eusi nyumput
1 CISCO SD-WAN Konpigurasikeun Parameter Kaamanan
2 Konpigurasikeun Parameter Kaamanan
3 Ngonpigurasikeun Control Plane Kaamanan Parameter
4 Ngonpigurasikeun DTLS di Cisco SD-WAN Manajer
5 Ngonpigurasikeun Parameter Kaamanan Data Plane
6 Konpigurasikeun Tipe Auténtikasi Diidinan
7 Robah Timer Rekeying
8 Robah Ukuran Jandéla Anti-Replay
9 Ngonpigurasikeun hiji IPsec Statis Rute
10 Konpigurasikeun Parameter Torowongan IPsec
11 Ngaropéa IKE Dead-Peer Deteksi
12 Ngonpigurasikeun Pasipatan Interface lianna
13 Nonaktipkeun Algoritma Énkripsi SSH Lemah dina Manajer Cisco SD-WAN
14 Dokumén / Sumberdaya
14.1 Rujukan

CISCO-LOGO

CISCO SD-WAN Konpigurasikeun Parameter Kaamanan

CISCO-SD-WAN-Konpigurasikeun-Kaamanan-Parameter-PRODUK

Konpigurasikeun Parameter Kaamanan

Catetan

Pikeun ngahontal nyederhanakeun jeung konsistensi, geus solusi Cisco SD-WAN rebranded salaku Cisco katalis SD-WAN. Sajaba ti éta, ti Cisco ios XE SD-WAN Release 17.12.1a jeung Cisco katalis SD-WAN Release 20.12.1, parobahan komponén handap lumaku: Cisco vManage mun Cisco katalis SD-WAN Manajer, Cisco vAnalytics mun Cisco katalis SD-WAN. Analytics, Cisco vBond mun Cisco katalis SD-WAN Validator, sarta Cisco vSmart mun Cisco katalis SD-WAN controller. Tempo Catetan Release panganyarna pikeun daptar komprehensif sadaya parobahan ngaran merek komponén. Nalika urang ngalih ka nami anyar, sababaraha inconsistencies tiasa aya dina dokuméntasi set kusabab pendekatan bertahap kana apdet antarmuka pangguna produk parangkat lunak.

bagian ieu ngajelaskeun kumaha carana ngarobah parameter kaamanan pikeun pesawat kontrol jeung pesawat data dina jaringan overlay Cisco katalis SD-WAN.

  • Ngonpigurasikeun Control Plane Kaamanan Parameter, on
  • Ngonpigurasikeun Parameter Kaamanan Data Plane, on
  • Konpigurasikeun IKE-Enabled IPsec Tunnels, on
  • Nonaktipkeun Algoritma Enkripsi SSH Lemah on Cisco SD-WAN Manajer, on

Ngonpigurasikeun Control Plane Kaamanan Parameter

Sacara standar, pesawat kontrol nganggo DTLS salaku protokol anu nyayogikeun privasi dina sadaya torowongan na. DTLS ngalir ngaliwatan UDP. Anjeun tiasa ngarobih protokol kaamanan pesawat kontrol ka TLS, anu ngalangkungan TCP. Alesan utama pikeun ngagunakeun TLS nyaéta, upami anjeun nganggap Cisco SD-WAN Controller mangrupikeun server, firewall ngajagaan server TCP langkung saé tibatan server UDP. Anjeun ngonpigurasikeun protokol torowongan pesawat kontrol dina Controller Cisco SD-WAN: vSmart (config) # protokol kontrol kaamanan tls Kalayan parobahan ieu, sadaya torowongan pesawat kontrol antara Controller Cisco SD-WAN sareng router sareng antara Controller SD-WAN Cisco. sarta Cisco SD-WAN Manajer ngagunakeun TLS. torowongan pesawat kontrol ka Cisco katalis SD-WAN Validator salawasna make DTLS, sabab sambungan ieu kudu diatur ku UDP. Dina domain kalawan sababaraha Controllers Cisco SD-WAN, mun anjeun ngonpigurasikeun TLS on salah sahiji Controllers Cisco SD-WAN, sagala torowongan pesawat kontrol ti controller nu ka controller séjén migunakeun TLS. Ceuk cara sejen, TLS salawasna nyokot precedences DTLS. Sanajan kitu, tina sudut pandang nu séjén Cisco SD-WAN Controllers, lamun teu ngonpigurasi TLS on aranjeunna, aranjeunna nganggo TLS dina torowongan pesawat kontrol ngan hiji Cisco SD-WAN Controllers, sarta aranjeunna nganggo DTLS torowongan ka sadaya lianna. Cisco SD-WAN Controllers jeung ka sadaya routers disambungkeun maranéhna. Pikeun sakabéh Cisco SD-WAN Controllers make TLS, ngonpigurasikeun eta dina sakabéh éta. Sacara standar, Cisco SD-WAN controller listens on port 23456 pikeun requests TLS. Pikeun ngarobah ieu: vSmart (config) # kontrol kaamanan nomer tls-port port bisa jadi angka ti 1025 ngaliwatan 65535. Pikeun mintonkeun informasi kaamanan pesawat kontrol, make paréntah sambungan kontrol acara dina Cisco SD-WAN Controller. Pikeun example: vSmart-2 # némbongkeun sambungan kontrol

CISCO-SD-WAN-Konpigurasikeun-Kaamanan-Parameter-Gbr-1

Ngonpigurasikeun DTLS di Cisco SD-WAN Manajer

Lamun ngonpigurasikeun Cisco SD-WAN Manajer pikeun make TLS salaku protokol kaamanan pesawat kontrol, anjeun kudu ngaktipkeun port diteruskeun on Nat Anjeun. Upami anjeun nganggo DTLS salaku protokol kaamanan pesawat kontrol, anjeun henteu kedah ngalakukeun nanaon. Jumlah palabuhan diteruskeun gumantung kana jumlah prosés vdaemon ngajalankeun on Cisco SD-WAN Manajer. Pikeun nembongkeun inpormasi ngeunaan prosés ieu sareng ngeunaan sareng jumlah palabuhan anu diteruskeun, paké paréntah kasimpulan kontrol acara nunjukkeun yén opat prosés daemon dijalankeun:CISCO-SD-WAN-Konpigurasikeun-Kaamanan-Parameter-Gbr-2

Pikeun ningali palabuhan ngadangukeun, paké paréntah show control local-properties: vManage# show control local-properties.

CISCO-SD-WAN-Konpigurasikeun-Kaamanan-Parameter-Gbr-3

Kaluaran ieu nunjukkeun yén port TCP dengekeun nyaéta 23456. Upami anjeun ngajalankeun Manajer Cisco SD-WAN di tukangeun NAT, anjeun kedah muka palabuhan di handap ieu dina alat NAT:

  • 23456 (dasar - conto 0 port)
  • 23456 + 100 (dasar + 100)
  • 23456 + 200 (dasar + 200)
  • 23456 + 300 (dasar + 300)

Catet yén jumlah instansi sarua jeung jumlah cores anjeun geus ditugaskeun pikeun Cisco SD-WAN Manajer, nepi ka maksimum 8.

Konpigurasikeun Parameter Kaamanan Ngagunakeun Citakan Fitur Kaamanan

Paké template fitur Kaamanan pikeun sakabéh alat Cisco vEdge. Dina routers ujung na on Cisco SD-WAN Validator, make template ieu pikeun IPsec Konpigurasikeun pikeun kaamanan pesawat data. Dina Cisco SD-WAN Manajer sarta Cisco SD-WAN controller, make template fitur Kaamanan pikeun DTLS Konpigurasikeun atanapi TLS pikeun kaamanan pesawat kontrol.

Konpigurasikeun Parameter Kaamanan

  1. Tina menu Manajer Cisco SD-WAN, pilih Konfigurasi> Citakan.
  2. Klik Feature Templates teras klik Add Template.
    Catetan Dina Cisco vManage Release 20.7.1 jeung release saméméhna, Fitur Citakan disebut Fitur.
  3. Tina daptar Alat dina jandela kénca, pilih alat. Témplat anu lumaku pikeun alat anu dipilih muncul dina panel katuhu.
  4. Klik Kaamanan pikeun muka témplat.
  5. Dina widang Ngaran Citakan, asupkeun ngaran pikeun citakan. Ngaranna tiasa dugi ka 128 karakter sareng ngan ukur tiasa ngandung karakter alfanumerik.
  6. Dina médan Pedaran Citakan, asupkeun pedaran témplat. Katerangan tiasa dugi ka 2048 karakter sareng ngan ukur tiasa ngandung karakter alfanumerik.

Sawaktos Anjeun pertama muka template fitur, pikeun tiap parameter nu boga nilai standar, wengkuan disetel ka Default (ditandaan ku tanda centang), sarta setelan standar atawa nilai ditémbongkeun. Pikeun ngarobah standar atawa ngasupkeun nilai, klik menu turun-handap wengkuan ka kénca widang parameter tur pilih salah sahiji di handap:

Tabél 1:

Parameter Lingkup Pedaran wengkuan
Alat husus (ditunjukkeun ku ikon host) Paké nilai alat-spésifik pikeun parameter. Pikeun parameter husus alat, Anjeun teu bisa ngasupkeun nilai dina citakan fitur. Anjeun ngasupkeun nilai mun anjeun ngagantelkeun alat Viptela ka template alat.

Lamun anjeun klik Alat husus, kotak Lebetkeun Key muka. Kotak ieu mintonkeun konci, nu mangrupakeun string unik nu nangtukeun parameter dina CSV a file nu nyieun. Ieu file mangrupa spreadsheet Excel nu ngandung hiji kolom pikeun tiap konci. Baris lulugu ngandung ngaran konci (hiji konci per kolom), sarta unggal baris sanggeus éta pakait jeung hiji alat jeung nangtukeun nilai konci pikeun alat eta. Anjeun unggah CSV file mun anjeun ngagantelkeun alat Viptela ka template alat. Kanggo inpo nu leuwih lengkep, tingali Jieun Spreadsheet Variabel Citakan.

Pikeun ngarobah konci standar, ketik string anyar sareng pindahkeun kursor kaluar tina kotak Lebetkeun Key.

ExampParameter khusus alat nyaéta alamat IP sistem, hostname, lokasi GPS, sareng ID situs.
Parameter Lingkup Pedaran wengkuan
Global (ditandaan ku ikon globe) Asupkeun nilai pikeun parameter, jeung nerapkeun nilai eta ka sadaya alat.

ExampSababaraha parameter anu anjeun tiasa nerapkeun sacara global ka grup alat nyaéta server DNS, server syslog, sareng antarmuka MTU.

Ngonpigurasikeun Control Plane Kaamanan

Catetan
Bagian Konpigurasikeun Control Plane Security manglaku ka Cisco SD-WAN Manager sareng Cisco SD-WAN Controller only.Pikeun ngonpigurasikeun protokol sambungan pesawat kontrol dina conto Cisco SD-WAN Manager atanapi Cisco SD-WAN Controller, pilih wewengkon Konfigurasi Dasar. sareng ngonpigurasikeun parameter di handap ieu:

Tabél 2:

Parameter Ngaran Katerangan
Protokol Pilih protokol anu dianggo dina sambungan pesawat kontrol ka Controller Cisco SD-WAN:

• DTLS (Datagram Transport Layer Security). Ieu standar.

• TLS (Transport Layer Security)
Kontrol TLS Port Upami anjeun milih TLS, konfigurasikeun nomer port pikeun dianggo:rentang: 1025 ngaliwatan 65535standar: 23456

Pencét Simpen

Konpigurasikeun Data Plane Security
Pikeun ngonpigurasikeun kaamanan pesawat data dina Cisco SD-WAN Validator atanapi router Cisco vEdge, pilih tab Konfigurasi Dasar sareng Tipe Auténtikasi, sareng konfigurasikeun parameter di handap ieu:

Tabél 3:

Parameter Ngaran Katerangan
Rekey Waktos Sebutkeun sabaraha sering a router Cisco vEdge ngarobah konci AES dipaké dina sambungan DTLS aman na ka Cisco SD-WAN controller. Upami OMP graceful restart diaktipkeun, waktos rekeying kedah sahenteuna dua kali nilai tina OMP graceful restart timer.rentang: 10 dugi ka 1209600 detik (14 dinten)standar: 86400 detik (24 jam)
Jandéla Replay Sebutkeun ukuran jandela replay ngageser.

Nilai: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakétstandar: 512 pakét
IPsec

pasangan-keying

 Ieu dipareuman sacara standar. Pencét On pikeun ngahurungkeun deui.
Parameter Ngaran Katerangan
Jenis auténtikasi Pilih jinis auténtikasi tina Auténtikasi Daptar, teras klik panah anu nunjuk ka katuhu pikeun mindahkeun jinis auténtikasi ka Daptar Dipilih kolom.

Jenis auténtikasi dirojong ti Cisco SD-WAN Release 20.6.1:

•  esp: Aktipkeun Encapsulating Kaamanan Payload (ESP) enkripsi jeung mariksa integritas dina lulugu ESP.

•  ip-udp-esp: Aktipkeun énkripsi ESP. Salian cék integritas dina header ESP sareng payload, cék ogé kalebet header IP luar sareng UDP.

•  ip-udp-esp-no-id: Ignores widang ID dina lulugu IP supados Cisco katalis SD-WAN tiasa dianggo ditéang jeung alat non-Cisco.

•  euweuh: Ngahurungkeun pamariksaan integritas dina pakét IPSec. Kami henteu nyarankeun ngagunakeun pilihan ieu.

 

Jenis auténtikasi dirojong dina Cisco SD-WAN Release 20.5.1 jeung saméméhna:

•  ah-henteu-id: Aktipkeun pérsi ditingkatkeun tina AH-SHA1 HMAC jeung ESP HMAC-SHA1 nu malire widang ID dina lulugu IP luar pakét urang.

•  ah-sha1-hmac: Aktipkeun AH-SHA1 HMAC jeung ESP HMAC-SHA1.

•  euweuh: Pilih euweuh auténtikasi.

•  sha1-hmac: Aktipkeun ESP HMAC-SHA1.

 

Catetan              Pikeun alat ujung ngajalankeun on Cisco SD-WAN Release 20.5.1 atawa saméméhna, Anjeun bisa jadi geus ngonpigurasikeun jenis auténtikasi maké a Kaamanan citakan. Lamun anjeun ningkatkeun alat ka Cisco SD-WAN Release 20.6.1 atanapi engké, ngamutahirkeun jenis auténtikasi dipilih dina Kaamanan template pikeun jenis auténtikasi dirojong ti Cisco SD-WAN Release 20.6.1. Pikeun ngapdet jinis auténtikasi, lakukeun ieu:

1.      Ti Cisco SD-WAN Manajer menu, milih Konfigurasi >

Citakan.

2.      Pencét Fitur Citakan.

3.      Manggihan nu Kaamanan template pikeun ngapdet teras klik ... teras klik Édit.

4.      Pencét Pembaruan. Ulah ngarobah konfigurasi nanaon.

Cisco SD-WAN Manajer ngamutahirkeun nu Kaamanan template pikeun mintonkeun jenis auténtikasi nu dirojong.

Pencét Simpen.

Ngonpigurasikeun Parameter Kaamanan Data Plane

Dina pesawat data, IPsec diaktipkeun sacara standar dina sadaya router, sareng sacara standar sambungan torowongan IPsec nganggo versi anu ditingkatkeun tina protokol Encapsulating Security Payload (ESP) pikeun auténtikasi dina torowongan IPsec. Dina routers, anjeun tiasa ngarobih jinis auténtikasi, timer rekeying IPsec, sareng ukuran jandela anti-replay IPsec.

Konpigurasikeun Tipe Auténtikasi Diidinan

Jenis auténtikasi dina Cisco SD-WAN Release 20.6.1 sarta engké
Ti Cisco SD-WAN Release 20.6.1, dirojong tipe integritas handap:

  • esp: Pilihan ieu ngamungkinkeun Encapsulating Security Payload (ESP) enkripsi sareng mariksa integritas dina header ESP.
  • ip-udp-esp: Pilihan ieu ngamungkinkeun énkripsi ESP. Salian cék integritas dina header ESP sareng payload, cék ogé kalebet header IP luar sareng UDP.
  • ip-udp-esp-no-id: Pilihan ieu sami sareng ip-udp-esp, kumaha oge, widang ID tina lulugu IP luar teu dipalire. Ngonpigurasikeun pilihan ieu dina daptar jenis integritas boga Cisco katalis SD-Wan software malire widang ID dina header IP supados Cisco katalis SD-WAN tiasa dianggo ditéang jeung alat non-Cisco.
  • euweuh: Pilihan ieu ngahurungkeun integritas mariksa kaluar on pakét IPSec. Kami henteu nyarankeun ngagunakeun pilihan ieu.

Sacara standar, sambungan torowongan IPsec nganggo vérsi ditingkatkeun tina protokol Encapsulating Security Payload (ESP) pikeun auténtikasi. Pikeun ngarobih jinis interity anu disawalakeun atanapi nganonaktipkeun cek integritas, paké paréntah di handap ieu: integrity-type {euweuh | ip-udp-esp | ip-udp-esp-no-id | esp}

Jenis auténtikasi Sateuacan Cisco SD-WAN Release 20.6.1
Sacara standar, sambungan torowongan IPsec nganggo vérsi ditingkatkeun tina protokol Encapsulating Security Payload (ESP) pikeun auténtikasi. Pikeun ngarobih jinis auténtikasi anu disawalakeun atanapi nganonaktipkeun auténtikasi, paké paréntah di handap ieu: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Sacara standar, IPsec sambungan torowongan ngagunakeun AES-GCM-256, nu nyadiakeun duanana enkripsi sarta auténtikasi. Konpigurasikeun unggal jinis auténtikasi sareng paréntah-tipe auténtikasi kaamanan ipsec. Pilihan paréntah peta kana jinis auténtikasi di handap ieu, anu didaptarkeun dina urutan ti anu paling kuat ka anu paling kuat:

Catetan
Sha1 dina pilihan konfigurasi dianggo pikeun alesan sajarah. Pilihan auténtikasi nunjukkeun sabaraha pamariksaan integritas pakét parantos dilakukeun. Aranjeunna teu nangtukeun algoritma nu mariksa integritas. Iwal enkripsi lalulintas multicast, algoritma auténtikasi dirojong ku Cisco katalis SD Wan teu make SHA1. Sanajan kitu, dina Cisco SD-WAN Release 20.1.x jeung saterusna, duanana unicast na multicast teu make SHA1.

  • ah-sha1-hmac ngamungkinkeun énkripsi sareng enkapsulasi nganggo ESP. Tapi, salian ti cék integritas dina header sareng payload ESP, cék ogé kalebet header IP luar sareng UDP. Lantaran kitu, pilihan ieu ngadukung pamariksaan integritas pakét anu sami sareng protokol Authentication Header (AH). Sadaya integritas sareng enkripsi dilaksanakeun nganggo AES-256-GCM.
  • ah-no-id ngaktifkeun mode anu sarupa jeung ah-sha1-hmac, kumaha oge, widang ID tina lulugu IP luar teu dipaliré. Pilihan ieu nampung sababaraha alat SD-WAN non-Cisco Catalyst, kaasup Apple Airport Express NAT, anu gaduh bug anu nyababkeun widang ID dina header IP, sawah non-mutable, dirobih. Ngonpigurasikeun pilihan ah-no-id dina daptar jenis auténtikasi boga software Cisco katalis SD-Wan AH malire widang ID dina lulugu IP supados software Cisco katalis SD-Wan tiasa dianggo ditéang jeung alat ieu.
  • sha1-hmac ngamungkinkeun énkripsi ESP sareng pamariksaan integritas.
  • euweuh peta mun euweuh auténtikasi. Pilihan ieu ngan kedah dianggo upami diperyogikeun pikeun debugging samentawis. Anjeun ogé tiasa milih pilihan ieu dina kaayaan dimana auténtikasi sareng integritas pesawat data henteu janten perhatian. Cisco henteu nyarankeun ngagunakeun pilihan ieu pikeun jaringan produksi.

Pikeun inpormasi ngeunaan widang pakét data mana anu kapangaruhan ku jinis auténtikasi ieu, tingali Integritas Data Plane. Cisco ios XE Catalyst alat SD-WAN jeung alat Cisco vEdge Ngaiklan jenis auténtikasi maranéhanana ngonpigurasi dina sipat TLOC maranéhna. Dua router dina dua sisi sambungan torowongan IPsec negotiate auténtikasi pikeun pamakéan dina sambungan antara aranjeunna, ngagunakeun tipe auténtikasi neneng anu ngonpigurasi dina duanana routers. Pikeun exampLe, lamun hiji router advertises tipe ah-sha1-hmac jeung ah-no-id, sarta router kadua advertises tipe ah-no-id, dua routers negotiates ngagunakeun ah-no-id dina sambungan torowongan IPsec antara aranjeunna. Upami teu aya jinis auténtikasi umum anu dikonpigurasi dina dua peers, teu aya torowongan IPsec anu didamel diantara aranjeunna. Algoritma enkripsi dina sambungan torowongan IPsec gumantung kana jinis lalu lintas:

  • Pikeun lalu lintas unicast, algoritma énkripsi nyaéta AES-256-GCM.
  • Pikeun lalu lintas multicast:
  • Cisco SD-WAN Release 20.1.x sareng engké- algoritma énkripsi nyaéta AES-256-GCM
  • Kaluaran saméméhna- algoritma énkripsi nyaéta AES-256-CBC sareng SHA1-HMAC.

Nalika tipe auténtikasi IPsec dirobah, konci AES pikeun jalur data dirobah.

Robah Timer Rekeying

Sateuacan alat Cisco ios XE Catalyst SD-WAN sareng alat Cisco vEdge tiasa tukeur lalu lintas data, aranjeunna nyetél saluran komunikasi anu dioténtikasi aman antara aranjeunna. Router nganggo torowongan IPSec antara aranjeunna salaku saluran, sareng cipher AES-256 pikeun ngalakukeun enkripsi. Unggal router ngahasilkeun konci AES anyar pikeun jalur data na périodik. Sacara standar, konci valid pikeun 86400 detik (24 jam), sareng rentang timer 10 detik dugi ka 1209600 detik (14 dinten). Pikeun ngarobah nilai timer rekey: Alat(config)# kaamanan ipsec rekey detik Konfigurasi kasampak kawas kieu:

  • kaamanan ipsec rekey detik!

Upami anjeun hoyong langsung ngahasilkeun konci IPsec énggal, anjeun tiasa ngalakukeunana tanpa ngarobih konfigurasi router. Jang ngalampahkeun ieu, ngaluarkeun paréntah kaamanan pamundut ipsecrekey dina router compromised. Pikeun exampLe, kaluaran di handap ieu nunjukkeun yén SA lokal gaduh Indéks Parameter Kaamanan (SPI) 256:CISCO-SD-WAN-Konpigurasikeun-Kaamanan-Parameter-Gbr-4

Hiji konci unik pakait sareng unggal SPI. Upami konci ieu dikompromi, paké paréntah kaamanan ipsec-rekey pikeun ngahasilkeun konci énggal langsung. Paréntah ieu nambahan SPI. Di mantan urangampLe, SPI robih janten 257 sareng konci anu aya hubunganana ayeuna dianggo:

  • Alat# nyuhunkeun kaamanan ipsecrekey
  • Alat # nunjukkeun ipsec lokal-sa

CISCO-SD-WAN-Konpigurasikeun-Kaamanan-Parameter-Gbr-5

Saatos konci anyar dihasilkeun, ngirim router langsung ka Controllers Cisco SD-WAN maké DTLS atanapi TLS. Cisco SD-WAN Controllers ngirim konci ka routers peer. The routers dimimitian ngagunakeun éta pas aranjeunna nampi eta. Catet yén konci pakait sareng SPI heubeul (256) bakal terus dipaké pikeun waktu anu singget nepi ka kali kaluar. Pikeun eureun maké konci heubeul geuwat, ngaluarkeun paréntah kaamanan pamundut ipsec-rekey dua kali, dina suksesi gancang. Runtuyan paréntah ieu ngaleungitkeun SPI 256 sareng 257 sareng nyetél SPI ka 258. Router teras nganggo konci anu aya hubunganana SPI 258. Nanging, perhatikeun yén sababaraha pakét bakal dileungitkeun sakedap dugi ka sadaya router jauh diajar. konci anyar.CISCO-SD-WAN-Konpigurasikeun-Kaamanan-Parameter-Gbr-6

Robah Ukuran Jandéla Anti-Replay

Auténtikasi IPsec nyadiakeun panyalindungan anti replay ku assigning nomer runtuyan unik ka unggal pakét dina aliran data. Panomeran runtuyan ieu ngajaga ngalawan panyerang duplikasi pakét data. Kalayan panyalindungan anti-replay, pangirim napelkeun nomer urutan anu ningkat sacara monoton, sareng tujuan mariksa nomer urutan ieu pikeun ngadeteksi duplikat. Kusabab pakét sering henteu sumping dina urutan, tujuan ngajaga jandela ngageser tina nomer urutan anu bakal ditampi.CISCO-SD-WAN-Konpigurasikeun-Kaamanan-Parameter-Gbr-7

Pakét kalayan nomer runtuyan nu ragrag ka kénca rentang jandela ngageser dianggap heubeul atawa duplikat, sarta tujuan pakait aranjeunna. Tujuanana ngalacak nomer urutan pangluhurna anu ditampi, sareng nyaluyukeun jandela ngageser nalika nampi pakét kalayan nilai anu langkung luhur.CISCO-SD-WAN-Konpigurasikeun-Kaamanan-Parameter-Gbr-8

Sacara standar, jandela ngageser disetel ka 512 pakét. Éta tiasa disetel ka nilai naon waé antara 64 sareng 4096 anu mangrupikeun kakuatan 2 (nyaéta, 64, 128, 256, 512, 1024, 2048, atanapi 4096). Pikeun ngarobih ukuran jandela anti-replay, paké paréntah replay-window, nangtukeun ukuran jandela:

Alat(config)# kaamanan ipsec replay-window number

Konfigurasina sapertos kieu:
kaamanan ipsec replay-window number ! !

Pikeun mantuan kalawan QoS, jandéla ulang misah dijaga pikeun tiap tina dalapan saluran lalulintas munggaran. Ukuran jandela ulang ngonpigurasi dibagi dalapan pikeun tiap channel. Upami QoS dikonpigurasi dina router, éta router tiasa ngalaman jumlah pakét anu langkung ageung tibatan anu disangka-sangka salaku hasil tina mékanisme anti-replay IPsec, sareng seueur pakét anu diturunkeun mangrupikeun sah. Ieu lumangsung alatan QoS nyusun ulang pakét, méré pakét-prioritas luhur perlakuan preferensial jeung delaying pakét-prioritas handap. Pikeun ngaleutikan atanapi nyegah kaayaan ieu, anjeun tiasa ngalakukeun ieu:

  • Ningkatkeun ukuran jandela anti-replay.
  • Lalu lintas Insinyur kana dalapan saluran lalu lintas anu munggaran pikeun mastikeun yén lalu lintas dina saluran henteu disusun deui.

Konpigurasikeun Torowongan IPsec Diaktipkeun IKE
Pikeun mindahkeun lalu lintas aman tina jaringan overlay ka jaringan jasa, anjeun tiasa ngonpigurasikeun torowongan IPsec anu ngajalankeun protokol Internet Key Exchange (IKE). Torowongan IPsec anu diaktipkeun IKE nyayogikeun auténtikasi sareng enkripsi pikeun mastikeun angkutan pakét anu aman. Anjeun nyiptakeun torowongan IPsec anu diaktipkeun ku IKE ku ngonpigurasikeun antarmuka IPsec. Interfaces IPsec mangrupikeun antarmuka logis, sareng anjeun ngonpigurasikeunana sapertos antarmuka fisik anu sanés. Anjeun ngonpigurasikeun parameter protokol IKE dina panganteur IPsec, tur anjeun tiasa ngonpigurasikeun sipat panganteur séjén.

Catetan Cisco nyarankeun make Vérsi IKE 2. Ti Cisco SD-WAN 19.2.x release saterusna, konci pre-dibagikeun kudu sahanteuna 16 bait panjangna. Ngadegkeun torowongan IPsec gagal upami ukuran konci kirang ti 16 karakter nalika router ditingkatkeun kana versi 19.2.

Catetan
Cisco Catalyst SD-WAN software ngarojong Vérsi IKE 2 sakumaha didefinisikeun dina RFC 7296. Hiji pamakéan pikeun torowongan IPsec nyaéta ngidinan vEdge Awan router VM instansi ngajalankeun on Amazon AWS pikeun nyambung ka Amazon maya awan swasta (VPC). Anjeun kudu ngonpigurasikeun IKE Vérsi 1 on routers ieu. Alat Cisco vEdge ngan ngarojong VPN dumasar-rute dina konfigurasi IPSec sabab alat ieu teu bisa nangtukeun pamilih lalulintas dina domain enkripsi.

Konpigurasikeun torowongan IPsec
Pikeun ngonpigurasikeun antarmuka torowongan IPsec pikeun lalu lintas angkutan anu aman tina jaringan jasa, anjeun nyiptakeun antarmuka IPsec logis:CISCO-SD-WAN-Konpigurasikeun-Kaamanan-Parameter-Gbr-9

Anjeun tiasa nyiptakeun torowongan IPsec dina VPN angkutan (VPN 0) sareng dina jasa VPN naon waé (VPN 1 dugi ka 65530, kecuali 512). Antarbeungeut IPsec gaduh nami dina format ipsecnumber, dimana jumlahna tiasa ti 1 dugi ka 255. Unggal panganteur IPsec kedah gaduh alamat IPv4. Alamat ieu kedah janten awalan /30. Sadaya lalu lintas dina VPN anu aya dina awalan IPv4 ieu diarahkeun ka antarmuka fisik dina VPN 0 pikeun dikirimkeun aman dina torowongan IPsec. Pikeun ngonpigurasikeun sumber torowongan IPsec dina alat lokal, anjeun tiasa netepkeun alamat IP tina panganteur fisik (dina paréntah torowongan-sumber) atawa nami panganteur fisik (dina paréntah torowongan-sumber-antarmuka). Mastikeun yén antarbeungeut fisik geus ngonpigurasi dina VPN 0. Pikeun ngonpigurasikeun tujuan torowongan IPsec, nangtukeun alamat IP tina alat jauh dina paréntah torowongan-tujuan. Kombinasi alamat sumber (atawa ngaran panganteur sumber) jeung alamat tujuan nangtukeun hiji torowongan IPsec tunggal. Ngan hiji torowongan IPsec tiasa aya anu nganggo alamat sumber khusus (atanapi nami antarmuka) sareng pasangan alamat tujuan.

Ngonpigurasikeun hiji IPsec Statis Rute

Pikeun ngarahkeun lalu lintas tina VPN jasa ka torowongan IPsec dina VPN angkutan (VPN 0), anjeun ngonpigurasi jalur statik khusus IPsec dina VPN jasa (VPN salian ti VPN 0 atanapi VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-rute awalan/panjang vpn 0 interface
  • ipsecnumber [ipsecnumber2]

ID VPN nyaéta tina jasa VPN naon waé (VPN 1 dugi ka 65530, kecuali 512). awalan/panjang nyaeta alamat IP atawa awalan, dina decimal opat-bagian-titik notasi, sarta panjang awalan jalur statik IPsec-spésifik. panganteur nyaeta panganteur torowongan IPsec di VPN 0. Anjeun tiasa ngonpigurasikeun hiji atawa dua panganteur torowongan IPsec. Upami anjeun ngonpigurasikeun dua, anu kahiji nyaéta torowongan IPsec primér, sareng anu kadua nyaéta cadangan. Kalayan dua antarmuka, sadaya pakét ngan ukur dikirim ka torowongan primér. Upami torowongan éta gagal, sadaya pakét teras dikirim ka torowongan sekundér. Lamun torowongan primér datang deui nepi, sadaya lalulintas dipindahkeun deui ka torowongan IPsec primér.

Aktipkeun IKE Vérsi 1
Nalika anjeun nyiptakeun torowongan IPsec dina router vEdge, IKE Vérsi 1 diaktipkeun sacara standar dina antarmuka torowongan. Sipat di handap ieu ogé diaktipkeun sacara standar pikeun IKEv1:

  • Auténtikasi sareng enkripsi-AES-256 enkripsi canggih standar enkripsi CBC sareng algoritma kode auténtikasi pesen keyed-hash HMAC-SHA1 pikeun integritas
  • Jumlah grup Diffie-Hellman-16
  • Interval waktos rekeying - 4 jam
  • modeu ngadegna SA-Utama

Sacara standar, IKEv1 nganggo modeu utama IKE pikeun ngadegkeun IKE SA. Dina modeu ieu, genep pakét rundingan ditukeurkeun pikeun ngadegkeun SA. Pikeun tukeur ukur tilu pakét rundingan, aktipkeun mode agrésif:

Catetan
Modeu agrésif IKE sareng konci anu tos dibagikeun kedah dihindari dimana waé. Upami teu kitu, konci anu tos dibagikeun anu kuat kedah dipilih.

  • vEdge (config) # vpn vpn-id panganteur ipsec angka ike
  • vEdge (config-ike) # mode agrésif

Sacara standar, IKEv1 ngagunakeun grup Diffie-Hellman 16 dina bursa konci IKE. Grup ieu ngagunakeun grup 4096-bit leuwih modular eksponensial (MODP) salila bursa konci IKE. Anjeun tiasa ngarobih nomer grup ka 2 (pikeun 1024-bit MODP), 14 (2048-bit MODP), atanapi 15 (3072-bit MODP):

  • vEdge (config) # vpn vpn-id panganteur ipsec angka ike
  • vEdge (config-ike) # nomer grup

Sacara standar, bursa konci IKE nganggo enkripsi CBC standar enkripsi canggih AES-256 sareng algoritma kode auténtikasi pesen keyed-hash HMAC-SHA1 pikeun integritas. Anjeun tiasa ngarobih auténtikasi:

  • vEdge (config) # vpn vpn-id panganteur ipsec angka ike
  • vEdge(config-ike)# suite cipher-suite

Suite auténtikasi tiasa janten salah sahiji ieu:

  • aes128-cbc-sha1—AES-128 enkripsi canggih enkripsi CBC standar sareng algoritma kode auténtikasi pesen keyed-hash HMAC-SHA1 pikeun integritas
  • aes128-cbc-sha2—AES-128 enkripsi canggih enkripsi CBC standar sareng algoritma kode auténtikasi pesen keyed-hash HMAC-SHA256 pikeun integritas
  • aes256-cbc-sha1-AES-256 enkripsi canggih standar enkripsi CBC kalawan HMAC-SHA1 keyed-hash algoritma kode auténtikasi pesen pikeun integritas; ieu standar.
  • aes256-cbc-sha2—AES-256 enkripsi canggih enkripsi CBC standar sareng algoritma kode auténtikasi pesen keyed-hash HMAC-SHA256 pikeun integritas

Sacara standar, konci IKE disegerkeun unggal 1 jam (3600 detik). Anjeun tiasa ngarobah interval rekeying ka nilai tina 30 detik ngaliwatan 14 poé (1209600 detik). Disarankeun yén interval rekeying sahenteuna 1 jam.

  • vEdge (config) # vpn vpn-id panganteur ipsec angka kawas
  • vEdge (config-ike) # rekey detik

Pikeun maksakeun generasi konci anyar pikeun sési IKE, ngaluarkeun paréntah ipsec ike-rekey pamundut.

  • vEdge(config)# vpn vpn-id interfaceipsec nomer ike

Pikeun IKE, anjeun ogé tiasa ngonpigurasikeun auténtikasi konci preshared (PSK):

  • vEdge (config) # vpn vpn-id panganteur ipsec angka ike
  • vEdge(config-ike)# auténtikasi-tipe pre-shared-key pre-shared-rusiah sandi sandi nya éta sandi pikeun dipaké kalawan konci preshared. Bisa mangrupa ASCII atawa string héksadesimal ti 1 nepi ka 127 karakter.

Lamun peer IKE jauh merlukeun ID lokal atawa jauh, Anjeun bisa ngonpigurasikeun identifier ieu:

  • vEdge (config) # vpn vpn-id panganteur ipsec angka ike auténtikasi-tipe
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Identifier tiasa alamat IP atanapi string téks ti 1 dugi ka 63 karakter. Sacara standar, ID lokal nyaéta alamat IP sumber torowongan sareng ID jauh nyaéta alamat IP tujuan torowongan.

Aktipkeun IKE Vérsi 2
Nalika anjeun ngonpigurasikeun torowongan IPsec pikeun nganggo IKE Vérsi 2, sipat ieu ogé diaktipkeun sacara standar pikeun IKEv2:

  • Auténtikasi sareng enkripsi-AES-256 enkripsi canggih standar enkripsi CBC sareng algoritma kode auténtikasi pesen keyed-hash HMAC-SHA1 pikeun integritas
  • Jumlah grup Diffie-Hellman-16
  • Interval waktos rekeying - 4 jam

Sacara standar, IKEv2 ngagunakeun grup Diffie-Hellman 16 dina bursa konci IKE. Grup ieu ngagunakeun grup 4096-bit leuwih modular eksponensial (MODP) salila bursa konci IKE. Anjeun tiasa ngarobih nomer grup ka 2 (pikeun 1024-bit MODP), 14 (2048-bit MODP), atanapi 15 (3072-bit MODP):

  • vEdge (config) # vpn vpn-id panganteur ipsecnumber ike
  • vEdge (config-ike) # nomer grup

Sacara standar, bursa konci IKE nganggo enkripsi CBC standar enkripsi canggih AES-256 sareng algoritma kode auténtikasi pesen keyed-hash HMAC-SHA1 pikeun integritas. Anjeun tiasa ngarobih auténtikasi:

  • vEdge (config) # vpn vpn-id panganteur ipsecnumber ike
  • vEdge(config-ike)# suite cipher-suite

Suite auténtikasi tiasa janten salah sahiji ieu:

  • aes128-cbc-sha1—AES-128 enkripsi canggih enkripsi CBC standar sareng algoritma kode auténtikasi pesen keyed-hash HMAC-SHA1 pikeun integritas
  • aes128-cbc-sha2—AES-128 enkripsi canggih enkripsi CBC standar sareng algoritma kode auténtikasi pesen keyed-hash HMAC-SHA256 pikeun integritas
  • aes256-cbc-sha1-AES-256 enkripsi canggih standar enkripsi CBC kalawan HMAC-SHA1 keyed-hash algoritma kode auténtikasi pesen pikeun integritas; ieu standar.
  • aes256-cbc-sha2—AES-256 enkripsi canggih enkripsi CBC standar sareng algoritma kode auténtikasi pesen keyed-hash HMAC-SHA256 pikeun integritas

Sacara standar, konci IKE disegerkeun unggal 4 jam (14,400 detik). Anjeun tiasa ngarobih interval rekeying ka nilai tina 30 detik dugi ka 14 dinten (1209600 detik):

  • vEdge (config) # vpn vpn-id panganteur ipsecnumber ike
  • vEdge (config-ike) # rekey detik

Pikeun maksakeun generasi konci anyar pikeun sési IKE, ngaluarkeun paréntah ipsec ike-rekey pamundut. Pikeun IKE, anjeun ogé tiasa ngonpigurasikeun auténtikasi konci preshared (PSK):

  • vEdge (config) # vpn vpn-id panganteur ipsecnumber ike
  • vEdge(config-ike)# auténtikasi-tipe pre-shared-key pre-shared-rusiah sandi sandi nya éta sandi pikeun dipaké kalawan konci preshared. Bisa mangrupa ASCII atawa string hexadecimal, atawa bisa mangrupa konci AES-énkripsi. Lamun peer IKE jauh merlukeun ID lokal atawa jauh, Anjeun bisa ngonpigurasikeun identifier ieu:
  • vEdge (config) # vpn vpn-id panganteur ipsecnumber ike auténtikasi-tipe
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Identifier tiasa alamat IP atanapi string téks ti 1 dugi ka 64 karakter. Sacara standar, ID lokal nyaéta alamat IP sumber torowongan sareng ID jauh nyaéta alamat IP tujuan torowongan.

Konpigurasikeun Parameter Torowongan IPsec

meja 4: Sajarah Fitur

Fitur Ngaran Émbaran release Katerangan
Cryptographic tambahan Cisco SD-WAN Kaluaran 20.1.1 Fitur ieu nambihan dukungan pikeun
Rojongan Algorithmic pikeun IPSec   HMAC_SHA256, HMAC_SHA384, jeung
Torowongan   Algoritma HMAC_SHA512 pikeun
    kaamanan ditingkatkeun.

Sacara standar, parameter di handap ieu dianggo dina torowongan IPsec anu mawa lalu lintas IKE:

  • Auténtikasi sareng enkripsi—Algoritma AES-256 dina GCM (mode Galois/counter)
  • Interval rekeying - 4 jam
  • Jandéla ulangan-32 pakét

Anjeun tiasa ngarobih enkripsi dina torowongan IPsec ka cipher AES-256 dina CBC (mode ranté blok cipher, kalayan HMAC nganggo oténtikasi pesen SHA-1 atanapi SHA-2 keyed-hash atanapi nol sareng HMAC nganggo SHA-1 atanapi Oténtikasi pesen SHA-2 keyed-hash, pikeun henteu énkripsi torowongan IPsec anu dianggo pikeun lalu lintas bursa konci IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-sha256 | aes256-null | aes384-null-sha256 | aes512-null-shaXNUMX)

Sacara standar, konci IKE disegerkeun unggal 4 jam (14,400 detik). Anjeun tiasa ngarobih interval rekeying ka nilai tina 30 detik dugi ka 14 dinten (1209600 detik):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge (config-ipsec) # rekey detik

Pikeun maksakeun generasi konci anyar pikeun torowongan IPsec, ngaluarkeun paréntah ipsec ipsec-rekey paréntah. Sacara standar, rusiah maju sampurna (PFS) diaktipkeun dina torowongan IPsec, pikeun mastikeun yén sesi kaliwat teu kapangaruhan lamun konci hareup anu compromised. PFS maksakeun bursa konci Diffie-Hellman anyar, sacara standar ngagunakeun grup modul perdana Diffie-Hellman 4096-bit. Anjeun tiasa ngarobih setélan PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge (config-ipsec) # sampurna-hareup-rusiah pfs-setting

pfs-setting tiasa salah sahiji ieu:

  • group-2-Paké 1024-bit Diffie-Hellman prime modulus group.
  • group-14-Paké 2048-bit Diffie-Hellman prime modulus group.
  • group-15-Paké 3072-bit Diffie-Hellman prime modulus group.
  • group-16-Paké grup modulus perdana Diffie-Hellman 4096-bit. Ieu standar.
  • euweuh-Pareuman PFS.

Sacara standar, jandéla ulangan IPsec dina torowongan IPsec nyaéta 512 bait. Anjeun tiasa nyetel ukuran jandela replay ka 64, 128, 256, 512, 1024, 2048, atawa 4096 pakét:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge (config-ipsec) # angka ulang jandela

Ngaropéa IKE Dead-Peer Deteksi

IKE ngagunakeun mékanisme deteksi dead-peer pikeun nangtukeun naha sambungan ka IKE peer fungsional jeung bisa ngahontal. Pikeun nerapkeun mékanisme ieu, IKE ngirimkeun pakét Hello ka peer na, sareng peer ngirimkeun pangakuan pikeun ngaréspon. Sacara standar, IKE ngirimkeun Hello pakét unggal 10 detik, sarta sanggeus tilu pakét unacknowledged, IKE ngadéklarasikeun tatanggana geus maot sarta luh handap torowongan ka peer. Saterusna, IKE périodik ngirimkeun pakét Hello ka peer, sarta ngadegkeun deui torowongan nalika peer datang deui online. Anjeun tiasa ngarobih interval deteksi liveness ka nilai tina 0 dugi ka 65535, sareng anjeun tiasa ngarobih jumlah percobaan deui ka nilai tina 0 dugi ka 255.

Catetan

Pikeun VPN angkutan, interval deteksi liveness dirobih kana detik nganggo rumus ieu: Interval pikeun usaha pangiriman ulang N = interval * 1.8N-1For example, lamun interval disetel ka 10 jeung retries ka 5, interval deteksi naek saperti kieu:

  • Usaha 1: 10 * 1.81-1 = 10 detik
  • usaha 2: 10 * 1.82-1 = 18 detik
  • usaha 3: 10 * 1.83-1 = 32.4 detik
  • usaha 4: 10 * 1.84-1 = 58.32 detik
  • usaha 5: 10 * 1.85-1 = 104.976 detik

vEdge(config-antarmuka-ipsecnumber)# angka ulangan interval deteksi-peer-deteksi maot

Ngonpigurasikeun Pasipatan Interface lianna

Pikeun panganteur torowongan IPsec, anjeun ngan bisa ngonpigurasikeun sipat panganteur tambahan di handap ieu:

  • vEdge(config-interface-ipsec)# mtu bait
  • vEdge(config-interface-ipsec)# tcp-mss-saluyukeun bait

Nonaktipkeun Algoritma Énkripsi SSH Lemah dina Manajer Cisco SD-WAN

meja 5: Fitur Sajarah Table

Fitur Ngaran Émbaran release Fitur Katerangan
Nonaktipkeun Algoritma Énkripsi SSH Lemah dina Manajer Cisco SD-WAN Cisco vManage Release 20.9.1 fitur ieu ngidinan Anjeun pikeun nganonaktipkeun algoritma SSH lemah dina Cisco SD-WAN Manajer nu bisa jadi teu sasuai jeung standar kaamanan data tangtu.

Émbaran Ngeunaan nganonaktipkeun Algoritma Enkripsi SSH Lemah on Cisco SD-WAN Manajer
Cisco SD-WAN Manajer nyadiakeun klien SSH pikeun komunikasi sareng komponenana dina jaringan, kaasup controller jeung alat ujung. SSH klien nyadiakeun sambungan énkripsi pikeun mindahkeun data aman, dumasar kana rupa-rupa algoritma enkripsi. Seueur organisasi ngabutuhkeun énkripsi anu langkung kuat tibatan anu disayogikeun ku SHA-1, AES-128, sareng AES-192. Ti Cisco vManage Release 20.9.1, anjeun tiasa nganonaktipkeun algoritma enkripsi anu langkung lemah ku kituna klien SSH henteu nganggo algoritma ieu:

  • SHA-1
  • AES-128
  • AES-192

Sateuacan nganonaktipkeun algoritma enkripsi ieu, pastikeun yén alat Cisco vEdge, lamun aya, dina jaringan, ngagunakeun release software engké ti Cisco SD-WAN Release 18.4.6.

Mangpaat nganonaktipkeun Algoritma Enkripsi SSH Lemah dina Manajer Cisco SD-WAN
Nganonaktipkeun algoritma enkripsi SSH lemah ngaronjatkeun kaamanan komunikasi SSH, sarta ensures yén organisasi maké Cisco katalis SD-WAN anu patuh kana peraturan kaamanan ketat.

Nonaktipkeun Algoritma Enkripsi SSH Lemah dina Cisco SD-WAN Manajer Ngagunakeun CLI

  1. Tina menu Manajer Cisco SD-WAN, pilih Alat> Terminal SSH.
  2. Pilih alat Cisco SD-WAN Manager dimana anjeun badé nganonaktipkeun algoritma SSH anu langkung lemah.
  3. Asupkeun ngaran pamaké sarta sandi pikeun log in ka alat.
  4. Lebetkeun mode server SSH.
    • vmanage (config) # sistem
    • vmanage (config-sistem) # ssh-server
  5. Laksanakeun salah sahiji ieu pikeun nganonaktipkeun algoritma enkripsi SSH:
    • Nonaktipkeun SHA-1:
  6. ngatur (config-ssh-server) # euweuh kex-algo sha1
  7. ngatur (config-ssh-server) # komitmen
    Pesen peringatan di handap ieu dipintonkeun: Peringatan di handap ieu dihasilkeun: 'Sistem ssh-server kex-algo sha1': PERHATOSAN: Mangga pastikeun sadaya sisi anjeun ngajalankeun versi kode> 18.4.6 nu negotiates hadé ti SHA1 kalawan vManage. Upami teu kitu eta edges bisa jadi offline. Teraskeun? [enya, henteu] enya
    • Mastikeun yén sagala alat Cisco vEdge dina jaringan ngajalankeun Cisco SD-WAN Release 18.4.6 atanapi engké terus asupkeun enya.
    • Nonaktipkeun AES-128 sareng AES-192:
    • vmanage (config-ssh-server) # euweuh cipher aes-128-192
    • vmanage (config-ssh-server) # komitmen
      Pesen peringatan di handap ieu dipintonkeun:
      Peringatan di handap ieu dihasilkeun:
      'Sistem ssh-server cipher aes-128-192': PERHATOSAN: Mangga mastikeun sakabeh edges Anjeun ngajalankeun versi kode> 18.4.6 nu negotiates hadé ti AES-128-192 kalawan vManage. Upami teu kitu eta edges bisa jadi offline. Teraskeun? [enya, henteu] enya
    • Mastikeun yén sagala alat Cisco vEdge dina jaringan ngajalankeun Cisco SD-WAN Release 18.4.6 atanapi engké terus asupkeun enya.

Pariksa yén Algoritma Énkripsi SSH Lemah Ditumpurkeun dina Manajer Cisco SD-WAN Nganggo CLI

  1. Tina menu Manajer Cisco SD-WAN, pilih Alat> Terminal SSH.
  2. Pilih alat Cisco SD-WAN Manager anu anjeun hoyong pariksa.
  3. Asupkeun ngaran pamaké sarta sandi pikeun log in ka alat.
  4. Jalankeun paréntah di handap ieu: nunjukkeun sistem ssh-server ngajalankeun-config
  5. Pastikeun yén kaluaran nunjukkeun hiji atanapi langkung paréntah anu nganonaktipkeun algoritma enkripsi anu langkung lemah:
    • euweuh cipher aes-128-192
    • euweuh kex-algo sha1

Dokumén / Sumberdaya

CISCO SD-WAN Konpigurasikeun Parameter Kaamanan [pdf] Pituduh pamaké
SD-WAN Konpigurasikeun Parameter Kaamanan, SD-WAN, Konpigurasikeun Parameter Kaamanan, Parameter Kaamanan

Rujukan

Ninggalkeun komentar

alamat surélék anjeun moal diterbitkeun. Widang diperlukeun ditandaan *