Provisionamento seguro de dispositivos de rede
Contents
Introduction
Este documento descreve a abordagem passo a passo de um dispositivo Cisco para integrar com segurança a rede por meio de pesquisa de DNS, que é uma maneira recomendada quando o dispositivo de rede e o controlador de DNAC estão em locais remotos e o cliente deseja provisionar um dispositivo de rede pela Internet pública.
Informações de Apoio
Há maneiras diferentes de integrar um dispositivo de rede com o uso do Cisco Plug & Play Day0.
- Opções específicas do fornecedor de DHCP
- pesquisa de DNS
- Redirecionamento de nuvem da Cisco
Para ter uma comunicação segura na Internet pública, você precisa instalar um certificado seguro no DNAC. Siga este documento para configurar um servidor DHCP, servidor DNS, gerar e instalar certificado SSL. Se você já tiver a chave de certificado + e precisar instalá-la no DNAC, siga o documento da Etapa 11. Neste documento:
- O dispositivo Cat9K é o agente PNP.
- "pnpserver.cisco.com" é o nome FQDN do controlador DNAC.
- O switch Cisco é configurado como Servidor DNS e Servidor DHCP.
Prerequisites
Gerar e instalar certificado SSL no DNAC
Por padrão, o DNAC vem com um certificado autoassinado pré-instalado bom para a integração de dispositivos de rede em uma rede privada. No entanto, a Cisco recomenda que você importe um certificado X.509 válido de sua CA interna para comunicação segura para o dispositivo de rede onboard de um local remoto pela Internet pública.
Aqui está um exemplo para baixar e instalar o certificado Open SSL emitido pela Cisco no DNAC.
Para fazer o download do certificado, primeiro é necessário criar um CSR.
Procedimento
Etapa 1. Use um cliente SSH para fazer login no cluster do Cisco DNA Center e criar uma pasta temporária em /home/maglev, por exemplo, insira o comando mkdir tls-cert;cd tls-cert enquanto estiver no diretório inicial.
Etapa 2. Antes de prosseguir, certifique-se de que o nome de host (FQDN) do Cisco DNA Center esteja definido no momento da configuração do Cisco DNA Center inserindo o comando de exibição de rede do cluster maglev:
Input
$ maglev cluster network display
Output
cluster_network:
cluster_dns: 169.254.20.10
cluster_hostname: fqdn.cisco.com
Note: Você precisa ter privilégios de raiz para executar esse comando.
Se o campo de saída cluster_hostname estiver vazio ou não for o que você deseja, adicione ou altere o nome de host do Cisco DNA Center (FQDN) inserindo o comando maglev cluster config-update:
Input
$ maglev-config update
Output
Maglev config wizard GUI
Note: Você precisa ter privilégios de raiz para executar esse comando.
Toque e clique em Avançar até ver a etapa intitulada MAGLEV CLUSTER DETAILS contendo o nome de host do cluster do prompt de entrada. Defina o nome do host para o FQDN do Cisco DNA Center desejado. Clique em Next e continue até que o Cisco DNA Center seja reconfigurado com o novo FQDN.
Etapa 3. Use um editor de texto de sua escolha, crie um arquivo chamado openssl.cnf e faça o upload para o diretório que você criou na etapa anterior. Use este exemplo como seu guia, mas ajuste-o para se adequar à sua implantação.
- Ajuste default_bits e default_md se sua equipe de administração de autoridade de certificação exigir 2048/sha256.
- Especifique valores para cada campo nas seções req_Distingued_name e alt_names. A única exceção é o campo OU, que é opcional. Omita o campo OU se a equipe de administração da autoridade de certificação não o exigir.
- O campo de endereço de e-mail é opcional; omita-o se a equipe de administração da autoridade de certificação não o exigir.
- alt_names section: Os requisitos de configuração do certificado variam dependendo da versão do Cisco DNA Center.
O suporte completo dos FQDNs no certificado do Cisco DNA Center está disponível a partir do Cisco DNA Center 2.1.1. Para versões do Cisco DNA Center anteriores à 2.1.1, você precisa de um certificado com endereços IP definidos no campo Nome alternativo do assunto (SAN). As configurações da seção alt_names para Cisco DNA Center versões 2.1.1 e posteriores e Cisco DNA Center versões anteriores a 2.1.1 são as seguintes:
Cisco DNA Center versões 2.1.1 e posteriores:
1. Preste muita atenção à seção alt_names, que deve conter todos os nomes DNS (incluindo o Cisco DNA Center FQDN) usados para acessar o Cisco DNA Center, por um navegador da Web ou por um processo automatizado, como PnP ou Cisco ISE. A primeira entrada DNS na seção alt_names deve conter o FQDN do Cisco DNA Center (DNS.1 = FQDN-of-Cisco-DNA-Center). Não é possível adicionar uma entrada DNS curinga no lugar do FQDN do Cisco DNA Center, mas você pode usar um curinga nas entradas DNS subsequentes na seção alt-names (para PnP e outras entradas DNS). Por exemplo, *.domain.com é uma entrada válida.
Importante: Se você estiver usando o mesmo certificado para a configuração de recuperação de desastres, os curingas não serão permitidos ao adicionar uma entrada DNS para um local do sistema de recuperação de desastres na seção alt_names. No entanto, recomendamos que você use um certificado separado para uma configuração de recuperação de desastres. Para obter mais informações, consulte a seção "Adicionar certificado de recuperação de desastre" no Cisco DNA Center Administrator Guide.
2. A seção alt_names deve conter FQDN-of-Cisco-DNA-Center como uma entrada DNS e deve corresponder ao nome de host do Cisco DNA Center (FQDN) definido durante a configuração do Cisco DNA Center através do assistente de configuração (no campo de entrada "Nome de host do cluster"). O Cisco DNA Center atualmente suporta apenas um nome de host (FQDN) para todas as interfaces. Se estiver usando tanto a porta de gerenciamento quanto a de empresa no Cisco DNA Center para conectar dispositivos ao Cisco DNA Center em sua rede, você deverá configurar a política de GeoDNS para resolver o IP/IP virtual de gerenciamento e o IP/IP corporativo/virtual para o nome de host (FQDN) do Cisco DNA Center com base na rede da qual a consulta DNS é recebida. A configuração da política GeoDNS não é necessária se você estiver usando somente a porta corporativa no Cisco DNA Center para conectar dispositivos ao Cisco DNA Center em sua rede.
Note: Se você habilitou a recuperação de desastres para o Cisco DNA Center, configure a política de GeoDNS para resolver o IP virtual de gerenciamento de recuperação de desastres e o IP virtual corporativo de recuperação de desastres para o nome de host do Cisco DNA Center (FQDN) com base na rede de onde a consulta DNS é recebida.
3. Versões do Cisco DNA Center anteriores a 2.1.1:
Preste muita atenção à seção alt_names, que deve conter todos os endereços IP e nomes DNS usados para acessar o Cisco DNA Center, por um navegador da Web ou por um processo automatizado, como PnP ou Cisco ISE. (Este exemplo pressupõe um cluster do Cisco DNA Center de três nós. Se você tiver um dispositivo autônomo, use SANs somente para esse nó e o VIP. Se você agrupar o dispositivo posteriormente, talvez queira recriar o certificado para incluir os endereços IP dos novos membros do cluster.)
Se uma interface de nuvem não estiver configurada, omita os campos da porta de nuvem.
- Na extensão extendedKeyUsage, os atributos serverAuth e clientAuth são obrigatórios. Se você omitir um dos atributos, o Cisco DNA Center rejeitará o certificado SSL.
- Se você estiver importando um certificado autoassinado (não recomendado), ele deverá conter a extensão "CA:TRUE" das Restrições Básicas do X.509.
Exemplo openssl.cnf (aplicável para Cisco DNA Center versões 2.1.1 e posteriores):
req_extensions = v3_req
distinguished_name = req_distinguished_name
default_bits = 4096
default_md = sha512
prompt = no
[req_distinguished_name]
C = <two-letter-country-code>
ST = <state-or-province>
L = <city>
O = <company-name>
OU = MyDivision
CN = FQDN-of-Cisco-DNA-Center
emailAddress = responsible-user@mycompany.tld
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = FQDN-of-Cisco-DNA-Center
DNS.2 = pnpserver.DomainAssignedByDHCPDuringPnP.tld
DNS.3 = *.domain.com
Example openssl.cnf (Applicable for Cisco DNA Center versions earlier than 2.1.1)
req_extensions = v3_req
distinguished_name = req_distinguished_name
default_bits = 4096
default_md = sha512
prompt = no
[req_distinguished_name]
C = <two-letter-country-code>
ST = <state-or-province>
L = <city> O = <company-name>
OU = MyDivision
CN = FQDN-of-Cisco-DNA-Center
emailAddress = responsible-user@mycompany.tld
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = FQDN-of-Cisco-DNA-Center
DNS.2 = pnpserver.DomainAssignedByDHCPDuringPnP.tld
IP.1 = Enterprise port IP node #1
IP.2 = Enterprise port IP node #2
IP.3 = Enterprise port IP node #3
IP.4 = Enterprise port VIP
IP.5 = Cluster port IP node #1
IP.6 = Cluster port IP node #2
IP.7 = Cluster port IP node #3
IP.8 = Cluster port VIP
IP.9 = GUI port IP node #1
IP.10 = GUI port IP node #2
IP.11 = GUI port IP node #3
IP.12 = GUI port VIP
IP.13 = Cloud port IP node #1
IP.14 = Cloud port IP node #2
IP.15 = Cloud port IP node #3
IP.16 = Cloud port VIP
Note: Se você não incluir os endereços IP do cluster no arquivo openssl.cnf, não poderá programar a ativação da imagem de software. Para corrigir esse problema, adicione os endereços IP do cluster como SANs ao certificado.
Usando um editor de texto de sua escolha, crie um arquivo chamado openssl.cnf e faça o upload para o diretório que você criou na etapa anterior. Use este exemplo como seu guia, mas ajuste-o para se adequar à sua implantação.
- Ajuste default_bits e default_md se sua equipe de administração de autoridade de certificação exigir 2048/sha256.
- Especifique valores para cada campo nas seções req_Distingued_name e alt_names. A única exceção é o campo OU, que é opcional. Omita o campo OU se a equipe de administração da autoridade de certificação não o exigir.
- O campo EmailAddress é opcional; omita-o se a equipe de administração da autoridade de certificação não o exigir.
- alt_names section: Os requisitos de configuração do certificado variam dependendo da versão do Cisco DNA Center.
-
O suporte a FQDNs está disponível a partir do Cisco DNA Center 2.1.1. Para versões do Cisco DNA Center anteriores à 2.1.1, você precisa de um certificado com endereços IP no nome alternativo do assunto (SAN). As configurações da seção alt_names para o Cisco DNA Center versões 2.1.1 e posteriores, e as versões do Cisco DNA Center anteriores à 2.1.1. são as seguintes:
-
Cisco DNA Center versões 2.1.1 e posteriores:
Preste muita atenção à seção alt_names, que deve conter todos os nomes DNS (incluindo o Cisco DNA Center FQDN) usados para acessar o Cisco DNA Center, por um navegador da Web ou por um processo automatizado, como PnP ou Cisco ISE.
A primeira entrada DNS na seção alt_names deve conter o FQDN do Cisco DNA Center (DNS.1 = FQDN-of-Cisco-DNA-Center). Não é possível adicionar uma entrada DNS curinga no lugar do FQDN do Cisco DNA Center. Mas você pode usar um curinga nas entradas DNS subsequentes na seção alt-names (para PnP e outras entradas DNS). Por exemplo, *.domain.com é uma entrada válida.
Importante: se você estiver usando o mesmo certificado para a configuração de recuperação de desastres, os curingas não serão permitidos ao adicionar uma entrada DNS para um local do sistema de recuperação de desastres na seção alt_names. No entanto, recomendamos que você use um certificado separado para uma configuração de recuperação de desastres. Para obter mais informações, consulte a seção "Adicionar certificado de recuperação de desastre" no Cisco DNA Center Administrator Guide.
- A seção alt_names deve conter FQDN-of-Cisco-DNA-Center como uma entrada DNS e deve corresponder ao nome de host do Cisco DNA Center (FQDN) definido durante a configuração do Cisco DNA Center através do assistente de configuração (no campo de entrada "Nome de host do cluster").
O Cisco DNA Center atualmente suporta apenas um nome de host (FQDN) para todas as interfaces. Você deve configurar a política de GeoDNS para resolver para o IP/IP virtual de gerenciamento e IP/IP corporativo para o nome de host (FQDN) do Cisco DNA Center com base na rede da qual a consulta DNS é recebida.
Observação: se você ativou a recuperação de desastres para o Cisco DNA Center, configure a política de GeoDNS para resolver o IP virtual de gerenciamento de recuperação de desastres e o IP virtual corporativo de recuperação de desastres para o nome de host (FQDN) do Cisco DNA Center com base na rede de onde a consulta DNS é recebida.
- Versões do Cisco DNA Center anteriores a 2.1.1:
Preste muita atenção à seção alt_names, que deve conter todos os endereços IP e nomes DNS usados para acessar o Cisco DNA Center, por um navegador da Web ou por um processo automatizado, como PnP ou Cisco ISE. (Este exemplo pressupõe um cluster do Cisco DNA Center de três nós. Se você tiver um dispositivo autônomo, use SANs somente para esse nó e o VIP. Se você agrupar o dispositivo posteriormente, talvez queira recriar o certificado para incluir os endereços IP dos novos membros do cluster.)
- Se uma interface de nuvem não estiver configurada, omita os campos da porta de nuvem.
- Na extensão extendedKeyUsage, os atributos serverAuth e clientAuth são obrigatórios. Se você omitir um dos atributos, o Cisco DNA Center rejeitará o certificado SSL.
- Se você estiver importando um certificado autoassinado (não recomendado), ele deverá conter a extensão "CA:TRUE" das Restrições Básicas do X.509.
Exemplo openssl.cnf (aplicável para Cisco DNA Center versões 2.1.1 e posteriores)
req_extensions = v3_reqdistinguished_name = req_distinguished_namedefault_bits = 4096default_md
= sha512prompt = no[req_distinguished_name]C = <two-letter-country-code>ST = <state-or-province>L
= <city>O = <company-name>OU = MyDivisionCN = FQDN-of-Cisco-DNA-CenteremailAddress =
responsible-user@mycompany.tld [ v3_req ]basicConstraints = CA:FALSEkeyUsage = digitalSignature,
keyEnciphermentextendedKeyUsage=serverAuth,clientAuthsubjectAltName = @alt_names[alt_names]DNS.1 =
FQDN-of-Cisco-DNA-CenterDNS.2 = pnpserver.DomainAssignedByDHCPDuringPnP.tldDNS.3 = *.domain.com
Exemplo openssl.cnf (aplicável para Cisco DNA Center versões anteriores a 2.1.1)
req_extensions = v3_reqdistinguished_name = req_distinguished_namedefault_bits = 4096default_md
= sha512prompt = no[req_distinguished_name]C = <two-letter-country-code>ST = <state-or-province>L
= <city> O = <company-name>OU = MyDivisionCN = FQDN-of-Cisco-DNA-Centeron-GUI-portemailAddress =
responsible-user@mycompany.tld[ v3_req ]basicConstraints = CA:FALSEkeyUsage = nonRepudiation,
digitalSignature, keyEnciphermentextendedKeyUsage=serverAuth,clientAuthsubjectAltName =
@alt_names[alt_names]DNS.1 = FQDN-of-Cisco-DNA-Center-on-GUI-portDNS.2 =
FQDN-of-Cisco-DNA-Center-on-enterprise-portDNS.3 = pnpserver.DomainAssignedByDHCPDuringPnP.tldIP.1 =
Enterprise port IP node #1IP.2 = Enterprise port IP node #2IP.3 = Enterprise port IP node #3IP.4 =
Enterprise port VIPIP.5 = Cluster port IP node #1IP.6 = Cluster port IP node #2IP.7 =
Cluster port IP node #3IP.8 = Cluster port VIPIP.9 = GUI port IP node #1IP.10 = GUI port IP node #2IP.11
= GUI port IP node #3IP.12 = GUI port VIPIP.13 = Cloud port IP node #1IP.14 = Cloud port IP node #2IP.15
= Cloud port IP node #3IP.16 = Cloud port VIP
Observação: se você não incluir os endereços IP do cluster no arquivo openssl.cnf, não será possível programar a ativação da imagem de software. Para corrigir esse problema, adicione os endereços IP do cluster como SANs ao certificado.
Neste caso, abaixo está a configuração de my openssl.conf
req_extensions = v3_req
distinguished_name = req_distinguished_name
default_bits = 4096
default_md = sha512
prompt = no
[req_distinguished_name]
C = US
ST = California
L = Milpitas
O = Cisco Systems Inc.
OU = MyDivision
CN = noc-dnac.cisco.com
emailAddress = sit-noc-team@cisco.com
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = noc-dnac.cisco.com
DNS.2 = pnpserver.cisco.com
IP.1 = 10.10.0.160
IP.2 = 10.29.51.160
Etapa 4. Digite este comando para criar uma chave privada. Ajuste o comprimento da chave para 2048, se exigido pela sua equipe de administração da autoridade de certificação. openssl genrsa -out csr.key 4096
Etapa 5. Depois de preencher os campos no arquivo openssl.cnf, use a chave privada que você criou na etapa anterior para gerar a Solicitação de assinatura de certificado.
openssl req -config openssl.cnf -new -key csr.key -out DNAC.csr
Etapa 6. Verifique o conteúdo da Solicitação de assinatura de certificado e certifique-se de que os nomes DNS (e endereços IP para a versão do Cisco DNA Center anterior à 2.1.1) sejam preenchidos corretamente no campo Nome alternativo do assunto.
openssl req -text -noout -verify -in DNAC.csr
Passo 7. Copie a solicitação de assinatura de certificado e cole-a em uma CA (por exemplo, Cisco Open SSL).
Vá para o link para baixar o certificado. https://sslcerts.cisco.com/sslrequest/
Clique em "Solicitar certificado" para fazer o download do certificado permanente pagando US$ 100.
Ou clique em "Solicitar certificado de teste limitado" para fins limitados.
O usuário receberá um e-mail com as informações do certificado. Clique com o botão direito do mouse e faça o download de todos os três arquivos PEM em seu notebook. Nesse caso, recebi 3 arquivos separados, portanto, pule a etapa 8 e continue na etapa 9.
Etapa 8. Se o emissor do certificado fornecer a cadeia completa do certificado (servidor e CA) em p7b, faça o seguinte:
Baixe o pacote p7b no formato DER e salve-o como dnac-chain.p7b.
Copie o certificado dnac-chain.p7b para o cluster do Cisco DNA Center por meio do SSH.
Digite este comando:
openssl pkcs7 -in dnac-chain.p7b -inform DER -out dnac-chain.pem -print_certs
Etapa 9. Se o emissor do certificado fornecer o certificado e sua cadeia de CA do emitente em arquivos incompletos, faça o seguinte:
Faça o download dos arquivos PEM (base64) ou use openssl para converter DER em PEM.
Concatenar o certificado e sua CA emitente, começando com o certificado, seguido por CA subordinada, até a CA raiz e enviá-lo para o arquivo dnac-chain.pem.
cat certificate.cer subCA.cer rootCA.cer > dnac-chain.pem
Etapa 10. Copie o arquivo dnac-chain.pem do seu laptop para o Cisco DNA Center no diretório tls-cert criado acima.
Etapa 11. Na GUI do Cisco DNA Center, clique no ícone Menu () e escolha Sistema > Configurações > Certificados.
Etapa 12. Clique em Substituir certificado.
Etapa 13. No campo Certificado, clique no botão de opção PEM e execute as seguintes tarefas.
- Para o campo Certificado, importe o arquivo dnac-chain.pem arrastando e soltando-o no campo Arrastar n' Soltar um arquivo aqui.
- Para o campo Chave privada, importe a chave privada (csr.key) arrastando e soltando esse arquivo no campo Arrastar n' Soltar um arquivo aqui.
- Escolha Não na lista suspensa Criptografado para a chave privada.
Etapa 14. Clique em Carregar/Ativar. Faça logoff e logon novamente no DNAC.
Configuração:
Configuração do servidor DHCP:
Configure um pool de servidores DHCP para atribuir um endereço IP ao DUT. Também configura o servidor DHCP
para enviar o nome de domínio e o endereço IP do servidor DNS.
ip dhcp pool PNP-A4
network 172.4.15.0 255.255.255.252
default-router 172.4.15.2
domain-name cisco.com
dns-server 1.1.1.23
Configuração do servidor DNS. Configure um servidor DNS em sua rede para resolver o nome FQDN do DNAC.
ip dns server
ip host pnpserver.cisco.com <dnac-controller-ip >
Etapa 1. O novo dispositivo a ser integrado é cabeado e ligado. Como a configuração de inicialização na NVRAM está vazia, o agente PnP é disparado e envia "Cisco PnP" na Opção 60 de DHCP na mensagem DHCP DISCOVER.
Etapa 2. O servidor DHCP não está configurado para reconhecer o "Cisco PnP" na Opção 60, ele ignora a Opção 60. O servidor DHCP atribui um endereço IP e envia a oferta de DHCP junto com o nome de domínio configurado e o endereço IP do servidor DNS.
Etapa 3. O agente PnP lê o nome de domínio e formula o nome de host do servidor PnP totalmente qualificado, acrescentando o nome de domínio à string "pnpserver". Se o nome de domínio for "xyz.com", o nome de host totalmente qualificado do servidor PnP seria "pnpserver.xyz.com". O agente PnP resolve "pnpserver.xyz.com" para seu endereço IP com o servidor DNS recebido nas opções de DHCP.
Exemplo quando o agente pnp é acionado para integração:
Ligue um novo switch ou "write erase" seguido de reload em caso de implantação de campo marrom
Verifique o fluxo de trabalho abaixo no console do switch.
Would you like to enter the initial configuration dialog? [yes/no]:
*Jan 19 22:23:21.981: %IOSXE-0-PLATFORM: R0/0: udev: disk0: has been inserted
Autoinstall trying DHCPv6 on Vlan1
Autoinstall trying DHCPv4 on Vlan1
Autoinstall trying DHCPv6 on Vlan1
Redundant RPs -
Autoinstall trying DHCPv6 on Vlan119
Autoinstall trying DHCPv6 on Vlan119
Acquired IPv4 address 172.4.15.3 on Interface Vlan119
Received following DHCPv4 options:
domain-name : cisco.com
dns-server-ip : 1.1.1.23
si-addr : 1.1.1.21
stop Autoip process
OK to enter CLI now...
pnp-discovery can be monitored without entering enable mode
Entering enable mode will stop pnp-discovery
Autoinstall trying DHCPv6 on Vlan119
Guestshell destroyed successfully
Autoinstall trying DHCPv6 on Vlan119
Press RETURN to get started!
Informações Relacionadas
- https://developer.cisco.com/site/open-plug-n-play/learn/learn-open-pnp-protocol/
- https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/hardening_guide/b_dnac_security_best_practices_guide.html#Cisco_Concept.dita_6b42a5a9-5e77-4bf2-b05b-78a742b6888b
- Suporte Técnico e Documentação - Cisco Systems
Feedback