Puede configurar un enrutador de la serie MX con tarjetas de línea MS-MIC-16G y MS-MPC-PIC para proporcionar compatibilidad con la funcionalidad de miembro del grupo VPNv2 con uno o más controladores de grupo Cisco o servidores clave (GC/KSs). Los miembros del grupo pueden conectarse a un máximo de cuatro GC/KS Cisco con una interoperabilidad mínima con los servidores cooperativos.
La función Group VPNv2 también ofrece soporte de registro del sistema para la funcionalidad de Group VPNv2 y soporte de instancia de enrutamiento para el control y el tráfico de datos.
Antes de empezar:
Configure los enrutadores para la comunicación de red.
Configure the Cisco GC/KS.
Configure las interfaces de dispositivo miembro del grupo.
Configure una ruta estática para llegar al servidor del grupo.
Para configurar un miembro de VPNv2 de grupo, complete las siguientes tareas:
- En el modo de configuración, vaya al siguiente nivel de jerarquía:
[edit]
user@GM1# edit security
- Defina la propuesta de ICR.
[edit security]
user@GM1# set group-vpn member ike proposal proposal-name
- Configure la SA de fase 1 para la propuesta de IKE.
[edit security]
user@GM1# set group-vpn member ike proposal proposal-name authentication-method pre-shared-keys
user@GM1# set group-vpn member ike proposal proposal-name dh-group group
user@GM1# set group-vpn member ike proposal proposal-name authentication-algorithm sha1
user@GM1# set group-vpn member ike proposal proposal-name encryption-algorithm 3des-cbc
- Defina la política de ICR.
[edit security]
user@GM1# set group-vpn member ike policy policy-name mode main
user@GM1# set group-vpn member ike policy policy-name proposals proposal-name
user@GM1# set group-vpn member ike policy policy-name pre-shared-key ascii-text text
- Establezca las puertas de enlace remotas para el grupo de puertas de enlace de IKE.
[edit security]
user@GM1# set group-vpn member ike gateway gateway-group-name ike-policy policy-name
user@GM1# set group-vpn member ike gateway gateway-group-name server-address server-IP-address
user@GM1# set group-vpn member ike gateway gateway-group-name local-address server-facing-interface-IP-address
Nota:
Para configurar un miembro de grupo para que se conecte a varios servidores de grupo, agregue la dirección IP de todos los servidores a la configuración del grupo de puerta de enlace de IKE remota.
Por ejemplo,
[edit security]
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.0
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.1
- Configure el identificador de grupo y la puerta de enlace de ICR para el grupo de puerta de enlace remota.
[edit security]
user@GM1# set group-vpn member ipsec vpn vpn-name ike-gateway gateway-group-name
user@GM1# set group-vpn member ipsec vpn vpn-name group group-ID
user@GM1# set group-vpn member ipsec vpn vpn-name match-direction output
- En el modo de configuración, vaya al siguiente nivel de jerarquía:
[edit]
user@GM1# edit services
- Configure el conjunto de servicios para el grupo de puerta de enlace remota.
[edit services]
user@GM1# set service-set service-set-name interface-service service-interface service-interface
user@GM1# set service-set service-set-name ipsec-group-vpn vpn-name
Nota:
El conjunto de servicios se debe aplicar en la interfaz que se conecta con el otro miembro del grupo.
Por ejemplo:
[edit interfaces]
user@GM1# set xe-0/3/1 unit 1 family inet service input service-set gvpn-service-set
user@GM1# set xe-0/3/1 unit 1 family inet service output service-set gvpn-service-set
- Verifique y confirme la configuración.
Por ejemplo:
[edit security]
user@GM1# set group-vpn member ike proposal ike-proposal authentication-method pre-shared-keys
user@GM1# set group-vpn member ike proposal ike-proposal dh-group group2
user@GM1# set group-vpn member ike proposal ike-proposal authentication-algorithm sha1
user@GM1# set group-vpn member ike proposal ike-proposal encryption-algorithm 3des-cbc
user@GM1# set group-vpn member ike policy ike-policy mode main
user@GM1# set group-vpn member ike policy ike-policy proposals ike-proposal
user@GM1# set group-vpn member ike policy ike-policy pre-shared-key ascii-text ""$9$QEni3/t1RSM87uO87-V4oz36"
user@GM1# set group-vpn member ike gateway gw-group1 ike-policy ike-policy
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.0
user@GM1# set group-vpn member ike gateway gw-group1 local-address 192.0.2.0
user@GM1# set group-vpn member ipsec vpn vpn-group1 ike-gateway gw-group1
user@GM1# set group-vpn member ipsec vpn vpn-group1 group 1
user@GM1# set group-vpn member ipsec vpn vpn-group1 match-direction output
[edit services]
user@GM1# set service-set gvpn-service-set interface-service service-interface ms-4/0/0.1
user@GM1# set service-set gvpn-service-set ipsec-group-vpn vpn-group1
[edit]
user@GM1# commit
commit complete