CISCO SD-WAN กำหนดค่าพารามิเตอร์ความปลอดภัย

กำหนดค่าพารามิเตอร์ความปลอดภัย

บันทึก

เพื่อให้เกิดความเรียบง่ายและสม่ำเสมอ โซลูชัน Cisco SD-WAN จึงได้รับการเปลี่ยนชื่อแบรนด์เป็น Cisco Catalyst SD-WAN นอกจากนี้ จาก Cisco IOS XE SD-WAN Release 17.12.1a และ Cisco Catalyst SD-WAN Release 20.12.1 การเปลี่ยนแปลงส่วนประกอบต่อไปนี้มีผลบังคับใช้: Cisco vManage ไปยัง Cisco Catalyst SD-WAN Manager, Cisco vAnalytics ไปยัง Cisco Catalyst SD-WAN การวิเคราะห์, Cisco vBond ถึง Cisco Catalyst SD-WAN Validator และ Cisco vSmart ไปยัง Cisco Catalyst SD-WAN Controller ดูบันทึกประจำรุ่นล่าสุดเพื่อดูรายการการเปลี่ยนแปลงชื่อแบรนด์ส่วนประกอบทั้งหมด ในขณะที่เราเปลี่ยนไปใช้ชื่อใหม่ ชุดเอกสารประกอบอาจมีความไม่สอดคล้องกันบางประการ เนื่องจากการปรับปรุงส่วนต่อประสานกับผู้ใช้ของผลิตภัณฑ์ซอฟต์แวร์แบบเป็นขั้นตอน

หัวข้อนี้จะอธิบายวิธีการเปลี่ยนแปลงพารามิเตอร์ความปลอดภัยสำหรับระนาบควบคุมและระนาบข้อมูลในเครือข่ายโอเวอร์เลย์ Cisco Catalyst SD-WAN

• กำหนดค่าพารามิเตอร์ความปลอดภัยของ Control Plane บน
• กำหนดค่าพารามิเตอร์การรักษาความปลอดภัย Data Plane บน
• กำหนดค่าอุโมงค์ IPsec ที่เปิดใช้งาน IKE บน
• ปิดใช้งานอัลกอริธึมการเข้ารหัส SSH ที่อ่อนแอบน Cisco SD-WAN Manager บน

กำหนดค่าพารามิเตอร์ความปลอดภัยของระนาบควบคุม

โดยค่าเริ่มต้น ระนาบควบคุมจะใช้ DTLS เป็นโปรโตคอลที่ให้ความเป็นส่วนตัวบนอุโมงค์ทั้งหมด DTLS ทำงานบน UDP คุณสามารถเปลี่ยนโปรโตคอลความปลอดภัยของระนาบควบคุมเป็น TLS ซึ่งทำงานบน TCP เหตุผลหลักในการใช้ TLS คือ หากคุณถือว่า Cisco SD-WAN Controller เป็นเซิร์ฟเวอร์ ไฟร์วอลล์จะปกป้องเซิร์ฟเวอร์ TCP ได้ดีกว่าเซิร์ฟเวอร์ UDP คุณกำหนดค่าโปรโตคอลอุโมงค์ระนาบควบคุมบน Cisco SD-WAN Controller: vSmart(config)# security control protocol tls ด้วยการเปลี่ยนแปลงนี้ อุโมงค์ระนาบควบคุมทั้งหมดระหว่าง Cisco SD-WAN Controller กับเราเตอร์ และระหว่าง Cisco SD-WAN Controller กับ Cisco SD-WAN Manager จะใช้ TLS อุโมงค์ระนาบควบคุมไปยัง Cisco Catalyst SD-WAN Validator จะใช้ DTLS เสมอ เนื่องจากการเชื่อมต่อเหล่านี้จะต้องได้รับการจัดการโดย UDP ในโดเมนที่มี Cisco SD-WAN Controller หลายตัว เมื่อคุณกำหนดค่า TLS บน Cisco SD-WAN Controller ตัวใดตัวหนึ่ง อุโมงค์ระนาบควบคุมทั้งหมดจากคอนโทรลเลอร์ตัวนั้นไปยังคอนโทรลเลอร์ตัวอื่นจะใช้ TLS กล่าวอีกนัยหนึ่ง TLS จะมีความสำคัญเหนือกว่า DTLS เสมอ อย่างไรก็ตาม จากมุมมองของ Cisco SD-WAN Controller อื่นๆ หากคุณไม่ได้กำหนดค่า TLS บนตัวควบคุมเหล่านั้น ตัวควบคุมเหล่านั้นจะใช้ TLS บนอุโมงค์ระนาบควบคุมเฉพาะกับตัวควบคุม Cisco SD-WAN ตัวนั้นเท่านั้น และใช้อุโมงค์ DTLS กับตัวควบคุม Cisco SD-WAN ตัวอื่นๆ ทั้งหมดและกับเราเตอร์ที่เชื่อมต่อทั้งหมด หากต้องการให้ตัวควบคุม Cisco SD-WAN ทั้งหมดใช้ TLS ให้กำหนดค่ากับตัวควบคุมทั้งหมด โดยค่าเริ่มต้น ตัวควบคุม Cisco SD-WAN จะรับฟังคำขอ TLS บนพอร์ต 23456 หากต้องการเปลี่ยนแปลง: vSmart(config)# security control tls-port number พอร์ตสามารถเป็นตัวเลขตั้งแต่ 1025 ถึง 65535 หากต้องการแสดงข้อมูลความปลอดภัยของระนาบควบคุม ให้ใช้คำสั่ง show control connection บนตัวควบคุม Cisco SD-WAN ตัวอย่างเช่นample: vSmart-2# แสดงการเชื่อมต่อการควบคุม

กำหนดค่า DTLS ใน Cisco SD-WAN Manager

หากคุณกำหนดค่า Cisco SD-WAN Manager ให้ใช้ TLS เป็นโปรโตคอลความปลอดภัยของระนาบควบคุม คุณต้องเปิดใช้งานการส่งต่อพอร์ตบน NAT ของคุณ หากคุณใช้ DTLS เป็นโปรโตคอลความปลอดภัยของระนาบควบคุม คุณไม่จำเป็นต้องดำเนินการใดๆ จำนวนพอร์ตที่ส่งต่อขึ้นอยู่กับจำนวนกระบวนการ vdaemon ที่ทำงานบน Cisco SD-WAN Manager หากต้องการแสดงข้อมูลเกี่ยวกับกระบวนการเหล่านี้และเกี่ยวกับและจำนวนพอร์ตที่กำลังส่งต่อ ให้ใช้คำสั่ง show control summary เพื่อแสดงว่ามีกระบวนการ daemon สี่กระบวนการกำลังทำงานอยู่:

หากต้องการดูพอร์ตที่กำลังรับฟัง ให้ใช้คำสั่ง show control local-properties: vManage# show control local-properties

ผลลัพธ์นี้แสดงว่าพอร์ต TCP ที่รับฟังคือ 23456 หากคุณกำลังใช้งาน Cisco SD-WAN Manager เบื้องหลัง NAT คุณควรเปิดพอร์ตต่อไปนี้บนอุปกรณ์ NAT:

• 23456 (ฐาน – พอร์ตอินสแตนซ์ 0)
• 23456 + 100 (ฐาน + 100)
• 23456 + 200 (ฐาน + 200)
• 23456 + 300 (ฐาน + 300)

โปรดทราบว่าจำนวนอินสแตนซ์จะเท่ากับจำนวนคอร์ที่คุณกำหนดให้กับ Cisco SD-WAN Manager โดยมีสูงสุดคือ 8 คอร์

กำหนดค่าพารามิเตอร์ความปลอดภัยโดยใช้เทมเพลตคุณลักษณะความปลอดภัย

ใช้เทมเพลตคุณลักษณะความปลอดภัยสำหรับอุปกรณ์ Cisco vEdge ทั้งหมด บนเราเตอร์ Edge และบน Cisco SD-WAN Validator ให้ใช้เทมเพลตนี้เพื่อกำหนดค่า IPsec สำหรับการรักษาความปลอดภัยของระนาบข้อมูล บน Cisco SD-WAN Manager และ Cisco SD-WAN Controller ให้ใช้เทมเพลตคุณลักษณะความปลอดภัยเพื่อกำหนดค่า DTLS หรือ TLS สำหรับการรักษาความปลอดภัยของระนาบควบคุม

กำหนดค่าพารามิเตอร์ความปลอดภัย

1. จากเมนู Cisco SD-WAN Manager ให้เลือกการกำหนดค่า > เทมเพลต
2. คลิกเทมเพลตคุณลักษณะ จากนั้นคลิกเพิ่มเทมเพลต
   บันทึก ใน Cisco vManage Release 20.7.1 และรีลีสก่อนหน้านี้ เทมเพลตฟีเจอร์เรียกว่าฟีเจอร์
3. จากรายการอุปกรณ์ในบานหน้าต่างด้านซ้าย เลือกอุปกรณ์ เทมเพลตที่ใช้ได้กับอุปกรณ์ที่เลือกจะปรากฏในบานหน้าต่างด้านขวา
4. คลิกความปลอดภัยเพื่อเปิดเทมเพลต
5. ในฟิลด์ชื่อเทมเพลต ให้ป้อนชื่อสำหรับเทมเพลต ชื่อสามารถยาวได้สูงสุด 128 อักขระและประกอบด้วยอักขระตัวอักษรและตัวเลขเท่านั้น
6. ในฟิลด์คำอธิบายเทมเพลต ให้ป้อนคำอธิบายเทมเพลต คำอธิบายสามารถยาวได้สูงสุด 2048 อักขระ และประกอบด้วยอักขระตัวอักษรและตัวเลขเท่านั้น

เมื่อคุณเปิดเทมเพลตฟีเจอร์เป็นครั้งแรก สำหรับแต่ละพารามิเตอร์ที่มีค่าเริ่มต้น ขอบเขตจะถูกตั้งค่าเป็นค่าเริ่มต้น (ระบุด้วยเครื่องหมายถูก) และการตั้งค่าหรือค่าเริ่มต้นจะปรากฏขึ้น หากต้องการเปลี่ยนค่าเริ่มต้นหรือป้อนค่า ให้คลิกเมนูแบบเลื่อนลงขอบเขตทางด้านซ้ายของฟิลด์พารามิเตอร์ และเลือกหนึ่งในรายการต่อไปนี้:

ตารางที่ 1:

พารามิเตอร์ ขอบเขต

คำอธิบายขอบเขต

เฉพาะอุปกรณ์ (ระบุด้วยไอคอนโฮสต์)

ใช้ค่าเฉพาะอุปกรณ์สำหรับพารามิเตอร์ สำหรับพารามิเตอร์เฉพาะอุปกรณ์ คุณไม่สามารถป้อนค่าในเทมเพลตฟีเจอร์ได้ คุณจะป้อนค่าได้เมื่อคุณแนบอุปกรณ์ Viptela เข้ากับเทมเพลตอุปกรณ์ เมื่อคุณคลิก Device Specific (อุปกรณ์เฉพาะ) กล่อง Enter Key จะเปิดขึ้น กล่องนี้จะแสดงคีย์ซึ่งเป็นสตริงเฉพาะที่ระบุพารามิเตอร์ใน CSV file ที่คุณสร้างขึ้นนี้ file เป็นสเปรดชีต Excel ที่มีคอลัมน์หนึ่งสำหรับแต่ละคีย์ แถวส่วนหัวมีชื่อคีย์ (หนึ่งคีย์ต่อคอลัมน์) และแต่ละแถวหลังจากนั้นจะสอดคล้องกับอุปกรณ์และกำหนดค่าของคีย์สำหรับอุปกรณ์นั้น คุณอัปโหลดไฟล์ CSV file เมื่อคุณแนบอุปกรณ์ Viptela เข้ากับเทมเพลตอุปกรณ์ สำหรับข้อมูลเพิ่มเติม โปรดดูที่ สร้างสเปรดชีตตัวแปรเทมเพลต หากต้องการเปลี่ยนคีย์เริ่มต้น ให้พิมพ์สตริงใหม่และเลื่อนเคอร์เซอร์ออกจากกล่องปุ่ม Enter Exampพารามิเตอร์เฉพาะอุปกรณ์ ได้แก่ ที่อยู่ IP ของระบบ ชื่อโฮสต์ ตำแหน่ง GPS และ ID ไซต์

พารามิเตอร์ ขอบเขต	คำอธิบายขอบเขต
ทั่วโลก (ระบุด้วยไอคอนโลก)	ป้อนค่าสำหรับพารามิเตอร์ และนำค่าดังกล่าวไปใช้กับอุปกรณ์ทั้งหมด Exampพารามิเตอร์ที่คุณอาจนำไปใช้กับกลุ่มอุปกรณ์ทั่วโลกได้แก่ เซิร์ฟเวอร์ DNS เซิร์ฟเวอร์ syslog และ MTU ของอินเทอร์เฟซ

กำหนดค่าความปลอดภัยของระนาบควบคุม

บันทึก
ส่วนกำหนดค่าการรักษาความปลอดภัยระนาบควบคุมนั้นใช้ได้กับ Cisco SD-WAN Manager และ Cisco SD-WAN Controller เท่านั้น หากต้องการกำหนดค่าโปรโตคอลการเชื่อมต่อระนาบควบคุมบนอินสแตนซ์ Cisco SD-WAN Manager หรือ Cisco SD-WAN Controller ให้เลือกพื้นที่การกำหนดค่าพื้นฐาน และกำหนดค่าพารามิเตอร์ต่อไปนี้:

ตารางที่ 2:

พารามิเตอร์ ชื่อ	คำอธิบาย
โปรโตคอล	เลือกโปรโตคอลที่จะใช้ในการเชื่อมต่อระนาบควบคุมไปยังตัวควบคุม Cisco SD-WAN: • DTLS (ดาtag(Ram Transport Layer Security) นี่เป็นค่าเริ่มต้น • TLS (การรักษาความปลอดภัยชั้นการขนส่ง)
ควบคุมพอร์ต TLS	หากคุณเลือก TLS ให้กำหนดค่าหมายเลขพอร์ตที่จะใช้:พิสัย: 1025 ถึง 65535ค่าเริ่มต้น: 23456

คลิกบันทึก

กำหนดค่าความปลอดภัยของระนาบข้อมูล
ในการกำหนดค่าความปลอดภัยของระนาบข้อมูลบน Cisco SD-WAN Validator หรือเราเตอร์ Cisco vEdge ให้เลือกแท็บการกำหนดค่าพื้นฐานและประเภทการรับรองความถูกต้อง และกำหนดค่าพารามิเตอร์ต่อไปนี้:

ตารางที่ 3:

พารามิเตอร์ ชื่อ	คำอธิบาย
เวลารีคีย์	ระบุความถี่ที่เราเตอร์ Cisco vEdge จะเปลี่ยนคีย์ AES ที่ใช้ในการเชื่อมต่อ DTLS ที่ปลอดภัยไปยัง Cisco SD-WAN Controller หากเปิดใช้งานการรีสตาร์ทอย่างราบรื่นของ OMP เวลาในการรีเซ็ตคีย์จะต้องเป็นอย่างน้อยสองเท่าของค่าตัวจับเวลาการรีสตาร์ทอย่างราบรื่นของ OMPพิสัย: 10 ถึง 1209600 วินาที (14 วัน)ค่าเริ่มต้น: 86400 วินาที (24 ชั่วโมง)
หน้าต่างรีเพลย์	ระบุขนาดของหน้าต่างการเล่นซ้ำแบบเลื่อน ค่า: 64, 128, 256, 512, 1024, 2048, 4096, 8192 แพ็คเก็ตค่าเริ่มต้น: 512 แพ็คเก็ต
IPsec การจับคู่คีย์	โดยค่าเริ่มต้นนี้จะถูกปิดอยู่ คลิก On เพื่อเปิดมัน

พารามิเตอร์ ชื่อ

คำอธิบาย

ประเภทการรับรองความถูกต้อง

เลือกประเภทการตรวจสอบสิทธิ์จาก การรับรองความถูกต้อง รายการและคลิกลูกศรชี้ไปทางขวาเพื่อย้ายประเภทการตรวจสอบสิทธิ์ไปที่ รายการที่เลือก คอลัมน์. ประเภทการรับรองความถูกต้องที่รองรับจาก Cisco SD-WAN รุ่น 20.6.1: •  โดยเฉพาะ:เปิดใช้งานการเข้ารหัส Encapsulating Security Payload (ESP) และการตรวจสอบความสมบูรณ์บนส่วนหัว ESP •  ip-udp-โดยเฉพาะ: เปิดใช้งานการเข้ารหัส ESP นอกเหนือจากการตรวจสอบความสมบูรณ์ของส่วนหัวและเพย์โหลดของ ESP แล้ว การตรวจสอบยังรวมถึงส่วนหัว IP และ UDP ภายนอกด้วย •  IP-UDP-ESP-ไม่มีไอดี:ละเว้นฟิลด์ ID ในส่วนหัว IP เพื่อให้ Cisco Catalyst SD-WAN ทำงานร่วมกับอุปกรณ์ที่ไม่ใช่ของ Cisco ได้ •  ไม่มี:ปิดการตรวจสอบความสมบูรณ์ของแพ็กเก็ต IPSec เราไม่แนะนำให้ใช้ตัวเลือกนี้   ประเภทการรับรองความถูกต้องที่รองรับใน Cisco SD-WAN รุ่น 20.5.1 และเวอร์ชันก่อนหน้า: •  อะ-โน-อิด:เปิดใช้งานเวอร์ชันปรับปรุงของ AH-SHA1 HMAC และ ESP HMAC-SHA1 ที่จะละเว้นฟิลด์ ID ในส่วนหัว IP ภายนอกของแพ็กเก็ต •  อา-ชา1-เอชแมค: เปิดใช้งาน AH-SHA1 HMAC และ ESP HMAC-SHA1 •  ไม่มี: เลือกไม่มีการตรวจสอบสิทธิ์ •  ชา1-เอชแมค: เปิดใช้งาน ESP HMAC-SHA1   บันทึก              สำหรับอุปกรณ์ Edge ที่ทำงานบน Cisco SD-WAN รุ่น 20.5.1 หรือเวอร์ชันก่อนหน้า คุณอาจกำหนดค่าประเภทการตรวจสอบสิทธิ์โดยใช้ ความปลอดภัย เทมเพลต เมื่อคุณอัปเกรดอุปกรณ์เป็น Cisco SD-WAN รุ่น 20.6.1 หรือใหม่กว่า ให้อัปเดตประเภทการตรวจสอบสิทธิ์ที่เลือกใน ความปลอดภัย เทมเพลตสำหรับประเภทการตรวจสอบสิทธิ์ที่รองรับจาก Cisco SD-WAN เวอร์ชัน 20.6.1 หากต้องการอัปเดตประเภทการตรวจสอบสิทธิ์ ให้ทำดังต่อไปนี้: 1.      จากเมนู Cisco SD-WAN Manager เลือก การกำหนดค่า > เทมเพลต. 2.      คลิก เทมเพลตคุณสมบัติ. 3.      ค้นหา ความปลอดภัย เทมเพลตที่จะอัพเดตและคลิก … และคลิก แก้ไข. 4.      คลิก อัปเดต.อย่าแก้ไขการกำหนดค่าใดๆ Cisco SD-WAN Manager อัปเดต ความปลอดภัย เทมเพลตสำหรับแสดงประเภทการตรวจสอบสิทธิ์ที่รองรับ

คลิกบันทึก

กำหนดค่าพารามิเตอร์การรักษาความปลอดภัย Data Plane

ในระนาบข้อมูล IPsec จะถูกเปิดใช้งานตามค่าเริ่มต้นบนเราเตอร์ทั้งหมด และตามค่าเริ่มต้น การเชื่อมต่ออุโมงค์ IPsec จะใช้โปรโตคอล Encapsulating Security Payload (ESP) เวอร์ชันปรับปรุงสำหรับการรับรองความถูกต้องบนอุโมงค์ IPsec บนเราเตอร์ คุณสามารถเปลี่ยนประเภทของการรับรองความถูกต้อง ตัวจับเวลาการรีคีย์ IPsec และขนาดของหน้าต่างป้องกันการรีเพลย์ของ IPsec ได้

กำหนดค่าประเภทการรับรองความถูกต้องที่อนุญาต

ประเภทการรับรองความถูกต้องใน Cisco SD-WAN รุ่น 20.6.1 และใหม่กว่า
ตั้งแต่ Cisco SD-WAN เวอร์ชัน 20.6.1 เป็นต้นไป รองรับประเภทความสมบูรณ์ต่อไปนี้:

• esp: ตัวเลือกนี้จะเปิดใช้งานการเข้ารหัส Encapsulating Security Payload (ESP) และการตรวจสอบความสมบูรณ์บนส่วนหัว ESP
• ip-udp-esp: ตัวเลือกนี้เปิดใช้งานการเข้ารหัส ESP นอกเหนือจากการตรวจสอบความสมบูรณ์ของส่วนหัว ESP และเพย์โหลดแล้ว การตรวจสอบยังรวมถึงส่วนหัว IP และ UDP ภายนอกด้วย
• ip-udp-esp-no-id: ตัวเลือกนี้จะคล้ายกับ ip-udp-esp แต่จะละเว้นฟิลด์ ID ของส่วนหัว IP ด้านนอก กำหนดค่าตัวเลือกนี้ในรายการประเภทความสมบูรณ์เพื่อให้ซอฟต์แวร์ Cisco Catalyst SD-WAN ละเว้นฟิลด์ ID ในส่วนหัว IP เพื่อให้ Cisco Catalyst SD-WAN สามารถทำงานร่วมกับอุปกรณ์ที่ไม่ใช่ของ Cisco ได้
• ไม่มี: ตัวเลือกนี้จะปิดการตรวจสอบความสมบูรณ์ของแพ็กเก็ต IPSec เราไม่แนะนำให้ใช้ตัวเลือกนี้

ตามค่าเริ่มต้น การเชื่อมต่ออุโมงค์ IPsec จะใช้โปรโตคอล Encapsulating Security Payload (ESP) เวอร์ชันที่ปรับปรุงสำหรับการรับรองความถูกต้อง หากต้องการปรับเปลี่ยนประเภทระหว่างเครือข่ายที่ตกลงกันไว้หรือปิดการใช้งานการตรวจสอบความสมบูรณ์ ให้ใช้คำสั่งต่อไปนี้: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

ประเภทการรับรองความถูกต้องก่อนการเปิดตัว Cisco SD-WAN เวอร์ชัน 20.6.1
ตามค่าเริ่มต้น การเชื่อมต่ออุโมงค์ IPsec จะใช้โปรโตคอล Encapsulating Security Payload (ESP) เวอร์ชันที่ปรับปรุงสำหรับการรับรองความถูกต้อง หากต้องการปรับเปลี่ยนประเภทการรับรองความถูกต้องที่ตกลงกันไว้หรือปิดใช้งานการรับรองความถูกต้อง ให้ใช้คำสั่งต่อไปนี้: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) ตามค่าเริ่มต้น การเชื่อมต่ออุโมงค์ IPsec จะใช้ AES-GCM-256 ซึ่งให้ทั้งการเข้ารหัสและการรับรองความถูกต้อง กำหนดค่าประเภทการรับรองความถูกต้องแต่ละประเภทด้วยคำสั่ง security ipsec authentication-type แยกกัน ตัวเลือกคำสั่งจะจับคู่กับประเภทการรับรองความถูกต้องต่อไปนี้ ซึ่งแสดงรายการตามลำดับจากที่แข็งแกร่งที่สุดไปยังน้อยที่สุด:

บันทึก
sha1 ในตัวเลือกการกำหนดค่านั้นใช้ตามเหตุผลในอดีต ตัวเลือกการตรวจสอบความถูกต้องจะระบุถึงขอบเขตของการตรวจสอบความสมบูรณ์ของแพ็กเก็ต ตัวเลือกเหล่านี้ไม่ได้ระบุอัลกอริทึมที่ใช้ตรวจสอบความสมบูรณ์ ยกเว้นการเข้ารหัสการรับส่งข้อมูลแบบมัลติคาสต์ อัลกอริทึมการตรวจสอบความถูกต้องที่รองรับโดย Cisco Catalyst SD WAN จะไม่ใช้ SHA1 อย่างไรก็ตาม ใน Cisco SD-WAN รุ่น 20.1.x ขึ้นไป ทั้งแบบยูนิคาสต์และมัลติคาสต์จะไม่ใช้ SHA1

• ah-sha1-hmac เปิดใช้งานการเข้ารหัสและการหุ้มห่อโดยใช้ ESP อย่างไรก็ตาม นอกเหนือจากการตรวจสอบความสมบูรณ์ของส่วนหัวและเพย์โหลดของ ESP แล้ว การตรวจสอบยังรวมถึงส่วนหัว IP และ UDP ภายนอกด้วย ดังนั้น ตัวเลือกนี้จึงรองรับการตรวจสอบความสมบูรณ์ของแพ็กเก็ตที่คล้ายกับโปรโตคอลส่วนหัวการรับรองความถูกต้อง (AH) ความสมบูรณ์และการเข้ารหัสทั้งหมดดำเนินการโดยใช้ AES-256-GCM
• ah-no-id เปิดใช้งานโหมดที่คล้ายกับ ah-sha1-hmac อย่างไรก็ตาม ฟิลด์ ID ของส่วนหัว IP ด้านนอกจะถูกละเว้น ตัวเลือกนี้รองรับอุปกรณ์ SD-WAN ที่ไม่ใช่ Cisco Catalyst บางส่วน รวมถึง Apple AirPort Express NAT ที่มีข้อบกพร่องที่ทำให้ฟิลด์ ID ในส่วนหัว IP ซึ่งเป็นฟิลด์ที่ไม่สามารถเปลี่ยนแปลงได้ ต้องถูกปรับเปลี่ยน กำหนดค่าตัวเลือก ah-no-id ในรายการประเภทการตรวจสอบสิทธิ์เพื่อให้ซอฟต์แวร์ Cisco Catalyst SD-WAN AH ละเว้นฟิลด์ ID ในส่วนหัว IP เพื่อให้ซอฟต์แวร์ Cisco Catalyst SD-WAN สามารถทำงานร่วมกับอุปกรณ์เหล่านี้ได้
• sha1-hmac ช่วยให้สามารถเข้ารหัส ESP และการตรวจสอบความสมบูรณ์ได้
• none จะแมปกับ no authentication ควรใช้ตัวเลือกนี้เฉพาะเมื่อจำเป็นสำหรับการดีบักชั่วคราวเท่านั้น นอกจากนี้ คุณยังสามารถเลือกตัวเลือกนี้ในสถานการณ์ที่การพิสูจน์ตัวตนและความสมบูรณ์ของระนาบข้อมูลไม่ใช่ปัญหา Cisco ไม่แนะนำให้ใช้ตัวเลือกนี้สำหรับเครือข่ายการผลิต

สำหรับข้อมูลเกี่ยวกับฟิลด์แพ็กเก็ตข้อมูลใดที่ได้รับผลกระทบจากประเภทการรับรองความถูกต้องเหล่านี้ โปรดดูความสมบูรณ์ของระนาบข้อมูล อุปกรณ์ Cisco IOS XE Catalyst SD-WAN และอุปกรณ์ Cisco vEdge โฆษณาประเภทการรับรองความถูกต้องที่กำหนดค่าไว้ในคุณสมบัติ TLOC เราเตอร์ทั้งสองตัวที่อยู่แต่ละด้านของการเชื่อมต่ออุโมงค์ IPsec จะเจรจาการรับรองความถูกต้องที่จะใช้ในการเชื่อมต่อระหว่างกันโดยใช้ประเภทการรับรองความถูกต้องที่แข็งแกร่งที่สุดที่กำหนดค่าไว้บนเราเตอร์ทั้งสองตัว ตัวอย่างเช่นampหากเราเตอร์ตัวหนึ่งประกาศประเภท ah-sha1-hmac และ ah-no-id และเราเตอร์ตัวที่สองประกาศประเภท ah-no-id เราเตอร์ทั้งสองจะตกลงใช้ ah-no-id ในการเชื่อมต่ออุโมงค์ IPsec ระหว่างกัน หากไม่มีการกำหนดค่าประเภทการตรวจสอบสิทธิ์ทั่วไปบนเพียร์ทั้งสอง จะไม่มีการสร้างอุโมงค์ IPsec ระหว่างกัน อัลกอริทึมการเข้ารหัสในการเชื่อมต่ออุโมงค์ IPsec ขึ้นอยู่กับประเภทของการรับส่งข้อมูล:

• สำหรับการรับส่งข้อมูลแบบยูนิคาสต์ อัลกอริทึมการเข้ารหัสคือ AES-256-GCM
• สำหรับการรับส่งข้อมูลแบบมัลติคาสต์:
• Cisco SD-WAN รุ่น 20.1.x และใหม่กว่า – อัลกอริทึมการเข้ารหัสคือ AES-256-GCM
• รุ่นก่อนหน้า– อัลกอริทึมการเข้ารหัสคือ AES-256-CBC พร้อม SHA1-HMAC

เมื่อเปลี่ยนประเภทการตรวจสอบสิทธิ์ IPsec คีย์ AES สำหรับเส้นทางข้อมูลก็จะเปลี่ยนแปลง

เปลี่ยนตัวจับเวลาการรีเซ็ตรหัส

ก่อนที่อุปกรณ์ Cisco IOS XE Catalyst SD-WAN และอุปกรณ์ Cisco vEdge จะสามารถแลกเปลี่ยนข้อมูลได้ อุปกรณ์ทั้งสองจะต้องตั้งค่าช่องทางการสื่อสารที่ปลอดภัยและผ่านการรับรองระหว่างกัน เราเตอร์จะใช้ช่องทาง IPSec ระหว่างกันและใช้รหัส AES-256 เพื่อเข้ารหัส เราเตอร์แต่ละตัวจะสร้างคีย์ AES ใหม่สำหรับเส้นทางข้อมูลเป็นระยะๆ โดยค่าเริ่มต้น คีย์จะมีอายุ 86400 วินาที (24 ชั่วโมง) และช่วงเวลาของตัวจับเวลาคือ 10 วินาทีถึง 1209600 วินาที (14 วัน) หากต้องการเปลี่ยนค่าตัวจับเวลาการรีคีย์ ให้ทำตามขั้นตอนดังนี้ Device(config)# security ipsec rekey seconds การกำหนดค่าจะมีลักษณะดังนี้:

• ความปลอดภัย ipsec rekey วินาที !

หากคุณต้องการสร้างคีย์ IPsec ใหม่ทันที คุณสามารถทำได้โดยไม่ต้องแก้ไขการกำหนดค่าของเราเตอร์ เมื่อต้องการทำเช่นนี้ ให้ออกคำสั่ง request security ipsecrekey บนเราเตอร์ที่ถูกบุกรุก ตัวอย่างเช่นampจากผลลัพธ์ต่อไปนี้ แสดงให้เห็นว่า SA ในพื้นที่มีดัชนีพารามิเตอร์ความปลอดภัย (SPI) ที่ 256:

คีย์เฉพาะจะเชื่อมโยงกับ SPI แต่ละรายการ หากคีย์นี้ถูกบุกรุก ให้ใช้คำสั่ง request security ipsec-rekey เพื่อสร้างคีย์ใหม่ทันที คำสั่งนี้จะเพิ่ม SPI ในตัวอย่างนี้ample SPI เปลี่ยนเป็น 257 และคีย์ที่เกี่ยวข้องจะถูกใช้:

• อุปกรณ์# ขอรหัสความปลอดภัย ipsecrekey
• อุปกรณ์# แสดง ipsec local-sa

หลังจากสร้างคีย์ใหม่แล้ว เราเตอร์จะส่งคีย์ดังกล่าวไปยัง Cisco SD-WAN Controllers โดยใช้ DTLS หรือ TLS ทันที Cisco SD-WAN Controllers จะส่งคีย์ดังกล่าวไปยังเราเตอร์เพียร์ เราเตอร์จะเริ่มใช้คีย์ดังกล่าวทันทีที่ได้รับ โปรดทราบว่าคีย์ที่เชื่อมโยงกับ SPI เก่า (256) จะยังคงใช้งานต่อไปเป็นเวลาสั้นๆ จนกว่าจะหมดเวลา หากต้องการหยุดใช้คีย์เก่าทันที ให้ออกคำสั่ง request security ipsec-rekey สองครั้งติดต่อกันอย่างรวดเร็ว ลำดับคำสั่งนี้จะลบทั้ง SPI 256 และ 257 และตั้งค่า SPI เป็น 258 จากนั้นเราเตอร์จะใช้คีย์ที่เชื่อมโยงกับ SPI 258 อย่างไรก็ตาม โปรดทราบว่าแพ็กเก็ตบางส่วนจะถูกละทิ้งเป็นระยะเวลาสั้นๆ จนกว่าเราเตอร์ระยะไกลทั้งหมดจะเรียนรู้คีย์ใหม่

การเปลี่ยนขนาดของหน้าต่างป้องกันการเล่นซ้ำ

การรับรองความถูกต้องด้วย IPsec จะให้การป้องกันการเล่นซ้ำโดยกำหนดหมายเลขลำดับที่ไม่ซ้ำกันให้กับแต่ละแพ็กเก็ตในสตรีมข้อมูล การกำหนดหมายเลขลำดับนี้จะป้องกันไม่ให้ผู้โจมตีทำซ้ำแพ็กเก็ตข้อมูล ด้วยการป้องกันการเล่นซ้ำ ผู้ส่งจะกำหนดหมายเลขลำดับที่เพิ่มขึ้นเรื่อยๆ และปลายทางจะตรวจสอบหมายเลขลำดับเหล่านี้เพื่อตรวจจับข้อมูลที่ซ้ำกัน เนื่องจากแพ็กเก็ตมักจะไม่มาถึงตามลำดับ ปลายทางจึงรักษาหน้าต่างลำดับแบบเลื่อนที่ยอมรับหมายเลขลำดับไว้

แพ็คเก็ตที่มีหมายเลขลำดับที่อยู่ทางซ้ายของช่วงหน้าต่างเลื่อนถือเป็นแพ็คเก็ตเก่าหรือซ้ำกัน และปลายทางจะละทิ้งแพ็คเก็ตเหล่านี้ ปลายทางจะติดตามหมายเลขลำดับสูงสุดที่ได้รับ และปรับหน้าต่างเลื่อนเมื่อได้รับแพ็คเก็ตที่มีค่าสูงกว่า

โดยค่าเริ่มต้น หน้าต่างเลื่อนจะถูกตั้งค่าเป็น 512 แพ็คเก็ต และสามารถตั้งค่าเป็นค่าใดก็ได้ระหว่าง 64 ถึง 4096 ซึ่งเป็นเลขยกกำลัง 2 (นั่นคือ 64, 128, 256, 512, 1024, 2048 หรือ 4096) หากต้องการปรับขนาดหน้าต่างป้องกันการเล่นซ้ำ ให้ใช้คำสั่ง replay-window โดยระบุขนาดของหน้าต่าง:

อุปกรณ์(config)# ความปลอดภัย ipsec หมายเลขหน้าต่างการเล่นซ้ำ

การกำหนดค่าจะมีลักษณะดังนี้:
ความปลอดภัย ipsec หมายเลขหน้าต่างการเล่นซ้ำ ! !

เพื่อช่วยในเรื่อง QoS จะมีการรักษาหน้าต่างรีเพลย์แยกกันสำหรับแต่ละช่องสัญญาณแปดช่องแรก ขนาดหน้าต่างรีเพลย์ที่กำหนดค่าไว้จะหารด้วยแปดสำหรับแต่ละช่องสัญญาณ หากกำหนดค่า QoS บนเราเตอร์ เราเตอร์นั้นอาจพบจำนวนแพ็กเก็ตที่หลุดออกมามากกว่าที่คาดไว้อันเป็นผลจากกลไกป้องกันการรีเพลย์ของ IPsec และแพ็กเก็ตจำนวนมากที่ถูกทิ้งนั้นเป็นแพ็กเก็ตที่ถูกต้อง ซึ่งเกิดขึ้นเนื่องจาก QoS จะเรียงลำดับแพ็กเก็ตใหม่ ทำให้แพ็กเก็ตที่มีลำดับความสำคัญสูงกว่าได้รับการปฏิบัติเป็นพิเศษและทำให้แพ็กเก็ตที่มีลำดับความสำคัญต่ำกว่าล่าช้า หากต้องการลดหรือป้องกันสถานการณ์นี้ คุณสามารถดำเนินการดังต่อไปนี้:

• เพิ่มขนาดของหน้าต่างป้องกันการเล่นซ้ำ
• ออกแบบการรับส่งข้อมูลไปยังช่องสัญญาณแปดช่องแรกเพื่อให้แน่ใจว่าการรับส่งข้อมูลภายในช่องสัญญาณจะไม่ถูกเรียงลำดับใหม่

กำหนดค่าอุโมงค์ IPsec ที่เปิดใช้งาน IKE
หากต้องการถ่ายโอนการรับส่งข้อมูลจากเครือข่ายโอเวอร์เลย์ไปยังเครือข่ายบริการอย่างปลอดภัย คุณสามารถกำหนดค่าอุโมงค์ IPsec ที่เรียกใช้โปรโตคอล Internet Key Exchange (IKE) อุโมงค์ IPsec ที่เปิดใช้งาน IKE จะให้การรับรองความถูกต้องและการเข้ารหัสเพื่อให้แน่ใจว่าการขนส่งแพ็กเก็ตมีความปลอดภัย คุณสร้างอุโมงค์ IPsec ที่เปิดใช้งาน IKE ได้โดยกำหนดค่าอินเทอร์เฟซ IPsec อินเทอร์เฟซ IPsec เป็นอินเทอร์เฟซเชิงตรรกะ และคุณกำหนดค่าอินเทอร์เฟซเหล่านี้เหมือนกับอินเทอร์เฟซทางกายภาพอื่นๆ คุณกำหนดค่าพารามิเตอร์โปรโตคอล IKE บนอินเทอร์เฟซ IPsec และคุณสามารถกำหนดค่าคุณสมบัติอินเทอร์เฟซอื่นๆ ได้

บันทึก Cisco แนะนำให้ใช้ IKE เวอร์ชัน 2 ตั้งแต่ Cisco SD-WAN เวอร์ชัน 19.2.x เป็นต้นไป คีย์ที่แชร์ไว้ล่วงหน้าต้องมีความยาวอย่างน้อย 16 ไบต์ การสร้างอุโมงค์ IPsec จะล้มเหลวหากขนาดคีย์น้อยกว่า 16 อักขระเมื่ออัปเกรดเราเตอร์เป็นเวอร์ชัน 19.2

บันทึก
ซอฟต์แวร์ Cisco Catalyst SD-WAN รองรับ IKE เวอร์ชัน 2 ตามที่กำหนดไว้ใน RFC 7296 การใช้งานอุโมงค์ IPsec อย่างหนึ่งคืออนุญาตให้อินสแตนซ์ VM ของเราเตอร์ vEdge Cloud ที่ทำงานบน Amazon AWS เชื่อมต่อกับ Amazon Virtual Private Cloud (VPC) ได้ คุณต้องกำหนดค่า IKE เวอร์ชัน 1 บนเราเตอร์เหล่านี้ อุปกรณ์ Cisco vEdge รองรับ VPN ที่ใช้เส้นทางเท่านั้นในการกำหนดค่า IPSec เนื่องจากอุปกรณ์เหล่านี้ไม่สามารถกำหนดตัวเลือกการรับส่งข้อมูลในโดเมนการเข้ารหัสได้

กำหนดค่าอุโมงค์ IPsec
หากต้องการกำหนดค่าอินเทอร์เฟซอุโมงค์ IPsec สำหรับการรับส่งข้อมูลการขนส่งที่ปลอดภัยจากเครือข่ายบริการ คุณจะสร้างอินเทอร์เฟซ IPsec เชิงตรรกะ:

คุณสามารถสร้างอุโมงค์ IPsec ใน VPN การขนส่ง (VPN 0) และใน VPN บริการใดๆ (VPN 1 ถึง 65530 ยกเว้น 512) อินเทอร์เฟซ IPsec มีชื่อในรูปแบบ ipsecnumber โดยที่ตัวเลขสามารถเป็นได้ตั้งแต่ 1 ถึง 255 อินเทอร์เฟซ IPsec แต่ละรายการต้องมีที่อยู่ IPv4 ที่อยู่นี้ต้องเป็นคำนำหน้า /30 ทราฟฟิกทั้งหมดใน VPN ที่อยู่ภายในคำนำหน้า IPv4 นี้จะถูกส่งไปยังอินเทอร์เฟซทางกายภาพใน VPN 0 เพื่อส่งอย่างปลอดภัยผ่านอุโมงค์ IPsec หากต้องการกำหนดค่าแหล่งที่มาของอุโมงค์ IPsec บนอุปกรณ์ภายในเครื่อง คุณสามารถระบุที่อยู่ IP ของอินเทอร์เฟซทางกายภาพ (ในคำสั่ง tunnel-source) หรือชื่อของอินเทอร์เฟซทางกายภาพ (ในคำสั่ง tunnel-source-interface) ตรวจสอบว่าได้กำหนดค่าอินเทอร์เฟซทางกายภาพใน VPN 0 แล้ว หากต้องการกำหนดค่าปลายทางของอุโมงค์ IPsec ให้ระบุที่อยู่ IP ของอุปกรณ์ระยะไกลในคำสั่ง tunnel-destination การรวมกันของที่อยู่แหล่งที่มา (หรือชื่ออินเทอร์เฟซแหล่งที่มา) และที่อยู่ปลายทางจะกำหนดอุโมงค์ IPsec เดียว สามารถมีอุโมงค์ IPsec ได้เพียงหนึ่งอุโมงค์เท่านั้นที่ใช้คู่ที่อยู่แหล่งที่มา (หรือชื่ออินเทอร์เฟซ) และที่อยู่ปลายทางที่เฉพาะเจาะจง

กำหนดค่าเส้นทางคงที่ IPsec

ในการกำหนดเส้นทางการรับส่งข้อมูลจากบริการ VPN ไปยังอุโมงค์ IPsec ใน VPN การขนส่ง (VPN 0) ให้คุณกำหนดค่าเส้นทางคงที่เฉพาะ IPsec ใน VPN ของบริการ (VPN อื่นที่ไม่ใช่ VPN 0 หรือ VPN 512):

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 อินเทอร์เฟซ
• หมายเลข ipsec [ipsecnumber2]

รหัส VPN คือรหัสของบริการ VPN ใดๆ (VPN 1 ถึง 65530 ยกเว้น 512) prefix/length คือที่อยู่ IP หรือ prefix ในรูปแบบทศนิยมสี่จุด และความยาว prefix ของเส้นทางคงที่เฉพาะ IPsec อินเทอร์เฟซคืออินเทอร์เฟซอุโมงค์ IPsec ใน VPN 0 คุณสามารถกำหนดค่าอินเทอร์เฟซอุโมงค์ IPsec ได้หนึ่งหรือสองอินเทอร์เฟซ หากคุณกำหนดค่าสองอินเทอร์เฟซ อินเทอร์เฟซแรกจะเป็นอุโมงค์ IPsec หลัก และอินเทอร์เฟซที่สองจะเป็นอุโมงค์สำรอง เมื่อมีอินเทอร์เฟซสองอินเทอร์เฟซ แพ็กเก็ตทั้งหมดจะถูกส่งไปยังอุโมงค์หลักเท่านั้น หากอุโมงค์นั้นล้มเหลว แพ็กเก็ตทั้งหมดจะถูกส่งไปยังอุโมงค์รอง หากอุโมงค์หลักกลับมาทำงานอีกครั้ง ทราฟฟิกทั้งหมดจะย้ายกลับไปยังอุโมงค์ IPsec หลัก

เปิดใช้งาน IKE เวอร์ชัน 1
เมื่อคุณสร้างอุโมงค์ IPsec บนเราเตอร์ vEdge IKE เวอร์ชัน 1 จะเปิดใช้งานตามค่าเริ่มต้นบนอินเทอร์เฟซอุโมงค์ คุณสมบัติต่อไปนี้ยังเปิดใช้งานตามค่าเริ่มต้นสำหรับ IKEv1 อีกด้วย:

• การพิสูจน์ตัวตนและการเข้ารหัส—มาตรฐานการเข้ารหัสขั้นสูง AES-256 การเข้ารหัส CBC ด้วยอัลกอริทึมรหัสการพิสูจน์ตัวตนข้อความแฮชคีย์ HMAC-SHA1 เพื่อความสมบูรณ์
• หมายเลขกลุ่ม Diffie-Hellman—16
• ระยะเวลาในการเปลี่ยนรหัสใหม่—4 ชั่วโมง
• โหมดการจัดตั้ง SA—หลัก

โดยค่าเริ่มต้น IKEv1 จะใช้โหมดหลักของ IKE เพื่อสร้าง IKE SA ในโหมดนี้ จะมีการแลกเปลี่ยนชุดการเจรจาจำนวน XNUMX ชุดเพื่อสร้าง SA หากต้องการแลกเปลี่ยนเพียงชุดการเจรจาจำนวน XNUMX ชุด ให้เปิดใช้งานโหมดก้าวร้าว:

บันทึก
ควรหลีกเลี่ยงโหมด IKE เชิงรุกที่มีคีย์ที่แชร์ไว้ล่วงหน้าหากเป็นไปได้ มิฉะนั้น ควรเลือกใช้คีย์ที่แชร์ไว้ล่วงหน้าที่แข็งแกร่ง

• vEdge(config)# vpn vpn-id อินเทอร์เฟซ ipsec หมายเลข ike
• vEdge(config-ike)# โหมดก้าวร้าว

โดยค่าเริ่มต้น IKEv1 จะใช้กลุ่ม Diffie-Hellman 16 ในการแลกเปลี่ยนคีย์ IKE กลุ่มนี้จะใช้กลุ่มเลขชี้กำลังโมดูลาร์ 4096 บิต (MODP) ในระหว่างการแลกเปลี่ยนคีย์ IKE คุณสามารถเปลี่ยนหมายเลขกลุ่มเป็น 2 (สำหรับ MODP 1024 บิต), 14 (MODP 2048 บิต) หรือ 15 (MODP 3072 บิต) ได้ดังนี้:

• vEdge(config)# vpn vpn-id อินเทอร์เฟซ ipsec หมายเลข ike
• vEdge(config-ike)# หมายเลขกลุ่ม

ตามค่าเริ่มต้น การแลกเปลี่ยนคีย์ IKE จะใช้การเข้ารหัส CBC มาตรฐานการเข้ารหัสขั้นสูง AES-256 พร้อมอัลกอริทึมรหัสยืนยันข้อความแฮชคีย์ HMAC-SHA1 เพื่อความสมบูรณ์ คุณสามารถเปลี่ยนการยืนยันตัวตนได้ดังนี้:

• vEdge(config)# vpn vpn-id อินเทอร์เฟซ ipsec หมายเลข ike
• vEdge(config-ike)# ชุดรหัสชุด

ชุดการตรวจสอบความถูกต้องสามารถเป็นหนึ่งในรายการต่อไปนี้:

• aes128-cbc-sha1—มาตรฐานการเข้ารหัสขั้นสูง AES-128 การเข้ารหัส CBC ด้วยอัลกอริทึมรหัสยืนยันข้อความแฮชคีย์ HMAC-SHA1 เพื่อความสมบูรณ์
• aes128-cbc-sha2—มาตรฐานการเข้ารหัสขั้นสูง AES-128 การเข้ารหัส CBC ด้วยอัลกอริทึมรหัสยืนยันข้อความแฮชคีย์ HMAC-SHA256 เพื่อความสมบูรณ์
• aes256-cbc-sha1—มาตรฐานการเข้ารหัส CBC ขั้นสูง AES-256 พร้อมด้วยอัลกอริทึมรหัสยืนยันข้อความแฮชคีย์ HMAC-SHA1 เพื่อความสมบูรณ์ นี่คือค่าเริ่มต้น
• aes256-cbc-sha2—มาตรฐานการเข้ารหัสขั้นสูง AES-256 การเข้ารหัส CBC ด้วยอัลกอริทึมรหัสยืนยันข้อความแฮชคีย์ HMAC-SHA256 เพื่อความสมบูรณ์

โดยค่าเริ่มต้น คีย์ IKE จะถูกรีเฟรชทุกๆ 1 ชั่วโมง (3600 วินาที) คุณสามารถเปลี่ยนช่วงเวลาการรีคีย์เป็นค่าตั้งแต่ 30 วินาทีถึง 14 วัน (1209600 วินาที) ขอแนะนำให้ช่วงเวลาการรีคีย์อย่างน้อย 1 ชั่วโมง

• vEdge(config)# vpn vpn-id อินเทอร์เฟซ ipsec หมายเลข เช่น
• vEdge(config-ike)# rekey วินาที

หากต้องการบังคับให้สร้างคีย์ใหม่สำหรับเซสชัน IKE ให้ออกคำสั่งร้องขอ ipsec ike-rekey

• vEdge(config)# vpn vpn-id interfaceipsec number ike

สำหรับ IKE คุณยังสามารถกำหนดค่าการตรวจสอบสิทธิ์ด้วยคีย์ที่แชร์ไว้ล่วงหน้า (PSK) ได้ด้วย:

• vEdge(config)# vpn vpn-id อินเทอร์เฟซ ipsec หมายเลข ike
• vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password คือรหัสผ่านที่ใช้กับคีย์ที่แชร์ไว้ล่วงหน้า อาจเป็น ASCII หรือสตริงเลขฐานสิบหกที่มีความยาวตั้งแต่ 1 ถึง 127 อักขระ

หากพีร์ IKE ระยะไกลต้องการ ID ในพื้นที่หรือระยะไกล คุณสามารถกำหนดค่าตัวระบุนี้ได้:

• vEdge(config)# vpn vpn-id อินเทอร์เฟซ ipsec หมายเลข ike ประเภทการรับรองความถูกต้อง
• vEdge(config-authentication-type)# รหัสประจำตัวท้องถิ่น id
• vEdge(config-authentication-type)# รหัสประจำตัวระยะไกล id

ตัวระบุอาจเป็นที่อยู่ IP หรือสตริงข้อความใดๆ ที่มีความยาวตั้งแต่ 1 ถึง 63 อักขระ โดยค่าเริ่มต้น ID ในพื้นที่คือที่อยู่ IP ต้นทางของอุโมงค์ และ ID ระยะไกลคือที่อยู่ IP ปลายทางของอุโมงค์

เปิดใช้งาน IKE เวอร์ชัน 2
เมื่อคุณกำหนดค่าอุโมงค์ IPsec ให้ใช้ IKE เวอร์ชัน 2 คุณสมบัติต่อไปนี้จะเปิดใช้งานตามค่าเริ่มต้นสำหรับ IKEv2 ด้วย:

• การพิสูจน์ตัวตนและการเข้ารหัส—มาตรฐานการเข้ารหัสขั้นสูง AES-256 การเข้ารหัส CBC ด้วยอัลกอริทึมรหัสการพิสูจน์ตัวตนข้อความแฮชคีย์ HMAC-SHA1 เพื่อความสมบูรณ์
• หมายเลขกลุ่ม Diffie-Hellman—16
• ระยะเวลาในการเปลี่ยนรหัสใหม่—4 ชั่วโมง

โดยค่าเริ่มต้น IKEv2 จะใช้กลุ่ม Diffie-Hellman 16 ในการแลกเปลี่ยนคีย์ IKE กลุ่มนี้จะใช้กลุ่มเลขชี้กำลังโมดูลาร์ 4096 บิต (MODP) ในระหว่างการแลกเปลี่ยนคีย์ IKE คุณสามารถเปลี่ยนหมายเลขกลุ่มเป็น 2 (สำหรับ MODP 1024 บิต), 14 (MODP 2048 บิต) หรือ 15 (MODP 3072 บิต) ได้ดังนี้:

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# หมายเลขกลุ่ม

ตามค่าเริ่มต้น การแลกเปลี่ยนคีย์ IKE จะใช้การเข้ารหัส CBC มาตรฐานการเข้ารหัสขั้นสูง AES-256 พร้อมอัลกอริทึมรหัสยืนยันข้อความแฮชคีย์ HMAC-SHA1 เพื่อความสมบูรณ์ คุณสามารถเปลี่ยนการยืนยันตัวตนได้ดังนี้:

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# ชุดรหัสชุด

ชุดการตรวจสอบความถูกต้องสามารถเป็นหนึ่งในรายการต่อไปนี้:

• aes128-cbc-sha1—มาตรฐานการเข้ารหัสขั้นสูง AES-128 การเข้ารหัส CBC ด้วยอัลกอริทึมรหัสยืนยันข้อความแฮชคีย์ HMAC-SHA1 เพื่อความสมบูรณ์
• aes128-cbc-sha2—มาตรฐานการเข้ารหัสขั้นสูง AES-128 การเข้ารหัส CBC ด้วยอัลกอริทึมรหัสยืนยันข้อความแฮชคีย์ HMAC-SHA256 เพื่อความสมบูรณ์
• aes256-cbc-sha1—มาตรฐานการเข้ารหัส CBC ขั้นสูง AES-256 พร้อมด้วยอัลกอริทึมรหัสยืนยันข้อความแฮชคีย์ HMAC-SHA1 เพื่อความสมบูรณ์ นี่คือค่าเริ่มต้น
• aes256-cbc-sha2—มาตรฐานการเข้ารหัสขั้นสูง AES-256 การเข้ารหัส CBC ด้วยอัลกอริทึมรหัสยืนยันข้อความแฮชคีย์ HMAC-SHA256 เพื่อความสมบูรณ์

โดยค่าเริ่มต้น คีย์ IKE จะถูกรีเฟรชทุกๆ 4 ชั่วโมง (14,400 วินาที) คุณสามารถเปลี่ยนช่วงเวลาการรีคีย์เป็นค่าตั้งแต่ 30 วินาทีถึง 14 วัน (1209600 วินาที) ได้:

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# rekey วินาที

หากต้องการบังคับให้สร้างคีย์ใหม่สำหรับเซสชัน IKE ให้ใช้คำสั่งร้องขอ ipsec ike-rekey สำหรับ IKE คุณยังสามารถกำหนดค่าการรับรองความถูกต้องด้วยคีย์ที่แชร์ไว้ล่วงหน้า (PSK) ได้ด้วย:

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password คือรหัสผ่านที่จะใช้กับคีย์ที่แชร์ไว้ล่วงหน้า อาจเป็น ASCII หรือสตริงเลขฐานสิบหก หรืออาจเป็นคีย์ที่เข้ารหัส AES ก็ได้ หากเพียร์ IKE ระยะไกลต้องการ ID ในพื้นที่หรือระยะไกล คุณสามารถกำหนดค่าตัวระบุนี้ได้:
• vEdge(config)# vpn vpn-id interface ipsecnumber ike authentication-type
• vEdge(config-authentication-type)# รหัสประจำตัวท้องถิ่น id
• vEdge(config-authentication-type)# รหัสประจำตัวระยะไกล id

ตัวระบุอาจเป็นที่อยู่ IP หรือสตริงข้อความใดๆ ที่มีความยาวตั้งแต่ 1 ถึง 64 อักขระ โดยค่าเริ่มต้น ID ในพื้นที่คือที่อยู่ IP ต้นทางของอุโมงค์ และ ID ระยะไกลคือที่อยู่ IP ปลายทางของอุโมงค์

กำหนดค่าพารามิเตอร์อุโมงค์ IPsec

ตารางที่ 4: ประวัติคุณลักษณะ

คุณสมบัติ ชื่อ	ข้อมูลการเปิดตัว	คำอธิบาย
การเข้ารหัสเพิ่มเติม	Cisco SD-WAN รีลีส 20.1.1	คุณสมบัตินี้เพิ่มการรองรับสำหรับ
การสนับสนุนอัลกอริทึมสำหรับ IPSec		HMAC_SHA256, HMAC_SHA384 และ
อุโมงค์		อัลกอริทึม HMAC_SHA512 สำหรับ
		เพิ่มความปลอดภัย

โดยค่าเริ่มต้น พารามิเตอร์ต่อไปนี้จะใช้ในอุโมงค์ IPsec ที่รับส่งข้อมูล IKE:

• การพิสูจน์ตัวตนและการเข้ารหัส—อัลกอริทึม AES-256 ใน GCM (โหมด Galois/ตัวนับ)
• ระยะเวลาการเปลี่ยนรหัสใหม่—4 ชั่วโมง
• หน้าต่างรีเพลย์—32 แพ็คเก็ต

คุณสามารถเปลี่ยนการเข้ารหัสบนอุโมงค์ IPsec ให้เป็นรหัส AES-256 ในโหมด CBC (การเชื่อมโยงบล็อกรหัส) โดยใช้ HMAC ที่ใช้การพิสูจน์ตัวตนข้อความแฮชคีย์ SHA-1 หรือ SHA-2 หรือเป็นค่าว่างโดยใช้ HMAC ที่ใช้การพิสูจน์ตัวตนข้อความแฮชคีย์ SHA-1 หรือ SHA-2 เพื่อไม่ให้เข้ารหัสอุโมงค์ IPsec ที่ใช้สำหรับการรับส่งข้อมูลแลกเปลี่ยนคีย์ IKE:

• vEdge(หมายเลข config-interface-ipsec) # ipsec
• vEdge(config-ipsec)# ชุดรหัส (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256-null-sha384 | aes256-null-sha512)

โดยค่าเริ่มต้น คีย์ IKE จะถูกรีเฟรชทุกๆ 4 ชั่วโมง (14,400 วินาที) คุณสามารถเปลี่ยนช่วงเวลาการรีคีย์เป็นค่าตั้งแต่ 30 วินาทีถึง 14 วัน (1209600 วินาที) ได้:

• vEdge(หมายเลข config-interface-ipsec) # ipsec
• vEdge(config-ipsec)# rekey วินาที

หากต้องการบังคับให้สร้างคีย์ใหม่สำหรับอุโมงค์ IPsec ให้ออกคำสั่งร้องขอ ipsec ipsec-rekey โดยค่าเริ่มต้น ระบบความลับแบบส่งต่อที่สมบูรณ์แบบ (PFS) จะเปิดใช้งานบนอุโมงค์ IPsec เพื่อให้แน่ใจว่าเซสชันที่ผ่านมาจะไม่ได้รับผลกระทบหากคีย์ในอนาคตถูกบุกรุก PFS บังคับให้แลกเปลี่ยนคีย์ Diffie-Hellman ใหม่ โดยค่าเริ่มต้นจะใช้กลุ่มโมดูลหลัก Diffie-Hellman ขนาด 4096 บิต คุณสามารถเปลี่ยนการตั้งค่า PFS ได้ดังนี้:

• vEdge(หมายเลข config-interface-ipsec) # ipsec
• vEdge (config-ipsec) # ความลับที่ส่งต่ออย่างสมบูรณ์แบบ pfs-setting

การตั้งค่า pfs อาจเป็นอย่างใดอย่างหนึ่งต่อไปนี้:

• กลุ่มที่ 2—ใช้กลุ่มโมดูลัสเฉพาะ Diffie-Hellman ขนาด 1024 บิต
• กลุ่มที่ 14—ใช้กลุ่มโมดูลัสเฉพาะ Diffie-Hellman ขนาด 2048 บิต
• กลุ่มที่ 15—ใช้กลุ่มโมดูลัสเฉพาะ Diffie-Hellman ขนาด 3072 บิต
• กลุ่มที่ 16—ใช้กลุ่มโมดูลัสเฉพาะ Diffie-Hellman ขนาด 4096 บิต ซึ่งเป็นค่าเริ่มต้น
• ไม่มี—ปิดใช้งาน PFS

โดยค่าเริ่มต้น หน้าต่างรีเพลย์ IPsec บนอุโมงค์ IPsec คือ 512 ไบต์ คุณสามารถตั้งค่าขนาดหน้าต่างรีเพลย์เป็นแพ็กเก็ต 64, 128, 256, 512, 1024, 2048 หรือ 4096 ได้:

• vEdge(หมายเลข config-interface-ipsec) # ipsec
• vEdge(config-ipsec)# หมายเลขหน้าต่างการเล่นซ้ำ

ปรับเปลี่ยนการตรวจจับ Dead-Peer ของ IKE

IKE ใช้กลไกการตรวจจับเพียร์ที่ตายแล้วเพื่อตรวจสอบว่าการเชื่อมต่อกับเพียร์ IKE ใช้งานได้และสามารถเข้าถึงได้หรือไม่ ในการใช้กลไกนี้ IKE จะส่งแพ็กเก็ต Hello ไปยังเพียร์ และเพียร์จะส่งการตอบรับเป็นค่าเริ่มต้น โดยค่าเริ่มต้น IKE จะส่งแพ็กเก็ต Hello ทุก ๆ 10 วินาที และหลังจากมีแพ็กเก็ตที่ไม่ได้รับการตอบรับ 0 แพ็กเก็ต IKE จะประกาศว่าเพื่อนบ้านตายแล้วและทำลายอุโมงค์ไปยังเพียร์ หลังจากนั้น IKE จะส่งแพ็กเก็ต Hello ไปยังเพียร์เป็นระยะ ๆ และสร้างอุโมงค์ใหม่เมื่อเพียร์กลับมาออนไลน์ คุณสามารถเปลี่ยนช่วงเวลาการตรวจจับความพร้อมใช้งานเป็นค่าตั้งแต่ 65535 ถึง 0 และคุณสามารถเปลี่ยนจำนวนครั้งในการลองใหม่เป็นค่าตั้งแต่ 255 ถึง XNUMX

บันทึก

สำหรับ VPN การขนส่ง ช่วงเวลาการตรวจจับความสดจะถูกแปลงเป็นวินาทีโดยใช้สูตรต่อไปนี้: ช่วงเวลาสำหรับจำนวนความพยายามในการส่งข้อมูลซ้ำ N = ช่วงเวลา * 1.8N-1 ตัวอย่างเช่นampถ้าช่วงเวลาถูกตั้งเป็น 10 และลองใหม่อีกครั้งเป็น 5 ช่วงเวลาการตรวจจับจะเพิ่มขึ้นดังนี้:

• ความพยายามที่ 1: 10 * 1.81-1= 10 วินาที
• พยายาม 2: 10 * 1.82-1= 18 วินาที
• พยายาม 3: 10 * 1.83-1= 32.4 วินาที
• พยายาม 4: 10 * 1.84-1= 58.32 วินาที
• พยายาม 5: 10 * 1.85-1= 104.976 วินาที

vEdge(config-interface-ipsecnumber)# การตรวจจับเพียร์ที่ตายแล้ว จำนวนการลองใหม่

กำหนดค่าคุณสมบัติอินเทอร์เฟซอื่น ๆ

สำหรับอินเทอร์เฟซอุโมงค์ IPsec คุณสามารถกำหนดค่าคุณสมบัติอินเทอร์เฟซเพิ่มเติมดังต่อไปนี้เท่านั้น:

• vEdge(config-interface-ipsec)# ไบต์ mtu
• vEdge(config-interface-ipsec)# tcp-mss-adjust ไบต์

ปิดใช้งานอัลกอริธึมการเข้ารหัส SSH ที่อ่อนแอบน Cisco SD-WAN Manager

ตารางที่ 5: ตารางประวัติคุณลักษณะ

คุณสมบัติ ชื่อ	ข้อมูลการเปิดตัว	คุณสมบัติ คำอธิบาย
ปิดใช้งานอัลกอริธึมการเข้ารหัส SSH ที่อ่อนแอบน Cisco SD-WAN Manager	Cisco vManage รีลีส 20.9.1	ฟีเจอร์นี้ช่วยให้คุณปิดการใช้งานอัลกอริทึม SSH ที่อ่อนแอกว่าบน Cisco SD-WAN Manager ซึ่งอาจไม่เป็นไปตามมาตรฐานความปลอดภัยข้อมูลบางประการ

ข้อมูลเกี่ยวกับการปิดใช้งานอัลกอริธึมการเข้ารหัส SSH ที่อ่อนแอบน Cisco SD-WAN Manager
Cisco SD-WAN Manager มอบไคลเอ็นต์ SSH สำหรับการสื่อสารกับส่วนประกอบในเครือข่าย รวมถึงตัวควบคุมและอุปกรณ์เอดจ์ ไคลเอ็นต์ SSH มอบการเชื่อมต่อแบบเข้ารหัสสำหรับการถ่ายโอนข้อมูลที่ปลอดภัยโดยอิงตามอัลกอริทึมการเข้ารหัสที่หลากหลาย องค์กรหลายแห่งต้องการการเข้ารหัสที่แข็งแกร่งกว่าที่ SHA-1, AES-128 และ AES-192 ให้มา จาก Cisco vManage รุ่น 20.9.1 คุณสามารถปิดใช้งานอัลกอริทึมการเข้ารหัสที่อ่อนแอกว่าต่อไปนี้ได้ เพื่อให้ไคลเอ็นต์ SSH ไม่ใช้อัลกอริทึมเหล่านี้:

• เอสเอชเอ-1
• เออีเอส-128
• เออีเอส-192

ก่อนจะปิดการใช้งานอัลกอริธึมการเข้ารหัสเหล่านี้ โปรดตรวจสอบให้แน่ใจก่อนว่าอุปกรณ์ Cisco vEdge หากมีอยู่ในเครือข่าย กำลังใช้ซอฟต์แวร์รุ่นที่ใหม่กว่า Cisco SD-WAN รุ่น 18.4.6

ประโยชน์ของการปิดใช้งานอัลกอริธึมการเข้ารหัส SSH ที่อ่อนแอบน Cisco SD-WAN Manager
การปิดใช้งานอัลกอริธึมการเข้ารหัส SSH ที่อ่อนแอกว่าจะช่วยเพิ่มความปลอดภัยในการสื่อสาร SSH และทำให้มั่นใจได้ว่าองค์กรที่ใช้ Cisco Catalyst SD-WAN ปฏิบัติตามข้อบังคับด้านความปลอดภัยที่เข้มงวด

ปิดใช้งานอัลกอริธึมการเข้ารหัส SSH ที่อ่อนแอบน Cisco SD-WAN Manager โดยใช้ CLI

1. จากเมนู Cisco SD-WAN Manager เลือกเครื่องมือ > เทอร์มินัล SSH
2. เลือกอุปกรณ์ Cisco SD-WAN Manager ที่คุณต้องการปิดการใช้งานอัลกอริทึม SSH ที่อ่อนแอกว่า
3. กรอกชื่อผู้ใช้และรหัสผ่านเพื่อเข้าสู่ระบบอุปกรณ์
4. เข้าสู่โหมดเซิร์ฟเวอร์ SSH
   • vmanage(config)# ระบบ
   • vmanage(ระบบกำหนดค่า)# ssh-server
5. ดำเนินการอย่างใดอย่างหนึ่งต่อไปนี้เพื่อปิดใช้งานอัลกอริทึมการเข้ารหัส SSH:
   • ปิดใช้งาน SHA-1:
6. จัดการ (config-ssh-server) # ไม่มี kex-algo sha1
7. จัดการ(config-ssh-server)# commit
   ข้อความเตือนต่อไปนี้จะปรากฏขึ้น: คำเตือนต่อไปนี้ถูกสร้างขึ้น: 'system ssh-server kex-algo sha1': คำเตือน: โปรดตรวจสอบให้แน่ใจว่าเอจทั้งหมดของคุณรันโค้ดเวอร์ชัน > 18.4.6 ซึ่งเจรจาได้ดีกว่า SHA1 ด้วย vManage มิฉะนั้น เอจเหล่านั้นอาจออฟไลน์ ดำเนินการต่อหรือไม่ [ใช่,ไม่ใช่] ใช่
   • ตรวจสอบให้แน่ใจว่าอุปกรณ์ Cisco vEdge ทั้งหมดในเครือข่ายกำลังรัน Cisco SD-WAN รุ่น 18.4.6 หรือใหม่กว่า และป้อนใช่
   • ปิดใช้งาน AES-128 และ AES-192:
   • vmanage(config-ssh-server)# ไม่มีรหัส aes-128-192
   • vmanage(config-ssh-server)# คอมมิต
     มีข้อความเตือนแสดงดังต่อไปนี้:
     มีการสร้างคำเตือนต่อไปนี้:
     'system ssh-server cipher aes-128-192': คำเตือน: โปรดตรวจสอบให้แน่ใจว่าเอดจ์ทั้งหมดของคุณรันโค้ดเวอร์ชัน > 18.4.6 ซึ่งเจรจาได้ดีกว่า AES-128-192 กับ vManage มิฉะนั้น เอดจ์เหล่านั้นอาจออฟไลน์ ดำเนินการต่อหรือไม่ [ใช่,ไม่ใช่] ใช่
   • ตรวจสอบให้แน่ใจว่าอุปกรณ์ Cisco vEdge ทั้งหมดในเครือข่ายกำลังรัน Cisco SD-WAN รุ่น 18.4.6 หรือใหม่กว่า และป้อนใช่

ตรวจสอบว่าอัลกอริทึมการเข้ารหัส SSH ที่อ่อนแอถูกปิดใช้งานบน Cisco SD-WAN Manager โดยใช้ CLI

1. จากเมนู Cisco SD-WAN Manager เลือกเครื่องมือ > เทอร์มินัล SSH
2. เลือกอุปกรณ์ Cisco SD-WAN Manager ที่คุณต้องการตรวจสอบ
3. กรอกชื่อผู้ใช้และรหัสผ่านเพื่อเข้าสู่ระบบอุปกรณ์
4. รันคำสั่งต่อไปนี้: show running-config system ssh-server
5. ยืนยันว่าผลลัพธ์แสดงคำสั่งหนึ่งคำสั่งขึ้นไปที่ปิดใช้งานอัลกอริทึมการเข้ารหัสที่อ่อนแอกว่า:
   • ไม่มีรหัส aes-128-192
   • ไม่มี kex-algo sha1

เอกสาร / แหล่งข้อมูล

CISCO SD-WAN กำหนดค่าพารามิเตอร์ความปลอดภัย [พีดีเอฟ] คู่มือการใช้งาน SD-WAN กำหนดค่าพารามิเตอร์ความปลอดภัย SD-WAN กำหนดค่าพารามิเตอร์ความปลอดภัย พารามิเตอร์ความปลอดภัย

อ้างอิง

• คู่มือการใช้งาน