컨피그레이션 그룹을 통해 SD-WAN 원격 액세스(SDRA) 구성

소개

이 문서에서는 기존 컨피그레이션 그룹을 사용하여 SDRA(SD-WAN Remote Access)를 구성하는 방법에 대해 설명합니다. 

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Cisco SD-WAN(소프트웨어 정의 WAN)
• PKI(공개 키 인프라)
• FlexVPN
• RADIUS 서버

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• C8000V 버전 17.12.03a
•  vManage 버전 20.12.03a
• SCEP(Simple Certificate Enrollment Protocol)를 사용하는 CA(Certificate Authority) 서버 
• AnyConnect Secure Mobility Client 버전 4.10.04071

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

Manager에서 CA(Certificate Authority) 구성

이 섹션에서는 SD-WAN Manager를 통한 SCEP 기반 자동 등록을 위한 CA(Certificate Authority) 서버 컨피그레이션을 안내합니다.

참고: 원격 액세스가 활성화된 디바이스는 이 인증 기관에서 인증서를 받습니다. 디바이스는 인증서를 사용하여 원격 액세스 클라이언트를 인증합니다.

1단계. 탐색 엔터프라이즈 CA vManage를 통해 CA 인증서를 구성합니다. vManage GUI에서:

구성 -> 인증 기관 -> 엔터프라이즈 CA

참고: SCEP가 없는 엔터프라이즈 CA, CA로서의 Cisco vManage, 중간 CA로서의 Cisco vManage 등의 다른 CA 옵션은 SD-WAN RA 기능에서 지원되지 않습니다

2단계. 엔터프라이즈 CA가 표시되면 SCEP 옵션을 선택합니다.

3단계. CA 인증서를 복사하여 Root Certificate(루트 인증서) 상자에 붙여넣습니다.

4단계. CA 서버 정보를 입력합니다.

참고: CA 서버는 서비스 VRF 1에 배치되었습니다. 모든 SD-WAN RA 헤드엔드에 대해 서비스 VRF를 통해 CA 서버에 연결할 수 있어야 합니다.

5단계. 컨피그레이션을 저장하려면 Save Certificate Authority를 클릭합니다.

참고: 원격 액세스 컨피그레이션이 완료되고 디바이스에서 구현되면 관련 CA 설정이 적용됩니다.

기존 컨피그레이션 그룹에 원격 액세스 기능 프로필을 추가합니다.

기존 구성 그룹을 수정하여 원격 액세스를 설정합니다.

참고: SDRA는 CLI 애드온 템플릿 또는 컨피그레이션 그룹을 사용하여 구성할 수 있습니다. 그러나 기능 템플릿 사용은 지원하지 않습니다.

서비스 VPN에서 원격 액세스 사용

경고: 서비스 VPN에서 원격 액세스를 활성화하는 것은 필수 단계입니다. 이를 사용하지 않으면 원격 액세스 매개변수(프로파일/기능)에 대한 후속 컨피그레이션이 디바이스로 전파되지 않습니다.

1단계. vManage GUI에서 Configuration(컨피그레이션) -> Configuration Groups(컨피그레이션 그룹)로 이동합니다. 기존 컨피그레이션 그룹의 오른쪽에서 점 3개(...)를 클릭하고 Edit를 클릭합니다.

2단계. 아래로 스크롤하여 Service Profile:<name>(서비스 프로필:<이름>)로 이동한 다음 섹션을 확장합니다. 원하는 VPN 프로파일 오른쪽의 점 3개(...)를 클릭하고 Edit Feature(기능 수정)를 클릭합니다.

3단계. 

확인란을 선택합니다 SD-WAN 원격 액세스 활성화SS

4단계. 저장을 클릭합니다.

원격 액세스 기능 구성 

1단계. vManage GUI에서 Configuration(컨피그레이션) ->Configuration Groups(컨피그레이션 그룹)-> <Config Group Name(컨피그레이션 그룹 이름)>으로 이동합니다. 오른쪽의 점 3개(...)를 클릭하고 편집(Edit)을 클릭합니다.

System Profile:<Name> 섹션을 펼칩니다. 기능 추가를 클릭하고 원격 액세스를 검색합니다.

SDRA 프로토콜

참고: SDRA는 IPSec과 SSL을 모두 지원합니다. 그러나 이 설명서에서는 이 실습에 IPSec을 사용하도록 지정하지만, SSL 컨피그레이션은 선택 사항이며 대부분 동일한 단계를 따릅니다.

RADIUS 서버 구성

컨피그레이션의 첫 번째 부분은 Radius 서버 설정 원격 액세스를 구성할 수 있습니다 클릭 Radius 그룹 추가 확장하여 Radius 그룹 추가.

를 펼칩니다. RADIUS 서버 섹션을 클릭하고 RADIUS 서버 추가.

RADIUS IPv4 Address and Key(RADIUS IPv4 주소 및 키)로 RADIUS 서버 컨피그레이션을 입력하고 Add(추가)를 클릭합니다(예: ). 

를 펼칩니다. RADIUS 그룹 섹션을 클릭하고 RADIUS 그룹 추가.

드롭다운을 선택하여 vpn의 왼쪽에 있는 를 선택하고 Global을 선택합니다.

이전에 구성된 RADIUS 서버를 추가합니다.

R을 구성하면ADIUS Group(ADIUS 그룹)을 클릭합니다. 추가 RADIUS 그룹을 저장합니다.

완료된 RADIUS 컨피그레이션의 예입니다. 저장을 클릭합니다.

참고: SD-WAN RA 헤드엔드는 원격 액세스 클라이언트 인증 및 사용자별 정책 관리를 위해 RADIUS/EAP 서버를 사용합니다. 서비스 VPN의 모든 SD-WAN RA 헤드엔드에서 RADIUS/EAP 서버에 연결할 수 있어야 합니다.

CA 서버 설정

다음 섹션은 CA 서버 설정그러나 이 CA는 이전 작업에서 구성되었으므로 자동으로 가져옵니다. 여기에는 필수 컨피그레이션이 없습니다.

AnyConnect EAP 설정 구성

다음 섹션은 AnyConnect EAP 설정이며, 이 시나리오에서 사용자는 인증되므로 User Authenticationcheck (사용자 인증) 확인란은 선택된 옵션(기본값)입니다.

참고: 사용자/비밀번호 및 클라이언트 인증서 모두에 대한 이중 인증이 필요한 경우 User & Device Authentication 옵션을 선택합니다. 이 컨피그레이션은 CLI 명령: authentication remote anyconnect-eap aggregate cert-request에 해당합니다

AAA 정책 구성

이 SDRA 가이드의 경우 원격 사용자는 이메일 도메인(예: sdra-user@test.com)을 포함합니다. 따라서 이 작업을 수행하려면 Derive Name from Peer Identity Domain(피어 ID 도메인에서 이름 도출) 옵션을 선택합니다.

Policy Passwordfield:cisco12345

IKEv2 및 IPSec 설정

이 모든 컨피그레이션을 기본값으로 유지하고 저장을 클릭할 수 있습니다.

디바이스 연결 및 구축

원격 액세스가 구성되었으면 연결된 디바이스 탭을 클릭합니다.

원하는 장치의 확인란을 선택합니다 및 구축. 

다음을 클릭합니다.

SelectPreview CLI

다음 화면에서 구축 한 번 더

다음을 확인합니다.

PKI 인증서 요청

구축이 완료되면 CLI를 통해 RA 헤드엔드에서 ID 인증서를 요청해야 합니다.

1. CLI RA 헤드엔드에 로그인합니다.

2. show run을 사용하여 신뢰 지점 컨피그레이션이 배포되었는지 확인합니다 | sec crypto pki trustpoint 명령입니다.

crypto pki trustpoint sdra_trustpoint
enrollment url http://192.168.6.3:80
fingerprint 8F0B275AA454891B706AC5F27610157C4BE4C277
subject-name CN=SDRA-6-10.0.0.6-Spoke4-CG
vrf 1
revocation-check none
rsakeypair sdra_trustpoint 2048
auto-enroll 80
hash sha256

3. CA 인증서(루트 인증서)가 sdra_trustpoint에 설치되어 있는지 확인합니다

show crypto pki cert sdra_trustpoint

4. 연결된 CA 인증서가 없으면 CA 서버 인증을 진행합니다

crypto pki authenticate sdra_trustpoint

5. 원격 액세스(RA) 연결에 사용되는 에지 장치의 ID 인증서를 요청합니다.

참고: 원격 액세스가 의도한 대로 작동하는지 확인하려면 나열된 두 인증서가 설치되어 있고 sdra_trustpoint와 올바르게 연결되었는지 확인하십시오.

crypto pki enroll sdra_trustpoint

Spoke4-CG#show crypto pki cert sdra_trustpoint 
Certificate
  Status: Available
  Certificate Serial Number (hex): 03
  Certificate Usage: General Purpose
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject:
    Name: Spoke4-CG
    hostname=Spoke4-CG
    cn=SDRA-6-10.0.0.6-Spoke4-CG
  Validity Date: 
    start date: 21:22:15 UTC Apr 26 2024
    end   date: 21:22:15 UTC Apr 26 2025
    renew date: 21:22:14 UTC Feb 12 2025
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#3.cer

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject: 
    cn=CA-SERVER-SDRA-CLUS2024
  Validity Date: 
    start date: 22:37:07 UTC Apr 22 2024
    end   date: 22:37:07 UTC Apr 22 2027
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#1CA.cer

암호화 PKI 디버깅

인증서를 요청하는 동안 문제가 발생하면 debug 명령을 활성화하여 트러블슈팅을 지원하십시오.

 debug crypto pki messages debug crypto pki scep debug crypto transactions

test.com Cleartext-Password := "cisco12345"
 Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
 Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
 Cisco-AVPair += "ipsec:addr-pool=sdra_ip_pool",
 Cisco-AVPair += "ipsec:route-set=prefix 192.168.6.0/24"

 sdra_sslvpn_policy Cleartext-Password := "cisco"
 Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
 Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
 Cisco-AVPair += "webvpn:addr-pool=sdra_ip_pool"

관련 정보

• AnyConnect 및 ISE 서버로 SD-WAN 원격 액세스 구성
• 기술 지원 및 문서 − Cisco Systems