設定グループによるSD-WANリモートアクセス(SDRA)の設定

はじめに

このドキュメントでは、既存の設定グループを使用してSD-WANリモートアクセス(SDRA)を設定する方法について説明します。 

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco Software-Defined Wide Area Network(SD-WAN)
• 公開キーインフラストラクチャ(PKI)
• FlexVPN
• RADIUS サーバ

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• C8000Vバージョン17.12.03a
•  vManageバージョン20.12.03a
• Simple Certificate Enrollment Protocol(SCEP)を使用する認証局(CA)サーバ 
• AnyConnectセキュアモビリティクライアントバージョン4.10.04071

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

Managerでの認証局(CA)の設定

このセクションでは、SD-WAN Managerを使用したSCEPベースの自動登録用に認証局(CA)サーバを設定する方法について説明します。

注：リモートアクセスが有効になっているデバイスは、この認証局から証明書を受信します。デバイスは、証明書を使用してリモートアクセスクライアントを認証します。

ステップ 1：移動先 エンタープライズ CA vManageを使用してCA証明書を設定します。vManage GUIから：

設定 -> 認証局 -> エンタープライズCA

注:SCEPを使用しないエンタープライズCA、CAとしてのCisco vManage、および中間CAとしてのCisco vManageなどの他のCAオプションは、SD-WAN RA機能ではサポートされていません

ステップ 2：エンタープライズCAが表示されたら、 SCEP オプション.

ステップ 3： CA証明書をコピーして、ルート証明書ボックスに貼り付けます。

ステップ 4：CAサーバ情報を入力します。

注：CAサーバはサービスVRF 1に配置されています。CAサーバには、すべてのSD-WAN RAヘッドエンドのサービスVRFを介して到達できる必要があります。

ステップ 5：Save Certificate Authorityをクリックして、設定を保存します。

注：関連するCA設定は、リモートアクセス設定が完了してデバイスに実装されると適用されます。

リモートアクセス機能プロファイルを既存の設定グループに追加します。

既存の構成グループを変更して、リモートアクセスを設定します。

注:SDRAは、CLIアドオンテンプレートまたは設定グループのいずれかを使用して設定できます。ただし、機能テンプレートの使用はサポートしていません。

サービスVPNでのリモートアクセスの有効化

警告：サービスVPNでリモートアクセスを有効にする手順は必須です。このコマンドを使用しない場合、リモートアクセスパラメータ（プロファイル/機能）の以降の設定はデバイスに伝搬されません。

ステップ 1：vManage GUIから、Configuration -> Configuration Groupsの順に移動します。既存の設定グループの右側にある3つのドット(...)をクリックし、Editをクリックします。

ステップ 2： Service Profile:<name>までスクロールダウンして、セクションを展開します。目的のVPNプロファイルの右側にある3つのドット(...)をクリックし、Edit Featureをクリックします。

ステップ 3： 

チェックボックスをオンにします SD-WANリモートアクセスの有効化ss

ステップ 4： [Save] をクリックします。

リモートアクセス機能の設定 

ステップ 1：vManageのGUIから、Configuration->Configuration Groups-> <Config Group Name>の順に移動します。右側の3つのドット(...)をクリックし、Editをクリックします。

System Profile:<Name>セクションを展開します。機能の追加をクリックし、リモートアクセスを検索します。

SDRAプロトコル

注：SDRAはIPSecとSSLの両方をサポートしていますが、このガイドではIPSecの使用を指定していますが、SSL設定はオプションであり、大部分が同じ手順に従うことに注意してください。

RADIUS サーバの設定

設定の最初の部分は Radiusサーバのセットアップ リモートアクセスを設定する場合。クリック Radiusグループの追加 展開して、 Radiusグループの追加.

を展開 RADIUS サーバ セクションを選択し、 RADIUSサーバの追加.

RADIUSサーバの設定にRADIUS IPv4アドレスとキーを入力し、例に示すようにAddをクリックします。 

を展開 RADIUSグループ セクションを選択し、 RADIUSグループの追加.

ドロップダウンを選択して、 VPNの左側で、Globalを選択します。

以前に設定したRADIUSサーバを追加します。

Rを設定すると、ADIUS Groupをクリックします（図を参照）。 追加 RADIUSグループを保存します。

次に、完了したRADIUS設定の例を示します。[Save] をクリックします。

注:SD-WAN RAヘッドエンドは、リモートアクセスクライアントの認証およびユーザごとのポリシーの管理にRADIUS/EAPサーバを使用します。RADIUS/EAPサーバは、サービスVPN内のすべてのSD-WAN RAヘッドエンドから到達可能である必要があります。

CAサーバセットアップ

次のセクションでは、 CAサーバセットアップただし、このCAは前のタスクで設定されているため、自動的にプルします。ここでは必要な設定はありません。

AnyConnect EAPセットアップの設定

次のセクションはAnyConnect EAP Setupです。このシナリオではユーザは認証されるため、User Authenticationcheck boxはオプションとして選択されます（デフォルト）。

注:ユーザ/パスワードとクライアント証明書の両方にデュアル認証が必要な場合は、User & Device Authenticationオプションを選択します。この設定は、CLIコマンドauthentication remote anyconnect-eap aggregate cert-requestに対応します。

AAA ポリシーの設定

このSDRAガイドでは、リモートユーザにsdra-user@test.comなどの電子メールドメインが含まれています。したがって、これを行うには、Derive Name from Peer Identity Domainオプションを選択します。

Policy Passwordfield:cisco12345

IKEv2とIPSecの設定

これらすべての設定をデフォルトのままにして、onSaveをクリックできます。

デバイスの関連付けと導入

リモートアクセスを設定したら、次の手順に従って設定を展開します。 関連デバイス tab.

目的のデバイスのチェックボックスをオンにします と 展開. 

次をクリック

プレビューCLIを選択

次の画面で、 展開 もう一回。

確認

PKI証明書の要求

導入が完了したら、CLIを使用してRAヘッドエンドのID証明書を要求する必要があります。

1. CLI RAヘッドエンドにログインします。

2. トラストポイント設定が正常に導入されたことを、show run | sec crypto pki trustpoint コマンドを使用します。

crypto pki trustpoint sdra_trustpoint
enrollment url http://192.168.6.3:80
fingerprint 8F0B275AA454891B706AC5F27610157C4BE4C277
subject-name CN=SDRA-6-10.0.0.6-Spoke4-CG
vrf 1
revocation-check none
rsakeypair sdra_trustpoint 2048
auto-enroll 80
hash sha256

3. CA証明書（ルート証明書）がsdra_trustpointにインストールされているかどうかを確認します

show crypto pki cert sdra_trustpoint

4. CA証明書が関連付けられていない場合、CAサーバへの認証に進みます

crypto pki authenticate sdra_trustpoint

5. リモートアクセス(RA)接続に使用するエッジデバイスのID証明書を要求します

注：リモートアクセスが意図したとおりに機能していることを確認するために、リストされている2つの証明書がインストールされており、sdra_trustpointと正しく関連付けられていることを確認してください。

crypto pki enroll sdra_trustpoint

Spoke4-CG#show crypto pki cert sdra_trustpoint 
Certificate
  Status: Available
  Certificate Serial Number (hex): 03
  Certificate Usage: General Purpose
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject:
    Name: Spoke4-CG
    hostname=Spoke4-CG
    cn=SDRA-6-10.0.0.6-Spoke4-CG
  Validity Date: 
    start date: 21:22:15 UTC Apr 26 2024
    end   date: 21:22:15 UTC Apr 26 2025
    renew date: 21:22:14 UTC Feb 12 2025
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#3.cer

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer: 
    cn=CA-SERVER-SDRA-CLUS2024
  Subject: 
    cn=CA-SERVER-SDRA-CLUS2024
  Validity Date: 
    start date: 22:37:07 UTC Apr 22 2024
    end   date: 22:37:07 UTC Apr 22 2027
  Associated Trustpoints: sdra_trustpoint 
  Storage: nvram:CA-SERVER-SD#1CA.cer

暗号化PKIのデバッグ

証明書の要求中に問題が発生した場合は、トラブルシューティングに役立つdebugコマンドを有効にしてください。

 debug crypto pki messages debug crypto pki scep debug crypto transactions

test.com Cleartext-Password := "cisco12345"
 Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
 Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
 Cisco-AVPair += "ipsec:addr-pool=sdra_ip_pool",
 Cisco-AVPair += "ipsec:route-set=prefix 192.168.6.0/24"

 sdra_sslvpn_policy Cleartext-Password := "cisco"
 Cisco-AVPair = "ip:interface-config=vrf forwarding 1",
 Cisco-AVPair += "ip:interface-config=ip unnumbered GigabitEthernet1",
 Cisco-AVPair += "webvpn:addr-pool=sdra_ip_pool"

関連情報

• AnyConnectとISEサーバを使用したSD-WANリモートアクセスの設定
• テクニカル サポートとドキュメント - Cisco Systems