אינהאַלט באַהאַלטן
1 CISCO SD-WAN קאַנפיגיער זיכערהייט פּאַראַמעטערס
2 קאַנפיגיער זיכערהייט פּאַראַמעטערס
3 קאַנפיגיער קאָנטראָל פּלאַנע זיכערהייַט פּאַראַמעטערס
4 קאַנפיגיער DTLS אין Cisco SD-WAN Manager
5 קאַנפיגיער דאַטאַ פּליין זיכערהייַט פּאַראַמעטערס
6 קאַנפיגיער דערלויבט אָטענטאַקיישאַן טייפּס
7 טוישן די רעקייינג טיימער
8 טוישן די גרייס פון די אַנטי-ריפּלייַ פֿענצטער
9 קאַנפיגיער אַן IPsec סטאַטיק רוט
10 קאַנפיגיער IPsec טוננעל פּאַראַמעטערס
11 מאָדיפיצירן IKE דעד-פּיער דעטעקשאַן
12 קאַנפיגיער אנדערע צובינד פּראָפּערטיעס
13 דיסייבאַל וויק סש ענקריפּשאַן אַלגערידאַמז אויף סיסקאָ סד-וואַן מאַנאַגער
14 דאָקומענטן / רעסאָורסעס
14.1 רעפערענצן

סיסקאָ-לאָגאָ

CISCO SD-WAN קאַנפיגיער זיכערהייט פּאַראַמעטערס

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

קאַנפיגיער זיכערהייט פּאַראַמעטערס

באַמערקונג

צו דערגרייכן סימפּלאַפיקיישאַן און קאָנסיסטענסי, די Cisco SD-WAN לייזונג איז ריבראַנדיד ווי Cisco Catalyst SD-WAN. אין אַדישאַן, פֿון Cisco IOS XE SD-WAN Release 17.12.1a און Cisco Catalyst SD-WAN Release 20.12.1, די פאלגענדע קאָמפּאָנענט ענדערונגען זענען אָנווענדלעך: Cisco vManage צו Cisco Catalyst SD-WAN Manager, Cisco vAnalytics צו Cisco Catalyst SD-WAN אַנאַליטיקס, Cisco vBond to Cisco Catalyst SD-WAN Validator און Cisco vSmart to Cisco Catalyst SD-WAN Controller. זען די לעצטע מעלדונג נאָטעס פֿאַר אַ פולשטענדיק רשימה פון אַלע די קאָמפּאָנענט סאָרט נאָמען ענדערונגען. בשעת מיר יבערגאַנג צו די נייַע נעמען, עטלעכע ינגקאַנסיסטענסיז קען זיין פאָרשטעלן אין די דאַקיומענטיישאַן שטעלן ווייַל פון אַ פאַסעד צוגאַנג צו דער באַניצער צובינד דערהייַנטיקונגען פון די ווייכווארג פּראָדוקט.

דער אָפּטיילונג באשרייבט ווי צו טוישן זיכערהייט פּאַראַמעטערס פֿאַר די קאָנטראָל פלאַך און די דאַטן פלאַך אין די Cisco Catalyst SD-WAN אָוווערליי נעץ.

  • קאַנפיגיער קאָנטראָל פּלאַנע זיכערהייַט פּאַראַמעטערס, אויף
  • קאַנפיגיער דאַטאַ פּלאַנע זיכערהייַט פּאַראַמעטערס, אויף
  • קאַנפיגיער IKE-Enabled IPsec טאַנאַלז, אויף
  • דיסייבאַל וויק SSH ענקריפּשאַן אַלגערידאַמז אויף Cisco SD-WAN Manager, אויף

קאַנפיגיער קאָנטראָל פּלאַנע זיכערהייַט פּאַראַמעטערס

דורך פעליקייַט, די קאָנטראָל פלאַך ניצט DTLS ווי דער פּראָטאָקאָל וואָס גיט פּריוואַטקייט אויף אַלע זיין טאַנאַלז. DTLS לויפט איבער UDP. איר קענען טוישן די קאָנטראָל פלאַך זיכערהייט פּראָטאָקאָל צו TLS, וואָס לויפט איבער TCP. די ערשטיק סיבה צו נוצן TLS איז אַז אויב איר באַטראַכטן די Cisco SD-WAN קאָנטראָללער צו זיין אַ סערווער, פירעוואַללס באַשיצן TCP סערווערס בעסער ווי UDP סערווערס. איר קאַנפיגיער די קאָנטראָל פלאַך טונעל פּראָטאָקאָל אויף אַ סיסקאָ סד-וואַן קאָנטראָללער: vSmart(config) # זיכערהייַט קאָנטראָל פּראָטאָקאָל tls מיט דעם ענדערונג, אַלע קאָנטראָל פלאַך טאַנאַלז צווישן די סיסקאָ סד-וואַן קאָנטראָללער און די ראָוטערס און צווישן די סיסקאָ סד-וואַן קאָנטראָללער און Cisco SD-WAN Manager נוצן TLS. קאָנטראָל פלאַך טאַנאַלז צו Cisco Catalyst SD-WAN Validator שטענדיק נוצן DTLS, ווייַל די קאַנעקשאַנז מוזן זיין כאַנדאַלד דורך UDP. אין אַ פעלד מיט קייפל סיסקאָ סד-וואַן קאַנטראָולערז, ווען איר קאַנפיגיער TLS אויף איינער פון די סיסקאָ סד-וואַן קאָנטראָללער, אַלע קאָנטראָל פלאַך טאַנאַלז פון דעם קאָנטראָללער צו די אנדערע קאַנטראָולערז נוצן TLS. האט געזאגט אן אנדער וועג, TLS שטענדיק פּריידיד איבער DTLS. אָבער, פֿון דער פּערספּעקטיוו פון די אנדערע Cisco SD-WAN קאָנטראָללער, אויב איר האָט נישט קאַנפיגיערד TLS אויף זיי, זיי נוצן TLS אויף די קאָנטראָל פלאַך טונעל בלויז צו די איין Cisco SD-WAN קאָנטראָללער, און זיי נוצן DTLS טאַנאַלז צו אַלע די אנדערע. Cisco SD-WAN קאַנטראָולערז און אַלע זייער קאָננעקטעד ראָוטערס. כּדי אַלע Cisco SD-WAN קאַנטראָולערז נוצן TLS, קאַנפיגיער עס אויף זיי אַלע. דורך פעליקייַט, די Cisco SD-WAN קאָנטראָללער ליסאַנז אויף פּאָרט 23456 פֿאַר TLS ריקוועס. צו טוישן דעם: vSmart(config) # זיכערהייַט קאָנטראָל tls-פּאָרט נומער די פּאָרט קענען זיין אַ נומער פון 1025 ביז 65535. צו אַרויסווייַזן קאָנטראָל פלאַך זיכערהייט אינפֿאָרמאַציע, נוצן די ווייַזן קאָנטראָל קאַנעקשאַנז באַפֿעל אויף די סיסקאָ סד-וואַן קאָנטראָללער. פֿאַר עקסample: vSmart-2 # ווייַזן קאָנטראָל קאַנעקשאַנז

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

קאַנפיגיער DTLS אין Cisco SD-WAN Manager

אויב איר קאַנפיגיער די Cisco SD-WAN מאַנאַגער צו נוצן TLS ווי די קאָנטראָל פלאַך זיכערהייט פּראָטאָקאָל, איר מוזן געבן פּאָרט פאָרווערדינג אויף דיין NAT. אויב איר נוצן DTLS ווי די קאָנטראָל פלאַך זיכערהייט פּראָטאָקאָל, איר טאָן ניט דאַרפֿן צו טאָן עפּעס. די נומער פון פאָרווערדיד פּאָרץ דעפּענדס אויף די נומער פון וודאַעמאָן פּראַסעסאַז פליסנדיק אויף די Cisco SD-WAN מאַנאַגער. צו ווייַזן אינפֿאָרמאַציע וועגן די פּראַסעסאַז און וועגן און די נומער פון פּאָרץ וואָס זענען פאָרווערדיד, נוצן די ווייַזן קאָנטראָל קיצער באַפֿעל ווייזט אַז פיר דיימאַן פּראַסעסאַז זענען פליסנדיק:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

צו זען די צוגעהערט פּאָרץ, נוצן די ווייַזן קאָנטראָל היגע פּראָפּערטיעס: vManage # ווייַזן קאָנטראָל היגע פּראָפּערטיעס

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

דער רעזולטאַט ווייזט אַז די צוגעהערט טקפּ פּאָרט איז 23456. אויב איר לויפן Cisco SD-WAN מאַנאַגער הינטער אַ NAT, איר זאָל עפענען די פאלגענדע פּאָרץ אויף די NAT ​​מיטל:

  • 23456 (באַזע - בייַשפּיל 0 פּאָרט)
  • 23456 + 100 (באַזע + 100)
  • 23456 + 200 (באַזע + 200)
  • 23456 + 300 (באַזע + 300)

באַמערקונג אַז די נומער פון ינסטאַנסיז איז די זעלבע ווי די נומער פון קאָרעס איר האָבן אַסיינד פֿאַר די Cisco SD-WAN מאַנאַגער, אַרויף צו אַ מאַקסימום פון 8.

קאַנפיגיער זיכערהייט פּאַראַמעטערס ניצן די זיכערהייַט שטריך מוסטער

ניצן די זיכערהייט שטריך מוסטער פֿאַר אַלע Cisco vEdge דעוויסעס. אויף די ברעג ראָוטערס און אויף די Cisco SD-WAN Validator, נוצן דעם מוסטער צו קאַנפיגיער IPsec פֿאַר דאַטן פלאַך זיכערהייט. אויף Cisco SD-WAN Manager און Cisco SD-WAN Controller, נוצן די זיכערהייט שטריך מוסטער צו קאַנפיגיער DTLS אָדער TLS פֿאַר קאָנטראָל פלאַך זיכערהייט.

קאַנפיגיער זיכערהייט פּאַראַמעטערס

  1. פון די Cisco SD-WAN מאַנאַגער מעניו, קלייַבן קאָנפיגוראַטיאָן > טעמפּלאַטעס.
  2. דריקט שטריך טעמפּלאַטעס און דעמאָלט גיט לייג מוסטער.
    באַמערקונג אין Cisco vManage Release 20.7.1 און פריער ריליסיז, שטריך טעמפּלאַטעס איז גערופן פיטשער.
  3. פון די דעוויסעס רשימה אין די לינקס שויב, קלייַבן אַ מיטל. די טעמפּלאַטעס אָנווענדלעך צו די אויסגעקליבן מיטל דערשייַנען אין די רעכט שויב.
  4. דריקט זיכערהייט צו עפֿענען דעם מוסטער.
  5. אין די מוסטער נאָמען פעלד, אַרייַן אַ נאָמען פֿאַר די מוסטער. דער נאָמען קען זיין אַרויף צו 128 אותיות און קענען אַנטהאַלטן בלויז אַלפאַנומעריק אותיות.
  6. אין די מוסטער באַשרייַבונג פעלד, אַרייַן אַ באַשרייַבונג פון די מוסטער. די באַשרייַבונג קענען זיין אַרויף צו 2048 אותיות און קענען אַנטהאַלטן בלויז אַלפאַנומעריק אותיות.

ווען איר ערשטער עפֿענען אַ שטריך מוסטער, פֿאַר יעדער פּאַראַמעטער וואָס האט אַ פעליקייַט ווערט, די פאַרנעם איז באַשטימט צו פעליקייַט (ינדיקאַטעד דורך אַ טשעקמאַרק), און די פעליקייַט באַשטעטיקן אָדער ווערט איז געוויזן. צו טוישן די פעליקייַט אָדער צו אַרייַן אַ ווערט, גיט די פאַרנעם פאַל-אַראָפּ מעניו צו די לינקס פון די פּאַראַמעטער פעלד און קלייַבן איינער פון די פאלגענדע:

טיש 1:

פּאַראַמעטער פאַרנעם פאַרנעם באַשרייַבונג
מיטל ספּעציפיש (ינדיקייץ דורך אַ באַלעבאָס ייקאַן) ניצן אַ מיטל-ספּעציפיש ווערט פֿאַר דעם פּאַראַמעטער. פֿאַר מיטל-ספּעציפיש פּאַראַמעטערס, איר קענען נישט אַרייַן אַ ווערט אין די שטריך מוסטער. איר אַרייַן די ווערט ווען איר צוטשעפּען אַ Viptela מיטל צו אַ מיטל מוסטער.

ווען איר גיט דיווייס ספּעציפיש, די אַרייַן שליסל קעסטל אָפּענס. דעם קעסטל דיספּלייז אַ שליסל, וואָס איז אַ יינציק שטריקל וואָס יידענאַפייד די פּאַראַמעטער אין אַ קסוו file אַז איר מאַכן. דאס file איז אַן עקססעל ספּרעדשיט וואָס כּולל איין זייַל פֿאַר יעדער שליסל. די כעדער רודערן כּולל די שליסל נעמען (איין שליסל פּער זייַל), און יעדער רודערן נאָך קאָראַספּאַנדז צו אַ מיטל און דיפיינז די וואַלועס פון די שליסלען פֿאַר דעם מיטל. איר ופּלאָאַד די CSV file ווען איר צוטשעפּען אַ Viptela מיטל צו אַ מיטל מוסטער. פֿאַר מער אינפֿאָרמאַציע, זען שאַפֿן אַ מוסטער וואַריאַבלעס ספּרעדשיט.

צו טוישן די פעליקייַט שליסל, טיפּ אַ נייַע שטריקל און מאַך די לויפֿער פון די אַרייַן שליסל קעסטל.

Exampליי פון מיטל-ספּעציפיש פּאַראַמעטערס זענען סיסטעם IP אַדרעס, האָסטנאַמע, גפּס אָרט און פּלאַץ שייַן.
פּאַראַמעטער פאַרנעם פאַרנעם באַשרייַבונג
גלאבאלע (געצייכנט דורך אַ גלאָבוס בילדל) אַרייַן אַ ווערט פֿאַר דעם פּאַראַמעטער, און צולייגן דעם ווערט צו אַלע דעוויסעס.

Exampדי פּאַראַמעטערס וואָס איר קען צולייגן גלאָובאַלי צו אַ גרופּע פון ​​​​דיווייסאַז זענען דנס סערווער, סיסלאָג סערווער און צובינד MTUs.

קאַנפיגיער קאָנטראָל פּלאַנע זיכערהייַט

באַמערקונג
די קאָנפיגורע קאָנטראָל פלאַך זיכערהייט אָפּטיילונג אַפּלייז בלויז צו די סיסקאָ סד-וואַן מאַנאַגער און סיסקאָ סד-וואַן קאָנטראָללער. און קאַנפיגיער די פאלגענדע פּאַראַמעטערס:

טיש 2:

פּאַראַמעטער נאָמען באַשרייַבונג
פּראָטאָקאָל קלייַבן די פּראָטאָקאָל צו נוצן אויף קאָנטראָל פלאַך קאַנעקשאַנז צו אַ Cisco SD-WAN קאָנטראָללער:

• DTLS (דאַtagבאַראַן אַריבערפירן לייַער זיכערהייַט). דאס איז די פעליקייַט.

• TLS (Transport Layer Security)
קאָנטראָל TLS פּאָרט אויב איר האָט אויסגעקליבן TLS, קאַנפיגיער די פּאָרט נומער צו נוצן:קייט: 1025 ביז 65535פעליקייַט: 23456

דריקט היט

קאַנפיגיער דאַטאַ פּלאַנע זיכערהייַט
צו קאַנפיגיער דאַטן פלאַך זיכערהייט אויף אַ Cisco SD-WAN וואַלידאַטאָר אָדער אַ Cisco vEdge ראַוטער, קלייַבן די טאַבס פון באַסיק קאָנפיגוראַטיאָן און אָטענטאַקיישאַן טיפּ און קאַנפיגיער די פאלגענדע פּאַראַמעטערס:

טיש 3:

פּאַראַמעטער נאָמען באַשרייַבונג
רעקיי צייט ספּעציפיצירן ווי אָפט אַ Cisco vEdge ראַוטער ענדערונגען די AES שליסל געניצט אויף זיין זיכער DTLS פֿאַרבינדונג צו די Cisco SD-WAN קאָנטראָללער. אויב OMP גראַציעז ריסטאַרט איז ענייבאַלד, די ריקייינג צייט מוזן זיין בייַ מינדסטער צוויי מאָל די ווערט פון די OMP גראַציעז ריסטאַרט טייַמער.קייט: 10 צו 1209600 סעקונדעס (14 טעג)פעליקייַט: 86400 סעקונדעס (24 שעה)
ריפּליי פֿענצטער ספּעציפיצירן די גרייס פון די סליידינג ריפּליי פֿענצטער.

ווערטן: 64, 128, 256, 512, 1024, 2048, 4096, 8192 פּאַקיץפעליקייַט: 512 פּאַקאַץ
IPsec

פּאָרווייז-קייינג

 דעם איז אויסגעדרייט אַוועק דורך פעליקייַט. דריקט On צו קער עס אויף.
פּאַראַמעטער נאָמען באַשרייַבונג
אָטענטאַקיישאַן טיפּ אויסקלייַבן די אָטענטאַקיישאַן טייפּס פון די אָטענטאַקיישאַן רשימה, און גיט די פייַל ווייזן רעכט צו מאַך די אָטענטאַקיישאַן טייפּס צו די אויסגעקליבן רשימה זייַל.

אָטענטאַקיישאַן טייפּס געשטיצט פֿון Cisco SD-WAN Release 20.6.1:

•  esp: ינייבאַלז ענקאַפּסאַלייטינג זיכערהייַט פּיילאָוד (ESP) ענקריפּשאַן און אָרנטלעכקייַט קאָנטראָלירונג אויף די ESP כעדער.

•  ip-udp-esp: ינייבאַלז ESP ענקריפּשאַן. אין אַדישאַן צו די אָרנטלעכקייַט טשעקס אויף די ESP כעדער און פּיילאָוד, די טשעקס אויך אַרייַננעמען די ויסווייניקסט IP און UDP כעדערז.

•  ip-udp-esp-no-id: יגנאָרז די שייַן פעלד אין די IP כעדער אַזוי אַז Cisco Catalyst SD-WAN קענען אַרבעטן אין קאַנדזשאַנגקשאַן מיט ניט-סיסקאָ דעוויסעס.

•  גאָרניט: קערט אָרנטלעכקייַט קאָנטראָלירונג אַוועק אויף IPSec פּאַקיץ. מיר רעקאָמענדירן נישט צו נוצן דעם אָפּציע.

 

אָטענטאַקיישאַן טייפּס געשטיצט אין Cisco SD-WAN Release 20.5.1 און פריער:

•  אַה-קיין-יד: געבן אַן ימפּרוווד ווערסיע פון ​​AH-SHA1 HMAC און ESP HMAC-SHA1 וואָס יגנאָרז די שייַן פעלד אין די ויסווייניקסט IP כעדער פון די פּאַקאַט.

•  אַה-שאַ1-המאַק: געבן AH-SHA1 HMAC און ESP HMAC-SHA1.

•  גאָרניט: אויסקלייַבן קיין אָטענטאַקיישאַן.

•  sha1-hmac: געבן ESP HMAC-SHA1.

 

באַמערקונג              פֿאַר אַ ברעג מיטל פליסנדיק אויף Cisco SD-WAN Release 20.5.1 אָדער פריער, איר קען האָבן קאַנפיגיערד אָטענטאַקיישאַן טייפּס ניצן אַ זיכערהייַט מוסטער. ווען איר אַפּגרייד די מיטל צו Cisco SD-WAN Release 20.6.1 אָדער שפּעטער, דערהייַנטיקן די אויסגעקליבן אָטענטאַקיישאַן טייפּס אין די זיכערהייַט מוסטער צו די אָטענטאַקיישאַן טייפּס געשטיצט פֿון Cisco SD-WAN Release 20.6.1. צו דערהייַנטיקן די אָטענטאַקיישאַן טייפּס, טאָן די פאלגענדע:

1.      פון די Cisco SD-WAN מאַנאַגער מעניו, קלייַבן קאָנפיגוראַטיאָן >

טעמפּלאַטעס.

2.      דריקט שטריך טעמפּלאַטעס.

3.      געפֿינען די זיכערהייַט מוסטער צו דערהייַנטיקן און גיט ... און גיט רעדאַגירן.

4.      דריקט דערהייַנטיקן. צי ניט מאָדיפיצירן קיין קאַנפיגיעריישאַן.

Cisco SD-WAN Manager דערהייַנטיקט די זיכערהייַט מוסטער צו ווייַזן די שטיצט אָטענטאַקיישאַן טייפּס.

דריקט היט.

קאַנפיגיער דאַטאַ פּליין זיכערהייַט פּאַראַמעטערס

אין די דאַטן פלאַך, IPsec איז ענייבאַלד דורך פעליקייַט אויף אַלע ראָוטערס, און דורך פעליקייַט IPsec טונעל קאַנעקשאַנז נוצן אַ ענכאַנסט ווערסיע פון ​​די ענקאַפּסולאַטינג סעקוריטי פּיילאָוד (ESP) פּראָטאָקאָל פֿאַר אָטענטאַקיישאַן אויף IPsec טאַנאַלז. אויף די ראָוטערס, איר קענען טוישן די טיפּ פון אָטענטאַקיישאַן, די IPsec ריקייינג טייַמער און די גרייס פון די IPsec אַנטי-ריפּליי פֿענצטער.

קאַנפיגיער דערלויבט אָטענטאַקיישאַן טייפּס

אָטענטאַקיישאַן טייפּס אין Cisco SD-WAN מעלדונג 20.6.1 און שפּעטער
פֿון Cisco SD-WAN Release 20.6.1, די פאלגענדע אָרנטלעכקייַט טייפּס זענען געשטיצט:

  • esp: דעם אָפּציע ינייבאַלז ענקאַפּסולאַטינג סעקוריטי פּיילאָוד (ESP) ענקריפּשאַן און אָרנטלעכקייַט קאָנטראָלירונג אויף די ESP כעדער.
  • ip-udp-esp: דעם אָפּציע ינייבאַלז ESP ענקריפּשאַן. אין אַדישאַן צו די אָרנטלעכקייַט טשעקס אויף די ESP כעדער און די פּיילאָוד, די טשעקס אויך אַרייַננעמען די ויסווייניקסט IP און UDP כעדערז.
  • ip-udp-esp-no-id: די אָפּציע איז ענלעך צו ip-udp-esp, אָבער, די ID פעלד פון די ויסווייניקסט IP כעדער איז איגנאָרירט. קאַנפיגיער דעם אָפּציע אין דער רשימה פון אָרנטלעכקייַט טייפּס צו האָבן די Cisco Catalyst SD-WAN ווייכווארג איגנאָרירן די שייַן פעלד אין די IP כעדער אַזוי אַז די Cisco Catalyst SD-WAN קענען אַרבעטן אין קאַנדזשאַנגקשאַן מיט ניט-Cisco דעוויסעס.
  • גאָרניט: די אָפּציע טורנס אָרנטלעכקייַט קאָנטראָלירונג אויף IPSec פּאַקיץ. מיר רעקאָמענדירן נישט צו נוצן דעם אָפּציע.

דורך פעליקייַט, IPsec טונעל קאַנעקשאַנז נוצן אַ ענכאַנסט ווערסיע פון ​​די ענקאַפּסולאַטינג סעקוריטי פּיילאָוד (ESP) פּראָטאָקאָל פֿאַר אָטענטאַקיישאַן. צו מאָדיפיצירן די ניגאָושיייטיד ינטעראַטי טייפּס אָדער צו דיסייבאַל אָרנטלעכקייַט טשעק, נוצן די פאלגענדע באַפֿעל: אָרנטלעכקייַט-טיפּ { גאָרניט | ip-udp-esp | ip-udp-esp-no-id | esp }

אָטענטאַקיישאַן טייפּס איידער Cisco SD-WAN מעלדונג 20.6.1
דורך פעליקייַט, IPsec טונעל קאַנעקשאַנז נוצן אַ ענכאַנסט ווערסיע פון ​​די ענקאַפּסולאַטינג סעקוריטי פּיילאָוד (ESP) פּראָטאָקאָל פֿאַר אָטענטאַקיישאַן. צו מאָדיפיצירן די ניגאָושיייטיד אָטענטאַקיישאַן טייפּס אָדער צו דיסייבאַל אָטענטאַקיישאַן, נוצן די פאלגענדע באַפֿעל: Device (config) # זיכערהייַט ipsec אָטענטאַקיישאַן-טיפּ (ah-sha1-hmac | ah-no-id | sha1-hmac | | גאָרניט) דורך פעליקייַט, IPsec טונעל קאַנעקשאַנז נוצן AES-GCM-256, וואָס גיט ענקריפּשאַן און אָטענטאַקיישאַן. קאַנפיגיער יעדער אָטענטאַקיישאַן טיפּ מיט אַ באַזונדער זיכערהייט ipsec אָטענטאַקיישאַן-טיפּ באַפֿעל. די באַפֿעל אָפּציעס מאַפּע צו די פאלגענדע אָטענטאַקיישאַן טייפּס, וואָס זענען ליסטעד אין סדר פון רובֿ שטאַרק צו מינדסטער שטאַרק:

באַמערקונג
די sha1 אין די קאַנפיגיעריישאַן אָפּציעס איז געניצט פֿאַר היסטארישע סיבות. די אָטענטאַקיישאַן אָפּציעס אָנווייַזן ווי פיל פון די פּאַקאַט אָרנטלעכקייַט קאָנטראָלירונג איז דורכגעקאָכט. זיי טאָן ניט ספּעציפיצירן די אַלגערידאַם וואָס טשעקס די אָרנטלעכקייַט. אַחוץ פֿאַר די ענקריפּשאַן פון מולטיקאַסט פאַרקער, די אָטענטאַקיישאַן אַלגערידאַמז געשטיצט דורך Cisco Catalyst SD WAN טאָן ניט נוצן SHA1. אָבער אין Cisco SD-WAN Release 20.1.x און העכער, ביידע וניקאַסט און מולטיקאַסט טאָן ניט נוצן SHA1.

  • ah-sha1-hmac ינייבאַלז ענקריפּשאַן און ענקאַפּסולאַטיאָן ניצן ESP. אָבער, אין אַדישאַן צו די אָרנטלעכקייַט טשעקס אויף די ESP כעדער און פּיילאָוד, די טשעקס אויך אַרייַננעמען די ויסווייניקסט IP און UDP כעדערז. דערפֿאַר, דעם אָפּציע שטיצט אַן אָרנטלעכקייַט טשעק פון די פּאַקאַט ענלעך צו די אָטענטאַקיישאַן כעדער (AH) פּראָטאָקאָל. כל אָרנטלעכקייַט און ענקריפּשאַן איז דורכגעקאָכט מיט AES-256-GCM.
  • ah-no-id ינייבאַלז אַ מאָדע וואָס איז ענלעך צו ah-sha1-hmac, אָבער, די ID פעלד פון די ויסווייניקסט IP כעדער איז איגנאָרירט. דער אָפּציע אַקאַמאַדייץ עטלעכע ניט-Cisco Catalyst SD-WAN דעוויסעס, אַרייַנגערעכנט די עפּל אַירפּאָרט עקספּרעסס NAT, וואָס האָבן אַ זשוק וואָס מאכט די שייַן פעלד אין די IP כעדער, אַ ניט-מיוטאַבאַל פעלד, צו זיין מאַדאַפייד. קאַנפיגיער די אַה-קיין-שייַן אָפּציע אין דער רשימה פון אָטענטאַקיישאַן טייפּס צו האָבן די Cisco Catalyst SD-WAN AH ווייכווארג איגנאָרירן די שייַן פעלד אין די IP כעדער אַזוי אַז די Cisco Catalyst SD-WAN ווייכווארג קענען אַרבעטן אין קאַנדזשאַנגקשאַן מיט די דעוויסעס.
  • sha1-hmac ינייבאַלז ESP ענקריפּשאַן און אָרנטלעכקייַט קאָנטראָלירונג.
  • קיין מאַפּס צו קיין אָטענטאַקיישאַן. דער אָפּציע זאָל זיין געוויינט בלויז אויב עס איז פארלאנגט פֿאַר צייַטווייַליק דיבאַגינג. איר קענען אויך קלייַבן דעם אָפּציע אין סיטואַטיאָנס ווו דאַטן פלאַך אָטענטאַקיישאַן און אָרנטלעכקייַט זענען נישט אַ דייַגע. Cisco קען נישט רעקאָמענדירן צו נוצן דעם אָפּציע פֿאַר פּראָדוקציע נעטוואָרקס.

פֿאַר אינפֿאָרמאַציע וועגן וואָס דאַטן פּאַקאַט פעלדער זענען אַפעקטאַד דורך די אָטענטאַקיישאַן טייפּס, זען Data Plane Integrity. Cisco IOS XE Catalyst SD-WAN דעוויסעס און Cisco vEdge דעוויסעס מעלדן זייער קאַנפיגיערד אָטענטאַקיישאַן טייפּס אין זייער TLOC פּראָפּערטיעס. די צוויי ראָוטערס אויף יעדער זייַט פון אַן IPsec טונעל פֿאַרבינדונג פאַרהאַנדלען די אָטענטאַקיישאַן צו נוצן אויף די פֿאַרבינדונג צווישן זיי, ניצן די סטראָנגעסט אָטענטאַקיישאַן טיפּ וואָס איז קאַנפיגיערד אויף ביידע ראָוטערס. פֿאַר עקסampאויב איינער ראַוטער אַדווערטייזיז די ah-sha1-hmac און ah-no-id טייפּס, און אַ צווייטער ראַוטער אַדווערטייזיז די ah-no-id טיפּ, די צוויי ראָוטערס פאַרהאַנדלען צו נוצן ah-no-id אויף די IPsec טונעל פֿאַרבינדונג צווישן זיי. אויב קיין פּראָסט אָטענטאַקיישאַן טייפּס זענען קאַנפיגיערד אויף די צוויי פּירז, קיין IPsec טונעל איז געגרינדעט צווישן זיי. די ענקריפּשאַן אַלגערידאַם אויף IPsec טונעל קאַנעקשאַנז דעפּענדס אויף דעם טיפּ פון פאַרקער:

  • פֿאַר וניקאַסט פאַרקער, די ענקריפּשאַן אַלגערידאַם איז AES-256-GCM.
  • פֿאַר מולטיקאַסט פאַרקער:
  • Cisco SD-WAN מעלדונג 20.1.x און שפּעטער - די ענקריפּשאַן אַלגערידאַם איז AES-256-GCM
  • פריער ריליסיז - די ענקריפּשאַן אַלגערידאַם איז AES-256-CBC מיט SHA1-HMAC.

ווען די IPsec אָטענטאַקיישאַן טיפּ איז פארענדערט, די AES שליסל פֿאַר די דאַטן דרך איז פארענדערט.

טוישן די רעקייינג טיימער

איידער Cisco IOS XE Catalyst SD-WAN דעוויסעס און Cisco vEdge דעוויסעס קענען וועקסל דאַטן פאַרקער, זיי שטעלן זיך אַ זיכער אָטענטאַקייטאַד קאָמוניקאַציע קאַנאַל צווישן זיי. די ראָוטערס נוצן IPSec טאַנאַלז צווישן זיי ווי דער קאַנאַל, און די AES-256 סייפער צו דורכפירן ענקריפּשאַן. יעדער ראַוטער דזשענערייץ אַ נייַע AES שליסל פֿאַר זיין דאַטן דרך פּיריאַדיקלי. דורך פעליקייַט, אַ שליסל איז גילטיק פֿאַר 86400 סעקונדעס (24 שעה), און די טייַמער קייט איז 10 סעקונדעס צו 1209600 סעקונדעס (14 טעג). צו טוישן די רעקיי טייַמער ווערט: Device (config) # security ipsec rekey seconds די קאַנפיגיעריישאַן קוקט ווי דאָס:

  • זיכערהייט ipsec רעקיי סעקונדעס!

אויב איר ווילן צו דזשענערייט נייַ IPsec שליסלען גלייך, איר קענען טאָן דאָס אָן מאָדיפיצירן די קאַנפיגיעריישאַן פון די ראַוטער. צו טאָן דאָס, אַרויסגעבן די בעטן זיכערהייַט ipsecrekey באַפֿעל אויף די קאַמפּראַמייזד ראַוטער. פֿאַר עקסampדי פאלגענדע רעזולטאַט ווייזט אַז די היגע סאַ האט אַ זיכערהייט פּאַראַמעטער אינדעקס (SPI) פון 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

א יינציק שליסל איז פארבונדן מיט יעדער SPI. אויב דער שליסל איז קאַמפּראַמייזד, נוצן די בעטן זיכערהייַט ipsec-rekey באַפֿעל צו דזשענערייט אַ נייַע שליסל גלייך. דעם באַפֿעל ינקראַמאַנץ די SPI. אין אונדזער עקסampליי, די SPI ענדערונגען צו 257 און דער שליסל פֿאַרבונדן מיט עס איז איצט געניצט:

  • דיווייס # בעטן זיכערהייט ipsecrekey
  • מיטל # ווייַזן Ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

נאָך די נייַע שליסל איז דזשענערייטאַד, די ראַוטער סענדז עס גלייך צו די Cisco SD-WAN קאָנטראָללער ניצן DTLS אָדער TLS. די סיסקאָ סד-וואַן קאַנטראָולערז שיקן די שליסל צו די ייַנקוקנ ראָוטערס. די ראָוטערס אָנהייבן ניצן עס ווי באַלד ווי זיי באַקומען עס. באַמערקונג אַז דער שליסל פֿאַרבונדן מיט די אַלט SPI (256) וועט פאָרזעצן צו זיין געוויינט פֿאַר אַ קורץ צייט ביז עס צייט אויס. צו האַלטן ניצן די אַלט שליסל מיד, אַרויסגעבן די בעטן זיכערהייט ipsec-rekey באַפֿעל צוויי מאָל, אין שנעל סאַקסעשאַן. די סיקוואַנס פון קאַמאַנדז רימוווז ביידע SPI 256 און 257 און שטעלט די SPI צו 258. דער ראַוטער ניצט די פֿאַרבונדן שליסל פון SPI 258. באַמערקונג, אָבער, אַז עטלעכע פּאַקיץ וועט זיין דראַפּט פֿאַר אַ קורץ צייט ביז אַלע די ווייַט ראָוטערס לערנען די נייע שליסל.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

טוישן די גרייס פון די אַנטי-ריפּלייַ פֿענצטער

IPsec אָטענטאַקיישאַן גיט אַנטי-ריפּליי שוץ דורך אַסיינינג אַ יינציק סיקוואַנס נומער צו יעדער פּאַקאַט אין אַ דאַטן טייַך. דעם סיקוואַנס נאַמבערינג פּראַטעקץ קעגן אַ אַטאַקער דופּליקאַט דאַטן פּאַקיץ. מיט אַנטי-ריפּליי שוץ, די סענדער אַסיינד מאַנאַטאַניקלי ינקריסינג סיקוואַנס נומערן, און די דעסטיניישאַן טשעקס די סיקוואַנס נומערן צו דעטעקט דופּליקאַטן. ווייַל פּאַקיץ אָפט קומען אין סדר, די דעסטיניישאַן האלט אַ סליידינג פֿענצטער פון סיקוואַנס נומערן וואָס עס וועט אָננעמען.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

פּאַקיץ מיט סיקוואַנס נומערן וואָס פאַלן צו די לינקס פון די סליידינג פֿענצטער קייט זענען געהאלטן אַלט אָדער דופּליקאַטן, און די דעסטיניישאַן טראפנס זיי. דער דעסטיניישאַן טראַקס די העכסטן סיקוואַנס נומער עס האט באקומען, און אַדזשאַסטיד די סליידינג פֿענצטער ווען עס נעמט אַ פּאַקאַט מיט אַ העכער ווערט.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

דורך פעליקייַט, די סליידינג פֿענצטער איז באַשטימט צו 512 פּאַקיץ. עס קענען זיין באַשטימט צו קיין ווערט צווישן 64 און 4096 וואָס איז אַ מאַכט פון 2 (דאָס איז, 64, 128, 256, 512, 1024, 2048, אָדער 4096). צו מאָדיפיצירן די אַנטי-ריפּליי פֿענצטער גרייס, נוצן די רעפּלייַ-פֿענצטער באַפֿעל, ספּעציפיצירן די גרייס פון דעם פֿענצטער:

Device (config) # זיכערהייט ipsec ריפּליי פֿענצטער נומער

די קאַנפיגיעריישאַן קוקט ווי דאָס:
זיכערהייט ipsec ריפּליי-פֿענצטער נומער! !

צו העלפן מיט QoS, באַזונדער ריפּליי פֿענצטער זענען מיינטיינד פֿאַר יעדער פון די ערשטער אַכט פאַרקער טשאַנאַלז. די קאַנפיגיערד ריפּליי פֿענצטער גרייס איז צעטיילט דורך אַכט פֿאַר יעדער קאַנאַל. אויב QoS איז קאַנפיגיערד אויף אַ ראַוטער, דער ראַוטער קען דערפאַרונג אַ גרעסערע ווי-געריכט נומער פון פּאַקאַט טראפנס ווי אַ רעזולטאַט פון די IPsec אַנטי-ריפּליי מעקאַניזאַם, און פילע פון ​​די פּאַקיץ וואָס זענען דראַפּט זענען לאַדזשיטאַמאַט אָנעס. דאָס אַקערז ווייַל QoS ריאָרדערז פּאַקיץ, געבן העכער בילכערקייַט פּאַקיץ פּרעפערענטשאַל באַהאַנדלונג און פאַרהאַלטן פּאַקיץ מיט נידעריקער בילכערקייַט. צו מינאַמייז אָדער פאַרמייַדן דעם סיטואַציע, איר קענען טאָן די פאלגענדע:

  • פאַרגרעסערן די גרייס פון די אַנטי-ריפּליי פֿענצטער.
  • ינזשעניר פאַרקער אויף די ערשטער אַכט פאַרקער טשאַנאַלז צו ענשור אַז פאַרקער אין אַ קאַנאַל איז נישט ריאָרדערד.

קאַנפיגיער IKE-Enabled IPsec טאַנאַלז
צו סיקיורלי אַריבערפירן פאַרקער פון די אָוווערליי נעץ צו אַ דינסט נעץ, איר קענען קאַנפיגיער IPsec טאַנאַלז וואָס לויפן די אינטערנעט קיי עקסטשאַנגע (IKE) פּראָטאָקאָל. IKE-ענייבאַלד IPsec טאַנאַלז צושטעלן אָטענטאַקיישאַן און ענקריפּשאַן צו ענשור זיכער פּאַקאַט אַריבערפירן. איר שאַפֿן אַן IKE-ענייבאַלד IPsec טונעל דורך קאַנפיגיערינג אַן IPsec צובינד. IPsec ינטערפייסיז זענען לאַדזשיקאַל ינטערפייסיז, און איר קאַנפיגיער זיי פּונקט ווי קיין אנדערע גשמיות צובינד. איר קאַנפיגיער IKE פּראָטאָקאָל פּאַראַמעטערס אויף די IPsec צובינד, און איר קענען קאַנפיגיער אנדערע צובינד פּראָפּערטיעס.

באַמערקונג סיסקאָ רעקאַמענדז ניצן IKE ווערסיע 2. פֿון Cisco SD-WAN 19.2.x מעלדונג אַנווערדז, דער פאַר-שערד שליסל דאַרף זיין לפּחות 16 ביטעס אין לענג. די IPsec טונעל פאַרלייגן פיילז אויב די שליסל גרייס איז ווייניקער ווי 16 אותיות ווען די ראַוטער איז אַפּגריידיד צו ווערסיע 19.2.

באַמערקונג
די Cisco Catalyst SD-WAN ווייכווארג שטיצט IKE ווערסיע 2 ווי דיפיינד אין RFC 7296. איין נוצן פֿאַר IPsec טאַנאַלז איז צו לאָזן VEdge Cloud ראַוטער VM ינסטאַנסיז פליסנדיק אויף Amazon AWS צו פאַרבינדן צו די Amazon Virtual Private Cloud (VPC). איר מוזן קאַנפיגיער IKE ווערסיע 1 אויף די ראָוטערס. Cisco vEdge דעוויסעס שטיצן בלויז מאַרשרוט-באזירט וופּן אין אַן IPSec קאַנפיגיעריישאַן ווייַל די דעוויסעס קענען נישט דעפינירן פאַרקער סעלעקטערז אין די ענקריפּשאַן פעלד.

קאַנפיגיער אַן IPsec טוננעל
צו קאַנפיגיער אַן IPsec טונעל צובינד פֿאַר זיכער אַריבערפירן פאַרקער פֿון אַ סערוויס נעץ, איר שאַפֿן אַ לאַדזשיקאַל IPsec צובינד:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

איר קענען מאַכן די IPsec טונעל אין די אַריבערפירן וופּן (VPN 0) און אין קיין סערוויס VPN (VPN 1 ביז 65530, אַחוץ פֿאַר 512). די IPsec צובינד האט אַ נאָמען אין דעם פֿאָרמאַט ipsecnumber, ווו נומער קענען זיין פֿון 1 ביז 255. יעדער IPsec צובינד מוזן האָבן אַן IPv4 אַדרעס. די אַדרעס מוזן זיין אַ /30 פּרעפיקס. אַלע פאַרקער אין די וופּן וואָס איז ין דעם IPv4 פּרעפיקס איז דירעקטעד צו אַ גשמיות צובינד אין VPN 0 צו זיין געשיקט סיקיורלי איבער אַן IPsec טונעל. צו קאַנפיגיער די מקור פון די IPsec טונעל אויף די היגע מיטל, איר קענען ספּעציפיצירן אָדער די IP אַדרעס פון די פיזיש צובינד (אין די טונעל-מקור באַפֿעל) אָדער די נאָמען פון די גשמיות צובינד (אין די טונעל-מקור-interface באַפֿעל). פאַרזיכערן אַז די גשמיות צובינד איז קאַנפיגיערד אין VPN 0. צו קאַנפיגיער די דעסטיניישאַן פון די IPsec טונעל, ספּעציפיצירן די IP אַדרעס פון די ווייַט מיטל אין די טונעל-דעסטיניישאַן באַפֿעל. די קאָמבינאַציע פון ​​​​אַ מקור אַדרעס (אָדער מקור צובינד נאָמען) און אַ דעסטיניישאַן אַדרעס דיפיינז אַ איין IPsec טונעל. בלויז איין IPsec טונעל קענען עקסיסטירן וואָס ניצט אַ ספּעציפיש מקור אַדרעס (אָדער צובינד נאָמען) און דעסטיניישאַן אַדרעס פּאָר.

קאַנפיגיער אַן IPsec סטאַטיק רוט

צו פירן פאַרקער פון די סערוויס VPN צו אַן IPsec טונעל אין די אַריבערפירן VPN (VPN 0), איר קאַנפיגיער אַן IPsec-ספּעציפיש סטאַטיק מאַרשרוט אין אַ סערוויס VPN (אַ VPN אנדערע ווי VPN 0 אָדער VPN 512):

  • vEdge (config) # vpn vpn-id
  • vEdge (config-vpn) # ip ipsec-route פּרעפיקס / לענג vpn 0 צובינד
  • ipsecnumber [ipsecnumber2]

די וופּן שייַן איז אַז פון קיין סערוויס VPN (VPN 1 ביז 65530, אַחוץ פֿאַר 512). פּרעפיקס / לענג איז די IP אַדרעס אָדער פּרעפיקס, אין דעצימאַל פיר-טייל-דאַטיד נאָוטיישאַן, און פּרעפיקס לענג פון די IPsec-ספּעציפיש סטאַטיק מאַרשרוט. די צובינד איז די IPsec טונעל צובינד אין VPN 0. איר קענען קאַנפיגיער איינער אָדער צוויי IPsec טונעל ינטערפייסיז. אויב איר קאַנפיגיער צוויי, דער ערשטער איז די ערשטיק IPsec טונעל, און די רגע איז די באַקאַפּ. מיט צוויי ינטערפייסיז, אַלע פּאַקיץ זענען געשיקט בלויז צו די ערשטיק טונעל. אויב דער טונעל פיילז, אַלע פּאַקיץ זענען געשיקט צו די צווייטיק טונעל. אויב די ערשטיק טונעל קומט צוריק, אַלע פאַרקער איז אריבערגעפארן צוריק צו די ערשטיק IPsec טונעל.

געבן IKE ווערסיע 1
ווען איר שאַפֿן אַן IPsec טונעל אויף אַ vEdge ראַוטער, IKE ווערסיע 1 איז ענייבאַלד דורך פעליקייַט אויף די טונעל צובינד. די פאלגענדע פּראָפּערטיעס זענען אויך ענייבאַלד פֿאַר IKEv1:

  • אָטענטאַקיישאַן און ענקריפּשאַן - AES-256 אַוואַנסירטע ענקריפּשאַן נאָרמאַל CBC ענקריפּשאַן מיט די HMAC-SHA1 האַש אָנזאָג אָטענטאַקיישאַן קאָד אַלגערידאַם פֿאַר אָרנטלעכקייַט
  • דיפפיע־העלמאן גרופע נומער — 16
  • ריקייינג צייט מעהאַלעך - 4 שעה
  • SA פאַרלייגן מאָדע - הויפּט

דורך פעליקייַט, IKEv1 ניצט IKE הויפּט מאָדע צו פאַרלייגן IKE SAs. אין דעם מאָדע, זעקס פאַרהאַנדלונג פּאַקיץ זענען פארביטן צו פאַרלייגן די סאַ. צו וועקסל בלויז דריי פאַרהאַנדלונג פּאַקיץ, געבן אַגרעסיוו מאָדע:

באַמערקונג
IKE אַגרעסיוו מאָדע מיט פאַר-שערד שליסלען זאָל זיין אַוווידאַד ווו נאָר מעגלעך. אַנדערש אַ שטאַרק פאַר-שערד שליסל זאָל זיין אויסדערוויילט.

  • vEdge (config) # vpn vpn-id צובינד יפּסעק נומער
  • vEdge (config-ike) # מאָדע אַגרעסיוו

דורך פעליקייַט, IKEv1 ניצט Diffie-Hellman גרופּע 16 אין די IKE שליסל וועקסל. די גרופּע ניצט די 4096-ביסל מער מאַדזשאַלער עקספּאָונענשאַל (MODP) גרופּע בעשאַס IKE שליסל וועקסל. איר קענען טוישן די גרופּע נומער צו 2 (פֿאַר 1024-ביסל מאָדפּ), 14 (2048-ביסל מאָדפּ), אָדער 15 (3072-ביסל מאָדפּ):

  • vEdge (config) # vpn vpn-id צובינד יפּסעק נומער
  • vEdge(config-ike) # גרופּע נומער

דורך פעליקייַט, IKE שליסל וועקסל ניצט AES-256 אַוואַנסירטע ענקריפּשאַן נאָרמאַל CBC ענקריפּשאַן מיט די HMAC-SHA1 קייעד-האַש אָנזאָג אָטענטאַקיישאַן קאָד אַלגערידאַם פֿאַר אָרנטלעכקייַט. איר קענען טוישן די אָטענטאַקיישאַן:

  • vEdge (config) # vpn vpn-id צובינד יפּסעק נומער
  • vEdge(config-ike) # סייפער-סוויט סוויט

די אָטענטאַקיישאַן סוויט קענען זיין איינער פון די פאלגענדע:

  • aes128-cbc-sha1-AES-128 אַוואַנסירטע ענקריפּשאַן נאָרמאַל CBC ענקריפּשאַן מיט די HMAC-SHA1 קייעד-האַש אָנזאָג אָטענטאַקיישאַן קאָד אַלגערידאַם פֿאַר אָרנטלעכקייַט
  • aes128-cbc-sha2-AES-128 אַוואַנסירטע ענקריפּשאַן נאָרמאַל CBC ענקריפּשאַן מיט די HMAC-SHA256 קייעד-האַש אָנזאָג אָטענטאַקיישאַן קאָד אַלגערידאַם פֿאַר אָרנטלעכקייַט
  • aes256-cbc-sha1—AES-256 אַוואַנסירטע ענקריפּשאַן נאָרמאַל CBC ענקריפּשאַן מיט די HMAC-SHA1 אָטענטאַקיישאַן קאָד אַלגערידאַם מיט די האַש-האַש אָנזאָג קאָד אַלגערידאַם; דאָס איז די פעליקייַט.
  • aes256-cbc-sha2-AES-256 אַוואַנסירטע ענקריפּשאַן נאָרמאַל CBC ענקריפּשאַן מיט די HMAC-SHA256 קייעד-האַש אָנזאָג אָטענטאַקיישאַן קאָד אַלגערידאַם פֿאַר אָרנטלעכקייַט

דורך פעליקייַט, IKE שליסלען זענען דערקוויקט יעדער 1 שעה (3600 סעקונדעס). איר קענען טוישן די רעקייינג מעהאַלעך צו אַ ווערט פון 30 סעקונדעס צו 14 טעג (1209600 סעקונדעס). עס איז רעקאַמענדיד אַז די רעקיינג מעהאַלעך איז בייַ מינדסטער 1 שעה.

  • vEdge (config) # vpn vpn-id צובינד ipsec נומער ווי
  • vEdge(config-ike) # רעקיי סעקונדעס

צו צווינגען די דור פון נייַע שליסלען פֿאַר אַן IKE סעסיע, אַרויסגעבן די בעטן ipsec ike-rekey באַפֿעל.

  • vEdge (config) # vpn vpn-id interfaceipsec נומער

פֿאַר IKE, איר קענען אויך קאַנפיגיער פּרעשערד שליסל (PSK) אָטענטאַקיישאַן:

  • vEdge (config) # vpn vpn-id צובינד יפּסעק נומער
  • vEdge(config-ike) # אָטענטאַקיישאַן-טיפּ פאַר-שערד-שליסל פאַר-שערד-סוד פּאַראָל פּאַראָל איז די פּאַראָל צו נוצן מיט די פּרעשערד שליסל. עס קען זיין אַ ASCII אָדער אַ העקסאַדעסימאַל שטריקל פון 1 צו 127 אותיות לאַנג.

אויב די ווייַט IKE ייַנקוקנ דאַרף אַ היגע אָדער ווייַט שייַן, איר קענען קאַנפיגיער דעם אידענטיפיצירן:

  • vEdge (config) # vpn vpn-id צובינד ipsec נומער ווי אָטענטאַקיישאַן טיפּ
  • vEdge(config-authentication-type) # local-id id
  • vEdge (config-authentication-type) # ווייַט-יד שייַן

דער אידענטיפיצירן קענען זיין אַן IP אַדרעס אָדער קיין טעקסט שטריקל פון 1 צו 63 אותיות לאַנג. דורך פעליקייַט, די היגע שייַן איז די מקור IP אַדרעס פון די טונעל און די ווייַט שייַן איז די דעסטיניישאַן IP אַדרעס פון דעם טונעל.

געבן IKE ווערסיע 2
ווען איר קאַנפיגיער אַן IPsec טונעל צו נוצן IKE ווערסיע 2, די פאלגענדע פּראָפּערטיעס זענען אויך ענייבאַלד דורך פעליקייַט פֿאַר IKEv2:

  • אָטענטאַקיישאַן און ענקריפּשאַן - AES-256 אַוואַנסירטע ענקריפּשאַן נאָרמאַל CBC ענקריפּשאַן מיט די HMAC-SHA1 האַש אָנזאָג אָטענטאַקיישאַן קאָד אַלגערידאַם פֿאַר אָרנטלעכקייַט
  • דיפפיע־העלמאן גרופע נומער — 16
  • ריקייינג צייט מעהאַלעך - 4 שעה

דורך פעליקייַט, IKEv2 ניצט Diffie-Hellman גרופּע 16 אין די IKE שליסל וועקסל. די גרופּע ניצט די 4096-ביסל מער מאַדזשאַלער עקספּאָונענשאַל (MODP) גרופּע בעשאַס IKE שליסל וועקסל. איר קענען טוישן די גרופּע נומער צו 2 (פֿאַר 1024-ביסל מאָדפּ), 14 (2048-ביסל מאָדפּ), אָדער 15 (3072-ביסל מאָדפּ):

  • vEdge (config) # vpn vpn-id interface ipsecnumber איך
  • vEdge(config-ike) # גרופּע נומער

דורך פעליקייַט, IKE שליסל וועקסל ניצט AES-256 אַוואַנסירטע ענקריפּשאַן נאָרמאַל CBC ענקריפּשאַן מיט די HMAC-SHA1 קייעד-האַש אָנזאָג אָטענטאַקיישאַן קאָד אַלגערידאַם פֿאַר אָרנטלעכקייַט. איר קענען טוישן די אָטענטאַקיישאַן:

  • vEdge (config) # vpn vpn-id interface ipsecnumber איך
  • vEdge(config-ike) # סייפער-סוויט סוויט

די אָטענטאַקיישאַן סוויט קענען זיין איינער פון די פאלגענדע:

  • aes128-cbc-sha1-AES-128 אַוואַנסירטע ענקריפּשאַן נאָרמאַל CBC ענקריפּשאַן מיט די HMAC-SHA1 קייעד-האַש אָנזאָג אָטענטאַקיישאַן קאָד אַלגערידאַם פֿאַר אָרנטלעכקייַט
  • aes128-cbc-sha2-AES-128 אַוואַנסירטע ענקריפּשאַן נאָרמאַל CBC ענקריפּשאַן מיט די HMAC-SHA256 קייעד-האַש אָנזאָג אָטענטאַקיישאַן קאָד אַלגערידאַם פֿאַר אָרנטלעכקייַט
  • aes256-cbc-sha1—AES-256 אַוואַנסירטע ענקריפּשאַן נאָרמאַל CBC ענקריפּשאַן מיט די HMAC-SHA1 אָטענטאַקיישאַן קאָד אַלגערידאַם מיט די האַש-האַש אָנזאָג קאָד אַלגערידאַם; דאָס איז די פעליקייַט.
  • aes256-cbc-sha2-AES-256 אַוואַנסירטע ענקריפּשאַן נאָרמאַל CBC ענקריפּשאַן מיט די HMAC-SHA256 קייעד-האַש אָנזאָג אָטענטאַקיישאַן קאָד אַלגערידאַם פֿאַר אָרנטלעכקייַט

דורך פעליקייַט, IKE שליסלען זענען דערקוויקט יעדער 4 שעה (14,400 סעקונדעס). איר קענען טוישן די רעקייינג מעהאַלעך צו אַ ווערט פון 30 סעקונדעס צו 14 טעג (1209600 סעקונדעס):

  • vEdge (config) # vpn vpn-id interface ipsecnumber איך
  • vEdge(config-ike) # רעקיי סעקונדעס

צו צווינגען די דור פון נייַע שליסלען פֿאַר אַן IKE סעסיע, אַרויסגעבן די בעטן ipsec ike-rekey באַפֿעל. פֿאַר IKE, איר קענען אויך קאַנפיגיער פּרעשערד שליסל (PSK) אָטענטאַקיישאַן:

  • vEdge (config) # vpn vpn-id interface ipsecnumber איך
  • vEdge(config-ike) # אָטענטאַקיישאַן-טיפּ פאַר-שערד-שליסל פאַר-שערד-סוד פּאַראָל פּאַראָל איז די פּאַראָל צו נוצן מיט די פּרעשערד שליסל. עס קען זיין אַ ASCII אָדער אַ העקסאַדעסימאַל שטריקל, אָדער עס קען זיין אַ AES-ענקריפּטיד שליסל. אויב די ווייַט IKE ייַנקוקנ דאַרף אַ היגע אָדער ווייַט שייַן, איר קענען קאַנפיגיער דעם אידענטיפיצירן:
  • vEdge (config) # vpn vpn-id interface ipsecnumber ווי אָטענטאַקיישאַן טיפּ
  • vEdge(config-authentication-type) # local-id id
  • vEdge (config-authentication-type) # ווייַט-יד שייַן

דער אידענטיפיצירן קענען זיין אַן IP אַדרעס אָדער קיין טעקסט שטריקל פון 1 צו 64 אותיות לאַנג. דורך פעליקייַט, די היגע שייַן איז די מקור IP אַדרעס פון די טונעל און די ווייַט שייַן איז די דעסטיניישאַן IP אַדרעס פון דעם טונעל.

קאַנפיגיער IPsec טוננעל פּאַראַמעטערס

טיש 4: שטריך געשיכטע

שטריך נאָמען מעלדונג אינפֿאָרמאַציע באַשרייַבונג
נאָך קריפּטאָגראַפיק סיסקאָ סד-וואַן מעלדונג 20.1.1 דעם שטריך מוסיף שטיצן פֿאַר
אַלגערידאַם שטיצן פֿאַר IPSec   HMAC_SHA256, HMAC_SHA384, און
טאַנאַלז   HMAC_SHA512 אַלגערידאַמז פֿאַר
    ענכאַנסט זיכערהייַט.

דורך פעליקייַט, די פאלגענדע פּאַראַמעטערס זענען געניצט אין די IPsec טונעל וואָס קאַריז IKE פאַרקער:

  • אָטענטאַקיישאַן און ענקריפּשאַן - AES-256 אַלגערידאַם אין GCM (גאַלאָיס / טאָמבאַנק מאָדע)
  • רעקיינג מעהאַלעך - 4 שעה
  • ריפּליי פֿענצטער - 32 פּאַקיץ

איר קענען טוישן די ענקריפּשאַן אויף די IPsec טונעל צו די AES-256 סייפער אין CBC (סיפער בלאָק טשאַינינג מאָדע, מיט HMAC ניצן אָדער SHA-1 אָדער SHA-2 אָטענטאַקיישאַן מיט האַש אָנזאָג אָדער צו נאַל מיט HMAC ניצן אָדער SHA-1 אָדער SHA-2 מיט האַש אָנזאָג אָטענטאַקיישאַן, צו נישט ינקריפּט די IPsec טונעל געניצט פֿאַר IKE שליסל וועקסל פאַרקער:

  • vEdge(config-interface-ipsecnumber) # ipsec
  • vEdge(config-ipsec) # סיפער-סויט (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-cbc-sha1 | aes256-null-sha256 | | aes256-null-sha384 | aes256-null-sha512)

דורך פעליקייַט, IKE שליסלען זענען דערקוויקט יעדער 4 שעה (14,400 סעקונדעס). איר קענען טוישן די רעקייינג מעהאַלעך צו אַ ווערט פון 30 סעקונדעס צו 14 טעג (1209600 סעקונדעס):

  • vEdge(config-interface-ipsecnumber) # ipsec
  • vEdge(config-ipsec) # רעקיי סעקונדעס

צו צווינגען די דור פון נייַע שליסלען פֿאַר אַן IPsec טונעל, אַרויסגעבן די בעטן ipsec ipsec-rekey באַפֿעל. דורך פעליקייַט, שליימעסדיק פאָרויס בעסאָדיקייַט (PFS) איז ענייבאַלד אויף IPsec טאַנאַלז, צו ענשור אַז פאַרגאַנגענהייט סעשאַנז זענען נישט אַפעקטאַד אויב צוקונפֿט שליסלען זענען קאַמפּראַמייזד. PFS פאָרסעס אַ נייַע Diffie-Hellman שליסל וועקסל, דורך פעליקייַט ניצן די 4096-ביסל Diffie-Hellman הויפּט מאָדולע גרופּע. איר קענען טוישן די PFS באַשטעטיקן:

  • vEdge(config-interface-ipsecnumber) # ipsec
  • vEdge(config-ipsec) # שליימעסדיק-פאָרויס-סעקרעסי פּפס-סעטטינג

pfs-סעטטינג קענען זיין איינער פון די פאלגענדע:

  • גרופּע-2-ניצן די 1024-ביסל Diffie-Hellman הויפּט מאָדולוס גרופּע.
  • גרופּע-14-ניצן די 2048-ביסל Diffie-Hellman הויפּט מאָדולוס גרופּע.
  • גרופּע-15-ניצן די 3072-ביסל Diffie-Hellman הויפּט מאָדולוס גרופּע.
  • גרופּע-16-ניצן די 4096-ביסל Diffie-Hellman הויפּט מאָדולוס גרופּע. דאס איז די פעליקייַט.
  • גאָרניט - דיסייבאַל PFS.

דורך פעליקייַט, די IPsec ריפּליי פֿענצטער אויף די IPsec טונעל איז 512 ביטעס. איר קענען שטעלן די ריפּליי פֿענצטער גרייס צו 64, 128, 256, 512, 1024, 2048 אָדער 4096 פּאַקיץ:

  • vEdge(config-interface-ipsecnumber) # ipsec
  • vEdge (config-ipsec) # ריפּליי פֿענצטער נומער

מאָדיפיצירן IKE דעד-פּיער דעטעקשאַן

IKE ניצט אַ מעקאַניזאַם פון טויט-ייַנקוקנ זיך צו באַשליסן צי די קשר צו אַן IKE ייַנקוקנ איז פאַנגקשאַנאַל און ריטשאַבאַל. צו ינסטרומענט דעם מעקאַניזאַם, IKE סענדז אַ העלא פּאַקאַט צו זיין ייַנקוקנ, און דער ייַנקוקנ סענדז אַ דערקענטעניש אין ענטפער. ביי פעליקייַט, IKE שיקט העלא פּאַקיץ יעדער 10 סעקונדעס, און נאָך דריי אַנאַקנאַלידזשד פּאַקיץ, IKE דערקלערט דער חבר צו זיין טויט און טרערן אַראָפּ דעם טונעל צו די ייַנקוקנ. דערנאָך, IKE פּיריאַדיקלי סענדז אַ העלא פּאַקאַט צו די ייַנקוקנ, און רייסטאַבלישיז דעם טונעל ווען דער ייַנקוקנ קומט צוריק אָנליין. איר קענען טוישן די מעהאַלעך דיטעקשאַן מעהאַלעך צו אַ ווערט פון 0 ביז 65535, און איר קענען טוישן די נומער פון רעטריעס צו אַ ווערט פון 0 צו 255.

באַמערקונג

פֿאַר אַריבערפירן וופּן, די מעהאַלעך דיטעקשאַן מעהאַלעך איז קאָנווערטעד צו סעקונדעס מיט די פאלגענדע פאָרמולע: ינטערוואַל פֿאַר ריטראַנסמיססיאָן פּרווון נומער N = מעהאַלעך * 1.8N-1 פֿאַר עקס.ampאויב די מעהאַלעך איז באַשטימט צו 10 און פרוווט צו 5, די דיטעקשאַן מעהאַלעך ינקריסיז ווי גייט:

  • פּרווון 1: 10 * 1.81-1 = 10 סעקונדעס
  • פּרווון 2: 10 * 1.82-1 = 18 סעקונדעס
  • פּרווון 3: 10 * 1.83-1 = 32.4 סעקונדעס
  • פּרווון 4: 10 * 1.84-1 = 58.32 סעקונדעס
  • פּרווון 5: 10 * 1.85-1 = 104.976 סעקונדעס

vEdge (config-interface-ipsecnumber) # טויט-ייַנקוקנ-דיטעקשאַן מעהאַלעך רעטריעס נומער

קאַנפיגיער אנדערע צובינד פּראָפּערטיעס

פֿאַר IPsec טונעל ינטערפייסיז, איר קענען קאַנפיגיער בלויז די פאלגענדע נאָך צובינד פּראָפּערטיעס:

  • vEdge(config-interface-ipsec) # מטו ביטעס
  • vEdge (config-interface-ipsec) # tcp-mss-adjust ביטעס

דיסייבאַל וויק סש ענקריפּשאַן אַלגערידאַמז אויף סיסקאָ סד-וואַן מאַנאַגער

טיש 5: שטריך געשיכטע טיש

שטריך נאָמען מעלדונג אינפֿאָרמאַציע שטריך באַשרייַבונג
דיסייבאַל וויק סש ענקריפּשאַן אַלגערידאַמז אויף סיסקאָ סד-וואַן מאַנאַגער סיסקאָ וומאַנאַגע ריליס 20.9.1 דער שטריך אַלאַוז איר צו דיסייבאַל שוואַך סש אַלגערידאַמז אויף Cisco SD-WAN מאַנאַגער וואָס קען נישט נאָכקומען מיט זיכער דאַטן זיכערהייט סטאַנדאַרדס.

אינפֿאָרמאַציע וועגן דיסייבאַלינג שוואַך סש ענקריפּשאַן אַלגערידאַמז אויף סיסקאָ סד-וואַן מאַנאַגער
Cisco SD-WAN Manager גיט אַן SSH קליענט פֿאַר קאָמוניקאַציע מיט קאַמפּאָונאַנץ אין די נעץ, אַרייַנגערעכנט קאַנטראָולערז און ברעג דעוויסעס. דער SSH קליענט גיט אַ ינקריפּטיד קשר פֿאַר זיכער דאַטן אַריבערפירן, באזירט אויף פאַרשידן ענקריפּשאַן אַלגערידאַמז. פילע אָרגאַנאַזיישאַנז דאַרפן שטארקער ענקריפּשאַן ווי די צוגעשטעלט דורך SHA-1, AES-128 און AES-192. פֿון Cisco vManage Release 20.9.1, איר קענען דיסייבאַל די פאלגענדע שוואַך ענקריפּשאַן אַלגערידאַמז אַזוי אַז אַ SSH קליענט קען נישט נוצן די אַלגערידאַמז:

  • SHA-1
  • AES-128
  • AES-192

איידער דיסייבאַלינג די ענקריפּשאַן אַלגערידאַמז, ענשור אַז Cisco vEdge דעוויסעס, אויב עס איז, אין די נעץ, נוצן אַ ווייכווארג מעלדונג שפּעטער ווי Cisco SD-WAN Release 18.4.6.

די בענעפיץ פון דיסייבאַלינג וויק SSH ענקריפּשאַן אַלגערידאַמז אויף Cisco SD-WAN מאַנאַגער
דיסייבאַלינג די אַלגערידאַמז פון שוואַך SSH ענקריפּשאַן ימפּרוווז די זיכערהייט פון SSH קאָמוניקאַציע און ינשורז אַז אָרגאַנאַזיישאַנז ניצן Cisco Catalyst SD-WAN זענען געהאָרכיק מיט שטרענג זיכערהייט רעגיאַליישאַנז.

דיסייבאַל וויק סש ענקריפּשאַן אַלגערידאַמז אויף סיסקאָ סד-וואַן מאַנאַגער ניצן CLI

  1. פון די Cisco SD-WAN מאַנאַגער מעניו, קלייַבן מכשירים > SSH Terminal.
  2. קלייַבן די Cisco SD-WAN מאַנאַגער מיטל אויף וואָס איר ווילט דיסייבאַל שוואַך סש אַלגערידאַמז.
  3. אַרייַן די נאמען און פּאַראָל צו קלאָץ אין צו די מיטל.
  4. אַרייַן SSH סערווער מאָדע.
    • vmanage (config) # סיסטעם
    • vmanage (config-system) # ssh-server
  5. טאָן איינער פון די פאלגענדע צו דיסייבאַל אַ SSH ענקריפּשאַן אַלגערידאַם:
    • דיסייבאַל SHA-1:
  6. פירן (config-ssh-server) # קיין קעקס-אַלגאָ שאַ1
  7. פירן (config-ssh-server) # commit
    די פאלגענדע ווארענונג אָנזאָג איז געוויזן: די פאלגענדע וואָרנינגז זענען דזשענערייטאַד: 'סיסטעם ssh-server kex-algo sha1': ווארענונג: ביטע ענשור אַז אַלע דיין עדזשאַז לויפן קאָד ווערסיע> 18.4.6 וואָס נאַגאָושיייץ בעסער ווי SHA1 מיט vManage. אַנדערש די עדזשאַז קען זיין אָפפלינע. גיינ ווייַטער? [יאָ, ניין] יאָ
    • פאַרזיכערן אַז קיין Cisco vEdge דעוויסעס אין די נעץ לויפן Cisco SD-WAN Release 18.4.6 אָדער שפּעטער און אַרייַן יאָ.
    • דיסייבאַל AES-128 און AES-192:
    • vmanage (config-ssh-server) # קיין סייפער aes-128-192
    • vmanage (config-ssh-server) # commit
      די פאלגענדע ווארענונג אָנזאָג איז געוויזן:
      די פאלגענדע וואָרנינגז זענען דזשענערייטאַד:
      'סיסטעם ssh-server cipher aes-128-192': ווארענונג: ביטע ענשור אַז אַלע דיין עדזשאַז לויפן קאָד ווערסיע> 18.4.6 וואָס נאַגאָושיייץ בעסער ווי AES-128-192 מיט vManage. אַנדערש די עדזשאַז קען זיין אָפפלינע. גיינ ווייַטער? [יאָ, ניין] יאָ
    • פאַרזיכערן אַז קיין Cisco vEdge דעוויסעס אין די נעץ לויפן Cisco SD-WAN Release 18.4.6 אָדער שפּעטער און אַרייַן יאָ.

באַשטעטיקן אַז שוואַך SSH ענקריפּשאַן אַלגערידאַמז זענען פאַרקריפּלט אויף Cisco SD-WAN מאַנאַגער ניצן די CLI

  1. פון די Cisco SD-WAN מאַנאַגער מעניו, קלייַבן מכשירים > SSH Terminal.
  2. סעלעקטירן דעם Cisco SD-WAN Manager מיטל איר ווילט צו באַשטעטיקן.
  3. אַרייַן די נאמען און פּאַראָל צו קלאָץ אין צו די מיטל.
  4. לויפן די פאלגענדע באַפֿעל: ווייַזן פליסנדיק-config סיסטעם ssh-server
  5. באַשטעטיקן אַז דער רעזולטאַט ווייזט איינער אָדער מער פון די קאַמאַנדז וואָס דיסייבאַל שוואַך ענקריפּשאַן אַלגערידאַמז:
    • קיין סיפער אַעס-128-192
    • קיין קעקס-אַלגאָ שאַ1

דאָקומענטן / רעסאָורסעס

CISCO SD-WAN קאַנפיגיער זיכערהייט פּאַראַמעטערס [pdfבאַניצער גייד
SD-WAN קאַנפיגיער זיכערהייט פּאַראַמעטערס, SD-WAN, קאַנפיגיער זיכערהייט פּאַראַמעטערס, זיכערהייט פּאַראַמעטערס

רעפערענצן

לאָזן אַ באַמערקונג

דיין בליצפּאָסט אַדרעס וועט נישט זיין ארויס. פארלאנגט פעלדער זענען אנגעצייכנט *