MS-MIC-16GおよびMS-MPC-PICラインカードを使用してMXシリーズルーターを設定して、1つ以上のCiscoグループコントローラまたはキーサーバー(GC/KSs)でグループVPNv2メンバー機能サポートを提供できます。グループメンバーは、最小の相互運用性を備えた最大4つのCisco GC/KSsに接続できます。
また、グループVPNv2機能は、グループVPNv2機能のシステムロギングをサポートし、制御トラフィックとデータトラフィックの両方のルーティングインスタンスをサポートします。
開始する前に、以下を行います。
ネットワーク通信用にルーターを設定します。
Cisco GC/KSを設定します。
グループメンバーデバイスインターフェイスを設定します。
グループサーバーに到達するための静的ルートを設定します。
グループ VPNv2 メンバーを構成するには、以下のタスクを実行します。
- 設定モードで、以下の階層レベルに移動します。
[edit]
user@GM1# edit security
- IKEプロポーザルを定義します。
[edit security]
user@GM1# set group-vpn member ike proposal proposal-name
- IKEプロポーザルのフェーズ1 SAを設定します。
[edit security]
user@GM1# set group-vpn member ike proposal proposal-name authentication-method pre-shared-keys
user@GM1# set group-vpn member ike proposal proposal-name dh-group group
user@GM1# set group-vpn member ike proposal proposal-name authentication-algorithm sha1
user@GM1# set group-vpn member ike proposal proposal-name encryption-algorithm 3des-cbc
- IKEポリシーを定義します。
[edit security]
user@GM1# set group-vpn member ike policy policy-name mode main
user@GM1# set group-vpn member ike policy policy-name proposals proposal-name
user@GM1# set group-vpn member ike policy policy-name pre-shared-key ascii-text text
- IKEゲートウェイグループのリモートゲートウェイを設定します。
[edit security]
user@GM1# set group-vpn member ike gateway gateway-group-name ike-policy policy-name
user@GM1# set group-vpn member ike gateway gateway-group-name server-address server-IP-address
user@GM1# set group-vpn member ike gateway gateway-group-name local-address server-facing-interface-IP-address
メモ:
複数のグループ サーバーに接続するようにグループ メンバーを構成するには、すべてのサーバーの IP アドレスをリモート IKE ゲートウェイ グループ構成に追加します。
例えば
[edit security]
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.0
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.1
- リモートゲートウェイグループのグループ識別子とIKEゲートウェイを設定します。
[edit security]
user@GM1# set group-vpn member ipsec vpn vpn-name ike-gateway gateway-group-name
user@GM1# set group-vpn member ipsec vpn vpn-name group group-ID
user@GM1# set group-vpn member ipsec vpn vpn-name match-direction output
- 設定モードで、以下の階層レベルに移動します。
[edit]
user@GM1# edit services
- リモート ゲートウェイ グループのサービス セットを構成します。
[edit services]
user@GM1# set service-set service-set-name interface-service service-interface service-interface
user@GM1# set service-set service-set-name ipsec-group-vpn vpn-name
メモ:
サービスセットは、他のグループメンバーに接続するインターフェイスに適用する必要があります。
例えば:
[edit interfaces]
user@GM1# set xe-0/3/1 unit 1 family inet service input service-set gvpn-service-set
user@GM1# set xe-0/3/1 unit 1 family inet service output service-set gvpn-service-set
- 設定を確認してコミットします。
例えば:
[edit security]
user@GM1# set group-vpn member ike proposal ike-proposal authentication-method pre-shared-keys
user@GM1# set group-vpn member ike proposal ike-proposal dh-group group2
user@GM1# set group-vpn member ike proposal ike-proposal authentication-algorithm sha1
user@GM1# set group-vpn member ike proposal ike-proposal encryption-algorithm 3des-cbc
user@GM1# set group-vpn member ike policy ike-policy mode main
user@GM1# set group-vpn member ike policy ike-policy proposals ike-proposal
user@GM1# set group-vpn member ike policy ike-policy pre-shared-key ascii-text ""$9$QEni3/t1RSM87uO87-V4oz36"
user@GM1# set group-vpn member ike gateway gw-group1 ike-policy ike-policy
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.0
user@GM1# set group-vpn member ike gateway gw-group1 local-address 192.0.2.0
user@GM1# set group-vpn member ipsec vpn vpn-group1 ike-gateway gw-group1
user@GM1# set group-vpn member ipsec vpn vpn-group1 group 1
user@GM1# set group-vpn member ipsec vpn vpn-group1 match-direction output
[edit services]
user@GM1# set service-set gvpn-service-set interface-service service-interface ms-4/0/0.1
user@GM1# set service-set gvpn-service-set ipsec-group-vpn vpn-group1
[edit]
user@GM1# commit
commit complete