Dit document beschrijft hoe u op een DN-gebaseerde crypto-kaarten (Distinguished Name) kunt configureren om toegangscontrole te bieden zodat een VPN-apparaat VPN-tunnels met een Cisco IOS®-router kan opzetten. In het voorbeeld van dit document zijn Rivest, Shamir en Adelman (RSA) handtekening de methode voor de IKE-verificatie. Naast de standaard certificatie-validatie proberen op DN gebaseerde cryptokaarten de ISAKMP-identiteit van de peer aan te passen aan bepaalde velden in zijn certificaten, zoals de X.500 voorname naam of de volledig gekwalificeerde domeinnaam (FQDN).
Deze optie is eerst geïntroduceerd in Cisco IOS-softwarerelease 12.2(4)T. U moet deze release of later uitvoeren voor deze configuratie.
De Cisco IOS-softwarerelease 12.3(5)S is ook getest. De op ISDN gebaseerde cryptokaarten zijn echter mislukt als gevolg van Cisco bug-id CSC45783 (alleen geregistreerde klanten).
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco 7200 routers
Cisco IOS-softwarerelease 12.2(4)T1, c720-IKE8o3s-mz.12-4.T1
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Eerder, tijdens IKE-verificatie met de RSA-handtekeningsmethode, en na certificatievalidatie en optionele CRL-controle (Certificate Revocation List), heeft Cisco IOS de IKE Quick Mode-onderhandeling voortgezet. Het bood geen methode om te voorkomen dat de externe VPN-apparaten zouden communiceren met versleutelde interfaces, anders dan beperkingen op het IP-adres van de versleutelingspeer.
Nu met op ISDN gebaseerde cryptokaart, kan Cisco IOS externe VPN-peers beperken tot alleen toegang tot geselecteerde interfaces met specifieke certificaten. Met name certificaten met bepaalde DN’s of FQDN’s.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Dit document gebruikt de netwerkinstallatie die in dit diagram wordt getoond.
Dit document maakt gebruik van de hier getoonde configuraties.
In dit voorbeeld, wordt een eenvoudige netwerkopstelling gebruikt om de eigenschap aan te tonen. SJhub router heeft twee identiteitscertificaten, een van Entrust certificate authority (CA) en de andere van Microsoft CA. Verwante informatie bekijken
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
15-Jan-2002 |
Eerste vrijgave |