SD-WAN externe toegang (SDRA) configureren via configuratiegroepen

Downloadopties

  • ePub     (1.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (906.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:29 augustus 2024
Document-id:222336

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u SD-WAN Remote Access (SDRA) kunt configureren met behulp van een bestaande configuratiegroep. 

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Software-defined Wide Area Network (SD-WAN)
    • Public Key Infrastructuur (PKI)
    • FlexVPN
    • RADIUS-server

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • C800V versie 17.12.03a
    •  vManager versie 20.12.03a
    • CA-server (Certificate Authority) met eenvoudig certificaat inschrijvingsprotocol (SCEP) 
    • AnyConnect Secure Mobility-clientversie 4.10.04071

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Certificaatautoriteit (CA) configureren op beheerder

    Deze sectie leidt u door de configuratie van een server van het Certificaat van de Autoriteit (CA) voor op SCEP-Gebaseerde automatische inschrijving via de Manager SD-WAN.

    Opmerking: de apparaten die zijn ingeschakeld voor toegang op afstand ontvangen een certificaat van deze certificeringsinstantie. De apparaten gebruiken het certificaat om te verifiëren voor externe toegangsclients.

    Stap 1. Naar navigeren CA voor ondernemingen het CA-certificaat configureren via vManager. Van vManager GUI:

    Configuratie -> Certificaatinstantie -> Enterprise-CA

    Note

    Certificate Authority

    Opmerking: de andere CA-opties, zoals Enterprise CA zonder SCEP, Cisco vManager als CA en Cisco vManager als bemiddelende CA, worden niet ondersteund voor de SD-WAN RA-functie

    Stap 2. Nadat de Enterprise-CA is weergegeven, selecteert u de SCEP optie.

    Certificate enrollment

    Stap 3. Kopieer en plak het CA-certificaat in het vak basiscertificaat.

    Stap 4. Vul uw CA Server informatie in:

    Proxy Certificate Authority

    Opmerking: de CA-server is in de service VRF 1 geplaatst. CA-server moet bereikbaar zijn via de service VRF voor alle SD-WAN RA head-ends.

    Stap 5. Klik op Certificaatautoriteit opslaan om de configuratie op te slaan.

    Opmerking: de bijbehorende CA-instellingen worden toegepast zodra de configuratie van de externe toegang is voltooid en geïmplementeerd op het apparaat.

    Voeg het functieprofiel voor externe toegang toe aan een bestaande configuratiegroep.

    Stel externe toegang in door een bestaande configuratiegroep te wijzigen.

    Opmerking: SDRA kan worden geconfigureerd met de CLI add-on-sjabloon of met Configuration Groups. Het ondersteunt echter niet het gebruik van functiesjablonen.

    Toegang op afstand via Service VPN inschakelen

    warning-icon

    Waarschuwing: het inschakelen van externe toegang op een service-VPN is een vereiste stap. Zonder dit, worden om het even welke verdere configuraties voor verre toegangsparameters (profiel/eigenschap) niet verspreid aan het apparaat.

    Stap 1. Navigeer vanuit de vManager GUI naar Configuration -> Configuration Groups. Klik op de drie punten (...) aan de rechterkant van uw reeds bestaande configuratiegroep en klik op Bewerken.

    Configuration Groups

    Stap 2. Blader naar beneden naar Serviceprofiel:<name>en vouw de sectie uit. Klik op de drie punten (...) rechts van het gewenste VPN-profiel en klik op Functie bewerken.

    Configuration Groups 2

    Stap 3. 

    Selecteer het aankruisvakje SD-WAN externe toegang inschakelenss

    Edit Service VPN Feature

    Stap 4. Klik op Save (Opslaan).

    De functie Externe toegang configureren 

    Stap 1. Navigeer vanuit vManager GUI naar Configuration->Configuration Groups-> <Config Group Name>. Klik op de drie punten (...) aan de rechterkant en klik op Bewerken.

    Breid het systeemprofiel uit: sectie<Name>. Klik op Functie toevoegen en zoek naar externe toegang.

    Add Feature

    SDRA-protocol

    note-icon

    Opmerking: SDRA ondersteunt zowel IPSec als SSL; de handleiding specificeert echter het gebruik van IPSec voor dit lab, terwijl ze opmerkt dat SSL-configuratie optioneel is en grotendeels dezelfde stappen volgt.

    RADIUS-server configureren

    Het eerste deel van de configuraties is de Instellen RADIUS-server bij het configureren van externe toegang. Klik op de knop  Radius-groep toevoegen om het uit te breiden, en dan Radius-groep toevoegen.

    Add Radius Group

    Breid de RADIUS-server sectie, en klik RADIUS-server toevoegen.

    Vul de RADIUS-serverconfiguratie in met het RADIUS IPv4-adres en de RADIUS-sleutel en klik op Add zoals in het voorbeeld wordt getoond. 

    Add Radius Server

    Breid de RADIUS-groep sectie, en klik RADIUS-groep toevoegen.

    Edit AAA Features

    Selecteer de vervolgkeuzelijst links van VPN, en selecteer Globaal.

    Voeg de RADIUS-server toe die eerder is geconfigureerd.

    Zodra u de R hebt geconfigureerdADIUS Group zoals getoond in de foto, klik Toevoegen om de RADIUS-groep op te slaan.

    Add Radius Group

    Dit is een voorbeeld van voltooide RADIUS-configuratie. Klik op Save (Opslaan).

    Edit AAA Feature

    note-icon

    Opmerking: SD-WAN RA head-ends gebruiken een RADIUS/EAP-server voor de verificatie van externe toegangsclients en voor het beheer van het beleid per gebruiker. De RADIUS/EAP-server moet bereikbaar zijn vanuit alle SD-WAN RA head-ends in een VPN-service.

    Instellen CA-server

    Het volgende deel is het volgende Instellen CA-serverMaar aangezien deze CA op een vorige taak is geconfigureerd, wordt deze automatisch verwijderd. Geen vereiste configuratie hier.

    Add Feature 2

    EAP-instellingen voor AnyConnect configureren

    De volgende sectie is deAnyConnect EAP Setup, in dit scenario wordt de gebruiker geverifieerd. Daarom is het selectievakje Gebruikersverificatie de geselecteerde optie (standaard).

    Any Connect EAP Setup

    Opmerking: Als dubbele verificatie voor zowel gebruiker/wachtwoord als clientcertificaat gewenst is, selecteert u de optie Gebruiker en Apparaatverificatie. Deze configuratie komt overeen met de CLI-opdracht:verificatie op afstand van elk connect-gap samengestelde cert-verzoek

    AAA-beleid configureren

    Voor deze SDRA gids bevatten de externe gebruikers een e-maildomein, bijvoorbeeld sdra-user@test.com. Om dit te bereiken selecteert u daarom de optieNaam afleiden uit peer Identity Domain.

    In het veld Policy Passwordfield:cisco12345

    Edit Remote Access Feature

    IKEv2- en IPSec-instellingen

    U kunt al deze configuraties standaard laten en op Opslaan klikken.

    Apparaat koppelen en implementeren

    Nadat Remote Access is geconfigureerd, gaat u verder met de implementatie van de configuratie via de Verwante apparaten tabblad.

    Associated Devices

    Schakel het selectievakje van het gewenste apparaat in en Implementeren

    Klik op Volgende

    SelectPreview CLI

    Summary

    Selecteer in het volgende scherm Implementeren nog één keer.

    Verifiëren

    PKI-certificaten aanvragen

    Nadat de implementatie is voltooid, moet u via CLI het ID-certificaat aanvragen op de RA Head-end.

    1. Log in op de CLI RA Head-end.

    2. Controleer of de trustpoint configuratie met succes is geïmplementeerd in de show run | sec crypto pki trustpoint opdracht.

    crypto pki trustpoint sdra_trustpoint
enrollment url http://192.168.6.3:80
fingerprint 8F0B275AA454891B706AC5F27610157C4BE4C277
subject-name CN=SDRA-6-10.0.0.6-Spoke4-CG
vrf 1
revocation-check none
rsakeypair sdra_trustpoint 2048
auto-enroll 80
hash sha256

    3. Controleer of het CA-certificaat (root cert) is geïnstalleerd op de sdra_trustpoint

    show crypto pki cert sdra_trustpoint

    4. Als er geen CA-certificaat is gekoppeld, gaat u over tot verificatie op de CA-server

    crypto pki authenticate sdra_trustpoint

    5. Vraag het ID-certificaat aan voor het randapparaat dat wordt gebruikt voor de RA-verbinding (Remote Access)

    note-icon

    Opmerking: Controleer of de twee vermelde certificaten zijn geïnstalleerd en correct zijn gekoppeld aan de sdra_trustpoint om er zeker van te zijn dat toegang op afstand functioneert zoals bedoeld.

    crypto pki enroll sdra_trustpoint
    Spoke4-CG#show crypto pki cert sdra_trustpoint 
Certificate
  Status: Available
  Certificate Serial Number (hex): 03
  Certificate Usage: General Purpose
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject:
    Name: Spoke4-CG
    hostname=Spoke4-CG
    cn=SDRA-6-10.0.0.6-Spoke4-CG
  Validity Date: 
    start date: 21:22:15 UTC Apr 26 2024
    end   date: 21:22:15 UTC Apr 26 2025
    renew date: 21:22:14 UTC Feb 12 2025
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#3.cer

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject: 
    cn=CA-SERVER-SDRA-CLUS2024
  Validity Date: 
    start date: 22:37:07 UTC Apr 22 2024
    end   date: 22:37:07 UTC Apr 22 2027
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#1CA.cer

    Crypto PKI-debugs

    Als u problemen ondervindt bij het aanvragen van de certificaten, dient u de debug-opdrachten in te schakelen om te helpen bij het oplossen van problemen:

     debug crypto pki messages debug crypto pki scep debug crypto transactions

    Referentie: RADIUS-kenmerken

    Een RADIUS-server moet worden geconfigureerd met de Cisco attribuut-waarde (AV) paar-kenmerken die overeenkomen met de gebruiker van de externe toegang.

    Dit is een voorbeeld van een FreeRADIUS gebruikersconfiguratie. 

    IPsec Cisco AV-paarkenmerken: 
    test.com Cleartext-Password := "cisco12345"
     Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
     Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
     Cisco-AVPair += "ipsec:addr-pool=sdra_ip_pool",
     Cisco-AVPair += "ipsec:route-set=prefix 192.168.6.0/24"
     SSL Cisco AV-paarkenmerken: 
     sdra_sslvpn_policy Cleartext-Password := "cisco"
     Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
     Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
     Cisco-AVPair += "webvpn:addr-pool=sdra_ip_pool"

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    29-Aug-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Amanda Nava
      SD-WAN technische leider

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco