IPSEC de la configuración ISE 2.2 para asegurar la comunicación NAD (IOS)

Introducción

Este documento describe cómo configurar y resolver problemas el IPSEC TACACS para asegurar el motor del servicio de la identidad de Cisco (ISE) 2.2 - comunicación del dispositivo de acceso a la red (NAD). El tráfico TACACS se puede cifrar con el túnel del intercambio de claves de Internet del IPSec del sitio a localizar (LAN a LAN) versión 2 (IKEv2) entre el router y el ISE. Este documento no cubre la partición de la Configuración de TACACS.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• ISE
• Router Cisco
• Conceptos generales del IPSec
• Conceptos generales TACACS

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Router de Cisco ISR4451-X que funciona con la versión de software 15.4(3)S2
• Versión 2.2 del motor del servicio de la identidad de Cisco
• Service Pack 1 de Windows 7

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

La meta es asegurar los protocolos que utilizan el hash MD5, el radio y el TACACS inseguros con el IPSec. Pocos hechos a tomar en la consideración:

• Cisco ISE soporta el IPSec en los modos del túnel y de transporte.
• Cuando usted habilita el IPSec en una interfaz de Cisco ISE, un túnel IPsec se crea entre Cisco ISE y el NAD para asegurar la comunicación.
• Usted puede definir una clave previamente compartida o utilizar los Certificados X.509 para la Autenticación IPSec.
• El IPSec se puede habilitar en el eth1 a través de las interfaces Eth5. Usted puede configurar el IPSec en solamente una interfaz de Cisco ISE por el PSN.

Arquitectura del IPSec ISE

Una vez que los paquetes encriptados son recibidos por la interfaz GE-1 ISE, el router integrado de los servicios (ESR) los intercepta en la interfaz Eth0/0.

interface Ethernet0/0
 description e0/0->connection to external NAD
 ip address 10.48.17.87 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 no ip route-cache
 crypto map radius

El ESR los desencripta y según el NAT preconfigurado las reglas realizan la traducción de la dirección. (Hacia el NAD) los paquetes salientes RADIUS/TACACS se traducen al direccionamiento de la interfaz del Ethernet0/0 y se cifran luego.

ip nat inside source list 1 interface Ethernet0/0 overload
ip nat inside source static udp 10.1.1.2 1645 interface Ethernet0/0 1645
ip nat inside source static udp 10.1.1.2 1646 interface Ethernet0/0 1646
ip nat inside source static udp 10.1.1.2 1812 interface Ethernet0/0 1812
ip nat inside source static udp 10.1.1.2 1813 interface Ethernet0/0 1813
ip nat inside source static tcp 10.1.1.2 49 interface Ethernet0/0 49
access-list 1 permit 10.1.1.0 0.0.0.3

Los paquetes que se destinan a la interfaz Eth0/0 en los puertos RADIUS/TACACS se deben forwared vía la interfaz Eth0/1 a la dirección IP 10.1.1.2, que es dirección interna del ISE. Configuración ESR de Eth0/1

interface Ethernet0/1
 description e0/1->tap0 internal connection to ISE
 ip address 10.1.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly in
 no ip route-cache

Configuración ISE de la interfaz interna Tap-0:

ISE22-1ek/admin# show interface | b tap0
tap0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.1.1.2  netmask 255.255.255.252  broadcast 10.1.1.3
        inet6 fe80::6c2e:37ff:fe5f:b609  prefixlen 64  scopeid 0x20<link>
        ether 6e:2e:37:5f:b6:09  txqueuelen 500  (Ethernet)
        RX packets 81462  bytes 8927953 (8.5 MiB)
        RX errors 0  dropped 68798  overruns 0  frame 0
        TX packets 105  bytes 8405 (8.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Diagrama de la red

La información en este documento utiliza esta configuración de la red:

IPSec VPN de la configuración ikev1 usando la clave previamente compartida (cuadro de los)

Esta sección describe cómo completar las configuraciones IOS CLI y ISE.

Configuración CLI del router IOS

Configure las interfaces

Si las interfaces del router IOS todavía no se configuran, después por lo menos la interfaz de WAN debe ser configurada. Aquí tiene un ejemplo:

interface GigabitEthernet0/0/0
 ip address 10.48.23.68 255.255.255.0
 negotiation auto
 no shutdown
! 

Asegúrese de que haya Conectividad al peer remoto que debe ser utilizado para establecer un túnel del VPN de sitio a sitio. Usted puede utilizar un ping para verificar la conectividad básica.

Configure la directiva ISAKMP (IKEv1)

Para configurar las políticas isakmp para las conexiones IKEv1, ingrese el comando crypto del <priority> de la política isakmp en el modo de configuración global. Aquí tiene un ejemplo:

crypto isakmp policy 10
 encr aes
 hash sha256
 authentication pre-share
 group 16

Nota: Usted puede configurar las políticas IKE múltiples en cada par que participe en el IPSec. Cuando la negociación IKE comienza, intenta encontrar una directiva común que se configure en ambos pares, y comienza con las directivas más prioritarias que se especifican en el peer remoto.

Configure una clave Crypto ISAKMP

Para configurar una clave de autenticación del preshared, ingrese el comando crypto isakmp key en el modo de configuración global:

crypto isakmp key Krakow123 address 10.48.17.87

Configure un ACL para el tráfico VPN del interés

Utilice el extendido o la lista de acceso denominada para especificar el tráfico que se debe proteger por el cifrado. Aquí tiene un ejemplo:

access-list 101 permit ip 10.48.23.68 0.0.0.0 10.48.17.87 0.0.0.0 

Nota: Un ACL para el tráfico VPN utiliza los IP Address de origen y de destino después del NAT.

Configure un conjunto de la transformación

Para definir un IPSec transforme el conjunto (una combinación aceptable de protocolos y de algoritmos de Seguridad), ingresan el comando crypto ipsec transform-set en el modo de configuración global. Aquí tiene un ejemplo:

crypto ipsec transform-set SET esp-aes esp-sha256-hmac 
 mode transport

Configure una correspondencia de criptografía y apliqúela a una interfaz

Para crear o modificar una entrada de correspondencia de criptografía y ingresar al modo de configuración de la correspondencia de criptografía, ingrese el comando global configuration de la correspondencia de criptografía. Para que la entrada de correspondencia de criptografía sea completa, allí son algunos aspectos que se deben definir en un mínimo:

• Los peeres IPSec a quienes el tráfico protegido puede ser remitido deben ser definidos. Éstos son los pares con quienes un SA puede ser establecido. Para especificar a un peer IPSec en una entrada de correspondencia de criptografía, ingrese el comando set peer.
• Los conjuntos de la transformación que son aceptables para el uso con el tráfico protegido deben ser definidos. Para especificar los conjuntos de la transformación que se pueden utilizar con la entrada de correspondencia de criptografía, ingrese el comando set transform-set.
• El tráfico que debe ser protegido debe ser definido. Para especificar una lista de acceso ampliada para una entrada de correspondencia de criptografía, ingrese el comando address del emparejamiento.

Aquí tiene un ejemplo:

crypto map MAP 10 ipsec-isakmp
 set peer 10.48.17.87
 set transform-set SET
 match address 101

El último paso es aplicar el conjunto previamente definido de la correspondencia de criptografía a una interfaz. Para aplicar esto, ingrese el comando interface configuration de la correspondencia de criptografía:

interface GigabitEthernet0/0
 crypto map MAP 

Configuración final IOS

Aquí está la configuración CLI final del router IOS:

aaa group server tacacs+ ISE_TACACS
 server name ISE22
!
aaa authentication login default group ISE_TACACS
aaa authorization exec default group ISE_TACACS
!
crypto isakmp policy 10
 encr aes
 hash sha256
 authentication pre-share
 group 16
!
crypto isakmp key Krakow123 address 10.48.17.87
!
crypto ipsec transform-set SET esp-aes esp-sha256-hmac 
 mode transport
!
crypto map MAP 10 ipsec-isakmp
 set peer 10.48.17.87
 set transform-set SET
 match address 101
!
access-list 101 permit ip 10.48.23.68 0.0.0.0 10.48.17.87 0.0.0.0 
!
interface GigabitEthernet0/0/0
 ip address 10.48.23.68 255.255.255.0
 negotiation auto
 no shutdown
!
crypto map MAP 10 ipsec-isakmp
 set peer 10.48.17.87
 set transform-set SET
 match address 101
!
tacacs server ISE22
 address ipv4 10.48.17.87
 key cisco

Configuración ISE

Dirección IP de la configuración en el ISE

El direccionamiento se debe configurar en el GE1-GE5 de la interfaz del CLI, GE0 no se soporta.

interface GigabitEthernet 1
  ip address 10.48.17.87 255.255.255.0
  ipv6 address autoconfig
  ipv6 enable

Nota: La aplicación recomienza después de que la dirección IP se configure en la interfaz:
% que cambiaban la dirección IP pudieron hacer los servicios ISE recomenzar
¿Continúe con el cambio de la dirección IP?  Y/N [n]: S

Agregue el NAD al grupo IPSec en el ISE

Navegue a la administración > a los recursos de red > a los dispositivos de red. Haga clic en Add (Agregar). Asegúrele la configuración el nombre, dirección IP, secreto compartido. Para terminar el túnel IPsec del NAD seleccione los YE contra el grupo de dispositivos de la red IPsec.

Una vez que se agrega el NAD, la ruta adicional se debe crear en el ISE, para asegurarse de que el tráfico de RADIUS pasa con el ESR y consigue cifrada:

ip route 10.48.23.68 255.255.255.255 gateway 10.1.1.1

IPSEC del permiso en el ISE

Navegue a la administración > al sistema > a las configuraciones. Haga clic en el radio y foméntelo en el IPSEC. Seleccione la opción selecta del permiso PSN (solo/múltiplo/todo), escoja la interfaz y seleccione el método de autentificación. Haga clic en Save (Guardar). Los servicios recomienzan en el nodo seleccionado en este momento.

Observe, eso después de que la configuración CLI del reinicio ISE de los servicios muestre la interfaz configurada sin el IP Address y en el estado de cierre normal, él se espera como el ESR (router integrado de los servicios) toma el control de la interfaz ISE.

interface GigabitEthernet 1
  shutdown
  ipv6 address autoconfig
  ipv6 enable

Una vez que recomienzan a los servicios, se habilitan las funciones ESR. Para iniciar sesión al ESR teclee el esr en la línea de comando:

ISE22-1ek/admin# esr
% Entering ESR 5921 shell
% Cisco IOS Software, C5921 Software (C5921_I86-UNIVERSALK9-M), Version 15.5(2)T2, RELEASE SOFTWARE (fc3)
% Technical Support: http://www.cisco.com/techsupport
% Copyright (c) 1986-2015 Cisco Systems, Inc.

Press RETURN to get started, <CTRL-C> to exit

ise-esr5921>en
ise-esr5921#

El ESR viene con esta configuración de criptografía, que es bastante tener el túnel IPsec terminado con las claves previamente compartidas:

crypto keyring MVPN-spokes
  pre-shared-key address 0.0.0.0 0.0.0.0 key Krakow123
!
crypto isakmp policy 10
 encr aes
 hash sha256
 authentication pre-share
 group 16
!
crypto isakmp policy 20
 encr aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp key Krakow123 address 0.0.0.0
!
crypto isakmp profile MVPN-profile
   description LAN-to-LAN for spoke router(s) connection
   keyring MVPN-spokes
   match identity address 0.0.0.0
!
crypto ipsec transform-set radius esp-aes esp-sha256-hmac
 mode tunnel
crypto ipsec transform-set radius-2 esp-aes esp-sha256-hmac
 mode transport
!
crypto dynamic-map MVPN-dynmap 10
 set transform-set radius radius-2 
!
crypto map radius 10 ipsec-isakmp dynamic MVPN-dynmap

 Aseegurese el ESR tiene una ruta para mandar los paquetes encriptados:

ip route 0.0.0.0 0.0.0.0 10.48.26.1

Fije la directiva de Tacacs en el ISE

Verificación

Router IOS

Antes de que inicien a la sesión SSH al router, no hay conexiones VPN activas:

ISR4451#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status

IPv6 Crypto ISAKMP SA

 El cliente conecta con el router, pues se utiliza una fuente ISE 2.2 de la autenticación.

EKORNEYC-M-K04E:~ ekorneyc$ ssh alice@10.48.23.68
Password:
ISR4451#

El IOS envía un paquete TACACS, que acciona el establecimiento de la sesión de VPN, una vez que el túnel está encima de esta salida se considera en el router. Confirma que la fase 1 del túnel está para arriba:

ISR4451#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
10.48.17.87     10.48.23.68     QM_IDLE           1962 ACTIVE

IPv6 Crypto ISAKMP SA

ISR4451#

La fase 2 está para arriba, y se cifran y se desencriptan los paquetes:

ISR4451#sh cry ipsec sa

interface: GigabitEthernet0/0/0
    Crypto map tag: MAP, local addr 10.48.23.68

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.48.23.68/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (10.48.17.87/255.255.255.255/0/0)
   current_peer 10.48.17.87 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 48, #pkts encrypt: 48, #pkts digest: 48
    #pkts decaps: 48, #pkts decrypt: 48, #pkts verify: 48
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.48.23.68, remote crypto endpt.: 10.48.17.87
     plaintext mtu 1458, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0
     current outbound spi: 0x64BD51B8(1690128824)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xFAE51DF8(4209319416)
        transform: esp-aes esp-sha256-hmac ,
        in use settings ={Transport, }
        conn id: 2681, flow_id: ESG:681, sibling_flags FFFFFFFF80004008, crypto map: MAP
        sa timing: remaining key lifetime (k/sec): (4607998/3127)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x64BD51B8(1690128824)
        transform: esp-aes esp-sha256-hmac ,
        in use settings ={Transport, }
        conn id: 2682, flow_id: ESG:682, sibling_flags FFFFFFFF80004008, crypto map: MAP
        sa timing: remaining key lifetime (k/sec): (4607997/3127)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:
ISR4451#

ESR

Las mismas salidas se pueden comprobar el ESR, fase uno están para arriba:

ise-esr5921#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
10.48.17.87     10.48.23.68     QM_IDLE           1002 ACTIVE

IPv6 Crypto ISAKMP SA

ise-esr5921#

La fase 2 está para arriba, los paquetes se cifran y se desencriptan con éxito:

ise-esr5921#sh cry ipsec sa

interface: Ethernet0/0
    Crypto map tag: radius, local addr 10.48.17.87

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.48.17.87/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (10.48.23.68/255.255.255.255/0/0)
   current_peer 10.48.23.68 port 500
     PERMIT, flags={}
    #pkts encaps: 48, #pkts encrypt: 48, #pkts digest: 48
    #pkts decaps: 48, #pkts decrypt: 48, #pkts verify: 48
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.48.17.87, remote crypto endpt.: 10.48.23.68
     plaintext mtu 1458, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0xFAE51DF8(4209319416)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x64BD51B8(1690128824)
        transform: esp-aes esp-sha256-hmac ,
        in use settings ={Transport, }
        conn id: 3, flow_id: SW:3, sibling_flags 80000000, crypto map: radius
        sa timing: remaining key lifetime (k/sec): (4242722/3056)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xFAE51DF8(4209319416)
        transform: esp-aes esp-sha256-hmac ,
        in use settings ={Transport, }
        conn id: 4, flow_id: SW:4, sibling_flags 80000000, crypto map: radius
        sa timing: remaining key lifetime (k/sec): (4242722/3056)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:
          
     outbound pcp sas:
ise-esr5921#

ISE

La autenticación viva indica la autenticación regular PAP_ASCII:

Las capturas adquiridas la interfaz GE1 del ISE y filtradas con el ESP o Tacacs, confirman que no hay Tacacs en el texto claro, y se cifra todo el tráfico:

Troubleshooting

Las técnicas de Troubleshooting comunes VPN se pueden aplicar para resolver problemas los problemas relacionados con el IPSEC. Usted puede encontrar los documentos útiles abajo:

Debugs IOS IKEv2 para el VPN de sitio a sitio con la Nota Técnica del troubleshooting de PSKs

Debugs ASA IKEv2 para el VPN de sitio a sitio con PSKs

Troubleshooting de IPSec: Entendiendo y con los comandos debug

Sitio a localizar de FlexVPN de la configuración (DVTI a SVTI) entre NAD y ISE 2.2

Es también posible proteger el tráfico de RADIUS con FlexVPN. La topología siguiente se utiliza en el ejemplo abajo:

La configuración de FlexVPN es directa. Más detalles se pueden encontrar aquí:

http://www.cisco.com/c/en/us/support/docs/security/flexvpn/115782-flexvpn-site-to-site-00.html

Ventajas del diseño de la flexión VPN

• Usted puede funcionar con la flexión a lo largo de todo su IPSec anterior VPN. La mayoría de los escenarios permiten la coexistencia de la configuración previa y de la flexión.
• La flexión VPN se basa en IKEv2 y no IKEv1, que mejora casi todos los aspectos de la estabilidad de la negociación y del protocolo.
• Funciones múltiples realizables con un marco.
• Facilidad de la configuración usando los valores por defecto sanos - usted no necesita definir las directivas, transforma los conjuntos etc, IKEv2 ha construido en los valores por defecto que tienen sentido y son actualizados.

Configuración del router

aaa new-model
!
!
aaa group server tacacs+ ISE_TACACS
 server name ISE22_VRF
ip vrf forwarding TACACS
!
aaa authentication login default group ISE_TACACS
aaa authorization exec default group ISE_TACACS 
aaa authorization network default local 
!
crypto ikev2 authorization policy default
 route set interface Loopback0
 no route set interface
!
!
crypto ikev2 keyring mykeys
 peer ISE22
  address 10.48.17.87
  pre-shared-key Krakow123
 !
!
!
crypto ikev2 profile default
 match identity remote address 10.48.17.87 255.255.255.255 
 authentication remote pre-share (with the command authentication remote pre-share key <key> in place keyring is not required)
 authentication local pre-share
 keyring local mykeys
 aaa authorization group psk list default default
!
!
ip tftp source-interface GigabitEthernet0
!
!
!
crypto ipsec profile default
 set ikev2-profile default (it is default configuration)
!
!
!
interface Loopback0
ip vrf forwarding TACACS
 ip address 100.100.100.100 255.255.255.0
!
interface Tunnel0
ip vrf forwarding TACACS
 ip address 10.1.12.1 255.255.255.0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.48.17.87
 tunnel protection ipsec profile default
!
interface GigabitEthernet0/0/0
 ip address 10.48.23.68 255.255.255.0
 negotiation auto
!
!
ip route 0.0.0.0 0.0.0.0 10.48.23.1
ip tacacs source-interface Loopback0
!
!
tacacs server ISE22_VRF
 address ipv4 10.1.1.2
 key cisco
!
ISR4451# 

Configuración ESR en el ISE

ise-esr5921#sh run
Building configuration...

Current configuration : 5778 bytes
!
! Last configuration change at 17:32:58 CET Thu Feb 23 2017
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service call-home
!
hostname ise-esr5921
!
boot-start-marker
boot host unix:default-config
boot-end-marker
!
!
!
no aaa new-model
bsd-client server url https://cloudsso.cisco.com/as/token.oauth2
clock timezone CET 1 0
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"
  active
  destination transport-method http
  no destination transport-method email
!
!
!
!
!
!
!
!


!         
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
crypto pki trustpoint SLA-TrustPoint
 enrollment pkcs12
 revocation-check crl
!
!
crypto pki certificate chain SLA-TrustPoint
 certificate ca 01
  30820321 30820209 A0030201 02020101 300D0609 2A864886 F70D0101 0B050030 
  32310E30 0C060355 040A1305 43697363 6F312030 1E060355 04031317 43697363 
  6F204C69 63656E73 696E6720 526F6F74 20434130 1E170D31 33303533 30313934 
  3834375A 170D3338 30353330 31393438 34375A30 32310E30 0C060355 040A1305 
  43697363 6F312030 1E060355 04031317 43697363 6F204C69 63656E73 696E6720 
  526F6F74 20434130 82012230 0D06092A 864886F7 0D010101 05000382 010F0030 
  82010A02 82010100 A6BCBD96 131E05F7 145EA72C 2CD686E6 17222EA1 F1EFF64D 
  CBB4C798 212AA147 C655D8D7 9471380D 8711441E 1AAF071A 9CAE6388 8A38E520 
  1C394D78 462EF239 C659F715 B98C0A59 5BBB5CBD 0CFEBEA3 700A8BF7 D8F256EE 
  4AA4E80D DB6FD1C9 60B1FD18 FFC69C96 6FA68957 A2617DE7 104FDC5F EA2956AC 
  7390A3EB 2B5436AD C847A2C5 DAB553EB 69A9A535 58E9F3E3 C0BD23CF 58BD7188 
  68E69491 20F320E7 948E71D7 AE3BCC84 F10684C7 4BC8E00F 539BA42B 42C68BB7 
  C7479096 B4CB2D62 EA2F505D C7B062A4 6811D95B E8250FC4 5D5D5FB8 8F27D191 
  C55F0D76 61F9A4CD 3D992327 A8BB03BD 4E6D7069 7CBADF8B DF5F4368 95135E44 
  DFC7C6CF 04DD7FD1 02030100 01A34230 40300E06 03551D0F 0101FF04 04030201 
  06300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604 1449DC85 
  4B3D31E5 1B3E6A17 606AF333 3D3B4C73 E8300D06 092A8648 86F70D01 010B0500 
  03820101 00507F24 D3932A66 86025D9F E838AE5C 6D4DF6B0 49631C78 240DA905 
  604EDCDE FF4FED2B 77FC460E CD636FDB DD44681E 3A5673AB 9093D3B1 6C9E3D8B 
  D98987BF E40CBD9E 1AECA0C2 2189BB5C 8FA85686 CD98B646 5575B146 8DFC66A8 
  467A3DF4 4D565700 6ADF0F0D CF835015 3C04FF7C 21E878AC 11BA9CD2 55A9232C 
  7CA7B7E6 C1AF74F6 152E99B7 B1FCF9BB E973DE7F 5BDDEB86 C71E3B49 1765308B 
  5FB0DA06 B92AFE7F 494E8A9E 07B85737 F3A58BE1 1A48A229 C37C1E69 39F08678 
  80DDCD16 D6BACECA EEBC7CF9 8428787B 35202CDC 60E4616A B623CDBD 230E3AFB 
  418616A9 4093E049 4D10AB75 27E86F73 932E35B5 8862FDAE 0275156F 719BB2F0 
  D697DF7F 28
        quit
license udi pid CISCO5921-K9 sn 98492083R3X
username lab password 0 lab
!
redundancy
!
!
! 
crypto keyring MVPN-spokes  
  pre-shared-key address 0.0.0.0 0.0.0.0 key Krakow123
crypto ikev2 authorization policy default
 route set interface
 route set remote ipv4 10.1.1.0 255.255.255.0
!
!
!
crypto ikev2 keyring mykeys
 peer ISR4451
  address 10.48.23.68
  pre-shared-key Krakow123
 !
!
!
crypto ikev2 profile default
 match identity remote address 0.0.0.0 
 authentication remote pre-share
 authentication local pre-share
 keyring local mykeys
 aaa authorization group psk list default default local
 virtual-template 1
!
!
crypto isakmp policy 10
 encr aes
 hash sha256
 authentication pre-share
 group 16
!
crypto isakmp policy 20
 encr aes
 hash sha256
 authentication pre-share
 group 14 
crypto isakmp key Krakow123 address 0.0.0.0        
crypto isakmp profile MVPN-profile
   description LAN-to-LAN for spoke router(s) connection
   keyring MVPN-spokes
   match identity address 0.0.0.0 
!
!
crypto ipsec transform-set radius esp-aes esp-sha256-hmac 
 mode tunnel
crypto ipsec transform-set radius-2 esp-aes esp-sha256-hmac 
 mode transport
!
!
!
crypto dynamic-map MVPN-dynmap 10
 set transform-set radius radius-2 
!
!
crypto map radius 10 ipsec-isakmp dynamic MVPN-dynmap 
!
!
!
!         
!
interface Loopback0
 ip address 10.1.12.2 255.255.255.0
!
interface Ethernet0/0
 description e0/0->connection to external NAD 
 ip address 10.48.17.87 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 no ip route-cache
 crypto map radius
!
interface Ethernet0/1
 description e0/1->tap0 internal connection to ISE
 ip address 10.1.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly in
 no ip route-cache
!
interface Ethernet0/2
 description e0/2->connection to CSSM backend license server
 no ip address
 ip virtual-reassembly in
 no ip route-cache
!
interface Ethernet0/3
 no ip address
 shutdown
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Ethernet0/0 overload
ip nat inside source static udp 10.1.1.2 1645 interface Ethernet0/0 1645
ip nat inside source static udp 10.1.1.2 1646 interface Ethernet0/0 1646
ip nat inside source static udp 10.1.1.2 1812 interface Ethernet0/0 1812
ip nat inside source static udp 10.1.1.2 1813 interface Ethernet0/0 1813
ip nat inside source static tcp 10.1.1.2 49 interface Ethernet0/0 49
ip route 0.0.0.0 0.0.0.0 10.48.17.1
!
!
!
access-list 1 permit 10.1.1.0 0.0.0.3
!
control-plane
!
 !
 !
 !
 !
!
!
!
!
!
!
!
line con 0
 logging synchronous
line aux 0
line vty 0 4
 login
 transport input none
!
!
end

Aspectos del diseño de FlexVPN

• En la mayoría de los casos la conexión del radio se debe terminar en la interfaz G0/1 del ISE, que es la interfaz E0/0 del ESR. Mientras que usa las correspondencias de criptografía, el tráfico interesante se debe definir con las listas de acceso, con SVTI - usando la encaminamiento. No trabajará, si configuran a dos Routers a la interfaz una vía el túnel (cifrado) y una ISE vía la interfaz (establecimiento del túnel). El mismo problema se aplica a la configuración del router.
• Por este motivo el tráfico interesante (radio cifrado) se comunica entre la interfaz Lo0 del router, y la interfaz Tap0 del ISE (no nacional se necesita en este caso en el ESR). Debido a esto, la ruta de IP se puede configurar, para forzar el tráfico de RADIUS para pasar a través del túnel y para conseguir cifrada.
• Puesto que el IP Address de la interfaz Tap0 del ISE se repara (10.1.1.2) puede ser colocado en el VRF en el router, asegurar la comunicación a este IP Address sucede solamente para el TACACS y solamente a través del túnel.