CISCO SD-WAN Fa'atonu Parameter Saogalemu

Fa'atonu Parameter Saogalemu

Manatua

Ina ia ausia le faafaigofieina ma le tumau, o le Cisco SD-WAN solution ua toe faʻaigoaina o Cisco Catalyst SD-WAN. E le gata i lea, mai le Cisco IOS XE SD-WAN Release 17.12.1a ma Cisco Catalyst SD-WAN Release 20.12.1, o suiga o vaega nei e talafeagai: Cisco vManage i Cisco Catalyst SD-WAN Pule, Cisco vAnalytics i Cisco Catalyst SD-WAN Iloiloga, Cisco vBond i Cisco Catalyst SD-WAN Validator, ma Cisco vSmart i Cisco Catalyst SD-WAN Pule. Va'ai i Fa'amatalaga Fa'amatalaga lata mai mo se lisi atoa o suiga uma o igoa o le vaega. A'o matou fesuia'i i igoa fou, e ono iai ni fa'aletonu i le seti o fa'amaumauga ona o se fa'agasologa fa'asolosolo i fa'afouga fa'afouga fa'akomepiuta a le tagata fa'aoga.

O lenei vaega o loʻo faʻamatalaina pe faʻafefea ona suia tulaga saogalemu mo le vaʻalele faʻatonutonu ma le vaalele faʻamatalaga i le Cisco Catalyst SD-WAN overlay network.

• Fa'atonu Parameters Puipuiga o Va'alele Fa'atonu, i luga
• Fa'atonu Parameters Puipuiga o Va'alele Fa'amatalaga, i luga
• Fa'atulaga IKE-Enabled IPsec Tunnels, on
• Fa'agata le SSH Encryption Algorithms ile Cisco SD-WAN Manager, on

Fa'atonu Parameter Puipuiga o Va'alele

Ona o le faaletonu, o le vaalele pulea e faʻaaogaina le DTLS e fai ma faʻasalalauga e tuʻuina atu ai le le faalauaiteleina i luga o ana alalaupapa uma. O le DTLS e alu i luga ole UDP. E mafai ona e suia le fa'atonuga o le puipuiga o le va'alele i le TLS, lea e fa'aoga i luga ole TCP. O le mafuaʻaga autu e faʻaaoga ai le TLS o le, afai e te manatu o le Cisco SD-WAN Controller e avea ma se 'auʻaunaga, e sili atu le puipuia e puipui o le TCP nai lo UDP. E te fa'atulagaina le fa'atonuga o le alalaupapa va'alele i luga o le Cisco SD-WAN Pule: vSmart(config)# puipuiga malu tls Fa'atasi ai ma lenei suiga, o va'alele fa'atonutonu uma i le va o le Cisco SD-WAN Pule ma le au ta'avale ma le va o le Cisco SD-WAN Pule. ma Cisco SD-WAN Pule fa'aaoga TLS. Pulea tunnels vaalele i Cisco Catalyst SD-WAN Validator faʻaaoga i taimi uma DTLS, aua o nei fesoʻotaʻiga e tatau ona taulimaina e le UDP. I totonu o se vaega e tele Cisco SD-WAN Pule, pe a e faʻapipiʻi TLS i luga o se tasi o Cisco SD-WAN Controllers, e faʻaogaina uma alalaupapa vaalele mai lena pule i isi pule faʻaoga TLS. Fai mai se isi auala, TLS i taimi uma e faamuamua nai lo DTLS. Ae ui i lea, mai le vaaiga a isi Cisco SD-WAN Controllers, afai e te leʻi faʻapipiʻiina TLS ia i latou, latou te faʻaogaina le TLS i luga o le vaʻalele faʻatonutonu na o le tasi Cisco SD-WAN Pule, ma latou faʻaogaina DTLS tunnels i isi uma. Cisco SD-WAN Pulea ma i latou uma e feso'ota'i ala. Ina ia faʻaaoga uma e Cisco SD-WAN Controllers TLS, faʻapipiʻi i luga o latou uma. Ona o le faaletonu, o le Cisco SD-WAN Pule e faʻalogo ile taulaga 23456 mo TLS talosaga. Ina ia suia lenei mea: vSmart(config)# security control tls-port number O le uafu e mafai ona avea ma numera mai le 1025 e oo atu i le 65535. Ina ia faʻaalia faʻamatalaga saogalemu o vaalele, faʻaaoga le faʻatonuga faʻatonuga fesoʻotaʻiga ile Cisco SD-WAN Pule. Mo example: vSmart-2# fa'aalia feso'ota'iga fa'atonutonu

Fa'atulaga DTLS i Cisco SD-WAN Pule

Afai e te fa'atulagaina le Cisco SD-WAN Manager e fa'aoga le TLS e fai ma fa'atonuga mo le puipuiga o va'alele, e tatau ona e fa'atagaina le fa'auluina o le taulaga i lau NAT. Afai o lo'o e fa'aogaina le DTLS e fai ma fa'atonuga mo le puipuiga o le va'alele, e te le mana'omia le faia o se mea. Ole numera o ports na tuʻuina atu e faʻalagolago ile numera o faiga vdaemon o loʻo faʻaogaina ile Cisco SD-WAN Manager. Ina ia faʻaalia faʻamatalaga e uiga i nei faʻagasologa ma uiga ma le numera o ports o loʻo tuʻuina atu, faʻaaoga le faʻatonuga o le faʻatonuga o le faʻatonuga o loʻo faʻaalia ai e fa faʻagasologa o le daemon o loʻo faʻagasolo:

Ina ia va'ai i ports fa'alogo, fa'aoga le fa'atonuga fa'atonuga fa'apitonu'u-meatotonu: vManage# fa'aali fa'atonuga fa'alotoifale.

O lenei gaioiga e faʻaalia ai o le faʻalogo TCP port o le 23456. Afai o loʻo e taʻavale Cisco SD-WAN Pule i tua o se NAT, e tatau ona e tatalaina ports nei i luga o le masini NAT:

• 23456 (fa'avae - fa'ata'ita'iga 0 uafu)
• 23456 + 100 (fa'avae + 100)
• 23456 + 200 (fa'avae + 200)
• 23456 + 300 (fa'avae + 300)

Manatua o le numera o faʻataʻitaʻiga e tutusa ma le numera o cores na e tofia mo le Cisco SD-WAN Manager, e oʻo atu i le maualuga o le 8.

Fa'atulaga Parameters Saogalemu Fa'aaogā le Fa'ata'ita'iga Fa'ailoga Saogalemu

Fa'aoga le fa'ata'ita'iga o le Puipuiga mo masini uma Cisco vEdge. I luga ole alalaupapa pito ma luga ole Cisco SD-WAN Validator, faʻaoga lenei faʻataʻitaʻiga e faʻapipiʻi ai le IPsec mo le saogalemu o vaalele. I luga ole Cisco SD-WAN Pule ma Cisco SD-WAN Pule, fa'aoga le fa'ata'ita'iga o le Saogalemu e fa'atulaga ai le DTLS po'o le TLS mo le fa'atonutonuina o le saogalemu o va'alele.

Fa'atonu Parameter Saogalemu

1. Mai le Cisco SD-WAN Manager lisi, filifili Fa'atonu> Fa'ata'ita'iga.
2. Kiliki Feature Templates ona kiliki lea Add Template.
   Manatua I Cisco vManage Release 20.7.1 ma faʻasalalauga muamua, Faʻailoga Faʻailoga e taʻua o Faʻaaliga.
3. Mai le lisi o masini i le itu tauagavale, filifili se masini. O faʻataʻitaʻiga e faʻatatau i le masini filifilia e faʻaalia i le itu taumatau.
4. Kiliki Saogalemu e tatala ai le mamanu.
5. I le Fa'ailoga Igoa fanua, fa'aofi se igoa mo le fa'ata'ita'iga. O le igoa e mafai ona o'o atu i le 128 mataitusi ma e mafai ona aofia ai na'o mataitusi alphanumeric.
6. I le Fa'amatalaga Fa'ata'ita'iga fanua, fa'aofi se fa'amatalaga o le fa'ata'ita'iga. O le fa'amatalaga e mafai ona o'o atu i le 2048 mataitusi ma e mafai ona aofia ai na'o mataitusi alphanumeric.

O le taimi muamua e te tatalaina ai se faʻataʻitaʻiga faʻapitoa, mo taʻiala taʻitasi o loʻo i ai se tau faʻaletonu, o le lautele e seti i le Default (faʻaalia e se faʻailoga), ma o le faʻaogaina poʻo le tau o loʻo faʻaalia. Ina ia suia le faaletonu poʻo le faʻapipiʻiina o se tau, kiliki le lisi o le matāua i lalo i le agavale o le faʻailoga fanua ma filifili se tasi o mea nei:

Laulau 1:

Parameter Aotelega

Fa'amatalaga lautele

Mea Fa'apitoa (fa'ailoa mai e se fa'ailoga talimalo)

Fa'aaogā se tau fa'apitoa mo masini mo le fa'ailoga. Mo ta'iala fa'apitoa i masini, e le mafai ona e tu'uina se tau i le ata fa'atusa. E te ulufale i le tau pe a e faʻapipiʻi se masini Viptela i se mamanu masini. A e kiliki Device Specific, e tatala le pusa Enter Key. O lenei pusa o loʻo faʻaalia ai se ki, o se manoa tulaga ese e iloa ai le parakalafa i se CSV file e te faia. Lenei file ose Excel spreadsheet e iai le koluma e tasi mo ki ta'itasi. O le laina ulutala o loʻo i ai igoa autu (tasi le ki i le koluma), ma laina taʻitasi pe a maeʻa e fetaui ma se masini ma faʻamatalaina le taua o ki mo lena masini. E te lafoina le CSV file pe a e faʻapipiʻi se masini Viptela i se mamanu masini. Mo nisi fa'amatalaga, va'ai Fausia se Pepa Fa'asologa o Fa'atusa. Ina ia suia le ki fa'aletonu, lolomi se manoa fou ma aveese le fa'ailo mai le pusa Enter Key. Exampole vaega fa'apitoa ole masini ole tuatusi IP ole faiga, igoa talimalo, nofoaga GPS, ma ID saite.

Parameter Aotelega	Fa'amatalaga lautele
Global (fa'ailoa mai e se ata o le kelope)	Ulufale se tau mo le parakalafa, ma faʻaoga lena tau i masini uma. ExampO vaega laiti e mafai ona e fa'aogaina i le lalolagi atoa i se vaega o masini o le DNS server, syslog server, ma le MTU fa'aoga.

Fa'atonu le Puipuiga o Va'alele

Manatua
Ole vaega ole Configure Control Plane Security e fa'atatau ile Cisco SD-WAN Manager ma Cisco SD-WAN Controller na'o le fa'atonuina o le fa'atonuga o feso'ota'iga va'alele ile fa'ata'ita'iga Cisco SD-WAN Pule po'o se Cisco SD-WAN Pule, filifili le vaega Fa'atonu Fa'atonu. ma fetuutuuna'i vaega nei:

Laulau 2:

Parameter Igoa	Fa'amatalaga
Polokalama	Filifili le faʻasalalauga e faʻaoga i luga o fesoʻotaʻiga vaʻalele i se Cisco SD-WAN Pule: • DTLS (Tatagram Transport Layer Security). O le faaletonu lea. • TLS (Transport Layer Security)
Pulea le Taulaga TLS	Afai na e filifilia le TLS, fetuutuunai le numera o le taulaga e faʻaoga:Avanoa: 1025 e oo i le 65535Fa'atonu: 23456

Kiliki Save

Fa'atonu le Puipuiga o Va'alele Fa'amatalaga
Ina ia fetuutuunai le saogalemu o vaalele i luga o le Cisco SD-WAN Validator poʻo se Cisco vEdge router, filifili le Faʻatonuga Autu ma le Faʻamaonia Ituaiga faʻamau, ma faʻapipiʻi mea nei:

Laulau 3:

Parameter Igoa	Fa'amatalaga
Toe Taimi	Fa'ailoa mai pe fa'afia ona sui e le router Cisco vEdge le ki AES o lo'o fa'aogaina i lona feso'ota'iga DTLS malupuipuia i le Cisco SD-WAN Pule. Afai e mafai ona toe amata lelei le OMP, o le taimi e toe fai ai e tatau ona le itiiti ifo ma le faaluaina le tau o le OMP graceful restart timer.Avanoa: 10 i le 1209600 sekone (14 aso)Fa'atonu: 86400 sekone (24 itula)
Toe ta'alo Fa'amalama	Fa'ailoa le tele o le fa'amalama toe fa'a'a'ese'ese. Taua: 64, 128, 256, 512, 1024, 2048, 4096, 8192 afifiFa'atonu: 512 pepa
IPsec fa'a-fa'a-fa'a-ki	Ua tape lenei mea ona o le faaletonu. Kiliki On e ki ai.

Parameter Igoa

Fa'amatalaga

Ituaiga Fa'amaoniga

Filifili ituaiga fa'amaoniga mai le Fa'amaoni Lisi, ma kiliki le aū o loʻo faʻasino i le taumatau e faʻanofo ai ituaiga faʻamaoniga i le Lisi Filifilia koluma. Ituaiga faʻamaoniga e lagolagoina mai le Cisco SD-WAN Release 20.6.1: •  esp: Fa'aagaoioi le Encapsulating Security Payload (ESP) encryption ma le sa'o siaki ile ulutala ESP. •  ip-udp-esp: Fa'ataga le fa'ailoga ESP. I le faʻaopoopoga i siaki faʻamaoni i luga o le ulutala ESP ma le uta, o siaki e aofia ai foi le pito i fafo IP ma le UDP ulutala. •  ip-udp-esp-leai-id: Le amanaʻia le fanua ID i le ulutala IP ina ia mafai e Cisco Catalyst SD-WAN ona galulue faʻatasi ma masini e le o ni Cisco. •  leai se tasi: Liliu le amio sa'o siaki i luga ole IPSec afifi. Matou te le fautuaina le faʻaogaina o lenei filifiliga.   Ituaiga faʻamaoniga e lagolagoina i le Cisco SD-WAN Release 20.5.1 ma muamua atu: •  ah-leai-id: Fa'aagaaga se fa'aleleia atili o le AH-SHA1 HMAC ma le ESP HMAC-SHA1 e le amana'ia le ID ID i le pito i fafo IP ulutala o le pusa. •  ah-sha1-hmac: Fa'aagaoi le AH-SHA1 HMAC ma le ESP HMAC-SHA1. •  leai se tasi: Filifili leai se fa'amaoni. •  sha1-hmac: Fa'aagaoi le ESP HMAC-SHA1.   Manatua              Mo se masini mata o loʻo faʻaogaina i le Cisco SD-WAN Release 20.5.1 poʻo muamua atu, atonu na e faʻapipiʻiina ituaiga faʻamaoniga e faʻaaoga ai se Saogalemu fa'ata'ita'iga. A e faʻaleleia le masini ile Cisco SD-WAN Release 20.6.1 poʻo mulimuli ane, faʻafouina ituaiga faʻamaoniga filifilia i le Saogalemu faʻataʻitaʻiga i ituaiga faʻamaoniga e lagolagoina mai le Cisco SD-WAN Release 20.6.1. Ina ia faʻafouina ituaiga faʻamaoniga, fai mea nei: 1.      Mai le Cisco SD-WAN Pule lisi, filifili Fa'atonuga > Fa'ata'ita'iga. 2.      Kiliki Fa'atusa Fa'atusa. 3.      Su'e le Saogalemu mamanu e faʻafou ma kiliki ... ma kiliki Fa'atonu. 4.      Kiliki Fa'afouga. Aua le suia so'o se faatulagaga. Cisco SD-WAN Pule fa'afouina le Saogalemu fa'ata'ita'iga e fa'aalia ai ituaiga fa'amaoniga lagolago.

Kiliki Save.

Fa'atulaga Fa'amaumauga Puipuiga o Va'alele

I le vaalele faʻamatalaga, IPsec e mafai ona faʻaogaina i luga o alalaupapa uma, ma e ala i le faʻaogaina o fesoʻotaʻiga tunnel IPsec e faʻaogaina ai se faʻaleleia atili o le Encapsulating Security Payload (ESP) protocol mo le faʻamaoni i luga ole IPsec tunnels. I luga o alalaupapa, e mafai ona e suia le ituaiga o faʻamaoniga, le IPsec rekeying timer, ma le tele o le IPsec anti-replay window.

Fa'atulaga Ituaiga Fa'amaonia Fa'atagaina

Ituaiga Faʻamaoniga i Cisco SD-WAN Faʻasalalau 20.6.1 ma Mulimuli ane
Mai le Cisco SD-WAN Release 20.6.1, o ituaiga amio sa'o nei e lagolagoina:

• esp: O lenei filifiliga e mafai ai le Encapsulating Security Payload (ESP) faʻailoga ma le siakiina o le faʻamaoni i luga o le ulutala ESP.
• ip-udp-esp: O lenei filifiliga e mafai ai le faʻailoga ESP. I le faʻaopoopoga i siaki faʻamaoni i luga o le ulutala ESP ma le uta, o siaki foi e aofia ai le pito i fafo IP ma le UDP ulutala.
• ip-udp-esp-no-id: O lenei filifiliga e tutusa ma ip-udp-esp, peitaʻi, o le ID ID o le pito i fafo IP ulu e le amanaiaina. Fa'atonu lenei filifiliga i le lisi o ituaiga amio sa'o e le amana'ia e le Cisco Catalyst SD-WAN le fanua ID i le ulutala IP ina ia mafai e le Cisco Catalyst SD-WAN ona galulue fa'atasi ma masini e le o ni Cisco.
• leai: O lenei filifiliga e fa'aliliu ai le fa'amaoni o le siakiina i luga o pa'u IPSec. Matou te le fautuaina le faʻaogaina o lenei filifiliga.

Ona o le le mafai, IPsec tunnel so'oga e fa'aogaina ai le fa'aleleia atili o le Encapsulating Security Payload (ESP) protocol mo le fa'amaoni. Ina ia suia ituaiga fefaʻatauaʻiga fefaʻatauaʻiga poʻo le faʻamalo le siakiina o le amio saʻo, faʻaaoga le poloaiga lenei: integrity-type { leai | ip-udp-esp | ip-udp-esp-no-id | esp}

Ituaiga Fa'amaoni A'o le'i Fa'asalalau Cisco SD-WAN 20.6.1
Ona o le le mafai, IPsec tunnel so'oga e fa'aogaina ai le fa'aleleia atili o le Encapsulating Security Payload (ESP) protocol mo le fa'amaoni. Ina ia suia ituaiga faʻamaoniga faʻatalanoaina poʻo le faʻamalo le faʻamaoni, faʻaaoga le poloaiga lenei: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | leai) I le faaletonu, IPsec feso'ota'iga tunnel e fa'aaoga ai le AES-GCM-256, lea e maua uma ai fa'ailoga ma fa'amaoni. Fa'atulaga ituaiga fa'amaoniga ta'itasi ma se fa'atonuga fa'amaonia-ituaiga fa'amaonia ipsec. O le fa'atonuga o filifiliga fa'afanua i ituaiga fa'amaoniga nei, o lo'o lisiina i le faasologa mai le sili ona malosi i le itiiti ifo le malosi:

Manatua
O le sha1 i filifiliga faʻatulagaina e faʻaaogaina mo mafuaaga faʻasolopito. O filifiliga fa'amaonia e ta'u mai ai le tele o le su'esu'eina o le sa'o o pepa ua faia. Latou te le faʻamaonia le algorithm e siaki ai le faʻamaoni. Vagana mo le faʻailoga o fefaʻatauaiga telecast, o faʻamaoniga faʻamaonia e lagolagoina e Cisco Catalyst SD WAN e le faʻaogaina SHA1. Ae ui i lea i Cisco SD-WAN Release 20.1.x ma luga atu, e le faʻaogaina e le unicast ma le multicast SHA1.

• ah-sha1-hmac e mafai ai ona faʻamalamalama ma faʻapipiʻi e faʻaaoga ai le ESP. Ae ui i lea, i le faʻaopoopoga i siaki faʻamaoni i luga o le ulutala ESP ma le uta, o siaki e aofia ai foʻi le IP fafo ma le UDP ulutala. O le mea lea, o lenei filifiliga e lagolagoina se siaki faʻamaoni o le afifi e tutusa ma le faʻamaoniga Ulutala (AH) protocol. O faʻamaoni uma ma faʻamatalaga e faʻaaogaina e faʻaaoga ai le AES-256-GCM.
• ah-no-id e mafai ai se faiga e tutusa ma ah-sha1-hmac, ae ui i lea, o le ID ID o le ulu IP fafo e le amanaiaina. O lenei filifiliga e faʻaogaina ai nisi masini e le o le Cisco Catalyst SD-WAN, e aofia ai le Apple AirPort Express NAT, o loʻo i ai se pusa e mafua ai ona suia le ID ID i le ulutala IP, o se fanua e le mafai ona suia. Fa'atonu le filifiliga ah-leai-id i le lisi o ituaiga fa'amaoni e le amana'ia e le Cisco Catalyst SD-WAN AH le fanua ID i le ulutala IP ina ia mafai e le Cisco Catalyst SD-WAN polokalama ona galulue fa'atasi ma nei masini.
• O le sha1-hmac e mafai ai ona faʻamaonia le ESP ma le siakiina o le faʻamaoni.
• leai se faafanua e leai se fa'amaoni. O lenei filifiliga e tatau ona faʻaaogaina pe a manaʻomia mo le faʻapipiʻiina le tumau. E mafai foi ona e filifilia lenei filifiliga i tulaga e le o se popolega le fa'amaoniaina o le va'alele ma le fa'amaoni. E le fautuaina e Cisco le faʻaogaina o lenei filifiliga mo fesoʻotaʻiga gaosiga.

Mo fa'amatalaga po'o fea fa'amaumauga o fa'amaumauga o lo'o a'afia i nei ituaiga fa'amaoniga, va'ai le Fa'amaoni o Va'alele Fa'amatalaga. Cisco IOS XE Catalyst SD-WAN masini ma Cisco vEdge masini fa'asalalau a latou ituaiga fa'amaoniga fa'amaonia i totonu o latou meatotino TLOC. O taʻavale e lua i itu uma o se fesoʻotaʻiga tunnel IPsec e faʻatalanoaina le faʻamaoniga e faʻaoga i luga o le fesoʻotaʻiga i le va oi latou, e faʻaaoga ai le ituaiga faʻamaoniga sili ona malosi o loʻo faʻapipiʻiina i luga o auala uma e lua. Mo exampLe, afai e faʻasalalau e le tasi router le ah-sha1-hmac ma ah-no-id ituaiga, ma faʻasalalau lona lua alalaupapa le ah-no-id ituaiga, o le au routers e lua feutagai e faaaoga ah-no-id i luga o le IPsec tunnel sootaga i le va. latou. Afai e leai ni ituaiga faʻamaoniga masani e faʻapipiʻiina i luga o tupulaga e lua, e leai se alalaupapa IPsec e faʻatuina i le va oi latou. Ole fa'ailoga algorithm ile feso'ota'iga tunnel IPsec e fa'alagolago ile ituaiga o feoaiga:

• Mo fefaʻatauaiga faʻasalalau, o le faʻailoga algorithm o le AES-256-GCM.
• Mo fe'avea'i fa'asalalau tele:
• Cisco SD-WAN Fa'asalalau 20.1.x ma mulimuli ane- o le fa'ailoga algorithm o le AES-256-GCM
• Fa'asalalauga muamua- o le fa'ailoga algorithm o le AES-256-CBC ma SHA1-HMAC.

Pe a suia le ituaiga faʻamaoniga IPsec, ua suia le ki AES mo le ala faʻamatalaga.

Suia le Taimi Toe Fa'aola

A'o le'i mafai e Cisco IOS XE Catalyst SD-WAN ma masini Cisco vEdge ona fa'afesuia'i fefa'ataua'iga o fa'amatalaga, latou te fa'atūina se ala feso'ota'iga fa'amaonia fa'amaonia i le va oi latou. E faʻaogaina e le au taʻavale alalaupapa IPSec i le va o latou e fai ma auala, ma le AES-256 cipher e faʻatino ai faʻamatalaga. O router ta'itasi e fa'atupuina se ki fou AES mo lona ala fa'amaumauga i lea taimi ma lea taimi. Ona o le faaletonu, o le ki e aoga mo le 86400 sekone (24 itula), ma o le taimi e 10 sekone e oo atu i le 1209600 sekone (14 aso). Ina ia suia le tau o le taimi e toe fa'afo'i ai: Device(config)# security ipsec rekey seconds O le fa'atulagaga e pei o lenei:

• saogalemu ipsec rekey sekone!

Afai e te manaʻo e faʻapipiʻi vave IPsec ki, e mafai ona e faia e aunoa ma le suia o le faʻatulagaina o le router. Ina ia faia lenei mea, tuʻuina atu le poloaiga mo le puipuiga o le ipsecrekey i luga o le router faʻafefe. Mo exampLe, o le galuega faatino o loʻo i lalo o loʻo faʻaalia ai o le SA i le lotoifale o loʻo i ai se Faʻamaumauga o Parameter Puipuiga (SPI) o le 256:

O se ki tulaga ese e fesoʻotaʻi ma SPI taʻitasi. Afai e fa'aletonu lenei ki, fa'aoga le poloaiga mo le puipuiga o le ipsec-rekey e fa'atupu vave ai se ki fou. O lenei poloaiga e faʻaopoopoina le SPI. I le matou example, suia le SPI i le 257 ma o le ki e fesoʻotaʻi ma ua faʻaaogaina nei:

• Meafaigaluega# talosaga ipsecrekey saogalemu
• Meafaigaluega# fa'aali ipsec local-sa

A maeʻa ona faʻatupuina le ki fou, e auina atu loa e le router i le Cisco SD-WAN Controllers e faʻaaoga ai le DTLS poʻo le TLS. O le Cisco SD-WAN Controllers e auina atu le ki i le au taʻavale. E amata ona faʻaaogaina e le au ala i le taimi lava latou te mauaina ai. Manatua o le ki e fesoʻotaʻi ma le SPI tuai (256) o le a faʻaauau pea ona faʻaaogaina mo sina taimi puupuu seia oʻo i le taimi. Ina ia taofi le faʻaogaina vave o le ki tuai, tuʻu faalua le faʻatonuga o le puipuiga ipsec-rekey, faʻasolosolo vave. O lenei faasologa o poloaiga e aveese uma ai le SPI 256 ma le 257 ma seti le SPI i le 258. Ona faʻaogaina lea e le router le ki fesoʻotaʻi o le SPI 258. Ae ui i lea, ia maitauina, o nisi o paʻu o le a pa'ū mo sina taimi puupuu seia aʻoaʻoina uma le au alaala mamao. le ki fou.

Suia le Tele o le Fa'amalama Anti-Replay

O le fa'amaoniaina o le IPsec e maua ai le puipuiga o le toe fa'afo'isia e ala i le tu'uina atu o se numera fa'asologa tulaga ese i pepa ta'itasi i totonu o se fa'amaumauga. O lenei faanumera fa'asologa e puipuia mai se tagata osofa'i fa'aluaina pepa fa'amatalaga. Fa'atasi ai ma le puipuiga o le toe ta'alo, e tu'uina atu e le tagata e auina atu numera fa'atupu fa'atupu fa'asologa, ma e siaki e le taunu'uga nei numera fa'asologa e su'e ai fa'alua. Talu ai e masani ona le taunuu mai afifi, o le mea e alu i ai o loʻo tumau pea se faʻamalama faʻasolosolo o numera faʻasologa o le a talia.

O afifi o lo'o i ai numera fa'asologa o lo'o pa'u i le agavale o le fa'amalama fa'ase'e ua ta'ua ua tuai po'o fa'alua, ma o le mea e taunu'u ai e lafoa'i. O le taunuuga e su'e le numera fa'asologa maualuga na ia mauaina, ma fetu'una'i le fa'amalama fa'ase'e pe a maua se pepa e maualuga lona tau.

Ona o le faaletonu, ua seti le faamalama faasee i le 512 pepa. E mafai ona seti i soʻo se tau i le va o le 64 ma le 4096 o se malosiaga o le 2 (o lona uiga, 64, 128, 256, 512, 1024, 2048, poʻo le 4096). Ina ia suia le tele o le faamalama anti-replay, faaaoga le replay-window command, faʻamaonia le tele o le faamalama:

Meafaigaluega(config)# saogalemu ipsec replay-window numera

O le fa'atulagaga e pei o lenei:
saogalemu ipsec replay-window numera ! !

Ina ia fesoasoani i le QoS, e fa'atumauina fa'amalama va'ava'ai eseese mo auala ta'itasi muamua e valu. O le tele o le fa'amalama toe fa'atulagaina e vaevaeina i le valu mo alalaupapa ta'itasi. Afai e faʻapipiʻi le QoS i luga o se alalaupapa, e ono oʻo i le alalaupapa se numera tele atu nai lo le faʻamoemoeina o paʻu o paʻu ona o le IPsec anti-replay mechanism, ma o le tele o paʻu na pa'ū o ni mea saʻo. E tupu lenei mea ona o le QoS e toe fa'atonu pepa, e tu'uina atu i pepa fa'amuamua le fa'amuamua togafitiga ma fa'atuai ai pepa fa'amuamua. Ina ia faʻaitiitia pe puipuia lenei tulaga, e mafai ona e faia mea nei:

• Fa'ateleina le tele o le fa'amalama e le toe ta'alo.
• Inisinia feoaiga i luga o auala muamua e valu e fa'amautinoa ai e le toe fa'atonuina felauaiga i totonu o se alalaupapa.

Fa'atulaga IKE-Enabled IPsec Tunnels
Ina ia faʻafeiloaʻi ma le saogalemu le felauaiga mai le fesoʻotaʻiga faʻapipiʻi i se 'auʻaunaga fesoʻotaʻiga, e mafai ona e faʻatulagaina alalaupapa IPsec o loʻo faʻatautaia le Initaneti Key Exchange (IKE). O alalaupapa IPsec e mafai e le IKE e maua ai le faʻamaoni ma faʻamatalaga e faʻamautinoa ai le saogalemu o felauaiga o pusa. E te fatuina se alalaupapa IPsec e mafai e IKE e ala i le faʻatulagaina o se atinaʻe IPsec. O feso'ota'iga IPsec o feso'ota'iga talafeagai, ma e te fa'atulagaina e pei lava o so'o se isi fa'aoga fa'aletino. E te fa'atulagaina fa'amaufa'ailoga a le IKE i luga o le fa'aoga IPsec, ma e mafai ona e fa'atulagaina isi mea fa'aoga.

Manatua Ua fautuaina e Cisco le faʻaaogaina o le IKE Version 2. Mai le Cisco SD-WAN 19.2.x faʻasalalauga agai i luma, o le ki muamua e manaʻomia e le itiiti ifo i le 16 bytes le umi. E le manuia le faʻavaeina o le alalaupapa IPsec pe a fai e itiiti ifo i le 16 mataitusi le lapopoa pe a faʻaleleia le router ile version 19.2.

Manatua
O le Cisco Catalyst SD-WAN software e lagolagoina le IKE Version 2 e pei ona faʻamalamalamaina i le RFC 7296. O le tasi faʻaoga mo IPsec tunnels o le faʻatagaina lea o vEdge Cloud router VM instance o loʻo tamoe i luga o Amazon AWS e faʻafesoʻotaʻi i le Amazon virtual private cloud (VPC). E tatau ona e fetuutuunai le IKE Version 1 i luga o nei alalaupapa. O masini Cisco vEdge e lagolagoina na'o VPN e fa'avae i luga o auala i se fa'atulagaga IPSec aua e le mafai e nei masini ona fa'amalamalamaina tagata filifilia o fefa'ataua'iga i le fa'ailoga fa'ailoga.

Fa'atulaga se Tunnel IPsec
Ina ia fa'atulagaina se fa'aoga alavai IPsec mo felauaiga saogalemu mai se feso'ota'iga tautua, e te fatuina se atina'e IPsec talafeagai:

E mafai ona e fatuina le alalaupapa IPsec i le felauaiga VPN (VPN 0) ma soʻo se auaunaga VPN (VPN 1 e oʻo i le 65530, vagana ai le 512). O le IPsec interface o loʻo i ai se igoa i le faʻasologa o le ipsecnumber, lea e mafai ai ona maua le numera mai le 1 e oʻo i le 255. E tatau ona iai se tuatusi IPv4 taʻitasi IPsec. O lenei tuatusi e tatau ona avea ma /30 prefix. O fefaʻatauaiga uma i totonu o le VPN o loʻo i totonu o lenei IPv4 prefix e faʻasino atu i se faʻaoga faʻapitoa i VPN 0 e lafo saogalemu i luga o se alalaupapa IPsec. Ina ia faʻapipiʻi le puna o le IPsec tunnel i luga o le masini faʻapitonuʻu, e mafai ona e faʻamaonia le tuatusi IP o le faʻaoga faʻaletino (i le tunnel-source command) poʻo le igoa o le faʻaoga faʻapitoa (i le tunnel-source-interface command). Ia mautinoa o loʻo faʻapipiʻiina le faʻaogaina o le tino i VPN 0. Ina ia faʻapipiʻi le taunuuga o le alalaupapa IPsec, faʻamaonia le tuatusi IP o le masini mamao i le tunnel-destination command. O le tu'ufa'atasiga o se tuatusi fa'apogai (po'o le igoa fa'asinomaga fa'apogai) ma se tuatusi fa'asinomaga e fa'amatala ai se alalaupapa IPsec e tasi. E na'o le tasi le alavai IPsec e mafai ona iai e fa'aoga ai se tuatusi fa'apogai ma'oti (po'o le igoa fa'akomupiuta) ma le pa'aga o le tuatusi.

Fa'atulaga se IPsec Static Route

Ina ia taʻitaʻia feoaiga mai le VPN auaunaga i se alalaupapa IPsec i le felauaiga VPN (VPN 0), e te faʻatulagaina se auala faʻapitoa IPsec i se auaunaga VPN (se VPN e ese mai i le VPN 0 poʻo le VPN 512):

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-auala prefix/umi vpn 0 interface
• ipsecnumber [ipsecnumber2]

O le VPN ID o so'o se auaunaga VPN (VPN 1 e o'o i le 65530, vagana ai le 512). prefix/umi o le tuatusi IP po'o le prefix, ile fa'ailoga fa'ailoga fa'ailoga, ma le umi ole prefix ole ala fa'apitoa ole IPsec. O le atinaʻe o le IPsec tunnel interface i VPN 0. E mafai ona e faʻapipiʻi se tasi pe lua IPsec tunnel interfaces. Afai e te faʻatulagaina lua, o le muamua o le IPsec tunnel muamua, ma le lona lua o le faʻamaumauga. Fa'atasi ai ma feso'ota'iga e lua, e na'o le alalaupapa muamua e lafo uma ai afifi. Afai e faaletonu lena alavai, ona lafo uma lea o pepa i le alavai lona lua. Afai e toe fo'i mai le alavai muamua, e toe fa'afo'i uma feoaiga i le alalaupapa IPsec muamua.

Fa'agaoioi le IKE Version 1
A e fatuina se alalaupapa IPsec i luga o le alalaupapa vEdge, IKE Version 1 e mafai ona faʻaogaina ile faʻaogaina ole alalaupapa. O meatotino nei e mafai fo'i ona fa'agasolo mo IKEv1:

• Fa'amaoni ma fa'ailoga—AES-256 fa'ailoga maualuga fa'ailoga CBC fa'amaufa'ailoga fa'atasi ma le HMAC-SHA1 ki-hash fe'au fa'amaonia code algorithm mo le fa'amaoni.
• Numera vaega o Diffie-Hellman—16
• Vaeluaga o le taimi e toe fai ai—4 itula
• Faiga fa'avae SA—Autu

Ona o le faaletonu, IKEv1 fa'aaoga le IKE autu autu e fa'avae ai IKE SA. I lenei faiga, e ono pepa feutanaiga e fesuiai e faʻavae le SA. Ina ia faafesuia'i na'o le tolu afifi o feutanaiga, fa'agaoioi le faiga fa'asa:

Manatua
E tatau ona 'alo'ese i so'o se mea e mafai ai. A leai e tatau ona filifilia se ki malosi muai fa'asoa.

• vEdge(config)# vpn vpn-id interface ipsec numera ike
• vEdge(config-ike)# faiga fa'asa

Ona o le faaletonu, IKEv1 faʻaaogaina le Diffie-Hellman vaega 16 i le IKE faʻatau ki. O lenei vaega e faʻaaogaina le 4096-bit sili atu modular exponential (MODP) vaega i le taimi o le fesuiaiga o IKE. E mafai ona e suia le numera vaega i le 2 (mo le 1024-bit MODP), 14 (2048-bit MODP), poʻo le 15 (3072-bit MODP):

• vEdge(config)# vpn vpn-id interface ipsec numera ike
• vEdge(config-ike)# numera vaega

Ona o le faaletonu, e fa'aogaina ai e le IKE fa'atauga autu le AES-256 fa'ailoga fa'ailoga fa'ailoga CBC fa'atasi ma le HMAC-SHA1 fa'amaufa'ailoga fe'au fa'amaufa'ailoga algorithm algorithm mo le fa'amaoni. E mafai ona e suia le fa'amaoni:

• vEdge(config)# vpn vpn-id interface ipsec numera ike
• vEdge(config-ike)# cipher-suite suite

O le su'ega fa'amaonia e mafai ona avea ma se tasi o mea nei:

• aes128-cbc-sha1—AES-128 advanced encryption standard CBC encryption with the HMAC-SHA1 keyed-hash message authentication code algorithm mo le faamaoni.
• aes128-cbc-sha2—AES-128 advanced encryption standard CBC encryption with the HMAC-SHA256 keyed-hash message authentication code algorithm mo le faamaoni.
• aes256-cbc-sha1—AES-256 advanced encryption standard CBC encryption with the HMAC-SHA1 keyed-hash message authentication code algorithm mo le faamaoni; o le faaletonu lea.
• aes256-cbc-sha2—AES-256 advanced encryption standard CBC encryption with the HMAC-SHA256 keyed-hash message authentication code algorithm mo le faamaoni.

Ona o le faaletonu, o IKE ki e toe faafou i le 1 itula (3600 sekone). E mafai ona e suia le va o le toe faia i se tau mai le 30 sekone i le 14 aso (1209600 sekone). E fautuaina e le itiiti ifo i le 1 le itula le va o le toe fa'aaogaina.

• vEdge(config)# vpn vpn-id interface ipsec numera pei
• vEdge(config-ike)# rekey sekone

Ina ia faʻamalosia le fausiaina o ki fou mo se sauniga IKE, tuʻuina atu le talosaga ipsec ike-rekey command.

• vEdge(config)# vpn vpn-id fa'afeso'ota'iipsec numera tutusa

Mo le IKE, e mafai fo'i ona e fa'atulagaina le fa'amaoniga muamua (PSK):

• vEdge(config)# vpn vpn-id interface ipsec numera ike
• vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password o le upu faataga e faaaoga i le ki muai faasoa. E mafai ona avea ma se ASCII po'o se manoa hexadecimal mai le 1 i le 127 mataitusi umi.

Afai e mana'omia e le tupulaga IKE mamao se ID fa'apitonu'u po'o mamao, e mafai ona e fa'atulaga le fa'amatalaga lenei:

• vEdge(config)# vpn vpn-id interface ipsec numera tutusa fa'amaoni-ituaiga
• vEdge(config-authentication-type)# local-id id
• vEdge(config-authentication-type)# remote-id id

O le fa'amatalaga e mafai ona avea ma tuatusi IP po'o so'o se manoa mai le 1 i le 63 mataitusi umi. Ona o le faaletonu, o le ID fa'apitonu'u o le tuatusi IP fa'apogai o le alavai ma o le ID mamao o le tuatusi IP lea e taunu'u i ai.

Fa'agaoioi le IKE Version 2
A e fa'atulagaina se alalaupapa IPsec e fa'aoga ai le IKE Version 2, e mafai fo'i ona fa'aagaaga mea nei mo le IKEv2:

• Fa'amaoni ma fa'ailoga—AES-256 fa'ailoga maualuga fa'ailoga CBC fa'amaufa'ailoga fa'atasi ma le HMAC-SHA1 ki-hash fe'au fa'amaonia code algorithm mo le fa'amaoni.
• Numera vaega o Diffie-Hellman—16
• Vaeluaga o le taimi e toe fai ai—4 itula

Ona o le faaletonu, IKEv2 faʻaaogaina le Diffie-Hellman vaega 16 i le IKE faʻatau ki. O lenei vaega e faʻaaogaina le 4096-bit sili atu modular exponential (MODP) vaega i le taimi o le fesuiaiga o IKE. E mafai ona e suia le numera vaega i le 2 (mo le 1024-bit MODP), 14 (2048-bit MODP), poʻo le 15 (3072-bit MODP):

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# numera vaega

Ona o le faaletonu, e fa'aogaina ai e le IKE fa'atauga autu le AES-256 fa'ailoga fa'ailoga fa'ailoga CBC fa'atasi ma le HMAC-SHA1 fa'amaufa'ailoga fe'au fa'amaufa'ailoga algorithm algorithm mo le fa'amaoni. E mafai ona e suia le fa'amaoni:

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# cipher-suite suite

O le su'ega fa'amaonia e mafai ona avea ma se tasi o mea nei:

• aes128-cbc-sha1—AES-128 advanced encryption standard CBC encryption with the HMAC-SHA1 keyed-hash message authentication code algorithm mo le faamaoni.
• aes128-cbc-sha2—AES-128 advanced encryption standard CBC encryption with the HMAC-SHA256 keyed-hash message authentication code algorithm mo le faamaoni.
• aes256-cbc-sha1—AES-256 advanced encryption standard CBC encryption with the HMAC-SHA1 keyed-hash message authentication code algorithm mo le faamaoni; o le faaletonu lea.
• aes256-cbc-sha2—AES-256 advanced encryption standard CBC encryption with the HMAC-SHA256 keyed-hash message authentication code algorithm mo le faamaoni.

Ona o le faaletonu, e toe faafou ki IKE uma i le 4 itula (14,400 sekone). E mafai ona e suia le va o le toe fa'aogaina i se tau mai le 30 sekone i le 14 aso (1209600 sekone):

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# rekey sekone

Ina ia faʻamalosia le fausiaina o ki fou mo se sauniga IKE, tuʻuina atu le talosaga ipsec ike-rekey command. Mo le IKE, e mafai fo'i ona e fa'atulagaina le fa'amaoniga muamua (PSK):

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password o le upu faataga e faaaoga i le ki muai faasoa. E mafai ona avea ma se ASCII poʻo se manoa hexadecimal, pe mafai foi ona avea ma ki faʻailoga AES. Afai e mana'omia e le tupulaga IKE mamao se ID fa'apitonu'u po'o mamao, e mafai ona e fa'atulaga le fa'amatalaga lenei:
• vEdge(config)# vpn vpn-id interface ipsecnumber pei o le fa'amaoni-ituaiga
• vEdge(config-authentication-type)# local-id id
• vEdge(config-authentication-type)# remote-id id

O le fa'amatalaga e mafai ona avea ma tuatusi IP po'o so'o se manoa mai le 1 i le 64 mataitusi umi. Ona o le faaletonu, o le ID fa'apitonu'u o le tuatusi IP fa'apogai o le alavai ma o le ID mamao o le tuatusi IP lea e taunu'u i ai.

Fa'atulaga le IPsec Tunnel Parameters

Laulau 4: Tala Fa'asolopito

Fa'aaliga Igoa	Fa'asalalau Fa'amatalaga	Fa'amatalaga
Cryptographic Faaopoopo	Cisco SD-WAN Fa'asalalau 20.1.1	O lenei vaega e faaopoopo ai le lagolago mo
Lagolago Algorithmic mo IPSec		HMAC_SHA256, HMAC_SHA384, ma
Alafua		HMAC_SHA512 algorithms mo
		faaleleia atili le saogalemu.

I le le mafai, o faʻamaufaʻailoga nei e faʻaaogaina i luga o le alalaupapa IPsec o loʻo feaveaʻi feoaiga IKE:

• Fa'amaoni ma fa'ailoga—AES-256 algorithm ile GCM (Galois/counter mode)
• Vaeluaga o le toe faia—4 itula
• Toe fai le faamalama—32 afifi

E mafai ona e suia le faʻailoga i luga o le IPsec tunnel i le AES-256 cipher i le CBC (cipher block chaining mode, faʻatasi ai ma le HMAC e faʻaaoga ai le SHA-1 poʻo le SHA-2 kiʻi-hash faʻamatalaga faʻamaonia poʻo le null ma le HMAC e faʻaaoga ai le SHA-1 poʻo le SHA-2. SHA-XNUMX keyed-hash fa'amaoni fe'au, ina ia le fa'ailogaina le alalaupapa IPsec fa'aaoga mo fefa'ataua'iga fa'atauga autu a le IKE:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256null | aes256-null-sha256 | aes384-null-sha256)

Ona o le faaletonu, e toe faafou ki IKE uma i le 4 itula (14,400 sekone). E mafai ona e suia le va o le toe fa'aogaina i se tau mai le 30 sekone i le 14 aso (1209600 sekone):

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# toe fa'afo'i sekone

Ina ia faʻamalosia le fausiaina o ki fou mo se alalaupapa IPsec, tuʻuina atu le talosaga ipsec ipsec-rekey command. Ona o le faaletonu, e mafai ona fa'aogaina le fa'alilolilo atoatoa (PFS) i luga o alalaupapa IPsec, ina ia mautinoa e le a'afia sauniga ua mavae pe a fa'afefea ki i le lumana'i. E fa'amalosia e le PFS se suiga fou o le Diffie-Hellman, e ala i le fa'aaogaina o le 4096-bit Diffie-Hellman prime module group. E mafai ona e suia le seti PFS:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# atoatoa-agai-secrecy pfs-setting

pfs-setting e mafai ona avea ma se tasi o mea nei:

• vaega-2—Fa'aoga le 1024-bit Diffie-Hellman prime modulus group.
• vaega-14—Fa'aoga le 2048-bit Diffie-Hellman prime modulus group.
• vaega-15—Fa'aoga le 3072-bit Diffie-Hellman prime modulus group.
• vaega-16-Fa'aoga le 4096-bit Diffie-Hellman prime modulus group. O le faaletonu lea.
• leai se tasi—Tape le PFS.

Ona o le faaletonu, o le IPsec replay window i luga o le IPsec tunnel e 512 bytes. E mafai ona e setiina le tele o le faamalama toe fai i le 64, 128, 256, 512, 1024, 2048, poʻo le 4096 pepa:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# replay-window numera

Suia IKE Maliu-Uiga Su'esu'ega

O lo'o fa'aogaina e le IKE se masini su'esu'e a tupulaga ua mate e iloa ai pe fa'agaoioi ma mafai ona aapa le feso'ota'iga i se tupulaga IKE. Mo le fa'atinoina o lenei faiga, e lafo atu e le IKE se afifi Talofa i lana tupulaga, ma lafo atu e le tupulaga se fa'ailoga e tali atu ai. Ona o le faaletonu, e auina atu e IKE pepa Talofa i 10 sekone uma, ma pe a uma le tolu pepa e leʻi iloa, e taʻu atu e IKE le tuaoi ua oti ma saeia le alavai i le tupulaga. Mulimuli ane, e lafo atu e le IKE i lea taimi ma lea taimi se afifi Talofa i le tupulaga, ma toe fa'atu le alavai pe a toe fo'i mai le tupulaga i luga ole laiga. E mafai ona e suia le va o le su'esu'eina o le ola i se tau mai le 0 i le 65535, ma e mafai ona e suia le numera o toe taumafai i se tau mai le 0 i le 255.

Manatua

Mo felauaiga VPNs, o le vaeluaga o le su'esu'eina o le ola e liua i sekone e ala i le fa'aogaina o le fua fa'atatau nei: Vaeluaga mo le toe fa'aliliuina numera N = vaeluaga * 1.8N-1Mo fa'atasi.ample, afai e seti le va i le 10 ma toe taumafai i le 5, o le va o le iloa e faateleina e faapea:

• Taumafaiga 1: 10 * 1.81-1= 10 sekone
• Taumafai 2: 10 * 1.82-1= 18 sekone
• Taumafai 3: 10 * 1.83-1= 32.4 sekone
• Taumafai 4: 10 * 1.84-1= 58.32 sekone
• Taumafai 5: 10 * 1.85-1= 104.976 sekone

vEdge(config-interface-ipsecnumber)# mate-peer-su'eina vaeluaga toe su'e numera

Fa'atonu isi mea fa'aoga

Mo feso'ota'iga tunnel IPsec, e mafai ona e fa'atulagaina na'o mea fa'aopoopo fa'aopoopo nei:

• vEdge(config-interface-ipsec)# mtu bytes
• vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Fa'agata le SSH Encryption Algorithms ile Cisco SD-WAN Manager

Laulau 5: Talafa'asolopito Fa'aaliga

Fa'aaliga Igoa	Fa'asalalau Fa'amatalaga	Fa'aaliga Fa'amatalaga
Fa'agata le SSH Encryption Algorithms ile Cisco SD-WAN Manager	Cisco vManage Fa'asalalau 20.9.1	O lenei vaega e mafai ai e oe ona faʻamalo le vaivai SSH algorithms i le Cisco SD-WAN Manager e ono le tausisia nisi tulaga faʻamautu faʻamaumauga.

Fa'amatalaga e uiga i le fa'agataina ole SSH Encryption Algorithms ile Cisco SD-WAN Manager
Cisco SD-WAN Pule e tuʻuina atu se SSH client mo fesoʻotaʻiga ma vaega i totonu o fesoʻotaʻiga, e aofia ai faʻatonu ma masini pito. O le SSH client e tu'uina atu se feso'ota'iga fa'ailoga mo le fa'amaninoina o fa'amatalaga, fa'avae i luga o le tele o fa'ailoga algorithms. O le tele o fa'alapotopotoga e mana'omia le fa'amalamalamaga malosi atu nai lo le mea na tu'uina mai e SHA-1, AES-128, ma le AES-192. Mai le Cisco vManage Release 20.9.1, e mafai ona e faʻamalo le faʻamalamalamaga vaivai o loʻo i lalo ina ia le faʻaogaina e le SSH client nei algorithms:

• SHA-1
• AES-128
• AES-192

Aʻo leʻi faʻagataina nei faʻamatalaga algorithms, ia mautinoa o masini Cisco vEdge, pe afai ei ai, i totonu o le fesoʻotaʻiga, o loʻo faʻaogaina se faʻasalalauga faʻapipiʻi mulimuli ane nai lo Cisco SD-WAN Release 18.4.6.

Fa'amanuiaga ole Fa'agata ole SSH Encryption Algorithms ile Cisco SD-WAN Manager
O le faʻagataina o faʻamatalaga SSH vaivai e faʻaleleia ai le saogalemu o fesoʻotaʻiga SSH, ma faʻamautinoa o faʻalapotopotoga o loʻo faʻaogaina Cisco Catalyst SD-WAN o loʻo tausisia tulafono faʻamaonia saogalemu.

Faʻagata le SSH Encryption Algorithms ile Cisco SD-WAN Pule Faʻaaogaina CLI

1. Mai le Cisco SD-WAN Manager lisi, filifili Meafaigaluega> SSH Terminal.
2. Filifili le masini Cisco SD-WAN Manager e te manaʻo e faʻamalo ai SSH algorithms vaivai.
3. Ulufale i le username ma upu faataga e saini i totonu i le masini.
4. Ulufale le SSH server mode.
   • vmanage(config)# faiga
   • vmanage(config-system)# ssh-server
5. Fai se tasi o mea nei e tape ai se SSH encryption algorithm:
   • Taofi le SHA-1:
6. pulea(config-ssh-server)# leai kex-algo sha1
7. pulea(config-ssh-server)# commit
   O lo'o fa'aalia le fe'au lapata'i nei: O lapata'iga nei na fa'atupuina: 'system ssh-server kex-algo sha1': LAPATA'IGA: Fa'amolemole fa'amautinoa o lo'o fa'agasolo uma au pito i le fa'ailoga code > 18.4.6 lea e sili atu le fefa'ataua'iga nai lo le SHA1 ma le vManage. A leai o na pito e ono leai se initaneti. Fa'agasolo? [ioe, leai] ioe
   • Ia mautinoa o soʻo se masini Cisco vEdge i le fesoʻotaʻiga o loʻo faʻaogaina Cisco SD-WAN Release 18.4.6 pe mulimuli ane ma ulufale ioe.
   • Taofi le AES-128 ma le AES-192:
   • vmanage(config-ssh-server)# leai se cipher aes-128-192
   • vmanage(config-ssh-server)# fai
     O lo'o fa'aalia le fe'au lapata'i lea:
     O lapataiga nei na faia:
     'System ssh-server cipher aes-128-192': LAPATA'IGA: Fa'amolemole ia mautinoa o lo'o fa'agasolo uma au pito fa'ailoga code > 18.4.6 lea e sili atu le fa'atalanoaga nai lo le AES-128-192 ma vManage. A leai o na pito e ono leai se initaneti. Fa'agasolo? [ioe, leai] ioe
   • Ia mautinoa o soʻo se masini Cisco vEdge i le fesoʻotaʻiga o loʻo faʻaogaina Cisco SD-WAN Release 18.4.6 pe mulimuli ane ma ulufale ioe.

Faʻamaonia o le vaivai o le SSH Encryption Algorithms ua le atoatoa ile Cisco SD-WAN Pule Faʻaaogaina le CLI

1. Mai le Cisco SD-WAN Manager lisi, filifili Meafaigaluega> SSH Terminal.
2. Filifili le Cisco SD-WAN Manager masini e te manaʻo e faʻamaonia.
3. Ulufale i le username ma upu faataga e saini i totonu i le masini.
4. Faʻatonu le faʻatonuga lea: faʻaalia le running-config system ssh-server
5. Faʻamaonia o le gaioiga o loʻo faʻaalia ai se tasi poʻo le sili atu o poloaiga e faʻamalo ai algorithms faʻamalamalamaga vaivai:
   • leai se cipher aes-128-192
   • leai kex-algo sha1

Pepa / Punaoa

CISCO SD-WAN Fa'atonu Parameter Saogalemu [pdf] Taiala mo Tagata Fa'aoga SD-WAN Faʻamautu Parameters Saogalemu, SD-WAN, Faʻapipiʻi Parameters Saogalemu, Parameters Puipuiga

Fa'asinomaga

• Tusi Taiala