CISCO SD-WAN Cấu hình các thông số bảo mật

Định cấu hình tham số bảo mật

Ghi chú

Để đạt được sự đơn giản hóa và nhất quán, giải pháp Cisco SD-WAN đã được đổi tên thành Cisco Catalyst SD-WAN. Ngoài ra, từ Cisco IOS XE SD-WAN Bản phát hành 17.12.1a và Bản phát hành SD-WAN Cisco Catalyst 20.12.1, các thay đổi thành phần sau đây có thể áp dụng: Cisco vManager cho Trình quản lý SD-WAN của Cisco Catalyst, Cisco vAnalytics cho Cisco Catalyst SD-WAN Analytics, Cisco vBond tới Trình xác thực SD-WAN của Cisco Catalyst và Cisco vSmart tới Bộ điều khiển SD-WAN của Cisco Catalyst. Xem Ghi chú phát hành mới nhất để biết danh sách đầy đủ về tất cả các thay đổi về tên thương hiệu của thành phần. Trong khi chúng tôi chuyển sang tên mới, một số điểm không nhất quán có thể xuất hiện trong bộ tài liệu do cách tiếp cận theo từng giai đoạn đối với các bản cập nhật giao diện người dùng của sản phẩm phần mềm.

Phần này mô tả cách thay đổi các tham số bảo mật cho mặt phẳng điều khiển và mặt phẳng dữ liệu trong mạng lớp phủ Cisco Catalyst SD-WAN.

• Định cấu hình các tham số bảo mật của mặt phẳng điều khiển, bật
• Định cấu hình các tham số bảo mật mặt phẳng dữ liệu, bật
• Định cấu hình Đường hầm IPsec được kích hoạt IKE, trên
• Tắt thuật toán mã hóa SSH yếu trên Trình quản lý SD-WAN của Cisco, trên

Định cấu hình các tham số bảo mật của mặt phẳng điều khiển

Theo mặc định, mặt phẳng điều khiển sử dụng DTLS làm giao thức cung cấp quyền riêng tư trên tất cả các đường hầm của nó. DTLS chạy trên UDP. Bạn có thể thay đổi giao thức bảo mật mặt phẳng điều khiển thành TLS, chạy trên TCP. Lý do chính để sử dụng TLS là nếu bạn coi Bộ điều khiển SD-WAN của Cisco là một máy chủ thì tường lửa sẽ bảo vệ máy chủ TCP tốt hơn máy chủ UDP. Bạn định cấu hình giao thức đường hầm mặt phẳng điều khiển trên Bộ điều khiển SD-WAN của Cisco: vSmart(config)# giao thức kiểm soát bảo mật tls Với thay đổi này, tất cả các đường hầm mặt phẳng điều khiển giữa Bộ điều khiển SD-WAN của Cisco và các bộ định tuyến cũng như giữa Bộ điều khiển SD-WAN của Cisco và Trình quản lý SD-WAN của Cisco sử dụng TLS. Các đường hầm mặt phẳng điều khiển đến Trình xác thực SD-WAN của Cisco Catalyst luôn sử dụng DTLS vì các kết nối này phải được UDP xử lý. Trong miền có nhiều Bộ điều khiển SD-WAN của Cisco, khi bạn định cấu hình TLS trên một trong các Bộ điều khiển SD-WAN của Cisco, tất cả các đường hầm mặt phẳng điều khiển từ bộ điều khiển đó đến các bộ điều khiển khác đều sử dụng TLS. Nói cách khác, TLS luôn được ưu tiên hơn DTLS. Tuy nhiên, từ quan điểm của Bộ điều khiển Cisco SD-WAN khác, nếu bạn chưa định cấu hình TLS trên chúng, thì chúng chỉ sử dụng TLS trên đường hầm mặt phẳng điều khiển cho một Bộ điều khiển Cisco SD-WAN đó và chúng sử dụng đường hầm DTLS cho tất cả các bộ điều khiển khác. Bộ điều khiển SD-WAN của Cisco và tới tất cả các bộ định tuyến được kết nối của chúng. Để tất cả Bộ điều khiển SD-WAN của Cisco sử dụng TLS, hãy định cấu hình nó trên tất cả các Bộ điều khiển đó. Theo mặc định, Bộ điều khiển SD-WAN của Cisco lắng nghe các yêu cầu TLS trên cổng 23456. Để thay đổi điều này: vSmart(config)# security control tls-port number Cổng có thể là một số từ 1025 đến 65535. Để hiển thị thông tin bảo mật mặt phẳng điều khiển, hãy sử dụng lệnh hiển thị kết nối điều khiển trên Bộ điều khiển SD-WAN của Cisco. Dành cho người yêu cũample: vSmart-2# hiển thị các kết nối điều khiển

Định cấu hình DTLS trong Trình quản lý SD-WAN của Cisco

Nếu bạn định cấu hình Trình quản lý SD-WAN của Cisco để sử dụng TLS làm giao thức bảo mật mặt phẳng điều khiển, bạn phải bật chuyển tiếp cổng trên NAT của mình. Nếu bạn đang sử dụng DTLS làm giao thức bảo mật mặt phẳng điều khiển thì bạn không cần phải làm gì cả. Số lượng cổng được chuyển tiếp tùy thuộc vào số lượng quy trình vdaemon đang chạy trên Trình quản lý SD-WAN của Cisco. Để hiển thị thông tin về các quy trình này cũng như về số lượng cổng đang được chuyển tiếp, hãy sử dụng lệnh tóm tắt điều khiển hiển thị để hiển thị rằng bốn quy trình daemon đang chạy:

Để xem các cổng đang nghe, hãy sử dụng lệnh show control local-properties: vManager# show control local-property

Đầu ra này cho thấy cổng TCP đang nghe là 23456. Nếu bạn đang chạy Trình quản lý SD-WAN của Cisco phía sau NAT, bạn nên mở các cổng sau trên thiết bị NAT:

• 23456 (cổng cơ sở – phiên bản 0)
• 23456 + 100 (cơ sở + 100)
• 23456 + 200 (cơ sở + 200)
• 23456 + 300 (cơ sở + 300)

Lưu ý rằng số lượng phiên bản giống với số lõi bạn đã chỉ định cho Trình quản lý SD-WAN của Cisco, tối đa là 8.

Định cấu hình các tham số bảo mật bằng mẫu tính năng bảo mật

Sử dụng mẫu tính năng Bảo mật cho tất cả các thiết bị Cisco vEdge. Trên các bộ định tuyến biên và trên Trình xác thực Cisco SD-WAN, hãy sử dụng mẫu này để định cấu hình IPsec cho bảo mật mặt phẳng dữ liệu. Trên Trình quản lý SD-WAN của Cisco và Bộ điều khiển SD-WAN của Cisco, hãy sử dụng mẫu tính năng Bảo mật để định cấu hình DTLS hoặc TLS cho bảo mật mặt phẳng điều khiển.

Định cấu hình tham số bảo mật

1. Từ menu Trình quản lý SD-WAN của Cisco, chọn Cấu hình > Mẫu.
2. Nhấp vào Mẫu tính năng rồi nhấp vào Thêm mẫu.
   Ghi chú Trong Cisco vManager Phiên bản 20.7.1 và các phiên bản cũ hơn, Mẫu tính năng được gọi là Tính năng.
3. Từ danh sách Thiết bị ở khung bên trái, hãy chọn một thiết bị. Các mẫu áp dụng cho thiết bị đã chọn sẽ xuất hiện ở khung bên phải.
4. Nhấp vào Bảo mật để mở mẫu.
5. Trong trường Tên Mẫu, nhập tên cho mẫu. Tên có thể dài tối đa 128 ký tự và chỉ có thể chứa các ký tự chữ và số.
6. Trong trường Mô tả Mẫu, nhập mô tả của mẫu. Mô tả có thể dài tối đa 2048 ký tự và chỉ có thể chứa các ký tự chữ và số.

Khi bạn mở mẫu tính năng lần đầu tiên, đối với mỗi tham số có giá trị mặc định, phạm vi được đặt thành Mặc định (được biểu thị bằng dấu kiểm) và cài đặt hoặc giá trị mặc định sẽ được hiển thị. Để thay đổi giá trị mặc định hoặc nhập giá trị, hãy nhấp vào menu thả xuống phạm vi ở bên trái trường tham số và chọn một trong các tùy chọn sau:

Bảng 1:

Tham số Phạm vi

Mô tả phạm vi

Thiết bị cụ thể (được biểu thị bằng biểu tượng máy chủ)

Sử dụng giá trị dành riêng cho thiết bị cho tham số. Đối với các tham số dành riêng cho thiết bị, bạn không thể nhập giá trị vào mẫu tính năng. Bạn nhập giá trị khi gắn thiết bị Viptela vào mẫu thiết bị. Khi bạn bấm vào Thiết bị cụ thể, hộp Nhập khóa sẽ mở ra. Hộp này hiển thị một khóa, là một chuỗi duy nhất xác định tham số trong CSV file mà bạn tạo ra. Cái này file là một bảng tính Excel chứa một cột cho mỗi khóa. Hàng tiêu đề chứa các tên khóa (một khóa trên mỗi cột) và mỗi hàng sau đó tương ứng với một thiết bị và xác định giá trị của các khóa cho thiết bị đó. Bạn tải lên CSV file khi bạn gắn thiết bị Viptela vào mẫu thiết bị. Để biết thêm thông tin, hãy xem Tạo Bảng tính Biến Mẫu. Để thay đổi khóa mặc định, hãy nhập một chuỗi mới và di chuyển con trỏ ra khỏi hộp Enter Key. Exampcác tập tin thông số dành riêng cho thiết bị là địa chỉ IP hệ thống, tên máy chủ, vị trí GPS và ID trang web.

Tham số Phạm vi	Mô tả phạm vi
Toàn cầu (được biểu thị bằng biểu tượng quả địa cầu)	Nhập giá trị cho tham số và áp dụng giá trị đó cho tất cả các thiết bị. ExampCác tập tin tham số mà bạn có thể áp dụng chung cho một nhóm thiết bị là máy chủ DNS, máy chủ nhật ký hệ thống và MTU giao diện.

Định cấu hình bảo mật mặt phẳng điều khiển

Ghi chú
Phần Định cấu hình bảo mật mặt phẳng điều khiển chỉ áp dụng cho Trình quản lý SD-WAN của Cisco và Bộ điều khiển SD-WAN của Cisco. Để định cấu hình giao thức kết nối mặt phẳng điều khiển trên phiên bản Trình quản lý SD-WAN của Cisco hoặc Bộ điều khiển SD-WAN của Cisco, hãy chọn khu vực Cấu hình cơ bản và cấu hình các thông số sau:

Bảng 2:

Tham số Tên	Sự miêu tả
Giao thức	Chọn giao thức để sử dụng trên các kết nối mặt phẳng điều khiển tới Bộ điều khiển SD-WAN của Cisco: • DTLS (Datagram Bảo mật lớp vận chuyển). Đây là mặc định. • TLS (Bảo mật lớp vận chuyển)
Kiểm soát cổng TLS	Nếu bạn chọn TLS, hãy định cấu hình số cổng sẽ sử dụng:Phạm vi: 1025 đến 65535Mặc định: 23456

Nhấp vào Lưu

Định cấu hình bảo mật mặt phẳng dữ liệu
Để định cấu hình bảo mật mặt phẳng dữ liệu trên Trình xác thực Cisco SD-WAN hoặc bộ định tuyến Cisco vEdge, hãy chọn tab Loại xác thực và cấu hình cơ bản, đồng thời định cấu hình các tham số sau:

Bảng 3:

Tham số Tên	Sự miêu tả
Thời gian khóa lại	Chỉ định tần suất bộ định tuyến Cisco vEdge thay đổi khóa AES được sử dụng trên kết nối DTLS an toàn của nó với Bộ điều khiển SD-WAN của Cisco. Nếu bật khởi động lại duyên dáng OMP, thời gian khóa lại phải ít nhất gấp đôi giá trị của bộ hẹn giờ khởi động lại duyên dáng OMP.Phạm vi: 10 đến 1209600 giây (14 ngày)Mặc định: 86400 giây (24 giờ)
Cửa sổ phát lại	Chỉ định kích thước của cửa sổ phát lại trượt. Giá trị: 64, 128, 256, 512, 1024, 2048, 4096, 8192 góiMặc định: 512 gói
IPsec khóa theo cặp	Điều này được tắt theo mặc định. Nhấp chuột On để bật nó lên.

Tham số Tên

Sự miêu tả

Loại xác thực

Chọn các loại xác thực từ Xác thực Danh sáchvà nhấp vào mũi tên chỉ sang phải để di chuyển các loại xác thực sang Danh sách đã chọn cột. Các loại xác thực được hỗ trợ từ Cisco SD-WAN Phiên bản 20.6.1: •  đặc biệt: Cho phép mã hóa và kiểm tra tính toàn vẹn của Tải trọng bảo mật đóng gói (ESP) trên tiêu đề ESP. •  ip-udp-esp: Cho phép mã hóa ESP. Ngoài việc kiểm tra tính toàn vẹn trên tiêu đề và tải trọng ESP, việc kiểm tra còn bao gồm các tiêu đề IP và UDP bên ngoài. •  ip-udp-esp-no-id: Bỏ qua trường ID trong tiêu đề IP để Cisco Catalyst SD-WAN có thể hoạt động cùng với các thiết bị không phải của Cisco. •  không có: Tắt tính năng kiểm tra tính toàn vẹn trên các gói IPSec. Chúng tôi không khuyên bạn nên sử dụng tùy chọn này.   Các loại xác thực được hỗ trợ trong Cisco SD-WAN Phiên bản 20.5.1 trở về trước: •  à-không-id: Kích hoạt phiên bản nâng cao của AH-SHA1 HMAC và ESP HMAC-SHA1 bỏ qua trường ID trong tiêu đề IP bên ngoài của gói. •  ah-sha1-hmac: Kích hoạt AH-SHA1 HMAC và ESP HMAC-SHA1. •  không có: Chọn không xác thực. •  sha1-hmac: Kích hoạt ESP HMAC-SHA1.   Ghi chú              Đối với thiết bị biên chạy trên Cisco SD-WAN Phiên bản 20.5.1 trở xuống, bạn có thể đã định cấu hình các loại xác thực bằng cách sử dụng Bảo vệ bản mẫu. Khi bạn nâng cấp thiết bị lên Cisco SD-WAN Phiên bản 20.6.1 trở lên, hãy cập nhật các loại xác thực đã chọn trong Bảo vệ mẫu cho các loại xác thực được hỗ trợ từ Cisco SD-WAN Phiên bản 20.6.1. Để cập nhật các loại xác thực, hãy làm như sau: 1.      Từ menu Trình quản lý SD-WAN của Cisco, chọn Cấu hình > Mẫu. 2.      Nhấp chuột Mẫu tính năng. 3.      Tìm thấy Bảo vệ mẫu để cập nhật và nhấp vào… và nhấp vào Biên tập. 4.      Nhấp chuột Cập nhật. Không sửa đổi bất kỳ cấu hình nào. Trình quản lý SD-WAN của Cisco cập nhật Bảo vệ mẫu để hiển thị các loại xác thực được hỗ trợ.

Nhấp vào Lưu.

Định cấu hình tham số bảo mật mặt phẳng dữ liệu

Trong mặt phẳng dữ liệu, IPsec được bật theo mặc định trên tất cả các bộ định tuyến và theo mặc định, các kết nối đường hầm IPsec sử dụng phiên bản nâng cao của giao thức Encapsulate Security Payload (ESP) để xác thực trên các đường hầm IPsec. Trên bộ định tuyến, bạn có thể thay đổi loại xác thực, bộ hẹn giờ khóa lại IPsec và kích thước của cửa sổ chống phát lại IPsec.

Định cấu hình các loại xác thực được phép

Các loại xác thực trong Cisco SD-WAN Phiên bản 20.6.1 trở lên
Từ Cisco SD-WAN Phiên bản 20.6.1, các loại tính toàn vẹn sau được hỗ trợ:

• đặc biệt: Tùy chọn này cho phép mã hóa và kiểm tra tính toàn vẹn của Tải trọng bảo mật đóng gói (ESP) trên tiêu đề ESP.
• ip-udp-esp: Tùy chọn này cho phép mã hóa ESP. Ngoài việc kiểm tra tính toàn vẹn trên tiêu đề ESP và tải trọng, việc kiểm tra còn bao gồm các tiêu đề IP và UDP bên ngoài.
• ip-udp-esp-no-id: Tùy chọn này tương tự như ip-udp-esp, tuy nhiên, trường ID của IP header bên ngoài bị bỏ qua. Định cấu hình tùy chọn này trong danh sách các loại tính toàn vẹn để phần mềm Cisco Catalyst SD-WAN bỏ qua trường ID trong tiêu đề IP để Cisco Catalyst SD-WAN có thể hoạt động cùng với các thiết bị không phải của Cisco.
• không có: Tùy chọn này tắt tính năng kiểm tra tính toàn vẹn trên các gói IPSec. Chúng tôi không khuyên bạn nên sử dụng tùy chọn này.

Theo mặc định, các kết nối đường hầm IPsec sử dụng phiên bản nâng cao của giao thức Encapsulate Security Payload (ESP) để xác thực. Để sửa đổi các loại liên kết đã thương lượng hoặc để tắt tính năng kiểm tra tính toàn vẹn, hãy sử dụng lệnh sau: Integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | đặc biệt }

Các loại xác thực trước khi Cisco SD-WAN phát hành 20.6.1
Theo mặc định, các kết nối đường hầm IPsec sử dụng phiên bản nâng cao của giao thức Encapsulate Security Payload (ESP) để xác thực. Để sửa đổi các loại xác thực đã thương lượng hoặc để tắt xác thực, hãy sử dụng lệnh sau: Device(config)# security ipsec Authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Theo mặc định, IPsec kết nối đường hầm sử dụng AES-GCM-256, cung cấp cả mã hóa và xác thực. Định cấu hình từng loại xác thực bằng lệnh loại xác thực ipsec bảo mật riêng biệt. Các tùy chọn lệnh ánh xạ tới các loại xác thực sau, được liệt kê theo thứ tự từ mạnh nhất đến kém mạnh nhất:

Ghi chú
Sha1 trong các tùy chọn cấu hình được sử dụng vì lý do lịch sử. Các tùy chọn xác thực cho biết mức độ kiểm tra tính toàn vẹn gói được thực hiện. Họ không chỉ định thuật toán kiểm tra tính toàn vẹn. Ngoại trừ việc mã hóa lưu lượng phát đa hướng, các thuật toán xác thực được Cisco Catalyst SD WAN hỗ trợ không sử dụng SHA1. Tuy nhiên, trong Cisco SD-WAN Phiên bản 20.1.x trở đi, cả unicast và multicast đều không sử dụng SHA1.

• ah-sha1-hmac cho phép mã hóa và đóng gói bằng ESP. Tuy nhiên, ngoài việc kiểm tra tính toàn vẹn trên tiêu đề và tải trọng ESP, việc kiểm tra còn bao gồm các tiêu đề IP và UDP bên ngoài. Do đó, tùy chọn này hỗ trợ kiểm tra tính toàn vẹn của gói tương tự như giao thức Tiêu đề xác thực (AH). Tất cả tính toàn vẹn và mã hóa được thực hiện bằng AES-256-GCM.
• ah-no-id kích hoạt chế độ tương tự như ah-sha1-hmac, tuy nhiên, trường ID của tiêu đề IP bên ngoài bị bỏ qua. Tùy chọn này phù hợp với một số thiết bị SD-WAN không phải của Cisco Catalyst, bao gồm cả Apple AirPort Express NAT, có lỗi khiến trường ID trong tiêu đề IP, một trường không thể thay đổi, bị sửa đổi. Định cấu hình tùy chọn ah-no-id trong danh sách các loại xác thực để phần mềm Cisco Catalyst SD-WAN AH bỏ qua trường ID trong tiêu đề IP để phần mềm Cisco Catalyst SD-WAN có thể hoạt động cùng với các thiết bị này.
• sha1-hmac cho phép mã hóa ESP và kiểm tra tính toàn vẹn.
• không có bản đồ nào để không có xác thực. Tùy chọn này chỉ nên được sử dụng nếu nó cần thiết cho việc gỡ lỗi tạm thời. Bạn cũng có thể chọn tùy chọn này trong trường hợp việc xác thực và tính toàn vẹn của mặt phẳng dữ liệu không phải là vấn đề đáng lo ngại. Cisco không khuyến nghị sử dụng tùy chọn này cho mạng sản xuất.

Để biết thông tin về trường gói dữ liệu nào bị ảnh hưởng bởi các loại xác thực này, hãy xem Tính toàn vẹn của mặt phẳng dữ liệu. Các thiết bị SD-WAN Cisco IOS XE Catalyst và thiết bị Cisco vEdge quảng cáo các loại xác thực được định cấu hình trong thuộc tính TLOC của chúng. Hai bộ định tuyến ở hai bên của kết nối đường hầm IPsec thương lượng xác thực để sử dụng cho kết nối giữa chúng, sử dụng loại xác thực mạnh nhất được định cấu hình trên cả hai bộ định tuyến. Dành cho người yêu cũample, nếu một bộ định tuyến quảng cáo loại ah-sha1-hmac và ah-no-id và bộ định tuyến thứ hai quảng cáo loại ah-no-id thì hai bộ định tuyến sẽ thương lượng để sử dụng ah-no-id trên kết nối đường hầm IPsec giữa họ. Nếu không có loại xác thực chung nào được định cấu hình trên hai thiết bị ngang hàng thì không có đường hầm IPsec nào được thiết lập giữa chúng. Thuật toán mã hóa trên các kết nối đường hầm IPsec phụ thuộc vào loại lưu lượng:

• Đối với lưu lượng unicast, thuật toán mã hóa là AES-256-GCM.
• Đối với lưu lượng phát đa hướng:
• Cisco SD-WAN Phiên bản 20.1.x trở lên– thuật toán mã hóa là AES-256-GCM
• Các bản phát hành trước– thuật toán mã hóa là AES-256-CBC với SHA1-HMAC.

Khi loại xác thực IPsec được thay đổi, khóa AES cho đường dẫn dữ liệu cũng thay đổi.

Thay đổi bộ hẹn giờ khóa lại

Trước khi các thiết bị SD-WAN Cisco IOS XE Catalyst và thiết bị Cisco vEdge có thể trao đổi lưu lượng dữ liệu, chúng sẽ thiết lập một kênh liên lạc được xác thực an toàn giữa chúng. Các bộ định tuyến sử dụng đường hầm IPSec giữa chúng làm kênh và mật mã AES-256 để thực hiện mã hóa. Mỗi bộ định tuyến sẽ tạo khóa AES mới cho đường dẫn dữ liệu của nó theo định kỳ. Theo mặc định, một khóa có hiệu lực trong 86400 giây (24 giờ) và phạm vi hẹn giờ là 10 giây đến 1209600 giây (14 ngày). Để thay đổi giá trị bộ đếm thời gian khóa lại: Thiết bị (cấu hình) # bảo mật ipsec giây khóa lại Cấu hình trông như thế này:

• bảo mật ipsec rekey giây!

Nếu muốn tạo khóa IPsec mới ngay lập tức, bạn có thể làm như vậy mà không cần sửa đổi cấu hình của bộ định tuyến. Để thực hiện việc này, hãy đưa ra lệnh yêu cầu bảo mật ipsecrekey trên bộ định tuyến bị xâm nhập. Dành cho người yêu cũample, kết quả đầu ra sau đây cho thấy SA cục bộ có Chỉ số tham số bảo mật (SPI) là 256:

Một khóa duy nhất được liên kết với mỗi SPI. Nếu khóa này bị xâm phạm, hãy sử dụng lệnh yêu cầu bảo mật ipsec-rekey để tạo khóa mới ngay lập tức. Lệnh này tăng SPI. Trong người yêu cũ của chúng tôiamptập tin, SPI thay đổi thành 257 và khóa liên kết với nó hiện được sử dụng:

• Thiết bị# yêu cầu bảo mật ipsecrekey
• Thiết bị# hiển thị ipsec local-sa

Sau khi khóa mới được tạo, bộ định tuyến sẽ gửi nó ngay lập tức đến Bộ điều khiển SD-WAN của Cisco bằng DTLS hoặc TLS. Bộ điều khiển SD-WAN của Cisco gửi khóa tới các bộ định tuyến ngang hàng. Các bộ định tuyến bắt đầu sử dụng nó ngay khi họ nhận được nó. Lưu ý rằng khóa liên kết với SPI cũ (256) sẽ tiếp tục được sử dụng trong một thời gian ngắn cho đến khi hết thời gian sử dụng. Để ngừng sử dụng khóa cũ ngay lập tức, hãy đưa ra lệnh yêu cầu bảo mật ipsec-rekey hai lần liên tiếp. Chuỗi lệnh này sẽ loại bỏ cả SPI 256 và 257 và đặt SPI thành 258. Sau đó, bộ định tuyến sử dụng khóa liên kết của SPI 258. Tuy nhiên, xin lưu ý rằng một số gói sẽ bị loại bỏ trong một khoảng thời gian ngắn cho đến khi tất cả các bộ định tuyến từ xa tìm hiểu chìa khóa mới.

Thay đổi kích thước của cửa sổ chống phát lại

Xác thực IPsec cung cấp khả năng bảo vệ chống phát lại bằng cách gán một số thứ tự duy nhất cho mỗi gói trong luồng dữ liệu. Việc đánh số thứ tự này bảo vệ chống lại kẻ tấn công sao chép các gói dữ liệu. Với tính năng bảo vệ chống phát lại, người gửi chỉ định các số thứ tự tăng dần đều và đích sẽ kiểm tra các số thứ tự này để phát hiện các bản sao. Vì các gói thường không đến theo thứ tự nên đích duy trì một cửa sổ trượt các số thứ tự mà nó sẽ chấp nhận.

Các gói có số thứ tự nằm ở bên trái phạm vi cửa sổ trượt được coi là gói cũ hoặc trùng lặp và đích sẽ loại bỏ chúng. Đích theo dõi số thứ tự cao nhất mà nó đã nhận được và điều chỉnh cửa sổ trượt khi nhận được gói có giá trị cao hơn.

Theo mặc định, cửa sổ trượt được đặt thành 512 gói. Nó có thể được đặt thành bất kỳ giá trị nào từ 64 đến 4096, lũy thừa của 2 (nghĩa là 64, 128, 256, 512, 1024, 2048 hoặc 4096). Để sửa đổi kích thước cửa sổ chống phát lại, hãy sử dụng lệnh cửa sổ phát lại, chỉ định kích thước của cửa sổ:

Thiết bị (cấu hình) # bảo mật số cửa sổ phát lại ipsec

Cấu hình trông như thế này:
số cửa sổ phát lại ipsec bảo mật! !

Để hỗ trợ QoS, các cửa sổ phát lại riêng biệt được duy trì cho mỗi kênh trong số tám kênh lưu lượng đầu tiên. Kích thước cửa sổ phát lại được định cấu hình được chia cho 8 cho mỗi kênh. Nếu QoS được định cấu hình trên bộ định tuyến, bộ định tuyến đó có thể gặp phải số lượng gói bị rớt lớn hơn dự kiến ​​do cơ chế chống phát lại IPsec và nhiều gói bị loại bỏ là những gói hợp pháp. Điều này xảy ra do QoS sắp xếp lại các gói, ưu tiên các gói có mức ưu tiên cao hơn và trì hoãn các gói có mức ưu tiên thấp hơn. Để giảm thiểu hoặc ngăn chặn tình trạng này, bạn có thể làm như sau:

• Tăng kích thước của cửa sổ chống phát lại.
• Kỹ sư lưu lượng truy cập vào tám kênh lưu lượng đầu tiên để đảm bảo rằng lưu lượng truy cập trong một kênh không bị sắp xếp lại.

Định cấu hình Đường hầm IPsec kích hoạt IKE
Để chuyển lưu lượng truy cập từ mạng lớp phủ sang mạng dịch vụ một cách an toàn, bạn có thể định cấu hình đường hầm IPsec chạy giao thức Trao đổi khóa Internet (IKE). Đường hầm IPsec hỗ trợ IKE cung cấp xác thực và mã hóa để đảm bảo truyền gói an toàn. Bạn tạo một đường hầm IPsec hỗ trợ IKE bằng cách định cấu hình giao diện IPsec. Giao diện IPsec là giao diện logic và bạn định cấu hình chúng giống như bất kỳ giao diện vật lý nào khác. Bạn định cấu hình các tham số giao thức IKE trên giao diện IPsec và bạn có thể định cấu hình các thuộc tính giao diện khác.

Ghi chú Cisco khuyến nghị sử dụng IKE Phiên bản 2. Từ bản phát hành Cisco SD-WAN 19.2.x trở đi, khóa chia sẻ trước cần có độ dài ít nhất 16 byte. Việc thiết lập đường hầm IPsec không thành công nếu kích thước khóa nhỏ hơn 16 ký tự khi bộ định tuyến được nâng cấp lên phiên bản 19.2.

Ghi chú
Phần mềm Cisco Catalyst SD-WAN hỗ trợ IKE Phiên bản 2 như được định nghĩa trong RFC 7296. Một cách sử dụng đường hầm IPsec là cho phép các phiên bản VM của bộ định tuyến vEdge Cloud chạy trên Amazon AWS kết nối với đám mây riêng ảo (VPC) của Amazon. Bạn phải định cấu hình IKE Phiên bản 1 trên các bộ định tuyến này. Các thiết bị Cisco vEdge chỉ hỗ trợ VPN dựa trên tuyến đường trong cấu hình IPSec vì các thiết bị này không thể xác định bộ chọn lưu lượng trong miền mã hóa.

Định cấu hình Đường hầm IPsec
Để định cấu hình giao diện đường hầm IPsec cho lưu lượng truyền tải an toàn từ mạng dịch vụ, bạn tạo giao diện IPsec logic:

Bạn có thể tạo đường hầm IPsec trong VPN truyền tải (VPN 0) và trong bất kỳ VPN dịch vụ nào (VPN 1 đến 65530, ngoại trừ 512). Giao diện IPsec có tên ở định dạng ipsecnumber, trong đó số có thể từ 1 đến 255. Mỗi giao diện IPsec phải có địa chỉ IPv4. Địa chỉ này phải có tiền tố /30. Tất cả lưu lượng truy cập trong VPN nằm trong tiền tố IPv4 này được chuyển hướng đến giao diện vật lý trong VPN 0 để được gửi an toàn qua đường hầm IPsec. Để định cấu hình nguồn của đường hầm IPsec trên thiết bị cục bộ, bạn có thể chỉ định địa chỉ IP của giao diện vật lý (trong lệnh nguồn đường hầm) hoặc tên của giao diện vật lý (trong lệnh giao diện nguồn đường hầm). Đảm bảo rằng giao diện vật lý được định cấu hình trong VPN 0. Để định cấu hình đích của đường hầm IPsec, hãy chỉ định địa chỉ IP của thiết bị từ xa trong lệnh Tunnel-destination. Sự kết hợp giữa địa chỉ nguồn (hoặc tên giao diện nguồn) và địa chỉ đích xác định một đường hầm IPsec duy nhất. Chỉ có thể tồn tại một đường hầm IPsec sử dụng một cặp địa chỉ nguồn (hoặc tên giao diện) và địa chỉ đích cụ thể.

Định cấu hình tuyến tĩnh IPsec

Để hướng lưu lượng truy cập từ VPN dịch vụ đến đường hầm IPsec trong VPN truyền tải (VPN 0), bạn định cấu hình tuyến tĩnh dành riêng cho IPsec trong VPN dịch vụ (VPN không phải VPN 0 hoặc VPN 512):

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-route tiền tố/độ dài giao diện vpn 0
• số ipsec [số ipsec2]

ID VPN là của bất kỳ VPN dịch vụ nào (VPN 1 đến 65530, ngoại trừ 512). tiền tố/độ dài là địa chỉ IP hoặc tiền tố, theo ký hiệu thập phân bốn phần chấm và độ dài tiền tố của tuyến tĩnh dành riêng cho IPsec. Giao diện là giao diện đường hầm IPsec trong VPN 0. Bạn có thể định cấu hình một hoặc hai giao diện đường hầm IPsec. Nếu bạn định cấu hình hai thì đường hầm đầu tiên là đường hầm IPsec chính và đường hầm thứ hai là bản sao lưu. Với hai giao diện, tất cả các gói chỉ được gửi đến đường hầm chính. Nếu đường hầm đó bị lỗi, tất cả các gói sẽ được gửi đến đường hầm thứ cấp. Nếu đường hầm chính hoạt động trở lại, tất cả lưu lượng truy cập sẽ được chuyển trở lại đường hầm IPsec chính.

Kích hoạt IKE Phiên bản 1
Khi bạn tạo đường hầm IPsec trên bộ định tuyến vEdge, IKE Phiên bản 1 được bật theo mặc định trên giao diện đường hầm. Các thuộc tính sau đây cũng được bật theo mặc định cho IKEv1:

• Xác thực và mã hóa—Mã hóa CBC tiêu chuẩn mã hóa nâng cao AES-256 với thuật toán mã xác thực thông báo băm có khóa HMAC-SHA1 để đảm bảo tính toàn vẹn
• Số nhóm Diffie-Hellman—16
• Khoảng thời gian khóa lại—4 giờ
• Chế độ thành lập SA—Chính

Theo mặc định, IKEv1 sử dụng chế độ chính của IKE để thiết lập IKE SA. Trong chế độ này, sáu gói đàm phán được trao đổi để thiết lập SA. Để chỉ trao đổi ba gói đàm phán, hãy bật chế độ tích cực:

Ghi chú
Nên tránh chế độ tích cực IKE với các khóa chia sẻ trước bất cứ khi nào có thể. Nếu không thì nên chọn khóa chia sẻ trước mạnh.

• vEdge(config)# vpn vpn-id giao diện số ipsec ike
• vEdge(config-ike)# chế độ tích cực

Theo mặc định, IKEv1 sử dụng nhóm Diffie-Hellman 16 trong trao đổi khóa IKE. Nhóm này sử dụng nhóm hàm mũ mô-đun (MODP) nhiều hơn 4096 bit trong quá trình trao đổi khóa IKE. Bạn có thể thay đổi số nhóm thành 2 (đối với MODP 1024 bit), 14 (MODP 2048 bit) hoặc 15 (MODP 3072 bit):

• vEdge(config)# vpn vpn-id giao diện số ipsec ike
• vEdge(config-ike)# số nhóm

Theo mặc định, trao đổi khóa IKE sử dụng mã hóa CBC tiêu chuẩn mã hóa nâng cao AES-256 với thuật toán mã xác thực thông báo băm có khóa HMAC-SHA1 để đảm bảo tính toàn vẹn. Bạn có thể thay đổi xác thực:

• vEdge(config)# vpn vpn-id giao diện số ipsec ike
• vEdge(config-ike)# bộ mật mã

Bộ xác thực có thể là một trong những bộ sau:

• aes128-cbc-sha1—Mã hóa CBC tiêu chuẩn mã hóa nâng cao AES-128 với thuật toán mã xác thực thông báo băm có khóa HMAC-SHA1 để đảm bảo tính toàn vẹn
• aes128-cbc-sha2—Mã hóa CBC tiêu chuẩn mã hóa nâng cao AES-128 với thuật toán mã xác thực thông báo băm có khóa HMAC-SHA256 để đảm bảo tính toàn vẹn
• aes256-cbc-sha1—Mã hóa CBC tiêu chuẩn mã hóa nâng cao AES-256 với thuật toán mã xác thực thông báo băm có khóa HMAC-SHA1 để đảm bảo tính toàn vẹn; đây là mặc định
• aes256-cbc-sha2—Mã hóa CBC tiêu chuẩn mã hóa nâng cao AES-256 với thuật toán mã xác thực thông báo băm có khóa HMAC-SHA256 để đảm bảo tính toàn vẹn

Theo mặc định, các phím IKE được làm mới sau mỗi 1 giờ (3600 giây). Bạn có thể thay đổi khoảng thời gian khóa lại thành giá trị từ 30 giây đến 14 ngày (1209600 giây). Khuyến nghị khoảng thời gian khóa lại ít nhất là 1 giờ.

• vEdge(config)# vpn vpn-id giao diện số ipsec như
• vEdge(config-ike)# giây khóa lại

Để buộc tạo khóa mới cho phiên IKE, hãy đưa ra lệnh yêu cầu ipsec ike-rekey.

• vEdge(config)# vpn vpn-id giao diện ipsec số ike

Đối với IKE, bạn cũng có thể định cấu hình xác thực khóa chia sẻ trước (PSK):

• vEdge(config)# vpn vpn-id giao diện số ipsec ike
• vEdge(config-ike)# kiểu xác thực pre-shared-key mật khẩu mật khẩu pre-shared-secret mật khẩu là mật khẩu để sử dụng với khóa chia sẻ trước. Nó có thể là ASCII hoặc chuỗi thập lục phân dài từ 1 đến 127 ký tự.

Nếu thiết bị ngang hàng IKE từ xa yêu cầu ID cục bộ hoặc ID từ xa, bạn có thể định cấu hình mã định danh này:

• vEdge(config)# vpn vpn-id giao diện số ipsec ike kiểu xác thực
• vEdge(config-authentication-type)# id id cục bộ
• vEdge(config-authentication-type)# id id từ xa

Mã định danh có thể là địa chỉ IP hoặc bất kỳ chuỗi văn bản nào dài từ 1 đến 63 ký tự. Theo mặc định, ID cục bộ là địa chỉ IP nguồn của đường hầm và ID từ xa là địa chỉ IP đích của đường hầm.

Kích hoạt IKE Phiên bản 2
Khi bạn định cấu hình đường hầm IPsec để sử dụng IKE Phiên bản 2, các thuộc tính sau cũng được bật theo mặc định cho IKEv2:

• Xác thực và mã hóa—Mã hóa CBC tiêu chuẩn mã hóa nâng cao AES-256 với thuật toán mã xác thực thông báo băm có khóa HMAC-SHA1 để đảm bảo tính toàn vẹn
• Số nhóm Diffie-Hellman—16
• Khoảng thời gian khóa lại—4 giờ

Theo mặc định, IKEv2 sử dụng nhóm Diffie-Hellman 16 trong trao đổi khóa IKE. Nhóm này sử dụng nhóm hàm mũ mô-đun (MODP) nhiều hơn 4096 bit trong quá trình trao đổi khóa IKE. Bạn có thể thay đổi số nhóm thành 2 (đối với MODP 1024 bit), 14 (MODP 2048 bit) hoặc 15 (MODP 3072 bit):

• vEdge(config)# vpn vpn-id giao diện ipsecnumber ike
• vEdge(config-ike)# số nhóm

Theo mặc định, trao đổi khóa IKE sử dụng mã hóa CBC tiêu chuẩn mã hóa nâng cao AES-256 với thuật toán mã xác thực thông báo băm có khóa HMAC-SHA1 để đảm bảo tính toàn vẹn. Bạn có thể thay đổi xác thực:

• vEdge(config)# vpn vpn-id giao diện ipsecnumber ike
• vEdge(config-ike)# bộ mật mã

Bộ xác thực có thể là một trong những bộ sau:

• aes128-cbc-sha1—Mã hóa CBC tiêu chuẩn mã hóa nâng cao AES-128 với thuật toán mã xác thực thông báo băm có khóa HMAC-SHA1 để đảm bảo tính toàn vẹn
• aes128-cbc-sha2—Mã hóa CBC tiêu chuẩn mã hóa nâng cao AES-128 với thuật toán mã xác thực thông báo băm có khóa HMAC-SHA256 để đảm bảo tính toàn vẹn
• aes256-cbc-sha1—Mã hóa CBC tiêu chuẩn mã hóa nâng cao AES-256 với thuật toán mã xác thực thông báo băm có khóa HMAC-SHA1 để đảm bảo tính toàn vẹn; đây là mặc định
• aes256-cbc-sha2—Mã hóa CBC tiêu chuẩn mã hóa nâng cao AES-256 với thuật toán mã xác thực thông báo băm có khóa HMAC-SHA256 để đảm bảo tính toàn vẹn

Theo mặc định, các phím IKE được làm mới sau mỗi 4 giờ (14,400 giây). Bạn có thể thay đổi khoảng thời gian khóa lại thành giá trị từ 30 giây đến 14 ngày (1209600 giây):

• vEdge(config)# vpn vpn-id giao diện ipsecnumber ike
• vEdge(config-ike)# giây khóa lại

Để buộc tạo khóa mới cho phiên IKE, hãy đưa ra lệnh yêu cầu ipsec ike-rekey. Đối với IKE, bạn cũng có thể định cấu hình xác thực khóa chia sẻ trước (PSK):

• vEdge(config)# vpn vpn-id giao diện ipsecnumber ike
• vEdge(config-ike)# kiểu xác thực pre-shared-key mật khẩu mật khẩu pre-shared-secret mật khẩu là mật khẩu để sử dụng với khóa chia sẻ trước. Nó có thể là ASCII hoặc chuỗi thập lục phân hoặc có thể là khóa được mã hóa AES. Nếu thiết bị ngang hàng IKE từ xa yêu cầu ID cục bộ hoặc ID từ xa, bạn có thể định cấu hình mã định danh này:
• vEdge(config)# vpn vpn-id giao diện ipsecnumber ike kiểu xác thực
• vEdge(config-authentication-type)# id id cục bộ
• vEdge(config-authentication-type)# id id từ xa

Mã định danh có thể là địa chỉ IP hoặc bất kỳ chuỗi văn bản nào dài từ 1 đến 64 ký tự. Theo mặc định, ID cục bộ là địa chỉ IP nguồn của đường hầm và ID từ xa là địa chỉ IP đích của đường hầm.

Định cấu hình tham số đường hầm IPsec

Bảng 4: Lịch sử tính năng

Tính năng Tên	Thông tin phát hành	Sự miêu tả
Mật mã bổ sung	Cisco SD-WAN phát hành 20.1.1	Tính năng này bổ sung thêm hỗ trợ cho
Hỗ trợ thuật toán cho IPSec		HMAC_SHA256, HMAC_SHA384 và
Đường hầm		Thuật toán HMAC_SHA512 cho
		bảo mật nâng cao.

Theo mặc định, các tham số sau được sử dụng trên đường hầm IPsec mang lưu lượng IKE:

• Xác thực và mã hóa—thuật toán AES-256 trong GCM (chế độ Galois/bộ đếm)
• Khoảng thời gian khóa lại—4 giờ
• Cửa sổ phát lại—32 gói

Bạn có thể thay đổi mã hóa trên đường hầm IPsec thành mật mã AES-256 trong CBC (chế độ chuỗi khối mật mã, với HMAC sử dụng xác thực thông báo hàm băm có khóa SHA-1 hoặc SHA-2 hoặc thành vô hiệu với HMAC bằng cách sử dụng SHA-1 hoặc Xác thực thông báo băm có khóa SHA-2, để không mã hóa đường hầm IPsec được sử dụng cho lưu lượng trao đổi khóa IKE:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# bộ mã hóa (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256-null-sha384 | aes256-null-sha512)

Theo mặc định, các phím IKE được làm mới sau mỗi 4 giờ (14,400 giây). Bạn có thể thay đổi khoảng thời gian khóa lại thành giá trị từ 30 giây đến 14 ngày (1209600 giây):

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# giây khóa lại

Để buộc tạo khóa mới cho đường hầm IPsec, hãy đưa ra lệnh yêu cầu ipsec ipsec-rekey. Theo mặc định, tính bảo mật hoàn hảo về phía trước (PFS) được bật trên các đường hầm IPsec để đảm bảo rằng các phiên trước đây không bị ảnh hưởng nếu các khóa trong tương lai bị xâm phạm. PFS buộc phải trao đổi khóa Diffie-Hellman mới, theo mặc định bằng cách sử dụng nhóm mô-đun chính Diffie-Hellman 4096-bit. Bạn có thể thay đổi cài đặt PFS:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# cài đặt pfs bảo mật hoàn hảo về phía trước

cài đặt pfs có thể là một trong những điều sau đây:

• nhóm-2—Sử dụng nhóm mô đun nguyên tố Diffie-Hellman 1024-bit.
• nhóm-14—Sử dụng nhóm mô đun nguyên tố Diffie-Hellman 2048-bit.
• nhóm-15—Sử dụng nhóm mô đun nguyên tố Diffie-Hellman 3072-bit.
• nhóm-16—Sử dụng nhóm mô đun nguyên tố Diffie-Hellman 4096-bit. Đây là mặc định.
• không—Vô hiệu hóa PFS.

Theo mặc định, cửa sổ phát lại IPsec trên đường hầm IPsec là 512 byte. Bạn có thể đặt kích thước cửa sổ phát lại thành 64, 128, 256, 512, 1024, 2048 hoặc 4096 gói:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# số cửa sổ phát lại

Sửa đổi phát hiện chết ngang hàng của IKE

IKE sử dụng cơ chế phát hiện mạng ngang hàng chết để xác định xem kết nối tới máy ngang hàng IKE có hoạt động tốt và có thể truy cập được hay không. Để thực hiện cơ chế này, IKE gửi gói Hello đến thiết bị ngang hàng của nó và thiết bị ngang hàng sẽ gửi xác nhận để phản hồi. Theo mặc định, IKE gửi các gói Hello cứ sau 10 giây và sau ba gói không được xác nhận, IKE tuyên bố hàng xóm đã chết và chuyển đường hầm tới thiết bị ngang hàng. Sau đó, IKE định kỳ gửi gói Hello đến thiết bị ngang hàng và thiết lập lại đường hầm khi thiết bị ngang hàng trực tuyến trở lại. Bạn có thể thay đổi khoảng thời gian phát hiện sự sống thành giá trị từ 0 đến 65535 và bạn có thể thay đổi số lần thử thành giá trị từ 0 đến 255.

Ghi chú

Đối với VPN truyền tải, khoảng thời gian phát hiện hoạt động được chuyển đổi thành giây bằng cách sử dụng công thức sau: Khoảng thời gian cho số lần thử truyền lại N = khoảng * 1.8N-1For example, nếu khoảng thời gian được đặt thành 10 và thử lại thành 5, khoảng thời gian phát hiện sẽ tăng như sau:

• Nỗ lực 1: 10 * 1.81-1= 10 giây
• Nỗ lực 2: 10 * 1.82-1= 18 giây
• Nỗ lực 3: 10 * 1.83-1= 32.4 giây
• Nỗ lực 4: 10 * 1.84-1= 58.32 giây
• Nỗ lực 5: 10 * 1.85-1= 104.976 giây

vEdge(config-interface-ipsecnumber)# số lần thử lại khoảng thời gian phát hiện ngang hàng chết

Định cấu hình các thuộc tính giao diện khác

Đối với giao diện đường hầm IPsec, bạn chỉ có thể định cấu hình các thuộc tính giao diện bổ sung sau:

• vEdge(config-interface-ipsec)# mtu byte
• vEdge(config-interface-ipsec)# byte tcp-mss-điều chỉnh

Vô hiệu hóa thuật toán mã hóa SSH yếu trên Trình quản lý SD-WAN của Cisco

Bảng 5: Bảng lịch sử tính năng

Tính năng Tên	Thông tin phát hành	Tính năng Sự miêu tả
Vô hiệu hóa thuật toán mã hóa SSH yếu trên Trình quản lý SD-WAN của Cisco	Cisco vQuản lý phiên bản 20.9.1	Tính năng này cho phép bạn vô hiệu hóa các thuật toán SSH yếu hơn trên Trình quản lý SD-WAN của Cisco có thể không tuân thủ các tiêu chuẩn bảo mật dữ liệu nhất định.

Thông tin về việc vô hiệu hóa thuật toán mã hóa SSH yếu trên Cisco SD-WAN Manager
Cisco SD-WAN Manager cung cấp máy khách SSH để liên lạc với các thành phần trong mạng, bao gồm bộ điều khiển và thiết bị biên. Máy khách SSH cung cấp kết nối được mã hóa để truyền dữ liệu an toàn, dựa trên nhiều thuật toán mã hóa. Nhiều tổ chức yêu cầu mã hóa mạnh hơn mã hóa do SHA-1, AES-128 và AES-192 cung cấp. Từ Cisco vManager Phiên bản 20.9.1, bạn có thể tắt các thuật toán mã hóa yếu hơn sau để máy khách SSH không sử dụng các thuật toán này:

• SHA-1
• AES-128
• AES-192

Trước khi tắt các thuật toán mã hóa này, hãy đảm bảo rằng các thiết bị Cisco vEdge, nếu có, trong mạng, đang sử dụng bản phát hành phần mềm muộn hơn Bản phát hành Cisco SD-WAN 18.4.6.

Lợi ích của việc vô hiệu hóa thuật toán mã hóa SSH yếu trên Trình quản lý SD-WAN của Cisco
Việc tắt các thuật toán mã hóa SSH yếu hơn sẽ cải thiện tính bảo mật của giao tiếp SSH và đảm bảo rằng các tổ chức sử dụng Cisco Catalyst SD-WAN đều tuân thủ các quy định bảo mật nghiêm ngặt.

Vô hiệu hóa thuật toán mã hóa SSH yếu trên Trình quản lý SD-WAN của Cisco bằng CLI

1. Từ menu Trình quản lý SD-WAN của Cisco, chọn Công cụ > Thiết bị đầu cuối SSH.
2. Chọn thiết bị Cisco SD-WAN Manager mà bạn muốn tắt các thuật toán SSH yếu hơn.
3. Nhập tên người dùng và mật khẩu để đăng nhập vào thiết bị.
4. Vào chế độ máy chủ SSH.
   • vmanage(config)# hệ thống
   • vmanage(config-system)# ssh-server
5. Thực hiện một trong các thao tác sau để tắt thuật toán mã hóa SSH:
   • Vô hiệu hóa SHA-1:
6. quản lý (config-ssh-server)# không có kex-algo sha1
7. quản lý (config-ssh-server) # cam kết
   Thông báo cảnh báo sau được hiển thị: Các cảnh báo sau đã được tạo: 'system ssh-server kex-algo sha1': CẢNH BÁO: Vui lòng đảm bảo tất cả các cạnh của bạn chạy phiên bản mã > 18.4.6 đàm phán tốt hơn SHA1 với vManager. Nếu không, các cạnh đó có thể trở nên ngoại tuyến. Tiếp tục? [có, không] có
   • Đảm bảo rằng mọi thiết bị Cisco vEdge trong mạng đang chạy Cisco SD-WAN Release 18.4.6 trở lên và nhập có.
   • Vô hiệu hóa AES-128 và AES-192:
   • vmanage(config-ssh-server)# không có mật mã aes-128-192
   • vmanage(config-ssh-server)# cam kết
     Thông báo cảnh báo sau được hiển thị:
     Các cảnh báo sau đã được tạo:
     'system ssh-server cipher aes-128-192': CẢNH BÁO: Vui lòng đảm bảo tất cả các cạnh của bạn chạy phiên bản mã > 18.4.6, đàm phán tốt hơn AES-128-192 với vManager. Nếu không, các cạnh đó có thể trở nên ngoại tuyến. Tiếp tục? [có, không] có
   • Đảm bảo rằng mọi thiết bị Cisco vEdge trong mạng đang chạy Cisco SD-WAN Release 18.4.6 trở lên và nhập có.

Xác minh rằng các thuật toán mã hóa SSH yếu đã bị vô hiệu hóa trên Trình quản lý SD-WAN của Cisco bằng CLI

1. Từ menu Trình quản lý SD-WAN của Cisco, chọn Công cụ > Thiết bị đầu cuối SSH.
2. Chọn thiết bị Cisco SD-WAN Manager mà bạn muốn xác minh.
3. Nhập tên người dùng và mật khẩu để đăng nhập vào thiết bị.
4. Chạy lệnh sau: show Running-config system ssh-server
5. Xác nhận rằng đầu ra hiển thị một hoặc nhiều lệnh vô hiệu hóa thuật toán mã hóa yếu hơn:
   • không có mật mã aes-128-192
   • không có kex-algo sha1

Tài liệu / Tài nguyên

CISCO SD-WAN Cấu hình các thông số bảo mật [tập tin pdf] Hướng dẫn sử dụng SD-WAN Cấu hình tham số bảo mật, SD-WAN, Cấu hình tham số bảo mật, Tham số bảo mật

Tài liệu tham khảo

• Hướng dẫn sử dụng