CISCO SD-WAN حفاظتی پیرامیٹرز کو ترتیب دیں۔

سیکیورٹی پیرامیٹرز کو ترتیب دیں۔

نوٹ

آسانیاں اور مستقل مزاجی حاصل کرنے کے لیے، Cisco SD-WAN حل کو Cisco Catalyst SD-WAN کے نام سے دوبارہ برانڈ کیا گیا ہے۔ اس کے علاوہ، Cisco IOS XE SD-WAN ریلیز 17.12.1a اور Cisco Catalyst SD-WAN ریلیز 20.12.1 سے، درج ذیل اجزاء کی تبدیلیاں لاگو ہوتی ہیں: Cisco vManage to Cisco Catalyst SD-WAN مینیجر، Cisco vAnalytics to Catalyst-Cisco تجزیات، Cisco vBond to Cisco Catalyst SD-WAN Validator، اور Cisco vSmart سے Cisco Catalyst SD-WAN کنٹرولر۔ تمام اجزاء کے برانڈ نام کی تبدیلیوں کی ایک جامع فہرست کے لیے تازہ ترین ریلیز نوٹس دیکھیں۔ جب ہم نئے ناموں کی طرف منتقلی کرتے ہیں تو، سافٹ ویئر پروڈکٹ کے صارف انٹرفیس اپ ڈیٹس کے لیے مرحلہ وار نقطہ نظر کی وجہ سے دستاویزات کے سیٹ میں کچھ تضادات موجود ہوسکتے ہیں۔

یہ سیکشن بیان کرتا ہے کہ سسکو کیٹیلسٹ SD-WAN اوورلے نیٹ ورک میں کنٹرول ہوائی جہاز اور ڈیٹا پلین کے لیے حفاظتی پیرامیٹرز کو کیسے تبدیل کیا جائے۔

• کنٹرول پلین سیکیورٹی پیرامیٹرز کو ترتیب دیں، آن
• ڈیٹا پلین سیکیورٹی پیرامیٹرز کو ترتیب دیں، آن
• IKE- فعال IPsec سرنگوں کو ترتیب دیں، آن
• Cisco SD-WAN مینیجر پر کمزور SSH انکرپشن الگورتھم کو غیر فعال کریں، آن

کنٹرول طیارہ سیکیورٹی پیرامیٹرز کو ترتیب دیں۔

پہلے سے طے شدہ طور پر، کنٹرول طیارہ DTLS کو پروٹوکول کے طور پر استعمال کرتا ہے جو اس کی تمام سرنگوں پر رازداری فراہم کرتا ہے۔ DTLS UDP پر چلتا ہے۔ آپ کنٹرول پلین سیکیورٹی پروٹوکول کو TLS میں تبدیل کر سکتے ہیں، جو TCP پر چلتا ہے۔ TLS استعمال کرنے کی بنیادی وجہ یہ ہے کہ، اگر آپ Cisco SD-WAN کنٹرولر کو سرور سمجھتے ہیں، تو فائر والز TCP سرورز کی حفاظت UDP سرورز سے بہتر کرتے ہیں۔ آپ Cisco SD-WAN کنٹرولر پر کنٹرول طیارہ ٹنل پروٹوکول ترتیب دیتے ہیں: vSmart(config)# سیکورٹی کنٹرول پروٹوکول tls اس تبدیلی کے ساتھ، تمام کنٹرول ہوائی جہاز کی سرنگیں Cisco SD-WAN کنٹرولر اور راؤٹرز کے درمیان اور Cisco SD-WAN کنٹرولر کے درمیان۔ اور Cisco SD-WAN مینیجر TLS استعمال کرتا ہے۔ Cisco Catalyst SD-WAN Validator کے لیے ہوائی جہاز کی سرنگوں کو کنٹرول کریں ہمیشہ DTLS کا استعمال کریں، کیونکہ ان کنکشنز کو UDP کے ذریعے ہینڈل کیا جانا چاہیے۔ ایک سے زیادہ Cisco SD-WAN کنٹرولرز والے ڈومین میں، جب آپ Cisco SD-WAN کنٹرولرز میں سے کسی ایک پر TLS کو کنفیگر کرتے ہیں، تو اس کنٹرولر سے لے کر دوسرے کنٹرولرز تک تمام کنٹرول جہاز کی سرنگیں TLS استعمال کرتی ہیں۔ دوسرے طریقے سے کہا، TLS ہمیشہ DTLS پر فوقیت رکھتا ہے۔ تاہم، دوسرے Cisco SD-WAN کنٹرولرز کے نقطہ نظر سے، اگر آپ نے TLS کو ان پر کنفیگر نہیں کیا ہے، تو وہ TLS کو کنٹرول طیارہ سرنگ پر صرف ایک Cisco SD-WAN کنٹرولر کے لیے استعمال کرتے ہیں، اور وہ DTLS سرنگوں کو باقی تمام کے لیے استعمال کرتے ہیں۔ Cisco SD-WAN کنٹرولرز اور ان کے تمام منسلک راؤٹرز سے۔ تمام Cisco SD-WAN کنٹرولرز کو TLS استعمال کرنے کے لیے، اسے ان سب پر کنفیگر کریں۔ پہلے سے طے شدہ طور پر، Cisco SD-WAN کنٹرولر TLS درخواستوں کے لیے پورٹ 23456 پر سنتا ہے۔ اسے تبدیل کرنے کے لیے: vSmart(config)# security control tls-port number پورٹ 1025 سے لے کر 65535 تک کا نمبر ہوسکتا ہے۔ کنٹرول پلین سیکیورٹی کی معلومات ظاہر کرنے کے لیے، Cisco SD-WAN کنٹرولر پر شو کنٹرول کنکشن کمانڈ استعمال کریں۔ سابق کے لیےample: vSmart-2# کنٹرول کنکشن دکھائیں۔

Cisco SD-WAN مینیجر میں DTLS کو ترتیب دیں۔

اگر آپ Cisco SD-WAN مینیجر کو TLS کو کنٹرول پلین سیکیورٹی پروٹوکول کے طور پر استعمال کرنے کے لیے تشکیل دیتے ہیں، تو آپ کو اپنے NAT پر پورٹ فارورڈنگ کو فعال کرنا چاہیے۔ اگر آپ DTLS کو کنٹرول پلین سیکیورٹی پروٹوکول کے طور پر استعمال کر رہے ہیں، تو آپ کو کچھ کرنے کی ضرورت نہیں ہے۔ آگے بھیجی گئی بندرگاہوں کی تعداد سسکو SD-WAN مینیجر پر چلنے والے vdaemon عمل کی تعداد پر منحصر ہے۔ ان عملوں کے بارے میں معلومات ظاہر کرنے کے لیے اور ان بندرگاہوں کی تعداد جو فارورڈ کی جا رہی ہیں، شو کنٹرول سمری کمانڈ کا استعمال کریں یہ ظاہر کرتا ہے کہ چار ڈیمون عمل چل رہے ہیں:

سننے والی بندرگاہوں کو دیکھنے کے لیے، show control local-properties کمانڈ استعمال کریں: vManage# show control local-properties

یہ آؤٹ پٹ ظاہر کرتا ہے کہ سننے والا TCP پورٹ 23456 ہے۔ اگر آپ NAT کے پیچھے Cisco SD-WAN مینیجر چلا رہے ہیں، تو آپ کو NAT ڈیوائس پر درج ذیل پورٹس کو کھولنا چاہیے:

• 23456 (بیس – مثال 0 پورٹ)
• 23456 + 100 (بیس + 100)
• 23456 + 200 (بیس + 200)
• 23456 + 300 (بیس + 300)

نوٹ کریں کہ مثالوں کی تعداد وہی ہے جو آپ نے Cisco SD-WAN مینیجر کے لیے تفویض کردہ کور کی تعداد کے برابر ہے، زیادہ سے زیادہ 8 تک۔

سیکیورٹی فیچر ٹیمپلیٹ کا استعمال کرتے ہوئے سیکیورٹی پیرامیٹرز کو ترتیب دیں۔

تمام Cisco vEdge آلات کے لیے سیکورٹی فیچر ٹیمپلیٹ استعمال کریں۔ کنارے کے راؤٹرز پر اور Cisco SD-WAN Validator پر، ڈیٹا پلین سیکیورٹی کے لیے IPsec کو ترتیب دینے کے لیے اس ٹیمپلیٹ کا استعمال کریں۔ Cisco SD-WAN مینیجر اور Cisco SD-WAN کنٹرولر پر، ہوائی جہاز کی حفاظت کے لیے DTLS یا TLS کو ترتیب دینے کے لیے سیکیورٹی فیچر ٹیمپلیٹ کا استعمال کریں۔

سیکیورٹی پیرامیٹرز کو ترتیب دیں۔

1. Cisco SD-WAN مینیجر مینو سے، کنفیگریشن > ٹیمپلیٹس کا انتخاب کریں۔
2. فیچر ٹیمپلیٹس پر کلک کریں اور پھر ایڈ ٹیمپلیٹ پر کلک کریں۔
   نوٹ سسکو وی مینیج ریلیز 20.7.1 اور اس سے پہلے کی ریلیز میں، فیچر ٹیمپلیٹس کو فیچر کہا جاتا ہے۔
3. بائیں پین میں آلات کی فہرست سے، ایک آلہ منتخب کریں۔ منتخب کردہ ڈیوائس پر لاگو ٹیمپلیٹس دائیں پین میں ظاہر ہوتے ہیں۔
4. ٹیمپلیٹ کو کھولنے کے لیے سیکیورٹی پر کلک کریں۔
5. ٹیمپلیٹ کے نام کے خانے میں، ٹیمپلیٹ کے لیے ایک نام درج کریں۔ نام 128 حروف تک کا ہو سکتا ہے اور اس میں صرف حروف عددی حروف ہو سکتے ہیں۔
6. ٹیمپلیٹ کی تفصیل کے خانے میں، ٹیمپلیٹ کی تفصیل درج کریں۔ تفصیل 2048 حروف تک ہو سکتی ہے اور اس میں صرف حروف نمبری ہو سکتے ہیں۔

جب آپ پہلی بار فیچر ٹیمپلیٹ کھولتے ہیں، تو ہر ایک پیرامیٹر کے لیے جس کی ڈیفالٹ ویلیو ہوتی ہے، اسکوپ کو ڈیفالٹ پر سیٹ کیا جاتا ہے (چیک مارک سے اشارہ کیا جاتا ہے)، اور ڈیفالٹ سیٹنگ یا ویلیو دکھائی جاتی ہے۔ ڈیفالٹ کو تبدیل کرنے یا قدر درج کرنے کے لیے، پیرامیٹر فیلڈ کے بائیں جانب دائرہ کار ڈراپ ڈاؤن مینو پر کلک کریں اور درج ذیل میں سے ایک کو منتخب کریں:

جدول 1:

پیرامیٹر دائرہ کار

دائرہ کار کی تفصیل

ڈیوائس مخصوص (میزبان آئیکن کے ذریعہ اشارہ کیا گیا)

پیرامیٹر کے لیے آلہ کے لیے مخصوص قدر استعمال کریں۔ آلہ کے مخصوص پیرامیٹرز کے لیے، آپ فیچر ٹیمپلیٹ میں قدر درج نہیں کر سکتے۔ جب آپ وپٹیلا ڈیوائس کو کسی ڈیوائس ٹیمپلیٹ سے منسلک کرتے ہیں تو آپ قدر درج کرتے ہیں۔ جب آپ Device Specific پر کلک کرتے ہیں تو Enter Key باکس کھل جاتا ہے۔ یہ باکس ایک کلید دکھاتا ہے، جو ایک منفرد سٹرنگ ہے جو CSV میں پیرامیٹر کی شناخت کرتی ہے۔ file جو آپ تخلیق کرتے ہیں۔ یہ file ایکسل اسپریڈشیٹ ہے جس میں ہر کلید کے لیے ایک کالم ہوتا ہے۔ ہیڈر قطار میں کلیدی نام (ایک کلید فی کالم) پر مشتمل ہے، اور اس کے بعد کی ہر قطار ایک ڈیوائس سے مطابقت رکھتی ہے اور اس ڈیوائس کے لیے کلیدوں کی قدروں کی وضاحت کرتی ہے۔ آپ CSV اپ لوڈ کرتے ہیں۔ file جب آپ وپٹیلا ڈیوائس کو ڈیوائس ٹیمپلیٹ سے منسلک کرتے ہیں۔ مزید معلومات کے لیے، ایک ٹیمپلیٹ ویری ایبل اسپریڈشیٹ بنائیں دیکھیں۔ ڈیفالٹ کلید کو تبدیل کرنے کے لیے، ایک نئی سٹرنگ ٹائپ کریں اور کرسر کو Enter Key باکس سے باہر لے جائیں۔ Exampڈیوائس کے مخصوص پیرامیٹرز میں سسٹم کا IP ایڈریس، میزبان نام، GPS لوکیشن، اور سائٹ ID ہیں۔

پیرامیٹر دائرہ کار	دائرہ کار کی تفصیل
عالمی (ایک گلوب آئیکن سے اشارہ کیا گیا)	پیرامیٹر کے لیے ایک قدر درج کریں، اور اس قدر کو تمام آلات پر لاگو کریں۔ Exampان پیرامیٹرز کی جن کا اطلاق آپ عالمی سطح پر آلات کے گروپ پر کر سکتے ہیں وہ ہیں DNS سرور، syslog سرور، اور انٹرفیس MTUs۔

کنٹرول پلین سیکیورٹی کو ترتیب دیں۔

نوٹ
کنفیگر کنٹرول پلین سیکیورٹی سیکشن صرف Cisco SD-WAN مینیجر اور Cisco SD-WAN کنٹرولر پر لاگو ہوتا ہے۔ Cisco SD-WAN مینیجر مثال یا Cisco SD-WAN کنٹرولر پر کنٹرول ہوائی جہاز کے کنکشن پروٹوکول کو ترتیب دینے کے لیے، بنیادی کنفیگریشن ایریا کا انتخاب کریں۔ اور درج ذیل پیرامیٹرز کو ترتیب دیں:

جدول 2:

پیرامیٹر نام	تفصیل
پروٹوکول	Cisco SD-WAN کنٹرولر سے کنٹرول ہوائی جہاز کے کنکشن پر استعمال کرنے کے لیے پروٹوکول کا انتخاب کریں: • DTLS (Datagram ٹرانسپورٹ لیئر سیکیورٹی)۔ یہ طے شدہ ہے۔ • TLS (ٹرانسپورٹ لیئر سیکیورٹی)
TLS پورٹ کو کنٹرول کریں۔	اگر آپ نے TLS کا انتخاب کیا ہے تو استعمال کرنے کے لیے پورٹ نمبر کو ترتیب دیں:حد: 1025 سے 65535 تکڈیفالٹ: 23456

محفوظ کریں پر کلک کریں۔

ڈیٹا پلین سیکیورٹی کو ترتیب دیں۔
Cisco SD-WAN Validator یا Cisco vEdge راؤٹر پر ڈیٹا ہوائی جہاز کی حفاظت کو ترتیب دینے کے لیے، بنیادی کنفیگریشن اور تصدیقی قسم کے ٹیبز کا انتخاب کریں، اور درج ذیل پیرامیٹرز کو ترتیب دیں:

جدول 3:

پیرامیٹر نام	تفصیل
ریکی ٹائم	واضح کریں کہ Cisco vEdge راؤٹر اپنے محفوظ DTLS کنکشن پر استعمال ہونے والی AES کلید کو Cisco SD-WAN کنٹرولر سے کتنی بار تبدیل کرتا ہے۔ اگر OMP گریس فل ری سٹارٹ فعال ہے، تو دوبارہ شروع کرنے کا وقت OMP گریس فل ری سٹارٹ ٹائمر کی قدر سے کم از کم دوگنا ہونا چاہیے۔حد: 10 سے 1209600 سیکنڈ (14 دن)ڈیفالٹ: 86400 سیکنڈ (24 گھنٹے)
ری پلے ونڈو	سلائیڈنگ ری پلے ونڈو کے سائز کی وضاحت کریں۔ اقدار: 64، 128، 256، 512، 1024، 2048، 4096، 8192 پیکٹڈیفالٹ: 512 پیکٹ
IPsec pairwise-keying	یہ بطور ڈیفالٹ آف ہے۔ کلک کریں۔ On اسے آن کرنے کے لیے۔

پیرامیٹر نام

تفصیل

تصدیق کی قسم

سے تصدیق کی اقسام کو منتخب کریں۔ تصدیق فہرست، اور تصدیق کی اقسام کو منتقل کرنے کے لیے دائیں طرف اشارہ کرنے والے تیر پر کلک کریں۔ منتخب کردہ فہرست کالم Cisco SD-WAN ریلیز 20.6.1 سے تائید شدہ تصدیقی اقسام: •  esp: ESP ہیڈر پر Encapsulating Security Payload (ESP) انکرپشن اور انٹیگریٹی چیکنگ کو فعال کرتا ہے۔ •  ip-udp-esp: ESP انکرپشن کو فعال کرتا ہے۔ ESP ہیڈر اور پے لوڈ پر سالمیت کی جانچ کے علاوہ، چیکوں میں بیرونی IP اور UDP ہیڈر بھی شامل ہیں۔ •  ip-udp-esp-no-id: IP ہیڈر میں ID فیلڈ کو نظر انداز کرتا ہے تاکہ Cisco Catalyst SD-WAN غیر Cisco آلات کے ساتھ مل کر کام کر سکے۔ •  کوئی نہیں: IPSec پیکٹوں پر سالمیت کی جانچ کو بند کر دیتا ہے۔ ہم اس اختیار کو استعمال کرنے کی سفارش نہیں کرتے ہیں۔   Cisco SD-WAN ریلیز 20.5.1 اور اس سے پہلے میں معاون تصدیقی اقسام: •  ah-no-id: AH-SHA1 HMAC اور ESP HMAC-SHA1 کا ایک بہتر ورژن فعال کریں جو پیکٹ کے بیرونی IP ہیڈر میں ID فیلڈ کو نظر انداز کرتا ہے۔ •  ah-sha1-hmac: AH-SHA1 HMAC اور ESP HMAC-SHA1 کو فعال کریں۔ •  کوئی نہیں: کوئی توثیق نہیں منتخب کریں۔ •  sha1-hmac: ESP HMAC-SHA1 کو فعال کریں۔   نوٹ              Cisco SD-WAN ریلیز 20.5.1 یا اس سے پہلے چلنے والے ایج ڈیوائس کے لیے، ہو سکتا ہے آپ نے تصدیق کی قسمیں ترتیب دی ہوں سیکورٹی سانچے. جب آپ ڈیوائس کو Cisco SD-WAN ریلیز 20.6.1 یا بعد میں اپ گریڈ کرتے ہیں، تو اس میں منتخب تصدیقی اقسام کو اپ ڈیٹ کریں۔ سیکورٹی سسکو SD-WAN ریلیز 20.6.1 سے تعاون یافتہ تصدیقی اقسام کا سانچہ۔ تصدیق کی اقسام کو اپ ڈیٹ کرنے کے لیے، درج ذیل کام کریں: 1.      Cisco SD-WAN مینیجر مینو سے، منتخب کریں۔ کنفیگریشن > ٹیمپلیٹس. 2.      کلک کریں۔ فیچر ٹیمپلیٹس. 3.      تلاش کریں۔ سیکورٹی اپ ڈیٹ کرنے کے لیے ٹیمپلیٹ اور کلک کریں … اور کلک کریں۔ ترمیم کریں۔. 4.      کلک کریں۔ اپڈیٹ کریں۔. کسی بھی ترتیب میں ترمیم نہ کریں۔ سسکو SD-WAN مینیجر اپ ڈیٹ کرتا ہے۔ سیکورٹی تائید شدہ تصدیقی اقسام کو ظاہر کرنے کے لیے ٹیمپلیٹ۔

محفوظ کریں پر کلک کریں۔

ڈیٹا پلین سیکیورٹی پیرامیٹرز کو ترتیب دیں۔

ڈیٹا پلین میں، IPsec تمام راؤٹرز پر بطور ڈیفالٹ فعال ہوتا ہے، اور بطور ڈیفالٹ IPsec ٹنل کنکشن IPsec سرنگوں پر تصدیق کے لیے Encapsulating Security Payload (ESP) پروٹوکول کا ایک بہتر ورژن استعمال کرتے ہیں۔ راؤٹرز پر، آپ تصدیق کی قسم، IPsec ریکینگ ٹائمر، اور IPsec اینٹی ری پلے ونڈو کا سائز تبدیل کر سکتے ہیں۔

اجازت یافتہ توثیق کی اقسام کو ترتیب دیں۔

Cisco SD-WAN ریلیز 20.6.1 اور بعد میں توثیق کی اقسام
Cisco SD-WAN ریلیز 20.6.1 سے، درج ذیل سالمیت کی قسمیں معاون ہیں:

• esp: یہ آپشن ESP ہیڈر پر Encapsulating Security Payload (ESP) انکرپشن اور سالمیت کی جانچ کو قابل بناتا ہے۔
• ip-udp-esp: یہ آپشن ESP انکرپشن کو قابل بناتا ہے۔ ESP ہیڈر اور پے لوڈ پر سالمیت کی جانچ کے علاوہ، چیکوں میں بیرونی IP اور UDP ہیڈر بھی شامل ہیں۔
• ip-udp-esp-no-id: یہ آپشن ip-udp-esp کی طرح ہے، تاہم، بیرونی IP ہیڈر کی ID فیلڈ کو نظر انداز کر دیا گیا ہے۔ اس اختیار کو سالمیت کی اقسام کی فہرست میں ترتیب دیں تاکہ Cisco Catalyst SD-WAN سافٹ ویئر IP ہیڈر میں ID فیلڈ کو نظر انداز کرے تاکہ Cisco Catalyst SD-WAN غیر سسکو آلات کے ساتھ مل کر کام کر سکے۔
• کوئی نہیں: یہ اختیار IPSec پیکٹوں پر سالمیت کی جانچ کو بند کر دیتا ہے۔ ہم اس اختیار کو استعمال کرنے کی سفارش نہیں کرتے ہیں۔

پہلے سے طے شدہ طور پر، IPsec ٹنل کنکشن تصدیق کے لیے Encapsulating Security Payload (ESP) پروٹوکول کا ایک بہتر ورژن استعمال کرتے ہیں۔ گفت و شنید کی قسموں میں ترمیم کرنے یا سالمیت کی جانچ کو غیر فعال کرنے کے لیے درج ذیل کمانڈ کا استعمال کریں: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Cisco SD-WAN ریلیز 20.6.1 سے پہلے توثیق کی اقسام
پہلے سے طے شدہ طور پر، IPsec ٹنل کنکشن تصدیق کے لیے Encapsulating Security Payload (ESP) پروٹوکول کا ایک بہتر ورژن استعمال کرتے ہیں۔ گفت و شنید کی تصدیق کی اقسام میں ترمیم کرنے یا توثیق کو غیر فعال کرنے کے لیے، درج ذیل کمانڈ کا استعمال کریں: Device(config)# security ipsec توثیق کی قسم (ah-sha1-hmac | ah-no-id | sha1-hmac | | کوئی نہیں) بطور ڈیفالٹ، IPsec ٹنل کنکشن AES-GCM-256 کا استعمال کرتے ہیں، جو انکرپشن اور تصدیق دونوں فراہم کرتا ہے۔ ہر توثیق کی قسم کو علیحدہ سیکیورٹی ipsec تصدیق قسم کمانڈ کے ساتھ ترتیب دیں۔ کمانڈ کے اختیارات درج ذیل توثیق کی اقسام کا نقشہ بناتے ہیں، جو کہ سب سے زیادہ مضبوط سے کم از کم مضبوط تک درج ہیں:

نوٹ
ترتیب کے اختیارات میں sha1 تاریخی وجوہات کی بناء پر استعمال ہوتا ہے۔ تصدیق کے اختیارات اس بات کی نشاندہی کرتے ہیں کہ پیکٹ کی سالمیت کی کتنی جانچ کی گئی ہے۔ وہ الگورتھم کی وضاحت نہیں کرتے ہیں جو سالمیت کی جانچ کرتا ہے۔ ملٹی کاسٹ ٹریفک کے انکرپشن کے علاوہ، سسکو کیٹالسٹ SD WAN کے تعاون سے تصدیقی الگورتھم SHA1 استعمال نہیں کرتے ہیں۔ تاہم Cisco SD-WAN ریلیز 20.1.x اور اس کے بعد، دونوں یونی کاسٹ اور ملٹی کاسٹ SHA1 استعمال نہیں کرتے ہیں۔

• ah-sha1-hmac ESP کا استعمال کرتے ہوئے انکرپشن اور encapsulation کو قابل بناتا ہے۔ تاہم، ESP ہیڈر اور پے لوڈ پر سالمیت کی جانچ کے علاوہ، چیکوں میں بیرونی IP اور UDP ہیڈر بھی شامل ہیں۔ لہذا، یہ آپشن تصدیقی ہیڈر (AH) پروٹوکول کی طرح پیکٹ کی سالمیت کی جانچ کی حمایت کرتا ہے۔ تمام سالمیت اور خفیہ کاری AES-256-GCM کا استعمال کرتے ہوئے کی جاتی ہے۔
• ah-no-id ایک موڈ کو فعال کرتا ہے جو ah-sha1-hmac سے ملتا جلتا ہے، تاہم، بیرونی IP ہیڈر کی ID فیلڈ کو نظر انداز کر دیا جاتا ہے۔ یہ آپشن کچھ غیر Cisco Catalyst SD-WAN ڈیوائسز کو ایڈجسٹ کرتا ہے، بشمول Apple Airport Express NAT، جن میں ایک ایسا بگ ہوتا ہے جس کی وجہ سے آئی پی ہیڈر میں ID فیلڈ، ایک غیر متغیر فیلڈ میں ترمیم کی جاتی ہے۔ توثیق کی اقسام کی فہرست میں ah-no-id آپشن کو ترتیب دیں تاکہ Cisco Catalyst SD-WAN AH سافٹ ویئر IP ہیڈر میں ID فیلڈ کو نظر انداز کرے تاکہ Cisco Catalyst SD-WAN سافٹ ویئر ان آلات کے ساتھ مل کر کام کر سکے۔
• sha1-hmac ESP انکرپشن اور انٹیگریٹی چیکنگ کو قابل بناتا ہے۔
• کوئی بھی نقشہ بغیر تصدیق کے۔ یہ اختیار صرف اس صورت میں استعمال کیا جانا چاہیے جب یہ عارضی ڈیبگنگ کے لیے درکار ہو۔ آپ اس اختیار کو ان حالات میں بھی منتخب کر سکتے ہیں جہاں ڈیٹا ہوائی جہاز کی توثیق اور سالمیت کو کوئی تشویش نہ ہو۔ سسکو اس اختیار کو پروڈکشن نیٹ ورکس کے لیے استعمال کرنے کی سفارش نہیں کرتا ہے۔

اس بارے میں معلومات کے لیے کہ کون سے ڈیٹا پیکٹ فیلڈز ان تصدیقی اقسام سے متاثر ہوتے ہیں، ڈیٹا پلین انٹیگریٹی دیکھیں۔ Cisco IOS XE Catalyst SD-WAN ڈیوائسز اور Cisco vEdge ڈیوائسز اپنی TLOC خصوصیات میں اپنی تشکیل شدہ تصدیقی اقسام کی تشہیر کرتے ہیں۔ IPsec ٹنل کنکشن کے دونوں طرف کے دو راؤٹرز اپنے درمیان کنکشن پر استعمال کرنے کے لیے تصدیق پر بات چیت کرتے ہیں، مضبوط ترین تصدیقی قسم کا استعمال کرتے ہوئے جو دونوں راؤٹرز پر کنفیگر کی گئی ہے۔ سابق کے لیےample، اگر ایک راؤٹر ah-sha1-hmac اور ah-no-id قسموں کی تشہیر کرتا ہے، اور دوسرا راؤٹر ah-no-id قسم کی تشہیر کرتا ہے، تو دونوں راؤٹرز IPsec ٹنل کنکشن پر ah-no-id استعمال کرنے کے لیے بات چیت کرتے ہیں۔ انہیں اگر دونوں ساتھیوں پر تصدیق کی کوئی عام قسمیں ترتیب نہیں دی جاتی ہیں، تو ان کے درمیان کوئی IPsec سرنگ قائم نہیں ہوتی ہے۔ IPsec سرنگ کنکشن پر خفیہ کاری الگورتھم ٹریفک کی قسم پر منحصر ہے:

• یونی کاسٹ ٹریفک کے لیے، انکرپشن الگورتھم AES-256-GCM ہے۔
• ملٹی کاسٹ ٹریفک کے لیے:
• Cisco SD-WAN ریلیز 20.1.x اور بعد میں- انکرپشن الگورتھم AES-256-GCM ہے
• پچھلی ریلیزز- انکرپشن الگورتھم AES-256-CBC ہے SHA1-HMAC کے ساتھ۔

جب IPsec توثیق کی قسم کو تبدیل کیا جاتا ہے، ڈیٹا پاتھ کے لیے AES کلید بدل جاتی ہے۔

ریکینگ ٹائمر کو تبدیل کریں۔

اس سے پہلے کہ Cisco IOS XE Catalyst SD-WAN ڈیوائسز اور Cisco vEdge ڈیوائسز ڈیٹا ٹریفک کا تبادلہ کر سکیں، انہوں نے اپنے درمیان ایک محفوظ تصدیق شدہ مواصلاتی چینل قائم کیا۔ راؤٹرز اپنے درمیان آئی پی ایس سی سرنگوں کو بطور چینل استعمال کرتے ہیں، اور خفیہ کاری انجام دینے کے لیے AES-256 سائفر۔ ہر روٹر اپنے ڈیٹا پاتھ کے لیے وقتاً فوقتاً ایک نئی AES کلید تیار کرتا ہے۔ پہلے سے طے شدہ طور پر، ایک کلید 86400 سیکنڈ (24 گھنٹے) کے لیے درست ہوتی ہے، اور ٹائمر کی حد 10 سیکنڈ سے لے کر 1209600 سیکنڈز (14 دن) تک ہوتی ہے۔ ریکی ٹائمر ویلیو کو تبدیل کرنے کے لیے: Device(config)# security ipsec rekey سیکنڈ کنفیگریشن اس طرح نظر آتی ہے:

• سیکورٹی ipsec rekey سیکنڈ!

اگر آپ فوری طور پر نئی IPsec کیز بنانا چاہتے ہیں، تو آپ روٹر کی کنفیگریشن میں ترمیم کیے بغیر ایسا کر سکتے ہیں۔ ایسا کرنے کے لیے، کمپرومائزڈ روٹر پر ریکوئسٹ سیکیورٹی ipsecrekey کمانڈ جاری کریں۔ سابق کے لیےampلی، درج ذیل آؤٹ پٹ سے پتہ چلتا ہے کہ مقامی SA کا سیکیورٹی پیرامیٹر انڈیکس (SPI) 256 ہے:

ہر SPI کے ساتھ ایک منفرد کلید وابستہ ہے۔ اگر اس کلید سے سمجھوتہ کیا گیا ہے تو، فوری طور پر ایک نئی کلید بنانے کے لیے Request security ipsec-rekey کمانڈ استعمال کریں۔ یہ کمانڈ SPI کو بڑھاتا ہے۔ ہمارے سابق میںample، SPI 257 میں بدل جاتا ہے اور اس سے منسلک کلید اب استعمال ہوتی ہے:

• ڈیوائس# سیکیورٹی ipsecrekey کی درخواست کریں۔
• ڈیوائس # ipsec local-sa دکھاتا ہے۔

نئی کلید تیار ہونے کے بعد، راؤٹر اسے DTLS یا TLS کا استعمال کرتے ہوئے فوری طور پر Cisco SD-WAN کنٹرولرز کو بھیجتا ہے۔ Cisco SD-WAN کنٹرولرز کلید ہم مرتبہ راؤٹرز کو بھیجتے ہیں۔ راؤٹرز اسے موصول ہوتے ہی اسے استعمال کرنا شروع کر دیتے ہیں۔ نوٹ کریں کہ پرانے SPI (256) سے وابستہ کلید اس وقت تک استعمال ہوتی رہے گی جب تک کہ اس کا وقت ختم نہ ہو جائے۔ فوری طور پر پرانی کلید کا استعمال بند کرنے کے لیے، فوری طور پر، دو بار درخواست سیکیورٹی ipsec-rekey کمانڈ جاری کریں۔ حکموں کا یہ سلسلہ SPI 256 اور 257 دونوں کو ہٹاتا ہے اور SPI کو 258 پر سیٹ کرتا ہے۔ پھر راؤٹر SPI 258 کی متعلقہ کلید کا استعمال کرتا ہے۔ تاہم، نوٹ کریں کہ کچھ پیکٹ تھوڑی دیر کے لیے چھوڑے جائیں گے جب تک کہ تمام ریموٹ راؤٹرز سیکھ نہ لیں۔ نئی کلید.

اینٹی ری پلے ونڈو کا سائز تبدیل کریں۔

IPsec توثیق ڈیٹا سٹریم میں ہر پیکٹ کو ایک منفرد ترتیب نمبر تفویض کرکے اینٹی ری پلے تحفظ فراہم کرتی ہے۔ یہ ترتیب نمبرنگ ڈیٹا پیکٹ کی نقل کرنے والے حملہ آور سے حفاظت کرتی ہے۔ اینٹی ری پلے پروٹیکشن کے ساتھ، بھیجنے والا یکطرفہ طور پر بڑھتی ہوئی ترتیب نمبروں کو تفویض کرتا ہے، اور ڈپلیکیٹس کا پتہ لگانے کے لیے منزل ان ترتیب نمبروں کو چیک کرتی ہے۔ چونکہ پیکٹ اکثر ترتیب سے نہیں آتے ہیں، اس لیے منزل ترتیب نمبروں کی سلائیڈنگ ونڈو کو برقرار رکھتی ہے جسے وہ قبول کرے گا۔

ترتیب نمبر والے پیکٹ جو سلائیڈنگ ونڈو رینج کے بائیں طرف آتے ہیں پرانے یا ڈپلیکیٹ سمجھے جاتے ہیں، اور منزل انہیں گرا دیتی ہے۔ منزل اسے موصول ہونے والے سب سے زیادہ ترتیب نمبر کو ٹریک کرتی ہے، اور جب اسے زیادہ قیمت والا پیکٹ ملتا ہے تو سلائیڈنگ ونڈو کو ایڈجسٹ کرتا ہے۔

پہلے سے طے شدہ طور پر، سلائیڈنگ ونڈو 512 پیکٹوں پر سیٹ ہوتی ہے۔ اسے 64 اور 4096 کے درمیان کسی بھی قدر پر سیٹ کیا جا سکتا ہے جو کہ 2 کی طاقت ہے (یعنی، 64، 128، 256، 512، 1024، 2048، یا 4096)۔ اینٹی ری پلے ونڈو کے سائز میں ترمیم کرنے کے لیے، ری پلے ونڈو کمانڈ استعمال کریں، ونڈو کا سائز بتاتے ہوئے:

ڈیوائس(config)# سیکورٹی ipsec ری پلے ونڈو نمبر

ترتیب اس طرح نظر آتی ہے:
سیکورٹی ipsec ری پلے ونڈو نمبر! !

QoS میں مدد کرنے کے لیے، پہلے آٹھ ٹریفک چینلز میں سے ہر ایک کے لیے الگ الگ ری پلے ونڈوز رکھے جاتے ہیں۔ ترتیب شدہ ری پلے ونڈو کے سائز کو ہر چینل کے لیے آٹھ سے تقسیم کیا گیا ہے۔ اگر QoS کو روٹر پر کنفیگر کیا گیا ہے، تو IPsec اینٹی ری پلے میکانزم کے نتیجے میں وہ راؤٹر متوقع سے زیادہ تعداد میں پیکٹ ڈراپ کا تجربہ کر سکتا ہے، اور بہت سے پیکٹ جو گرائے گئے ہیں وہ جائز ہیں۔ ایسا اس لیے ہوتا ہے کیونکہ QoS پیکٹوں کو دوبارہ ترتیب دیتا ہے، اعلی ترجیحی پیکٹوں کو ترجیحی علاج دیتا ہے اور کم ترجیحی پیکٹوں میں تاخیر کرتا ہے۔ اس صورت حال کو کم کرنے یا روکنے کے لیے، آپ درج ذیل کام کر سکتے ہیں:

• اینٹی ری پلے ونڈو کا سائز بڑھائیں۔
• پہلے آٹھ ٹریفک چینلز پر انجینئر ٹریفک اس بات کو یقینی بنانے کے لیے کہ کسی چینل کے اندر ٹریفک کو دوبارہ ترتیب نہ دیا جائے۔

IKE- فعال IPsec سرنگوں کو ترتیب دیں۔
اوورلے نیٹ ورک سے ٹریفک کو محفوظ طریقے سے سروس نیٹ ورک میں منتقل کرنے کے لیے، آپ IPsec سرنگوں کو ترتیب دے سکتے ہیں جو انٹرنیٹ کی ایکسچینج (IKE) پروٹوکول چلاتی ہیں۔ محفوظ پیکٹ ٹرانسپورٹ کو یقینی بنانے کے لیے IKE- فعال IPsec سرنگیں تصدیق اور خفیہ کاری فراہم کرتی ہیں۔ آپ IPsec انٹرفیس کو ترتیب دے کر IKE- فعال IPsec سرنگ بناتے ہیں۔ IPsec انٹرفیس منطقی انٹرفیس ہیں، اور آپ انہیں کسی دوسرے جسمانی انٹرفیس کی طرح ترتیب دیتے ہیں۔ آپ IPsec انٹرفیس پر IKE پروٹوکول پیرامیٹرز کو ترتیب دیتے ہیں، اور آپ دیگر انٹرفیس کی خصوصیات کو ترتیب دے سکتے ہیں۔

نوٹ Cisco IKE ورژن 2 استعمال کرنے کی تجویز کرتا ہے۔ Cisco SD-WAN 19.2.x ریلیز کے بعد سے، پہلے سے مشترکہ کلید کی لمبائی کم از کم 16 بائٹس ہونی چاہیے۔ IPsec ٹنل اسٹیبلشمنٹ ناکام ہو جاتی ہے اگر راؤٹر کو ورژن 16 میں اپ گریڈ کرنے پر کلیدی سائز 19.2 حروف سے کم ہو۔

نوٹ
Cisco Catalyst SD-WAN سافٹ ویئر IKE ورژن 2 کو سپورٹ کرتا ہے جیسا کہ RFC 7296 میں بیان کیا گیا ہے۔ IPsec سرنگوں کا ایک استعمال ایمیزون AWS پر چلنے والے vEdge کلاؤڈ راؤٹر VM مثالوں کو Amazon ورچوئل پرائیویٹ کلاؤڈ (VPC) سے منسلک کرنے کی اجازت دینا ہے۔ آپ کو ان راؤٹرز پر IKE ورژن 1 کنفیگر کرنا ہوگا۔ Cisco vEdge ڈیوائسز IPSec کنفیگریشن میں صرف روٹ پر مبنی VPNs کو سپورٹ کرتی ہیں کیونکہ یہ ڈیوائسز انکرپشن ڈومین میں ٹریفک سلیکٹرز کی وضاحت نہیں کر سکتیں۔

ایک IPsec ٹنل کو ترتیب دیں۔
سروس نیٹ ورک سے محفوظ ٹرانسپورٹ ٹریفک کے لیے ایک IPsec ٹنل انٹرفیس کو ترتیب دینے کے لیے، آپ ایک منطقی IPsec انٹرفیس بناتے ہیں:

آپ ٹرانسپورٹ VPN (VPN 0) اور کسی بھی سروس VPN (VPN 1 سے 65530 تک، 512 کے علاوہ) میں IPsec ٹنل بنا سکتے ہیں۔ IPsec انٹرفیس کا ipsecnumber فارمیٹ میں ایک نام ہے، جہاں نمبر 1 سے 255 تک ہو سکتا ہے۔ ہر IPsec انٹرفیس کا IPv4 پتہ ہونا چاہیے۔ یہ پتہ /30 کا سابقہ ​​ہونا چاہیے۔ VPN میں تمام ٹریفک جو اس IPv4 سابقہ ​​کے اندر ہے VPN 0 میں ایک فزیکل انٹرفیس کی طرف ہدایت کی جاتی ہے تاکہ IPsec سرنگ پر محفوظ طریقے سے بھیجے جائیں۔ مقامی ڈیوائس پر IPsec سرنگ کے ماخذ کو کنفیگر کرنے کے لیے، آپ یا تو IP ایڈریس بتا سکتے ہیں۔ فزیکل انٹرفیس (ٹنل سورس کمانڈ میں) یا فزیکل انٹرفیس کا نام (ٹنل سورس انٹرفیس کمانڈ میں)۔ یقینی بنائیں کہ فزیکل انٹرفیس VPN 0 میں ترتیب دیا گیا ہے۔ IPsec سرنگ کی منزل کو کنفیگر کرنے کے لیے، tunnel-destination کمانڈ میں ریموٹ ڈیوائس کا IP ایڈریس بتائیں۔ ایک سورس ایڈریس (یا سورس انٹرفیس کا نام) اور ایک منزل کا پتہ ایک واحد IPsec سرنگ کی وضاحت کرتا ہے۔ صرف ایک IPsec سرنگ موجود ہو سکتی ہے جو ایک مخصوص سورس ایڈریس (یا انٹرفیس کا نام) اور منزل کے ایڈریس کا جوڑا استعمال کرتی ہے۔

ایک IPsec جامد راستہ ترتیب دیں۔

سروس VPN سے ٹریفک کو ٹرانسپورٹ VPN (VPN 0) میں IPsec سرنگ کی طرف ڈائریکٹ کرنے کے لیے، آپ سروس VPN (VPN 0 یا VPN 512 کے علاوہ ایک VPN) میں IPsec مخصوص جامد راستہ تشکیل دیتے ہیں:

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 انٹرفیس
• ipsecnumber [ipsecnumber2]

VPN ID کسی بھی سروس VPN کی ہے (VPN 1 سے 65530 تک، سوائے 512 کے)۔ prefix/length IP ایڈریس یا سابقہ ​​ہے، اعشاریہ چار حصوں کے نقطے والے اشارے میں، اور IPsec مخصوص جامد راستے کے سابقہ ​​کی لمبائی۔ انٹرفیس VPN 0 میں IPsec ٹنل انٹرفیس ہے۔ آپ ایک یا دو IPsec ٹنل انٹرفیس تشکیل دے سکتے ہیں۔ اگر آپ دو کنفیگر کرتے ہیں تو پہلی بنیادی IPsec ٹنل ہے، اور دوسری بیک اپ ہے۔ دو انٹرفیس کے ساتھ، تمام پیکٹ صرف بنیادی سرنگ میں بھیجے جاتے ہیں۔ اگر وہ سرنگ ناکام ہو جاتی ہے، تو تمام پیکٹ پھر ثانوی سرنگ میں بھیجے جاتے ہیں۔ اگر پرائمری ٹنل واپس آجاتی ہے تو تمام ٹریفک کو واپس پرائمری IPsec ٹنل میں منتقل کر دیا جاتا ہے۔

IKE ورژن 1 کو فعال کریں۔
جب آپ vEdge روٹر پر ایک IPsec سرنگ بناتے ہیں تو IKE ورژن 1 ٹنل انٹرفیس پر بطور ڈیفالٹ فعال ہوتا ہے۔ درج ذیل خصوصیات بھی IKEv1 کے لیے بطور ڈیفالٹ فعال ہیں:

• توثیق اور خفیہ کاری—AES-256 اعلی درجے کی خفیہ کاری معیاری CBC خفیہ کاری HMAC-SHA1 کلید-ہیش پیغام کے تصدیقی کوڈ الگورتھم کے ساتھ سالمیت کے لیے
• Diffie-Hellman گروپ نمبر-16
• ریکینگ ٹائم وقفہ—4 گھنٹے
• SA اسٹیبلشمنٹ موڈ — مین

پہلے سے طے شدہ طور پر، IKEv1 IKE SAs قائم کرنے کے لیے IKE مین موڈ کا استعمال کرتا ہے۔ اس موڈ میں، SA قائم کرنے کے لیے چھ مذاکراتی پیکٹوں کا تبادلہ کیا جاتا ہے۔ صرف تین مذاکراتی پیکٹوں کا تبادلہ کرنے کے لیے، جارحانہ موڈ کو فعال کریں:

نوٹ
جہاں تک ممکن ہو پہلے سے مشترکہ کلیدوں کے ساتھ IKE ایگریسو موڈ سے گریز کیا جانا چاہیے۔ بصورت دیگر ایک مضبوط پہلے سے مشترکہ کلید کا انتخاب کیا جانا چاہیے۔

• vEdge(config)# vpn vpn-id انٹرفیس ipsec نمبر ike
• vEdge(config-ike)# موڈ جارحانہ

پہلے سے طے شدہ طور پر، IKEv1 IKE کلیدی تبادلے میں Diffie-Hellman گروپ 16 استعمال کرتا ہے۔ یہ گروپ IKE کلیدی تبادلہ کے دوران 4096 بٹ زیادہ ماڈیولر ایکسپونینشل (MODP) گروپ استعمال کرتا ہے۔ آپ گروپ نمبر کو 2 (1024-bit MODP کے لیے)، 14 (2048-bit MODP)، یا 15 (3072-bit MODP) میں تبدیل کر سکتے ہیں:

• vEdge(config)# vpn vpn-id انٹرفیس ipsec نمبر ike
• vEdge(config-ike)# گروپ نمبر

پہلے سے طے شدہ طور پر، IKE کلیدی تبادلہ سالمیت کے لیے HMAC-SHA256 کیڈ-ہیش میسج توثیقی کوڈ الگورتھم کے ساتھ AES-1 ایڈوانسڈ انکرپشن معیاری CBC انکرپشن کا استعمال کرتا ہے۔ آپ تصدیق کو تبدیل کر سکتے ہیں:

• vEdge(config)# vpn vpn-id انٹرفیس ipsec نمبر ike
• vEdge(config-ike)# cipher-suite suite

توثیق سویٹ درج ذیل میں سے ایک ہو سکتا ہے:

• aes128-cbc-sha1—AES-128 اعلی درجے کی خفیہ کاری کا معیاری CBC انکرپشن HMAC-SHA1 کلید-ہیش پیغام کی تصدیق کوڈ الگورتھم کے ساتھ سالمیت کے لیے
• aes128-cbc-sha2—AES-128 اعلی درجے کی خفیہ کاری کا معیاری CBC انکرپشن HMAC-SHA256 کلید-ہیش پیغام کی تصدیق کوڈ الگورتھم کے ساتھ سالمیت کے لیے
• aes256-cbc-sha1—AES-256 اعلی درجے کی خفیہ کاری معیاری CBC خفیہ کاری HMAC-SHA1 کلید-ہیش پیغام کی تصدیق کوڈ الگورتھم کے ساتھ سالمیت کے لیے؛ یہ پہلے سے طے شدہ ہے.
• aes256-cbc-sha2—AES-256 اعلی درجے کی خفیہ کاری کا معیاری CBC انکرپشن HMAC-SHA256 کلید-ہیش پیغام کی تصدیق کوڈ الگورتھم کے ساتھ سالمیت کے لیے

پہلے سے طے شدہ طور پر، IKE کیز کو ہر 1 گھنٹے (3600 سیکنڈ) میں تازہ کیا جاتا ہے۔ آپ ریکینگ وقفہ کو 30 سیکنڈ سے لے کر 14 دن (1209600 سیکنڈ) میں تبدیل کر سکتے ہیں۔ یہ سفارش کی جاتی ہے کہ دوبارہ شروع کرنے کا وقفہ کم از کم 1 گھنٹہ ہو۔

• vEdge(config)# vpn vpn-id انٹرفیس ipsec نمبر جیسے
• vEdge(config-ike)# ریکی سیکنڈز

IKE سیشن کے لیے نئی چابیاں بنانے پر مجبور کرنے کے لیے، ipsec ike-rekey کمانڈ کی درخواست جاری کریں۔

• vEdge(config)# vpn vpn-id انٹرفیس سیپسیک نمبر ike

IKE کے لیے، آپ preshared key (PSK) کی توثیق کو بھی ترتیب دے سکتے ہیں:

• vEdge(config)# vpn vpn-id انٹرفیس ipsec نمبر ike
• vEdge(config-ike)# توثیق کی قسم پری-شیئرڈ کلید پری-شیئرڈ-خفیہ پاس ورڈ پاس ورڈ ہے جسے پری شیئرڈ کلید کے ساتھ استعمال کرنا ہے۔ یہ ایک ASCII یا 1 سے 127 حروف تک کی ایک ہیکساڈیسیمل سٹرنگ ہو سکتی ہے۔

اگر ریموٹ IKE پیر کو مقامی یا ریموٹ ID کی ضرورت ہے، تو آپ اس شناخت کنندہ کو ترتیب دے سکتے ہیں:

• vEdge(config)# vpn vpn-id انٹرفیس ipsec نمبر ike توثیق کی قسم
• vEdge(config-authentication-type)# local-id id
• vEdge(config-authentication-type)# remote-id id

شناخت کنندہ IP ایڈریس یا 1 سے 63 حروف تک کی کوئی بھی ٹیکسٹ سٹرنگ ہو سکتا ہے۔ پہلے سے طے شدہ طور پر، مقامی ID سرنگ کا ماخذ IP پتہ ہے اور ریموٹ ID سرنگ کی منزل کا IP پتہ ہے۔

IKE ورژن 2 کو فعال کریں۔
جب آپ IKE ورژن 2 استعمال کرنے کے لیے ایک IPsec سرنگ تشکیل دیتے ہیں، تو درج ذیل خصوصیات بھی IKEv2 کے لیے بطور ڈیفالٹ فعال ہوتی ہیں:

• توثیق اور خفیہ کاری—AES-256 اعلی درجے کی خفیہ کاری معیاری CBC خفیہ کاری HMAC-SHA1 کلید-ہیش پیغام کے تصدیقی کوڈ الگورتھم کے ساتھ سالمیت کے لیے
• Diffie-Hellman گروپ نمبر-16
• ریکینگ ٹائم وقفہ—4 گھنٹے

پہلے سے طے شدہ طور پر، IKEv2 IKE کلیدی تبادلے میں Diffie-Hellman گروپ 16 استعمال کرتا ہے۔ یہ گروپ IKE کلیدی تبادلہ کے دوران 4096 بٹ زیادہ ماڈیولر ایکسپونینشل (MODP) گروپ استعمال کرتا ہے۔ آپ گروپ نمبر کو 2 (1024-bit MODP کے لیے)، 14 (2048-bit MODP)، یا 15 (3072-bit MODP) میں تبدیل کر سکتے ہیں:

• vEdge(config)# vpn vpn-id انٹرفیس ipsecnumber ike
• vEdge(config-ike)# گروپ نمبر

پہلے سے طے شدہ طور پر، IKE کلیدی تبادلہ سالمیت کے لیے HMAC-SHA256 کیڈ-ہیش میسج توثیقی کوڈ الگورتھم کے ساتھ AES-1 ایڈوانسڈ انکرپشن معیاری CBC انکرپشن کا استعمال کرتا ہے۔ آپ تصدیق کو تبدیل کر سکتے ہیں:

• vEdge(config)# vpn vpn-id انٹرفیس ipsecnumber ike
• vEdge(config-ike)# cipher-suite suite

توثیق سویٹ درج ذیل میں سے ایک ہو سکتا ہے:

• aes128-cbc-sha1—AES-128 اعلی درجے کی خفیہ کاری کا معیاری CBC انکرپشن HMAC-SHA1 کلید-ہیش پیغام کی تصدیق کوڈ الگورتھم کے ساتھ سالمیت کے لیے
• aes128-cbc-sha2—AES-128 اعلی درجے کی خفیہ کاری کا معیاری CBC انکرپشن HMAC-SHA256 کلید-ہیش پیغام کی تصدیق کوڈ الگورتھم کے ساتھ سالمیت کے لیے
• aes256-cbc-sha1—AES-256 اعلی درجے کی خفیہ کاری معیاری CBC خفیہ کاری HMAC-SHA1 کلید-ہیش پیغام کی تصدیق کوڈ الگورتھم کے ساتھ سالمیت کے لیے؛ یہ پہلے سے طے شدہ ہے.
• aes256-cbc-sha2—AES-256 اعلی درجے کی خفیہ کاری کا معیاری CBC انکرپشن HMAC-SHA256 کلید-ہیش پیغام کی تصدیق کوڈ الگورتھم کے ساتھ سالمیت کے لیے

پہلے سے طے شدہ طور پر، IKE کیز کو ہر 4 گھنٹے (14,400 سیکنڈ) میں تازہ کیا جاتا ہے۔ آپ ریکینگ وقفہ کو 30 سیکنڈ سے لے کر 14 دن (1209600 سیکنڈ) میں تبدیل کر سکتے ہیں:

• vEdge(config)# vpn vpn-id انٹرفیس ipsecnumber ike
• vEdge(config-ike)# ریکی سیکنڈز

IKE سیشن کے لیے نئی چابیاں بنانے پر مجبور کرنے کے لیے، ipsec ike-rekey کمانڈ کی درخواست جاری کریں۔ IKE کے لیے، آپ preshared key (PSK) کی توثیق کو بھی ترتیب دے سکتے ہیں:

• vEdge(config)# vpn vpn-id انٹرفیس ipsecnumber ike
• vEdge(config-ike)# توثیق کی قسم پری-شیئرڈ کلید پری-شیئرڈ-خفیہ پاس ورڈ پاس ورڈ ہے جسے پری شیئرڈ کلید کے ساتھ استعمال کرنا ہے۔ یہ ایک ASCII یا ایک ہیکساڈیسیمل سٹرنگ ہو سکتا ہے، یا یہ AES-انکرپٹڈ کلید ہو سکتی ہے۔ اگر ریموٹ IKE پیر کو مقامی یا ریموٹ ID کی ضرورت ہے، تو آپ اس شناخت کنندہ کو ترتیب دے سکتے ہیں:
• vEdge(config)# vpn vpn-id انٹرفیس ipsecnumber ike توثیق کی قسم
• vEdge(config-authentication-type)# local-id id
• vEdge(config-authentication-type)# remote-id id

شناخت کنندہ IP ایڈریس یا 1 سے 64 حروف تک کی کوئی بھی ٹیکسٹ سٹرنگ ہو سکتا ہے۔ پہلے سے طے شدہ طور پر، مقامی ID سرنگ کا ماخذ IP پتہ ہے اور ریموٹ ID سرنگ کی منزل کا IP پتہ ہے۔

IPsec ٹنل پیرامیٹرز کو ترتیب دیں۔

جدول 4: فیچر ہسٹری

فیچر نام	ریلیز کی معلومات	تفصیل
اضافی کرپٹوگرافک	Cisco SD-WAN ریلیز 20.1.1	یہ خصوصیت کے لیے سپورٹ شامل کرتی ہے۔
IPSec کے لیے الگورتھمک سپورٹ		HMAC_SHA256، HMAC_SHA384، اور
سرنگیں۔		HMAC_SHA512 الگورتھم برائے
		بہتر سیکورٹی.

پہلے سے طے شدہ طور پر، درج ذیل پیرامیٹرز IPsec سرنگ پر استعمال کیے جاتے ہیں جو IKE ٹریفک لے جاتی ہے:

• تصدیق اور خفیہ کاری — GCM میں AES-256 الگورتھم (گیلوئس/کاؤنٹر موڈ)
• ریکینگ کا وقفہ—4 گھنٹے
• ری پلے ونڈو—32 پیکٹ

آپ IPsec سرنگ پر خفیہ کاری کو CBC میں AES-256 سائفر میں تبدیل کر سکتے ہیں (سائپر بلاک چیننگ موڈ، HMAC کے ساتھ یا تو SHA-1 یا SHA-2 کلید ہیش پیغام کی تصدیق کا استعمال کرتے ہوئے یا SHA-1 کا استعمال کرتے ہوئے HMAC کے ساتھ کالعدم کر سکتے ہیں۔ SHA-2 کلید ہیش پیغام کی توثیق، IKE کلیدی تبادلہ ٹریفک کے لیے استعمال ہونے والی IPsec سرنگ کو خفیہ نہ کرنے کے لیے:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | | aes256-null-sha256 | aes256-null-sha384)

پہلے سے طے شدہ طور پر، IKE کیز کو ہر 4 گھنٹے (14,400 سیکنڈ) میں تازہ کیا جاتا ہے۔ آپ ریکینگ وقفہ کو 30 سیکنڈ سے لے کر 14 دن (1209600 سیکنڈ) میں تبدیل کر سکتے ہیں:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# ریکی سیکنڈ

ایک IPsec سرنگ کے لیے نئی چابیاں بنانے پر مجبور کرنے کے لیے، درخواست ipsec ipsec-rekey کمانڈ جاری کریں۔ پہلے سے طے شدہ طور پر، IPsec سرنگوں پر کامل فارورڈ سیکریسی (PFS) کو فعال کیا جاتا ہے، تاکہ یہ یقینی بنایا جا سکے کہ اگر مستقبل کی کلیدوں سے سمجھوتہ کیا جاتا ہے تو ماضی کے سیشنز متاثر نہیں ہوتے ہیں۔ PFS 4096-bit Diffie-Hellman پرائم ماڈیول گروپ کا استعمال کرتے ہوئے بطور ڈیفالٹ ایک نئے Diffie-Hellman کلیدی تبادلہ پر مجبور کرتا ہے۔ آپ PFS کی ترتیب کو تبدیل کر سکتے ہیں:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# کامل-فارورڈ-سیکریسی پی ایف ایس سیٹنگ

pfs-setting درج ذیل میں سے ایک ہو سکتی ہے۔

• گروپ 2—1024 بٹ ڈفی ہیل مین پرائم ماڈیولس گروپ استعمال کریں۔
• گروپ 14—2048 بٹ ڈفی ہیل مین پرائم ماڈیولس گروپ استعمال کریں۔
• گروپ 15—3072 بٹ ڈفی ہیل مین پرائم ماڈیولس گروپ استعمال کریں۔
• گروپ 16—4096 بٹ ڈفی ہیل مین پرائم ماڈیولس گروپ استعمال کریں۔ یہ طے شدہ ہے۔
• کوئی نہیں — PFS کو غیر فعال کریں۔

پہلے سے طے شدہ طور پر، IPsec سرنگ پر IPsec ری پلے ونڈو 512 بائٹس ہے۔ آپ ری پلے ونڈو کا سائز 64، 128، 256، 512، 1024، 2048، یا 4096 پیکٹس پر سیٹ کر سکتے ہیں:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# ری پلے ونڈو نمبر

IKE ڈیڈ پیئر ڈیٹیکشن میں ترمیم کریں۔

IKE یہ تعین کرنے کے لیے ڈیڈ پیئر کا پتہ لگانے کے طریقہ کار کا استعمال کرتا ہے کہ آیا کسی IKE پیر سے کنکشن فعال اور قابل رسائی ہے۔ اس طریقہ کار کو نافذ کرنے کے لیے، IKE اپنے ہم عمر کو ایک ہیلو پیکٹ بھیجتا ہے، اور ساتھی جواب میں ایک اعتراف بھیجتا ہے۔ پہلے سے طے شدہ طور پر، IKE ہر 10 سیکنڈ میں ہیلو پیکٹ بھیجتا ہے، اور تین غیر تسلیم شدہ پیکٹوں کے بعد، IKE پڑوسی کو مردہ قرار دیتا ہے اور ساتھی کو سرنگ پھاڑ دیتا ہے۔ اس کے بعد، IKE وقتاً فوقتاً ساتھی کو ایک ہیلو پیکٹ بھیجتا ہے، اور ساتھی کے آن لائن واپس آنے پر سرنگ کو دوبارہ قائم کرتا ہے۔ آپ لائیونس ڈٹیکشن وقفہ کو 0 سے 65535 کی قدر میں تبدیل کر سکتے ہیں، اور آپ دوبارہ کوششوں کی تعداد کو 0 سے 255 تک کی قدر میں تبدیل کر سکتے ہیں۔

نوٹ

نقل و حمل کے VPNs کے لیے، لائیونس کا پتہ لگانے کے وقفے کو درج ذیل فارمولے کا استعمال کرتے ہوئے سیکنڈ میں تبدیل کیا جاتا ہے: دوبارہ ٹرانسمیشن کی کوشش کے لیے وقفہ نمبر N = وقفہ * 1.8N-1 سابق کے لیےample، اگر وقفہ 10 پر سیٹ کیا جاتا ہے اور 5 پر دوبارہ کوشش کرتا ہے، تو پتہ لگانے کا وقفہ اس طرح بڑھتا ہے:

• کوشش 1: 10 * 1.81-1 = 10 سیکنڈ
• کوشش 2: 10 * 1.82-1 = 18 سیکنڈ
• کوشش 3: 10 * 1.83-1 = 32.4 سیکنڈ
• کوشش 4: 10 * 1.84-1 = 58.32 سیکنڈ
• کوشش 5: 10 * 1.85-1 = 104.976 سیکنڈ

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval retries number

انٹرفیس کی دیگر خصوصیات کو ترتیب دیں۔

IPsec ٹنل انٹرفیس کے لیے، آپ صرف درج ذیل اضافی انٹرفیس خصوصیات کو ترتیب دے سکتے ہیں:

• vEdge(config-interface-ipsec)# mtu بائٹس
• vEdge(config-interface-ipsec)# tcp-mss-adjust بائٹس

Cisco SD-WAN مینیجر پر کمزور SSH انکرپشن الگورتھم کو غیر فعال کریں۔

جدول 5: فیچر ہسٹری ٹیبل

فیچر نام	ریلیز کی معلومات	فیچر تفصیل
Cisco SD-WAN مینیجر پر کمزور SSH انکرپشن الگورتھم کو غیر فعال کریں۔	سسکو وی مینیج ریلیز 20.9.1	یہ خصوصیت آپ کو Cisco SD-WAN مینیجر پر کمزور SSH الگورتھم کو غیر فعال کرنے کی اجازت دیتی ہے جو کچھ ڈیٹا سیکیورٹی معیارات کی تعمیل نہیں کر سکتے ہیں۔

سسکو SD-WAN مینیجر پر کمزور SSH انکرپشن الگورتھم کو غیر فعال کرنے کے بارے میں معلومات
Cisco SD-WAN مینیجر ایک SSH کلائنٹ فراہم کرتا ہے تاکہ نیٹ ورک کے اجزاء بشمول کنٹرولرز اور ایج ڈیوائسز کے ساتھ مواصلت کے لیے۔ SSH کلائنٹ مختلف قسم کے خفیہ کاری الگورتھم کی بنیاد پر محفوظ ڈیٹا کی منتقلی کے لیے ایک انکرپٹڈ کنکشن فراہم کرتا ہے۔ بہت سی تنظیموں کو SHA-1، AES-128، اور AES-192 کے ذریعہ فراہم کردہ اس سے زیادہ مضبوط خفیہ کاری کی ضرورت ہوتی ہے۔ Cisco vManage Release 20.9.1 سے، آپ درج ذیل کمزور انکرپشن الگورتھم کو غیر فعال کر سکتے ہیں تاکہ SSH کلائنٹ ان الگورتھم کو استعمال نہ کرے۔

• SHA-1
• AES-128
• AES-192

ان انکرپشن الگورتھم کو غیر فعال کرنے سے پہلے، یقینی بنائیں کہ Cisco vEdge ڈیوائسز، اگر کوئی ہے، نیٹ ورک میں، Cisco SD-WAN ریلیز 18.4.6 کے بعد سافٹ ویئر ریلیز کا استعمال کر رہے ہیں۔

سسکو SD-WAN مینیجر پر کمزور SSH انکرپشن الگورتھم کو غیر فعال کرنے کے فوائد
کمزور SSH انکرپشن الگورتھم کو غیر فعال کرنا SSH کمیونیکیشن کی سیکورٹی کو بہتر بناتا ہے، اور اس بات کو یقینی بناتا ہے کہ Cisco Catalyst SD-WAN استعمال کرنے والی تنظیمیں سخت حفاظتی ضوابط کی تعمیل کرتی ہیں۔

CLI کا استعمال کرتے ہوئے Cisco SD-WAN مینیجر پر کمزور SSH انکرپشن الگورتھم کو غیر فعال کریں

1. Cisco SD-WAN مینیجر مینو سے، Tools > SSH ٹرمینل کا انتخاب کریں۔
2. Cisco SD-WAN مینیجر ڈیوائس کا انتخاب کریں جس پر آپ کمزور SSH الگورتھم کو غیر فعال کرنا چاہتے ہیں۔
3. ڈیوائس میں لاگ ان کرنے کے لیے صارف نام اور پاس ورڈ درج کریں۔
4. SSH سرور موڈ درج کریں۔
   • vmanage(config)# سسٹم
   • vmanage(config-system)# ssh-server
5. SSH انکرپشن الگورتھم کو غیر فعال کرنے کے لیے درج ذیل میں سے کوئی ایک کریں:
   • SHA-1 کو غیر فعال کریں:
6. منظم کریں(config-ssh-server)# کوئی کیکس-الگو sha1 نہیں۔
7. منظم کریں(config-ssh-server)# کمٹ
   مندرجہ ذیل انتباہی پیغام ظاہر ہوتا ہے: درج ذیل انتباہات تیار کیے گئے تھے: 'system ssh-server kex-algo sha1': انتباہ: براہ کرم یقینی بنائیں کہ آپ کے تمام کنارے کوڈ ورژن> 18.4.6 چلاتے ہیں جو vManage کے ساتھ SHA1 سے بہتر بات چیت کرتا ہے۔ بصورت دیگر وہ کنارے آف لائن ہو سکتے ہیں۔ آگے بڑھو؟ [ہاں، نہیں] ہاں
   • اس بات کو یقینی بنائیں کہ نیٹ ورک میں کوئی بھی Cisco vEdge ڈیوائسز Cisco SD-WAN ریلیز 18.4.6 یا بعد میں چل رہی ہیں اور ہاں درج کریں۔
   • AES-128 اور AES-192 کو غیر فعال کریں:
   • vmanage(config-ssh-server)# no cipher aes-128-192
   • vmanage(config-ssh-server)# کمٹ
     مندرجہ ذیل انتباہی پیغام ظاہر ہوتا ہے:
     مندرجہ ذیل انتباہات تیار کیے گئے تھے:
     'system ssh-server cipher aes-128-192': انتباہ: براہ کرم یقینی بنائیں کہ آپ کے تمام کنارے کوڈ ورژن > 18.4.6 چلاتے ہیں جو vManage کے ساتھ AES-128-192 سے بہتر بات چیت کرتا ہے۔ بصورت دیگر وہ کنارے آف لائن ہو سکتے ہیں۔ آگے بڑھو؟ [ہاں، نہیں] ہاں
   • اس بات کو یقینی بنائیں کہ نیٹ ورک میں کوئی بھی Cisco vEdge ڈیوائسز Cisco SD-WAN ریلیز 18.4.6 یا بعد میں چل رہی ہیں اور ہاں درج کریں۔

تصدیق کریں کہ کمزور SSH انکرپشن الگورتھم CLI کا استعمال کرتے ہوئے Cisco SD-WAN مینیجر پر غیر فعال ہیں۔

1. Cisco SD-WAN مینیجر مینو سے، Tools > SSH ٹرمینل کا انتخاب کریں۔
2. Cisco SD-WAN مینیجر ڈیوائس کو منتخب کریں جس کی آپ تصدیق کرنا چاہتے ہیں۔
3. ڈیوائس میں لاگ ان کرنے کے لیے صارف نام اور پاس ورڈ درج کریں۔
4. مندرجہ ذیل کمانڈ کو چلائیں: show run-config system ssh-server
5. تصدیق کریں کہ آؤٹ پٹ ایک یا زیادہ کمانڈز دکھاتا ہے جو کمزور انکرپشن الگورتھم کو غیر فعال کرتے ہیں:
   • کوئی سائفر aes-128-192 نہیں۔
   • کوئی kex-algo sha1 نہیں ہے۔

دستاویزات / وسائل

CISCO SD-WAN حفاظتی پیرامیٹرز کو ترتیب دیں۔ [پی ڈی ایف] یوزر گائیڈ SD-WAN سیکیورٹی پیرامیٹرز کو ترتیب دیں، SD-WAN، سیکیورٹی پیرامیٹرز کو ترتیب دیں، سیکیورٹی پیرامیٹرز

حوالہ جات

• صارف دستی