CISCO SD-WAN 設定安全參數
配置安全參數
筆記
為了實現簡化和一致性,思科 SD-WAN 解決方案已更名為思科 Catalyst SD-WAN。此外,從 Cisco IOS XE SD-WAN 版本 17.12.1a 和 Cisco Catalyst SD-WAN 版本 20.12.1 開始,下列元件變更適用:Cisco vManage 到 Cisco Catalyst SD-WAN Manager、Cisco vAnalytics 到 Cisco Catalyst SD-WAN Analytics、 Cisco vBond 到Cisco Catalyst SD-WAN 驗證器以及Cisco vSmart 到Cisco Catalyst SD-WAN 控制器。有關所有組件品牌名稱變更的完整列表,請參閱最新的發行說明。當我們過渡到新名稱時,由於軟體產品的使用者介面更新採用分階段方法,文件集中可能會出現一些不一致的情況。
本節介紹如何變更 Cisco Catalyst SD-WAN 覆蓋網路中控制平面和資料平面的安全參數。
- 配置控制平面安全參數,
- 配置資料平面安全參數
- 配置啟用 IKE 的 IPsec 隧道
- 在 Cisco SD-WAN Manager 上停用弱 SSH 加密演算法
配置控制平面安全參數
預設情況下,控制平面使用 DTLS 作為為其所有隧道提供隱私的協定。 DTLS 透過 UDP 運作。您可以將控制平面安全協定變更為 TLS,它透過 TCP 運行。使用 TLS 的主要原因是,如果您將思科 SD-WAN 控制器視為伺服器,則防火牆比 UDP 伺服器更好地保護 TCP 伺服器。您可以在思科SD-WAN 控制器上設定控制平面隧道協定: vSmart(config)# security control protocol tls 透過此更改,思科SD-WAN 控制器與路由器之間以及思科SD-WAN 控制器之間的所有控制平面隧道和思科 SD-WAN Manager 使用 TLS。到 Cisco Catalyst SD-WAN 驗證器的控制平面隧道始終使用 DTLS,因為這些連線必須由 UDP 處理。在具有多個思科 SD-WAN 控制器的網域中,當您在其中一個思科 SD-WAN 控制器上設定 TLS 時,從該控制器到其他控制器的所有控制平面隧道都會使用 TLS。換句話說,TLS 始終優先於 DTLS。但是,從其他思科SD-WAN 控制器的角度來看,如果您尚未在其上設定TLS,則它們僅在控制平面隧道上使用TLS 到該思科SD-WAN 控制器,並使用DTLS 隧道到所有其他控制器思科 SD-WAN 控制器及其所有連接的路由器。若要讓所有思科 SD-WAN 控制器都使用 TLS,請在所有控制器上進行設定。預設情況下,思科 SD-WAN 控制器在連接埠 23456 上偵聽 TLS 請求。若要變更此設定: vSmart(config)# security control tls-port number 此連接埠可以是 1025 到 65535 之間的數字。要顯示控制平面安全訊息,請在思科 SD-WAN 控制器上使用 show controlconnections 命令。對於前ample: vSmart-2# 顯示控制連接
在 Cisco SD-WAN Manager 中設定 DTLS
如果您將 Cisco SD-WAN Manager 設定為使用 TLS 作為控制平面安全性協議,則必須在 NAT 上啟用連接埠轉送。如果您使用 DTLS 作為控制平面安全協議,則無需執行任何操作。轉送的連接埠數量取決於在 Cisco SD-WAN Manager 上執行的 vdaemon 進程的數量。要顯示有關這些進程以及正在轉發的連接埠的信息,請使用 show control summary 命令顯示四個守護程序正在運行:
若要查看偵聽端口,請使用 show control local-properties 命令:vManage# show control local-properties
此輸出顯示偵聽 TCP 連接埠為 23456。如果您在 NAT 之後執行 Cisco SD-WAN Manager,則應在 NAT 裝置上開啟下列連接埠:
- 23456(基礎 - 實例 0 連接埠)
- 23456 + 100(基數 + 100)
- 23456 + 200(基數 + 200)
- 23456 + 300(基數 + 300)
請注意,實例數量與您為 Cisco SD-WAN Manager 指派的核心數量相同,最多為 8 個。
使用安全功能範本配置安全參數
對所有 Cisco vEdge 設備使用安全功能範本。在邊緣路由器和思科 SD-WAN 驗證器上,使用此範本設定 IPsec 以實現資料平面安全性。在思科 SD-WAN Manager 和思科 SD-WAN 控制器上,使用安全功能範本設定 DTLS 或 TLS 以實現控制平面安全性。
配置安全參數
- 從 Cisco SD-WAN Manager 選單中,選擇設定 > 範本。
- 按一下功能模板,然後按一下新增模板。
筆記 在 Cisco vManage 版本 20.7.1 及更早版本中,功能模板稱為功能。 - 從左側窗格的裝置清單中,選擇一個裝置。適用於所選設備的範本出現在右側窗格中。
- 按一下安全性以開啟模板。
- 在模板名稱欄位中,輸入模板的名稱。此名稱最多可包含 128 個字符,並且只能包含字母數字字符。
- 在模板描述欄位中,輸入模板的描述。描述最多可包含 2048 個字符,並且只能包含字母數字字符。
首次開啟要素範本時,對於每個具有預設值的參數,範圍將設定為「預設」(由複選標記指示),並顯示預設值或值。若要變更預設值或輸入值,請按一下參數欄位左側的範圍下拉選單,然後選擇下列選項之一:
表1:
範圍 範圍 | 範圍說明 |
設備特定(由主機圖示指示) | 使用參數的設備特定值。對於裝置特定的參數,您無法在功能範本中輸入值。您在將 Viptela 設備附加到設備範本時輸入該值。
按一下「特定於裝置」時,將開啟「輸入金鑰」方塊。此框顯示一個鍵,它是標識 CSV 中的參數的唯一字串 file 你創造的。這 file 是一個 Excel 電子表格,每個鍵包含一列。標題行包含鍵名稱(每列一個鍵),之後的每一行對應於一個設備並定義該設備的鍵值。您上傳 CSV file 當您將 Viptela 設備附加到設備模板時。有關詳細信息,請參閱建立範本變數電子表格。 若要變更預設金鑰,請鍵入新字串並將遊標移出「輸入金鑰」方塊。 Examp設備特定參數的檔案包括系統 IP 位址、主機名稱、GPS 位置和站點 ID。 |
範圍 範圍 | 範圍說明 |
全域(以地球圖示表示) | 輸入參數值,並將該值套用至所有裝置。
Examp您可以全域套用於一組裝置的參數檔案包括 DNS 伺服器、系統日誌伺服器和介面 MTU。 |
配置控制平面安全
筆記
設定控制平面安全部分僅適用於思科 SD-WAN Manager 和思科 SD-WAN 控制器。若要在思科 SD-WAN Manager 執行個體或思科 SD-WAN 控制器上設定控制平面連線協議,請選擇基本設定區域並設定以下參數:
表2:
範圍 姓名 | 描述 |
協定 | 選擇用於與思科 SD-WAN 控制器的控制平面連線的協定:
• DTLS(達tagRAM 傳輸層安全)。這是預設值。 • TLS(傳輸層安全) |
控制 TLS 連接埠 | 如果選擇 TLS,請設定要使用的連接埠號碼:範圍: 1025 至 65535預設: 23456 |
點擊“儲存”
配置資料平面安全
若要在思科 SD-WAN 驗證器或思科 vEdge 路由器上設定資料平面安全性,請選擇基本設定和驗證類型選項卡,然後設定下列參數:
表3:
範圍 姓名 | 描述 |
重新產生金鑰時間 | 指定思科 vEdge 路由器變更其與思科 SD-WAN 控制器的安全 DTLS 連線上所使用的 AES 金鑰的頻率。如果啟用 OMP 平滑重啟,則重新產生金鑰時間必須至少是 OMP 平滑重啟計時器值的兩倍。範圍: 10 到 1209600 秒(14 天)預設: 86400 秒(24 小時) |
重播視窗 | 指定滑動重播視窗的大小。
價值觀: 64、128、256、512、1024、2048、4096、8192 包預設: 512包 |
網路安全協定
成對鍵控 |
預設此功能處於關閉狀態。點選 On 將其打開。 |
範圍 姓名 | 描述 |
認證類型 | 從下列選項中選擇身份驗證類型 驗證 清單,然後按一下向右箭頭將身份驗證類型移至 選定清單 柱子。
Cisco SD-WAN 版本 20.6.1 支援的驗證類型: • 特別是:啟用封裝安全負載 (ESP) 加密和 ESP 標頭的完整性檢查。 • ip-udp-esp: 啟用 ESP 加密。除了對 ESP 標頭和負載的完整性檢查之外,檢查還包括外部 IP 和 UDP 標頭。 • ip-udp-esp-無 ID:忽略 IP 標頭中的 ID 字段,以便 Cisco Catalyst SD-WAN 可以與非 Cisco 設備結合使用。 • 沒有任何:關閉 IPSec 封包的完整性檢查。我們不建議使用此選項。
思科 SD-WAN 版本 20.5.1 及更早版本支援的身份驗證類型: • 啊無 ID:啟用 AH-SHA1 HMAC 和 ESP HMAC-SHA1 的增強版本,忽略封包外部 IP 標頭中的 ID 欄位。 • ah-sha1-hmac:啟用 AH-SHA1 HMAC 和 ESP HMAC-SHA1。 • 沒有任何:選擇不認證。 • sha1-hmac:啟用 ESP HMAC-SHA1。
筆記 對於在 Cisco SD-WAN 版本 20.5.1 或更早版本上執行的邊緣設備,您可能已使用 安全 模板。將設備升級至 Cisco SD-WAN 版本 20.6.1 或更高版本時,請更新在 安全 範本到 Cisco SD-WAN 版本 20.6.1 支援的身份驗證類型。若要更新身份驗證類型,請執行下列操作: 1. 從 Cisco SD-WAN Manager 選單中,選擇 配置 > 範本. 2. 點選 功能模板. 3. 找到 安全 要更新的模板並點擊...然後點擊 編輯. 4. 點選 更新。不要修改任何配置。 思科 SD-WAN Manager 更新 安全 顯示支援的身份驗證類型的範本。 |
點選“儲存”。
配置資料平面安全參數
在資料平面中,預設會在所有路由器上啟用 IPsec,且預設情況下 IPsec 隧道連線使用增強版本的封裝安全負載 (ESP) 協定在 IPsec 隧道上進行驗證。在路由器上,您可以變更驗證類型、IPsec 金鑰更新計時器以及 IPsec 抗重播視窗的大小。
配置允許的身份驗證類型
Cisco SD-WAN 版本 20.6.1 及更高版本中的驗證類型
從思科 SD-WAN 版本 20.6.1 開始,支援下列完整性類型:
- esp:此選項啟用封裝安全負載 (ESP) 加密和 ESP 標頭的完整性檢查。
- ip-udp-esp:此選項啟用 ESP 加密。除了對 ESP 標頭和負載的完整性檢查外,檢查還包括外部 IP 和 UDP 標頭。
- ip-udp-esp-no-id:此選項與 ip-udp-esp 類似,但忽略外部 IP 標頭的 ID 欄位。在完整性類型清單中設定此選項,以使 Cisco Catalyst SD-WAN 軟體忽略 IP 標頭中的 ID 字段,以便 Cisco Catalyst SD-WAN 可以與非思科設備結合使用。
- none:此選項關閉 IPSec 封包的完整性檢查。我們不建議使用此選項。
預設情況下,IPsec 隧道連線使用增強版本的封裝安全負載 (ESP) 協定進行驗證。若要修改協商的實體類型或停用完整性檢查,請使用下列命令:integrity-type { none | ip-udp-esp | ip-udp-esp | ip-udp-esp-無 ID |尤其是}
Cisco SD-WAN 版本 20.6.1 之前的驗證類型
預設情況下,IPsec 隧道連線使用增強版本的封裝安全負載 (ESP) 協定進行驗證。若要修改協商的身份驗證類型或停用身份驗證,請使用下列命令: Device(config)# security ipsecauthentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) 預設情況下, IPsec隧道連接使用 AES-GCM-256,它提供機密和身份驗證。使用單獨的 security ipsecauthentication-type 指令設定每種驗證類型。命令選項會對應到以下身份驗證類型,這些類型會依照從最強到最弱的順序列出:
筆記
配置選項中的sha1是出於歷史原因而使用的。身份驗證選項指示已完成多少資料包完整性檢查。他們沒有指定檢查完整性的演算法。除多重播送流量加密外,Cisco Catalyst SD WAN 支援的驗證演算法不使用 SHA1。但是,在思科 SD-WAN 版本 20.1.x 及更高版本中,單播和多重播放都不使用 SHA1。
- ah-sha1-hmac 啟用使用 ESP 的加密和封裝。然而,除了對 ESP 標頭和負載的完整性檢查之外,檢查還包括外部 IP 和 UDP 標頭。因此,此選項支援類似於身份驗證標頭 (AH) 協定的資料包完整性檢查。所有完整性和加密均使用 AES-256-GCM 執行。
- ah-no-id 啟用類似 ah-sha1-hmac 的模式,但忽略外部 IP 標頭的 ID 欄位。此選項適用於一些非 Cisco Catalyst SD-WAN 設備,包括 Apple AirPort Express NAT,這些設備存在導致 IP 標頭中的 ID 欄位(非可變欄位)被修改的錯誤。在驗證類型清單中設定 ah-no-id 選項,以使 Cisco Catalyst SD-WAN AH 軟體忽略 IP 標頭中的 ID 字段,以便 Cisco Catalyst SD-WAN 軟體可以與這些設備配合使用。
- sha1-hmac 啟用 ESP 加密和完整性檢查。
- none 映射到沒有身份驗證。僅當需要臨時偵錯時才應使用此選項。在不關心資料平面身份驗證和完整性的情況下,您也可以選擇此選項。思科不建議在生產網路中使用此選項。
有關哪些資料包欄位受這些身份驗證類型影響的信息,請參閱資料平面完整性。 Cisco IOS XE Catalyst SD-WAN 設備和 Cisco vEdge 設備在其 TLOC 屬性中通告其配置的身份驗證類型。 IPsec 隧道連接兩側的兩台路由器使用在兩台路由器上配置的最強身份驗證類型來協商在它們之間的連接上使用的身份驗證。對於前amp文件中,如果一個路由器通告 ah-sha1-hmac 和 ah-no-id 類型,而第二個路由器通告 ah-no-id 類型,則兩個路由器協商在 IPsec 隧道連接上使用 ah-no-id他們。如果兩端沒有配置通用的認證類型,兩端之間不會建立IPsec隧道。 IPsec 隧道連線上的加密演算法取決於流量類型:
- 對於單播流量,加密演算法為 AES-256-GCM。
- 對於多播流量:
- 思科 SD-WAN 版本 20.1.x 及更高版本 - 加密演算法為 AES-256-GCM
- 先前的版本 - 加密演算法是帶有 SHA256-HMAC 的 AES-1-CBC。
當 IPsec 驗證類型變更時,資料路徑的 AES 金鑰也會變更。
變更重新產生密鑰計時器
在 Cisco IOS XE Catalyst SD-WAN 設備和 Cisco vEdge 設備可以交換資料流量之前,它們會在它們之間建立安全的經過驗證的通訊通道。路由器使用它們之間的IPSec隧道作為通道,並使用AES-256密碼來執行加密。每個路由器定期為其資料路徑產生一個新的 AES 金鑰。預設情況下,金鑰的有效期為 86400 秒(24 小時),定時器範圍為 10 秒到 1209600 秒(14 天)。若要變更重新產生金鑰計時器值: Device(config)# security ipsec rekeySeconds 設定如下所示:
- 安全 ipsec 重新產生金鑰秒!
如果您想立即產生新的 IPsec 金鑰,則無需修改路由器的設定即可執行此操作。為此,請在受感染的路由器上發出 request security ipsecrekey 指令。對於前amp文件中,以下輸出顯示本地 SA 的安全參數索引 (SPI) 為 256:
每個 SPI 都有一個唯一的密鑰。如果該金鑰被洩露,請立即使用 request security ipsec-rekey 指令產生新金鑰。此指令遞增 SPI。在我們的前任amp文件中,SPI 更改為 257,現在使用與其關聯的密鑰:
- 設備# 請求安全 ipsecrekey
- 設備# show ipsec local-sa
產生新金鑰後,路由器立即使用 DTLS 或 TLS 將其傳送至思科 SD-WAN 控制器。思科 SD-WAN 控制器將金鑰傳送到對等路由器。路由器一收到它就開始使用它。請注意,與舊 SPI (256) 關聯的金鑰將繼續使用一小段時間,直到逾時。若要立即停止使用舊金鑰,請快速連續發出兩次 request security ipsec-rekey 指令。此命令序列將刪除 SPI 256 和 257,並將 SPI 設為 258。然後路由器使用 SPI 258 的關聯金鑰。但請注意,某些資料包將在短時間內被丟棄,直到所有遠端路由器都獲悉新鑰匙。
更改防重播視窗的大小
IPsec 驗證透過為資料流中的每個資料包指派唯一的序號來提供防重播保護。這種序號可以防止攻擊者複製資料包。透過防重播保護,發送方分配單調遞增的序號,目的地檢查這些序號以偵測重複項。由於封包通常不會按順序到達,因此目的地會維護一個它將接受的序號的滑動視窗。
序號落在滑動視窗範圍左側的資料包被視為舊的或重複的,並且目標將丟棄它們。目的地追蹤它收到的最高序號,並在收到具有更高值的資料包時調整滑動視窗。
預設情況下,滑動視窗設定為 512 個資料包。它可以設定為 64 到 4096 之間的任何值,即 2 的冪次方(即 64、128、256、512、1024、2048 或 4096)。若要修改反重播視窗大小,請使用 replay-window 指令,指定視窗大小:
Device(config)# security ipsec 重播視窗號
配置如下:
安全性 ipsec 重播視窗號碼! !
為了幫助提高 QoS,為前 8 個流量通道中的每一個都維護了單獨的重播視窗。為每個頻道配置的重播視窗大小除以八。如果在路由器上設定了 QoS,則由於 IPsec 防重播機制,該路由器可能會遇到比預期數量更多的封包丟棄,並且許多丟棄的封包都是合法封包。發生這種情況的原因是 QoS 會對資料包重新排序,給予較高優先權資料包優先處理並延遲較低優先權資料包。為了盡量減少或防止這種情況,您可以執行以下操作:
- 增加抗重播視窗的大小。
- 將流量設計到前八個流量通道上,以確保通道內的流量不會重新排序。
配置啟用 IKE 的 IPsec 隧道
為了安全地將流量從Overlay網路傳輸到業務網絡,您可以設定執行IKE(Internet Key Exchange)協定的IPsec隧道。支援 IKE 的 IPsec 隧道提供身份驗證和加密,以確保安全資料包傳輸。您可以透過設定 IPsec 介面來建立啟用 IKE 的 IPsec 隧道。 IPsec 接口是邏輯接口,您可以像配置任何其他實體接口一樣配置它們。您可以在 IPsec 介面上設定 IKE 協定參數,並且可以設定其他介面屬性。
筆記 思科建議使用 IKE 版本 2。從思科 SD-WAN 19.2.x 版本開始,預先共用金鑰的長度至少需要 16 位元組。路由器升級到16版本後,如果密鑰長度小於19.2個字符,IPsec隧道建立失敗。
筆記
Cisco Catalyst SD-WAN 軟體支援 RFC 2 中定義的 IKE 版本 7296.IPsec 隧道的一個用途是允許在 Amazon AWS 上執行的 vEdge 雲端路由器虛擬機器實例連接到 Amazon Virtual Private Cloud (VPC)。您必須在這些路由器上設定 IKE 版本 1。 Cisco vEdge 裝置在 IPSec 設定中僅支援基於路由的 VPN,因為這些裝置無法在加密網域中定義流量選擇器。
設定 IPsec 隧道
若要設定 IPsec 隧道介面以確保來自服務網路的安全傳輸流量,您需要建立一個邏輯 IPsec 介面:
您可以在傳輸 VPN (VPN 0) 和任何服務 VPN(VPN 1 到 65530,512 除外)中建立 IPsec 隧道。 IPsec 介面的名稱格式為 ipsecnumber,其中數字可以是 1 到 255。每個 IPsec 介面必須有一個 IPv4 位址。該位址必須是 /30 前綴。 VPN 中此 IPv4 前綴內的所有流量都將定向到 VPN 0 中的實體接口,以便透過 IPsec 隧道安全性傳送。若要在本機裝置上設定 IPsec 隧道的來源,您可以指定下列任一 IP 位址:實體介面(在tunnel-source 指令中)或實體介面的名稱(在tunnel-source-interface 指令中)。確保實體介面在 VPN 0 中設定。若要設定 IPsec 隧道的目的地,請在tunnel-destination 指令中指定遠端設備的 IP 位址。來源位址(或來源介面名稱)和目標位址的組合定義單一 IPsec 隧道。只能存在一個使用特定來源位址(或介面名稱)和目標位址對的 IPsec 隧道。
設定 IPsec 靜態路由
若要將流量從服務 VPN 導向至傳輸 VPN (VPN 0) 中的 IPsec 隧道,請在服務 VPN(除 VPN 0 或 VPN 512 之外的 VPN)中設定特定於 IPsec 的靜態路由:
- vEdge(配置)# vpn vpn-id
- vEdge(config-vpn)# ip ipsec-route 前綴/長度 vpn 0 介面
- ipsec 編號 [ipsec 編號2]
VPN ID 是任何服務 VPN 的 ID(VPN 1 至 65530,512 除外)。 prefix/length 為IP位址或前綴(四點分十進位格式),是IPsec靜態路由的前綴長度。此接口為VPN 0中的IPsec隧道接口,可設定XNUMX個或XNUMX個IPsec隧道接口。如果配置兩條,則第一個是主用 IPsec 隧道,第二個是備用 IPsec 隧道。對於兩個接口,所有資料包僅發送到主隧道。如果該隧道發生故障,所有資料包都會傳送到輔助隧道。如果主隧道恢復,所有流量將移回主 IPsec 隧道。
啟用 IKE 版本 1
當您在 vEdge 路由器上建立 IPsec 隧道時,預設會在隧道介面上啟用 IKE 版本 1。預設情況下,也會為 IKEv1 啟用下列屬性:
- 身份驗證和加密 - AES-256 高級加密標準 CBC 加密,採用 HMAC-SHA1 金鑰雜湊訊息驗證碼演算法來確保完整性
- 迪菲-赫爾曼組號—16
- 重新產生金鑰的時間間隔-4小時
- SA建立方式—主要
缺省情況下,IKEv1採用IKE主模式建立IKE SA。在該模式下,透過交換XNUMX個協商報文來建立SA。若要僅交換三個協商資料包,請啟用激進模式:
筆記
應盡可能避免使用預先共用金鑰的 IKE 激進模式。否則應選擇強預共享密鑰。
- vEdge(config)# vpn vpn-id 介面 ipsec 編號 ike
- vEdge(config-ike)# 激進模式
預設情況下,IKEv1 在 IKE 金鑰交換中使用 Diffie-Hellman 群組 16。此組在 IKE 金鑰交換期間使用 4096 位元更多模指數 (MODP) 組。您可以將群組號碼變更為 2(對於 1024 位元 MODP)、14(2048 位元 MODP)或 15(3072 位元 MODP):
- vEdge(config)# vpn vpn-id 介面 ipsec 編號 ike
- vEdge(config-ike)#組號
預設情況下,IKE 金鑰交換使用 AES-256 高級加密標準 CBC 加密和 HMAC-SHA1 金鑰雜湊訊息驗證碼演算法來確保完整性。您可以變更身份驗證:
- vEdge(config)# vpn vpn-id 介面 ipsec 編號 ike
- vEdge(config-ike)# 密碼套件
身份驗證套件可以是以下其中之一:
- aes128-cbc-sha1 — AES-128 高級加密標準 CBC 加密,使用 HMAC-SHA1 金鑰雜湊訊息驗證碼演算法來確保完整性
- aes128-cbc-sha2 — AES-128 高級加密標準 CBC 加密,使用 HMAC-SHA256 金鑰雜湊訊息驗證碼演算法來確保完整性
- aes256-cbc-sha1 — AES-256 高級加密標準 CBC 加密,使用 HMAC-SHA1 金鑰雜湊訊息驗證碼演算法來確保完整性;這是預設值。
- aes256-cbc-sha2 — AES-256 高級加密標準 CBC 加密,使用 HMAC-SHA256 金鑰雜湊訊息驗證碼演算法來確保完整性
預設情況下,IKE 金鑰每 1 小時(3600 秒)刷新一次。您可以將重新產生金鑰的間隔變更為 30 秒到 14 天(1209600 秒)之間的值。建議重新產生金鑰的時間間隔至少為 1 小時。
- vEdge(config)# vpn vpn-id 介面 ipsec 編號,如
- vEdge(config-ike)# 重新產生金鑰秒數
若要強制為 IKE 會話產生新金鑰,請發出 request ipsec ike-rekey 指令。
- vEdge(config)# vpn vpn-id 介面ipsec 編號 ike
對於 IKE,您也可以設定預共用金鑰 (PSK) 驗證:
- vEdge(config)# vpn vpn-id 介面 ipsec 編號 ike
- vEdge(config-ike)#authentication-type pre-shared-key pre-shared-secret password 密碼是與預先共用金鑰一起使用的密碼。它可以是長度為 1 到 127 個字元的 ASCII 或十六進位字串。
如果遠端 IKE 對等體需要本機或遠端 ID,您可以設定此識別碼:
- vEdge(config)# vpn vpn-id 介面 ipsec 編號 ike 驗證類型
- vEdge(config-authentication-type)# local-id id
- vEdge(config-authentication-type)# 遠端 ID id
標識符可以是 IP 位址或長度為 1 到 63 個字元的任何文字字串。預設情況下,本端ID為隧道的來源IP位址,遠端ID為隧道的目的IP位址。
啟用 IKE 版本 2
當您將 IPsec 隧道配置為使用 IKE 版本 2 時,預設也會為 IKEv2 啟用下列屬性:
- 身份驗證和加密 - AES-256 高級加密標準 CBC 加密,採用 HMAC-SHA1 金鑰雜湊訊息驗證碼演算法來確保完整性
- 迪菲-赫爾曼組號—16
- 重新產生金鑰的時間間隔-4小時
預設情況下,IKEv2 在 IKE 金鑰交換中使用 Diffie-Hellman 群組 16。此組在 IKE 金鑰交換期間使用 4096 位元更多模指數 (MODP) 組。您可以將群組號碼變更為 2(對於 1024 位元 MODP)、14(2048 位元 MODP)或 15(3072 位元 MODP):
- vEdge(config)# vpn vpn-id 介面 ipsecnumber ike
- vEdge(config-ike)#組號
預設情況下,IKE 金鑰交換使用 AES-256 高級加密標準 CBC 加密和 HMAC-SHA1 金鑰雜湊訊息驗證碼演算法來確保完整性。您可以變更身份驗證:
- vEdge(config)# vpn vpn-id 介面 ipsecnumber ike
- vEdge(config-ike)# 密碼套件
身份驗證套件可以是以下其中之一:
- aes128-cbc-sha1 — AES-128 高級加密標準 CBC 加密,使用 HMAC-SHA1 金鑰雜湊訊息驗證碼演算法來確保完整性
- aes128-cbc-sha2 — AES-128 高級加密標準 CBC 加密,使用 HMAC-SHA256 金鑰雜湊訊息驗證碼演算法來確保完整性
- aes256-cbc-sha1 — AES-256 高級加密標準 CBC 加密,使用 HMAC-SHA1 金鑰雜湊訊息驗證碼演算法來確保完整性;這是預設值。
- aes256-cbc-sha2 — AES-256 高級加密標準 CBC 加密,使用 HMAC-SHA256 金鑰雜湊訊息驗證碼演算法來確保完整性
預設情況下,IKE 金鑰每 4 小時(14,400 秒)刷新一次。您可以將重新產生金鑰的間隔變更為 30 秒到 14 天(1209600 秒)之間的值:
- vEdge(config)# vpn vpn-id 介面 ipsecnumber ike
- vEdge(config-ike)# 重新產生金鑰秒數
若要強制為 IKE 會話產生新金鑰,請發出 request ipsec ike-rekey 指令。對於 IKE,您也可以設定預共用金鑰 (PSK) 驗證:
- vEdge(config)# vpn vpn-id 介面 ipsecnumber ike
- vEdge(config-ike)#authentication-type pre-shared-key pre-shared-secret password 密碼是與預先共用金鑰一起使用的密碼。它可以是 ASCII 或十六進位字串,也可以是 AES 加密金鑰。如果遠端 IKE 對等體需要本機或遠端 ID,您可以設定此識別碼:
- vEdge(config)# vpn vpn-id 介面 ipsecnumber ike 驗證類型
- vEdge(config-authentication-type)# local-id id
- vEdge(config-authentication-type)# 遠端 ID id
標識符可以是 IP 位址或長度為 1 到 64 個字元的任何文字字串。預設情況下,本端ID為隧道的來源IP位址,遠端ID為隧道的目的IP位址。
配置IPsec隧道參數
表 4:功能歷史記錄
特徵 姓名 | 發布訊息 | 描述 |
附加加密 | 思科 SD-WAN 版本 20.1.1 | 此功能增加了對 |
IPSec 的演算法支持 | HMAC_SHA256、HMAC_SHA384 和 | |
隧道 | HMAC_SHA512 演算法 | |
增強安全性。 |
預設情況下,承載IKE流量的IPsec隧道使用下列參數:
- 身份驗證和加密 - GCM 中的 AES-256 演算法(伽羅瓦/計數器模式)
- 重新產生金鑰間隔 — 4 小時
- 重播視窗—32 個資料包
您可以將IPsec 隧道上的加密變更為CBC(密碼區塊連結模式,使用SHA-256 或SHA-1 金鑰雜湊訊息驗證的HMAC)中的AES-2 密碼,或使用使用SHA-1 或SHA -2 或SHA-XNUMX 的HMAC 將IPsec 隧道上的加密變更為null SHA-XNUMX 金鑰雜湊訊息驗證,不加密用於 IKE 金鑰交換流量的 IPsec 隧道:
- vEdge(config-interface-ipsecnumber)# ipsec
- vEdge(config-ipsec)# 密碼套件 (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-cbc-sha384 | aes256-cbc-sha512 | aeses256-null-shan-shao1-null | aes256-null-sha256 | aes256-null-sha384)
預設情況下,IKE 金鑰每 4 小時(14,400 秒)刷新一次。您可以將重新產生金鑰的間隔變更為 30 秒到 14 天(1209600 秒)之間的值:
- vEdge(config-interface-ipsecnumber)# ipsec
- vEdge(config-ipsec)# 重新產生金鑰秒數
若要強制為 IPsec 隧道產生新金鑰,請發出 request ipsec ipsec-rekey 指令。預設情況下,IPsec 隧道上啟用完美前向保密 (PFS),以確保未來金鑰洩漏時過去的會話不會受到影響。 PFS 強制進行新的 Diffie-Hellman 金鑰交換,預設使用 4096 位元 Diffie-Hellman prime 模組組。您可以變更 PFS 設定:
- vEdge(config-interface-ipsecnumber)# ipsec
- vEdge(config-ipsec)# 完美轉送保密 pfs 設定
pfs-setting 可以是以下之一:
- group-2 - 使用 1024 位元 Diffie-Hellman 素數模陣列。
- group-14 - 使用 2048 位元 Diffie-Hellman 素數模陣列。
- group-15 - 使用 3072 位元 Diffie-Hellman 素數模陣列。
- group-16 - 使用 4096 位元 Diffie-Hellman 素數模陣列。這是預設值。
- none—停用 PFS。
預設情況下,IPsec 隧道上的 IPsec 重播視窗為 512 位元組。您可以將重播視窗大小設定為 64、128、256、512、1024、2048 或 4096 個資料包:
- vEdge(config-interface-ipsecnumber)# ipsec
- vEdge(config-ipsec)# 重播視窗號
修改 IKE 失效對等檢測
IKE 使用失效對等體偵測機制來確定與 IKE 對等體的連接是否正常且可達。為了實現此機制,IKE 會向其對等體發送 Hello 封包,而對等體則發送確認作為回應。預設情況下,IKE 每 10 秒發送一次 Hello 資料包,在收到 0 個未確認的資料包後,IKE 宣布鄰居已死亡,並斷開到對等體的隧道。此後,IKE 定期向對等體發送 Hello 報文,並在對等體恢復在線時重新建立隧道。您可以將活動偵測間隔變更為 65535 到 0 之間的值,並且可以將重試次數變更為 255 到 XNUMX 之間的值。
筆記
對於傳輸VPN,活體偵測間隔使用以下公式轉換為秒: 重傳嘗試次數間隔N = 間隔 * 1.8N-1 例如amp例如,若間隔設定為10,重試次數為5,則偵測間隔增加如下:
- 嘗試 1: 10 * 1.81-1= 10 秒
- 試圖 2: 10 * 1.82-1= 18 秒
- 試圖 3: 10 * 1.83-1= 32.4 秒
- 試圖 4: 10 * 1.84-1= 58.32 秒
- 試圖 5: 10 * 1.85-1= 104.976 秒
vEdge(config-interface-ipsecnumber)# 失效對等偵測間隔重試次數
配置其他介面屬性
對於 IPsec 隧道接口,您只能配置以下附加接口屬性:
- vEdge(config-interface-ipsec)# mtu 位元組
- vEdge(config-interface-ipsec)# tcp-mss-調整位元組
在 Cisco SD-WAN Manager 上停用弱 SSH 加密演算法
表 5:功能歷史表
特徵 姓名 | 發布訊息 | 特徵 描述 |
在 Cisco SD-WAN Manager 上停用弱 SSH 加密演算法 | 思科 vManage 版本 20.9.1 | 此功能可讓您在 Cisco SD-WAN Manager 上停用可能不符合某些資料安全標準的較弱 SSH 演算法。 |
有關在 Cisco SD-WAN Manager 上停用弱 SSH 加密演算法的信息
思科 SD-WAN Manager 提供 SSH 用戶端,用於與網路中的元件(包括控制器和邊緣設備)進行通訊。 SSH 用戶端基於多種加密演算法提供用於安全資料傳輸的加密連線。許多組織需要比 SHA-1、AES-128 和 AES-192 提供的加密更強的加密。從 Cisco vManage 版本 20.9.1 開始,您可以停用以下較弱的加密演算法,以便 SSH 用戶端不使用這些演算法:
- SHA-1
- AES-128
- AES-192
在停用這些加密演算法之前,請確保網路中的 Cisco vEdge 設備(如果有)使用的軟體版本高於 Cisco SD-WAN 版本 18.4.6。
在 Cisco SD-WAN Manager 上停用弱 SSH 加密演算法的好處
停用較弱的 SSH 加密演算法可提高 SSH 通訊的安全性,並確保使用 Cisco Catalyst SD-WAN 的組織遵守嚴格的安全法規。
使用 CLI 在 Cisco SD-WAN Manager 上停用弱 SSH 加密演算法
- 從 Cisco SD-WAN Manager 選單中,選擇工具 > SSH 終端。
- 選擇您希望停用較弱 SSH 演算法的 Cisco SD-WAN Manager 設備。
- 輸入使用者名稱和密碼登入設備。
- 進入SSH伺服器模式。
- vmanage(config)#系統
- vmanage(設定係統)# ssh-伺服器
- 執行下列其中一項操作來停用 SSH 加密演算法:
- 禁用 SHA-1:
- 管理(config-ssh-server)# 沒有 kex-algo sha1
- 管理(config-ssh-server)#提交
將顯示以下警告訊息:產生了以下警告:'system ssh-server kex-algo sha1':警告:請確保所有 Edge 運行代碼版本 > 18.4.6,該版本比 SHA1 與 vManage 的協商效果更好。否則這些邊緣可能會離線。繼續? [是,否] 是- 確保網路中的所有 Cisco vEdge 設備都執行 Cisco SD-WAN 版本 18.4.6 或更高版本,然後輸入 yes。
- 停用 AES-128 和 AES-192:
- vmanage(config-ssh-server)# 無密碼 aes-128-192
- vmanage(config-ssh-server)#提交
將顯示以下警告訊息:
產生了以下警告:
「system ssh-server cipher aes-128-192」:警告:請確保所有 Edge 運行程式碼版本 > 18.4.6,該版本與 vManage 的協商效果優於 AES-128-192。否則這些邊緣可能會離線。繼續? [是,否] 是 - 確保網路中的所有 Cisco vEdge 設備都執行 Cisco SD-WAN 版本 18.4.6 或更高版本,然後輸入 yes。
使用 CLI 驗證 Cisco SD-WAN Manager 上是否停用了弱 SSH 加密演算法
- 從 Cisco SD-WAN Manager 選單中,選擇工具 > SSH 終端。
- 選擇您要驗證的 Cisco SD-WAN Manager 設備。
- 輸入使用者名稱和密碼登入設備。
- 執行以下指令:show running-config system ssh-server
- 確認輸出顯示禁用較弱加密演算法的一個或多個命令:
- 無密碼 aes-128-192
- 沒有 kex-algo sha1
文件/資源
![]() |
CISCO SD-WAN 設定安全參數 [pdf] 使用者指南 SD-WAN 設定安全參數, SD-WAN, 設定安全參數, 安全性參數 |