا آهن، ۽ اهي DTLS سرنگون استعمال ڪندا آهن ٻين سڀني لاءِ. Cisco SD-WAN ڪنٽرولرز ۽ انهن جي سڀني ڳنڍيل رستن تي. سڀني Cisco SD-WAN ڪنٽرولرز کي TLS استعمال ڪرڻ لاء، ان کي سڀني تي ترتيب ڏيو. ڊفالٽ طور، Cisco SD-WAN ڪنٽرولر ٻڌي ٿو پورٽ 23456 تي TLS درخواستن لاءِ. هن کي تبديل ڪرڻ لاءِ: vSmart(config)# security control tls-port number بندرگاهه نمبر 1025 کان 65535 تائين ٿي سگهي ٿو. ڪنٽرول جهاز جي حفاظت جي معلومات کي ڏيکارڻ لاءِ، استعمال ڪريو شو ڪنٽرول ڪنيڪشن ڪمانڊ Cisco SD-WAN ڪنٽرولر تي. مثال طورample: vSmart-2# ڏيکاريو ڪنٽرول ڪنيڪشن

سسکو SD-WAN مئنيجر ۾ DTLS ترتيب ڏيو

جيڪڏهن توهان Cisco SD-WAN مئنيجر کي TLS کي ڪنٽرول جهاز سيڪيورٽي پروٽوڪول طور استعمال ڪرڻ لاءِ ترتيب ڏيو ٿا، توهان کي پنهنجي NAT تي پورٽ فارورڊنگ کي فعال ڪرڻ گهرجي. جيڪڏهن توهان DTLS استعمال ڪري رهيا آهيو جيئن ڪنٽرول جهاز سيڪيورٽي پروٽوڪول، توهان کي ڪجهه ڪرڻ جي ضرورت ناهي. فارورڊ ڪيل بندرگاهن جو تعداد سسڪو SD-WAN مئنيجر تي هلندڙ ويڊيمون عملن جي تعداد تي منحصر آهي. انهن عملن جي باري ۾ معلومات ظاهر ڪرڻ لاءِ ۽ بندرگاهن جو تعداد جيڪي اڳتي وڌيا وڃن ٿا، استعمال ڪريو شو ڪنٽرول سمري ڪمانڊ ڏيکاري ٿو ته چار ڊيمون عمل هلندڙ آهن:

ٻڌندڙ بندرگاهن کي ڏسڻ لاءِ، شو ڪنٽرول لوڪل پراپرٽيز ڪمانڊ استعمال ڪريو: vManage# show control local-properties

ھي ٻاھر ڏيکاري ٿو ته ٻڌڻ وارو TCP پورٽ 23456 آھي. جيڪڏھن توھان ھلائي رھيا آھيو Cisco SD-WAN مئنيجر ھڪڙي NAT جي پويان، توھان کي ھيٺيون بندرگاھ کولڻ گھرجي NAT ڊوائيس تي:

• 23456 (بنيادي - مثال 0 پورٽ)
• 23456 + 100 (بنيادي + 100)
• 23456 + 200 (بنيادي + 200)
• 23456 + 300 (بنيادي + 300)

نوٽ ڪريو ته مثالن جو تعداد ساڳيو آھي cores جو تعداد جيڪو توھان مقرر ڪيو آھي Cisco SD-WAN مئنيجر لاءِ، وڌ ۾ وڌ 8 تائين.

سيڪيورٽي فيچر ٽيمپليٽ استعمال ڪندي سيڪيورٽي پيٽرولر کي ترتيب ڏيو

سڀني Cisco vEdge ڊوائيسز لاءِ سيڪيورٽي فيچر ٽيمپليٽ استعمال ڪريو. ڪناري جي رستن تي ۽ Cisco SD-WAN Validator تي، هن ٽيمپليٽ کي استعمال ڪريو IPsec ترتيب ڏيڻ لاءِ ڊيٽا جهاز جي حفاظت لاءِ. Cisco SD-WAN مئنيجر ۽ Cisco SD-WAN ڪنٽرولر تي، حفاظتي خصوصيت ٽيمپليٽ استعمال ڪريو DTLS يا TLS کي ڪنٽرول جهاز جي سيڪيورٽي لاءِ ترتيب ڏيڻ لاءِ.

سيڪيورٽي پيٽرولر کي ترتيب ڏيو

1. Cisco SD-WAN مئنيجر مينيو مان، چونڊيو ڪنفگريشن > ٽيمپليٽ.
2. Feature Templates تي ڪلڪ ڪريو ۽ پوءِ Add Template تي ڪلڪ ڪريو.
   نوٽ Cisco vManage Release 20.7.1 ۽ اڳوڻي رليز ۾، فيچر ٽيمپليٽس کي فيچر چئبو آھي.
3. کاٻي پاسي ۾ ڊوائيسز جي فهرست مان، هڪ ڊوائيس چونڊيو. منتخب ٿيل ڊوائيس تي لاڳو ٿيل ٽيمپليٽ ساڄي پين ۾ ظاهر ٿيندا.
4. ڪلڪ سيڪيورٽي ٽيمپليٽ کولڻ لاء.
5. ۾ ٽيمپليٽ جو نالو ميدان, داخل ڪريو هڪ نالي سان ٽيمپليٽ لاء. نالو 128 اکرن تائين ٿي سگھي ٿو ۽ صرف الفانمري اکر تي مشتمل ٿي سگھي ٿو.
6. ۾ سانچو وضاحت جي ميدان ۾، داخل ڪريو ٽيمپليٽ جي وضاحت. وضاحت 2048 اکرن تائين ٿي سگھي ٿي ۽ صرف الفانمري اکر تي مشتمل ٿي سگھي ٿي.

جڏهن توهان پهريون ڀيرو هڪ خصوصيت ٽيمپليٽ کوليو، هر پيٽرولر لاء جيڪو ڊفالٽ قدر آهي، دائرو مقرر ڪيو ويو آهي ڊفالٽ (چڪ مارڪ طرفان اشارو ڪيو ويو آهي)، ۽ ڊفالٽ سيٽنگ يا قيمت ڏيکاريل آهي. ڊفالٽ کي تبديل ڪرڻ يا قدر داخل ڪرڻ لاءِ، ڪلڪ ڪريو اسڪوپ ڊراپ-ڊائون مينيو جي کاٻي پاسي پيراميٽر فيلڊ ۽ ھيٺين مان ھڪڙو چونڊيو:

جدول 1:

پيرا ميٽر دائرو

دائري جي وضاحت

ڊوائيس مخصوص (هڪ ميزبان آئڪن طرفان اشارو ڪيو ويو آهي)

پيراميٽر لاءِ ڊيوائس-مخصوص قدر استعمال ڪريو. ڊوائيس جي مخصوص پيٽرولن لاء، توهان خصوصيت ٽيمپليٽ ۾ قيمت داخل نٿا ڪري سگهو. توهان قيمت داخل ڪريو جڏهن توهان هڪ وپيٽلا ڊيوائس کي هڪ ڊوائيس ٽيمپليٽ سان ڳنڍيو. جڏھن توھان ڪلڪ ڪريو Device Specific، Enter Key باڪس کلي ٿو. هي باڪس هڪ ڪنجي ڏيکاري ٿو، جيڪو هڪ منفرد اسٽرنگ آهي جيڪو CSV ۾ پيٽرول جي سڃاڻپ ڪري ٿو file جيڪو توهان ٺاهيو. هي file هڪ ايڪسل اسپريڊ شيٽ آهي جنهن ۾ هر ڪنجي لاءِ هڪ ڪالم هوندو آهي. هيڊر قطار ۾ اهم نالا شامل آهن (هڪ ڪالم في ڪالم)، ۽ ان کان پوء هر قطار هڪ ڊوائيس سان ملندو آهي ۽ انهي ڊوائيس لاء ڪنجين جي قيمت کي بيان ڪري ٿو. توهان CSV اپ لوڊ ڪريو file جڏهن توهان وائپيلا ڊيوائس کي ڊيوائس ٽيمپليٽ سان ڳنڍيندا آهيو. وڌيڪ معلومات لاءِ، ڏسو Create a Template Variables Spreadsheet. ڊفالٽ ڪيئي کي تبديل ڪرڻ لاءِ، نئين اسٽرنگ ٽائيپ ڪريو ۽ ڪرسر کي Enter Key باڪس مان ٻاهر ڪڍو. Exampڊيوائس-مخصوص پيٽرولر جا سسٽم IP پتو، ميزبان نالو، GPS مقام، ۽ سائيٽ جي سڃاڻپ آهن.

پيرا ميٽر دائرو	دائري جي وضاحت
گلوبل (گلوب آئڪن پاران اشارو ڪيو ويو)	پيراميٽر لاءِ قدر داخل ڪريو، ۽ ان قيمت کي سڀني ڊوائيسز تي لاڳو ڪريو. Examples of parameters جيڪي توھان عالمي طور تي ڊوائيسز جي ھڪڙي گروپ تي لاڳو ڪري سگھو ٿا DNS سرور، syslog سرور، ۽ انٽرفيس MTUs.

ڪنٽرول جهاز سيڪيورٽي کي ترتيب ڏيو

نوٽ
Configure Control Plane Security Section صرف Cisco SD-WAN مئنيجر ۽ Cisco SD-WAN ڪنٽرولر تي لاڳو ٿئي ٿو. Cisco SD-WAN مئنيجر مثال يا Cisco SD-WAN ڪنٽرولر تي ڪنٽرول جهاز ڪنيڪشن پروٽوڪول کي ترتيب ڏيڻ لاءِ، بنيادي ترتيب واري علائقي کي چونڊيو. ۽ ھيٺ ڏنل پيراگرافن کي ترتيب ڏيو:

جدول 2:

پيرا ميٽر نالو	وصف
پروٽوڪول	سسڪو SD-WAN ڪنٽرولر کي ڪنٽرول جهاز ڪنيڪشن تي استعمال ڪرڻ لاءِ پروٽوڪول چونڊيو: • DTLS (Datagرام ٽرانسپورٽ پرت سيڪيورٽي). هي ڊفالٽ آهي. • TLS (ٽرانسپورٽ پرت سيڪيورٽي)
ڪنٽرول TLS پورٽ	جيڪڏهن توهان TLS چونڊيو ٿا، استعمال ڪرڻ لاءِ پورٽ نمبر ترتيب ڏيو:حد: 1025 کان 65535 تائينڊفالٽ: 23456

ڪلڪ محفوظ ڪريو

ڊيٽا جهاز سيڪيورٽي کي ترتيب ڏيو
سسڪو SD-WAN Validator يا Cisco vEdge روٽر تي ڊيٽا جي جهاز جي سيڪيورٽي کي ترتيب ڏيڻ لاءِ، بنيادي ترتيب ۽ تصديق جي قسم جي ٽيب کي چونڊيو، ۽ ھيٺين پيرا ميٽرن کي ترتيب ڏيو:

جدول 3:

پيرا ميٽر نالو	وصف
ريڪي جو وقت	بيان ڪيو ته ڪيترا ڀيرا هڪ Cisco vEdge روٽر پنهنجي محفوظ DTLS ڪنيڪشن تي استعمال ٿيندڙ AES ڪيئي کي Cisco SD-WAN ڪنٽرولر کي تبديل ڪري ٿو. جيڪڏهن OMP گريس فل ريسٽارٽ فعال آهي، ريڪي ڪرڻ جو وقت گهٽ ۾ گهٽ OMP گريس فل ريسٽارٽ ٽائمر جي قيمت کان ٻه ڀيرا هجڻ گهرجي.حد: 10 کان 1209600 سيڪنڊ (14 ڏينهن)ڊفالٽ: 86400 سيڪنڊ (24 ڪلاڪ)
وري هلايو ونڊو	سلائيڊنگ ريپلي ونڊو جي سائيز جي وضاحت ڪريو. قدر: 64، 128، 256، 512، 1024، 2048، 4096، 8192 پيڪٽسڊفالٽ: 512 پيڪيجز
IPsec pairwise-keying	اهو ڊفالٽ طور بند ڪيو ويو آهي. ڪلڪ ڪريو On ان کي چالو ڪرڻ لاء.

پيرا ميٽر نالو

وصف

تصديق جو قسم

مان تصديق جي قسمن کي چونڊيو تصديق فهرست، ۽ تصديق جي قسمن کي منتقل ڪرڻ لاءِ ساڄي طرف اشارو ڪندي تير تي ڪلڪ ڪريو منتخب ٿيل فهرست ڪالم. سسڪو SD-WAN رليز 20.6.1 مان تصديق ٿيل قسمون: •  خاص: ESP هيڊر تي Encapsulating Security Payload (ESP) انڪرپشن ۽ سالميت جي چڪاس کي فعال ڪري ٿو. •  ip-udp-esp: ESP انڪرپشن کي فعال ڪري ٿو. ESP هيڊر ۽ پيل لوڊ تي سالميت جي چڪاس کان علاوه، چيڪن ۾ ٻاهرين IP ۽ UDP هيڊر پڻ شامل آهن. •  ip-udp-esp-no-id: IP هيڊر ۾ ID فيلڊ کي نظر انداز ڪري ٿو ته جيئن Cisco Catalyst SD-WAN غير سسڪو ڊوائيسز سان گڏ ڪم ڪري سگھي. •  ڪو به: IPSec پيڪٽس تي سالميت جي چڪاس بند ڪري ٿي. اسان هن اختيار کي استعمال ڪرڻ جي سفارش نٿا ڪريون.   سسڪو SD-WAN رليز 20.5.1 ۽ اڳ ۾ تصديق ٿيل قسمون: •  ah-no-id: AH-SHA1 HMAC ۽ ESP HMAC-SHA1 جو هڪ بهتر ورزن فعال ڪريو جيڪو پيڪٽ جي ٻاهرين IP هيڊر ۾ ID فيلڊ کي نظرانداز ڪري ٿو. •  ah-sha1-hmac: AH-SHA1 HMAC ۽ ESP HMAC-SHA1 کي فعال ڪريو. •  ڪو به: چونڊيو ڪو به تصديق نه. •  sha1-hmac: ESP HMAC-SHA1 کي فعال ڪريو.   نوٽ              Cisco SD-WAN Release 20.5.1 يا اڳ تي هلندڙ هڪ ايج ڊيوائس لاءِ، توهان شايد ترتيب ڏنل تصديق جي قسمن کي استعمال ڪندي سيڪيورٽي ٽيمپليٽ. جڏهن توهان ڊوائيس کي اپ گريڊ ڪيو Cisco SD-WAN Release 20.6.1 يا بعد ۾، تازه ڪاري ڪريو تصديق جي قسم جي چونڊيل قسمن ۾ سيڪيورٽي سسڪو SD-WAN رليز 20.6.1 مان سپورٽ ڪيل تصديق جي قسمن لاءِ ٽيمپليٽ. تصديق جي قسمن کي تازه ڪاري ڪرڻ لاء، هيٺيان ڪريو: 1.      Cisco SD-WAN مئنيجر مينيو مان، چونڊيو ٺاھ جوڙ > ٽيمپليٽس. 2.      ڪلڪ ڪريو فيچر ٽيمپليٽس. 3.      ڳوليو سيڪيورٽي تازه ڪاري ڪرڻ لاءِ ٽيمپليٽ ۽ ڪلڪ ڪريو ... ۽ ڪلڪ ڪريو ترميم ڪريو. 4.      ڪلڪ ڪريو تازه ڪاري. ڪنهن به ترتيب کي تبديل نه ڪريو. Cisco SD-WAN مئنيجر تازه ڪاري ڪري ٿو سيڪيورٽي سپورٽ ٿيل تصديق جي قسمن کي ڏيکارڻ لاءِ ٽيمپليٽ.

ڪلڪ محفوظ ڪريو.

ڊيٽا جهاز سيڪيورٽي پيٽرولر کي ترتيب ڏيو

ڊيٽا جهاز ۾، IPsec سڀني روٽرز تي ڊفالٽ طور تي فعال ڪيو ويو آهي، ۽ ڊفالٽ IPsec سرنگ ڪنيڪشن IPsec سرنگن تي تصديق لاءِ Encapsulating Security Payload (ESP) پروٽوڪول جو وڌايل نسخو استعمال ڪندا آهن. رستن تي، توھان تبديل ڪري سگھو ٿا تصديق جو قسم، IPsec ريڪينگ ٽائمر، ۽ IPsec مخالف ريپلي ونڊو جي سائيز.

اجازت ڏنل تصديق جي قسمن کي ترتيب ڏيو

Cisco SD-WAN رليز 20.6.1 ۽ بعد ۾ تصديق جا قسم
Cisco SD-WAN رليز 20.6.1 کان، هيٺين سالميت جا قسم سپورٽ ڪيا ويا آهن:

• esp: هي اختيار ESP هيڊر تي Encapsulating Security Payload (ESP) انڪرپشن ۽ سالميت جي چڪاس کي فعال ڪري ٿو.
• ip-udp-esp: هي اختيار ESP انڪرپشن کي فعال ڪري ٿو. ESP هيڊر ۽ پيل لوڊ تي سالميت جي چڪاس کان علاوه، چيڪن ۾ ٻاهرين IP ۽ UDP هيڊر پڻ شامل آهن.
• ip-udp-esp-no-id: هي اختيار ip-udp-esp سان ملندڙ جلندڙ آهي، جڏهن ته، ٻاهرين IP هيڊر جي ID فيلڊ کي نظرانداز ڪيو ويو آهي. هن اختيار کي سالميت جي قسمن جي فهرست ۾ ترتيب ڏيو Cisco Catalyst SD-WAN سافٽ ويئر کي نظر انداز ڪريو ID فيلڊ کي IP هيڊر ۾ ته جيئن Cisco Catalyst SD-WAN غير Cisco ڊوائيسز سان گڏ ڪم ڪري سگھي.
• ڪو به نه: هي اختيار IPSec پيڪٽس تي سالميت جي چڪاس بند ڪري ٿو. اسان هن اختيار کي استعمال ڪرڻ جي سفارش نٿا ڪريون.

ڊفالٽ طور، IPsec سرنگ ڪنيڪشن استعمال ڪن ٿا هڪ وڌايل نسخو Encapsulating Security Payload (ESP) پروٽوڪول جي تصديق لاءِ. ڳالهين ۾ مداخلت جي قسمن کي تبديل ڪرڻ يا سالميت جي چڪاس کي بند ڪرڻ لاء، هيٺ ڏنل حڪم استعمال ڪريو: سالميت-قسم { none | ip-udp-esp | ip-udp-esp-no-id | خاص }

Cisco SD-WAN رليز 20.6.1 کان اڳ تصديق جا قسم
ڊفالٽ طور، IPsec سرنگ ڪنيڪشن استعمال ڪن ٿا هڪ وڌايل نسخو Encapsulating Security Payload (ESP) پروٽوڪول جي تصديق لاءِ. ڳالهين جي تصديق جي قسمن کي تبديل ڪرڻ يا تصديق کي غير فعال ڪرڻ لاء، هيٺ ڏنل حڪم استعمال ڪريو: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) ڊفالٽ طور، IPsec سرنگ ڪنيڪشن AES-GCM-256 استعمال ڪن ٿا، جيڪو ٻنهي انڪرپشن ۽ تصديق مهيا ڪري ٿو. هر تصديق واري قسم کي الڳ سيڪيورٽي ipsec تصديق واري قسم جي حڪم سان ترتيب ڏيو. ڪمانڊ آپشن نقشو ھيٺ ڏنل تصديق جي قسمن ڏانھن، جيڪي ترتيب ڏنل آھن تمام مضبوط کان گھٽ مضبوط تائين:

نوٽ
ترتيب جي اختيارن ۾ sha1 تاريخي سببن لاء استعمال ڪيو ويندو آهي. تصديق جا اختيار ظاهر ڪن ٿا ته پيڪٽ جي سالميت جي چڪاس ڪيتري آهي. اهي الورورٿم جي وضاحت نٿا ڪن جيڪي سالميت کي جانچيندا آهن. ملٽي ڪاسٽ ٽريفڪ جي انڪرپشن کان سواءِ، سسڪو ڪيٽيليسٽ SD وان پاران سپورٽ ڪيل تصديقي الگورتھم SHA1 استعمال نٿا ڪن. جڏهن ته Cisco SD-WAN رليز 20.1.x ۽ ان کان پوءِ، ٻئي يونيڪسٽ ۽ ملٽي ڪاسٽ SHA1 استعمال نٿا ڪن.

• ah-sha1-hmac ESP استعمال ڪندي انڪريپشن ۽ انڪپسوليشن کي فعال ڪري ٿو. جڏهن ته، ESP هيڊر ۽ پيل لوڊ تي سالميت جي چڪاس کان علاوه، چيڪن ۾ ٻاهرين IP ۽ UDP هيڊر پڻ شامل آهن. تنهن ڪري، هي اختيار حمايت ڪري ٿو هڪ سالميت جي چڪاس جي پيڪٽ جي تصديق جي هيڊر (AH) پروٽوڪول وانگر. AES-256-GCM استعمال ڪندي سڀ سالميت ۽ انڪرپشن ڪئي وئي آهي.
• ah-no-id هڪ موڊ کي فعال ڪري ٿو جيڪو ah-sha1-hmac سان ملندڙ جلندڙ آهي، جڏهن ته، ٻاهرئين IP هيڊر جي ID فيلڊ کي نظرانداز ڪيو ويو آهي. هي اختيار ڪجهه غير Cisco Catalyst SD-WAN ڊوائيسز کي ترتيب ڏئي ٿو، بشمول ايپل ايئر پورٽ ايڪسپريس NAT، جنهن ۾ هڪ بگ آهي جيڪو IP هيڊر ۾ ID فيلڊ، هڪ غير ميوٽبل فيلڊ، تبديل ٿيڻ جو سبب بڻائيندو آهي. تصديق جي قسمن جي لسٽ ۾ ah-no-id آپشن کي ترتيب ڏيو Cisco Catalyst SD-WAN AH سافٽ ويئر IP هيڊر ۾ ID فيلڊ کي نظرانداز ڪري ٿو ته جيئن Cisco Catalyst SD-WAN سافٽ ويئر انهن ڊوائيسز سان گڏ ڪم ڪري سگھي.
• sha1-hmac ESP انڪرپشن ۽ سالميت جي چڪاس کي قابل بڻائي ٿو.
• ڪو به نقشو نه تصديق ڪرڻ لاء. هي اختيار صرف استعمال ٿيڻ گهرجي جيڪڏهن اهو عارضي ڊيبگنگ لاء گهربل هجي. توھان پڻ ھي اختيار چونڊي سگھوٿا انھن حالتن ۾ جتي ڊيٽا جهاز جي تصديق ۽ سالميت جو خدشو ناھي. Cisco پيداوار نيٽ ورڪ لاء هي اختيار استعمال ڪرڻ جي سفارش نه ڪندو آھي.

معلومات لاءِ ڪهڙن ڊيٽا پيڪيٽ فيلڊز انهن تصديق جي قسمن کان متاثر ٿيا آهن، ڏسو Data Plane Integrity. Cisco IOS XE Catalyst SD-WAN ڊوائيسز ۽ Cisco vEdge ڊوائيسز انهن جي ترتيب ڏنل تصديق جي قسمن کي انهن جي TLOC ملڪيت ۾ اشتهار ڏين ٿا. هڪ IPsec سرنگ ڪنيڪشن جي ٻنهي پاسن تي ٻه راؤٽر انهن جي وچ ۾ ڪنيڪشن تي استعمال ڪرڻ لاءِ تصديق جي ڳالهه ٻولهه ڪن ٿا ، مضبوط تصديق واري قسم جو استعمال ڪندي جيڪو ٻنهي روٽرن تي ترتيب ڏنل آهي. مثال طورampلي، جيڪڏهن هڪ راؤٽر ah-sha1-hmac ۽ ah-no-id قسم جو اشتهار ڏئي ٿو، ۽ ٻيو روٽر ah-no-id قسم جو اشتهار ڏئي ٿو، ٻئي روٽر IPsec سرنگ جي ڪنيڪشن تي ah-no-id استعمال ڪرڻ لاءِ ڳالهين ٿا. انهن کي. جيڪڏهن ڪو به عام تصديق جا قسم ٻن پيرن تي ترتيب ڏنل نه آهن، انهن جي وچ ۾ ڪوبه IPsec سرنگ قائم نه آهي. IPsec سرنگ ڪنيڪشن تي انڪرپشن الگورٿم ٽريفڪ جي قسم تي منحصر آهي:

• يونيڪاسٽ ٽرئفڪ لاءِ، انڪرپشن الگورٿم AES-256-GCM آهي.
• ملٽي ڪاسٽ ٽرئفڪ لاءِ:
• Cisco SD-WAN رليز 20.1.x ۽ بعد ۾- انڪريپشن الگورٿم AES-256-GCM آهي
• اڳيون رليز- انڪرپشن الگورٿم AES-256-CBC آهي SHA1-HMAC سان.

جڏهن IPsec جي تصديق جو قسم تبديل ڪيو ويو آهي، ڊيٽا جي رستي لاء AES ڪيئي تبديل ٿي وئي آهي.

ريڪينگ ٽائمر کي تبديل ڪريو

ان کان اڳ جو Cisco IOS XE Catalyst SD-WAN ڊوائيسز ۽ Cisco vEdge ڊوائيس ڊيٽا ٽرئفڪ کي مٽائي سگھن ٿيون، انهن جي وچ ۾ هڪ محفوظ تصديق ٿيل مواصلاتي چينل قائم ڪيو. روٽر استعمال ڪن ٿا IPSec سرنگون انهن جي وچ ۾ چينل جي طور تي، ۽ AES-256 سيفر انڪرپشن کي انجام ڏيڻ لاءِ. هر روٽر وقتي طور تي پنهنجي ڊيٽا جي رستي لاءِ هڪ نئين AES ڪيئي ٺاهي ٿو. ڊفالٽ طور، هڪ چيڪ 86400 سيڪنڊن (24 ڪلاڪ) لاءِ صحيح آهي، ۽ ٽائمر جي حد 10 سيڪنڊن کان وٺي 1209600 سيڪنڊن (14 ڏينهن) تائين آهي. ريڪي ٽائمر جي قيمت کي تبديل ڪرڻ لاء: Device(config)# security ipsec rekey سيڪنڊن جي ترتيب هن طرح نظر اچي ٿي:

• سيڪيورٽي ipsec ريڪي سيڪنڊ!

جيڪڏھن توھان چاھيو ٿا نئون IPsec ڪيز فوري طور تي، توھان ائين ڪري سگھو ٿا بغير روٽر جي ترتيب کي تبديل ڪرڻ جي. هن کي ڪرڻ لاء، سمجھوتي روٽر تي درخواست سيڪيورٽي ipsecrekey حڪم جاري ڪريو. مثال طورample، هيٺ ڏنل پيداوار ڏيکاري ٿو ته مقامي SA وٽ 256 جو سيڪيورٽي پيٽرولر انڊيڪس (SPI) آهي:

هڪ منفرد ڪنجي هر SPI سان لاڳاپيل آهي. جيڪڏهن هي چيڪ سمجهوتو ڪيو ويو آهي، استعمال ڪريو درخواست سيڪيورٽي ipsec-rekey ڪمانڊ فوري طور تي نئين ڪيچ پيدا ڪرڻ لاء. هي حڪم SPI کي وڌائي ٿو. اسان جي اڳوڻي ۾ample، SPI کي 257 ۾ تبديل ڪري ٿو ۽ ان سان لاڳاپيل چاٻي ھاڻي استعمال ڪئي وئي آھي:

• ڊوائيس # درخواست سيڪيورٽي ipsecrekey
• ڊوائيس # ڏيکاريو ipsec local-sa

نئين ڪنجي ٺاهي وڃڻ کان پوء، روٽر ان کي فوري طور تي DTLS يا TLS استعمال ڪندي Cisco SD-WAN ڪنٽرولرز ڏانهن موڪلي ٿو. Cisco SD-WAN ڪنٽرولرز ڪنجي موڪليندا آهن پير روٽرز ڏانهن. روٽر ان کي استعمال ڪرڻ شروع ڪن ٿا جيئن ئي اهي وصول ڪن ٿا. نوٽ ڪريو ته پراڻي SPI (256) سان لاڳاپيل ڪنجي ٿوري وقت لاءِ استعمال ٿيندي رهندي جيستائين ان جو وقت ختم نه ٿئي. پراڻي چيڪ کي فوري طور تي استعمال ڪرڻ بند ڪرڻ لاء، جاري ڪريو درخواست سيڪيورٽي ipsec-rekey ڪمانڊ ٻه ڀيرا، جلدي ڪاميابي ۾. حڪمن جو هي سلسلو SPI 256 ۽ 257 ٻنهي کي هٽائي ٿو ۽ SPI کي 258 تي سيٽ ڪري ٿو. روٽر پوءِ SPI 258 جي لاڳاپيل ڪي کي استعمال ڪري ٿو. نوٽ ڪريو، ته ڪجهه پيڪيٽ ٿوري وقت لاءِ ڇڏيا ويندا جيستائين سڀئي ريموٽ راؤٽر سکيا نه وڃن. نئين چاٻي.

اينٽي ريپلي ونڊو جي سائيز کي تبديل ڪريو

IPsec جي تصديق ڊيٽا اسٽريم ۾ هر پيڪيٽ کي هڪ منفرد ترتيب نمبر تفويض ڪندي اينٽي ريپلي تحفظ فراهم ڪري ٿي. هي سلسلو نمبرنگ هڪ حملي آور جي خلاف حفاظت ڪري ٿو ڊيٽا پيڪيٽس کي نقل ڪندي. مخالف ريپلي تحفظ سان، موڪليندڙ هڪجهڙائي سان ترتيب واري نمبرن کي وڌائيندو آهي، ۽ منزل انهن تسلسل نمبرن کي چيڪ ڪري ٿو نقلن کي ڳولڻ لاءِ. ڇاڪاڻ ته پيڪيٽس اڪثر ترتيب ۾ نه ايندا آهن، منزل ترتيب نمبرن جي سلائيڊنگ ونڊو برقرار رکي ٿي جيڪا اها قبول ڪندي.

سلائيڊنگ ونڊو رينج جي کاٻي پاسي واري ترتيب واري نمبرن سان پيڪيٽ کي پراڻو يا نقل سمجھيو ويندو آھي، ۽ منزل انھن کي ڇڏيندي آھي. منزل ان کي حاصل ڪيل سڀ کان وڌيڪ ترتيب واري نمبر کي ٽريڪ ڪري ٿو، ۽ سلائڊنگ ونڊو کي ترتيب ڏئي ٿو جڏهن اهو هڪ اعلي قيمت سان پيڪٽ حاصل ڪري ٿو.

ڊفالٽ طور، سلائيڊنگ ونڊو 512 پيڪٽس تي مقرر ڪئي وئي آهي. اهو 64 ۽ 4096 جي وچ ۾ ڪنهن به قيمت تي سيٽ ڪري سگهجي ٿو جيڪو 2 جي طاقت آهي (يعني 64، 128، 256، 512، 1024، 2048، يا 4096). مخالف ريپلي ونڊو جي سائيز کي تبديل ڪرڻ لاء، استعمال ڪريو ريپلي-ونڊو ڪمانڊ، ونڊو جي سائيز کي بيان ڪندي:

ڊوائيس (config) # سيڪيورٽي ipsec ريپلي-ونڊو نمبر

تشڪيل هن طرح نظر اچي ٿو:
سيڪيورٽي ipsec ريپلي-ونڊو نمبر! !

QoS سان مدد ڪرڻ لاءِ، پهرين اٺن ٽريفڪ چينلن مان هر هڪ لاءِ الڳ ريپلي ونڊوز رکيل آهن. ترتيب ڏنل ريپلي ونڊو سائيز هر چينل لاءِ اٺن کان ورهايل آهي. جيڪڏهن QoS هڪ روٽر تي ترتيب ڏنل آهي، اهو روٽر شايد IPsec اينٽي ريپلي ميڪانيزم جي نتيجي ۾ پيڪٽ ڊراپس جي توقع کان وڏي تعداد جو تجربو ڪري سگهي ٿو، ۽ ڪيترن ئي پيڪيٽ جيڪي ڇڏيا ويا آهن جائز آهن. اهو ان ڪري ٿئي ٿو ڇاڪاڻ ته QoS پيڪن کي ٻيهر ترتيب ڏئي ٿو، اعلي ترجيحي پيڪيٽس کي ترجيحي علاج ۽ دير سان گهٽ ترجيحي پيڪن کي دير ڪري ٿو. ھن صورتحال کي گھٽائڻ يا روڪڻ لاءِ، توھان ھيٺ ڏنل ڪم ڪري سگھو ٿا:

• مخالف ريپلي ونڊو جي سائيز کي وڌايو.
• انجنيئر ٽريفڪ کي پھرين اٺن ٽريفڪ چينلز تي يقيني بڻائڻ لاءِ ته ھڪڙي چينل اندر ٽرئفڪ کي ٻيهر ترتيب نه ڏنو ويو آھي.

IKE-فعال IPsec سرنگن کي ترتيب ڏيو
اوورلي نيٽ ورڪ کان ٽريفڪ کي محفوظ طور تي سروس نيٽ ورڪ ڏانهن منتقل ڪرڻ لاءِ، توهان IPsec سرنگون ترتيب ڏئي سگهو ٿا جيڪي هلائين ٿيون انٽرنيٽ ڪيئي ايڪسچينج (IKE) پروٽوڪول. IKE-فعال IPsec سرنگون محفوظ پيڪيٽ ٽرانسپورٽ کي يقيني بڻائڻ لاءِ تصديق ۽ انڪرپشن مهيا ڪن ٿيون. توھان ٺاھيو IKE-فعال IPsec سرنگ ھڪڙي IPsec انٽرفيس کي ترتيب ڏيڻ سان. IPsec انٽرفيس منطقي انٽرفيس آھن، ۽ توھان انھن کي ترتيب ڏيو جيئن ڪنھن ٻئي جسماني انٽرفيس وانگر. توهان IPsec انٽرفيس تي IKE پروٽوڪول پيٽرولر ترتيب ڏيو ٿا، ۽ توهان ٻين انٽرفيس ملڪيتن کي ترتيب ڏئي سگهو ٿا.

نوٽ Cisco IKE ورجن 2 استعمال ڪرڻ جي سفارش ڪري ٿو. Cisco SD-WAN 19.2.x رليز کان پوءِ، اڳي شيئر ڪيل ڪيئي کي گھٽ ۾ گھٽ 16 بائيٽ ڊگھي ھجڻ گھرجي. IPsec سرنگ اسٽيبلشمينٽ ناڪام ٿئي ٿي جيڪڏهن اهم سائيز 16 اکرن کان گهٽ آهي جڏهن روٽر کي ورزن 19.2 ۾ اپڊيٽ ڪيو ويندو آهي.

نوٽ
Cisco Catalyst SD-WAN سافٽ ويئر IKE ورزن 2 کي سپورٽ ڪري ٿو جيئن RFC 7296 ۾ بيان ڪيو ويو آهي. IPsec سرنگن لاءِ هڪ استعمال اهو آهي ته Amazon AWS تي هلندڙ VEdge Cloud روٽر VM مثالن کي Amazon ورچوئل پرائيويٽ ڪلائوڊ (VPC) سان ڳنڍڻ جي اجازت ڏي. توھان کي انھن روٽرن تي IKE ورجن 1 ترتيب ڏيڻ گھرجي. Cisco vEdge ڊوائيسز صرف روٽ تي ٻڌل وي پي اينز کي سپورٽ ڪن ٿيون هڪ IPSec ترتيب ۾ ڇاڪاڻ ته اهي ڊوائيس انڪرپشن ڊومين ۾ ٽرئفڪ چونڊيندڙن جي وضاحت نٿا ڪري سگهن.

هڪ IPsec سرنگ کي ترتيب ڏيو
سروس نيٽ ورڪ کان محفوظ ٽرانسپورٽ ٽرئفڪ لاءِ IPsec سرنگ انٽرفيس کي ترتيب ڏيڻ لاءِ، توهان هڪ منطقي IPsec انٽرفيس ٺاهيو ٿا:

توهان ٺاهي سگهو ٿا IPsec سرنگ ٽرانسپورٽ ۾ VPN (VPN 0) ۽ ڪنهن به خدمت ۾ VPN (VPN 1 کان 65530، سواءِ 512). IPsec انٽرفيس جو نالو ipsecnumber جي فارميٽ ۾ آهي، جتي نمبر 1 کان 255 تائين ٿي سگهي ٿو. هر IPsec انٽرفيس کي IPv4 ايڊريس هجڻ گهرجي. هي پتو هڪ /30 اڳياڙي هجڻ گهرجي. VPN ۾ موجود سموري ٽرئفڪ جيڪا هن IPv4 اڳياڙي جي اندر آهي VPN 0 ۾ هڪ فزيڪل انٽرفيس ڏانهن هدايت ڪئي وئي آهي هڪ IPsec سرنگ تي محفوظ طور تي موڪليو وڃي. مقامي ڊوائيس تي IPsec سرنگ جي ماخذ کي ترتيب ڏيڻ لاءِ، توهان وضاحت ڪري سگهو ٿا يا ته IP پتو فزيڪل انٽرفيس (سرنگ-ذريعو ڪمانڊ ۾) يا جسماني انٽرفيس جو نالو (سرنگ-ذريعو-انٽرفيس ڪمانڊ ۾). پڪ ڪريو ته فزيڪل انٽرفيس VPN 0 ۾ ترتيب ڏنل آهي. IPsec سرنگ جي منزل کي ترتيب ڏيڻ لاءِ، سرنگ-منزل ڪمانڊ ۾ ريموٽ ڊوائيس جو IP پتو بيان ڪريو. هڪ ماخذ پتي جو ميلاپ (يا ماخذ انٽرفيس جو نالو) ۽ هڪ منزل جو پتو هڪ واحد IPsec سرنگ کي بيان ڪري ٿو. صرف هڪ IPsec سرنگ موجود ٿي سگھي ٿو جيڪو استعمال ڪري ٿو مخصوص ماخذ ايڊريس (يا انٽرفيس جو نالو) ۽ منزل جو پتو جوڙو.

هڪ IPsec جامد رستو ترتيب ڏيو

ٽرانسپورٽ VPN (VPN 0) ۾ سروس VPN کان IPsec سرنگ ڏانهن ٽريفڪ کي سڌو ڪرڻ لاءِ، توهان هڪ IPsec-مخصوص جامد رستو ترتيب ڏيو خدمت ۾ VPN (هڪ VPN کان سواءِ VPN 0 يا VPN 512):

• vEdge(config) # vpn vpn-id
• vEdge(config-vpn)# ip ipsec-route prefix/dength vpn 0 انٽرفيس
• ipsecnumber [ipsecnumber2]

VPN ID ڪنهن به خدمت جي آهي VPN (VPN 1 کان 65530، سواء 512 جي). prefix/length IP پتي يا اڳياڙي آهي، ڊيسيمل چار-پارٽ-ڊٽ ٿيل نوٽيشن ۾، ۽ IPsec-مخصوص جامد رستي جي اڳياڙي ڊگھائي. انٽرفيس IPsec سرنگ انٽرفيس آهي VPN 0 ۾. توهان هڪ يا ٻه IPsec سرنگ انٽرفيس ترتيب ڏئي سگهو ٿا. جيڪڏهن توهان ٻه ترتيب ڏيو ٿا، پهريون بنيادي IPsec سرنگ آهي، ۽ ٻيو بيڪ اپ آهي. ٻن انٽرفيس سان، سڀئي پيڪيٽ صرف پرائمري سرنگ ڏانهن موڪليا ويا آهن. جيڪڏهن اهو سرنگ ناڪام ٿئي ٿي، سڀ پيڪيٽ وري سيڪنڊري سرنگ ڏانهن موڪليا ويندا آهن. جيڪڏهن پرائمري سرنگ واپس اچي ٿي، سموري ٽرئفڪ کي واپس پرائمري IPsec سرنگ ڏانهن منتقل ڪيو ويندو.

IKE ورجن 1 کي فعال ڪريو
جڏهن توهان هڪ vEdge روٽر تي هڪ IPsec سرنگ ٺاهي، IKE نسخو 1 ڊفالٽ طور تي سرنگ انٽرفيس تي فعال آهي. هيٺيون خاصيتون پڻ IKEv1 لاءِ ڊفالٽ طور فعال ٿيل آهن:

• تصديق ۽ انڪرپشن-AES-256 ترقي يافته انڪريپشن معياري CBC انڪرپشن سان HMAC-SHA1 ڪيڊ-هيش پيغام جي تصديق ڪوڊ الگورٿم سالميت لاءِ
• Diffie-Hellman گروپ نمبر-16
• ريڪينگ وقت جو وقفو - 4 ڪلاڪ
• SA اسٽيبلشمينٽ موڊ - مکيه

ڊفالٽ طور، IKEv1 استعمال ڪري ٿو IKE مين موڊ IKE SAs قائم ڪرڻ لاءِ. هن موڊ ۾، SA قائم ڪرڻ لاء ڇهه ڳالهين جا پيڪا مٽايا ويا آهن. صرف ٽي ڳالهين واري پيڪيٽ کي مٽائڻ لاء، جارحتي موڊ کي فعال ڪريو:

نوٽ
IKE جارحيت واري موڊ کان اڳ شيئر ڪيل ڪنجين سان جتي ممڪن هجي کان بچڻ گهرجي. ٻي صورت ۾ هڪ مضبوط اڳ-شيئر ڪيل چيڪ چونڊيو وڃي.

• vEdge(config)# vpn vpn-id انٽرفيس ipsec نمبر ike
• vEdge(config-ike)# موڊ جارحاڻي

ڊفالٽ طور، IKEv1 استعمال ڪري ٿو Diffie-Hellman گروپ 16 IKE جي بدلي ۾. هي گروپ استعمال ڪري ٿو 4096-bit وڌيڪ ماڊلر ايڪسپورنشل (MODP) گروپ IKE ڪيئي مٽاسٽا دوران. توھان گروپ نمبر کي 2 ۾ تبديل ڪري سگھو ٿا (1024-bit MODP لاءِ)، 14 (2048-bit MODP)، يا 15 (3072-bit MODP):

• vEdge(config)# vpn vpn-id انٽرفيس ipsec نمبر ike
• vEdge (config-ike) # گروپ نمبر

ڊفالٽ طور، IKE ڪيئي ايڪسچينج استعمال ڪري ٿو AES-256 ترقي يافته انڪرپشن معياري CBC انڪرپشن سان HMAC-SHA1 keyed-hash پيغام جي تصديق ڪوڊ الگورٿم سالميت لاءِ. توھان تصديق ڪري سگھو ٿا:

• vEdge(config)# vpn vpn-id انٽرفيس ipsec نمبر ike
• vEdge(config-ike)# cipher-suite suite

تصديق سوٽ ھيٺين مان ھڪڙو ٿي سگھي ٿو:

• aes128-cbc-sha1—AES-128 ترقي يافته انڪريپشن معياري CBC انڪريپشن سان HMAC-SHA1 ڪيڊ-هيش پيغام جي تصديق ڪوڊ الگورٿم سالميت لاءِ
• aes128-cbc-sha2—AES-128 ترقي يافته انڪريپشن معياري CBC انڪريپشن سان HMAC-SHA256 ڪيڊ-هيش پيغام جي تصديق ڪوڊ الگورٿم سالميت لاءِ
• aes256-cbc-sha1—AES-256 ترقي يافته انڪرپشن معياري CBC انڪريپشن سان گڏ HMAC-SHA1 ڪيڊ-هيش پيغام جي تصديق ڪوڊ الگورٿم سالميت لاءِ؛ هي ڊفالٽ آهي.
• aes256-cbc-sha2—AES-256 ترقي يافته انڪريپشن معياري CBC انڪريپشن سان HMAC-SHA256 ڪيڊ-هيش پيغام جي تصديق ڪوڊ الگورٿم سالميت لاءِ

ڊفالٽ طور، IKE چابيون هر 1 ڪلاڪ (3600 سيڪنڊن) کي تازو ڪيو ويندو آهي. توھان 30 سيڪنڊن کان وٺي 14 ڏينھن (1209600 سيڪنڊن) تائين ريڪينگ وقفو تبديل ڪري سگھو ٿا. اهو سفارش ڪئي وئي آهي ته ريڪينگ جو وقفو گهٽ ۾ گهٽ 1 ڪلاڪ هجي.

• vEdge(config)# vpn vpn-id انٽرفيس ipsec نمبر وانگر
• vEdge (config-ike) # ريڪي سيڪنڊ

IKE سيشن لاءِ نئين ڪنجين جي نسل کي مجبور ڪرڻ لاءِ، درخواست ڪريو ipsec ike-rekey ڪمانڊ.

• vEdge(config)# vpn vpn-id interfaceipsec نمبر ike

IKE لاءِ، توھان پڻ ترتيب ڏئي سگھوٿا اڳڀرائي ڪيل ڪي (PSK) جي تصديق:

• vEdge(config)# vpn vpn-id انٽرفيس ipsec نمبر ike
• vEdge(config-ike)# تصديق-قسم اڳ-شيئر-ڪي-پري-شيئر-سيڪرٽ پاسورڊ پاسورڊ اهو پاسورڊ آهي جيڪو اڳ ۾ شيئر ڪيل ڪي سان استعمال ڪرڻ لاءِ. اهو ٿي سگهي ٿو ASCII يا هيڪساڊيڪل اسٽرنگ 1 کان 127 اکرن تائين.

جيڪڏهن ريموٽ IKE پير صاحب کي مقامي يا ريموٽ ID جي ضرورت آهي، توهان هن سڃاڻپ ڪندڙ کي ترتيب ڏئي سگهو ٿا:

• vEdge(config)# vpn vpn-id انٽرفيس ipsec نمبر ike تصديق جي قسم
• vEdge(config-authentication-type)# local-id id
• vEdge (config-authentication-type) # remote-id id

سڃاڻپ ڪندڙ هڪ IP پتو يا 1 کان 63 اکرن تائين ڊگهو متن جي تار ٿي سگهي ٿو. ڊفالٽ طور، مقامي ID سرنگ جو ذريعو IP پتو آهي ۽ ريموٽ ID سرنگ جي منزل IP پتو آهي.

IKE ورجن 2 کي فعال ڪريو
جڏهن توهان IKE نسخو 2 استعمال ڪرڻ لاءِ هڪ IPsec سرنگ ترتيب ڏيو ٿا، هيٺيون خاصيتون پڻ IKEv2 لاءِ ڊفالٽ طور فعال ڪيون ويون آهن:

• تصديق ۽ انڪرپشن-AES-256 ترقي يافته انڪريپشن معياري CBC انڪرپشن سان HMAC-SHA1 ڪيڊ-هيش پيغام جي تصديق ڪوڊ الگورٿم سالميت لاءِ
• Diffie-Hellman گروپ نمبر-16
• ريڪينگ وقت جو وقفو - 4 ڪلاڪ

ڊفالٽ طور، IKEv2 استعمال ڪري ٿو Diffie-Hellman گروپ 16 IKE جي بدلي ۾. هي گروپ استعمال ڪري ٿو 4096-bit وڌيڪ ماڊلر ايڪسپورنشل (MODP) گروپ IKE ڪيئي مٽاسٽا دوران. توھان گروپ نمبر کي 2 ۾ تبديل ڪري سگھو ٿا (1024-bit MODP لاءِ)، 14 (2048-bit MODP)، يا 15 (3072-bit MODP):

• vEdge(config)# vpn vpn-id انٽرفيس ipsecnumber ike
• vEdge (config-ike) # گروپ نمبر

ڊفالٽ طور، IKE ڪيئي ايڪسچينج استعمال ڪري ٿو AES-256 ترقي يافته انڪرپشن معياري CBC انڪرپشن سان HMAC-SHA1 keyed-hash پيغام جي تصديق ڪوڊ الگورٿم سالميت لاءِ. توھان تصديق ڪري سگھو ٿا:

• vEdge(config)# vpn vpn-id انٽرفيس ipsecnumber ike
• vEdge(config-ike)# cipher-suite suite

تصديق سوٽ ھيٺين مان ھڪڙو ٿي سگھي ٿو:

• aes128-cbc-sha1—AES-128 ترقي يافته انڪريپشن معياري CBC انڪريپشن سان HMAC-SHA1 ڪيڊ-هيش پيغام جي تصديق ڪوڊ الگورٿم سالميت لاءِ
• aes128-cbc-sha2—AES-128 ترقي يافته انڪريپشن معياري CBC انڪريپشن سان HMAC-SHA256 ڪيڊ-هيش پيغام جي تصديق ڪوڊ الگورٿم سالميت لاءِ
• aes256-cbc-sha1—AES-256 ترقي يافته انڪرپشن معياري CBC انڪريپشن سان گڏ HMAC-SHA1 ڪيڊ-هيش پيغام جي تصديق ڪوڊ الگورٿم سالميت لاءِ؛ هي ڊفالٽ آهي.
• aes256-cbc-sha2—AES-256 ترقي يافته انڪريپشن معياري CBC انڪريپشن سان HMAC-SHA256 ڪيڊ-هيش پيغام جي تصديق ڪوڊ الگورٿم سالميت لاءِ

ڊفالٽ طور، IKE چابيون هر 4 ڪلاڪ (14,400 سيڪنڊ) کي تازو ڪيو ويندو آهي. توھان 30 سيڪنڊن کان 14 ڏينھن (1209600 سيڪنڊن) تائين ريڪينگ وقفي کي قدر ۾ تبديل ڪري سگھو ٿا:

• vEdge(config)# vpn vpn-id انٽرفيس ipsecnumber ike
• vEdge (config-ike) # ريڪي سيڪنڊ

IKE سيشن لاءِ نئين ڪنجين جي نسل کي مجبور ڪرڻ لاءِ، درخواست ڪريو ipsec ike-rekey ڪمانڊ. IKE لاءِ، توھان پڻ ترتيب ڏئي سگھوٿا اڳڀرائي ڪيل ڪي (PSK) جي تصديق:

• vEdge(config)# vpn vpn-id انٽرفيس ipsecnumber ike
• vEdge(config-ike)# تصديق-قسم اڳ-شيئر-ڪي-پري-شيئر-سيڪرٽ پاسورڊ پاسورڊ اهو پاسورڊ آهي جيڪو اڳ ۾ شيئر ڪيل ڪي سان استعمال ڪرڻ لاءِ. اهو هڪ ASCII يا هڪ هيڪساڊيڪل اسٽرنگ ٿي سگهي ٿو، يا اهو ٿي سگهي ٿو هڪ AES-انڪريپ ٿيل ڪيچ. جيڪڏهن ريموٽ IKE پير صاحب کي مقامي يا ريموٽ ID جي ضرورت آهي، توهان هن سڃاڻپ ڪندڙ کي ترتيب ڏئي سگهو ٿا:
• vEdge(config)# vpn vpn-id انٽرفيس ipsecnumber ike تصديق جي قسم
• vEdge(config-authentication-type)# local-id id
• vEdge (config-authentication-type) # remote-id id

سڃاڻپ ڪندڙ هڪ IP پتو يا 1 کان 64 اکرن تائين ڊگهو متن جي تار ٿي سگهي ٿو. ڊفالٽ طور، مقامي ID سرنگ جو ذريعو IP پتو آهي ۽ ريموٽ ID سرنگ جي منزل IP پتو آهي.

IPsec سرنگ پيرا ميٽرز کي ترتيب ڏيو

جدول 4: خصوصيت جي تاريخ

خاصيت نالو	معلومات جاري ڪريو	وصف
اضافي Cryptographic	Cisco SD-WAN رليز 20.1.1	هي خصوصيت شامل ڪري ٿو سپورٽ لاء
IPSec لاءِ الگورٿمڪ سپورٽ		HMAC_SHA256، HMAC_SHA384، ۽
سرنگهه		HMAC_SHA512 الگورتھم لاء
		بهتر سيڪيورٽي.

ڊفالٽ طور، هيٺين پيٽرولر IPsec سرنگ تي استعمال ڪيا ويا آهن جيڪي IKE ٽرئفڪ کي کڻندا آهن:

• تصديق ۽ انڪرپشن-AES-256 الگورٿم GCM ۾ (Galois/counter mode)
• ريڪينگ جو وقفو - 4 ڪلاڪ
• ريپلي ونڊو - 32 پيڪٽس

توھان تبديل ڪري سگھوٿا IPsec سرنگ تي انڪرپشن کي AES-256 cipher ۾ CBC ۾ (cipher block chaining mode, HMAC سان يا ته SHA-1 يا SHA-2 استعمال ڪندي ڪيڊ-هيش پيغام جي تصديق يا HMAC سان null ڪرڻ يا ته SHA-1 استعمال ڪندي يا SHA-2 keyed-hash پيغام جي تصديق، IKE ڪيئي ايڪسچينج ٽرئفڪ لاءِ استعمال ٿيل IPsec سرنگ کي انڪرپٽ نه ڪرڻ لاءِ:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1-aes256-null-sha256 | | aes256-null-sha384 | aes256-null-sha512)

ڊفالٽ طور، IKE چابيون هر 4 ڪلاڪ (14,400 سيڪنڊ) کي تازو ڪيو ويندو آهي. توھان 30 سيڪنڊن کان 14 ڏينھن (1209600 سيڪنڊن) تائين ريڪينگ وقفي کي قدر ۾ تبديل ڪري سگھو ٿا:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# ريڪي سيڪنڊ

هڪ IPsec سرنگ لاءِ نئين ڪنجين جي نسل کي مجبور ڪرڻ لاءِ، درخواست ڪريو ipsec ipsec-rekey حڪم. ڊفالٽ طور، ڪمل فارورڊ سيڪريسي (PFS) کي فعال ڪيو ويو آهي IPsec سرنگن تي، انهي ڳالهه کي يقيني بڻائڻ لاءِ ته ماضي جا سيشن متاثر نه ٿيندا آهن جيڪڏهن مستقبل جي ڪنجين سان ٺاهه ڪيو وڃي. PFS 4096-bit Diffie-Hellman پرائم ماڊل گروپ استعمال ڪندي ڊفالٽ طور، نئين Diffie-Hellman ڪيئي مٽاسٽا تي زور ڏئي ٿو. توھان تبديل ڪري سگھو ٿا PFS سيٽنگ:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# perfect-forward-secret pfs-setting

pfs-setting ھيٺين مان ھڪڙي ٿي سگھي ٿي:

• گروپ-2- استعمال ڪريو 1024-bit Diffie-Hellman پرائم ماڊلس گروپ.
• گروپ-14- استعمال ڪريو 2048-bit Diffie-Hellman پرائم ماڊلس گروپ.
• گروپ-15- استعمال ڪريو 3072-bit Diffie-Hellman پرائم ماڊلس گروپ.
• گروپ-16- استعمال ڪريو 4096-bit Diffie-Hellman پرائم ماڊلس گروپ. هي ڊفالٽ آهي.
• ڪو به نه - PFS کي بند ڪريو.

ڊفالٽ طور، IPsec سرنگ تي IPsec ريپلي ونڊو 512 بائيٽ آهي. توھان سيٽ ڪري سگھوٿا ريپلي ونڊو سائيز 64، 128، 256، 512، 1024، 2048، يا 4096 پيڪٽس:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# ريپلي-ونڊو نمبر

تبديل ڪريو IKE Dead-peer Detection

IKE استعمال ڪري ٿو مئل-پيئر ڳولڻ وارو ميڪانيزم اهو طئي ڪرڻ لاءِ ته ڇا هڪ IKE پير جو ڪنيڪشن فعال ۽ رسائي لائق آهي. هن ميکانيزم کي لاڳو ڪرڻ لاء، IKE پنهنجي پير صاحب ڏانهن هيلو پيڪٽ موڪلي ٿو، ۽ پير صاحب جواب ۾ هڪ اعتراف موڪلي ٿو. ڊفالٽ طور، IKE هر 10 سيڪنڊن ۾ هيلو پيڪيٽ موڪليندو آهي، ۽ ٽن اڻڄاتل پيڪيٽن کان پوءِ، IKE پاڙيسري کي مئل قرار ڏئي ٿو ۽ سرنگ کي پير ڏانهن ڇڪي ٿو. ان کان پوء، IKE وقتي طور تي پير صاحب ڏانهن هيلو پيڪٽ موڪلي ٿو، ۽ سرنگ کي ٻيهر قائم ڪري ٿو جڏهن پير صاحب آن لائن واپس اچي ٿو. توھان تبديل ڪري سگھو ٿا جانداريءَ جو پتو لڳائڻ وارو وقفو 0 کان 65535 تائين ھڪ قدر ۾، ۽ توھان تبديل ڪري سگھوٿا ڪوششن جي تعداد کي ھڪڙي قدر ۾ 0 کان 255 تائين.

نوٽ

ٽرانسپورٽ وي پي اينز لاءِ، جانداريءَ جو پتو لڳائڻ وارو وقفو سيڪنڊن ۾ تبديل ڪيو ويندو آهي هيٺ ڏنل فارمولا استعمال ڪندي: انٽرول فار ٽرانسميشن ڪوشش نمبر N = وقفو * 1.8N-1 اڳ لاءِampلي، جيڪڏهن وقفو 10 تي مقرر ڪيو ويو آهي ۽ 5 تي ٻيهر ڪوشش ڪئي وئي آهي، پتو لڳائڻ وارو وقفو هن ريت وڌي ٿو:

• ڪوشش 1: 10 * 1.81-1 = 10 سيڪنڊ
• ڪوشش 2: 10 * 1.82-1 = 18 سيڪنڊ
• ڪوشش 3: 10 * 1.83-1 = 32.4 سيڪنڊ
• ڪوشش 4: 10 * 1.84-1 = 58.32 سيڪنڊ
• ڪوشش 5: 10 * 1.85-1 = 104.976 سيڪنڊ

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval retries number

ٻين انٽرفيس پراپرٽيز کي ترتيب ڏيو

IPsec سرنگ انٽرفيس لاءِ، توھان صرف ھيٺ ڏنل اضافي انٽرفيس ملڪيتن کي ترتيب ڏئي سگھو ٿا:

• vEdge(config-interface-ipsec)# mtu بائيٽ
• vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Cisco SD-WAN مئنيجر تي ڪمزور SSH انڪرپشن الگورتھم کي غير فعال ڪريو

جدول 5: خصوصيت جي تاريخ جدول

خاصيت نالو	معلومات جاري ڪريو	خاصيت وصف
Cisco SD-WAN مئنيجر تي ڪمزور SSH انڪرپشن الگورتھم کي غير فعال ڪريو	Cisco vManage Release 20.9.1	هي خصوصيت توهان کي اجازت ڏئي ٿي ته ڪمزور SSH الگورٿم کي غير فعال ڪرڻ جي Cisco SD-WAN مئنيجر تي جيڪي شايد ڪجهه ڊيٽا سيڪيورٽي معيارن جي تعميل نه ڪن.

Cisco SD-WAN مئنيجر تي ڪمزور SSH انڪرپشن الگورتھم کي غير فعال ڪرڻ بابت ڄاڻ
Cisco SD-WAN مئنيجر مهيا ڪري ٿو هڪ SSH ڪلائنٽ رابطي لاءِ نيٽ ورڪ ۾ اجزاء، بشمول ڪنٽرولرز ۽ ايج ڊوائيسز. SSH ڪلائنٽ محفوظ ڊيٽا جي منتقلي لاءِ هڪ اينڪرپٽ ڪنيڪشن مهيا ڪري ٿو، مختلف قسم جي انڪرپشن الگورتھم جي بنياد تي. ڪيتريون ئي تنظيمون SHA-1، AES-128، ۽ AES-192 پاران مهيا ڪيل کان وڌيڪ مضبوط انڪرپشن جي ضرورت هونديون آهن. Cisco vManage Release 20.9.1 کان، توھان ھيٺ ڏنل ڪمزور انڪريپشن الگورتھم کي غير فعال ڪري سگھو ٿا ته جيئن ھڪڙو SSH ڪلائنٽ ھي الگورتھم استعمال نہ ڪري:

• SHA-1
• AES-128
• AES-192

ان انڪريپشن الگورٿم کي غير فعال ڪرڻ کان اڳ، پڪ ڪريو ته Cisco vEdge ڊوائيسز، جيڪڏهن ڪو، نيٽ ورڪ ۾، استعمال ڪري رهيا آهن سافٽ ويئر رليز بعد ۾ Cisco SD-WAN Release 18.4.6.

Cisco SD-WAN مئنيجر تي ڪمزور SSH انڪرپشن الگورتھم کي غير فعال ڪرڻ جا فائدا
ڪمزور SSH انڪرپشن الگورٿم کي غير فعال ڪرڻ SSH ڪميونيڪيشن جي سيڪيورٽي کي بهتر بڻائي ٿو، ۽ انهي ڳالهه کي يقيني بڻائي ٿو ته تنظيمون Cisco Catalyst SD-WAN استعمال ڪندي سخت حفاظتي ضابطن جي تعميل ڪن ٿيون.

CLI استعمال ڪندي Cisco SD-WAN مئنيجر تي ڪمزور SSH انڪرپشن الگورتھم کي بند ڪريو

1. Cisco SD-WAN مئنيجر مينيو مان، چونڊيو اوزار > SSH ٽرمينل.
2. چونڊيو Cisco SD-WAN مئنيجر ڊوائيس جنهن تي توهان ڪمزور SSH الگورتھم کي بند ڪرڻ چاهيو ٿا.
3. ڊوائيس ۾ لاگ ان ڪرڻ لاءِ يوزر نالو ۽ پاسورڊ داخل ڪريو.
4. داخل ڪريو SSH سرور موڊ.
   • vmanage (config) # سسٽم
   • vmanage(config-system)# ssh-server
5. SSH انڪرپشن الگورتھم کي غير فعال ڪرڻ لاءِ ھيٺين مان ھڪڙو ڪريو:
   • SHA-1 کي بند ڪريو:
6. منظم ڪريو(config-ssh-server)# no kex-algo sha1
7. منظم ڪريو (config-ssh-server) # انجام
   ھيٺ ڏنل ڊيڄاريندڙ پيغام ڏيکاريل آھي: ھيٺيون خبرداريون ٺاھيون ويون: 'system ssh-server kex-algo sha1': خبردار: مھرباني ڪري پڪ ڪريو ته توھان جا سڀئي ڪنڊا رن ڪوڊ ورجن > 18.4.6 جيڪي SHA1 کان بھتر vManage سان ڳالھائيندا آھن. ٻي صورت ۾ اهي ڪنڊا آف لائن ٿي سگهن ٿا. اڳتي وڌو؟ [ها، نه] ها
   • پڪ ڪريو ته نيٽ ورڪ ۾ ڪي به Cisco vEdge ڊوائيسز Cisco SD-WAN Release 18.4.6 يا بعد ۾ هلائي رهيا آهن ۽ ها داخل ڪريو.
   • AES-128 ۽ AES-192 کي بند ڪريو:
   • vmanage(config-ssh-server)# no cipher aes-128-192
   • vmanage(config-ssh-server)# ڪمٽ
     هيٺ ڏنل ڊيڄاريندڙ پيغام ڏيکاريل آهي:
     هيٺيان ڊيڄاريندڙ ٺاهيا ويا:
     'system ssh-server cipher aes-128-192': خبردار: مھرباني ڪري پڪ ڪريو ته توھان جا سڀ ڪنڊا رن ڪوڊ ورجن > 18.4.6 آھن جيڪي vManage سان AES-128-192 کان بھتر آھن. ٻي صورت ۾ اهي ڪنڊا آف لائن ٿي سگهن ٿا. اڳتي وڌو؟ [ها، نه] ها
   • پڪ ڪريو ته نيٽ ورڪ ۾ ڪي به Cisco vEdge ڊوائيسز Cisco SD-WAN Release 18.4.6 يا بعد ۾ هلائي رهيا آهن ۽ ها داخل ڪريو.

تصديق ڪريو ته ڪمزور SSH انڪرپشن الگورٿم بند ٿيل آھن Cisco SD-WAN مئنيجر تي CLI استعمال ڪندي

1. Cisco SD-WAN مئنيجر مينيو مان، چونڊيو اوزار > SSH ٽرمينل.
2. چونڊيو Cisco SD-WAN مئنيجر ڊيوائس جنهن جي توهان تصديق ڪرڻ چاهيو ٿا.
3. ڊوائيس ۾ لاگ ان ڪرڻ لاءِ يوزر نالو ۽ پاسورڊ داخل ڪريو.
4. ھيٺ ڏنل حڪم ھلايو: رننگ-config سسٽم ڏيکاريو ssh-server
5. تصديق ڪريو ته ٻاھر ڏيکاري ٿو ھڪڙي يا وڌيڪ حڪمن مان جيڪي ڪمزور اينڪرپشن الگورتھم کي غير فعال ڪن ٿا:
   • no cipher aes-128-192
   • ڪيڪس-الگو شا1

دستاويز / وسيلا

CISCO SD-WAN سيڪيورٽي پيٽرولر کي ترتيب ڏيو [pdf] استعمال ڪندڙ ھدايت SD-WAN سيڪيورٽي پيٽرولر ترتيب ڏيو، SD-WAN، سيڪيورٽي پيٽرولر کي ترتيب ڏيو، سيڪيورٽي پيٽرولر

حوالو

• استعمال ڪندڙ دستي