IPSEC de la configuración ISE 2.2 para asegurar la comunicación NAD (ASA)

Introducción

Este documento describe cómo configurar y resolver problemas el IPSEC RADIUS para asegurar el motor del servicio de la identidad de Cisco (ISE) 2.2 - comunicación del dispositivo de acceso a la red (NAD). El tráfico de RADIUS se debe cifrar dentro de la versión 1 del intercambio de claves de Internet del IPSec del sitio a localizar (LAN a LAN) y (IKEv1 e IKEv2) del túnel 2 entre el dispositivo de seguridad adaptante (ASA) y el ISE. Este documento no cubre la partición de la configuración VPN de AnyConnect SSL.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• ISE
• Cisco ASA
• Conceptos generales del IPSec
• Conceptos generales RADIUS

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco 5515-X Series ASA que funcionan con la versión de software 9.4(2)11
• Versión 2.2 del motor del servicio de la identidad de Cisco
• Service Pack 1 de Windows 7

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

El objetivo es asegurar los protocolos que utilizan el hash MD5, el radio y el TACACS inseguros con el IPSec. Tome esto en la consideración:

• Cisco ISE soporta el IPSec en los modos del túnel y de transporte.
• Cuando usted habilita el IPSec en una interfaz de Cisco ISE, un túnel IPsec se crea entre Cisco ISE y el NAD para asegurar la comunicación.
• Usted puede definir una clave previamente compartida o utilizar los Certificados X.509 para la Autenticación IPSec.
• El IPSec se puede habilitar en el eth1 a través de las interfaces Eth5. Usted puede configurar el IPSec en solamente una interfaz de Cisco ISE por el PSN.

Arquitectura del IPSec ISE

Una vez que los paquetes encriptados son recibidos por la interfaz ESR GE-1 ISE los interceptan en la interfaz Eth0/0.

interface Ethernet0/0
 description e0/0->connection to external NAD
 ip address 10.48.26.170 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 no ip route-cache
 crypto map radius

El ESR los desencripta y según el NAT preconfigurado las reglas realizan la traducción de la dirección. (Hacia el NAD) los paquetes salientes RADIUS/TACACS se traducen al direccionamiento de la interfaz del Ethernet0/0 y se cifran luego.

ip nat inside source list 1 interface Ethernet0/0 overload
ip nat inside source static udp 10.1.1.2 1645 interface Ethernet0/0 1645
ip nat inside source static udp 10.1.1.2 1646 interface Ethernet0/0 1646
ip nat inside source static udp 10.1.1.2 1812 interface Ethernet0/0 1812
ip nat inside source static udp 10.1.1.2 1813 interface Ethernet0/0 1813
ip nat inside source static tcp 10.1.1.2 49 interface Ethernet0/0 49
access-list 1 permit 10.1.1.0 0.0.0.3

Los paquetes que se destinan a la interfaz Eth0/0 en los puertos RADIUS/TACACS se deben forwared vía la interfaz Eth0/1 a la dirección IP 10.1.1.2, que es dirección interna del ISE. Configuración ESR de Eth0/1

interface Ethernet0/1
 description e0/1->tap0 internal connection to ISE
 ip address 10.1.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly in
 no ip route-cache

Configuración ISE de la interfaz interna Tap-0:

ISE22-1ek/admin# show interface | b tap0
tap0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.1.1.2  netmask 255.255.255.252  broadcast 10.1.1.3
        inet6 fe80::6c2e:37ff:fe5f:b609  prefixlen 64  scopeid 0x20<link>
        ether 6e:2e:37:5f:b6:09  txqueuelen 500  (Ethernet)
        RX packets 81462  bytes 8927953 (8.5 MiB)
        RX errors 0  dropped 68798  overruns 0  frame 0
        TX packets 105  bytes 8405 (8.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Configurar

Esta sección describe cómo completar las configuraciones ASA CLI y ISE.

Diagrama de la red

La información en este documento utiliza esta configuración de la red:

Configuración ASA

Configure las interfaces ASA

Si la interfaz/las interfaces ASA no se configura, asegúrese de que usted configure por lo menos la dirección IP, interconecte el nombre, y el nivel de seguridad:

interface GigabitEthernet0/0
 nameif outside
 security-level 100
 ip address 10.48.66.202 255.255.254.0

Configure la directiva IKEv1 y habilite IKEv1 en la interfaz exterior

Para configurar las directivas del Internet Security Association and Key Management Protocol (ISAKMP) para las conexiones IKEv1, ingrese el comando crypto del <priority> de la directiva ikev1:

crypto ikev1 policy 20
 authentication pre-share
 encryption aes
 hash sha
 group 5
 lifetime 86400

Nota: Una coincidencia de la directiva IKEv1 existe cuando ambas directivas de los dos pares contienen la misma autenticación, cifrado, hash, y Valores de parámetro de Diffie Hellman. Para IKEv1, la directiva del peer remoto debe también especificar un curso de la vida inferior o igual el curso de la vida en la directiva que el iniciador envía. Si los cursos de la vida no son idénticos, después el ASA utiliza el curso de la vida más corto. 

Usted debe habilitar IKEv1 en la interfaz que termina el túnel VPN. Típicamente, ésta es la interfaz del exterior (o público). Para habilitar IKEv1, ingrese el ikev1 crypto habilitan <interface name> el comando en el modo de configuración global:

crypto ikev1 enable outside 

Configure el grupo de túnel (el perfil de la conexión de LAN a LAN)

Para un túnel de LAN a LAN, el tipo del perfil de la conexión es ipsec-l2l. Para configurar la clave del preshared IKEv1, ingrese al modo de configuración de los IPSec-atributos del grupo de túnel:

tunnel-group 10.48.26.170 type ipsec-l2l
tunnel-group 10.48.26.170 ipsec-attributes
 ikev1 pre-shared-key Krakow123

Configure el ACL para el tráfico VPN del interés

El ASA utiliza el Listas de control de acceso (ACL) para distinguir el tráfico que se debe proteger con la encripción de IPSec contra el tráfico que no requiere la protección. Protege los paquetes salientes que hacen juego un motor del control de la aplicación del permiso (ACE) y se asegura de que los paquetes de entrada que hacen juego un permiso ACE tenga protección.

access-list 101 extended permit ip host 10.48.66.202 host 10.48.26.170 

Nota: Un ACL para el tráfico VPN utiliza los IP Address de origen y de destino después del Network Address Translation (NAT). El único tráfico cifrado en este caso es tráfico entre el ASA y el ISE.

Configure el IKEv1 transforman el conjunto

Un IKEv1 transforma el conjunto es una combinación de protocolos de Seguridad y los algoritmos que define la manera que el ASA protege los datos. Durante las negociaciones de la asociación de seguridad IPSec (SA), los pares deben identificar una transformación fijada o la oferta que sean lo mismo para ambos pares. El ASA entonces aplica correspondido con transforma el conjunto o la oferta para crear un SA que proteja los flujos de datos en la lista de acceso para esa correspondencia de criptografía.

Para configurar el IKEv1 transforme el conjunto, ingresan el comando crypto del transforme el conjunto del IPSec ikev1:

crypto ipsec ikev1 transform-set SET2 esp-aes esp-sha-hmac 

Configure una correspondencia de criptografía y apliqúela a una interfaz

Una correspondencia de criptografía define una política IPSec que se negociará en IPSec SA y la incluye:

• Una lista de acceso para identificar los paquetes que conexión IPSec los permisos y protege
• Identificación del par
• Una dirección local para el tráfico IPSec
• Los IKEv1 transforman los conjuntos

Aquí tiene un ejemplo:

crypto map MAP 20 match address 101
crypto map MAP 20 set peer 10.48.26.170 
crypto map MAP 20 set ikev1 transform-set SET2

Usted puede entonces aplicar la correspondencia de criptografía a la interfaz:

crypto map MAP interface outside

Configuración final ASA

Aquí está la configuración final en el ASA:

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.48.66.202 255.255.254.0
!
!
access-list 101 extended permit ip host 10.48.66.202 host 10.48.26.170 
!
crypto ipsec ikev1 transform-set SET2 esp-aes esp-sha-hmac 
!
crypto map MAP 20 match address 101
crypto map MAP 20 set peer 10.48.26.170 
crypto map MAP 20 set ikev1 transform-set SET2
crypto map MAP interface outside

Configuración ISE

Dirección IP de la configuración en el ISE

El direccionamiento se debe configurar en el GE1-GE5 de la interfaz del CLI, GE0 no se soporta.

interface GigabitEthernet 1
  ip address 10.48.26.170 255.255.255.0
  ipv6 address autoconfig
  ipv6 enable

Nota: La aplicación recomienza después de que la dirección IP se configure en la interfaz:
% que cambiaban la dirección IP pudieron hacer los servicios ISE recomenzar
¿Continúe con el cambio de la dirección IP?  Y/N [n]: S

Agregue el NAD al grupo IPSec en el ISE

Navegue a la administración > a los recursos de red > a los dispositivos de red. Haga clic en agregan. Asegúrele la configuración el nombre, dirección IP, secreto compartido. Para terminar el túnel IPsec del NAD seleccione los YE contra el grupo de dispositivos de la red IPsec.

Una vez que se agrega el NAD, la ruta adicional se debe crear en el ISE, para asegurarse de que el tráfico de RADIUS pasa con el ESR y consigue cifrado:

ip route 10.48.66.202 255.255.255.255 gateway 10.1.1.1

IPSEC del permiso en el ISE

Navegue a la administración > al sistema > a las configuraciones. Haga clic en el radio y el furhter en el IPSEC. Seleccione la opción selecta del permiso PSN (solo/múltiplo/todo), escoja la interfaz y seleccione el método de autentificación. Haga clic en Save (Guardar). Los servicios recomienzan en el nodo seleccionado en este momento.

Observe, eso después de que la configuración CLI del reinicio ISE de los servicios muestre la interfaz configurada sin el IP Address y en el estado de cierre normal, él se espera como el ESR (router integrado de los servicios) toma el control de la interfaz ISE.

interface GigabitEthernet 1
  shutdown
  ipv6 address autoconfig
  ipv6 enable

Una vez que recomienzan a los servicios, se habilitan las funciones ESR. Para iniciar sesión al ESR teclee el esr en la línea de comando:

ISE22-1ek/admin# esr
% Entering ESR 5921 shell
% Cisco IOS Software, C5921 Software (C5921_I86-UNIVERSALK9-M), Version 15.5(2)T2, RELEASE SOFTWARE (fc3)
% Technical Support: http://www.cisco.com/techsupport
% Copyright (c) 1986-2015 Cisco Systems, Inc.

Press RETURN to get started, <CTRL-C> to exit

ise-esr5921>en
ise-esr5921#

El ESR es sube con la configuración de criptografía siguiente:

crypto keyring MVPN-spokes
  pre-shared-key address 0.0.0.0 0.0.0.0 key Krakow123
!
crypto isakmp policy 10
 encr aes
 hash sha256
 authentication pre-share
 group 16
!
crypto isakmp policy 20
 encr aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp key Krakow123 address 0.0.0.0
!
crypto isakmp profile MVPN-profile
   description LAN-to-LAN for spoke router(s) connection
   keyring MVPN-spokes
   match identity address 0.0.0.0
!
crypto ipsec transform-set radius esp-aes esp-sha256-hmac
 mode tunnel
crypto ipsec transform-set radius-2 esp-aes esp-sha256-hmac
 mode transport
!
crypto dynamic-map MVPN-dynmap 10
 set transform-set radius radius-2 
!
crypto map radius 10 ipsec-isakmp dynamic MVPN-dynmap

 Debido al ASA no soporta el algorith del picado sha256, la configuración adicional se requiere en el ESR hacer juego las directivas IKEv1 para la 1ra y 2da fase de IPSEC. Configure la política isakmp y transforme el conjunto, para hacer juego ésos configurados en el ASA:

crypto isakmp policy 30
 encr aes
 authentication pre-share
 group 5
!
crypto ipsec transform-set radius-3 esp-aes esp-sha-hmac
 mode tunnel
!
crypto dynamic-map MVPN-dynmap 10
 set transform-set radius radius-2 radius-3

 Aseegurese el ESR tiene una ruta para mandar los paquetes encriptados:

ip route 0.0.0.0 0.0.0.0 10.48.26.1

Verificación

ASA

Antes de que los clientes de Anyconnect conecten, el ASA no tiene ninguna sesión de criptografía:

BSNS-ASA5515-11# sh cry isa sa

There are no IKEv1 SAs

There are no IKEv2 SAs
BSNS-ASA5515-11# sh cry ipsec sa

There are no ipsec sas
BSNS-ASA5515-11# 

 El cliente conecta vía el cliente VPN de Anyconnect, pues se utiliza una fuente ISE 2.2 de la autenticación.

El ASA envía un paquete RADIUS, que acciona el establecimiento de la sesión de VPN, una vez que el túnel está encima del producto siguiente se ve en el ASA y confirma que la fase 1 del túnel está para arriba:

BSNS-ASA5515-11# sh cry isa sa

IKEv1 SAs:

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 10.48.26.170
    Type    : L2L             Role    : initiator 
    Rekey   : no              State   : MM_ACTIVE 

There are no IKEv2 SAs
BSNS-ASA5515-11#

La fase 2 está para arriba, y se cifran y se desencriptan los paquetes:

BSNS-ASA5515-11# sh cry ipsec sa  
interface: outside
    Crypto map tag: MAP, seq num: 20, local addr: 10.48.66.202

      access-list 101 extended permit ip host 10.48.66.202 host 10.48.26.170 
      local ident (addr/mask/prot/port): (10.48.66.202/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (10.48.26.170/255.255.255.255/0/0)
      current_peer: 10.48.26.170


      #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
      #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 5, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 10.48.66.202/0, remote crypto endpt.: 10.48.26.170/0
      path mtu 1500, ipsec overhead 74(44), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: 5BBE9F07
      current inbound spi : 068C04D1
              
    inbound esp sas:
      spi: 0x068C04D1 (109839569)
         transform: esp-aes esp-sha-hmac no compression 
         in use settings ={L2L, Tunnel, IKEv1, }
         slot: 0, conn_id: 323584, crypto-map: MAP
         sa timing: remaining key lifetime (kB/sec): (4373999/3558)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0x00000000 0x0000003F
    outbound esp sas:
      spi: 0x5BBE9F07 (1539219207)
         transform: esp-aes esp-sha-hmac no compression 
         in use settings ={L2L, Tunnel, IKEv1, }
         slot: 0, conn_id: 323584, crypto-map: MAP
         sa timing: remaining key lifetime (kB/sec): (4373999/3558)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0x00000000 0x00000001

ESR

Las mismas salidas se pueden comprobar el ESR, fase uno están para arriba:

ise-esr5921#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
10.48.26.170    10.48.66.202    QM_IDLE           1012 ACTIVE MVPN-profile

IPv6 Crypto ISAKMP SA

ise-esr5921#

La fase 2 está para arriba, los paquetes se cifran y se desencriptan con éxito:

ise-esr5921#sh cry ipsec sa

interface: Ethernet0/0
    Crypto map tag: radius, local addr 10.48.26.170

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.48.26.170/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (10.48.66.202/255.255.255.255/0/0)
   current_peer 10.48.66.202 port 500
     PERMIT, flags={}
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.48.26.170, remote crypto endpt.: 10.48.66.202
     plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0x68C04D1(109839569)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x5BBE9F07(1539219207)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 31, flow_id: SW:31, sibling_flags 80000040, crypto map: radius
        sa timing: remaining key lifetime (k/sec): (4259397/3508)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x68C04D1(109839569)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 32, flow_id: SW:32, sibling_flags 80000040, crypto map: radius
        sa timing: remaining key lifetime (k/sec): (4259397/3508)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

ISE

La autenticación viva indica la autenticación regular PAP_ASCII:

Las capturas adquiridas la interfaz GE1 del ISE y filtradas con el ESP o el radio, confirman que no hay radio en el texto claro, y se cifra todo el tráfico:

Es también posible enviar los paquetes encriptados del ISE - cambio de la autorización (CoA) - una vez que el túnel es en servicio:

En esta sesión de ejemplo la terminación fue publicada, y el cliente VPN consiguió disconnected como consecuencia:

Troubleshooting

Las técnicas de Troubleshooting comunes VPN se pueden aplicar para resolver problemas los problemas relacionados con el IPSEC. Usted puede encontrar los documentos útiles abajo:

Debugs IOS IKEv2 para el VPN de sitio a sitio con la Nota Técnica del troubleshooting de PSKs

Debugs ASA IKEv2 para el VPN de sitio a sitio con PSKs

Troubleshooting de IPSec: Entendiendo y con los comandos debug

Sitio a localizar de FlexVPN de la configuración (DVTI a la correspondencia de criptografía) entre NAD y ISE 2.2

Es también posible proteger el tráfico de RADIUS con FlexVPN. La topología siguiente se utiliza en el ejemplo abajo:

La configuración de FlexVPN es directa. Más detalles se pueden encontrar aquí:

http://www.cisco.com/c/en/us/support/docs/security/flexvpn/116008-flexvpn-nge-config-00.html

Configuración ASA

hostname BSNS-ASA5515-11
domain-name example.com

ip local pool POOL 10.10.10.10-10.10.10.100 mask 255.255.255.0
!
interface GigabitEthernet0/0
 nameif outside
 security-level 100
 ip address 10.48.66.202 255.255.254.0 
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.16.0.1 255.255.255.0 
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network POOL
 subnet 10.10.10.0 255.255.255.0
object network ISE
 host 10.48.17.86
object network ISE22
 host 10.1.1.2
object network INSIDE-NET
 subnet 172.16.0.0 255.255.0.0
access-list 101 extended permit ip host 172.16.0.1 host 10.1.1.2 
access-list OUT extended permit ip any any  
nat (inside,outside) source static INSIDE-NET INSIDE-NET destination static ISE22 ISE22
nat (outside,outside) source dynamic POOL interface
nat (inside,outside) source dynamic any interface
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 10.48.66.1 1

aaa-server ISE22 protocol radius
 authorize-only
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE22 (inside) host 10.1.1.2
 key *****
crypto ipsec ikev2 ipsec-proposal SET
 protocol esp encryption aes
 protocol esp integrity sha-1
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map DMAP 1 set ikev1 transform-set SET
crypto map MAP 10 ipsec-isakmp dynamic DMAP
crypto map MAP 20 match address 101
crypto map MAP 20 set peer 10.48.17.87 
crypto map MAP 20 set ikev2 ipsec-proposal SET
crypto map MAP interface outside
crypto ikev2 policy 10
 encryption aes
 integrity sha256
 group 2
 prf sha256   
 lifetime seconds 86400
crypto ikev2 enable outside
management-access inside
webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.4.00243-webdeploy-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable
group-policy GP-SSL internal
group-policy GP-SSL attributes
 vpn-tunnel-protocol ssl-client 
tunnel-group RA type remote-access
tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group ISE22
 accounting-server-group ISE22
 default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
 group-alias RA enable
tunnel-group 10.48.17.87 type ipsec-l2l
tunnel-group 10.48.17.87 ipsec-attributes
 ikev2 remote-authentication pre-shared-key *****
 ikev2 local-authentication pre-shared-key *****

Configuración ESR en el ISE

ise-esr5921#sh run
Building configuration...

Current configuration : 5778 bytes
!
! Last configuration change at 17:32:58 CET Thu Feb 23 2017
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service call-home
!
hostname ise-esr5921
!
boot-start-marker
boot host unix:default-config
boot-end-marker
!
!
!
no aaa new-model
bsd-client server url https://cloudsso.cisco.com/as/token.oauth2
clock timezone CET 1 0
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"
  active
  destination transport-method http
  no destination transport-method email
!
!
!
!
!
!
!
!


!         
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
crypto pki trustpoint SLA-TrustPoint
 enrollment pkcs12
 revocation-check crl
!
!
crypto pki certificate chain SLA-TrustPoint
 certificate ca 01
  30820321 30820209 A0030201 02020101 300D0609 2A864886 F70D0101 0B050030 
  32310E30 0C060355 040A1305 43697363 6F312030 1E060355 04031317 43697363 
  6F204C69 63656E73 696E6720 526F6F74 20434130 1E170D31 33303533 30313934 
  3834375A 170D3338 30353330 31393438 34375A30 32310E30 0C060355 040A1305 
  43697363 6F312030 1E060355 04031317 43697363 6F204C69 63656E73 696E6720 
  526F6F74 20434130 82012230 0D06092A 864886F7 0D010101 05000382 010F0030 
  82010A02 82010100 A6BCBD96 131E05F7 145EA72C 2CD686E6 17222EA1 F1EFF64D 
  CBB4C798 212AA147 C655D8D7 9471380D 8711441E 1AAF071A 9CAE6388 8A38E520 
  1C394D78 462EF239 C659F715 B98C0A59 5BBB5CBD 0CFEBEA3 700A8BF7 D8F256EE 
  4AA4E80D DB6FD1C9 60B1FD18 FFC69C96 6FA68957 A2617DE7 104FDC5F EA2956AC 
  7390A3EB 2B5436AD C847A2C5 DAB553EB 69A9A535 58E9F3E3 C0BD23CF 58BD7188 
  68E69491 20F320E7 948E71D7 AE3BCC84 F10684C7 4BC8E00F 539BA42B 42C68BB7 
  C7479096 B4CB2D62 EA2F505D C7B062A4 6811D95B E8250FC4 5D5D5FB8 8F27D191 
  C55F0D76 61F9A4CD 3D992327 A8BB03BD 4E6D7069 7CBADF8B DF5F4368 95135E44 
  DFC7C6CF 04DD7FD1 02030100 01A34230 40300E06 03551D0F 0101FF04 04030201 
  06300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604 1449DC85 
  4B3D31E5 1B3E6A17 606AF333 3D3B4C73 E8300D06 092A8648 86F70D01 010B0500 
  03820101 00507F24 D3932A66 86025D9F E838AE5C 6D4DF6B0 49631C78 240DA905 
  604EDCDE FF4FED2B 77FC460E CD636FDB DD44681E 3A5673AB 9093D3B1 6C9E3D8B 
  D98987BF E40CBD9E 1AECA0C2 2189BB5C 8FA85686 CD98B646 5575B146 8DFC66A8 
  467A3DF4 4D565700 6ADF0F0D CF835015 3C04FF7C 21E878AC 11BA9CD2 55A9232C 
  7CA7B7E6 C1AF74F6 152E99B7 B1FCF9BB E973DE7F 5BDDEB86 C71E3B49 1765308B 
  5FB0DA06 B92AFE7F 494E8A9E 07B85737 F3A58BE1 1A48A229 C37C1E69 39F08678 
  80DDCD16 D6BACECA EEBC7CF9 8428787B 35202CDC 60E4616A B623CDBD 230E3AFB 
  418616A9 4093E049 4D10AB75 27E86F73 932E35B5 8862FDAE 0275156F 719BB2F0 
  D697DF7F 28
        quit
license udi pid CISCO5921-K9 sn 98492083R3X
username lab password 0 lab
!
redundancy
!
!
! 
crypto keyring MVPN-spokes  
  pre-shared-key address 0.0.0.0 0.0.0.0 key Krakow123
crypto ikev2 authorization policy default
 route set interface
 route set remote ipv4 10.1.1.0 255.255.255.0
!
!
!
crypto ikev2 keyring mykeys
 peer ISR4451
  address 10.48.23.68
  pre-shared-key Krakow123
 !
!
!
crypto ikev2 profile default
 match identity remote address 0.0.0.0 
 authentication remote pre-share
 authentication local pre-share
 keyring local mykeys
 aaa authorization group psk list default default local
 virtual-template 1
!
!
crypto isakmp policy 10
 encr aes
 hash sha256
 authentication pre-share
 group 16
!
crypto isakmp policy 20
 encr aes
 hash sha256
 authentication pre-share
 group 14 
crypto isakmp key Krakow123 address 0.0.0.0        
crypto isakmp profile MVPN-profile
   description LAN-to-LAN for spoke router(s) connection
   keyring MVPN-spokes
   match identity address 0.0.0.0 
!
!
crypto ipsec transform-set radius esp-aes esp-sha256-hmac 
 mode tunnel
crypto ipsec transform-set radius-2 esp-aes esp-sha256-hmac 
 mode transport
!
!
!
crypto dynamic-map MVPN-dynmap 10
 set transform-set radius radius-2 
!
!
crypto map radius 10 ipsec-isakmp dynamic MVPN-dynmap 
!
!
!
!         
!
interface Loopback0
 ip address 10.1.12.2 255.255.255.0
!
interface Ethernet0/0
 description e0/0->connection to external NAD 
 ip address 10.48.17.87 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 no ip route-cache
 crypto map radius
!
interface Ethernet0/1
 description e0/1->tap0 internal connection to ISE
 ip address 10.1.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly in
 no ip route-cache
!
interface Ethernet0/2
 description e0/2->connection to CSSM backend license server
 no ip address
 ip virtual-reassembly in
 no ip route-cache
!
interface Ethernet0/3
 no ip address
 shutdown
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Ethernet0/0 overload
ip nat inside source static udp 10.1.1.2 1645 interface Ethernet0/0 1645
ip nat inside source static udp 10.1.1.2 1646 interface Ethernet0/0 1646
ip nat inside source static udp 10.1.1.2 1812 interface Ethernet0/0 1812
ip nat inside source static udp 10.1.1.2 1813 interface Ethernet0/0 1813
ip nat inside source static tcp 10.1.1.2 49 interface Ethernet0/0 49
ip route 0.0.0.0 0.0.0.0 10.48.17.1
!
!
!
access-list 1 permit 10.1.1.0 0.0.0.3
!
control-plane
!
 !
 !
 !
 !
!
!
!
!
!
!
!
line con 0
 logging synchronous
line aux 0
line vty 0 4
 login
 transport input none
!
!
end

Aspectos del diseño de FlexVPN

• El túnel VPN se construye usando DVTI en el lado ESR y la correspondencia de criptografía en el lado ASA, con la configuración sobre el ASA puede generar el paquete RADIUS originado de la interfaz interior, que asegurará la lista de acceso correcta para que el cifrado accione el establecimiento de la sesión de VPN.
• Observe, ese en este caso ASA NAD debe ser definido en el ISE con el IP Address de la interfaz interior.