Mga nilalaman magtago
1 CISCO SD-WAN I-configure ang Mga Parameter ng Seguridad
2 I-configure ang Mga Parameter ng Seguridad
3 I-configure ang Control Plane Security Parameters
4 I-configure ang DTLS sa Cisco SD-WAN Manager
5 I-configure ang Mga Parameter ng Seguridad ng Data Plane
6 I-configure ang Mga Pinahihintulutang Uri ng Pagpapatotoo
7 Baguhin ang Rekeying Timer
8 Baguhin ang Laki ng Anti-Replay Window
9 Mag-configure ng IPsec Static Route
10 I-configure ang Mga Parameter ng Tunnel ng IPsec
11 Baguhin ang IKE Dead-Peer Detection
12 I-configure ang Iba Pang Interface Properties
13 I-disable ang Weak SSH Encryption Algorithm sa Cisco SD-WAN Manager
14 Mga Dokumento / Mga Mapagkukunan
14.1 Mga sanggunian

CISCO-LOGO

CISCO SD-WAN I-configure ang Mga Parameter ng Seguridad

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

I-configure ang Mga Parameter ng Seguridad

Tandaan

Upang makamit ang pagpapasimple at pagkakapare-pareho, ang solusyon ng Cisco SD-WAN ay binago bilang Cisco Catalyst SD-WAN. Bilang karagdagan, mula sa Cisco IOS XE SD-WAN Release 17.12.1a at Cisco Catalyst SD-WAN Release 20.12.1, ang mga sumusunod na pagbabago sa bahagi ay naaangkop: Cisco vManage sa Cisco Catalyst SD-WAN Manager, Cisco vAnalytics sa Cisco Catalyst SD-WAN Analytics, Cisco vBond hanggang Cisco Catalyst SD-WAN Validator, at Cisco vSmart hanggang Cisco Catalyst SD-WAN Controller. Tingnan ang pinakabagong Mga Tala sa Paglabas para sa isang komprehensibong listahan ng lahat ng pagbabago sa pangalan ng brand ng component. Habang lumilipat kami sa mga bagong pangalan, maaaring may ilang hindi pagkakapare-pareho sa set ng dokumentasyon dahil sa isang dahan-dahang diskarte sa mga update sa user interface ng produkto ng software.

Inilalarawan ng seksyong ito kung paano baguhin ang mga parameter ng seguridad para sa control plane at ang data plane sa Cisco Catalyst SD-WAN overlay network.

  • I-configure ang Control Plane Security Parameters, naka-on
  • I-configure ang Data Plane Security Parameters, naka-on
  • I-configure ang IKE-Enabled IPsec Tunnels, on
  • I-disable ang Weak SSH Encryption Algorithm sa Cisco SD-WAN Manager, naka-on

I-configure ang Control Plane Security Parameters

Bilang default, ginagamit ng control plane ang DTLS bilang protocol na nagbibigay ng privacy sa lahat ng tunnel nito. Ang DTLS ay tumatakbo sa UDP. Maaari mong baguhin ang control plane security protocol sa TLS, na tumatakbo sa TCP. Ang pangunahing dahilan para gamitin ang TLS ay, kung ituturing mong server ang Cisco SD-WAN Controller, mas pinoprotektahan ng mga firewall ang mga TCP server kaysa sa mga server ng UDP. Iko-configure mo ang control plane tunnel protocol sa isang Cisco SD-WAN Controller: vSmart(config)# security control protocol tls Sa pagbabagong ito, lahat ng control plane tunnels sa pagitan ng Cisco SD-WAN Controller at ang mga router at sa pagitan ng Cisco SD-WAN Controller at Cisco SD-WAN Manager ay gumagamit ng TLS. Palaging gumagamit ng DTLS ang control plane tunnels sa Cisco Catalyst SD-WAN Validator, dahil ang mga koneksyon na ito ay dapat pangasiwaan ng UDP. Sa isang domain na may maraming Cisco SD-WAN Controller, kapag na-configure mo ang TLS sa isa sa mga Cisco SD-WAN Controller, lahat ng control plane tunnel mula sa controller na iyon hanggang sa iba pang controller ay gumagamit ng TLS. Sabi sa ibang paraan, palaging inuuna ang TLS kaysa DTLS. Gayunpaman, mula sa pananaw ng iba pang Cisco SD-WAN Controller, kung hindi mo pa na-configure ang TLS sa kanila, ginagamit nila ang TLS sa control plane tunnel sa isang Cisco SD-WAN Controller lang, at gumagamit sila ng DTLS tunnels sa lahat ng iba pa. Mga Controller ng Cisco SD-WAN at sa lahat ng kanilang konektadong mga router. Upang magamit ang lahat ng Cisco SD-WAN Controller ng TLS, i-configure ito sa lahat ng mga ito. Bilang default, nakikinig ang Cisco SD-WAN Controller sa port 23456 para sa mga kahilingan sa TLS. Para baguhin ito: vSmart(config)# security control tls-port number Ang port ay maaaring isang numero mula 1025 hanggang 65535. Upang ipakita ang impormasyon sa seguridad ng control plane, gamitin ang show control connections command sa Cisco SD-WAN Controller. Para kay example: vSmart-2# ay nagpapakita ng mga kontrol na koneksyon

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

I-configure ang DTLS sa Cisco SD-WAN Manager

Kung iko-configure mo ang Cisco SD-WAN Manager na gamitin ang TLS bilang control plane security protocol, dapat mong paganahin ang port forwarding sa iyong NAT. Kung gumagamit ka ng DTLS bilang control plane security protocol, wala kang kailangang gawin. Ang bilang ng mga port na ipinapasa ay depende sa bilang ng mga proseso ng vdaemon na tumatakbo sa Cisco SD-WAN Manager. Upang ipakita ang impormasyon tungkol sa mga prosesong ito at tungkol sa at ang bilang ng mga port na ipinapasa, gamitin ang show control summary command ay nagpapakita na ang apat na proseso ng daemon ay tumatakbo:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Para makita ang mga listening port, gamitin ang show control local-properties command: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Ipinapakita ng output na ito na ang nakikinig na TCP port ay 23456. Kung nagpapatakbo ka ng Cisco SD-WAN Manager sa likod ng isang NAT, dapat mong buksan ang mga sumusunod na port sa NAT device:

  • 23456 (base – halimbawa 0 port)
  • 23456 + 100 (base + 100)
  • 23456 + 200 (base + 200)
  • 23456 + 300 (base + 300)

Tandaan na ang bilang ng mga instance ay kapareho ng bilang ng mga core na itinalaga mo para sa Cisco SD-WAN Manager, hanggang sa maximum na 8.

I-configure ang Mga Parameter ng Seguridad Gamit ang Template ng Feature ng Seguridad

Gamitin ang template ng tampok na Seguridad para sa lahat ng Cisco vEdge device. Sa mga gilid ng router at sa Cisco SD-WAN Validator, gamitin ang template na ito upang i-configure ang IPsec para sa seguridad ng data plane. Sa Cisco SD-WAN Manager at Cisco SD-WAN Controller, gamitin ang Security feature template para i-configure ang DTLS o TLS para sa control plane security.

I-configure ang Mga Parameter ng Seguridad

  1. Mula sa menu ng Cisco SD-WAN Manager, piliin ang Configuration > Templates.
  2. I-click ang Mga Template ng Tampok at pagkatapos ay i-click ang Magdagdag ng Template.
    Tandaan Sa Cisco vManage Release 20.7.1 at mga naunang release, ang Feature Templates ay tinatawag na Feature.
  3. Mula sa listahan ng Mga Device sa kaliwang pane, pumili ng device. Ang mga template na naaangkop sa napiling device ay lilitaw sa kanang pane.
  4. I-click ang Seguridad upang buksan ang template.
  5. Sa field na Pangalan ng Template, magpasok ng pangalan para sa template. Ang pangalan ay maaaring hanggang sa 128 character at maaari lamang maglaman ng mga alphanumeric na character.
  6. Sa field na Paglalarawan ng Template, maglagay ng paglalarawan ng template. Ang paglalarawan ay maaaring hanggang sa 2048 na mga character at maaaring maglaman lamang ng mga alphanumeric na character.

Kapag una mong binuksan ang isang template ng tampok, para sa bawat parameter na may default na halaga, ang saklaw ay nakatakda sa Default (ipinapahiwatig ng isang checkmark), at ang default na setting o halaga ay ipinapakita. Upang baguhin ang default o maglagay ng value, i-click ang drop-down na menu ng saklaw sa kaliwa ng field ng parameter at pumili ng isa sa mga sumusunod:

Talahanayan 1:

Parameter Saklaw Paglalarawan ng Saklaw
Partikular sa Device (ipinahiwatig ng isang icon ng host) Gumamit ng value na partikular sa device para sa parameter. Para sa mga parameter na partikular sa device, hindi ka maaaring maglagay ng value sa template ng feature. Ilalagay mo ang halaga kapag nag-attach ka ng Viptela device sa isang template ng device.

Kapag na-click mo ang Device Specific, bubukas ang Enter Key box. Ang kahon na ito ay nagpapakita ng isang key, na isang natatanging string na tumutukoy sa parameter sa isang CSV file na iyong nilikha. Ito file ay isang Excel spreadsheet na naglalaman ng isang column para sa bawat key. Ang row ng header ay naglalaman ng mga pangalan ng key (isang key bawat column), at ang bawat row pagkatapos nito ay tumutugma sa isang device at tinutukoy ang mga value ng mga key para sa device na iyon. I-upload mo ang CSV file kapag nag-attach ka ng Viptela device sa isang template ng device. Para sa higit pang impormasyon, tingnan ang Lumikha ng Spreadsheet ng Mga Variable ng Template.

Upang baguhin ang default na key, mag-type ng bagong string at ilipat ang cursor sa labas ng kahon ng Enter Key.

ExampAng mga parameter na partikular sa device ay ang IP address ng system, hostname, lokasyon ng GPS, at ID ng site.
Parameter Saklaw Paglalarawan ng Saklaw
Global (ipinahiwatig ng icon ng globo) Maglagay ng value para sa parameter, at ilapat ang value na iyon sa lahat ng device.

ExampAng kaunting mga parameter na maaari mong ilapat sa buong mundo sa isang pangkat ng mga device ay ang DNS server, syslog server, at mga interface ng MTU.

I-configure ang Control Plane Security

Tandaan
Ang seksyong Configure Control Plane Security ay nalalapat lamang sa Cisco SD-WAN Manager at Cisco SD-WAN Controller. Upang i-configure ang control plane connection protocol sa isang Cisco SD-WAN Manager instance o Cisco SD-WAN Controller, piliin ang Basic Configuration area at i-configure ang mga sumusunod na parameter:

Talahanayan 2:

Parameter Pangalan Paglalarawan
Protocol Piliin ang protocol na gagamitin sa control plane connections sa isang Cisco SD-WAN Controller:

• DTLS (Datagram Transport Layer Security). Ito ang default.

• TLS (Transport Layer Security)
Kontrolin ang TLS Port Kung pinili mo ang TLS, i-configure ang port number na gagamitin:Saklaw: 1025 hanggang 65535Default: 23456

I-click ang I-save

I-configure ang Data Plane Security
Upang i-configure ang seguridad ng data plane sa isang Cisco SD-WAN Validator o isang Cisco vEdge router, piliin ang mga tab na Basic Configuration at Authentication Type, at i-configure ang mga sumusunod na parameter:

Talahanayan 3:

Parameter Pangalan Paglalarawan
Rekey Time Tukuyin kung gaano kadalas binabago ng Cisco vEdge router ang AES key na ginamit sa secure na DTLS na koneksyon nito sa Cisco SD-WAN Controller. Kung ang OMP graceful restart ay pinagana, ang rekeying time ay dapat na hindi bababa sa dalawang beses ang halaga ng OMP graceful restart timer.Saklaw: 10 hanggang 1209600 segundo (14 na araw)Default: 86400 segundo (24 na oras)
Replay Window Tukuyin ang laki ng sliding replay window.

Mga halaga: 64, 128, 256, 512, 1024, 2048, 4096, 8192 na mga paketeDefault: 512 pakete
IPsec

pairwise-keying

 Ito ay naka-off bilang default. I-click On upang i-on ito.
Parameter Pangalan Paglalarawan
Uri ng Pagpapatunay Piliin ang mga uri ng pagpapatunay mula sa Authentication Listahan, at i-click ang arrow na tumuturo sa kanan upang ilipat ang mga uri ng pagpapatunay sa Napiling Listahan hanay.

Mga uri ng pagpapatunay na sinusuportahan mula sa Cisco SD-WAN Release 20.6.1:

•  esp: Pinapagana ang Encapsulating Security Payload (ESP) encryption at integrity checking sa ESP header.

•  ip-udp-esp: Pinapagana ang pag-encrypt ng ESP. Bilang karagdagan sa mga pagsusuri sa integridad sa ESP header at payload, kasama rin sa mga pagsusuri ang panlabas na IP at UDP na mga header.

•  ip-udp-esp-no-id: Binabalewala ang field ng ID sa header ng IP upang gumana ang Cisco Catalyst SD-WAN kasama ng mga device na hindi Cisco.

•  wala: Ino-off ang integrity checking sa mga IPSec packet. Hindi namin inirerekomenda ang paggamit ng opsyong ito.

 

Mga uri ng pagpapatunay na sinusuportahan sa Cisco SD-WAN Release 20.5.1 at mas maaga:

•  ah-walang-id: Paganahin ang pinahusay na bersyon ng AH-SHA1 HMAC at ESP HMAC-SHA1 na hindi pinapansin ang field ng ID sa panlabas na IP header ng packet.

•  ah-sha1-hmac: Paganahin ang AH-SHA1 HMAC at ESP HMAC-SHA1.

•  wala: Piliin ang walang pagpapatunay.

•  sha1-hmac: Paganahin ang ESP HMAC-SHA1.

 

Tandaan              Para sa isang edge device na tumatakbo sa Cisco SD-WAN Release 20.5.1 o mas maaga, maaaring na-configure mo ang mga uri ng pagpapatotoo gamit ang isang Seguridad template. Kapag na-upgrade mo ang device sa Cisco SD-WAN Release 20.6.1 o mas bago, i-update ang mga napiling uri ng pagpapatotoo sa Seguridad template sa mga uri ng pagpapatunay na sinusuportahan mula sa Cisco SD-WAN Release 20.6.1. Upang i-update ang mga uri ng pagpapatotoo, gawin ang sumusunod:

1.      Mula sa menu ng Cisco SD-WAN Manager, piliin Configuration >

Mga template.

2.      I-click Mga Template ng Tampok.

3.      Hanapin ang Seguridad template upang i-update at i-click ang … at i-click I-edit.

4.      I-click Update. Huwag baguhin ang anumang configuration.

Ina-update ng Cisco SD-WAN Manager ang Seguridad template upang ipakita ang mga sinusuportahang uri ng pagpapatotoo.

I-click ang I-save.

I-configure ang Mga Parameter ng Seguridad ng Data Plane

Sa data plane, ang IPsec ay pinagana bilang default sa lahat ng mga router, at bilang default, ang mga koneksyon sa IPsec tunnel ay gumagamit ng pinahusay na bersyon ng Encapsulating Security Payload (ESP) protocol para sa authentication sa mga IPsec tunnels. Sa mga router, maaari mong baguhin ang uri ng authentication, ang IPsec rekeying timer, at ang laki ng IPsec anti-replay window.

I-configure ang Mga Pinahihintulutang Uri ng Pagpapatotoo

Mga Uri ng Pagpapatunay sa Cisco SD-WAN Release 20.6.1 at Mamaya
Mula sa Cisco SD-WAN Release 20.6.1, sinusuportahan ang mga sumusunod na uri ng integridad:

  • esp: Ang opsyong ito ay nagbibigay-daan sa Encapsulating Security Payload (ESP) encryption at integrity checking sa ESP header.
  • ip-udp-esp: Ang pagpipiliang ito ay nagbibigay-daan sa pag-encrypt ng ESP. Bilang karagdagan sa mga pagsusuri sa integridad sa ESP header at sa payload, kasama rin sa mga pagsusuri ang panlabas na IP at UDP na mga header.
  • ip-udp-esp-no-id: Ang opsyong ito ay katulad ng ip-udp-esp, gayunpaman, ang ID field ng panlabas na IP header ay hindi pinapansin. I-configure ang opsyong ito sa listahan ng mga uri ng integridad upang balewalain ng Cisco Catalyst SD-WAN software ang ID field sa IP header para gumana ang Cisco Catalyst SD-WAN kasama ng mga hindi Cisco device.
  • wala: Ino-off ng opsyong ito ang pagsuri sa integridad sa mga IPSec packet. Hindi namin inirerekomenda ang paggamit ng opsyong ito.

Bilang default, ang mga koneksyon sa tunnel ng IPsec ay gumagamit ng pinahusay na bersyon ng Encapsulating Security Payload (ESP) protocol para sa pagpapatunay. Upang baguhin ang mga napagkasunduang uri ng interity o i-disable ang integrity check, gamitin ang sumusunod na command: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Mga Uri ng Pagpapatunay Bago ang Paglabas ng Cisco SD-WAN 20.6.1
Bilang default, ang mga koneksyon sa tunnel ng IPsec ay gumagamit ng pinahusay na bersyon ng Encapsulating Security Payload (ESP) protocol para sa pagpapatunay. Upang baguhin ang mga napagkasunduang uri ng pagpapatotoo o upang i-disable ang pagpapatotoo, gamitin ang sumusunod na command: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Bilang default, IPsec Ang mga koneksyon sa tunnel ay gumagamit ng AES-GCM-256, na nagbibigay ng parehong pag-encrypt at pagpapatunay. I-configure ang bawat uri ng pagpapatotoo gamit ang isang hiwalay na utos ng uri ng pagpapatunay ng seguridad na ipsec. Ang mga pagpipilian sa command ay mapa sa mga sumusunod na uri ng pagpapatunay, na nakalista sa pagkakasunud-sunod mula sa pinakamalakas hanggang sa hindi gaanong malakas:

Tandaan
Ang sha1 sa mga opsyon sa pagsasaayos ay ginagamit para sa mga makasaysayang dahilan. Ang mga opsyon sa pagpapatotoo ay nagpapahiwatig kung gaano karami sa packet integrity checking ang ginagawa. Hindi nila tinukoy ang algorithm na sumusuri sa integridad. Maliban sa pag-encrypt ng trapiko ng multicast, ang mga algorithm ng pagpapatunay na sinusuportahan ng Cisco Catalyst SD WAN ay hindi gumagamit ng SHA1. Gayunpaman sa Cisco SD-WAN Release 20.1.x at pasulong, parehong unicast at multicast ay hindi gumagamit ng SHA1.

  • Ang ah-sha1-hmac ay nagbibigay-daan sa pag-encrypt at encapsulation gamit ang ESP. Gayunpaman, bilang karagdagan sa mga pagsusuri sa integridad sa ESP header at payload, kasama rin sa mga pagsusuri ang panlabas na IP at UDP na mga header. Samakatuwid, sinusuportahan ng opsyong ito ang integrity check ng packet na katulad ng Authentication Header (AH) protocol. Ginagawa ang lahat ng integridad at pag-encrypt gamit ang AES-256-GCM.
  • Ang ah-no-id ay nagbibigay-daan sa isang mode na katulad ng ah-sha1-hmac, gayunpaman, ang ID field ng panlabas na IP header ay hindi pinapansin. Ang opsyong ito ay tinatanggap ang ilang hindi Cisco Catalyst SD-WAN device, kabilang ang Apple AirPort Express NAT, na may bug na nagiging sanhi ng pagbabago sa field ng ID sa IP header, isang non-mutable na field. I-configure ang opsyong ah-no-id sa listahan ng mga uri ng pagpapatotoo upang balewalain ng Cisco Catalyst SD-WAN AH software ang ID field sa IP header para gumana ang Cisco Catalyst SD-WAN software kasama ng mga device na ito.
  • Ang sha1-hmac ay nagbibigay-daan sa ESP encryption at integrity checking.
  • walang mapa sa walang pagpapatunay. Dapat lang gamitin ang opsyong ito kung kinakailangan para sa pansamantalang pag-debug. Maaari mo ring piliin ang opsyong ito sa mga sitwasyon kung saan hindi nababahala ang data plane authentication at integridad. Hindi inirerekomenda ng Cisco ang paggamit ng opsyong ito para sa mga network ng produksyon.

Para sa impormasyon tungkol sa kung aling mga field ng data packet ang apektado ng mga uri ng pagpapatunay na ito, tingnan ang Integridad ng Data Plane. Ang Cisco IOS XE Catalyst SD-WAN device at Cisco vEdge device ay nag-a-advertise ng kanilang mga naka-configure na uri ng pagpapatotoo sa kanilang mga katangian ng TLOC. Ang dalawang router sa magkabilang panig ng isang IPsec tunnel connection ay nakikipag-usap sa pagpapatotoo na gagamitin sa koneksyon sa pagitan ng mga ito, gamit ang pinakamatibay na uri ng pagpapatotoo na naka-configure sa parehong mga router. Para kay example, kung ang isang router ay nag-advertise ng ah-sha1-hmac at ah-no-id na mga uri, at ang pangalawang router ay nag-advertise ng ah-no-id type, ang dalawang router ay nakikipag-usap na gumamit ng ah-no-id sa IPsec tunnel connection sa pagitan sila. Kung walang karaniwang uri ng pagpapatotoo ang naka-configure sa dalawang peer, walang IPsec tunnel na itinatatag sa pagitan nila. Ang algorithm ng pag-encrypt sa mga koneksyon sa tunnel ng IPsec ay nakasalalay sa uri ng trapiko:

  • Para sa unicast na trapiko, ang encryption algorithm ay AES-256-GCM.
  • Para sa multicast na trapiko:
  • Cisco SD-WAN Release 20.1.x at mas bago– ang encryption algorithm ay AES-256-GCM
  • Mga nakaraang release– ang encryption algorithm ay AES-256-CBC na may SHA1-HMAC.

Kapag binago ang uri ng pagpapatunay ng IPsec, babaguhin ang AES key para sa path ng data.

Baguhin ang Rekeying Timer

Bago makapagpalitan ng trapiko ng data ang Cisco IOS XE Catalyst SD-WAN device at Cisco vEdge device, nag-set up sila ng secure na authenticated na channel ng komunikasyon sa pagitan nila. Gumagamit ang mga router ng IPSec tunnels sa pagitan nila bilang channel, at ang AES-256 cipher para magsagawa ng encryption. Ang bawat router ay bumubuo ng bagong AES key para sa data path nito pana-panahon. Bilang default, may bisa ang isang key sa loob ng 86400 segundo (24 na oras), at ang hanay ng timer ay 10 segundo hanggang 1209600 segundo (14 na araw). Para baguhin ang halaga ng rekey timer: Device(config)# security ipsec rekey seconds Ang configuration ay ganito:

  • seguridad ipsec rekey segundo !

Kung gusto mong makabuo kaagad ng mga bagong IPsec key, magagawa mo ito nang hindi binabago ang configuration ng router. Upang gawin ito, mag-isyu ng kahilingan sa seguridad na ipsecrekey command sa nakompromisong router. Para kay example, ang sumusunod na output ay nagpapakita na ang lokal na SA ay may Security Parameter Index (SPI) na 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Ang isang natatanging susi ay nauugnay sa bawat SPI. Kung nakompromiso ang key na ito, gamitin ang request security ipsec-rekey command para makabuo kaagad ng bagong key. Ang utos na ito ay nagdaragdag sa SPI. Sa ex natinample, ang SPI ay nagbabago sa 257 at ang susi na nauugnay dito ay ginagamit na ngayon:

  • Humiling ng seguridad ang device# na ipsecrekey
  • Device# ipakita ang ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Pagkatapos mabuo ang bagong key, ipinapadala ito kaagad ng router sa Cisco SD-WAN Controllers gamit ang DTLS o TLS. Ang Cisco SD-WAN Controllers ay nagpapadala ng susi sa mga peer na router. Ang mga router ay magsisimulang gamitin ito sa sandaling matanggap nila ito. Tandaan na ang key na nauugnay sa lumang SPI (256) ay patuloy na gagamitin sa maikling panahon hanggang sa mag-time out ito. Upang ihinto kaagad ang paggamit ng lumang key, ilabas ang kahilingan ng security ipsec-rekey command nang dalawang beses, nang sunud-sunod. Ang pagkakasunud-sunod ng mga command na ito ay nag-aalis ng parehong SPI 256 at 257 at itinatakda ang SPI sa 258. Pagkatapos ay ginagamit ng router ang nauugnay na key ng SPI 258. Gayunpaman, tandaan na ang ilang mga packet ay ihuhulog sa loob ng maikling panahon hanggang sa matuto ang lahat ng remote na router. ang bagong susi.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Baguhin ang Laki ng Anti-Replay Window

Ang pagpapatotoo ng IPsec ay nagbibigay ng anti-replay na proteksyon sa pamamagitan ng pagtatalaga ng natatanging sequence number sa bawat packet sa isang stream ng data. Pinoprotektahan ng sequence numbering na ito laban sa isang attacker na nagdo-duplicate ng mga data packet. Gamit ang proteksyon laban sa replay, ang nagpadala ay nagtatalaga ng monotonically na pagtaas ng mga sequence number, at ang destinasyon ay nagsusuri ng mga sequence number na ito upang makita ang mga duplicate. Dahil ang mga packet ay madalas na hindi dumarating nang maayos, ang patutunguhan ay nagpapanatili ng isang sliding window ng mga sequence number na tatanggapin nito.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Ang mga packet na may mga sequence number na nasa kaliwa ng sliding window range ay itinuturing na luma o duplicate, at ang patutunguhan ay bumaba sa kanila. Sinusubaybayan ng destinasyon ang pinakamataas na sequence number na natanggap nito, at inaayos ang sliding window kapag nakatanggap ito ng packet na may mas mataas na halaga.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Bilang default, ang sliding window ay nakatakda sa 512 packet. Maaari itong itakda sa anumang halaga sa pagitan ng 64 at 4096 na isang kapangyarihan ng 2 (iyon ay, 64, 128, 256, 512, 1024, 2048, o 4096). Upang baguhin ang laki ng anti-replay na window, gamitin ang replay-window command, na tumutukoy sa laki ng window:

Device(config)# security ipsec replay-window number

Mukhang ganito ang configuration:
seguridad ipsec replay-window number ! !

Upang tumulong sa QoS, pinapanatili ang hiwalay na mga replay window para sa bawat isa sa unang walong mga channel ng trapiko. Ang laki ng na-configure na replay window ay hinati sa walo para sa bawat channel. Kung ang QoS ay na-configure sa isang router, ang router na iyon ay maaaring makaranas ng mas malaki kaysa sa inaasahang bilang ng mga packet drop bilang resulta ng IPsec anti-replay na mekanismo, at marami sa mga packet na na-drop ay mga lehitimong iyon. Nangyayari ito dahil muling inaayos ng QoS ang mga packet, na nagbibigay sa mga packet na may mas mataas na priyoridad na paggamot at naantala ang mga packet na mas mababa ang priyoridad. Upang mabawasan o maiwasan ang sitwasyong ito, maaari mong gawin ang mga sumusunod:

  • Palakihin ang laki ng anti-replay window.
  • Inhinyero ang trapiko sa unang walong mga channel ng trapiko upang matiyak na ang trapiko sa loob ng isang channel ay hindi muling naayos.

I-configure ang IKE-Enabled IPsec Tunnels
Upang ligtas na ilipat ang trapiko mula sa overlay na network patungo sa isang network ng serbisyo, maaari mong i-configure ang mga tunnel ng IPsec na nagpapatakbo ng protocol ng Internet Key Exchange (IKE). Ang mga tunnel na IPsec na pinagana ng IKE ay nagbibigay ng pagpapatunay at pag-encrypt upang matiyak ang ligtas na transportasyon ng packet. Gumagawa ka ng IKE-enabled na IPsec tunnel sa pamamagitan ng pag-configure ng IPsec interface. Ang mga interface ng IPsec ay mga lohikal na interface, at kino-configure mo ang mga ito tulad ng anumang iba pang pisikal na interface. Iko-configure mo ang mga parameter ng IKE protocol sa interface ng IPsec, at maaari mong i-configure ang iba pang mga katangian ng interface.

Tandaan Inirerekomenda ng Cisco ang paggamit ng IKE Bersyon 2. Mula sa paglabas ng Cisco SD-WAN 19.2.x, kailangang hindi bababa sa 16 byte ang haba ng pre-shared key. Nabigo ang pagtatatag ng tunnel ng IPsec kung mas mababa sa 16 na character ang laki ng key kapag na-upgrade ang router sa bersyon 19.2.

Tandaan
Sinusuportahan ng Cisco Catalyst SD-WAN software ang IKE Version 2 gaya ng tinukoy sa RFC 7296. Ang isang gamit para sa mga IPsec tunnel ay upang payagan ang vEdge Cloud router VM instance na tumatakbo sa Amazon AWS na kumonekta sa Amazon virtual private cloud (VPC). Dapat mong i-configure ang IKE Bersyon 1 sa mga router na ito. Sinusuportahan lang ng mga Cisco vEdge device ang mga VPN na nakabatay sa ruta sa isang configuration ng IPSec dahil hindi matukoy ng mga device na ito ang mga tagapili ng trapiko sa domain ng pag-encrypt.

Mag-configure ng IPsec Tunnel
Upang i-configure ang isang interface ng IPsec tunnel para sa ligtas na trapiko sa transportasyon mula sa isang network ng serbisyo, lumikha ka ng isang lohikal na interface ng IPsec:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Maaari kang lumikha ng IPsec tunnel sa transport VPN (VPN 0) at sa anumang serbisyo ng VPN (VPN 1 hanggang 65530, maliban sa 512). Ang interface ng IPsec ay may pangalan sa format na ipsecnumber, kung saan ang numero ay maaaring mula 1 hanggang 255. Ang bawat interface ng IPsec ay dapat may IPv4 address. Ang address na ito ay dapat na isang /30 prefix. Ang lahat ng trapiko sa VPN na nasa loob ng IPv4 prefix na ito ay nakadirekta sa isang pisikal na interface sa VPN 0 upang ligtas na maipadala sa isang IPsec tunnel. Upang i-configure ang pinagmulan ng IPsec tunnel sa lokal na device, maaari mong tukuyin ang alinman sa IP address ng ang pisikal na interface (sa tunnel-source command) o ang pangalan ng pisikal na interface (sa tunnel-source-interface command). Tiyaking naka-configure ang pisikal na interface sa VPN 0. Upang i-configure ang patutunguhan ng IPsec tunnel, tukuyin ang IP address ng malayuang device sa command na tunnel-destination. Ang kumbinasyon ng source address (o source interface name) at destination address ay tumutukoy sa isang IPsec tunnel. Isang IPsec tunnel lang ang maaaring umiral na gumagamit ng partikular na source address (o interface name) at destination address pair.

Mag-configure ng IPsec Static Route

Upang idirekta ang trapiko mula sa serbisyong VPN patungo sa isang IPsec tunnel sa transport VPN (VPN 0), iko-configure mo ang isang IPsec-specific na static na ruta sa isang serbisyo ng VPN (isang VPN maliban sa VPN 0 o VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/haba ng vpn 0 interface
  • ipsecnumber [ipecnumber2]

Ang VPN ID ay sa anumang serbisyo ng VPN (VPN 1 hanggang 65530, maliban sa 512). ang prefix/length ay ang IP address o prefix, sa decimal na apat na bahagi na tuldok na notasyon, at haba ng prefix ng IPsec-specific na static na ruta. Ang interface ay ang IPsec tunnel interface sa VPN 0. Maaari mong i-configure ang isa o dalawang IPsec tunnel interface. Kung iko-configure mo ang dalawa, ang una ay ang pangunahing IPsec tunnel, at ang pangalawa ay ang backup. Sa dalawang interface, ang lahat ng mga packet ay ipinapadala lamang sa pangunahing tunnel. Kung nabigo ang tunnel na iyon, ipapadala ang lahat ng packet sa pangalawang tunnel. Kung ang pangunahing tunnel ay babalik, ang lahat ng trapiko ay ililipat pabalik sa pangunahing IPsec tunnel.

Paganahin ang Bersyon 1 ng IKE
Kapag gumawa ka ng IPsec tunnel sa isang vEdge router, ang IKE Version 1 ay pinagana bilang default sa interface ng tunnel. Ang mga sumusunod na katangian ay pinagana rin bilang default para sa IKEv1:

  • Authentication at encryption—AES-256 advanced encryption standard CBC encryption na may HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad
  • Numero ng grupo ng Diffie-Hellman—16
  • Rekeying time interval—4 na oras
  • SA establishment mode—Main

Bilang default, ginagamit ng IKEv1 ang pangunahing mode ng IKE upang magtatag ng mga IKE SA. Sa mode na ito, anim na pakete ng negosasyon ang ipinagpapalit upang maitatag ang SA. Upang makipagpalitan lamang ng tatlong pakete ng negosasyon, paganahin ang agresibong mode:

Tandaan
Dapat iwasan ang IKE aggressive mode na may mga pre-shared key hangga't maaari. Kung hindi, dapat pumili ng isang malakas na pre-shared key.

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# mode na agresibo

Bilang default, ang IKEv1 ay gumagamit ng Diffie-Hellman group 16 sa IKE key exchange. Ang pangkat na ito ay gumagamit ng 4096-bit na mas modular exponential (MODP) na grupo sa panahon ng IKE key exchange. Maaari mong baguhin ang numero ng pangkat sa 2 (para sa 1024-bit MODP), 14 (2048-bit MODP), o 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# numero ng pangkat

Bilang default, ang IKE key exchange ay gumagamit ng AES-256 advanced encryption standard CBC encryption na may HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad. Maaari mong baguhin ang pagpapatunay:

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# cipher-suite suite

Ang authentication suite ay maaaring isa sa mga sumusunod:

  • aes128-cbc-sha1—AES-128 advanced encryption standard CBC encryption na may HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad
  • aes128-cbc-sha2—AES-128 advanced encryption standard CBC encryption na may HMAC-SHA256 keyed-hash message authentication code algorithm para sa integridad
  • aes256-cbc-sha1—AES-256 advanced encryption standard CBC encryption na may HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad; ito ang default.
  • aes256-cbc-sha2—AES-256 advanced encryption standard CBC encryption na may HMAC-SHA256 keyed-hash message authentication code algorithm para sa integridad

Bilang default, nire-refresh ang mga IKE key bawat 1 oras (3600 segundo). Maaari mong baguhin ang rekeying interval sa isang halaga mula 30 segundo hanggang 14 na araw (1209600 segundo). Inirerekomenda na ang agwat ng rekeying ay hindi bababa sa 1 oras.

  • vEdge(config)# vpn vpn-id interface ipsec number tulad ng
  • vEdge(config-ike)# rekey segundo

Upang pilitin ang pagbuo ng mga bagong key para sa isang session ng IKE, ilabas ang kahilingan na ipsec ike-rekey command.

  • vEdge(config)# vpn vpn-id interfaceipsec number ike

Para sa IKE, maaari mo ring i-configure ang preshared key (PSK) authentication:

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password ay ang password na gagamitin sa preshared key. Maaari itong maging isang ASCII o isang hexadecimal string mula 1 hanggang 127 character ang haba.

Kung ang remote na IKE peer ay nangangailangan ng lokal o malayuang ID, maaari mong i-configure ang identifier na ito:

  • vEdge(config)# vpn vpn-id interface ipsec number tulad ng authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Ang identifier ay maaaring isang IP address o anumang text string mula 1 hanggang 63 character ang haba. Bilang default, ang lokal na ID ay ang pinagmulang IP address ng tunnel at ang remote ID ay ang patutunguhang IP address ng tunnel.

Paganahin ang Bersyon 2 ng IKE
Kapag nag-configure ka ng IPsec tunnel para gamitin ang IKE Bersyon 2, ang mga sumusunod na katangian ay pinapagana din bilang default para sa IKEv2:

  • Authentication at encryption—AES-256 advanced encryption standard CBC encryption na may HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad
  • Numero ng grupo ng Diffie-Hellman—16
  • Rekeying time interval—4 na oras

Bilang default, ang IKEv2 ay gumagamit ng Diffie-Hellman group 16 sa IKE key exchange. Ang pangkat na ito ay gumagamit ng 4096-bit na mas modular exponential (MODP) na grupo sa panahon ng IKE key exchange. Maaari mong baguhin ang numero ng pangkat sa 2 (para sa 1024-bit MODP), 14 (2048-bit MODP), o 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# numero ng pangkat

Bilang default, ang IKE key exchange ay gumagamit ng AES-256 advanced encryption standard CBC encryption na may HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad. Maaari mong baguhin ang pagpapatunay:

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# cipher-suite suite

Ang authentication suite ay maaaring isa sa mga sumusunod:

  • aes128-cbc-sha1—AES-128 advanced encryption standard CBC encryption na may HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad
  • aes128-cbc-sha2—AES-128 advanced encryption standard CBC encryption na may HMAC-SHA256 keyed-hash message authentication code algorithm para sa integridad
  • aes256-cbc-sha1—AES-256 advanced encryption standard CBC encryption na may HMAC-SHA1 keyed-hash message authentication code algorithm para sa integridad; ito ang default.
  • aes256-cbc-sha2—AES-256 advanced encryption standard CBC encryption na may HMAC-SHA256 keyed-hash message authentication code algorithm para sa integridad

Bilang default, nire-refresh ang mga IKE key tuwing 4 na oras (14,400 segundo). Maaari mong baguhin ang rekeying interval sa isang halaga mula 30 segundo hanggang 14 na araw (1209600 segundo):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# rekey segundo

Upang pilitin ang pagbuo ng mga bagong key para sa isang session ng IKE, ilabas ang kahilingan na ipsec ike-rekey command. Para sa IKE, maaari mo ring i-configure ang preshared key (PSK) authentication:

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password ay ang password na gagamitin sa preshared key. Maaari itong maging isang ASCII o isang hexadecimal string, o maaari itong isang AES-encrypted na key. Kung ang remote na IKE peer ay nangangailangan ng lokal o malayuang ID, maaari mong i-configure ang identifier na ito:
  • vEdge(config)# vpn vpn-id interface ipsecnumber like authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Ang identifier ay maaaring isang IP address o anumang text string mula 1 hanggang 64 character ang haba. Bilang default, ang lokal na ID ay ang pinagmulang IP address ng tunnel at ang remote ID ay ang patutunguhang IP address ng tunnel.

I-configure ang Mga Parameter ng Tunnel ng IPsec

Talahanayan 4: Kasaysayan ng Tampok

Tampok Pangalan Impormasyon sa Paglabas Paglalarawan
Karagdagang Cryptographic Cisco SD-WAN Release 20.1.1 Ang tampok na ito ay nagdaragdag ng suporta para sa
Algorithmic Support para sa IPSec   HMAC_SHA256, HMAC_SHA384, at
Mga lagusan   HMAC_SHA512 algorithm para sa
    pinahusay na seguridad.

Bilang default, ang mga sumusunod na parameter ay ginagamit sa IPsec tunnel na nagdadala ng trapiko ng IKE:

  • Authentication at encryption—AES-256 algorithm sa GCM (Galois/counter mode)
  • Rekeying interval—4 na oras
  • Replay window—32 packet

Maaari mong baguhin ang encryption sa IPsec tunnel sa AES-256 cipher sa CBC (cipher block chaining mode, na ang HMAC ay gumagamit ng alinman sa SHA-1 o SHA-2 keyed-hash message authentication o sa null sa HMAC gamit ang alinman sa SHA-1 o SHA-2 keyed-hash message authentication, para hindi i-encrypt ang IPsec tunnel na ginagamit para sa IKE key exchange traffic:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null |. aes256-null-sha256 |.

Bilang default, nire-refresh ang mga IKE key tuwing 4 na oras (14,400 segundo). Maaari mong baguhin ang rekeying interval sa isang halaga mula 30 segundo hanggang 14 na araw (1209600 segundo):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey segundo

Upang pilitin ang pagbuo ng mga bagong key para sa isang IPsec tunnel, ilabas ang kahilingan na ipsec ipsec-rekey command. Bilang default, naka-enable ang perfect forward secrecy (PFS) sa mga IPsec tunnel, para matiyak na hindi maaapektuhan ang mga nakaraang session kung makompromiso ang mga key sa hinaharap. Pinipilit ng PFS ang isang bagong Diffie-Hellman key exchange, bilang default gamit ang 4096-bit na Diffie-Hellman prime module group. Maaari mong baguhin ang setting ng PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

Ang pfs-setting ay maaaring isa sa mga sumusunod:

  • group-2—Gamitin ang 1024-bit na Diffie-Hellman prime modulus group.
  • group-14—Gamitin ang 2048-bit na Diffie-Hellman prime modulus group.
  • group-15—Gamitin ang 3072-bit na Diffie-Hellman prime modulus group.
  • group-16—Gamitin ang 4096-bit na Diffie-Hellman prime modulus group. Ito ang default.
  • wala—Huwag paganahin ang PFS.

Bilang default, ang IPsec replay window sa IPsec tunnel ay 512 bytes. Maaari mong itakda ang laki ng replay window sa 64, 128, 256, 512, 1024, 2048, o 4096 na mga packet:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# replay-window number

Baguhin ang IKE Dead-Peer Detection

Gumagamit ang IKE ng mekanismo ng dead-peer detection upang matukoy kung gumagana at naaabot ang koneksyon sa isang IKE peer. Para ipatupad ang mekanismong ito, nagpapadala ang IKE ng Hello packet sa peer nito, at nagpapadala ang peer ng acknowledgement bilang tugon. Bilang default, nagpapadala ang IKE ng mga Hello packet tuwing 10 segundo, at pagkatapos ng tatlong hindi kilalang packet, idineklara ng IKE na patay na ang kapitbahay at pinupunit ang tunnel sa peer. Pagkatapos noon, pana-panahong nagpapadala ang IKE ng Hello packet sa peer, at muling itinatatag ang tunnel kapag bumalik online ang peer. Maaari mong baguhin ang liveness detection interval sa isang value mula 0 hanggang 65535, at maaari mong baguhin ang bilang ng mga muling pagsubok sa isang value mula 0 hanggang 255.

Tandaan

Para sa mga transport VPN, ang agwat ng liveness detection ay kino-convert sa mga segundo sa pamamagitan ng paggamit ng sumusunod na formula: Interval para sa retransmission attempt number N = interval * 1.8N-1For example, kung ang agwat ay nakatakda sa 10 at muling susubok sa 5, ang agwat ng pagtuklas ay tataas tulad ng sumusunod:

  • Pagsubok 1: 10 * 1.81-1= 10 segundo
  • Pagtatangka 2: 10 * 1.82-1= 18 segundo
  • Pagtatangka 3: 10 * 1.83-1= 32.4 segundo
  • Pagtatangka 4: 10 * 1.84-1= 58.32 segundo
  • Pagtatangka 5: 10 * 1.85-1= 104.976 segundo

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval retries number

I-configure ang Iba Pang Interface Properties

Para sa mga interface ng tunnel ng IPsec, maaari mo lamang i-configure ang mga sumusunod na karagdagang katangian ng interface:

  • vEdge(config-interface-ipsec)# mtu bytes
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

I-disable ang Weak SSH Encryption Algorithm sa Cisco SD-WAN Manager

Talahanayan 5: Talahanayan ng Kasaysayan ng Tampok

Tampok Pangalan Impormasyon sa Paglabas Tampok Paglalarawan
I-disable ang Weak SSH Encryption Algorithm sa Cisco SD-WAN Manager Cisco vManage Release 20.9.1 Binibigyang-daan ka ng feature na ito na i-disable ang mas mahihinang SSH algorithm sa Cisco SD-WAN Manager na maaaring hindi sumunod sa ilang partikular na pamantayan sa seguridad ng data.

Impormasyon Tungkol sa Hindi Pagpapagana ng Mahina SSH Encryption Algorithms sa Cisco SD-WAN Manager
Ang Cisco SD-WAN Manager ay nagbibigay ng isang SSH client para sa komunikasyon sa mga bahagi sa network, kabilang ang mga controller at edge device. Ang kliyente ng SSH ay nagbibigay ng naka-encrypt na koneksyon para sa ligtas na paglilipat ng data, batay sa iba't ibang mga algorithm ng pag-encrypt. Maraming organisasyon ang nangangailangan ng mas malakas na pag-encrypt kaysa sa ibinigay ng SHA-1, AES-128, at AES-192. Mula sa Cisco vManage Release 20.9.1, maaari mong i-disable ang mga sumusunod na mas mahinang encryption algorithm upang hindi gamitin ng isang SSH client ang mga algorithm na ito:

  • SHA-1
  • AES-128
  • AES-192

Bago i-disable ang mga algorithm sa pag-encrypt na ito, tiyaking ang mga Cisco vEdge na device, kung mayroon man, sa network, ay gumagamit ng software release mamaya kaysa sa Cisco SD-WAN Release 18.4.6.

Mga Benepisyo ng Hindi Pagpapagana ng Mahina SSH Encryption Algorithm sa Cisco SD-WAN Manager
Ang hindi pagpapagana ng mga mas mahinang SSH encryption algorithm ay nagpapabuti sa seguridad ng komunikasyon ng SSH, at tinitiyak na ang mga organisasyong gumagamit ng Cisco Catalyst SD-WAN ay sumusunod sa mga mahigpit na regulasyon sa seguridad.

I-disable ang Weak SSH Encryption Algorithm sa Cisco SD-WAN Manager Gamit ang CLI

  1. Mula sa menu ng Cisco SD-WAN Manager, piliin ang Tools > SSH Terminal.
  2. Piliin ang Cisco SD-WAN Manager device kung saan mo gustong i-disable ang mas mahihinang SSH algorithm.
  3. Ipasok ang username at password upang mag-log in sa device.
  4. Ipasok ang SSH server mode.
    • vmanage(config)# system
    • vmanage(config-system)# ssh-server
  5. Gawin ang isa sa mga sumusunod upang hindi paganahin ang isang SSH encryption algorithm:
    • Huwag paganahin ang SHA-1:
  6. pamahalaan(config-ssh-server)# walang kex-algo sha1
  7. pamahalaan(config-ssh-server)# commit
    Ang sumusunod na mensahe ng babala ay ipinapakita: Ang mga sumusunod na babala ay nabuo: 'system ssh-server kex-algo sha1': BABALA: Pakitiyak na ang lahat ng iyong mga gilid ay tumatakbo sa bersyon ng code > 18.4.6 na mas mahusay na nakikipagnegosasyon kaysa sa SHA1 sa vManage. Kung hindi, maaaring maging offline ang mga gilid na iyon. Magpatuloy? [oo, hindi] oo
    • Tiyakin na ang anumang Cisco vEdge device sa network ay nagpapatakbo ng Cisco SD-WAN Release 18.4.6 o mas bago at ipasok ang oo.
    • Huwag paganahin ang AES-128 at AES-192:
    • vmanage(config-ssh-server)# walang cipher aes-128-192
    • vmanage(config-ssh-server)# commit
      Ang sumusunod na mensahe ng babala ay ipinapakita:
      Ang mga sumusunod na babala ay nabuo:
      'system ssh-server cipher aes-128-192': BABALA: Pakitiyak na ang lahat ng iyong mga gilid ay tumatakbo sa bersyon ng code > 18.4.6 na mas mahusay na nakikipagnegosasyon kaysa sa AES-128-192 sa vManage. Kung hindi, maaaring maging offline ang mga gilid na iyon. Magpatuloy? [oo, hindi] oo
    • Tiyakin na ang anumang Cisco vEdge device sa network ay nagpapatakbo ng Cisco SD-WAN Release 18.4.6 o mas bago at ipasok ang oo.

I-verify na ang Mahinang SSH Encryption Algorithm ay Hindi Pinagana sa Cisco SD-WAN Manager Gamit ang CLI

  1. Mula sa menu ng Cisco SD-WAN Manager, piliin ang Tools > SSH Terminal.
  2. Piliin ang Cisco SD-WAN Manager device na gusto mong i-verify.
  3. Ipasok ang username at password upang mag-log in sa device.
  4. Patakbuhin ang sumusunod na command: ipakita ang running-config system ssh-server
  5. Kumpirmahin na ang output ay nagpapakita ng isa o higit pa sa mga utos na hindi pinapagana ang mga mas mahihinang algorithm ng pag-encrypt:
    • walang cipher aes-128-192
    • walang kex-algo sha1

Mga Dokumento / Mga Mapagkukunan

CISCO SD-WAN I-configure ang Mga Parameter ng Seguridad [pdf] Gabay sa Gumagamit
SD-WAN I-configure ang Mga Parameter ng Seguridad, SD-WAN, I-configure ang Mga Parameter ng Seguridad, Mga Parameter ng Seguridad

Mga sanggunian

Mag-iwan ng komento

Ang iyong email address ay hindi maipa-publish. Ang mga kinakailangang field ay minarkahan *