通过配置组配置SD-WAN远程访问(SDRA)

下载选项

ePub (1.0 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (900.0 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2024 年 8 月 29 日

文档 ID:222336

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何使用现有配置组配置SD-WAN远程访问(SDRA)。

先决条件

要求

Cisco 建议您了解以下主题：

思科软件定义的广域网(SD-WAN)
PublicKey Infrastructure(PKI)
FlexVPN
RADIUS 服务器

使用的组件

本文档中的信息基于以下软件和硬件版本：

C8000V版本17.12.03a
vManage版本20.12.03a
使用简单证书注册协议(SCEP)的证书颁发机构(CA)服务器
AnyConnect安全移动客户端4.10.04071版

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

在Manager上配置证书颁发机构(CA)

本部分指导您通过SD-WAN Manager完成基于SCEP的自动注册的证书颁发机构(CA)服务器的配置。

注意：启用远程访问的设备会收到来自此证书颁发机构的证书。设备使用证书对远程访问客户端进行身份验证。

步骤1.导航到企业CA以通过vManage配置CA证书。从vManage GUI:

Configuration -> Certificate Authority -> Enterprise CA

Note

Certificate Authority

注:SD-WAN RA功能不支持其他CA选项，如不带SCEP的企业CA、Cisco vManage as CA和Cisco vManage as intermediate CA

步骤2.显示企业CA后，选择SCEP选项。

步骤3.将CA证书复制并粘贴到Root Certificate框中。

步骤4.填写您的CA服务器信息：

注意：已将CA服务器置于服务VRF 1中。所有SD-WAN RA头端都必须通过服务VRF访问CA服务器。

步骤5.单击Save Certificate Authority保存配置。

注意:远程访问配置完成并在设备上实施后，将应用相关CA设置。

将远程访问功能配置文件添加到现有配置组。

通过修改现有配置组设置远程访问。

注:可以使用CLI附加模板或配置组配置SDRA。但是，它不支持使用功能模板。

在服务VPN上启用远程访问

警告：在服务VPN上启用远程访问是必需的步骤。否则，远程访问参数（配置文件/功能）的任何后续配置都不会传播到设备。

步骤1.从vManage GUI导航到配置->配置组。点击现有配置组右侧的三个点(...)，然后点击编辑。

Configuration Groups

步骤2.向下滚动到Service Profile:<name>，然后展开部分。点击所需VPN配置文件右侧的三个点(...),然后点击Edit Feature。

Configuration Groups 2

第 3 步：

选中启用SD-WAN远程访问复选框

Edit Service VPN Feature

步骤4.点击保存。

配置远程访问功能

步骤1.在vManage GUI中，导航到Configuration ->Configuration Groups -> <Config Group Name>。点击右侧的三个点(...)，然后点击Edit。

展开System Profile:<Name>部分。点击Add Features并搜索Remote Access。

Add Feature

SDRA协议

注意：SDRA支持IPSec和SSL;但是，本指南指定在本实验中使用IPSec，同时指出SSL配置是可选的，并且在很大程度上遵循相同的步骤。

配置RADIUS服务器

配置的第一部分是配置远程访问时的Radius Server Setup。单击Add Radius Group将其展开，然后单击Add Radius Group。

Add Radius Group

展开RADIUS Server部分，然后单击Add RADIUS Server。

使用RADIUS IPv4 Address and Key填充RADIUS服务器配置，然后单击Add，如示例所示。

Add Radius Server

展开RADIUS Group部分，然后单击Add RADIUS Group。

Edit AAA Features

选择VPN左侧的下拉列表，然后选择Global。

添加以前配置的RADIUS服务器。

如图所示配置RADIUS组后，单击Add保存RADIUS组。

Add Radius Group

这是已完成的RADIUS配置示例。Click Save.

Edit AAA Feature

注意：SD-WAN RA前端使用RADIUS/EAP服务器对远程访问客户端进行身份验证并管理每用户策略。RADIUS/EAP服务器必须可从服务VPN中的所有SD-WAN RA前端访问。

CA服务器设置

下一部分是CA Server Setup，但由于此CA是在上一个任务上配置的，因此它会自动拉出它。此处没有必需的配置。

Add Feature 2

配置AnyConnect EAP设置

下一部分是AnyConnect EAP Setup，在此方案中，用户通过身份验证，因此User Authentication复选框是选定的选项（默认）。

Any Connect EAP Setup

注意：如果需要对用户/密码和客户端证书进行双重身份验证，请选择User & Device Authentication选项。此配置对应于CLI命令：authentication remote anyconnect-eap aggregate cert-request

配置 AAA 策略

对于本SDRA指南，远程用户包含一个电子邮件域，例如sdra-user@test.com。因此，要实现此目的，请选择Derive Name from Peer Identity Domain。

在Policy Password字段中：cisco12345

Edit Remote Access Feature

IKEv2和IPSec设置

您可以保留所有这些配置为默认值，然后单击onSave。

关联设备和部署

配置远程访问后，通过Associated Devices选项卡继续部署配置。

Associated Devices

选中所需设备的复选框并部署。

单击“下一步”

选择预览CLI

Summary

在下一个屏幕中，选择Deploy多部署一次。

验证

请求PKI证书

部署完成后，您需要通过CLI请求RA头端上的ID证书。

1.登录到CLI RA前端。

2.使用show run命令验证信任点配置是否已成功部署 | sec crypto pki trustpoint命令。

crypto pki trustpoint sdra_trustpoint
enrollment url http://192.168.6.3:80
fingerprint 8F0B275AA454891B706AC5F27610157C4BE4C277
subject-name CN=SDRA-6-10.0.0.6-Spoke4-CG
vrf 1
revocation-check none
rsakeypair sdra_trustpoint 2048
auto-enroll 80
hash sha256

3.验证CA证书（根证书）是否安装在sdra_trustpoint上

show crypto pki cert sdra_trustpoint

4.如果没有关联的CA证书，请继续向CA服务器进行身份验证

crypto pki authenticate sdra_trustpoint

5.请求用于远程访问(RA)连接的边缘设备的ID证书

注意：请验证列出的两个证书是否已安装并且与sdra_trustpoint正确关联，以确保远程访问功能符合预期。

crypto pki enroll sdra_trustpoint

Spoke4-CG#show crypto pki cert sdra_trustpoint 
Certificate
  Status: Available
  Certificate Serial Number (hex): 03
  Certificate Usage: General Purpose
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject:
    Name: Spoke4-CG
    hostname=Spoke4-CG
    cn=SDRA-6-10.0.0.6-Spoke4-CG
  Validity Date: 
    start date: 21:22:15 UTC Apr 26 2024
    end   date: 21:22:15 UTC Apr 26 2025
    renew date: 21:22:14 UTC Feb 12 2025
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#3.cer

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject: 
    cn=CA-SERVER-SDRA-CLUS2024
  Validity Date: 
    start date: 22:37:07 UTC Apr 22 2024
    end   date: 22:37:07 UTC Apr 22 2027
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#1CA.cer

加密PKI调试

如果您在请求证书时遇到任何问题，请启用debug命令以帮助进行故障排除：

       debug crypto pki messages
       debug crypto pki scep
       debug crypto transactions

参考:RADIUS属性

RADIUS服务器需要配置与远程访问用户对应的思科属性值(AV)属性。

这是FreeRADIUS用户配置的示例。

IPSec Cisco AV对属性：

test.com Cleartext-Password := "cisco12345"
 Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
 Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
 Cisco-AVPair += "ipsec:addr-pool=sdra_ip_pool",
 Cisco-AVPair += "ipsec:route-set=prefix 192.168.6.0/24"

SSL思科AV对属性：

 sdra_sslvpn_policy Cleartext-Password := "cisco"
 Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
 Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
 Cisco-AVPair += "webvpn:addr-pool=sdra_ip_pool"