Notendahandbók

CISCO Catalyst SD WAN öryggisstillingarGRE yfir IPsec göng

Innihald fela sig
1 Catalyst SD-WAN öryggisstillingar
2 GRE yfir IPsec göng milli Cisco IOS XE Catalyst SD-WAN tækja
3 IPv6 GRE eða IPsec göng milli Cisco IOS XE Catalyst SD-WAN tækja og tækja þriðja aðila
4 Skjöl / auðlindir
4.1 Heimildir

Catalyst SD-WAN öryggisstillingar

CISCO Catalyst SD WAN öryggisstillingar - Tákn 1 Athugið
Til að ná fram einföldun og samkvæmni hefur Cisco SD-WAN lausnin verið endurmerkt sem Cisco Catalyst SD-WAN. Að auki, frá Cisco IOS XE SD-WAN útgáfu 17.12.1a og Cisco Catalyst SD-WAN útgáfu 20.12.1, eiga eftirfarandi íhlutabreytingar við: Cisco vManage til Cisco Catalyst SD-WAN Manager, Cisco vAnalytics til Cisco Catalyst SD-WAN Analytics, Cisco vBond til Cisco Catalyst SD-WAN Validator og Cisco vSmart til Cisco Catalyst SD-WAN stjórnandi. Skoðaðu nýjustu útgáfuskýringarnar til að fá yfirgripsmikinn lista yfir allar vörumerkjabreytingar íhluta. Þó að við förum yfir í nýju nöfnin, gæti eitthvað ósamræmi verið til staðar í skjalasettinu vegna áfangaskiptrar nálgunar við uppfærslur á notendaviðmóti hugbúnaðarvörunnar.

Tafla 1: Eiginleikasaga

Eiginleikanafn Upplýsingar um útgáfu Lýsing
GRE Yfir IPsec göng á milli
Cisco IOS XE tæki		 Cisco IOS XE Catalyst SD-WAN útgáfa 17.7.1a
Cisco vManage útgáfa 20.7.1		 Þessi eiginleiki gerir þér kleift að setja upp GRE yfir IPsec göng með IKEv2 RSA-SIG auðkenningu á
Cisco IOS XE Catalyst SD-WAN
tæki í stjórnunarham til að tengjast Cisco IOS XE tækjum í sjálfvirkri stillingu. Þessi uppsetning gerir Cisco IOS XE Catalyst SD-WAN tæki kleift að nota OSPFv3
sem kraftmikla leiðarreglu og fjölvarps umferð yfir WAN netið.
Þú getur stillt GRE yfir IPsec göng með því að nota CLI tæki sniðmát í Cisco SD-WAN Manager fyrir Cisco IOS XE Catalyst SD-WAN tæki.
IPv6 GRE eða IPsec göng
Milli Cisco IOS XE Catalyst
SD-WAN og tæki frá þriðja aðila		 Cisco IOS XE Catalyst SD-WAN
Útgáfa 17.12.1a		 Þessi eiginleiki gerir þér kleift að stilla IPv6 GRE eða IPSEC göng frá Cisco IOS XE Catalyst SD-WAN tæki í þriðja aðila tæki yfir þjónustu VPN.

GRE yfir IPsec göng milli Cisco IOS XE Catalyst SD-WAN tækja

Þú getur stillt Generic Routing Encapsulation (GRE) yfir Internet Protocol Security (IPsec) göng á Cisco IOS XE tækjum. GRE styður multicast og kraftmikla leiðarsamskiptareglur, IPsec með IKEv2 samskiptareglum býður upp á aukið öryggi. GRE yfir IPsec göng eru stillt með OSPFv3 (dynamic routing protocol) og multicast (í sparse-ham), með því að nota IPsec til að dulkóða pakkana yfir göngin og nota IKEv2 ásamt RSA-SIG auðkenningu til að framkvæma auðkenningu, koma á og viðhalda öryggissamtökum.

Forsendur fyrir GRE Over IPsec göng milli Cisco IOS XE tækja
Til að stilla GRE yfir IPsec göng, notaðu Internet Key Exchange Version 2 (IKEv2) samskiptareglur og RSA Signature sem auðkenningaraðferð.

Takmarkanir fyrir GRE yfir IPsec göng milli Cisco IOS XE tækja

  • IPv6 vistföng fyrir IPsec gönguppsprettu eru ekki studd.
  • Þú getur ekki stillt GRE Over IPsec göng milli Cisco IOS XE tækja með því að nota Cisco SD-WAN Manager GUI.

Kostir GRE yfir IPsec göng milli Cisco IOS XE tækja

  • Gerir flutning kleift. Þú getur annað hvort flutt yfir á Cisco Catalyst SD-WAN net eða breytt tæki til að styðja við Cisco Catalyst SD-WAN.
  • Veitir fulla möskvatengingu milli útibús og gagnavera, óháð því hvort netið er Cisco Catalyst SD-WAN net eða ekki SD-WAN net.
  • Styður OSPFv3 og multicast umferð frá Cisco Catalyst SD-WAN virkjuð útibúi til non-SD-WAN gagnaver.

Notaðu tilfelli fyrir GRE yfir IPsec göng milli Cisco IOS XE tækja
Í þessu sampÍ staðfræðinni eru Cisco IOS XE tæki sem eru staðsett í mismunandi gagnaverum og útibúum.
Tvö Cisco IOS XE tæki í stjórnunarham eru staðsett í Cisco Catalyst SD-WAN netinu, eitt í gagnaveri og annað í útibúi. Hin tvö Cisco IOS XE tækin í sjálfvirkri stillingu eru staðsett á ekki SD-WAN neti. GRE yfir IPsec göng eru stillt til að tengja Cisco IOS XE tækin frá útibúinu á Cisco Catalyst SD-WAN netkerfinu við gagnaverið sem staðsett er í non-SD-WAN netinu.

CISCO Catalyst SD WAN öryggisstillingar - Tákn 1 Athugið
Gakktu úr skugga um að gönguppspretta sé stillt með alþjóðlegu VPN fyrir WAN hlið og göng VRF stillt með þjónustu VPN fyrir þjónustuhlið.

CISCO Catalyst SD WAN öryggisstillingar - Gakktu úr skugga um að göngin

Stilltu GRE yfir IPsec göng milli Cisco IOS XE tækja
Að stilla GRE yfir IPsec göng með Cisco SD-WAN Manager er tveggja þrepa ferli:

  1. Settu upp vottun Authentication.
    Flyttu inn pkcs12 file á Cisco IOS XE Catalyst SD-WAN tækinu með því að nota pki import skipunina.
    Fyrir upplýsingar, sjá kaflann Setja upp vottun Authentication í Stilltu GRE yfir IPsec göng milli Cisco IOS XE tækja með því að nota CLI .
  2. Undirbúið GRE yfir IPsec göng stillingar (GRE, IPsec, IKEv2, PKI, OSPFv3 og Multicast) í gegnum Cisco SD-WAN Manager CLI sniðmátið og ýttu því á Cisco IOS XE Catalyst SD-WAN tækið.
    Fyrir upplýsingar um notkun tækissniðmáts, sjá Tækjastillingar byggt CLI sniðmát fyrir Cisco IOS XE Catalyst SD-WAN tæki.
    Sjá kaflann Stilla GRE yfir IPsec göng í Stilltu GRE yfir IPsec göng milli Cisco IOS XE tækja með því að nota CLI fyrir eins ogample stillingar til notkunar í CLI sniðmátinu.

CISCO Catalyst SD WAN öryggisstillingar - Tákn 1 Athugið
Athugið: Bættu crypto pki trustpoint stillingarskipuninni beint inn í Cisco SD-WAN Manager CLI sniðmátið.

Stilltu GRE yfir IPsec göng milli Cisco IOS XE Catalyst SD-WAN tækja með því að nota CLI
Þessi hluti veitir tdample CLI stillingar til að stilla GRE yfir IPsec göng fyrir Cisco IOS XE
Hvati SD-WAN tæki í stjórnunarham.

Settu upp vottun Authentication
Flyttu inn pkcs12 file á Cisco IOS XE Catalyst SD-WAN tækinu með því að nota pki import skipunina.
Tæki# crypto pki import trustpoint_name pkcs12 bootflash:vottorðsnafn lykilorð cisco
Framkvæmdu crypto pki trustpoint skipunina til að endurstilla Cisco IOS XE Catalyst SD-WAN tækið.
Tæki (config) # crypto pki trustpoint trustpoint_name
Tæki(ca-trustpoint)# skráning pkcs12
Tæki(ca-trustpoint)# afturköllun-athugaðu ekkert
Tæki(ca-trustpoint)# rsakeypar trustpoint_name

Stilltu GRE yfir IPsec Tunnel
Eftirfarandi er eins ogample stillingar tdample til að stilla GRE yfir IPsec göng.

CISCO Catalyst SD WAN öryggisstillingar - mynd 1CISCO Catalyst SD WAN öryggisstillingar - mynd 2

CISCO Catalyst SD WAN öryggisstillingar - Tákn 1 Athugið
Stillingar fyrir GRE yfir IPsec göng fyrir Cisco IOS XE tæki í sjálfvirkri stillingu eru þær sömu og í stjórnunarhamnum sem sýnd er hér að ofan.
Ennfremur eru skrefin til að setja upp vottunarstaðfestingu fyrir Cisco IOS XE tæki í sjálfvirkri stillingu þau sömu og í Cisco IOS XE Catalyst SD-WAN tækjum, og það er engin krafa um að þú endurstillir dulritunar pki traustpunkt sérstaklega á Cisco IOS XE tækjunum í sjálfstæðum ham.

Fylgstu með GRE yfir IPsec göngum milli Cisco IOS XE tækja með því að nota CLI

Example 1
Eftirfarandi er sampLe framleiðsla frá show crypto pki certificates skipuninni með því að nota valfrjálsa trustpoint-name argument og orðrétt leitarorð. Úttakið sýnir vottorð tækis og vottorð CA. Í þessu frvample, almenn RSA lykilpör eru áður búin til og vottorð er beðið um og móttekið fyrir lyklaparið.

CISCO Catalyst SD WAN öryggisstillingar - mynd 3CISCO Catalyst SD WAN öryggisstillingar - mynd 4

Example 2
Eftirfarandi er sampLe úttak frá show crypto ipsec sa skipuninni til að sýna stillingar sem IPsec öryggissamtök nota.

CISCO Catalyst SD WAN öryggisstillingar - mynd 5CISCO Catalyst SD WAN öryggisstillingar - mynd 6

Example 3
Eftirfarandi frvample sýnir sýna dulritunarlotu smáatriði skipanaúttak sem sýnir stöðuupplýsingar fyrir virkar dulritunarlotur.

CISCO Catalyst SD WAN öryggisstillingar - mynd 7CISCO Catalyst SD WAN öryggisstillingar - mynd 8

Example 4
Eftirfarandi er sampúttak frá sýna dulmálslykil mypubkey rsa skipunina sem sýnir RSA opinbera lykla tækisins þíns.

CISCO Catalyst SD WAN öryggisstillingar - mynd 9

IPv6 GRE eða IPsec göng milli Cisco IOS XE Catalyst SD-WAN tækja og tækja þriðja aðila

Lágmarks studd útgáfa: Cisco IOS XE Catalyst SD-WAN útgáfa 17.12.1a
Þessi eiginleiki gerir þér kleift að stilla IPv6 GRE eða IPSEC göng frá Cisco IOS XE Catalyst SD-WAN tæki í þriðja aðila tæki yfir þjónustu VPN. Eftirfarandi gerðir eru studdar:

  • IPv6 GRE göng yfir IPv4 undirlag
  • IPv6 GRE göng yfir IPv6 undirlag
  • IPsec IPv6 göng yfir IPv4 undirlag
  • IPsec IPv6 göng yfir IPv6 undirlag

Takmarkanir fyrir IPv6 GRE eða IPsec göng milli Cisco IOS XE Catalyst SD-WAN tækja og tækja þriðja aðila

  • Þessi eiginleiki er aðeins hægt að stilla í gegnum CLI sniðmát tækisins. Eiginleikasniðmát eru ekki studd.
  • Eiginleikapakki er ekki studdur.
  • Tvöfaldur stafla er ekki studdur fyrir IPsec SVTI göng en studd fyrir GRE göng.
  • Viðmótsheitið sem bakslag fyrir gönguppsprettu er ekki stutt. Þegar þú notar loopback tengi sem jarðgangauppsprettu, verður þú að gefa upp annað hvort IPv4 eða IPv6 vistfang sem göngupprunareitinn. Þú getur gefið upp heiti viðmóts sem göngupprunareit fyrir líkamlega viðmótið og undirviðmótið.

Studd tæki fyrir IPv6 GRE eða IPsec göng milli Cisco IOS XE Catalyst SD-WAN tækja og tækja þriðja aðila

Tafla 2: Stuðningstæki og útgáfur

Gefa út Stuðningur tæki
Cisco IOS XE Catalyst SD-WAN útgáfu 17.12.1a og síðar • Cisco Catalyst 8300 Series Edge pallar
• Cisco Catalyst 8500 Series Edge pallar
• Cisco Catalyst 8500L Edge pallar
• Cisco Catalyst 8000V Edge hugbúnaður
• Cisco ASR 1001-HX leið
• Cisco ASR 1002-HX leið
• Cisco ISR1100 Series leið
• Cisco 4461 Integrated Services Router

Stilltu IPv6 GRE eða IPsec göng milli Cisco IOS XE Catalyst SD-WAN tækja og tækja þriðja aðila með því að nota CLI sniðmát

Stilltu Common Source Interface
Þessi hluti gefur tdample CLI stillingar til að stilla sameiginlegt upprunaviðmót.

  1. Farðu í alþjóðlega stillingarham.
    stilla flugstöðina
  2. Farðu í viðmótsstillingarham.
    viðmót GigabitEthernet1
  3. Virkjaðu viðmótið.
    engin lokun
  4. Stilltu IP tölu fyrir viðmótið.
    IP-tala 209.165.200.225 255.255.255.0
  5. Stilltu IPv6 vistfang.
    ipv6 address 2001:DB8:200::225/64
  6. Hætta við stillingarstillingu viðmótsins.
    hætta

Þessi hluti gefur tdample CLI stillingar til að stilla loopback tengi.

  1. Stilltu loopback tengi.
    viðmót Loopback 0
  2. Stilltu IP tölu fyrir viðmótið.
    IP-tala 209.165.201.1 255.255.255.0
  3. Stilltu IPv6 vistfang.
    ipv6 address 2001:DB8:201::1/64
  4. Hætta við stillingarstillingu viðmótsins.
    hætta

Hér er heildaruppsetningin tdample til að stilla sameiginlegt upprunaviðmót.

CISCO Catalyst SD WAN öryggisstillingar - mynd 10

Stilltu IPv6 GRE göng yfir IPv4 undirlag
Þessi hluti gefur tdample CLI stillingar til að stilla IPv6 GRE göng yfir IPv4 undirlag.

  1. Farðu í alþjóðlega stillingarham.
    stilla flugstöðina
  2. Búðu til viðmótsgöng.
    viðmót Tunnel64
  3. Virkjaðu viðmótið.
    engin lokun
  4. Tengdu VRF tilvik eða sýndarnet við viðmót eða undirviðmót í viðmótsstillingarham.
    vrf áframsending 1
  5. Stilltu IPv6 vistfangið og virkjaðu IPv6 vinnslu á viðmóti í viðmótsstillingarham.
    ipv6 address 2001:DB8:64::1/64
  6. Stilltu upprunavistfangið fyrir göngviðmótið í viðmótsstillingarham.
    jarðgangaheimild 209.165.202.129
  7. Stilltu áfangastað fyrir GRE göngviðmótið í viðmótsstillingarham.
    áfangastaður jarðganga 209.165.202.158
  8. Tilgreindu útleiðandi viðmót jarðgangaflutnings í viðmótsstillingarham. Ef þú notar skyldulykilorðið og ef leiðin er ekki tiltæk minnkar umferðin.
    jarðgangaleið-um GigabitEthernet5 skylda

Hér er heildaruppsetningin tdample til að stilla IPv6 GRE göng yfir IPv4 undirlag.

CISCO Catalyst SD WAN öryggisstillingar - mynd 11

Stilltu IPv6 GRE göng yfir IPv6 undirlag
Þessi hluti gefur tdample CLI stillingar til að stilla IPv6 GRE göng yfir IPv6 undirlag.

  1. Farðu í alþjóðlega stillingarham.
    stilla flugstöðina
  2. Farðu í göngviðmótsstillingu.
    viðmót Tunnel66
  3. Virkjaðu viðmótið.
    engin lokun
  4. Tengdu VRF tilvik eða sýndarnet við viðmót eða undirviðmót í viðmótsstillingarham.
    vrf áframsending 1
  5. Stilltu IPv6 vistfangið og virkjaðu IPv6 vinnslu á viðmóti í viðmótsstillingarham.
    ipv6 address 2001:DB8:166::1/64
  6. Stilltu upprunavistfangið fyrir göngviðmótið í viðmótsstillingarham.
    jarðgangaheimild 2001:DB8:15::15
  7. Stilltu áfangastað fyrir GRE göngviðmótið í viðmótsstillingarham.
    áfangastaður jarðganga 2001:DB8:15::16
  8. Stilltu hjúpunarham fyrir göngviðmótið, í viðmótsstillingarham.
    tunnel mode gre ipv6
  9. Tilgreindu útleiðandi viðmót jarðgangaflutnings í viðmótsstillingarham. Ef þú notar skyldulykilorðið og ef leiðin er ekki tiltæk minnkar umferðin.
    jarðgangaleið-um GigabitEthernet5 skylda

Hér er heildaruppsetningin tdample til að stilla IPv6 GRE göng yfir IPv6 undirlag.

viðmót Tunnel66
engin lokun
vrf áframsending 1
ipv6 address 2001:DB8:66::1/64
jarðgangaheimild 2001:DB8:15::15
áfangastaður jarðganga 2001:DB8:15::16
tunnel mode gre ipv6
jarðgangaleið-um GigabitEthernet5 skylda

Stilltu IPsec IPv6 göng yfir IPv4 undirlag
Þessi hluti gefur tdample CLI stillingar til að stilla IPsec IPv6 göng yfir IPv4 undirlag.

  1. Farðu í alþjóðlega stillingarham.
    stilla flugstöðina
  2. Farðu í göngviðmótsstillingu.
    viðmót Tunnel164
  3. Virkjaðu viðmótið.
    engin lokun
  4. Tengdu VRF tilvik eða sýndarnet við viðmót eða undirviðmót í viðmótsstillingarham.
    vrf áframsending 1
  5. Stilltu IPv6 vistfangið og virkjaðu IPv6 vinnslu á viðmóti í viðmótsstillingarham.
    ipv6 address 2001:DB8:164::1/64
  6. Stilltu upprunavistfangið fyrir göngviðmótið í viðmótsstillingarham.
    jarðgangaheimild 209.165.202.129
  7. Stilltu áfangastað fyrir IPsec göngviðmótið í viðmótsstillingarham.
    áfangastaður jarðganga 209.165.202.158
  8. Stilltu hjúpunarham fyrir göngviðmótið, í viðmótsstillingarham.
    tunnel mode ipsec ipv4 v6-yfirlag
  9. Tengdu göngviðmótið við IPsec profile.
    jarðgangavörn ipsec profile if-ipsec1-ipsec-profile164
  10. Tilgreindu útleiðandi viðmót jarðgangaflutnings í viðmótsstillingarham. Ef þú notar skyldulykilorðið og ef leiðin er ekki tiltæk minnkar umferðin.
    jarðgangaleið-um GigabitEthernet5 skylda

Hér er heildaruppsetningin tdample til að stilla IPsec IPv6 göng yfir IPv4 undirlag.

CISCO Catalyst SD WAN öryggisstillingar - mynd 13.

Stilltu IPsec IPv6 göng yfir IPv6 undirlag
Þessi hluti gefur tdample CLI stillingar til að stilla IPsec IPv6 göng yfir IPv6 undirlag.

  1. Farðu í alþjóðlega stillingarham.
    stilla flugstöðina
  2. Farðu í göngviðmótsstillingu.
    viðmót Tunnel166
  3. Virkjaðu viðmótið.
    engin lokun
  4. Tengdu VRF tilvik eða sýndarnet við viðmót eða undirviðmót í viðmótsstillingarham.
    vrf áframsending 1
  5. Stilltu IPv6 vistfangið og virkjaðu IPv6 vinnslu á viðmóti í viðmótsstillingarham.
    ipv6 address 2001:DB8:166::1/64
  6. Stilltu upprunavistfangið fyrir göngviðmótið í viðmótsstillingarham.
    jarðgangaheimild 2001:DB8:15::15
  7. Stilltu áfangastað fyrir IPsec göngviðmótið í viðmótsstillingarham.
    áfangastaður jarðganga 2001:DB8:15::16
  8. Stilltu hjúpunarham fyrir göngviðmótið, í viðmótsstillingarham.
    tunnel mode ipsec ipv6
  9. Tengdu göngviðmótið við IPsec profile.
    jarðgangavörn ipsec profile if-ipsec1-ipsec-profile166
  10. Tilgreindu útleiðandi viðmót jarðgangaflutnings í viðmótsstillingarham. Ef þú notar skyldulykilorðið og ef leiðin er ekki tiltæk minnkar umferðin.
    jarðgangaleið-um GigabitEthernet5 skylda

Hér er heildaruppsetningin tdample til að stilla IPsec IPv6 göng yfir IPv6 undirlag.

CISCO Catalyst SD WAN öryggisstillingar - mynd 14

Staðfestu IPv6 GRE eða IPsec göng milli Cisco IOS XE Catalyst SD-WAN tækis og tækja þriðja aðila
Eftirfarandi er eins ogample framleiðsla frá show run interface type/number skipuninni.

CISCO Catalyst SD WAN öryggisstillingar - mynd 15CISCO Catalyst SD WAN öryggisstillingar - mynd 16

Eftirfarandi er eins ogample framleiðsla frá sýningunni adjacency tunnel164 innri stjórn.
sýna adjacency göng164 innri

CISCO Catalyst SD WAN öryggisstillingar - mynd 17

Skjöl / auðlindir

CISCO Catalyst SD-WAN öryggisstillingar [pdfNotendahandbók
Catalyst SD-WAN öryggisstillingar, Catalyst SD-WAN, öryggisstillingar, stillingar

Heimildir

Skildu eftir athugasemd

Netfangið þitt verður ekki birt. Nauðsynlegir reitir eru merktir *