Beveiligde toegang (SSE) configureren en oplossen op Catalyst SD-WAN

Downloadopties

  • PDF     (1.4 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.3 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:11 augustus 2025
Document-id:224207

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u de actief-actieve SSE-integratie op Catalyst SD-WAN configureert en hoe u het probleem kunt oplossen.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Software-defined Wide Area Network (SD-WAN)
    • Configuratiegroepen
    • Beleidsgroepen

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • C8000V versie 17.15.02
    •  vManage versie 20.15.02

    • Cisco Secure Access-account

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Cisco Secure Access 

    Cisco Secure Access is een cloudgebaseerde Security Service Edge (SSE)-oplossing die meerdere netwerkbeveiligingsservices convergeert en vanuit de cloud levert om een hybride personeelsbestand te ondersteunen. Cisco SD-WAN Manager maakt gebruik van REST API's om beleidsinformatie van Cisco Secure Access op te halen en verspreidt deze informatie naar Cisco IOS XE SD-WAN-apparaten. Deze integratie maakt naadloze, transparante en veilige Direct Internet Access (DIA) voor gebruikers mogelijk, zodat ze vanaf elk apparaat, overal en veilig verbinding kunnen maken.

    Met Cisco SSE kunnen SD-WAN-apparaten verbindingen tot stand brengen met SSE-providers met behulp van IPSec-tunnels. Dit document is bedoeld voor gebruikers van Cisco Secure Access.


    Voorlopige configuraties 

    • Domain Lookup voor het apparaat inschakelen: Navigeer naar Configuratiegroepen > Systeemprofiel > Globaal en schakel Domain Lookup in.

    Opmerking: het opzoeken van domeinen is standaard uitgeschakeld.

    • Configureer DNS: De router kan DNS oplossen en toegang krijgen tot internet via VPN 0.
    • NAT DIA configureren: De DIA-configuratie moet aanwezig zijn op de router waar de SSE-tunnel is gemaakt.

    Loopback-interfaces maken

    Als beide tunnels in een Active/Active-configuratie verbinding maken met hetzelfde bestemmingsdatacenter en dezelfde WAN-interface gebruiken als de bron, moeten twee loopback-IP-adressen worden gemaakt.

    Opmerking: Wanneer twee tunnels zijn geconfigureerd met dezelfde bron en bestemming, vormt IKEv2 een identiteitspaar dat bestaat uit een lokale ID en een externe ID. Standaard is de lokale ID het IP-adres van de broninterface van de tunnel. Dit identiteitspaar moet uniek zijn en mag niet tussen twee tunnels worden gedeeld. Om verwarring binnen de IKEv2-status te voorkomen, gebruikt elke tunnel een andere loopback-interface als bron. Hoewel IKE-pakketten worden vertaald (NATed) op de DIA-interface, blijft de lokale ID ongewijzigd en behoudt het oorspronkelijke loopback-IP-adres.

    1. Navigeer naar Configuratie > Configuratiegroepen > Configuratiegroepnaam> Transport- en beheerprofiel > klik op Bewerken.

    2. Klik op het plusteken (+) aan de rechterkant van het transport VPN-profiel (hoofdprofiel). Dit opent een menu Add Feature (Extra functies) helemaal rechts.

    3. Klik op Ethernet-interface. Het voegt een nieuwe internetinterface toe onder Transport VPN.

    anavazar_0-1753809836268

    4. Maak de twee Loopback-interfaces met behulp van RFC1918 IPv4-adressen, zoals het Loopback0-voorbeeld in de afbeelding.

    anavazar_0-1754582987124

    anavazar_1-1753810045082

    1. Nadat u de loopbackconfiguratie hebt toegepast, gaat u verder met het implementeren van de configuratiewijziging op het apparaat. De status van de voorziening verandert van 1/1 naar 0/1.

    anavazar_2-1753810315759

    Nieuwe API-sleutels configureren op SSE Portal

    1. Toegang tot het SSE Portal https://login.sse.cisco.com/
    2. Navigeer naar Beheer > API-sleutels

    anavazar_0-1753806373582

    3. Klik op Toevoegen + en genereer een nieuwe API-sleutel

    anavazar_2-1753806630561

    4. Zorg ervoor dat u toegang hebt tot de Network Tunnel Group voor lezen en schrijven 

    anavazar_3-1753806763145

    5. Klik op Genereer sleutel

    6. Kopieer de API-sleutel en Key Secret in een notitieblok en selecteer ACCEPTEREN EN SLUITEN

    anavazar_4-1753807315131

    7. Onder de URL https://dashboard.sse.cisco.com/#some-numbers#/admin/apikeys is de #some-numbers# uw organisatie-ID. Kopieer die informatie ook naar uw notitieblok.

    anavazar_5-1753807628570

    SSE configureren in Catalyst Manager

    Cloudreferenties instellen

    1. Navigeer naar Beheer > Instellingen > Cloudreferenties > Cloudproviderreferenties en schakel Cisco Secure Access in
    en voer de details in.

    anavazar_0-1753808615232

    2. Optioneel: u kunt het delen van context inschakelen voor verbeterde functionaliteit. Raadpleeg de Cisco SSE-gebruikershandleiding voor meer informatie over het delen van context.

    SSE-tunnels configureren met behulp van Beleidsgroep

    Navigeer in SD-WAN Manager naar Configuratie > Beleidsgroepen > Secure Internet Gateway/Secure Service Edge en klik op Secure Service Edge (SSE).

    anavazar_0-1753812921858

    Opmerking: Als cloudreferenties nog niet zijn geconfigureerd, kunt u deze in deze stap toevoegen. Als de referenties al zijn geconfigureerd, worden ze automatisch geladen.

    anavazar_1-1753813480175

    1. Configureer de SSE Tracker. In dit voorbeeld wordt de tracker-URL ingesteld op http://www.cisco.com en wordt het IP-adres van de bron toegewezen via een van de loopback-interfaces.

    anavazar_0-1753815088665

    anavazar_1-1753815697301

    Aangezien het delen van context is ingeschakeld toen de cloudreferenties werden geconfigureerd, wordt VPN in dit voorbeeld optioneel als optie geselecteerd.

    2. Klik op Tunnel toevoegen

    anavazar_2-1753815859781

    3. In dit voorbeeld wordt de Loopback0-interface gebruikt als tunnelbron, terwijl de GigabitEthernet1-interface dient als de WAN-interface om verkeer te routeren.

    anavazar_4-1753815924991

    Aangezien de tracker in dit voorbeeld is geconfigureerd, wordt de instelling gewijzigd in Globaal en wordt de vooraf geconfigureerde cisco-tracker geselecteerd.

    4. Herhaal voor de tweede tunnel dezelfde stappen met dezelfde parameters, maar wijzig de naam van de interface van ipsec1 in ipsec2 en de naam van de broninterface in loopback1.

    anavazar_5-1753816083804

    Beide tunnels zijn geconfigureerd om tegelijkertijd actief te zijn, zonder een back-up.

    5. Klik op Interfacepaar toevoegen.

    6. Klik op Toevoegen. De actieve interface is ingesteld op ipsec1 en er is geen back-upinterface opgegeven.

    anavazar_5-1753814716602

    7. Dezelfde handeling wordt herhaald voor de tweede tunnel, ipsec2.

    anavazar_6-1753814787240

    8. Sla de configuratie op. 

    Beleidsgroep configureren

    1. U kunt het beleid selecteren dat eerder in de beleidsgroep is gemaakt en het opslaan.

    anavazar_7-1753816198800

    2. Zodra het apparaat of de apparaten aan de beleidsgroep zijn gekoppeld, gaat u verder met het implementeren van de beleidsgroep.

    anavazar_8-1753816315910

    Beleidsgroep configureren om verkeer naar SSE om te leiden

    1. Navigeer in SD-WAN Manager naar Configuratie > Beleidsgroepen > Toepassingsprioriteit en SLA.

    • Selecteer Toepassingsprioriteit en SLA-beleid toevoegen
    • Geef een naam op voor het beleid. 

    anavazar_0-1753816520660

    2. Wanneer het nieuwe beleid is weergegeven, selecteert u de schakelaar Geavanceerde lay-out.

    anavazar_1-1753816649756

    3. Selecteer Verkeersbeleidlijst toevoegen.

    • Configureer de VPN's om het verkeer om te leiden naar de SSE-tunnel.
    • Stel de richting en de standaardactie in als dat nodig is en sla op.

    anavazar_0-1753817203096

    4. Selecteer + Regel toevoegen.

    anavazar_3-1753817885016

    5. Configureer uw overeenkomende verkeerscriteria om het verkeer naar de SSE te leiden.
    6. Selecteer Accepteren als basisactie en klik op + Actie.

    7. Zoek naar de Secure Internet Gateway / Secure Service Edge-actie en stel deze in op Secure Service Edge.

    anavazar_2-1753817750018

    anavazar_1-1753817323710


    8. Klik op Match en acties opslaan

    anavazar_1-1753818278651

    9. Klik op Opslaan.

    10. Navigeer naar Configuratie > Beleidsgroepen en selecteer het beleid Toepassingsprioriteit dat u zojuist hebt gemaakt. Opslaan en vervolgens implementeren. 

    anavazar_2-1753818367385

    Verifiëren

    bedrijfsleider

    1. Monitor > Logboeken > Controlelogboeken en zoek naar "sse".

    anavazar_0-1754337599507

    2. U kunt controleren of de VPN voor het delen van context is ingeschakeld door Manager te controleren.

    anavazar_1-1754337662517

    Dashboard voor beveiligde toegang

    contextdeling
    U kunt controleren of de VPN voor het delen van context is ingeschakeld door het SSE-dashboard te controleren,    Bronnen > SD-WAN VPN Service ID's

    anavazar_0-1754335606974


    Tunnel omhoog

    Wanneer de tunnel is geopend en de tracker operationeel is met verkeer dat door de tunnel stroomt, kunt u dit valideren door te navigeren naar Monitor > Activity Search. Op dit scherm zie je het verkeer door de tunnel gaan, zoals verzoeken aan www.cisco.com gegenereerd door de tracker. Deze zichtbaarheid bevestigt dat de tracker actief is en het verkeer door de tunnel controleert

    anavazar_1-1754341895467

    CLI-opdrachten (Command Line Interface)

    Hub2-SIG#show sse all
    ***************************************
    SSE Instance Cisco-Secure-Access
    ***************************************
    Tunnel name : Tunnel16000001
    Site id: 2
    Tunnel id: 655184839
    SSE tunnel name: C8K-D4CE7174-5261-7E6F-91EA-4926BCF4C2DD
    HA role: Active
    Local state: Up
    Tracker state: Up
    Destination Data Center: 44.217.195.188
    Tunnel type: IPSEC
    Provider name: Cisco Secure Access
    Context sharing: CONTEXT_SHARING_SRC_VPN



    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    11-Aug-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Amanda Nava Zarate
      Technisch leider op het gebied van Customer Delivery Engineering

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten