ePub(1.0 MB) iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle)(901.5 KB) Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2024년 8월 29일
문서 ID:222336
편견 없는 언어
본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
이 번역에 관하여
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
참고: SCEP가 없는 엔터프라이즈 CA, CA로서의 Cisco vManage, 중간 CA로서의 Cisco vManage 등의 다른 CA 옵션은 SD-WAN RA 기능에서 지원되지 않습니다
2단계. Enterprise CA가 표시되면 SCEP 옵션을선택합니다.
3단계. CA 인증서를 복사하여 Root Certificate(루트 인증서)상자에 붙여넣습니다.
4단계. CA 서버 정보를 입력합니다.
참고: CA 서버가 서비스 VRF 1에 배치되었습니다. 모든 SD-WAN RA 헤드엔드에 대해 서비스 VRF를 통해 CA 서버에 연결할 수 있어야 합니다.
5단계. Save Certificate Authority(인증서 권한 저장)를 클릭하여 컨피그레이션을 저장합니다.
참고: 원격 액세스 컨피그레이션이 완료되고 디바이스에서 구현되면 관련 CA 설정이 적용됩니다.
기존 컨피그레이션 그룹에 원격 액세스 기능 프로필을 추가합니다.
기존 구성 그룹을 수정하여 원격 액세스를 설정합니다.
참고: SDRA는 CLI 애드온 템플릿 또는 컨피그레이션 그룹을 사용하여 구성할 수 있습니다. 그러나 기능 템플릿 사용은 지원하지 않습니다.
서비스 VPN에서 원격 액세스 사용
경고: 서비스 VPN에서 원격 액세스를 활성화하는 것은 필수 단계입니다. 이를 사용하지 않으면 원격 액세스 매개변수(프로파일/기능)에 대한 후속 컨피그레이션이 디바이스로 전파되지 않습니다.
1단계. vManage GUI에서 Configuration(컨피그레이션) -> ConfigurationGroups(컨피그레이션 그룹)로 이동합니다. 기존 컨피그레이션 그룹의 오른쪽에서 점 3개(...)를 클릭하고 Edit를클릭합니다.
2단계. 아래로 스크롤하여Service Profile:<name>(서비스 프로필:<이름>)을 선택하고 섹션을 확장합니다. 원하는 VPN 프로파일 오른쪽의 점 3개(...)를 클릭하고 Edit Feature(기능 수정)를클릭합니다.
3단계.
EnableSD-WAN RemoteAccess(SD-WAN 원격 액세스 활성화) 확인란을 선택합니다
4단계. 저장을클릭합니다.
원격 액세스 기능 구성
1단계. vManage GUI에서 Configuration(컨피그레이션) ->Configuration Groups(컨피그레이션 그룹)-><Config Group Name(컨피그레이션 그룹 이름)>으로 이동합니다. 오른쪽의 점 3개(...)를 클릭하고 편집(Edit)을 클릭합니다.
System Profile:<Name> 섹션을 펼칩니다. 기능 추가를 클릭하고 원격 액세스를 검색합니다.
SDRA 프로토콜
참고: SDRA는 IPSec과 SSL을 모두 지원합니다. 그러나 이 설명서에서는 이 실습에 IPSec을 사용하도록 지정하지만, SSL 컨피그레이션은 선택 사항이며 대부분 동일한 단계를 따릅니다.
RADIUS 서버 구성
컨피그레이션의 첫 번째 부분은 원격액세스를 구성할 때 Radius 서버 설정입니다. AddRadius Group(RADIUS 그룹 추가)을 클릭하여 확장한 다음Add Radius Group(RADIUS 그룹 추가)을 클릭합니다.
RADIUS Server(RADIUS서버) 섹션을 확장하고 Add RADIUSServer(RADIUS 서버 추가)를 클릭합니다.
RADIUS IPv4 Address and Key(RADIUS IPv4 주소 및 키)로 RADIUS 서버 컨피그레이션을 입력하고 Add(추가)를 클릭합니다(예: ).
RADIUSGroup(RADIUS 그룹) 섹션을 확장하고 Add RADIUSGroup(RADIUS 그룹 추가)을 클릭합니다.
VPN 왼쪽에 있는 드롭다운을 선택하고 Global을 선택합니다.
이전에 구성된 RADIUS 서버를 추가합니다.
그림과 같이 RADIUS 그룹을 구성했으면 Add를 클릭하여RADIUS 그룹을 저장합니다.
완료된 RADIUS 컨피그레이션의 예입니다. 저장을 클릭합니다.
참고: SD-WAN RA 헤드엔드는 원격 액세스 클라이언트 인증 및 사용자별 정책 관리를 위해 RADIUS/EAP 서버를 사용합니다. 서비스 VPN의 모든 SD-WAN RA 헤드엔드에서 RADIUS/EAP 서버에 연결할 수 있어야 합니다.
CA 서버 설정
다음 섹션은CA 서버 설정이지만, 이 CA는 이전 작업에서 구성되었으므로 자동으로 가져옵니다. 여기에는 필수 컨피그레이션이 없습니다.
AnyConnect EAP 설정 구성
다음 섹션은 AnyConnect EAP 설정이며, 이 시나리오에서 사용자는 인증되므로 User Authenticationcheck (사용자 인증) 확인란은 선택된 옵션(기본값)입니다.
참고: 사용자/비밀번호 및 클라이언트 인증서 모두에 대한 이중 인증이 필요한 경우 User & Device Authentication 옵션을 선택합니다. 이 컨피그레이션은 CLI 명령: authentication remote anyconnect-eap aggregate cert-request에 해당합니다
AAA 정책 구성
이 SDRA 가이드의 경우 원격 사용자는 이메일 도메인(예: sdra-user@test.com)을 포함합니다. 따라서 이 작업을 수행하려면 Derive Name from Peer Identity Domain(피어 ID 도메인에서 이름 도출) 옵션을 선택합니다.
Policy Passwordfield:cisco12345
IKEv2 및 IPSec 설정
이 모든 컨피그레이션을 기본값으로 유지하고 저장을 클릭할 수 있습니다.
디바이스 연결 및 구축
원격 액세스가 구성되었으면 Associated Devices(연결된 디바이스) 탭을 통해컨피그레이션을 구축합니다.
원하는 디바이스의 확인란을 선택하고 Deploy(구축)를선택합니다.
다음을 클릭합니다.
SelectPreview CLI
다음 화면에서 한 번 더구축을 선택합니다.
다음을 확인합니다.
PKI 인증서 요청
구축이 완료되면 CLI를 통해 RA 헤드엔드에서 ID 인증서를 요청해야 합니다.
1. CLI RA 헤드엔드에 로그인합니다.
2. show run을 사용하여 신뢰 지점 컨피그레이션이 배포되었는지 확인합니다 | sec crypto pki trustpoint 명령입니다.