Configurez ISE 2.2 IPSEC pour sécuriser la transmission NAD (IOS)

Introduction

Ce document décrit comment configurer et dépanner TACACS IPSEC pour sécuriser l'engine de gestion d'identité de Cisco (ISE) 2.2 - transmission du périphérique d'accès au réseau (NAD). Le trafic TACACS peut être chiffré avec le tunnel de la version 2 d'échange de clés Internet (IKE) d'IPSec de site à site (entre réseaux locaux) (IKEv2) entre le routeur et l'ISE. Ce document ne couvre pas la cloison de configuration TACACS.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• ISE
• Routeur de Cisco
• Concepts du Général IPSec
• Concepts de général TACACS

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Routeur de Cisco ISR4451-X qui exécute la version de logiciel 15.4(3)S2
• Version 2.2 d'engine de gestion d'identité de Cisco
• Service Pack 1 de Windows 7

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Le but est aux protocoles sécurisés qui utilisent les informations parasites non sécurisées, le Radius et le TACACS de MD5 avec IPSec. Peu de faits à prendre en compte :

• Cisco ISE prend en charge IPSec en modes de tunnel et de transport.
• Quand vous activez IPSec sur une interface de Cisco ISE, un tunnel d'IPSec est créé entre Cisco ISE et le NAD pour sécuriser la transmission.
• Vous pouvez définir des Certificats pré-partagés principaux ou de l'utilisation X.509 pour l'authentification d'IPSec.
• IPSec peut être activé sur Eth1 par les interfaces Eth5. Vous pouvez configurer IPSec sur seulement une interface de Cisco ISE par RPC.

Architecture ISE IPSec

Une fois que des paquets chiffrés sont reçus par l'interface GE-1 ISE, le routeur encastré de services (ESR) les intercepte sur l'interface Eth0/0.

interface Ethernet0/0
 description e0/0->connection to external NAD
 ip address 10.48.17.87 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 no ip route-cache
 crypto map radius

L'ESR les déchiffre et selon des règles NAT préconfigurées exécute la traduction d'adresses. (Vers le NAD) des paquets sortants RADIUS/TACACS sont traduits à l'adresse de l'interface Ethernet0/0 et après chiffrés.

ip nat inside source list 1 interface Ethernet0/0 overload
ip nat inside source static udp 10.1.1.2 1645 interface Ethernet0/0 1645
ip nat inside source static udp 10.1.1.2 1646 interface Ethernet0/0 1646
ip nat inside source static udp 10.1.1.2 1812 interface Ethernet0/0 1812
ip nat inside source static udp 10.1.1.2 1813 interface Ethernet0/0 1813
ip nat inside source static tcp 10.1.1.2 49 interface Ethernet0/0 49
access-list 1 permit 10.1.1.0 0.0.0.3

Des paquets qui sont destinés à l'interface Eth0/0 sur des ports RADIUS/TACACS devraient forwared par l'intermédiaire de l'interface Eth0/1 à l'IP address de 10.1.1.2, qui est adresse interne d'ISE. Configuration ESR d'Eth0/1

interface Ethernet0/1
 description e0/1->tap0 internal connection to ISE
 ip address 10.1.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly in
 no ip route-cache

Configuration ISE de l'interface Tap-0 interne :

ISE22-1ek/admin# show interface | b tap0
tap0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.1.1.2  netmask 255.255.255.252  broadcast 10.1.1.3
        inet6 fe80::6c2e:37ff:fe5f:b609  prefixlen 64  scopeid 0x20<link>
        ether 6e:2e:37:5f:b6:09  txqueuelen 500  (Ethernet)
        RX packets 81462  bytes 8927953 (8.5 MiB)
        RX errors 0  dropped 68798  overruns 0  frame 0
        TX packets 105  bytes 8405 (8.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Diagramme du réseau

Les informations dans ce document utilisent cette configuration réseau :

Configurez le vpn de l'ipsec ikev1 utilisant la clé pré-partagée (hors de la case)

Cette section décrit comment se terminer les configurations IOS CLI et ISE.

Configuration CLI de routeur IOS

Configurez les interfaces

Si les interfaces de routeur IOS ne sont pas encore configurées, alors au moins l'interface WAN devrait être configurée. Voici un exemple :

interface GigabitEthernet0/0/0
 ip address 10.48.23.68 255.255.255.0
 negotiation auto
 no shutdown
! 

Assurez-vous qu'il y a de Connectivité au pair distant qui devrait être utilisé afin d'établir un tunnel VPN de site à site. Vous pouvez employer un ping afin de vérifier la Connectivité de base.

Configurez la stratégie de l'ISAKMP (IKEv1)

Afin de configurer les stratégies ISAKMP pour les connexions IKEv1, sélectionnez la commande de <priority> de crypto isakmp policy en mode de configuration globale. Voici un exemple :

crypto isakmp policy 10
 encr aes
 hash sha256
 authentication pre-share
 group 16

Remarque: Vous pouvez configurer de plusieurs stratégies IKE sur chaque pair qui participe à IPSec. Quand la négociation d'IKE commence, elle tente de trouver une stratégie commune qui est configurée sur chacun des deux pairs, et elle commence par les stratégies les plus prioritaires qui sont spécifiées sur le pair distant.

Configurez un crypto isakmp key

Afin de configurer une clé preshared d'authentification, sélectionnez la commande de crypto isakmp key en mode de configuration globale :

crypto isakmp key Krakow123 address 10.48.17.87

Configurez un ACL pour le trafic VPN d'intérêt

Employez la liste d'accès étendue ou Désignée afin de spécifier le trafic qui devrait être protégé par cryptage. Voici un exemple :

access-list 101 permit ip 10.48.23.68 0.0.0.0 10.48.17.87 0.0.0.0 

Remarque: Un ACL pour le trafic VPN utilise la source et les adresses IP de destination après NAT.

Configurez un jeu de transformations

Afin de définir un jeu de transformations d'IPSec (une combinaison acceptable des protocoles et des algorithmes de Sécurité), sélectionnez la commande de crypto ipsec transform-set en mode de configuration globale. Voici un exemple :

crypto ipsec transform-set SET esp-aes esp-sha256-hmac 
 mode transport

Configurez un crypto map et appliquez-le à une interface

Afin de créer ou modifier une entrée de crypto map et écrire le mode de configuration de crypto map, sélectionnez la commande de configuration globale de crypto map. Afin de l'entrée de crypto map soyez complète, là sont quelques aspects qui doivent être définis à un minimum :

• L'IPsec scrute à ce que le trafic protégé peut être expédié doit être défini. Ce sont les pairs avec lesquels SA peut être établie. Afin de spécifier un pair d'IPSec dans une entrée de crypto map, sélectionnez la commande de pair de positionnement.
• Les jeux de transformations qui sont acceptables pour l'usage avec le trafic protégé doivent être définis. Afin de spécifier les jeux de transformations qui peuvent être utilisés avec l'entrée de crypto map, sélectionnez la commande de set transform-set.
• Le trafic qui devrait être protégé doit être défini. Afin de spécifier une liste d'accès étendue pour une entrée de crypto map, sélectionnez la commande d'adresse de correspondance.

Voici un exemple :

crypto map MAP 10 ipsec-isakmp
 set peer 10.48.17.87
 set transform-set SET
 match address 101

La dernière étape est d'appliquer le crypto map précédemment défini réglé à une interface. Afin d'appliquer ceci, sélectionnez la commande de configuration d'interface de crypto map :

interface GigabitEthernet0/0
 crypto map MAP 

Configuration finale IOS

Voici la configuration CLI de routeur IOS de finale :

aaa group server tacacs+ ISE_TACACS
 server name ISE22
!
aaa authentication login default group ISE_TACACS
aaa authorization exec default group ISE_TACACS
!
crypto isakmp policy 10
 encr aes
 hash sha256
 authentication pre-share
 group 16
!
crypto isakmp key Krakow123 address 10.48.17.87
!
crypto ipsec transform-set SET esp-aes esp-sha256-hmac 
 mode transport
!
crypto map MAP 10 ipsec-isakmp
 set peer 10.48.17.87
 set transform-set SET
 match address 101
!
access-list 101 permit ip 10.48.23.68 0.0.0.0 10.48.17.87 0.0.0.0 
!
interface GigabitEthernet0/0/0
 ip address 10.48.23.68 255.255.255.0
 negotiation auto
 no shutdown
!
crypto map MAP 10 ipsec-isakmp
 set peer 10.48.17.87
 set transform-set SET
 match address 101
!
tacacs server ISE22
 address ipv4 10.48.17.87
 key cisco

Configuration ISE

Configurez l'adresse IP sur ISE

L'adresse devrait être configurée sur l'interface GE1-GE5 du CLI, GE0 n'est pas prise en charge.

interface GigabitEthernet 1
  ip address 10.48.17.87 255.255.255.0
  ipv6 address autoconfig
  ipv6 enable

Remarque: Des reprises d'application après l'adresse IP est configurées sur l'interface :
% changeant l'adresse IP pourraient faire redémarrer des services ISE
Continuez la modification d'adresse IP ?  Y/N [N] : O

Ajoutez le NAD au groupe IPSec sur ISE

Naviguez vers la gestion > les ressources de réseau > les périphériques de réseau. Cliquez sur Add. Assurez que vous configurez le nom, adresse IP, secret partagé. Pour terminer le tunnel d'IPSec de l'OUI choisi NAD contre le groupe de périphériques réseau IPSEC.

Une fois que le NAD est ajouté, l'artère supplémentaire devrait être créée sur ISE, pour s'assurer que le trafic de RADIUS passe par l'ESR et obtient chiffré :

ip route 10.48.23.68 255.255.255.255 gateway 10.1.1.1

Enable IPSEC sur ISE

Naviguez vers la gestion > le système > les configurations. Cliquez sur en fonction Radius et le promouvez sur IPSEC. L'option choisie choisie d'enable RPC (simple/multiple/tous), sélectionnent l'interface et sélectionnent la méthode d'authentification. Cliquez sur Save. Reprise de services sur le noeud sélectionné en ce moment.

Note, cela après que la configuration de la reprise ISE CLI de services affiche l'interface configurée sans adresse IP et dans l'état d'arrêt, il est prévu pendant qu'ESR (routeur encastré de services) prend le contrôle de l'interface ISE.

interface GigabitEthernet 1
  shutdown
  ipv6 address autoconfig
  ipv6 enable

Une fois que des services sont redémarrés, la fonctionnalité ESR est activée. Pour ouvrir une session à l'ESR tapez l'esr dans la ligne de commande :

ISE22-1ek/admin# esr
% Entering ESR 5921 shell
% Cisco IOS Software, C5921 Software (C5921_I86-UNIVERSALK9-M), Version 15.5(2)T2, RELEASE SOFTWARE (fc3)
% Technical Support: http://www.cisco.com/techsupport
% Copyright (c) 1986-2015 Cisco Systems, Inc.

Press RETURN to get started, <CTRL-C> to exit

ise-esr5921>en
ise-esr5921#

L'ESR est livré avec cette crypto configuration, qui est assez pour avoir le tunnel d'ipsec terminé avec des clés pré-partagées :

crypto keyring MVPN-spokes
  pre-shared-key address 0.0.0.0 0.0.0.0 key Krakow123
!
crypto isakmp policy 10
 encr aes
 hash sha256
 authentication pre-share
 group 16
!
crypto isakmp policy 20
 encr aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp key Krakow123 address 0.0.0.0
!
crypto isakmp profile MVPN-profile
   description LAN-to-LAN for spoke router(s) connection
   keyring MVPN-spokes
   match identity address 0.0.0.0
!
crypto ipsec transform-set radius esp-aes esp-sha256-hmac
 mode tunnel
crypto ipsec transform-set radius-2 esp-aes esp-sha256-hmac
 mode transport
!
crypto dynamic-map MVPN-dynmap 10
 set transform-set radius radius-2 
!
crypto map radius 10 ipsec-isakmp dynamic MVPN-dynmap

 Assurez-vous que l'ESR a une artère pour envoyer les paquets chiffrés :

ip route 0.0.0.0 0.0.0.0 10.48.26.1

Placez la stratégie de Tacacs sur ISE

Vérifiez

Routeur IOS

Avant que la session de ssh soit initiée au routeur, il n'y a aucune connexion VPN active :

ISR4451#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status

IPv6 Crypto ISAKMP SA

 Le client se connecte au routeur, car une source ISE 2.2 d'authentification est utilisée.

EKORNEYC-M-K04E:~ ekorneyc$ ssh alice@10.48.23.68
Password:
ISR4451#

L'IOS envoie un paquet TACACS, qui déclenche l'établissement de session VPN, une fois que le tunnel est vers le haut de cette sortie est vue sur le routeur. Il confirme que la phase 1 du tunnel est en hausse :

ISR4451#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
10.48.17.87     10.48.23.68     QM_IDLE           1962 ACTIVE

IPv6 Crypto ISAKMP SA

ISR4451#

Le Phase 2 est en hausse, et des paquets sont chiffrés et déchiffrés :

ISR4451#sh cry ipsec sa

interface: GigabitEthernet0/0/0
    Crypto map tag: MAP, local addr 10.48.23.68

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.48.23.68/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (10.48.17.87/255.255.255.255/0/0)
   current_peer 10.48.17.87 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 48, #pkts encrypt: 48, #pkts digest: 48
    #pkts decaps: 48, #pkts decrypt: 48, #pkts verify: 48
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.48.23.68, remote crypto endpt.: 10.48.17.87
     plaintext mtu 1458, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0
     current outbound spi: 0x64BD51B8(1690128824)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xFAE51DF8(4209319416)
        transform: esp-aes esp-sha256-hmac ,
        in use settings ={Transport, }
        conn id: 2681, flow_id: ESG:681, sibling_flags FFFFFFFF80004008, crypto map: MAP
        sa timing: remaining key lifetime (k/sec): (4607998/3127)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x64BD51B8(1690128824)
        transform: esp-aes esp-sha256-hmac ,
        in use settings ={Transport, }
        conn id: 2682, flow_id: ESG:682, sibling_flags FFFFFFFF80004008, crypto map: MAP
        sa timing: remaining key lifetime (k/sec): (4607997/3127)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:
ISR4451#

ESR

Les mêmes sorties peuvent être vérifiées l'ESR, la phase une est en hausse :

ise-esr5921#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
10.48.17.87     10.48.23.68     QM_IDLE           1002 ACTIVE

IPv6 Crypto ISAKMP SA

ise-esr5921#

Le Phase 2 est en hausse, des paquets sont chiffrés et déchiffrés avec succès :

ise-esr5921#sh cry ipsec sa

interface: Ethernet0/0
    Crypto map tag: radius, local addr 10.48.17.87

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.48.17.87/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (10.48.23.68/255.255.255.255/0/0)
   current_peer 10.48.23.68 port 500
     PERMIT, flags={}
    #pkts encaps: 48, #pkts encrypt: 48, #pkts digest: 48
    #pkts decaps: 48, #pkts decrypt: 48, #pkts verify: 48
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.48.17.87, remote crypto endpt.: 10.48.23.68
     plaintext mtu 1458, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0xFAE51DF8(4209319416)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x64BD51B8(1690128824)
        transform: esp-aes esp-sha256-hmac ,
        in use settings ={Transport, }
        conn id: 3, flow_id: SW:3, sibling_flags 80000000, crypto map: radius
        sa timing: remaining key lifetime (k/sec): (4242722/3056)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xFAE51DF8(4209319416)
        transform: esp-aes esp-sha256-hmac ,
        in use settings ={Transport, }
        conn id: 4, flow_id: SW:4, sibling_flags 80000000, crypto map: radius
        sa timing: remaining key lifetime (k/sec): (4242722/3056)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:
          
     outbound pcp sas:
ise-esr5921#

ISE

L'authentification vivante indique l'authentification régulière PAP_ASCII :

Les captures prises sur l'interface GE1 d'ISE et filtrées avec l'ESP ou le Tacacs, confirment qu'il n'y a aucun Tacacs en texte clair, et tout le trafic est chiffré :

Dépanner

La technique commune de dépannage VPN peut être appliquée pour dépanner le problème lié à IPSEC. Vous pouvez trouver les documents utiles ci-dessous :

Debugs IOS IKEv2 pour le site à site VPN avec PSKs dépannant TechNote

Debugs ASA IKEv2 pour le site à site VPN avec PSKs

Dépannage IPsec : Présentation et utilisation des commandes de débogage

Configurez le site à site de FlexVPN (DVTI à SVTI) entre NAD et ISE 2.2

Il est également possible de protéger le trafic de RADIUS avec FlexVPN. La topologie suivante est utilisée dans l'exemple ci-dessous :

La configuration de FlexVPN est simple. Plus de détails peuvent être trouvés ici :

http://www.cisco.com/c/en/us/support/docs/security/flexvpn/115782-flexvpn-site-to-site-00.html

Avantages de conception du flexible VPN

• Vous pouvez exécuter le flexible le long de tout votre IPsec précédent VPN. La plupart des scénarios permettent la coexistence de la configuration précédente et du flexible.
• Le flexible VPN n'est basé sur IKEv2 et pas IKEv1, qui améliore presque tous les aspects de stabilité de négociation et de protocole.
• Plusieurs fonctionnalités réalisables avec un cadre.
• Facilité de configuration à l'aide des par défaut raisonnables - vous n'avez pas besoin de définir les stratégies, les jeux de transformations etc., IKEv2 a construit dans les par défaut qui semblent raisonnable et sont mis à jour.

Configuration du routeur

aaa new-model
!
!
aaa group server tacacs+ ISE_TACACS
 server name ISE22_VRF
ip vrf forwarding TACACS
!
aaa authentication login default group ISE_TACACS
aaa authorization exec default group ISE_TACACS 
aaa authorization network default local 
!
crypto ikev2 authorization policy default
 route set interface Loopback0
 no route set interface
!
!
crypto ikev2 keyring mykeys
 peer ISE22
  address 10.48.17.87
  pre-shared-key Krakow123
 !
!
!
crypto ikev2 profile default
 match identity remote address 10.48.17.87 255.255.255.255 
 authentication remote pre-share (with the command authentication remote pre-share key <key> in place keyring is not required)
 authentication local pre-share
 keyring local mykeys
 aaa authorization group psk list default default
!
!
ip tftp source-interface GigabitEthernet0
!
!
!
crypto ipsec profile default
 set ikev2-profile default (it is default configuration)
!
!
!
interface Loopback0
ip vrf forwarding TACACS
 ip address 100.100.100.100 255.255.255.0
!
interface Tunnel0
ip vrf forwarding TACACS
 ip address 10.1.12.1 255.255.255.0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.48.17.87
 tunnel protection ipsec profile default
!
interface GigabitEthernet0/0/0
 ip address 10.48.23.68 255.255.255.0
 negotiation auto
!
!
ip route 0.0.0.0 0.0.0.0 10.48.23.1
ip tacacs source-interface Loopback0
!
!
tacacs server ISE22_VRF
 address ipv4 10.1.1.2
 key cisco
!
ISR4451# 

Configuration ESR sur ISE

ise-esr5921#sh run
Building configuration...

Current configuration : 5778 bytes
!
! Last configuration change at 17:32:58 CET Thu Feb 23 2017
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service call-home
!
hostname ise-esr5921
!
boot-start-marker
boot host unix:default-config
boot-end-marker
!
!
!
no aaa new-model
bsd-client server url https://cloudsso.cisco.com/as/token.oauth2
clock timezone CET 1 0
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"
  active
  destination transport-method http
  no destination transport-method email
!
!
!
!
!
!
!
!


!         
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
crypto pki trustpoint SLA-TrustPoint
 enrollment pkcs12
 revocation-check crl
!
!
crypto pki certificate chain SLA-TrustPoint
 certificate ca 01
  30820321 30820209 A0030201 02020101 300D0609 2A864886 F70D0101 0B050030 
  32310E30 0C060355 040A1305 43697363 6F312030 1E060355 04031317 43697363 
  6F204C69 63656E73 696E6720 526F6F74 20434130 1E170D31 33303533 30313934 
  3834375A 170D3338 30353330 31393438 34375A30 32310E30 0C060355 040A1305 
  43697363 6F312030 1E060355 04031317 43697363 6F204C69 63656E73 696E6720 
  526F6F74 20434130 82012230 0D06092A 864886F7 0D010101 05000382 010F0030 
  82010A02 82010100 A6BCBD96 131E05F7 145EA72C 2CD686E6 17222EA1 F1EFF64D 
  CBB4C798 212AA147 C655D8D7 9471380D 8711441E 1AAF071A 9CAE6388 8A38E520 
  1C394D78 462EF239 C659F715 B98C0A59 5BBB5CBD 0CFEBEA3 700A8BF7 D8F256EE 
  4AA4E80D DB6FD1C9 60B1FD18 FFC69C96 6FA68957 A2617DE7 104FDC5F EA2956AC 
  7390A3EB 2B5436AD C847A2C5 DAB553EB 69A9A535 58E9F3E3 C0BD23CF 58BD7188 
  68E69491 20F320E7 948E71D7 AE3BCC84 F10684C7 4BC8E00F 539BA42B 42C68BB7 
  C7479096 B4CB2D62 EA2F505D C7B062A4 6811D95B E8250FC4 5D5D5FB8 8F27D191 
  C55F0D76 61F9A4CD 3D992327 A8BB03BD 4E6D7069 7CBADF8B DF5F4368 95135E44 
  DFC7C6CF 04DD7FD1 02030100 01A34230 40300E06 03551D0F 0101FF04 04030201 
  06300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604 1449DC85 
  4B3D31E5 1B3E6A17 606AF333 3D3B4C73 E8300D06 092A8648 86F70D01 010B0500 
  03820101 00507F24 D3932A66 86025D9F E838AE5C 6D4DF6B0 49631C78 240DA905 
  604EDCDE FF4FED2B 77FC460E CD636FDB DD44681E 3A5673AB 9093D3B1 6C9E3D8B 
  D98987BF E40CBD9E 1AECA0C2 2189BB5C 8FA85686 CD98B646 5575B146 8DFC66A8 
  467A3DF4 4D565700 6ADF0F0D CF835015 3C04FF7C 21E878AC 11BA9CD2 55A9232C 
  7CA7B7E6 C1AF74F6 152E99B7 B1FCF9BB E973DE7F 5BDDEB86 C71E3B49 1765308B 
  5FB0DA06 B92AFE7F 494E8A9E 07B85737 F3A58BE1 1A48A229 C37C1E69 39F08678 
  80DDCD16 D6BACECA EEBC7CF9 8428787B 35202CDC 60E4616A B623CDBD 230E3AFB 
  418616A9 4093E049 4D10AB75 27E86F73 932E35B5 8862FDAE 0275156F 719BB2F0 
  D697DF7F 28
        quit
license udi pid CISCO5921-K9 sn 98492083R3X
username lab password 0 lab
!
redundancy
!
!
! 
crypto keyring MVPN-spokes  
  pre-shared-key address 0.0.0.0 0.0.0.0 key Krakow123
crypto ikev2 authorization policy default
 route set interface
 route set remote ipv4 10.1.1.0 255.255.255.0
!
!
!
crypto ikev2 keyring mykeys
 peer ISR4451
  address 10.48.23.68
  pre-shared-key Krakow123
 !
!
!
crypto ikev2 profile default
 match identity remote address 0.0.0.0 
 authentication remote pre-share
 authentication local pre-share
 keyring local mykeys
 aaa authorization group psk list default default local
 virtual-template 1
!
!
crypto isakmp policy 10
 encr aes
 hash sha256
 authentication pre-share
 group 16
!
crypto isakmp policy 20
 encr aes
 hash sha256
 authentication pre-share
 group 14 
crypto isakmp key Krakow123 address 0.0.0.0        
crypto isakmp profile MVPN-profile
   description LAN-to-LAN for spoke router(s) connection
   keyring MVPN-spokes
   match identity address 0.0.0.0 
!
!
crypto ipsec transform-set radius esp-aes esp-sha256-hmac 
 mode tunnel
crypto ipsec transform-set radius-2 esp-aes esp-sha256-hmac 
 mode transport
!
!
!
crypto dynamic-map MVPN-dynmap 10
 set transform-set radius radius-2 
!
!
crypto map radius 10 ipsec-isakmp dynamic MVPN-dynmap 
!
!
!
!         
!
interface Loopback0
 ip address 10.1.12.2 255.255.255.0
!
interface Ethernet0/0
 description e0/0->connection to external NAD 
 ip address 10.48.17.87 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 no ip route-cache
 crypto map radius
!
interface Ethernet0/1
 description e0/1->tap0 internal connection to ISE
 ip address 10.1.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly in
 no ip route-cache
!
interface Ethernet0/2
 description e0/2->connection to CSSM backend license server
 no ip address
 ip virtual-reassembly in
 no ip route-cache
!
interface Ethernet0/3
 no ip address
 shutdown
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Ethernet0/0 overload
ip nat inside source static udp 10.1.1.2 1645 interface Ethernet0/0 1645
ip nat inside source static udp 10.1.1.2 1646 interface Ethernet0/0 1646
ip nat inside source static udp 10.1.1.2 1812 interface Ethernet0/0 1812
ip nat inside source static udp 10.1.1.2 1813 interface Ethernet0/0 1813
ip nat inside source static tcp 10.1.1.2 49 interface Ethernet0/0 49
ip route 0.0.0.0 0.0.0.0 10.48.17.1
!
!
!
access-list 1 permit 10.1.1.0 0.0.0.3
!
control-plane
!
 !
 !
 !
 !
!
!
!
!
!
!
!
line con 0
 logging synchronous
line aux 0
line vty 0 4
 login
 transport input none
!
!
end

Considérations de conception de FlexVPN

• Dans la plupart des cas la connexion de Radius devrait être terminée sur l'interface G0/1 d'ISE, qui est l'interface E0/0 de l'ESR. Tout en utilisant des crypto map, le trafic intéressant devrait être défini avec des Listes d'accès, avec SVTI - utilisant le routage. Cela ne fonctionnera pas, si deux Routeurs sont configurés à l'interface ISE une par l'intermédiaire du tunnel (chiffré) et une par l'intermédiaire de l'interface (établissement de tunnel). La même question s'applique à la configuration de routeur.
• Pour cette raison le trafic intéressant (Radius chiffré) est communiqué entre l'interface Lo0 du routeur, et l'interface Tap0 d'ISE (pas nat est nécessaire dans ce cas sur l'ESR). Pour cette raison, l'artère d'IP peut être configurée, pour forcer le trafic de Radius pour passer par le tunnel et pour l'obtenir chiffré.
• Puisque l'IP address de l'interface Tap0 de l'ISE est réparé (10.1.1.2) il peut être placé dans le VRF sur le routeur, assurer la transmission à cet IP address se produit seulement pour TACACS et seulement par le tunnel.