Vous pouvez configurer un routeur MX Series avec des cartes de ligne MS-MIC-16G et MS-MPC-PIC pour fournir au membre du groupe VPNv2 la prise en charge des fonctionnalités avec un ou plusieurs contrôleurs de groupe Cisco ou des serveurs de clés (GC/KS). Les membres du groupe peuvent se connecter à un maximum de quatre Cisco GC/KS avec une interopérabilité minimale avec les serveurs coopératifs.
La fonctionnalité Group VPNv2 fournit également la prise en charge de la journalisation système pour la fonctionnalité Group VPNv2 et la prise en charge de l’instance de routage pour le trafic de contrôle et de données.
Avant de commencer :
Configurez les routeurs pour la communication réseau.
Configurez le Cisco GC/KS.
Configurez les interfaces des périphériques des membres du groupe.
Configurez un itinéraire statique pour atteindre le serveur de groupe.
Pour configurer un membre VPNv2 de groupe, effectuez les tâches suivantes :
- En mode configuration, accédez au niveau hiérarchique suivant :
[edit]
user@GM1# edit security
- Définissez la proposition IKE.
[edit security]
user@GM1# set group-vpn member ike proposal proposal-name
- Configurez la SA de phase 1 pour la proposition IKE.
[edit security]
user@GM1# set group-vpn member ike proposal proposal-name authentication-method pre-shared-keys
user@GM1# set group-vpn member ike proposal proposal-name dh-group group
user@GM1# set group-vpn member ike proposal proposal-name authentication-algorithm sha1
user@GM1# set group-vpn member ike proposal proposal-name encryption-algorithm 3des-cbc
- Définissez la stratégie IKE.
[edit security]
user@GM1# set group-vpn member ike policy policy-name mode main
user@GM1# set group-vpn member ike policy policy-name proposals proposal-name
user@GM1# set group-vpn member ike policy policy-name pre-shared-key ascii-text text
- Définissez les passerelles distantes pour le groupe de passerelles IKE.
[edit security]
user@GM1# set group-vpn member ike gateway gateway-group-name ike-policy policy-name
user@GM1# set group-vpn member ike gateway gateway-group-name server-address server-IP-address
user@GM1# set group-vpn member ike gateway gateway-group-name local-address server-facing-interface-IP-address
Note:
Pour configurer un membre du groupe afin qu’il se connecte à plusieurs serveurs de groupe, ajoutez l’adresse IP de tous les serveurs à la configuration du groupe de passerelles IKE distantes.
Par exemple,
[edit security]
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.0
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.1
- Configurez l’identificateur de groupe et la passerelle IKE pour le groupe de passerelles distantes.
[edit security]
user@GM1# set group-vpn member ipsec vpn vpn-name ike-gateway gateway-group-name
user@GM1# set group-vpn member ipsec vpn vpn-name group group-ID
user@GM1# set group-vpn member ipsec vpn vpn-name match-direction output
- En mode configuration, accédez au niveau hiérarchique suivant :
[edit]
user@GM1# edit services
- Configurez l’ensemble de services pour le groupe de passerelles distantes.
[edit services]
user@GM1# set service-set service-set-name interface-service service-interface service-interface
user@GM1# set service-set service-set-name ipsec-group-vpn vpn-name
Note:
L’ensemble de services doit être appliqué sur l’interface qui se connecte à l’autre membre du groupe.
Par exemple :
[edit interfaces]
user@GM1# set xe-0/3/1 unit 1 family inet service input service-set gvpn-service-set
user@GM1# set xe-0/3/1 unit 1 family inet service output service-set gvpn-service-set
- Vérifiez et validez la configuration.
Par exemple :
[edit security]
user@GM1# set group-vpn member ike proposal ike-proposal authentication-method pre-shared-keys
user@GM1# set group-vpn member ike proposal ike-proposal dh-group group2
user@GM1# set group-vpn member ike proposal ike-proposal authentication-algorithm sha1
user@GM1# set group-vpn member ike proposal ike-proposal encryption-algorithm 3des-cbc
user@GM1# set group-vpn member ike policy ike-policy mode main
user@GM1# set group-vpn member ike policy ike-policy proposals ike-proposal
user@GM1# set group-vpn member ike policy ike-policy pre-shared-key ascii-text ""$9$QEni3/t1RSM87uO87-V4oz36"
user@GM1# set group-vpn member ike gateway gw-group1 ike-policy ike-policy
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.0
user@GM1# set group-vpn member ike gateway gw-group1 local-address 192.0.2.0
user@GM1# set group-vpn member ipsec vpn vpn-group1 ike-gateway gw-group1
user@GM1# set group-vpn member ipsec vpn vpn-group1 group 1
user@GM1# set group-vpn member ipsec vpn vpn-group1 match-direction output
[edit services]
user@GM1# set service-set gvpn-service-set interface-service service-interface ms-4/0/0.1
user@GM1# set service-set gvpn-service-set ipsec-group-vpn vpn-group1
[edit]
user@GM1# commit
commit complete
