Мундариҷа пинҳон
1 CISCO SD-WAN Танзимоти Параметрҳои Амният
2 Параметрҳои амниятро танзим кунед
3 Параметрҳои амнияти ҳавопаймои идоракуниро танзим кунед
4 Танзимоти DTLS дар Cisco SD-WAN Manager
5 Параметрҳои амнияти ҳавопаймои маълумотро танзим кунед
6 Намудҳои аутентификатсияи иҷозатдодашударо танзим кунед
7 Тағйир додани вақтсанҷи дубора
8 Андозаи равзанаи зидди такрориро тағир диҳед
9 Масири статикии IPsec-ро танзим кунед
10 Параметрҳои нақби IPsec-ро танзим кунед
11 Тағир додани IKE Dead-Peer Detection
12 Дигар хосиятҳои интерфейсро танзим кунед
13 Хомӯш кардани алгоритмҳои рамзгузории SSH заиф дар Cisco SD-WAN Manager
14 Ҳуҷҷатҳо / Сарчашмаҳо
14.1 Иқтибосҳо

CISCO-LOGO

CISCO SD-WAN Танзимоти Параметрҳои Амният

CISCO-SD-WAN-танзимкунӣ-амният-параметрҳои-МАХСУЛОТИ

Параметрҳои амниятро танзим кунед

Шарҳ

Барои ноил шудан ба соддагардонӣ ва мувофиқат, ҳалли Cisco SD-WAN ҳамчун Cisco Catalyst SD-WAN ребрендинг карда шуд. Илова бар ин, аз Cisco IOS XE SD-WAN Release 17.12.1a ва Cisco Catalyst SD-WAN Release 20.12.1, тағйироти ҷузъҳои зерин татбиқ мешаванд: Cisco vManage ба Cisco Catalyst SD-WAN Manager, Cisco vAnalytics ба CiscoWAN CiscoWAN Analytics, Cisco vBond ба Cisco Catalyst SD-WAN Validator ва Cisco vSmart ба Cisco Catalyst SD-WAN Controller. Барои рӯйхати ҳамаҷонибаи ҳама тағйироти номи бренди ҷузъҳо ба ёддоштҳои охирини нашр нигаред. Ҳангоме ки мо ба номҳои нав мегузарем, дар маҷмӯи ҳуҷҷатҳо аз сабаби бархӯрди марҳилавӣ ба навсозии интерфейси корбарии маҳсулоти нармафзор баъзе номувофиқиятҳо ҷой дошта метавонанд.

Ин бахш тасвир мекунад, ки чӣ гуна тағир додани параметрҳои амниятӣ барои ҳавопаймои идоракунӣ ва ҳавопаймои маълумот дар шабакаи қабати Cisco Catalyst SD-WAN.

  • Танзимоти Параметрҳои Амнияти Ҳавопаймои Назорати, дар
  • Танзимоти Параметрҳои амнияти ҳавопаймои маълумот, оид ба
  • Туннелҳои IPsec-и IKE-ро танзим кунед, фаъол
  • Хомӯш кардани алгоритмҳои рамзгузории SSH заиф дар Cisco SD-WAN Manager, дар

Параметрҳои амнияти ҳавопаймои идоракуниро танзим кунед

Бо нобаёнӣ, ҳавопаймои идоракунӣ DTLS-ро ҳамчун протокол истифода мебарад, ки махфиятро дар ҳама нақбҳои он таъмин мекунад. DTLS аз болои UDP кор мекунад. Шумо метавонед протоколи амнияти ҳавопаймои идоракуниро ба TLS, ки тавассути TCP мегузарад, иваз кунед. Сабаби асосии истифодаи TLS дар он аст, ки агар шумо Cisco SD-WAN Controller-ро сервер ҳисоб кунед, деворҳои деворҳо серверҳои TCP-ро нисбат ба серверҳои UDP беҳтар муҳофизат мекунанд. Шумо протоколи нақби ҳавопаймои идоракуниро дар Controller Cisco SD-WAN танзим мекунед: vSmart(config)# протоколи назорати амният tls Бо ин тағйирот, ҳама нақбҳои ҳавопаймои назоратӣ байни Controller Cisco SD-WAN ва роутерҳо ва байни Cisco SD-WAN Controller. ва Cisco SD-WAN Manager TLS-ро истифода мебаранд. Назорати нақбҳои ҳавопаймо ба Cisco Catalyst SD-WAN Validator ҳамеша DTLS-ро истифода мебарад, зеро ин пайвастҳо бояд аз ҷониби UDP идора карда шаванд. Дар домене, ки чанд контроллерҳои Cisco SD-WAN доранд, вақте ки шумо TLS-ро дар яке аз контроллерҳои Cisco SD-WAN танзим мекунед, ҳама нақбҳои ҳавопаймои назоратӣ аз он контроллер то контроллерҳои дигар TLS-ро истифода мебаранд. Ба таври дигар гуфт, TLS ҳамеша бар DTLS бартарӣ дорад. Аммо, аз нуқтаи назари дигар контроллерҳои Cisco SD-WAN, агар шумо TLS-ро дар онҳо танзим накарда бошед, онҳо TLS-ро дар нақби ҳавопаймои назоратӣ танҳо ба он як контролери Cisco SD-WAN истифода мебаранд ва онҳо нақбҳои DTLS-ро ба ҳама дигараш истифода мебаранд. Cisco SD-WAN Controllers ва ба ҳамаи роутерҳои пайвастшудаи онҳо. Барои он ки ҳамаи контроллерҳои Cisco SD-WAN TLS-ро истифода баранд, онро дар ҳамаи онҳо танзим кунед. Бо нобаёнӣ, Controller Cisco SD-WAN дар бандари 23456 барои дархостҳои TLS гӯш мекунад. Барои тағир додани ин: vSmart(config)# назорати амнияти tls-рақами порт Порт метавонад рақами аз 1025 то 65535 бошад. Барои намоиш додани маълумоти бехатарии ҳавопаймои назорат, фармони намоиши пайвастҳои назоратиро дар Cisco SD-WAN Controller истифода баред. Барои мисолample: vSmart-2 # нишон пайвастҳои назорат

CISCO-SD-WAN-танзимкунӣ-амният-параметрҳои-FIG-1

Танзимоти DTLS дар Cisco SD-WAN Manager

Агар шумо Cisco SD-WAN Manager-ро барои истифодаи TLS ҳамчун протоколи амнияти ҳавопаймои идоракунӣ танзим кунед, шумо бояд интиқоли портро дар NAT-и худ фаъол созед. Агар шумо DTLS-ро ҳамчун протоколи амнияти ҳавопаймои идоракунӣ истифода баред, ба шумо ҳеҷ кор кардан лозим нест. Шумораи бандарҳои ирсолшуда аз шумораи равандҳои vdaemon, ки дар Cisco SD-WAN Manager кор мекунанд, вобаста аст. Барои намоиш додани маълумот дар бораи ин равандҳо, дар бораи ва шумораи портҳое, ки интиқол дода мешаванд, истифода баред фармони ҷамъбасти идоракуниро нишон медиҳад, ки чаҳор раванди демон иҷро мешаванд:CISCO-SD-WAN-танзимкунӣ-амният-параметрҳои-FIG-2

Барои дидани портҳои гӯш, фармони show control local-properties -ро истифода баред: vManage# show control local-properties

CISCO-SD-WAN-танзимкунӣ-амният-параметрҳои-FIG-3

Ин натиҷа нишон медиҳад, ки порти гӯш кардани TCP 23456 аст. Агар шумо Cisco SD-WAN Manager-ро дар паси NAT иҷро кунед, шумо бояд портҳои зеринро дар дастгоҳи NAT кушоед:

  • 23456 (базаӣ - порти 0)
  • 23456 + 100 (басо + 100)
  • 23456 + 200 (басо + 200)
  • 23456 + 300 (басо + 300)

Дар хотир доред, ки шумораи мисолҳо бо шумораи ядроҳое, ки шумо барои Менеҷери Cisco SD-WAN таъин кардаед, то ҳадди аксар 8 аст.

Бо истифода аз Шаблон Хусусияти Амният Параметрҳои Амниятро танзим кунед

Шаблони хусусияти Амниятро барои ҳама дастгоҳҳои Cisco vEdge истифода баред. Дар роутерҳои канорӣ ва дар Cisco SD-WAN Validator, ин қолабро барои танзими IPsec барои амнияти ҳавопаймои маълумот истифода баред. Дар Cisco SD-WAN Manager ва Cisco SD-WAN Controller, қолаби хусусияти Амниятро барои танзим кардани DTLS ё TLS барои амнияти ҳавопаймо истифода баред.

Параметрҳои амниятро танзим кунед

  1. Аз менюи Cisco SD-WAN Manager, Конфигуратсия > Шаблонҳоро интихоб кунед.
  2. Шаблонҳои хусусиятро клик кунед ва сипас Иловаи Шаблонро пахш кунед.
    Шарҳ Дар Cisco vManage Release 20.7.1 ва релизҳои қаблӣ Шаблонҳои Хусусият Хусусият номида мешаванд.
  3. Аз рӯйхати Дастгоҳҳо дар панели чап дастгоҳеро интихоб кунед. Шаблонҳои ба дастгоҳи интихобшуда дар панели рост пайдо мешаванд.
  4. Барои кушодани қолаб Амниятро клик кунед.
  5. Дар майдони Номи Шаблон, номро барои қолаб ворид кунед. Ном метавонад то 128 аломат бошад ва танҳо аломатҳои алифбои рақамиро дар бар гирад.
  6. Дар майдони Тавсифи Шаблон тавсифи қолабро ворид кунед. Тавсиф метавонад то 2048 аломат бошад ва метавонад танҳо аломатҳои алифбои рақамиро дар бар гирад.

Вақте ки шумо бори аввал қолаби хусусиятро кушоед, барои ҳар як параметре, ки арзиши пешфарз дорад, миқёс ба Пешфарз муқаррар карда мешавад (бо аломати қайд нишон дода мешавад) ва танзимот ё арзиши пешфарз нишон дода мешавад. Барои тағир додани пешфарз ё ворид кардани арзиш, менюи афтанда дар тарафи чапи майдони параметрро клик кунед ва яке аз имконоти зеринро интихоб кунед:

Ҷадвали 1:

Параметр Доираи Тавсифи доираи
Таҷҳизоти мушаххас (бо нишони мизбон нишон дода шудааст) Барои параметр арзиши мушаххаси дастгоҳро истифода баред. Барои параметрҳои мушаххаси дастгоҳ, шумо наметавонед арзишро дар қолаби хусусият ворид кунед. Ҳангоми пайваст кардани дастгоҳи Viptela ба қолаби дастгоҳ шумо арзишро ворид мекунед.

Вақте ки шумо дастгоҳи мушаххасро пахш мекунед, қуттии Enter Key кушода мешавад. Ин қуттӣ калидеро нишон медиҳад, ки сатри беназирест, ки параметрро дар CSV муайян мекунад file ки шумо эҷод мекунед. Ин file ҷадвали электронии Excel мебошад, ки барои ҳар як калид як сутун дорад. Сатри сарлавҳа номҳои калидҳоро дар бар мегирад (як калид дар як сутун) ва ҳар як сатри баъд аз он ба дастгоҳ мувофиқат мекунад ва арзишҳои калидҳоро барои ин дастгоҳ муайян мекунад. Шумо CSV-ро бор мекунед file вақте ки шумо дастгоҳи Viptela-ро ба қолаби дастгоҳ пайваст мекунед. Барои маълумоти иловагӣ, нигаред ба Сохтани ҷадвали тағирёбандаҳои Шаблон.

Барои тағир додани калиди пешфарз, сатри навро ворид кунед ва курсорро аз қуттии Калиди Enter берун кунед.

Exampҷузъҳои параметрҳои мушаххаси дастгоҳ суроғаи IP-и система, номи мизбон, ҷойгиршавии GPS ва ID-и сайт мебошанд.
Параметр Доираи Тавсифи доираи
Глобалӣ (бо нишони глобус нишон дода шудааст) Қимати параметрро ворид кунед ва он арзишро ба ҳамаи дастгоҳҳо татбиқ кунед.

ExampПараметрҳое, ки шумо метавонед дар саросари ҷаҳон ба як гурӯҳи дастгоҳҳо татбиқ кунед, сервери DNS, сервери системавӣ ва интерфейси MTU мебошанд.

Амнияти назорати ҳавопайморо танзим кунед

Шарҳ
Бахши танзими амнияти ҳавопаймои назоратиро танҳо ба мудири Cisco SD-WAN ва Cisco SD-WAN Controller татбиқ мекунад. Барои танзим кардани протоколи пайвасти ҳавопаймои идоракунӣ дар мисоли Cisco SD-WAN Manager ё Controller Cisco SD-WAN, минтақаи Конфигуратсияи асосӣ -ро интихоб кунед. ва параметрҳои зеринро танзим кунед:

Ҷадвали 2:

Параметр Ном Тавсифи
Протокол Протоколеро интихоб кунед, ки барои пайвастшавии ҳавопаймои назоратӣ ба Controller Cisco SD-WAN истифода мешавад:

• DTLS (DatagАмнияти қабати интиқоли ram). Ин пешфарз аст.

• TLS (Амнияти қабати нақлиёт)
Идоракунии порти TLS Агар шумо TLS-ро интихоб кунед, рақами портро барои истифода танзим кунед:Диапазон: 1025 то 65535Пешфарз: 23456

Захира клик кунед

Амнияти ҳавопаймои маълумотро танзим кунед
Барои танзим кардани амнияти ҳавопаймои додаҳо дар Validator Cisco SD-WAN ё роутери Cisco vEdge, ҷадвалҳои конфигуратсияи асосӣ ва навъи аутентификатсияро интихоб кунед ва параметрҳои зеринро танзим кунед:

Ҷадвали 3:

Параметр Ном Тавсифи
Вақти бозгашт Муайян кунед, ки роутери Cisco vEdge чанд маротиба калиди AES-ро, ки дар пайвасти бехатари DTLS ба Controller Cisco SD-WAN истифода мешавад, иваз мекунад. Агар бозоғозкунии graceful OMP фаъол бошад, вақти такрорӣ бояд на камтар аз ду маротиба аз арзиши вақтсанҷи бозоғозкунии graceful OMP бошад.Диапазон: 10 то 1209600 сония (14 рӯз)Пешфарз: 86400 сония (24 соат)
Равзанаи такрорӣ Андозаи равзанаи такрории слайдро муайян кунед.

Арзишҳо: 64, 128, 256, 512, 1024, 2048, 4096, 8192 бастаҳоПешфарз: 512 баста
IPsec

калидҳои ҷуфтӣ

 Ин бо нобаёнӣ хомӯш карда мешавад. клик кунед On ба кор андохтан.
Параметр Ном Тавсифи
Навъи аутентификатсия Навъҳои аутентификатсияро аз Аутентификатсия Рӯйхат, ва тирчаи ростро пахш кунед, то намудҳои аутентификатсияро ба Рӯйхати интихобшуда сутун.

Намудҳои аутентификатсия, ки аз Cisco SD-WAN Release 20.6.1 дастгирӣ мешаванд:

•  махсусан: Рамзгузории Encapsulating Security Payload (ESP) ва тафтиши якпорчагӣ дар сарлавҳаи ESP -ро фаъол месозад.

•  ip-udp-esp: Рамзгузории ESP-ро фаъол мекунад. Илова ба тафтиши якпорчагӣ дар сарлавҳаи ESP ва бори боркаш, санҷишҳо инчунин сарлавҳаҳои берунии IP ва UDP-ро дар бар мегиранд.

•  ip-udp-esp-no-id: Майдони ID-ро дар сарлавҳаи IP нодида мегирад, то Cisco Catalyst SD-WAN дар якҷоягӣ бо дастгоҳҳои ғайри Cisco кор кунад.

•  ҳеҷ: Санҷиши якпорчагӣ дар бастаҳои IPSec-ро хомӯш мекунад. Мо истифодаи ин хосиятро тавсия намедиҳем.

 

Намудҳои аутентификатсия, ки дар Cisco SD-WAN Release 20.5.1 ва пештар дастгирӣ мешаванд:

•  а-но-ид: Версияи мукаммали AH-SHA1 HMAC ва ESP HMAC-SHA1-ро фаъол созед, ки майдони ID-ро дар сарлавҳаи IP берунии баста сарфи назар мекунад.

•  ах-ша1-хмак: Фаъолсозии AH-SHA1 HMAC ва ESP HMAC-SHA1.

•  ҳеҷ: Ҳеҷ гуна аутентификатсияро интихоб накунед.

•  ша1-хмак: ESP HMAC-SHA1-ро фаъол созед.

 

Шарҳ              Барои дастгоҳи канорие, ки дар Cisco SD-WAN Release 20.5.1 ё пештар кор мекунад, шумо шояд намудҳои аутентификатсияро бо истифода аз Амният шаблон. Вақте ки шумо дастгоҳро ба Cisco SD-WAN Release 20.6.1 ё дертар навсозӣ мекунед, намудҳои интихобшудаи аутентификатсияро дар Амният Шаблон ба намудҳои аутентификатсия, ки аз Cisco SD-WAN Release 20.6.1 дастгирӣ мешавад. Барои навсозии намудҳои аутентификатсия, амалҳои зеринро иҷро кунед:

1.      Аз менюи Cisco SD-WAN Manager, интихоб кунед Конфигуратсия >

Шаблонҳо.

2.      клик кунед Шаблонҳои хусусият.

3.      Пайдо кардани Амният Шаблон барои навсозӣ ва клик кунед ... ва клик кунед Таҳрир.

4.      клик кунед Навсозӣ. Ҳеҷ гуна конфигуратсияро тағир надиҳед.

Менеҷери Cisco SD-WAN навсозӣ мекунад Амният Шаблон барои намоиш додани намудҳои тасдиқи тасдиқшаванда.

Захира клик кунед.

Параметрҳои амнияти ҳавопаймои маълумотро танзим кунед

Дар ҳавопаймои додаҳо, IPsec ба таври нобаёнӣ дар ҳама роутерҳо фаъол аст ва ба таври нобаёнӣ пайвастҳои нақби IPsec версияи мукаммали протоколи Encapsulating Security Payload (ESP) -ро барои тасдиқи аутентификатсия дар нақбҳои IPsec истифода мебаранд. Дар роутерҳо шумо метавонед намуди аутентификатсия, вақтсанҷи дубораи IPsec ва андозаи равзанаи зидди такрори IPsec -ро тағир диҳед.

Намудҳои аутентификатсияи иҷозатдодашударо танзим кунед

Намудҳои аутентификатсия дар Cisco SD-WAN Release 20.6.1 ва баъдтар
Аз Cisco SD-WAN Release 20.6.1, намудҳои зерини якпорчагӣ дастгирӣ карда мешаванд:

  • esp: Ин хосият рамзгузории Encapsulating Security Payload (ESP) ва тафтиши якпорчагӣ дар сарлавҳаи ESP-ро имкон медиҳад.
  • ip-udp-esp: Ин хосият рамзгузории ESP-ро имкон медиҳад. Илова ба тафтиши якпорчагӣ дар сарлавҳаи ESP ва бори пурбор, чекҳо инчунин сарлавҳаҳои берунии IP ва UDP-ро дар бар мегиранд.
  • ip-udp-esp-no-id: Ин хосият ба ip-udp-esp монанд аст, аммо майдони ID-и сарлавҳаи берунии IP нодида гирифта мешавад. Ин хосиятро дар рӯйхати намудҳои якпорчагӣ танзим кунед, то нармафзори Cisco Catalyst SD-WAN майдони ID-ро дар сарлавҳаи IP нодида гирад, то Cisco Catalyst SD-WAN дар якҷоягӣ бо дастгоҳҳои ғайри Cisco кор кунад.
  • ҳеҷ: Ин хосият тафтиши якпорчагӣ дар бастаҳои IPSec-ро хомӯш мекунад. Мо истифодаи ин хосиятро тавсия намедиҳем.

Бо нобаёнӣ, пайвастҳои нақби IPsec версияи мукаммали протоколи Encapsulating Security Payload (ESP) -ро барои тасдиқи аутентификатсия истифода мебаранд. Барои тағир додани намудҳои байниҳамдигарии гуфтушунид ё ғайрифаъол кардани санҷиши беайбӣ, фармони зеринро истифода баред: integrity-type { ҳеҷ | ip-udp-esp | ip-udp-esp-no-id | махсусан }

Намудҳои аутентификатсия пеш аз нашри Cisco SD-WAN 20.6.1
Бо нобаёнӣ, пайвастҳои нақби IPsec версияи мукаммали протоколи Encapsulating Security Payload (ESP) -ро барои тасдиқи аутентификатсия истифода мебаранд. Барои тағир додани намудҳои аутентификатсияи гуфтушунидшуда ё ғайрифаъол кардани аутентификатсия, фармони зеринро истифода баред: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | ҳеҷ) Ба таври пешфарз, IPsec Пайвастҳои нақбӣ AES-GCM-256-ро истифода мебаранд, ки ҳам рамзгузорӣ ва ҳам аутентификатсияро таъмин мекунад. Ҳар як намуди аутентификатсияро бо фармони алоҳидаи амниятии ipsec authentication-type танзим кунед. Вариантҳои фармон ба намудҳои зерини аутентификатсия, ки аз рӯи тартиб аз қавӣ то қавитарин номбар шудаанд, харита мекунанд:

Шарҳ
Sha1 дар имконоти конфигуратсия бо сабабҳои таърихӣ истифода мешавад. Имконоти аутентификатсия нишон медиҳанд, ки чӣ қадар санҷиши якпорчагии бастаҳо анҷом дода мешавад. Онҳо алгоритмеро, ки тамомиятро тафтиш мекунад, муайян намекунанд. Ба истиснои рамзгузории трафики чандрасонаӣ, алгоритмҳои аутентификатсия, ки аз ҷониби Cisco Catalyst SD WAN дастгирӣ мешаванд, SHA1-ро истифода намебаранд. Аммо дар Cisco SD-WAN Release 20.1.x ва баъдтар, ҳам unicast ва ҳам бисёрҷониба SHA1-ро истифода намебаранд.

  • ah-sha1-hmac рамзгузорӣ ва инкапсуляцияро бо истифода аз ESP имкон медиҳад. Бо вуҷуди ин, ба ғайр аз тафтиши якпорчагӣ дар сарлавҳаи ESP ва бори боркунӣ, санҷишҳо инчунин сарлавҳаҳои берунии IP ва UDP-ро дар бар мегиранд. Аз ин рӯ, ин хосият санҷиши якпорчагии бастаро, ки ба протоколи Аутентификатсия Сарлавҳаи (AH) монанд аст, дастгирӣ мекунад. Ҳама якпорчагӣ ва рамзгузорӣ бо истифода аз AES-256-GCM анҷом дода мешавад.
  • ah-no-id режимеро фаъол мекунад, ки ба ah-sha1-hmac шабеҳ аст, аммо майдони ID-и сарлавҳаи берунии IP нодида гирифта мешавад. Ин хосият баъзе дастгоҳҳои ғайри Cisco Catalyst SD-WAN, аз ҷумла Apple AirPort Express NAT-ро ҷойгир мекунад, ки хатогие доранд, ки боиси тағир додани майдони ID дар сарлавҳаи IP, майдони ғайримуқаррарӣ мегардад. Интихоби ah-no-id-ро дар рӯйхати намудҳои аутентификатсия танзим кунед, то нармафзори Cisco Catalyst SD-WAN AH майдони ID-ро дар сарлавҳаи IP нодида гирад, то нармафзори Cisco Catalyst SD-WAN дар якҷоягӣ бо ин дастгоҳҳо кор кунад.
  • sha1-hmac рамзгузории ESP ва тафтиши якпорчагӣ имкон медиҳад.
  • ҳеҷ як харита ба тасдиқи нест. Ин хосият бояд танҳо дар сурате истифода шавад, ки он барои ислоҳи муваққатӣ лозим бошад. Шумо инчунин метавонед ин хосиятро дар ҳолатҳое интихоб кунед, ки аутентификатсия ва якпорчагии ҳавопаймои додаҳо ташвишовар нестанд. Cisco истифодаи ин хосиятро барои шабакаҳои истеҳсолӣ тавсия намедиҳад.

Барои маълумот дар бораи он, ки ба кадом майдонҳои бастаи додаҳо ин намуди аутентификатсия таъсир мерасонанд, ба якпорчагии ҳавопаймои додаҳо нигаред. Дастгоҳҳои Cisco IOS XE Catalyst SD-WAN ва дастгоҳҳои Cisco vEdge намудҳои аутентификатсияи танзимшудаи худро дар хосиятҳои TLOC-и худ таблиғ мекунанд. Ду роутер дар ҳар ду тарафи пайвасти нақби IPsec дар бораи аутентификатсия барои истифода дар пайвастшавӣ байни онҳо бо истифода аз қавитарин навъи аутентификатсия, ки дар ҳарду роутер танзим шудааст, гуфтушунид мекунанд. Барои мисолample, агар як роутер намудҳои ah-sha1-hmac ва ah-no-id-ро таблиғ кунад ва роутери дуюм навъи ah-no-id-ро таблиғ кунад, ду роутер барои истифодаи ah-no-id дар пайвасти нақби IPsec байни онхо. Агар дар ду ҳамсол ягон намуди умумии аутентификатсия танзим карда нашавад, байни онҳо нақби IPsec муқаррар карда намешавад. Алгоритми рамзгузорӣ дар пайвастҳои нақби IPsec аз намуди трафик вобаста аст:

  • Барои трафики unicast, алгоритми рамзгузорӣ AES-256-GCM аст.
  • Барои трафики бисёрқабата:
  • Cisco SD-WAN Release 20.1.x ва дертар – алгоритми рамзгузорӣ AES-256-GCM аст
  • Варақаҳои қаблӣ - алгоритми рамзгузорӣ AES-256-CBC бо SHA1-HMAC мебошад.

Вақте ки навъи аутентификатсияи IPsec тағир дода мешавад, калиди AES барои роҳи маълумот иваз карда мешавад.

Тағйир додани вақтсанҷи дубора

Пеш аз он ки дастгоҳҳои Cisco IOS XE Catalyst SD-WAN ва дастгоҳҳои Cisco vEdge трафики маълумотро мубодила кунанд, онҳо канали мухобиротии боэътимоди тасдиқшударо байни худ таъсис медиҳанд. Роутерҳо нақбҳои IPSec-ро дар байни онҳо ҳамчун канал ва рамзгузории AES-256 барои иҷрои рамзгузорӣ истифода мебаранд. Ҳар як роутер барои роҳи маълумоташ давра ба давра калиди нави AES тавлид мекунад. Бо нобаёнӣ, калид барои 86400 сония (24 соат) эътибор дорад ва диапазони таймер аз 10 сония то 1209600 сония (14 рӯз) аст. Барои тағир додани арзиши таймери дубора: Device(config)# security ipsec rekey seconds Конфигуратсия чунин менамояд:

  • амният ipsec rekey сонияҳо!

Агар шумо хоҳед, ки фавран калидҳои нави IPsec эҷод кунед, шумо метавонед ин корро бидуни тағир додани конфигуратсияи роутер анҷом диҳед. Барои ин, фармони дархости ipsecrekey-ро дар роутери осебдида иҷро кунед. Барои мисолample, баромади зерин нишон медиҳад, ки SA маҳаллӣ Индекси Параметрҳои Амният (SPI) аз 256 дорад:CISCO-SD-WAN-танзимкунӣ-амният-параметрҳои-FIG-4

Калиди беназир бо ҳар як SPI алоқаманд аст. Агар ин калид осеб дида бошад, фармони амнияти дархости ipsec-rekey-ро барои тавлиди калиди нав фавран истифода баред. Ин фармон SPI-ро афзоиш медиҳад. Дар собиқ моample, SPI ба 257 тағир меёбад ва калиди бо он алоқаманд ҳоло истифода мешавад:

  • Дастгоҳ # дархости амнияти ipsecrekey
  • Дастгоҳ # нишон медиҳад ipsec local-sa

CISCO-SD-WAN-танзимкунӣ-амният-параметрҳои-FIG-5

Пас аз тавлиди калиди нав, роутер онро фавран ба контроллерҳои Cisco SD-WAN бо истифода аз DTLS ё TLS мефиристад. Контроллерҳои Cisco SD-WAN калидро ба роутерҳои ҳамсол мефиристанд. Роутерҳо баробари гирифтани он ба истифодаи он шурӯъ мекунанд. Аҳамият диҳед, ки калиди бо SPI кӯҳна алоқаманд (256) дар муддати кӯтоҳ то ба охир расидани вақт истифода мешавад. Барои фавран қатъ кардани истифодаи калиди кӯҳна, фармони дархости ipsec-rekey-ро ду маротиба пай дар пай иҷро кунед. Ин пайдарпаии фармонҳо ҳам SPI 256 ва 257-ро нест мекунад ва SPI-ро ба 258 муқаррар мекунад. Сипас роутер калиди алоқаманди SPI 258-ро истифода мебарад. Аммо дар хотир доред, ки баъзе бастаҳо то даме ки ҳамаи роутерҳои дурдаст омӯхта шаванд, дар муддати кӯтоҳ партофта мешаванд. калиди нав.CISCO-SD-WAN-танзимкунӣ-амният-параметрҳои-FIG-6

Андозаи равзанаи зидди такрориро тағир диҳед

Аутентификатсияи IPsec муҳофизати зидди такрориро тавассути таъини рақами пайдарпай ба ҳар як бастаи ҷараёни додаҳо таъмин мекунад. Ин рақамгузории пайдарпай аз ҳамлагаре, ки бастаҳои маълумотро такрор мекунад, муҳофизат мекунад. Бо муҳофизати зидди такрорӣ, ирсолкунанда рақамҳои пайдарпайии ба таври якранг афзоишёфтаро таъин мекунад ва макони таъинот ин рақамҳои пайдарпайро барои ошкор кардани такрорӣ тафтиш мекунад. Азбаски бастаҳо аксар вақт бо тартиб намерасанд, макони таъинот равзанаи ҳаракаткунандаи рақамҳои пайдарпайро нигоҳ медорад, ки онро қабул мекунад.CISCO-SD-WAN-танзимкунӣ-амният-параметрҳои-FIG-7

Бастаҳои дорои рақамҳои пайдарпай, ки ба тарафи чапи диапазони равзанаи лағжанда меафтанд, кӯҳна ё такрорӣ ҳисобида мешаванд ва макони таъинот онҳоро мепартояд. Макони таъинот рақами пайдарпайии баландтарини гирифтаашро пайгирӣ мекунад ва ҳангоми гирифтани бастаи дорои арзиши баландтар равзанаи лағжишро танзим мекунад.CISCO-SD-WAN-танзимкунӣ-амният-параметрҳои-FIG-8

Бо нобаёнӣ, равзанаи лағжиш ба 512 баста муқаррар карда шудааст. Онро метавон ба ҳар як қиммати байни 64 ва 4096 муқаррар кард, ки қудрати 2 аст (яъне 64, 128, 256, 512, 1024, 2048 ё 4096). Барои тағир додани андозаи равзанаи зидди такрор, фармони replay-window-ро истифода бурда, андозаи тирезаро муайян кунед:

Дастгоҳ(конфигуратсия)# рақами такрории тирезаи бехатарии ipsec

Конфигуратсия чунин менамояд:
амнияти ipsec рақами такрори тиреза! !

Барои кӯмак ба QoS, барои ҳар яке аз ҳашт канали аввали трафик тирезаҳои алоҳидаи такрорӣ нигоҳ дошта мешаванд. Андозаи равзанаи такрории танзимшуда ба ҳашт барои ҳар як канал тақсим карда мешавад. Агар QoS дар роутер танзим карда шуда бошад, он роутер метавонад дар натиҷаи механизми зидди такрори IPsec шумораи зиёди тарки бастаҳоро аз назар гузаронад ва бисёре аз бастаҳои партофташуда бастаҳои қонунӣ мебошанд. Ин аз он сабаб рух медиҳад, ки QoS бастаҳоро аз нав фармоиш медиҳад, ба бастаҳои афзалиятнок имтиёз медиҳад ва бастаҳои афзалиятноки камтарро ба таъхир меандозад. Барои кам кардан ё пешгирӣ кардани ин вазъият, шумо метавонед амалҳои зеринро иҷро кунед:

  • Андозаи равзанаи зидди такрорро зиёд кунед.
  • Трафикро ба ҳашт канали аввалини трафик муҳандисӣ кунед, то боварӣ ҳосил кунед, ки трафик дар дохили канал аз нав тартиб дода нашавад.

Туннелҳои IPsec-и IKE-ро танзим кунед
Барои бехатар интиқол додани трафик аз шабакаи қабати болоӣ ба шабакаи хидматрасонӣ, шумо метавонед нақбҳои IPsec-ро танзим кунед, ки протоколи мубодилаи Интернетро (IKE) иҷро мекунанд. Тунелҳои IPsec, ки бо IKE фаъоланд, аутентификатсия ва рамзгузориро барои таъмини интиқоли бехатари бастаҳо таъмин мекунанд. Шумо тавассути танзим кардани интерфейси IPsec нақби IPsec-ро бо IKE эҷод мекунед. Интерфейсҳои IPsec интерфейсҳои мантиқӣ мебошанд ва шумо онҳоро мисли ҳама гуна интерфейси физикии дигар танзим мекунед. Шумо параметрҳои протоколи IKE-ро дар интерфейси IPsec танзим мекунед ва шумо метавонед дигар хосиятҳои интерфейсро танзим кунед.

Шарҳ Cisco тавсия медиҳад, ки нусхаи IKE 2-ро истифода барад. Аз нашри Cisco SD-WAN 19.2.x, калиди пешакии муштарак бояд ҳадди аққал 16 байт дарозӣ дошта бошад. Ҳангоми навсозии роутер ба версияи 16, андозаи калид аз 19.2 аломат камтар бошад, таъсиси нақби IPsec ноком мешавад.

Шарҳ
Нармафзори Cisco Catalyst SD-WAN Version IKE 2-ро тавре, ки дар RFC 7296 муайян шудааст, дастгирӣ мекунад. Як истифода барои нақбҳои IPsec имкон медиҳад, ки VM-и vEdge Cloud роутер, ки дар Amazon AWS кор мекунанд, ба абри хусусии виртуалии Amazon (VPC) пайваст шаванд. Шумо бояд IKE Version 1-ро дар ин роутерҳо танзим кунед. Дастгоҳҳои Cisco vEdge танҳо VPN-ҳои ба масир асосёфтаро дар конфигуратсияи IPSec дастгирӣ мекунанд, зеро ин дастгоҳҳо интихобкунандагони трафикро дар домени рамзгузорӣ муайян карда наметавонанд.

Тунели IPsec-ро танзим кунед
Барои танзим кардани интерфейси нақби IPsec барои трафики бехатари нақлиёт аз шабакаи хидматрасонӣ, шумо интерфейси мантиқии IPsec эҷод мекунед:CISCO-SD-WAN-танзимкунӣ-амният-параметрҳои-FIG-9

Шумо метавонед нақби IPsec-ро дар нақлиёти VPN (VPN 0) ва дар ҳама гуна хидматрасонии VPN (VPN 1 то 65530, ба истиснои 512) созед. Интерфейси IPsec дар формати ipsecnumber ном дорад, ки дар он рақам метавонад аз 1 то 255 бошад. Ҳар як интерфейси IPsec бояд суроғаи IPv4 дошта бошад. Ин суроға бояд префикси /30 бошад. Ҳама трафик дар VPN, ки дар дохили ин префикси IPv4 ҷойгир аст, ба интерфейси физикии VPN 0 равона карда мешавад, то тавассути нақби IPsec бехатар фиристода шавад. Барои танзим кардани манбаи нақби IPsec дар дастгоҳи маҳаллӣ, шумо метавонед ё суроғаи IP-и интерфейси физикӣ (дар фармони туннел-манбаъ) ё номи интерфейси физикӣ (дар фармони туннел-манбаъ-интерфейс). Боварӣ ҳосил кунед, ки интерфейси физикӣ дар VPN 0 танзим карда шудааст. Барои танзим кардани макони таъиноти нақби IPsec, дар фармони tunnel-destination суроғаи IP-и дастгоҳи дурдастро муайян кунед. Маҷмӯаи суроғаи манбаъ (ё номи интерфейси манбаъ) ва суроғаи таъинот нақби ягонаи IPsec-ро муайян мекунад. Танҳо як нақби IPsec вуҷуд дошта метавонад, ки суроғаи мушаххаси манбаъ (ё номи интерфейс) ва ҷуфти суроғаи таъинотро истифода мебарад.

Масири статикии IPsec-ро танзим кунед

Барои интиқоли трафик аз хидматрасонии VPN ба нақби IPsec дар нақлиёти VPN (VPN 0), шумо масири статикии хоси IPsec-ро дар VPN хидматрасонӣ танзим мекунед ( VPN ғайр аз VPN 0 ё VPN 512 ) :

  • vEdge(конфигуратсия)# vpn vpn-id
  • vEdge(config-vpn)# префикси ip ipsec-маршрут/дарозии vpn 0 интерфейси
  • ipsecnumber [ipsecnumber2]

ID VPN ин ҳама хидмати VPN мебошад (VPN 1 то 65530, ба истиснои 512). префикс/дарозӣ суроғаи IP ё префикс бо аломати даҳӣ аз чор қисм ва дарозии префикси масири статикии хоси IPsec мебошад. Интерфейс интерфейси нақби IPsec дар VPN 0 мебошад. Шумо метавонед як ё ду интерфейси нақби IPsec-ро танзим кунед. Агар шумо дуро танзим кунед, якум нақби ибтидоии IPsec ва дуюм нусхаи эҳтиётӣ аст. Бо ду интерфейс, ҳама пакетҳо танҳо ба нақби ибтидоӣ фиристода мешаванд. Агар ин нақб кор накунад, пас ҳама бастаҳо ба нақби дуюмдараҷа фиристода мешаванд. Агар нақби ибтидоӣ баргардад, тамоми трафик ба нақби ибтидоии IPsec бармегардад.

Версияи 1-и IKE-ро фаъол созед
Вақте ки шумо дар роутери vEdge нақби IPsec эҷод мекунед, Версияи IKE 1 ба таври нобаёнӣ дар интерфейси нақб фаъол карда мешавад. Хусусиятҳои зерин инчунин бо нобаёнӣ барои IKEv1 фаъол карда шудаанд:

  • Аутентификатсия ва рамзгузорӣ - стандарти рамзгузории пешрафтаи AES-256 рамзгузории CBC бо алгоритми коди аутентификатсияи паёми ҳешии калидии HMAC-SHA1 барои якпорчагӣ
  • Рақами гурӯҳи Диффи-Хелман — 16
  • Фосилаи вақти такрорӣ — 4 соат
  • Усули таъсиси SA — Асосӣ

Бо нобаёнӣ, IKEv1 режими асосии IKE-ро барои таъсиси IKE SA истифода мебарад. Дар ин режим, шаш бастаи гуфтушунид барои таъсиси SA мубодила карда мешавад. Барои мубодилаи танҳо се бастаи гуфтушунид, ҳолати хашмгинро фаъол созед:

Шарҳ
Ҳолати хашмгини IKE бо калидҳои қаблан муштарак бояд то ҳадди имкон пешгирӣ карда шавад. Дар акси ҳол, калиди қавии қаблан муштарак бояд интихоб карда шавад.

  • vEdge(config)# интерфейси vpn vpn-id рақами ipsec
  • vEdge(config-ike)# ҳолати хашмгин

Бо нобаёнӣ, IKEv1 гурӯҳи Diffie-Hellman 16-ро дар мубодилаи калидҳои IKE истифода мебарад. Ин гурӯҳ ҳангоми мубодилаи калидҳои IKE гурӯҳи экспоненсиалии модулии 4096-битро (MODP) истифода мебарад. Шумо метавонед рақами гурӯҳро ба 2 (барои 1024-бит MODP), 14 (2048-бит MODP) ё 15 (3072-бит MODP) тағир диҳед:

  • vEdge(config)# интерфейси vpn vpn-id рақами ipsec
  • vEdge(config-ike)# рақами гурӯҳ

Бо нобаёнӣ, мубодилаи калидҳои IKE стандарти рамзгузории пешрафтаи AES-256 рамзгузории CBC-ро бо алгоритми рамзи аутентификатсияи паёми калидӣ-хэш барои якпорчагӣ HMAC-SHA1 истифода мебарад. Шумо метавонед аутентификатсияро тағир диҳед:

  • vEdge(config)# интерфейси vpn vpn-id рақами ipsec
  • vEdge(config-ike) # пакети рамзгузорӣ

Маҷмӯи аутентификатсия метавонад яке аз инҳо бошад:

  • aes128-cbc-sha1 — AES-128 стандарти рамзгузории пешрафтаи рамзгузории CBC бо алгоритми рамзи аутентификатсияи паёми калидӣ-hash барои якпорчагӣ HMAC-SHA1
  • aes128-cbc-sha2 — AES-128 стандарти рамзгузории пешрафтаи рамзгузории CBC бо алгоритми рамзи аутентификатсияи паёми калидӣ-hash барои якпорчагӣ HMAC-SHA256
  • aes256-cbc-sha1 — AES-256 стандарти рамзгузории пешрафтаи CBC рамзкунонӣ бо алгоритми рамзи аутентификатсияи паёми калидӣ-hash HMAC-SHA1 барои якпорчагӣ; ин пешфарз аст.
  • aes256-cbc-sha2 — AES-256 стандарти рамзгузории пешрафтаи рамзгузории CBC бо алгоритми рамзи аутентификатсияи паёми калидӣ-hash барои якпорчагӣ HMAC-SHA256

Бо нобаёнӣ, калидҳои IKE ҳар 1 соат (3600 сония) нав карда мешаванд. Шумо метавонед фосилаи такрориро ба арзиш аз 30 сония то 14 рӯз (1209600 сония) тағир диҳед. Тавсия дода мешавад, ки фосилаи такрорӣ на камтар аз 1 соат бошад.

  • vEdge(config)# vpn vpn-id интерфейс рақами ipsec монанди
  • vEdge(config-ike) # сонияи такрорӣ

Барои маҷбур кардани тавлиди калидҳои нав барои ҷаласаи IKE, фармони ipsec ike-rekey дархостро фиристед.

  • vEdge(config)# рақами vpn vpn-id интерфейси ike

Барои IKE, шумо инчунин метавонед аутентификатсияи калиди пешакӣ (PSK) -ро танзим кунед:

  • vEdge(config)# интерфейси vpn vpn-id рақами ipsec
  • vEdge(config-ike)# гузарвожаи қаблан муштарак-махфӣ гузарвожаи навъи аутентификатсия бо калиди пешакӣ истифодашаванда аст. Он метавонад як ASCII ё сатри шонздаҳӣ бошад, ки дарозии аз 1 то 127 аломат доранд.

Агар ҳамсоли дурдасти IKE ID-и маҳаллӣ ё дурро талаб кунад, шумо метавонед ин идентификаторро танзим кунед:

  • vEdge(config)# интерфейси vpn vpn-id рақами ipsec навъи аутентификатсия
  • vEdge(навъи конфигуратсияи аутентификатсия) # ID-и маҳаллӣ
  • vEdge(config-authentication-type) # ID-и дурдаст

Идентификатор метавонад суроғаи IP ё ягон сатри матнии аз 1 то 63 аломат бошад. Бо нобаёнӣ, ID-и маҳаллӣ суроғаи IP-и манбаи нақб ва ID-и дурдаст суроғаи IP-и нақб мебошад.

Версияи 2-и IKE-ро фаъол созед
Вақте ки шумо нақби IPsec-ро барои истифодаи IKE Version 2 танзим мекунед, хосиятҳои зерин низ ба таври нобаёнӣ барои IKEv2 фаъол карда мешаванд:

  • Аутентификатсия ва рамзгузорӣ - стандарти рамзгузории пешрафтаи AES-256 рамзгузории CBC бо алгоритми коди аутентификатсияи паёми ҳешии калидии HMAC-SHA1 барои якпорчагӣ
  • Рақами гурӯҳи Диффи-Хелман — 16
  • Фосилаи вақти такрорӣ — 4 соат

Бо нобаёнӣ, IKEv2 гурӯҳи Diffie-Hellman 16-ро дар мубодилаи калидҳои IKE истифода мебарад. Ин гурӯҳ ҳангоми мубодилаи калидҳои IKE гурӯҳи экспоненсиалии модулии 4096-битро (MODP) истифода мебарад. Шумо метавонед рақами гурӯҳро ба 2 (барои 1024-бит MODP), 14 (2048-бит MODP) ё 15 (3072-бит MODP) тағир диҳед:

  • vEdge(config)# интерфейси vpn vpn-id рақами рақами ike
  • vEdge(config-ike)# рақами гурӯҳ

Бо нобаёнӣ, мубодилаи калидҳои IKE стандарти рамзгузории пешрафтаи AES-256 рамзгузории CBC-ро бо алгоритми рамзи аутентификатсияи паёми калидӣ-хэш барои якпорчагӣ HMAC-SHA1 истифода мебарад. Шумо метавонед аутентификатсияро тағир диҳед:

  • vEdge(config)# интерфейси vpn vpn-id рақами рақами ike
  • vEdge(config-ike) # пакети рамзгузорӣ

Маҷмӯи аутентификатсия метавонад яке аз инҳо бошад:

  • aes128-cbc-sha1 — AES-128 стандарти рамзгузории пешрафтаи рамзгузории CBC бо алгоритми рамзи аутентификатсияи паёми калидӣ-hash барои якпорчагӣ HMAC-SHA1
  • aes128-cbc-sha2 — AES-128 стандарти рамзгузории пешрафтаи рамзгузории CBC бо алгоритми рамзи аутентификатсияи паёми калидӣ-hash барои якпорчагӣ HMAC-SHA256
  • aes256-cbc-sha1 — AES-256 стандарти рамзгузории пешрафтаи CBC рамзкунонӣ бо алгоритми рамзи аутентификатсияи паёми калидӣ-hash HMAC-SHA1 барои якпорчагӣ; ин пешфарз аст.
  • aes256-cbc-sha2 — AES-256 стандарти рамзгузории пешрафтаи рамзгузории CBC бо алгоритми рамзи аутентификатсияи паёми калидӣ-hash барои якпорчагӣ HMAC-SHA256

Бо нобаёнӣ, калидҳои IKE ҳар 4 соат (14,400 сония) нав карда мешаванд. Шумо метавонед фосилаи такрориро ба арзиш аз 30 сония то 14 рӯз (1209600 сония) тағир диҳед:

  • vEdge(config)# интерфейси vpn vpn-id рақами рақами ike
  • vEdge(config-ike) # сонияи такрорӣ

Барои маҷбур кардани тавлиди калидҳои нав барои ҷаласаи IKE, фармони ipsec ike-rekey дархостро фиристед. Барои IKE, шумо инчунин метавонед аутентификатсияи калиди пешакӣ (PSK) -ро танзим кунед:

  • vEdge(config)# интерфейси vpn vpn-id рақами рақами ike
  • vEdge(config-ike)# гузарвожаи қаблан муштарак-махфӣ гузарвожаи навъи аутентификатсия бо калиди пешакӣ истифодашаванда аст. Он метавонад ASCII ё сатри шонздаҳӣ бошад, ё он метавонад калиди рамзгузоришудаи AES бошад. Агар ҳамсоли дурдасти IKE ID-и маҳаллӣ ё дурро талаб кунад, шумо метавонед ин идентификаторро танзим кунед:
  • vEdge(config)# интерфейси vpn vpn-id ipsecnumber ike аутентификатсия-навъи
  • vEdge(навъи конфигуратсияи аутентификатсия) # ID-и маҳаллӣ
  • vEdge(config-authentication-type) # ID-и дурдаст

Идентификатор метавонад суроғаи IP ё ягон сатри матнии аз 1 то 64 аломат бошад. Бо нобаёнӣ, ID-и маҳаллӣ суроғаи IP-и манбаи нақб ва ID-и дурдаст суроғаи IP-и нақб мебошад.

Параметрҳои нақби IPsec-ро танзим кунед

Ҷадвали 4: Таърихи хусусият

Хусусият Ном Маълумот дар бораи нашр Тавсифи
Криптографии иловагӣ Release Cisco SD-WAN 20.1.1 Ин хусусият дастгирии илова мекунад
Дастгирии алгоритмӣ барои IPSec   HMAC_SHA256, HMAC_SHA384, ва
Туннелхо   алгоритмҳои HMAC_SHA512 барои
    амнияти мукаммал.

Бо нобаёнӣ, дар нақби IPsec, ки трафики IKE-ро интиқол медиҳад, параметрҳои зерин истифода мешаванд:

  • Аутентификатсия ва рамзгузорӣ — алгоритми AES-256 дар GCM (режими Galois/counter)
  • Фосилаи такрорӣ — 4 соат
  • Равзанаи такрорӣ — 32 баста

Шумо метавонед рамзгузориро дар нақби IPsec ба рамзгузории AES-256 дар CBC (режими занҷири блоки рамзгузорӣ, бо HMAC бо истифода аз аутентификатсияи паёми калидӣ-хэши SHA-1 ё SHA-2 ё ба нул бо HMAC бо истифода аз SHA-1 ё SHA-2 аутентификатсияи паёми калидӣ-хэш, барои рамзгузорӣ накардани нақби IPsec, ки барои трафики мубодилаи калидҳои IKE истифода мешавад:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null | aes1-null-256sha | aes256-null-sha256 | aes384-null-sha256)

Бо нобаёнӣ, калидҳои IKE ҳар 4 соат (14,400 сония) нав карда мешаванд. Шумо метавонед фосилаи такрориро ба арзиш аз 30 сония то 14 рӯз (1209600 сония) тағир диҳед:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# сонияи такрорӣ

Барои маҷбур кардани тавлиди калидҳои нав барои нақби IPsec, фармони дархости ipsec ipsec-rekey -ро иҷро кунед. Бо нобаёнӣ, махфияти комили пешбурд (PFS) дар нақбҳои IPsec фаъол карда мешавад, то боварӣ ҳосил кунад, ки дар сурати халалдор шудани калидҳои оянда ба ҷаласаҳои гузашта таъсир нарасонанд. PFS як мубодилаи нави калидҳои Diffie-Hellman-ро маҷбур мекунад, ки бо нобаёнӣ бо истифода аз гурӯҳи модули ибтидоии 4096-бита Diffie-Hellman. Шумо метавонед танзимоти PFS-ро тағир диҳед:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# танзимоти махфияти комили пешпардохти pfs

pfs-танзим метавонад яке аз зерин бошад:

  • гурӯҳи-2 - Гурӯҳи модули асосии 1024-бита Diffie-Hellman-ро истифода баред.
  • гурӯҳи-14 - Гурӯҳи модули асосии 2048-бита Diffie-Hellman-ро истифода баред.
  • гурӯҳи-15 - Гурӯҳи модули асосии 3072-бита Diffie-Hellman-ро истифода баред.
  • group-16 — Истифода гурӯҳи модули асосии 4096-бит Diffie-Hellman. Ин пешфарз аст.
  • ҳеҷ - PFS-ро ғайрифаъол кунед.

Бо нобаёнӣ, равзанаи такрории IPsec дар нақби IPsec 512 байт аст. Шумо метавонед андозаи равзанаи такрориро ба 64, 128, 256, 512, 1024, 2048 ё 4096 бастаҳо муқаррар кунед:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec) # рақами такрори тиреза

Тағир додани IKE Dead-Peer Detection

IKE механизми муайянкунии ҳамсолҳои мурдаро истифода мебарад, то муайян кунад, ки оё пайвастшавӣ ба ҳамсолони IKE функсионалӣ ва дастрас аст. Барои татбиқи ин механизм, IKE ба ҳамсолони худ бастаи Hello мефиристад ва ҳамсол дар посух изҳорот мефиристад. Ба таври нобаёнӣ, IKE ҳар 10 сония бастаҳои Саломро мефиристад ва пас аз се бастаи эътирофнашуда, IKE ҳамсояро мурда эълон мекунад ва нақбро ба ҳамсол канда мекунад. Пас аз он, IKE давра ба давра ба ҳамсол бастаи Hello мефиристад ва вақте ки ҳамсол ба интернет бармегардад, нақбро аз нав барқарор мекунад. Шумо метавонед фосилаи муайянкунии зиндаро ба арзиш аз 0 то 65535 тағир диҳед ва шумо метавонед шумораи такрориро ба арзиши аз 0 то 255 тағир диҳед.

Шарҳ

Барои VPN-ҳои нақлиётӣ, фосилаи муайянкунии зинда бо истифода аз формулаи зерин ба сонияҳо табдил дода мешавад: Фосила барои кӯшиши интиқоли рақами N = фосила * 1.8N-1 Барои мисолample, агар фосила ба 10 муқаррар карда шуда бошад ва то 5 такрор шавад, фосилаи муайянкунӣ ба таври зерин меафзояд:

  • Кӯшиши 1: 10 * 1.81-1= 10 сония
  • Кӯшиш 2: 10 * 1.82-1= 18 сония
  • Кӯшиш 3: 10 * 1.83-1= 32.4 сония
  • Кӯшиш 4: 10 * 1.84-1= 58.32 сония
  • Кӯшиш 5: 10 * 1.85-1= 104.976 сония

vEdge(config-interface-ipsecnumber) # рақами такрории фосилаи муайянкунии ҳамсолҳои мурда

Дигар хосиятҳои интерфейсро танзим кунед

Барои интерфейсҳои нақби IPsec, шумо метавонед танҳо хосиятҳои иловагии интерфейси зеринро танзим кунед:

  • vEdge(config-interface-ipsec)# mtu байт
  • vEdge(config-interface-ipsec)# tcp-mss-танзими байт

Хомӯш кардани алгоритмҳои рамзгузории SSH заиф дар Cisco SD-WAN Manager

Ҷадвали 5: Ҷадвали таърихи хусусият

Хусусият Ном Маълумот дар бораи нашр Хусусият Тавсифи
Хомӯш кардани алгоритмҳои рамзгузории SSH заиф дар Cisco SD-WAN Manager Cisco vManage Release 20.9.1 Ин хусусият ба шумо имкон медиҳад, ки алгоритмҳои заифтари SSH-ро дар Cisco SD-WAN Manager хомӯш кунед, ки метавонанд ба стандартҳои муайяни амнияти додаҳо мувофиқат накунанд.

Маълумот дар бораи хомӯш кардани алгоритмҳои рамзгузории SSH-и заиф дар Cisco SD-WAN Manager
Cisco SD-WAN Manager муштарии SSH-ро барои муошират бо ҷузъҳои шабака, аз ҷумла контроллерҳо ва дастгоҳҳои канорӣ таъмин мекунад. Мизоҷи SSH пайвасти рамзгузоришударо барои интиқоли бехатари додаҳо дар асоси алгоритмҳои гуногуни рамзгузорӣ таъмин менамояд. Бисёре аз созмонҳо нисбат ба рамзгузории қавитаре, ки SHA-1, AES-128 ва AES-192 пешниҳод кардаанд, талаб мекунанд. Аз Cisco vManage Release 20.9.1, шумо метавонед алгоритмҳои заифтари рамзгузории зеринро хомӯш кунед, то муштарии SSH ин алгоритмҳоро истифода набарад:

  • SHA-1
  • AES-128
  • AES-192

Пеш аз хомӯш кардани ин алгоритмҳои рамзгузорӣ, боварӣ ҳосил кунед, ки дастгоҳҳои Cisco vEdge, агар вуҷуд дошта бошанд, дар шабака нашри нармафзорро дертар аз Cisco SD-WAN Release 18.4.6 истифода мебаранд.

Манфиатҳои хомӯш кардани алгоритмҳои рамзгузории сусти SSH дар Cisco SD-WAN Manager
Хомӯш кардани алгоритмҳои рамзгузории заифтари SSH амнияти муоширати SSH-ро беҳтар мекунад ва кафолат медиҳад, ки созмонҳое, ки Cisco Catalyst SD-WAN-ро истифода мебаранд, ба қоидаҳои қатъии амният мувофиқат мекунанд.

Хомӯш кардани алгоритмҳои рамзгузории SSH заиф дар Cisco SD-WAN Manager бо истифода аз CLI

  1. Аз менюи Cisco SD-WAN Manager Tools > Terminal SSH -ро интихоб кунед.
  2. Дастгоҳи Manager Cisco SD-WAN-ро интихоб кунед, ки дар он шумо алгоритмҳои заифтари SSH-ро хомӯш кардан мехоҳед.
  3. Барои ворид шудан ба дастгоҳ номи корбар ва паролро ворид кунед.
  4. Ҳолати сервери SSH-ро ворид кунед.
    • vmanage(config)# системаи
    • vmanage(config-system)# ssh-сервер
  5. Барои хомӯш кардани алгоритми рамзгузории SSH яке аз инҳоро иҷро кунед:
    • Хомӯш кардани SHA-1:
  6. идора (config-ssh-server) # нест kex-algo sha1
  7. идора кунед(config-ssh-server)# супоред
    Паёми огоҳкунандаи зерин намоиш дода мешавад: Огоҳҳои зерин тавлид шуданд: 'system ssh-server kex-algo sha1': ОГОҲ: Лутфан, боварӣ ҳосил кунед, ки ҳамаи канорҳои шумо версияи коди > 18.4.6-ро иҷро мекунанд, ки аз SHA1 бо vManage беҳтар аст. Дар акси ҳол, он кунҷҳо метавонанд офлайн шаванд. Давом? [ҳа, не] ҳа
    • Боварӣ ҳосил кунед, ки ҳама гуна дастгоҳҳои Cisco vEdge дар шабака Cisco SD-WAN Release 18.4.6 ё дертар кор мекунанд ва ҳаро ворид кунед.
    • AES-128 ва AES-192-ро хомӯш кунед:
    • vmanage(config-ssh-server)# рамзе нест aes-128-192
    • vmanage(config-ssh-server)# иҷро кунед
      Паёми огоҳкунандаи зерин нишон дода мешавад:
      Огоҳиҳои зерин таҳия карда шуданд:
      'system ssh-server cipher aes-128-192': ҲУШДОР: Лутфан, боварӣ ҳосил кунед, ки ҳамаи кунҷҳои шумо версияи коди > 18.4.6-ро иҷро мекунанд, ки аз AES-128-192 бо vManage беҳтар гуфтушунид мекунад. Дар акси ҳол, он кунҷҳо метавонанд офлайн шаванд. Давом? [ҳа, не] ҳа
    • Боварӣ ҳосил кунед, ки ҳама гуна дастгоҳҳои Cisco vEdge дар шабака Cisco SD-WAN Release 18.4.6 ё дертар кор мекунанд ва ҳаро ворид кунед.

Боварӣ ҳосил кунед, ки алгоритмҳои заифии рамзгузории SSH дар Менеҷери Cisco SD-WAN бо истифода аз CLI ғайрифаъол шудаанд

  1. Аз менюи Cisco SD-WAN Manager Tools > Terminal SSH -ро интихоб кунед.
  2. Дастгоҳи Cisco SD-WAN Manager-ро интихоб кунед, ки мехоҳед тафтиш кунед.
  3. Барои ворид шудан ба дастгоҳ номи корбар ва паролро ворид кунед.
  4. Фармони зеринро иҷро кунед: нишон додани run-config system ssh-server
  5. Тасдиқ кунед, ки натиҷа як ё якчанд фармонҳоро нишон медиҳад, ки алгоритмҳои рамзгузории заифтарро хомӯш мекунанд:
    • шифр нест aes-128-192
    • на кекс-алго ша1

Ҳуҷҷатҳо / Сарчашмаҳо

CISCO SD-WAN Танзимоти Параметрҳои Амният [pdf] Дастури корбар
SD-WAN Танзими Параметрҳои Амният, SD-WAN, Танзими Параметрҳои Амният, Параметрҳои Амният

Иқтибосҳо

Назари худро гузоред

Суроғаи почтаи электронии шумо нашр намешавад. Майдонҳои зарурӣ қайд карда шудаанд *