De configuratie van DN-gebaseerde cryptokaarten voor VPN-toegangscontrole voor apparaten

Downloadopties

  • PDF     (254.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (106.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (100.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:19 januari 2006
Document-id:18303

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u op een DN-gebaseerde crypto-kaarten (Distinguished Name) kunt configureren om toegangscontrole te bieden zodat een VPN-apparaat VPN-tunnels met een Cisco IOS®-router kan opzetten. In het voorbeeld van dit document zijn Rivest, Shamir en Adelman (RSA) handtekening de methode voor de IKE-verificatie. Naast de standaard certificatie-validatie proberen op DN gebaseerde cryptokaarten de ISAKMP-identiteit van de peer aan te passen aan bepaalde velden in zijn certificaten, zoals de X.500 voorname naam of de volledig gekwalificeerde domeinnaam (FQDN).

Voorwaarden

Vereisten

Deze optie is eerst geïntroduceerd in Cisco IOS-softwarerelease 12.2(4)T. U moet deze release of later uitvoeren voor deze configuratie.

De Cisco IOS-softwarerelease 12.3(5)S is ook getest. De op ISDN gebaseerde cryptokaarten zijn echter mislukt als gevolg van Cisco bug-id CSC45783 (alleen geregistreerde klanten).

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco 7200 routers

  • Cisco IOS-softwarerelease 12.2(4)T1, c720-IKE8o3s-mz.12-4.T1

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Eerder, tijdens IKE-verificatie met de RSA-handtekeningsmethode, en na certificatievalidatie en optionele CRL-controle (Certificate Revocation List), heeft Cisco IOS de IKE Quick Mode-onderhandeling voortgezet. Het bood geen methode om te voorkomen dat de externe VPN-apparaten zouden communiceren met versleutelde interfaces, anders dan beperkingen op het IP-adres van de versleutelingspeer.

Nu met op ISDN gebaseerde cryptokaart, kan Cisco IOS externe VPN-peers beperken tot alleen toegang tot geselecteerde interfaces met specifieke certificaten. Met name certificaten met bepaalde DN’s of FQDN’s.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Netwerkdiagram

Dit document gebruikt de netwerkinstallatie die in dit diagram wordt getoond.

vpn_dn_01.gif

Configuraties

Dit document maakt gebruik van de hier getoonde configuraties.

In dit voorbeeld, wordt een eenvoudige netwerkopstelling gebruikt om de eigenschap aan te tonen. SJhub router heeft twee identiteitscertificaten, een van Entrust certificate authority (CA) en de andere van Microsoft CA. Verwante informatie bekijken

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
15-Jan-2002
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco