අන්තර්ගතය සඟවන්න
1 CISCO SD-WAN ආරක්ෂක පරාමිතීන් වින්‍යාස කරන්න
2 ආරක්ෂක පරාමිතීන් වින්‍යාස කරන්න
3 පාලන තලයේ ආරක්ෂක පරාමිතීන් වින්‍යාස කරන්න
4 Cisco SD-WAN කළමනාකරු තුළ DTLS වින්‍යාස කරන්න
5 Data Plane ආරක්ෂක පරාමිතීන් වින්‍යාස කරන්න
6 අවසර ලත් සත්‍යාපන වර්ග වින්‍යාස කරන්න
7 Rekeying Timer එක වෙනස් කරන්න
8 ප්‍රති-ප්‍රති-ප්‍රතිචාර කවුළුවේ ප්‍රමාණය වෙනස් කරන්න
9 IPsec ස්ථිතික මාර්ගයක් වින්‍යාස කරන්න
10 IPsec උමං පරාමිතීන් වින්‍යාස කරන්න
11 IKE Dead-Peer Detection වෙනස් කරන්න
12 වෙනත් අතුරු මුහුණත් ගුණාංග වින්‍යාස කරන්න
13 Cisco SD-WAN කළමනාකරු මත දුර්වල SSH සංකේතන ඇල්ගොරිතම අක්‍රීය කරන්න
14 ලේඛන / සම්පත්
14.1 යොමු කිරීම්

CISCO-ලාංඡනය

CISCO SD-WAN ආරක්ෂක පරාමිතීන් වින්‍යාස කරන්න

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

ආරක්ෂක පරාමිතීන් වින්‍යාස කරන්න

සටහන

සරල කිරීම සහ අනුකූලතාව ලබා ගැනීම සඳහා, Cisco SD-WAN විසඳුම Cisco Catalyst SD-WAN ලෙස නැවත නම් කර ඇත. ඊට අමතරව, Cisco IOS XE SD-WAN Release 17.12.1a සහ Cisco Catalyst SD-WAN Release 20.12.1 වෙතින්, පහත සඳහන් සංරචක වෙනස් කිරීම් අදාළ වේ: Cisco vManage සිට Cisco Catalyst SD-WAN කළමනාකරු, Cisco vAnalytics සිට CiscoWAN-උත්ප්‍රේරක දක්වා Analytics, Cisco vBond සිට Cisco Catalyst SD-WAN Validator, සහ Cisco vSmart to Cisco Catalyst SD-WAN Controller. සියලුම සංරචක සන්නාම නාමය වෙනස් කිරීම් පිළිබඳ සවිස්තර ලැයිස්තුවක් සඳහා නවතම නිකුතු සටහන් බලන්න. අපි නව නම් වෙත සංක්‍රමණය වන අතරතුර, මෘදුකාංග නිෂ්පාදනයේ පරිශීලක අතුරුමුහුණත් යාවත්කාලීන කිරීම් සඳහා පියවරෙන් පියවර ප්‍රවේශයක් නිසා ලේඛන කට්ටලයේ සමහර නොගැලපීම් තිබිය හැකිය.

Cisco Catalyst SD-WAN overlay network හි පාලන තලය සහ දත්ත තලය සඳහා ආරක්ෂක පරාමිතීන් වෙනස් කරන්නේ කෙසේද යන්න මෙම කොටසේ විස්තර කෙරේ.

  • Control Plane Security Parameters වින්‍යාස කරන්න, on
  • Data Plane ආරක්ෂක පරාමිතීන් වින්‍යාස කරන්න, on
  • IKE-Enabled IPsec Tunnels වින්‍යාස කරන්න, on
  • සිස්කෝ SD-WAN කළමනාකරු මත දුර්වල SSH සංකේතාංකන ඇල්ගොරිතම අක්‍රීය කරන්න

පාලන තලයේ ආරක්ෂක පරාමිතීන් වින්‍යාස කරන්න

පෙරනිමියෙන්, පාලන තලය එහි සියලුම උමං මත පුද්ගලිකත්වය සපයන ප්‍රොටෝකෝලය ලෙස DTLS භාවිතා කරයි. DTLS UDP හරහා ධාවනය වේ. ඔබට පාලන තල ආරක්ෂණ ප්‍රොටෝකෝලය TCP හරහා ක්‍රියාත්මක වන TLS වෙත වෙනස් කළ හැක. TLS භාවිතා කිරීමට මූලික හේතුව නම්, ඔබ Cisco SD-WAN පාලකය සේවාදායකයක් ලෙස සලකන්නේ නම්, ෆයර්වෝල් UDP සේවාදායකයන්ට වඩා TCP සේවාදායකයන් ආරක්ෂා කරයි. ඔබ Cisco SD-WAN පාලකය මත පාලන ප්ලේන් උමං ප්‍රොටෝකෝලය වින්‍යාස කරයි: vSmart(config)# ආරක්ෂක පාලන ප්‍රොටෝකෝලය tls මෙම වෙනස් කිරීමත් සමඟ, Cisco SD-WAN පාලකය සහ රවුටර අතර සහ Cisco SD-WAN පාලකය අතර සියලුම පාලන තල උමං මාර්ග සහ Cisco SD-WAN කළමනාකරු TLS භාවිතා කරයි. Cisco Catalyst SD-WAN Validator වෙත පාලන ප්ලේන් උමං සෑම විටම DTLS භාවිතා කරයි, මන්ද මෙම සම්බන්ධතා UDP විසින් හැසිරවිය යුතු බැවිනි. බහු Cisco SD-WAN පාලකයන් සහිත වසමක, ඔබ Cisco SD-WAN පාලකයන්ගෙන් එකක TLS වින්‍යාස කරන විට, එම පාලකයේ සිට අනෙක් පාලකයන් දක්වා ඇති සියලුම පාලන ප්ලේන් උමං TLS භාවිතා කරයි. වෙනත් ආකාරයකින් කිවහොත්, TLS සෑම විටම DTLS වලට වඩා ප්‍රමුඛත්වය ගනී. කෙසේ වෙතත්, අනෙකුත් Cisco SD-WAN පාලකයන්ගේ දෘෂ්ටිකෝණයෙන්, ඔබ ඒවා මත TLS වින්‍යාස කර නොමැති නම්, ඔවුන් එම Cisco SD-WAN පාලකය වෙත පමණක් පාලන තලයේ උමං මාර්ගයේ TLS භාවිතා කරයි, සහ ඔවුන් අනෙක් සියල්ලටම DTLS උමං භාවිතා කරයි. Cisco SD-WAN Controllers සහ ඔවුන්ගේ සියලුම සම්බන්ධිත රවුටර වෙත. සියලුම Cisco SD-WAN පාලකයන් TLS භාවිතා කිරීමට, ඒවා සියල්ලම වින්‍යාස කරන්න. පෙරනිමියෙන්, Cisco SD-WAN පාලකය TLS ඉල්ලීම් සඳහා වරාය 23456 මත සවන් දෙයි. මෙය වෙනස් කිරීමට: vSmart(config)# ආරක්ෂක පාලනය tls-port අංකය වරාය 1025 සිට 65535 දක්වා අංකයක් විය හැක. පාලන තල ආරක්ෂක තොරතුරු සංදර්ශන කිරීමට, Cisco SD-WAN Controller හි ඇති show control connections විධානය භාවිතා කරන්න. උදාහරණයක් ලෙසample: vSmart-2# පාලන සම්බන්ධතා පෙන්වන්න

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Cisco SD-WAN කළමනාකරු තුළ DTLS වින්‍යාස කරන්න

ඔබ Cisco SD-WAN කළමනාකරු වින්‍යාස කරන්නේ නම් TLS පාලන තල ආරක්ෂණ ප්‍රොටෝකෝලය ලෙස භාවිත කිරීමට, ඔබ ඔබේ NAT මත තොට ඉදිරියට යැවීම සබල කළ යුතුය. ඔබ පාලන තල ආරක්ෂක ප්‍රොටෝකෝලය ලෙස DTLS භාවිතා කරන්නේ නම්, ඔබට කිසිවක් කිරීමට අවශ්‍ය නැත. Cisco SD-WAN කළමනාකරු මත ක්‍රියාත්මක වන vdaemon ක්‍රියාවලි ගණන මත යොමු කරන ලද වරායන් ගණන රඳා පවතී. මෙම ක්‍රියාවලි ගැන සහ ඉදිරියට යවන වරායන් ගණන පිළිබඳ තොරතුරු පෙන්වීමට, ඩීමන් ක්‍රියාවලි හතරක් ක්‍රියාත්මක වන බව පෙන්වන්න පාලන සාරාංශ විධානය භාවිතා කරන්න:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

සවන්දීමේ වරායන් බැලීමට, ප්‍රදර්ශන පාලන ප්‍රාදේශීය-ප්‍රොපටීස් විධානය භාවිතා කරන්න: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

මෙම ප්‍රතිදානය මඟින් සවන් දෙන TCP තොට 23456 බව පෙන්වයි. ඔබ NAT එකක් පිටුපස Cisco SD-WAN කළමනාකරු ධාවනය කරන්නේ නම්, ඔබ NAT උපාංගයේ පහත වරායන් විවෘත කළ යුතුය:

  • 23456 (පදනම - උදාහරණය 0 වරාය)
  • 23456 + 100 (පදනම + 100)
  • 23456 + 200 (පදනම + 200)
  • 23456 + 300 (පදනම + 300)

අවස්ථා ගණන ඔබ Cisco SD-WAN කළමනාකරු සඳහා පවරා ඇති හර ගණනට සමාන වන බව සලකන්න, උපරිම 8 දක්වා.

ආරක්ෂක විශේෂාංග අච්චුව භාවිතයෙන් ආරක්ෂක පරාමිතීන් වින්‍යාස කරන්න

සියලුම Cisco vEdge උපාංග සඳහා ආරක්ෂක විශේෂාංග අච්චුව භාවිතා කරන්න. එජ් රවුටරවල සහ Cisco SD-WAN Validator මත, දත්ත තල ආරක්ෂාව සඳහා IPsec වින්‍යාස කිරීමට මෙම අච්චුව භාවිතා කරන්න. Cisco SD-WAN කළමනාකරු සහ Cisco SD-WAN පාලකය මත, පාලන තල ආරක්ෂාව සඳහා DTLS හෝ TLS වින්‍යාස කිරීමට ආරක්ෂක විශේෂාංග අච්චුව භාවිතා කරන්න.

ආරක්ෂක පරාමිතීන් වින්‍යාස කරන්න

  1. Cisco SD-WAN Manager මෙනුවෙන්, Configuration > Templates තෝරන්න.
  2. Feature Templates ක්ලික් කර ඉන්පසු Add Template ක්ලික් කරන්න.
    සටහන Cisco vManage Release 20.7.1 සහ ඊට පෙර නිකුත් කිරීම් වලදී Feature Templates Feature ලෙස හැඳින්වේ.
  3. වම් කවුළුවෙහි උපාංග ලැයිස්තුවෙන්, උපාංගයක් තෝරන්න. තෝරාගත් උපාංගයට අදාළ සැකිලි දකුණු කවුළුවෙහි දිස්වේ.
  4. අච්චුව විවෘත කිරීමට ආරක්ෂාව ක්ලික් කරන්න.
  5. සැකිලි නාම ක්ෂේත්‍රය තුළ, අච්චුව සඳහා නමක් ඇතුළත් කරන්න. නම අක්ෂර 128 දක්වා විය හැකි අතර අක්ෂරාංක අක්ෂර පමණක් අඩංගු විය හැක.
  6. සැකිලි විස්තර ක්ෂේත්‍රය තුළ, අච්චුවේ විස්තරයක් ඇතුළත් කරන්න. විස්තරය අක්ෂර 2048 දක්වා විය හැකි අතර අක්ෂරාංක අක්ෂර පමණක් අඩංගු විය හැක.

ඔබ ප්‍රථමයෙන් විශේෂාංග අච්චුවක් විවෘත කරන විට, පෙරනිමි අගයක් ඇති සෑම පරාමිතියක් සඳහාම, විෂය පථය පෙරනිමි ලෙස සකසා ඇත (චෙක් සලකුණකින් දක්වා ඇත), සහ පෙරනිමි සැකසුම හෝ අගය පෙන්වනු ලැබේ. පෙරනිමිය වෙනස් කිරීමට හෝ අගයක් ඇතුළත් කිරීමට, පරාමිති ක්ෂේත්‍රයේ වම්පස ඇති විෂය පථය පතන මෙනුව ක්ලික් කර පහත ඒවායින් එකක් තෝරන්න:

වගුව 1:

පරාමිතිය විෂය පථය විෂය පථය විස්තරය
උපාංගය විශේෂිත (ධාරක නිරූපකයක් මගින් දක්වනු ලැබේ) පරාමිතිය සඳහා උපාංග විශේෂිත අගයක් භාවිතා කරන්න. උපාංග-විශේෂිත පරාමිති සඳහා, ඔබට විශේෂාංග අච්චුවෙහි අගයක් ඇතුළත් කළ නොහැක. ඔබ Viptela උපාංගයක් උපාංග අච්චුවකට අමුණන විට ඔබ අගය ඇතුල් කරයි.

ඔබ උපාංග විශේෂිත ක්ලික් කළ විට, Enter යතුර කොටුව විවෘත වේ. මෙම කොටුව යතුරක් පෙන්වයි, එය CSV එකක පරාමිතිය හඳුනා ගන්නා අද්විතීය තන්තුවකි file ඔබ නිර්මාණය කරන බව. මෙය file සෑම යතුරක් සඳහාම එක් තීරුවක් අඩංගු Excel පැතුරුම්පතකි. ශීර්ෂ පේළියේ ප්‍රධාන නම් (තීරුවකට එක් යතුරක්) අඩංගු වන අතර ඉන් පසු සෑම පේළියක්ම උපාංගයකට අනුරූප වන අතර එම උපාංගය සඳහා යතුරු වල අගයන් නිර්වචනය කරයි. ඔබ CSV උඩුගත කරන්න file ඔබ උපාංග අච්චුවකට Viptela උපාංගයක් අමුණන විට. වැඩි විස්තර සඳහා, Template Variables Spreadsheet එකක් සාදන්න බලන්න.

පෙරනිමි යතුර වෙනස් කිරීමට, නව තන්තුවක් ටයිප් කර Enter Key කොටුවෙන් පිටතට කර්සරය ගෙන යන්න.

Exampඋපාංග-විශේෂිත පරාමිතීන් වන්නේ පද්ධති IP ලිපිනය, සත්කාරක නාමය, GPS ස්ථානය සහ අඩවි ID ය.
පරාමිතිය විෂය පථය විෂය පථය විස්තරය
ගෝලීය (ගෝලීය නිරූපකයක් මගින් දක්වනු ලැබේ) පරාමිතිය සඳහා අගයක් ඇතුළත් කරන්න, සහ එම අගය සියලුම උපාංග සඳහා යොදන්න.

Exampඋපාංග සමූහයකට ගෝලීය වශයෙන් යෙදිය හැකි පරාමිති වන්නේ DNS සේවාදායකය, syslog සේවාදායකය සහ අතුරුමුහුණත MTU ය.

පාලන තලයේ ආරක්ෂාව වින්‍යාස කරන්න

සටහන
Configure Control Plane Security කොටස Cisco SD-WAN Manager සහ Cisco SD-WAN Controller සඳහා පමණක් අදාළ වේ. Cisco SD-WAN Manager අවස්ථාවක් හෝ Cisco SD-WAN පාලකයක් මත පාලන තල සම්බන්ධතා ප්‍රොටෝකෝලය වින්‍යාස කිරීමට, මූලික වින්‍යාස ප්‍රදේශය තෝරන්න. සහ පහත පරාමිතීන් වින්‍යාස කරන්න:

වගුව 2:

පරාමිතිය නම විස්තරය
ප්රොටෝකෝලය Cisco SD-WAN පාලකයකට පාලන තල සම්බන්ධතා මත භාවිතා කිරීමට ප්‍රොටෝකෝලය තෝරන්න:

• DTLS (ඩාtagram Transport Layer Security). මෙය පෙරනිමියයි.

• TLS (ප්‍රවාහන ස්ථර ආරක්ෂාව)
TLS වරාය පාලනය කරන්න ඔබ TLS තෝරා ගත්තේ නම්, භාවිතා කිරීමට වරාය අංකය වින්‍යාස කරන්න:පරාසය: 1025 සිට 65535 දක්වාපෙරනිමිය: 23456

සුරකින්න ක්ලික් කරන්න

දත්ත තල ආරක්ෂාව වින්‍යාස කරන්න
Cisco SD-WAN Validator එකක හෝ Cisco vEdge router එකක දත්ත තල ආරක්ෂාව වින්‍යාස කිරීම සඳහා, මූලික වින්‍යාස සහ සත්‍යාපන වර්ග ටැබ් තෝරා, පහත පරාමිති වින්‍යාස කරන්න:

වගුව 3:

පරාමිතිය නම විස්තරය
Rekey කාලය Cisco vEdge router එකක් Cisco SD-WAN Controller වෙත එහි ආරක්ෂිත DTLS සම්බන්ධතාවයේ භාවිතා කරන AES යතුර කොපමණ වාරයක් වෙනස් කරන්නේද යන්න සඳහන් කරන්න. OMP රමණීය නැවත ආරම්භ කිරීම සබල කර ඇත්නම්, rekeying කාලය OMP graceful Restart ටයිමරයේ අගය මෙන් අවම වශයෙන් දෙගුණයක් විය යුතුය.පරාසය: තත්පර 10 සිට 1209600 දක්වා (දින 14)පෙරනිමිය: තත්පර 86400 (පැය 24)
නැවත ධාවනය කරන කවුළුව ස්ලයිඩින් නැවත ධාවනය කිරීමේ කවුළුවේ විශාලත්වය සඳහන් කරන්න.

අගයන්: 64, 128, 256, 512, 1024, 2048, 4096, 8192 පැකට්පෙරනිමිය: පැකට් 512 ක්
IPsec

යුගල වශයෙන්-යතුර

 මෙය පෙරනිමියෙන් ක්‍රියා විරහිත කර ඇත. ක්ලික් කරන්න On එය සක්රිය කිරීමට.
පරාමිතිය නම විස්තරය
සත්‍යාපන වර්ගය වෙතින් සත්‍යාපන වර්ග තෝරන්න සත්යාපනය ලැයිස්තුව, සහ සත්‍යාපන වර්ග වෙත ගෙන යාමට දකුණට යොමු වන ඊතලය ක්ලික් කරන්න තෝරාගත් ලැයිස්තුව තීරුව.

Cisco SD-WAN නිකුතුව 20.6.1 වෙතින් සහාය දක්වන සත්‍යාපන වර්ග:

•  esp: ESP ශීර්ෂය මත Encapsulating Security Payload (ESP) සංකේතනය සහ අඛණ්ඩතාව පරීක්ෂා කිරීම සබල කරයි.

•  ip-udp-esp: ESP සංකේතනය සබල කරයි. ESP ශීර්ෂයේ සහ ගෙවීමේ අඛණ්ඩතා චෙක්පත් වලට අමතරව, චෙක්පත් වලට බාහිර IP සහ UDP ශීර්ෂයන් ද ඇතුළත් වේ.

•  ip-udp-esp-no-id: Cisco Catalyst SD-WAN හට Cisco නොවන උපාංග සමඟ එක්ව ක්‍රියා කළ හැකි වන පරිදි IP ශීර්ෂයේ ID ක්ෂේත්‍රය නොසලකා හරියි.

•  කිසිවක් නැත: IPSec පැකට් වල අඛණ්ඩතාව පරීක්ෂා කිරීම අක්‍රිය කරයි. මෙම විකල්පය භාවිතා කිරීම අපි නිර්දේශ නොකරමු.

 

Cisco SD-WAN Release 20.5.1 සහ ඊට පෙර සහාය දක්වන සත්‍යාපන වර්ග:

•  ah-no-id: පැකට්ටුවේ පිටත IP ශීර්ෂයේ ID ක්ෂේත්‍රය නොසලකා හරින AH-SHA1 HMAC සහ ESP HMAC-SHA1 හි වැඩිදියුණු කළ අනුවාදයක් සබල කරන්න.

•  ah-sha1-hmac: AH-SHA1 HMAC සහ ESP HMAC-SHA1 සබල කරන්න.

•  කිසිවක් නැත: සත්‍යාපනයක් නැත තෝරන්න.

•  sha1-hmac: ESP HMAC-SHA1 සබල කරන්න.

 

සටහන              Cisco SD-WAN Release 20.5.1 හෝ ඊට පෙර ක්‍රියාත්මක වන අන්ත උපාංගයක් සඳහා, ඔබ භාවිතා කර සත්‍යාපන වර්ග වින්‍යාස කර තිබිය හැක. ආරක්ෂාව සැකිල්ල. ඔබ උපාංගය Cisco SD-WAN Release 20.6.1 හෝ ඊට පසුව උත්ශ්‍රේණි කරන විට, තෝරාගත් සත්‍යාපන වර්ග යාවත්කාලීන කරන්න ආරක්ෂාව Cisco SD-WAN Release 20.6.1 වෙතින් සහාය දක්වන සත්‍යාපන වර්ග සඳහා අච්චුව. සත්‍යාපන වර්ග යාවත්කාලීන කිරීමට, පහත සඳහන් දේ කරන්න:

1.      Cisco SD-WAN කළමනාකරු මෙනුවෙන්, තෝරන්න මානකරනය >

සැකිලි.

2.      ක්ලික් කරන්න විශේෂාංග සැකිලි.

3.      සොයා ගන්න ආරක්ෂාව යාවත්කාලීන කිරීමට අච්චුව ක්ලික් කරන්න ... සහ ක්ලික් කරන්න සංස්කරණය කරන්න.

4.      ක්ලික් කරන්න යාවත්කාලීන කරන්න. කිසිදු වින්‍යාසයක් වෙනස් නොකරන්න.

Cisco SD-WAN කළමනාකරු යාවත්කාලීන කරයි ආරක්ෂාව සහාය දක්වන සත්‍යාපන වර්ග පෙන්වීමට අච්චුව.

සුරකින්න ක්ලික් කරන්න.

Data Plane ආරක්ෂක පරාමිතීන් වින්‍යාස කරන්න

දත්ත තලය තුළ, සියලුම රවුටරවල පෙරනිමියෙන් IPsec සක්‍රීය කර ඇති අතර, පෙරනිමියෙන් IPsec උමං සම්බන්ධතා IPsec උමං මත සත්‍යාපනය සඳහා Encapsulating Security Payload (ESP) ප්‍රොටෝකෝලයේ වැඩි දියුණු කළ අනුවාදයක් භාවිතා කරයි. රවුටර වලදී, ඔබට සත්‍යාපන වර්ගය, IPsec rekeying ටයිමරය සහ IPsec ප්‍රති-ප්‍රති-ප්‍රති-ප්‍රතිචාර කවුළුවේ ප්‍රමාණය වෙනස් කළ හැකිය.

අවසර ලත් සත්‍යාපන වර්ග වින්‍යාස කරන්න

Cisco SD-WAN නිකුතුවේ සත්‍යාපන වර්ග 20.6.1 සහ පසුව
Cisco SD-WAN Release 20.6.1 වෙතින්, පහත අඛණ්ඩතා වර්ග සඳහා සහය දක්වයි:

  • esp: මෙම විකල්පය ESP ශීර්ෂය මත Encapsulating Security Payload (ESP) සංකේතනය සහ අඛණ්ඩතාව පරීක්ෂා කිරීම සක්‍රීය කරයි.
  • ip-udp-esp: මෙම විකල්පය ESP සංකේතනය සක්‍රීය කරයි. ESP ශීර්ෂයේ සහ ගෙවීම් භාරයේ අඛණ්ඩතා චෙක්පත් වලට අමතරව, චෙක්පත් වලට බාහිර IP සහ UDP ශීර්ෂයන් ද ඇතුළත් වේ.
  • ip-udp-esp-no-id: මෙම විකල්පය ip-udp-esp ට සමාන වේ, කෙසේ වෙතත්, පිටත IP ශීර්ෂයේ ID ක්ෂේත්‍රය නොසලකා හරිනු ලැබේ. Cisco Catalyst SD-WAN හට Cisco Catalyst SD-WAN හට Cisco නොවන උපාංග සමඟ එක්ව ක්‍රියා කළ හැකි වන පරිදි IP ශීර්ෂයේ ඇති ID ක්ෂේත්‍රය නොසලකා හැරීමට Cisco Catalyst SD-WAN මෘදුකාංගය අඛණ්ඩතා වර්ග ලැයිස්තුවේ මෙම විකල්පය වින්‍යාස කරන්න.
  • කිසිවක් නැත: මෙම විකල්පය IPSec පැකට් වල අඛණ්ඩතාව පරීක්ෂා කිරීම අක්‍රිය කරයි. මෙම විකල්පය භාවිතා කිරීම අපි නිර්දේශ නොකරමු.

පෙරනිමියෙන්, IPsec උමං සම්බන්ධතා සත්‍යාපනය සඳහා Encapsulating Security Payload (ESP) ප්‍රොටෝකෝලයෙහි වැඩි දියුණු කළ අනුවාදයක් භාවිතා කරයි. සාකච්ඡා කරන ලද අන්තර් වර්ග වෙනස් කිරීමට හෝ අඛණ්ඩතා පරීක්ෂාව අක්‍රීය කිරීමට, පහත විධානය භාවිතා කරන්න: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Cisco SD-WAN නිකුතුවට පෙර සත්‍යාපන වර්ග 20.6.1
පෙරනිමියෙන්, IPsec උමං සම්බන්ධතා සත්‍යාපනය සඳහා Encapsulating Security Payload (ESP) ප්‍රොටෝකෝලයෙහි වැඩි දියුණු කළ අනුවාදයක් භාවිතා කරයි. සාකච්ඡා කරන ලද සත්‍යාපන වර්ග වෙනස් කිරීමට හෝ සත්‍යාපනය අක්‍රිය කිරීමට, පහත විධානය භාවිතා කරන්න: Device(config)# ආරක්‍ෂාව ipsec සත්‍යාපන-වර්ගය (ah-sha1-hmac | ah-no-id | sha1-hmac | | නැත) පෙරනිමියෙන්, IPsec උමං සම්බන්ධතා AES-GCM-256 භාවිතා කරයි, එය සංකේතනය සහ සත්‍යාපනය යන දෙකම සපයයි. එක් එක් සත්‍යාපන වර්ගය වෙනම ආරක්‍ෂක ipsec සත්‍යාපන ආකාරයේ විධානයක් සමඟින් වින්‍යාස කරන්න. විධාන විකල්ප පහත සඳහන් සත්‍යාපන වර්ග වෙත සිතියම්ගත කරයි, ඒවා වඩාත් ප්‍රබල සිට අවම ප්‍රබල දක්වා අනුපිළිවෙලට ලැයිස්තුගත කර ඇත:

සටහන
වින්‍යාස විකල්පයන්හි sha1 ඓතිහාසික හේතූන් මත භාවිතා වේ. සත්‍යාපන විකල්පයන් පෙන්නුම් කරන්නේ පැකට් අඛණ්ඩතාව පරීක්ෂා කිරීම කොපමණ ප්‍රමාණයක් සිදු කර ඇත්ද යන්නයි. ඔවුන් අඛණ්ඩතාව පරීක්ෂා කරන ඇල්ගොරිතම සඳහන් නොකරයි. බහු විකාශන ගමනාගමනය සංකේතනය කිරීම හැර, Cisco Catalyst SD WAN මගින් සහාය දක්වන සත්‍යාපන ඇල්ගොරිතම SHA1 භාවිතා නොකරයි. කෙසේ වෙතත් Cisco SD-WAN Release 20.1.x සහ ඉදිරියට, unicast සහ multicast යන දෙකම SHA1 භාවිතා නොකරයි.

  • ah-sha1-hmac මඟින් ESP භාවිතයෙන් සංකේතනය සහ encapsulation සක්‍රීය කරයි. කෙසේ වෙතත්, ESP ශීර්ෂයේ සහ ගෙවීම් භාරයේ අඛණ්ඩතා චෙක්පත් වලට අමතරව, චෙක්පත් වලට බාහිර IP සහ UDP ශීර්ෂයන් ද ඇතුළත් වේ. එබැවින්, මෙම විකල්පය සත්‍යාපන ශීර්ෂ (AH) ප්‍රොටෝකෝලය හා සමාන පැකට්ටුවේ අඛණ්ඩතා පරීක්ෂාවකට සහය දක්වයි. සියලුම අඛණ්ඩතාව සහ සංකේතනය AES-256-GCM භාවිතයෙන් සිදු කෙරේ.
  • ah-no-id ah-sha1-hmac ට සමාන මාදිලියක් සක්‍රීය කරයි, කෙසේ වෙතත්, පිටත IP ශීර්ෂයේ ID ක්ෂේත්‍රය නොසලකා හරිනු ලැබේ. මෙම විකල්පය Apple AirPort Express NAT ඇතුළු සමහර Cisco Catalyst නොවන SD-WAN උපාංග සඳහා ඉඩ සලසයි, එය IP ශීර්ෂයේ ID ක්ෂේත්‍රය වෙනස් කිරීමට හේතු වන දෝෂයක් ඇති, වෙනස් කළ නොහැකි ක්ෂේත්‍රයක්. Cisco Catalyst SD-WAN AH මෘදුකාංගය IP ශීර්ෂයේ ID ක්ෂේත්‍රය නොසලකා හැරීමට සත්‍යාපන වර්ග ලැයිස්තුවේ ah-no-id විකල්පය වින්‍යාස කරන්න එවිට Cisco Catalyst SD-WAN මෘදුකාංගයට මෙම උපාංග සමඟ එක්ව ක්‍රියා කළ හැක.
  • sha1-hmac ESP සංකේතනය සහ අඛණ්ඩතාව පරීක්ෂා කිරීම සක්‍රීය කරයි.
  • කිසිම සත්‍යාපනයක් සඳහා සිතියම් නොකරයි. මෙම විකල්පය භාවිතා කළ යුත්තේ එය තාවකාලික නිදොස්කරණය සඳහා අවශ්ය නම් පමණි. දත්ත තල සත්‍යාපනය සහ අඛණ්ඩතාව ගැන සැලකිලිමත් නොවන අවස්ථා වලදී ඔබට මෙම විකල්පය තෝරා ගත හැකිය. නිෂ්පාදන ජාල සඳහා මෙම විකල්පය භාවිතා කිරීම සිස්කෝ නිර්දේශ නොකරයි.

මෙම සත්‍යාපන වර්ග මගින් බලපානු ලබන දත්ත පැකට් ක්ෂේත්‍ර පිළිබඳ තොරතුරු සඳහා, Data Plane Integrity බලන්න. Cisco IOS XE Catalyst SD-WAN උපාංග සහ Cisco vEdge උපාංග ඔවුන්ගේ TLOC ගුණාංග තුළ ඔවුන්ගේ වින්‍යාසගත සත්‍යාපන වර්ග ප්‍රචාරණය කරයි. IPsec උමං සම්බන්ධතාවයක දෙපස ඇති රවුටර දෙක, රවුටර දෙකෙහිම වින්‍යාස කර ඇති ප්‍රබලම සත්‍යාපන වර්ගය භාවිතා කරමින්, ඒවා අතර සම්බන්ධතාවයේ භාවිතා කිරීමට සත්‍යාපනය සාකච්ඡා කරයි. උදාහරණයක් ලෙසample, එක් රවුටරයක් ​​ah-sha1-hmac සහ ah-no-id වර්ග ප්‍රචාරණය කරන්නේ නම් සහ දෙවන රවුටරයක් ​​ah-no-id වර්ගය ප්‍රචාරණය කරන්නේ නම්, රවුටර දෙක IPsec උමං සම්බන්ධතාව මත ah-no-id භාවිතා කිරීමට සාකච්ඡා කරයි. ඔවුන්ට. සම වයසේ මිතුරන් දෙදෙනා මත පොදු සත්‍යාපන වර්ග කිසිවක් වින්‍යාස කර නොමැති නම්, ඔවුන් අතර IPsec උමගක් ස්ථාපිත නොවේ. IPsec උමං සම්බන්ධතා මත සංකේතාංකන ඇල්ගොරිතම ගමනාගමන වර්ගය මත රඳා පවතී:

  • ඒකීය ගමනාගමනය සඳහා, සංකේතාංකන ඇල්ගොරිතම AES-256-GCM වේ.
  • බහු විකාශන ගමනාගමනය සඳහා:
  • Cisco SD-WAN නිකුතුව 20.1.x සහ පසුව - සංකේතාංකන ඇල්ගොරිතම AES-256-GCM වේ
  • පෙර නිකුතු- සංකේතාංකන ඇල්ගොරිතම SHA256-HMAC සමඟ AES-1-CBC වේ.

IPsec සත්‍යාපන වර්ගය වෙනස් කළ විට, දත්ත මාර්ගය සඳහා AES යතුර වෙනස් වේ.

Rekeying Timer එක වෙනස් කරන්න

Cisco IOS XE Catalyst SD-WAN උපාංග සහ Cisco vEdge උපාංගවලට දත්ත ගමනාගමනය හුවමාරු කර ගැනීමට පෙර, ඔවුන් ඔවුන් අතර ආරක්ෂිත සත්‍යාපනය කළ සන්නිවේදන නාලිකාවක් සකසයි. රවුටර ඔවුන් අතර IPSec උමං නාලිකාව ලෙස භාවිතා කරයි, සහ සංකේතනය කිරීමට AES-256 කේතාංකය භාවිතා කරයි. සෑම රවුටරයක්ම එහි දත්ත මාර්ගය සඳහා වරින් වර නව AES යතුරක් ජනනය කරයි. පෙරනිමියෙන්, යතුරක් තත්පර 86400 (පැය 24) සඳහා වලංගු වේ, සහ ටයිමර් පරාසය තත්පර 10 සිට තත්පර 1209600 (දින 14) දක්වා වේ. rekey ටයිමර් අගය වෙනස් කිරීමට: Device(config)# Security ipsec rekey seconds වින්‍යාසය මේ ආකාරයට පෙනේ:

  • ආරක්ෂාව ipsec rekey තත්පර !

ඔබට වහාම නව IPsec යතුරු උත්පාදනය කිරීමට අවශ්‍ය නම්, ඔබට රවුටරයේ වින්‍යාසය වෙනස් නොකර එය කළ හැකිය. මෙය සිදු කිරීම සඳහා, සම්මුතියට පත් රවුටරයේ ඉල්ලීම ආරක්ෂක ipsecrekey විධානය නිකුත් කරන්න. උදාහරණයක් ලෙසample, පහත ප්‍රතිදානය පෙන්නුම් කරන්නේ දේශීය SA හි ආරක්ෂක පරාමිති දර්ශකය (SPI) 256ක් ඇති බවයි:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

එක් එක් SPI සමඟ අද්විතීය යතුරක් සම්බන්ධ වේ. මෙම යතුර අවදානමට ලක්ව ඇත්නම්, වහාම නව යතුරක් උත්පාදනය කිරීමට ඉල්ලීම් ආරක්ෂක ipsec-rekey විධානය භාවිතා කරන්න. මෙම විධානය SPI වැඩි කරයි. අපේ හිටපුample, SPI 257 ට වෙනස් වන අතර එයට සම්බන්ධ යතුර දැන් භාවිතා වේ:

  • Device# ඉල්ලීම ආරක්ෂක ipsecrekey
  • Device# පෙන්වන්න ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

නව යතුර උත්පාදනය කිරීමෙන් පසුව, රවුටරය එය DTLS හෝ TLS භාවිතයෙන් Cisco SD-WAN පාලකයන් වෙත වහාම යවයි. Cisco SD-WAN Controllers යතුර peer routers වෙත යවයි. රවුටර එය ලැබුණු වහාම එය භාවිතා කිරීමට පටන් ගනී. පැරණි SPI (256) හා සම්බන්ධ යතුර එය අවසන් වන තෙක් කෙටි කාලයක් සඳහා දිගටම භාවිතා වන බව සලකන්න. පැරණි යතුර භාවිතා කිරීම වහාම නැවැත්වීමට, ඉල්ලීම් ආරක්ෂක ipsec-rekey විධානය ඉක්මන් අනුප්‍රාප්තියකින් දෙවරක් නිකුත් කරන්න. මෙම විධාන අනුපිළිවෙල SPI 256 සහ 257 යන දෙකම ඉවත් කර SPI 258 ලෙස සකසයි. එවිට රවුටරය SPI 258 හි ආශ්‍රිත යතුර භාවිතා කරයි. කෙසේ වෙතත්, සියලු දුරස්ථ රවුටර ඉගෙන ගන්නා තෙක් සමහර පැකට් කෙටි කාලයක් සඳහා අතහැර දමනු ඇති බව සලකන්න. නව යතුර.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

ප්‍රති-ප්‍රති-ප්‍රතිචාර කවුළුවේ ප්‍රමාණය වෙනස් කරන්න

IPsec සත්‍යාපනය දත්ත ප්‍රවාහයක එක් එක් පැකට්ටුවට අනන්‍ය අනුක්‍රමික අංකයක් ලබා දීමෙන් ප්‍රති-ප්‍රති-ප්‍රති-ආරක්ෂාව සපයයි. මෙම අනුක්‍රමය අංකනය දත්ත පැකට් අනුපිටපත් කරන ප්‍රහාරකයෙකුගෙන් ආරක්ෂා කරයි. ප්‍රති-ප්‍රති-ප්‍රති-ප්‍රති-ආරක්ෂාව සමඟ, යවන්නා ඒකාකාරී ලෙස වැඩි වන අනුක්‍රමික අංක ලබා දෙයි, සහ ගමනාන්තය අනුපිටපත් හඳුනා ගැනීමට මෙම අනුක්‍රමික අංක පරීක්ෂා කරයි. පැකට් බොහෝ විට පිළිවෙලට නොපැමිණෙන නිසා, ගමනාන්තය එය පිළිගන්නා අනුක්‍රමික අංකවල ස්ලයිඩින් කවුළුවක් පවත්වාගෙන යයි.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

ස්ලයිඩින් කවුළු පරාසයේ වම්පසට වැටෙන අනුක්‍රමික අංක සහිත පැකට් පැරණි හෝ අනුපිටපත් ලෙස සලකනු ලබන අතර ගමනාන්තය ඒවා පහත හෙළයි. ගමනාන්තය එයට ලැබුණු ඉහළම අනුක්‍රමික අංකය ලුහුබඳින අතර ඉහළ අගයක් සහිත පැකට්ටුවක් ලැබුණු විට ස්ලයිඩින් කවුළුව සීරුමාරු කරයි.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

පෙරනිමියෙන්, ස්ලයිඩින් කවුළුව පැකට් 512 ට සකසා ඇත. එය 64 ක බලයක් වන 4096 සහ 2 අතර ඕනෑම අගයකට සැකසිය හැක (එනම්, 64, 128, 256, 512, 1024, 2048, හෝ 4096). ප්‍රති-ප්‍රති-ප්‍රතිචාර කවුළු ප්‍රමාණය වෙනස් කිරීම සඳහා, කවුළුවේ ප්‍රමාණය සඳහන් කරමින් නැවත ධාවනය-කවුළු විධානය භාවිතා කරන්න:

උපාංගය(config)# ආරක්ෂක ipsec නැවත ධාවනය-කවුළු අංකය

වින්‍යාසය මේ ආකාරයට පෙනේ:
ආරක්ෂාව ipsec replay-window number ! !

QoS සමඟ උදව් කිරීම සඳහා, පළමු ගමනාගමන නාලිකා අටෙන් එක් එක් නැවත ධාවනය කිරීමේ කවුළු වෙන වෙනම පවත්වාගෙන යනු ලැබේ. එක් එක් නාලිකාව සඳහා වින්‍යාස කරන ලද නැවත ධාවනය කිරීමේ කවුළු ප්‍රමාණය අටකින් බෙදනු ලැබේ. QoS රවුටරයක වින්‍යාස කර ඇත්නම්, එම රවුටරය IPsec ප්‍රති-ප්‍රති-ප්‍රති-ප්‍රති-ප්‍රති-ක්‍රියා යාන්ත්‍රණයේ ප්‍රතිඵලයක් ලෙස බලාපොරොත්තු වූවාට වඩා විශාල පැකට් පහත වැටීමක් අත්විඳිය හැකිය, සහ අතහැර දැමූ බොහෝ පැකට් නීත්‍යානුකූල ඒවා වේ. මෙය සිදු වන්නේ QoS පැකට් නැවත ඇණවුම් කිරීම, ඉහළ ප්‍රමුඛතා පැකට් වලට මනාප ප්‍රතිකාර ලබා දීම සහ අඩු ප්‍රමුඛතා පැකට් ප්‍රමාද කිරීම නිසාය. මෙම තත්වය අවම කිරීම හෝ වළක්වා ගැනීම සඳහා, ඔබට පහත සඳහන් දෑ කළ හැකිය:

  • ප්‍රති-ප්‍රති-ප්‍රතිචාර කවුළුවේ ප්‍රමාණය වැඩි කරන්න.
  • නාලිකාවක් තුළ ගමනාගමනය නැවත අනුපිළිවෙළට නොගැලපෙන බව සහතික කිරීම සඳහා පළමු රථවාහන මාර්ග අටට ඉංජිනේරු තදබදය.

IKE-Enabled IPsec Tunnels වින්‍යාස කරන්න
ආවරණ ජාලයේ සිට සේවා ජාලයකට ගමනාගමනය ආරක්ෂිතව මාරු කිරීම සඳහා, ඔබට අන්තර්ජාල යතුරු හුවමාරු (IKE) ප්‍රොටෝකෝලය ක්‍රියාත්මක කරන IPsec උමං මාර්ග වින්‍යාසගත කළ හැක. IKE-සක්‍රීය IPsec උමං මාර්ග ආරක්ෂිත පැකට් ප්‍රවාහනය සහතික කිරීම සඳහා සත්‍යාපනය සහ සංකේතනය සපයයි. ඔබ IPsec අතුරුමුහුණතක් වින්‍යාස කිරීමෙන් IKE-සක්‍රීය IPsec උමගක් නිර්මාණය කරයි. IPsec අතුරුමුහුණත් තාර්කික අතුරුමුහුණත් වන අතර, ඔබ ඒවා වෙනත් ඕනෑම භෞතික අතුරු මුහුණතක් මෙන් වින්‍යාස කරයි. ඔබ IPsec අතුරුමුහුණත මත IKE ප්‍රොටෝකෝල පරාමිතීන් වින්‍යාස කරන අතර ඔබට වෙනත් අතුරු මුහුණත් ගුණාංග වින්‍යාසගත කළ හැක.

සටහන IKE අනුවාදය 2 භාවිතා කිරීම Cisco නිර්දේශ කරයි. Cisco SD-WAN 19.2.x නිකුතුවේ සිට, පෙර-බෙදාගත් යතුර අවම වශයෙන් බයිට් 16ක් දිග විය යුතුය. රවුටරය 16 අනුවාදයට උත්ශ්‍රේණි කරන විට යතුරු ප්‍රමාණය අක්ෂර 19.2 ට වඩා අඩු නම් IPsec උමං ස්ථාපනය අසාර්ථක වේ.

සටහන
Cisco Catalyst SD-WAN මෘදුකාංගය RFC 2 හි නිර්වචනය කර ඇති පරිදි IKE අනුවාදය 7296 සඳහා සහය දක්වයි. IPsec උමං සඳහා එක් භාවිතයක් වන්නේ Amazon AWS මත ධාවනය වන vEdge Cloud router VM අවස්ථාවන්ට Amazon virtual private cloud (VPC) වෙත සම්බන්ධ වීමට ඉඩ දීමයි. ඔබ මෙම රවුටරවල IKE අනුවාදය 1 වින්‍යාසගත කළ යුතුය. Cisco vEdge උපාංග IPSec වින්‍යාසය තුළ මාර්ග-පාදක VPN වලට පමණක් සහය දක්වයි, මන්ද මෙම උපාංගවලට සංකේතන වසම තුළ රථවාහන තේරීම් නිර්වචනය කළ නොහැක.

IPsec උමගක් වින්‍යාස කරන්න
සේවා ජාලයකින් ආරක්ෂිත ප්‍රවාහන ගමනාගමනය සඳහා IPsec උමං අතුරුමුහුණතක් වින්‍යාස කිරීමට, ඔබ තාර්කික IPsec අතුරුමුහුණතක් සාදන්න:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

ඔබට ප්‍රවාහන VPN (VPN 0) සහ ඕනෑම සේවාවක VPN (VPN 1 සිට 65530 දක්වා, 512 හැර) IPsec උමග නිර්මාණය කළ හැකිය. IPsec අතුරුමුහුණතට ipsecnumber ආකෘතියෙන් නමක් ඇත, එහිදී අංකය 1 සිට 255 දක්වා විය හැක. සෑම IPsec අතුරුමුහුණතකටම IPv4 ලිපිනයක් තිබිය යුතුය. මෙම ලිපිනය /30 උපසර්ගයක් විය යුතුය. මෙම IPv4 උපසර්ගය තුළ ඇති VPN හි ඇති සියලුම ගමනාගමනය VPN 0 හි භෞතික අතුරු මුහුණතකට IPsec උමගක් හරහා ආරක්ෂිතව යැවීමට යොමු කෙරේ. දේශීය උපාංගයේ IPsec උමගෙහි මූලාශ්‍රය වින්‍යාස කිරීමට, ඔබට IP ලිපිනය සඳහන් කළ හැක. භෞතික අතුරුමුහුණත (උමග-මූලාශ්‍ර විධානයේ) හෝ භෞතික අතුරු මුහුණතේ නම (උමං-මූලාශ්‍ර-අතුරුමුහුණත විධානයේ). භෞතික අතුරුමුහුණත VPN 0 හි වින්‍යාස කර ඇති බව සහතික කර ගන්න. IPsec උමගෙහි ගමනාන්තය වින්‍යාස කිරීම සඳහා, tunnel-destination විධානය තුළ දුරස්ථ උපාංගයේ IP ලිපිනය සඳහන් කරන්න. මූලාශ්‍ර ලිපිනයක් (හෝ මූලාශ්‍ර අතුරුමුහුණත නම) සහ ගමනාන්ත ලිපිනයක එකතුව තනි IPsec උමගක් නිර්වචනය කරයි. නිශ්චිත මූලාශ්‍ර ලිපිනයක් (හෝ අතුරු මුහුණතේ නම) සහ ගමනාන්ත ලිපින යුගලයක් භාවිත කරන එක් IPsec උමං මාර්ගයක් පමණක් පැවතිය හැකිය.

IPsec ස්ථිතික මාර්ගයක් වින්‍යාස කරන්න

VPN සේවාවේ සිට ප්‍රවාහන VPN (VPN 0) හි IPsec උමගකට ගමනාගමනය යොමු කිරීමට, ඔබ VPN සේවාවක IPsec-විශේෂිත ස්ථිතික මාර්ගයක් වින්‍යාස කරන්න (VPN 0 හෝ VPN 512 හැර VPN එකක්):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route උපසර්ගය/දිග vpn 0 අතුරුමුහුණත
  • ipsecnumber [ipsecnumber2]

VPN ID යනු ඕනෑම සේවාවක VPN (VPN 1 සිට 65530 දක්වා, 512 හැර). උපසර්ගය/දිග යනු IP ලිපිනය හෝ උපසර්ගය, දශම හතර-කොටස්-තිත් අංකනය, සහ IPsec-විශේෂිත ස්ථිතික මාර්ගයේ උපසර්ග දිග. අතුරු මුහුණත VPN 0 හි IPsec උමං අතුරුමුහුණත වේ. ඔබට IPsec උමං අතුරුමුහුණත් එකක් හෝ දෙකක් වින්‍යාසගත කළ හැක. ඔබ දෙකක් වින්‍යාස කරන්නේ නම්, පළමුවැන්න ප්‍රාථමික IPsec උමං මාර්ගය වන අතර දෙවැන්න උපස්ථය වේ. අතුරුමුහුණත් දෙකක් සමඟ, සියලුම පැකට් යවනු ලබන්නේ ප්‍රාථමික උමඟට පමණි. එම උමඟ අසාර්ථක වුවහොත්, සියලුම පැකට් ද්විතියික උමග වෙත යවනු ලැබේ. ප්‍රාථමික උමග නැවත ඉහළට එන්නේ නම්, සියලුම ගමනාගමනය ප්‍රාථමික IPsec උමග වෙත ආපසු ගෙන යනු ලැබේ.

IKE අනුවාදය 1 සබල කරන්න
ඔබ vEdge රවුටරයක IPsec උමගක් සාදන විට, IKE අනුවාදය 1 උමං අතුරුමුහුණත මත පෙරනිමියෙන් සක්‍රීය වේ. IKEv1 සඳහා පහත ගුණාංග ද පෙරනිමියෙන් සක්‍රීය කර ඇත:

  • සත්‍යාපනය සහ සංකේතනය—ඒඊඑස්-256 උසස් සංකේතාංකන සම්මත CBC සංකේතනය HMAC-SHA1 යතුරු-හැෂ් පණිවිඩ සත්‍යාපන කේත ඇල්ගොරිතම සමඟ අඛණ්ඩතාව සඳහා
  • Diffie-Hellman කණ්ඩායම් අංකය-16
  • නැවත සකස් කිරීමේ කාල පරතරය - පැය 4
  • SA පිහිටුවීමේ ආකාරය-ප්‍රධාන

පෙරනිමියෙන්, IKEv1 IKE SAs පිහිටුවීමට IKE ප්‍රධාන මාදිලිය භාවිතා කරයි. මෙම මාදිලියේදී, SA පිහිටුවීම සඳහා සාකච්ඡා පැකට් හයක් හුවමාරු වේ. සාකච්ඡා පැකට් තුනක් පමණක් හුවමාරු කර ගැනීමට, ආක්‍රමණශීලී මාදිලිය සබල කරන්න:

සටහන
හැකි සෑම විටම පෙර-බෙදාගත් යතුරු සහිත IKE ආක්‍රමණශීලී මාදිලිය වැළැක්විය යුතුය. එසේ නොමැතිනම් ශක්තිමත් පෙර බෙදාගත් යතුරක් තෝරාගත යුතුය.

  • vEdge(config)# vpn vpn-id අතුරුමුහුණත ipsec අංකය ike
  • vEdge(config-ike)# මාදිලිය ආක්‍රමණශීලී

පෙරනිමියෙන්, IKEv1 IKE යතුරු හුවමාරුවේ Diffie-Hellman group 16 භාවිතා කරයි. මෙම කණ්ඩායම IKE යතුරු හුවමාරුව අතරතුර 4096-bit වැඩි මොඩියුලර් ඝාතීය (MODP) කණ්ඩායම භාවිතා කරයි. ඔබට කණ්ඩායම් අංකය 2 (1024-bit MODP සඳහා), 14 (2048-bit MODP) හෝ 15 (බිට් 3072 MODP) ලෙස වෙනස් කළ හැක:

  • vEdge(config)# vpn vpn-id අතුරුමුහුණත ipsec අංකය ike
  • vEdge(config-ike)# කණ්ඩායම් අංකය

පෙරනිමියෙන්, IKE යතුරු හුවමාරුව අඛණ්ඩතාව සඳහා HMAC-SHA256 keyed-hash පණිවිඩ සත්‍යාපන කේත ඇල්ගොරිතම සමඟ AES-1 උසස් සංකේතන සම්මත CBC සංකේතනය භාවිතා කරයි. ඔබට සත්‍යාපනය වෙනස් කළ හැකිය:

  • vEdge(config)# vpn vpn-id අතුරුමුහුණත ipsec අංකය ike
  • vEdge(config-ike)# cipher-suite suite

සත්‍යාපන කට්ටලය පහත ඒවායින් එකක් විය හැක:

  • aes128-cbc-sha1—AES-128 උසස් සංකේතාංකන සම්මත CBC සංකේතනය HMAC-SHA1 යතුරු-හැෂ් පණිවිඩ සත්‍යාපන කේත ඇල්ගොරිතම සමඟ අඛණ්ඩතාව සඳහා
  • aes128-cbc-sha2—AES-128 උසස් සංකේතාංකන සම්මත CBC සංකේතනය HMAC-SHA256 යතුරු-හැෂ් පණිවිඩ සත්‍යාපන කේත ඇල්ගොරිතම සමඟ අඛණ්ඩතාව සඳහා
  • aes256-cbc-sha1—AES-256 උසස් සංකේතාංකන සම්මත CBC සංකේතනය HMAC-SHA1 යතුරු-හැෂ් පණිවිඩ සත්‍යාපන කේත ඇල්ගොරිතම සමඟ අඛණ්ඩතාව සඳහා; මෙය පෙරනිමියයි.
  • aes256-cbc-sha2—AES-256 උසස් සංකේතාංකන සම්මත CBC සංකේතනය HMAC-SHA256 යතුරු-හැෂ් පණිවිඩ සත්‍යාපන කේත ඇල්ගොරිතම සමඟ අඛණ්ඩතාව සඳහා

පෙරනිමියෙන්, IKE යතුරු සෑම පැය 1 කට වරක් (තත්පර 3600) නැවුම් වේ. ඔබට rekeying interval එක තත්පර 30 සිට දින 14 (තත්පර 1209600) දක්වා අගයකට වෙනස් කළ හැක. නැවත සකස් කිරීමේ පරතරය අවම වශයෙන් පැය 1 ක් විය යුතු බව නිර්දේශ කෙරේ.

  • vEdge(config)# vpn vpn-id අතුරුමුහුණත ipsec අංකය වැනි
  • vEdge(config-ike)# rekey තත්පර

IKE සැසියක් සඳහා නව යතුරු උත්පාදනය කිරීමට බල කිරීමට, ඉල්ලීම ipsec ike-rekey විධානය නිකුත් කරන්න.

  • vEdge(config)# vpn vpn-id interfaceipsec අංකය ike

IKE සඳහා, ඔබට පෙර බෙදාගත් යතුර (PSK) සත්‍යාපනයද වින්‍යාසගත කළ හැක:

  • vEdge(config)# vpn vpn-id අතුරුමුහුණත ipsec අංකය ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password යනු පෙර බෙදාගත් යතුර සමඟ භාවිතා කළ යුතු මුරපදයයි. එය අක්ෂර 1 සිට 127 දක්වා දිග ASCII හෝ ෂඩ් දශම තන්තුවක් විය හැක.

දුරස්ථ IKE මිතුරාට දේශීය හෝ දුරස්ථ හැඳුනුම්පතක් අවශ්‍ය නම්, ඔබට මෙම හැඳුනුම්කාරකය වින්‍යාස කළ හැක:

  • vEdge(config)# vpn vpn-id අතුරුමුහුණත ipsec අංකය වැනි සත්‍යාපන වර්ගය
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

හඳුනාගැනීම IP ලිපිනයක් හෝ අක්ෂර 1 සිට 63 දක්වා දිග ඕනෑම පෙළ පෙළක් විය හැක. පෙරනිමියෙන්, දේශීය ID යනු උමගෙහි මූලාශ්‍ර IP ලිපිනය වන අතර දුරස්ථ ID යනු උමගෙහි ගමනාන්ත IP ලිපිනය වේ.

IKE අනුවාදය 2 සබල කරන්න
ඔබ IKE අනුවාදය 2 භාවිතා කිරීමට IPsec උමගක් වින්‍යාස කරන විට, IKEv2 සඳහා පහත ගුණාංග ද පෙරනිමියෙන් සක්‍රීය වේ:

  • සත්‍යාපනය සහ සංකේතනය—ඒඊඑස්-256 උසස් සංකේතාංකන සම්මත CBC සංකේතනය HMAC-SHA1 යතුරු-හැෂ් පණිවිඩ සත්‍යාපන කේත ඇල්ගොරිතම සමඟ අඛණ්ඩතාව සඳහා
  • Diffie-Hellman කණ්ඩායම් අංකය-16
  • නැවත සකස් කිරීමේ කාල පරතරය - පැය 4

පෙරනිමියෙන්, IKEv2 IKE යතුරු හුවමාරුවේ Diffie-Hellman group 16 භාවිතා කරයි. මෙම කණ්ඩායම IKE යතුරු හුවමාරුව අතරතුර 4096-bit වැඩි මොඩියුලර් ඝාතීය (MODP) කණ්ඩායම භාවිතා කරයි. ඔබට කණ්ඩායම් අංකය 2 (1024-bit MODP සඳහා), 14 (2048-bit MODP) හෝ 15 (බිට් 3072 MODP) ලෙස වෙනස් කළ හැක:

  • vEdge(config)# vpn vpn-id අතුරුමුහුණත ipsecnumber ike
  • vEdge(config-ike)# කණ්ඩායම් අංකය

පෙරනිමියෙන්, IKE යතුරු හුවමාරුව අඛණ්ඩතාව සඳහා HMAC-SHA256 keyed-hash පණිවිඩ සත්‍යාපන කේත ඇල්ගොරිතම සමඟ AES-1 උසස් සංකේතන සම්මත CBC සංකේතනය භාවිතා කරයි. ඔබට සත්‍යාපනය වෙනස් කළ හැකිය:

  • vEdge(config)# vpn vpn-id අතුරුමුහුණත ipsecnumber ike
  • vEdge(config-ike)# cipher-suite suite

සත්‍යාපන කට්ටලය පහත ඒවායින් එකක් විය හැක:

  • aes128-cbc-sha1—AES-128 උසස් සංකේතාංකන සම්මත CBC සංකේතනය HMAC-SHA1 යතුරු-හැෂ් පණිවිඩ සත්‍යාපන කේත ඇල්ගොරිතම සමඟ අඛණ්ඩතාව සඳහා
  • aes128-cbc-sha2—AES-128 උසස් සංකේතාංකන සම්මත CBC සංකේතනය HMAC-SHA256 යතුරු-හැෂ් පණිවිඩ සත්‍යාපන කේත ඇල්ගොරිතම සමඟ අඛණ්ඩතාව සඳහා
  • aes256-cbc-sha1—AES-256 උසස් සංකේතාංකන සම්මත CBC සංකේතනය HMAC-SHA1 යතුරු-හැෂ් පණිවිඩ සත්‍යාපන කේත ඇල්ගොරිතම සමඟ අඛණ්ඩතාව සඳහා; මෙය පෙරනිමියයි.
  • aes256-cbc-sha2—AES-256 උසස් සංකේතාංකන සම්මත CBC සංකේතනය HMAC-SHA256 යතුරු-හැෂ් පණිවිඩ සත්‍යාපන කේත ඇල්ගොරිතම සමඟ අඛණ්ඩතාව සඳහා

පෙරනිමියෙන්, IKE යතුරු සෑම පැය 4කට වරක් (තත්පර 14,400) නැවුම් වේ. ඔබට rekeying interval එක තත්පර 30 සිට දින 14 (තත්පර 1209600) දක්වා අගයකට වෙනස් කළ හැක:

  • vEdge(config)# vpn vpn-id අතුරුමුහුණත ipsecnumber ike
  • vEdge(config-ike)# rekey තත්පර

IKE සැසියක් සඳහා නව යතුරු උත්පාදනය කිරීමට බල කිරීමට, ඉල්ලීම ipsec ike-rekey විධානය නිකුත් කරන්න. IKE සඳහා, ඔබට පෙර බෙදාගත් යතුර (PSK) සත්‍යාපනයද වින්‍යාසගත කළ හැක:

  • vEdge(config)# vpn vpn-id අතුරුමුහුණත ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password යනු පෙර බෙදාගත් යතුර සමඟ භාවිතා කළ යුතු මුරපදයයි. එය ASCII හෝ ෂඩ් දශම තන්තුවක් විය හැකිය, නැතහොත් එය AES සංකේතනය කළ යතුරක් විය හැකිය. දුරස්ථ IKE මිතුරාට දේශීය හෝ දුරස්ථ හැඳුනුම්පතක් අවශ්‍ය නම්, ඔබට මෙම හැඳුනුම්කාරකය වින්‍යාස කළ හැක:
  • vEdge(config)# vpn vpn-id අතුරුමුහුණත ipsecnumber ike authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

හඳුනාගැනීම IP ලිපිනයක් හෝ අක්ෂර 1 සිට 64 දක්වා දිග ඕනෑම පෙළ පෙළක් විය හැක. පෙරනිමියෙන්, දේශීය ID යනු උමගෙහි මූලාශ්‍ර IP ලිපිනය වන අතර දුරස්ථ ID යනු උමගෙහි ගමනාන්ත IP ලිපිනය වේ.

IPsec උමං පරාමිතීන් වින්‍යාස කරන්න

වගුව 4: විශේෂාංග ඉතිහාසය

විශේෂාංගය නම තොරතුරු නිකුත් කරන්න විස්තරය
අතිරේක ගුප්ත ලේඛන Cisco SD-WAN නිකුතුව 20.1.1 මෙම විශේෂාංගය සඳහා සහය එක් කරයි
IPSec සඳහා ඇල්ගොරිතම සහාය   HMAC_SHA256, HMAC_SHA384, සහ
උමං මාර්ග   HMAC_SHA512 ඇල්ගොරිතම සඳහා
    වැඩි දියුණු කළ ආරක්ෂාව.

පෙරනිමියෙන්, IKE ගමනාගමනය ගෙන යන IPsec උමං මාර්ගයේ පහත පරාමිතීන් භාවිතා වේ:

  • සත්‍යාපනය සහ සංකේතනය—GCM හි AES-256 ඇල්ගොරිතම (Galois/counter mode)
  • නැවත සකස් කිරීමේ පරතරය - පැය 4
  • නැවත ධාවනය කිරීමේ කවුළුව - පැකට් 32

ඔබට IPsec උමගෙහි සංකේතනය CBC හි AES-256 කේතාංකයට වෙනස් කළ හැකිය (කේතාංක බ්ලොක් දාම ප්‍රකාරය, HMAC සමඟ SHA-1 හෝ SHA-2 යතුරු-හැෂ් පණිවිඩ සත්‍යාපනය භාවිතයෙන් හෝ SHA-1 හෝ භාවිතයෙන් HMAC සමඟ ශුන්‍ය කිරීමට SHA-2 යතුරු-හැෂ් පණිවිඩ සත්‍යාපනය, IKE යතුරු හුවමාරු ගමනාගමනය සඳහා භාවිතා කරන IPsec උමග සංකේතනය නොකිරීමට:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1-null-sha256 | aes256-null-sha256 | aes384-null-sha256)

පෙරනිමියෙන්, IKE යතුරු සෑම පැය 4කට වරක් (තත්පර 14,400) නැවුම් වේ. ඔබට rekeying interval එක තත්පර 30 සිට දින 14 (තත්පර 1209600) දක්වා අගයකට වෙනස් කළ හැක:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey තත්පර

IPsec උමගක් සඳහා නව යතුරු උත්පාදනය කිරීමට බල කිරීමට, ඉල්ලීම ipsec ipsec-rekey විධානය නිකුත් කරන්න. පෙරනිමියෙන්, IPsec උමං මත පරිපූර්ණ ඉදිරි රහස්‍යභාවය (PFS) සබල කර ඇත, අනාගත යතුරු අවදානමට ලක් වුවහොත් අතීත සැසිවලට බලපෑමක් නොවන බව සහතික කිරීමට. 4096-bit Diffie-Hellman ප්‍රයිම් මොඩියුල සමූහය භාවිතයෙන් පෙරනිමියෙන්, නව Diffie-Hellman යතුරු හුවමාරුවක් PFS බල කරයි. ඔබට PFS සැකසුම වෙනස් කළ හැක:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-setting පහත සඳහන් එකක් විය හැක:

  • group-2—1024-bit Diffie-Hellman ප්‍රයිම් මොඩියුලස් සමූහය භාවිතා කරන්න.
  • group-14—2048-bit Diffie-Hellman ප්‍රයිම් මොඩියුලස් සමූහය භාවිතා කරන්න.
  • group-15—3072-bit Diffie-Hellman ප්‍රයිම් මොඩියුලස් සමූහය භාවිතා කරන්න.
  • group-16 — 4096-bit Diffie-Hellman ප්‍රයිම් මොඩියුලස් සමූහය භාවිතා කරන්න. මෙය පෙරනිමියයි.
  • කිසිවක් නැත - PFS අක්‍රීය කරන්න.

පෙරනිමියෙන්, IPsec උමං මාර්ගයේ IPsec නැවත ධාවනය කිරීමේ කවුළුව බයිට් 512 කි. ඔබට නැවත ධාවනය කිරීමේ කවුළු ප්‍රමාණය 64, 128, 256, 512, 1024, 2048, හෝ 4096 පැකට් ලෙස සැකසිය හැක:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# replay-window number

IKE Dead-Peer Detection වෙනස් කරන්න

IKE සම වයසේ මිතුරෙකුට ඇති සම්බන්ධතාවය ක්‍රියාකාරීද සහ ළඟා විය හැකිද යන්න තීරණය කිරීමට IKE විසින් Dead-peer හඳුනාගැනීමේ යාන්ත්‍රණයක් භාවිතා කරයි. මෙම යාන්ත්‍රණය ක්‍රියාත්මක කිරීම සඳහා, IKE විසින් Hello පැකට්ටුවක් තම මිතුරන් වෙත යවන අතර, සම වයසේ මිතුරා ඊට ප්‍රතිචාර වශයෙන් පිළිගැනීමක් යවයි. පෙරනිමියෙන්, IKE සෑම තත්පර 10කට වරක් Hello පැකට් යවන අතර, නොපිළිගත් පැකට් තුනකට පසුව, IKE අසල්වැසියා මිය ගොස් ඇති බව ප්‍රකාශ කර උමඟ සම වයසේ මිතුරාට ඉරා දමයි. ඉන්පසුව, IKE විසින් වරින් වර සම වයසේ මිතුරාට Hello පැකට්ටුවක් යවන අතර, මිතුරන් නැවත අන්තර්ජාලයට පැමිණෙන විට උමග නැවත ස්ථාපිත කරයි. ඔබට සජීවී හඳුනාගැනීමේ පරතරය 0 සිට 65535 දක්වා අගයකට වෙනස් කළ හැකි අතර, ඔබට නැවත උත්සාහ කිරීම් ගණන 0 සිට 255 දක්වා අගයකට වෙනස් කළ හැක.

සටහන

ප්‍රවාහන VPNs සඳහා, පහත සූත්‍රය භාවිතයෙන් සජීවී බව හඳුනාගැනීමේ පරතරය තත්පරවලට පරිවර්තනය කෙරේ: නැවත සම්ප්‍රේෂණ උත්සාහය සඳහා පරතරය N = පරතරය * 1.8N-1උදා සඳහාample, පරතරය 10 ට සකසා 5 ට නැවත උත්සාහ කරන්නේ නම්, හඳුනාගැනීමේ පරතරය පහත පරිදි වැඩි වේ:

  • උත්සාහය 1: 10 * 1.81-1= තත්පර 10
  • උත්සාහය 2: 10 * 1.82-1= තත්පර 18
  • උත්සාහය 3: 10 * 1.83-1= තත්පර 32.4
  • උත්සාහය 4: 10 * 1.84-1= තත්පර 58.32
  • උත්සාහය 5: 10 * 1.85-1= තත්පර 104.976

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval retries number

වෙනත් අතුරු මුහුණත් ගුණාංග වින්‍යාස කරන්න

IPsec උමං අතුරුමුහුණත් සඳහා, ඔබට වින්‍යාසගත කළ හැක්කේ පහත අමතර අතුරු මුහුණත් ගුණාංග පමණි:

  • vEdge(config-interface-ipsec)# mtu බයිට්
  • vEdge(config-interface-ipsec)# tcp-mss-ගැලපුම් බයිට්

Cisco SD-WAN කළමනාකරු මත දුර්වල SSH සංකේතන ඇල්ගොරිතම අක්‍රීය කරන්න

වගුව 5: විශේෂාංග ඉතිහාස වගුව

විශේෂාංගය නම තොරතුරු නිකුත් කරන්න විශේෂාංගය විස්තරය
Cisco SD-WAN කළමනාකරු මත දුර්වල SSH සංකේතන ඇල්ගොරිතම අක්‍රීය කරන්න Cisco vManage නිකුතුව 20.9.1 මෙම විශේෂාංගය මඟින් ඇතැම් දත්ත ආරක්ෂණ ප්‍රමිතීන්ට අනුකූල නොවන Cisco SD-WAN කළමනාකරු මත දුර්වල SSH ඇල්ගොරිතම අක්‍රිය කිරීමට ඔබට ඉඩ සලසයි.

Cisco SD-WAN කළමනාකරු මත දුර්වල SSH සංකේතන ඇල්ගොරිතම අක්‍රිය කිරීම පිළිබඳ තොරතුරු
Cisco SD-WAN කළමණාකරු විසින් පාලක සහ එජ් උපාංග ඇතුළුව ජාලයේ ඇති සංරචක සමඟ සන්නිවේදනය සඳහා SSH සේවාලාභියෙකු සපයයි. SSH සේවාලාභියා විවිධ සංකේතාංකන ඇල්ගොරිතම මත පදනම්ව, ආරක්ෂිත දත්ත හුවමාරුව සඳහා සංකේතාත්මක සම්බන්ධතාවයක් සපයයි. බොහෝ ආයතනවලට SHA-1, AES-128, සහ AES-192 මඟින් සපයන ලද සංකේතනයට වඩා ශක්තිමත් සංකේතනය අවශ්‍ය වේ. Cisco vManage Release 20.9.1 වෙතින්, SSH සේවාලාභියෙකු මෙම ඇල්ගොරිතම භාවිතා නොකරන ලෙස ඔබට පහත දුර්වල සංකේතන ඇල්ගොරිතම අක්‍රිය කළ හැක:

  • SHA-1
  • AES-128
  • AES-192

මෙම සංකේතාංකන ඇල්ගොරිතම අක්‍රිය කිරීමට පෙර, Cisco vEdge උපාංග, ජාලය තුළ ඇත්නම්, Cisco SD-WAN Release 18.4.6 ට වඩා පසුව මෘදුකාංග නිකුතුවක් භාවිතා කරන බව සහතික කර ගන්න.

Cisco SD-WAN කළමනාකරු මත දුර්වල SSH සංකේතන ඇල්ගොරිතම අක්‍රිය කිරීමේ ප්‍රතිලාභ
දුර්වල SSH සංකේතාංකන ඇල්ගොරිතම අක්‍රිය කිරීම SSH සන්නිවේදනයේ ආරක්ෂාව වැඩි දියුණු කරයි, සහ Cisco Catalyst SD-WAN භාවිතා කරන ආයතන දැඩි ආරක්ෂක රෙගුලාසි වලට අනුකූල බව සහතික කරයි.

CLI භාවිතා කරමින් Cisco SD-WAN කළමනාකරු මත දුර්වල SSH සංකේතන ඇල්ගොරිතම අක්‍රීය කරන්න

  1. Cisco SD-WAN කළමනාකරු මෙනුවෙන්, මෙවලම් > SSH පර්යන්තය තෝරන්න.
  2. ඔබට දුර්වල SSH ඇල්ගොරිතම අක්‍රිය කිරීමට අවශ්‍ය Cisco SD-WAN කළමනාකරු උපාංගය තෝරන්න.
  3. උපාංගයට ලොග් වීමට පරිශීලක නාමය සහ මුරපදය ඇතුළත් කරන්න.
  4. SSH සේවාදායක මාදිලිය ඇතුළු කරන්න.
    • vmanage(config)# පද්ධතිය
    • vmanage(config-system)# ssh-server
  5. SSH සංකේතාංකන ඇල්ගොරිතමයක් අක්‍රිය කිරීමට පහත දේවලින් එකක් කරන්න:
    • SHA-1 අබල කරන්න:
  6. කළමනාකරණය (config-ssh-server)# kex-algo sha1 නැත
  7. කළමනාකරණය (config-ssh-server)# කැපවීම
    පහත අනතුරු ඇඟවීමේ පණිවිඩය දර්ශණය වේ: පහත අනතුරු ඇඟවීම් ජනනය කර ඇත: 'system ssh-server kex-algo sha1': අවවාදයයි: කරුණාකර vManage සමඟ SHA18.4.6 ට වඩා හොඳින් සාකච්ඡා කරන කේත අනුවාදය > 1 ධාවනය වන බව කරුණාකර සහතික කරන්න. එසේ නොමැතිනම් එම දාර නොබැඳි විය හැක. ඉදිරියට යන්නද? [ඔව්, නැත] ඔව්
    • ජාලයේ ඇති ඕනෑම Cisco vEdge උපාංගයක් Cisco SD-WAN Release 18.4.6 හෝ ඊට පසු ක්‍රියාත්මක වන බව සහතික කර ඔව් ඇතුලත් කරන්න.
    • AES-128 සහ AES-192 අබල කරන්න:
    • vmanage(config-ssh-server)# කේතාංක aes-128-192 නැත
    • vmanage(config-ssh-server)# කැපවීම
      පහත අනතුරු ඇඟවීමේ පණිවිඩය දර්ශනය වේ:
      පහත අනතුරු ඇඟවීම් ජනනය විය:
      'system ssh-server cipher aes-128-192': අවවාදයයි: කරුණාකර vManage සමඟ AES-18.4.6-128 ට වඩා හොඳින් සාකච්ඡා කරන කේත අනුවාදය > 192 ධාවනය වන බව කරුණාකර සහතික කරන්න. එසේ නොමැතිනම් එම දාර නොබැඳි විය හැක. ඉදිරියට යන්නද? [ඔව්, නෑ] ඔව්
    • ජාලයේ ඇති ඕනෑම Cisco vEdge උපාංගයක් Cisco SD-WAN Release 18.4.6 හෝ ඊට පසු ක්‍රියාත්මක වන බව සහතික කර ඔව් ඇතුලත් කරන්න.

CLI භාවිතා කරමින් Cisco SD-WAN කළමනාකරු මත දුර්වල SSH සංකේතන ඇල්ගොරිතම අක්‍රිය කර ඇති බව තහවුරු කරන්න

  1. Cisco SD-WAN කළමනාකරු මෙනුවෙන්, මෙවලම් > SSH පර්යන්තය තෝරන්න.
  2. ඔබට සත්‍යාපනය කිරීමට අවශ්‍ය Cisco SD-WAN කළමනාකරු උපාංගය තෝරන්න.
  3. උපාංගයට ලොග් වීමට පරිශීලක නාමය සහ මුරපදය ඇතුළත් කරන්න.
  4. පහත විධානය ක්‍රියාත්මක කරන්න: run-config system ssh-server පෙන්වන්න
  5. ප්‍රතිදානය දුර්වල සංකේතන ඇල්ගොරිතම අක්‍රිය කරන විධාන එකක් හෝ කිහිපයක් පෙන්වන බව තහවුරු කරන්න:
    • කේතාංක aes-128-192 නැත
    • kex-algo sha1 නැත

ලේඛන / සම්පත්

CISCO SD-WAN ආරක්ෂක පරාමිතීන් වින්‍යාස කරන්න [pdf] පරිශීලක මාර්ගෝපදේශය
SD-WAN ආරක්ෂක පරාමිති වින්‍යාස කරන්න, SD-WAN, ආරක්ෂක පරාමිතීන් වින්‍යාස කරන්න, ආරක්ෂක පරාමිතීන්

යොමු කිරීම්

කමෙන්ට් එකක් දාන්න

ඔබගේ විද්‍යුත් තැපැල් ලිපිනය ප්‍රකාශනය නොකෙරේ. අවශ්‍ය ක්ෂේත්‍ර සලකුණු කර ඇත *