కంటెంట్‌లు దాచు
1 CISCO SD-WAN భద్రతా పారామితులను కాన్ఫిగర్ చేయండి
2 భద్రతా పారామితులను కాన్ఫిగర్ చేయండి
3 కంట్రోల్ ప్లేన్ సెక్యూరిటీ పారామితులను కాన్ఫిగర్ చేయండి
4 సిస్కో SD-WAN మేనేజర్‌లో DTLSని కాన్ఫిగర్ చేయండి
5 డేటా ప్లేన్ భద్రతా పారామితులను కాన్ఫిగర్ చేయండి
6 అనుమతించబడిన ప్రమాణీకరణ రకాలను కాన్ఫిగర్ చేయండి
7 రీకీయింగ్ టైమర్‌ని మార్చండి
8 యాంటీ-రీప్లే విండో పరిమాణాన్ని మార్చండి
9 IPsec స్టాటిక్ రూట్‌ను కాన్ఫిగర్ చేయండి
10 IPsec టన్నెల్ పారామితులను కాన్ఫిగర్ చేయండి
11 IKE డెడ్-పీర్ డిటెక్షన్‌ని సవరించండి
12 ఇతర ఇంటర్ఫేస్ లక్షణాలను కాన్ఫిగర్ చేయండి
13 సిస్కో SD-WAN మేనేజర్‌లో బలహీనమైన SSH ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను నిలిపివేయండి
14 పత్రాలు / వనరులు
14.1 సూచనలు

సిస్కో-లోగో

CISCO SD-WAN భద్రతా పారామితులను కాన్ఫిగర్ చేయండి

CISCO-SD-WAN-కాన్ఫిగర్-సెక్యూరిటీ-పారామితులు-PRODUCT

భద్రతా పారామితులను కాన్ఫిగర్ చేయండి

గమనిక

సరళీకరణ మరియు అనుగుణ్యతను సాధించడానికి, Cisco SD-WAN సొల్యూషన్ Cisco Catalyst SD-WANగా రీబ్రాండ్ చేయబడింది. అదనంగా, Cisco IOS XE SD-WAN విడుదల 17.12.1a మరియు Cisco ఉత్ప్రేరకం SD-WAN విడుదల 20.12.1 నుండి, కింది కాంపోనెంట్ మార్పులు వర్తిస్తాయి: Cisco vManage నుండి Cisco ఉత్ప్రేరక SD-WAN మేనేజర్, Cisco vAnalytics నుండి CiscoWANAnalytics వరకు Analytics, Cisco vBond నుండి Cisco ఉత్ప్రేరక SD-WAN వాలిడేటర్, మరియు Cisco vSmart నుండి Cisco ఉత్ప్రేరక SD-WAN కంట్రోలర్. అన్ని కాంపోనెంట్ బ్రాండ్ పేరు మార్పుల యొక్క సమగ్ర జాబితా కోసం తాజా విడుదల గమనికలను చూడండి. మేము కొత్త పేర్లకు మారుతున్నప్పుడు, సాఫ్ట్‌వేర్ ఉత్పత్తి యొక్క వినియోగదారు ఇంటర్‌ఫేస్ నవీకరణలకు దశలవారీ విధానం కారణంగా డాక్యుమెంటేషన్ సెట్‌లో కొన్ని అసమానతలు ఉండవచ్చు.

ఈ విభాగం Cisco Catalyst SD-WAN ఓవర్‌లే నెట్‌వర్క్‌లోని కంట్రోల్ ప్లేన్ మరియు డేటా ప్లేన్ కోసం భద్రతా పారామితులను ఎలా మార్చాలో వివరిస్తుంది.

  • కంట్రోల్ ప్లేన్ సెక్యూరిటీ పారామితులను కాన్ఫిగర్ చేయండి, ఆన్
  • డేటా ప్లేన్ సెక్యూరిటీ పారామితులను కాన్ఫిగర్ చేయండి, ఆన్
  • IKE-ప్రారంభించబడిన IPsec టన్నెల్‌లను కాన్ఫిగర్ చేయండి
  • సిస్కో SD-WAN మేనేజర్‌లో బలహీనమైన SSH ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను నిలిపివేయండి

కంట్రోల్ ప్లేన్ సెక్యూరిటీ పారామితులను కాన్ఫిగర్ చేయండి

డిఫాల్ట్‌గా, కంట్రోల్ ప్లేన్ దాని అన్ని సొరంగాలపై గోప్యతను అందించే ప్రోటోకాల్‌గా DTLSని ఉపయోగిస్తుంది. DTLS UDPపై నడుస్తుంది. మీరు కంట్రోల్ ప్లేన్ సెక్యూరిటీ ప్రోటోకాల్‌ను TLSకి మార్చవచ్చు, ఇది TCPపై నడుస్తుంది. TLSని ఉపయోగించడానికి ప్రాథమిక కారణం ఏమిటంటే, మీరు Cisco SD-WAN కంట్రోలర్‌ను సర్వర్‌గా పరిగణించినట్లయితే, UDP సర్వర్‌ల కంటే ఫైర్‌వాల్‌లు TCP సర్వర్‌లను మెరుగ్గా రక్షిస్తాయి. మీరు Cisco SD-WAN కంట్రోలర్‌లో కంట్రోల్ ప్లేన్ టన్నెల్ ప్రోటోకాల్‌ను కాన్ఫిగర్ చేస్తారు: vSmart(config)# సెక్యూరిటీ కంట్రోల్ ప్రోటోకాల్ tls ఈ మార్పుతో, Cisco SD-WAN కంట్రోలర్ మరియు రూటర్‌ల మధ్య మరియు Cisco SD-WAN కంట్రోలర్ మధ్య అన్ని కంట్రోల్ ప్లేన్ టన్నెల్‌లు మరియు Cisco SD-WAN మేనేజర్ TLSని ఉపయోగిస్తాయి. Cisco Catalyst SD-WAN వాలిడేటర్‌కి కంట్రోల్ ప్లేన్ టన్నెల్‌లు ఎల్లప్పుడూ DTLSని ఉపయోగిస్తాయి, ఎందుకంటే ఈ కనెక్షన్‌లు తప్పనిసరిగా UDP ద్వారా నిర్వహించబడతాయి. బహుళ Cisco SD-WAN కంట్రోలర్‌లు ఉన్న డొమైన్‌లో, మీరు Cisco SD-WAN కంట్రోలర్‌లలో ఒకదానిపై TLSని కాన్ఫిగర్ చేసినప్పుడు, ఆ కంట్రోలర్ నుండి ఇతర కంట్రోలర్‌ల వరకు ఉన్న అన్ని కంట్రోల్ ప్లేన్ టన్నెల్స్ TLSని ఉపయోగిస్తాయి. మరొక విధంగా చెప్పాలంటే, TLS ఎల్లప్పుడూ DTLS కంటే ప్రాధాన్యతనిస్తుంది. అయినప్పటికీ, ఇతర Cisco SD-WAN కంట్రోలర్‌ల దృష్టికోణంలో, మీరు వాటిపై TLSని కాన్ఫిగర్ చేయకుంటే, వారు TLSని కంట్రోల్ ప్లేన్ టన్నెల్‌లో ఆ ఒక్క Cisco SD-WAN కంట్రోలర్‌కు మాత్రమే ఉపయోగిస్తారు మరియు వారు అన్ని ఇతర వాటికి DTLS టన్నెల్‌లను ఉపయోగిస్తారు. Cisco SD-WAN కంట్రోలర్‌లు మరియు వాటి కనెక్ట్ చేయబడిన అన్ని రౌటర్‌లకు. అన్ని Cisco SD-WAN కంట్రోలర్‌లు TLSని ఉపయోగించడానికి, వాటిని అన్నింటిలో కాన్ఫిగర్ చేయండి. డిఫాల్ట్‌గా, Cisco SD-WAN కంట్రోలర్ TLS అభ్యర్థనల కోసం పోర్ట్ 23456లో వింటుంది. దీన్ని మార్చడానికి: vSmart(config)# భద్రతా నియంత్రణ tls-పోర్ట్ సంఖ్య పోర్ట్ 1025 నుండి 65535 వరకు సంఖ్య కావచ్చు. కంట్రోల్ ప్లేన్ భద్రతా సమాచారాన్ని ప్రదర్శించడానికి, Cisco SD-WAN కంట్రోలర్‌లో షో కంట్రోల్ కనెక్షన్‌ల ఆదేశాన్ని ఉపయోగించండి. ఉదాహరణకుample: vSmart-2# నియంత్రణ కనెక్షన్‌లను చూపుతుంది

CISCO-SD-WAN-కాన్ఫిగర్-సెక్యూరిటీ-పారామీటర్లు-FIG-1

సిస్కో SD-WAN మేనేజర్‌లో DTLSని కాన్ఫిగర్ చేయండి

మీరు TLSని కంట్రోల్ ప్లేన్ సెక్యూరిటీ ప్రోటోకాల్‌గా ఉపయోగించడానికి Cisco SD-WAN మేనేజర్‌ని కాన్ఫిగర్ చేస్తే, మీరు మీ NATలో పోర్ట్ ఫార్వార్డింగ్‌ని తప్పనిసరిగా ప్రారంభించాలి. మీరు DTLSని కంట్రోల్ ప్లేన్ సెక్యూరిటీ ప్రోటోకాల్‌గా ఉపయోగిస్తుంటే, మీరు ఏమీ చేయనవసరం లేదు. ఫార్వార్డ్ చేయబడిన పోర్ట్‌ల సంఖ్య సిస్కో SD-WAN మేనేజర్‌లో నడుస్తున్న vdaemon ప్రక్రియల సంఖ్యపై ఆధారపడి ఉంటుంది. ఈ ప్రక్రియల గురించి మరియు ఫార్వార్డ్ చేయబడే పోర్ట్‌ల సంఖ్య గురించి సమాచారాన్ని ప్రదర్శించడానికి, నాలుగు డెమోన్ ప్రాసెస్‌లు రన్ అవుతున్నాయని చూపే షో కంట్రోల్ సారాంశాన్ని ఉపయోగించండి:CISCO-SD-WAN-కాన్ఫిగర్-సెక్యూరిటీ-పారామీటర్లు-FIG-2

లిజనింగ్ పోర్ట్‌లను చూడటానికి, షో కంట్రోల్ లోకల్-ప్రాపర్టీస్ కమాండ్‌ను ఉపయోగించండి: vManage# షో కంట్రోల్ లోకల్ ప్రాపర్టీస్

CISCO-SD-WAN-కాన్ఫిగర్-సెక్యూరిటీ-పారామీటర్లు-FIG-3

ఈ అవుట్‌పుట్ లిజనింగ్ TCP పోర్ట్ 23456 అని చూపిస్తుంది. మీరు NAT వెనుక సిస్కో SD-WAN మేనేజర్‌ని నడుపుతున్నట్లయితే, మీరు NAT పరికరంలో క్రింది పోర్ట్‌లను తెరవాలి:

  • 23456 (బేస్ - ఉదాహరణ 0 పోర్ట్)
  • 23456 + 100 (బేస్ + 100)
  • 23456 + 200 (బేస్ + 200)
  • 23456 + 300 (బేస్ + 300)

మీరు Cisco SD-WAN మేనేజర్ కోసం కేటాయించిన కోర్‌ల సంఖ్యతో పాటు గరిష్టంగా 8 వరకు ఉదంతాల సంఖ్య కూడా ఉంటుందని గమనించండి.

సెక్యూరిటీ ఫీచర్ టెంప్లేట్ ఉపయోగించి భద్రతా పారామితులను కాన్ఫిగర్ చేయండి

అన్ని Cisco vEdge పరికరాల కోసం భద్రతా ఫీచర్ టెంప్లేట్‌ని ఉపయోగించండి. ఎడ్జ్ రూటర్‌లలో మరియు సిస్కో SD-WAN వాలిడేటర్‌లో, డేటా ప్లేన్ సెక్యూరిటీ కోసం IPsecని కాన్ఫిగర్ చేయడానికి ఈ టెంప్లేట్‌ని ఉపయోగించండి. Cisco SD-WAN మేనేజర్ మరియు Cisco SD-WAN కంట్రోలర్‌లో, కంట్రోల్ ప్లేన్ సెక్యూరిటీ కోసం DTLS లేదా TLSని కాన్ఫిగర్ చేయడానికి సెక్యూరిటీ ఫీచర్ టెంప్లేట్‌ని ఉపయోగించండి.

భద్రతా పారామితులను కాన్ఫిగర్ చేయండి

  1. Cisco SD-WAN మేనేజర్ మెను నుండి, కాన్ఫిగరేషన్ > టెంప్లేట్‌లను ఎంచుకోండి.
  2. ఫీచర్ టెంప్లేట్‌లను క్లిక్ చేసి, ఆపై మూసను జోడించు క్లిక్ చేయండి.
    గమనిక Cisco vManage విడుదల 20.7.1 మరియు మునుపటి విడుదలలలో, ఫీచర్ టెంప్లేట్‌లను ఫీచర్ అంటారు.
  3. ఎడమ పేన్‌లోని పరికరాల జాబితా నుండి, పరికరాన్ని ఎంచుకోండి. ఎంచుకున్న పరికరానికి వర్తించే టెంప్లేట్‌లు కుడి పేన్‌లో కనిపిస్తాయి.
  4. టెంప్లేట్‌ను తెరవడానికి సెక్యూరిటీని క్లిక్ చేయండి.
  5. టెంప్లేట్ పేరు ఫీల్డ్‌లో, టెంప్లేట్ కోసం పేరును నమోదు చేయండి. పేరు 128 అక్షరాల వరకు ఉండవచ్చు మరియు ఆల్ఫాన్యూమరిక్ అక్షరాలను మాత్రమే కలిగి ఉంటుంది.
  6. టెంప్లేట్ వివరణ ఫీల్డ్‌లో, టెంప్లేట్ యొక్క వివరణను నమోదు చేయండి. వివరణ 2048 అక్షరాల వరకు ఉండవచ్చు మరియు ఆల్ఫాన్యూమరిక్ అక్షరాలను మాత్రమే కలిగి ఉంటుంది.

మీరు మొదట ఫీచర్ టెంప్లేట్‌ను తెరిచినప్పుడు, డిఫాల్ట్ విలువను కలిగి ఉన్న ప్రతి పరామితికి, స్కోప్ డిఫాల్ట్‌కి సెట్ చేయబడుతుంది (చెక్‌మార్క్ ద్వారా సూచించబడుతుంది) మరియు డిఫాల్ట్ సెట్టింగ్ లేదా విలువ చూపబడుతుంది. డిఫాల్ట్‌ను మార్చడానికి లేదా విలువను నమోదు చేయడానికి, పరామితి ఫీల్డ్‌కు ఎడమవైపు ఉన్న స్కోప్ డ్రాప్-డౌన్ మెనుని క్లిక్ చేసి, కింది వాటిలో ఒకదాన్ని ఎంచుకోండి:

పట్టిక 1:

పరామితి పరిధి పరిధి వివరణ
పరికరం నిర్దిష్ట (హోస్ట్ చిహ్నం ద్వారా సూచించబడుతుంది) పరామితి కోసం పరికర-నిర్దిష్ట విలువను ఉపయోగించండి. పరికర-నిర్దిష్ట పారామితుల కోసం, మీరు ఫీచర్ టెంప్లేట్‌లో విలువను నమోదు చేయలేరు. మీరు పరికర టెంప్లేట్‌కు Viptela పరికరాన్ని జోడించినప్పుడు మీరు విలువను నమోదు చేస్తారు.

మీరు నిర్దిష్ట పరికరాన్ని క్లిక్ చేసినప్పుడు, ఎంటర్ కీ బాక్స్ తెరవబడుతుంది. ఈ పెట్టె ఒక కీని ప్రదర్శిస్తుంది, ఇది CSVలోని పారామీటర్‌ను గుర్తించే ప్రత్యేకమైన స్ట్రింగ్ file మీరు సృష్టించినది. ఈ file ప్రతి కీకి ఒక నిలువు వరుసను కలిగి ఉండే Excel స్ప్రెడ్‌షీట్. హెడర్ అడ్డు వరుస కీ పేర్లను కలిగి ఉంటుంది (ఒక నిలువు వరుసకు ఒక కీ), మరియు దాని తర్వాత ప్రతి అడ్డు వరుస పరికరానికి అనుగుణంగా ఉంటుంది మరియు ఆ పరికరం కోసం కీల విలువలను నిర్వచిస్తుంది. మీరు CSVని అప్‌లోడ్ చేయండి file మీరు పరికర టెంప్లేట్‌కు Viptela పరికరాన్ని జోడించినప్పుడు. మరింత సమాచారం కోసం, టెంప్లేట్ వేరియబుల్స్ స్ప్రెడ్‌షీట్‌ను సృష్టించు చూడండి.

డిఫాల్ట్ కీని మార్చడానికి, కొత్త స్ట్రింగ్‌ను టైప్ చేసి, కర్సర్‌ను ఎంటర్ కీ బాక్స్ నుండి తరలించండి.

Exampసిస్టమ్ IP చిరునామా, హోస్ట్ పేరు, GPS స్థానం మరియు సైట్ ID వంటివి పరికర-నిర్దిష్ట పారామితుల యొక్క les.
పరామితి పరిధి పరిధి వివరణ
గ్లోబల్ (గ్లోబ్ ఐకాన్ ద్వారా సూచించబడింది) పరామితి కోసం విలువను నమోదు చేయండి మరియు ఆ విలువను అన్ని పరికరాలకు వర్తింపజేయండి.

Exampమీరు పరికరాల సమూహానికి ప్రపంచవ్యాప్తంగా వర్తించే పారామితులు DNS సర్వర్, syslog సర్వర్ మరియు ఇంటర్‌ఫేస్ MTUలు.

కంట్రోల్ ప్లేన్ సెక్యూరిటీని కాన్ఫిగర్ చేయండి

గమనిక
కాన్ఫిగర్ కంట్రోల్ ప్లేన్ సెక్యూరిటీ విభాగం Cisco SD-WAN మేనేజర్ మరియు Cisco SD-WAN కంట్రోలర్‌కు మాత్రమే వర్తిస్తుంది. Cisco SD-WAN మేనేజర్ ఇన్‌స్టాన్స్ లేదా Cisco SD-WAN కంట్రోలర్‌లో కంట్రోల్ ప్లేన్ కనెక్షన్ ప్రోటోకాల్‌ను కాన్ఫిగర్ చేయడానికి, ప్రాథమిక కాన్ఫిగరేషన్ ప్రాంతాన్ని ఎంచుకోండి మరియు కింది పారామితులను కాన్ఫిగర్ చేయండి:

పట్టిక 2:

పరామితి పేరు వివరణ
ప్రోటోకాల్ Cisco SD-WAN కంట్రోలర్‌కు కంట్రోల్ ప్లేన్ కనెక్షన్‌లపై ఉపయోగించడానికి ప్రోటోకాల్‌ను ఎంచుకోండి:

• DTLS (డాtagరామ్ ట్రాన్స్‌పోర్ట్ లేయర్ సెక్యూరిటీ). ఇది డిఫాల్ట్.

• TLS (రవాణా లేయర్ భద్రత)
TLS పోర్ట్‌ని నియంత్రించండి మీరు TLSని ఎంచుకుంటే, ఉపయోగించడానికి పోర్ట్ నంబర్‌ను కాన్ఫిగర్ చేయండి:పరిధి: 1025 నుండి 65535 వరకుడిఫాల్ట్: 23456

సేవ్ క్లిక్ చేయండి

డేటా ప్లేన్ సెక్యూరిటీని కాన్ఫిగర్ చేయండి
Cisco SD-WAN వాలిడేటర్ లేదా Cisco vEdge రూటర్‌లో డేటా ప్లేన్ సెక్యూరిటీని కాన్ఫిగర్ చేయడానికి, ప్రాథమిక కాన్ఫిగరేషన్ మరియు అథెంటికేషన్ టైప్ ట్యాబ్‌లను ఎంచుకుని, కింది పారామితులను కాన్ఫిగర్ చేయండి:

పట్టిక 3:

పరామితి పేరు వివరణ
రెకీ సమయం Cisco vEdge రూటర్ దాని సురక్షిత DTLS కనెక్షన్‌లో ఉపయోగించిన AES కీని Cisco SD-WAN కంట్రోలర్‌కి ఎంత తరచుగా మారుస్తుందో పేర్కొనండి. OMP గ్రేస్‌ఫుల్ రీస్టార్ట్ ఎనేబుల్ చేయబడి ఉంటే, రీకీయింగ్ సమయం తప్పనిసరిగా OMP గ్రేస్‌ఫుల్ రీస్టార్ట్ టైమర్ కంటే కనీసం రెండింతలు ఉండాలి.పరిధి: 10 నుండి 1209600 సెకన్లు (14 రోజులు)డిఫాల్ట్: 86400 సెకన్లు (24 గంటలు)
రీప్లే విండో స్లైడింగ్ రీప్లే విండో పరిమాణాన్ని పేర్కొనండి.

విలువలు: 64, 128, 256, 512, 1024, 2048, 4096, 8192 ప్యాకెట్లుడిఫాల్ట్: 512 ప్యాకెట్లు
IPsec

జతగా-కీయింగ్

 ఇది డిఫాల్ట్‌గా ఆఫ్ చేయబడింది. క్లిక్ చేయండి On దాన్ని ఆన్ చేయడానికి.
పరామితి పేరు వివరణ
ప్రమాణీకరణ రకం నుండి ప్రమాణీకరణ రకాలను ఎంచుకోండి ప్రమాణీకరణ జాబితా, మరియు ప్రామాణీకరణ రకాలను కు తరలించడానికి కుడివైపు చూపే బాణంపై క్లిక్ చేయండి ఎంచుకున్న జాబితా కాలమ్.

Cisco SD-WAN విడుదల 20.6.1 నుండి మద్దతు ఉన్న ప్రమాణీకరణ రకాలు:

•  esp: ESP హెడర్‌పై ఎన్‌క్యాప్సులేటింగ్ సెక్యూరిటీ పేలోడ్ (ESP) ఎన్‌క్రిప్షన్ మరియు సమగ్రత తనిఖీని ప్రారంభిస్తుంది.

•  ip-udp-esp: ESP గుప్తీకరణను ప్రారంభిస్తుంది. ESP హెడర్ మరియు పేలోడ్‌పై సమగ్రత తనిఖీలతో పాటు, చెక్‌లలో ఔటర్ IP మరియు UDP హెడర్‌లు కూడా ఉంటాయి.

•  ip-udp-esp-no-id: IP హెడర్‌లోని ID ఫీల్డ్‌ను విస్మరిస్తుంది, తద్వారా Cisco ఉత్ప్రేరక SD-WAN నాన్-సిస్కో పరికరాలతో కలిసి పని చేస్తుంది.

•  ఏదీ లేదు: IPSec ప్యాకెట్‌లపై సమగ్రతను తనిఖీ చేయడాన్ని నిలిపివేస్తుంది. ఈ ఎంపికను ఉపయోగించమని మేము సిఫార్సు చేయము.

 

Cisco SD-WAN విడుదల 20.5.1 మరియు అంతకు ముందు మద్దతు ఉన్న ప్రమాణీకరణ రకాలు:

•  ah-no-id: ప్యాకెట్ యొక్క బాహ్య IP హెడర్‌లోని ID ఫీల్డ్‌ను విస్మరించే AH-SHA1 HMAC మరియు ESP HMAC-SHA1 యొక్క మెరుగుపరచబడిన సంస్కరణను ప్రారంభించండి.

•  ah-sha1-hmac: AH-SHA1 HMAC మరియు ESP HMAC-SHA1ని ప్రారంభించండి.

•  ఏదీ లేదు: ప్రామాణీకరణ లేదు ఎంచుకోండి.

•  sha1-hmac: ESP HMAC-SHA1ని ప్రారంభించండి.

 

గమనిక              Cisco SD-WAN విడుదల 20.5.1 లేదా అంతకంటే ముందు నడుస్తున్న ఎడ్జ్ పరికరం కోసం, మీరు ఒక ఉపయోగించి ప్రామాణీకరణ రకాలను కాన్ఫిగర్ చేసి ఉండవచ్చు భద్రత టెంప్లేట్. మీరు పరికరాన్ని Cisco SD-WAN విడుదల 20.6.1కి అప్‌గ్రేడ్ చేసినప్పుడు లేదా తర్వాత, ఎంచుకున్న ప్రమాణీకరణ రకాలను దీనిలో అప్‌డేట్ చేయండి భద్రత Cisco SD-WAN విడుదల 20.6.1 నుండి మద్దతు ఉన్న ప్రమాణీకరణ రకాలకు టెంప్లేట్. ప్రమాణీకరణ రకాలను నవీకరించడానికి, ఈ క్రింది వాటిని చేయండి:

1.      Cisco SD-WAN మేనేజర్ మెను నుండి, ఎంచుకోండి ఆకృతీకరణ >

టెంప్లేట్లు.

2.      క్లిక్ చేయండి ఫీచర్ టెంప్లేట్లు.

3.      కనుగొనండి భద్రత నవీకరించడానికి టెంప్లేట్ మరియు క్లిక్ చేయండి ... మరియు క్లిక్ చేయండి సవరించు.

4.      క్లిక్ చేయండి నవీకరించు. ఏ కాన్ఫిగరేషన్‌ను సవరించవద్దు.

Cisco SD-WAN మేనేజర్ అప్‌డేట్ చేస్తుంది భద్రత మద్దతు ఉన్న ప్రమాణీకరణ రకాలను ప్రదర్శించడానికి టెంప్లేట్.

సేవ్ క్లిక్ చేయండి.

డేటా ప్లేన్ భద్రతా పారామితులను కాన్ఫిగర్ చేయండి

డేటా ప్లేన్‌లో, IPsec అన్ని రూటర్‌లలో డిఫాల్ట్‌గా ప్రారంభించబడుతుంది మరియు డిఫాల్ట్‌గా IPsec టన్నెల్ కనెక్షన్‌లు IPsec టన్నెల్‌లపై ప్రమాణీకరణ కోసం ఎన్‌క్యాప్సులేటింగ్ సెక్యూరిటీ పేలోడ్ (ESP) ప్రోటోకాల్ యొక్క మెరుగైన సంస్కరణను ఉపయోగిస్తాయి. రౌటర్లలో, మీరు ప్రమాణీకరణ రకం, IPsec రీకీయింగ్ టైమర్ మరియు IPsec యాంటీ-రీప్లే విండో పరిమాణాన్ని మార్చవచ్చు.

అనుమతించబడిన ప్రమాణీకరణ రకాలను కాన్ఫిగర్ చేయండి

సిస్కో SD-WAN విడుదల 20.6.1 మరియు తరువాతి ప్రమాణీకరణ రకాలు
Cisco SD-WAN విడుదల 20.6.1 నుండి, కింది సమగ్రత రకాలు మద్దతిస్తాయి:

  • esp: ఈ ఐచ్ఛికం ESP హెడర్‌పై ఎన్‌క్యాప్సులేటింగ్ సెక్యూరిటీ పేలోడ్ (ESP) ఎన్‌క్రిప్షన్ మరియు సమగ్రతను తనిఖీ చేయడాన్ని ప్రారంభిస్తుంది.
  • ip-udp-esp: ఈ ఐచ్ఛికం ESP గుప్తీకరణను ప్రారంభిస్తుంది. ESP హెడర్ మరియు పేలోడ్‌పై సమగ్రత తనిఖీలతో పాటు, చెక్‌లలో బాహ్య IP మరియు UDP హెడర్‌లు కూడా ఉన్నాయి.
  • ip-udp-esp-no-id: ఈ ఐచ్చికము ip-udp-esp వలె ఉంటుంది, అయితే, బాహ్య IP హెడర్ యొక్క ID ఫీల్డ్ విస్మరించబడుతుంది. సిస్కో ఉత్ప్రేరకం SD-WAN సాఫ్ట్‌వేర్ IP హెడర్‌లోని ID ఫీల్డ్‌ను విస్మరించేలా సమగ్రత రకాల జాబితాలో ఈ ఎంపికను కాన్ఫిగర్ చేయండి, తద్వారా Cisco ఉత్ప్రేరక SD-WAN నాన్-సిస్కో పరికరాలతో కలిసి పని చేస్తుంది.
  • ఏదీ లేదు: ఈ ఐచ్చికము IPSec ప్యాకెట్లలో సమగ్రతను తనిఖీ చేయడాన్ని నిలిపివేస్తుంది. ఈ ఎంపికను ఉపయోగించమని మేము సిఫార్సు చేయము.

డిఫాల్ట్‌గా, IPsec టన్నెల్ కనెక్షన్‌లు ప్రామాణీకరణ కోసం ఎన్‌క్యాప్సులేటింగ్ సెక్యూరిటీ పేలోడ్ (ESP) ప్రోటోకాల్ యొక్క మెరుగైన సంస్కరణను ఉపయోగిస్తాయి. చర్చల మధ్యతరగతి రకాలను సవరించడానికి లేదా సమగ్రత తనిఖీని నిలిపివేయడానికి, కింది ఆదేశాన్ని ఉపయోగించండి: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

సిస్కో SD-WAN విడుదలకు ముందు ప్రమాణీకరణ రకాలు 20.6.1
డిఫాల్ట్‌గా, IPsec టన్నెల్ కనెక్షన్‌లు ప్రామాణీకరణ కోసం ఎన్‌క్యాప్సులేటింగ్ సెక్యూరిటీ పేలోడ్ (ESP) ప్రోటోకాల్ యొక్క మెరుగైన సంస్కరణను ఉపయోగిస్తాయి. చర్చలు జరిపిన ప్రమాణీకరణ రకాలను సవరించడానికి లేదా ప్రమాణీకరణను నిలిపివేయడానికి, కింది ఆదేశాన్ని ఉపయోగించండి: పరికరం(config)# సెక్యూరిటీ ipsec ప్రమాణీకరణ-రకం (ah-sha1-hmac | ah-no-id | sha1-hmac | | ఏదీ లేదు) డిఫాల్ట్‌గా, IPsec టన్నెల్ కనెక్షన్‌లు AES-GCM-256ని ఉపయోగిస్తాయి, ఇది ఎన్‌క్రిప్షన్ మరియు ప్రామాణీకరణ రెండింటినీ అందిస్తుంది. ప్రత్యేక భద్రతా ipsec ప్రమాణీకరణ-రకం కమాండ్‌తో ప్రతి ప్రమాణీకరణ రకాన్ని కాన్ఫిగర్ చేయండి. కమాండ్ ఎంపికలు క్రింది ప్రమాణీకరణ రకాలకు మ్యాప్ చేయబడతాయి, ఇవి చాలా బలమైన నుండి తక్కువ బలమైన వరకు జాబితా చేయబడ్డాయి:

గమనిక
కాన్ఫిగరేషన్ ఎంపికలలోని sha1 చారిత్రక కారణాల కోసం ఉపయోగించబడుతుంది. ప్రమాణీకరణ ఎంపికలు ప్యాకెట్ సమగ్రతను తనిఖీ చేయడం ఎంతవరకు జరుగుతుందో సూచిస్తాయి. వారు సమగ్రతను తనిఖీ చేసే అల్గారిథమ్‌ను పేర్కొనలేదు. మల్టీక్యాస్ట్ ట్రాఫిక్ యొక్క ఎన్‌క్రిప్షన్ మినహా, సిస్కో ఉత్ప్రేరక SD WAN ద్వారా మద్దతు ఇచ్చే ప్రమాణీకరణ అల్గారిథమ్‌లు SHA1ని ఉపయోగించవు. అయితే Cisco SD-WAN విడుదల 20.1.x మరియు ఆ తర్వాత, యూనికాస్ట్ మరియు మల్టీకాస్ట్ రెండూ SHA1ని ఉపయోగించవు.

  • ah-sha1-hmac ESPని ఉపయోగించి ఎన్‌క్రిప్షన్ మరియు ఎన్‌క్యాప్సులేషన్‌ను ప్రారంభిస్తుంది. అయితే, ESP హెడర్ మరియు పేలోడ్‌పై సమగ్రత తనిఖీలతో పాటు, తనిఖీలలో బాహ్య IP మరియు UDP హెడర్‌లు కూడా ఉంటాయి. అందువల్ల, ఈ ఐచ్ఛికం ప్రమాణీకరణ హెడర్ (AH) ప్రోటోకాల్ మాదిరిగానే ప్యాకెట్ యొక్క సమగ్రత తనిఖీకి మద్దతు ఇస్తుంది. అన్ని సమగ్రత మరియు గుప్తీకరణ AES-256-GCM ఉపయోగించి నిర్వహించబడుతుంది.
  • ah-no-id ah-sha1-hmac మాదిరిగా ఉండే మోడ్‌ను ప్రారంభిస్తుంది, అయినప్పటికీ, బాహ్య IP హెడర్ యొక్క ID ఫీల్డ్ విస్మరించబడుతుంది. ఈ ఐచ్చికము Apple AirPort Express NATతో సహా కొన్ని నాన్-సిస్కో ఉత్ప్రేరక SD-WAN పరికరాలను కలిగి ఉంది, ఇవి IP హెడర్‌లోని ID ఫీల్డ్‌ను సవరించడానికి కారణమయ్యే బగ్‌ను కలిగి ఉంటాయి, ఇది మార్చబడని ఫీల్డ్. Cisco Catalyst SD-WAN AH సాఫ్ట్‌వేర్ IP హెడర్‌లోని ID ఫీల్డ్‌ను విస్మరించడానికి ప్రామాణీకరణ రకాల జాబితాలో ah-no-id ఎంపికను కాన్ఫిగర్ చేయండి, తద్వారా Cisco Catalyst SD-WAN సాఫ్ట్‌వేర్ ఈ పరికరాలతో కలిసి పని చేస్తుంది.
  • sha1-hmac ESP ఎన్‌క్రిప్షన్ మరియు సమగ్రత తనిఖీని ప్రారంభిస్తుంది.
  • ఏదీ ప్రామాణీకరణకు మ్యాప్ చేయదు. ఈ ఎంపికను తాత్కాలిక డీబగ్గింగ్ కోసం అవసరమైతే మాత్రమే ఉపయోగించాలి. డేటా ప్లేన్ ప్రామాణీకరణ మరియు సమగ్రత ఆందోళన చెందని సందర్భాల్లో కూడా మీరు ఈ ఎంపికను ఎంచుకోవచ్చు. ఉత్పత్తి నెట్‌వర్క్‌ల కోసం ఈ ఎంపికను ఉపయోగించడాన్ని సిస్కో సిఫార్సు చేయలేదు.

ఈ ప్రమాణీకరణ రకాలు ఏ డేటా ప్యాకెట్ ఫీల్డ్‌లను ప్రభావితం చేశాయనే దాని గురించి సమాచారం కోసం, డేటా ప్లేన్ ఇంటిగ్రిటీని చూడండి. Cisco IOS XE ఉత్ప్రేరకం SD-WAN పరికరాలు మరియు Cisco vEdge పరికరాలు వాటి TLOC లక్షణాలలో కాన్ఫిగర్ చేయబడిన ప్రమాణీకరణ రకాలను ప్రచారం చేస్తాయి. IPsec టన్నెల్ కనెక్షన్‌కి ఇరువైపులా ఉన్న రెండు రౌటర్‌లు రెండు రౌటర్‌లలో కాన్ఫిగర్ చేయబడిన బలమైన ప్రామాణీకరణ రకాన్ని ఉపయోగించి వాటి మధ్య కనెక్షన్‌పై ఉపయోగించడానికి ప్రామాణీకరణను చర్చిస్తాయి. ఉదాహరణకుample, ఒక రౌటర్ ah-sha1-hmac మరియు ah-no-id రకాలను ప్రచారం చేస్తే మరియు రెండవ రూటర్ ah-no-id రకాన్ని ప్రచారం చేస్తే, రెండు రౌటర్లు IPsec టన్నెల్ కనెక్షన్‌లో ah-no-idని ఉపయోగించడానికి చర్చలు జరుపుతాయి. వాటిని. ఇద్దరు పీర్‌లపై సాధారణ ప్రమాణీకరణ రకాలు ఏవీ కాన్ఫిగర్ చేయకపోతే, వాటి మధ్య IPsec టన్నెల్ ఏర్పాటు చేయబడదు. IPsec టన్నెల్ కనెక్షన్‌లపై ఎన్‌క్రిప్షన్ అల్గారిథమ్ ట్రాఫిక్ రకంపై ఆధారపడి ఉంటుంది:

  • యూనికాస్ట్ ట్రాఫిక్ కోసం, ఎన్‌క్రిప్షన్ అల్గారిథమ్ AES-256-GCM.
  • బహుళ ప్రసార ట్రాఫిక్ కోసం:
  • Cisco SD-WAN విడుదల 20.1.x మరియు తరువాత- గుప్తీకరణ అల్గోరిథం AES-256-GCM
  • మునుపటి విడుదలలు– ఎన్‌క్రిప్షన్ అల్గారిథమ్ SHA256-HMACతో AES-1-CBC.

IPsec ప్రమాణీకరణ రకాన్ని మార్చినప్పుడు, డేటా మార్గం కోసం AES కీ మార్చబడుతుంది.

రీకీయింగ్ టైమర్‌ని మార్చండి

Cisco IOS XE ఉత్ప్రేరకం SD-WAN పరికరాలు మరియు Cisco vEdge పరికరాలు డేటా ట్రాఫిక్‌ను మార్పిడి చేసుకునే ముందు, అవి వాటి మధ్య సురక్షితమైన ప్రామాణీకరించబడిన కమ్యూనికేషన్‌ల ఛానెల్‌ని సెటప్ చేస్తాయి. రూటర్‌లు వాటి మధ్య IPSec సొరంగాలను ఛానెల్‌గా ఉపయోగిస్తాయి మరియు గుప్తీకరణను నిర్వహించడానికి AES-256 సాంకేతికలిపిని ఉపయోగిస్తాయి. ప్రతి రూటర్ దాని డేటా మార్గం కోసం క్రమానుగతంగా కొత్త AES కీని ఉత్పత్తి చేస్తుంది. డిఫాల్ట్‌గా, ఒక కీ 86400 సెకన్లు (24 గంటలు) చెల్లుబాటు అవుతుంది మరియు టైమర్ పరిధి 10 సెకన్ల నుండి 1209600 సెకన్లు (14 రోజులు) వరకు ఉంటుంది. రీకీ టైమర్ విలువను మార్చడానికి: పరికరం(config)# సెక్యూరిటీ ipsec rekey సెకన్లు కాన్ఫిగరేషన్ ఇలా కనిపిస్తుంది:

  • సెక్యూరిటీ ipsec rekey సెకన్లు !

మీరు వెంటనే కొత్త IPsec కీలను రూపొందించాలనుకుంటే, మీరు రూటర్ యొక్క కాన్ఫిగరేషన్‌ను సవరించకుండానే చేయవచ్చు. దీన్ని చేయడానికి, రాజీపడిన రూటర్‌పై అభ్యర్థన భద్రతా ipsecrekey ఆదేశాన్ని జారీ చేయండి. ఉదాహరణకుample, కింది అవుట్‌పుట్ స్థానిక SAకి 256 భద్రతా పారామీటర్ ఇండెక్స్ (SPI) ఉందని చూపిస్తుంది:CISCO-SD-WAN-కాన్ఫిగర్-సెక్యూరిటీ-పారామీటర్లు-FIG-4

ప్రతి SPIతో ఒక ప్రత్యేక కీ అనుబంధించబడి ఉంటుంది. ఈ కీ రాజీ పడినట్లయితే, వెంటనే కొత్త కీని రూపొందించడానికి అభ్యర్థన భద్రతా ipsec-rekey ఆదేశాన్ని ఉపయోగించండి. ఈ ఆదేశం SPIని పెంచుతుంది. మా మాజీలోample, SPI 257కి మారుతుంది మరియు దానితో అనుబంధించబడిన కీ ఇప్పుడు ఉపయోగించబడుతుంది:

  • పరికరం# భద్రతా ipsecrekey అభ్యర్థన
  • పరికరం# షో ipsec లోకల్-సా

CISCO-SD-WAN-కాన్ఫిగర్-సెక్యూరిటీ-పారామీటర్లు-FIG-5

కొత్త కీని రూపొందించిన తర్వాత, రూటర్ దానిని వెంటనే DTLS లేదా TLSని ఉపయోగించి Cisco SD-WAN కంట్రోలర్‌లకు పంపుతుంది. Cisco SD-WAN కంట్రోలర్‌లు కీని పీర్ రూటర్‌లకు పంపుతాయి. రౌటర్లు దాన్ని స్వీకరించిన వెంటనే దాన్ని ఉపయోగించడం ప్రారంభిస్తాయి. పాత SPI (256)తో అనుబంధించబడిన కీ గడువు ముగిసే వరకు కొద్దికాలం పాటు ఉపయోగించబడుతుందని గుర్తుంచుకోండి. పాత కీని వెంటనే ఉపయోగించడం ఆపివేయడానికి, రిక్వెస్ట్ సెక్యూరిటీ ipsec-rekey కమాండ్‌ను త్వరితగతిన రెండుసార్లు జారీ చేయండి. ఈ ఆదేశాల క్రమం SPI 256 మరియు 257 రెండింటినీ తీసివేస్తుంది మరియు SPIని 258కి సెట్ చేస్తుంది. ఆ తర్వాత రూటర్ SPI 258 యొక్క అనుబంధిత కీని ఉపయోగిస్తుంది. అయితే, అన్ని రిమోట్ రూటర్‌లు నేర్చుకునే వరకు కొన్ని ప్యాకెట్‌లు తక్కువ వ్యవధిలో వదిలివేయబడతాయని గుర్తుంచుకోండి. కొత్త కీ.CISCO-SD-WAN-కాన్ఫిగర్-సెక్యూరిటీ-పారామీటర్లు-FIG-6

యాంటీ-రీప్లే విండో పరిమాణాన్ని మార్చండి

IPsec ప్రమాణీకరణ అనేది డేటా స్ట్రీమ్‌లోని ప్రతి ప్యాకెట్‌కు ప్రత్యేకమైన సీక్వెన్స్ నంబర్‌ను కేటాయించడం ద్వారా యాంటీ-రీప్లే రక్షణను అందిస్తుంది. ఈ సీక్వెన్స్ నంబరింగ్ డేటా ప్యాకెట్లను నకిలీ చేసే దాడికి వ్యతిరేకంగా రక్షిస్తుంది. యాంటీ-రీప్లే రక్షణతో, పంపినవారు మోనోటోనిక్‌గా పెరుగుతున్న సీక్వెన్స్ నంబర్‌లను కేటాయిస్తారు మరియు నకిలీలను గుర్తించడానికి గమ్యం ఈ క్రమ సంఖ్యలను తనిఖీ చేస్తుంది. ప్యాకెట్‌లు తరచుగా క్రమంలో రావు కాబట్టి, గమ్యస్థానం అది అంగీకరించే సీక్వెన్స్ నంబర్‌ల స్లైడింగ్ విండోను నిర్వహిస్తుంది.CISCO-SD-WAN-కాన్ఫిగర్-సెక్యూరిటీ-పారామీటర్లు-FIG-7

స్లయిడింగ్ విండో శ్రేణికి ఎడమవైపుకు వచ్చే సీక్వెన్స్ నంబర్‌లతో కూడిన ప్యాకెట్‌లు పాతవి లేదా నకిలీలుగా పరిగణించబడతాయి మరియు గమ్యం వాటిని తగ్గిస్తుంది. గమ్యం అది అందుకున్న అత్యధిక శ్రేణి సంఖ్యను ట్రాక్ చేస్తుంది మరియు అధిక విలువ కలిగిన ప్యాకెట్‌ను స్వీకరించినప్పుడు స్లైడింగ్ విండోను సర్దుబాటు చేస్తుంది.CISCO-SD-WAN-కాన్ఫిగర్-సెక్యూరిటీ-పారామీటర్లు-FIG-8

డిఫాల్ట్‌గా, స్లైడింగ్ విండో 512 ప్యాకెట్‌లకు సెట్ చేయబడింది. ఇది 64 మరియు 4096 మధ్య ఉన్న ఏదైనా విలువకు సెట్ చేయవచ్చు, అది 2 యొక్క శక్తి (అంటే, 64, 128, 256, 512, 1024, 2048 లేదా 4096). యాంటీ-రీప్లే విండో పరిమాణాన్ని సవరించడానికి, విండో పరిమాణాన్ని పేర్కొంటూ, రీప్లే-విండో ఆదేశాన్ని ఉపయోగించండి:

పరికరం(config)# సెక్యూరిటీ ipsec రీప్లే-విండో నంబర్

కాన్ఫిగరేషన్ ఇలా కనిపిస్తుంది:
సెక్యూరిటీ ipsec రీప్లే-విండో నంబర్ ! !

QoSతో సహాయం చేయడానికి, మొదటి ఎనిమిది ట్రాఫిక్ ఛానెల్‌లలో ప్రతిదానికి ప్రత్యేక రీప్లే విండోలు నిర్వహించబడతాయి. కాన్ఫిగర్ చేయబడిన రీప్లే విండో పరిమాణం ప్రతి ఛానెల్‌కు ఎనిమిది ద్వారా విభజించబడింది. QoS రౌటర్‌లో కాన్ఫిగర్ చేయబడితే, IPsec యాంటీ-రీప్లే మెకానిజం ఫలితంగా ఆ రూటర్ ఊహించిన దానికంటే ఎక్కువ ప్యాకెట్ డ్రాప్‌లను అనుభవించవచ్చు మరియు డ్రాప్ చేయబడిన అనేక ప్యాకెట్‌లు చట్టబద్ధమైనవి. QoS ప్యాకెట్‌లను రీఆర్డర్ చేస్తుంది, అధిక-ప్రాధాన్యత ప్యాకెట్‌లకు ప్రాధాన్యతనిస్తుంది మరియు తక్కువ-ప్రాధాన్యత ప్యాకెట్‌లను ఆలస్యం చేస్తుంది. ఈ పరిస్థితిని తగ్గించడానికి లేదా నిరోధించడానికి, మీరు ఈ క్రింది వాటిని చేయవచ్చు:

  • యాంటీ-రీప్లే విండో పరిమాణాన్ని పెంచండి.
  • ఒక ఛానెల్‌లోని ట్రాఫిక్‌ని మళ్లీ ఆర్డర్ చేయలేదని నిర్ధారించడానికి మొదటి ఎనిమిది ట్రాఫిక్ ఛానెల్‌లలోకి ఇంజనీర్ ట్రాఫిక్.

IKE-ప్రారంభించబడిన IPsec టన్నెల్‌లను కాన్ఫిగర్ చేయండి
ఓవర్‌లే నెట్‌వర్క్ నుండి సర్వీస్ నెట్‌వర్క్‌కి ట్రాఫిక్‌ను సురక్షితంగా బదిలీ చేయడానికి, మీరు ఇంటర్నెట్ కీ ఎక్స్ఛేంజ్ (IKE) ప్రోటోకాల్‌ను అమలు చేసే IPsec టన్నెల్‌లను కాన్ఫిగర్ చేయవచ్చు. IKE-ప్రారంభించబడిన IPsec సొరంగాలు సురక్షిత ప్యాకెట్ రవాణాను నిర్ధారించడానికి ప్రమాణీకరణ మరియు గుప్తీకరణను అందిస్తాయి. మీరు IPsec ఇంటర్‌ఫేస్‌ను కాన్ఫిగర్ చేయడం ద్వారా IKE-ప్రారంభించబడిన IPsec టన్నెల్‌ను సృష్టించారు. IPsec ఇంటర్‌ఫేస్‌లు లాజికల్ ఇంటర్‌ఫేస్‌లు, మరియు మీరు వాటిని ఇతర భౌతిక ఇంటర్‌ఫేస్‌ల వలె కాన్ఫిగర్ చేస్తారు. మీరు IPsec ఇంటర్‌ఫేస్‌లో IKE ప్రోటోకాల్ పారామితులను కాన్ఫిగర్ చేస్తారు మరియు మీరు ఇతర ఇంటర్‌ఫేస్ లక్షణాలను కాన్ఫిగర్ చేయవచ్చు.

గమనిక IKE వెర్షన్ 2ని ఉపయోగించాలని సిస్కో సిఫార్సు చేస్తోంది. Cisco SD-WAN 19.2.x విడుదల నుండి, ముందుగా షేర్ చేసిన కీ కనీసం 16 బైట్‌ల పొడవు ఉండాలి. రూటర్ వెర్షన్ 16కి అప్‌గ్రేడ్ చేయబడినప్పుడు కీ పరిమాణం 19.2 అక్షరాల కంటే తక్కువగా ఉంటే IPsec టన్నెల్ ఏర్పాటు విఫలమవుతుంది.

గమనిక
Cisco Catalyst SD-WAN సాఫ్ట్‌వేర్ RFC 2లో నిర్వచించినట్లుగా IKE వెర్షన్ 7296కి మద్దతు ఇస్తుంది. IPsec టన్నెల్‌ల కోసం ఒక ఉపయోగం Amazon AWSలో నడుస్తున్న vEdge క్లౌడ్ రూటర్ VM ఇన్‌స్టాన్స్‌లను Amazon వర్చువల్ ప్రైవేట్ క్లౌడ్ (VPC)కి కనెక్ట్ చేయడానికి అనుమతించడం. మీరు ఈ రూటర్లలో IKE వెర్షన్ 1ని కాన్ఫిగర్ చేయాలి. Cisco vEdge పరికరాలు IPSec కాన్ఫిగరేషన్‌లో రూట్-ఆధారిత VPNలకు మాత్రమే మద్దతు ఇస్తాయి ఎందుకంటే ఈ పరికరాలు ఎన్‌క్రిప్షన్ డొమైన్‌లో ట్రాఫిక్ సెలెక్టర్‌లను నిర్వచించలేవు.

IPsec టన్నెల్‌ను కాన్ఫిగర్ చేయండి
సేవా నెట్‌వర్క్ నుండి సురక్షిత రవాణా ట్రాఫిక్ కోసం IPsec టన్నెల్ ఇంటర్‌ఫేస్‌ను కాన్ఫిగర్ చేయడానికి, మీరు లాజికల్ IPsec ఇంటర్‌ఫేస్‌ను సృష్టించండి:CISCO-SD-WAN-కాన్ఫిగర్-సెక్యూరిటీ-పారామీటర్లు-FIG-9

మీరు రవాణా VPN (VPN 0)లో మరియు ఏదైనా సేవ VPN (VPN 1 నుండి 65530 వరకు, 512 మినహా) IPsec టన్నెల్‌ని సృష్టించవచ్చు. IPsec ఇంటర్‌ఫేస్‌కు ipsecnumber ఫార్మాట్‌లో పేరు ఉంది, ఇక్కడ సంఖ్య 1 నుండి 255 వరకు ఉండవచ్చు. ప్రతి IPsec ఇంటర్‌ఫేస్ తప్పనిసరిగా IPv4 చిరునామాను కలిగి ఉండాలి. ఈ చిరునామా తప్పనిసరిగా /30 ఉపసర్గ అయి ఉండాలి. ఈ IPv4 ఉపసర్గలో ఉన్న VPNలోని ట్రాఫిక్ మొత్తం VPN 0లోని భౌతిక ఇంటర్‌ఫేస్‌కు IPsec సొరంగం ద్వారా సురక్షితంగా పంపబడుతుంది. స్థానిక పరికరంలో IPsec టన్నెల్ యొక్క మూలాన్ని కాన్ఫిగర్ చేయడానికి, మీరు దీని IP చిరునామాను పేర్కొనవచ్చు భౌతిక ఇంటర్‌ఫేస్ (టన్నెల్-సోర్స్ కమాండ్‌లో) లేదా ఫిజికల్ ఇంటర్‌ఫేస్ పేరు (టన్నెల్-సోర్స్-ఇంటర్‌ఫేస్ కమాండ్‌లో). భౌతిక ఇంటర్‌ఫేస్ VPN 0లో కాన్ఫిగర్ చేయబడిందని నిర్ధారించుకోండి. IPsec టన్నెల్ యొక్క గమ్యాన్ని కాన్ఫిగర్ చేయడానికి, tunnel-destination కమాండ్‌లో రిమోట్ పరికరం యొక్క IP చిరునామాను పేర్కొనండి. సోర్స్ అడ్రస్ (లేదా సోర్స్ ఇంటర్‌ఫేస్ పేరు) మరియు గమ్యస్థాన చిరునామా కలయిక ఒకే IPsec టన్నెల్‌ని నిర్వచిస్తుంది. నిర్దిష్ట సోర్స్ చిరునామా (లేదా ఇంటర్‌ఫేస్ పేరు) మరియు గమ్య చిరునామా జతను ఉపయోగించే ఒక IPsec సొరంగం మాత్రమే ఉనికిలో ఉంటుంది.

IPsec స్టాటిక్ రూట్‌ను కాన్ఫిగర్ చేయండి

VPN సేవ VPN నుండి IPsec టన్నెల్‌కు రవాణా VPN (VPN 0)లో ట్రాఫిక్‌ను మళ్లించడానికి, మీరు VPN సేవలో IPsec-నిర్దిష్ట స్టాటిక్ మార్గాన్ని కాన్ఫిగర్ చేస్తారు (VPN 0 లేదా VPN 512 కాకుండా VPN) :

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route ఉపసర్గ/పొడవు vpn 0 ఇంటర్‌ఫేస్
  • ipsecnumber [ipsecnumber2]

VPN ID అనేది ఏదైనా సేవ VPN (VPN 1 నుండి 65530 వరకు, 512 మినహా). ఉపసర్గ/పొడవు అనేది IP చిరునామా లేదా ఉపసర్గ, దశాంశ నాలుగు-భాగాల-చుక్కల సంజ్ఞామానం మరియు IPsec-నిర్దిష్ట స్టాటిక్ రూట్ యొక్క ఉపసర్గ పొడవు. ఇంటర్‌ఫేస్ VPN 0లో IPsec టన్నెల్ ఇంటర్‌ఫేస్. మీరు ఒకటి లేదా రెండు IPsec టన్నెల్ ఇంటర్‌ఫేస్‌లను కాన్ఫిగర్ చేయవచ్చు. మీరు రెండింటిని కాన్ఫిగర్ చేస్తే, మొదటిది ప్రైమరీ IPsec టన్నెల్ మరియు రెండవది బ్యాకప్. రెండు ఇంటర్‌ఫేస్‌లతో, అన్ని ప్యాకెట్‌లు ప్రాథమిక టన్నెల్‌కు మాత్రమే పంపబడతాయి. ఆ సొరంగం విఫలమైతే, అన్ని ప్యాకెట్లు సెకండరీ టన్నెల్‌కి పంపబడతాయి. ప్రాథమిక సొరంగం తిరిగి పైకి వస్తే, ట్రాఫిక్ మొత్తం ప్రాథమిక IPsec టన్నెల్‌కు తరలించబడుతుంది.

IKE వెర్షన్ 1ని ప్రారంభించండి
మీరు vEdge రూటర్‌లో IPsec టన్నెల్‌ని సృష్టించినప్పుడు, IKE వెర్షన్ 1 సొరంగం ఇంటర్‌ఫేస్‌లో డిఫాల్ట్‌గా ప్రారంభించబడుతుంది. IKEv1 కోసం కింది లక్షణాలు డిఫాల్ట్‌గా కూడా ప్రారంభించబడ్డాయి:

  • సమగ్రత కోసం HMAC-SHA256 కీడ్-హాష్ సందేశ ప్రమాణీకరణ కోడ్ అల్గారిథమ్‌తో ప్రామాణీకరణ మరియు గుప్తీకరణ-AES-1 అధునాతన గుప్తీకరణ ప్రామాణిక CBC ఎన్‌క్రిప్షన్
  • డిఫ్ఫీ-హెల్మాన్ సమూహం సంఖ్య-16
  • రీకీయింగ్ సమయ విరామం-4 గంటలు
  • SA ఏర్పాటు మోడ్-ప్రధాన

డిఫాల్ట్‌గా, IKE SAలను స్థాపించడానికి IKEv1 IKE మెయిన్ మోడ్‌ని ఉపయోగిస్తుంది. ఈ మోడ్‌లో, SAను స్థాపించడానికి ఆరు చర్చల ప్యాకెట్‌లు మార్పిడి చేయబడతాయి. మూడు చర్చల ప్యాకెట్లను మాత్రమే మార్పిడి చేయడానికి, దూకుడు మోడ్‌ను ప్రారంభించండి:

గమనిక
ముందుగా షేర్ చేసిన కీలతో IKE అగ్రెసివ్ మోడ్‌ను వీలైనంత వరకు నివారించాలి. లేదంటే బలమైన ప్రీ-షేర్డ్ కీని ఎంచుకోవాలి.

  • vEdge(config)# vpn vpn-id ఇంటర్‌ఫేస్ ipsec నంబర్ ike
  • vEdge(config-ike)# మోడ్ దూకుడు

డిఫాల్ట్‌గా, IKEv1 IKE కీ మార్పిడిలో Diffie-Hellman group 16ని ఉపయోగిస్తుంది. ఈ సమూహం IKE కీ మార్పిడి సమయంలో 4096-బిట్ మోర్ మాడ్యులర్ ఎక్స్‌పోనెన్షియల్ (MODP) సమూహాన్ని ఉపయోగిస్తుంది. మీరు సమూహం సంఖ్యను 2 (1024-బిట్ MODP కోసం), 14 (2048-బిట్ MODP) లేదా 15 (3072-బిట్ MODP)కి మార్చవచ్చు:

  • vEdge(config)# vpn vpn-id ఇంటర్‌ఫేస్ ipsec నంబర్ ike
  • vEdge(config-ike)# సమూహ సంఖ్య

డిఫాల్ట్‌గా, IKE కీ మార్పిడి సమగ్రత కోసం HMAC-SHA256 కీడ్-హాష్ మెసేజ్ అథెంటికేషన్ కోడ్ అల్గారిథమ్‌తో AES-1 అధునాతన ఎన్‌క్రిప్షన్ స్టాండర్డ్ CBC ఎన్‌క్రిప్షన్‌ని ఉపయోగిస్తుంది. మీరు ప్రమాణీకరణను మార్చవచ్చు:

  • vEdge(config)# vpn vpn-id ఇంటర్‌ఫేస్ ipsec నంబర్ ike
  • vEdge(config-ike)# సైఫర్-సూట్ సూట్

ప్రమాణీకరణ సూట్ కింది వాటిలో ఒకటి కావచ్చు:

  • సమగ్రత కోసం Aes128-cbc-sha1—AES-128 అధునాతన ఎన్‌క్రిప్షన్ ప్రామాణిక CBC ఎన్‌క్రిప్షన్ HMAC-SHA1 కీడ్-హాష్ సందేశ ప్రమాణీకరణ కోడ్ అల్గారిథమ్‌తో
  • సమగ్రత కోసం Aes128-cbc-sha2—AES-128 అధునాతన ఎన్‌క్రిప్షన్ ప్రామాణిక CBC ఎన్‌క్రిప్షన్ HMAC-SHA256 కీడ్-హాష్ సందేశ ప్రమాణీకరణ కోడ్ అల్గారిథమ్‌తో
  • aes256-cbc-sha1—AES-256 సమగ్రత కోసం HMAC-SHA1 కీడ్-హాష్ సందేశ ప్రామాణీకరణ కోడ్ అల్గారిథమ్‌తో అధునాతన ఎన్‌క్రిప్షన్ ప్రామాణిక CBC ఎన్‌క్రిప్షన్; ఇది డిఫాల్ట్.
  • సమగ్రత కోసం Aes256-cbc-sha2—AES-256 అధునాతన ఎన్‌క్రిప్షన్ ప్రామాణిక CBC ఎన్‌క్రిప్షన్ HMAC-SHA256 కీడ్-హాష్ సందేశ ప్రమాణీకరణ కోడ్ అల్గారిథమ్‌తో

డిఫాల్ట్‌గా, IKE కీలు ప్రతి 1 గంటకు (3600 సెకన్లు) రిఫ్రెష్ చేయబడతాయి. మీరు రీకీయింగ్ విరామాన్ని 30 సెకన్ల నుండి 14 రోజుల (1209600 సెకన్లు) వరకు విలువకు మార్చవచ్చు. రీకీయింగ్ విరామం కనీసం 1 గంట ఉండాలని సిఫార్సు చేయబడింది.

  • vEdge(config)# vpn vpn-id ఇంటర్‌ఫేస్ ipsec నంబర్ వంటిది
  • vEdge(config-ike)# రీకీ సెకన్లు

IKE సెషన్ కోసం కొత్త కీల ఉత్పత్తిని బలవంతం చేయడానికి, అభ్యర్థన ipsec ike-rekey ఆదేశాన్ని జారీ చేయండి.

  • vEdge(config)# vpn vpn-id interfaceipsec నంబర్ ike

IKE కోసం, మీరు ప్రీషేర్డ్ కీ (PSK) ప్రమాణీకరణను కూడా కాన్ఫిగర్ చేయవచ్చు:

  • vEdge(config)# vpn vpn-id ఇంటర్‌ఫేస్ ipsec నంబర్ ike
  • vEdge(config-ike)# ప్రమాణీకరణ-రకం ప్రీ-షేర్డ్-కీ ప్రీ-షేర్డ్-సీక్రెట్ పాస్‌వర్డ్ పాస్‌వర్డ్ ప్రీ-షేర్డ్ కీతో ఉపయోగించడానికి పాస్‌వర్డ్. ఇది 1 నుండి 127 అక్షరాల పొడవు గల ASCII లేదా హెక్సాడెసిమల్ స్ట్రింగ్ కావచ్చు.

రిమోట్ IKE పీర్‌కి స్థానిక లేదా రిమోట్ ID అవసరమైతే, మీరు ఈ ఐడెంటిఫైయర్‌ను కాన్ఫిగర్ చేయవచ్చు:

  • vEdge(config)# vpn vpn-id ఇంటర్‌ఫేస్ ipsec నంబర్ ఐకే అథెంటికేషన్-టైప్
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# రిమోట్-id id

ఐడెంటిఫైయర్ IP చిరునామా లేదా 1 నుండి 63 అక్షరాల పొడవు గల ఏదైనా టెక్స్ట్ స్ట్రింగ్ కావచ్చు. డిఫాల్ట్‌గా, స్థానిక ID అనేది టన్నెల్ యొక్క మూలం IP చిరునామా మరియు రిమోట్ ID అనేది టన్నెల్ యొక్క గమ్యస్థాన IP చిరునామా.

IKE వెర్షన్ 2ని ప్రారంభించండి
మీరు IKE వెర్షన్ 2ని ఉపయోగించడానికి IPsec టన్నెల్‌ను కాన్ఫిగర్ చేసినప్పుడు, IKEv2 కోసం కింది లక్షణాలు డిఫాల్ట్‌గా కూడా ప్రారంభించబడతాయి:

  • సమగ్రత కోసం HMAC-SHA256 కీడ్-హాష్ సందేశ ప్రమాణీకరణ కోడ్ అల్గారిథమ్‌తో ప్రామాణీకరణ మరియు గుప్తీకరణ-AES-1 అధునాతన గుప్తీకరణ ప్రామాణిక CBC ఎన్‌క్రిప్షన్
  • డిఫ్ఫీ-హెల్మాన్ సమూహం సంఖ్య-16
  • రీకీయింగ్ సమయ విరామం-4 గంటలు

డిఫాల్ట్‌గా, IKEv2 IKE కీ మార్పిడిలో Diffie-Hellman group 16ని ఉపయోగిస్తుంది. ఈ సమూహం IKE కీ మార్పిడి సమయంలో 4096-బిట్ మోర్ మాడ్యులర్ ఎక్స్‌పోనెన్షియల్ (MODP) సమూహాన్ని ఉపయోగిస్తుంది. మీరు సమూహం సంఖ్యను 2 (1024-బిట్ MODP కోసం), 14 (2048-బిట్ MODP) లేదా 15 (3072-బిట్ MODP)కి మార్చవచ్చు:

  • vEdge(config)# vpn vpn-id ఇంటర్‌ఫేస్ ipsecnumber ike
  • vEdge(config-ike)# సమూహ సంఖ్య

డిఫాల్ట్‌గా, IKE కీ మార్పిడి సమగ్రత కోసం HMAC-SHA256 కీడ్-హాష్ మెసేజ్ అథెంటికేషన్ కోడ్ అల్గారిథమ్‌తో AES-1 అధునాతన ఎన్‌క్రిప్షన్ స్టాండర్డ్ CBC ఎన్‌క్రిప్షన్‌ని ఉపయోగిస్తుంది. మీరు ప్రమాణీకరణను మార్చవచ్చు:

  • vEdge(config)# vpn vpn-id ఇంటర్‌ఫేస్ ipsecnumber ike
  • vEdge(config-ike)# సైఫర్-సూట్ సూట్

ప్రమాణీకరణ సూట్ కింది వాటిలో ఒకటి కావచ్చు:

  • సమగ్రత కోసం Aes128-cbc-sha1—AES-128 అధునాతన ఎన్‌క్రిప్షన్ ప్రామాణిక CBC ఎన్‌క్రిప్షన్ HMAC-SHA1 కీడ్-హాష్ సందేశ ప్రమాణీకరణ కోడ్ అల్గారిథమ్‌తో
  • సమగ్రత కోసం Aes128-cbc-sha2—AES-128 అధునాతన ఎన్‌క్రిప్షన్ ప్రామాణిక CBC ఎన్‌క్రిప్షన్ HMAC-SHA256 కీడ్-హాష్ సందేశ ప్రమాణీకరణ కోడ్ అల్గారిథమ్‌తో
  • aes256-cbc-sha1—AES-256 సమగ్రత కోసం HMAC-SHA1 కీడ్-హాష్ సందేశ ప్రామాణీకరణ కోడ్ అల్గారిథమ్‌తో అధునాతన ఎన్‌క్రిప్షన్ ప్రామాణిక CBC ఎన్‌క్రిప్షన్; ఇది డిఫాల్ట్.
  • సమగ్రత కోసం Aes256-cbc-sha2—AES-256 అధునాతన ఎన్‌క్రిప్షన్ ప్రామాణిక CBC ఎన్‌క్రిప్షన్ HMAC-SHA256 కీడ్-హాష్ సందేశ ప్రమాణీకరణ కోడ్ అల్గారిథమ్‌తో

డిఫాల్ట్‌గా, IKE కీలు ప్రతి 4 గంటలకు (14,400 సెకన్లు) రిఫ్రెష్ చేయబడతాయి. మీరు రీకీయింగ్ విరామాన్ని 30 సెకన్ల నుండి 14 రోజుల వరకు (1209600 సెకన్లు) విలువకు మార్చవచ్చు:

  • vEdge(config)# vpn vpn-id ఇంటర్‌ఫేస్ ipsecnumber ike
  • vEdge(config-ike)# రీకీ సెకన్లు

IKE సెషన్ కోసం కొత్త కీల ఉత్పత్తిని బలవంతం చేయడానికి, అభ్యర్థన ipsec ike-rekey ఆదేశాన్ని జారీ చేయండి. IKE కోసం, మీరు ప్రీషేర్డ్ కీ (PSK) ప్రమాణీకరణను కూడా కాన్ఫిగర్ చేయవచ్చు:

  • vEdge(config)# vpn vpn-id ఇంటర్‌ఫేస్ ipsecnumber ike
  • vEdge(config-ike)# ప్రమాణీకరణ-రకం ప్రీ-షేర్డ్-కీ ప్రీ-షేర్డ్-సీక్రెట్ పాస్‌వర్డ్ పాస్‌వర్డ్ ప్రీ-షేర్డ్ కీతో ఉపయోగించడానికి పాస్‌వర్డ్. ఇది ASCII లేదా హెక్సాడెసిమల్ స్ట్రింగ్ కావచ్చు లేదా ఇది AES-ఎన్‌క్రిప్టెడ్ కీ కావచ్చు. రిమోట్ IKE పీర్‌కి స్థానిక లేదా రిమోట్ ID అవసరమైతే, మీరు ఈ ఐడెంటిఫైయర్‌ను కాన్ఫిగర్ చేయవచ్చు:
  • vEdge(config)# vpn vpn-id ఇంటర్‌ఫేస్ ipsecnumber ike authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# రిమోట్-id id

ఐడెంటిఫైయర్ IP చిరునామా లేదా 1 నుండి 64 అక్షరాల పొడవు గల ఏదైనా టెక్స్ట్ స్ట్రింగ్ కావచ్చు. డిఫాల్ట్‌గా, స్థానిక ID అనేది టన్నెల్ యొక్క మూలం IP చిరునామా మరియు రిమోట్ ID అనేది టన్నెల్ యొక్క గమ్యస్థాన IP చిరునామా.

IPsec టన్నెల్ పారామితులను కాన్ఫిగర్ చేయండి

టేబుల్ 4: ఫీచర్ హిస్టరీ

ఫీచర్ పేరు విడుదల సమాచారం వివరణ
అదనపు క్రిప్టోగ్రాఫిక్ సిస్కో SD-WAN విడుదల 20.1.1 ఈ ఫీచర్ మద్దతును జోడిస్తుంది
IPSec కోసం అల్గారిథమిక్ మద్దతు   HMAC_SHA256, HMAC_SHA384 మరియు
సొరంగాలు   HMAC_SHA512 అల్గారిథమ్‌లు
    మెరుగైన భద్రత.

డిఫాల్ట్‌గా, IKE ట్రాఫిక్‌ను కలిగి ఉన్న IPsec సొరంగంలో క్రింది పారామితులు ఉపయోగించబడతాయి:

  • GCM (గాలోయిస్/కౌంటర్ మోడ్)లో ప్రామాణీకరణ మరియు ఎన్‌క్రిప్షన్-AES-256 అల్గోరిథం
  • రీకీయింగ్ విరామం-4 గంటలు
  • రీప్లే విండో-32 ప్యాకెట్లు

మీరు IPsec టన్నెల్‌పై గుప్తీకరణను CBCలోని AES-256 సాంకేతికలిపికి మార్చవచ్చు (సైఫర్ బ్లాక్ చైనింగ్ మోడ్, HMACతో SHA-1 లేదా SHA-2 కీడ్-హాష్ మెసేజ్ ప్రామాణీకరణ లేదా SHA-1 లేదా HMACతో శూన్యం SHA-2 కీడ్-హాష్ సందేశ ప్రామాణీకరణ, IKE కీ మార్పిడి ట్రాఫిక్ కోసం ఉపయోగించే IPsec టన్నెల్‌ను గుప్తీకరించకుండా ఉండటానికి:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# సైఫర్-సూట్ (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null1-null-sha256 | aes256-null-sha256 | aes384-null-sha256)

డిఫాల్ట్‌గా, IKE కీలు ప్రతి 4 గంటలకు (14,400 సెకన్లు) రిఫ్రెష్ చేయబడతాయి. మీరు రీకీయింగ్ విరామాన్ని 30 సెకన్ల నుండి 14 రోజుల వరకు (1209600 సెకన్లు) విలువకు మార్చవచ్చు:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# రీకీ సెకన్లు

IPsec టన్నెల్ కోసం కొత్త కీల ఉత్పత్తిని బలవంతం చేయడానికి, అభ్యర్థన ipsec ipsec-rekey ఆదేశాన్ని జారీ చేయండి. డిఫాల్ట్‌గా, భవిష్యత్ కీలు రాజీపడితే గత సెషన్‌లు ప్రభావితం కాకుండా ఉండేలా IPsec టన్నెల్స్‌లో పర్ఫెక్ట్ ఫార్వర్డ్ సీక్రెసీ (PFS) ప్రారంభించబడుతుంది. 4096-బిట్ Diffie-Hellman ప్రైమ్ మాడ్యూల్ సమూహాన్ని ఉపయోగించి డిఫాల్ట్‌గా కొత్త Diffie-Hellman కీ మార్పిడిని PFS బలవంతం చేస్తుంది. మీరు PFS సెట్టింగ్‌ని మార్చవచ్చు:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-సెట్టింగ్ కింది వాటిలో ఒకటి కావచ్చు:

  • group-2—1024-bit Diffie-Hellman ప్రైమ్ మాడ్యులస్ సమూహాన్ని ఉపయోగించండి.
  • group-14—2048-bit Diffie-Hellman ప్రైమ్ మాడ్యులస్ సమూహాన్ని ఉపయోగించండి.
  • group-15—3072-bit Diffie-Hellman ప్రైమ్ మాడ్యులస్ సమూహాన్ని ఉపయోగించండి.
  • group-16—4096-bit Diffie-Hellman ప్రైమ్ మాడ్యులస్ సమూహాన్ని ఉపయోగించండి. ఇది డిఫాల్ట్.
  • ఏదీ లేదు—PFSని నిలిపివేయండి.

డిఫాల్ట్‌గా, IPsec టన్నెల్‌లో IPsec రీప్లే విండో 512 బైట్లు. మీరు రీప్లే విండో పరిమాణాన్ని 64, 128, 256, 512, 1024, 2048 లేదా 4096 ప్యాకెట్‌లకు సెట్ చేయవచ్చు:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# రీప్లే-విండో నంబర్

IKE డెడ్-పీర్ డిటెక్షన్‌ని సవరించండి

IKE పీర్‌కి కనెక్షన్ ఫంక్షనల్ మరియు రీచ్‌బుల్ కాదా అని నిర్ధారించడానికి IKE డెడ్-పీర్ డిటెక్షన్ మెకానిజంను ఉపయోగిస్తుంది. ఈ విధానాన్ని అమలు చేయడానికి, IKE తన పీర్‌కు హలో ప్యాకెట్‌ను పంపుతుంది మరియు పీర్ ప్రతిస్పందనగా ఒక రసీదుని పంపుతుంది. డిఫాల్ట్‌గా, IKE ప్రతి 10 సెకన్లకు హలో ప్యాకెట్‌లను పంపుతుంది మరియు మూడు గుర్తించబడని ప్యాకెట్‌ల తర్వాత, IKE పొరుగువారిని చనిపోయినట్లు ప్రకటించింది మరియు తోటివారికి సొరంగాన్ని కూల్చివేస్తుంది. ఆ తర్వాత, IKE క్రమానుగతంగా పీర్‌కి హలో ప్యాకెట్‌ను పంపుతుంది మరియు పీర్ ఆన్‌లైన్‌కి తిరిగి వచ్చినప్పుడు సొరంగంను మళ్లీ ఏర్పాటు చేస్తుంది. మీరు లైవ్‌నెస్ డిటెక్షన్ విరామాన్ని 0 నుండి 65535 వరకు విలువకు మార్చవచ్చు మరియు మీరు మళ్లీ ప్రయత్నాల సంఖ్యను 0 నుండి 255 వరకు విలువకు మార్చవచ్చు.

గమనిక

రవాణా VPNల కోసం, కింది ఫార్ములాని ఉపయోగించడం ద్వారా లైవ్‌నెస్ డిటెక్షన్ విరామం సెకన్లుగా మార్చబడుతుంది: పునఃప్రసార ప్రయత్నం సంఖ్య N = విరామం * 1.8N-1ఉదా.ample, విరామం 10కి సెట్ చేయబడి, 5కి మళ్లీ ప్రయత్నిస్తే, గుర్తింపు విరామం క్రింది విధంగా పెరుగుతుంది:

  • ప్రయత్నం 1: 10 * 1.81-1= 10 సెకన్లు
  • ప్రయత్నం 2: 10 * 1.82-1= 18 సెకన్లు
  • ప్రయత్నం 3: 10 * 1.83-1= 32.4 సెకన్లు
  • ప్రయత్నం 4: 10 * 1.84-1= 58.32 సెకన్లు
  • ప్రయత్నం 5: 10 * 1.85-1= 104.976 సెకన్లు

vEdge(config-interface-ipsecnumber)# Dead-peer-detection interval retries నంబర్

ఇతర ఇంటర్ఫేస్ లక్షణాలను కాన్ఫిగర్ చేయండి

IPsec టన్నెల్ ఇంటర్‌ఫేస్‌ల కోసం, మీరు క్రింది అదనపు ఇంటర్‌ఫేస్ లక్షణాలను మాత్రమే కాన్ఫిగర్ చేయవచ్చు:

  • vEdge(config-interface-ipsec)# mtu బైట్లు
  • vEdge(config-interface-ipsec)# tcp-mss-అడ్జస్ట్ బైట్‌లు

సిస్కో SD-WAN మేనేజర్‌లో బలహీనమైన SSH ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను నిలిపివేయండి

టేబుల్ 5: ఫీచర్ హిస్టరీ టేబుల్

ఫీచర్ పేరు విడుదల సమాచారం ఫీచర్ వివరణ
సిస్కో SD-WAN మేనేజర్‌లో బలహీనమైన SSH ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను నిలిపివేయండి సిస్కో vManage విడుదల 20.9.1 నిర్దిష్ట డేటా భద్రతా ప్రమాణాలకు అనుగుణంగా ఉండని సిస్కో SD-WAN మేనేజర్‌లో బలహీనమైన SSH అల్గారిథమ్‌లను నిలిపివేయడానికి ఈ ఫీచర్ మిమ్మల్ని అనుమతిస్తుంది.

సిస్కో SD-WAN మేనేజర్‌లో బలహీనమైన SSH ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను నిలిపివేయడం గురించి సమాచారం
Cisco SD-WAN మేనేజర్ కంట్రోలర్‌లు మరియు అంచు పరికరాలతో సహా నెట్‌వర్క్‌లోని భాగాలతో కమ్యూనికేషన్ కోసం SSH క్లయింట్‌ను అందిస్తుంది. వివిధ రకాల ఎన్‌క్రిప్షన్ అల్గారిథమ్‌ల ఆధారంగా సురక్షిత డేటా బదిలీ కోసం SSH క్లయింట్ ఎన్‌క్రిప్టెడ్ కనెక్షన్‌ను అందిస్తుంది. అనేక సంస్థలకు SHA-1, AES-128 మరియు AES-192 అందించిన దాని కంటే బలమైన ఎన్‌క్రిప్షన్ అవసరం. Cisco vManage విడుదల 20.9.1 నుండి, మీరు క్రింది బలహీనమైన ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను నిలిపివేయవచ్చు, తద్వారా SSH క్లయింట్ ఈ అల్గారిథమ్‌లను ఉపయోగించదు:

  • SHA-1
  • AES-128
  • AES-192

ఈ ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను డిసేబుల్ చేసే ముందు, Cisco vEdge పరికరాలు ఏదైనా ఉంటే, నెట్‌వర్క్‌లో Cisco SD-WAN విడుదల 18.4.6 కంటే సాఫ్ట్‌వేర్ విడుదలను ఉపయోగిస్తున్నాయని నిర్ధారించుకోండి.

సిస్కో SD-WAN మేనేజర్‌లో బలహీనమైన SSH ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను నిలిపివేయడం వల్ల కలిగే ప్రయోజనాలు
బలహీనమైన SSH ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను నిలిపివేయడం వలన SSH కమ్యూనికేషన్ యొక్క భద్రత మెరుగుపడుతుంది మరియు Cisco Catalyst SD-WANని ఉపయోగించే సంస్థలు కఠినమైన భద్రతా నిబంధనలకు అనుగుణంగా ఉన్నాయని నిర్ధారిస్తుంది.

CLIని ఉపయోగించి సిస్కో SD-WAN మేనేజర్‌లో బలహీనమైన SSH ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను నిలిపివేయండి

  1. Cisco SD-WAN మేనేజర్ మెను నుండి, టూల్స్ > SSH టెర్మినల్ ఎంచుకోండి.
  2. మీరు బలహీనమైన SSH అల్గారిథమ్‌లను డిసేబుల్ చేయాలనుకుంటున్న Cisco SD-WAN మేనేజర్ పరికరాన్ని ఎంచుకోండి.
  3. పరికరానికి లాగిన్ చేయడానికి వినియోగదారు పేరు మరియు పాస్‌వర్డ్‌ను నమోదు చేయండి.
  4. SSH సర్వర్ మోడ్‌ను నమోదు చేయండి.
    • vmanage(config)# సిస్టమ్
    • vmanage(config-system)# ssh-server
  5. SSH ఎన్‌క్రిప్షన్ అల్గారిథమ్‌ను నిలిపివేయడానికి కింది వాటిలో ఒకదాన్ని చేయండి:
    • SHA-1ని నిలిపివేయండి:
  6. నిర్వహించండి(config-ssh-server)# kex-algo sha1 లేదు
  7. నిర్వహించండి(config-ssh-server)# కట్టుబడి
    కింది హెచ్చరిక సందేశం ప్రదర్శించబడుతుంది: కింది హెచ్చరికలు రూపొందించబడ్డాయి: 'system ssh-server kex-algo sha1': హెచ్చరిక: దయచేసి vManageతో SHA18.4.6 కంటే మెరుగ్గా చర్చలు జరిపే కోడ్ వెర్షన్ > 1ని అమలు చేసే మీ అన్ని అంచులు ఉండేలా చూసుకోండి. లేదంటే ఆ అంచులు ఆఫ్‌లైన్‌గా మారవచ్చు. కొనసాగించాలా? [అవును, కాదు] అవును
    • నెట్‌వర్క్‌లోని ఏవైనా Cisco vEdge పరికరాలు Cisco SD-WAN విడుదల 18.4.6 లేదా తర్వాత రన్ అవుతున్నాయని నిర్ధారించుకోండి మరియు అవును అని నమోదు చేయండి.
    • AES-128 మరియు AES-192ని నిలిపివేయండి:
    • vmanage(config-ssh-server)# సైఫర్ aes-128-192 లేదు
    • vmanage(config-ssh-server)# కమిట్
      కింది హెచ్చరిక సందేశం ప్రదర్శించబడుతుంది:
      కింది హెచ్చరికలు రూపొందించబడ్డాయి:
      'system ssh-server సైఫర్ aes-128-192': హెచ్చరిక: దయచేసి మీ అన్ని అంచులు vManageతో AES-18.4.6-128 కంటే మెరుగ్గా చర్చలు జరిపే కోడ్ వెర్షన్ > 192ను అమలు చేస్తున్నాయని నిర్ధారించుకోండి. లేదంటే ఆ అంచులు ఆఫ్‌లైన్‌గా మారవచ్చు. కొనసాగించాలా? [అవును, కాదు] అవును
    • నెట్‌వర్క్‌లోని ఏవైనా Cisco vEdge పరికరాలు Cisco SD-WAN విడుదల 18.4.6 లేదా తర్వాత రన్ అవుతున్నాయని నిర్ధారించుకోండి మరియు అవును అని నమోదు చేయండి.

CLIని ఉపయోగించి సిస్కో SD-WAN మేనేజర్‌లో బలహీనమైన SSH ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లు నిలిపివేయబడి ఉన్నాయని ధృవీకరించండి

  1. Cisco SD-WAN మేనేజర్ మెను నుండి, టూల్స్ > SSH టెర్మినల్ ఎంచుకోండి.
  2. మీరు ధృవీకరించాలనుకునే Cisco SD-WAN మేనేజర్ పరికరాన్ని ఎంచుకోండి.
  3. పరికరానికి లాగిన్ చేయడానికి వినియోగదారు పేరు మరియు పాస్‌వర్డ్‌ను నమోదు చేయండి.
  4. కింది ఆదేశాన్ని అమలు చేయండి: రన్నింగ్-కాన్ఫిగర్ సిస్టమ్ ssh-సర్వర్‌ని చూపండి
  5. బలహీనమైన ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను డిసేబుల్ చేసే ఒకటి లేదా అంతకంటే ఎక్కువ ఆదేశాలను అవుట్‌పుట్ చూపుతుందని నిర్ధారించండి:
    • ఏ సాంకేతికలిపి aes-128-192
    • kex-algo sha1 లేదు

పత్రాలు / వనరులు

CISCO SD-WAN భద్రతా పారామితులను కాన్ఫిగర్ చేయండి [pdf] యూజర్ గైడ్
SD-WAN భద్రతా పారామితులను కాన్ఫిగర్ చేయండి, SD-WAN, భద్రతా పారామితులను కాన్ఫిగర్ చేయండి, భద్రతా పారామితులను కాన్ఫిగర్ చేయండి

సూచనలు

వ్యాఖ్యానించండి

మీ ఇమెయిల్ చిరునామా ప్రచురించబడదు. అవసరమైన ఫీల్డ్‌లు గుర్తించబడ్డాయి *