AnyConnect VPN-telefoonverbinding met een Cisco IOS-routerconfiguratievoorbeeld

Inleiding

Dit document beschrijft hoe de Cisco IOS^® router- en Call Manager-apparaten moeten worden geconfigureerd zodat Cisco IP-telefoons VPN-verbindingen met de Cisco IOS-router kunnen maken. Deze VPN-verbindingen zijn nodig om de communicatie met een van deze twee methoden voor clientverificatie te beveiligen:

• Verificatie-, autorisatie- en accounting (AAA) server of lokale database
• Telefooncertificaat

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende hardware- en softwareversies:

• Cisco IOS 15.1(2)T of hoger
• Functieset/licentie: Universal (Data & Security & UC) voor Cisco IOS geïntegreerde services router (ISR)-G2
• Functieset/licentie: Geavanceerde beveiliging voor Cisco IOS ISR
• Cisco Unified Communications Manager (CUCM) release 8.0.1.100000-4 of hoger
• IP-telefoonrelease 9.0(2)SR1S - Skinny Call Control Protocol (SCCP) of hoger

Voor een volledige lijst van ondersteunde telefoons in uw CUCM-versie, voltooi deze stappen:

1. Open deze URL: https://<CUCM Server IP-adres>:8443/cucreports/systemReports.do
2. Kies Unified CM Phone Functielijst > Een nieuw rapport genereren > Functie: Virtual Private Network.

De releases die in dit configuratievoorbeeld worden gebruikt, omvatten:

• Cisco IOS-softwarerelease 15.1(4)M4
• Call Manager release 8.5.1.10000-26
• IP-telefoonrelease 9.1(1)SR1S

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen. 

Configureren

In dit gedeelte wordt informatie besproken die nodig is om de in dit document beschreven functies te kunnen configureren.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde gebruikers) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

Netwerktopologie

De topologie die in dit document wordt gebruikt, omvat één Cisco IP-telefoon, de Cisco IOS-router als de Secure Sockets Layer (SSL) VPN-gateway en CUCM als de spraakgateway.

Configuratie van SSL VPN-server

In deze sectie wordt beschreven hoe u de Cisco IOS head-end kunt configureren om inkomende SSL VPN-verbindingen toe te staan.

Gemeenschappelijke configuratiestappen

1. Genereer de Rivest-Shamir-Adleman (RSA) Key met een lengte van 1024 bytes:
   
   

   Router(config)#crypto key generate rsa general-keys label SSL modulus 1024 

2. Maak het trustpoint voor het zelfondertekende certificaat en voeg de SSL RSA Key toe:
   
   

   Router(config)#crypto pki trustpoint server-certificate
    enrollment selfsigned
    usage ssl-server
    serial-number
    subject-name CN=10.198.16.144
    revocation-check none
    rsakeypair SSL

3. Zodra trustpoint wordt geconfigureerd, schrijft u het zelfondertekende certificaat in met deze opdracht:
   
   

   Router(config)#crypto pki enroll server-certificate
   % Include an IP address in the subject name? [no]: no
   Generate Self Signed Router Certificate? [yes/no]: yes
   
   Router Self Signed Certificate successfully created

4. Schakel het juiste AnyConnect-pakket in op de head-end. De telefoon zelf downloadt dit pakket niet. Maar zonder het pakket maakt de VPN-tunnel geen verbinding. Aanbevolen wordt om de meest recente versie van de clientsoftware te gebruiken die beschikbaar is op Cisco.com. In dit voorbeeld wordt versie 3.1.3103 gebruikt.
   
   In oudere Cisco IOS-versies is dit de opdracht om het pakket in te schakelen:
   

   Router(config)#webvpn install svc flash:anyconnect-win-3.1.03103-k9.pkg

   
   In de nieuwste Cisco IOS-versie is dit echter de opdracht:
   

   Router(config)#crypto vpn anyconnect flash:/webvpn/anyconnect-win-
   3.1.03103-k9.pkg sequence 1

5. Configureer de VPN-gateway. De WebVPN Gateway wordt gebruikt om de SSL verbinding van de gebruiker te beëindigen.
   

   webvpn gateway SSL 
   ip address 10.198.16.144 port 443 
    ssl encryption 3des-sha1 aes-sha1
    http-redirect port 80 
    ssl trustpoint server-certificate 
    inservice

   
   

   Opmerking: Ofwel het IP-adres dat hier wordt gebruikt, moet zich op hetzelfde subnet bevinden als de interface waarmee de telefoons verbinding maken, ofwel de gateway moet rechtstreeks worden betrokken van een interface op de router. De gateway wordt ook gebruikt om te bepalen welk certificaat door de router wordt gebruikt om aan de cliënt te bevestigen.

6. Definieer de lokale pool die wordt gebruikt om IP-adressen toe te wijzen aan de clients wanneer deze verbinding maken:
   

   ip local pool ap_phonevpn 192.168.100.1 192.168.100.254

Configuratie met AAA-verificatie

In deze sectie worden de opdrachten beschreven die u nodig hebt om de AAA-server of de lokale database te configureren om uw telefoons te verifiëren. Als u van plan bent om certificaat-slechts authentificatie voor de telefoons te gebruiken, ga aan de volgende sectie verder.

De gebruikersdatabase configureren

Ofwel de lokale database van de router of een externe AAA-server kan voor verificatie worden gebruikt:

• Om de lokale database te configureren voert u het volgende in:
  

  aaa new-model
  aaa authentication login SSL local 
  username phones password 0 phones

• Om een externe AAA RADIUS-server te configureren voor verificatie, voert u het volgende in:
  

  aaa new-model
  aaa authentication login SSL group radius
  radius-server host 192.168.100.200 auth-port 1812 acct-port 1813
  radius-server key cisco 

De virtuele context en het groepsbeleid configureren

De virtuele context wordt gebruikt om de kenmerken te definiëren die de VPN-verbinding bepalen, zoals:

• Welke URL moet worden gebruikt wanneer u verbinding maakt
• Welke pool te gebruiken om de clientadressen toe te wijzen
• Welke verificatiemethode moet worden gebruikt

Deze opdrachten zijn een voorbeeld van een context waarin AAA-verificatie voor de client wordt gebruikt: 

webvpn context SSL
 aaa authenticate list SSL
 gateway SSL domain SSLPhones
 !
 ssl authenticate verify all
 inservice
 !
 policy group phones
  functions svc-enabled
  svc address-pool "ap_phonevpn" netmask 255.255.255.0
  svc keep-client-installed
 default-group-policy phones

Configuratie met de IP-telefoon Locally Significant Certificate (LSC) voor clientverificatie

In deze sectie worden de opdrachten beschreven die u nodig hebt om op certificaten gebaseerde clientverificatie voor de telefoons te configureren. Om dit te doen, is echter kennis van de verschillende soorten telefooncertificaten vereist:

• Fabrikant Geïnstalleerd certificaat (MIC) - MIC's zijn inbegrepen op alle 7941, 7961 en nieuwer-model Cisco IP-telefoons. MIC’s zijn 2.048-bits sleutelcertificaten die zijn ondertekend door de Cisco Certificate Authority (CA). Opdat de CUCM het MIC-certificaat kan vertrouwen, gebruikt het de voorgeïnstalleerde CA-certificaten CAP-RTP-001, CAP-RTP-002 en Cisco_Manufacturing_CA in zijn certificaatvertrouwensarchief. Omdat dit certificaat door de fabrikant zelf wordt geleverd, zoals aangegeven op de naam, wordt het niet aangeraden dit certificaat te gebruiken voor clientverificatie.
• LSC - LSC beveiligt de verbinding tussen CUCM en de telefoon nadat u de apparaat security modus voor verificatie of encryptie vormt. LSC bezit de openbare sleutel voor de Cisco IP-telefoon, die is ondertekend door de private sleutel CUCM Certificate Authority Proxy Function (CAPF). Dit is de veiligere methode (in tegenstelling tot het gebruik van MIC's).
  

  Voorzichtig: Gezien het verhoogde beveiligingsrisico raadt Cisco het gebruik van MIC’s alleen aan voor LSC-installatie en niet voor verder gebruik. Klanten die Cisco IP-telefoons configureren om MIC’s te gebruiken voor TLS-verificatie (Transport Layer Security) of voor een ander doel, doen dit op eigen risico.

In dit configuratievoorbeeld, wordt LSC gebruikt om de telefoons voor authentiek te verklaren.

Tip: De veiligste manier om uw telefoon aan te sluiten is dubbele verificatie, die certificaat en AAA-verificatie combineert. U kunt dit configureren als u de opdrachten combineert die voor elke opdracht worden gebruikt onder één virtuele context.

Het Trustpoint configureren om het clientcertificaat te valideren

De router moet het CAPF-certificaat hebben geïnstalleerd om de LSC vanaf de IP-telefoon te kunnen valideren. Voltooi de volgende stappen om dat certificaat te verkrijgen en op de router te installeren:

1. Ga naar de CUCM Operating System (OS) Administration webpagina. 
2. Kies Beveiliging > Certificaatbeheer.
   

   Opmerking: Deze locatie kan veranderen op basis van de CUCM-versie.

3. Zoek het certificaat met de naam CAPF en download het .pem bestand. Het als .txt-bestand opslaan
4. Zodra het certificaat is geëxtraheerd, maakt u een nieuw trustpoint op de router en verifieert u het trustpoint met CAPF, zoals hier wordt getoond. Wanneer gevraagd voor het basis-64 gecodeerde CA-certificaat, selecteert en plakt u de tekst in het gedownloade .pem-bestand samen met de begin- en eindregels.

   Router(config)#crypto pki trustpoint CAPF
    enrollment terminal
    authorization username subjectname commonname
    revocation-check none
   Router(config)#crypto pki authenticate CAPF 
   Router(config)#
   
       
   
    quit

Let op:

• De inschrijvingsmethode is terminaal omdat het certificaat handmatig op de router moet worden geïnstalleerd.
• Het bevel van de vergunningsgebruikersbenaming wordt vereist om de router te vertellen wat als gebruikersbenaming te gebruiken wanneer de cliënt de verbinding maakt. In dit geval wordt de algemene benaming (GN) gebruikt.
• Een herroepingscontrole moet worden uitgeschakeld omdat voor telefooncertificaten geen certificaatherroepingslijst (CRL) is gedefinieerd. Zo, tenzij het gehandicapt is, ontbreekt de verbinding en de Openbare Zeer belangrijke debugs van de Infrastructuur (PKI) tonen deze output:
  

  Jun 17 21:49:46.695: CRYPTO_PKI: (A0076) Starting CRL revocation check
  Jun 17 21:49:46.695: CRYPTO_PKI: Matching CRL not found
  Jun 17 21:49:46.695: CRYPTO_PKI: (A0076) CDP does not exist. Use SCEP to 
  query CRL.
  Jun 17 21:49:46.695: CRYPTO_PKI: pki request queued properly
  Jun 17 21:49:46.695: CRYPTO_PKI: Revocation check is complete, 0
  Jun 17 21:49:46.695: CRYPTO_PKI: Revocation status = 3
  Jun 17 21:49:46.695: CRYPTO_PKI: status = 0: poll CRL
  Jun 17 21:49:46.695: CRYPTO_PKI: Remove session revocation service providers
  CRYPTO_PKI: Bypassing SCEP capabilies request 0
  Jun 17 21:49:46.695: CRYPTO_PKI: status = 0: failed to create GetCRL
  Jun 17 21:49:46.695: CRYPTO_PKI: enrollment url not configured
  Jun 17 21:49:46.695: CRYPTO_PKI: transaction GetCRL completed
  Jun 17 21:49:46.695: CRYPTO_PKI: status = 106: Blocking chain verification 
  callback received status
  Jun 17 21:49:46.695: CRYPTO_PKI: (A0076) Certificate validation failed

De virtuele context en het groepsbeleid configureren

Dit deel van de configuratie is vergelijkbaar met de eerder gebruikte configuratie, met uitzondering van twee punten:

• De verificatiemethode
• Het trustpoint de context gebruikt om de telefoons te authenticeren

 De opdrachten worden hier weergegeven:

webvpn context SSL
 gateway SSL domain SSLPhones
 authentication certificate
 ca trustpoint CAPF
 !
 ssl authenticate verify all
 inservice
 !
 policy group phones
 functions svc-enabled
 svc address-pool "ap_phonevpn" netmask 255.255.255.0
 svc keep-client-installed
 default-group-policy phones

Configuratie van Call Manager

In deze sectie worden de configuratiestappen van Call Manager beschreven.

Exporteren van het zelfondertekende certificaat of het identiteitscertificaat van de router naar de CUCM

Voltooi de volgende stappen om het certificaat van de router te exporteren en het certificaat in Call Manager te importeren als een Phone-VPN-Trust-certificaat:

1. Controleer het certificaat dat wordt gebruikt voor SSL.
   

   Router#show webvpn gateway SSL
   SSL Trustpoint: server-certificate

2. Exporteer het certificaat.
   

   Router(config)#crypto pki export server-certificate pem terminal
   The Privacy Enhanced Mail (PEM) encoded identity certificate follows:
   -----BEGIN CERTIFICATE-----
   
   <output removed>
   
   -----END CERTIFICATE-----

3. Kopieert de tekst van de terminal en sla deze op als een .pem-bestand.
4. Meld u aan bij Call Manager en kies Unified OS-beheer > Beveiliging > Certificaatbeheer > Uploadcertificaat > Selecteer Phone-VPN-trust om het in de vorige stap opgeslagen certificaatbestand te uploaden.

De VPN Gateway, Group en Profile in de CUCM configureren

1. Navigeer naar Cisco Unified CM-beheer.
2. Kies in de menubalk Geavanceerde functies > VPN > VPN-gateway.
   

   

3. Voltooi de volgende stappen in het venster Configuratie VPN Gateway:
   
   • Typ in het veld Naam VPN-gateway een naam. Dit kan elke naam zijn.
   • Typ in het veld Beschrijving van VPN-gateway een beschrijving (optioneel).
   • Voer in het veld VPN Gateway URL de groep-URL in die op de router is gedefinieerd.
   • Kies in het veld VPN-certificaten op deze locatie het certificaat dat eerder naar Call Manager is geüpload om het van de vertrouwenswinkel naar deze locatie te verplaatsen.

   

4. Kies in de menubalk Geavanceerde functies > VPN > VPN-groep.
   

   

5. Kies in het veld Alle beschikbare VPN-gateways de eerder gedefinieerde VPN-gateway. Klik op de pijl-omlaag om de geselecteerde gateway naar de geselecteerde VPN-gateways in dit veld voor VPN-groepen te verplaatsen.
   

   

6. Kies in de menubalk Geavanceerde functies > VPN > VPN-profiel.
   

   

7. Voltooi alle velden die met een sterretje zijn gemarkeerd (*) om het VPN-profiel te configureren.
   

   

   
   
   • Automatisch netwerkdetectie inschakelen: Indien ingeschakeld, pingelt de VPN-telefoon de TFTP-server. Als er geen reactie wordt ontvangen, wordt automatisch een VPN-verbinding geïnitieerd.
   • Schakel controle van host-id in: Indien ingeschakeld, vergelijkt de VPN-telefoon de volledig gekwalificeerde domeinnaam (FQDN) van de VPN Gateway-URL met het CN/Storage Area Network (SAN) van het certificaat. De client kan geen verbinding maken als deze items niet overeenkomen of als een jokercertificaat met een sterretje (*) wordt gebruikt.
   • Wachtwoordpersistentie inschakelen: Hierdoor kan de VPN-telefoon de gebruikersnaam en het wachtwoord voor de volgende VPN-poging in een cache plaatsen.

De groep en het profiel toepassen op de IP-telefoon met het gemeenschappelijke telefoonprofiel

Klik in het venster Configuratie gemeenschappelijk telefoonprofiel op Toepassen Config om de nieuwe VPN-configuratie toe te passen. U kunt het standaard gemeenschappelijke telefoonprofiel gebruiken of een nieuw profiel maken.

Het gemeenschappelijke telefoonprofiel op de IP-telefoon toepassen

Als u een nieuw profiel voor specifieke telefoons/gebruikers hebt gemaakt, navigeer dan naar het venster Phone Configuration. Kies in het veld Gemeenschappelijk telefoonprofiel het profiel Standaard gemeenschappelijke telefoon.

Lokaal belangrijke certificaten (LSC) installeren op Cisco IP-telefoons

De volgende handleiding kan worden gebruikt om lokaal belangrijke certificaten te installeren op Cisco IP-telefoons.  Deze stap is alleen nodig als verificatie met behulp van de LSC plaatsvindt.  Verificatie met behulp van het door de fabrikant geïnstalleerde certificaat (MIC) of gebruikersnaam en wachtwoord vereist geen installatie van een LSC.

Installeer een LSC op een telefoon met CUCM Cluster Security Mode ingesteld op Non-Secure.

Registreer de telefoon naar Call Manager opnieuw om de nieuwe configuratie te downloaden

 Dit is de laatste stap in het configuratieproces. 

Verifiëren

Routerverificatie

Om de statistieken van de VPN-sessie in de router te controleren, kunt u deze opdrachten gebruiken en de verschillen tussen de uitgangen (gemarkeerd) controleren voor gebruikersnaam en certificaatverificatie:

Voor gebruikersnaam/wachtwoordverificatie:

Router#show webvpn session user phones context SSL
Session Type      : Full Tunnel
Client User-Agent : Cisco SVC IPPhone Client v1.0 (1.0)

Username          : phones               Num Connection : 1
Public IP         : 172.16.250.34        VRF Name       : None
Context           : SSL                  Policy Group   : SSLPhones
Last-Used         : 00:00:29             Created        : 15:40:21.503 GMT 
Fri Mar 1 2013
Session Timeout   : Disabled             Idle Timeout   : 2100
DPD GW Timeout    : 300                  DPD CL Timeout : 300
Address Pool      : SSL                  MTU Size       : 1290
Rekey Time        : 3600                 Rekey Method   :
Lease Duration    : 43200
Tunnel IP         : 10.10.10.1           Netmask        : 255.255.255.0
Rx IP Packets     : 106                  Tx IP Packets  : 145
CSTP Started      : 00:11:15             Last-Received  : 00:00:29
CSTP DPD-Req sent : 0                    Virtual Access : 1
Msie-ProxyServer  : None                 Msie-PxyPolicy : Disabled
Msie-Exception    :
Client Ports      : 51534
DTLS Port         : 52768
Router#

Router#show webvpn session context all
WebVPN context name: SSL
Client_Login_Name  Client_IP_Address  No_of_Connections  Created  Last_Used
phones             172.16.250.34              1         00:30:38  00:00:20

Voor certificaathandhaving:

Router#show webvpn session user SEP8CB64F578B2C context all
Session Type      : Full Tunnel
Client User-Agent : Cisco SVC IPPhone Client v1.0 (1.0)

Username          : SEP8CB64F578B2C      Num Connection : 1
Public IP         : 172.16.250.34        VRF Name       : None                 
CA Trustpoint  : CAPF
Context           : SSL                  Policy Group   :
Last-Used         : 00:00:08             Created        : 13:09:49.302 GMT 
Sat Mar 2 2013
Session Timeout   : Disabled             Idle Timeout   : 2100
DPD GW Timeout    : 300                  DPD CL Timeout : 300
Address Pool      : SSL                  MTU Size       : 1290
Rekey Time        : 3600                 Rekey Method   :
Lease Duration    : 43200
Tunnel IP         : 10.10.10.2           Netmask        : 255.255.255.0
Rx IP Packets     : 152                  Tx IP Packets  : 156
CSTP Started      : 00:06:44             Last-Received  : 00:00:08
CSTP DPD-Req sent : 0                    Virtual Access : 1
Msie-ProxyServer  : None                 Msie-PxyPolicy : Disabled
Msie-Exception    :
Client Ports      : 50122
DTLS Port         : 52932


Router#show webvpn session context all
WebVPN context name: SSL
Client_Login_Name  Client_IP_Address  No_of_Connections  Created  Last_Used
SEP8CB64F578B2C    172.16.250.34              1         3d04h     00:00:16 

CUCM-verificatie

Bevestig dat de IP-telefoon is geregistreerd bij de Call Manager met het toegewezen adres dat door de router aan de SSL-verbinding is toegewezen.

Problemen oplossen

Debugs op de SSL VPN Server

Router#show debug

WebVPN Subsystem:
 WebVPN (verbose) debugging is on
 WebVPN HTTP debugging is on
 WebVPN AAA debugging is on
 WebVPN tunnel debugging is on
 WebVPN Tunnel Events debugging is on
 WebVPN Tunnel Errors debugging is on
 Webvpn Tunnel Packets debugging is on


PKI:
 Crypto PKI Msg debugging is on
 Crypto PKI Trans debugging is on
 Crypto PKI Validation Path debugging is on

Debugs van de telefoon

1. Navigeer naar Apparaat > Telefoon vanaf CUCM.
2. Stel op de pagina met de apparaatconfiguratie de optie Webtoegang inschakelen in.
3. Klik op Opslaan en klik vervolgens op Config toepassen.
   

   

4. Voer vanuit een browser het IP-adres van de telefoon in en kies Console Logs in het menu links.
   

   

5. Download alle /FS/cache/log*.log-bestanden. De logbestanden van de console bevatten informatie over waarom de telefoon geen verbinding maakt met de VPN.

Verwante bugs

Cisco bug-id CSCty46387 , IOS SSL VPN: Verbetering om een context als standaard te hebben
Cisco bug-id CSCty46436 , IOS SSL VPN: Verbetering in validatiegedrag van clientcertificaten