Configurazione dell'accesso remoto SD-WAN (SDRA) tramite i gruppi di configurazione

Introduzione

Questo documento descrive come configurare SD-WAN Remote Access (SDRA) utilizzando un gruppo di configurazione esistente. 

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Software Cisco Defined Wide Area Network (SD-WAN)
• Infrastruttura a chiave pubblica (PKI)
• FlexVPN
• server RADIUS

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• C800V versione 17.12.03a
•  vManage versione 20.12.03a
• Server CA (Certification Authority) con SCEP (Simple Certificate Enrollment Protocol) 
• AnyConnect Secure Mobility Client versione 4.10.04071

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configura CA (Certification Authority) in Gestione

In questa sezione viene illustrata la configurazione di un server CA (Certification Authority) per la registrazione automatica basata su SCEP tramite SD-WAN Manager.

Nota: i dispositivi abilitati per l'accesso remoto ricevono un certificato da questa autorità di certificazione. I dispositivi utilizzano il certificato per l'autenticazione ai client di accesso remoto.

Passaggio 1. Passa a CA Enterprise per configurare il certificato CA tramite vManage. Dalla GUI vManage:

Configuration -> Certificate Authority -> Enterprise CA

Nota: le altre opzioni CA, ad esempio CA aziendale senza SCEP, Cisco vManage come CA e Cisco vManage come CA intermedia, non sono supportate per la funzione RA SD-WAN

Passaggio 2. Una volta visualizzata la CA Enterprise, selezionare la casella di controllo SCEP opzione.

Passaggio 3. Copiare e incollare il certificato CA nella casella Certificato radice.

Passaggio 4. Immettere le informazioni sul server CA:

Nota: il server CA è stato inserito nel servizio VRF 1. Il server CA deve essere raggiungibile tramite il servizio VRF per tutti gli headend RA SD-WAN.

Passaggio 5. Fare clic su Save Certificate Authority per salvare la configurazione.

Nota: le impostazioni CA correlate vengono applicate al termine della configurazione dell'accesso remoto e vengono implementate nel dispositivo.

Aggiungere il profilo della funzionalità di accesso remoto a un gruppo di configurazione esistente.

Configurare l'accesso remoto modificando un gruppo di configurazione esistente.

Nota: SDRA può essere configurato utilizzando il modello aggiuntivo CLI o i gruppi di configurazione. Tuttavia, non supporta l'utilizzo di modelli di feature.

Abilita accesso remoto sulla VPN del servizio

Avviso: abilitare l'accesso remoto su una VPN del servizio è un passaggio obbligatorio. In caso contrario, le configurazioni successive per i parametri di accesso remoto (profilo/funzionalità) non verranno propagate al dispositivo.

Passaggio 1. Dalla GUI vManage, selezionare Configuration -> Configuration Groups (Configurazione - Gruppi di configurazione). Fare clic sui tre punti (...) sul lato destro del gruppo di configurazione preesistente e fare clic su Modifica.

Passaggio 2. Scorrere verso il basso fino a Profilo servizio:<nome>, quindi espandere la sezione. Fare clic sui tre punti (...) sul lato destro del profilo VPN desiderato e fare clic su Modifica funzionalità.

Passaggio 3. 

Selezionare la casella di controllo Abilita accesso remoto SD-WANss

Passaggio 4. Fare clic su Save (Salva).

Configurare la funzionalità Accesso remoto 

Passaggio 1. Dalla GUI di vManage, selezionare Configuration->Configuration Groups-> <Config Group Name>. Fate clic sui tre punti (...) sul lato destro e selezionate Modifica (Edit).

Espandere la sezione Profilo di sistema:<Nome>. Fare clic su Aggiungi funzionalità e cercare Accesso remoto.

Protocollo SDRA

Nota: SDRA supporta sia IPSec che SSL. Tuttavia, la guida specifica l'utilizzo di IPSec per questa esercitazione, osservando che la configurazione SSL è facoltativa e segue in gran parte gli stessi passaggi.

Configura server RADIUS

La prima parte delle configurazioni è la Configurazione server Radius durante la configurazione dell'accesso remoto. Fare clic su  Aggiungi gruppo raggio per espanderlo e quindi Aggiungi gruppo raggio.

Espandere la Server RADIUS e fare clic su Aggiungi server RADIUS.

Completare la configurazione del server RADIUS con l'indirizzo IPv4 e la chiave RADIUS e fare clic su Add (Aggiungi) come mostrato nell'esempio. 

Espandere la Gruppo RADIUS e fare clic su Aggiungi gruppo RADIUS.

Selezionare l'elenco a discesa per a sinistra di VPN e selezionare Globale.

Aggiungere il server RADIUS configurato in precedenza.

Una volta configurato il routerGruppo ADIUS come mostrato nella figura, fare clic su Aggiungi per salvare il gruppo RADIUS.

Questo è un esempio di configurazione di RADIUS completata. Fare clic su Save (Salva).

Nota: gli headend RA SD-WAN utilizzano un server RADIUS/EAP per l'autenticazione dei client di accesso remoto e per la gestione dei criteri per utente. Il server RADIUS/EAP deve essere raggiungibile da tutti gli headend RSA SD-WAN in una VPN di servizio.

Installazione di CA Server

La sezione successiva è la Installazione di CA ServerTuttavia, poiché la CA è stata configurata per un'operazione precedente, viene estratta automaticamente. Nessuna configurazione richiesta.

Configurazione della configurazione di AnyConnect EAP

La sezione successiva è la configurazione di AnyConnect EAP, in questo scenario l'utente viene autenticato, quindi la casella di controllo Autenticazione utente è selezionata (impostazione predefinita).

Nota: se si desidera l'autenticazione doppia per il certificato utente/password e client, selezionare l'opzione Autenticazione utente e dispositivo. Questa configurazione corrisponde al comando CLI:authentication remote anyconnect-eap aggregate cert-request

configurazione della policy AAA

Per questa guida SDRA, gli utenti remoti contengono un dominio di posta elettronica, ad esempio sdra-user@test.com. Per ottenere questo risultato, selezionare l'opzione Deriva nome da dominio identità peer.

Nel campo della password della policy:cisco12345

Impostazioni IKEv2 e IPSec

È possibile mantenere tutte queste configurazioni come predefinite e fare clic su Salva.

Associa dispositivo e distribuisci

Dopo aver configurato Accesso remoto, procedere alla distribuzione della configurazione tramite Dispositivi associati scheda.

Selezionare la casella di controllo della periferica desiderata e Implementazione. 

Fare clic su Avanti

SelezionaAnteprima CLI

Nella schermata successiva, selezionare Implementazione un'altra volta.

Verifica

Richiedi certificati PKI

Al termine della distribuzione, è necessario richiedere il certificato ID sull'headend RA tramite la CLI.

1. Accedere all'headend CLI RA.

2. Verificare che la configurazione del trust point sia stata distribuita correttamente con il comando show run | sec crypto pki trustpoint.

crypto pki trustpoint sdra_trustpoint
enrollment url http://192.168.6.3:80
fingerprint 8F0B275AA454891B706AC5F27610157C4BE4C277
subject-name CN=SDRA-6-10.0.0.6-Spoke4-CG
vrf 1
revocation-check none
rsakeypair sdra_trustpoint 2048
auto-enroll 80
hash sha256

3. Verificare se il certificato CA (certificato radice) è installato in sdra_trustpoint

show crypto pki cert sdra_trustpoint

4. Se non è associato alcun certificato CA, procedere all'autenticazione al server CA

crypto pki authenticate sdra_trustpoint

5. Richiedere il certificato ID per il dispositivo perimetrale utilizzato per la connessione di accesso remoto (RA)

Nota: verificare che i due certificati elencati siano installati e associati correttamente a sdra_trustpoint per garantire il corretto funzionamento dell'accesso remoto.

crypto pki enroll sdra_trustpoint

Spoke4-CG#show crypto pki cert sdra_trustpoint 
Certificate
  Status: Available
  Certificate Serial Number (hex): 03
  Certificate Usage: General Purpose
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject:
    Name: Spoke4-CG
    hostname=Spoke4-CG
    cn=SDRA-6-10.0.0.6-Spoke4-CG
  Validity Date: 
    start date: 21:22:15 UTC Apr 26 2024
    end   date: 21:22:15 UTC Apr 26 2025
    renew date: 21:22:14 UTC Feb 12 2025
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#3.cer

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject: 
    cn=CA-SERVER-SDRA-CLUS2024
  Validity Date: 
    start date: 22:37:07 UTC Apr 22 2024
    end   date: 22:37:07 UTC Apr 22 2027
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#1CA.cer

Debug della PKI crittografica

In caso di problemi durante la richiesta dei certificati, abilitare i comandi di debug per facilitare la risoluzione dei problemi:

 debug crypto pki messages debug crypto pki scep debug crypto transactions

test.com Cleartext-Password := "cisco12345"
 Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
 Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
 Cisco-AVPair += "ipsec:addr-pool=sdra_ip_pool",
 Cisco-AVPair += "ipsec:route-set=prefix 192.168.6.0/24"

 sdra_sslvpn_policy Cleartext-Password := "cisco"
 Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
 Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
 Cisco-AVPair += "webvpn:addr-pool=sdra_ip_pool"

Informazioni correlate

• Configurazione dell'accesso remoto SD-WAN con AnyConnect e ISE Server
• Documentazione e supporto tecnico – Cisco Systems