컨피그레이션 그룹을 통해 SD-WAN 원격 액세스(SDRA) 구성

다운로드 옵션

  • ePub     (1.0 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (901.5 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2024년 8월 29일
문서 ID:222336

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 기존 컨피그레이션 그룹을 사용하여 SDRA(SD-WAN Remote Access)를 구성하는 방법에 대해 설명합니다. 

    사전 요구 사항

    요구 사항

    다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

    • Cisco SD-WAN(소프트웨어 정의 WAN)
    • PKI(공개 키 인프라)
    • FlexVPN
    • RADIUS 서버

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

    • C8000V 버전 17.12.03a
    •  vManage 버전 20.12.03a
    • SCEP(Simple Certificate Enrollment Protocol)를 사용하는 CA(Certificate Authority) 서버 
    • AnyConnect Secure Mobility Client 버전 4.10.04071

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    Manager에서 CA(Certificate Authority) 구성

    이 섹션에서는 SD-WAN Manager를 통한 SCEP 기반 자동 등록을 위한 CA(Certificate Authority) 서버 컨피그레이션을 안내합니다.

    참고: 원격 액세스가 활성화된 디바이스는 이 인증 기관으로부터 인증서를 받습니다. 디바이스는 인증서를 사용하여 원격 액세스 클라이언트를 인증합니다.

    1단계. vManage를 통해 CA 인증서를 구성하려면 Enterprise CA로 이동합니다. vManage GUI에서:

    구성 -> 인증 기관 -> 엔터프라이즈 CA

    Note

    Certificate Authority

    참고: SCEP가 없는 엔터프라이즈 CA, CA로서의 Cisco vManage, 중간 CA로서의 Cisco vManage 등의 다른 CA 옵션은 SD-WAN RA 기능에서 지원되지 않습니다

    2단계. Enterprise CA가 표시되면 SCEP 옵션을 선택합니다.

    Certificate enrollment

    3단계. CA 인증서를 복사하여 Root Certificate(루트 인증서) 상자에 붙여넣습니다.

    4단계. CA 서버 정보를 입력합니다.

    Proxy Certificate Authority

    참고: CA 서버가 서비스 VRF 1에 배치되었습니다.  모든 SD-WAN RA 헤드엔드에 대해 서비스 VRF를 통해 CA 서버에 연결할 수 있어야 합니다.

    5단계. Save Certificate Authority(인증서 권한 저장)를 클릭하여 컨피그레이션을 저장합니다.

    참고: 원격 액세스 컨피그레이션이 완료되고 디바이스에서 구현되면 관련 CA 설정이 적용됩니다.

    기존 컨피그레이션 그룹에 원격 액세스 기능 프로필을 추가합니다.

    기존 구성 그룹을 수정하여 원격 액세스를 설정합니다.

    참고: SDRA는 CLI 애드온 템플릿 또는 컨피그레이션 그룹을 사용하여 구성할 수 있습니다. 그러나 기능 템플릿 사용은 지원하지 않습니다.

    서비스 VPN에서 원격 액세스 사용

    warning-icon

    경고: 서비스 VPN에서 원격 액세스를 활성화하는 것은 필수 단계입니다. 이를 사용하지 않으면 원격 액세스 매개변수(프로파일/기능)에 대한 후속 컨피그레이션이 디바이스로 전파되지 않습니다.

    1단계. vManage GUI에서 Configuration(컨피그레이션) -> Configuration Groups(컨피그레이션 그룹)로 이동합니다. 기존 컨피그레이션 그룹의 오른쪽에서 점 3개(...) 클릭하고 Edit를 클릭합니다.

    Configuration Groups

    2단계. 아래로 스크롤하여 Service Profile:<name>(서비스 프로필:<이름>)을 선택하고 섹션을 확장합니다. 원하는 VPN 프로파일 오른쪽의 점 3개(...)를 클릭하고 Edit Feature(기능 수정)를 클릭합니다.

    Configuration Groups 2

    3단계. 

    Enable SD-WAN Remote Access(SD-WAN 원격 액세스 활성화) 확인란을 선택합니다

    Edit Service VPN Feature

    4단계. 저장 클릭합니다.

    원격 액세스 기능 구성 

    1단계. vManage GUI에서 Configuration(컨피그레이션) ->Configuration Groups(컨피그레이션 그룹)-><Config Group Name(컨피그레이션 그룹 이름)>으로 이동합니다. 오른쪽의 점 3개(...)를 클릭하고 편집(Edit)을 클릭합니다.

    System Profile:<Name> 섹션을 펼칩니다. 기능 추가를 클릭하고 원격 액세스를 검색합니다.

    Add Feature

    SDRA 프로토콜

    note-icon

    참고: SDRA는 IPSec과 SSL을 모두 지원합니다. 그러나 이 설명서에서는 이 실습에 IPSec을 사용하도록 지정하지만, SSL 컨피그레이션은 선택 사항이며 대부분 동일한 단계를 따릅니다.

    RADIUS 서버 구성

    컨피그레이션의 첫 번째 부분은 원격 액세스를 구성할 때 Radius 서버 설정입니다. Add Radius Group(RADIUS 그룹 추가)을 클릭하여 확장한 다음 Add Radius Group(RADIUS 그룹 추가) 클릭합니다.

    Add Radius Group

    RADIUS Server(RADIUS 서버) 섹션을 확장하고 Add RADIUS Server(RADIUS 서버 추가)를 클릭합니다.

    RADIUS IPv4 Address and Key(RADIUS IPv4 주소 및 키)로 RADIUS 서버 컨피그레이션을 입력하고 Add(추가)를 클릭합니다(예: ). 

    Add Radius Server

    RADIUS Group(RADIUS 그룹) 섹션을 확장하고 Add RADIUS Group(RADIUS 그룹 추가)을 클릭합니다.

    Edit AAA Features

    VPN 왼쪽에 있는 드롭다운을 선택하고 Global을 선택합니다.

    이전에 구성된 RADIUS 서버를 추가합니다.

    그림과 같이 RADIUS 그룹을 구성했으면 Add를 클릭하여 RADIUS 그룹을 저장합니다.

    Add Radius Group

    완료된 RADIUS 컨피그레이션의 예입니다. 저장을 클릭합니다.

    Edit AAA Feature

    note-icon

    참고: SD-WAN RA 헤드엔드는 원격 액세스 클라이언트 인증 및 사용자별 정책 관리를 위해 RADIUS/EAP 서버를 사용합니다. 서비스 VPN의 모든 SD-WAN RA 헤드엔드에서 RADIUS/EAP 서버에 연결할 수 있어야 합니다.

    CA 서버 설정

    다음 섹션은 CA 서버 설정이지만, 이 CA는 이전 작업에서 구성되었으므로 자동으로 가져옵니다. 여기에는 필수 컨피그레이션이 없습니다.

    Add Feature 2

    AnyConnect EAP 설정 구성

    다음 섹션은 AnyConnect EAP 설정이며, 이 시나리오에서 사용자는 인증되므로 User Authenticationcheck (사용자 인증) 확인란은 선택된 옵션(기본값)입니다.

    Any Connect EAP Setup

    참고: 사용자/비밀번호 및 클라이언트 인증서 모두에 대한 이중 인증이 필요한 경우 User & Device Authentication 옵션을 선택합니다. 이 컨피그레이션은 CLI 명령: authentication remote anyconnect-eap aggregate cert-request에 해당합니다

    AAA 정책 구성

    이 SDRA 가이드의 경우 원격 사용자는 이메일 도메인(예: sdra-user@test.com)을 포함합니다. 따라서 이 작업을 수행하려면 Derive Name from Peer Identity Domain(피어 ID 도메인에서 이름 도출) 옵션을 선택합니다.

    Policy Passwordfield:cisco12345

    Edit Remote Access Feature

    IKEv2 및 IPSec 설정

    이 모든 컨피그레이션을 기본값으로 유지하고 저장을 클릭할 수 있습니다.

    디바이스 연결 및 구축

    원격 액세스가 구성되었으면 Associated Devices(연결된 디바이스) 탭을 통해 컨피그레이션을 구축합니다.

    Associated Devices

    원하는 디바이스의 확인란을 선택하고 Deploy(구축)를 선택합니다. 

    다음을 클릭합니다.

    SelectPreview CLI

    Summary

    다음 화면에서 한 번 더 구축을 선택합니다.

    다음을 확인합니다.

    PKI 인증서 요청

    구축이 완료되면 CLI를 통해 RA 헤드엔드에서 ID 인증서를 요청해야 합니다.

    1. CLI RA 헤드엔드에 로그인합니다.

    2. show run을 사용하여 신뢰 지점 컨피그레이션이 배포되었는지 확인합니다 | sec crypto pki trustpoint 명령입니다.

    crypto pki trustpoint sdra_trustpoint
enrollment url http://192.168.6.3:80
fingerprint 8F0B275AA454891B706AC5F27610157C4BE4C277
subject-name CN=SDRA-6-10.0.0.6-Spoke4-CG
vrf 1
revocation-check none
rsakeypair sdra_trustpoint 2048
auto-enroll 80
hash sha256

    3. CA 인증서(루트 인증서)가 sdra_trustpoint에 설치되어 있는지 확인합니다

    show crypto pki cert sdra_trustpoint

    4. 연결된 CA 인증서가 없으면 CA 서버 인증을 진행합니다

    crypto pki authenticate sdra_trustpoint

    5. 원격 액세스(RA) 연결에 사용되는 에지 장치의 ID 인증서를 요청합니다.

    note-icon

    참고: 원격 액세스가 의도한 대로 작동하는지 확인하려면 나열된 두 인증서가 설치되어 있고 sdra_trustpoint와 올바르게 연결되어 있는지 확인하십시오.

    crypto pki enroll sdra_trustpoint
    Spoke4-CG#show crypto pki cert sdra_trustpoint 
Certificate
  Status: Available
  Certificate Serial Number (hex): 03
  Certificate Usage: General Purpose
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject:
    Name: Spoke4-CG
    hostname=Spoke4-CG
    cn=SDRA-6-10.0.0.6-Spoke4-CG
  Validity Date: 
    start date: 21:22:15 UTC Apr 26 2024
    end   date: 21:22:15 UTC Apr 26 2025
    renew date: 21:22:14 UTC Feb 12 2025
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#3.cer

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject: 
    cn=CA-SERVER-SDRA-CLUS2024
  Validity Date: 
    start date: 22:37:07 UTC Apr 22 2024
    end   date: 22:37:07 UTC Apr 22 2027
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#1CA.cer

    암호화 PKI 디버깅

    인증서를 요청하는 동안 문제 발생하면 debug 명령을 활성화하여 트러블슈팅을 지원하십시오.

           debug crypto pki messages
       debug crypto pki scep
       debug crypto transactions

    참조: RADIUS 특성

    원격 액세스 사용자에 해당하는 Cisco AV(attribute-value) Pair 특성으로 RADIUS 서버를 구성해야 합니다.

    다음은 FreeRADIUS 사용자 컨피그레이션의 예입니다. 

    IPSec Cisco AV 쌍 특성:
    test.com Cleartext-Password := "cisco12345"
     Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
     Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
     Cisco-AVPair += "ipsec:addr-pool=sdra_ip_pool",
     Cisco-AVPair += "ipsec:route-set=prefix 192.168.6.0/24"
     SSL Cisco AV 쌍 특성:
     sdra_sslvpn_policy Cleartext-Password := "cisco"
     Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
     Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
     Cisco-AVPair += "webvpn:addr-pool=sdra_ip_pool"

    관련 정보

    개정 이력

    개정 게시 날짜 의견
    1.0
    29-Aug-2024
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 아만다 나바
      SD-WAN 기술 리더

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의