البنية الأساسية المرنة Cisco IOS XR

المقدمة

يصف هذا المستند أحد جوانب التعزيز ل Cisco IOS^® XR: التخلص التدريجي من الخصائص والشفرات غير الآمنة بشكل منهجي.

البنية الأساسية المرنة Cisco IOS XR

لزيادة وضعية الأمان لأجهزة Cisco، تقوم Cisco بإجراء تغييرات على الإعدادات الافتراضية، وترخيص الإمكانيات غير الآمنة وإزالتها في نهاية المطاف، وتقديم ميزات أمان جديدة. وقد تم تصميم هذه التغييرات لتقوية البنية الأساسية للشبكة وتوفير رؤية أفضل لأنشطة الجهات الفاعلة التي تشكل تهديدا.

انظر إلى صفحة مركز الثقة هذه: بنية أساسية مرنة. وهو يشير إلى تقوية البنية الأساسية، ودليل تقوية برنامج Cisco IOS XR، وعملية إهمال الميزات، وتفاصيل إزالة وترحيل الميزات. وترد هنا البدائل المقترحة: إزالة الميزات والبدائل المقترحة.

يعمل Cisco IOS XR على التخلص التدريجي من الميزات والشفرات غير الآمنة. ويتضمن ذلك كل من أوامر التكوين والتنفيذ في Cisco IOS XR. 

الميزات المتأثرة

• Telnet
• TFTP
• FTP
• HTTP
• SNMP v1/v2c
• SNMP v3 دون مصادقة Priv
• مسار مصدر IP
• خوادم TCP/UDP الصغيرة
• TACACS+ و RADIUS باستخدام مفاتيح مشتركة مسبقا (النوع 7) و MD5
• SSH v1
• TLS 1.0/1.1
• NTPv2/3 و MD5
• GRPC no TLS، TLSv1.0/1.1
• أوامر EXEC باستخدام النسخ والأداة المساعدة والتثبيت باستخدام TFTP/FTP

تجميع

هناك أوامر تكوين، ولكن أيضا قم بتنفيذ الأوامر (على سبيل المثال، الأمر "copy").

يمكن تجميع الأوامر المهملة:

• SSHv1، Telnet (الخادم والعميل)، TFTP (العميل)، FTP
• مفتاح مضيف DSA، TACACS/RADIUS النوع 7، TLS 1.0/1.1
• غير ذلك: خوادم TCP/UDP الصغيرة، توجيه مصدر IP (IPv4 و IPv6)

مراحل

يتبع هذا المشروع نهج إهمال الميزات المعتاد: تحذير -> تقييد -> إزالة.

• التحذيرات في Cisco IOS XR، الإصدار 25.4.1.
• مرحلة التقييد
• إزالة الميزة

مرحلة التحذير

ما هي التحذيرات؟

1. وظيفة تعليمات واجهة سطر الأوامر (CLI)
2. تحذير syslog
3. تحذير من الوصف في وحدة يانغ

يتم إصدار تحذيرات للخيارات غير الآمنة التي تم تكوينها. هذه هي رسائل syslog بسرعة 30 يوما.

عند إستخدام أي ميزة غير آمنة، يتم إصدار تحذير السجل هذا (المستوى 4 أو التحذير):

٪infra-warn_insecure-4-insecure_feature_warn: تم إستخدام الميزة '<feature-name>' أو تكوينها. من المعروف أن هذه الميزة غير آمنة، جرب إيقاف إستخدام هذه الميزة. <التوصية>

والتوصية هي ما ينبغي إستخدامه بدلا من الخيار غير الآمن.

مثال تحذير ل FTP : 

٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : تم إستخدام الميزة 'FTP' أو تكوينها. من المعروف أن هذه الميزة غير آمنة، جرب إيقاف إستخدام هذه الميزة. يوصى باستخدام SFTP.

لاحظ الكلمات المستخدمة أو المكونة. يشير المستخدم إلى أمر تنفيذ ويشير التكوين الذي تم تكوينه إلى أمر تكوين.

يمكن طباعة رسالة تحذير في حالة إزالة خيار غير آمن (المستوى 6 أو إعلامي). مثال:

rp/0/rp0/cpu0:أكتوبر 22 06:43:43.967 بالتوقيت العالمي: tacacsd[1155]: ٪infra-warn_insecure-6-insecure_config_remove : تمت إزالة تكوين الميزة غير الآمنة 'TACACS+ عبر TCP مع سر مشترك (الوضع الافتراضي).

قائمة الخيارات المهملة غير الآمنة

هذه هي قائمة الخيارات غير الآمنة التي تشغل تحذيرا في إصدارات Cisco IOS XR من مرحلة التحذير.

تعرض القائمة خيار غير آمن وأوامر التكوين أو التنفيذ ورسالة التحذير وطراز Yang المقترن.

توجيه مصدر IP (RFC 791)

CLI

RP/0/RP0/CPU0:Router(config)#ip ?
  source-route       Process packets with source routing header options (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#ipv4 ?
  source-route     Process packets with source routing header options (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#ipv6 ?
  source-route     Process packets with source routing header options (This is deprecated since 25.4.1)

ip source route

مسار المصدر ل IPv6

بروتوكول IPv4 - مسار المصدر

تحذير

rp/0/rp0/cpu0:أكتوبر 17 19:01:48.806 بالتوقيت العالمي: ipV4_ma[254]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'مسار مصدر IPv4' التي يتم إستخدامها أو تكوينها. من المعروف أن هذه الميزة غير آمنة، جرب إيقاف إستخدام هذه الميزة. لا تقم بتمكين توجيه مصدر IPv4 بسبب مخاطر الأمان.

rp/0/rp0/cpu0:أكتوبر 17 19:01:48.806 بالتوقيت العالمي: ipV6_io[310]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'مسار مصدر IPv6' التي يتم إستخدامها أو تكوينها. من المعروف أن هذه الميزة غير آمنة، جرب إيقاف إستخدام هذه الميزة. لا تقم بتمكين توجيه مصدر IPv6 بسبب مخاطر الأمان.

طراز يانغ

Cisco IOS-XR-IPV4-ma-cfg

Cisco IOS-XR-IPv6-io-cfg

Cisco IOS-XR-um-ipV4-cfg

Cisco IOS-XR-um-ipV6-CFG

التوصية

أزل خيار غير آمن.

لا يوجد بديل محدد. يمكن للعملاء الذين يرغبون في التحكم في حركة المرور من خلال شبكة قائمة على عنوان المصدر القيام بذلك باستخدام التوجيه القائم على السياسة أو آليات توجيه المصدر الأخرى التي يتحكم فيها المسؤول والتي لا تترك قرار التوجيه للمستخدم النهائي.

SSH v1

CLI

RP/0/RP0/CPU0:Router(config)#ssh client ?
  v1                Set ssh client to use version 1. This is deprecated and will be removed in 24.4.1.

RP/0/RP0/CPU0:Router(config)#ssh server ?
  v1                         Cisco sshd protocol version 1. This is deprecated in 25.3.1.

عميل SSH v1

خادم SSH v1

تحذير

rp/0/rp0/cpu0:نوفمبر 19 15:20:42.814 بالتوقيت العالمي: ssh_conf_proxy[1210]: ٪security-sshd_conf_prx-4-warning_general : لا يتم دعم خادم النسخ الاحتياطي وتكوينات منفذ netconf و ssh v1 ومنفذ ssh في هذا النظام الأساسي ولن يتم تطبيق الإصدار

طراز يانغ

Cisco IOS-XR-um-ssh-cfg

التوصية

أستخدم SSH v2.

التكوين SSHv2: تنفيذ Secure Shell

TACACS+ و RADIUS باستخدام مفاتيح مشتركة مسبقا (النوع 7)

CLI

RP/0/RP0/CPU0:Router(config)#tacacs-server host 10.0.0.1
RP/0/RP0/CPU0:Router(config-tacacs-host)#key ?
  clear      Config deprecated from 7.4.1. Use '0' instead.
  encrypted  Config deprecated from 7.4.1. Use '7' instead.

RP/0/RP0/CPU0:Router(config)#tacacs-server key ?
  clear      Config deprecated from 7.4.1. Use '0' instead.
  encrypted  Config deprecated from 7.4.1. Use '7' instead.

tacacs-server key 7 13545410615102b28252b203e270a

Tacacs-Server Host 10.1.1 منفذ 49

 المفتاح 7 1513090f007b797

منفذ RADIUS-Server Host 10.0.0.1 Auth-Port 9999 Access-Port 8888

 المفتاح 7 1513090f007b797

المؤلف الديناميكي لنصف قطر خادم AAA

 افتراضي العميل 10.10.10.2 vrf

  server-key 7 05080f1c2243

مفتاح خادم RADIUS 7 13041510F

نصف قطر خادم مجموعة AAA RAD

 server-private 10.2.4.5 auth-port 12344 acct-port 12345

  المفتاح 7 1304464058

تحذير

rp/0/rp0/cpu0:أكتوبر 18 18:00:42.505 بالتوقيت العالمي: tacacsd[1155]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'TACACS+ سر مشترك (تشفير النوع 7)' المستخدمة أو المكونة. من المعروف أن هذه الميزة غير آمنة، جرب إيقاف إستخدام هذه الميزة. أستخدم تشفير النوع 6 (المستند إلى AES) بدلا من ذلك.

rp/0/rp0/cpu0:أكتوبر 18 18:00:42.505 بالتوقيت العالمي: tacacsd[1155]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'TACACS+ عبر TCP باستخدام سر مشترك (الوضع الافتراضي)' المستخدمة أو المكونة. من المعروف أن هذه الميزة غير آمنة، جرب إيقاف إستخدام هذه الميزة. أستخدم TACACS+ عبر TLS (Secure TACACS+) من أجل تأمين أقوى.

rp/0/rp0/cpu0:أكتوبر 18 18:18:19.460 بالتوقيت العالمي: مشع[1149]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة "سر RADIUS المشترك (تشفير النوع 7)" التي يتم إستخدامها أو تكوينها. من المعروف أن هذه الميزة غير آمنة، جرب إيقاف إستخدام هذه الميزة. أستخدم تشفير النوع 6 (المستند إلى AES) بدلا من ذلك.

rp/0/rp0/cpu0:أكتوبر 18 18:18:19.460 بالتوقيت العالمي: مشع[1149]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'RADIUS عبر UDP مع سر مشترك (الوضع الافتراضي)' المستخدمة أو المكونة. من المعروف أن هذه الميزة غير آمنة، جرب إيقاف إستخدام هذه الميزة. أستخدم RADIUS عبر TLS (RadSec) أو DTLS من أجل تأمين أقوى.

طراز يانغ

-

التوصية

أستخدم TACACS+ أو RADIUS عبر TLS 1. 3 أو DTLS. أستخدم النوع 6 لبيانات الاعتماد.

تكوين TACACS+ أو RADIUS عبر TLS 1.3 أو DTLS: تكوين خدمات AAA

TLS 1.0/1.1، يهمل الشفرات الضعيفة

CLI

RP/0/RP0/CPU0:Router(config)#http client ssl version ?
  tls1.0  Force TLSv1.0 to be used for HTTPS requests, TLSv1.0 is deprecated from 25.3.1
  tls1.1  Force TLSv1.1 to be used for HTTPS requests, TLSv1.1 is deprecated from 25.3.1

RP/0/RP0/CPU0:Router(config)#logging tls-server server-name min-version ?
  tls1.0  Set TLSv1.0 to be used as min version for syslog, TLSv1.0 is deprecated from 25.3.1
  tls1.1  Set TLSv1.1 to be used as min version for syslog, TLSv1.1 is deprecated from 25.3.1

RP/0/RP0/CPU0:Router(config)#logging tls-server server-name max-version ?
  tls1.0  Set TLSv1.0 to be used as max version for syslog, TLSv1.0 is deprecated from 25.3.1
  tls1.1  Set TLSv1.1 to be used as max version for syslog, TLSv1.1 is deprecated from 25.3.1

logging tls-server-name <> max-version tls1.0|tls1.1

تحذير

-

طراز يانغ

Cisco IOS-XR-um-logging-cfg

Cisco-IOS-XR-um-http-client-cfg.yang

التوصية

أستخدم TLS1. 2 أو TLS1. 3.

التسجيل الآمن للتكوين: تنفيذ التسجيل الآمن

Telnet (الخادم والعميل)

CLI

RP/0/RP0/CPU0:Router(config)#telnet ?
  ipv4  IPv4 configuration. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)
  ipv6  IPv6 configuration. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)
  vrf   VRF name for telnet server. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)

RP/0/RP0/CPU0:Router(config)#telnet ipv4 ?
  client  Telnet client configuration commands. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)
  server  Telnet server configuration commands. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)

RP/0/RP0/CPU0:Router(config)#telnet ipv6 ?
  client  Telnet client configuration commands. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)
  server  Telnet server configuration commands. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)

RP/0/RP0/CPU0:Router(config)#telnet vrf default ?
  ipv4  IPv4 configuration. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)
  ipv6  IPv6 configuration. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)

RP/0/RP0/CPU0:Router(config)#telnet vrf test ?
  ipv4  IPv4 configuration. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)
  ipv6  IPv6 configuration. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)

RP/0/RP0/CPU0:Router#telnet ?
  A.B.C.D          IPv4 address. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)
  WORD             Hostname of the remote node. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)
  X:X::X           IPv6 address. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)
  disconnect-char  telnet client disconnect char. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)
  vrf              vrf table for the route lookup. (Telnet is deprecated since 25.4.1. SSH is recommended instead.)

telnet

برنامج Telnet IPv4

برنامج Telnet IPv6

Telnet vrf

تحذير          

RP/0/RP0/CPU0:يونيو 27 10:59:52.226 بالتوقيت العالمي: التاريخ[145]: ٪IP-Cinetd-4-Telnet_Warning : يتم الآن إهمال دعم Telnet من الإصدار 25.4.1 وما بعده. يرجى إستخدام بروتوكول SSH بدلا من ذلك.

طراز يانغ

Cisco IOS-XR-IPv4-telnet-cfg

Cisco IOS-XR-IPV4-telnet-mgmt-cfg

Cisco IOS-XR-um-telnet-cfg

التوصية

أستخدم SSHv2.

التكوين SSHv2: تنفيذ Secure Shell

TFTP (الخادم والعميل)

CLI

RP/0/RP0/CPU0:Router(config)#ip tftp ?
  client  TFTP client configuration commands (This is deprecated since 25.4.1)

tftp

ip tftp

عميل TFTP

تحذير

rp/0/rp0/cpu0:أكتوبر 17 19:03:29.475 بالتوقيت العالمي: tftp_fs[414]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : تم إستخدام ميزة "عميل TFTP" أو تكوينها. من المعروف أن هذه الميزة غير آمنة، جرب إيقاف إستخدام هذه الميزة. أستخدم SFTP بدلا من ذلك.

طراز يانغ

-

التوصية

إستخدام sFTP أو HTTPS.

تشكيل sFTP: تنفيذ Secure Shell

خوادم TCP/UDP الصغيرة

CLI

RP/0/RP0/CPU0:Router(config)#service ?
  ipv4                   Ipv4 small servers (This is deprecated)
  ipv6                   Ipv6 small servers (This is deprecated)

RP/0/RP0/CPU0:Router(config)#service ipv4 ?
  tcp-small-servers  Enable small TCP servers (e.g., ECHO)(This is deprecated)
  udp-small-servers  Enable small UDP servers (e.g., ECHO)(This is deprecated)

خدمة الإصدار الرابع من بروتوكول الإنترنت (IP)

خدمة IPv6

تحذير

-

طراز يانغ

Cisco IOS-XR-ip-tcp-cfg

Cisco IOS-XR-ip-udp-cfg

التوصية

تعطيل خوادم TCP/UDP الصغيرة.

FTP

CLI

RP/0/RP0/CPU0:Router(config)#ftp ?
  client  FTP client config commands.This is deprecated since 25.4.1.SFTP is recommended instead.

RP/0/RP0/CPU0:Router(config)#ip ftp ?
  client  FTP client config commands.This is deprecated since 25.4.1.SFTP is recommended instead.

ip ftp

ftp

تحذير

rp/0/rp0/cpu0:أكتوبر 16 21:42:42.897 بالتوقيت العالمي: ftp_fs[1190]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : تم إستخدام الميزة 'عميل FTP' أو تكوينها. من المعروف أن هذه الميزة غير آمنة، جرب إيقاف إستخدام هذه الميزة. أستخدم SFTP بدلا من ذلك.

طراز يانغ

Cisco IOS-XR-um-ftp-tftp-cfg

التوصية

إستخدام sFTP أو HTTPS.

تشكيل sFTP: تنفيذ Secure Shell

SNMP v1/2c

CLI

RP/0/RP0/CPU0:Router(config)#snmp-server ?
  chassis-id            String to uniquely identify this chassis
  community             Enable SNMP;  set community string and access privileges. (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#snmp-server ?
  community             Enable SNMP;  set community string and access privileges. (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#snmp-server user test test ?
  v1      user using the v1 security model (This is deprecated since 25.4.1)
  v2c     user using the v2c security model (This is deprecated since 25.4.1)
  v3      user using the v3 security model

RP/0/RP0/CPU0:Router(config)#snmp-server host 10.0.0.1 version ?
  1   Use 1 for SNMPv1. (This is deprecated since 25.4.1)
  2c  Use 2c for SNMPv2c. (This is deprecated since 25.4.1)
  3   Use 3 for SNMPv3

RP/0/RP0/CPU0:Router(config)#snmp-server group test ?
  v1   group using the v1 security model (This is deprecated since 25.4.1)
  v2c  group using the v2c security model (This is deprecated since 25.4.1)
  v3   group using the User Security Model (SNMPv3)

RP/0/RP0/CPU0:Router(config)#snmp-server ?
  community             Enable SNMP;  set community string and access privileges. (This is deprecated since 25.4.1)
  community-map         Community Mapping as per RFC-2576. (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#snmp-server user user1 group1 ?
  v1      user using the v1 security model (This is deprecated since 25.4.1)
  v2c     user using the v2c security model (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#snmp-server user user1 group1 v3 auth md5 test priv ?
  3des    Use 168 bit 3DES algorithm for encryption (This is deprecated since 25.4.1)
  des56   Use 56 bit DES algorithm for encryption (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#snmp ?
  community             Enable SNMP;  set community string and access privileges. (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#snmp user user test ?
  remote  Specify a remote SNMP entity to which the user belongs
  v1      user using the v1 security model (This is deprecated since 25.4.1)
  v2c     user using the v2c security model (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#snmp-server user user1 group1 v3 auth ?
  md5      Use HMAC MD5 algorithm for authentication (This is deprecated since 25.4.1)
  sha      Use HMAC SHA algorithm for authentication (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#snmp user user1 group1 v3 auth ?
  md5      Use HMAC MD5 algorithm for authentication (This is deprecated since 25.4.1)
  sha      Use HMAC SHA algorithm for authentication (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#snmp user user1 group1 v3 auth md5 test priv ?
  3des    Use 168 bit 3DES algorithm for encryption (This is deprecated since 25.4.1)
  des56   Use 56 bit DES algorithm for encryption (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#snmp host 10.1.1.1 version ?
  1   Use 1 for SNMPv1. (This is deprecated since 25.4.1)
  2c  Use 2c for SNMPv2c. (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#snmp-server host 10.1.1.1 version ?
  1   Use 1 for SNMPv1. (This is deprecated since 25.4.1)
  2c  Use 2c for SNMPv2c. (This is deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#snmp ?
  community-map         Community Mapping as per RFC-2576. (This is deprecated since 25.4.1)

مجتمع خادم SNMP

مستخدم خادم SNMP <> <> v1 | v2c

مستخدم خادم SNMP <> <> v3 مصادقة MD5 | شا

مستخدم خادم snmp <> <> v3 مصادقة MD5|sha <> الإصدار 3des|des56

مضيف خادم SNMP <> الإصدار 1|v2c

مجموعة خوادم SNMP <> v1|v2c

خريطة مجتمع خادم snmp

مجتمع SNMP

مستخدم بروتوكول SNMP <> <> v1|v2c

مستخدم بروتوكول SNMP <> <> v3 مصادقة MD5|sha

مستخدم بروتوكول SNMP <> <> v3 مصادقة MD5/sha <> الإصدار 3des|des56

مضيف SNMP <> الإصدار 1|v2c

مجموعة SNMP <> v1|v2c

خريطة مجتمع SNMP

تحذير

-

طراز يانغ

Cisco IOS-XR-um-snmp-server-cfg

التوصية

إستخدام SNMPv3 مع المصادقة والتشفير (authPriv).

تكوين SNMPv3 مع المصادقة والمصادقة: تكوين بروتوكول إدارة الشبكة البسيط

مصادقة NTP الإصدار 2 و 3 و MD5

CLI

RP/0/RP0/CPU0:Router(config)#ntp server 10.1.1.1 version ?
  <2-4>  NTP version number. Values 2-3 are DEPRECATED from 25.4.1 onwards; use 4 instead.

RP/0/RP0/CPU0:Router(config)#ntp peer 10.1.1.1 version ?
  <2-4>  NTP version number. Values 2-3 are DEPRECATED from 25.4.1 onwards; use 4 instead.

RP/0/RP0/CPU0:Router(config)#ntp server admin-plane version ?
  <1-4>  NTP version number. Values 1-3 are DEPRECATED from 25.4.1 onwards; use 4 instead.

RP/0/RP0/CPU0:Router(config)#ntp interface gigabitEthernet 0/0/0/0 broadcast version ?
  <2-4>  NTP version number. Values 2-3 are DEPRECATED from 25.4.1 onwards; use 4 instead.

RP/0/RP0/CPU0:Router(config)#ntp interface gigabitEthernet 0/0/0/0 multicast version ?
  <2-4>  NTP version number. Values 2-3 are DEPRECATED from 25.4.1 onwards; use 4 instead.

RP/0/RP0/CPU0:Router(config)#ntp authentication-key 1 md5 clear 1234

خادم NTP <> الإصدار 2|3

نظير NTP <> الإصدار 2/3

ntp server admin-plane الإصدار 1/2/3

بث واجهة ntp <> الإصدار 2|3

واجهة ntp <> الإصدار 2|3 للبث المتعدد

مفتاح مصادقة NTP <> MD5 <>

تحذير

rp/0/rp0/cpu0:نوفمبر 25 16:09:15.422 بالتوقيت العالمي: ntpd[159]: ٪IP-IP_NTP-5-config_NOT_RECOMMENDED : يتم تجاهل NTPv2 و NTPv3 من الإصدار 25.4.1 وما بعده. الرجاء إستخدام NTPv4.

rp/0/rp0/cpu0:نوفمبر 25 16:09:15.422 بالتوقيت العالمي: ntpd[159]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : يتم إستخدام ميزة 'NTP بدون مصادقة' أو تكوينها. من المعروف أن هذه الميزة غير آمنة، جرب إيقاف إستخدام هذه الميزة.

طراز يانغ

Cisco-IOS-XR-um-ntp-cfg.yang

التوصية

أستخدم الإصدار 4 من NTP أو مصادقة أخرى غير MD5.

تشكيل NTP: تكوين بروتوكول وقت الشبكة

GRPC

CLI

RP/0/RP0/CPU0:Router(config)#grpc ?
  aaa                         AAA authorization and authentication for gRPC
  address-family              DEPRECATED. Removing in 26.3.1: Address family identifier type
  apply-group                 Apply configuration from a group
  certificate                 DEPRECATED. Removing in 26.3.1: gRPC server certificate
  certificate-authentication  DEPRECATED. Removing in 26.3.1: Enables Certificate based Authentication
  certificate-id              DEPRECATED. Removing in 26.3.1: Active Certificate
  default-server-disable      Configuration to disable the default gRPC server
  dscp                        DEPRECATED. Removing in 26.3.1: QoS marking DSCP to be set on transmitted gRPC
  exclude-group               Exclude apply-group configuration from a group
  gnmi                        gNMI service configuration
  gnpsi                       gnpsi configuration
  gnsi                        gNSI
  gribi                       gRIBI service configuration
  keepalive                   DEPRECATED. Removing in 26.3.1: Server keepalive time and timeout
  listen-addresses            DEPRECATED. Removing in 26.3.1: gRPC server listening addresses
  local-connection            DEPRECATED. Removing in 26.3.1: Enable gRPC server over Unix socket
  max-concurrent-streams      gRPC server maximum concurrent streams per connection
  max-request-per-user        Maximum concurrent requests per user
  max-request-total           Maximum concurrent requests in total
  max-streams                 Maximum number of streaming gRPCs (Default: 32)
  max-streams-per-user        Maximum number of streaming gRPCs per user (Default: 32)
  memory                      EMSd-Go soft memory limit in MB
  min-keepalive-interval      DEPRECATED. Removing in 26.3.1: Minimum client keepalive interval
  name                        DEPRECATED. Removing in 26.3.1: gRPC server name
  no-tls                      DEPRECATED. Removing in 26.3.1: No TLS
  p4rt                        p4 runtime configuration
  port                        DEPRECATED. Removing in 26.3.1: Server listening port
  remote-connection           DEPRECATED. Removing in 26.3.1: Configuration to toggle TCP support on the gRPC server
  segment-routing             gRPC segment-routing configuration
  server                      gRPC server configuration
  service-layer               grpc service layer configuration
  tls-cipher                  DEPRECATED. Removing in 26.3.1: gRPC TLS 1.0-1.2 cipher suites
  tls-max-version             DEPRECATED. Removing in 26.3.1: gRPC maximum TLS version
  tls-min-version             DEPRECATED. Removing in 26.3.1: gRPC minimum TLS version
  tls-mutual                  DEPRECATED. Removing in 26.3.1: Mutual Authentication
  tls-trustpoint              DEPRECATED. Removing in 26.3.1: Configure trustpoint
  tlsV1-disable               Disable support for TLS version 1.0
                              tlsv1-disable CLI is deprecated.
                              Use tls-min-version CLI to set minimum TLS version.
  ttl                         DEPRECATED. Removing in 26.3.1: gRPC packets TTL value
  tunnel                      DEPRECATED. Removing in 26.3.1: grpc tunnel service
  vrf                         DEPRECATED. Removing in 26.3.1: Server vrf
  <cr>

grpc no-tls
grpc tls-max|min-version 1.0|1.1
الإعداد الافتراضي ل grpc tls-cihper|enable|disable (في TLS 1.2، غير آمن عند إستخدام مجموعات شفرة غير آمنة بعد تقييم التكوينات الثلاثة)

تحذير

rp/0/rp0/cpu0:نوفمبر 29 19:38:30.833 بالتوقيت العالمي: أمسد[1122]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : تم إستخدام ميزة "التكوين غير الآمن ل gRPC" أو تكوينها. تم إهمال هذه الميزة لأنه من المعروف أنها غير آمنة؛ ستتم إزالتها في إصدار مقبل. server=default (إصدار TLS أقدم من 1.2، تم تكوين مجموعات تشفير غير آمنة)

طراز يانغ

Cisco-IOS-XR-um-grpc-cfg.yang

Cisco-IOS-XR-man-ems-oper.yang

Cisco IOS-XR-man-ems-grpc-tls-credentials-rotate-act.yang

Cisco-IOS-XR-man-ems-cfg.yang

التوصية

أستخدم TLS 1.2 أو أعلى (ويفضل أن يكون TLS 1.3) مع تشفير قوي.

التكوين: إستخدام بروتوكول gRPC لتعريف عمليات الشبكة بنماذج البيانات

قائمة أوامر التنفيذ غير الآمنة

أوامر النسخ

CLI

RP/0/RP0/CPU0:Router#copy ?
  ftp:            Copy from ftp: file system (Deprecated since 25.4.1)
  tftp:           Copy from tftp: file system (Deprecated since 25.4.1)

RP/0/RP0/CPU0:Router#copy running-config ?
  ftp:       Copy to ftp: file system (Deprecated since 25.4.1)
  tftp:      Copy to tftp: file system (Deprecated since 25.4.1)

انسخ <src as tftp/ftp> <dst as tftp/ftp>
copy running-config <tftp/ftp>

copy <tftp/ftp> running-config

تحذير

rp/0/rp0/cpu0:نوفمبر 26 15:05:57.666 بالتوقيت العالمي: filesys_cli[66940]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : تم إستخدام الميزة 'copy ftp' أو تكوينها. تم إهمال هذه الميزة لأنه من المعروف أنها غير آمنة؛ ستتم إزالتها في إصدار مقبل. أستخدم SFTP أو SCP بدلا من ذلك.

rp/0/rp0/cpu0:نوفمبر 26 15:09:06.181 بالتوقيت العالمي: filesys_cli[67445]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : تم إستخدام الميزة 'copy tftp' أو تكوينها. تم إهمال هذه الميزة لأنه من المعروف أنها غير آمنة؛ ستتم إزالتها في إصدار مقبل. أستخدم SFTP أو SCP بدلا من ذلك.

طراز يانغ

-

التوصية

إستخدام sFTP أو SCP.

التكوين: تنفيذ Secure Shell

أوامر التثبيت

CLI

install source 
install add source 
install replace "

تحذير

-

طراز يانغ

Cisco-IOS-XR-sysadmin-instmgr-oper.yang

التوصية

إستخدام sFTP أو SCP.

التكوين: تنفيذ Secure Shell

أوامر التحميل

CLI

RP/0/RP0/CPU0:Router#configure
RP/0/RP0/CPU0:Router(config)#
RP/0/RP0/CPU0:Router(config)#load ?
  ftp:           Load from ftp: file system (Deprecated since 25.4.1)
  tftp:          Load from tftp: file system (Deprecated since 25.4.1)

RP/0/RP0/CPU0:ROUTER(config)#load script ?
  ftp:       Load from ftp: file system (Deprecated since 25.4.1)
  tftp:      Load from tftp: file system (Deprecated since 25.4.1)

RP/0/RP0/CPU0:ROUTER(config)#load diff ?
  ftp:       Load from ftp: file system (Deprecated since 25.4.1)
  tftp:      Load from tftp: file system (Deprecated since 25.4.1)

RP/0/RP0/CPU0:Router(config)#load diff reverse ?
  ftp:       Load from ftp: file system (Deprecated since 25.4.1)
  tftp:      Load from tftp: file system (Deprecated since 25.4.1)

تحميل <ftp/tftp>

تحميل البرنامج النصي <ftp/tftp>

فرق التحميل <ftp/tftp>

تحميل العكسي diff <ftp/tftp>

تحذير

rp/0/rp0/cpu0:ديسمبر 18 10:58:45.938 بالتوقيت العالمي: config[68291]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : الميزة 'load ftp:' يتم إستخدامه أو تكوينه. تم إهمال هذه الميزة لأنه من المعروف أنها غير آمنة؛ ستتم إزالتها في إصدار مقبل. التحميل عبر FTP: غير آمن ومهين. أستخدم SCP أو SFTP بدلا من ذلك.

rp/0/rp0/cpu0:ديسمبر 18 10:58:51.584 بالتوقيت العالمي: config[68291]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'load tftp:' يستعمل أو يشكل. تم إهمال هذه الميزة لأنه من المعروف أنها غير آمنة؛ ستتم إزالتها في إصدار مقبل. التحميل عبر TFTP: غير آمن ومهين. أستخدم SCP أو SFTP بدلا من ذلك.

RP/0/RP0/CPU0:ديسمبر 18 10:52:11.086 بالتوقيت العالمي: config[67526]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'تحميل برنامج نصي ftp:' يتم إستخدامه أو تكوينه. تم إهمال هذه الميزة لأنه من المعروف أنها غير آمنة؛ ستتم إزالتها في إصدار مقبل. تحميل البرامج النصية عبر FTP: غير آمن ومهين. أستخدم SCP أو SFTP بدلا من ذلك.

RP/0/RP0/CPU0:ديسمبر 18 10:53:38.825 بالتوقيت العالمي: config[68291]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'تحميل البرنامج النصي tftp:' يتم إستخدامه أو تكوينه. تم إهمال هذه الميزة لأنه من المعروف أنها غير آمنة؛ ستتم إزالتها في إصدار مقبل. تحميل البرامج النصية عبر TFTP: غير آمن ومهين. أستخدم SCP أو SFTP بدلا من ذلك.

rp/0/rp0/cpu0:ديسمبر 1808:24:37.414 بالتوقيت العالمي: config[65969]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'load diff ftp:' يستعمل أو يشكل. تم إهمال هذه الميزة لأنه من المعروف أنها غير آمنة؛ ستتم إزالتها في إصدار مقبل. تحميل الاختلافات عبر FTP: غير آمن ومهين. أستخدم SCP أو SFTP بدلا من ذلك.

rp/0/rp0/cpu0:ديسمبر 18 10:55:37.248 بالتوقيت العالمي: config[68291]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'load diff tftp:' يستعمل أو يشكل. تم إهمال هذه الميزة لأنه من المعروف أنها غير آمنة؛ ستتم إزالتها في إصدار مقبل. تحميل الاختلافات عبر TFTP: غير آمن ومهين. أستخدم SCP أو SFTP بدلا من ذلك.

RP/0/RP0/CPU0:ديسمبر 18 10:56:21.806 بالتوقيت العالمي: config[68291]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'تحميل عكسي ftp:' يتم إستخدامه أو تكوينه. تم إهمال هذه الميزة لأنه من المعروف أنها غير آمنة؛ ستتم إزالتها في إصدار مقبل. تحميل الاختلافات عبر FTP: غير آمن ومهين. أستخدم SCP أو SFTP بدلا من ذلك.

RP/0/RP0/CPU0:ديسمبر 18 10:56:12.031 بالتوقيت العالمي: config[68291]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'load diff reverse tftp:' يستعمل أو يشكل. تم إهمال هذه الميزة لأنه من المعروف أنها غير آمنة؛ ستتم إزالتها في إصدار مقبل. تحميل الاختلافات عبر TFTP: غير آمن ومهين. أستخدم SCP أو SFTP بدلا من ذلك.

طراز يانغ

-

التوصية

إستخدام sFTP أو SCP.

التكوين: تنفيذ Secure Shell

أوامر الأداة المساعدة

CLI

utility mv source 
utility mv source  source 

تحذير

RP/0/RP0/CPU0:ديسمبر 18 10:30:22.499 بالتوقيت العالمي: run_utility[68509]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : تم إستخدام ميزة 'utility mv tftp' أو تكوينها. تم إهمال هذه الميزة لأنه من المعروف أنها غير آمنة؛ ستتم إزالتها في إصدار مقبل.

RP/0/RP0/CPU0:Dec 18 10:30:35.803 UTC: run_utility[68549]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : تم إستخدام ميزة 'utility mv ftp' أو تكوينها. تم إهمال هذه الميزة لأنه من المعروف أنها غير آمنة؛ ستتم إزالتها في إصدار مقبل.

طراز يانغ

-

التوصية

إستخدام sFTP أو SCP.

التكوين: تنفيذ Secure Shell

عارضو وعارضات أزياء يانغ

هناك تغييرات كثيرة في نماذج يانغ بحيث لا يمكن وضعها جميعا هنا.

وهذا مثال على التعليقات الواردة في نموذج يانغCisco-IOS-XR-IPV4-ma-cfg.yangfor remove of source routing.

revision "2025-09-01" {
    description
      "Deprecated IPv4 Source Route Configuration.

leaf source-route {
      type boolean;
      default "true";
      status deprecated;
      description
        "The flag for enabling whether to process packets
        with source routing header options (This is
        deprecated since 25.4.1)";

هذا مثال للتعليقات في نموذج YangCisco-IOS-XR-um-ftp-tftp-cfg.yang لإزالة FTP و TFTP.

revision 2025-08-29 {
    description
      "TFTP config commands are deprecated.
       2025-08-20
         FTP config commands are deprecated.";

container ftp {
    status deprecated;
    description
      "Global FTP configuration commands.This is deprecated since 25.4.1.
       SFTP is recommended instead.";
    container client {
      status deprecated;
      description
        "FTP client configuration commands.This is deprecated since 25.4.1.
         SFTP is recommended instead.";

       container ipv4 {
          status "deprecated";
          description
            "Ipv4 (This is deprecated since 25.4.1)";

container ipv6 {
          status "deprecated";
          description
            "Ipv6  (This is deprecated since 25.4.1)";

container tftp-fs {
    status deprecated;
    description
      "Global TFTP configuration commands (This is deprecated since 25.4.1)";
    container client {
      status deprecated;
      description
        "TFTP client configuration commands (This is deprecated since 25.4.1)";
      container vrfs {
        status "deprecated";
        description
          "VRF name for TFTP service (This is deprecated since 25.4.1)";

دليل تقوية IOS XR

يساعد دليل تقوية برنامج Cisco IOS XR مسؤولي الشبكة وممارسي الأمان على تأمين الموجهات المستندة إلى Cisco IOS XR لزيادة وضع الأمان الإجمالي للشبكة.

يكون هذا المستند مهيكل حول المستويات الثلاثة التي يتم من خلالها تصنيف وظائف جهاز الشبكة.

المستويات الوظيفية الثلاثة للموجه هي مستوى الإدارة ومستوى التحكم ومستوى البيانات. يوفر كل منها وظيفة مختلفة يجب حمايتها.

• مستوى الإدارة: يحتوي مستوى الإدارة على المجموعة المنطقية لجميع حركة مرور البيانات التي تدعم وظائف الإمداد والصيانة والمراقبة لجهاز Cisco IOS XR والشبكة. تتضمن حركة المرور في هذه المجموعة طبقة الأمان (SSH)، وبروتوكول النسخ الآمن (SCP)، وبروتوكول إدارة الشبكة البسيط (SNMP)، و syslog، و TACACS+، و RADIUS، و DNS، و NetFlow، وبروتوكول اكتشاف Cisco. يتم دائما توجيه حركة مرور مستوى الإدارة إلى جهاز Cisco IOS XR المحلي.
• مستوى التحكم: يحتوي مستوى التحكم على المجموعة المنطقية لجميع بروتوكولات التوجيه وإرسال الإشارات وحالة الارتباط وبروتوكولات التحكم الأخرى التي يتم إستخدامها لإنشاء حالة الشبكة والواجهات الخاصة بها وصيانتها. ويتضمن ذلك بروتوكول العبارة الحدودية (BGP)، وبروتوكول فتح أقصر مسار أولا (OSPF)، وبروتوكول توزيع التسميات (LDP)، والنظام الوسيط إلى النظام الوسيط (IS-IS)، وبروتوكول وقت الشبكة (NTP)، وبروتوكول تحليل العنوان (ARP)، وحزم keepalive للطبقة 2. يتم دائما توجيه حركة مرور مستوى التحكم إلى جهاز Cisco IOS XR المحلي.
• مستوى البيانات: يحتوي مستوى البيانات على المجموعة المنطقية لحركة مرور التطبيق "العميل" التي تم إنشاؤها بواسطة الأجهزة المضيفة والعملاء والخوادم والتطبيقات التي يتم الحصول عليها من الأجهزة الأخرى المماثلة التي تدعمها الشبكة ويتم توجيهها إليها. تتضمن ميزات مستوى البيانات توجيه مصدر IP، وبث IP الموجه، وعمليات إعادة توجيه ICMP، وجهات ICMP التي يتعذر الوصول إليها، و ARP للوكيل. تتم إعادة توجيه حركة مرور مستوى البيانات بشكل رئيسي في المسار السريع ولا يتم توجيهها أبدا إلى جهاز Cisco IOS XR المحلي.

تكوين مختبر البنية الأساسية المرن

يمكنك إختبار تكوين الموجه لمعرفة ما إذا كان آمنا أم لا باستخدام هذه الأداة التي تعمل لعدة أنظمة تشغيل، بما في ذلك IOS XR: أداة إختبار البنية الأساسية المرنة من Cisco Config. 

السؤال والجواب

1. إذا قمت بتكوين أمر في المرة الثانية أو قمت بتكوين الأمر نفسه مرة أخرى، هل يقوم بتشغيل رسالة تحذير syslog نفسها مرة أخرى؟

ج: م

2. هل يتسبب أمران للتكوين لميزتين مختلفتين في نفس الالتزام في ظهور إنذارين من syslog؟

ج: نعم.

مثال:

rp/0/rp0/cpu0:أكتوبر 17 19:01:48.806 بالتوقيت العالمي: ipV6_io[310]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'مسار مصدر IPv6' التي يتم إستخدامها أو تكوينها. من المعروف أن هذه الميزة غير آمنة، جرب إيقاف إستخدام هذه الميزة. لا تقم بتمكين توجيه مصدر IPv6 بسبب مخاطر الأمان.

rp/0/rp0/cpu0:أكتوبر 17 19:01:48.806 بالتوقيت العالمي: ipV4_ma[254]: ٪INFRA-WARN_INSECURE-4-INSECURE_FEATURE_WARN : ميزة 'مسار مصدر IPv4' التي يتم إستخدامها أو تكوينها. من المعروف أن هذه الميزة غير آمنة، جرب إيقاف إستخدام هذه الميزة. لا تقم بتمكين توجيه مصدر IPv4 بسبب مخاطر الأمان.

3. هل سيؤدي أمر تكوين غير آمن جديد في التزام جديد إلى إصدار تحذير جديد؟

ج: نعم.

4. هل هناك تحذير syslog عند إزالة ميزة غير الآمنة من التكوين؟

ج: نعم

الأمثلة:

rp/0/rp0/cpu0:أكتوبر 18 08:16:24.410 بالتوقيت العالمي: ssh_conf_proxy[1210]: ٪infra-warn_insecure-6-insecure_config_remove : تمت إزالة تكوين الميزة غير الآمنة "خوارزمية DSA الخاصة ب SSH host-key".

rp/0/rp0/cpu0:أكتوبر 22 06:37:21.960 بالتوقيت العالمي: tacacsd[1155]: ٪infra-warn_insecure-6-insecure_config_remove : تمت إزالة تكوين الميزة غير الآمنة 'TACACS+ السرية المشتركة (ترميز النوع 7)'.

rp/0/rp0/cpu0:أكتوبر 22 06:42:21.805 بالتوقيت العالمي: tacacsd[1155]: ٪infra-warn_insecure-6-insecure_config_remove : تمت إزالة تكوين الميزة غير الآمنة 'TACACS+ عبر TCP مع سر مشترك (الوضع الافتراضي).

5. لا ترى برنامج Telnet متوفرا على الموجه الخاص بك.

ج: من الممكن أن تقوم بتشغيل IOS XR7/LNT الذي يحتوي على برنامج Telnet متوفر فقط إذا قمت بتحميل برنامج Telnet RPM الاختياري.

6. لا ترى XR7/LNT لديه خيار sFTP أو SCP للأمر "install source".

ج: لا يدعم XR7/LNT في هذه اللحظة بروتوكول sFTP أو SCP للأمر "install source".

7. هل تنطبق التغييرات بالتساوي على IOS XR EXR و IOS XR7/LNT؟

ج: نعم.

8. كيف يمكنك التحقق مما إذا كان الموجه لديك يعمل بنظام التشغيل IOS XR EXR أو IOS XR7/LNT

ج: أستخدم "show version" وابحث عن "LNT". تعمل موجهات 8000 وبعض متغيرات NCS540 على تشغيل IOS XR XR7/LNT.

مثال:

RP/0/RP0/CPU0:Router#show version
Cisco IOS XR Software, Version 25.2.2 LNT