SD-WAN Remote Access (SDRA) configureren via configuratiegroepen

Downloadopties

  • ePub     (1.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (906.7 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:29 augustus 2024
Document-id:222336

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u SD-WAN Remote Access (SDRA) kunt configureren met een bestaande configuratiegroep. 

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Software-defined Wide Area Network (SD-WAN)
    • Public Key Infrastructure (PKI)
    • FlexVPN
    • RADIUS-server

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • C8000V versie 17.12.03a
    •  vManage versie 20.12.03a
    • CA-server (Certificate Authority) met Simple Certificate Enrollment Protocol (SCEP) 
    • AnyConnect Secure Mobility Client versie 4.10.04071

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Certificaatautoriteit (CA) configureren voor beheer

    Deze sectie begeleidt u bij de configuratie van een CA-server (Certificate Authority) voor automatische inschrijving op basis van SCEP via de SD-WAN Manager.

    Opmerking: de apparaten die voor externe toegang zijn ingeschakeld, ontvangen een certificaat van deze certificeringsinstantie. De apparaten gebruiken het certificaat voor verificatie voor clients met externe toegang.

    Stap 1. Navigeer naar Enterprise CA om het CA-certificaat te configureren via vManage. Van vManage GUI:

    Configuratie -> Certificaatautoriteit -> Enterprise CA

    Note

    Certificate Authority

    Opmerking: De andere CA-opties zoals Enterprise CA zonder SCEP, Cisco vManage als CA en Cisco vManage als intermediate CA worden niet ondersteund voor de SD-WAN RA-functie

    Stap 2. Nadat de Enterprise-CA is weergegeven, selecteert u de optie SCEP.

    Certificate enrollment

    Stap 3. Kopieer en plak het CA-certificaat in het vak Wortelcertificaat.

    Stap 4. Vul de gegevens van uw CA-server in:

    Proxy Certificate Authority

    Opmerking: de CA-server is geplaatst in de service VRF 1. De CA-server moet bereikbaar zijn via de service VRF voor alle SD-WAN RA-kopeinden.

    Stap 5. Klik op Certificaatautoriteit opslaan om de configuratie op te slaan.

    Opmerking: De bijbehorende CA-instellingen worden toegepast zodra de configuratie voor externe toegang is voltooid en op het apparaat is geïmplementeerd.

    Voeg het functieprofiel voor externe toegang toe aan een bestaande configuratiegroep.

    Externe toegang instellen door een bestaande configuratiegroep te wijzigen.

    Opmerking: SDRA kan worden geconfigureerd met de CLI-invoegsjabloon of Configuratiegroepen. Het ondersteunt echter niet het gebruik van functiesjablonen.

    Externe toegang inschakelen op VPN-service

    warning-icon

    Waarschuwing: het inschakelen van externe toegang op een VPN-service is een vereiste stap. Zonder dit worden eventuele latere configuraties voor parameters voor externe toegang (profiel/functie) niet doorgegeven aan het apparaat.

    Stap 1. Navigeer vanuit vManage GUI naar Configuration -> Configuration Groups. Klik op de drie puntjes (...) aan de rechterkant van uw reeds bestaande configuratiegroep en klik op Bewerken.

    Configuration Groups

    Stap 2. Blader omlaag naar Serviceprofiel:<name> en vouw de sectie uit. Klik op de drie puntjes (...) aan de rechterkant van het gewenste VPN-profiel en klik op Functie bewerken.

    Configuration Groups 2

    Stap 3. 

    Schakel het selectievakje SD-WAN externe toegang inschakelen in

    Edit Service VPN Feature

    Stap 4. Klik op Save (Opslaan).

    De functie voor externe toegang configureren 

    Stap 1. Navigeer vanuit vManage GUI naar Configuration->Configuration Groups-> <Config Group Name>. Klik op de drie puntjes (...) aan de rechterkant en klik op Bewerken.

    Vouw de sectie Systeemprofiel:<Naam> uit. Klik op Functie toevoegen en zoek naar Externe toegang.

    Add Feature

    SDRA-protocol

    note-icon

    Opmerking: SDRA ondersteunt zowel IPSec als SSL; de handleiding specificeert echter het gebruik van IPSec voor dit laboratorium, waarbij wordt opgemerkt dat SSL-configuratie optioneel is en grotendeels dezelfde stappen volgt.

    RADIUS-server configureren

    Het eerste deel van de configuraties is de Radius Server Setup bij het configureren van externe toegang. Klik op Radiusgroep toevoegen om deze uit te vouwen en vervolgens op Radiusgroep toevoegen.

    Add Radius Group

    Vouw het gedeelte RADIUS Server uit en klik op RADIUS Server toevoegen.

    Vul de RADIUS-serverconfiguratie in met het RADIUS IPv4-adres en -sleutel en klik op Toevoegen zoals in het voorbeeld wordt weergegeven. 

    Add Radius Server

    Vouw het gedeelte RADIUS-groep uit en klik op RADIUS-groep toevoegen.

    Edit AAA Features

    Selecteer de vervolgkeuzelijst links van VPN en selecteer Globaal.

    Voeg de eerder geconfigureerde RADIUS-server toe.

    Nadat u de RADIUS-groep hebt geconfigureerd zoals weergegeven in de afbeelding, klikt u op Toevoegen om de RADIUS-groep op te slaan.

    Add Radius Group

    Dit is een voorbeeld van voltooide RADIUS-configuratie. Klik op Save (Opslaan).

    Edit AAA Feature

    note-icon

    Opmerking: SD-WAN RA headends gebruiken een RADIUS/EAP-server voor verificatie van clients met externe toegang en voor het beheren van het beleid per gebruiker. De RADIUS/EAP-server moet bereikbaar zijn vanaf alle SD-WAN RA-headends in een VPN-service.

    CA Server instellen

    De volgende sectie is de CA Server Setup, maar omdat deze CA is geconfigureerd voor een vorige taak, wordt deze automatisch verwijderd. Geen vereiste configuratie hier.

    Add Feature 2

    AnyConnect EAP Setup configureren

    De volgende sectie is de AnyConnect EAP Setup, in dit scenario wordt de gebruiker geverifieerd en is daarom het selectievakje Gebruikersverificatie geselecteerd (standaard).

    Any Connect EAP Setup

    Opmerking: Als dubbele verificatie voor zowel gebruikers-/wachtwoord- als clientcertificaat gewenst is, selecteert u de optie Gebruikers- en apparaatverificatie. Deze configuratie komt overeen met de CLI-opdracht:authentication remote anyconnect-eap aggregaat cert-request

    AAA-beleid configureren

    Voor deze SDRA-gids bevatten de externe gebruikers een e-maildomein, bijvoorbeeld sdra-user@test.com. Om dit te bereiken, selecteert u de optie Naam afleiden van peer-identiteitsdomein.

    In het wachtwoordveld Beleid: cisco12345

    Edit Remote Access Feature

    Instellingen IKEv2 en IPSec

    U kunt al deze configuraties standaard laten staan en op Opslaan klikken.

    Apparaat koppelen en implementeren

    Zodra Externe toegang is geconfigureerd, gaat u verder met het implementeren van de configuratie via het tabblad Geassocieerde apparaten.

    Associated Devices

    Schakel het selectievakje van het gewenste apparaat in en implementeer. 

    Klik op Volgende

    Voorbeeld van CLI selecteren

    Summary

    Selecteer in het volgende scherm Nog een keer implementeren.

    Verifiëren

    PKI-certificaten aanvragen

    Nadat de implementatie is voltooid, moet u het ID-certificaat via CLI aanvragen op de RA Headend.

    1. Meld u aan bij de CLI RA-kop.

    2. Controleer of de trustpoint-configuratie met succes is geïmplementeerd met de opdracht show run | sec crypto pki trustpoint.

    crypto pki trustpoint sdra_trustpoint
enrollment url http://192.168.6.3:80
fingerprint 8F0B275AA454891B706AC5F27610157C4BE4C277
subject-name CN=SDRA-6-10.0.0.6-Spoke4-CG
vrf 1
revocation-check none
rsakeypair sdra_trustpoint 2048
auto-enroll 80
hash sha256

    3. Controleer of het CA-certificaat (root cert) is geïnstalleerd op het sdra_trustpoint

    show crypto pki cert sdra_trustpoint

    4. Als er geen CA-certificaat is gekoppeld, gaat u verder met de verificatie van de CA-server

    crypto pki authenticate sdra_trustpoint

    5. Vraag het ID-certificaat aan voor het randapparaat dat wordt gebruikt voor de Remote Access (RA)-verbinding

    note-icon

    Opmerking: controleer of de twee vermelde certificaten zijn geïnstalleerd en correct zijn gekoppeld aan het sdra_trustpoint om ervoor te zorgen dat externe toegang functioneert zoals bedoeld.

    crypto pki enroll sdra_trustpoint
    Spoke4-CG#show crypto pki cert sdra_trustpoint 
Certificate
  Status: Available
  Certificate Serial Number (hex): 03
  Certificate Usage: General Purpose
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject:
    Name: Spoke4-CG
    hostname=Spoke4-CG
    cn=SDRA-6-10.0.0.6-Spoke4-CG
  Validity Date: 
    start date: 21:22:15 UTC Apr 26 2024
    end   date: 21:22:15 UTC Apr 26 2025
    renew date: 21:22:14 UTC Feb 12 2025
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#3.cer

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject: 
    cn=CA-SERVER-SDRA-CLUS2024
  Validity Date: 
    start date: 22:37:07 UTC Apr 22 2024
    end   date: 22:37:07 UTC Apr 22 2027
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#1CA.cer

    Crypto PKI-debugs

    Als u problemen ondervindt bij het aanvragen van de certificaten, schakelt u de foutopsporingsopdrachten in om te helpen bij het oplossen van problemen:

           debug crypto pki messages
       debug crypto pki scep
       debug crypto transactions

    Referentie: RADIUS-attributen

    Een RADIUS-server moet worden geconfigureerd met de attribuut-waarde (AV-paar) van Cisco die overeenkomt met de gebruiker voor externe toegang.

    Dit is een voorbeeld van een FreeRADIUS-gebruikersconfiguratie. 

    IPSec Cisco AV Pair Attributen:
    test.com Cleartext-Password := "cisco12345"
     Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
     Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
     Cisco-AVPair += "ipsec:addr-pool=sdra_ip_pool",
     Cisco-AVPair += "ipsec:route-set=prefix 192.168.6.0/24"
     SSL Cisco AV Pair Attributen:
     sdra_sslvpn_policy Cleartext-Password := "cisco"
     Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
     Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
     Cisco-AVPair += "webvpn:addr-pool=sdra_ip_pool"

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    29-Aug-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Amanda Nava
      SD-WAN technisch leider

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco