ePub(1.0 MB) Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle)(906.7 KB) Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:29 augustus 2024
Document-id:222336
Inclusief taalgebruik
De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Over deze vertaling
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Certificaatautoriteit (CA) configureren voor beheer
Deze sectie begeleidt u bij de configuratie van een CA-server (Certificate Authority) voor automatische inschrijving op basis van SCEP via de SD-WAN Manager.
Opmerking: de apparaten die voor externe toegang zijn ingeschakeld, ontvangen een certificaat van deze certificeringsinstantie. De apparaten gebruiken het certificaat voor verificatie voor clients met externe toegang.
Stap 1. Navigeer naarEnterprise CA om het CA-certificaat te configureren via vManage. Van vManage GUI:
Configuratie -> Certificaatautoriteit -> Enterprise CA
Opmerking: De andere CA-opties zoals Enterprise CA zonder SCEP, Cisco vManage als CA en Cisco vManage als intermediate CA worden niet ondersteund voor de SD-WAN RA-functie
Stap 2. Nadat de Enterprise-CA is weergegeven, selecteert u de optieSCEP.
Stap 3. Kopieer en plak het CA-certificaat in het vakWortelcertificaat.
Stap 4. Vul de gegevens van uw CA-server in:
Opmerking: de CA-server is geplaatst in de service VRF 1. De CA-server moet bereikbaar zijn via de service VRF voor alle SD-WAN RA-kopeinden.
Stap 5. Klik op Certificaatautoriteit opslaan om de configuratie op te slaan.
Opmerking: De bijbehorende CA-instellingen worden toegepast zodra de configuratie voor externe toegang is voltooid en op het apparaat is geïmplementeerd.
Voeg het functieprofiel voor externe toegang toe aan een bestaande configuratiegroep.
Externe toegang instellen door een bestaande configuratiegroep te wijzigen.
Opmerking: SDRA kan worden geconfigureerd met de CLI-invoegsjabloon of Configuratiegroepen. Het ondersteunt echter niet het gebruik van functiesjablonen.
Externe toegang inschakelen op VPN-service
Waarschuwing: het inschakelen van externe toegang op een VPN-service is een vereiste stap. Zonder dit worden eventuele latere configuraties voor parameters voor externe toegang (profiel/functie) niet doorgegeven aan het apparaat.
Stap 1. Navigeer vanuit vManage GUI naarConfiguration ->Configuration Groups. Klik op de drie puntjes (...) aan de rechterkant van uw reeds bestaande configuratiegroep en klik opBewerken.
Stap 2. Blader omlaag naarServiceprofiel:<name> en vouw de sectie uit. Klik op de drie puntjes (...) aan de rechterkant van het gewenste VPN-profiel en klik opFunctie bewerken.
Stap 3.
Schakel het selectievakjeSD-WAN externetoegang inschakelen in
Stap 4. Klik op Save (Opslaan).
De functie voor externe toegang configureren
Stap 1. Navigeer vanuit vManage GUI naar Configuration->Configuration Groups-> <Config Group Name>. Klik op de drie puntjes (...) aan de rechterkant en klik op Bewerken.
Vouw de sectie Systeemprofiel:<Naam> uit. Klik op Functie toevoegen en zoek naar Externe toegang.
SDRA-protocol
Opmerking: SDRA ondersteunt zowel IPSec als SSL; de handleiding specificeert echter het gebruik van IPSec voor dit laboratorium, waarbij wordt opgemerkt dat SSL-configuratie optioneel is en grotendeels dezelfde stappen volgt.
RADIUS-server configureren
Het eerste deel van de configuraties is deRadius Server Setup bij het configureren van externe toegang. Klik opRadiusgroep toevoegen om deze uit te vouwen en vervolgens opRadiusgroep toevoegen.
Vouw het gedeelteRADIUS Server uit en klik opRADIUS Server toevoegen.
Vul de RADIUS-serverconfiguratie in met het RADIUS IPv4-adres en -sleutel en klik opToevoegen zoals in het voorbeeld wordt weergegeven.
Vouw het gedeelteRADIUS-groep uit en klik opRADIUS-groep toevoegen.
Selecteer de vervolgkeuzelijst links van VPN en selecteer Globaal.
Voeg de eerder geconfigureerde RADIUS-server toe.
Nadat u de RADIUS-groep hebt geconfigureerd zoals weergegeven in de afbeelding, klikt u opToevoegen om de RADIUS-groep op te slaan.
Dit is een voorbeeld van voltooide RADIUS-configuratie. Klik op Save (Opslaan).
Opmerking: SD-WAN RA headends gebruiken een RADIUS/EAP-server voor verificatie van clients met externe toegang en voor het beheren van het beleid per gebruiker. De RADIUS/EAP-server moet bereikbaar zijn vanaf alle SD-WAN RA-headends in een VPN-service.
CA Server instellen
De volgende sectie is deCA Server Setup, maar omdat deze CA is geconfigureerd voor een vorige taak, wordt deze automatisch verwijderd. Geen vereiste configuratie hier.
AnyConnect EAP Setup configureren
De volgende sectie is de AnyConnect EAP Setup, in dit scenario wordt de gebruiker geverifieerd en is daarom het selectievakje Gebruikersverificatie geselecteerd (standaard).
Opmerking: Als dubbele verificatie voor zowel gebruikers-/wachtwoord- als clientcertificaat gewenst is, selecteert u de optie Gebruikers- en apparaatverificatie. Deze configuratie komt overeen met de CLI-opdracht:authentication remote anyconnect-eap aggregaat cert-request
AAA-beleid configureren
Voor deze SDRA-gids bevatten de externe gebruikers een e-maildomein, bijvoorbeeld sdra-user@test.com. Om dit te bereiken, selecteert u de optie Naam afleiden van peer-identiteitsdomein.
In het wachtwoordveld Beleid: cisco12345
Instellingen IKEv2 en IPSec
U kunt al deze configuraties standaard laten staan en op Opslaan klikken.
Apparaat koppelen en implementeren
Zodra Externe toegang is geconfigureerd, gaat u verder met het implementeren van de configuratie via het tabbladGeassocieerde apparaten.
Schakel het selectievakje van het gewenste apparaat in enimplementeer.
Klik op Volgende
Voorbeeld van CLI selecteren
Selecteer in het volgende schermNog een keer implementeren.
Verifiëren
PKI-certificaten aanvragen
Nadat de implementatie is voltooid, moet u het ID-certificaat via CLI aanvragen op de RA Headend.
1. Meld u aan bij de CLI RA-kop.
2. Controleer of de trustpoint-configuratie met succes is geïmplementeerd met de opdracht show run | sec crypto pki trustpoint.
3. Controleer of het CA-certificaat (root cert) is geïnstalleerd op het sdra_trustpoint
show crypto pki cert sdra_trustpoint
4. Als er geen CA-certificaat is gekoppeld, gaat u verder met de verificatie van de CA-server
crypto pki authenticate sdra_trustpoint
5. Vraag het ID-certificaat aan voor het randapparaat dat wordt gebruikt voor de Remote Access (RA)-verbinding
Opmerking: controleer of de twee vermelde certificaten zijn geïnstalleerd en correct zijn gekoppeld aan het sdra_trustpoint om ervoor te zorgen dat externe toegang functioneert zoals bedoeld.
crypto pki enroll sdra_trustpoint
Spoke4-CG#show crypto pki cert sdra_trustpoint
Certificate
Status: Available
Certificate Serial Number (hex): 03
Certificate Usage: General Purpose
Issuer:
cn=CA-SERVER-SDRA-CLUS2024
Subject:
Name: Spoke4-CG
hostname=Spoke4-CG
cn=SDRA-6-10.0.0.6-Spoke4-CG
Validity Date:
start date: 21:22:15 UTC Apr 26 2024
end date: 21:22:15 UTC Apr 26 2025
renew date: 21:22:14 UTC Feb 12 2025
Associated Trustpoints: sdra_trustpoint
Storage: nvram:CA-SERVER-SD#3.cer
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=CA-SERVER-SDRA-CLUS2024
Subject:
cn=CA-SERVER-SDRA-CLUS2024
Validity Date:
start date: 22:37:07 UTC Apr 22 2024
end date: 22:37:07 UTC Apr 22 2027
Associated Trustpoints: sdra_trustpoint
Storage: nvram:CA-SERVER-SD#1CA.cer
Crypto PKI-debugs
Als u problemen ondervindt bij het aanvragen van de certificaten, schakelt u de foutopsporingsopdrachten in om te helpen bij het oplossen van problemen: