FlexVPN con Autenticación RSA en Cisco IOS
En el mundo de las redes empresariales modernas, la conectividad segura entre sedes es una prioridad crítica. Cisco FlexVPN surge como una solución unificada que simplifica la implementación de túneles seguros mediante el protocolo IKEv2 y permite escalar de manera flexible en entornos hub-and-spoke o full mesh.
En este artículo exploraremos cómo implementar Cisco FlexVPN con autenticación RSA, utilizando un enrolamiento PKI (Public Key Infrastructure) basado en certificados digitales. Analizaremos los elementos principales de la configuración en un router de cabecera (HQRouter) y su relevancia en entornos corporativos.
Fundamentos de FlexVPN
Cisco FlexVPN es un marco flexible basado en IKEv2 que reemplaza configuraciones más antiguas como DMVPN y EZVPN. Sus ventajas principales son:
- Unificación: un solo modelo para Remote Access, Site-to-Site y Dynamic Multipoint VPN.
- Seguridad avanzada: soporta autenticación con certificados RSA, EAP y credenciales dinámicas.
- Compatibilidad dual-stack: integración transparente con IPv4 e IPv6.
- Escalabilidad: permite añadir routers radiales con mínima configuración adicional.
En este laboratorio, implementaremos FlexVPN utilizando un diseño HUB-and-Spoke and Spoke to Spoke, donde el HUB centraliza la conexión y cada spoke se comunica con él de manera segura, también comunicación de spoke a spoke.

Perfil IKEv2 y Asociación con Ipsec para FlexVPN
El siguiente componente clave es el perfil IKEv2, que define cómo se autentican el hub y los spokes:


- Se activa AAA para autenticar y autorizar conexiones VPN. Las políticas FLEX_AUTH define que la autorización se hace localmente en el router.
- Se define la política de autorización (SpokePolicy) con asignación de direcciones IPv4 e IPv6 a clientes VPN.
- Se está usando la propuesta por defecto modificada (proposal default) del sistema, la cual incluye múltiples opciones de cifrado e integridad, de forma que el router elegirá automáticamente una que sea compatible con el peer remoto.
- Se está usando la política IKEv2 por defecto no restringe dirección local o VRF, y utiliza el (proposal default) para las negociaciones. Esto permite que el router sea flexible y acepte múltiples combinaciones de parámetros compatibles con peers que también usen configuraciones predeterminadas o ligeramente distintas.
- El HQRouter se identifica con su FQDN y valida que los spokes usen certificados emitidos por la misma PKI.
- Se utiliza autenticación RSA-SIG, garantizando que solo dispositivos con certificados válidos establezcan el túnel.
- El Virtual-Template 1 permite la creación dinámica de interfaces túnel para cada spoke conectado.
habilitamos Dead Peer Detection (DPD) para IKEv2, que es un mecanismo que verifica si el peer VPN sigue activo.
- 30 → Intervalo en segundos para enviar la sonda (DPD query) cuando se sospecha que el peer está inactivo.
- 10 → Tiempo de espera en segundos para recibir respuesta del peer antes de considerarlo inalcanzable.
- on-demand → Significa que las sondas DPD no se envían de manera continua, sino únicamente cuando el equipo detecta inactividad en el canal de control de IKEv2.
Funcionamiento práctico:
Cuando no hay tráfico o se pierde la conectividad, el router o ASA envía un mensaje DPD para confirmar si el peer sigue vivo. Si no responde en 5 segundos, la sesión IKEv2 se elimina y puede renegociarse. Esto ayuda a:
- Liberar recursos en sesiones muertas.
- Acelerar la reconexión en caso de fallo de red.
- Evitar quedarse con túneles "fantasma" activos.
En este laboratorio:
Esto mejora la resiliencia del túnel FlexVPN, ya que, en entornos de prueba o enlaces inestables, el equipo detectará rápido un peer caído y renegociará automáticamente.
Configuración de Ipsec Face 2

El transform-set define los algoritmos que se usarán en fase 2 (IPsec SA) para proteger el tráfico de datos. Se utiliza el transform-set FLEX_TS.
En FlexVPN crea un Túnel virtual entre dos endpoints, encapsulando todo el tráfico (IPv4 o IPv6) que viaja entre las redes remotas. Este modo asegura confidencialidad, integridad y autenticación del tráfico usando IPSec, mientras permite configuraciones avanzadas como Soporte multiprotocolo, Hub y Spoke dinámicos.
Se define el perfil IPsec (FLEX_IPSEC_PROFILE) que se usará para proteger el túnel GRE sobre IPv6. Asocia el transform-set (FLEX_TS) y el perfil IKEv2 previamente definido.
Interfaces y Túneles Dinámicos


- Uno de los elementos centrales en FlexVPN es el uso de Virtual-Templates 1. Esto permite que cada spoke genere su propia interfaz virtual a partir del template, heredando configuración de direccionamiento, enrutamiento dinámico y protección Ipsec.
- La interface Loopback0 sirve como identificador y dirección de gestión del router, conectividad túneles.
- La interface GigabitEthernet0/0 es la conexión hacia Internet y punto de origen para túneles FLEX VPN.
- La interface GigabitEthernet0/1 es la conexión hacia el servidor de Windows (Network Device Enrollment Service) para la authenticacion RSA.
- Plantilla de túnel GRE sobre IPv6, protegido con IPsec y gestionado con NHRP (Next Hop Resolution Protocol). Asigna direccionamiento IPv4 e IPv6 de forma dinámica. Este template es usado por cada spoke que se conecte.
- La integración con EIGRP IPv6 facilita el intercambio automático de rutas, tanto en IPv4 como IPv6, entre la sede central y las sucursales.
Control de Tráfico y Authorization

FlexVPN permite granularidad en el control de tráfico mediante políticas de autorización. En este caso:
- Se asignan pools de direcciones IPv4 e IPv6 para los spokes.
- Se definen listas de acceso que determinan qué redes pueden atravesar el túnel.
- El enrutamiento se aplica dinámicamente según la sesión establecida.
Configuración de enrutamiento Estático y Dinámico

- Se configuraron los protocolos de enrutamientos dinámicos EIGRP 100 para IPv4 y IPV6 para redes internas interface loopback e interface túneles.
- Se configuraron los protocolos de enrutamientos dinámicos OSPFv3 100 para IPV4 y IPv6 para anunciar y aprender rutas de los routers spokes, conectividad WAN del ISP.
Configuración para los Routers Spoke 1 and Spoke 2
Los routers de las sucursales (Spoke1 y Spoke2) establecen túneles dinámicos y seguros hacia la sede central.
La autenticación se realiza mediante certificados RSA emitidos por una PKI, eliminando el uso de claves precompartidas (PSK).
En este artículo veremos cómo se configuran los routers spoke, destacando los bloques de configuración comunes y las diferencias mínimas entre ellos.
PKI y Certificados Digitales
Cada spoke se registra en la misma Autoridad de Certificación (CA) mediante el protocolo SCEP. Esto garantiza que solo dispositivos con certificados válidos puedan establecer túneles con el HQRouter.
Nota: El valor SpokeX cambia según el dispositivo (Spoke1 o Spoke2).
Perfil IKEv2 para los Spokes
El perfil IKEv2 define cómo los spoke se autentica frente al Hub HQRouter. Ambos spokes utilizan un perfil IKEv2 común:
- Identidad local: cada spoke se presenta con su FQDN único.
- Autenticación: tanto el HQRouter como los spokes usan certificados digitales RSA.
- Trustpoint (VPNFLEX4): todos confían en la misma CA.
Configuración de IPsec face 2

Se utiliza un perfil IPsec estandarizado para todos los spokes:
- Esto asegura confidencialidad y autenticidad del tráfico mediante AES-256 y SHA-256.
- Se deshabilita el transform-set default.
Interfaces Virtuales y Túneles

Cada spoke emplea Virtual-Template para soportar múltiples túneles de forma dinámica.
- La interfaz no requiere dirección IP fija: usa la del puerto físico (ip unnumbered).
- El túnel se protege automáticamente con el perfil IPsec configurado.
- Tomar en cuenta la link local address, debe ser diferente en cada spoke.
Control de Tráfico y Autorización

FlexVPN permite granularidad en el control de tráfico mediante políticas de autorización. En este caso:
- Se asignan direccionamiento dinámico por medio de los pools de direcciones IPv4 e IPv6 configurado en el router Hub HQRouter para los spokes.
- Se definen listas de acceso que determinan qué redes pueden atravesar el túnel.
- El enrutamiento se aplica dinámicamente según la sesión establecida.
Interfaces Físicas y Conectividad WAN

Las diferencias entre Spoke1 y Spoke2 se reflejan en sus interfaces GigabitEthernet0/0, que conectan a sus respectivos proveedores.
- Ambos se conectan hacia el HQRouter, pero con distintos rangos IP.
Enrutamiento Estático y Enrutamiento Dinámico en Router Spoke 1 y Spoke 2

Los router spokes anuncian sus LAN internas y aprenden rutas de la sede central mediante EIGRP 100 para IPv4 y IPV6. Se configuro el protocolo de enrutamiento dinámico OSPFv3 100 para IPV4 y IPv6 para anunciar y aprender rutas de los routers vecinos, Esto permite que tanto el hub como los otros spokes conozcan las redes de forma automática por medio de la conectividad WAN del ISP.
Establecimiento y verificación del túnel FlexVPN
Una vez configurados los routers Hub y Spokes, el siguiente paso es comprender cómo se establece el túnel FlexVPN y cómo verificar que la autenticación y la encriptación se realizan de forma adecuada.
Prueba ping IPV6: 
Prueba ping ipv4:
Verificamos el estado de las asociaciones de seguridad (SAs) IKEv2 que se han establecido entre los dispositivos Router Spoke 1, Spoke 2 y Router HQRouter para proteger el canal de comunicación IPsec.

Conclusión
El uso de Cisco FlexVPN con autenticación RSA permite construir redes corporativas seguras, escalables y fáciles de administrar:
- Seguridad avanzada gracias a certificados PKI.
- Estándar de configuración reutilizable en todos los spokes.
- Escalabilidad para añadir nuevas sucursales con cambios mínimos.
- Soporte para tráfico IPv4 e IPv6.
En este laboratorio con Spoke1 y Spoke2 observamos cómo ambos dispositivos se integran sin complicaciones al HQRouter, manteniendo un diseño coherente y replicable en entornos reales.
Jovanny de Jesus.
