Obsah skryť
1 CISCO SD-WAN Konfigurácia bezpečnostných parametrov
2 Nakonfigurujte parametre zabezpečenia
3 Nakonfigurujte bezpečnostné parametre riadiacej roviny
4 Nakonfigurujte DTLS v Cisco SD-WAN Manager
5 Nakonfigurujte bezpečnostné parametre dátovej roviny
6 Nakonfigurujte povolené typy autentifikácie
7 Zmeňte časovač opätovného kľúča
8 Zmeňte veľkosť okna Anti-Replay
9 Nakonfigurujte statickú cestu IPsec
10 Nakonfigurujte parametre tunela IPsec
11 Upravte detekciu mŕtvych rovesníkov IKE
12 Nakonfigurujte ďalšie vlastnosti rozhrania
13 Zakázať slabé šifrovacie algoritmy SSH v Cisco SD-WAN Manager
14 Dokumenty / zdroje
14.1 Referencie

CISCO-LOGO

CISCO SD-WAN Konfigurácia bezpečnostných parametrov

CISCO-SD-WAN-Konfigurácia-Bezpečnostné-Parametre-PRODUKT

Nakonfigurujte parametre zabezpečenia

Poznámka

Na dosiahnutie zjednodušenia a konzistentnosti bolo riešenie Cisco SD-WAN premenované na Cisco Catalyst SD-WAN. Okrem toho od Cisco IOS XE SD-WAN Release 17.12.1a a Cisco Catalyst SD-WAN Release 20.12.1 sú použiteľné nasledujúce zmeny komponentov: Cisco vManage na Cisco Catalyst SD-WAN Manager, Cisco vAnalytics na Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator a Cisco vSmart to Cisco Catalyst SD-WAN Controller. Pozrite si najnovšie poznámky k vydaniu, kde nájdete úplný zoznam zmien názvov všetkých komponentov. Kým prechádzame na nové názvy, v súbore dokumentácie sa môžu vyskytovať určité nezrovnalosti z dôvodu postupného prístupu k aktualizáciám používateľského rozhrania softvérového produktu.

Táto časť popisuje, ako zmeniť parametre zabezpečenia pre riadiacu rovinu a dátovú rovinu v prekryvnej sieti Cisco Catalyst SD-WAN.

  • Zapnite konfiguráciu bezpečnostných parametrov riadiacej roviny
  • Konfigurovať parametre zabezpečenia dátovej roviny, zapnuté
  • Zapnite konfiguráciu tunelov IPsec s podporou IKE
  • Zakázať slabé šifrovacie algoritmy SSH v aplikácii Cisco SD-WAN Manager

Nakonfigurujte bezpečnostné parametre riadiacej roviny

Riadiaca rovina štandardne používa DTLS ako protokol, ktorý poskytuje súkromie vo všetkých svojich tuneloch. DTLS beží cez UDP. Bezpečnostný protokol riadiacej roviny môžete zmeniť na TLS, ktorý beží cez TCP. Hlavným dôvodom na použitie TLS je, že ak Cisco SD-WAN Controller považujete za server, firewally chránia TCP servery lepšie ako UDP servery. Nakonfigurujete protokol tunela riadiacej roviny na ovládači Cisco SD-WAN Controller: vSmart(config)# security control protocol tls Touto zmenou sa všetky tunely riadiacej roviny medzi ovládačom Cisco SD-WAN a smerovačmi a medzi ovládačom Cisco SD-WAN Controller a Cisco SD-WAN Manager používajú TLS. Tunely riadiacej roviny do Cisco Catalyst SD-WAN Validator vždy používajú DTLS, pretože tieto pripojenia musí spracovať UDP. V doméne s viacerými radičmi Cisco SD-WAN, keď konfigurujete TLS na jednom z radičov Cisco SD-WAN, všetky tunely riadiacej roviny z tohto radiča na ostatné radiče používajú TLS. Inak povedané, TLS má vždy prednosť pred DTLS. Avšak z pohľadu ostatných Cisco SD-WAN radičov, ak ste na nich nenakonfigurovali TLS, používajú TLS v tuneli riadiacej roviny iba k jednému Cisco SD-WAN radiču a DTLS tunely používajú na všetky ostatné Cisco SD-WAN radiče a všetky ich pripojené smerovače. Ak chcete, aby všetky radiče Cisco SD-WAN používali TLS, nakonfigurujte ho na všetkých. V predvolenom nastavení Cisco SD-WAN Controller počúva na porte 23456 požiadavky TLS. Ak to chcete zmeniť: vSmart(config)# security control tls-port number Port môže byť číslo od 1025 do 65535. Ak chcete zobraziť bezpečnostné informácie riadiacej roviny, použite príkaz show control connections na ovládači Cisco SD-WAN Controller. Naprample: vSmart-2# zobrazuje ovládacie pripojenia

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Nakonfigurujte DTLS v Cisco SD-WAN Manager

Ak nakonfigurujete Cisco SD-WAN Manager na používanie TLS ako bezpečnostného protokolu riadiacej roviny, musíte na svojom NAT povoliť presmerovanie portov. Ak používate DTLS ako bezpečnostný protokol riadiacej roviny, nemusíte robiť nič. Počet presmerovaných portov závisí od počtu procesov vdaemon spustených na Cisco SD-WAN Manager. Ak chcete zobraziť informácie o týchto procesoch ao počte portov, ktoré sa posielajú ďalej, použite príkaz show control Summary, ktorý ukazuje, že sú spustené štyri procesy démonov:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Ak chcete zobraziť načúvacie porty, použite príkaz show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Tento výstup ukazuje, že počúvajúci TCP port je 23456. Ak používate Cisco SD-WAN Manager za NAT, mali by ste na zariadení NAT otvoriť nasledujúce porty:

  • 23456 (základňa – port inštancie 0)
  • 23456 + 100 (základ + 100)
  • 23456 + 200 (základ + 200)
  • 23456 + 300 (základ + 300)

Upozorňujeme, že počet inštancií je rovnaký ako počet jadier, ktoré ste priradili pre Cisco SD-WAN Manager, maximálne však 8.

Nakonfigurujte parametre zabezpečenia pomocou šablóny bezpečnostných funkcií

Použite šablónu funkcie zabezpečenia pre všetky zariadenia Cisco vEdge. Na okrajových smerovačoch a na Cisco SD-WAN Validator použite túto šablónu na konfiguráciu IPsec pre zabezpečenie dátovej roviny. V Cisco SD-WAN Manager a Cisco SD-WAN Controller použite šablónu funkcie zabezpečenia na konfiguráciu DTLS alebo TLS pre zabezpečenie riadiacej roviny.

Nakonfigurujte parametre zabezpečenia

  1. V ponuke Cisco SD-WAN Manager vyberte Konfigurácia > Šablóny.
  2. Kliknite na položku Šablóny funkcií a potom kliknite na položku Pridať šablónu.
    Poznámka V Cisco vManage Release 20.7.1 a starších vydaniach sa Feature Templates nazývajú Feature.
  3. Zo zoznamu Zariadenia na ľavej table vyberte zariadenie. Šablóny použiteľné pre vybrané zariadenie sa zobrazia na pravej table.
  4. Kliknutím na položku Zabezpečenie otvorte šablónu.
  5. Do poľa Názov šablóny zadajte názov šablóny. Názov môže mať až 128 znakov a môže obsahovať iba alfanumerické znaky.
  6. Do poľa Popis šablóny zadajte popis šablóny. Popis môže mať až 2048 znakov a môže obsahovať iba alfanumerické znaky.

Keď prvýkrát otvoríte šablónu funkcie, pre každý parameter, ktorý má predvolenú hodnotu, sa rozsah nastaví na Predvolené (označené začiarknutím) a zobrazí sa predvolené nastavenie alebo hodnota. Ak chcete zmeniť predvolené nastavenie alebo zadať hodnotu, kliknite na rozbaľovaciu ponuku rozsahu naľavo od poľa parametra a vyberte jednu z nasledujúcich možností:

Tabuľka 1:

Parameter Rozsah Popis rozsahu
Špecifické pre zariadenie (označené ikonou hostiteľa) Pre parameter použite hodnotu špecifickú pre zariadenie. Pre parametre špecifické pre zariadenie nemôžete zadať hodnotu do šablóny funkcie. Hodnotu zadáte, keď pripojíte zariadenie Viptela k šablóne zariadenia.

Keď kliknete na Device Specific, otvorí sa pole Enter Key. Toto pole zobrazuje kľúč, čo je jedinečný reťazec, ktorý identifikuje parameter v súbore CSV file ktoré vytvoríte. Toto file je tabuľka programu Excel, ktorá obsahuje jeden stĺpec pre každý kľúč. Riadok hlavičky obsahuje názvy kľúčov (jeden kľúč na stĺpec) a každý nasledujúci riadok zodpovedá zariadeniu a definuje hodnoty kľúčov pre toto zariadenie. Nahráte súbor CSV file keď pripojíte zariadenie Viptela k šablóne zariadenia. Ďalšie informácie nájdete v téme Vytvorenie tabuľky premenných šablóny.

Ak chcete zmeniť predvolený kľúč, zadajte nový reťazec a presuňte kurzor von z poľa Enter Key.

Exampparametre špecifické pre zariadenie sú adresa IP systému, názov hostiteľa, poloha GPS a ID lokality.
Parameter Rozsah Popis rozsahu
Globálne (označené ikonou zemegule) Zadajte hodnotu pre parameter a aplikujte túto hodnotu na všetky zariadenia.

Exampparametre, ktoré môžete globálne použiť na skupinu zariadení, sú server DNS, server syslog a jednotky MTU rozhrania.

Nakonfigurujte zabezpečenie riadiacej roviny

Poznámka
Časť Configure Control Plane Security sa vzťahuje len na Cisco SD-WAN Manager a Cisco SD-WAN Controller. Ak chcete nakonfigurovať protokol pripojenia riadiacej roviny na inštancii Cisco SD-WAN Manager alebo Cisco SD-WAN Controller, vyberte oblasť Základná konfigurácia a nakonfigurujte nasledujúce parametre:

Tabuľka 2:

Parameter Meno Popis
Protokol Vyberte protokol, ktorý chcete použiť na pripojenia riadiacej roviny k ovládaču Cisco SD-WAN:

• DTLS (datagbezpečnosť transportnej vrstvy ram). Toto je predvolené nastavenie.

• TLS (Transport Layer Security)
Ovládanie portu TLS Ak ste vybrali TLS, nakonfigurujte číslo portu na použitie:Rozsah: 1025 až 65535Predvolená hodnota: 23456

Kliknite na tlačidlo Uložiť

Nakonfigurujte zabezpečenie dátovej roviny
Ak chcete nakonfigurovať zabezpečenie dátovej roviny na Cisco SD-WAN Validator alebo smerovači Cisco vEdge, vyberte karty Basic Configuration a Authentication Type a nakonfigurujte nasledujúce parametre:

Tabuľka 3:

Parameter Meno Popis
Čas opätovného kľúča Zadajte, ako často smerovač Cisco vEdge mení kľúč AES používaný pri zabezpečenom pripojení DTLS k ovládaču Cisco SD-WAN. Ak je povolený plynulý reštart OMP, čas opätovného kľúča musí byť aspoň dvojnásobkom hodnoty časovača plynulého reštartu OMP.Rozsah: 10 až 1209600 sekúnd (14 dní)Predvolená hodnota: 86400 24 sekúnd (XNUMX hodín)
Okno opätovného prehrávania Zadajte veľkosť posuvného okna prehrávania.

Hodnoty: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketovPredvolená hodnota: 512 balíkov
IPsec

párové kľúčovanie

 Toto je predvolene vypnuté. Kliknite On aby ste ho zapli.
Parameter Meno Popis
Typ overenia Vyberte typy autentifikácie z Autentifikácia Zoznama kliknutím na šípku smerujúcu doprava presuňte typy autentifikácie do Vybraný zoznam stĺpec.

Typy autentifikácie podporované z Cisco SD-WAN Release 20.6.1:

•  esp: Umožňuje šifrovanie ESP (Encapsulating Security Payload) a kontrolu integrity hlavičky ESP.

•  ip-udp-esp: Umožňuje šifrovanie ESP. Okrem kontrol integrity hlavičky ESP a užitočného zaťaženia zahŕňajú kontroly aj vonkajšie hlavičky IP a UDP.

•  ip-udp-esp-no-id: Ignoruje pole ID v hlavičke IP, takže Cisco Catalyst SD-WAN môže fungovať v spojení so zariadeniami iných výrobcov.

•  žiadny: Vypne kontrolu integrity paketov IPSec. Neodporúčame používať túto možnosť.

 

Typy autentifikácie podporované v Cisco SD-WAN Release 20.5.1 a starších:

•  ah-no-id: Povolí rozšírenú verziu AH-SHA1 HMAC a ESP HMAC-SHA1, ktorá ignoruje pole ID vo vonkajšej hlavičke IP paketu.

•  ah-sha1-hmac: Povoliť AH-SHA1 HMAC a ESP HMAC-SHA1.

•  žiadny: Vyberte žiadne overenie.

•  sha1-hmac: Povoliť ESP HMAC-SHA1.

 

Poznámka              Pre okrajové zariadenie so systémom Cisco SD-WAN Release 20.5.1 alebo starším môžete nakonfigurovať typy autentifikácie pomocou Bezpečnosť šablóna. Keď inovujete zariadenie na Cisco SD-WAN Release 20.6.1 alebo novší, aktualizujte vybrané typy autentifikácie v Bezpečnosť šablóny na typy autentifikácie podporované z Cisco SD-WAN Release 20.6.1. Ak chcete aktualizovať typy autentifikácie, postupujte takto:

1.      V ponuke Cisco SD-WAN Manager vyberte Konfigurácia >

Šablóny.

2.      Kliknite Šablóny funkcií.

3.      Nájdite Bezpečnosť šablónu na aktualizáciu a kliknite na … a kliknite Upraviť.

4.      Kliknite Aktualizovať. Neupravujte žiadnu konfiguráciu.

Cisco SD-WAN Manager aktualizuje Bezpečnosť šablónu na zobrazenie podporovaných typov autentifikácie.

Kliknite na tlačidlo Uložiť.

Nakonfigurujte bezpečnostné parametre dátovej roviny

V dátovej rovine je protokol IPsec štandardne povolený na všetkých smerovačoch a pripojenia tunelov IPsec štandardne používajú rozšírenú verziu protokolu ESP (Encapsulating Security Payload) na autentifikáciu v tuneloch IPsec. Na smerovačoch môžete zmeniť typ overenia, časovač opätovného kľúča IPsec a veľkosť okna antireplay IPsec.

Nakonfigurujte povolené typy autentifikácie

Typy autentifikácie vo verzii Cisco SD-WAN 20.6.1 a novšej
Od Cisco SD-WAN Release 20.6.1 sú podporované nasledujúce typy integrity:

  • esp: Táto možnosť umožňuje šifrovanie ESP (Encapsulating Security Payload) a kontrolu integrity hlavičky ESP.
  • ip-udp-esp: Táto možnosť umožňuje šifrovanie ESP. Okrem kontrol integrity hlavičky ESP a užitočného zaťaženia zahŕňajú kontroly aj vonkajšie hlavičky IP a UDP.
  • ip-udp-esp-no-id: Táto možnosť je podobná ako ip-udp-esp, avšak pole ID vonkajšej hlavičky IP sa ignoruje. Nakonfigurujte túto možnosť v zozname typov integrity, aby softvér Cisco Catalyst SD-WAN ignoroval pole ID v hlavičke IP, aby Cisco Catalyst SD-WAN mohol pracovať v spojení so zariadeniami iných výrobcov.
  • žiadne: Táto možnosť vypne kontrolu integrity paketov IPSec. Neodporúčame používať túto možnosť.

Pripojenie tunela IPsec štandardne používa na autentifikáciu rozšírenú verziu protokolu ESP (Encapsulating Security Payload). Ak chcete upraviť dohodnuté typy interity alebo zakázať kontrolu integrity, použite nasledujúci príkaz: typ integrity { none | ip-udp-esp | ip-udp-esp-no-id | esp}

Typy autentifikácie pred vydaním Cisco SD-WAN 20.6.1
Pripojenie tunela IPsec štandardne používa na autentifikáciu rozšírenú verziu protokolu ESP (Encapsulating Security Payload). Ak chcete upraviť dohodnuté typy autentifikácie alebo zakázať autentifikáciu, použite nasledujúci príkaz: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) V predvolenom nastavení je IPsec tunelové pripojenia používajú AES-GCM-256, ktorý poskytuje šifrovanie aj autentifikáciu. Nakonfigurujte každý typ autentifikácie pomocou samostatného príkazu bezpečnostného typu autentifikácie ipsec. Možnosti príkazu sa mapujú na nasledujúce typy autentifikácie, ktoré sú uvedené v poradí od najsilnejšej po najmenej silnú:

Poznámka
Hodnota sha1 v možnostiach konfigurácie sa používa z historických dôvodov. Voľby autentifikácie označujú, aká časť kontroly integrity paketov sa vykonáva. Nešpecifikujú algoritmus, ktorý kontroluje integritu. Okrem šifrovania multicastovej prevádzky nepoužívajú autentifikačné algoritmy podporované Cisco Catalyst SD WAN SHA1. V Cisco SD-WAN Release 20.1.xa novších však unicast ani multicast nepoužívajú SHA1.

  • ah-sha1-hmac umožňuje šifrovanie a zapuzdrenie pomocou ESP. Okrem kontrol integrity hlavičky ESP a užitočného zaťaženia však kontroly zahŕňajú aj vonkajšie hlavičky IP a UDP. Preto táto možnosť podporuje kontrolu integrity paketu podobnú protokolu Authentication Header (AH). Celá integrita a šifrovanie sa vykonáva pomocou AES-256-GCM.
  • ah-no-id umožňuje režim, ktorý je podobný ako ah-sha1-hmac, avšak pole ID vonkajšej hlavičky IP sa ignoruje. Táto možnosť je vhodná pre niektoré zariadenia SD-WAN, ktoré nepochádzajú od Cisco Catalyst, vrátane Apple AirPort Express NAT, ktoré majú chybu, ktorá spôsobuje úpravu poľa ID v hlavičke IP, ktoré je nemeniteľné. Nakonfigurujte možnosť ah-no-id v zozname typov autentifikácie tak, aby softvér Cisco Catalyst SD-WAN AH ignoroval pole ID v hlavičke IP, aby softvér Cisco Catalyst SD-WAN mohol fungovať v spojení s týmito zariadeniami.
  • sha1-hmac umožňuje šifrovanie ESP a kontrolu integrity.
  • žiadna sa nemapuje na žiadnu autentifikáciu. Táto možnosť by sa mala použiť iba vtedy, ak je potrebná na dočasné ladenie. Túto možnosť si môžete vybrať aj v situáciách, kde autentifikácia a integrita dátovej roviny nie sú problémom. Cisco neodporúča používať túto možnosť pre produkčné siete.

Informácie o tom, ktoré polia dátových paketov sú ovplyvnené týmito typmi autentifikácie, nájdete v časti Integrita dátovej roviny. Zariadenia Cisco IOS XE Catalyst SD-WAN a zariadenia Cisco vEdge inzerujú svoje nakonfigurované typy autentifikácie vo svojich vlastnostiach TLOC. Dva smerovače na oboch stranách tunelového pripojenia IPsec vyjednávajú autentifikáciu, ktorá sa má použiť pri pripojení medzi nimi, pomocou najsilnejšieho typu autentifikácie, ktorý je nakonfigurovaný na oboch smerovačoch. NaprampAk jeden smerovač inzeruje typy ah-sha1-hmac a ah-no-id a druhý smerovač typ ah-no-id, tieto dva smerovače sa dohodnú na použití ah-no-id na tunelovom spojení IPsec medzi ich. Ak na týchto dvoch partneroch nie sú nakonfigurované žiadne bežné typy autentifikácie, nevytvorí sa medzi nimi tunel IPsec. Šifrovací algoritmus na pripojeniach tunela IPsec závisí od typu prevádzky:

  • Pre unicast prenos je šifrovacím algoritmom AES-256-GCM.
  • Pre viacsmerovú prevádzku:
  • Cisco SD-WAN Release 20.1.xa novší – šifrovací algoritmus je AES-256-GCM
  • Predchádzajúce vydania – šifrovací algoritmus je AES-256-CBC s SHA1-HMAC.

Keď sa zmení typ autentifikácie IPsec, zmení sa kľúč AES pre dátovú cestu.

Zmeňte časovač opätovného kľúča

Skôr ako si zariadenia Cisco IOS XE Catalyst SD-WAN a zariadenia Cisco vEdge budú môcť vymieňať dátovú prevádzku, nastavia medzi nimi bezpečný overený komunikačný kanál. Smerovače používajú medzi sebou tunely IPSec ako kanál a šifru AES-256 na vykonávanie šifrovania. Každý smerovač pravidelne generuje nový kľúč AES pre svoju dátovú cestu. Štandardne je kľúč platný 86400 24 sekúnd (10 hodín) a rozsah časovača je 1209600 sekúnd až 14 XNUMX sekúnd (XNUMX dní). Ak chcete zmeniť hodnotu časovača opätovného kľúča: Device(config)# security ipsec rekey seconds Konfigurácia vyzerá takto:

  • bezpečnosť ipsec rekey sekúnd!

Ak chcete okamžite vygenerovať nové kľúče IPsec, môžete tak urobiť bez úpravy konfigurácie smerovača. Ak to chcete urobiť, zadajte na napadnutom smerovači príkaz request security ipsecrekey. Napríkladample, nasledujúci výstup ukazuje, že lokálna SA má index bezpečnostného parametra (SPI) 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Ku každému SPI je priradený jedinečný kľúč. Ak je tento kľúč ohrozený, použite príkaz request security ipsec-rekey na okamžité vygenerovanie nového kľúča. Tento príkaz zvyšuje SPI. V našom bývalomample, SPI sa zmení na 257 a kľúč s ním spojený sa teraz používa:

  • Zariadenie # požaduje bezpečnostný ipsecrekey
  • Device# zobrazuje ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Po vygenerovaní nového kľúča ho router okamžite odošle do Cisco SD-WAN Controllers pomocou DTLS alebo TLS. Cisco SD-WAN radiče posielajú kľúč do rovnocenných smerovačov. Smerovače ho začnú používať hneď, ako ho dostanú. Všimnite si, že kľúč spojený so starým SPI (256) sa bude naďalej používať krátky čas, kým nevyprší časový limit. Ak chcete starý kľúč okamžite prestať používať, dvakrát rýchlo za sebou zadajte príkaz request security ipsec-rekey. Táto sekvencia príkazov odstráni SPI 256 aj 257 a nastaví SPI na 258. Smerovač potom použije priradený kľúč SPI 258. Upozorňujeme však, že niektoré pakety budú na krátky čas zahodené, kým sa všetky vzdialené smerovače nenaučia nový kľúč.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Zmeňte veľkosť okna Anti-Replay

Autentifikácia IPsec poskytuje ochranu proti opakovanému prehrávaniu priradením jedinečného poradového čísla každému paketu v dátovom toku. Toto poradové číslovanie chráni pred útočníkom, ktorý duplikuje dátové pakety. S ochranou proti opakovaniu odosielateľ priraďuje monotónne rastúce poradové čísla a cieľ tieto poradové čísla kontroluje, aby zistil duplikáty. Pretože pakety často neprichádzajú v poradí, cieľ si zachováva posuvné okno sekvenčných čísel, ktoré bude akceptovať.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Pakety so sekvenčnými číslami, ktoré spadajú naľavo od rozsahu posuvného okna, sa považujú za staré alebo duplikáty a cieľ ich zahodí. Cieľ sleduje najvyššie prijaté poradové číslo a upraví posuvné okno, keď prijme paket s vyššou hodnotou.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Štandardne je posuvné okno nastavené na 512 paketov. Dá sa nastaviť na akúkoľvek hodnotu medzi 64 a 4096, čo je mocnina 2 (to znamená 64, 128, 256, 512, 1024, 2048 alebo 4096). Ak chcete upraviť veľkosť okna proti opätovnému prehraniu, použite príkaz replay-window, ktorý špecifikuje veľkosť okna:

Device(config)# security ipsec replay-window number

Konfigurácia vyzerá takto:
číslo bezpečnostného okna pre prehrávanie ipsec ! !

Na pomoc s QoS sú pre každý z prvých ôsmich prevádzkových kanálov udržiavané samostatné okná prehrávania. Konfigurovaná veľkosť okna prehrávania je pre každý kanál vydelená ôsmimi. Ak je na smerovači nakonfigurovaná QoS, tento smerovač môže zaznamenať väčší než očakávaný počet zahodení paketov v dôsledku mechanizmu proti opakovaniu IPsec a mnohé zahodené pakety sú legitímne. K tomu dochádza, pretože QoS mení poradie paketov, čím poskytuje pakety s vyššou prioritou preferenčné zaobchádzanie a oneskoruje pakety s nižšou prioritou. Ak chcete minimalizovať alebo zabrániť tejto situácii, môžete urobiť nasledovné:

  • Zväčšite veľkosť okna proti opätovnému prehraniu.
  • Spravte prevádzku na prvých ôsmich prevádzkových kanáloch, aby ste zabezpečili, že prevádzka v rámci kanála nebude zmenená.

Nakonfigurujte tunely IPsec s podporou IKE
Na bezpečný prenos prevádzky z prekryvnej siete do servisnej siete môžete nakonfigurovať tunely IPsec, ktoré spúšťajú protokol Internet Key Exchange (IKE). Tunely IPsec s podporou IKE poskytujú autentifikáciu a šifrovanie na zabezpečenie bezpečného prenosu paketov. Tunel IPsec s povoleným IKE vytvoríte konfiguráciou rozhrania IPsec. Rozhrania IPsec sú logické rozhrania a konfigurujete ich rovnako ako akékoľvek iné fyzické rozhranie. Nakonfigurujete parametre protokolu IKE na rozhraní IPsec a môžete nakonfigurovať ďalšie vlastnosti rozhrania.

Poznámka Cisco odporúča používať IKE verzie 2. Od vydania Cisco SD-WAN 19.2.x musí mať predzdieľaný kľúč dĺžku aspoň 16 bajtov. Vytvorenie tunela IPsec zlyhá, ak je veľkosť kľúča menšia ako 16 znakov pri aktualizácii smerovača na verziu 19.2.

Poznámka
Softvér Cisco Catalyst SD-WAN podporuje IKE verzie 2, ako je definované v RFC 7296. Jedným z použití tunelov IPsec je umožniť inštanciám virtuálnych počítačov smerovača vEdge Cloud bežiacich na Amazon AWS pripojiť sa k virtuálnemu privátnemu cloudu Amazon (VPC). Na týchto smerovačoch musíte nakonfigurovať IKE verzie 1. Zariadenia Cisco vEdge podporujú iba siete VPN založené na smerovaní v konfigurácii IPSec, pretože tieto zariadenia nedokážu definovať selektory prenosu v doméne šifrovania.

Nakonfigurujte tunel IPsec
Ak chcete nakonfigurovať rozhranie tunela IPsec pre zabezpečenú prenosovú prevádzku zo siete služieb, vytvorte logické rozhranie IPsec:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Tunel IPsec môžete vytvoriť v transportnej VPN (VPN 0) a v akejkoľvek službe VPN (VPN 1 až 65530, okrem 512). Rozhranie IPsec má názov vo formáte číslo ipsec, kde číslo môže byť od 1 do 255. Každé rozhranie IPsec musí mať adresu IPv4. Táto adresa musí mať predponu /30. Všetka prevádzka vo VPN, ktorá je v rámci tejto predpony IPv4, smeruje do fyzického rozhrania vo VPN 0, aby sa bezpečne odosielala cez tunel IPsec. Ak chcete nakonfigurovať zdroj tunela IPsec na lokálnom zariadení, môžete zadať buď adresu IP fyzické rozhranie (v príkaze tunnel-source) alebo názov fyzického rozhrania (v príkaze tunnel-source-interface). Uistite sa, že fyzické rozhranie je nakonfigurované v VPN 0. Ak chcete nakonfigurovať cieľ tunela IPsec, zadajte adresu IP vzdialeného zariadenia v príkaze tunnel-destination. Kombinácia zdrojovej adresy (alebo názvu zdrojového rozhrania) a cieľovej adresy definuje jeden tunel IPsec. Môže existovať iba jeden tunel IPsec, ktorý používa špecifický pár zdrojovej adresy (alebo názvu rozhrania) a cieľovej adresy.

Nakonfigurujte statickú cestu IPsec

Ak chcete nasmerovať prevádzku zo servisnej VPN do tunela IPsec v transportnej VPN (VPN 0), nakonfigurujte statickú trasu špecifickú pre IPsec v servisnej VPN (sieť VPN iná ako VPN 0 alebo VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/dĺžka vpn 0 rozhranie
  • ipsecnumber [ipsecnumber2]

ID VPN je ID akejkoľvek služby VPN (VPN 1 až 65530, okrem 512). predpona/dĺžka je adresa IP alebo predpona v desiatkovej sústave so štyrmi bodkami a dĺžka predpony statickej trasy špecifickej pre IPsec. Rozhranie je rozhranie tunela IPsec vo VPN 0. Môžete nakonfigurovať jedno alebo dve rozhrania tunela IPsec. Ak nakonfigurujete dva, prvý je primárny tunel IPsec a druhý je záložný. Pri dvoch rozhraniach sa všetky pakety posielajú iba do primárneho tunela. Ak tento tunel zlyhá, všetky pakety sa potom odošlú do sekundárneho tunela. Ak sa primárny tunel vráti späť, všetka prevádzka sa presunie späť do primárneho tunela IPsec.

Povoliť IKE verzie 1
Keď vytvoríte tunel IPsec na smerovači vEdge, IKE verzia 1 je štandardne povolená na rozhraní tunela. Nasledujúce vlastnosti sú tiež predvolene povolené pre IKEv1:

  • Autentifikácia a šifrovanie – AES-256 pokročilé šifrovanie štandardné CBC šifrovanie s HMAC-SHA1 kľúčovým algoritmom overovacieho kódu správy hash pre integritu
  • Číslo skupiny Diffie-Hellman-16
  • Časový interval opätovného kľúča - 4 hodiny
  • Režim založenia SA – hlavný

IKEv1 štandardne používa hlavný režim IKE na vytvorenie pridružení zabezpečenia IKE. V tomto režime sa na vytvorenie SA vymení šesť vyjednávacích paketov. Ak chcete vymeniť iba tri vyjednávacie pakety, povoľte agresívny režim:

Poznámka
Agresívnemu režimu IKE s vopred zdieľanými kľúčmi by ste sa mali vyhnúť všade, kde je to možné. V opačnom prípade by ste mali zvoliť silný predzdieľaný kľúč.

  • vEdge(config)# vpn vpn-id rozhranie ipsec číslo ike
  • vEdge(config-ike)# režim agresívny

IKEv1 štandardne používa Diffie-Hellman skupinu 16 vo výmene kľúčov IKE. Táto skupina používa 4096-bitovú modulárnejšiu exponenciálnu (MODP) skupinu počas výmeny kľúčov IKE. Číslo skupiny môžete zmeniť na 2 (pre 1024-bitové MODP), 14 (2048-bitové MODP) alebo 15 (3072-bitové MODP):

  • vEdge(config)# vpn vpn-id rozhranie ipsec číslo ike
  • vEdge(config-ike)# číslo skupiny

Výmena kľúčov IKE štandardne používa pokročilé šifrovanie CBC štandardu AES-256 s algoritmom autentifikačného kódu správy s kľúčom HMAC-SHA1 pre integritu. Overenie môžete zmeniť:

  • vEdge(config)# vpn vpn-id rozhranie ipsec číslo ike
  • vEdge(config-ike)# sada šifrovacích balíkov

Overovací balík môže byť jeden z nasledujúcich:

  • aes128-cbc-sha1 – AES-128 pokročilé šifrovanie štandardné CBC šifrovanie s HMAC-SHA1 kľúčovým-hashovým algoritmom autentifikačného kódu správy pre integritu
  • aes128-cbc-sha2 – AES-128 pokročilé šifrovanie štandardné CBC šifrovanie s HMAC-SHA256 kľúčovým-hashovým algoritmom autentifikačného kódu správy pre integritu
  • aes256-cbc-sha1—AES-256 pokročilé šifrovanie štandardné CBC šifrovanie s HMAC-SHA1 kľúčovým-hashovým algoritmom autentifikačného kódu správy pre integritu; toto je predvolená hodnota.
  • aes256-cbc-sha2 – AES-256 pokročilé šifrovanie štandardné CBC šifrovanie s HMAC-SHA256 kľúčovým-hashovým algoritmom autentifikačného kódu správy pre integritu

Štandardne sa kľúče IKE obnovujú každú 1 hodinu (3600 sekúnd). Interval opätovného kľúčovania môžete zmeniť na hodnotu od 30 sekúnd do 14 dní (1209600 sekúnd). Odporúča sa, aby interval opätovného kľúča bol aspoň 1 hodina.

  • vEdge(config)# vpn vpn-id rozhranie ipsec číslo ako
  • vEdge(config-ike)# rekey sekúnd

Ak chcete vynútiť generovanie nových kľúčov pre reláciu IKE, zadajte príkaz request ipsec ike-rekey.

  • vEdge(config)# číslo vpn vpn-id interfaceipsec číslo ike

Pre IKE môžete tiež nakonfigurovať autentifikáciu pomocou predzdieľaného kľúča (PSK):

  • vEdge(config)# vpn vpn-id rozhranie ipsec číslo ike
  • vEdge(config-ike)# predzdieľaný kľúč typu autentifikácie predzdieľané-tajné heslo heslo je heslo, ktoré sa má použiť s predzdieľaným kľúčom. Môže to byť ASCII alebo hexadecimálny reťazec s dĺžkou 1 až 127 znakov.

Ak vzdialený partner IKE vyžaduje lokálne alebo vzdialené ID, môžete nakonfigurovať tento identifikátor:

  • vEdge(config)# vpn vpn-id rozhranie číslo ipsec ike typ autentifikácie
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# ID vzdialeného id

Identifikátorom môže byť IP adresa alebo ľubovoľný textový reťazec s dĺžkou 1 až 63 znakov. Štandardne je lokálne ID zdrojovou IP adresou tunela a vzdialené ID je cieľovou IP adresou tunela.

Povoliť IKE verzie 2
Keď nakonfigurujete tunel IPsec na používanie IKE verzie 2, nasledujúce vlastnosti sú predvolene povolené aj pre IKEv2:

  • Autentifikácia a šifrovanie – AES-256 pokročilé šifrovanie štandardné CBC šifrovanie s HMAC-SHA1 kľúčovým algoritmom overovacieho kódu správy hash pre integritu
  • Číslo skupiny Diffie-Hellman-16
  • Časový interval opätovného kľúča - 4 hodiny

IKEv2 štandardne používa Diffie-Hellman skupinu 16 vo výmene kľúčov IKE. Táto skupina používa 4096-bitovú modulárnejšiu exponenciálnu (MODP) skupinu počas výmeny kľúčov IKE. Číslo skupiny môžete zmeniť na 2 (pre 1024-bitové MODP), 14 (2048-bitové MODP) alebo 15 (3072-bitové MODP):

  • vEdge(config)# vpn vpn-id rozhranie ipsecnumber ike
  • vEdge(config-ike)# číslo skupiny

Výmena kľúčov IKE štandardne používa pokročilé šifrovanie CBC štandardu AES-256 s algoritmom autentifikačného kódu správy s kľúčom HMAC-SHA1 pre integritu. Overenie môžete zmeniť:

  • vEdge(config)# vpn vpn-id rozhranie ipsecnumber ike
  • vEdge(config-ike)# sada šifrovacích balíkov

Overovací balík môže byť jeden z nasledujúcich:

  • aes128-cbc-sha1 – AES-128 pokročilé šifrovanie štandardné CBC šifrovanie s HMAC-SHA1 kľúčovým-hashovým algoritmom autentifikačného kódu správy pre integritu
  • aes128-cbc-sha2 – AES-128 pokročilé šifrovanie štandardné CBC šifrovanie s HMAC-SHA256 kľúčovým-hashovým algoritmom autentifikačného kódu správy pre integritu
  • aes256-cbc-sha1—AES-256 pokročilé šifrovanie štandardné CBC šifrovanie s HMAC-SHA1 kľúčovým-hashovým algoritmom autentifikačného kódu správy pre integritu; toto je predvolená hodnota.
  • aes256-cbc-sha2 – AES-256 pokročilé šifrovanie štandardné CBC šifrovanie s HMAC-SHA256 kľúčovým-hashovým algoritmom autentifikačného kódu správy pre integritu

Štandardne sa kľúče IKE obnovujú každé 4 hodiny (14,400 30 sekúnd). Interval opätovného kľúčovania môžete zmeniť na hodnotu od 14 sekúnd do 1209600 dní (XNUMX sekúnd):

  • vEdge(config)# vpn vpn-id rozhranie ipsecnumber ike
  • vEdge(config-ike)# rekey sekúnd

Ak chcete vynútiť generovanie nových kľúčov pre reláciu IKE, zadajte príkaz request ipsec ike-rekey. Pre IKE môžete tiež nakonfigurovať autentifikáciu pomocou predzdieľaného kľúča (PSK):

  • vEdge(config)# vpn vpn-id rozhranie ipsecnumber ike
  • vEdge(config-ike)# predzdieľaný kľúč typu autentifikácie predzdieľané-tajné heslo heslo je heslo, ktoré sa má použiť s predzdieľaným kľúčom. Môže to byť ASCII alebo hexadecimálny reťazec alebo to môže byť kľúč šifrovaný AES. Ak vzdialený partner IKE vyžaduje lokálne alebo vzdialené ID, môžete nakonfigurovať tento identifikátor:
  • vEdge(config)# rozhranie vpn vpn-id číslo ipsec ike typ autentifikácie
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# ID vzdialeného id

Identifikátorom môže byť IP adresa alebo ľubovoľný textový reťazec s dĺžkou 1 až 64 znakov. Štandardne je lokálne ID zdrojovou IP adresou tunela a vzdialené ID je cieľovou IP adresou tunela.

Nakonfigurujte parametre tunela IPsec

Tabuľka 4: História funkcií

Funkcia Meno Informácie o vydaní Popis
Dodatočné kryptografické Vydanie Cisco SD-WAN 20.1.1 Táto funkcia pridáva podporu pre
Algoritmická podpora pre IPSec   HMAC_SHA256, HMAC_SHA384 a
Tunely   Algoritmy HMAC_SHA512 pre
    zvýšená bezpečnosť.

V tuneli IPsec, ktorý prenáša prenos IKE, sa štandardne používajú nasledujúce parametre:

  • Autentifikácia a šifrovanie – algoritmus AES-256 v GCM (režim Galois/counter)
  • Interval opätovného kľúča - 4 hodiny
  • Okno opakovaného prehrávania – 32 paketov

Šifrovanie v tuneli IPsec môžete zmeniť na šifru AES-256 v CBC (režim reťazenia šifrových blokov s HMAC pomocou overenia správ pomocou kľúča SHA-1 alebo SHA-2 alebo na nulu s HMAC pomocou buď SHA-1 alebo Autentifikácia správ s kľúčom hash SHA-2, aby sa nezašifroval tunel IPsec používaný na prenos kľúčov IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suit (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-aes-null-sha1 | | aes256-null-sha256 | aes256-null-sha384)

Štandardne sa kľúče IKE obnovujú každé 4 hodiny (14,400 30 sekúnd). Interval opätovného kľúčovania môžete zmeniť na hodnotu od 14 sekúnd do 1209600 dní (XNUMX sekúnd):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey sekúnd

Ak chcete vynútiť generovanie nových kľúčov pre tunel IPsec, zadajte príkaz request ipsec ipsec-rekey. V predvolenom nastavení je v tuneloch IPsec povolené dokonalé dopredné utajenie (PFS), aby sa zabezpečilo, že predchádzajúce relácie nebudú ovplyvnené, ak budú ohrozené budúce kľúče. PFS vynúti novú výmenu kľúčov Diffie-Hellman, štandardne pomocou 4096-bitovej skupiny hlavných modulov Diffie-Hellman. Nastavenie PFS môžete zmeniť:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# nastavenie pfs dokonalého dopredného utajenia

pfs-setting môže byť jedno z nasledujúcich:

  • skupina-2 – použite 1024-bitovú skupinu hlavného modulu Diffie-Hellman.
  • skupina-14 – použite 2048-bitovú skupinu hlavného modulu Diffie-Hellman.
  • skupina-15 – použite 3072-bitovú skupinu hlavného modulu Diffie-Hellman.
  • skupina-16 – použite 4096-bitovú Diffie-Hellmanovu skupinu hlavného modulu. Toto je predvolené nastavenie.
  • žiadne – Zakázať PFS.

V predvolenom nastavení je okno opakovaného prehrávania IPsec v tuneli IPsec 512 bajtov. Veľkosť okna prehrávania môžete nastaviť na 64, 128, 256, 512, 1024, 2048 alebo 4096 paketov:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# číslo replay-window

Upravte detekciu mŕtvych rovesníkov IKE

IKE používa mechanizmus detekcie mŕtvych rovnocenných používateľov na určenie, či je pripojenie k rovnocennému používateľovi IKE funkčné a dosiahnuteľné. Na implementáciu tohto mechanizmu IKE odošle Hello paket svojmu partnerovi a partner odošle ako odpoveď potvrdenie. Štandardne IKE posiela Hello pakety každých 10 sekúnd a po troch nepotvrdených paketoch IKE vyhlási suseda za mŕtveho a pretrhne tunel k peerovi. Potom IKE periodicky posiela paket Hello peerovi a obnoví tunel, keď sa peer vráti do režimu online. Interval detekcie živosti môžete zmeniť na hodnotu od 0 do 65535 a počet opakovaní môžete zmeniť na hodnotu od 0 do 255.

Poznámka

V prípade transportných sietí VPN sa interval detekcie životnosti prevedie na sekundy pomocou nasledujúceho vzorca: Interval pre číslo pokusu o opakovaný prenos N = interval * 1.8N-1Napr.ample, ak je interval nastavený na 10 a zopakuje sa na 5, interval detekcie sa zvýši takto:

  • Pokus 1: 10 * 1.81-1 = 10 sekúnd
  • Pokus 2: 10 * 1.82-1 = 18 sekúnd
  • Pokus 3: 10 * 1.83-1 = 32.4 sekúnd
  • Pokus 4: 10 * 1.84-1 = 58.32 sekúnd
  • Pokus 5: 10 * 1.85-1 = 104.976 sekúnd

vEdge(config-interface-ipsecnumber)# počet opakovaní intervalu detekcie mŕtveho partnera

Nakonfigurujte ďalšie vlastnosti rozhrania

Pre rozhrania tunela IPsec môžete nakonfigurovať iba tieto dodatočné vlastnosti rozhrania:

  • vEdge(config-interface-ipsec)# mtu bajtov
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bajtov

Zakázať slabé šifrovacie algoritmy SSH v Cisco SD-WAN Manager

Tabuľka 5: Tabuľka histórie funkcií

Funkcia Meno Informácie o vydaní Funkcia Popis
Zakázať slabé šifrovacie algoritmy SSH v Cisco SD-WAN Manager Vydanie Cisco vManage 20.9.1 Táto funkcia vám umožňuje deaktivovať slabšie algoritmy SSH v Cisco SD-WAN Manager, ktoré nemusia spĺňať určité štandardy zabezpečenia údajov.

Informácie o zakázaní slabých šifrovacích algoritmov SSH v aplikácii Cisco SD-WAN Manager
Cisco SD-WAN Manager poskytuje klienta SSH na komunikáciu s komponentmi v sieti, vrátane radičov a okrajových zariadení. Klient SSH poskytuje šifrované pripojenie na bezpečný prenos údajov na základe rôznych šifrovacích algoritmov. Mnoho organizácií vyžaduje silnejšie šifrovanie, než aké poskytuje SHA-1, AES-128 a AES-192. Od Cisco vManage Release 20.9.1 môžete zakázať nasledujúce slabšie šifrovacie algoritmy, aby klient SSH tieto algoritmy nepoužíval:

  • SHA-1
  • AES-128
  • AES-192

Pred vypnutím týchto šifrovacích algoritmov sa uistite, že zariadenia Cisco vEdge, ak sú v sieti, používajú vydanie softvéru neskoršie ako vydanie Cisco SD-WAN 18.4.6.

Výhody deaktivácie slabých šifrovacích algoritmov SSH na Cisco SD-WAN Manager
Vypnutie slabších šifrovacích algoritmov SSH zlepšuje bezpečnosť komunikácie SSH a zaisťuje, že organizácie používajúce Cisco Catalyst SD-WAN budú v súlade s prísnymi bezpečnostnými predpismi.

Zakázať slabé šifrovacie algoritmy SSH v Cisco SD-WAN Manager pomocou CLI

  1. V ponuke Cisco SD-WAN Manager vyberte Nástroje > Terminál SSH.
  2. Vyberte zariadenie Cisco SD-WAN Manager, na ktorom chcete deaktivovať slabšie algoritmy SSH.
  3. Zadajte používateľské meno a heslo na prihlásenie do zariadenia.
  4. Zadajte režim servera SSH.
    • vmanage(config)# systém
    • vmanage(config-system)# ssh-server
  5. Ak chcete deaktivovať šifrovací algoritmus SSH, vykonajte jeden z nasledujúcich krokov:
    • Zakázať SHA-1:
  6. manage(config-ssh-server)# no kex-algo sha1
  7. manage(config-ssh-server)# commit
    Zobrazí sa nasledujúca varovná správa: Boli vygenerované nasledujúce upozornenia: 'system ssh-server kex-algo sha1': UPOZORNENIE: Uistite sa, že všetky vaše hrany bežia s verziou kódu > 18.4.6, ktorá vyjednáva lepšie ako SHA1 s vManage. V opačnom prípade sa tieto okraje môžu stať offline. Pokračovať? [áno, nie] áno
    • Uistite sa, že všetky zariadenia Cisco vEdge v sieti používajú Cisco SD-WAN Release 18.4.6 alebo novší a zadajte áno.
    • Zakázať AES-128 a AES-192:
    • vmanage(config-ssh-server)# žiadna šifra aes-128-192
    • vmanage(config-ssh-server)# commit
      Zobrazí sa nasledujúce varovné hlásenie:
      Boli vygenerované nasledujúce upozornenia:
      'system ssh-server cipher aes-128-192': UPOZORNENIE: Uistite sa, že všetky vaše hrany bežia na verzii kódu > 18.4.6, ktorá s vManage vyjednáva lepšie ako AES-128-192. V opačnom prípade sa tieto okraje môžu stať offline. Pokračovať? [áno, nie] áno
    • Uistite sa, že všetky zariadenia Cisco vEdge v sieti používajú Cisco SD-WAN Release 18.4.6 alebo novší a zadajte áno.

Overte, či sú slabé šifrovacie algoritmy SSH v Cisco SD-WAN Manager vypnuté pomocou CLI

  1. V ponuke Cisco SD-WAN Manager vyberte Nástroje > Terminál SSH.
  2. Vyberte zariadenie Cisco SD-WAN Manager, ktoré chcete overiť.
  3. Zadajte používateľské meno a heslo na prihlásenie do zariadenia.
  4. Spustite nasledujúci príkaz: show running-config system ssh-server
  5. Potvrďte, že výstup zobrazuje jeden alebo viacero príkazov, ktoré deaktivujú slabšie šifrovacie algoritmy:
    • žiadna šifra aes-128-192
    • no kex-algo sha1

Dokumenty / zdroje

CISCO SD-WAN Konfigurácia bezpečnostných parametrov [pdf] Používateľská príručka
SD-WAN Konfigurácia bezpečnostných parametrov, SD-WAN, Konfigurácia bezpečnostných parametrov, Bezpečnostné parametre

Referencie

Zanechajte komentár

Vaša emailová adresa nebude zverejnená. Povinné polia sú označené *