Configuration de l'accès à distance SD-WAN (SDRA) via des groupes de configuration

Introduction

Ce document décrit comment configurer l'accès à distance SD-WAN (SDRA) en utilisant un groupe de configuration existant. 

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Réseau étendu défini par logiciel (SD-WAN) Cisco
• Infrastructure à clé publique (PKI)
• FlexVPN
• serveur RADIUS

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• C8000V version17.12.03a
•  vManage version 20.12.03a
• Serveur d'autorité de certification (CA) avec protocole SCEP (Simple Certificate Enrollment Protocol) 
• Client AnyConnect Secure Mobility version 4.10.04071

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configurer l'autorité de certification (AC) sur le gestionnaire

Cette section vous guide tout au long de la configuration d'un serveur d'autorité de certification (CA) pour l'inscription automatique basée sur SCEP via le gestionnaire SD-WAN.

Remarque : Les périphériques activés pour l'accès à distance reçoivent un certificat de cette autorité de certification. Les périphériques utilisent le certificat pour s'authentifier auprès des clients d'accès distant.

Étape 1. Accédez à Enterprise CA pour configurer le certificat CA via vManage. Dans l'interface graphique vManage :

Configuration -> Autorité de certification -> Autorité de certification d'entreprise

Remarque : les autres options d'autorité de certification telles que l'autorité de certification d'entreprise sans SCEP, Cisco vManage en tant qu'autorité de certification et Cisco vManage en tant qu'autorité de certification intermédiaire ne sont pas prises en charge pour la fonctionnalité d'autorité de certification SD-WAN

Étape 2. Une fois l’autorité de certification d’entreprise affichée, sélectionnez l’option SCEP.

Étape 3. Copiez et collez le certificat CA dans la zone Root Certificate.

Étape 4. Remplissez les informations relatives à votre serveur AC :

Remarque : Le serveur AC a été placé dans le service VRF 1.  Le serveur AC doit être accessible via le VRF de service pour toutes les têtes de réseau SD-WAN RA.

Étape 5. Cliquez sur Save Certificate Authority pour enregistrer la configuration.

Remarque : les paramètres d'autorité de certification associés sont appliqués une fois que la configuration d'accès à distance est terminée et implémentée sur le périphérique.

Ajouter le profil de fonctionnalités d'accès à distance à un groupe de configuration existant.

Configurez l'accès à distance en modifiant un groupe de configuration existant.

Remarque : SDRA peut être configuré à l'aide du modèle de module complémentaire CLI ou des groupes de configuration. Cependant, il ne prend pas en charge l'utilisation de modèles de fonction.

Activer l'accès distant sur le service VPN

Avertissement : L'activation de l'accès à distance sur un VPN de service est une étape obligatoire. Sans cela, aucune configuration ultérieure des paramètres d'accès à distance (profil/fonction) n'est propagée au périphérique.

Étape 1. À partir de l'interface graphique utilisateur vManage, accédez à Configuration -> Configuration Groups. Cliquez sur les trois points (...) à droite de votre groupe de configuration préexistant et cliquez sur Modifier.

Étape 2. Faites défiler jusqu’à Profil de service : <name>, puis développez la section. Cliquez sur les trois points (...) à droite du profil VPN souhaité et cliquez sur Edit Feature.

Étape 3. 

Activez la case à cocher Enable SD-WAN Remote Access

Étape 4. Cliquez sur Enregistrer.

Configuration de la fonction d'accès distant 

Étape 1. À partir de l'interface utilisateur graphique de vManage, accédez à Configuration->Configuration Groups-> <Config Group Name>. Cliquez sur les trois points (...) à droite et cliquez sur Modifier.

Développez la section System Profile:<Name>. Cliquez sur Ajouter une fonctionnalité et recherchez Accès à distance.

Protocole SDRA

Remarque : SDRA prend en charge IPSec et SSL ; cependant, le guide spécifie l'utilisation d'IPSec pour ces travaux pratiques, tout en notant que la configuration SSL est facultative et suit largement les mêmes étapes.

Configuration du serveur RADIUS

La première partie des configurations est la configuration du serveur Radius lors de la configuration de l'accès distant. Cliquez sur Add Radius Group pour le développer, puis sur Add Radius Group.

Développez la section RADIUS Server, puis cliquez sur Add RADIUS Server.

Complétez la configuration du serveur RADIUS avec l'adresse et la clé IPv4 RADIUS, puis cliquez sur Add comme le montre l'exemple. 

Développez la section RADIUS Group, puis cliquez sur Add RADIUS Group.

Sélectionnez la liste déroulante à gauche de VPN, puis sélectionnez Global.

Ajoutez le serveur RADIUS qui a été précédemment configuré.

Une fois que vous avez configuré le groupe RADIUS comme illustré dans l'image, cliquez sur Add pour enregistrer le groupe RADIUS.

Voici un exemple de configuration RADIUS terminée. Cliquez sur Save.

Remarque : Les têtes de réseau SD-WAN utilisent un serveur RADIUS/EAP pour l'authentification des clients d'accès à distance et pour la gestion de la stratégie par utilisateur. Le serveur RADIUS/EAP doit être accessible à partir de toutes les têtes de réseau SD-WAN RA dans un VPN de service.

Configuration du serveur AC

La section suivante est la configuration du serveur AC, cependant, puisque cette AC a été configurée sur une tâche précédente, elle l'extrait automatiquement. Aucune configuration requise ici.

Configuration d'AnyConnect EAP

La section suivante est laConfiguration EAP AnyConnect, dans ce scénario l'utilisateur est authentifié, par conséquent la case à cocher Authentification de l'utilisateur est l'option sélectionnée (par défaut).

Remarque : si vous souhaitez une double authentification pour l'utilisateur/mot de passe et le certificat client, sélectionnez l'option User & Device Authentication. Cette configuration correspond à la commande CLI : authentication remote anyconnect-eap aggregate cert-request

Configurer la politique AAA

Pour ce guide SDRA, les utilisateurs distants contiennent un domaine de messagerie, par exemple, sdra-user@test.com. Par conséquent, pour y parvenir, sélectionnez l'optionDériver le nom du domaine d'identité homologue.

Dans le champ Policy Password : cisco12345

Paramètres IKEv2 et IPSec

Vous pouvez conserver toutes ces configurations par défaut et cliquer sur Enregistrer.

Associer un périphérique et le déployer

Une fois l'accès à distance configuré, poursuivez le déploiement de la configuration via l'onglet Associated Devices.

Cochez la case du périphérique souhaité et Déployez. 

Cliquez sur Suivant

SélectionnerAperçu CLI

Dans l'écran suivant, sélectionnez Déployer une fois de plus.

Vérifier

Demander des certificats PKI

Une fois le déploiement terminé, vous devez demander le certificat d'ID sur la tête de réseau RA via l'interface de ligne de commande.

1. Connectez-vous à la tête de réseau CLI RA.

2. Vérifiez que la configuration du point de confiance a été déployée avec show run | sec crypto pki trustpoint, commande.

crypto pki trustpoint sdra_trustpoint
enrollment url http://192.168.6.3:80
fingerprint 8F0B275AA454891B706AC5F27610157C4BE4C277
subject-name CN=SDRA-6-10.0.0.6-Spoke4-CG
vrf 1
revocation-check none
rsakeypair sdra_trustpoint 2048
auto-enroll 80
hash sha256

3. Vérifiez si le certificat CA (certificat racine) est installé sur le sdra_trustpoint

show crypto pki cert sdra_trustpoint

4. Si aucun certificat CA n'est associé, procédez à l'authentification auprès du serveur CA

crypto pki authenticate sdra_trustpoint

5. Demandez le certificat d'ID du périphérique de périphérie utilisé pour la connexion d'accès distant (RA)

Remarque : Vérifiez que les deux certificats répertoriés sont installés et correctement associés au sdra_trustpoint pour vous assurer que l'accès à distance fonctionne comme prévu.

crypto pki enroll sdra_trustpoint

Spoke4-CG#show crypto pki cert sdra_trustpoint 
Certificate
  Status: Available
  Certificate Serial Number (hex): 03
  Certificate Usage: General Purpose
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject:
    Name: Spoke4-CG
    hostname=Spoke4-CG
    cn=SDRA-6-10.0.0.6-Spoke4-CG
  Validity Date: 
    start date: 21:22:15 UTC Apr 26 2024
    end   date: 21:22:15 UTC Apr 26 2025
    renew date: 21:22:14 UTC Feb 12 2025
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#3.cer

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject: 
    cn=CA-SERVER-SDRA-CLUS2024
  Validity Date: 
    start date: 22:37:07 UTC Apr 22 2024
    end   date: 22:37:07 UTC Apr 22 2027
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#1CA.cer

Débogages PKI de chiffrement

Si vous rencontrez des problèmes lors de la demande des certificats, activez les commandes debug pour faciliter le dépannage :

       debug crypto pki messages
       debug crypto pki scep
       debug crypto transactions

test.com Cleartext-Password := "cisco12345"
 Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
 Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
 Cisco-AVPair += "ipsec:addr-pool=sdra_ip_pool",
 Cisco-AVPair += "ipsec:route-set=prefix 192.168.6.0/24"

 sdra_sslvpn_policy Cleartext-Password := "cisco"
 Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
 Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
 Cisco-AVPair += "webvpn:addr-pool=sdra_ip_pool"

Informations connexes

• Configuration de l'accès à distance SD-WAN avec AnyConnect et ISE Server
• Assistance et documentation techniques - Cisco Systems