NAD（ASA）通信を保護するための ISE 2.2 IPsec の設定

はじめに

このドキュメントでは、Cisco Identity Service Engine（ISE）2.2 とネットワーク アクセス デバイス（NAD）間の通信を保護するために、RADIUS IPSEC を設定およびトラブルシューティングする方法について説明します。RADIUS トラフィックは、適応型セキュリティ アプライアンス（ASA）と ISE 間のサイト間（LAN-to-LAN）IPSec インターネット キー エクスチェンジ バージョン 1 および 2（IKEv1 および IKEv2）のトンネル内で暗号化する必要があります。このドキュメントでは、AnyConnect SSL VPN の設定については説明しません。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• ISE
• Cisco ASA
• 一般的な IPSec の概念
• 一般的な RADIUS の概念

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• ソフトウェア バージョン 9.4(2)11 が稼働する Cisco 5515-X シリーズ ASA
• Cisco Identity Service Engine バージョン 2.2
• Windows 7 Service Pack 1

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

背景説明

目的は、IPSec による安全でない MD5 ハッシュ、Radius、および TACACS を使用するプロトコルを保護することです。以下を考慮してください。

• Cisco ISE は、トンネル モードとトランスポート モードで IPSec をサポートします。
• Cisco ISE インターフェイスで IPSec を有効にすると、Cisco ISE と NAD 間に IPSec トンネルが作成され、通信が保護されます。
• 事前共有キーを定義するか、または IPSec 認証用に X.509 証明書を使用できます。
• IPSec は、Eth1 ～ Eth5 のインターフェイスで有効にできます。1 つの PSN につき 1 つの Cisco ISE インターフェイスにのみ IPSec を設定できます。

ISE IPSec アーキテクチャ

暗号化されたパケットが GE-1 ISE インターフェイスで受信されると、ESR は Eth0/0 インターフェイスでそれらを傍受します。

interface Ethernet0/0
 description e0/0->connection to external NAD
 ip address 10.48.26.170 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 no ip route-cache
 crypto map radius

ESR はそれを復号し、事前設定された NAT ルールに従ってアドレス変換します。発信（NAD 方向）RADIUS/TACACS パケットは、Ethernet0/0 インターフェイス アドレスに変換され、その後暗号化されます。

ip nat inside source list 1 interface Ethernet0/0 overload
ip nat inside source static udp 10.1.1.2 1645 interface Ethernet0/0 1645
ip nat inside source static udp 10.1.1.2 1646 interface Ethernet0/0 1646
ip nat inside source static udp 10.1.1.2 1812 interface Ethernet0/0 1812
ip nat inside source static udp 10.1.1.2 1813 interface Ethernet0/0 1813
ip nat inside source static tcp 10.1.1.2 49 interface Ethernet0/0 49
access-list 1 permit 10.1.1.0 0.0.0.3

RADIUS/TACACS ポート上の Eth0/0 インターフェイス宛てのパケットは、Eth0/1 インターフェイスから ISE の内部アドレスである 10.1.1.2 IP アドレスに転送される必要があります。Eth0/1 の ESR 設定

interface Ethernet0/1
 description e0/1->tap0 internal connection to ISE
 ip address 10.1.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly in
 no ip route-cache

内部 Tap-0 インターフェイスの ISE 設定：

ISE22-1ek/admin# show interface | b tap0
tap0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.1.1.2  netmask 255.255.255.252  broadcast 10.1.1.3
        inet6 fe80::6c2e:37ff:fe5f:b609  prefixlen 64  scopeid 0x20<link>
        ether 6e:2e:37:5f:b6:09  txqueuelen 500  (Ethernet)
        RX packets 81462  bytes 8927953 (8.5 MiB)
        RX errors 0  dropped 68798  overruns 0  frame 0
        TX packets 105  bytes 8405 (8.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

設定

この項では、ASA CLI および ISE の設定を完了する方法について説明します。

ネットワーク図

このドキュメントの情報は、次のネットワーク設定を使用します。

ASA の設定

ASA インターフェイスの設定

ASA インターフェイスが設定されていない場合、少なくとも IP アドレス、インターフェイス名、およびセキュリティ レベルを設定してください。

interface GigabitEthernet0/0
 nameif outside
 security-level 100
 ip address 10.48.66.202 255.255.254.0

IKEv1 ポリシーを設定し、外部インターフェイスの IKEv1 を有効にする

IKEv1 接続用の Internet Security Association and Key Management Protocol（ISAKMP）ポリシーを設定するには、crypto ikev1 policy<priority> コマンドを入力します。

crypto ikev1 policy 20
 authentication pre-share
 encryption aes
 hash sha
 group 5
 lifetime 86400

注：IKEv1ポリシーの一致が存在するのは、2つのピアからの両方のポリシーに同じ認証、暗号化、ハッシュ、およびDiffie-Hellman(DH)パラメータ値が含まれている場合です。IKEv1 では、リモート ピアのポリシーで指定されているライフタイムが、開始側から送信されたポリシーのライフタイム以下であることも必要です。ライフタイムが等しくない場合、ASA は短い方のライフタイムを使用します。 

VPN トンネルを終端するインターフェイスでは、IKEv1 をイネーブルにする必要があります。通常は外部（つまり、パブリック）インターフェイスです。IKEv1 を有効にするには、グローバル コンフィギュレーション モードに crypto ikev1 enable <interface-name> コマンドを入力します。

crypto ikev1 enable outside 

トンネル グループ（LAN-to-LAN 接続プロファイル）の設定

LAN-to-LAN トンネルの接続プロファイル タイプは ipsec-l2l です。IKEv1 事前共有キーを設定するには、tunnel-group ipsec-attributes 設定モードを入力します。

tunnel-group 10.48.26.170 type ipsec-l2l
tunnel-group 10.48.26.170 ipsec-attributes
 ikev1 pre-shared-key Krakow123

対象の VPN トラフィックの ACL の設定

ASA は、保護を必要としないトラフィックから、IPSec 暗号化で保護する必要があるトラフィックを識別するために、アクセス コントロール リスト（ACL）を使用します。これは、許可 Application Control Engine（ACE）に一致する発信パケットを保護し、許可 ACE に一致する着信パケットが確実に保護されるようにします。

access-list 101 extended permit ip host 10.48.66.202 host 10.48.26.170 

注：VPNトラフィックのACLは、ネットワークアドレス変換(NAT)の後に送信元と宛先のIPアドレスを使用します。この場合、暗号化される唯一のトラフィックは、ASA と ISE の間のトラフィックです。

IKEv1 トランスフォーム セットの設定

IKEv1 トランスフォーム セットとは、ASA のデータ保護方法を定義したセキュリティ プロトコルとアルゴリズムの組み合わせのことです。ピアは、IPsec セキュリティ アソシエーション（SA）のネゴシエーション中に、両方のピアで同一であるトランスフォーム セットまたはプロポーザルを識別する必要があります。次に ASA はこの一致しているトランスフォーム セットまたはプロポーザルを適用して SA を作成し、この SA によって暗号マップに対するアクセス リストのデータ フローが保護されます。

IKEv1 トランスフォーム セットを設定するには、crypto ipsec ikev1 transform-set コマンドを入力します。

crypto ipsec ikev1 transform-set SET2 esp-aes esp-sha-hmac 

暗号マップの設定とインターフェイスへの適用

暗号マップは IPSec SA でネゴシエートされる IPSec ポリシーを定義し、以下を含みます。

• IPSec 接続が許可および保護するパケットを識別するためのアクセス リスト
• ピア ID
• IPSec トラフィックのローカル アドレス
• IKEv1 トランスフォーム セット

ランダム データの例は次のとおりです。

crypto map MAP 20 match address 101
crypto map MAP 20 set peer 10.48.26.170 
crypto map MAP 20 set ikev1 transform-set SET2

ここで、インターフェイスに暗号マップを適用できます。

crypto map MAP interface outside

ASA の最終設定

ASA の最終設定を次に示します。

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.48.66.202 255.255.254.0
!
!
access-list 101 extended permit ip host 10.48.66.202 host 10.48.26.170 
!
crypto ipsec ikev1 transform-set SET2 esp-aes esp-sha-hmac 
!
crypto map MAP 20 match address 101
crypto map MAP 20 set peer 10.48.26.170 
crypto map MAP 20 set ikev1 transform-set SET2
crypto map MAP interface outside

ISE 設定

ISE での IP アドレスの設定

アドレスを CLI からインターフェイス GE1 ～ GE5 に対して設定する必要があります。GE0 はサポートされません。

interface GigabitEthernet 1
  ip address 10.48.26.170 255.255.255.0
  ipv6 address autoconfig
  ipv6 enable

注：インターフェイスにIPアドレスが設定されると、アプリケーションが再起動します。
% Changing the IP address might cause ISE services to restart
Continue with IP address change?  Y/N [N]: Y

ISE の IPSec グループへの NAD の追加

[管理（Administration）] > [ネットワーク リソース（Network Resources）] > [ネットワーク デバイス（Network Devices）] に移動します。[Add] をクリックします。[Name]、[IP Address]、[Shared Secret] を設定します。NAD から IPSec トンネルを終了するには、IPSEC のネットワーク デバイス グループに対し [YES] を選択します。

NAD を追加した後、RADIUS トラフィックが ESR を通過して暗号化されるように、ISE に追加のルートを作成する必要があります。

ip route 10.48.66.202 255.255.255.255 gateway 10.1.1.1

ISE での IPSEC の有効化

[Administration] > [System] > [Settings] に移動します。[Radius] をクリックして、さらに [IPSEC] をクリックします。[PSN (Single/Multiple/All) Select Enable] オプションを選択し、インターフェイスを選択して、認証方式を選択します。[Save] をクリックします。この時点で、選択したノードでサービスが再起動されます。

サービスが再起動した後、ISE CLI の設定に IP アドレスがなくシャットダウン状態の設定済みのインターフェイスが表示され、ESR（埋め込み型サービス ルータ）が ISE インターフェイスを制御することが予測されることに注意してください。

interface GigabitEthernet 1
  shutdown
  ipv6 address autoconfig
  ipv6 enable

サービスが再起動されると、ESR 機能が有効になります。ESR にログインするには、コマンド ラインに esr と入力します。

ISE22-1ek/admin# esr
% Entering ESR 5921 shell
% Cisco IOS Software, C5921 Software (C5921_I86-UNIVERSALK9-M), Version 15.5(2)T2, RELEASE SOFTWARE (fc3)
% Technical Support: http://www.cisco.com/techsupport
% Copyright (c) 1986-2015 Cisco Systems, Inc.

Press RETURN to get started, <CTRL-C> to exit

ise-esr5921>en
ise-esr5921#

ESR には、次の暗号化設定があります。

crypto keyring MVPN-spokes
  pre-shared-key address 0.0.0.0 0.0.0.0 key Krakow123
!
crypto isakmp policy 10
 encr aes
 hash sha256
 authentication pre-share
 group 16
!
crypto isakmp policy 20
 encr aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp key Krakow123 address 0.0.0.0
!
crypto isakmp profile MVPN-profile
   description LAN-to-LAN for spoke router(s) connection
   keyring MVPN-spokes
   match identity address 0.0.0.0
!
crypto ipsec transform-set radius esp-aes esp-sha256-hmac
 mode tunnel
crypto ipsec transform-set radius-2 esp-aes esp-sha256-hmac
 mode transport
!
crypto dynamic-map MVPN-dynmap 10
 set transform-set radius radius-2 
!
crypto map radius 10 ipsec-isakmp dynamic MVPN-dynmap

 ASA は sha256 ハッシング アルゴリズムをサポートしていないため、IPSEC の第 1 フェーズおよび第 2 フェーズの IKEv1 ポリシーに一致するように ESR に追加の設定が必要です。ASA で設定されたものと一致するように、isakmp ポリシーとトランスフォーム セットを設定します。

crypto isakmp policy 30
 encr aes
 authentication pre-share
 group 5
!
crypto ipsec transform-set radius-3 esp-aes esp-sha-hmac
 mode tunnel
!
crypto dynamic-map MVPN-dynmap 10
 set transform-set radius radius-2 radius-3

 ESR に暗号化されたパケットを送信するルートがあることを確認します。

ip route 0.0.0.0 0.0.0.0 10.48.26.1

確認

ASA

Anyconnect クライアントが接続するまでは、ASA には暗号化セッションはありません。

BSNS-ASA5515-11# sh cry isa sa

There are no IKEv1 SAs

There are no IKEv2 SAs
BSNS-ASA5515-11# sh cry ipsec sa

There are no ipsec sas
BSNS-ASA5515-11# 

 クライアントは Anyconnect VPN クライアント経由で接続し、認証元として ISE 2.2 が使用されます。

ASA によって Radius パケットが送信され、VPN セッションの確立がトリガーされます。トンネルが確立されると、ASA に次の出力が表示され、トンネルのフェーズ 1 が起動していることが確認されます。

BSNS-ASA5515-11# sh cry isa sa

IKEv1 SAs:

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 10.48.26.170
    Type    : L2L             Role    : initiator 
    Rekey   : no              State   : MM_ACTIVE 

There are no IKEv2 SAs
BSNS-ASA5515-11#

フェーズ 2 が起動し、パケットの暗号化と復号が行われます。

BSNS-ASA5515-11# sh cry ipsec sa  
interface: outside
    Crypto map tag: MAP, seq num: 20, local addr: 10.48.66.202

      access-list 101 extended permit ip host 10.48.66.202 host 10.48.26.170 
      local ident (addr/mask/prot/port): (10.48.66.202/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (10.48.26.170/255.255.255.255/0/0)
      current_peer: 10.48.26.170


      #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
      #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 5, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 10.48.66.202/0, remote crypto endpt.: 10.48.26.170/0
      path mtu 1500, ipsec overhead 74(44), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: 5BBE9F07
      current inbound spi : 068C04D1
              
    inbound esp sas:
      spi: 0x068C04D1 (109839569)
         transform: esp-aes esp-sha-hmac no compression 
         in use settings ={L2L, Tunnel, IKEv1, }
         slot: 0, conn_id: 323584, crypto-map: MAP
         sa timing: remaining key lifetime (kB/sec): (4373999/3558)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0x00000000 0x0000003F
    outbound esp sas:
      spi: 0x5BBE9F07 (1539219207)
         transform: esp-aes esp-sha-hmac no compression 
         in use settings ={L2L, Tunnel, IKEv1, }
         slot: 0, conn_id: 323584, crypto-map: MAP
         sa timing: remaining key lifetime (kB/sec): (4373999/3558)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0x00000000 0x00000001

ESR

フェーズ 1 が起動しているという同じ出力は ESR 上でも確認できます。

ise-esr5921#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
10.48.26.170    10.48.66.202    QM_IDLE           1012 ACTIVE MVPN-profile

IPv6 Crypto ISAKMP SA

ise-esr5921#

フェーズ 2 が起動し、パケットの暗号化と復号が正常に行われます。

ise-esr5921#sh cry ipsec sa

interface: Ethernet0/0
    Crypto map tag: radius, local addr 10.48.26.170

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.48.26.170/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (10.48.66.202/255.255.255.255/0/0)
   current_peer 10.48.66.202 port 500
     PERMIT, flags={}
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.48.26.170, remote crypto endpt.: 10.48.66.202
     plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0x68C04D1(109839569)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x5BBE9F07(1539219207)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 31, flow_id: SW:31, sibling_flags 80000040, crypto map: radius
        sa timing: remaining key lifetime (k/sec): (4259397/3508)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x68C04D1(109839569)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 32, flow_id: SW:32, sibling_flags 80000040, crypto map: radius
        sa timing: remaining key lifetime (k/sec): (4259397/3508)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

ISE

ライブ認証は、通常の PAP_ASCII 認証を示します。

ISE の GE1 インターフェイスで取得され、ESP または Radius でフィルタリングされたキャプチャは、クリア テキストに Radius がないことを確認し、すべてのトラフィックが暗号化されます。

また、トンネルが起動して稼働している場合は、ISE - 認可変更（CoA）から暗号化されたパケットを送信することもできます。

この例では、セッションの終了が発行され、その結果 VPN クライアントが切断されました。

トラブルシュート

一般的な VPN トラブルシューティング テクニックは、IPSEC に関連する問題のトラブルシューティングに適用できます。以下で役立つドキュメントを見つけることができます。

PSK によるサイト間 VPN の IOS IKEv2 デバッグのトラブルシューティング テクニカルノート

PSK によるサイト間 VPN の ASA IKEv2 デバッグ

IPSecのトラブルシューティング：debugコマンドの説明と使用

NAD と ISE 2.2 の間の FlexVPN サイト間（DVTI と暗号マップの間）の設定

FlexVPN で RADIUS トラフィックを保護することもできます。以下のサンプルでは次のトポロジが使用されています。

FlexVPNの設定は簡単です。詳細は、こちらをご覧ください。

http://www.cisco.com/c/en/us/support/docs/security/flexvpn/116008-flexvpn-nge-config-00.html

ASA の設定

hostname BSNS-ASA5515-11
domain-name example.com

ip local pool POOL 10.10.10.10-10.10.10.100 mask 255.255.255.0
!
interface GigabitEthernet0/0
 nameif outside
 security-level 100
 ip address 10.48.66.202 255.255.254.0 
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.16.0.1 255.255.255.0 
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network POOL
 subnet 10.10.10.0 255.255.255.0
object network ISE
 host 10.48.17.86
object network ISE22
 host 10.1.1.2
object network INSIDE-NET
 subnet 172.16.0.0 255.255.0.0
access-list 101 extended permit ip host 172.16.0.1 host 10.1.1.2 
access-list OUT extended permit ip any any  
nat (inside,outside) source static INSIDE-NET INSIDE-NET destination static ISE22 ISE22
nat (outside,outside) source dynamic POOL interface
nat (inside,outside) source dynamic any interface
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 10.48.66.1 1

aaa-server ISE22 protocol radius
 authorize-only
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE22 (inside) host 10.1.1.2
 key *****
crypto ipsec ikev2 ipsec-proposal SET
 protocol esp encryption aes
 protocol esp integrity sha-1
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map DMAP 1 set ikev1 transform-set SET
crypto map MAP 10 ipsec-isakmp dynamic DMAP
crypto map MAP 20 match address 101
crypto map MAP 20 set peer 10.48.17.87 
crypto map MAP 20 set ikev2 ipsec-proposal SET
crypto map MAP interface outside
crypto ikev2 policy 10
 encryption aes
 integrity sha256
 group 2
 prf sha256   
 lifetime seconds 86400
crypto ikev2 enable outside
management-access inside
webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.4.00243-webdeploy-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable
group-policy GP-SSL internal
group-policy GP-SSL attributes
 vpn-tunnel-protocol ssl-client 
tunnel-group RA type remote-access
tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group ISE22
 accounting-server-group ISE22
 default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
 group-alias RA enable
tunnel-group 10.48.17.87 type ipsec-l2l
tunnel-group 10.48.17.87 ipsec-attributes
 ikev2 remote-authentication pre-shared-key *****
 ikev2 local-authentication pre-shared-key *****

ISE での ESR の設定

ise-esr5921#sh run
Building configuration...

Current configuration : 5778 bytes
!
! Last configuration change at 17:32:58 CET Thu Feb 23 2017
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service call-home
!
hostname ise-esr5921
!
boot-start-marker
boot host unix:default-config
boot-end-marker
!
!
!
no aaa new-model
bsd-client server url https://cloudsso.cisco.com/as/token.oauth2
clock timezone CET 1 0
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"
  active
  destination transport-method http
  no destination transport-method email
!
!
!
!
!
!
!
!


!         
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
crypto pki trustpoint SLA-TrustPoint
 enrollment pkcs12
 revocation-check crl
!
!
crypto pki certificate chain SLA-TrustPoint
 certificate ca 01
  30820321 30820209 A0030201 02020101 300D0609 2A864886 F70D0101 0B050030 
  32310E30 0C060355 040A1305 43697363 6F312030 1E060355 04031317 43697363 
  6F204C69 63656E73 696E6720 526F6F74 20434130 1E170D31 33303533 30313934 
  3834375A 170D3338 30353330 31393438 34375A30 32310E30 0C060355 040A1305 
  43697363 6F312030 1E060355 04031317 43697363 6F204C69 63656E73 696E6720 
  526F6F74 20434130 82012230 0D06092A 864886F7 0D010101 05000382 010F0030 
  82010A02 82010100 A6BCBD96 131E05F7 145EA72C 2CD686E6 17222EA1 F1EFF64D 
  CBB4C798 212AA147 C655D8D7 9471380D 8711441E 1AAF071A 9CAE6388 8A38E520 
  1C394D78 462EF239 C659F715 B98C0A59 5BBB5CBD 0CFEBEA3 700A8BF7 D8F256EE 
  4AA4E80D DB6FD1C9 60B1FD18 FFC69C96 6FA68957 A2617DE7 104FDC5F EA2956AC 
  7390A3EB 2B5436AD C847A2C5 DAB553EB 69A9A535 58E9F3E3 C0BD23CF 58BD7188 
  68E69491 20F320E7 948E71D7 AE3BCC84 F10684C7 4BC8E00F 539BA42B 42C68BB7 
  C7479096 B4CB2D62 EA2F505D C7B062A4 6811D95B E8250FC4 5D5D5FB8 8F27D191 
  C55F0D76 61F9A4CD 3D992327 A8BB03BD 4E6D7069 7CBADF8B DF5F4368 95135E44 
  DFC7C6CF 04DD7FD1 02030100 01A34230 40300E06 03551D0F 0101FF04 04030201 
  06300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604 1449DC85 
  4B3D31E5 1B3E6A17 606AF333 3D3B4C73 E8300D06 092A8648 86F70D01 010B0500 
  03820101 00507F24 D3932A66 86025D9F E838AE5C 6D4DF6B0 49631C78 240DA905 
  604EDCDE FF4FED2B 77FC460E CD636FDB DD44681E 3A5673AB 9093D3B1 6C9E3D8B 
  D98987BF E40CBD9E 1AECA0C2 2189BB5C 8FA85686 CD98B646 5575B146 8DFC66A8 
  467A3DF4 4D565700 6ADF0F0D CF835015 3C04FF7C 21E878AC 11BA9CD2 55A9232C 
  7CA7B7E6 C1AF74F6 152E99B7 B1FCF9BB E973DE7F 5BDDEB86 C71E3B49 1765308B 
  5FB0DA06 B92AFE7F 494E8A9E 07B85737 F3A58BE1 1A48A229 C37C1E69 39F08678 
  80DDCD16 D6BACECA EEBC7CF9 8428787B 35202CDC 60E4616A B623CDBD 230E3AFB 
  418616A9 4093E049 4D10AB75 27E86F73 932E35B5 8862FDAE 0275156F 719BB2F0 
  D697DF7F 28
        quit
license udi pid CISCO5921-K9 sn 98492083R3X
username lab password 0 lab
!
redundancy
!
!
! 
crypto keyring MVPN-spokes  
  pre-shared-key address 0.0.0.0 0.0.0.0 key Krakow123
crypto ikev2 authorization policy default
 route set interface
 route set remote ipv4 10.1.1.0 255.255.255.0
!
!
!
crypto ikev2 keyring mykeys
 peer ISR4451
  address 10.48.23.68
  pre-shared-key Krakow123
 !
!
!
crypto ikev2 profile default
 match identity remote address 0.0.0.0 
 authentication remote pre-share
 authentication local pre-share
 keyring local mykeys
 aaa authorization group psk list default default local
 virtual-template 1
!
!
crypto isakmp policy 10
 encr aes
 hash sha256
 authentication pre-share
 group 16
!
crypto isakmp policy 20
 encr aes
 hash sha256
 authentication pre-share
 group 14 
crypto isakmp key Krakow123 address 0.0.0.0        
crypto isakmp profile MVPN-profile
   description LAN-to-LAN for spoke router(s) connection
   keyring MVPN-spokes
   match identity address 0.0.0.0 
!
!
crypto ipsec transform-set radius esp-aes esp-sha256-hmac 
 mode tunnel
crypto ipsec transform-set radius-2 esp-aes esp-sha256-hmac 
 mode transport
!
!
!
crypto dynamic-map MVPN-dynmap 10
 set transform-set radius radius-2 
!
!
crypto map radius 10 ipsec-isakmp dynamic MVPN-dynmap 
!
!
!
!         
!
interface Loopback0
 ip address 10.1.12.2 255.255.255.0
!
interface Ethernet0/0
 description e0/0->connection to external NAD 
 ip address 10.48.17.87 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 no ip route-cache
 crypto map radius
!
interface Ethernet0/1
 description e0/1->tap0 internal connection to ISE
 ip address 10.1.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly in
 no ip route-cache
!
interface Ethernet0/2
 description e0/2->connection to CSSM backend license server
 no ip address
 ip virtual-reassembly in
 no ip route-cache
!
interface Ethernet0/3
 no ip address
 shutdown
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Ethernet0/0 overload
ip nat inside source static udp 10.1.1.2 1645 interface Ethernet0/0 1645
ip nat inside source static udp 10.1.1.2 1646 interface Ethernet0/0 1646
ip nat inside source static udp 10.1.1.2 1812 interface Ethernet0/0 1812
ip nat inside source static udp 10.1.1.2 1813 interface Ethernet0/0 1813
ip nat inside source static tcp 10.1.1.2 49 interface Ethernet0/0 49
ip route 0.0.0.0 0.0.0.0 10.48.17.1
!
!
!
access-list 1 permit 10.1.1.0 0.0.0.3
!
control-plane
!
 !
 !
 !
 !
!
!
!
!
!
!
!
line con 0
 logging synchronous
line aux 0
line vty 0 4
 login
 transport input none
!
!
end

FlexVPN 設計の検討事項

• VPN トンネルは ESR 側の DVTI と ASA 側の暗号マップを使用して構築されます。上記の設定では、ASA は内部インターフェイスから生成された Radius パケットを生成できます。これにより、VPN セッションの確立をトリガーするための暗号化のための正しいアクセス リストが保証されます。
• この場合、ASA NAD は内部インターフェイスの IP アドレスを使用して ISE で定義される必要があることに注意してください。