ЦИСЦО СД-ВАН Конфигуришите безбедносне параметре

Конфигуришите безбедносне параметре

Напомена

Да би се постигло поједностављење и доследност, Цисцо СД-ВАН решење је преименовано у Цисцо Цаталист СД-ВАН. Поред тога, од Цисцо ИОС КСЕ СД-ВАН издања 17.12.1а и Цисцо Цаталист СД-ВАН издања 20.12.1, применљиве су следеће промене компоненти: Цисцо вМанаге на Цисцо Цаталист СД-ВАН Манагер, Цисцо вАналитицс на Цисцо Цаталист СД-ВАН Аналитика, Цисцо вБонд за Цисцо Цаталист СД-ВАН валидатор и Цисцо вСмарт за Цисцо Цаталист СД-ВАН контролер. Погледајте најновије белешке о издању за свеобухватну листу свих промена бренда компоненти. Док прелазимо на нова имена, неке недоследности могу бити присутне у скупу документације због поступног приступа ажурирањима корисничког интерфејса софтверског производа.

Овај одељак описује како да промените безбедносне параметре за контролну раван и раван података у мрежи преклапања Цисцо Цаталист СД-ВАН.

• Конфигуришите безбедносне параметре контролне равни, укључено
• Конфигуришите безбедносне параметре равни података, укључено
• Конфигуришите ИПсец тунеле са омогућеним ИКЕ, укључено
• Онемогућите слабе алгоритме за ССХ шифровање у Цисцо СД-ВАН менаџеру, укључено

Конфигуришите безбедносне параметре контролне равни

Подразумевано, контролна раван користи ДТЛС као протокол који обезбеђује приватност на свим својим тунелима. ДТЛС покреће УДП. Можете да промените безбедносни протокол контролне равни у ТЛС, који ради преко ТЦП-а. Примарни разлог за коришћење ТЛС-а је тај што, ако сматрате да је Цисцо СД-ВАН контролер сервер, заштитни зидови штите ТЦП сервере боље од УДП сервера. Конфигуришете тунелски протокол контролне равни на Цисцо СД-ВАН контролеру: вСмарт(цонфиг)# безбедносни контролни протокол тлс Са овом променом, све контролне равни тунеле између Цисцо СД-ВАН контролера и рутера и између Цисцо СД-ВАН контролера и Цисцо СД-ВАН Манагер користе ТЛС. Тунели контролне равни ка Цисцо Цаталист СД-ВАН валидатору увек користе ДТЛС, јер овим везама мора управљати УДП. У домену са више Цисцо СД-ВАН контролера, када конфигуришете ТЛС на једном од Цисцо СД-ВАН контролера, сви тунели контролне равни од тог контролера до других контролера користе ТЛС. Другим речима, ТЛС увек има предност над ДТЛС-ом. Међутим, из перспективе других Цисцо СД-ВАН контролера, ако нисте конфигурисали ТЛС на њима, они користе ТЛС на тунелу контролне равни само за тај један Цисцо СД-ВАН контролер, а користе ДТЛС тунеле за све остале Цисцо СД-ВАН контролери и на све њихове повезане рутере. Да би сви Цисцо СД-ВАН контролери користили ТЛС, конфигуришите га на свим њима. Подразумевано, Цисцо СД-ВАН контролер слуша на порту 23456 ТЛС захтеве. Да бисте ово променили: вСмарт(цонфиг)# безбедносна контрола тлс-порт број Порт може бити број од 1025 до 65535. Да бисте приказали безбедносне информације контролне равни, користите команду схов цонтрол цоннецтионс на Цисцо СД-ВАН контролеру. Фор екampле: вСмарт-2# приказује контролне везе

Конфигуришите ДТЛС у Цисцо СД-ВАН Манагер-у

Ако конфигуришете Цисцо СД-ВАН Манагер да користи ТЛС као безбедносни протокол контролне равни, морате да омогућите прослеђивање портова на свом НАТ-у. Ако користите ДТЛС као безбедносни протокол контролне равни, не морате ништа да радите. Број прослеђених портова зависи од броја вдаемон процеса који се покрећу на Цисцо СД-ВАН Манагер-у. Да бисте приказали информације о овим процесима ио броју портова који се прослеђују, користите команду схов цонтрол суммари која показује да су четири демон процеса покренута:

Да бисте видели портове за слушање, користите команду схов цонтрол лоцал-пропертиес: вМанаге# схов цонтрол лоцал-пропертиес

Овај излаз показује да је ТЦП порт за слушање 23456. Ако користите Цисцо СД-ВАН Манагер иза НАТ-а, требало би да отворите следеће портове на НАТ уређају:

• 23456 (база – порт 0 инстанце)
• 23456 + 100 (база + 100)
• 23456 + 200 (база + 200)
• 23456 + 300 (база + 300)

Имајте на уму да је број инстанци исти као и број језгара које сте доделили за Цисцо СД-ВАН Манагер, до максимално 8.

Конфигуришите безбедносне параметре користећи предложак безбедносних функција

Користите предложак безбедносних функција за све Цисцо вЕдге уређаје. На рубним рутерима и Цисцо СД-ВАН валидатору користите овај шаблон да бисте конфигурисали ИПсец за безбедност у равни података. На Цисцо СД-ВАН менаџеру и Цисцо СД-ВАН контролеру, користите предложак Безбедносне функције да бисте конфигурисали ДТЛС или ТЛС за безбедност контролне равни.

Конфигуришите безбедносне параметре

1. У менију Цисцо СД-ВАН Манагер изаберите Конфигурација > Шаблони.
2. Кликните на Предлошци функција, а затим кликните на Додај шаблон.
   Напомена У Цисцо вМанаге издању 20.7.1 и ранијим издањима, предлошци функција се називају Феатуре.
3. Са листе уређаја у левом окну изаберите уређај. Шаблони који се примењују на изабрани уређај појављују се у десном окну.
4. Кликните на Безбедност да бисте отворили шаблон.
5. У поље Име шаблона унесите име за шаблон. Име може имати до 128 знакова и може садржати само алфанумеричке знакове.
6. У поље Опис шаблона унесите опис шаблона. Опис може да има до 2048 знакова и може да садржи само алфанумеричке знакове.

Када први пут отворите предложак обележја, за сваки параметар који има подразумевану вредност, опсег је подешен на Подразумевано (означено квачицом), а приказана је подразумевана поставка или вредност. Да бисте променили подразумевану вредност или да бисте унели вредност, кликните на падајући мени обим са леве стране поља параметра и изаберите једно од следећег:

Табела 1:

Параметар Обим

Опис обима

Специфично за уређај (означено иконом домаћина)

Користите вредност специфичну за уређај за параметар. За параметре специфичне за уређај, не можете да унесете вредност у шаблон функције. Вредност уносите када Виптела уређај прикључите на шаблон уређаја. Када кликнете на Девице Специфиц, отвара се поље Ентер Кеи. Овај оквир приказује кључ, који је јединствени низ који идентификује параметар у ЦСВ-у file које стварате. Ово file је Екцел табела која садржи једну колону за сваки кључ. Ред заглавља садржи називе кључева (један кључ по колони), а сваки ред после тога одговара уређају и дефинише вредности кључева за тај уређај. Учитавате ЦСВ file када прикључите Виптела уређај на шаблон уређаја. За више информација погледајте Креирање табеле са променљивим шаблона. Да бисте променили подразумевани кључ, откуцајте нови стринг и померите курсор из поља Ентер Кеи. ExampПодаци специфичних за уређај су ИП адреса система, име хоста, ГПС локација и ИД локације.

Параметар Обим	Опис обима
Глобално (означено иконом глобуса)	Унесите вредност за параметар и примените ту вредност на све уређаје. ExampЛес параметара које можете глобално применити на групу уређаја су ДНС сервер, системски сервер и МТУ-ови интерфејса.

Конфигуришите безбедност контролне равни

Напомена
Одељак Конфигурисање безбедности контролне равни примењује се само на Цисцо СД-ВАН менаџер и Цисцо СД-ВАН контролер. Да бисте конфигурисали протокол везе контролне равни на Цисцо СД-ВАН Манагер инстанци или Цисцо СД-ВАН контролеру, изаберите област основне конфигурације и конфигуришите следеће параметре:

Табела 2:

Параметар Име	Опис
Протокол	Изаберите протокол који ћете користити за конекције контролне равни са Цисцо СД-ВАН контролером: • ДТЛС (Даtagрам Транспорт Лаиер Сецурити). Ово је подразумевано. • ТЛС (Транспорт Лаиер Сецурити)
Контролишите ТЛС порт	Ако сте изабрали ТЛС, конфигуришите број порта за коришћење:Опсег: 1025 до 65535Подразумевано: 23456

Кликните на Саве

Конфигуришите безбедност у равни података
Да бисте конфигурисали безбедност нивоа података на Цисцо СД-ВАН валидатору или Цисцо вЕдге рутеру, изаберите картице Основна конфигурација и Тип потврде идентитета и конфигуришите следеће параметре:

Табела 3:

Параметар Име	Опис
Рекеи Тиме	Наведите колико често Цисцо вЕдге рутер мења АЕС кључ који се користи на његовој безбедној ДТЛС вези на Цисцо СД-ВАН контролер. Ако је омогућено грациозно поновно покретање ОМП-а, време поновног кључа мора бити најмање двоструко веће од вредности ОМП грациозног тајмера поновног покретања.Опсег: 10 до 1209600 секунди (14 дана)Подразумевано: 86400 секунди (24 сата)
Реплаи Виндов	Одредите величину клизног прозора за понављање. вредности: 64, 128, 256, 512, 1024, 2048, 4096, 8192 пакетаПодразумевано: 512 пакета
ИПсец упаривање кључева	Ово је подразумевано искључено. Кликните On да га укључи.

Параметар Име

Опис

Аутхентицатион Типе

Изаберите типове аутентификације из Аутентификација Лист, и кликните на стрелицу која показује десно да бисте преместили типове аутентификације на Изабрана листа колона. Типови провјере аутентичности подржани од Цисцо СД-ВАН издања 20.6.1: •  есп: Омогућава енкрипцију Енцапсулатинг Сецурити Паилоад (ЕСП) и проверу интегритета на ЕСП заглављу. •  ип-удп-есп: Омогућава ЕСП шифровање. Поред провера интегритета ЕСП заглавља и корисног оптерећења, провере такође укључују спољна ИП и УДП заглавља. •  ип-удп-есп-но-ид: Игнорише поље ИД-а у ИП заглављу тако да Цисцо Цаталист СД-ВАН може да ради у комбинацији са уређајима који нису Цисцо. •  ниједан: Искључује проверу интегритета на ИПСец пакетима. Не препоручујемо коришћење ове опције.   Типови провјере аутентичности подржани у Цисцо СД-ВАН издању 20.5.1 и старијим: •  ах-но-ид: Омогућите побољшану верзију АХ-СХА1 ХМАЦ и ЕСП ХМАЦ-СХА1 која игнорише ИД поље у спољном ИП заглављу пакета. •  ах-сха1-хмац: Омогућите АХ-СХА1 ХМАЦ и ЕСП ХМАЦ-СХА1. •  ниједан: Изаберите без аутентификације. •  сха1-хмац: Омогућите ЕСП ХМАЦ-СХА1.   Напомена              За ивични уређај који ради на Цисцо СД-ВАН издању 20.5.1 или раније, можда сте конфигурисали типове аутентификације користећи Безбедност шаблон. Када надоградите уређај на Цисцо СД-ВАН издање 20.6.1 или новију, ажурирајте изабране типове аутентификације у Безбедност шаблон за типове аутентификације подржане од Цисцо СД-ВАН издања 20.6.1. Да бисте ажурирали типове аутентификације, урадите следеће: 1.      У менију Цисцо СД-ВАН Манагер изаберите Конфигурација > Шаблони. 2.      Кликните Феатуре Темплатес. 3.      Финд тхе Безбедност шаблон за ажурирање и кликните ... и кликните Уреди. 4.      Кликните Ажурирај. Не мењајте конфигурацију. Цисцо СД-ВАН Манагер ажурира Безбедност шаблон за приказ подржаних типова аутентификације.

Кликните на Сачувај.

Конфигуришите безбедносне параметре равни података

У равни података, ИПсец је подразумевано омогућен на свим рутерима, а подразумевано ИПсец тунелске везе користе побољшану верзију Енцапсулатинг Сецурити Паилоад (ЕСП) протокола за аутентификацију на ИПсец тунелима. На рутерима можете да промените тип аутентикације, тајмер поновног кључа ИПсец-а и величину ИПсец прозора против понављања.

Конфигуришите дозвољене типове аутентификације

Типови провјере аутентичности у Цисцо СД-ВАН издању 20.6.1 и новијим
Од Цисцо СД-ВАН издања 20.6.1, подржани су следећи типови интегритета:

• есп: Ова опција омогућава енкрипцију Енцапсулатинг Сецурити Паилоад (ЕСП) и проверу интегритета на ЕСП заглављу.
• ип-удп-есп: Ова опција омогућава ЕСП шифровање. Поред провера интегритета ЕСП заглавља и корисног оптерећења, провере такође укључују спољна ИП и УДП заглавља.
• ип-удп-есп-но-ид: Ова опција је слична ип-удп-есп, међутим, ИД поље спољашњег ИП заглавља се занемарује. Конфигуришите ову опцију на листи типова интегритета тако да софтвер Цисцо Цаталист СД-ВАН игнорише ИД поље у ИП заглављу како би Цисцо Цаталист СД-ВАН могао да ради у комбинацији са уређајима који нису Цисцо.
• ништа: Ова опција искључује проверу интегритета на ИПСец пакетима. Не препоручујемо коришћење ове опције.

Подразумевано, ИПсец тунелске везе користе побољшану верзију Енцапсулатинг Сецурити Паилоад (ЕСП) протокола за аутентификацију. Да бисте изменили договорене типове интеритета или онемогућили проверу интегритета, користите следећу команду: интегрити-типе { ноне | ип-удп-есп | ип-удп-есп-но-ид | есп }

Типови провјере аутентичности прије Цисцо СД-ВАН издања 20.6.1
Подразумевано, ИПсец тунелске везе користе побољшану верзију Енцапсулатинг Сецурити Паилоад (ЕСП) протокола за аутентификацију. Да бисте изменили договорене типове аутентификације или онемогућили аутентификацију, користите следећу команду: Девице(цонфиг)# сецурити ипсец аутхентицатион-типе (ах-сха1-хмац | ах-но-ид | сха1-хмац | | ноне) Подразумевано, ИПсец тунелске везе користе АЕС-ГЦМ-256, који обезбеђује и шифровање и аутентификацију. Конфигуришите сваки тип аутентификације са посебном командом типа безбедносне ипсец аутентикације. Опције команде се мапирају на следеће типове аутентификације, који су наведени по редоследу од најјаче до најмање јаке:

Напомена
Сха1 у опцијама конфигурације се користи из историјских разлога. Опције аутентификације показују колико је провера интегритета пакета обављена. Они не наводе алгоритам који проверава интегритет. Осим за шифровање мултицаст саобраћаја, алгоритми за аутентификацију које подржава Цисцо Цаталист СД ВАН не користе СХА1. Међутим, у Цисцо СД-ВАН издању 20.1.к и новијим, и једносмерно и вишеструко слање не користе СХА1.

• ах-сха1-хмац омогућава шифровање и енкапсулацију помоћу ЕСП-а. Међутим, поред провера интегритета ЕСП заглавља и корисног оптерећења, провере такође укључују спољна ИП и УДП заглавља. Дакле, ова опција подржава проверу интегритета пакета сличну протоколу Аутхентицатион Хеадер (АХ). Сав интегритет и шифровање се врши помоћу АЕС-256-ГЦМ.
• ах-но-ид омогућава режим који је сличан ах-сха1-хмац, међутим, ИД поље спољашњег ИП заглавља се занемарује. Ова опција прилагођава неке не-Цисцо Цаталист СД-ВАН уређаје, укључујући Аппле АирПорт Екпресс НАТ, који имају грешку која узрокује измену ИД поља у ИП заглављу, пољу које се не може мењати. Конфигуришите опцију ах-но-ид на листи типова провере аутентичности тако да софтвер Цисцо Цаталист СД-ВАН АХ игнорише ИД поље у ИП заглављу тако да софтвер Цисцо Цаталист СД-ВАН може да ради у комбинацији са овим уређајима.
• сха1-хмац омогућава ЕСП шифровање и проверу интегритета.
• ниједан се не пресликава на никакву аутентификацију. Ову опцију треба користити само ако је потребна за привремено отклањање грешака. Такође можете изабрати ову опцију у ситуацијама када аутентификација у равни података и интегритет нису проблем. Цисцо не препоручује коришћење ове опције за производне мреже.

За информације о томе на која поља пакета података утичу ови типови аутентификације, погледајте Интегритет у равни података. Цисцо ИОС КСЕ Цаталист СД-ВАН уређаји и Цисцо вЕдге уређаји оглашавају своје конфигурисане типове аутентификације у својим ТЛОЦ својствима. Два рутера са обе стране ИПсец тунелске везе договарају аутентификацију која ће се користити за везу између њих, користећи најјачи тип аутентификације који је конфигурисан на оба рутера. Фор екampДакле, ако један рутер оглашава типове ах-сха1-хмац и ах-но-ид, а други рутер оглашава тип ах-но-ид, два рутера преговарају да користе ах-но-ид на ИПсец тунелској вези између њих. Ако нису конфигурисани уобичајени типови аутентификације на два равноправна система, између њих се не успоставља ИПсец тунел. Алгоритам шифровања на ИПсец тунелским везама зависи од врсте саобраћаја:

• За уникаст саобраћај, алгоритам шифровања је АЕС-256-ГЦМ.
• За мултицаст саобраћај:
• Цисцо СД-ВАН издање 20.1.к и новије – алгоритам шифровања је АЕС-256-ГЦМ
• Претходна издања – алгоритам шифровања је АЕС-256-ЦБЦ са СХА1-ХМАЦ.

Када се промени тип ИПсец аутентификације, мења се АЕС кључ за путању података.

Промените тајмер поновног уноса кључева

Пре него што Цисцо ИОС КСЕ Цаталист СД-ВАН уређаји и Цисцо вЕдге уређаји могу да размењују саобраћај података, они између себе постављају безбедан аутентификовани комуникациони канал. Рутери користе ИПСец тунеле између себе као канал, а АЕС-256 шифру за шифровање. Сваки рутер периодично генерише нови АЕС кључ за своју путању података. Подразумевано, кључ важи 86400 секунди (24 сата), а опсег тајмера је од 10 секунди до 1209600 секунди (14 дана). Да бисте променили вредност тајмера за поновни кључ: Девице(цонфиг)# сецурити ипсец рекеи сецондс Конфигурација изгледа овако:

• сигурност ипсец рекеи сецондс !

Ако желите одмах да генеришете нове ИПсец кључеве, то можете учинити без мењања конфигурације рутера. Да бисте то урадили, издајте команду рекуест сецурити ипсецрекеи на компромитованом рутеру. Фор екampда, следећи излаз показује да локални СА има индекс безбедносних параметара (СПИ) од 256:

Јединствени кључ је повезан са сваким СПИ. Ако је овај кључ компромитован, користите команду рекуест сецурити ипсец-рекеи да бисте одмах генерисали нови кључ. Ова команда повећава СПИ. У нашем бившемampДакле, СПИ се мења у 257 и кључ повезан са њим се сада користи:

• Девице# рекуест сецурити ипсецрекеи
• Уређај # приказује ипсец лоцал-са

Након што се генерише нови кључ, рутер га одмах шаље Цисцо СД-ВАН контролерима користећи ДТЛС или ТЛС. Цисцо СД-ВАН контролери шаљу кључ равноправним рутерима. Рутери почињу да га користе чим га приме. Имајте на уму да ће кључ повезан са старим СПИ (256) наставити да се користи кратко време док не истекне. Да бисте одмах престали да користите стари кључ, издајте команду рекуест сецурити ипсец-рекеи двапут, брзо узастопно. Ова секвенца команди уклања и СПИ 256 и 257 и поставља СПИ на 258. Рутер затим користи придружени кључ СПИ 258. Имајте на уму, међутим, да ће неки пакети бити одбачени на кратак временски период док сви удаљени рутери не науче нови кључ.

Промените величину прозора против понављања

ИПсец аутентификација обезбеђује заштиту од понављања тако што сваком пакету у току података додељује јединствени број секвенце. Ово нумерисање секвенце штити од нападача који дуплира пакете података. Са заштитом против понављања, пошиљалац додељује монотоно растуће бројеве секвенце, а одредиште проверава те бројеве секвенце да би открило дупликате. Пошто пакети често не стижу по реду, одредиште одржава клизни прозор редоследних бројева које ће прихватити.

Пакети са редним бројевима који падају лево од опсега клизног прозора сматрају се старим или дупликатима, а одредиште их одбацује. Одредиште прати највећи редни број који је примило и прилагођава клизни прозор када прими пакет са вишом вредношћу.

Подразумевано, клизни прозор је подешен на 512 пакета. Може се подесити на било коју вредност између 64 и 4096 која је степен 2 (то јест, 64, 128, 256, 512, 1024, 2048 или 4096). Да бисте изменили величину прозора против понављања, користите команду реплаи-виндов, наводећи величину прозора:

Девице(цонфиг)# сецурити ипсец број прозора за понављање

Конфигурација изгледа овако:
безбедност ипсец реплаи-виндов нумбер ! !

Да би се помогло са КоС-ом, одржавају се одвојени прозори за понављање за сваки од првих осам канала саобраћаја. Конфигурисана величина прозора за репродукцију подељена је са осам за сваки канал. Ако је КоС конфигурисан на рутеру, тај рутер би могао да доживи већи број испуштања пакета од очекиваног као резултат ИПсец механизма против понављања, а многи пакети који се испуштају су легитимни. Ово се дешава зато што КоС мења редослед пакета, дајући пакетима вишег приоритета преференцијални третман и одлажући пакете нижег приоритета. Да бисте минимизирали или спречили ову ситуацију, можете да урадите следеће:

• Повећајте величину прозора против понављања.
• Инжењеринг саобраћаја на првих осам саобраћајних канала како би се осигурало да се саобраћај унутар канала не мења.

Конфигуришите ИПсец тунеле са омогућеним ИКЕ
Да бисте безбедно пренели саобраћај са преклапајуће мреже на услужну мрежу, можете да конфигуришете ИПсец тунеле који покрећу протокол за размену интернет кључева (ИКЕ). ИПсец тунели са омогућеним ИКЕ-ом обезбеђују аутентификацију и шифровање како би се обезбедио сигуран транспорт пакета. ИПсец тунел са омогућеним ИКЕ-ом креирате тако што ћете конфигурисати ИПсец интерфејс. ИПсец интерфејси су логички интерфејси и ви их конфигуришете као и сваки други физички интерфејс. Параметре ИКЕ протокола конфигуришете на ИПсец интерфејсу и можете да конфигуришете друга својства интерфејса.

Напомена Цисцо препоручује коришћење ИКЕ верзије 2. Од издања Цисцо СД-ВАН 19.2.к па надаље, унапред дељени кључ мора да буде дугачак најмање 16 бајтова. Успостављање ИПсец тунела не успева ако је величина кључа мања од 16 знакова када се рутер надогради на верзију 19.2.

Напомена
Софтвер Цисцо Цаталист СД-ВАН подржава ИКЕ верзију 2 како је дефинисано у РФЦ 7296. Једна употреба за ИПсец тунеле је омогућавање вЕдге Цлоуд рутер ВМ инстанци које раде на Амазон АВС да се повежу са Амазон виртуелним приватним облаком (ВПЦ). Морате да конфигуришете ИКЕ верзију 1 на овим рутерима. Цисцо вЕдге уређаји подржавају само ВПН-ове засноване на рутама у ИПСец конфигурацији јер ови уређаји не могу да дефинишу бираче саобраћаја у домену шифровања.

Конфигуришите ИПсец тунел
Да бисте конфигурисали ИПсец тунелски интерфејс за сигуран транспортни саобраћај из услужне мреже, креирате логички ИПсец интерфејс:

Можете да креирате ИПсец тунел у транспортном ВПН-у (ВПН 0) и у било ком сервисном ВПН-у (ВПН 1 до 65530, осим 512). ИПсец интерфејс има име у формату ипсецнумбер, где број може бити од 1 до 255. Сваки ИПсец интерфејс мора имати ИПв4 адресу. Ова адреса мора бити префикс /30. Сав саобраћај у ВПН-у који се налази у оквиру овог ИПв4 префикса је усмерен ка физичком интерфејсу у ВПН 0 да би се безбедно послао преко ИПсец тунела. Да бисте конфигурисали извор ИПсец тунела на локалном уређају, можете да наведете или ИП адресу физички интерфејс (у команди тунел-извор) или назив физичког интерфејса (у команди тунел-извор-интерфејс). Уверите се да је физички интерфејс конфигурисан у ВПН 0. Да бисте конфигурисали одредиште ИПсец тунела, наведите ИП адресу удаљеног уређаја у команди тунел-дестинатион. Комбинација изворне адресе (или имена изворног интерфејса) и одредишне адресе дефинише један ИПсец тунел. Може постојати само један ИПсец тунел који користи одређену изворну адресу (или име интерфејса) и пар одредишне адресе.

Конфигуришите ИПсец статичку руту

Да бисте усмерили саобраћај са ВПН-а услуге на ИПсец тунел у ВПН-у за транспорт (ВПН 0), конфигуришете статичку руту специфичну за ИПсец у ВПН-у услуге (ВПН који није ВПН 0 или ВПН 512):

• вЕдге(цонфиг)# впн впн-ид
• вЕдге(цонфиг-впн)# ип ипсец-руте префикс/дужина впн 0 интерфејс
• ипсецнумбер [ипсецнумбер2]

ВПН ИД је ИД било које услуге ВПН (ВПН 1 до 65530, осим 512). префикс/дужина је ИП адреса или префикс, у децималним четвороделним тачкама, и дужина префикса статичке руте специфичне за ИПсец. Интерфејс је интерфејс ИПсец тунела у ВПН 0. Можете да конфигуришете један или два интерфејса ИПсец тунела. Ако конфигуришете два, први је примарни ИПсец тунел, а други резервни. Са два интерфејса, сви пакети се шаљу само у примарни тунел. Ако тај тунел не успе, сви пакети се затим шаљу у секундарни тунел. Ако се примарни тунел врати, сав саобраћај се премешта назад у примарни ИПсец тунел.

Омогући ИКЕ верзију 1
Када креирате ИПсец тунел на вЕдге рутеру, ИКЕ верзија 1 је подразумевано омогућена на интерфејсу тунела. Следећа својства су такође подразумевано омогућена за ИКЕв1:

• Потврда идентитета и шифровање—АЕС-256 напредно стандардно шифровање ЦБЦ шифровање са ХМАЦ-СХА1 алгоритмом кода за потврду аутентичности поруке са кључем за хеш за интегритет
• Диффие-Хеллман група број—16
• Временски интервал поновног кључа—4 сата
• Режим успостављања СА—Главни

Подразумевано, ИКЕв1 користи ИКЕ главни режим да успостави ИКЕ СА. У овом режиму, шест преговарачких пакета се размењује да би се успоставио СА. Да бисте разменили само три преговарачка пакета, омогућите агресивни режим:

Напомена
ИКЕ агресивни режим са унапред дељеним кључевима треба избегавати где год је то могуће. У супротном би требало изабрати јак унапред дељени кључ.

• вЕдге(цонфиг)# впн впн-ид интерфејс ипсец број ике
• вЕдге(цонфиг-ике)# режим агресиван

Подразумевано, ИКЕв1 користи Диффие-Хеллман групу 16 у ИКЕ размени кључева. Ова група користи 4096-битну модуларну експоненцијалну (МОДП) групу током ИКЕ размене кључева. Можете променити број групе у 2 (за 1024-битни МОДП), 14 (2048-битни МОДП) или 15 (3072-битни МОДП):

• вЕдге(цонфиг)# впн впн-ид интерфејс ипсец број ике
• вЕдге(цонфиг-ике)# број групе

Подразумевано, ИКЕ размена кључева користи АЕС-256 напредно стандардно шифровање ЦБЦ шифровање са ХМАЦ-СХА1 алгоритмом кода за аутентификацију поруке са кључем за хеш за интегритет. Можете да промените аутентификацију:

• вЕдге(цонфиг)# впн впн-ид интерфејс ипсец број ике
• вЕдге(цонфиг-ике)# пакет за шифровање

Комплет за потврду идентитета може бити један од следећих:

• аес128-цбц-сха1—АЕС-128 напредно стандардно шифровање ЦБЦ шифровање са ХМАЦ-СХА1 алгоритмом кода за аутентификацију поруке са кључем за хеш за интегритет
• аес128-цбц-сха2—АЕС-128 напредно стандардно шифровање ЦБЦ шифровање са ХМАЦ-СХА256 алгоритмом кода за аутентификацију поруке са кључем за хеш за интегритет
• аес256-цбц-сха1—АЕС-256 напредно стандардно шифровање ЦБЦ шифровање са ХМАЦ-СХА1 алгоритмом кода за аутентификацију хеш поруке са кључем за интегритет; ово је подразумевано.
• аес256-цбц-сха2—АЕС-256 напредно стандардно шифровање ЦБЦ шифровање са ХМАЦ-СХА256 алгоритмом кода за аутентификацију поруке са кључем за хеш за интегритет

Подразумевано, ИКЕ кључеви се освежавају сваких 1 сат (3600 секунди). Интервал поновног уноса кључа можете променити на вредност од 30 секунди до 14 дана (1209600 секунди). Препоручује се да интервал поновног кључа буде најмање 1 сат.

• вЕдге(цонфиг)# впн впн-ид интерфејс ипсец број као
• вЕдге(цонфиг-ике)# рекеи секунди

Да бисте присилили генерисање нових кључева за ИКЕ сесију, издајте команду рекуест ипсец ике-рекеи.

• вЕдге(цонфиг)# впн впн-ид интерфејсипсец број ике

За ИКЕ, такође можете да конфигуришете аутентификацију унапред подељеног кључа (ПСК):

• вЕдге(цонфиг)# впн впн-ид интерфејс ипсец број ике
• вЕдге(цонфиг-ике)# шифра типа аутентикације унапред дељена тајна лозинка је лозинка која се користи са унапред дељеним кључем. То може бити АСЦИИ или хексадецимални низ дужине од 1 до 127 знакова.

Ако удаљени ИКЕ пеер захтева локални или удаљени ИД, можете да конфигуришете овај идентификатор:

• вЕдге(цонфиг)# впн впн-ид интерфејс ипсец број ике аутентицатион-типе
• вЕдге(цонфиг-аутхентицатион-типе)# локални ид
• вЕдге(цонфиг-аутхентицатион-типе)# ид удаљеног ИД-а

Идентификатор може бити ИП адреса или било који текстуални низ дужине од 1 до 63 знака. Подразумевано, локални ИД је изворна ИП адреса тунела, а удаљени ИД је одредишна ИП адреса тунела.

Омогући ИКЕ верзију 2
Када конфигуришете ИПсец тунел да користи ИКЕ верзију 2, следећа својства су такође подразумевано омогућена за ИКЕв2:

• Потврда идентитета и шифровање—АЕС-256 напредно стандардно шифровање ЦБЦ шифровање са ХМАЦ-СХА1 алгоритмом кода за потврду аутентичности поруке са кључем за хеш за интегритет
• Диффие-Хеллман група број—16
• Временски интервал поновног кључа—4 сата

Подразумевано, ИКЕв2 користи Диффие-Хеллман групу 16 у ИКЕ размени кључева. Ова група користи 4096-битну модуларну експоненцијалну (МОДП) групу током ИКЕ размене кључева. Можете променити број групе у 2 (за 1024-битни МОДП), 14 (2048-битни МОДП) или 15 (3072-битни МОДП):

• вЕдге(цонфиг)# впн впн-ид интерфејс ипсецнумбер ике
• вЕдге(цонфиг-ике)# број групе

Подразумевано, ИКЕ размена кључева користи АЕС-256 напредно стандардно шифровање ЦБЦ шифровање са ХМАЦ-СХА1 алгоритмом кода за аутентификацију поруке са кључем за хеш за интегритет. Можете да промените аутентификацију:

• вЕдге(цонфиг)# впн впн-ид интерфејс ипсецнумбер ике
• вЕдге(цонфиг-ике)# пакет за шифровање

Комплет за потврду идентитета може бити један од следећих:

• аес128-цбц-сха1—АЕС-128 напредно стандардно шифровање ЦБЦ шифровање са ХМАЦ-СХА1 алгоритмом кода за аутентификацију поруке са кључем за хеш за интегритет
• аес128-цбц-сха2—АЕС-128 напредно стандардно шифровање ЦБЦ шифровање са ХМАЦ-СХА256 алгоритмом кода за аутентификацију поруке са кључем за хеш за интегритет
• аес256-цбц-сха1—АЕС-256 напредно стандардно шифровање ЦБЦ шифровање са ХМАЦ-СХА1 алгоритмом кода за аутентификацију хеш поруке са кључем за интегритет; ово је подразумевано.
• аес256-цбц-сха2—АЕС-256 напредно стандардно шифровање ЦБЦ шифровање са ХМАЦ-СХА256 алгоритмом кода за аутентификацију поруке са кључем за хеш за интегритет

Подразумевано, ИКЕ кључеви се освежавају свака 4 сата (14,400 секунди). Интервал поновног уноса кључа можете да промените на вредност од 30 секунди до 14 дана (1209600 секунди):

• вЕдге(цонфиг)# впн впн-ид интерфејс ипсецнумбер ике
• вЕдге(цонфиг-ике)# рекеи секунди

Да бисте присилили генерисање нових кључева за ИКЕ сесију, издајте команду рекуест ипсец ике-рекеи. За ИКЕ, такође можете да конфигуришете аутентификацију унапред подељеног кључа (ПСК):

• вЕдге(цонфиг)# впн впн-ид интерфејс ипсецнумбер ике
• вЕдге(цонфиг-ике)# шифра типа аутентикације унапред дељена тајна лозинка је лозинка која се користи са унапред дељеним кључем. То може бити АСЦИИ или хексадецимални низ, или може бити АЕС шифровани кључ. Ако удаљени ИКЕ пеер захтева локални или удаљени ИД, можете да конфигуришете овај идентификатор:
• вЕдге(цонфиг)# впн впн-ид интерфејс ипсецнумбер ике аутентицатион-типе
• вЕдге(цонфиг-аутхентицатион-типе)# локални ид
• вЕдге(цонфиг-аутхентицатион-типе)# ид удаљеног ИД-а

Идентификатор може бити ИП адреса или било који текстуални низ дужине од 1 до 64 знака. Подразумевано, локални ИД је изворна ИП адреса тунела, а удаљени ИД је одредишна ИП адреса тунела.

Конфигуришите параметре ИПсец тунела

Табела 4: Историја карактеристика

Феатуре Име	Информације о издању	Опис
Додатна криптографска	Цисцо СД-ВАН издање 20.1.1	Ова функција додаје подршку за
Алгоритамска подршка за ИПСец		ХМАЦ_СХА256, ХМАЦ_СХА384 и
Тунели		ХМАЦ_СХА512 алгоритми за
		појачана безбедност.

Подразумевано, следећи параметри се користе на ИПсец тунелу који преноси ИКЕ саобраћај:

• Аутентификација и шифровање—АЕС-256 алгоритам у ГЦМ-у (Галоис/цоунтер режим)
• Интервал поновног кључа—4 сата
• Прозор за понављање—32 пакета

Можете да промените шифровање на ИПсец тунелу на АЕС-256 шифру у ЦБЦ (режим уланчавања блокова шифре, са ХМАЦ-ом који користи или СХА-1 или СХА-2 проверу аутентичности хеш поруке са кључем или на нул са ХМАЦ користећи СХА-1 или СХА-2 потврда идентитета хеш поруке са кључем, да се не шифрује ИПсец тунел који се користи за ИКЕ саобраћај размене кључева:

• вЕдге(цонфиг-интерфаце-ипсецнумбер)# ипсец
• вЕдге(цонфиг-ипсец)# ципхер-суите (аес256-гцм | аес256-цбц-сха1 | аес256-цбц-сха256 |аес256-цбц-сха384 | аес256-цбц-сха512 | аес256-нулл-сха1 | аес256-нулл-сха256 | | аес256-нулл-сха384 | аес256-нулл-сха512)

Подразумевано, ИКЕ кључеви се освежавају свака 4 сата (14,400 секунди). Интервал поновног уноса кључа можете да промените на вредност од 30 секунди до 14 дана (1209600 секунди):

• вЕдге(цонфиг-интерфаце-ипсецнумбер)# ипсец
• вЕдге(цонфиг-ипсец)# рекеи секунди

Да бисте присилили генерисање нових кључева за ИПсец тунел, издајте команду рекуест ипсец ипсец-рекеи. Подразумевано, савршена тајност унапред (ПФС) је омогућена на ИПсец тунелима, како би се осигурало да то не утиче на претходне сесије ако буду компромитовани кључеви у будућности. ПФС форсира нову размену кључева Диффие-Хеллман, подразумевано користећи 4096-битну групу основних модула Диффие-Хеллман. Можете да промените ПФС подешавање:

• вЕдге(цонфиг-интерфаце-ипсецнумбер)# ипсец
• вЕдге(цонфиг-ипсец)# перфецт-форвард-сецретци пфс-сеттинг

пфс-сеттинг може бити једно од следећег:

• гроуп-2—Користите 1024-битну Диффие-Хеллманову групу основних модула.
• гроуп-14—Користите 2048-битну Диффие-Хеллманову групу основних модула.
• гроуп-15—Користите 3072-битну Диффие-Хеллманову групу основних модула.
• гроуп-16—Користите 4096-битну Диффие-Хеллманову групу основних модула. Ово је подразумевано.
• нема—онемогући ПФС.

Подразумевано, прозор за понављање ИПсец-а на ИПсец тунелу је 512 бајтова. Можете да подесите величину прозора за понављање на 64, 128, 256, 512, 1024, 2048 или 4096 пакета:

• вЕдге(цонфиг-интерфаце-ипсецнумбер)# ипсец
• вЕдге(цонфиг-ипсец)# број прозора за понављање

Измените ИКЕ Деад-Пеер Детецтион

ИКЕ користи механизам за откривање мртвих равноправних корисника да би утврдио да ли је веза са ИКЕ равноправним везом функционална и доступна. Да би имплементирао овај механизам, ИКЕ шаље Хелло пакет свом равноправном уређају, а равноправни партнер шаље потврду као одговор. Подразумевано, ИКЕ шаље Хелло пакете сваких 10 секунди, а након три непрепозната пакета, ИКЕ проглашава суседа мртвим и руши тунел до вршњака. Након тога, ИКЕ периодично шаље Хелло пакет пеер-у и поново успоставља тунел када се пеер врати на мрежу. Можете да промените интервал детекције живости на вредност од 0 до 65535, а можете да промените број покушаја на вредност од 0 до 255.

Напомена

За транспортне ВПН-ове, интервал детекције живости се конвертује у секунде коришћењем следеће формуле: Интервал за број покушаја поновног преноса Н = интервал * 1.8Н-1За нпр.ampда, ако је интервал подешен на 10 и поново покуша на 5, интервал детекције се повећава на следећи начин:

• Покушај 1: 10 * 1.81-1= 10 секунди
• Покушај 2: 10 * 1.82-1= 18 секунди
• Покушај 3: 10 * 1.83-1= 32.4 секунди
• Покушај 4: 10 * 1.84-1= 58.32 секунди
• Покушај 5: 10 * 1.85-1= 104.976 секунди

вЕдге(цонфиг-интерфаце-ипсецнумбер)# број покушаја интервала деад-пеер-детецтион

Конфигуришите друга својства интерфејса

За интерфејсе ИПсец тунела можете да конфигуришете само следећа додатна својства интерфејса:

• вЕдге(цонфиг-интерфаце-ипсец)# мту бајтова
• вЕдге(цонфиг-интерфаце-ипсец)# тцп-мсс-адјуст бајтова

Онемогућите слабе алгоритме за ССХ шифровање на Цисцо СД-ВАН менаџеру

Табела 5: Табела историје карактеристика

Феатуре Име	Информације о издању	Феатуре Опис
Онемогућите слабе алгоритме за ССХ шифровање на Цисцо СД-ВАН менаџеру	Цисцо вМанаге издање 20.9.1	Ова функција вам омогућава да онемогућите слабије ССХ алгоритме на Цисцо СД-ВАН Манагер-у који можда нису у складу са одређеним стандардима безбедности података.

Информације о онемогућавању слабих алгоритама за ССХ шифровање у Цисцо СД-ВАН менаџеру
Цисцо СД-ВАН Манагер обезбеђује ССХ клијента за комуникацију са компонентама у мрежи, укључујући контролере и рубне уређаје. ССХ клијент обезбеђује шифровану везу за сигуран пренос података, засновану на различитим алгоритмима за шифровање. Многе организације захтевају јаче шифровање од оне коју пружају СХА-1, АЕС-128 и АЕС-192. Од Цисцо вМанаге издања 20.9.1, можете да онемогућите следеће слабије алгоритме шифровања тако да ССХ клијент не користи ове алгоритме:

• СХА-1
• АЕС-128
• АЕС-192

Пре него што онемогућите ове алгоритме шифровања, уверите се да Цисцо вЕдге уређаји, ако их има, у мрежи користе издање софтвера касније од Цисцо СД-ВАН издања 18.4.6.

Предности онемогућавања слабих алгоритама за ССХ шифровање на Цисцо СД-ВАН менаџеру
Онемогућавање слабијих алгоритама за ССХ шифровање побољшава безбедност ССХ комуникације и осигурава да су организације које користе Цисцо Цаталист СД-ВАН у складу са строгим безбедносним прописима.

Онемогућите слабе алгоритме за ССХ шифровање на Цисцо СД-ВАН менаџеру користећи ЦЛИ

1. У менију Цисцо СД-ВАН Манагер изаберите Алатке > ССХ терминал.
2. Изаберите уређај Цисцо СД-ВАН Манагер на којем желите да онемогућите слабије ССХ алгоритме.
3. Унесите корисничко име и лозинку да бисте се пријавили на уређај.
4. Уђите у режим ССХ сервера.
   • вманаге(цонфиг)# систем
   • вманаге(цонфиг-систем)# ссх-сервер
5. Урадите једно од следећег да бисте онемогућили ССХ алгоритам шифровања:
   • Онемогући СХА-1:
6. манаге(цонфиг-ссх-сервер)# нема кек-алго сха1
7. манаге(цонфиг-ссх-сервер)# урезивање
   Приказана је следећа порука упозорења: Генерисана су следећа упозорења: 'систем ссх-сервер кек-алго сха1': УПОЗОРЕЊЕ: Уверите се да све ваше ивице покрећу верзију кода > 18.4.6 која боље преговара од СХА1 са вМанаге-ом. У супротном те ивице могу постати ван мреже. Наставити? [да, не] да
   • Уверите се да сви Цисцо вЕдге уређаји у мрежи користе Цисцо СД-ВАН верзију 18.4.6 или новију и унесите да.
   • Онемогућите АЕС-128 и АЕС-192:
   • вманаге(цонфиг-ссх-сервер)# без шифре аес-128-192
   • вманаге(цонфиг-ссх-сервер)# урезивање
     Приказује се следећа порука упозорења:
     Генерисана су следећа упозорења:
     'систем ссх-сервер ципхер аес-128-192': УПОЗОРЕЊЕ: Уверите се да све ваше ивице покрећу верзију кода > 18.4.6 која боље преговара од АЕС-128-192 са вМанаге-ом. У супротном те ивице могу постати ван мреже. Наставити? [да, не] да
   • Уверите се да сви Цисцо вЕдге уређаји у мрежи користе Цисцо СД-ВАН верзију 18.4.6 или новију и унесите да.

Проверите да ли су слаби алгоритми ССХ шифровања онемогућени на Цисцо СД-ВАН Манагер-у помоћу ЦЛИ-а

1. У менију Цисцо СД-ВАН Манагер изаберите Алатке > ССХ терминал.
2. Изаберите уређај Цисцо СД-ВАН Манагер који желите да верификујете.
3. Унесите корисничко име и лозинку да бисте се пријавили на уређај.
4. Покрените следећу команду: схов руннинг-цонфиг систем ссх-сервер
5. Потврдите да излаз приказује једну или више команди које онемогућавају слабије алгоритме шифровања:
   • нема шифре аес-128-192
   • нема кек-алго сха1

Документи / Ресурси

ЦИСЦО СД-ВАН Конфигуришите безбедносне параметре [пдф] Упутство за кориснике СД-ВАН Конфигуришите безбедносне параметре, СД-ВАН, Конфигуришите безбедносне параметре, безбедносне параметре

Референце

• Упутство за употребу