MS-MIC-16G および MS-MPC-PIC ライン カードを使用して MXシリーズ ルーターを設定し、1 つ以上のシスコ グループ コントローラまたはキー サーバー(GC/KS)でグループ VPNv2 メンバー機能のサポートを提供できます。グループ メンバーは、連携サーバとの最小限の相互運用性で、最大 4 つの Cisco GC/KS に接続できます。
グループVPNv2機能は、グループVPNv2機能のシステムロギングサポートと、制御トラフィックとデータトラフィックの両方のルーティングインスタンスサポートも提供します。
始める前に:
ネットワーク通信用のルーターを設定します。
Cisco GC/KSを設定します。
グループメンバーのデバイスインターフェイスを設定します。
グループサーバーに到達するように静的ルートを設定します。
グループVPNv2メンバーを設定するには、以下のタスクを実行します。
- 設定モードでは、次の階層レベルに移動します。
[edit]
user@GM1# edit security
- IKEプロポーザルを定義します。
[edit security]
user@GM1# set group-vpn member ike proposal proposal-name
- IKEプロポーザルのフェーズ1SAを設定します。
[edit security]
user@GM1# set group-vpn member ike proposal proposal-name authentication-method pre-shared-keys
user@GM1# set group-vpn member ike proposal proposal-name dh-group group
user@GM1# set group-vpn member ike proposal proposal-name authentication-algorithm sha1
user@GM1# set group-vpn member ike proposal proposal-name encryption-algorithm 3des-cbc
- IKEポリシーを定義します。
[edit security]
user@GM1# set group-vpn member ike policy policy-name mode main
user@GM1# set group-vpn member ike policy policy-name proposals proposal-name
user@GM1# set group-vpn member ike policy policy-name pre-shared-key ascii-text text
- IKEゲートウェイグループのリモートゲートウェイを設定します。
[edit security]
user@GM1# set group-vpn member ike gateway gateway-group-name ike-policy policy-name
user@GM1# set group-vpn member ike gateway gateway-group-name server-address server-IP-address
user@GM1# set group-vpn member ike gateway gateway-group-name local-address server-facing-interface-IP-address
注:
グループメンバーが複数のグループサーバーに接続するように設定するには、すべてのサーバーのIPアドレスをリモートIKEゲートウェイグループ設定に追加します。
例えば
[edit security]
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.0
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.1
- リモートゲートウェイグループのグループ識別子とIKEゲートウェイを設定します。
[edit security]
user@GM1# set group-vpn member ipsec vpn vpn-name ike-gateway gateway-group-name
user@GM1# set group-vpn member ipsec vpn vpn-name group group-ID
user@GM1# set group-vpn member ipsec vpn vpn-name match-direction output
- 設定モードでは、次の階層レベルに移動します。
[edit]
user@GM1# edit services
- リモートゲートウェイグループのサービスセットを設定します。
[edit services]
user@GM1# set service-set service-set-name interface-service service-interface service-interface
user@GM1# set service-set service-set-name ipsec-group-vpn vpn-name
注:
サービスセットは、他のグループメンバーに接続するインターフェイスに適用する必要があります。
例えば:
[edit interfaces]
user@GM1# set xe-0/3/1 unit 1 family inet service input service-set gvpn-service-set
user@GM1# set xe-0/3/1 unit 1 family inet service output service-set gvpn-service-set
- 設定を確認し、コミットします。
例えば:
[edit security]
user@GM1# set group-vpn member ike proposal ike-proposal authentication-method pre-shared-keys
user@GM1# set group-vpn member ike proposal ike-proposal dh-group group2
user@GM1# set group-vpn member ike proposal ike-proposal authentication-algorithm sha1
user@GM1# set group-vpn member ike proposal ike-proposal encryption-algorithm 3des-cbc
user@GM1# set group-vpn member ike policy ike-policy mode main
user@GM1# set group-vpn member ike policy ike-policy proposals ike-proposal
user@GM1# set group-vpn member ike policy ike-policy pre-shared-key ascii-text ""$9$QEni3/t1RSM87uO87-V4oz36"
user@GM1# set group-vpn member ike gateway gw-group1 ike-policy ike-policy
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.0
user@GM1# set group-vpn member ike gateway gw-group1 local-address 192.0.2.0
user@GM1# set group-vpn member ipsec vpn vpn-group1 ike-gateway gw-group1
user@GM1# set group-vpn member ipsec vpn vpn-group1 group 1
user@GM1# set group-vpn member ipsec vpn vpn-group1 match-direction output
[edit services]
user@GM1# set service-set gvpn-service-set interface-service service-interface ms-4/0/0.1
user@GM1# set service-set gvpn-service-set ipsec-group-vpn vpn-group1
[edit]
user@GM1# commit
commit complete
