CISCO SD-WAN பாதுகாப்பு அளவுருக்களை உள்ளமைக்கவும்

பாதுகாப்பு அளவுருக்களை உள்ளமைக்கவும்

குறிப்பு

எளிமைப்படுத்தல் மற்றும் நிலைத்தன்மையை அடைய, Cisco SD-WAN தீர்வு Cisco Catalyst SD-WAN என மறுபெயரிடப்பட்டது. கூடுதலாக, Cisco IOS XE SD-WAN வெளியீடு 17.12.1a மற்றும் Cisco Catalyst SD-WAN வெளியீடு 20.12.1 இலிருந்து, பின்வரும் கூறு மாற்றங்கள் பொருந்தும்: Cisco vManage முதல் Cisco Catalyst SD-WAN மேலாளர், Cisco vAnalytics to CiscoWANLIST Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator, மற்றும் Cisco vSmart to Cisco Catalyst SD-WAN கண்ட்ரோலர். அனைத்து கூறுகளின் பிராண்ட் பெயர் மாற்றங்களின் விரிவான பட்டியலுக்கு சமீபத்திய வெளியீட்டு குறிப்புகளைப் பார்க்கவும். நாங்கள் புதிய பெயர்களுக்கு மாறும்போது, ​​மென்பொருள் தயாரிப்பின் பயனர் இடைமுகப் புதுப்பிப்புகளை படிப்படியாக அணுகுவதால், ஆவணத் தொகுப்பில் சில முரண்பாடுகள் இருக்கலாம்.

Cisco Catalyst SD-WAN மேலடுக்கு நெட்வொர்க்கில் உள்ள கட்டுப்பாட்டு விமானம் மற்றும் தரவு விமானத்திற்கான பாதுகாப்பு அளவுருக்களை எவ்வாறு மாற்றுவது என்பதை இந்தப் பிரிவு விவரிக்கிறது.

• கண்ட்ரோல் பிளேன் பாதுகாப்பு அளவுருக்களை உள்ளமைக்கவும்
• டேட்டா பிளேன் பாதுகாப்பு அளவுருக்களை உள்ளமைக்கவும்
• IKE-இயக்கப்பட்ட IPsec டன்னல்களை உள்ளமைக்கவும்
• சிஸ்கோ SD-WAN மேலாளரில் பலவீனமான SSH குறியாக்க அல்காரிதம்களை முடக்கு

கட்டுப்பாட்டு விமான பாதுகாப்பு அளவுருக்களை உள்ளமைக்கவும்

இயல்பாக, கட்டுப்பாட்டு விமானம் DTLS ஐ அதன் அனைத்து சுரங்கங்களிலும் தனியுரிமை வழங்கும் நெறிமுறையாகப் பயன்படுத்துகிறது. DTLS UDPயை விட இயங்குகிறது. TCP இல் இயங்கும் கட்டுப்பாட்டு விமான பாதுகாப்பு நெறிமுறையை TLSக்கு மாற்றலாம். TLS ஐப் பயன்படுத்துவதற்கான முதன்மைக் காரணம், நீங்கள் Cisco SD-WAN கன்ட்ரோலரை ஒரு சேவையகமாகக் கருதினால், UDP சர்வர்களை விட ஃபயர்வால்கள் TCP சேவையகங்களைப் பாதுகாக்கும். நீங்கள் Cisco SD-WAN கன்ட்ரோலரில் கட்டுப்பாட்டு விமான சுரங்கப்பாதை நெறிமுறையை உள்ளமைக்கிறீர்கள்: vSmart(config)# பாதுகாப்பு கட்டுப்பாட்டு நெறிமுறை tls இந்த மாற்றத்துடன், Cisco SD-WAN கன்ட்ரோலர் மற்றும் ரவுட்டர்கள் மற்றும் Cisco SD-WAN கன்ட்ரோலருக்கு இடையே உள்ள அனைத்து கட்டுப்பாட்டு விமான சுரங்கங்களும் மற்றும் சிஸ்கோ SD-WAN மேலாளர் TLS ஐப் பயன்படுத்துகின்றனர். Cisco Catalyst SD-WAN வேலிடேட்டருக்கான கண்ட்ரோல் ப்ளேன் டன்னல்கள் எப்போதும் DTLSஐப் பயன்படுத்துகின்றன, ஏனெனில் இந்த இணைப்புகள் UDP ஆல் கையாளப்பட வேண்டும். பல Cisco SD-WAN கன்ட்ரோலர்கள் உள்ள டொமைனில், சிஸ்கோ SD-WAN கன்ட்ரோலர்களில் ஒன்றில் TLSஐ உள்ளமைக்கும்போது, ​​அந்த கன்ட்ரோலரிலிருந்து மற்ற கன்ட்ரோலர்கள் வரை அனைத்து கட்டுப்பாட்டு விமான சுரங்கங்களும் TLSஐப் பயன்படுத்துகின்றன. மற்றொரு வழியில், டிஎல்எஸ் எப்பொழுதும் டிடிஎல்எஸ்ஸை விட முன்னுரிமை பெறுகிறது. இருப்பினும், மற்ற Cisco SD-WAN கன்ட்ரோலர்களின் பார்வையில், நீங்கள் TLSஐ அவற்றில் உள்ளமைக்கவில்லை எனில், அந்த ஒரு Cisco SD-WAN கன்ட்ரோலருக்கு மட்டுமே TLSஐப் பயன்படுத்துகின்றனர், மேலும் அவை மற்ற அனைத்திற்கும் DTLS டன்னல்களைப் பயன்படுத்துகின்றன. சிஸ்கோ SD-WAN கன்ட்ரோலர்கள் மற்றும் அவற்றுடன் இணைக்கப்பட்ட அனைத்து திசைவிகளுக்கும். அனைத்து Cisco SD-WAN கன்ட்ரோலர்களும் TLS ஐப் பயன்படுத்த, அவை அனைத்திலும் உள்ளமைக்கவும். இயல்பாக, சிஸ்கோ SD-WAN கன்ட்ரோலர் TLS கோரிக்கைகளுக்கு போர்ட் 23456 இல் கேட்கிறது. இதை மாற்ற: vSmart(config)# security control tls-port எண் போர்ட் என்பது 1025 முதல் 65535 வரையிலான எண்ணாக இருக்கலாம். கட்டுப்பாட்டு விமானத்தின் பாதுகாப்புத் தகவலைக் காட்ட, Cisco SD-WAN கன்ட்ரோலரில் ஷோ கண்ட்ரோல் இணைப்புகள் கட்டளையைப் பயன்படுத்தவும். உதாரணமாகample: vSmart-2# கட்டுப்பாட்டு இணைப்புகளைக் காட்டு

சிஸ்கோ SD-WAN மேலாளரில் DTLSஐ உள்ளமைக்கவும்

Cisco SD-WAN மேலாளரை TLS ஐ கட்டுப்பாட்டு விமான பாதுகாப்பு நெறிமுறையாகப் பயன்படுத்த நீங்கள் கட்டமைத்தால், உங்கள் NAT இல் போர்ட் பகிர்தலை இயக்க வேண்டும். நீங்கள் DTLS ஐ கட்டுப்பாட்டு விமான பாதுகாப்பு நெறிமுறையாகப் பயன்படுத்தினால், நீங்கள் எதுவும் செய்ய வேண்டியதில்லை. சிஸ்கோ SD-WAN மேலாளரில் இயங்கும் vdaemon செயல்முறைகளின் எண்ணிக்கையைப் பொறுத்து அனுப்பப்படும் போர்ட்களின் எண்ணிக்கை. இந்த செயல்முறைகள் பற்றிய தகவலைக் காண்பிக்க மற்றும் அனுப்பப்படும் போர்ட்களின் எண்ணிக்கையைப் பயன்படுத்த, நான்கு டீமான் செயல்முறைகள் இயங்குகின்றன என்பதைக் காட்டும் ஷோ கன்ட்ரோல் சுருக்கக் கட்டளையைப் பயன்படுத்தவும்:

கேட்கும் போர்ட்களைப் பார்க்க, ஷோ கன்ட்ரோல் லோக்கல்-பண்புகள் கட்டளையைப் பயன்படுத்தவும்: vManage# show control local-properties

இந்த வெளியீடு கேட்கும் TCP போர்ட் 23456 என்பதைக் காட்டுகிறது. நீங்கள் NATக்குப் பின்னால் Cisco SD-WAN மேலாளரை இயக்கினால், NAT சாதனத்தில் பின்வரும் போர்ட்களைத் திறக்க வேண்டும்:

• 23456 (அடிப்படை - உதாரணம் 0 போர்ட்)
• 23456 + 100 (அடிப்படை + 100)
• 23456 + 200 (அடிப்படை + 200)
• 23456 + 300 (அடிப்படை + 300)

Cisco SD-WAN மேலாளருக்காக நீங்கள் ஒதுக்கியுள்ள கோர்களின் எண்ணிக்கையும், அதிகபட்சம் 8 வரையிலான நிகழ்வுகளின் எண்ணிக்கையும் ஒரே மாதிரியாக இருக்கும் என்பதை நினைவில் கொள்ளவும்.

பாதுகாப்பு அம்ச டெம்ப்ளேட்டைப் பயன்படுத்தி பாதுகாப்பு அளவுருக்களை உள்ளமைக்கவும்

அனைத்து Cisco vEdge சாதனங்களுக்கும் பாதுகாப்பு அம்ச டெம்ப்ளேட்டைப் பயன்படுத்தவும். எட்ஜ் ரவுட்டர்கள் மற்றும் சிஸ்கோ SD-WAN வேலிடேட்டரில், டேட்டா பிளேன் பாதுகாப்பிற்காக IPsec ஐ உள்ளமைக்க இந்த டெம்ப்ளேட்டைப் பயன்படுத்தவும். Cisco SD-WAN மேலாளர் மற்றும் Cisco SD-WAN கன்ட்ரோலரில், கட்டுப்பாட்டு விமானப் பாதுகாப்பிற்காக DTLS அல்லது TLS ஐ உள்ளமைக்க பாதுகாப்பு அம்ச டெம்ப்ளேட்டைப் பயன்படுத்தவும்.

பாதுகாப்பு அளவுருக்களை உள்ளமைக்கவும்

1. Cisco SD-WAN மேலாளர் மெனுவிலிருந்து, கட்டமைப்பு > டெம்ப்ளேட்களைத் தேர்ந்தெடுக்கவும்.
2. அம்ச டெம்ப்ளேட்களைக் கிளிக் செய்து, டெம்ப்ளேட்டைச் சேர் என்பதைக் கிளிக் செய்யவும்.
   குறிப்பு சிஸ்கோ vManage வெளியீடு 20.7.1 மற்றும் முந்தைய வெளியீடுகளில், அம்ச டெம்ப்ளேட்கள் அம்சம் என்று அழைக்கப்படுகின்றன.
3. இடது பலகத்தில் உள்ள சாதனங்கள் பட்டியலில், ஒரு சாதனத்தைத் தேர்ந்தெடுக்கவும். தேர்ந்தெடுக்கப்பட்ட சாதனத்திற்குப் பொருந்தக்கூடிய டெம்ப்ளேட்கள் வலது பலகத்தில் தோன்றும்.
4. டெம்ப்ளேட்டைத் திறக்க பாதுகாப்பு என்பதைக் கிளிக் செய்யவும்.
5. டெம்ப்ளேட் பெயர் புலத்தில், டெம்ப்ளேட்டுக்கான பெயரை உள்ளிடவும். பெயர் 128 எழுத்துகள் வரை இருக்கலாம் மற்றும் எண்ணெழுத்து எழுத்துக்களை மட்டுமே கொண்டிருக்கும்.
6. டெம்ப்ளேட் விளக்கம் புலத்தில், டெம்ப்ளேட்டின் விளக்கத்தை உள்ளிடவும். விளக்கம் 2048 எழுத்துகள் வரை இருக்கலாம் மற்றும் எண்ணெழுத்து எழுத்துக்களை மட்டுமே கொண்டிருக்க முடியும்.

நீங்கள் முதலில் ஒரு அம்ச டெம்ப்ளேட்டைத் திறக்கும்போது, ​​இயல்புநிலை மதிப்பைக் கொண்டிருக்கும் ஒவ்வொரு அளவுருவிற்கும், ஸ்கோப் இயல்புநிலைக்கு அமைக்கப்படும் (செக்மார்க் மூலம் குறிக்கப்படும்), மேலும் இயல்புநிலை அமைப்பு அல்லது மதிப்பு காட்டப்படும். இயல்புநிலையை மாற்ற அல்லது மதிப்பை உள்ளிட, அளவுரு புலத்தின் இடதுபுறத்தில் உள்ள ஸ்கோப் கீழ்தோன்றும் மெனுவைக் கிளிக் செய்து பின்வருவனவற்றில் ஒன்றைத் தேர்ந்தெடுக்கவும்:

அட்டவணை 1:

அளவுரு நோக்கம்

நோக்கம் விளக்கம்

குறிப்பிட்ட சாதனம் (ஹோஸ்ட் ஐகானால் குறிக்கப்படுகிறது)

அளவுருவிற்கு சாதனம் சார்ந்த மதிப்பைப் பயன்படுத்தவும். சாதனம் சார்ந்த அளவுருக்களுக்கு, அம்ச டெம்ப்ளேட்டில் மதிப்பை உள்ளிட முடியாது. விப்டெலா சாதனத்தை சாதன டெம்ப்ளேட்டுடன் இணைக்கும்போது மதிப்பை உள்ளிடவும். நீங்கள் குறிப்பிட்ட சாதனத்தைக் கிளிக் செய்தால், Enter விசை பெட்டி திறக்கும். இந்த பெட்டி ஒரு விசையைக் காட்டுகிறது, இது ஒரு CSV இல் உள்ள அளவுருவை அடையாளம் காட்டும் தனித்துவமான சரமாகும் file நீங்கள் உருவாக்குவது. இது file ஒவ்வொரு விசைக்கும் ஒரு நெடுவரிசையைக் கொண்டிருக்கும் எக்செல் விரிதாள் ஆகும். தலைப்பு வரிசையில் முக்கிய பெயர்கள் உள்ளன (ஒரு நெடுவரிசைக்கு ஒரு விசை), அதன் பிறகு ஒவ்வொரு வரிசையும் ஒரு சாதனத்துடன் தொடர்புடையது மற்றும் அந்த சாதனத்திற்கான விசைகளின் மதிப்புகளை வரையறுக்கிறது. நீங்கள் CSV ஐப் பதிவேற்றுகிறீர்கள் file விப்டெலா சாதனத்தை சாதன டெம்ப்ளேட்டுடன் இணைக்கும்போது. மேலும் தகவலுக்கு, டெம்ப்ளேட் மாறிகள் விரிதாளை உருவாக்கு என்பதைப் பார்க்கவும். இயல்புநிலை விசையை மாற்ற, ஒரு புதிய சரத்தை தட்டச்சு செய்து, கர்சரை Enter Key பெட்டியில் இருந்து நகர்த்தவும். Exampகணினி ஐபி முகவரி, ஹோஸ்ட்பெயர், ஜிபிஎஸ் இருப்பிடம் மற்றும் தள ஐடி ஆகியவை சாதனம் சார்ந்த அளவுருக்கள் ஆகும்.

அளவுரு நோக்கம்	நோக்கம் விளக்கம்
குளோபல் (குளோப் ஐகானால் குறிக்கப்படுகிறது)	அளவுருவிற்கு ஒரு மதிப்பை உள்ளிடவும், மேலும் அந்த மதிப்பை எல்லா சாதனங்களுக்கும் பயன்படுத்தவும். Exampடிஎன்எஸ் சர்வர், சிஸ்லாக் சர்வர் மற்றும் இன்டர்ஃபேஸ் எம்டியுக்கள் ஆகியவை சாதனங்களின் குழுவிற்கு உலகளவில் நீங்கள் பயன்படுத்தக்கூடிய அளவுருக்கள்.

கட்டுப்பாட்டு விமானத்தின் பாதுகாப்பை உள்ளமைக்கவும்

குறிப்பு
Cisco SD-WAN மேலாளர் மற்றும் Cisco SD-WAN கன்ட்ரோலருக்கு மட்டுமே Cisco SD-WAN மேனேஜர் அல்லது Cisco SD-WAN கன்ட்ரோலரில் கன்ட்ரோல் பிளேன் இணைப்பு நெறிமுறையை உள்ளமைக்க, கன்ட்ரோல் பிளேன் செக்யூரிட்டியை உள்ளமைக்கவும், அடிப்படை உள்ளமைவு பகுதியைத் தேர்வு செய்யவும். மற்றும் பின்வரும் அளவுருக்களை உள்ளமைக்கவும்:

அட்டவணை 2:

அளவுரு பெயர்	விளக்கம்
நெறிமுறை	Cisco SD-WAN கன்ட்ரோலருக்கான கட்டுப்பாட்டு விமான இணைப்புகளில் பயன்படுத்துவதற்கான நெறிமுறையைத் தேர்வு செய்யவும்: • DTLS (டாtagராம் போக்குவரத்து அடுக்கு பாதுகாப்பு). இதுதான் இயல்புநிலை. • TLS (போக்குவரத்து அடுக்கு பாதுகாப்பு)
TLS போர்ட்டைக் கட்டுப்படுத்தவும்	நீங்கள் TLSஐத் தேர்ந்தெடுத்தால், பயன்படுத்த போர்ட் எண்ணை உள்ளமைக்கவும்:வரம்பு: 1025 முதல் 65535 வரைஇயல்புநிலை: 23456

சேமி என்பதைக் கிளிக் செய்யவும்

டேட்டா பிளேன் பாதுகாப்பை உள்ளமைக்கவும்
சிஸ்கோ SD-WAN வேலிடேட்டர் அல்லது சிஸ்கோ vEdge ரூட்டரில் டேட்டா பிளேன் பாதுகாப்பை உள்ளமைக்க, அடிப்படை உள்ளமைவு மற்றும் அங்கீகார வகை தாவல்களைத் தேர்ந்தெடுத்து, பின்வரும் அளவுருக்களை உள்ளமைக்கவும்:

அட்டவணை 3:

அளவுரு பெயர்	விளக்கம்
ரெக்கி நேரம்	Cisco vEdge திசைவி, Cisco SD-WAN கன்ட்ரோலருடன் அதன் பாதுகாப்பான DTLS இணைப்பில் பயன்படுத்தப்படும் AES விசையை எவ்வளவு அடிக்கடி மாற்றுகிறது என்பதைக் குறிப்பிடவும். OMP க்ரேஸ்ஃபுல் ரீஸ்டார்ட் இயக்கப்பட்டிருந்தால், மறுபதிப்பு நேரம் OMP க்ரேஸ்ஃபுல் ரீஸ்டார்ட் டைமரின் மதிப்பை விட இரண்டு மடங்கு அதிகமாக இருக்க வேண்டும்.வரம்பு: 10 முதல் 1209600 வினாடிகள் (14 நாட்கள்)இயல்புநிலை: 86400 வினாடிகள் (24 மணிநேரம்)
ரீப்ளே விண்டோ	ஸ்லைடிங் ரீப்ளே விண்டோவின் அளவைக் குறிப்பிடவும். மதிப்புகள்: 64, 128, 256, 512, 1024, 2048, 4096, 8192 பாக்கெட்டுகள்இயல்புநிலை: 512 பாக்கெட்டுகள்
ஐபிசெக் ஜோடி-விசை	இது இயல்பாகவே அணைக்கப்படும். கிளிக் செய்யவும் On அதை இயக்க.

அளவுரு பெயர்

விளக்கம்

அங்கீகார வகை

இலிருந்து அங்கீகார வகைகளைத் தேர்ந்தெடுக்கவும் அங்கீகாரம் பட்டியல், மற்றும் அங்கீகார வகைகளை நகர்த்த வலதுபுறம் சுட்டிக்காட்டும் அம்புக்குறியைக் கிளிக் செய்யவும் தேர்ந்தெடுக்கப்பட்ட பட்டியல் நெடுவரிசை. சிஸ்கோ SD-WAN வெளியீடு 20.6.1 இலிருந்து ஆதரிக்கப்படும் அங்கீகார வகைகள்: •  esp: ESP தலைப்பில் என்காப்சுலேட்டிங் செக்யூரிட்டி பேலோட் (ESP) என்க்ரிப்ஷன் மற்றும் ஒருமைப்பாடு சரிபார்ப்பை செயல்படுத்துகிறது. •  ip-udp-esp: ESP குறியாக்கத்தை இயக்குகிறது. ESP தலைப்பு மற்றும் பேலோடில் உள்ள ஒருமைப்பாடு காசோலைகளுக்கு கூடுதலாக, காசோலைகளில் வெளிப்புற IP மற்றும் UDP தலைப்புகளும் அடங்கும். •  ip-udp-esp-no-id: ஐபி ஹெடரில் உள்ள ஐடி புலத்தை புறக்கணிக்கிறது, இதனால் சிஸ்கோ கேடலிஸ்ட் எஸ்டி-வான் சிஸ்கோ அல்லாத சாதனங்களுடன் இணைந்து செயல்பட முடியும். •  எதுவும் இல்லை: IPSec பாக்கெட்டுகளில் ஒருமைப்பாட்டை சரிபார்க்கிறது. இந்த விருப்பத்தைப் பயன்படுத்த நாங்கள் பரிந்துரைக்கவில்லை.   சிஸ்கோ SD-WAN வெளியீடு 20.5.1 மற்றும் அதற்கு முந்தையவற்றில் ஆதரிக்கப்படும் அங்கீகார வகைகள்: •  ah-no-id: பாக்கெட்டின் வெளிப்புற IP தலைப்பில் உள்ள ஐடி புலத்தை புறக்கணிக்கும் AH-SHA1 HMAC மற்றும் ESP HMAC-SHA1 இன் மேம்படுத்தப்பட்ட பதிப்பை இயக்கவும். •  ah-sha1-hmac: AH-SHA1 HMAC மற்றும் ESP HMAC-SHA1 ஐ இயக்கவும். •  எதுவும் இல்லை: அங்கீகாரம் இல்லை என்பதைத் தேர்ந்தெடுக்கவும். •  sha1-hmac: ESP HMAC-SHA1 ஐ இயக்கவும்.   குறிப்பு              சிஸ்கோ SD-WAN வெளியீடு 20.5.1 அல்லது அதற்கு முந்தைய பதிப்பில் இயங்கும் எட்ஜ் சாதனத்திற்கு, நீங்கள் அங்கீகார வகைகளைப் பயன்படுத்தி உள்ளமைத்திருக்கலாம் பாதுகாப்பு டெம்ப்ளேட். நீங்கள் சாதனத்தை சிஸ்கோ SD-WAN வெளியீடு 20.6.1 அல்லது அதற்குப் பிறகு மேம்படுத்தும் போது, ​​தேர்ந்தெடுக்கப்பட்ட அங்கீகார வகைகளைப் புதுப்பிக்கவும் பாதுகாப்பு சிஸ்கோ SD-WAN வெளியீடு 20.6.1 இலிருந்து ஆதரிக்கப்படும் அங்கீகார வகைகளுக்கான டெம்ப்ளேட். அங்கீகார வகைகளைப் புதுப்பிக்க, பின்வருவனவற்றைச் செய்யுங்கள்: 1.      Cisco SD-WAN மேலாளர் மெனுவிலிருந்து, தேர்வு செய்யவும் கட்டமைப்பு > வார்ப்புருக்கள். 2.      கிளிக் செய்யவும் அம்ச வார்ப்புருக்கள். 3.      கண்டுபிடிக்க பாதுகாப்பு டெம்ப்ளேட்டை புதுப்பிக்கவும் மற்றும் கிளிக் செய்யவும் ... மற்றும் கிளிக் செய்யவும் திருத்தவும். 4.      கிளிக் செய்யவும் புதுப்பிக்கவும். எந்த உள்ளமைவையும் மாற்ற வேண்டாம். சிஸ்கோ SD-WAN மேலாளர் புதுப்பிக்கிறார் பாதுகாப்பு ஆதரிக்கப்படும் அங்கீகார வகைகளைக் காட்ட டெம்ப்ளேட்.

சேமி என்பதைக் கிளிக் செய்யவும்.

டேட்டா பிளேன் பாதுகாப்பு அளவுருக்களை உள்ளமைக்கவும்

தரவுத்தளத்தில், அனைத்து ரவுட்டர்களிலும் IPsec முன்னிருப்பாக இயக்கப்படுகிறது, மேலும் முன்னிருப்பாக IPsec டன்னல் இணைப்புகள் IPsec டன்னல்களில் அங்கீகாரத்திற்காக என்காப்சுலேட்டிங் செக்யூரிட்டி பேலோட் (ESP) நெறிமுறையின் மேம்படுத்தப்பட்ட பதிப்பைப் பயன்படுத்துகின்றன. ரவுட்டர்களில், நீங்கள் அங்கீகார வகை, IPsec rekeying டைமர் மற்றும் IPsec எதிர்ப்பு மறுபரிசீலனை சாளரத்தின் அளவை மாற்றலாம்.

அனுமதிக்கப்பட்ட அங்கீகார வகைகளை உள்ளமைக்கவும்

சிஸ்கோ SD-WAN வெளியீடு 20.6.1 மற்றும் அதற்குப் பிறகு உள்ள அங்கீகார வகைகள்
Cisco SD-WAN வெளியீடு 20.6.1 இலிருந்து, பின்வரும் ஒருமைப்பாடு வகைகள் ஆதரிக்கப்படுகின்றன:

• esp: இந்த விருப்பம் ESP ஹெடரில் Encapsulating Security Payload (ESP) என்க்ரிப்ஷன் மற்றும் ஒருமைப்பாடு சரிபார்ப்பை செயல்படுத்துகிறது.
• ip-udp-esp: இந்த விருப்பம் ESP குறியாக்கத்தை செயல்படுத்துகிறது. ESP தலைப்பு மற்றும் பேலோடில் உள்ள ஒருமைப்பாடு காசோலைகளுக்கு கூடுதலாக, காசோலைகளில் வெளிப்புற IP மற்றும் UDP தலைப்புகளும் அடங்கும்.
• ip-udp-esp-no-id: இந்த விருப்பம் ip-udp-esp ஐப் போன்றது, இருப்பினும், வெளிப்புற IP தலைப்பின் ஐடி புலம் புறக்கணிக்கப்படுகிறது. சிஸ்கோ கேடலிஸ்ட் எஸ்டி-வான் மென்பொருளானது ஐபி ஹெடரில் உள்ள ஐடி புலத்தை புறக்கணிக்க ஒருமைப்பாடு வகைகளின் பட்டியலில் இந்த விருப்பத்தை உள்ளமைக்கவும், இதனால் சிஸ்கோ கேடலிஸ்ட் எஸ்டி-வான் சிஸ்கோ அல்லாத சாதனங்களுடன் இணைந்து செயல்பட முடியும்.
• எதுவும் இல்லை: இந்த விருப்பம் IPSec பாக்கெட்டுகளில் ஒருமைப்பாட்டை சரிபார்க்கிறது. இந்த விருப்பத்தைப் பயன்படுத்த நாங்கள் பரிந்துரைக்கவில்லை.

முன்னிருப்பாக, IPsec டன்னல் இணைப்புகள் அங்கீகாரத்திற்காக என்காப்சுலேட்டிங் செக்யூரிட்டி பேலோட் (ESP) நெறிமுறையின் மேம்படுத்தப்பட்ட பதிப்பைப் பயன்படுத்துகின்றன. பேச்சுவார்த்தை நடத்தப்பட்ட இடைநிலை வகைகளை மாற்ற அல்லது ஒருமைப்பாடு சரிபார்ப்பை முடக்க, பின்வரும் கட்டளையைப் பயன்படுத்தவும்: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

சிஸ்கோ SD-WAN வெளியீட்டிற்கு முன் அங்கீகார வகைகள் 20.6.1
முன்னிருப்பாக, IPsec டன்னல் இணைப்புகள் அங்கீகாரத்திற்காக என்காப்சுலேட்டிங் செக்யூரிட்டி பேலோட் (ESP) நெறிமுறையின் மேம்படுத்தப்பட்ட பதிப்பைப் பயன்படுத்துகின்றன. பேச்சுவார்த்தை நடத்தப்பட்ட அங்கீகார வகைகளை மாற்ற அல்லது அங்கீகாரத்தை முடக்க, பின்வரும் கட்டளையைப் பயன்படுத்தவும்: Device(config)# பாதுகாப்பு ipsec அங்கீகார-வகை (ah-sha1-hmac | ah-no-id | sha1-hmac | | இல்லை) முன்னிருப்பாக, IPsec சுரங்கப்பாதை இணைப்புகள் AES-GCM-256 ஐப் பயன்படுத்துகின்றன, இது குறியாக்கம் மற்றும் அங்கீகாரம் இரண்டையும் வழங்குகிறது. ஒவ்வொரு அங்கீகார வகையையும் தனித்தனி பாதுகாப்பு ipsec அங்கீகார-வகை கட்டளையுடன் கட்டமைக்கவும். கட்டளை விருப்பங்கள் பின்வரும் அங்கீகார வகைகளுக்கு வரைபடம், அவை மிகவும் வலுவானது முதல் குறைந்த வலிமையானது வரை பட்டியலிடப்பட்டுள்ளது:

குறிப்பு
கட்டமைப்பு விருப்பங்களில் உள்ள sha1 வரலாற்று காரணங்களுக்காக பயன்படுத்தப்படுகிறது. அங்கீகரிப்பு விருப்பங்கள் எவ்வளவு பாக்கெட் ஒருமைப்பாடு சரிபார்ப்பு செய்யப்படுகிறது என்பதைக் குறிக்கிறது. ஒருமைப்பாட்டைச் சரிபார்க்கும் அல்காரிதத்தை அவர்கள் குறிப்பிடவில்லை. மல்டிகாஸ்ட் டிராஃபிக்கின் குறியாக்கத்தைத் தவிர, சிஸ்கோ கேடலிஸ்ட் SD WAN ஆல் ஆதரிக்கப்படும் அங்கீகார வழிமுறைகள் SHA1 ஐப் பயன்படுத்தாது. இருப்பினும் சிஸ்கோ SD-WAN வெளியீடு 20.1.x மற்றும் அதற்குப் பிறகு, யூனிகாஸ்ட் மற்றும் மல்டிகாஸ்ட் இரண்டும் SHA1 ஐப் பயன்படுத்துவதில்லை.

• ah-sha1-hmac ESP ஐப் பயன்படுத்தி என்க்ரிப்ஷன் மற்றும் என்கேப்சுலேஷனை செயல்படுத்துகிறது. இருப்பினும், ESP தலைப்பு மற்றும் பேலோடில் உள்ள ஒருமைப்பாடு காசோலைகளுக்கு கூடுதலாக, காசோலைகளில் வெளிப்புற IP மற்றும் UDP தலைப்புகளும் அடங்கும். எனவே, அங்கீகாரத் தலைப்பு (AH) நெறிமுறையைப் போன்றே பாக்கெட்டின் ஒருமைப்பாடு சரிபார்ப்பை இந்த விருப்பம் ஆதரிக்கிறது. அனைத்து ஒருமைப்பாடு மற்றும் குறியாக்கம் AES-256-GCM ஐப் பயன்படுத்தி செய்யப்படுகிறது.
• ah-no-id ஆனது ah-sha1-hmac ஐப் போன்ற ஒரு பயன்முறையை செயல்படுத்துகிறது, இருப்பினும், வெளிப்புற IP ஹெடரின் ஐடி புலம் புறக்கணிக்கப்படுகிறது. இந்த விருப்பம் ஆப்பிள் ஏர்போர்ட் எக்ஸ்பிரஸ் NAT உட்பட சில சிஸ்கோ கேடலிஸ்ட் அல்லாத SD-WAN சாதனங்களுக்கு இடமளிக்கிறது, இது IP ஹெடரில் உள்ள ஐடி புலத்தை மாற்றியமைக்கக்கூடிய பிழையை ஏற்படுத்துகிறது. Cisco Catalyst SD-WAN AH மென்பொருளானது IP தலைப்பில் உள்ள ID புலத்தை புறக்கணிக்க, அங்கீகார வகைகளின் பட்டியலில் ah-no-id விருப்பத்தை உள்ளமைக்கவும், இதனால் Cisco Catalyst SD-WAN மென்பொருள் இந்த சாதனங்களுடன் இணைந்து செயல்பட முடியும்.
• sha1-hmac ESP குறியாக்கம் மற்றும் ஒருமைப்பாடு சரிபார்ப்பை செயல்படுத்துகிறது.
• எந்த அங்கீகாரத்திற்கும் வரைபடங்கள் இல்லை. இந்த விருப்பம் தற்காலிக பிழைத்திருத்தத்திற்கு தேவைப்பட்டால் மட்டுமே பயன்படுத்தப்பட வேண்டும். தரவு விமான அங்கீகாரம் மற்றும் ஒருமைப்பாடு கவலை இல்லாத சூழ்நிலைகளிலும் இந்த விருப்பத்தை நீங்கள் தேர்வு செய்யலாம். உற்பத்தி நெட்வொர்க்குகளுக்கு இந்த விருப்பத்தைப் பயன்படுத்த சிஸ்கோ பரிந்துரைக்கவில்லை.

இந்த அங்கீகார வகைகளால் எந்த தரவு பாக்கெட் புலங்கள் பாதிக்கப்படுகின்றன என்பது பற்றிய தகவலுக்கு, டேட்டா பிளேன் ஒருமைப்பாட்டைப் பார்க்கவும். Cisco IOS XE Catalyst SD-WAN சாதனங்கள் மற்றும் Cisco vEdge சாதனங்கள் அவற்றின் TLOC பண்புகளில் உள்ளமைக்கப்பட்ட அங்கீகார வகைகளை விளம்பரப்படுத்துகின்றன. IPsec சுரங்கப்பாதை இணைப்பின் இருபுறமும் உள்ள இரண்டு திசைவிகள், இரண்டு திசைவிகளிலும் உள்ளமைக்கப்பட்ட வலிமையான அங்கீகார வகையைப் பயன்படுத்தி, அவற்றுக்கிடையேயான இணைப்பில் பயன்படுத்த அங்கீகாரத்தைப் பேச்சுவார்த்தை நடத்துகின்றன. உதாரணமாகample, ஒரு திசைவி ah-sha1-hmac மற்றும் ah-no-id வகைகளை விளம்பரப்படுத்தினால், இரண்டாவது திசைவி ah-no-id வகையை விளம்பரப்படுத்தினால், இரண்டு திசைவிகளும் IPsec டன்னல் இணைப்பில் ah-no-id ஐப் பயன்படுத்த பேச்சுவார்த்தை நடத்துகின்றன. அவர்களுக்கு. இரண்டு பியர்களிலும் பொதுவான அங்கீகார வகைகள் எதுவும் கட்டமைக்கப்படவில்லை என்றால், அவர்களுக்கு இடையே IPsec சுரங்கப்பாதை நிறுவப்படவில்லை. IPsec சுரங்கப்பாதை இணைப்புகளில் உள்ள குறியாக்க அல்காரிதம் போக்குவரத்தின் வகையைப் பொறுத்தது:

• யூனிகாஸ்ட் டிராஃபிக்கிற்கு, குறியாக்க அல்காரிதம் AES-256-GCM ஆகும்.
• மல்டிகாஸ்ட் டிராஃபிக்கிற்கு:
• Cisco SD-WAN வெளியீடு 20.1.x மற்றும் அதற்குப் பிறகு- குறியாக்க வழிமுறை AES-256-GCM ஆகும்
• முந்தைய வெளியீடுகள்- குறியாக்க அல்காரிதம் SHA256-HMAC உடன் AES-1-CBC ஆகும்.

IPsec அங்கீகார வகை மாற்றப்படும் போது, ​​தரவு பாதைக்கான AES விசை மாற்றப்படும்.

ரீகியிங் டைமரை மாற்றவும்

Cisco IOS XE Catalyst SD-WAN சாதனங்கள் மற்றும் Cisco vEdge சாதனங்கள் தரவுப் போக்குவரத்தை பரிமாறிக்கொள்ளும் முன், அவை அவற்றுக்கிடையே பாதுகாப்பான அங்கீகரிக்கப்பட்ட தகவல் தொடர்பு சேனலை அமைக்கின்றன. ரவுட்டர்கள் அவற்றுக்கிடையேயான IPSec சுரங்கங்களை சேனலாகவும், AES-256 மறைக்குறியீட்டை குறியாக்கத்தை செய்யவும் பயன்படுத்துகின்றன. ஒவ்வொரு திசைவியும் அதன் தரவு பாதைக்கு அவ்வப்போது புதிய AES விசையை உருவாக்குகிறது. இயல்பாக, ஒரு விசை 86400 வினாடிகளுக்கு (24 மணிநேரம்) செல்லுபடியாகும், மேலும் டைமர் வரம்பு 10 வினாடிகள் முதல் 1209600 வினாடிகள் (14 நாட்கள்) ஆகும். rekey டைமர் மதிப்பை மாற்ற: Device(config)# Security ipsec rekey seconds உள்ளமைவு இதுபோல் தெரிகிறது:

• பாதுகாப்பு ipsec rekey வினாடிகள் !

நீங்கள் உடனடியாக புதிய IPsec விசைகளை உருவாக்க விரும்பினால், திசைவியின் உள்ளமைவை மாற்றாமல் செய்யலாம். இதைச் செய்ய, சமரசம் செய்யப்பட்ட திசைவியில் கோரிக்கை பாதுகாப்பு ipsecrekey கட்டளையை வழங்கவும். உதாரணமாகample, பின்வரும் வெளியீடு உள்ளூர் SA 256 இன் பாதுகாப்பு அளவுரு குறியீட்டை (SPI) கொண்டுள்ளது என்பதைக் காட்டுகிறது:

ஒவ்வொரு SPI உடன் தனிப்பட்ட விசை இணைக்கப்பட்டுள்ளது. இந்த விசை சமரசம் செய்யப்பட்டால், உடனடியாக ஒரு புதிய விசையை உருவாக்க, கோரிக்கை பாதுகாப்பு ipsec-rekey கட்டளையைப் பயன்படுத்தவும். இந்த கட்டளை SPI ஐ அதிகரிக்கிறது. எங்கள் முன்னாள்ample, SPI ஆனது 257 ஆக மாறுகிறது மற்றும் அதனுடன் தொடர்புடைய விசை இப்போது பயன்படுத்தப்படுகிறது:

• சாதனம்# பாதுகாப்பு ipsecrekey கோரிக்கை
• சாதனம்# ஐப்செக் லோக்கல்-சாவைக் காட்டு

புதிய விசை உருவாக்கப்பட்ட பிறகு, திசைவி அதை உடனடியாக DTLS அல்லது TLS ஐப் பயன்படுத்தி Cisco SD-WAN கன்ட்ரோலர்களுக்கு அனுப்புகிறது. சிஸ்கோ SD-WAN கன்ட்ரோலர்கள் விசையை பியர் ரவுட்டர்களுக்கு அனுப்புகின்றன. திசைவிகள் அதைப் பெற்றவுடன் அதைப் பயன்படுத்தத் தொடங்குகின்றன. பழைய SPI (256) உடன் தொடர்புடைய விசை நேரம் முடியும் வரை சிறிது நேரம் தொடர்ந்து பயன்படுத்தப்படும் என்பதை நினைவில் கொள்ளவும். பழைய விசையை உடனடியாகப் பயன்படுத்துவதை நிறுத்த, கோரிக்கை பாதுகாப்பு ipsec-rekey கட்டளையை இரண்டு முறை விரைவாக அடுத்தடுத்து வழங்கவும். இந்த கட்டளைகளின் வரிசை SPI 256 மற்றும் 257 இரண்டையும் நீக்கி SPI ஐ 258 ஆக அமைக்கிறது. பின்னர் SPI 258 இன் தொடர்புடைய விசையை திசைவி பயன்படுத்துகிறது. இருப்பினும், அனைத்து தொலை திசைவிகளும் கற்றுக் கொள்ளும் வரை சில பாக்கெட்டுகள் குறுகிய காலத்திற்கு கைவிடப்படும் என்பதை நினைவில் கொள்ளவும். புதிய விசை.

ரீப்ளே எதிர்ப்பு சாளரத்தின் அளவை மாற்றவும்

IPsec அங்கீகாரமானது, தரவு ஸ்ட்ரீமில் உள்ள ஒவ்வொரு பாக்கெட்டிற்கும் ஒரு தனிப்பட்ட வரிசை எண்ணை ஒதுக்குவதன் மூலம் மறு-மீண்டும் எதிர்ப்பு பாதுகாப்பை வழங்குகிறது. இந்த வரிசை எண்கள், டேட்டா பாக்கெட்டுகளை நகலெடுக்கும் தாக்குதலுக்கு எதிராக பாதுகாக்கிறது. ரீப்ளே எதிர்ப்பு பாதுகாப்புடன், அனுப்புநர் ஒரே மாதிரியாக அதிகரிக்கும் வரிசை எண்களை ஒதுக்குகிறார், மேலும் நகல்களைக் கண்டறிய இலக்கு இந்த வரிசை எண்களைச் சரிபார்க்கிறது. பாக்கெட்டுகள் பெரும்பாலும் வரிசையாக வராததால், இலக்கு அது ஏற்றுக்கொள்ளும் வரிசை எண்களின் நெகிழ் சாளரத்தை பராமரிக்கிறது.

நெகிழ் சாளர வரம்பின் இடதுபுறத்தில் விழும் வரிசை எண்களைக் கொண்ட பாக்கெட்டுகள் பழையதாகவோ அல்லது நகல்களாகவோ கருதப்படுகின்றன, மேலும் இலக்கு அவற்றைக் குறைக்கிறது. இலக்கு அது பெற்ற மிக உயர்ந்த வரிசை எண்ணைக் கண்காணிக்கும், மேலும் அதிக மதிப்பு கொண்ட பாக்கெட்டைப் பெறும்போது நெகிழ் சாளரத்தை சரிசெய்கிறது.

இயல்பாக, நெகிழ் சாளரம் 512 பாக்கெட்டுகளாக அமைக்கப்பட்டுள்ளது. இது 64 மற்றும் 4096 க்கு இடையில் உள்ள எந்த மதிப்பிலும் அமைக்கப்படலாம், அதாவது 2 இன் சக்தி (அதாவது, 64, 128, 256, 512, 1024, 2048 அல்லது 4096). எதிர்-ரீபிளே சாளரத்தின் அளவை மாற்ற, சாளரத்தின் அளவைக் குறிப்பிடும் மறு-சாளர கட்டளையைப் பயன்படுத்தவும்:

சாதனம்(config)# பாதுகாப்பு ipsec மறு-சாளர எண்

கட்டமைப்பு இது போல் தெரிகிறது:
பாதுகாப்பு ipsec மறு-சாளர எண்! !

QoS க்கு உதவ, முதல் எட்டு டிராஃபிக் சேனல்கள் ஒவ்வொன்றிற்கும் தனித்தனி ரீப்ளே சாளரங்கள் பராமரிக்கப்படுகின்றன. உள்ளமைக்கப்பட்ட ரீப்ளே சாளரத்தின் அளவு ஒவ்வொரு சேனலுக்கும் எட்டால் வகுக்கப்படுகிறது. QoS ஒரு திசைவியில் கட்டமைக்கப்பட்டிருந்தால், அந்த திசைவியானது IPsec எதிர்ப்பு ரீப்ளே பொறிமுறையின் விளைவாக எதிர்பார்த்ததை விட அதிகமான பாக்கெட் துளிகளை அனுபவிக்கக்கூடும், மேலும் கைவிடப்பட்ட பல பாக்கெட்டுகள் முறையானவை. QoS பாக்கெட்டுகளை மறுவரிசைப்படுத்துவதால், அதிக முன்னுரிமை பாக்கெட்டுகளுக்கு முன்னுரிமை அளிக்கும் மற்றும் குறைந்த முன்னுரிமை பாக்கெட்டுகளை தாமதப்படுத்துவதால் இது நிகழ்கிறது. இந்த நிலைமையைக் குறைக்க அல்லது தடுக்க, நீங்கள் பின்வருவனவற்றைச் செய்யலாம்:

• ரீப்ளே எதிர்ப்பு சாளரத்தின் அளவை அதிகரிக்கவும்.
• ஒரு சேனலுக்குள் போக்குவரத்து மறுசீரமைக்கப்படாமல் இருப்பதை உறுதி செய்வதற்காக, முதல் எட்டு டிராஃபிக் சேனல்களில் பொறியாளர் போக்குவரத்தை மேற்கொள்ளுங்கள்.

IKE-இயக்கப்பட்ட IPsec டன்னல்களை உள்ளமைக்கவும்
மேலடுக்கு நெட்வொர்க்கிலிருந்து ஒரு சேவை நெட்வொர்க்கிற்கு போக்குவரத்தை பாதுகாப்பாக மாற்ற, நீங்கள் இணைய விசை பரிமாற்ற (IKE) நெறிமுறையை இயக்கும் IPsec சுரங்கங்களை உள்ளமைக்கலாம். IKE-இயக்கப்பட்ட IPsec சுரங்கங்கள் பாதுகாப்பான பாக்கெட் போக்குவரத்தை உறுதிசெய்ய அங்கீகாரம் மற்றும் குறியாக்கத்தை வழங்குகின்றன. IPsec இடைமுகத்தை உள்ளமைப்பதன் மூலம் IKE-இயக்கப்பட்ட IPsec சுரங்கப்பாதையை உருவாக்குகிறீர்கள். IPsec இடைமுகங்கள் தருக்க இடைமுகங்களாகும், மேலும் நீங்கள் அவற்றை மற்ற இயற்பியல் இடைமுகங்களைப் போலவே உள்ளமைக்கிறீர்கள். நீங்கள் IPsec இடைமுகத்தில் IKE நெறிமுறை அளவுருக்களை உள்ளமைக்கிறீர்கள், மேலும் நீங்கள் மற்ற இடைமுக பண்புகளை கட்டமைக்கலாம்.

குறிப்பு IKE பதிப்பு 2 ஐப் பயன்படுத்த சிஸ்கோ பரிந்துரைக்கிறது. Cisco SD-WAN 19.2.x வெளியீட்டில் இருந்து, முன் பகிரப்பட்ட விசை குறைந்தது 16 பைட்டுகள் நீளமாக இருக்க வேண்டும். திசைவி பதிப்பு 16 க்கு மேம்படுத்தப்படும் போது முக்கிய அளவு 19.2 எழுத்துகளுக்கு குறைவாக இருந்தால் IPsec டன்னல் நிறுவல் தோல்வியடையும்.

குறிப்பு
Cisco Catalyst SD-WAN மென்பொருள் RFC 2 இல் வரையறுக்கப்பட்டுள்ளபடி IKE பதிப்பு 7296 ஐ ஆதரிக்கிறது. IPsec டன்னல்களுக்கான ஒரு பயன் என்னவென்றால், Amazon AWS இல் இயங்கும் vEdge Cloud Router VM நிகழ்வுகளை Amazon virtual private cloud (VPC) உடன் இணைக்க அனுமதிப்பது. இந்த திசைவிகளில் நீங்கள் IKE பதிப்பு 1 ஐ கட்டமைக்க வேண்டும். Cisco vEdge சாதனங்கள் IPSec உள்ளமைவில் பாதை அடிப்படையிலான VPNகளை மட்டுமே ஆதரிக்கின்றன, ஏனெனில் இந்த சாதனங்கள் குறியாக்க டொமைனில் ட்ராஃபிக் தேர்வாளர்களை வரையறுக்க முடியாது.

ஒரு IPsec சுரங்கப்பாதையை உள்ளமைக்கவும்
சேவை நெட்வொர்க்கிலிருந்து பாதுகாப்பான போக்குவரத்து போக்குவரத்திற்காக IPsec சுரங்கப்பாதை இடைமுகத்தை உள்ளமைக்க, நீங்கள் ஒரு தருக்க IPsec இடைமுகத்தை உருவாக்குகிறீர்கள்:

நீங்கள் போக்குவரத்து VPN (VPN 0) மற்றும் எந்த சேவை VPN (VPN 1 முதல் 65530 வரை, 512 தவிர) IPsec சுரங்கப்பாதையை உருவாக்கலாம். IPsec இடைமுகம் ipsecnumber வடிவத்தில் ஒரு பெயரைக் கொண்டுள்ளது, இதில் எண் 1 முதல் 255 வரை இருக்கலாம். ஒவ்வொரு IPsec இடைமுகத்திற்கும் IPv4 முகவரி இருக்க வேண்டும். இந்த முகவரி /30 முன்னொட்டாக இருக்க வேண்டும். இந்த IPv4 முன்னொட்டுக்குள் இருக்கும் VPN இல் உள்ள அனைத்து ட்ராஃபிக்கும் VPN 0 இல் உள்ள இயற்பியல் இடைமுகத்திற்கு IPsec சுரங்கப்பாதை வழியாக அனுப்பப்படும் இயற்பியல் இடைமுகம் (டன்னல்-மூலக் கட்டளையில்) அல்லது இயற்பியல் இடைமுகத்தின் பெயர் (டன்னல்-மூல-இடைமுகக் கட்டளையில்). இயற்பியல் இடைமுகம் VPN 0 இல் உள்ளமைக்கப்பட்டுள்ளதா என்பதை உறுதிப்படுத்தவும். IPsec சுரங்கப்பாதையின் இலக்கை உள்ளமைக்க, tunnel-destination கட்டளையில் தொலை சாதனத்தின் IP முகவரியைக் குறிப்பிடவும். ஒரு மூல முகவரி (அல்லது மூல இடைமுகத்தின் பெயர்) மற்றும் இலக்கு முகவரி ஆகியவற்றின் கலவையானது ஒற்றை IPsec சுரங்கப்பாதையை வரையறுக்கிறது. ஒரு குறிப்பிட்ட மூல முகவரி (அல்லது இடைமுகத்தின் பெயர்) மற்றும் இலக்கு முகவரி ஜோடியைப் பயன்படுத்தும் ஒரே ஒரு IPsec சுரங்கப்பாதை மட்டுமே இருக்க முடியும்.

IPsec நிலையான பாதையை உள்ளமைக்கவும்

VPN சேவையில் இருந்து IPsec சுரங்கப்பாதைக்கு போக்குவரத்து VPN (VPN 0) இல் இருந்து போக்குவரத்தை இயக்க, நீங்கள் VPN சேவையில் IPsec-குறிப்பிட்ட நிலையான வழியை உள்ளமைக்கிறீர்கள் (VPN 0 அல்லது VPN 512 அல்லாத VPN) :

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-route முன்னொட்டு/நீளம் vpn 0 இடைமுகம்
• ipsecnumber [ipsecnumber2]

VPN ஐடி என்பது எந்தவொரு VPN சேவையின் VPN ஆகும் (VPN 1 முதல் 65530 வரை, 512 தவிர). முன்னொட்டு/நீளம் என்பது IP முகவரி அல்லது முன்னொட்டு, தசம நான்கு-பகுதி-புள்ளியிடப்பட்ட குறியீட்டில், மற்றும் IPsec-குறிப்பிட்ட நிலையான பாதையின் முன்னொட்டு நீளம். இடைமுகம் VPN 0 இல் உள்ள IPsec டன்னல் இடைமுகமாகும். நீங்கள் ஒன்று அல்லது இரண்டு IPsec டன்னல் இடைமுகங்களை உள்ளமைக்கலாம். நீங்கள் இரண்டை உள்ளமைத்தால், முதலாவது முதன்மை IPsec சுரங்கப்பாதை, இரண்டாவது காப்புப்பிரதி. இரண்டு இடைமுகங்களுடன், அனைத்து பாக்கெட்டுகளும் முதன்மை சுரங்கப்பாதைக்கு மட்டுமே அனுப்பப்படும். அந்த சுரங்கப்பாதை தோல்வியுற்றால், அனைத்து பாக்கெட்டுகளும் இரண்டாம் நிலை சுரங்கப்பாதைக்கு அனுப்பப்படும். முதன்மை சுரங்கப்பாதை மீண்டும் மேலே வந்தால், அனைத்து போக்குவரத்தும் முதன்மை IPsec சுரங்கப்பாதைக்கு நகர்த்தப்படும்.

IKE பதிப்பு 1ஐ இயக்கு
நீங்கள் ஒரு vEdge திசைவியில் IPsec சுரங்கப்பாதையை உருவாக்கும் போது, ​​IKE பதிப்பு 1 சுரங்கப்பாதை இடைமுகத்தில் இயல்புநிலையாக இயக்கப்படும். IKEv1 க்கு முன்னிருப்பாக பின்வரும் பண்புகள் இயக்கப்படுகின்றன:

• அங்கீகாரம் மற்றும் குறியாக்கம்-ஏஇஎஸ்-256 மேம்பட்ட குறியாக்க நிலையான சிபிசி என்க்ரிப்ஷன், எச்எம்ஏசி-எஸ்எச்ஏ1 கீட்-ஹாஷ் மெசேஜ் அங்கீகரிப்பு குறியீடு அல்காரிதம்
• டிஃபி-ஹெல்மேன் குழு எண்-16
• மறுசீரமைப்பு நேர இடைவெளி - 4 மணி நேரம்
• SA நிறுவல் முறை-முக்கியம்

முன்னிருப்பாக, IKE SAகளை நிறுவ IKEv1 IKE பிரதான பயன்முறையைப் பயன்படுத்துகிறது. இந்த முறையில், SA ஐ நிறுவ ஆறு பேச்சுவார்த்தை பாக்கெட்டுகள் பரிமாறிக்கொள்ளப்படுகின்றன. மூன்று பேச்சுவார்த்தை பாக்கெட்டுகளை மட்டும் பரிமாறிக்கொள்ள, ஆக்கிரமிப்பு பயன்முறையை இயக்கவும்:

குறிப்பு
முன் பகிரப்பட்ட விசைகளுடன் கூடிய IKE ஆக்கிரமிப்பு பயன்முறை முடிந்தவரை தவிர்க்கப்பட வேண்டும். இல்லையெனில் வலுவான முன் பகிர்ந்த விசையைத் தேர்ந்தெடுக்க வேண்டும்.

• vEdge(config)# vpn vpn-id இடைமுகம் ipsec எண் ஐகே
• vEdge(config-ike)# முறை ஆக்கிரமிப்பு

இயல்பாக, IKEv1 IKE கீ பரிமாற்றத்தில் Diffie-Hellman group 16 ஐப் பயன்படுத்துகிறது. இந்த குழு IKE விசை பரிமாற்றத்தின் போது 4096-பிட் அதிக மட்டு அதிவேக (MODP) குழுவைப் பயன்படுத்துகிறது. நீங்கள் குழு எண்ணை 2 (1024-பிட் MODPக்கு), 14 (2048-பிட் MODP) அல்லது 15 (3072-பிட் MODP) ஆக மாற்றலாம்:

• vEdge(config)# vpn vpn-id இடைமுகம் ipsec எண் ஐகே
• vEdge(config-ike)# குழு எண்

முன்னிருப்பாக, IKE விசைப் பரிமாற்றமானது AES-256 மேம்பட்ட குறியாக்க தரநிலை CBC குறியாக்கத்தை HMAC-SHA1 கீட்-ஹாஷ் செய்தி அங்கீகாரக் குறியீடு அல்காரிதத்துடன் ஒருமைப்பாட்டிற்காகப் பயன்படுத்துகிறது. நீங்கள் அங்கீகாரத்தை மாற்றலாம்:

• vEdge(config)# vpn vpn-id இடைமுகம் ipsec எண் ஐகே
• vEdge(config-ike)# சைபர்-சூட் தொகுப்பு

அங்கீகாரத் தொகுப்பு பின்வருவனவற்றில் ஒன்றாக இருக்கலாம்:

• aes128-cbc-sha1—AES-128 மேம்பட்ட குறியாக்க நிலையான CBC குறியாக்கம் HMAC-SHA1 கீட்-ஹாஷ் மெசேஜ் அங்கீகார குறியீடு அல்காரிதம் ஒருமைப்பாடு
• aes128-cbc-sha2—AES-128 மேம்பட்ட குறியாக்க நிலையான CBC குறியாக்கம் HMAC-SHA256 கீட்-ஹாஷ் மெசேஜ் அங்கீகார குறியீடு அல்காரிதம் ஒருமைப்பாடு
• aes256-cbc-sha1—AES-256 மேம்பட்ட குறியாக்க தரநிலை CBC குறியாக்கம் மற்றும் HMAC-SHA1 கீட்-ஹாஷ் செய்தி அங்கீகார குறியீடு அல்காரிதம் ஒருமைப்பாடு; இது இயல்புநிலை.
• aes256-cbc-sha2—AES-256 மேம்பட்ட குறியாக்க நிலையான CBC குறியாக்கம் HMAC-SHA256 கீட்-ஹாஷ் மெசேஜ் அங்கீகார குறியீடு அல்காரிதம் ஒருமைப்பாடு

இயல்பாக, IKE விசைகள் ஒவ்வொரு 1 மணிநேரமும் (3600 வினாடிகள்) புதுப்பிக்கப்படும். நீங்கள் 30 வினாடிகளில் இருந்து 14 நாட்கள் (1209600 வினாடிகள்) வரையிலான மதிப்பிற்கு மறுசீரமைப்பு இடைவெளியை மாற்றலாம். மறுசீரமைப்பு இடைவெளி குறைந்தது 1 மணிநேரமாக இருக்க பரிந்துரைக்கப்படுகிறது.

• vEdge(config)# vpn vpn-id இடைமுகம் ipsec எண் போன்றது
• vEdge(config-ike)# rekey seconds

IKE அமர்வுக்கு புதிய விசைகளை உருவாக்க கட்டாயப்படுத்த, கோரிக்கை ipsec ike-rekey கட்டளையை வழங்கவும்.

• vEdge(config)# vpn vpn-id interfaceipsec எண் ஐகே

IKE க்கு, நீங்கள் முன்பகிரப்பட்ட விசை (PSK) அங்கீகாரத்தையும் உள்ளமைக்கலாம்:

• vEdge(config)# vpn vpn-id இடைமுகம் ipsec எண் ஐகே
• vEdge(config-ike)# அங்கீகார-வகை முன்-பகிர்ந்த-விசை முன்-பகிர்ந்த-ரகசிய கடவுச்சொல் கடவுச்சொல் என்பது முன்பகிர்ந்த விசையுடன் பயன்படுத்துவதற்கான கடவுச்சொல். இது 1 முதல் 127 எழுத்துகள் வரை ASCII அல்லது ஹெக்ஸாடெசிமல் சரமாக இருக்கலாம்.

தொலைநிலை IKE இணையருக்கு உள்ளூர் அல்லது தொலைநிலை ஐடி தேவைப்பட்டால், நீங்கள் இந்த அடையாளங்காட்டியை உள்ளமைக்கலாம்:

• vEdge(config)# vpn vpn-id இடைமுகம் ipsec எண் போன்ற அங்கீகார வகை
• vEdge(config-authentication-type)# லோக்கல்-ஐடி ஐடி
• vEdge(config-authentication-type)# remote-id id

அடையாளங்காட்டி ஒரு ஐபி முகவரி அல்லது 1 முதல் 63 எழுத்துகள் வரையிலான எந்த உரைச் சரமாகவும் இருக்கலாம். இயல்பாக, லோக்கல் ஐடி என்பது சுரங்கப்பாதையின் ஆதார ஐபி முகவரி மற்றும் ரிமோட் ஐடி என்பது சுரங்கப்பாதையின் இலக்கு ஐபி முகவரியாகும்.

IKE பதிப்பு 2ஐ இயக்கு
IKE பதிப்பு 2 ஐப் பயன்படுத்த IPsec சுரங்கப்பாதையை நீங்கள் கட்டமைக்கும்போது, ​​IKEv2 க்கு பின்வரும் பண்புகள் இயல்பாகவே இயக்கப்படும்:

• அங்கீகாரம் மற்றும் குறியாக்கம்-ஏஇஎஸ்-256 மேம்பட்ட குறியாக்க நிலையான சிபிசி என்க்ரிப்ஷன், எச்எம்ஏசி-எஸ்எச்ஏ1 கீட்-ஹாஷ் மெசேஜ் அங்கீகரிப்பு குறியீடு அல்காரிதம்
• டிஃபி-ஹெல்மேன் குழு எண்-16
• மறுசீரமைப்பு நேர இடைவெளி - 4 மணி நேரம்

இயல்பாக, IKEv2 IKE கீ பரிமாற்றத்தில் Diffie-Hellman group 16 ஐப் பயன்படுத்துகிறது. இந்த குழு IKE விசை பரிமாற்றத்தின் போது 4096-பிட் அதிக மட்டு அதிவேக (MODP) குழுவைப் பயன்படுத்துகிறது. நீங்கள் குழு எண்ணை 2 (1024-பிட் MODPக்கு), 14 (2048-பிட் MODP) அல்லது 15 (3072-பிட் MODP) ஆக மாற்றலாம்:

• vEdge(config)# vpn vpn-id இடைமுகம் ipsecnumber ike
• vEdge(config-ike)# குழு எண்

முன்னிருப்பாக, IKE விசைப் பரிமாற்றமானது AES-256 மேம்பட்ட குறியாக்க தரநிலை CBC குறியாக்கத்தை HMAC-SHA1 கீட்-ஹாஷ் செய்தி அங்கீகாரக் குறியீடு அல்காரிதத்துடன் ஒருமைப்பாட்டிற்காகப் பயன்படுத்துகிறது. நீங்கள் அங்கீகாரத்தை மாற்றலாம்:

• vEdge(config)# vpn vpn-id இடைமுகம் ipsecnumber ike
• vEdge(config-ike)# சைபர்-சூட் தொகுப்பு

அங்கீகாரத் தொகுப்பு பின்வருவனவற்றில் ஒன்றாக இருக்கலாம்:

• aes128-cbc-sha1—AES-128 மேம்பட்ட குறியாக்க நிலையான CBC குறியாக்கம் HMAC-SHA1 கீட்-ஹாஷ் மெசேஜ் அங்கீகார குறியீடு அல்காரிதம் ஒருமைப்பாடு
• aes128-cbc-sha2—AES-128 மேம்பட்ட குறியாக்க நிலையான CBC குறியாக்கம் HMAC-SHA256 கீட்-ஹாஷ் மெசேஜ் அங்கீகார குறியீடு அல்காரிதம் ஒருமைப்பாடு
• aes256-cbc-sha1—AES-256 மேம்பட்ட குறியாக்க தரநிலை CBC குறியாக்கம் மற்றும் HMAC-SHA1 கீட்-ஹாஷ் செய்தி அங்கீகார குறியீடு அல்காரிதம் ஒருமைப்பாடு; இது இயல்புநிலை.
• aes256-cbc-sha2—AES-256 மேம்பட்ட குறியாக்க நிலையான CBC குறியாக்கம் HMAC-SHA256 கீட்-ஹாஷ் மெசேஜ் அங்கீகார குறியீடு அல்காரிதம் ஒருமைப்பாடு

இயல்பாக, IKE விசைகள் ஒவ்வொரு 4 மணிநேரமும் (14,400 வினாடிகள்) புதுப்பிக்கப்படும். ரீகீயிங் இடைவெளியை 30 வினாடிகளில் இருந்து 14 நாட்கள் (1209600 வினாடிகள்) வரை மதிப்பாக மாற்றலாம்:

• vEdge(config)# vpn vpn-id இடைமுகம் ipsecnumber ike
• vEdge(config-ike)# rekey seconds

IKE அமர்வுக்கு புதிய விசைகளை உருவாக்க கட்டாயப்படுத்த, கோரிக்கை ipsec ike-rekey கட்டளையை வழங்கவும். IKE க்கு, நீங்கள் முன்பகிரப்பட்ட விசை (PSK) அங்கீகாரத்தையும் உள்ளமைக்கலாம்:

• vEdge(config)# vpn vpn-id இடைமுகம் ipsecnumber ike
• vEdge(config-ike)# அங்கீகார-வகை முன்-பகிர்ந்த-விசை முன்-பகிர்ந்த-ரகசிய கடவுச்சொல் கடவுச்சொல் என்பது முன்பகிர்ந்த விசையுடன் பயன்படுத்துவதற்கான கடவுச்சொல். இது ஒரு ASCII அல்லது ஹெக்ஸாடெசிமல் சரமாக இருக்கலாம் அல்லது AES- மறைகுறியாக்கப்பட்ட விசையாக இருக்கலாம். தொலைநிலை IKE இணையருக்கு உள்ளூர் அல்லது தொலைநிலை ஐடி தேவைப்பட்டால், நீங்கள் இந்த அடையாளங்காட்டியை உள்ளமைக்கலாம்:
• vEdge(config)# vpn vpn-id இடைமுகம் ipsecnumber போன்ற அங்கீகார வகை
• vEdge(config-authentication-type)# லோக்கல்-ஐடி ஐடி
• vEdge(config-authentication-type)# remote-id id

அடையாளங்காட்டி ஒரு ஐபி முகவரி அல்லது 1 முதல் 64 எழுத்துகள் வரையிலான எந்த உரைச் சரமாகவும் இருக்கலாம். இயல்பாக, லோக்கல் ஐடி என்பது சுரங்கப்பாதையின் ஆதார ஐபி முகவரி மற்றும் ரிமோட் ஐடி என்பது சுரங்கப்பாதையின் இலக்கு ஐபி முகவரியாகும்.

IPsec டன்னல் அளவுருக்களை உள்ளமைக்கவும்

அட்டவணை 4: அம்ச வரலாறு

அம்சம் பெயர்	தகவல் வெளியீடு	விளக்கம்
கூடுதல் கிரிப்டோகிராஃபிக்	சிஸ்கோ SD-WAN வெளியீடு 20.1.1	இந்த அம்சம் ஆதரவு சேர்க்கிறது
IPSec க்கான அல்காரிதமிக் ஆதரவு		HMAC_SHA256, HMAC_SHA384 மற்றும்
சுரங்கங்கள்		HMAC_SHA512 அல்காரிதம்கள்
		மேம்படுத்தப்பட்ட பாதுகாப்பு.

இயல்பாக, IKE ட்ராஃபிக்கைக் கொண்டு செல்லும் IPsec சுரங்கப்பாதையில் பின்வரும் அளவுருக்கள் பயன்படுத்தப்படுகின்றன:

• அங்கீகாரம் மற்றும் குறியாக்கம்-GCM இல் AES-256 அல்காரிதம் (Galois/counter mode)
• மறுசீரமைப்பு இடைவெளி - 4 மணி நேரம்
• ரீப்ளே விண்டோ-32 பாக்கெட்டுகள்

நீங்கள் IPsec சுரங்கப்பாதையில் உள்ள குறியாக்கத்தை CBCயில் AES-256 சைஃபருக்கு மாற்றலாம் (சைஃபர் பிளாக் செயினிங் பயன்முறை, HMAC உடன் SHA-1 அல்லது SHA-2 கீட்-ஹாஷ் செய்தி அங்கீகாரத்தைப் பயன்படுத்தி அல்லது SHA-1 அல்லது HMAC ஐப் பயன்படுத்தி ரத்து செய்யலாம். SHA-2 விசை-ஹாஷ் செய்தி அங்கீகாரம், IKE விசை பரிமாற்ற போக்குவரத்திற்குப் பயன்படுத்தப்படும் IPsec சுரங்கப்பாதையை குறியாக்கம் செய்ய வேண்டாம்:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# சைஃபர்-சூட் (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1-null-sha256 |. aes256-null-sha256 |.

இயல்பாக, IKE விசைகள் ஒவ்வொரு 4 மணிநேரமும் (14,400 வினாடிகள்) புதுப்பிக்கப்படும். ரீகீயிங் இடைவெளியை 30 வினாடிகளில் இருந்து 14 நாட்கள் (1209600 வினாடிகள்) வரை மதிப்பாக மாற்றலாம்:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# rekey வினாடிகள்

IPsec சுரங்கப்பாதைக்கான புதிய விசைகளை உருவாக்க கட்டாயப்படுத்த, கோரிக்கை ipsec ipsec-rekey கட்டளையை வழங்கவும். முன்னிருப்பாக, எதிர்கால விசைகள் சமரசம் செய்யப்பட்டால், கடந்த அமர்வுகள் பாதிக்கப்படாமல் இருப்பதை உறுதிசெய்ய, IPsec டன்னல்களில் சரியான முன்னோக்கி ரகசியம் (PFS) செயல்படுத்தப்படுகிறது. 4096-பிட் டிஃபி-ஹெல்மேன் பிரைம் மாட்யூல் குழுவைப் பயன்படுத்தி முன்னிருப்பாக, புதிய டிஃபி-ஹெல்மேன் விசை பரிமாற்றத்தை PFS கட்டாயப்படுத்துகிறது. நீங்கள் PFS அமைப்பை மாற்றலாம்:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-அமைப்பு பின்வருவனவற்றில் ஒன்றாக இருக்கலாம்:

• குழு-2-1024-பிட் டிஃபி-ஹெல்மேன் பிரைம் மாடுலஸ் குழுவைப் பயன்படுத்தவும்.
• குழு-14-2048-பிட் டிஃபி-ஹெல்மேன் பிரைம் மாடுலஸ் குழுவைப் பயன்படுத்தவும்.
• குழு-15-3072-பிட் டிஃபி-ஹெல்மேன் பிரைம் மாடுலஸ் குழுவைப் பயன்படுத்தவும்.
• குழு-16-4096-பிட் டிஃபி-ஹெல்மேன் பிரைம் மாடுலஸ் குழுவைப் பயன்படுத்தவும். இதுதான் இயல்புநிலை.
• எதுவும் இல்லை - PFS ஐ முடக்கு.

இயல்பாக, IPsec சுரங்கப்பாதையில் IPsec ரீப்ளே சாளரம் 512 பைட்டுகள் ஆகும். நீங்கள் ரீப்ளே சாளரத்தின் அளவை 64, 128, 256, 512, 1024, 2048 அல்லது 4096 பாக்கெட்டுகளாக அமைக்கலாம்:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# replay-window எண்

IKE டெட்-பியர் கண்டறிதலை மாற்றவும்

IKE ஒரு IKE பியர் உடனான இணைப்பு செயல்பாட்டு மற்றும் அணுகக்கூடியதா என்பதை தீர்மானிக்க, இறந்த-பியர் கண்டறிதல் பொறிமுறையைப் பயன்படுத்துகிறது. இந்த பொறிமுறையை செயல்படுத்த, IKE அதன் சக நபருக்கு ஒரு ஹலோ பாக்கெட்டை அனுப்புகிறது, மேலும் பியர் பதிலுக்கு ஒரு ஒப்புகையை அனுப்புகிறார். இயல்பாக, IKE ஒவ்வொரு 10 வினாடிக்கும் ஹலோ பாக்கெட்டுகளை அனுப்புகிறது, மேலும் மூன்று அங்கீகரிக்கப்படாத பாக்கெட்டுகளுக்குப் பிறகு, அண்டை வீட்டாரை இறந்துவிட்டதாக IKE அறிவித்து, சுரங்கப்பாதையை சக நபருக்குக் கிழித்துவிடும். அதன்பிறகு, IKE அவ்வப்போது ஒரு ஹலோ பாக்கெட்டை பியர்களுக்கு அனுப்புகிறது, மேலும் பியர் மீண்டும் ஆன்லைனில் வரும்போது சுரங்கப்பாதையை மீண்டும் நிறுவுகிறது. உயிரோட்டத்தைக் கண்டறிதல் இடைவெளியை 0 முதல் 65535 வரையிலான மதிப்பாக மாற்றலாம், மேலும் மீண்டும் முயற்சிகளின் எண்ணிக்கையை 0 முதல் 255 வரையிலான மதிப்பாக மாற்றலாம்.

குறிப்பு

போக்குவரத்து VPNகளுக்கு, பின்வரும் சூத்திரத்தைப் பயன்படுத்தி உயிரோட்டத்தைக் கண்டறிதல் இடைவெளி வினாடிகளாக மாற்றப்படுகிறது: மறுபரிமாற்ற முயற்சி எண் N = இடைவெளி * 1.8N-1உதாரணத்திற்குample, இடைவெளி 10 க்கு அமைக்கப்பட்டு 5 க்கு மீண்டும் முயற்சித்தால், கண்டறிதல் இடைவெளி பின்வருமாறு அதிகரிக்கிறது:

• முயற்சி 1: 10 * 1.81-1= 10 வினாடிகள்
• முயற்சி 2: 10 * 1.82-1= 18 வினாடிகள்
• முயற்சி 3: 10 * 1.83-1= 32.4 வினாடிகள்
• முயற்சி 4: 10 * 1.84-1= 58.32 வினாடிகள்
• முயற்சி 5: 10 * 1.85-1= 104.976 வினாடிகள்

vEdge(config-interface-ipsecnumber)# இறந்த-பியர்-கண்டறிதல் இடைவெளி எண்ணை மீண்டும் முயற்சிக்கிறது

பிற இடைமுக பண்புகளை உள்ளமைக்கவும்

IPsec டன்னல் இடைமுகங்களுக்கு, நீங்கள் பின்வரும் கூடுதல் இடைமுக பண்புகளை மட்டும் கட்டமைக்க முடியும்:

• vEdge(config-interface-ipsec)# mtu பைட்டுகள்
• vEdge(config-interface-ipsec)# tcp-mss-Adjust bytes

சிஸ்கோ SD-WAN மேலாளரில் பலவீனமான SSH குறியாக்க அல்காரிதம்களை முடக்கு

அட்டவணை 5: அம்ச வரலாறு அட்டவணை

அம்சம் பெயர்	தகவல் வெளியீடு	அம்சம் விளக்கம்
சிஸ்கோ SD-WAN மேலாளரில் பலவீனமான SSH குறியாக்க அல்காரிதம்களை முடக்கு	சிஸ்கோ vManage வெளியீடு 20.9.1	சிஸ்கோ SD-WAN மேலாளரில் பலவீனமான SSH அல்காரிதம்களை முடக்க இந்த அம்சம் உங்களை அனுமதிக்கிறது.

சிஸ்கோ SD-WAN மேலாளரில் பலவீனமான SSH குறியாக்க அல்காரிதம்களை முடக்குவது பற்றிய தகவல்
Cisco SD-WAN மேலாளர், கட்டுப்படுத்திகள் மற்றும் விளிம்பு சாதனங்கள் உட்பட பிணையத்தில் உள்ள கூறுகளுடன் தொடர்பு கொள்ள ஒரு SSH கிளையண்டை வழங்குகிறது. SSH கிளையன்ட் பல்வேறு குறியாக்க அல்காரிதம்களின் அடிப்படையில் பாதுகாப்பான தரவு பரிமாற்றத்திற்கான மறைகுறியாக்கப்பட்ட இணைப்பை வழங்குகிறது. பல நிறுவனங்களுக்கு SHA-1, AES-128 மற்றும் AES-192 வழங்கியதை விட வலுவான குறியாக்கம் தேவைப்படுகிறது. Cisco vManage வெளியீடு 20.9.1 இலிருந்து, பின்வரும் பலவீனமான குறியாக்க வழிமுறைகளை நீங்கள் முடக்கலாம், இதனால் ஒரு SSH கிளையன்ட் இந்த அல்காரிதங்களைப் பயன்படுத்தாது:

• SHA-1
• AES-128
• AES-192

இந்த என்க்ரிப்ஷன் அல்காரிதம்களை முடக்குவதற்கு முன், Cisco vEdge சாதனங்கள், நெட்வொர்க்கில் ஏதேனும் இருந்தால், Cisco SD-WAN வெளியீடு 18.4.6ஐ விட மென்பொருள் வெளியீட்டைப் பயன்படுத்துகிறது என்பதை உறுதிப்படுத்தவும்.

சிஸ்கோ SD-WAN மேலாளரில் பலவீனமான SSH குறியாக்க அல்காரிதம்களை முடக்குவதன் நன்மைகள்
பலவீனமான SSH குறியாக்க அல்காரிதம்களை முடக்குவது SSH தகவல்தொடர்பு பாதுகாப்பை மேம்படுத்துகிறது மற்றும் Cisco Catalyst SD-WAN ஐப் பயன்படுத்தும் நிறுவனங்கள் கடுமையான பாதுகாப்பு விதிமுறைகளுக்கு இணங்குவதை உறுதி செய்கிறது.

CLI ஐப் பயன்படுத்தி சிஸ்கோ SD-WAN மேலாளரில் பலவீனமான SSH குறியாக்க அல்காரிதம்களை முடக்கு

1. சிஸ்கோ SD-WAN மேலாளர் மெனுவிலிருந்து, கருவிகள் > SSH டெர்மினல் என்பதைத் தேர்ந்தெடுக்கவும்.
2. நீங்கள் பலவீனமான SSH அல்காரிதம்களை முடக்க விரும்பும் Cisco SD-WAN மேலாளர் சாதனத்தைத் தேர்வு செய்யவும்.
3. சாதனத்தில் உள்நுழைய பயனர்பெயர் மற்றும் கடவுச்சொல்லை உள்ளிடவும்.
4. SSH சேவையக பயன்முறையை உள்ளிடவும்.
   • vmanage(config)# அமைப்பு
   • vmanage(config-system)# ssh-server
5. SSH குறியாக்க அல்காரிதத்தை முடக்க பின்வருவனவற்றில் ஒன்றைச் செய்யவும்:
   • SHA-1 ஐ முடக்கு:
6. மேலாண்மை(config-ssh-server)# kex-algo sha1 இல்லை
7. மேலாண்மை(config-ssh-server)# உறுதி
   பின்வரும் எச்சரிக்கைச் செய்தி காட்டப்பட்டது: பின்வரும் எச்சரிக்கைகள் உருவாக்கப்பட்டன: 'system ssh-server kex-algo sha1': எச்சரிக்கை: உங்கள் எல்லா விளிம்புகளும் vManage உடன் SHA18.4.6 ஐ விட சிறப்பாக பேச்சுவார்த்தை நடத்தும் குறியீடு பதிப்பு > 1 ஐ இயக்குவதை உறுதிசெய்யவும். இல்லையெனில் அந்த விளிம்புகள் ஆஃப்லைனாக மாறலாம். தொடரவா? [ஆம், இல்லை] ஆம்
   • நெட்வொர்க்கில் உள்ள எந்த Cisco vEdge சாதனங்களும் Cisco SD-WAN வெளியீடு 18.4.6 அல்லது அதற்குப் பிறகு இயங்குகின்றன என்பதை உறுதிசெய்து, ஆம் என உள்ளிடவும்.
   • AES-128 மற்றும் AES-192 ஐ முடக்கு:
   • vmanage(config-ssh-server)# சைபர் ஏஎஸ்-128-192 இல்லை
   • vmanage(config-ssh-server)# உறுதி
     பின்வரும் எச்சரிக்கை செய்தி காட்டப்படும்:
     பின்வரும் எச்சரிக்கைகள் உருவாக்கப்பட்டன:
     'system ssh-server cipher aes-128-192': எச்சரிக்கை: உங்கள் எல்லா விளிம்புகளும் vManage உடன் AES-18.4.6-128 ஐ விட சிறப்பாக பேச்சுவார்த்தை நடத்தும் குறியீடு பதிப்பு > 192 ஐ இயக்குவதை உறுதிசெய்யவும். இல்லையெனில் அந்த விளிம்புகள் ஆஃப்லைனாக மாறலாம். தொடரவா? [ஆம், இல்லை] ஆம்
   • நெட்வொர்க்கில் உள்ள எந்த Cisco vEdge சாதனங்களும் Cisco SD-WAN வெளியீடு 18.4.6 அல்லது அதற்குப் பிறகு இயங்குகின்றன என்பதை உறுதிசெய்து, ஆம் என உள்ளிடவும்.

CLI ஐப் பயன்படுத்தி சிஸ்கோ SD-WAN மேலாளரில் பலவீனமான SSH குறியாக்க அல்காரிதம்கள் முடக்கப்பட்டுள்ளதா என்பதைச் சரிபார்க்கவும்

1. சிஸ்கோ SD-WAN மேலாளர் மெனுவிலிருந்து, கருவிகள் > SSH டெர்மினல் என்பதைத் தேர்ந்தெடுக்கவும்.
2. நீங்கள் சரிபார்க்க விரும்பும் Cisco SD-WAN மேலாளர் சாதனத்தைத் தேர்ந்தெடுக்கவும்.
3. சாதனத்தில் உள்நுழைய பயனர்பெயர் மற்றும் கடவுச்சொல்லை உள்ளிடவும்.
4. பின்வரும் கட்டளையை இயக்கவும்: running-config system ssh-server ஐக் காட்டு
5. பலவீனமான குறியாக்க அல்காரிதம்களை முடக்கும் ஒன்று அல்லது அதற்கு மேற்பட்ட கட்டளைகளை வெளியீடு காட்டுகிறது என்பதை உறுதிப்படுத்தவும்:
   • சைஃபர் ஏஎஸ்-128-192 இல்லை
   • kex-algo sha1 இல்லை

ஆவணங்கள் / ஆதாரங்கள்

CISCO SD-WAN பாதுகாப்பு அளவுருக்களை உள்ளமைக்கவும் [pdf] பயனர் வழிகாட்டி SD-WAN பாதுகாப்பு அளவுருக்களை உள்ளமைக்கவும், SD-WAN, பாதுகாப்பு அளவுருக்கள், பாதுகாப்பு அளவுருக்களை உள்ளமைக்கவும்

குறிப்புகள்

• பயனர் கையேடு