AnyConnect VPN-telefoonverbinding met een Cisco IOS-routerconfiguratie Voorbeeld

Inleiding

In dit document wordt beschreven hoe u de Cisco IOS^® Router en Call Manager-apparaten configureert zodat Cisco IP Phones VPN-verbindingen met de Cisco IOS Router kunnen maken. Deze VPN-verbindingen zijn nodig om de communicatie met een van deze twee clientverificatiemethoden te beveiligen:

• Authenticatie-, autorisatie- en boekhoudserver (AAA) of lokale database
• Telefooncertificaat

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende hardware- en softwareversies:

• Cisco IOS 15.1(2)T of hoger
• Kenmerken/licentie: Universal (Data & Security & UC) voor Cisco IOS Integrated Service Router (ISR)-G2
• Kenmerken/licenties: Geavanceerde beveiliging voor Cisco IOS ISR
• Cisco Unified Communications Manager (CUCM) release 8.0.1.100000-4 of hoger
• IP Phone Release 9.0(2)SR1S - Skinny Call Control Protocol (SCCP) of nieuwer

Voer de volgende stappen uit voor een volledige lijst met ondersteunde telefoons in uw CUCM-versie:

1. Open deze URL: https://<CUCM Server IP Address>:8443/cucreports/systemReports.do
2. Kies Unified CM Phone Feature List > Genereer een nieuw rapport > Feature: Virtual Private Network.

De releases die in dit configuratievoorbeeld worden gebruikt, zijn onder meer:

• Cisco IOS Router Release 15.1(4)M4
• Call Manager release 8.5.1.10000-26
• IP Phone Release 9.1(1)SR1S

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen. 

Configureren

Dit gedeelte bevat de informatie die nodig is om de functies te configureren die in dit document worden beschreven.

Opmerking: gebruik de opzoekfunctie voor opdrachten (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Netwerktopologie

De in dit document gebruikte topologie omvat één Cisco IP Phone, de Cisco IOS Router als de Secure Sockets Layer (SSL) VPN Gateway en CUCM als de spraakgateway.

Configuratie SSL VPN-server

In dit gedeelte wordt beschreven hoe u de IOS-head-end van Cisco configureert om inkomende SSL VPN-verbindingen toe te staan.

Gemeenschappelijke configuratiestappen

1. Genereer de Rivest-Shamir-Adleman (RSA)-toets met een lengte van 1024 bytes:
   
   

   Router(config)#crypto key generate rsa general-keys label SSL modulus 1024 

2. Maak het vertrouwenspunt voor het zelf ondertekende certificaat en voeg de SSL RSA-sleutel toe:
   
   

   Router(config)#crypto pki trustpoint server-certificate
    enrollment selfsigned
    usage ssl-server
    serial-number
    subject-name CN=10.198.16.144
    revocation-check none
    rsakeypair SSL

3. Nadat het trustpoint is geconfigureerd, schrijft u het zelf ondertekende certificaat in met deze opdracht:
   
   

   Router(config)#crypto pki enroll server-certificate
   % Include an IP address in the subject name? [no]: no
   Generate Self Signed Router Certificate? [yes/no]: yes
   
   Router Self Signed Certificate successfully created

4. Schakel het juiste AnyConnect-pakket in op de kop-einde. De telefoon zelf downloadt dit pakket niet. Maar zonder het pakket komt de VPN-tunnel niet tot stand. Het wordt aanbevolen om de nieuwste versie van de clientsoftware te gebruiken die beschikbaar is op Cisco.com. In dit voorbeeld wordt versie 3.1.3103 gebruikt.
   
   In oudere Cisco IOS-versies is dit de opdracht om het pakket in te schakelen:
   

   Router(config)#webvpn install svc flash:anyconnect-win-3.1.03103-k9.pkg

   
   In de nieuwste Cisco IOS-versie is dit echter de opdracht:
   

   Router(config)#crypto vpn anyconnect flash:/webvpn/anyconnect-win-
   3.1.03103-k9.pkg sequence 1

5. Configureer de VPN Gateway. De WebVPN Gateway wordt gebruikt om de SSL-verbinding van de gebruiker te beëindigen.
   

   webvpn gateway SSL 
   ip address 10.198.16.144 port 443 
    ssl encryption 3des-sha1 aes-sha1
    http-redirect port 80 
    ssl trustpoint server-certificate 
    inservice

   
   

   Opmerking: ofwel het IP-adres dat hier wordt gebruikt, moet zich op hetzelfde subnet bevinden als de interface waarmee de telefoons verbinding maken, of de gateway moet rechtstreeks afkomstig zijn van een interface op de router. De gateway wordt ook gebruikt om te bepalen welk certificaat door de router wordt gebruikt om zichzelf te valideren voor de client.

6. Definieer de lokale pool die wordt gebruikt om IP-adressen toe te wijzen aan de clients wanneer deze verbinding maken:
   

   ip local pool ap_phonevpn 192.168.100.1 192.168.100.254

Configuratie met AAA-verificatie

In dit gedeelte worden de opdrachten beschreven die u nodig hebt om de AAA-server of de lokale database te configureren voor de verificatie van uw telefoons. Als u van plan bent om alleen certificaatverificatie voor de telefoons te gebruiken, gaat u verder naar de volgende sectie.

De gebruikersdatabase configureren

De lokale database van de router of een externe AAA-server kan worden gebruikt voor verificatie:

• Om de lokale database te configureren, voert u het volgende in:
  

  aaa new-model
  aaa authentication login SSL local 
  username phones password 0 phones

• Als u een externe AAA RADIUS-server wilt configureren voor verificatie, voert u het volgende in:
  

  aaa new-model
  aaa authentication login SSL group radius
  radius-server host 192.168.100.200 auth-port 1812 acct-port 1813
  radius-server key cisco 

Configureer de virtuele context en het groepsbeleid

De Virtual Context wordt gebruikt om de attributen te definiëren die de VPN-verbinding regelen, zoals:

• Welke URL te gebruiken wanneer u verbinding maakt
• Welke pool moet worden gebruikt om de clientadressen toe te wijzen
• Welke authenticatiemethode gebruiken

Deze opdrachten zijn een voorbeeld van een context waarin AAA-verificatie wordt gebruikt voor de client: 

webvpn context SSL
 aaa authenticate list SSL
 gateway SSL domain SSLPhones
 !
 ssl authenticate verify all
 inservice
 !
 policy group phones
  functions svc-enabled
  svc address-pool "ap_phonevpn" netmask 255.255.255.0
  svc keep-client-installed
 default-group-policy phones

Configuratie met het LSC-certificaat (Local Significant Certificate) voor clientverificatie

In dit gedeelte worden de opdrachten beschreven die u nodig hebt om op certificaten gebaseerde clientverificatie voor de telefoons te configureren. Om dit te doen, is echter kennis van de verschillende soorten telefooncertificaten vereist:

• Fabrikant geïnstalleerd certificaat (MIC) - MIC's zijn inbegrepen op alle 7941, 7961 en nieuwere Cisco IP-telefoons. MIC's zijn 2.048-bits sleutelcertificaten die zijn ondertekend door de Cisco Certificate Authority (CA). Om ervoor te zorgen dat de CUCM het MIC-certificaat vertrouwt, gebruikt het de vooraf geïnstalleerde CA-certificaten CAP-RTP-001, CAP-RTP-002 en Cisco_Manufacturing_CA in zijn certificaatvertrouwensarchief. Omdat dit certificaat wordt verstrekt door de fabrikant zelf, zoals aangegeven in de naam, wordt het niet aanbevolen om dit certificaat te gebruiken voor clientverificatie.
• LSC - De LSC beveiligt de verbinding tussen CUCM en de telefoon nadat u de beveiligingsmodus voor het apparaat hebt geconfigureerd voor verificatie of codering. De LSC beschikt over de publieke sleutel voor de Cisco IP-telefoon, die is ondertekend door de private sleutel van de CUCM Certificate Authority Proxy Function (CAPF). Dit is de veiligere methode (in tegenstelling tot het gebruik van MIC's).
  

  Waarschuwing: Vanwege het verhoogde beveiligingsrisico beveelt Cisco het gebruik van MIC's alleen aan voor LSC-installatie en niet voor voortgezet gebruik. Klanten die Cisco IP-telefoons configureren om MIC's te gebruiken voor TLS-verificatie (Transport Layer Security) of voor andere doeleinden, doen dit op eigen risico.

In dit configuratievoorbeeld wordt de LSC gebruikt om de telefoons te verifiëren.

Tip: De veiligste manier om verbinding te maken met uw telefoon is om dubbele verificatie te gebruiken, die certificaat- en AAA-verificatie combineert. U kunt dit configureren als u de opdrachten die voor elke opdracht worden gebruikt, combineert in één virtuele context.

Het Trustpoint configureren om het clientcertificaat te valideren

De router moet het CAPF-certificaat hebben geïnstalleerd om de LSC vanaf de IP-telefoon te valideren. Voer de volgende stappen uit om dat certificaat te verkrijgen en op de router te installeren:

1. Ga naar de webpagina van CUCM Operating System (OS) Administration. 
2. Kies Beveiliging > Certificaatbeheer.
   

   Opmerking: deze locatie kan veranderen op basis van de CUCM-versie.

3. Zoek het certificaat met het label CAPF en download het bestand .pem. Sla het op als een .txt bestand
4. Zodra het certificaat is geëxtraheerd, maakt u een nieuw vertrouwenspunt op de router en verifieert u het vertrouwenspunt met CAPF, zoals hier wordt weergegeven. Wanneer u wordt gevraagd om het CA-certificaat met base-64-codering, selecteert en plakt u de tekst in het gedownloade .pem-bestand samen met de begin- en eindregels.

   Router(config)#crypto pki trustpoint CAPF
    enrollment terminal
    authorization username subjectname commonname
    revocation-check none
   Router(config)#crypto pki authenticate CAPF 
   Router(config)#
   
       
   
    quit

Dingen om op te merken:

• De inschrijvingsmethode is terminaal omdat het certificaat handmatig op de router moet worden geïnstalleerd.
• De autorisatie-opdracht gebruikersnaam is vereist om de router te vertellen wat te gebruiken als de gebruikersnaam wanneer de client de verbinding maakt. In dit geval gebruikt het de algemene naam (CN).
• Een intrekkingscontrole moet worden uitgeschakeld omdat op telefooncertificaten geen CRL (Certificate Revocation List) is gedefinieerd. Dus, tenzij deze is uitgeschakeld, mislukt de verbinding en de Public Key Infrastructure (PKI)-debugs tonen deze uitvoer:
  

  Jun 17 21:49:46.695: CRYPTO_PKI: (A0076) Starting CRL revocation check
  Jun 17 21:49:46.695: CRYPTO_PKI: Matching CRL not found
  Jun 17 21:49:46.695: CRYPTO_PKI: (A0076) CDP does not exist. Use SCEP to 
  query CRL.
  Jun 17 21:49:46.695: CRYPTO_PKI: pki request queued properly
  Jun 17 21:49:46.695: CRYPTO_PKI: Revocation check is complete, 0
  Jun 17 21:49:46.695: CRYPTO_PKI: Revocation status = 3
  Jun 17 21:49:46.695: CRYPTO_PKI: status = 0: poll CRL
  Jun 17 21:49:46.695: CRYPTO_PKI: Remove session revocation service providers
  CRYPTO_PKI: Bypassing SCEP capabilies request 0
  Jun 17 21:49:46.695: CRYPTO_PKI: status = 0: failed to create GetCRL
  Jun 17 21:49:46.695: CRYPTO_PKI: enrollment url not configured
  Jun 17 21:49:46.695: CRYPTO_PKI: transaction GetCRL completed
  Jun 17 21:49:46.695: CRYPTO_PKI: status = 106: Blocking chain verification 
  callback received status
  Jun 17 21:49:46.695: CRYPTO_PKI: (A0076) Certificate validation failed

Configureer de virtuele context en het groepsbeleid

Dit deel van de configuratie is vergelijkbaar met de eerder gebruikte configuratie, met uitzondering van twee punten:

• De authenticatiemethode
• Het vertrouwenspunt dat de context gebruikt om de telefoons te verifiëren

 De commando’s worden hier getoond:

webvpn context SSL
 gateway SSL domain SSLPhones
 authentication certificate
 ca trustpoint CAPF
 !
 ssl authenticate verify all
 inservice
 !
 policy group phones
 functions svc-enabled
 svc address-pool "ap_phonevpn" netmask 255.255.255.0
 svc keep-client-installed
 default-group-policy phones

Configuratie van Call Manager

In dit gedeelte worden de configuratiestappen van Call Manager beschreven.

Exporteer het zelf ondertekende of identiteitscertificaat van de router naar de CUCM

Voer de volgende stappen uit om het certificaat van de router te exporteren en het certificaat als een Phone-VPN-Trust-certificaat in Call Manager te importeren:

1. Controleer het certificaat dat voor SSL wordt gebruikt.
   

   Router#show webvpn gateway SSL
   SSL Trustpoint: server-certificate

2. Exporteer het certificaat.
   

   Router(config)#crypto pki export server-certificate pem terminal
   The Privacy Enhanced Mail (PEM) encoded identity certificate follows:
   -----BEGIN CERTIFICATE-----
   
   <output removed>
   
   -----END CERTIFICATE-----

3. Kopieer de tekst van de terminal en sla deze op als een .pem-bestand.
4. Meld u aan bij Call Manager en kies Unified OS Administration > Security > Certificate Management > Upload Certificate > Select Phone-VPN-trust om het certificaatbestand te uploaden dat in de vorige stap is opgeslagen.

Configureer de VPN-gateway, -groep en -profiel in de CUCM

1. Navigeer naar Cisco Unified CM Administration.
2. Kies in de menubalk Geavanceerde functies > VPN > VPN Gateway.
   

   

3. Voer in het venster VPN Gateway Configuration de volgende stappen uit:
   
   • Voer in het veld VPN Gateway Name een naam in. Dit kan elke naam zijn.
   • Voer in het veld Beschrijving VPN-gateway een beschrijving in (optioneel).
   • Voer in het veld VPN Gateway URL de groep-URL in die op de router is gedefinieerd.
   • Kies in het veld VPN-certificaten in dit veld Locatie het certificaat dat eerder naar Call Manager is geüpload om het van de vertrouwenswinkel naar deze locatie te verplaatsen.

   

4. Kies in de menubalk Geavanceerde functies > VPN > VPN-groep.
   

   

5. Kies in het veld Alle beschikbare VPN-gateways de eerder gedefinieerde VPN-gateway. Klik op de pijl-omlaag om de geselecteerde gateway naar de geselecteerde VPN-gateways in dit veld VPN-groep te verplaatsen.
   

   

6. Kies in de menubalk Geavanceerde functies > VPN > VPN-profiel.
   

   

7. Om het VPN-profiel te configureren, vult u alle velden in die zijn gemarkeerd met een sterretje (*).
   

   

   
   
   • Automatische netwerkdetectie inschakelen: indien ingeschakeld, pingt de VPN-telefoon de TFTP-server. Als er geen reactie wordt ontvangen, wordt automatisch een VPN-verbinding gestart.
   • Host ID Check inschakelen: Als deze optie is ingeschakeld, vergelijkt de VPN-telefoon de volledig gekwalificeerde domeinnaam (FQDN) van de VPN-gateway-URL met het CN/Storage Area Network (SAN) van het certificaat. De client kan geen verbinding maken als deze items niet overeenkomen of als een wildcard-certificaat met een sterretje (*) wordt gebruikt.
   • Wachtwoordpersistentie inschakelen: hierdoor kan de VPN-telefoon de gebruikersnaam en het wachtwoord opslaan voor de volgende VPN-poging.

De groep en het profiel toepassen op de IP-telefoon met het gemeenschappelijke telefoonprofiel

Klik in het venster Common Phone Profile Configuration (Configuratie gemeenschappelijk telefoonprofiel) op Apply Config (Config toepassen) om de nieuwe VPN-configuratie toe te passen. U kunt het standaard gemeenschappelijke telefoonprofiel gebruiken of een nieuw profiel maken.

Het algemene telefoonprofiel toepassen op de IP-telefoon

Als u een nieuw profiel hebt gemaakt voor specifieke telefoons/gebruikers, gaat u naar het venster Telefoonconfiguratie. Kies in het veld Gemeenschappelijk telefoonprofiel het profiel Standaard gemeenschappelijk telefoonprofiel.

Lokaal significante certificaten (LSC) installeren op Cisco IP-telefoons

De volgende handleiding kan worden gebruikt om lokaal significante certificaten te installeren op Cisco IP-telefoons.  Deze stap is alleen nodig als verificatie met behulp van de LSC wordt gebruikt.  Voor verificatie met het door de fabrikant geïnstalleerde certificaat (MIC) of de gebruikersnaam en het wachtwoord hoeft geen LSC te worden geïnstalleerd.

Installeer een LSC op een telefoon met CUCM Cluster Security Mode ingesteld op Niet-beveiligd.

Registreer de telefoon opnieuw naar Call Manager om de nieuwe configuratie te downloaden

 Dit is de laatste stap in het configuratieproces. 

Verifiëren

Verificatie via router

Om de statistieken van de VPN-sessie in de router te controleren, kunt u deze opdrachten gebruiken en de verschillen tussen de uitgangen (gemarkeerd) controleren voor gebruikersnaam en certificaatverificatie:

Voor verificatie van gebruikersnaam/wachtwoord:

Router#show webvpn session user phones context SSL
Session Type      : Full Tunnel
Client User-Agent : Cisco SVC IPPhone Client v1.0 (1.0)

Username          : phones               Num Connection : 1
Public IP         : 172.16.250.34        VRF Name       : None
Context           : SSL                  Policy Group   : SSLPhones
Last-Used         : 00:00:29             Created        : 15:40:21.503 GMT 
Fri Mar 1 2013
Session Timeout   : Disabled             Idle Timeout   : 2100
DPD GW Timeout    : 300                  DPD CL Timeout : 300
Address Pool      : SSL                  MTU Size       : 1290
Rekey Time        : 3600                 Rekey Method   :
Lease Duration    : 43200
Tunnel IP         : 10.10.10.1           Netmask        : 255.255.255.0
Rx IP Packets     : 106                  Tx IP Packets  : 145
CSTP Started      : 00:11:15             Last-Received  : 00:00:29
CSTP DPD-Req sent : 0                    Virtual Access : 1
Msie-ProxyServer  : None                 Msie-PxyPolicy : Disabled
Msie-Exception    :
Client Ports      : 51534
DTLS Port         : 52768
Router#

Router#show webvpn session context all
WebVPN context name: SSL
Client_Login_Name  Client_IP_Address  No_of_Connections  Created  Last_Used
phones             172.16.250.34              1         00:30:38  00:00:20

Voor certificaatverificatie:

Router#show webvpn session user SEP8CB64F578B2C context all
Session Type      : Full Tunnel
Client User-Agent : Cisco SVC IPPhone Client v1.0 (1.0)

Username          : SEP8CB64F578B2C      Num Connection : 1
Public IP         : 172.16.250.34        VRF Name       : None                 
CA Trustpoint  : CAPF
Context           : SSL                  Policy Group   :
Last-Used         : 00:00:08             Created        : 13:09:49.302 GMT 
Sat Mar 2 2013
Session Timeout   : Disabled             Idle Timeout   : 2100
DPD GW Timeout    : 300                  DPD CL Timeout : 300
Address Pool      : SSL                  MTU Size       : 1290
Rekey Time        : 3600                 Rekey Method   :
Lease Duration    : 43200
Tunnel IP         : 10.10.10.2           Netmask        : 255.255.255.0
Rx IP Packets     : 152                  Tx IP Packets  : 156
CSTP Started      : 00:06:44             Last-Received  : 00:00:08
CSTP DPD-Req sent : 0                    Virtual Access : 1
Msie-ProxyServer  : None                 Msie-PxyPolicy : Disabled
Msie-Exception    :
Client Ports      : 50122
DTLS Port         : 52932


Router#show webvpn session context all
WebVPN context name: SSL
Client_Login_Name  Client_IP_Address  No_of_Connections  Created  Last_Used
SEP8CB64F578B2C    172.16.250.34              1         3d04h     00:00:16 

CUCM-verificatie

Bevestig dat de IP-telefoon is geregistreerd bij de Call Manager met het adres dat is toegewezen aan de router die is opgegeven voor de SSL-verbinding.

Problemen oplossen

Foutopsporing op de SSL VPN-server

Router#show debug

WebVPN Subsystem:
 WebVPN (verbose) debugging is on
 WebVPN HTTP debugging is on
 WebVPN AAA debugging is on
 WebVPN tunnel debugging is on
 WebVPN Tunnel Events debugging is on
 WebVPN Tunnel Errors debugging is on
 Webvpn Tunnel Packets debugging is on


PKI:
 Crypto PKI Msg debugging is on
 Crypto PKI Trans debugging is on
 Crypto PKI Validation Path debugging is on

Debugs van de telefoon

1. Navigeer naar Apparaat > Telefoon vanaf CUCM.
2. Stel op de pagina Apparaatconfiguratie Web Access in op Ingeschakeld.
3. Klik op Opslaan en klik vervolgens op Config toepassen.
   

   

4. Voer in een browser het IP-adres van de telefoon in en kies Consolelogboeken in het menu aan de linkerkant.
   

   

5. Download alle FS/cache/log*.log bestanden. De consolelogbestanden bevatten informatie over waarom de telefoon geen verbinding maakt met de VPN.

Gerelateerde bugs

Cisco bug ID CSCty46387, IOS SSLVPN: Verbetering om een context als standaard te hebben
Cisco bug ID CSCty46436, IOS SSLVPN: Verbetering van het validatiegedrag van clientcertificaten