CISCO SD-WAN 配置安全参数
配置安全参数
笔记
为了实现简化和一致性,思科 SD-WAN 解决方案已更名为思科 Catalyst SD-WAN。此外,从 Cisco IOS XE SD-WAN 版本 17.12.1a 和 Cisco Catalyst SD-WAN 版本 20.12.1 开始,以下组件更改适用:Cisco vManage 到 Cisco Catalyst SD-WAN Manager、Cisco vAnalytics 到 Cisco Catalyst SD-WAN Analytics、Cisco vBond 到 Cisco Catalyst SD-WAN 验证器以及 Cisco vSmart 到 Cisco Catalyst SD-WAN 控制器。有关所有组件品牌名称更改的完整列表,请参阅最新的发行说明。当我们过渡到新名称时,由于软件产品的用户界面更新采用分阶段方法,文档集中可能会出现一些不一致的情况。
本节介绍如何更改 Cisco Catalyst SD-WAN 覆盖网络中控制平面和数据平面的安全参数。
- 配置控制平面安全参数,
- 配置数据平面安全参数
- 配置启用 IKE 的 IPsec 隧道
- 在 Cisco SD-WAN Manager 上禁用弱 SSH 加密算法
配置控制平面安全参数
默认情况下,控制平面使用 DTLS 作为为其所有隧道提供隐私的协议。 DTLS 通过 UDP 运行。您可以将控制平面安全协议更改为 TLS,它通过 TCP 运行。使用 TLS 的主要原因是,如果您将思科 SD-WAN 控制器视为服务器,则防火墙比 UDP 服务器更好地保护 TCP 服务器。您可以在思科 SD-WAN 控制器上配置控制平面隧道协议: vSmart(config)# security control protocol tls 通过此更改,思科 SD-WAN 控制器与路由器之间以及思科 SD-WAN 控制器之间的所有控制平面隧道和思科 SD-WAN Manager 使用 TLS。到 Cisco Catalyst SD-WAN 验证器的控制平面隧道始终使用 DTLS,因为这些连接必须由 UDP 处理。在具有多个思科 SD-WAN 控制器的域中,当您在其中一个思科 SD-WAN 控制器上配置 TLS 时,从该控制器到其他控制器的所有控制平面隧道都使用 TLS。换句话说,TLS 始终优先于 DTLS。但是,从其他思科 SD-WAN 控制器的角度来看,如果您尚未在其上配置 TLS,则它们仅在控制平面隧道上使用 TLS 到该思科 SD-WAN 控制器,并使用 DTLS 隧道到所有其他控制器思科 SD-WAN 控制器及其所有连接的路由器。要让所有思科 SD-WAN 控制器都使用 TLS,请在所有控制器上进行配置。默认情况下,思科 SD-WAN 控制器在端口 23456 上侦听 TLS 请求。要更改此设置: vSmart(config)# security control tls-port number 该端口可以是 1025 到 65535 之间的数字。要显示控制平面安全信息,请在思科 SD-WAN 控制器上使用 show controlconnections 命令。对于前ample: vSmart-2# 显示控制连接
在 Cisco SD-WAN Manager 中配置 DTLS
如果您将 Cisco SD-WAN Manager 配置为使用 TLS 作为控制平面安全协议,则必须在 NAT 上启用端口转发。如果您使用 DTLS 作为控制平面安全协议,则无需执行任何操作。转发的端口数量取决于 Cisco SD-WAN Manager 上运行的 vdaemon 进程的数量。要显示有关这些进程以及正在转发的端口的信息,请使用 show control summary 命令显示四个守护进程正在运行:
要查看侦听端口,请使用 show control local-properties 命令:vManage# show control local-properties
此输出显示侦听 TCP 端口为 23456。如果您在 NAT 之后运行 Cisco SD-WAN Manager,则应在 NAT 设备上打开以下端口:
- 23456(基础 - 实例 0 端口)
- 23456 + 100(基数 + 100)
- 23456 + 200(基数 + 200)
- 23456 + 300(基数 + 300)
请注意,实例数量与您为 Cisco SD-WAN Manager 分配的核心数量相同,最多为 8 个。
使用安全功能模板配置安全参数
对所有 Cisco vEdge 设备使用安全功能模板。在边缘路由器和思科 SD-WAN 验证器上,使用此模板配置 IPsec 以实现数据平面安全。在思科 SD-WAN Manager 和思科 SD-WAN 控制器上,使用安全功能模板配置 DTLS 或 TLS 以实现控制平面安全。
配置安全参数
- 从 Cisco SD-WAN Manager 菜单中,选择配置 > 模板。
- 单击功能模板,然后单击添加模板。
笔记 在 Cisco vManage 版本 20.7.1 及更早版本中,功能模板称为功能。 - 从左侧窗格的设备列表中,选择一个设备。适用于所选设备的模板出现在右侧窗格中。
- 单击安全性以打开模板。
- 在模板名称字段中,输入模板的名称。该名称最多可包含 128 个字符,并且只能包含字母数字字符。
- 在模板描述字段中,输入模板的描述。描述最多可包含 2048 个字符,并且只能包含字母数字字符。
首次打开要素模板时,对于每个具有默认值的参数,范围将设置为“默认”(由复选标记指示),并显示默认设置或值。要更改默认值或输入值,请单击参数字段左侧的范围下拉菜单,然后选择以下选项之一:
表 1:
| 范围 范围 | 范围描述 |
| 设备特定(由主机图标指示) | 使用参数的设备特定值。对于设备特定的参数,您无法在功能模板中输入值。您在将 Viptela 设备附加到设备模板时输入该值。
单击“特定于设备”时,将打开“输入密钥”框。此框显示一个键,它是标识 CSV 中的参数的唯一字符串 file 你创造的。这 file 是一个 Excel 电子表格,每个键包含一列。标题行包含键名称(每列一个键),之后的每一行对应于一个设备并定义该设备的键值。您上传 CSV file 当您将 Viptela 设备附加到设备模板时。有关详细信息,请参阅创建模板变量电子表格。 要更改默认密钥,请键入新字符串并将光标移出“输入密钥”框。 Examp设备特定参数的文件包括系统 IP 地址、主机名、GPS 位置和站点 ID。 |
| 范围 范围 | 范围描述 |
| 全局(由地球图标表示) | 输入参数值,并将该值应用于所有设备。
Examp您可以全局应用于一组设备的参数文件包括 DNS 服务器、系统日志服务器和接口 MTU。 |
配置控制平面安全
笔记
配置控制平面安全部分仅适用于思科 SD-WAN Manager 和思科 SD-WAN 控制器。要在思科 SD-WAN Manager 实例或思科 SD-WAN 控制器上配置控制平面连接协议,请选择基本配置区域并配置以下参数:
表 2:
| 范围 姓名 | 描述 |
| 协议 | 选择用于与思科 SD-WAN 控制器的控制平面连接的协议:
• DTLS(达tagRAM 传输层安全)。这是默认设置。 • TLS(传输层安全) |
| 控制 TLS 端口 | 如果选择 TLS,请配置要使用的端口号:范围: 1025 至 65535默认: 23456 |
点击“保存”
配置数据平面安全
要在思科 SD-WAN 验证器或思科 vEdge 路由器上配置数据平面安全性,请选择基本配置和身份验证类型选项卡,然后配置以下参数:
表 3:
| 范围 姓名 | 描述 |
| 重新生成密钥时间 | 指定思科 vEdge 路由器更改其与思科 SD-WAN 控制器的安全 DTLS 连接上使用的 AES 密钥的频率。如果启用 OMP 平滑重启,则重新生成密钥时间必须至少是 OMP 平滑重启计时器值的两倍。范围: 10 到 1209600 秒(14 天)默认: 86400 秒(24 小时) |
| 重播窗口 | 指定滑动重播窗口的大小。
值: 64、128、256、512、1024、2048、4096、8192 包默认: 512 个数据包 |
| IPsec
成对键控 |
默认情况下此功能处于关闭状态。点击 On 将其打开。 |
| 范围 姓名 | 描述 |
| 身份验证类型 | 从以下选项中选择身份验证类型 验证 列表,然后单击向右箭头将身份验证类型移至 选定列表 柱子。
Cisco SD-WAN 版本 20.6.1 支持的身份验证类型: • 尤其是:启用封装安全负载 (ESP) 加密和 ESP 标头的完整性检查。 • ip-udp-esp: 启用 ESP 加密。除了对 ESP 标头和负载的完整性检查之外,检查还包括外部 IP 和 UDP 标头。 • ip-udp-esp-无 ID:忽略 IP 标头中的 ID 字段,以便 Cisco Catalyst SD-WAN 可以与非 Cisco 设备结合使用。 • 没有任何:关闭 IPSec 数据包的完整性检查。我们不建议使用此选项。
思科 SD-WAN 版本 20.5.1 及更早版本支持的身份验证类型: • 啊无 ID:启用 AH-SHA1 HMAC 和 ESP HMAC-SHA1 的增强版本,忽略数据包外部 IP 标头中的 ID 字段。 • ah-sha1-hmac:启用 AH-SHA1 HMAC 和 ESP HMAC-SHA1。 • 没有任何:选择不认证。 • sha1-hmac:启用 ESP HMAC-SHA1。
笔记 对于在 Cisco SD-WAN 版本 20.5.1 或更早版本上运行的边缘设备,您可能已使用 安全 模板。将设备升级到 Cisco SD-WAN 版本 20.6.1 或更高版本时,请更新在 安全 模板到 Cisco SD-WAN 版本 20.6.1 支持的身份验证类型。要更新身份验证类型,请执行以下操作: 1. 从 Cisco SD-WAN Manager 菜单中,选择 配置 > 模板. 2. 点击 功能模板. 3. 找到 安全 要更新的模板并单击...然后单击 编辑. 4. 点击 更新。不要修改任何配置。 思科 SD-WAN Manager 更新 安全 显示支持的身份验证类型的模板。 |
单击保存。
配置数据平面安全参数
在数据平面中,默认情况下在所有路由器上启用 IPsec,并且默认情况下 IPsec 隧道连接使用增强版本的封装安全负载 (ESP) 协议在 IPsec 隧道上进行身份验证。在路由器上,您可以更改身份验证类型、IPsec 密钥更新计时器以及 IPsec 抗重放窗口的大小。
配置允许的身份验证类型
Cisco SD-WAN 版本 20.6.1 及更高版本中的身份验证类型
从思科 SD-WAN 版本 20.6.1 开始,支持以下完整性类型:
- esp:此选项启用封装安全负载 (ESP) 加密和 ESP 标头的完整性检查。
- ip-udp-esp:此选项启用 ESP 加密。除了对 ESP 标头和负载的完整性检查外,检查还包括外部 IP 和 UDP 标头。
- ip-udp-esp-no-id:此选项与 ip-udp-esp 类似,但是忽略外部 IP 标头的 ID 字段。在完整性类型列表中配置此选项,以使 Cisco Catalyst SD-WAN 软件忽略 IP 标头中的 ID 字段,以便 Cisco Catalyst SD-WAN 可以与非思科设备结合使用。
- none:此选项关闭 IPSec 数据包的完整性检查。我们不建议使用此选项。
默认情况下,IPsec 隧道连接使用增强版本的封装安全负载 (ESP) 协议进行身份验证。要修改协商的实体类型或禁用完整性检查,请使用以下命令:integrity-type { none | ip-udp-esp | ip-udp-esp | ip-udp-esp-无 ID |尤其是}
Cisco SD-WAN 版本 20.6.1 之前的身份验证类型
默认情况下,IPsec 隧道连接使用增强版本的封装安全负载 (ESP) 协议进行身份验证。要修改协商的身份验证类型或禁用身份验证,请使用以下命令: Device(config)# security ipsecauthentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) 默认情况下,IPsec隧道连接使用 AES-GCM-256,它提供加密和身份验证。使用单独的 security ipsecauthentication-type 命令配置每种身份验证类型。命令选项映射到以下身份验证类型,这些类型按从最强到最弱的顺序列出:
笔记
配置选项中的sha1是出于历史原因而使用的。身份验证选项指示已完成多少数据包完整性检查。他们没有指定检查完整性的算法。除多播流量加密外,Cisco Catalyst SD WAN 支持的身份验证算法不使用 SHA1。但是,在思科 SD-WAN 版本 20.1.x 及更高版本中,单播和多播都不使用 SHA1。
- ah-sha1-hmac 启用使用 ESP 的加密和封装。然而,除了对 ESP 标头和负载的完整性检查之外,检查还包括外部 IP 和 UDP 标头。因此,此选项支持类似于身份验证标头 (AH) 协议的数据包完整性检查。所有完整性和加密均使用 AES-256-GCM 执行。
- ah-no-id 启用类似于 ah-sha1-hmac 的模式,但是忽略外部 IP 标头的 ID 字段。此选项适用于一些非 Cisco Catalyst SD-WAN 设备,包括 Apple AirPort Express NAT,这些设备存在导致 IP 标头中的 ID 字段(非可变字段)被修改的错误。在身份验证类型列表中配置 ah-no-id 选项,以使 Cisco Catalyst SD-WAN AH 软件忽略 IP 标头中的 ID 字段,以便 Cisco Catalyst SD-WAN 软件可以与这些设备配合使用。
- sha1-hmac 启用 ESP 加密和完整性检查。
- none 映射到没有身份验证。仅当需要临时调试时才应使用此选项。在不关心数据平面身份验证和完整性的情况下,您也可以选择此选项。思科不建议在生产网络中使用此选项。
有关哪些数据包字段受这些身份验证类型影响的信息,请参阅数据平面完整性。 Cisco IOS XE Catalyst SD-WAN 设备和 Cisco vEdge 设备在其 TLOC 属性中通告其配置的身份验证类型。 IPsec 隧道连接两端的两台路由器使用在两台路由器上配置的最强身份验证类型来协商在它们之间的连接上使用的身份验证。对于前amp文件中,如果一个路由器通告 ah-sha1-hmac 和 ah-no-id 类型,而第二个路由器通告 ah-no-id 类型,则两个路由器协商在 IPsec 隧道连接上使用 ah-no-id他们。如果两端没有配置通用的认证类型,则两端之间不会建立IPsec隧道。 IPsec 隧道连接上的加密算法取决于流量类型:
- 对于单播流量,加密算法为 AES-256-GCM。
- 对于多播流量:
- 思科 SD-WAN 版本 20.1.x 及更高版本 - 加密算法为 AES-256-GCM
- 以前的版本 - 加密算法是带有 SHA256-HMAC 的 AES-1-CBC。
当 IPsec 身份验证类型更改时,数据路径的 AES 密钥也会更改。
更改重新生成密钥计时器
在 Cisco IOS XE Catalyst SD-WAN 设备和 Cisco vEdge 设备可以交换数据流量之前,它们会在它们之间建立安全的经过身份验证的通信通道。路由器使用它们之间的IPSec隧道作为通道,并使用AES-256密码来执行加密。每个路由器定期为其数据路径生成一个新的 AES 密钥。默认情况下,密钥的有效期为 86400 秒(24 小时),定时器范围为 10 秒到 1209600 秒(14 天)。要更改重新生成密钥计时器值: Device(config)# security ipsec rekeySeconds 配置如下所示:
- 安全 ipsec 重新生成密钥秒!
如果您想立即生成新的 IPsec 密钥,则无需修改路由器的配置即可执行此操作。为此,请在受感染的路由器上发出 request security ipsecrekey 命令。对于前amp文件中,以下输出显示本地 SA 的安全参数索引 (SPI) 为 256:
每个 SPI 都有一个唯一的密钥。如果该密钥被泄露,请立即使用 request security ipsec-rekey 命令生成新密钥。该命令递增 SPI。在我们的前任amp文件中,SPI 更改为 257,并且现在使用与其关联的密钥:
- 设备# 请求安全 ipsecrekey
- 设备# show ipsec local-sa
生成新密钥后,路由器立即使用 DTLS 或 TLS 将其发送到思科 SD-WAN 控制器。思科 SD-WAN 控制器将密钥发送到对等路由器。路由器一收到它就开始使用它。请注意,与旧 SPI (256) 关联的密钥将继续使用一小段时间,直到超时。要立即停止使用旧密钥,请快速连续发出两次 request security ipsec-rekey 命令。此命令序列将删除 SPI 256 和 257,并将 SPI 设置为 258。然后路由器使用 SPI 258 的关联密钥。但请注意,某些数据包将在短时间内被丢弃,直到所有远程路由器都获悉新钥匙。
更改防重放窗口的大小
IPsec 身份验证通过为数据流中的每个数据包分配唯一的序列号来提供防重放保护。这种序列编号可以防止攻击者复制数据包。通过防重放保护,发送方分配单调递增的序列号,目的地检查这些序列号以检测重复项。由于数据包通常不会按顺序到达,因此目的地会维护一个它将接受的序列号的滑动窗口。
序列号落在滑动窗口范围左侧的数据包被视为旧的或重复的,并且目标将丢弃它们。目的地跟踪它收到的最高序列号,并在收到具有更高值的数据包时调整滑动窗口。
默认情况下,滑动窗口设置为 512 个数据包。它可以设置为 64 到 4096 之间的任何值,即 2 的幂(即 64、128、256、512、1024、2048 或 4096)。要修改反重播窗口大小,请使用 replay-window 命令,指定窗口大小:
Device(config)# security ipsec 重播窗口号
配置如下:
安全 ipsec 重播窗口号! !
为了帮助提高 QoS,为前 XNUMX 个流量通道中的每一个都维护了单独的重播窗口。为每个通道配置的重播窗口大小除以八。如果在路由器上配置了 QoS,则由于 IPsec 防重放机制,该路由器可能会遇到比预期数量更多的数据包丢弃,并且许多丢弃的数据包都是合法数据包。发生这种情况的原因是 QoS 对数据包重新排序,给予较高优先级数据包优先处理并延迟较低优先级数据包。为了尽量减少或防止这种情况,您可以执行以下操作:
- 增加抗重放窗口的大小。
- 将流量设计到前八个流量通道上,以确保通道内的流量不会重新排序。
配置启用 IKE 的 IPsec 隧道
为了安全地将流量从Overlay网络传输到业务网络,您可以配置运行IKE(Internet Key Exchange)协议的IPsec隧道。支持 IKE 的 IPsec 隧道提供身份验证和加密,以确保安全数据包传输。您可以通过配置 IPsec 接口来创建启用 IKE 的 IPsec 隧道。 IPsec 接口是逻辑接口,您可以像配置任何其他物理接口一样配置它们。您可以在 IPsec 接口上配置 IKE 协议参数,并且可以配置其他接口属性。
笔记 思科建议使用 IKE 版本 2。从思科 SD-WAN 19.2.x 版本开始,预共享密钥的长度至少需要 16 字节。路由器升级到16版本后,如果密钥长度小于19.2个字符,IPsec隧道建立失败。
笔记
Cisco Catalyst SD-WAN 软件支持 RFC 2 中定义的 IKE 版本 7296。IPsec 隧道的一种用途是允许在 Amazon AWS 上运行的 vEdge 云路由器虚拟机实例连接到 Amazon Virtual Private Cloud (VPC)。您必须在这些路由器上配置 IKE 版本 1。 Cisco vEdge 设备在 IPSec 配置中仅支持基于路由的 VPN,因为这些设备无法在加密域中定义流量选择器。
配置 IPsec 隧道
要配置 IPsec 隧道接口以确保来自服务网络的安全传输流量,您需要创建一个逻辑 IPsec 接口:
您可以在传输 VPN (VPN 0) 和任何服务 VPN(VPN 1 到 65530,512 除外)中创建 IPsec 隧道。 IPsec 接口的名称格式为 ipsecnumber,其中数字可以是 1 到 255。每个 IPsec 接口必须有一个 IPv4 地址。该地址必须是 /30 前缀。 VPN 中此 IPv4 前缀内的所有流量都将定向到 VPN 0 中的物理接口,以便通过 IPsec 隧道安全发送。要在本地设备上配置 IPsec 隧道的源,您可以指定以下任一 IP 地址:物理接口(在tunnel-source 命令中)或物理接口的名称(在tunnel-source-interface 命令中)。确保物理接口在 VPN 0 中配置。要配置 IPsec 隧道的目的地,请在tunnel-destination 命令中指定远程设备的 IP 地址。源地址(或源接口名称)和目标地址的组合定义单个 IPsec 隧道。只能存在一个使用特定源地址(或接口名称)和目标地址对的 IPsec 隧道。
配置 IPsec 静态路由
要将流量从服务 VPN 定向到传输 VPN (VPN 0) 中的 IPsec 隧道,请在服务 VPN(除 VPN 0 或 VPN 512 之外的 VPN)中配置特定于 IPsec 的静态路由:
- vEdge(配置)# vpn vpn-id
- vEdge(config-vpn)# ip ipsec-route 前缀/长度 vpn 0 接口
- ipsec 编号 [ipsec 编号2]
VPN ID 是任何服务 VPN 的 ID(VPN 1 至 65530,512 除外)。 prefix/length 为IP地址或前缀(四点分十进制格式),是IPsec静态路由的前缀长度。该接口为VPN 0中的IPsec隧道接口,可以配置XNUMX个或XNUMX个IPsec隧道接口。如果配置两条,则第一个是主用 IPsec 隧道,第二个是备用 IPsec 隧道。对于两个接口,所有数据包仅发送到主隧道。如果该隧道发生故障,所有数据包都会发送到辅助隧道。如果主隧道恢复,所有流量将移回主 IPsec 隧道。
启用 IKE 版本 1
当您在 vEdge 路由器上创建 IPsec 隧道时,默认情况下会在隧道接口上启用 IKE 版本 1。默认情况下,还会为 IKEv1 启用以下属性:
- 身份验证和加密 - AES-256 高级加密标准 CBC 加密,采用 HMAC-SHA1 密钥哈希消息身份验证代码算法来确保完整性
- 迪菲-赫尔曼组号—16
- 重新生成密钥的时间间隔——4小时
- SA建立方式—主要
缺省情况下,IKEv1采用IKE主模式建立IKE SA。在该模式下,通过交换XNUMX个协商报文来建立SA。要仅交换三个协商数据包,请启用激进模式:
笔记
应尽可能避免使用预共享密钥的 IKE 激进模式。否则应选择强预共享密钥。
- vEdge(config)# vpn vpn-id 接口 ipsec 编号 ike
- vEdge(config-ike)# 激进模式
默认情况下,IKEv1 在 IKE 密钥交换中使用 Diffie-Hellman 组 16。该组在 IKE 密钥交换期间使用 4096 位更多模指数 (MODP) 组。您可以将组号更改为 2(对于 1024 位 MODP)、14(2048 位 MODP)或 15(3072 位 MODP):
- vEdge(config)# vpn vpn-id 接口 ipsec 编号 ike
- vEdge(config-ike)#组号
默认情况下,IKE 密钥交换使用 AES-256 高级加密标准 CBC 加密和 HMAC-SHA1 密钥哈希消息身份验证代码算法来确保完整性。您可以更改身份验证:
- vEdge(config)# vpn vpn-id 接口 ipsec 编号 ike
- vEdge(config-ike)# 密码套件
身份验证套件可以是以下之一:
- aes128-cbc-sha1 — AES-128 高级加密标准 CBC 加密,使用 HMAC-SHA1 密钥哈希消息身份验证代码算法来确保完整性
- aes128-cbc-sha2 — AES-128 高级加密标准 CBC 加密,使用 HMAC-SHA256 密钥哈希消息身份验证代码算法来确保完整性
- aes256-cbc-sha1—AES-256 高级加密标准 CBC 加密,使用 HMAC-SHA1 密钥哈希消息验证代码算法进行完整性验证;这是默认设置。
- aes256-cbc-sha2 — AES-256 高级加密标准 CBC 加密,使用 HMAC-SHA256 密钥哈希消息身份验证代码算法来确保完整性
默认情况下,IKE 密钥每 1 小时(3600 秒)刷新一次。您可以将重新生成密钥的间隔更改为 30 秒到 14 天(1209600 秒)之间的值。建议重新生成密钥的时间间隔至少为 1 小时。
- vEdge(config)# vpn vpn-id 接口 ipsec 编号,如
- vEdge(config-ike)# 重新生成密钥秒数
要强制为 IKE 会话生成新密钥,请发出 request ipsec ike-rekey 命令。
- vEdge(config)# vpn vpn-id 接口ipsec 编号 ike
对于 IKE,您还可以配置预共享密钥 (PSK) 身份验证:
- vEdge(config)# vpn vpn-id 接口 ipsec 编号 ike
- vEdge(config-ike)#authentication-type pre-shared-key pre-shared-secret password 密码是与预共享密钥一起使用的密码。它可以是长度为 1 到 127 个字符的 ASCII 或十六进制字符串。
如果远程 IKE 对等体需要本地或远程 ID,您可以配置此标识符:
- vEdge(config)# vpn vpn-id 接口 ipsec 编号 ike 身份验证类型
- vEdge(配置身份验证类型)# 本地 ID id
- vEdge(config-authentication-type)# 远程 ID id
标识符可以是 IP 地址或长度为 1 到 63 个字符的任何文本字符串。默认情况下,本端 ID 为隧道的源 IP 地址,远端 ID 为隧道的目的 IP 地址。
启用 IKE 版本 2
当您将 IPsec 隧道配置为使用 IKE 版本 2 时,默认情况下还会为 IKEv2 启用以下属性:
- 身份验证和加密 - AES-256 高级加密标准 CBC 加密,采用 HMAC-SHA1 密钥哈希消息身份验证代码算法来确保完整性
- 迪菲-赫尔曼组号—16
- 重新生成密钥的时间间隔——4小时
默认情况下,IKEv2 在 IKE 密钥交换中使用 Diffie-Hellman 组 16。该组在 IKE 密钥交换期间使用 4096 位更多模指数 (MODP) 组。您可以将组号更改为 2(对于 1024 位 MODP)、14(2048 位 MODP)或 15(3072 位 MODP):
- vEdge(config)# vpn vpn-id 接口 ipsecnumber ike
- vEdge(config-ike)#组号
默认情况下,IKE 密钥交换使用 AES-256 高级加密标准 CBC 加密和 HMAC-SHA1 密钥哈希消息身份验证代码算法来确保完整性。您可以更改身份验证:
- vEdge(config)# vpn vpn-id 接口 ipsecnumber ike
- vEdge(config-ike)# 密码套件
身份验证套件可以是以下之一:
- aes128-cbc-sha1 — AES-128 高级加密标准 CBC 加密,使用 HMAC-SHA1 密钥哈希消息身份验证代码算法来确保完整性
- aes128-cbc-sha2 — AES-128 高级加密标准 CBC 加密,使用 HMAC-SHA256 密钥哈希消息身份验证代码算法来确保完整性
- aes256-cbc-sha1—AES-256 高级加密标准 CBC 加密,使用 HMAC-SHA1 密钥哈希消息验证代码算法进行完整性验证;这是默认设置。
- aes256-cbc-sha2 — AES-256 高级加密标准 CBC 加密,使用 HMAC-SHA256 密钥哈希消息身份验证代码算法来确保完整性
默认情况下,IKE 密钥每 4 小时(14,400 秒)刷新一次。您可以将重新生成密钥的间隔更改为 30 秒到 14 天(1209600 秒)之间的值:
- vEdge(config)# vpn vpn-id 接口 ipsecnumber ike
- vEdge(config-ike)# 重新生成密钥秒数
要强制为 IKE 会话生成新密钥,请发出 request ipsec ike-rekey 命令。对于 IKE,您还可以配置预共享密钥 (PSK) 身份验证:
- vEdge(config)# vpn vpn-id 接口 ipsecnumber ike
- vEdge(config-ike)#authentication-type pre-shared-key pre-shared-secret password 密码是与预共享密钥一起使用的密码。它可以是 ASCII 或十六进制字符串,也可以是 AES 加密密钥。如果远程 IKE 对等体需要本地或远程 ID,您可以配置此标识符:
- vEdge(config)# vpn vpn-id 接口 ipsecnumber ike 身份验证类型
- vEdge(配置身份验证类型)# 本地 ID id
- vEdge(config-authentication-type)# 远程 ID id
标识符可以是 IP 地址或长度为 1 到 64 个字符的任何文本字符串。默认情况下,本端 ID 为隧道的源 IP 地址,远端 ID 为隧道的目的 IP 地址。
配置IPsec隧道参数
表 4:功能历史记录
| 特征 姓名 | 发布信息 | 描述 |
| 附加加密 | 思科 SD-WAN 版本 20.1.1 | 此功能增加了对 |
| IPSec 的算法支持 | HMAC_SHA256、HMAC_SHA384 和 | |
| 隧道 | HMAC_SHA512 算法 | |
| 增强安全性。 |
缺省情况下,承载IKE流量的IPsec隧道使用以下参数:
- 身份验证和加密 - GCM 中的 AES-256 算法(伽罗瓦/计数器模式)
- 重新生成密钥间隔 — 4 小时
- 重播窗口—32 个数据包
您可以将 IPsec 隧道上的加密更改为 CBC(密码块链接模式,使用 SHA-256 或 SHA-1 密钥哈希消息身份验证的 HMAC)中的 AES-2 密码,或者使用使用 SHA-1 或 SHA-2 或 SHA-XNUMX 的 HMAC 将 IPsec 隧道上的加密更改为 null SHA-XNUMX 密钥哈希消息身份验证,不加密用于 IKE 密钥交换流量的 IPsec 隧道:
- vEdge(配置接口 ipsec 编号)# ipsec
- vEdge(config-ipsec)# 密码套件 (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256-null-sha384 | aes256-null-sha512)
默认情况下,IKE 密钥每 4 小时(14,400 秒)刷新一次。您可以将重新生成密钥的间隔更改为 30 秒到 14 天(1209600 秒)之间的值:
- vEdge(配置接口 ipsec 编号)# ipsec
- vEdge(config-ipsec)# 重新生成密钥秒数
要强制为 IPsec 隧道生成新密钥,请发出 request ipsec ipsec-rekey 命令。默认情况下,IPsec 隧道上启用完美前向保密 (PFS),以确保未来密钥泄露时过去的会话不会受到影响。 PFS 强制进行新的 Diffie-Hellman 密钥交换,默认情况下使用 4096 位 Diffie-Hellman prime 模块组。您可以更改 PFS 设置:
- vEdge(配置接口 ipsec 编号)# ipsec
- vEdge(config-ipsec)# 完美转发保密 pfs 设置
pfs-setting 可以是以下之一:
- group-2 - 使用 1024 位 Diffie-Hellman 素数模数组。
- group-14 - 使用 2048 位 Diffie-Hellman 素数模数组。
- group-15 - 使用 3072 位 Diffie-Hellman 素数模数组。
- group-16 - 使用 4096 位 Diffie-Hellman 素数模数组。这是默认设置。
- none—禁用 PFS。
缺省情况下,IPsec 隧道上的 IPsec 重播窗口为 512 字节。您可以将重放窗口大小设置为 64、128、256、512、1024、2048 或 4096 个数据包:
- vEdge(配置接口 ipsec 编号)# ipsec
- vEdge(config-ipsec)# 重播窗口号
修改 IKE 失效对等体检测
IKE 使用失效对等体检测机制来确定与 IKE 对等体的连接是否正常且可达。为了实现这一机制,IKE 向其对等体发送 Hello 数据包,而对等体则发送确认作为响应。默认情况下,IKE 每 10 秒发送一次 Hello 数据包,在收到 0 个未确认的数据包后,IKE 宣布邻居已死亡,并断开到对等体的隧道。此后,IKE 定期向对等体发送 Hello 报文,并在对等体恢复在线时重新建立隧道。您可以将活动检测间隔更改为 65535 到 0 之间的值,并且可以将重试次数更改为 255 到 XNUMX 之间的值。
笔记
对于传输VPN,活体检测间隔使用以下公式转换为秒: 重传尝试次数间隔N = 间隔 * 1.8N-1 例如amp例如,如果间隔设置为10,重试次数为5,则检测间隔增加如下:
- 尝试 1: 10 * 1.81-1= 10 秒
- 试图 2: 10 * 1.82-1= 18 秒
- 试图 3: 10 * 1.83-1= 32.4 秒
- 试图 4: 10 * 1.84-1= 58.32 秒
- 试图 5: 10 * 1.85-1= 104.976 秒
vEdge(config-interface-ipsecnumber)# 失效对等检测间隔重试次数
配置其他接口属性
对于 IPsec 隧道接口,您只能配置以下附加接口属性:
- vEdge(config-interface-ipsec)# mtu 字节
- vEdge(config-interface-ipsec)# tcp-mss-调整字节
在 Cisco SD-WAN Manager 上禁用弱 SSH 加密算法
表 5:功能历史表
| 特征 姓名 | 发布信息 | 特征 描述 |
| 在 Cisco SD-WAN Manager 上禁用弱 SSH 加密算法 | 思科 vManage 版本 20.9.1 | 此功能允许您在 Cisco SD-WAN Manager 上禁用可能不符合某些数据安全标准的较弱 SSH 算法。 |
有关在 Cisco SD-WAN Manager 上禁用弱 SSH 加密算法的信息
思科 SD-WAN Manager 提供 SSH 客户端,用于与网络中的组件(包括控制器和边缘设备)进行通信。 SSH 客户端基于多种加密算法提供用于安全数据传输的加密连接。许多组织需要比 SHA-1、AES-128 和 AES-192 提供的加密更强的加密。从 Cisco vManage 版本 20.9.1 开始,您可以禁用以下较弱的加密算法,以便 SSH 客户端不使用这些算法:
- SHA-1
- AES-128
- AES-192
在禁用这些加密算法之前,请确保网络中的 Cisco vEdge 设备(如果有)使用的软件版本高于 Cisco SD-WAN 版本 18.4.6。
在 Cisco SD-WAN Manager 上禁用弱 SSH 加密算法的好处
禁用较弱的 SSH 加密算法可提高 SSH 通信的安全性,并确保使用 Cisco Catalyst SD-WAN 的组织遵守严格的安全法规。
使用 CLI 在 Cisco SD-WAN Manager 上禁用弱 SSH 加密算法
- 从 Cisco SD-WAN Manager 菜单中,选择工具 > SSH 终端。
- 选择您希望禁用较弱 SSH 算法的 Cisco SD-WAN Manager 设备。
- 输入用户名和密码登录设备。
- 进入SSH服务器模式。
- vmanage(config)#系统
- vmanage(配置系统)# ssh-服务器
- 执行以下操作之一来禁用 SSH 加密算法:
- 禁用 SHA-1:
- 管理(config-ssh-server)# 没有 kex-algo sha1
- 管理(config-ssh-server)#提交
将显示以下警告消息: 生成了以下警告:‘system ssh-server kex-algo sha1’: 警告:请确保所有 Edge 运行代码版本 > 18.4.6,该版本比 SHA1 与 vManage 的协商效果更好。否则这些边缘可能会离线。继续? [是,否] 是- 确保网络中的所有 Cisco vEdge 设备都运行 Cisco SD-WAN 版本 18.4.6 或更高版本,然后输入 yes。
- 禁用 AES-128 和 AES-192:
- vmanage(config-ssh-server)# 无密码 aes-128-192
- vmanage(config-ssh-server)#提交
将显示以下警告消息:
生成了以下警告:
‘system ssh-server cipher aes-128-192’:警告:请确保所有 Edge 运行代码版本 > 18.4.6,该版本比 AES-128-192 与 vManage 的协商效果更好。否则这些边缘可能会离线。继续? [是,否] 是 - 确保网络中的所有 Cisco vEdge 设备都运行 Cisco SD-WAN 版本 18.4.6 或更高版本,然后输入 yes。
使用 CLI 验证 Cisco SD-WAN Manager 上是否禁用了弱 SSH 加密算法
- 从 Cisco SD-WAN Manager 菜单中,选择工具 > SSH 终端。
- 选择您要验证的 Cisco SD-WAN Manager 设备。
- 输入用户名和密码登录设备。
- 运行以下命令:show running-config system ssh-server
- 确认输出显示禁用较弱加密算法的一个或多个命令:
- 无密码 aes-128-192
- 没有 kex-algo sha1
文件/资源
 |
CISCO SD-WAN 配置安全参数 [pdf] 用户指南 SD-WAN 配置安全参数, SD-WAN, 配置安全参数, 安全参数 |