Configurar o acesso remoto (SDRA) SD-WAN por meio de grupos de configuração

Opções de download

  • ePub     (1.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (907.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:29 de agosto de 2024
ID do documento:222336

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar o acesso remoto SD-WAN (SDRA) usando um grupo de configuração existente. 

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Rede de longa distância definida por software da Cisco (SD-WAN)
    • Infraestrutura de chave pública (PKI)
    • FlexVPN
    • servidor RADIUS

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • C8000V versão 17.12.03a
    •  vManage versão 20.12.03a
    • Servidor de Autoridade de Certificação (CA) com protocolo de registro de certificado simples (SCEP) 
    • AnyConnect Secure Mobility Client versão 4.10.04071

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar Autoridade de Certificação (CA) no Gerenciador

    Esta seção o guia pela configuração de um servidor de Autoridade de Certificação (CA) para inscrição automática baseada em SCEP através do Gerenciador de SD-WAN.

    Observação: os dispositivos habilitados para acesso remoto recebem um certificado desta autoridade de certificação. Os dispositivos usam o certificado para autenticar clientes de acesso remoto.

    Etapa 1. Navegue até CA Corporativa para configurar o certificado CA através do vManage. Na GUI do vManage:

    Configuração -> Autoridade de Certificação -> Autoridade de Certificação Corporativa

    Note

    Certificate Authority

    Observação: as outras opções de CA, como CA empresarial sem SCEP, Cisco vManage como CA e Cisco vManage como CA intermediária, não são suportadas para o recurso SD-WAN RA

    Etapa 2. Depois que a CA Corporativa for exibida, selecione a SCEP opção.

    Certificate enrollment

    Etapa 3. Copie e cole o certificado CA na caixa Certificado raiz.

    Etapa 4. Preencha as informações do servidor de CA:

    Proxy Certificate Authority

    Observação: o servidor de CA foi colocado no serviço VRF 1. O servidor de CA deve estar acessível através do serviço VRF para todos os headends de RA SD-WAN.

    Etapa 5. Clique em Salvar autoridade de certificado para salvar a configuração.

    Observação: as configurações de CA relacionadas são aplicadas quando a configuração de acesso remoto é concluída e implementada no dispositivo.

    Adicione o Perfil de recurso de acesso remoto a um Grupo de configuração existente.

    Configure o acesso remoto modificando um grupo de configuração existente.

    Observação: a SDRA pode ser configurada usando o modelo de complemento CLI ou Grupos de configuração. No entanto, ele não suporta o uso de modelos de recursos.

    Habilitar o acesso remoto na VPN de serviço

    warning-icon

    Aviso: a habilitação do acesso remoto em uma VPN de serviço é uma etapa obrigatória. Sem isso, nenhuma configuração subsequente para parâmetros de acesso remoto (perfil/recurso) será propagada para o dispositivo.

    Etapa 1. Na GUI do vManage, navegue até Configuration -> Configuration Groups. Clique nos três pontos (...) à direita do seu grupo de configuração preexistente e clique em Editar.

    Configuration Groups

    Etapa 2. Role para baixo até Service Profile:<name> e expanda a seção. Clique nos três pontos (...) à direita do perfil de VPN desejado e clique em Edit Feature.

    Configuration Groups 2

    Etapa 3. 

    Marque a caixa de seleção Habilitar acesso remoto SD-WANss

    Edit Service VPN Feature

    Etapa 4. Click Save.

    Configurar o recurso de acesso remoto 

    Etapa 1. Na GUI do vManage, navegue atéConfiguration->Configuration Groups-> <Config Group Name>. Clique nos três pontos (...) no lado direito e clique emEditar.

    Expanda a seção Perfil do sistema:<Nome>. Clique em Adicionar recurso e procure porAcesso remoto.

    Add Feature

    Protocolo SDRA

    note-icon

    Observação: o SDRA suporta IPSec e SSL; no entanto, o guia especifica o uso de IPSec para este laboratório, enquanto observa que a configuração de SSL é opcional e segue amplamente as mesmas etapas.

    Configurar servidor RADIUS

    A primeira parte das configurações é a Configuração do servidor Radius ao configurar o acesso remoto. Clique em Adicionar grupo Radius para expandi-la e, em seguida, Adicionar grupo Radius.

    Add Radius Group

    Expanda a Servidor RADIUS e clique em Adicionar servidor RADIUS.

    Preencha a configuração do servidor RADIUS com o Endereço IPv4 e a Chave RADIUS e clique em Adicionar conforme mostrado no exemplo. 

    Add Radius Server

    Expanda a Grupo RADIUS e clique em Adicionar grupo RADIUS.

    Edit AAA Features

    Selecione a lista suspensa para à esquerda de VPN e selecione Global.

    Adicione o servidor RADIUS que foi configurado anteriormente.

    Depois de configurar o RADIUS Group como mostrado na imagem, clique em adi para salvar o grupo RADIUS.

    Add Radius Group

    Este é um exemplo de configuração RADIUS concluída. Click Save.

    Edit AAA Feature

    note-icon

    Observação: os headends da RA da SD-WAN usam um servidor RADIUS/EAP para autenticação de clientes de acesso remoto e para gerenciar a política por usuário. O servidor RADIUS/EAP deve estar acessível a partir de todos os headends do RA da SD-WAN em uma VPN de serviço.

    Configuração do servidor CA

    A próxima seção é a Configuração do servidor CANo entanto, como esta CA foi configurada em uma tarefa anterior, ela a extrai automaticamente. Nenhuma configuração necessária aqui.

    Add Feature 2

    Configurar o AnyConnect EAP

    A próxima seção é a configuração do AnyConnect EAP, nesse cenário, o usuário é autenticado, portanto a caixa de seleçãoUsuário Autenticaçãoé a opção selecionada (padrão).

    Any Connect EAP Setup

    Observação: se a autenticação dupla para usuário/senha e certificado de cliente for desejada, selecione a opção Autenticação de usuário e dispositivo. Essa configuração corresponde ao comando CLI:authentication remote anyconnect-eap aggregate cert-request

    Configurar a política de AAA

    Para este guia SDRA, os usuários remotos contêm um domínio de e-mail, por exemplo, sdra-user@test.com. Portanto, para conseguir isso, selecione a opção Derivar nome do domínio de identidade de mesmo nível.

    No campo Policy Passwordfield:cisco12345

    Edit Remote Access Feature

    Configurações de IKEv2 e IPSec

    Você pode deixar todas essas configurações como padrão e clicar em Salvar.

    Associar dispositivo e implantar

    Depois que o acesso remoto tiver sido configurado, continue a implantar a configuração por meio do Dispositivos associados guia.

    Associated Devices

    Marque a caixa de seleção do dispositivo desejado e Implantar

    CliquePróximo

    CLI SelectPreview

    Summary

    Na próxima tela, selecione Implantar mais uma vez.

    Verificar

    Solicitar certificados PKI

    Após a conclusão da implantação, você precisa solicitar o certificado de ID no Headend do RA por meio da CLI.

    1. Faça login no Headend do RA da CLI.

    2. Verifique se a configuração do ponto de confiança foi implantada com êxito com o comando show run | comando sec crypto pki trustpoint.

    crypto pki trustpoint sdra_trustpoint
enrollment url http://192.168.6.3:80
fingerprint 8F0B275AA454891B706AC5F27610157C4BE4C277
subject-name CN=SDRA-6-10.0.0.6-Spoke4-CG
vrf 1
revocation-check none
rsakeypair sdra_trustpoint 2048
auto-enroll 80
hash sha256

    3. Verifique se o Certificado de CA (certificado raiz) está instalado no sdra_trustpoint

    show crypto pki cert sdra_trustpoint

    4. Se não houver um Certificado de CA associado, faça a autenticação no Servidor de CA

    crypto pki authenticate sdra_trustpoint

    5. Solicite o Certificado de ID para o dispositivo de borda que é utilizado para a conexão de Acesso Remoto (RA)

    note-icon

    Observação: verifique se os dois certificados listados estão instalados e corretamente associados ao sdra_trustpoint para garantir que o acesso remoto funcione conforme pretendido.

    crypto pki enroll sdra_trustpoint
    Spoke4-CG#show crypto pki cert sdra_trustpoint 
Certificate
  Status: Available
  Certificate Serial Number (hex): 03
  Certificate Usage: General Purpose
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject:
    Name: Spoke4-CG
    hostname=Spoke4-CG
    cn=SDRA-6-10.0.0.6-Spoke4-CG
  Validity Date: 
    start date: 21:22:15 UTC Apr 26 2024
    end   date: 21:22:15 UTC Apr 26 2025
    renew date: 21:22:14 UTC Feb 12 2025
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#3.cer

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject: 
    cn=CA-SERVER-SDRA-CLUS2024
  Validity Date: 
    start date: 22:37:07 UTC Apr 22 2024
    end   date: 22:37:07 UTC Apr 22 2027
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#1CA.cer

    Depurações de criptografia PKI

    Se você encontrar algum problema ao solicitar os certificados, habilite os comandos debug para ajudar na solução de problemas:

     debug crypto pki messages debug crypto pki scep debug crypto transactions

    Referência: Atributos RADIUS

    Um servidor RADIUS precisa ser configurado com os atributos do par atributo-valor (AV) da Cisco correspondentes ao usuário de acesso remoto.

    Este é um exemplo de uma configuração de usuário FreeRADIUS. 

    Atributos do par IPSec Cisco AV: 
    test.com Cleartext-Password := "cisco12345"
     Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
     Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
     Cisco-AVPair += "ipsec:addr-pool=sdra_ip_pool",
     Cisco-AVPair += "ipsec:route-set=prefix 192.168.6.0/24"
     Atributos do par SSL Cisco AV: 
     sdra_sslvpn_policy Cleartext-Password := "cisco"
     Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
     Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
     Cisco-AVPair += "webvpn:addr-pool=sdra_ip_pool"

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    29-Aug-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Amanda Nava
      Líder técnico em SD-WAN

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco