Tarkib yashirish
1 CISCO SD-WAN Xavfsizlik parametrlarini sozlash
2 Xavfsizlik parametrlarini sozlang
3 Boshqaruv tekisligi xavfsizlik parametrlarini sozlang
4 Cisco SD-WAN menejerida DTLSni sozlang
5 Ma'lumotlar tekisligi xavfsizligi parametrlarini sozlang
6 Ruxsat etilgan autentifikatsiya turlarini sozlang
7 Qayta kiritish taymerini o'zgartiring
8 Anti-replay oynasining hajmini o'zgartiring
9 IPsec statik marshrutini sozlang
10 IPsec tunnel parametrlarini sozlang
11 IKE Dead-Peer Detection funksiyasini o'zgartiring
12 Boshqa interfeys xususiyatlarini sozlang
13 Cisco SD-WAN menejerida zaif SSH shifrlash algoritmlarini o'chiring
14 Hujjatlar / manbalar
14.1 Ma'lumotnomalar

CISCO-LOGO

CISCO SD-WAN Xavfsizlik parametrlarini sozlash

CISCO-SD-WAN-Configure-Xavfsizlik-Parametrlari-MASULOT

Xavfsizlik parametrlarini sozlang

Eslatma

Soddalashtirish va izchillikka erishish uchun Cisco SD-WAN yechimi Cisco Catalyst SD-WAN sifatida rebrendlandi. Bundan tashqari, Cisco IOS XE SD-WAN Release 17.12.1a va Cisco Catalyst SD-WAN Release 20.12.1 dan quyidagi komponent o'zgarishlari qo'llaniladi: Cisco vManage - Cisco Catalyst SD-WAN Manager, Cisco vAnalytics - SD-WAN Analytics, Cisco vBond - Cisco Catalyst SD-WAN Validator va Cisco vSmart - Cisco Catalyst SD-WAN Controller. Komponent brend nomidagi barcha o'zgarishlarning to'liq ro'yxati uchun so'nggi relizlar eslatmalariga qarang. Biz yangi nomlarga o'tayotganimizda, dasturiy mahsulotning foydalanuvchi interfeysi yangilanishiga bosqichma-bosqich yondashuv tufayli hujjatlar to'plamida ba'zi nomuvofiqliklar bo'lishi mumkin.

Ushbu bo'lim Cisco Catalyst SD-WAN overlay tarmog'idagi boshqaruv tekisligi va ma'lumotlar tekisligi uchun xavfsizlik parametrlarini qanday o'zgartirishni tavsiflaydi.

  • Boshqaruv tekisligining xavfsizlik parametrlarini sozlash, yoqilgan
  • Ma'lumotlar tekisligi xavfsizligi parametrlarini sozlash, yoqilgan
  • IKE yoqilgan IPsec tunnellarini sozlang, yoqilgan
  • Cisco SD-WAN menejerida zaif SSH shifrlash algoritmlarini o'chiring, yoqilgan

Boshqaruv tekisligi xavfsizlik parametrlarini sozlang

Odatiy bo'lib, boshqaruv tekisligi barcha tunnellarida maxfiylikni ta'minlaydigan protokol sifatida DTLS dan foydalanadi. DTLS UDP orqali ishlaydi. Siz boshqaruv tekisligi xavfsizlik protokolini TCP orqali ishlaydigan TLS ga o'zgartirishingiz mumkin. TLS-dan foydalanishning asosiy sababi shundaki, agar siz Cisco SD-WAN Controller-ni server deb hisoblasangiz, xavfsizlik devorlari TCP serverlarini UDP serverlariga qaraganda yaxshiroq himoya qiladi. Siz Cisco SD-WAN Controller-da boshqaruv tekisligi tunnel protokolini sozlaysiz: vSmart(config)# xavfsizlikni boshqarish protokoli tls Ushbu o'zgarish bilan Cisco SD-WAN Controller va routerlar va Cisco SD-WAN Controller o'rtasidagi barcha boshqaruv tekisligi tunnellari. va Cisco SD-WAN menejeri TLS dan foydalanadi. Cisco Catalyst SD-WAN Validatorga boshqaruv samolyoti tunnellari har doim DTLS dan foydalanadi, chunki bu ulanishlar UDP tomonidan amalga oshirilishi kerak. Bir nechta Cisco SD-WAN kontrollerlari bo'lgan domenda, Cisco SD-WAN kontrollerlaridan birida TLS sozlaganingizda, ushbu kontrollerdan boshqa kontrollerlargacha bo'lgan barcha boshqaruv tekislik tunnellari TLS dan foydalanadi. Boshqacha aytganda, TLS har doim DTLSdan ustun turadi. Biroq, boshqa Cisco SD-WAN Controllerlari nuqtai nazaridan, agar siz ularda TLS sozlamagan bo'lsangiz, ular boshqaruv tekisligi tunnelida faqat bitta Cisco SD-WAN Controller uchun TLS-dan foydalanadilar va boshqa barcha qurilmalar uchun DTLS tunnellaridan foydalanadilar. Cisco SD-WAN Controllers va ularning barcha ulangan routerlariga. Barcha Cisco SD-WAN kontrollerlari TLS dan foydalanishi uchun ularni barchasida sozlang. Odatiy bo'lib, Cisco SD-WAN Controller TLS so'rovlari uchun 23456 portni tinglaydi. Buni o'zgartirish uchun: vSmart(config)# xavfsizlik boshqaruvi tls-port raqami Port 1025 dan 65535 gacha bo'lgan raqam bo'lishi mumkin. Boshqaruv tekisligi xavfsizligi ma'lumotlarini ko'rsatish uchun Cisco SD-WAN Controller'dagi boshqaruv ulanishlarini ko'rsatish buyrug'idan foydalaning. Misol uchunample: vSmart-2# boshqaruv ulanishlarini ko'rsatadi

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Cisco SD-WAN menejerida DTLSni sozlang

Agar siz Cisco SD-WAN menejerini TLS ni boshqaruv tekisligi xavfsizlik protokoli sifatida ishlatish uchun sozlasangiz, NAT-da portni yo'naltirishni yoqishingiz kerak. Agar siz DTLS dan boshqaruv tekisligi xavfsizlik protokoli sifatida foydalansangiz, hech narsa qilishingiz shart emas. Yo'naltirilgan portlar soni Cisco SD-WAN menejerida ishlaydigan vdaemon jarayonlari soniga bog'liq. Ushbu jarayonlar va yoʻnaltirilayotgan portlar soni haqida maʼlumotni koʻrsatish uchun toʻrtta demon jarayoni ishlayotganligini koʻrsatadigan boshqaruv xulosasini koʻrsatish buyrugʻidan foydalaning:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Tinglash portlarini ko'rish uchun mahalliy xususiyatlarni boshqarish buyrug'idan foydalaning: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Ushbu chiqish tinglovchi TCP porti 23456 ekanligini ko'rsatadi. Agar siz NAT ortida Cisco SD-WAN Manager ishlayotgan bo'lsangiz, NAT qurilmasida quyidagi portlarni ochishingiz kerak:

  • 23456 (asosiy - 0 porti)
  • 23456 + 100 (asosiy + 100)
  • 23456 + 200 (asosiy + 200)
  • 23456 + 300 (asosiy + 300)

Esda tutingki, misollar soni Cisco SD-WAN menejeri uchun siz tayinlagan yadrolar soni bilan bir xil, maksimal 8 tagacha.

Xavfsizlik funksiyasi shablonidan foydalanib, xavfsizlik parametrlarini sozlang

Barcha Cisco vEdge qurilmalari uchun Xavfsizlik xususiyati shablonidan foydalaning. Keng marshrutizatorlarda va Cisco SD-WAN Validator-da ma'lumotlar tekisligi xavfsizligi uchun IPsec-ni sozlash uchun ushbu shablondan foydalaning. Cisco SD-WAN Manager va Cisco SD-WAN Controller da boshqaruv tekisligi xavfsizligi uchun DTLS yoki TLS ni sozlash uchun Xavfsizlik xususiyati shablonidan foydalaning.

Xavfsizlik parametrlarini sozlang

  1. Cisco SD-WAN menejeri menyusidan Konfiguratsiya > Shablonlar-ni tanlang.
  2. Xususiyat shablonlarini bosing va keyin Andoza qo'shish-ni bosing.
    Eslatma Cisco vManage Release 20.7.1 va undan oldingi versiyalarida Xususiyatlar shablonlari Feature deb ataladi.
  3. Chap paneldagi Qurilmalar ro'yxatidan qurilmani tanlang. Tanlangan qurilmaga tegishli andozalar o'ng panelda paydo bo'ladi.
  4. Shablonni ochish uchun Xavfsizlik tugmasini bosing.
  5. Shablon nomi maydoniga shablon nomini kiriting. Ism 128 belgigacha bo'lishi mumkin va faqat harf-raqamli belgilarni o'z ichiga olishi mumkin.
  6. Shablon tavsifi maydoniga shablon tavsifini kiriting. Tavsif 2048 belgigacha bo'lishi mumkin va faqat harf-raqamli belgilarni o'z ichiga olishi mumkin.

Xususiyat shablonini birinchi marta ochganingizda, standart qiymatga ega bo'lgan har bir parametr uchun qamrov Standartga o'rnatiladi (tasdiq belgisi bilan ko'rsatilgan) va standart sozlama yoki qiymat ko'rsatiladi. Standartni o'zgartirish yoki qiymat kiritish uchun parametr maydonining chap tomonidagi ochiladigan menyuni bosing va quyidagilardan birini tanlang:

1-jadval:

Parametr Qo'llash doirasi Qo'llash doirasi tavsifi
Maxsus qurilma (xost belgisi bilan ko'rsatilgan) Parametr uchun qurilmaga xos qiymatdan foydalaning. Qurilmaga xos parametrlar uchun xususiyat shabloniga qiymat kirita olmaysiz. Viptela qurilmasini qurilma shabloniga ulaganingizda qiymatni kiritasiz.

Device Specific-ni bosganingizda, Enter Key oynasi ochiladi. Ushbu oynada kalit ko'rsatiladi, bu CSV-dagi parametrni aniqlaydigan noyob qatordir file yaratganingiz. Bu file har bir kalit uchun bitta ustunni o'z ichiga olgan Excel elektron jadvalidir. Sarlavha qatori kalit nomlarini o'z ichiga oladi (har bir ustun uchun bitta kalit) va undan keyingi har bir satr qurilmaga mos keladi va ushbu qurilma uchun kalitlarning qiymatlarini belgilaydi. Siz CSV ni yuklaysiz file Viptela qurilmasini qurilma shabloniga ulaganingizda. Qo'shimcha ma'lumot olish uchun Shablon o'zgaruvchilari elektron jadvalini yaratish bo'limiga qarang.

Standart kalitni o'zgartirish uchun yangi qatorni kiriting va kursorni Enter Key maydonidan olib tashlang.

ExampQurilmaga xos parametrlar tizim IP manzili, xost nomi, GPS joylashuvi va sayt identifikatoridir.
Parametr Qo'llash doirasi Qo'llash doirasi tavsifi
Global (globus belgisi bilan ko'rsatilgan) Parametr uchun qiymat kiriting va bu qiymatni barcha qurilmalarga qo'llang.

ExampBir guruh qurilmalarga global miqyosda qo'llashingiz mumkin bo'lgan parametrlar DNS serveri, syslog serveri va interfeys MTUlaridir.

Boshqaruv tekisligi xavfsizligini sozlang

Eslatma
Boshqaruv tekisligi xavfsizligini sozlash bo‘limi faqat Cisco SD-WAN Manager va Cisco SD-WAN Controller uchun amal qiladi. Cisco SD-WAN Manager misolida yoki Cisco SD-WAN Controllerda boshqaruv tekisligi ulanish protokolini sozlash uchun Asosiy konfiguratsiya maydonini tanlang. va quyidagi parametrlarni sozlang:

2-jadval:

Parametr Ism Tavsif
Protokol Cisco SD-WAN Controllerga boshqaruv tekisligi ulanishlarida foydalanish uchun protokolni tanlang:

• DTLS (Datagram Transport Layer Security). Bu standart.

• TLS (Transport qatlami xavfsizligi)
TLS portini boshqarish Agar siz TLS ni tanlagan bo'lsangiz, foydalanish uchun port raqamini sozlang:Diapazon: 1025 dan 65535 gachaStandart: 23456

Saqlash tugmasini bosing

Ma'lumotlar tekisligi xavfsizligini sozlang
Cisco SD-WAN Validator yoki Cisco vEdge routerida ma'lumotlar tekisligi xavfsizligini sozlash uchun Asosiy konfiguratsiya va autentifikatsiya turi yorliqlarini tanlang va quyidagi parametrlarni sozlang:

3-jadval:

Parametr Ism Tavsif
Qayta belgilash vaqti Cisco vEdge routeri Cisco SD-WAN Controller bilan xavfsiz DTLS ulanishida ishlatiladigan AES kalitini qanchalik tez-tez o'zgartirishini belgilang. Agar OMP oqlangan qayta ishga tushirish yoqilgan bo'lsa, qayta kiritish vaqti OMP oqlangan qayta ishga tushirish taymerining qiymatidan kamida ikki barobar bo'lishi kerak.Diapazon: 10 dan 1209600 soniyagacha (14 kun)Standart: 86400 soniya (24 soat)
Takrorlash oynasi Sürgülü takrorlash oynasining o'lchamini belgilang.

Qadriyatlar: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketlarStandart: 512 paket
IPsec

juft kalitlash

 Bu sukut bo'yicha o'chirilgan. bosing On uni yoqish uchun.
Parametr Ism Tavsif
Autentifikatsiya turi dan autentifikatsiya turlarini tanlang Autentifikatsiya Roʻyxatga o'ting va autentifikatsiya turlarini ko'chirish uchun o'ngga ishora qiluvchi o'qni bosing Tanlangan roʻyxat ustun.

Cisco SD-WAN 20.6.1 versiyasida qo'llab-quvvatlanadigan autentifikatsiya turlari:

•  esp: Encapsulating Security Payload (ESP) shifrlash va ESP sarlavhasida yaxlitlikni tekshirishni yoqadi.

•  ip-udp-esp: ESP shifrlashni yoqadi. ESP sarlavhasi va foydali yukining yaxlitligini tekshirishdan tashqari, tekshiruvlar tashqi IP va UDP sarlavhalarini ham o'z ichiga oladi.

•  ip-udp-esp-no-id: Cisco Catalyst SD-WAN Cisco bo'lmagan qurilmalar bilan birgalikda ishlashi uchun IP sarlavhasidagi ID maydoniga e'tibor bermaydi.

•  yo'q: IPSec paketlarida yaxlitlikni tekshirishni o'chiradi. Ushbu parametrdan foydalanishni tavsiya etmaymiz.

 

Cisco SD-WAN 20.5.1 va undan oldingi versiyalarida qo'llab-quvvatlanadigan autentifikatsiya turlari:

•  ah-no-id: Paketning tashqi IP sarlavhasidagi ID maydonini e'tiborsiz qoldiradigan AH-SHA1 HMAC va ESP HMAC-SHA1 ning kengaytirilgan versiyasini yoqing.

•  ah-sha1-hmac: AH-SHA1 HMAC va ESP HMAC-SHA1 ni yoqing.

•  yo'q: Autentifikatsiya yo'q ni tanlang.

•  sha1-hmac: ESP HMAC-SHA1 ni yoqing.

 

Eslatma              Cisco SD-WAN Release 20.5.1 yoki undan oldingi versiyalarida ishlaydigan chekka qurilma uchun siz autentifikatsiya turlarini sozlagan bo'lishingiz mumkin. Xavfsizlik shablon. Qurilmani Cisco SD-WAN Release 20.6.1 yoki undan keyingi versiyasiga yangilaganingizda, tanlangan autentifikatsiya turlarini yangilang. Xavfsizlik Cisco SD-WAN Release 20.6.1 da qo'llab-quvvatlanadigan autentifikatsiya turlari uchun shablon. Autentifikatsiya turlarini yangilash uchun quyidagilarni bajaring:

1.      Cisco SD-WAN menejeri menyusidan tanlang Konfiguratsiya >

Shablonlar.

2.      bosing Xususiyat shablonlari.

3.      toping Xavfsizlik yangilash uchun shablonni tanlang va bosing ... va bosing Tahrirlash.

4.      bosing Yangilash. Hech qanday konfiguratsiyani o'zgartirmang.

Cisco SD-WAN menejeri yangilaydi Xavfsizlik qo'llab-quvvatlanadigan autentifikatsiya turlarini ko'rsatish uchun shablon.

Saqlash tugmasini bosing.

Ma'lumotlar tekisligi xavfsizligi parametrlarini sozlang

Ma'lumotlar tekisligida IPsec barcha marshrutizatorlarda sukut bo'yicha yoqilgan va sukut bo'yicha IPsec tunnel ulanishlari IPsec tunnellarida autentifikatsiya qilish uchun Encapsulating Security Payload (ESP) protokolining kengaytirilgan versiyasidan foydalanadi. Routerlarda siz autentifikatsiya turini, IPsec qayta kalitlash taymerini va IPsec anti-replay oynasining o'lchamini o'zgartirishingiz mumkin.

Ruxsat etilgan autentifikatsiya turlarini sozlang

Cisco SD-WAN 20.6.1 va undan keyingi versiyalarida autentifikatsiya turlari
Cisco SD-WAN Release 20.6.1 dan quyidagi yaxlitlik turlari qo'llab-quvvatlanadi:

  • esp: Ushbu parametr ESP sarlavhasida Encapsulating Security Payload (ESP) shifrlash va yaxlitlikni tekshirish imkonini beradi.
  • ip-udp-esp: Bu parametr ESP shifrlashni yoqadi. ESP sarlavhasi va foydali yukning yaxlitligini tekshirishdan tashqari, tekshiruvlar tashqi IP va UDP sarlavhalarini ham o'z ichiga oladi.
  • ip-udp-esp-no-id: Ushbu parametr ip-udp-esp ga o'xshaydi, ammo tashqi IP sarlavhasining ID maydoni e'tiborga olinmaydi. Cisco Catalyst SD-WAN Cisco bo'lmagan qurilmalar bilan birgalikda ishlashi uchun Cisco Catalyst SD-WAN dasturi IP sarlavhasidagi ID maydonini e'tiborsiz qoldirishi uchun butunlik turlari ro'yxatida ushbu parametrni sozlang.
  • yo'q: Bu parametr IPSec paketlarida yaxlitlikni tekshirishni o'chiradi. Ushbu parametrdan foydalanishni tavsiya etmaymiz.

Odatiy bo'lib, IPsec tunnel ulanishlari autentifikatsiya qilish uchun Encapsulating Security Payload (ESP) protokolining kengaytirilgan versiyasidan foydalanadi. Kelishilgan interity turlarini o'zgartirish yoki yaxlitlik tekshiruvini o'chirish uchun quyidagi buyruqdan foydalaning: yaxlitlik turi { yo'q | ip-udp-esp | ip-udp-esp-no-id | esp}

Cisco SD-WAN versiyasidan oldin autentifikatsiya turlari 20.6.1
Odatiy bo'lib, IPsec tunnel ulanishlari autentifikatsiya qilish uchun Encapsulating Security Payload (ESP) protokolining kengaytirilgan versiyasidan foydalanadi. Kelishilgan autentifikatsiya turlarini o'zgartirish yoki autentifikatsiyani o'chirish uchun quyidagi buyruqdan foydalaning: Device(config)# security ipsec autentifikatsiya turi (ah-sha1-hmac | ah-no-id | sha1-hmac | | yo'q) Odatiy bo'lib, IPsec tunnel ulanishlari shifrlash va autentifikatsiyani ta'minlaydigan AES-GCM-256 dan foydalanadi. Har bir autentifikatsiya turini alohida xavfsizlik ipsec autentifikatsiya turi buyrug'i bilan sozlang. Buyruq opsiyalari eng kuchlidan eng kuchligacha bo'lgan tartibda ro'yxatga olingan quyidagi autentifikatsiya turlariga mos keladi:

Eslatma
Konfiguratsiya parametrlaridagi sha1 tarixiy sabablarga ko'ra ishlatiladi. Autentifikatsiya opsiyalari paketning yaxlitligini tekshirish qancha amalga oshirilganligini ko'rsatadi. Ular yaxlitlikni tekshiradigan algoritmni aniqlamaydilar. Multicast trafikni shifrlashdan tashqari, Cisco Catalyst SD WAN tomonidan qo'llab-quvvatlanadigan autentifikatsiya algoritmlari SHA1 dan foydalanmaydi. Biroq Cisco SD-WAN Release 20.1.x va undan keyingi versiyalarida ham unicast, ham multicast SHA1 dan foydalanmaydi.

  • ah-sha1-hmac ESP yordamida shifrlash va inkapsulyatsiyani ta'minlaydi. Biroq, ESP sarlavhasi va foydali yukidagi yaxlitlik tekshiruvlaridan tashqari, tekshiruvlar tashqi IP va UDP sarlavhalarini ham o'z ichiga oladi. Shunday qilib, ushbu parametr Autentifikatsiya sarlavhasi (AH) protokoliga o'xshash paketning yaxlitligini tekshirishni qo'llab-quvvatlaydi. Barcha yaxlitlik va shifrlash AES-256-GCM yordamida amalga oshiriladi.
  • ah-no-id ah-sha1-hmac rejimiga o'xshash rejimni yoqadi, ammo tashqi IP sarlavhasining ID maydoni e'tiborga olinmaydi. Ushbu parametr IP sarlavhasidagi ID maydonini o'zgartirishga olib keladigan xatoga ega bo'lgan Apple AirPort Express NAT kabi ba'zi Cisco Catalyst SD-WAN qurilmalarini o'z ichiga oladi, o'zgarmas maydon. Cisco Catalyst SD-WAN AH dasturi IP sarlavhasidagi identifikator maydoniga e'tibor bermasligi uchun autentifikatsiya turlari ro'yxatidagi ah-no-id opsiyasini sozlang, shunda Cisco Catalyst SD-WAN dasturi ushbu qurilmalar bilan birgalikda ishlashi mumkin.
  • sha1-hmac ESP shifrlash va butunlikni tekshirish imkonini beradi.
  • hech kim autentifikatsiyaga ega emas. Ushbu parametr faqat vaqtinchalik disk raskadrovka uchun zarur bo'lsa ishlatilishi kerak. Ma'lumotlar tekisligi autentifikatsiyasi va yaxlitligi tashvishlantirmaydigan holatlarda ham ushbu parametrni tanlashingiz mumkin. Cisco ushbu parametrni ishlab chiqarish tarmoqlari uchun ishlatishni tavsiya etmaydi.

Ushbu autentifikatsiya turlari qaysi ma'lumotlar paketi maydonlariga ta'sir qilishi haqida ma'lumot olish uchun Ma'lumotlar tekisligi yaxlitligiga qarang. Cisco IOS XE Catalyst SD-WAN qurilmalari va Cisco vEdge qurilmalari o'zlarining TLOC xususiyatlarida sozlangan autentifikatsiya turlarini reklama qiladi. IPsec tunnel ulanishining har ikki tomonidagi ikkita marshrutizator ikkala routerda sozlangan eng kuchli autentifikatsiya turidan foydalanib, ular orasidagi ulanishda foydalanish uchun autentifikatsiyani muhokama qiladi. Misol uchunampAgar bitta marshrutizator ah-sha1-hmac va ah-no-id turlarini reklama qilsa va ikkinchi router ah-no-id turini reklama qilsa, ikkita marshrutizator IPsec tunnel ulanishida ah-no-id dan foydalanish bo'yicha muzokaralar olib boradi. ular. Agar ikkita tengdoshda umumiy autentifikatsiya turlari sozlanmagan bo'lsa, ular o'rtasida IPsec tunnel o'rnatilmaydi. IPsec tunnel ulanishlarida shifrlash algoritmi trafik turiga bog'liq:

  • Unicast trafik uchun shifrlash algoritmi AES-256-GCM hisoblanadi.
  • Multicast trafik uchun:
  • Cisco SD-WAN Release 20.1.x va undan keyingi versiyalari – shifrlash algoritmi AES-256-GCM
  • Oldingi nashrlar – shifrlash algoritmi SHA256-HMAC bilan AES-1-CBC.

IPsec autentifikatsiya turi o'zgartirilsa, ma'lumotlar yo'li uchun AES kaliti o'zgartiriladi.

Qayta kiritish taymerini o'zgartiring

Cisco IOS XE Catalyst SD-WAN qurilmalari va Cisco vEdge qurilmalari ma'lumotlar trafigini almashishidan oldin ular o'rtasida xavfsiz autentifikatsiya qilingan aloqa kanalini o'rnatadilar. Routerlar kanal sifatida ular orasidagi IPSec tunnellaridan va shifrlashni amalga oshirish uchun AES-256 shifridan foydalanadilar. Har bir marshrutizator vaqti-vaqti bilan ma'lumotlar yo'li uchun yangi AES kalitini ishlab chiqaradi. Odatiy bo'lib, kalit 86400 soniya (24 soat) uchun amal qiladi va taymer diapazoni 10 soniyadan 1209600 soniyagacha (14 kun). Qayta kalit taymer qiymatini o'zgartirish uchun: Device(config)# security ipsec rekey seconds Konfiguratsiya quyidagicha ko'rinadi:

  • xavfsizlik ipsec qayta kalit soniya!

Agar siz darhol yangi IPsec kalitlarini yaratmoqchi bo'lsangiz, buni yo'riqnoma konfiguratsiyasini o'zgartirmasdan qilishingiz mumkin. Buni amalga oshirish uchun buzilgan routerda so'rov xavfsizligi ipsecrekey buyrug'ini bering. Misol uchunample, quyidagi chiqish mahalliy SA ning 256 ga teng Xavfsizlik Parametrlari indeksiga (SPI) ega ekanligini ko'rsatadi:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Har bir SPI bilan noyob kalit bog'langan. Agar bu kalit buzilgan bo'lsa, darhol yangi kalit yaratish uchun so'rov xavfsizligi ipsec-rekey buyrug'idan foydalaning. Bu buyruq SPI ni oshiradi. Bizning sobiqimizdaample, SPI 257 ga o'zgaradi va u bilan bog'liq kalit endi ishlatiladi:

  • Device# so'rovi xavfsizlik ipsecrekey
  • Qurilma # ipsec local-sa-ni ko'rsatadi

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Yangi kalit yaratilgandan so'ng, yo'riqnoma uni darhol DTLS yoki TLS yordamida Cisco SD-WAN Controllersga yuboradi. Cisco SD-WAN Controllers kalitni tengdosh routerlarga yuboradi. Routerlar uni olishlari bilanoq undan foydalanishni boshlaydilar. Esda tutingki, eski SPI (256) bilan bog'langan kalit qisqa muddat tugaguncha foydalanishda davom etadi. Eski kalitdan foydalanishni darhol to'xtatish uchun so'rov xavfsizligi ipsec-rekey buyrug'ini ketma-ket ikki marta bering. Ushbu buyruqlar ketma-ketligi SPI 256 va 257 ni ham o'chiradi va SPI ni 258 ga o'rnatadi. Keyin marshrutizator SPI 258 bilan bog'langan kalitdan foydalanadi. Ammo shuni yodda tutingki, barcha masofaviy marshrutizatorlar o'rganmaguncha, ba'zi paketlar qisqa vaqt ichida o'chirib tashlanadi. yangi kalit.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Anti-replay oynasining hajmini o'zgartiring

IPsec autentifikatsiyasi ma'lumotlar oqimidagi har bir paketga noyob tartib raqamini belgilash orqali takror o'ynashdan himoya qilishni ta'minlaydi. Ushbu ketma-ketlik raqamlash ma'lumotlar paketlarini takrorlaydigan tajovuzkordan himoya qiladi. Qayta o'ynashga qarshi himoya bilan jo'natuvchi monoton ravishda ortib boradigan tartib raqamlarini tayinlaydi va maqsad dublikatlarni aniqlash uchun ushbu tartib raqamlarini tekshiradi. Paketlar ko'pincha tartibda kelmaganligi sababli, manzil o'zi qabul qiladigan ketma-ket raqamlarning sirpanish oynasini saqlaydi.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Sürgülü oyna diapazonining chap tomoniga tushadigan ketma-ketlik raqamlari bo'lgan paketlar eski yoki dublikat hisoblanadi va maqsad ularni tashlab yuboradi. Belgilangan joy olgan eng yuqori tartib raqamini kuzatib boradi va undan yuqori qiymatga ega bo'lgan paketni qabul qilganda toymasin oynani sozlaydi.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Odatiy bo'lib, surma oynasi 512 paketga o'rnatiladi. U 64 dan 4096 gacha bo'lgan har qanday qiymatga o'rnatilishi mumkin, bu 2 ning kuchi (ya'ni, 64, 128, 256, 512, 1024, 2048 yoki 4096). Qayta o'ynashga qarshi oyna o'lchamini o'zgartirish uchun oyna o'lchamini belgilab, replay-window buyrug'idan foydalaning:

Device(config)# xavfsizlik ipsec takrorlash oynasi raqami

Konfiguratsiya quyidagicha ko'rinadi:
xavfsizlik ipsec takrorlash oynasi raqami! !

QoS bilan yordam berish uchun dastlabki sakkizta trafik kanalining har biri uchun alohida takrorlash oynalari saqlanadi. Sozlangan takrorlash oynasi o'lchami har bir kanal uchun sakkizga bo'linadi. Routerda QoS sozlangan bo'lsa, IPsec anti-takrorlash mexanizmi natijasida ushbu router kutilganidan ko'proq paket tushishiga duch kelishi mumkin va o'chirilgan paketlarning ko'pi qonuniydir. Buning sababi QoS paketlarni qayta tartiblashi, yuqori ustuvor paketlarga imtiyozlar berish va pastroq ustuvor paketlarni kechiktirishidir. Ushbu vaziyatni minimallashtirish yoki oldini olish uchun siz quyidagilarni qilishingiz mumkin:

  • Takrorlashga qarshi oynaning hajmini oshiring.
  • Kanal ichidagi trafik qayta tartibga solinmasligiga ishonch hosil qilish uchun dastlabki sakkizta trafik kanaliga traffikni o'rnating.

IKE yoqilgan IPsec tunnellarini sozlang
Trafikni ustki tarmoqdan xizmat ko'rsatish tarmog'iga xavfsiz o'tkazish uchun siz Internet Key Exchange (IKE) protokoli bilan ishlaydigan IPsec tunnellarini sozlashingiz mumkin. IKE-ni yoqadigan IPsec tunnellari paketlarni xavfsiz tashishni ta'minlash uchun autentifikatsiya va shifrlashni ta'minlaydi. Siz IPsec interfeysini sozlash orqali IKE yoqilgan IPsec tunnelini yaratasiz. IPsec interfeyslari mantiqiy interfeyslar bo'lib, siz ularni boshqa jismoniy interfeys kabi sozlaysiz. Siz IPsec interfeysida IKE protokoli parametrlarini sozlashingiz va boshqa interfeys xususiyatlarini sozlashingiz mumkin.

Eslatma Cisco IKE 2-versiyasidan foydalanishni tavsiya qiladi. Cisco SD-WAN 19.2.x versiyasidan boshlab, oldindan ulashilgan kalit uzunligi kamida 16 bayt bo'lishi kerak. Router 16 versiyasiga yangilanganda kalit hajmi 19.2 belgidan kam bo'lsa, IPsec tunnelini o'rnatish muvaffaqiyatsiz tugadi.

Eslatma
Cisco Catalyst SD-WAN dasturi RFC 2 da belgilanganidek IKE 7296-versiyasini qo‘llab-quvvatlaydi. IPsec tunnellaridan foydalanish Amazon AWS da ishlaydigan vEdge Cloud router VM nusxalariga Amazon virtual xususiy bulutiga (VPC) ulanishga ruxsat berishdir. Ushbu marshrutizatorlarda IKE 1-versiyasini sozlashingiz kerak. Cisco vEdge qurilmalari faqat IPSec konfiguratsiyasida marshrutga asoslangan VPN-larni qo'llab-quvvatlaydi, chunki bu qurilmalar shifrlash domenida trafik selektorlarini aniqlay olmaydi.

IPsec tunnelini sozlang
Xizmat tarmog'idan xavfsiz transport trafigiga IPsec tunnel interfeysini sozlash uchun siz mantiqiy IPsec interfeysini yaratasiz:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Siz IPsec tunnelini transport VPN (VPN 0) va istalgan VPN xizmatida yaratishingiz mumkin (VPN 1 dan 65530 gacha, 512 dan tashqari). IPsec interfeysi ipsecnumber formatida nomga ega, bu erda raqam 1 dan 255 gacha bo'lishi mumkin. Har bir IPsec interfeysi IPv4 manziliga ega bo'lishi kerak. Bu manzil /30 prefiksi bo'lishi kerak. Ushbu IPv4 prefiksi ichidagi VPN-dagi barcha trafik IPsec tunnel orqali xavfsiz yuborilishi uchun VPN 0-dagi jismoniy interfeysga yo'naltiriladi. Mahalliy qurilmada IPsec tunnelining manbasini sozlash uchun siz IP-manzilni belgilashingiz mumkin. jismoniy interfeys (tunnel-manba buyrug'ida) yoki jismoniy interfeys nomi (tunnel-source-interfeys buyrug'ida). Jismoniy interfeys VPN 0 da sozlanganligiga ishonch hosil qiling. IPsec tunnelining manzilini sozlash uchun tunnel-destination buyrug'ida masofaviy qurilmaning IP manzilini belgilang. Manba manzili (yoki manba interfeysi nomi) va maqsad manzilining kombinatsiyasi bitta IPsec tunnelini belgilaydi. Muayyan manba manzili (yoki interfeys nomi) va maqsad manzil juftligidan foydalanadigan faqat bitta IPsec tunnel mavjud bo'lishi mumkin.

IPsec statik marshrutini sozlang

Trafikni VPN xizmatidan IPsec tunneliga transport VPN (VPN 0) ga yo‘naltirish uchun siz VPN xizmatida IPsec-ga xos statik marshrutni sozlaysiz (VPN 0 yoki VPN 512 dan boshqa VPN):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-marshrut prefiksi/uzunligi vpn 0 interfeysi
  • ipsecnumber [ipsecnumber2]

VPN identifikatori har qanday VPN xizmatiga tegishli (VPN 1 dan 65530 gacha, 512 dan tashqari). prefiks/uzunlik - o'nlik to'rt qismli nuqtali yozuvdagi IP manzili yoki prefiksi va IPsec-ga xos statik marshrutning prefiks uzunligi. Interfeys VPN 0 da IPsec tunnel interfeysidir. Siz bir yoki ikkita IPsec tunnel interfeysini sozlashingiz mumkin. Agar ikkitasini sozlasangiz, birinchisi asosiy IPsec tunnel, ikkinchisi esa zaxira. Ikki interfeys bilan barcha paketlar faqat asosiy tunnelga yuboriladi. Agar bu tunnel muvaffaqiyatsiz bo'lsa, barcha paketlar ikkinchi darajali tunnelga yuboriladi. Agar asosiy tunnel qayta tiklansa, barcha trafik asosiy IPsec tunneliga qaytariladi.

IKE 1-versiyasini yoqing
vEdge routerda IPsec tunnelini yaratganingizda, tunnel interfeysida sukut bo'yicha IKE 1-versiyasi yoqilgan bo'ladi. Quyidagi xususiyatlar ham IKEv1 uchun sukut bo'yicha yoqilgan:

  • Haqiqiylikni tekshirish va shifrlash — yaxlitlik uchun HMAC-SHA256 kalitli xeshli xabar autentifikatsiya kod algoritmi bilan AES-1 rivojlangan shifrlash standarti CBC shifrlash
  • Diffie-Hellman guruhi raqami - 16
  • Qayta kiritish vaqt oralig'i - 4 soat
  • SA o'rnatish rejimi - Asosiy

Odatiy bo'lib, IKEv1 IKE SA ni o'rnatish uchun IKE asosiy rejimidan foydalanadi. Ushbu rejimda SA ni o'rnatish uchun oltita muzokaralar paketi almashtiriladi. Faqat uchta muzokara paketini almashtirish uchun agressiv rejimni yoqing:

Eslatma
Mumkin bo'lgan joyda oldindan ulashilgan kalitlarga ega IKE agressiv rejimidan qochish kerak. Aks holda kuchli oldindan ulashilgan kalit tanlanishi kerak.

  • vEdge(config)# vpn vpn-id interfeysi ipsec raqami
  • vEdge(config-ike)# rejimi agressiv

Odatiy bo'lib, IKEv1 IKE kalit almashinuvida Diffie-Hellman guruhi 16 dan foydalanadi. Ushbu guruh IKE kalit almashinuvi paytida 4096-bit ko'proq modulli eksponensial (MODP) guruhidan foydalanadi. Guruh raqamini 2 (1024-bit MODP uchun), 14 (2048-bit MODP) yoki 15 (3072-bit MODP) ga oʻzgartirishingiz mumkin:

  • vEdge(config)# vpn vpn-id interfeysi ipsec raqami
  • vEdge(config-ike)# guruh raqami

Odatiy bo'lib, IKE kalit almashinuvi yaxlitlik uchun HMAC-SHA256 kalitli xesh xabari autentifikatsiya kod algoritmi bilan AES-1 ilg'or shifrlash standarti CBC shifrlashdan foydalanadi. Siz autentifikatsiyani o'zgartirishingiz mumkin:

  • vEdge(config)# vpn vpn-id interfeysi ipsec raqami
  • vEdge(config-ike)# shifrlash to'plami

Autentifikatsiya to'plami quyidagilardan biri bo'lishi mumkin:

  • aes128-cbc-sha1 — yaxlitlik uchun HMAC-SHA128 kalitli xesh xabari autentifikatsiya kod algoritmi bilan AES-1 rivojlangan shifrlash standarti CBC shifrlash
  • aes128-cbc-sha2 — yaxlitlik uchun HMAC-SHA128 kalitli xesh xabari autentifikatsiya kod algoritmi bilan AES-256 rivojlangan shifrlash standarti CBC shifrlash
  • aes256-cbc-sha1 — yaxlitlik uchun HMAC-SHA256 kalitli xesh xabari autentifikatsiya kod algoritmi bilan AES-1 rivojlangan shifrlash standarti CBC shifrlash; bu sukut bo'yicha.
  • aes256-cbc-sha2 — yaxlitlik uchun HMAC-SHA256 kalitli xesh xabari autentifikatsiya kod algoritmi bilan AES-256 rivojlangan shifrlash standarti CBC shifrlash

Odatiy bo'lib, IKE kalitlari har 1 soatda (3600 soniya) yangilanadi. Qayta kiritish oralig'ini 30 soniyadan 14 kungacha (1209600 soniya) qiymatga o'zgartirishingiz mumkin. Qayta kiritish oralig'i kamida 1 soat bo'lishi tavsiya etiladi.

  • vEdge(config)# vpn vpn-id interfeysi ipsec raqami kabi
  • vEdge(config-ike) # qayta kalit soniya

IKE sessiyasi uchun yangi kalitlarni yaratishga majburlash uchun so'rov ipsec ike-rekey buyrug'ini bering.

  • vEdge(config)# vpn vpn-id interfeysiipsec raqami

IKE uchun oldindan ulashilgan kalit (PSK) autentifikatsiyasini ham sozlashingiz mumkin:

  • vEdge(config)# vpn vpn-id interfeysi ipsec raqami
  • vEdge(config-ike)# autentifikatsiya turidagi oldindan umumiy kalitli oldindan umumiy maxfiy parol paroli oldindan ulashilgan kalit bilan foydalanish uchun paroldir. Bu ASCII yoki 1 dan 127 gacha uzunlikdagi o'n oltilik qator bo'lishi mumkin.

Agar masofaviy IKE peer mahalliy yoki masofaviy identifikatorni talab qilsa, siz ushbu identifikatorni sozlashingiz mumkin:

  • vEdge(config)# vpn vpn-id interfeysi ipsec raqami ike autentifikatsiya turi
  • vEdge(config-authentication-type)# mahalliy identifikator
  • vEdge(config-authentication-type)# masofaviy identifikator

Identifikator IP-manzil yoki 1 dan 63 belgigacha bo'lgan har qanday matn qatori bo'lishi mumkin. Odatiy bo'lib, mahalliy identifikator tunnelning manba IP manzili va masofaviy identifikator tunnelning maqsad IP manzilidir.

IKE 2-versiyasini yoqing
IKE 2-versiyasidan foydalanish uchun IPsec tunnelini sozlaganingizda, quyidagi xususiyatlar ham IKEv2 uchun sukut bo‘yicha yoqilgan bo‘ladi:

  • Haqiqiylikni tekshirish va shifrlash — yaxlitlik uchun HMAC-SHA256 kalitli xeshli xabar autentifikatsiya kod algoritmi bilan AES-1 rivojlangan shifrlash standarti CBC shifrlash
  • Diffie-Hellman guruhi raqami - 16
  • Qayta kiritish vaqt oralig'i - 4 soat

Odatiy bo'lib, IKEv2 IKE kalit almashinuvida Diffie-Hellman guruhi 16 dan foydalanadi. Ushbu guruh IKE kalit almashinuvi paytida 4096-bit ko'proq modulli eksponensial (MODP) guruhidan foydalanadi. Guruh raqamini 2 (1024-bit MODP uchun), 14 (2048-bit MODP) yoki 15 (3072-bit MODP) ga oʻzgartirishingiz mumkin:

  • vEdge(config)# vpn vpn-id interfeysi ipsecnumber ike
  • vEdge(config-ike)# guruh raqami

Odatiy bo'lib, IKE kalit almashinuvi yaxlitlik uchun HMAC-SHA256 kalitli xesh xabari autentifikatsiya kod algoritmi bilan AES-1 ilg'or shifrlash standarti CBC shifrlashdan foydalanadi. Siz autentifikatsiyani o'zgartirishingiz mumkin:

  • vEdge(config)# vpn vpn-id interfeysi ipsecnumber ike
  • vEdge(config-ike)# shifrlash to'plami

Autentifikatsiya to'plami quyidagilardan biri bo'lishi mumkin:

  • aes128-cbc-sha1 — yaxlitlik uchun HMAC-SHA128 kalitli xesh xabari autentifikatsiya kod algoritmi bilan AES-1 rivojlangan shifrlash standarti CBC shifrlash
  • aes128-cbc-sha2 — yaxlitlik uchun HMAC-SHA128 kalitli xesh xabari autentifikatsiya kod algoritmi bilan AES-256 rivojlangan shifrlash standarti CBC shifrlash
  • aes256-cbc-sha1 — yaxlitlik uchun HMAC-SHA256 kalitli xesh xabari autentifikatsiya kod algoritmi bilan AES-1 rivojlangan shifrlash standarti CBC shifrlash; bu sukut bo'yicha.
  • aes256-cbc-sha2 — yaxlitlik uchun HMAC-SHA256 kalitli xesh xabari autentifikatsiya kod algoritmi bilan AES-256 rivojlangan shifrlash standarti CBC shifrlash

Odatiy bo'lib, IKE kalitlari har 4 soatda (14,400 30 soniya) yangilanadi. Qayta kiritish oralig'ini 14 soniyadan 1209600 kungacha (XNUMX soniya) qiymatga o'zgartirishingiz mumkin:

  • vEdge(config)# vpn vpn-id interfeysi ipsecnumber ike
  • vEdge(config-ike) # qayta kalit soniya

IKE sessiyasi uchun yangi kalitlarni yaratishga majburlash uchun so'rov ipsec ike-rekey buyrug'ini bering. IKE uchun oldindan ulashilgan kalit (PSK) autentifikatsiyasini ham sozlashingiz mumkin:

  • vEdge(config)# vpn vpn-id interfeysi ipsecnumber ike
  • vEdge(config-ike)# autentifikatsiya turidagi oldindan umumiy kalitli oldindan umumiy maxfiy parol paroli oldindan ulashilgan kalit bilan foydalanish uchun paroldir. Bu ASCII yoki o'n oltilik qator bo'lishi mumkin yoki u AES shifrlangan kalit bo'lishi mumkin. Agar masofaviy IKE peer mahalliy yoki masofaviy identifikatorni talab qilsa, siz ushbu identifikatorni sozlashingiz mumkin:
  • vEdge(config)# vpn vpn-id interfeysi ipsecnumber ike autentifikatsiya turi
  • vEdge(config-authentication-type)# mahalliy identifikator
  • vEdge(config-authentication-type)# masofaviy identifikator

Identifikator IP-manzil yoki 1 dan 64 belgigacha bo'lgan har qanday matn qatori bo'lishi mumkin. Odatiy bo'lib, mahalliy identifikator tunnelning manba IP manzili va masofaviy identifikator tunnelning maqsad IP manzilidir.

IPsec tunnel parametrlarini sozlang

4-jadval: Xususiyatlar tarixi

Xususiyat Ism Chiqarish ma'lumotlari Tavsif
Qo'shimcha kriptografik Cisco SD-WAN relizi 20.1.1 Bu xususiyat qo'llab-quvvatlaydi
IPSec uchun algoritmik yordam   HMAC_SHA256, HMAC_SHA384 va
Tunnellar   uchun HMAC_SHA512 algoritmlari
    kengaytirilgan xavfsizlik.

Odatiy bo'lib, IKE trafigini tashuvchi IPsec tunnelida quyidagi parametrlar qo'llaniladi:

  • Autentifikatsiya va shifrlash - GCM da AES-256 algoritmi (Galois/counter rejimi)
  • Qayta kiritish oralig'i - 4 soat
  • Takrorlash oynasi - 32 paket

Siz IPsec tunnelidagi shifrlashni CBC-dagi AES-256 shifriga o'zgartirishingiz mumkin (shifr bloklarini zanjirlash rejimi, HMAC bilan SHA-1 yoki SHA-2 kalitli xeshli xabarni autentifikatsiya qilish yoki SHA-1 yoki SHA-2 yordamida HMAC bilan null IKE kalit almashinuvi trafigida ishlatiladigan IPsec tunnelini shifrlamaslik uchun SHA-XNUMX kalitli xesh xabari autentifikatsiyasi:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# shifrlash to'plami (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-1sha | aes256-null-256sha | aes256-null-sha384 | aes256-null-sha512)

Odatiy bo'lib, IKE kalitlari har 4 soatda (14,400 30 soniya) yangilanadi. Qayta kiritish oralig'ini 14 soniyadan 1209600 kungacha (XNUMX soniya) qiymatga o'zgartirishingiz mumkin:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec) # qayta kalit soniya

IPsec tunnel uchun yangi kalitlarni yaratishga majbur qilish uchun so'rov ipsec ipsec-rekey buyrug'ini bering. Odatiy bo'lib, kelajakdagi kalitlar buzilgan taqdirda o'tgan seanslarga ta'sir qilmasligini ta'minlash uchun IPsec tunnellarida mukammal oldinga siljish (PFS) yoqilgan. PFS, sukut bo'yicha 4096 bitli Diffie-Hellman asosiy modul guruhidan foydalangan holda yangi Diffie-Hellman kalit almashinuvini majburlaydi. Siz PFS sozlamalarini o'zgartirishingiz mumkin:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# mukammal oldinga o'tish maxfiyligi pfs sozlamalari

pfs sozlamalari quyidagilardan biri bo'lishi mumkin:

  • guruh-2 - 1024-bitli Diffie-Hellman asosiy modul guruhidan foydalaning.
  • guruh-14 - 2048-bitli Diffie-Hellman asosiy modul guruhidan foydalaning.
  • guruh-15 - 3072-bitli Diffie-Hellman asosiy modul guruhidan foydalaning.
  • 16-guruh - 4096-bitli Diffie-Hellman asosiy modul guruhidan foydalaning. Bu standart.
  • yo'q - PFSni o'chiring.

Odatiy bo'lib, IPsec tunnelidagi IPsec takroriy oynasi 512 baytni tashkil qiladi. Takrorlash oynasi oʻlchamini 64, 128, 256, 512, 1024, 2048 yoki 4096 paketga oʻrnatishingiz mumkin:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# takrorlash oynasi raqami

IKE Dead-Peer Detection funksiyasini o'zgartiring

IKE o'lik tengdoshni aniqlash mexanizmidan IKE tengdoshiga ulanish funktsional va kirish mumkinmi yoki yo'qligini aniqlash uchun foydalanadi. Ushbu mexanizmni amalga oshirish uchun IKE o'z tengdoshiga Salom paketini yuboradi va tengdosh javob sifatida tasdiqnoma yuboradi. Odatiy bo'lib, IKE har 10 soniyada Salom paketlarini yuboradi va uchta tasdiqlanmagan paketlardan so'ng IKE qo'shnisini o'lik deb e'lon qiladi va tunnelni tengdoshiga yirtib tashlaydi. Shundan so'ng, IKE vaqti-vaqti bilan tengdoshga Salom paketini yuboradi va tengdosh onlayn bo'lganda tunnelni qayta tiklaydi. Siz jonlilikni aniqlash oralig'ini 0 dan 65535 gacha bo'lgan qiymatga o'zgartirishingiz mumkin va takroriy urinishlar sonini 0 dan 255 gacha bo'lgan qiymatga o'zgartirishingiz mumkin.

Eslatma

Transport VPNlari uchun jonlilikni aniqlash oralig'i quyidagi formula yordamida soniyalarga o'zgartiriladi: Qayta uzatish urinishi uchun interval N = interval * 1.8N-1 Misol uchunample, agar interval 10 ga o'rnatilsa va 5 ga qayta urinilsa, aniqlash oralig'i quyidagicha ortadi:

  • 1-urinish: 10 * 1.81-1 = 10 soniya
  • Urinish 2: 10 * 1.82-1 = 18 soniya
  • Urinish 3: 10 * 1.83-1 = 32.4 soniya
  • Urinish 4: 10 * 1.84-1 = 58.32 soniya
  • Urinish 5: 10 * 1.85-1 = 104.976 soniya

vEdge(config-interface-ipsecnumber)# o'lik-tengdosh-aniqlash oralig'i qayta urinishlar raqami

Boshqa interfeys xususiyatlarini sozlang

IPsec tunnel interfeyslari uchun siz faqat quyidagi qo'shimcha interfeys xususiyatlarini sozlashingiz mumkin:

  • vEdge(config-interface-ipsec)# mtu bayt
  • vEdge(config-interface-ipsec)# tcp-mss-sozlash baytlari

Cisco SD-WAN menejerida zaif SSH shifrlash algoritmlarini o'chiring

5-jadval: Xususiyatlar tarixi jadvali

Xususiyat Ism Chiqarish ma'lumotlari Xususiyat Tavsif
Cisco SD-WAN menejerida zaif SSH shifrlash algoritmlarini o'chiring Cisco vManage relizi 20.9.1 Bu xususiyat ma'lumotlar xavfsizligining ma'lum standartlariga mos kelmasligi mumkin bo'lgan Cisco SD-WAN Manager-da zaifroq SSH algoritmlarini o'chirishga imkon beradi.

Cisco SD-WAN menejerida zaif SSH shifrlash algoritmlarini o'chirish haqida ma'lumot
Cisco SD-WAN Manager tarmoqdagi komponentlar, jumladan kontrollerlar va chekka qurilmalar bilan aloqa qilish uchun SSH mijozini taqdim etadi. SSH mijozi turli xil shifrlash algoritmlariga asoslangan xavfsiz ma'lumotlarni uzatish uchun shifrlangan ulanishni ta'minlaydi. Ko'pgina tashkilotlar SHA-1, AES-128 va AES-192 tomonidan taqdim etilganidan ko'ra kuchliroq shifrlashni talab qiladi. Cisco vManage Release 20.9.1 dan SSH mijozi ushbu algoritmlardan foydalanmasligi uchun quyidagi zaifroq shifrlash algoritmlarini o'chirib qo'yishingiz mumkin:

  • SHA-1
  • AES-128
  • AES-192

Ushbu shifrlash algoritmlarini o'chirishdan oldin, Cisco vEdge qurilmalari, agar mavjud bo'lsa, tarmoqda Cisco SD-WAN Release 18.4.6 dan kechroq dasturiy ta'minot versiyasidan foydalanayotganligiga ishonch hosil qiling.

Cisco SD-WAN menejerida zaif SSH shifrlash algoritmlarini o'chirishning afzalliklari
Zaifroq SSH shifrlash algoritmlarini o'chirib qo'yish SSH aloqa xavfsizligini yaxshilaydi va Cisco Catalyst SD-WAN dan foydalanadigan tashkilotlar qat'iy xavfsizlik qoidalariga muvofiqligini ta'minlaydi.

CLI yordamida Cisco SD-WAN menejerida zaif SSH shifrlash algoritmlarini o'chiring

  1. Cisco SD-WAN menejeri menyusidan Tools > SSH Terminal-ni tanlang.
  2. Zaifroq SSH algoritmlarini o'chirib qo'ymoqchi bo'lgan Cisco SD-WAN Manager qurilmasini tanlang.
  3. Qurilmaga kirish uchun foydalanuvchi nomi va parolni kiriting.
  4. SSH server rejimiga kiring.
    • vmanage(config)# tizimi
    • vmanage(config-system)# ssh-server
  5. SSH shifrlash algoritmini o'chirish uchun quyidagilardan birini bajaring:
    • SHA-1-ni o'chirib qo'ying:
  6. boshqarish(config-ssh-server)# kex-algo sha1 yo'q
  7. boshqarish(config-ssh-server)# commit
    Quyidagi ogohlantirish xabari ko'rsatiladi: Quyidagi ogohlantirishlar yaratildi: 'sistem ssh-server kex-algo sha1': OGOHLANTIRISH: Iltimos, barcha qirralaringiz vManage bilan SHA18.4.6 dan yaxshiroq muzokaralar olib boradigan > 1 kod versiyasini ishga tushirishiga ishonch hosil qiling. Aks holda, bu qirralar oflayn bo'lishi mumkin. Davom etasizmi? [ha, yo'q] ha
    • Tarmoqdagi barcha Cisco vEdge qurilmalari Cisco SD-WAN Release 18.4.6 yoki undan keyingi versiyalarida ishlayotganligiga ishonch hosil qiling va “ha” deb kiriting.
    • AES-128 va AES-192-ni o'chirib qo'ying:
    • vmanage(config-ssh-server)# shifr yo'q aes-128-192
    • vmanage(config-ssh-server)# bajaring
      Quyidagi ogohlantirish xabari ko'rsatiladi:
      Quyidagi ogohlantirishlar yaratildi:
      'system ssh-server cipher aes-128-192': OGOHLANTIRISH: Iltimos, barcha qirralaringiz vManage bilan AES-18.4.6-128 dan yaxshiroq muzokaralar olib boradigan > 192 kod versiyasini ishga tushirishiga ishonch hosil qiling. Aks holda, bu qirralar oflayn bo'lishi mumkin. Davom etasizmi? [ha, yo'q] ha
    • Tarmoqdagi barcha Cisco vEdge qurilmalari Cisco SD-WAN Release 18.4.6 yoki undan keyingi versiyalarida ishlayotganligiga ishonch hosil qiling va “ha” deb kiriting.

CLI yordamida Cisco SD-WAN menejerida zaif SSH shifrlash algoritmlari o'chirilganligini tekshiring

  1. Cisco SD-WAN menejeri menyusidan Tools > SSH Terminal-ni tanlang.
  2. Tasdiqlamoqchi bo'lgan Cisco SD-WAN Manager qurilmasini tanlang.
  3. Qurilmaga kirish uchun foydalanuvchi nomi va parolni kiriting.
  4. Quyidagi buyruqni bajaring: show running-config system ssh-server
  5. Chiqish zaifroq shifrlash algoritmlarini o'chirib qo'yadigan buyruqlardan bir yoki bir nechtasini ko'rsatishini tasdiqlang:
    • aes-128-192 shifriga ega emas
    • kex-algo sha1 yo'q

Hujjatlar / manbalar

CISCO SD-WAN Xavfsizlik parametrlarini sozlash [pdf] Foydalanuvchi uchun qoʻllanma
SD-WAN Xavfsizlik parametrlarini sozlash, SD-WAN, Xavfsizlik parametrlarini, xavfsizlik parametrlarini sozlash

Ma'lumotnomalar

Fikr qoldiring

Sizning elektron pochta manzilingiz nashr etilmaydi. Majburiy maydonlar belgilangan *