透過配置組配置SD-WAN遠端訪問(SDRA)

已更新: 2024 年 8 月 29 日

文件 ID:222336

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹如何使用現有配置組配置SD-WAN遠端訪問(SDRA)。

必要條件

需求

思科建議您瞭解以下主題：

思科軟體定義廣域網路(SD-WAN)
PublicKey Infrastructure (PKI) -公開金鑰基礎架構(PKI)
FlexVPN
RADIUS伺服器

採用元件

本文中的資訊係根據以下軟體和硬體版本：

C8000V版本17.12.03a
vManage 20.12.03a版
具有簡單憑證註冊通訊協定(SCEP)的憑證授權單位(CA)伺服器
AnyConnect安全行動化使用者端4.10.04071版

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

在Manager上配置證書頒發機構(CA)

本部分指導您配置證書頒發機構(CA)伺服器，以便透過SD-WAN Manager進行基於SCEP的自動註冊。

注意：啟用遠端訪問的裝置會從此證書頒發機構收到證書。裝置使用證書對遠端訪問客戶端進行身份驗證。

步驟 1.導覽至 企業CA 透過vManage配置CA證書。在vManage GUI上：

配置-> 證書頒發機構-> 企業CA

Note

Certificate Authority

注意：SD-WAN RA功能不支援其他CA選項，如不帶SCEP的企業CA、作為CA的Cisco vManage和作為中間CA的Cisco vManage

步驟 2.顯示企業CA後，選擇 SCEP 選項。

步驟 3. 將CA證書複製並貼上到Root Certificate框中。

步驟 4.填寫您的CA伺服器資訊：

注意：CA伺服器已放置在VRF 1服務中。所有SD-WAN RA前端都必須透過服務VRF才能訪問CA伺服器。

步驟 5.按一下onSave Certificate Authority儲存配置。

注意：完成遠端訪問配置並在裝置上實施後，將應用相關CA設定。

將遠端訪問功能配置檔案增加到現有配置組。

透過修改現有配置組來設定遠端訪問。

注意：可以使用CLI附加模板或配置組配置SDRA。但是，它不支援使用功能模板。

在服務VPN上啟用遠端訪問

警告：在服務VPN上啟用遠端訪問是必需步驟。否則，任何後續的遠端訪問引數（配置檔案/功能）配置都不會傳播到裝置。

步驟 1.在vManage GUI中，導航至配置 -> 配置組。按一下您已存在的配置組右側的三個點(...)，然後按一下Edit。

Configuration Groups

步驟 2. 向下滾動到Service Profile：<name>，然後展開此部分。按一下所需VPN配置檔案右側的三個點(...)並按一下Edit Feature。

Configuration Groups 2

步驟 3.

選中覈取方塊 啟用SD-WAN遠端訪問ss

Edit Service VPN Feature

步驟 4. 點選儲存。

配置遠端訪問功能

步驟 1.在vManage GUI中，導航至配置->配置組-> <配置組名稱>。按一下右邊的三個點(...)，然後按一下「編輯」。

展開System Profile：<Name>部分。按一下Add Features and search forRemote Access。

Add Feature

SDRA通訊協定

注意：SDRA支援IPSec和SSL；但是，本指南指定了本實驗使用IPSec，同時指出SSL配置是可選的，並且大部分遵循相同的步驟。

配置RADIUS伺服器

配置的第一部分是 Radius伺服器設定 配置遠端訪問時。按一下 增加Radius組 將其展開，然後 增加Radius組.

Add Radius Group

展開 RADIUS伺服器 區段，然後按一下 增加RADIUS伺服器.

使用RADIUS IPv4地址和金鑰填寫RADIUS伺服器配置，按一下Add，如示例所示。

Add Radius Server

展開 RADIUS組 區段，然後按一下 增加RADIUS組.

Edit AAA Features

選取下拉式清單（位於VPN的左側），然後選擇Global。

增加以前配置的RADIUS伺服器。

配置R如圖所示的ADIUS Group，點選新增以儲存RADIUS群組。

Add Radius Group

以下是已完成RADIUS設定的範例。按一下Save。

Edit AAA Feature

注意：SD-WAN RA前端使用RADIUS/EAP伺服器對遠端訪問客戶端進行身份驗證以及管理每使用者策略。必須從服務VPN中的所有SD-WAN RA前端訪問RADIUS/EAP伺服器。

CA伺服器設定

下一節是 CA伺服器設定但是，由於此CA是在上一個任務上配置的，因此它會自動提取它。此處沒有必需的配置。

Add Feature 2

配置AnyConnect EAP設定

下一部分是AnyConnect EAP設定，在此場景中使用者透過身份驗證，因此User Authenticationcheck框是所選的選項（預設）。

Any Connect EAP Setup

注意：如果需要對使用者/密碼和客戶端證書進行雙重身份驗證，請選擇使用者和裝置身份驗證選項。此配置與CLI命令相對應：authentication remote anyconnect-eap aggregate cert-request

設定 AAA 原則

對於本SDRA指南，遠端使用者包含一個電子郵件域，例如sdra-user@test.com。因此，要達到此目的，請選擇Derive Name from Peer Identity Domain選項。

在Policy Passwordfield：cisco12345中，

Edit Remote Access Feature

IKEv2和IPSec設定

您可以保留所有這些配置作為預設值並按一下onSave。

關聯裝置和部署

一旦配置了遠端訪問，請繼續透過 關聯裝置 標籤。

Associated Devices

選中所需裝置的覈取方塊和部署.

按一下「下一步」

SelectPreview CLI

Summary

在下一個畫面中，選取部署再來一次。

驗證

請求PKI證書

部署完成後，您需要透過CLI請求RA頭端上的ID證書。

1. 登入到CLI RA頭端。

2. 使用show run驗證是否已成功部署信任點配置 | sec crypto pki trustpoint 命令。

crypto pki trustpoint sdra_trustpoint
enrollment url http://192.168.6.3:80
fingerprint 8F0B275AA454891B706AC5F27610157C4BE4C277
subject-name CN=SDRA-6-10.0.0.6-Spoke4-CG
vrf 1
revocation-check none
rsakeypair sdra_trustpoint 2048
auto-enroll 80
hash sha256

3. 驗證CA證書（根證書）是否已安裝在sdra_trustpoint上

show crypto pki cert sdra_trustpoint

4. 如果沒有關聯的CA證書，則繼續向CA伺服器進行身份驗證

crypto pki authenticate sdra_trustpoint

5. 請求用於遠端訪問(RA)連線的邊緣裝置的ID證書

注意：請驗證所列出的2個證書是否已安裝並與sdra_trustpoint正確關聯，以確保遠端訪問可以按照預期方式運行。

crypto pki enroll sdra_trustpoint

Spoke4-CG#show crypto pki cert sdra_trustpoint 
Certificate
  Status: Available
  Certificate Serial Number (hex): 03
  Certificate Usage: General Purpose
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject:
    Name: Spoke4-CG
    hostname=Spoke4-CG
    cn=SDRA-6-10.0.0.6-Spoke4-CG
  Validity Date: 
    start date: 21:22:15 UTC Apr 26 2024
    end   date: 21:22:15 UTC Apr 26 2025
    renew date: 21:22:14 UTC Feb 12 2025
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#3.cer

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject: 
    cn=CA-SERVER-SDRA-CLUS2024
  Validity Date: 
    start date: 22:37:07 UTC Apr 22 2024
    end   date: 22:37:07 UTC Apr 22 2027
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#1CA.cer

加密PKI調試

如果在請求證書時遇到任何問題，請啟用debug命令以幫助進行故障排除：

 debug crypto pki messages debug crypto pki scep debug crypto transactions

參照：RADIUS屬性

RADIUS伺服器需要設定與遠端存取使用者對應的Cisco attribute-value (AV)配對屬性。

以下是FreeRADIUS使用者配置的示例。

IPSec Cisco AV對屬性：

test.com Cleartext-Password := "cisco12345"
 Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
 Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
 Cisco-AVPair += "ipsec:addr-pool=sdra_ip_pool",
 Cisco-AVPair += "ipsec:route-set=prefix 192.168.6.0/24"

SSL Cisco AV對屬性：

 sdra_sslvpn_policy Cleartext-Password := "cisco"
 Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
 Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
 Cisco-AVPair += "webvpn:addr-pool=sdra_ip_pool"