Exemple de configuration d'une connexion de téléphone VPN AnyConnect à un routeur Cisco IOS

Introduction

Ce document décrit comment configurer le routeur Cisco IOS^® et les périphériques Call Manager afin que les téléphones IP Cisco puissent établir des connexions VPN au routeur Cisco IOS. Ces connexions VPN sont nécessaires afin de sécuriser la communication avec l'une de ces deux méthodes d'authentification client :

• Serveur AAA (Authentication, Authorization, and Accounting) ou base de données locale
• Certificat téléphonique

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Cisco IOS 15.1(2)T ou version ultérieure
• Jeu de fonctionnalités/Licence : Universelle (données, sécurité et communications unifiées) pour Cisco IOS Integrated Service Router (ISR)-G2
• Jeu de fonctionnalités/Licence : Sécurité avancée pour Cisco IOS ISR
• Cisco Unified Communications Manager (CUCM) version 8.0.1.100000-4 ou ultérieure
• Téléphone IP version 9.0(2)SR1S - Skinny Call Control Protocol (SCCP) ou ultérieure

Pour obtenir la liste complète des téléphones pris en charge dans votre version de CUCM, procédez comme suit :

1. Ouvrir cette URL : https://<Adresse IP du serveur CUCM>:8443/cucreports/systemReports.do
2. Choisissez Unified CM Phone Feature List > Generate a new report > Feature : Réseau privé virtuel.

Les versions utilisées dans cet exemple de configuration sont les suivantes :

• Routeur Cisco IOS version 15.1(4)M4
• Call Manager version 8.5.1.10000-26
• Téléphone IP version 9.1(1)SR1S

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command. 

Configurer

Cette section couvre les informations nécessaires pour configurer les fonctionnalités décrites dans ce document.

Remarque : Utilisez l'Outil de recherche de commande (clients inscrits seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Topologie du réseau

La topologie utilisée dans ce document inclut un téléphone IP Cisco, le routeur Cisco IOS comme passerelle VPN SSL (Secure Sockets Layer) et CUCM comme passerelle vocale.

Configuration du serveur VPN SSL

Cette section décrit comment configurer la tête de réseau Cisco IOS afin d'autoriser les connexions VPN SSL entrantes.

Étapes de configuration courantes

1. Générez la clé Rivest-Shamir-Adleman (RSA) d'une longueur de 1 024 octets :
   
   

   Router(config)#crypto key generate rsa general-keys label SSL modulus 1024 

2. Créez le point de confiance pour le certificat auto-signé et joignez la clé RSA SSL :
   
   

   Router(config)#crypto pki trustpoint server-certificate
    enrollment selfsigned
    usage ssl-server
    serial-number
    subject-name CN=10.198.16.144
    revocation-check none
    rsakeypair SSL

3. Une fois le point de confiance configuré, inscrivez le certificat auto-signé avec cette commande :
   
   

   Router(config)#crypto pki enroll server-certificate
   % Include an IP address in the subject name? [no]: no
   Generate Self Signed Router Certificate? [yes/no]: yes
   
   Router Self Signed Certificate successfully created

4. Activez le package AnyConnect approprié sur la tête de réseau. Le téléphone lui-même ne télécharge pas ce package. Mais, sans le package, le tunnel VPN ne s'établit pas. Il est recommandé d'utiliser la dernière version du logiciel client disponible sur Cisco.com. Cet exemple utilise la version 3.1.3103.
   
   Dans les versions antérieures de Cisco IOS, il s'agit de la commande permettant d'activer le package :
   

   Router(config)#webvpn install svc flash:anyconnect-win-3.1.03103-k9.pkg

   
   Cependant, dans la dernière version de Cisco IOS, voici la commande :
   

   Router(config)#crypto vpn anyconnect flash:/webvpn/anyconnect-win-
   3.1.03103-k9.pkg sequence 1

5. Configurez la passerelle VPN. La passerelle WebVPN est utilisée afin de mettre fin à la connexion SSL de l'utilisateur.
   

   webvpn gateway SSL 
   ip address 10.198.16.144 port 443 
    ssl encryption 3des-sha1 aes-sha1
    http-redirect port 80 
    ssl trustpoint server-certificate 
    inservice

   
   

   Remarque : Soit l'adresse IP utilisée ici doit se trouver sur le même sous-réseau que l'interface à laquelle les téléphones se connectent, soit la passerelle doit provenir directement d'une interface sur le routeur. La passerelle est également utilisée afin de définir quel certificat est utilisé par le routeur afin de se valider auprès du client.

6. Définissez le pool local utilisé afin d'attribuer des adresses IP aux clients lorsqu'ils se connectent :
   

   ip local pool ap_phonevpn 192.168.100.1 192.168.100.254

Configuration avec authentification AAA

Cette section décrit les commandes dont vous avez besoin pour configurer le serveur AAA ou la base de données locale afin d'authentifier vos téléphones. Si vous prévoyez d'utiliser l'authentification par certificat uniquement pour les téléphones, passez à la section suivante.

Configuration de la base de données utilisateur

La base de données locale du routeur ou un serveur AAA externe peut être utilisé pour l'authentification :

• Afin de configurer la base de données locale, entrez :
  

  aaa new-model
  aaa authentication login SSL local 
  username phones password 0 phones

• Afin de configurer un serveur RADIUS AAA distant pour l'authentification, entrez :
  

  aaa new-model
  aaa authentication login SSL group radius
  radius-server host 192.168.100.200 auth-port 1812 acct-port 1813
  radius-server key cisco 

Configurer le contexte virtuel et la stratégie de groupe

Le contexte virtuel est utilisé afin de définir les attributs qui régissent la connexion VPN, tels que :

• Quelle URL utiliser lorsque vous vous connectez
• Quel pool utiliser pour attribuer les adresses client ?
• Quelle méthode d'authentification utiliser ?

Ces commandes sont un exemple de contexte qui utilise l'authentification AAA pour le client : 

webvpn context SSL
 aaa authenticate list SSL
 gateway SSL domain SSLPhones
 !
 ssl authenticate verify all
 inservice
 !
 policy group phones
  functions svc-enabled
  svc address-pool "ap_phonevpn" netmask 255.255.255.0
  svc keep-client-installed
 default-group-policy phones

Configuration avec le certificat LSC (Locally Significative Certificate) du téléphone IP pour l'authentification du client

Cette section décrit les commandes dont vous avez besoin pour configurer l'authentification client basée sur certificat pour les téléphones. Toutefois, pour ce faire, vous devez connaître les différents types de certificats téléphoniques :

• Certificat installé par le fabricant (MIC) : les MIC sont inclus sur tous les téléphones IP Cisco 7941, 7961 et modèles plus récents. Les MIC sont des certificats de clé de 2 048 bits qui sont signés par l'autorité de certification Cisco (CA). Pour que CUCM puisse faire confiance au certificat MIC, il utilise les certificats d'autorité de certification préinstallés CAP-RTP-001, CAP-RTP-002 et Cisco_Manufacturing_CA dans son magasin de certificats de confiance. Comme ce certificat est fourni par le fabricant lui-même, comme indiqué dans son nom, il n'est pas recommandé d'utiliser ce certificat pour l'authentification du client.
• LSC : le LSC sécurise la connexion entre CUCM et le téléphone après que vous ayez configuré le mode de sécurité du périphérique pour l'authentification ou le chiffrement. Le LSC possède la clé publique du téléphone IP Cisco, qui est signée par la clé privée CAPF (Certificate Authority Proxy Function) de CUCM. Il s'agit de la méthode la plus sécurisée (par opposition à l'utilisation de cartes MIC).
  

  Mise en garde : En raison du risque accru pour la sécurité, Cisco recommande l'utilisation de MIC uniquement pour l'installation de LSC et non pour une utilisation continue. Les clients qui configurent des téléphones IP Cisco afin d'utiliser des cartes MIC pour l'authentification TLS (Transport Layer Security), ou à toute autre fin, le font à leurs propres risques.

Dans cet exemple de configuration, le LSC est utilisé afin d'authentifier les téléphones.

Conseil : Le moyen le plus sûr de connecter votre téléphone est d'utiliser une double authentification, qui combine le certificat et l'authentification AAA. Vous pouvez configurer cela si vous combinez les commandes utilisées pour chaque sous un contexte virtuel.

Configurer le point de confiance afin de valider le certificat client

Le routeur doit disposer du certificat CAPF installé afin de valider le LSC à partir du téléphone IP. Pour obtenir ce certificat et l'installer sur le routeur, procédez comme suit :

1. Accédez à la page Web d'administration du système d'exploitation CUCM. 
2. Choisissez Security > Certificate Management.
   

   Remarque : Cet emplacement peut changer en fonction de la version de CUCM.

3. Recherchez le certificat intitulé CAPF, et téléchargez le fichier .pem. Enregistrez-le en tant que fichier .txt
4. Une fois le certificat extrait, créez un nouveau point de confiance sur le routeur et authentifiez-le avec le protocole CAPF, comme illustré ici. Lorsque vous êtes invité à saisir le certificat CA codé en base 64, sélectionnez et collez le texte dans le fichier .pem téléchargé, ainsi que les lignes BEGIN et END.

   Router(config)#crypto pki trustpoint CAPF
    enrollment terminal
    authorization username subjectname commonname
    revocation-check none
   Router(config)#crypto pki authenticate CAPF 
   Router(config)#
   
       
   
    quit

Points à noter :

• La méthode d'inscription est « terminal » car le certificat doit être installé manuellement sur le routeur.
• La commande authorization username est requise afin d'indiquer au routeur ce qu'il doit utiliser comme nom d'utilisateur lorsque le client établit la connexion. Dans ce cas, il utilise le nom commun (CN).
• Une vérification de révocation doit être désactivée, car aucune liste de révocation de certificats (CRL) n'est définie pour les certificats de téléphone. Ainsi, à moins qu'elle ne soit désactivée, la connexion échoue et les débogages PKI (Public Key Infrastructure) affichent ce résultat :
  

  Jun 17 21:49:46.695: CRYPTO_PKI: (A0076) Starting CRL revocation check
  Jun 17 21:49:46.695: CRYPTO_PKI: Matching CRL not found
  Jun 17 21:49:46.695: CRYPTO_PKI: (A0076) CDP does not exist. Use SCEP to 
  query CRL.
  Jun 17 21:49:46.695: CRYPTO_PKI: pki request queued properly
  Jun 17 21:49:46.695: CRYPTO_PKI: Revocation check is complete, 0
  Jun 17 21:49:46.695: CRYPTO_PKI: Revocation status = 3
  Jun 17 21:49:46.695: CRYPTO_PKI: status = 0: poll CRL
  Jun 17 21:49:46.695: CRYPTO_PKI: Remove session revocation service providers
  CRYPTO_PKI: Bypassing SCEP capabilies request 0
  Jun 17 21:49:46.695: CRYPTO_PKI: status = 0: failed to create GetCRL
  Jun 17 21:49:46.695: CRYPTO_PKI: enrollment url not configured
  Jun 17 21:49:46.695: CRYPTO_PKI: transaction GetCRL completed
  Jun 17 21:49:46.695: CRYPTO_PKI: status = 106: Blocking chain verification 
  callback received status
  Jun 17 21:49:46.695: CRYPTO_PKI: (A0076) Certificate validation failed

Configurer le contexte virtuel et la stratégie de groupe

Cette partie de la configuration est similaire à la configuration utilisée précédemment, à l'exception de deux points :

• La méthode d'authentification
• Point de confiance utilisé par le contexte pour authentifier les téléphones

 Les commandes sont présentées ici :

webvpn context SSL
 gateway SSL domain SSLPhones
 authentication certificate
 ca trustpoint CAPF
 !
 ssl authenticate verify all
 inservice
 !
 policy group phones
 functions svc-enabled
 svc address-pool "ap_phonevpn" netmask 255.255.255.0
 svc keep-client-installed
 default-group-policy phones

Configuration du gestionnaire d'appels

Cette section décrit les étapes de configuration de Call Manager.

Exporter le certificat d'identité ou auto-signé du routeur vers CUCM

Afin d'exporter le certificat à partir du routeur et d'importer le certificat dans Call Manager en tant que certificat Phone-VPN-Trust, complétez ces étapes :

1. Vérifiez le certificat utilisé pour SSL.
   

   Router#show webvpn gateway SSL
   SSL Trustpoint: server-certificate

2. Exportez le certificat.
   

   Router(config)#crypto pki export server-certificate pem terminal
   The Privacy Enhanced Mail (PEM) encoded identity certificate follows:
   -----BEGIN CERTIFICATE-----
   
   <output removed>
   
   -----END CERTIFICATE-----

3. Copiez le texte du terminal et enregistrez-le dans un fichier .pem.
4. Connectez-vous à Call Manager, et choisissez Unified OS Administration > Security > Certificate Management > Upload Certificate > Select Phone-VPN-trust afin de télécharger le fichier de certificat enregistré à l'étape précédente.

Configurer la passerelle, le groupe et le profil VPN dans CUCM

1. Accédez à Cisco Unified CM Administration.
2. Dans la barre de menus, choisissez Advanced Features > VPN > VPN Gateway.
   

   

3. Dans la fenêtre VPN Gateway Configuration, procédez comme suit :
   
   • Dans le champ VPN Gateway Name, saisissez un nom. Ce nom peut être n'importe quel nom.
   • Dans le champ VPN Gateway Description, saisissez une description (facultatif).
   • Dans le champ VPN Gateway URL, saisissez l'URL de groupe définie sur le routeur.
   • Dans le champ VPN Certificates in this Location, sélectionnez le certificat qui a été téléchargé vers Call Manager précédemment afin de le déplacer du magasin de confiance vers cet emplacement.

   

4. Dans la barre de menus, choisissez Advanced Features > VPN > VPN Group.
   

   

5. Dans le champ Toutes les passerelles VPN disponibles, sélectionnez la passerelle VPN précédemment définie. Cliquez sur la flèche vers le bas afin de déplacer la passerelle sélectionnée vers les passerelles VPN sélectionnées dans ce champ VPN Group.
   

   

6. Dans la barre de menus, choisissez Advanced Features > VPN > VPN Profile.
   

   

7. Afin de configurer le profil VPN, renseignez tous les champs marqués d'un astérisque (*).
   

   

   
   
   • Activer la détection automatique du réseau : Si cette option est activée, le téléphone VPN envoie une requête ping au serveur TFTP. Si aucune réponse n'est reçue, il initie automatiquement une connexion VPN.
   • Activer la vérification des ID d'hôte : Si cette option est activée, le téléphone VPN compare le nom de domaine complet (FQDN) de l'URL de la passerelle VPN au réseau CN/SAN du certificat. Le client ne parvient pas à se connecter si ces éléments ne correspondent pas ou si un certificat générique avec un astérisque (*) est utilisé.
   • Activer la persistance du mot de passe : Cela permet au téléphone VPN de mettre en cache le nom d'utilisateur et le mot de passe pour la prochaine tentative VPN.

Appliquer le groupe et le profil au téléphone IP avec le profil téléphonique commun

Dans la fenêtre Common Phone Profile Configuration, cliquez sur Apply Config afin d'appliquer la nouvelle configuration VPN. Vous pouvez utiliser le profil téléphonique commun standard ou en créer un nouveau.

Application du profil de téléphone commun au téléphone IP

Si vous avez créé un nouveau profil pour des téléphones/utilisateurs spécifiques, accédez à la fenêtre Configuration du téléphone. Dans le champ Profil téléphonique commun, sélectionnez le profil téléphonique commun standard.

Installer les certificats LSC (Locally Significative Certificates) sur les téléphones IP Cisco

Le guide suivant peut être utilisé pour installer des certificats importants localement sur des téléphones IP Cisco.  Cette étape n'est nécessaire que si l'authentification utilisant le LSC est utilisée.  L'authentification à l'aide du certificat installé par le fabricant (MIC) ou du nom d'utilisateur et du mot de passe ne nécessite pas l'installation d'un LSC.

Installez un LSC sur un téléphone avec le mode de sécurité du cluster CUCM défini sur Non-Secure.

Enregistrez à nouveau le téléphone auprès de Call Manager afin de télécharger la nouvelle configuration

 Il s'agit de la dernière étape du processus de configuration. 

Vérifier

Vérification du routeur

Afin de vérifier les statistiques de la session VPN dans le routeur, vous pouvez utiliser ces commandes, et vérifier les différences entre les sorties (mises en surbrillance) pour le nom d'utilisateur et l'authentification de certificat :

Pour l'authentification par nom d'utilisateur/mot de passe :

Router#show webvpn session user phones context SSL
Session Type      : Full Tunnel
Client User-Agent : Cisco SVC IPPhone Client v1.0 (1.0)

Username          : phones               Num Connection : 1
Public IP         : 172.16.250.34        VRF Name       : None
Context           : SSL                  Policy Group   : SSLPhones
Last-Used         : 00:00:29             Created        : 15:40:21.503 GMT 
Fri Mar 1 2013
Session Timeout   : Disabled             Idle Timeout   : 2100
DPD GW Timeout    : 300                  DPD CL Timeout : 300
Address Pool      : SSL                  MTU Size       : 1290
Rekey Time        : 3600                 Rekey Method   :
Lease Duration    : 43200
Tunnel IP         : 10.10.10.1           Netmask        : 255.255.255.0
Rx IP Packets     : 106                  Tx IP Packets  : 145
CSTP Started      : 00:11:15             Last-Received  : 00:00:29
CSTP DPD-Req sent : 0                    Virtual Access : 1
Msie-ProxyServer  : None                 Msie-PxyPolicy : Disabled
Msie-Exception    :
Client Ports      : 51534
DTLS Port         : 52768
Router#

Router#show webvpn session context all
WebVPN context name: SSL
Client_Login_Name  Client_IP_Address  No_of_Connections  Created  Last_Used
phones             172.16.250.34              1         00:30:38  00:00:20

Pour l'authentification de certificat :

Router#show webvpn session user SEP8CB64F578B2C context all
Session Type      : Full Tunnel
Client User-Agent : Cisco SVC IPPhone Client v1.0 (1.0)

Username          : SEP8CB64F578B2C      Num Connection : 1
Public IP         : 172.16.250.34        VRF Name       : None                 
CA Trustpoint  : CAPF
Context           : SSL                  Policy Group   :
Last-Used         : 00:00:08             Created        : 13:09:49.302 GMT 
Sat Mar 2 2013
Session Timeout   : Disabled             Idle Timeout   : 2100
DPD GW Timeout    : 300                  DPD CL Timeout : 300
Address Pool      : SSL                  MTU Size       : 1290
Rekey Time        : 3600                 Rekey Method   :
Lease Duration    : 43200
Tunnel IP         : 10.10.10.2           Netmask        : 255.255.255.0
Rx IP Packets     : 152                  Tx IP Packets  : 156
CSTP Started      : 00:06:44             Last-Received  : 00:00:08
CSTP DPD-Req sent : 0                    Virtual Access : 1
Msie-ProxyServer  : None                 Msie-PxyPolicy : Disabled
Msie-Exception    :
Client Ports      : 50122
DTLS Port         : 52932


Router#show webvpn session context all
WebVPN context name: SSL
Client_Login_Name  Client_IP_Address  No_of_Connections  Created  Last_Used
SEP8CB64F578B2C    172.16.250.34              1         3d04h     00:00:16 

Vérification CUCM

Vérifiez que le téléphone IP est enregistré auprès du Call Manager avec l'adresse attribuée par le routeur à la connexion SSL.

Dépannage

Débogages sur le serveur VPN SSL

Router#show debug

WebVPN Subsystem:
 WebVPN (verbose) debugging is on
 WebVPN HTTP debugging is on
 WebVPN AAA debugging is on
 WebVPN tunnel debugging is on
 WebVPN Tunnel Events debugging is on
 WebVPN Tunnel Errors debugging is on
 Webvpn Tunnel Packets debugging is on


PKI:
 Crypto PKI Msg debugging is on
 Crypto PKI Trans debugging is on
 Crypto PKI Validation Path debugging is on

Débogages à partir du téléphone

1. Accédez à Device > Phone depuis CUCM.
2. Sur la page de configuration du périphérique, définissez l'accès Web sur Activé.
3. Cliquez sur Save, puis sur Apply Config.
   

   

4. Dans un navigateur, entrez l'adresse IP du téléphone et choisissez Console Logs dans le menu de gauche.
   

   

5. Téléchargez tous les fichiers /FS/cache/log*.log. Les fichiers journaux de la console contiennent des informations sur la raison pour laquelle le téléphone ne parvient pas à se connecter au VPN.

Bogues associés

ID de bogue Cisco CSCty46387 , IOS SSLVPN : Amélioration pour qu'un contexte soit défini par défaut
ID de bogue Cisco CSCty46436 , IOS SSLVPN : Amélioration du comportement de validation des certificats clients