Awọn akoonu tọju
1 CISCO SD-WAN Tunto Aabo paramita
2 Tunto Aabo paramita
3 Tunto Iṣakoso ofurufu Aabo paramita
4 Tunto DTLS ni Sisiko SD-WAN Manager
5 Tunto Data ofurufu Aabo paramita
6 Ṣe atunto Awọn oriṣi Ijeri Ti A gba laaye
7 Yi Aago Rekeying pada
8 Yi awọn Iwon ti awọn Anti-Stunse Window
9 Ṣe atunto Ipa ọna Aimi IPsec kan
10 Tunto IPsec Tunnel Parameters
11 Ṣatunṣe IKE Dead-Peer Wiwa
12 Tunto Miiran Interface Properties
13 Pa awọn alugoridimu SSH ìsekóòdù alailagbara lori Sisiko SD-WAN Manager
14 Awọn iwe aṣẹ / Awọn orisun
14.1 Awọn itọkasi

CISCO-LOGO

CISCO SD-WAN Tunto Aabo paramita

CISCO-SD-WAN- Tunto-Aabo-parameters-ọja

Tunto Aabo paramita

Akiyesi

Lati ṣaṣeyọri simplification ati aitasera, ojutu Sisiko SD-WAN ti jẹ atunkọ bi Sisiko Catalyst SD-WAN. Ni afikun, lati Cisco IOS XE SD-WAN Tu 17.12.1a ati Cisco ayase SD-WAN Tu 20.12.1, awọn wọnyi paati ayipada wulo: Cisco vManage to Cisco ayase SD-WAN Manager, Cisco vAnalytics to Cisco ayase SD-WAN Atupale, Cisco vBond to Cisco ayase SD-WAN Validator, ati Cisco vSmart to Cisco ayase SD-WAN Adarí. Wo Awọn akọsilẹ Itusilẹ tuntun fun atokọ okeerẹ ti gbogbo awọn iyipada orukọ iyasọtọ paati. Lakoko ti a yipada si awọn orukọ titun, diẹ ninu awọn aiṣedeede le wa ninu eto iwe nitori ọna ti a ti pin si awọn imudojuiwọn wiwo olumulo ti ọja sọfitiwia naa.

Abala yii ṣe apejuwe bi o ṣe le yi awọn aye aabo pada fun ọkọ ofurufu iṣakoso ati ọkọ ofurufu data ninu nẹtiwọọki apọju Sisiko SD-WAN.

  • Tunto Iṣakoso ofurufu Aabo paramita, lori
  • Tunto Data ofurufu Aabo paramita, lori
  • Tunto IKE-Ṣiṣe Awọn Tunnels IPsec, tan
  • Pa ailagbara SSH ìsekóòdù alugoridimu on Cisco SD-WAN Manager, lori

Tunto Iṣakoso ofurufu Aabo paramita

Nipa aiyipada, ọkọ ofurufu iṣakoso nlo DTLS gẹgẹbi ilana ti o pese asiri lori gbogbo awọn eefin rẹ. DTLS nṣiṣẹ lori UDP. O le yi ilana aabo ọkọ ofurufu iṣakoso pada si TLS, eyiti o nṣiṣẹ lori TCP. Idi akọkọ lati lo TLS ni pe, ti o ba ro Sisiko SD-WAN Adarí lati jẹ olupin, awọn firewalls ṣe aabo awọn olupin TCP dara julọ ju awọn olupin UDP lọ. O tunto ilana oju eefin ọkọ ofurufu iṣakoso lori Sisiko SD-WAN Adarí: vSmart (konfigi) # Ilana iṣakoso aabo tls Pẹlu iyipada yii, gbogbo awọn oju-ọkọ ofurufu iṣakoso laarin Sisiko SD-WAN Adarí ati awọn olulana ati laarin Sisiko SD-WAN Adarí ati Cisco SD-WAN Manager lo TLS. Iṣakoso ofurufu tunnels to Cisco ayase SD-WAN Validator nigbagbogbo lo DTLS, nitori awọn wọnyi awọn isopọ gbọdọ wa ni lököökan nipasẹ UDP. Ni a ìkápá pẹlu ọpọ Cisco SD-WAN Controllers, nigba ti o ba tunto TLS lori ọkan ninu awọn Sisiko SD-WAN Controllers, gbogbo Iṣakoso ofurufu tunnels lati pe oludari si awọn miiran olutona lo TLS. Ni ọna miiran, TLS nigbagbogbo gba iṣaaju lori DTLS. Sibẹsibẹ, lati irisi ti Cisco SD-WAN Controllers miiran, ti o ko ba tunto TLS lori wọn, wọn lo TLS lori oju eefin ọkọ ofurufu iṣakoso nikan si Sisiko SD-WAN Adarí, ati pe wọn lo awọn tunnels DTLS si gbogbo awọn miiran. Cisco SD-WAN Controllers ati si gbogbo wọn ti sopọ onimọ. Lati ni gbogbo Cisco SD-WAN Controllers lo TLS, tunto o lori gbogbo awọn ti wọn. Nipa aiyipada, Cisco SD-WAN Adarí ngbọ lori ibudo 23456 fun awọn ibeere TLS. Lati yi pada: vSmart (konfigi) # aabo Iṣakoso tls-ibudo nọmba ibudo le jẹ nọmba kan lati 1025 nipasẹ 65535. Lati han Iṣakoso ofurufu alaye, lo show Iṣakoso awọn isopọ lori Cisco SD-WAN Adarí. Fun example: vSmart-2 # show Iṣakoso awọn isopọ

CISCO-SD-WAN-tunto-Aabo-parameters-FIG-1

Tunto DTLS ni Sisiko SD-WAN Manager

Ti o ba tunto Sisiko SD-WAN Manager to a lilo TLS bi Iṣakoso ofurufu aabo bèèrè, o gbọdọ jeki ibudo firanšẹ siwaju lori rẹ NAT. Ti o ba nlo DTLS gẹgẹbi ilana aabo ọkọ ofurufu iṣakoso, iwọ ko nilo lati ṣe ohunkohun. Nọmba awọn ebute oko oju omi ti a firanṣẹ da lori nọmba awọn ilana vdaemon ti n ṣiṣẹ lori Alakoso Sisiko SD-WAN. Lati ṣafihan alaye nipa awọn ilana wọnyi ati nipa ati nọmba awọn ebute oko oju omi ti n firanṣẹ siwaju, lo aṣẹ akopọ iṣakoso iṣafihan fihan pe awọn ilana daemon mẹrin n ṣiṣẹ:CISCO-SD-WAN-tunto-Aabo-parameters-FIG-2

Lati wo awọn ebute igbọran, lo aṣẹ iṣakoso agbegbe-awọn ohun-ini ti iṣafihan: vManage# show iṣakoso agbegbe-ini

CISCO-SD-WAN-tunto-Aabo-parameters-FIG-3

Ijade yii fihan pe ibudo TCP ti ngbọ jẹ 23456. Ti o ba nṣiṣẹ Sisiko SD-WAN Manager lẹhin NAT, o yẹ ki o ṣii awọn ebute oko oju omi wọnyi lori ẹrọ NAT:

  • 23456 (ipilẹ - apẹẹrẹ 0 ibudo)
  • 23456 + 100 (ipilẹ + 100)
  • 23456 + 200 (ipilẹ + 200)
  • 23456 + 300 (ipilẹ + 300)

Ṣe akiyesi pe nọmba awọn iṣẹlẹ jẹ kanna bi nọmba awọn ohun kohun ti o ti yàn fun Sisiko SD-WAN Manager, to 8 ti o pọju.

Tunto Awọn paramita Aabo Lilo Awoṣe Ẹya Aabo

Lo Aabo ẹya awoṣe fun gbogbo Cisco vEdge awọn ẹrọ. Lori awọn olulana eti ati lori Sisiko SD-WAN Validator, lo awoṣe yii lati tunto IPsec fun aabo ọkọ ofurufu data. Lori Sisiko SD-WAN Manager ati Cisco SD-WAN Adarí, lo awọn Aabo ẹya awoṣe a tunto DTLS tabi TLS fun Iṣakoso ofurufu aabo.

Tunto Aabo paramita

  1. Lati akojọ Sisiko SD-WAN Manager, yan Iṣeto ni> Awọn awoṣe.
  2. Tẹ Awọn awoṣe Ẹya ati lẹhinna tẹ Fi Awoṣe kun.
    Akiyesi Ni Sisiko vManage Tu 20.7.1 ati awọn idasilẹ iṣaaju, Awọn awoṣe Ẹya ti a pe ni Ẹya.
  3. Lati atokọ Awọn ẹrọ ni apa osi, yan ẹrọ kan. Awọn awoṣe ti o wulo fun ẹrọ ti o yan yoo han ni apa ọtun.
  4. Tẹ Aabo lati ṣii awoṣe.
  5. Ni awọn Àdàkọ Name aaye, tẹ a orukọ fun awọn awoṣe. Orukọ le to awọn ohun kikọ 128 ati pe o le ni awọn ohun kikọ alphanumeric nikan ninu.
  6. Ni aaye Apejuwe Awoṣe, tẹ apejuwe ti awoṣe sii. Apejuwe naa le to awọn ohun kikọ 2048 ati pe o le ni awọn ohun kikọ alphanumeric nikan ninu.

Nigbati o kọkọ ṣii awoṣe ẹya kan, fun paramita kọọkan ti o ni iye aiyipada, a ṣeto iwọn naa si Aiyipada (itọkasi nipasẹ ami ayẹwo), ati eto aiyipada tabi iye yoo han. Lati yi aiyipada pada tabi lati tẹ iye sii, tẹ akojọ aṣayan-silẹ dopin si apa osi ti aaye paramita ki o yan ọkan ninu atẹle naa:

Tabili 1:

Paramita Ààlà Apejuwe Dopin
Ẹrọ kan pato (tọkasi nipasẹ aami ogun) Lo iye ẹrọ kan pato fun paramita naa. Fun awọn paramita ẹrọ kan pato, o ko le tẹ iye sii ninu awoṣe ẹya. O tẹ iye sii nigbati o ba so ẹrọ Viptela pọ si awoṣe ẹrọ kan.

Nigbati o ba tẹ Ẹrọ Specific, apoti bọtini Tẹ sii ṣii. Apoti yii ṣe afihan bọtini kan, eyiti o jẹ okun alailẹgbẹ ti o ṣe idanimọ paramita ni CSV kan file ti o ṣẹda. Eyi file jẹ iwe kaunti Excel ti o ni iwe kan fun bọtini kọọkan. Laini akọsori ni awọn orukọ bọtini (bọtini kan fun iwe), ati ila kọọkan lẹhin iyẹn ni ibamu si ẹrọ kan ati asọye awọn iye ti awọn bọtini fun ẹrọ yẹn. O gbe CSV silẹ file nigbati o ba so ẹrọ Viptela kan si awoṣe ẹrọ kan. Fun alaye diẹ ẹ sii, wo Ṣẹda Awoṣe Ayipada Lẹja.

Lati yi bọtini aiyipada pada, tẹ okun titun kan ki o si gbe kọsọ kuro ninu apoti Tẹ bọtini titẹ sii.

ExampAwọn paramita ẹrọ kan pato jẹ adiresi IP eto, orukọ agbalejo, ipo GPS, ati ID aaye.
Paramita Ààlà Apejuwe Dopin
Lagbaye (tọkasi nipasẹ aami agbaiye) Tẹ iye kan sii fun paramita, ki o lo iye yẹn si gbogbo awọn ẹrọ.

ExampAwọn ayeraye ti o le lo ni kariaye si ẹgbẹ awọn ẹrọ jẹ olupin DNS, olupin syslog, ati awọn MTUs wiwo.

Tunto Iṣakoso ofurufu Aabo

Akiyesi
Apakan Aabo Eto Iṣakoso Iṣeto kan si Sisiko SD-WAN Manager ati Sisiko SD-WAN Adarí nikan.Lati tunto ilana asopọ ọkọ ofurufu iṣakoso lori apẹẹrẹ Sisiko SD-WAN Manager tabi Sisiko SD-WAN Adarí, yan agbegbe Iṣeto Ipilẹ. ati tunto awọn paramita wọnyi:

Tabili 2:

Paramita Oruko Apejuwe
Ilana Yan ilana lati lo lori awọn isopọ ọkọ ofurufu iṣakoso si Sisiko SD-WAN Adarí:

• DTLS (Datagàgbo Transport Layer Aabo). Eyi ni aiyipada.

• TLS (Aabo Layer Gbigbe)
Iṣakoso ibudo TLS Ti o ba yan TLS, tunto nọmba ibudo lati lo:Ibiti: 1025 nipa 65535Aiyipada: 23456

Tẹ Fipamọ

Tunto Data ofurufu Aabo
Lati tunto aabo ọkọ ofurufu data lori Sisiko SD-WAN Validator tabi Sisiko vEdge olulana, yan Ipilẹ iṣeto ni ati awọn taabu Ijeri Iru, ki o si tunto awọn wọnyi sile:

Tabili 3:

Paramita Oruko Apejuwe
Aago Rekey Pato bi igbagbogbo olutọpa Sisiko vEdge ṣe iyipada bọtini AES ti a lo lori asopọ DTLS ti o ni aabo si Sisiko SD-WAN Adarí. Ti o ba mu oore-ọfẹ OMP ṣiṣẹ, akoko atunbere gbọdọ jẹ o kere ju lẹmeji iye ti aago atunbẹrẹ oore OMP.Ibiti: 10 si 1209600 aaya (ọjọ 14)Aiyipada: 86400 iṣẹju-aaya (wakati 24)
Tun Window Pato iwọn ti window atunṣe sisun.

Awọn iye: 64, 128, 256, 512, 1024, 2048, 4096, 8192 awọn apo-iweAiyipada: 512 awọn apo-iwe
IPsec

bibẹrẹ-keying

 Eyi ti wa ni pipa nipasẹ aiyipada. Tẹ On lati tan-an.
Paramita Oruko Apejuwe
Ijeri Iru Yan awọn iru ìfàṣẹsí lati awọn Ijeri Akojọ, ki o si tẹ itọka ti o tọka si ọtun lati gbe awọn iru ijẹrisi si awọn Akojọ ti a ti yan ọwọn.

Awọn oriṣi ijẹrisi ni atilẹyin lati Sisiko SD-WAN Tu 20.6.1:

•  esp: Ṣiṣe fifi ẹnọ kọ nkan Aabo Payload (ESP) ṣiṣẹ ati ṣayẹwo iyege lori akọsori ESP.

•  ip-udp-esp: Muu ṣiṣẹ ìsekóòdù ESP. Ni afikun si awọn sọwedowo iduroṣinṣin lori akọsori ESP ati fifuye isanwo, awọn sọwedowo tun pẹlu IP ita ati awọn akọle UDP.

•  ip-udp-esp-ko-id: Fojusi aaye ID ni akọsori IP ki Sisiko ayase SD-WAN le ṣiṣẹ ni apapo pẹlu awọn ẹrọ ti kii-Cisco.

•  ko siYipada yiyewo iyege lori awọn apo-iwe IPSec. A ko ṣeduro lilo aṣayan yii.

 

Awọn oriṣi ijẹrisi ni atilẹyin ni Sisiko SD-WAN Tu 20.5.1 ati ni iṣaaju:

•  ah-ko-idMu ẹya imudara ti AH-SHA1 HMAC ṣiṣẹ ati ESP HMAC-SHA1 ti o kọju aaye ID ni akọsori IP ita ti apo.

•  ah-sha1-hmac: Mu AH-SHA1 HMAC ṣiṣẹ ati ESP HMAC-SHA1.

•  ko si: Yan ko si ìfàṣẹsí.

•  sha1-hmac: Mu ESP HMAC-SHA1 ṣiṣẹ.

 

Akiyesi              Fun ẹrọ eti ti o nṣiṣẹ lori Sisiko SD-WAN Tu 20.5.1 tabi tẹlẹ, o le ti tunto awọn iru ìfàṣẹsí nipa lilo a Aabo awoṣe. Nigbati o ba ṣe igbesoke ẹrọ naa si Sisiko SD-WAN Tu 20.6.1 tabi nigbamii, ṣe imudojuiwọn awọn iru ijẹrisi ti o yan ninu Aabo awoṣe si awọn iru ìfàṣẹsí ni atilẹyin lati Sisiko SD-WAN Tu 20.6.1. Lati ṣe imudojuiwọn awọn iru ijẹrisi, ṣe atẹle:

1.      Lati Cisco SD-WAN Manager akojọ, yan Iṣeto ni >

Awọn awoṣe.

2.      Tẹ Awọn awoṣe ẹya ara ẹrọ.

3.      Wa awọn Aabo awoṣe lati ṣe imudojuiwọn ki o tẹ… ki o tẹ Ṣatunkọ.

4.      Tẹ Imudojuiwọn. Ma ṣe yipada eyikeyi iṣeto ni.

Cisco SD-WAN Manager imudojuiwọn awọn Aabo awoṣe lati ṣe afihan awọn iru ijẹrisi atilẹyin.

Tẹ Fipamọ.

Tunto Data ofurufu Aabo paramita

Ninu ọkọ ofurufu data, IPsec ti ṣiṣẹ nipasẹ aiyipada lori gbogbo awọn olulana, ati nipasẹ aiyipada IPsec awọn asopọ oju eefin lo ẹya imudara ti Ilana Isanwo Aabo Encapsulating (ESP) fun ijẹrisi lori awọn tunnels IPsec. Lori awọn olulana, o le yi iru ìfàṣẹsí pada, awọn IPsec aago rekeying, ati awọn iwọn ti IPsec egboogi-replay window.

Ṣe atunto Awọn oriṣi Ijeri Ti A gba laaye

Ijeri Orisi ni Cisco SD-WAN Tu 20.6.1 ati ki o nigbamii
Lati Sisiko SD-WAN Tu 20.6.1, awọn iru iyege wọnyi ni atilẹyin:

  • esp: Aṣayan yii ngbanilaaye fifi ẹnọ kọ nkan Aabo Payload (ESP) ati ṣayẹwo iyege lori akọsori ESP.
  • ip-udp-esp: Aṣayan yii ngbanilaaye fifi ẹnọ kọ nkan ESP. Ni afikun si awọn sọwedowo iduroṣinṣin lori akọsori ESP ati fifuye isanwo, awọn sọwedowo tun pẹlu IP ita ati awọn akọle UDP.
  • ip-udp-esp-no-id: Aṣayan yii jọra si ip-udp-esp, sibẹsibẹ, aaye ID ti akọsori IP ita ti jẹ aifiyesi. Tunto aṣayan yii ni atokọ ti awọn iru iṣotitọ lati ni sọfitiwia Sisiko ayase SD-WAN foju aaye ID ni akọsori IP ki Sisiko ayase SD-WAN le ṣiṣẹ ni apapo pẹlu awọn ẹrọ ti kii ṣe Cisco.
  • kò: Yi aṣayan yipada iyege yiyewo pa lori IPSec awọn apo-iwe. A ko ṣeduro lilo aṣayan yii.

Nipa aiyipada, awọn asopọ oju eefin IPsec lo ẹya imudara ti Ilana Isanwo Aabo Encapsulating (ESP) fun ijẹrisi. Lati ṣe atunṣe awọn iru isọdi ti o ni idunadura tabi lati mu ayẹwo iṣotitọ duro, lo pipaṣẹ atẹle: integrity-type { none | ip-udp-esp | ip-udp-esp-ko-id | esp}

Ijeri Orisi Ṣaaju ki o to Cisco SD-WAN Tu 20.6.1
Nipa aiyipada, awọn asopọ oju eefin IPsec lo ẹya imudara ti Ilana Isanwo Aabo Encapsulating (ESP) fun ijẹrisi. Lati ṣe atunṣe awọn iru ijẹrisi idunadura tabi lati mu ijẹrisi kuro, lo aṣẹ wọnyi: Ẹrọ(konfigi)# aabo ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | ko si) Nipa aiyipada, IPsec awọn asopọ oju eefin lo AES-GCM-256, eyiti o pese mejeeji fifi ẹnọ kọ nkan ati ijẹrisi. Tunto iru ìfàṣẹsí kọọkan pẹlu aabo lọtọ ipsec ìfàṣẹsí-iru pipaṣẹ. Maapu awọn aṣayan pipaṣẹ si awọn iru ijẹrisi atẹle, eyiti a ṣe atokọ ni aṣẹ lati agbara julọ si o kere julọ:

Akiyesi
Sha1 ni awọn aṣayan iṣeto ni a lo fun awọn idi itan. Awọn aṣayan ìfàṣẹsí tọkasi iye ti iṣayẹwo iṣotitọ apo-iwe ti ṣe. Wọn ko pato algorithm ti o ṣayẹwo iyege. Ayafi fun fifi ẹnọ kọ nkan ti ijabọ multicast, awọn algoridimu ijẹrisi ti o ni atilẹyin nipasẹ Sisiko ayase SD WAN ko lo SHA1. Sibẹsibẹ ni Sisiko SD-WAN Tu 20.1.x ati siwaju, mejeeji unicast ati multicast ko lo SHA1.

  • ah-sha1-hmac ngbanilaaye fifi ẹnọ kọ nkan ati fifi ẹnọ kọ nkan nipa lilo ESP. Sibẹsibẹ, ni afikun si awọn sọwedowo iduroṣinṣin lori akọsori ESP ati fifuye isanwo, awọn sọwedowo tun pẹlu IP ita ati awọn akọle UDP. Nitorinaa, aṣayan yii ṣe atilẹyin iṣayẹwo iduroṣinṣin ti apo-iwe ti o jọra si Ilana Akọsori Ijeri (AH). Gbogbo iyege ati fifi ẹnọ kọ nkan ni a ṣe ni lilo AES-256-GCM.
  • ah-no-id ngbanilaaye ipo ti o jọra si ah-sha1-hmac, sibẹsibẹ, aaye ID ti akọsori IP ita ni a kọbikita. Aṣayan yii gba diẹ ninu awọn ẹrọ SD-WAN ti kii-Cisco Catalyst, pẹlu Apple AirPort Express NAT, ti o ni kokoro kan ti o fa aaye ID ni akọsori IP, aaye ti kii ṣe iyipada, lati yipada. Ṣe atunto aṣayan ah-no-id ninu atokọ ti awọn iru ijẹrisi lati jẹ ki sọfitiwia Sisiko Catalyst SD-WAN AH foju foju aaye ID ni akọsori IP ki sọfitiwia SD-WAN Sisiko le ṣiṣẹ ni apapo pẹlu awọn ẹrọ wọnyi.
  • sha1-hmac jẹ ki fifi ẹnọ kọ nkan ESP jẹ ki o ṣayẹwo otitọ.
  • ko si maapu si ko si ìfàṣẹsí. Aṣayan yii yẹ ki o lo nikan ti o ba nilo fun n ṣatunṣe aṣiṣe igba diẹ. O tun le yan aṣayan yii ni awọn ipo nibiti ijẹrisi ọkọ ofurufu data ati iduroṣinṣin kii ṣe ibakcdun. Cisco ko ṣeduro lilo aṣayan yii fun awọn nẹtiwọọki iṣelọpọ.

Fun alaye nipa iru awọn aaye soso data ti ni ipa nipasẹ awọn iru ijẹrisi wọnyi, wo Iṣeduro Ọkọ ofurufu Data. Cisco IOS XE ayase SD-WAN awọn ẹrọ ati Cisco vEdge awọn ẹrọ polowo won tunto ìfàṣẹsí orisi ni TLOC-ini wọn. Awọn onimọ ipa-ọna meji ti o wa ni ẹgbẹ mejeeji ti ọna asopọ oju eefin IPsec ṣe idunadura ijẹrisi lati lo lori asopọ laarin wọn, ni lilo iru ijẹrisi ti o lagbara julọ ti o tunto lori mejeji ti awọn olulana. Fun exampLe, ti olulana kan ba polowo awọn iru ah-sha1-hmac ati ah-no-id, ati olulana keji ṣe ipolowo iru ah-no-id, awọn olulana meji naa duna lati lo ah-no-id lori asopọ eefin IPsec laarin wọn. Ti ko ba si awọn iru ijẹrisi ti o wọpọ ni tunto lori awọn ẹlẹgbẹ meji, ko si eefin IPsec ti iṣeto laarin wọn. algorithm fifi ẹnọ kọ nkan lori awọn asopọ oju eefin IPsec da lori iru ijabọ:

  • Fun ijabọ unicast, algorithm fifi ẹnọ kọ nkan jẹ AES-256-GCM.
  • Fun ijabọ multicast:
  • Sisiko SD-WAN Tu 20.1.x ati nigbamii – algorithm ìsekóòdù jẹ AES-256-GCM
  • Awọn idasilẹ iṣaaju – algorithm fifi ẹnọ kọ nkan jẹ AES-256-CBC pẹlu SHA1-HMAC.

Nigbati iru ijẹrisi IPsec ti yipada, bọtini AES fun ọna data ti yipada.

Yi Aago Rekeying pada

Ṣaaju awọn ẹrọ Sisiko IOS XE ayase SD-WAN awọn ẹrọ ati awọn ẹrọ Sisiko vEdge le ṣe paṣipaarọ awọn ijabọ data, wọn ṣeto ikanni ibaraẹnisọrọ to ni aabo laarin wọn. Awọn olulana lo awọn tunnels IPSec laarin wọn bi ikanni, ati AES-256 cipher lati ṣe fifi ẹnọ kọ nkan. Olulana kọọkan n ṣe agbejade bọtini AES tuntun fun ọna data rẹ lorekore. Nipa aiyipada, bọtini kan wulo fun awọn aaya 86400 (wakati 24), ati iwọn aago jẹ iṣẹju-aaya 10 nipasẹ awọn aaya 1209600 (ọjọ 14). Lati yi iye aago rekey pada: Ẹrọ(konfigi)# aabo ipsec awọn iṣẹju-aaya atunto atunto dabi eyi:

  • aabo ipsec rekey aaya!

Ti o ba fẹ ṣe ina awọn bọtini IPsec tuntun lẹsẹkẹsẹ, o le ṣe laisi iyipada iṣeto ti olulana naa. Lati ṣe eyi, gbe aṣẹ ipsecrekey aabo ibeere lori olulana ti o gbogun. Fun example, abajade atẹle yii fihan pe SA agbegbe ni Atọka Iwọn Aabo Aabo (SPI) ti 256:CISCO-SD-WAN-tunto-Aabo-parameters-FIG-4

Bọtini alailẹgbẹ kan ni nkan ṣe pẹlu SPI kọọkan. Ti bọtini yii ba ni ipalara, lo aṣẹ aabo ipsec-rekey lati ṣe ina bọtini tuntun lẹsẹkẹsẹ. Aṣẹ yii ṣe alekun SPI. Ninu wa example, SPI yipada si 257 ati bọtini ti o ni nkan ṣe pẹlu rẹ ti lo bayi:

  • Ohun elo # beere aabo ipsecrekey
  • Device# fihan ipsec local-sa

CISCO-SD-WAN-tunto-Aabo-parameters-FIG-5

Lẹhin ti awọn titun bọtini ti wa ni ti ipilẹṣẹ, awọn olulana rán o lẹsẹkẹsẹ si Cisco SD-WAN Controllers lilo DTLS tabi TLS. Awọn oludari Sisiko SD-WAN fi bọtini ranṣẹ si awọn olulana ẹlẹgbẹ. Awọn olulana bẹrẹ lilo rẹ ni kete ti wọn ba gba. Ṣe akiyesi pe bọtini ti o ni nkan ṣe pẹlu SPI atijọ (256) yoo tẹsiwaju lati lo fun igba diẹ titi yoo fi jade. Lati da lilo bọtini atijọ duro lẹsẹkẹsẹ, gbejade aṣẹ aabo ipsec-rekey ni ẹẹmeji, ni itẹlera. Ilana ti awọn aṣẹ yii yọ awọn mejeeji SPI 256 ati 257 kuro ati ṣeto SPI si 258. Olutọpa naa lo bọtini ti o ni nkan ṣe ti SPI 258. Akiyesi, sibẹsibẹ, diẹ ninu awọn apo-iwe yoo wa silẹ fun igba diẹ titi gbogbo awọn olulana latọna jijin yoo kọ ẹkọ. bọtini titun.CISCO-SD-WAN-tunto-Aabo-parameters-FIG-6

Yi awọn Iwon ti awọn Anti-Stunse Window

Ijeri IPsec n pese aabo atako-atunṣe nipa fifi nọmba ọkọọkan alailẹgbẹ si apo-iwe kọọkan ninu ṣiṣan data kan. Nọmba ọkọọkan yii ṣe aabo fun ikọlu ti n ṣe pidánpidán awọn apo-iwe data. Pẹlu idabobo aṣetunṣe, olufiranṣẹ yoo pin awọn nọmba lẹsẹsẹ ti o pọ si monotonically, ati pe opin irin ajo naa ṣayẹwo awọn nọmba ọkọọkan wọnyi lati rii awọn ẹda-ẹda. Nitoripe awọn apo-iwe nigbagbogbo ko de ni ibere, opin irin ajo n ṣetọju window sisun ti awọn nọmba ọkọọkan ti yoo gba.CISCO-SD-WAN-tunto-Aabo-parameters-FIG-7

Awọn apo-iwe pẹlu awọn nọmba ọkọọkan ti o ṣubu si apa osi ti awọn sakani window sisun ni a kà si ti atijọ tabi awọn ẹda-iwe, ati pe opin irin ajo naa lọ silẹ wọn. Awọn nlo awọn orin ti ga ọkọọkan nọmba ti o ti gba, ati ki o satunṣe awọn sisun window nigbati o gba a soso pẹlu kan ti o ga iye.CISCO-SD-WAN-tunto-Aabo-parameters-FIG-8

Nipa aiyipada, window sisun ti ṣeto si awọn apo-iwe 512. O le ṣeto si iye eyikeyi laarin 64 ati 4096 ti o jẹ agbara 2 (iyẹn ni, 64, 128, 256, 512, 1024, 2048, tabi 4096). Lati ṣe atunṣe iwọn window ti o lodi si atunṣe, lo pipaṣẹ-window atunṣe, ti n ṣalaye iwọn ti window naa:

Ẹrọ(konfigi)# aabo ipsec nọmba window atunwi

Eto naa dabi eyi:
aabo ipsec tun-window nọmba! !

Lati ṣe iranlọwọ pẹlu QoS, awọn ferese atunṣe lọtọ ti wa ni itọju fun ọkọọkan awọn ikanni ijabọ mẹjọ akọkọ. Iwọn window tunto ti pin nipasẹ mẹjọ fun ikanni kọọkan. Ti o ba tunto QoS lori olulana kan, olulana naa le ni iriri nọmba ti o tobi ju ti a ti ṣe yẹ lọ ti awọn soso silẹ nitori abajade ẹrọ imuṣere IPsec, ati ọpọlọpọ awọn apo-iwe ti o lọ silẹ jẹ awọn ti o tọ. Eyi waye nitori pe QoS ṣe atunṣe awọn apo-iwe, fifun itọju awọn apo-iṣaaju pataki ti o ga julọ ati idaduro awọn apo-isalẹ pataki. Lati dinku tabi ṣe idiwọ ipo yii, o le ṣe atẹle naa:

  • Ṣe alekun iwọn ti window anti-replay.
  • Ijabọ ẹlẹrọ si awọn ikanni ijabọ mẹjọ akọkọ lati rii daju pe ijabọ laarin ikanni kan ko tunto.

Tunto IKE-Ṣiṣe Awọn Tunnels IPsec
Lati gbe ijabọ ni aabo lati inu netiwọki agbekọja si nẹtiwọọki iṣẹ kan, o le tunto awọn tunnels IPsec ti o nṣiṣẹ ilana Ilana Bọtini Intanẹẹti (IKE). Awọn tunnels IPsec ti o ṣiṣẹ IKE n pese ijẹrisi ati fifi ẹnọ kọ nkan lati rii daju gbigbe apo soso to ni aabo. O ṣẹda oju eefin IPsec ti o ni IKE nipa tito atunto wiwo IPsec kan. IPsec atọkun ni o wa mogbonwa atọkun, ati awọn ti o tunto wọn kan bi eyikeyi miiran ti ara ni wiwo. O tunto awọn paramita Ilana IKE lori wiwo IPsec, ati pe o le tunto awọn ohun-ini wiwo miiran.

Akiyesi Cisco ṣe iṣeduro lilo IKE Version 2. Lati Sisiko SD-WAN 19.2.x itusilẹ siwaju, bọtini ti a ti pin tẹlẹ nilo lati jẹ o kere ju 16 baiti ni ipari. Idasile oju eefin IPsec kuna ti iwọn bọtini ba kere ju awọn ohun kikọ 16 nigbati olulana ti ni igbega si ẹya 19.2.

Akiyesi
Sisiko ayase SD-WAN software atilẹyin IKE Version 2 bi telẹ ni RFC 7296. Ọkan lilo fun IPsec tunnels ni lati gba vEdge Cloud olulana VM instances nṣiṣẹ lori Amazon AWS lati sopọ si Amazon foju ikọkọ awọsanma (VPC). O gbọdọ tunto IKE Version 1 lori awọn olulana wọnyi. Awọn ẹrọ Cisco vEdge ṣe atilẹyin awọn VPN ti o da lori ipa-ọna nikan ni iṣeto IPSec nitori awọn ẹrọ wọnyi ko le ṣalaye awọn yiyan ijabọ ni agbegbe ìsekóòdù.

Tunto IPsec Eefin kan
Lati tunto wiwo oju eefin IPsec kan fun ijabọ irinna to ni aabo lati nẹtiwọki iṣẹ kan, o ṣẹda wiwo IPsec ọgbọn kan:CISCO-SD-WAN-tunto-Aabo-parameters-FIG-9

O le ṣẹda oju eefin IPsec ni VPN irinna (VPN 0) ati ni eyikeyi iṣẹ VPN (VPN 1 nipasẹ 65530, ayafi fun 512). Ni wiwo IPsec ni orukọ kan ni ọna kika ipsecnumber, nibiti nọmba le jẹ lati 1 nipasẹ 255. Olukuluku IPsec gbọdọ ni adirẹsi IPv4 kan. Adirẹsi yii gbọdọ jẹ asọtẹlẹ /30. Gbogbo ijabọ ni VPN ti o wa laarin asọtẹlẹ IPv4 yii jẹ itọsọna si wiwo ti ara ni VPN 0 lati firanṣẹ ni aabo lori oju eefin IPsec kan.Lati tunto orisun oju eefin IPsec lori ẹrọ agbegbe, o le pato boya adiresi IP ti ni wiwo ti ara (ni oju eefin-orisun pipaṣẹ) tabi awọn orukọ ti awọn ti ara ni wiwo (ni oju eefin-orisun-ni wiwo pipaṣẹ). Rii daju wipe awọn ti ara ni wiwo ni tunto ni VPN 0. Lati tunto awọn nlo ti IPsec eefin, pato awọn IP adirẹsi ti awọn latọna ẹrọ ni awọn eefin-nlo pipaṣẹ. Àpapọ̀ àdírẹ́ẹ̀sì orísun (tàbí orúkọ ìṣàfilọ́lẹ̀ orísun) àti àdírẹ́ẹ̀sì ibi tí ó ń lọ ń ṣàlàyé eefin IPsec kan ṣoṣo. Oju eefin IPsec kan ṣoṣo le wa ti o nlo adirẹsi orisun kan pato (tabi orukọ wiwo) ati bata adirẹsi opin irin ajo.

Ṣe atunto Ipa ọna Aimi IPsec kan

Lati ṣe itọsọna ijabọ lati iṣẹ VPN si oju eefin IPsec ninu VPN irinna (VPN 0), o tunto ipa ọna aimi IPsec kan ninu iṣẹ VPN iṣẹ kan (VPN miiran yatọ si VPN 0 tabi VPN 512):

  • vEdge(konfigi)# vpn vpn-id
  • vEdge(konfigi-vpn)# ip ipsec-route ìpele ìpele / ipari vpn 0 ni wiwo
  • ipsecnumber [ipsecnumber2]

ID VPN jẹ ti eyikeyi iṣẹ VPN (VPN 1 nipasẹ 65530, ayafi fun 512). ìpele/ipari ni adiresi IP tabi ìpele, ni ami ami ami ami apa mẹẹrin eleemewa, ati ipari ìpele ti ipa ọna aimi pato IPsec. Ni wiwo ni wiwo oju eefin IPsec ni VPN 0. O le tunto ọkan tabi meji IPsec eefin atọkun. Ti o ba tunto meji, akọkọ jẹ oju eefin IPsec akọkọ, ati keji jẹ afẹyinti. Pẹlu awọn atọkun meji, gbogbo awọn apo-iwe ni a firanṣẹ si oju eefin akọkọ nikan. Ti oju eefin yẹn ba kuna, gbogbo awọn apo-iwe lẹhinna ni a firanṣẹ si eefin keji. Ti oju eefin akọkọ ba pada si oke, gbogbo awọn ijabọ ti gbe pada si oju eefin IPsec akọkọ.

Mu ẹya IKE 1 ṣiṣẹ
Nigbati o ba ṣẹda oju eefin IPsec lori olulana vEdge, IKE Version 1 ti ṣiṣẹ nipasẹ aiyipada lori wiwo oju eefin. Awọn ohun-ini wọnyi tun ṣiṣẹ nipasẹ aiyipada fun IKEv1:

  • Ijeri ati fifi ẹnọ kọ nkan-AES-256 ti ilọsiwaju ìsekóòdù boṣewa CBC ìsekóòdù pẹlu HMAC-SHA1 keyed-hash ifiranṣẹ koodu alugoridimu fun iyege
  • Nọmba ẹgbẹ Diffie-Hellman-16
  • Aarin akoko atunṣe-wakati 4
  • Ipo idasile SA-Main

Nipa aiyipada, IKEv1 nlo ipo akọkọ IKE lati fi idi IKE SAs mulẹ. Ni ipo yii, awọn apo-iwe idunadura mẹfa ti wa ni paarọ lati fi idi SA mulẹ. Lati paarọ awọn apo-iwe idunadura mẹta nikan, mu ipo ibinu ṣiṣẹ:

Akiyesi
Ipo ibinu IKE pẹlu awọn bọtini ti a ti pin tẹlẹ yẹ ki o yago fun nibikibi ti o ṣeeṣe. Bibẹẹkọ o yẹ ki o yan bọtini ti o lagbara ṣaaju-pin.

  • vEdge(konfigi)# vpn vpn-id ni wiwo ipsec nọmba ike
  • vEdge(konfigi-ike) # ipo ibinu

Nipa aiyipada, IKEv1 nlo Diffie-Hellman ẹgbẹ 16 ni paṣipaarọ bọtini IKE. Ẹgbẹ yii nlo ẹgbẹ 4096-bit diẹ sii apọjuwọn modular (MODP) lakoko paṣipaarọ bọtini IKE. O le yi nọmba ẹgbẹ pada si 2 (fun 1024-bit MODP), 14 (2048-bit MODP), tabi 15 (3072-bit MODP):

  • vEdge(konfigi)# vpn vpn-id ni wiwo ipsec nọmba ike
  • vEdge(konfigi-ike)# nọmba ẹgbẹ

Nipa aiyipada, paṣipaarọ bọtini IKE nlo AES-256 fifi ẹnọ kọ nkan ti ilọsiwaju boṣewa CBC fifi ẹnọ kọ nkan pẹlu HMAC-SHA1 keyed-hash ifiranṣẹ koodu algoridimu fun iduroṣinṣin. O le yi ijẹrisi naa pada:

  • vEdge(konfigi)# vpn vpn-id ni wiwo ipsec nọmba ike
  • vEdge(konfigi-ike)# cipher-suite suite

Suite ìfàṣẹsí le jẹ ọkan ninu awọn atẹle:

  • aes128-cbc-sha1-AES-128 ti ilọsiwaju ìsekóòdù boṣewa CBC ìsekóòdù pẹlu HMAC-SHA1 keyed-hash ifiranṣẹ koodu algorithm fun iduroṣinṣin
  • aes128-cbc-sha2-AES-128 ti ilọsiwaju ìsekóòdù boṣewa CBC ìsekóòdù pẹlu HMAC-SHA256 keyed-hash ifiranṣẹ koodu algorithm fun iduroṣinṣin
  • aes256-cbc-sha1-AES-256 to ti ni ilọsiwaju ìsekóòdù boṣewa CBC ìsekóòdù pẹlu HMAC-SHA1 keyed-hash ifiranṣẹ ìfàṣẹsí koodu alugoridimu fun iyege; eyi ni aiyipada.
  • aes256-cbc-sha2-AES-256 ti ilọsiwaju ìsekóòdù boṣewa CBC ìsekóòdù pẹlu HMAC-SHA256 keyed-hash ifiranṣẹ koodu algorithm fun iduroṣinṣin

Nipa aiyipada, awọn bọtini IKE ti wa ni isọdọtun ni gbogbo wakati 1 (awọn aaya 3600). O le yi aarin atunkọ pada si iye lati ọgbọn aaya 30 si awọn ọjọ 14 (1209600 iṣẹju-aaya). A ṣe iṣeduro pe aarin akoko atunṣe jẹ o kere ju wakati kan.

  • vEdge(konfigi)# vpn vpn-id ni wiwo ipsec nọmba bi
  • vEdge(konfigi-ike)# rekey aaya

Lati fi ipa mu iran awọn bọtini titun fun igba IKE, gbejade aṣẹ ipsec ike-rekey ibeere naa.

  • vEdge(konfigi)# vpn vpn-id interfaceipsec nomba ike

Fun IKE, o tun le tunto bọtini ifitonileti ti tẹlẹ (PSK):

  • vEdge(konfigi)# vpn vpn-id ni wiwo ipsec nọmba ike
  • vEdge(konfigi-ike)# authentication-type pre-shared-bọtini ọrọ igbaniwọle aṣiri-iṣaaju iṣaju pinpin-iṣiri jẹ ọrọ igbaniwọle lati lo pẹlu bọtini ti a ti ṣajọ tẹlẹ. O le jẹ ASCII tabi okun hexadecimal lati awọn ohun kikọ 1 si 127 gigun.

Ti ẹlẹgbẹ IKE latọna jijin ba nilo ID agbegbe tabi latọna jijin, o le tunto idamo yii:

  • vEdge(konfigi)# vpn vpn-id ni wiwo ipsec nọmba ike iru-ijeri
  • vEdge(konfigi-ifọwọsi-Iru)# id local-id
  • vEdge(konfigi-ifọwọsi-Iru)# id latọna jijin-id

Idanimọ le jẹ adiresi IP tabi okun ọrọ eyikeyi lati awọn ohun kikọ 1 si 63 gigun. Nipa aiyipada, ID agbegbe jẹ adiresi IP orisun oju eefin ati ID latọna jijin jẹ adiresi IP ibi ti oju eefin.

Mu ẹya IKE 2 ṣiṣẹ
Nigbati o ba tunto oju eefin IPsec lati lo IKE Version 2, awọn ohun-ini wọnyi tun ṣiṣẹ nipasẹ aiyipada fun IKEv2:

  • Ijeri ati fifi ẹnọ kọ nkan-AES-256 ti ilọsiwaju ìsekóòdù boṣewa CBC ìsekóòdù pẹlu HMAC-SHA1 keyed-hash ifiranṣẹ koodu alugoridimu fun iyege
  • Nọmba ẹgbẹ Diffie-Hellman-16
  • Aarin akoko atunṣe-wakati 4

Nipa aiyipada, IKEv2 nlo Diffie-Hellman ẹgbẹ 16 ni paṣipaarọ bọtini IKE. Ẹgbẹ yii nlo ẹgbẹ 4096-bit diẹ sii apọjuwọn modular (MODP) lakoko paṣipaarọ bọtini IKE. O le yi nọmba ẹgbẹ pada si 2 (fun 1024-bit MODP), 14 (2048-bit MODP), tabi 15 (3072-bit MODP):

  • vEdge(konfigi)# vpn vpn-id ni wiwo ipsecnumber ike
  • vEdge(konfigi-ike)# nọmba ẹgbẹ

Nipa aiyipada, paṣipaarọ bọtini IKE nlo AES-256 fifi ẹnọ kọ nkan ti ilọsiwaju boṣewa CBC fifi ẹnọ kọ nkan pẹlu HMAC-SHA1 keyed-hash ifiranṣẹ koodu algoridimu fun iduroṣinṣin. O le yi ijẹrisi naa pada:

  • vEdge(konfigi)# vpn vpn-id ni wiwo ipsecnumber ike
  • vEdge(konfigi-ike)# cipher-suite suite

Suite ìfàṣẹsí le jẹ ọkan ninu awọn atẹle:

  • aes128-cbc-sha1-AES-128 ti ilọsiwaju ìsekóòdù boṣewa CBC ìsekóòdù pẹlu HMAC-SHA1 keyed-hash ifiranṣẹ koodu algorithm fun iduroṣinṣin
  • aes128-cbc-sha2-AES-128 ti ilọsiwaju ìsekóòdù boṣewa CBC ìsekóòdù pẹlu HMAC-SHA256 keyed-hash ifiranṣẹ koodu algorithm fun iduroṣinṣin
  • aes256-cbc-sha1-AES-256 to ti ni ilọsiwaju ìsekóòdù boṣewa CBC ìsekóòdù pẹlu HMAC-SHA1 keyed-hash ifiranṣẹ ìfàṣẹsí koodu alugoridimu fun iyege; eyi ni aiyipada.
  • aes256-cbc-sha2-AES-256 ti ilọsiwaju ìsekóòdù boṣewa CBC ìsekóòdù pẹlu HMAC-SHA256 keyed-hash ifiranṣẹ koodu algorithm fun iduroṣinṣin

Nipa aiyipada, awọn bọtini IKE ti wa ni isọdọtun ni gbogbo wakati mẹrin (4 iṣẹju-aaya). O le yi aarin atunkọ pada si iye lati ọgbọn aaya 14,400 si awọn ọjọ 30 (awọn aaya 14):

  • vEdge(konfigi)# vpn vpn-id ni wiwo ipsecnumber ike
  • vEdge(konfigi-ike)# rekey aaya

Lati fi ipa mu iran awọn bọtini titun fun igba IKE, gbejade aṣẹ ipsec ike-rekey ibeere naa. Fun IKE, o tun le tunto bọtini ifitonileti ti tẹlẹ (PSK):

  • vEdge(konfigi)# vpn vpn-id ni wiwo ipsecnumber ike
  • vEdge(konfigi-ike)# authentication-type pre-shared-bọtini ọrọ igbaniwọle aṣiri-iṣaaju iṣaju pinpin-iṣiri jẹ ọrọ igbaniwọle lati lo pẹlu bọtini ti a ti ṣajọ tẹlẹ. O le jẹ ASCII tabi okun hexadecimal, tabi o le jẹ bọtini fifi ẹnọ kọ nkan AES. Ti ẹlẹgbẹ IKE latọna jijin ba nilo ID agbegbe tabi latọna jijin, o le tunto idamo yii:
  • vEdge(konfigi)# vpn vpn-id ni wiwo ipsecnumber ike ìfàṣẹsí-iru
  • vEdge(konfigi-ifọwọsi-Iru)# id local-id
  • vEdge(konfigi-ifọwọsi-Iru)# id latọna jijin-id

Idanimọ le jẹ adiresi IP tabi okun ọrọ eyikeyi lati awọn ohun kikọ 1 si 64 gigun. Nipa aiyipada, ID agbegbe jẹ adiresi IP orisun oju eefin ati ID latọna jijin jẹ adiresi IP ibi ti oju eefin.

Tunto IPsec Tunnel Parameters

Table 4: Itan ẹya

Ẹya ara ẹrọ Oruko Alaye Tu silẹ Apejuwe
Afikun Cryptographic Cisco SD-WAN Tu 20.1.1 Ẹya yii ṣe afikun atilẹyin fun
Atilẹyin Algorithmic fun IPSec   HMAC_SHA256, HMAC_SHA384, ati
Tunnels   HMAC_SHA512 algoridimu fun
    ti mu dara si aabo.

Nipa aiyipada, awọn paramita wọnyi ni a lo lori oju eefin IPsec ti o gbe ijabọ IKE:

  • Ijeri ati fifi ẹnọ kọ nkan-AES-256 algorithm ni GCM (Ipo Galois/counter)
  • Aarin akoko atunṣe-wakati 4
  • Ferese tun ṣe-32 awọn apo-iwe

O le yi fifi ẹnọ kọ nkan naa pada lori oju eefin IPsec si AES-256 cipher ni CBC (ipo sisopọ bulọọki cipher, pẹlu HMAC ni lilo boya SHA-1 tabi SHA-2 keyed-hash ifiranṣẹ ijẹrisi tabi lati parẹ pẹlu HMAC ni lilo boya SHA-1 tabi Ijeri ifiranṣẹ SHA-2 keyed-hash, lati ma ṣe encrypt oju eefin IPsec ti a lo fun ijabọ paṣipaarọ bọtini IKE:

  • vEdge(konfigi-interface-ipsecnumber)# ipsec
  • vEdge (konfigi-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256 | aes384-null-sha256 | aes512-null-shaXNUMX)

Nipa aiyipada, awọn bọtini IKE ti wa ni isọdọtun ni gbogbo wakati mẹrin (4 iṣẹju-aaya). O le yi aarin atunkọ pada si iye lati ọgbọn aaya 14,400 si awọn ọjọ 30 (awọn aaya 14):

  • vEdge(konfigi-interface-ipsecnumber)# ipsec
  • vEdge(konfigi-ipsec)# awọn aaya atunṣe

Lati fi ipa mu iran ti awọn bọtini titun fun oju eefin IPsec, gbejade ibeere ipsec ipsec-rekey aṣẹ. Nipa aiyipada, aṣiri pipe siwaju (PFS) ti ṣiṣẹ lori awọn oju eefin IPsec, lati rii daju pe awọn akoko ti o kọja ko ni kan ti awọn bọtini iwaju ba ni ipalara. PFS fi agbara mu paṣipaarọ bọtini Diffie-Hellman tuntun, nipasẹ aiyipada nipa lilo 4096-bit Diffie-Hellman nomba module Ẹgbẹ. O le yi eto PFS pada:

  • vEdge(konfigi-interface-ipsecnumber)# ipsec
  • vEdge(konfigi-ipsec)# pipe-siwaju-aṣiri pfs-eto

Eto pfs le jẹ ọkan ninu awọn atẹle:

  • ẹgbẹ-2-Lo 1024-bit Diffie-Hellman nomba modulus Ẹgbẹ.
  • ẹgbẹ-14-Lo 2048-bit Diffie-Hellman nomba modulus Ẹgbẹ.
  • ẹgbẹ-15-Lo 3072-bit Diffie-Hellman nomba modulus Ẹgbẹ.
  • ẹgbẹ-16-Lo 4096-bit Diffie-Hellman nomba modulus Ẹgbẹ. Eyi ni aiyipada.
  • kò-Pa PFS.

Nipa aiyipada, window atunṣe IPsec lori oju eefin IPsec jẹ 512 baiti. O le ṣeto iwọn window atunṣe si 64, 128, 256, 512, 1024, 2048, tabi awọn apo-iwe 4096:

  • vEdge(konfigi-interface-ipsecnumber)# ipsec
  • vEdge(konfigi-ipsec)# nọmba atunṣe-window

Ṣatunṣe IKE Dead-Peer Wiwa

IKE nlo ẹrọ wiwa awọn ẹlẹgbẹ ti o ku lati pinnu boya asopọ si ẹlẹgbẹ IKE jẹ iṣẹ ṣiṣe ati de ọdọ. Lati ṣe ilana yii, IKE fi apo-iwe Hello ranṣẹ si awọn ẹlẹgbẹ rẹ, ati pe ẹlẹgbẹ naa fi ijẹrisi ranṣẹ ni esi. Nipa aiyipada, IKE firanṣẹ awọn apo-iwe Hello ni gbogbo iṣẹju-aaya 10, ati lẹhin awọn apo-iwe mẹta ti a ko gba, IKE sọ pe aladugbo ti ku ati ya oju eefin naa fun ẹlẹgbẹ ẹlẹgbẹ. Lẹhinna, IKE lorekore fi apo-iwe Hello ranṣẹ si ẹlẹgbẹ, o tun fi oju eefin mulẹ nigbati ẹlẹgbẹ ba pada wa lori ayelujara. O le yi aarin wiwa laaye si iye lati 0 si 65535, ati pe o le yi nọmba awọn igbiyanju pada si iye lati 0 si 255.

Akiyesi

Fun awọn VPN irinna, aarin wiwa laaye jẹ iyipada si iṣẹju-aaya nipa lilo agbekalẹ atẹle: Aarin fun nọmba igbiyanju gbigbe N = aarin * 1.8N-1Fun example, ti o ba ṣeto aarin si 10 ti o si tun gbiyanju si 5, aarin wiwa pọ si bi atẹle:

  • Igbiyanju 1: 10 * 1.81-1 = 10 aaya
  • Igbiyanju 2: 10 * 1.82-1 = 18 aaya
  • Igbiyanju 3: 10 * 1.83-1 = 32.4 aaya
  • Igbiyanju 4: 10 * 1.84-1 = 58.32 aaya
  • Igbiyanju 5: 10 * 1.85-1 = 104.976 aaya

vEdge(konfigi-interface-ipsecnumber)# oku-peer-detection aarin ti n gbiyanju nọmba

Tunto Miiran Interface Properties

Fun awọn atọkun oju eefin IPsec, o le tunto awọn ohun-ini wiwo afikun atẹle nikan:

  • vEdge(konfigi-interface-ipsec)# mtu baiti
  • vEdge(konfigi-interface-ipsec)# tcp-mss-ṣatunṣe awọn baiti

Pa awọn alugoridimu SSH ìsekóòdù alailagbara lori Sisiko SD-WAN Manager

Table 5: Ẹya Itan Table

Ẹya ara ẹrọ Oruko Alaye Tu silẹ Ẹya ara ẹrọ Apejuwe
Pa awọn alugoridimu SSH ìsekóòdù alailagbara lori Sisiko SD-WAN Manager Cisco vManage Tu 20.9.1 Ẹya yii n gba ọ laaye lati mu awọn algoridimu SSH alailagbara ṣiṣẹ lori Sisiko SD-WAN Manager ti o le ma ni ibamu pẹlu awọn iṣedede aabo data kan.

Alaye Nipa piparẹ Awọn alugoridimu ìsekóòdù SSH ti ko lagbara lori Sisiko SD-WAN Manager
Cisco SD-WAN Manager pese ohun SSH ni ose fun ibaraẹnisọrọ pẹlu irinše ni awọn nẹtiwọki, pẹlu olutona ati eti awọn ẹrọ. Onibara SSH n pese asopọ ti paroko fun gbigbe data to ni aabo, da lori ọpọlọpọ awọn algoridimu fifi ẹnọ kọ nkan. Ọpọlọpọ awọn ajo nilo fifi ẹnọ kọ nkan ti o lagbara ju eyiti a pese nipasẹ SHA-1, AES-128, ati AES-192. Lati Sisiko vManage Tu 20.9.1, o le mu awọn algoridimu fifi ẹnọ kọ nkan wọnyi jẹ alailagbara ki alabara SSH ko lo awọn algoridimu wọnyi:

  • SHA-1
  • AES-128
  • AES-192

Ṣaaju ki o to pa awọn algoridimu fifi ẹnọ kọ nkan wọnyi, rii daju pe awọn ẹrọ Sisiko vEdge, ti eyikeyi, ninu nẹtiwọọki, nlo itusilẹ sọfitiwia nigbamii ju Sisiko SD-WAN Tu 18.4.6.

Awọn anfani ti Disabel alailagbara SSH ìsekóòdù alugoridimu on Cisco SD-WAN Manager
Pa alailagbara SSH ìsekóòdù aligoridimu se aabo ti SSH ibaraẹnisọrọ, ati ki o idaniloju wipe ajo lilo Cisco ayase SD-WAN ni ifaramọ pẹlu ti o muna aabo ilana.

Pa alugoridimu SSH ìsekóòdù alailagbara lori Sisiko SD-WAN Manager Lilo CLI

  1. Lati Sisiko SD-WAN Manager akojọ, yan Awọn irin-> SSH Terminal.
  2. Yan ẹrọ Sisiko SD-WAN Manager lori eyiti o fẹ lati mu awọn algoridimu SSH alailagbara kuro.
  3. Tẹ orukọ olumulo ati ọrọ igbaniwọle sii lati wọle si ẹrọ naa.
  4. Tẹ ipo olupin SSH sii.
    • vmanage(konfigi) # eto
    • vmanage(konfigi-eto)# ssh-server
  5. Ṣe ọkan ninu awọn atẹle lati mu algorithm fifi ẹnọ kọ nkan SSH kan:
    • Pa SHA-1 kuro:
  6. ṣakoso (konfigi-ssh-server) # ko si kex-algo sha1
  7. ṣakoso (konfigi-ssh-server) # ṣẹ
    Ifiranṣẹ ikilọ atẹle yii ti han: Awọn ikilọ wọnyi ni ipilẹṣẹ: 'system ssh-server kex-algo sha1': IKILO: Jọwọ rii daju pe gbogbo awọn egbegbe rẹ ṣiṣẹ ẹya koodu> 18.4.6 eyiti o ṣe adehun dara julọ ju SHA1 pẹlu vManage. Bibẹẹkọ awọn egbegbe yẹn le di aisinipo. Tẹsiwaju? [bẹẹni, rara] bẹẹni
    • Rii daju pe eyikeyi awọn ẹrọ Sisiko vEdge ninu nẹtiwọọki nṣiṣẹ Sisiko SD-WAN Tu 18.4.6 tabi nigbamii ki o tẹ bẹẹni.
    • Pa AES-128 ati AES-192 kuro:
    • vmanage(konfigi-ssh-server) # ko si cipher aes-128-192
    • vmanage(konfigi-ssh-server)# ṣẹ
      Ifiranṣẹ ikilọ atẹle yii ti han:
      Awọn ikilọ atẹle yii ni ipilẹṣẹ:
      'system ssh-server cipher aes-128-192': IKILO: Jọwọ rii daju pe gbogbo awọn egbegbe rẹ ṣiṣẹ ẹya koodu> 18.4.6 eyiti o ṣe idunadura dara julọ ju AES-128-192 pẹlu vManage. Bibẹẹkọ awọn egbegbe yẹn le di aisinipo. Tẹsiwaju? [bẹẹni, rara] bẹẹni
    • Rii daju pe eyikeyi awọn ẹrọ Sisiko vEdge ninu nẹtiwọọki nṣiṣẹ Sisiko SD-WAN Tu 18.4.6 tabi nigbamii ki o tẹ bẹẹni.

Daju pe Awọn algoridimu fifi ẹnọ kọ nkan SSH ti ko lagbara jẹ alaabo lori Sisiko SD-WAN Manager Lilo CLI

  1. Lati Sisiko SD-WAN Manager akojọ, yan Awọn irin-> SSH Terminal.
  2. Yan ẹrọ Sisiko SD-WAN Manager ti o fẹ lati mọ daju.
  3. Tẹ orukọ olumulo ati ọrọ igbaniwọle sii lati wọle si ẹrọ naa.
  4. Ṣiṣe aṣẹ atẹle naa: ṣafihan ṣiṣe-konfigi eto ssh-server
  5. Jẹrisi pe iṣẹjade fihan ọkan tabi diẹ ẹ sii ti awọn aṣẹ ti o mu awọn algoridimu fifi ẹnọ kọ nkan alailagbara:
    • ko si cipher aes-128-192
    • ko si kex-algo sha1

Awọn iwe aṣẹ / Awọn orisun

CISCO SD-WAN Tunto Aabo paramita [pdf] Itọsọna olumulo
SD-WAN Ṣe atunto Awọn paramita Aabo, SD-WAN, Ṣe atunto Awọn paramita Aabo, Awọn paramita Aabo

Awọn itọkasi

Fi ọrọìwòye

Adirẹsi imeeli rẹ kii yoo ṣe atẹjade. Awọn aaye ti a beere ti wa ni samisi *