Puede configurar un enrutador de la serie MX con tarjetas de línea MS-MIC-16G y MS-MPC-PIC para proporcionar compatibilidad con la funcionalidad de miembro VPNv2 del grupo con uno o varios controladores de grupo o servidores clave (GC/KS) de Cisco. Los miembros del grupo pueden conectarse a un máximo de cuatro GC/KS de Cisco con una interoperabilidad mínima con los servidores cooperativos.
La función VPNv2 de grupo también proporciona compatibilidad de registro del sistema para la funcionalidad VPNv2 de grupo y compatibilidad de instancia de enrutamiento para el tráfico de control y de datos.
Antes de empezar:
Configure los enrutadores para la comunicación de red.
Configure el GC/KS de Cisco.
Configure las interfaces de dispositivo de los miembros del grupo.
Configure una ruta estática para llegar al servidor de grupo.
Para configurar un miembro de VPNv2 de grupo, complete las siguientes tareas:
- En el modo de configuración, vaya al siguiente nivel de jerarquía:
[edit]
user@GM1# edit security
- Defina la propuesta de ICR.
[edit security]
user@GM1# set group-vpn member ike proposal proposal-name
- Configure la SA de fase 1 para la propuesta de IKE.
[edit security]
user@GM1# set group-vpn member ike proposal proposal-name authentication-method pre-shared-keys
user@GM1# set group-vpn member ike proposal proposal-name dh-group group
user@GM1# set group-vpn member ike proposal proposal-name authentication-algorithm sha1
user@GM1# set group-vpn member ike proposal proposal-name encryption-algorithm 3des-cbc
- Defina la política de ICR.
[edit security]
user@GM1# set group-vpn member ike policy policy-name mode main
user@GM1# set group-vpn member ike policy policy-name proposals proposal-name
user@GM1# set group-vpn member ike policy policy-name pre-shared-key ascii-text text
- Establezca las puertas de enlace remotas para el grupo de puertas de enlace de IKE.
[edit security]
user@GM1# set group-vpn member ike gateway gateway-group-name ike-policy policy-name
user@GM1# set group-vpn member ike gateway gateway-group-name server-address server-IP-address
user@GM1# set group-vpn member ike gateway gateway-group-name local-address server-facing-interface-IP-address
Nota:
Para configurar un miembro de grupo para que se conecte a varios servidores de grupo, agregue la dirección IP de todos los servidores a la configuración de grupo de puerta de enlace de IKE remota.
Por ejemplo,
[edit security]
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.0
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.1
- Configure el identificador de grupo y la puerta de enlace de IKE para el grupo de puerta de enlace remota.
[edit security]
user@GM1# set group-vpn member ipsec vpn vpn-name ike-gateway gateway-group-name
user@GM1# set group-vpn member ipsec vpn vpn-name group group-ID
user@GM1# set group-vpn member ipsec vpn vpn-name match-direction output
- En el modo de configuración, vaya al siguiente nivel de jerarquía:
[edit]
user@GM1# edit services
- Configure el conjunto de servicios para el grupo de puerta de enlace remota.
[edit services]
user@GM1# set service-set service-set-name interface-service service-interface service-interface
user@GM1# set service-set service-set-name ipsec-group-vpn vpn-name
Nota:
El conjunto de servicios debe aplicarse en la interfaz que se conecta al otro miembro del grupo.
Por ejemplo:
[edit interfaces]
user@GM1# set xe-0/3/1 unit 1 family inet service input service-set gvpn-service-set
user@GM1# set xe-0/3/1 unit 1 family inet service output service-set gvpn-service-set
- Compruebe y confirme la configuración.
Por ejemplo:
[edit security]
user@GM1# set group-vpn member ike proposal ike-proposal authentication-method pre-shared-keys
user@GM1# set group-vpn member ike proposal ike-proposal dh-group group2
user@GM1# set group-vpn member ike proposal ike-proposal authentication-algorithm sha1
user@GM1# set group-vpn member ike proposal ike-proposal encryption-algorithm 3des-cbc
user@GM1# set group-vpn member ike policy ike-policy mode main
user@GM1# set group-vpn member ike policy ike-policy proposals ike-proposal
user@GM1# set group-vpn member ike policy ike-policy pre-shared-key ascii-text ""$9$QEni3/t1RSM87uO87-V4oz36"
user@GM1# set group-vpn member ike gateway gw-group1 ike-policy ike-policy
user@GM1# set group-vpn member ike gateway gw-group1 server-address 203.0.113.0
user@GM1# set group-vpn member ike gateway gw-group1 local-address 192.0.2.0
user@GM1# set group-vpn member ipsec vpn vpn-group1 ike-gateway gw-group1
user@GM1# set group-vpn member ipsec vpn vpn-group1 group 1
user@GM1# set group-vpn member ipsec vpn vpn-group1 match-direction output
[edit services]
user@GM1# set service-set gvpn-service-set interface-service service-interface ms-4/0/0.1
user@GM1# set service-set gvpn-service-set ipsec-group-vpn vpn-group1
[edit]
user@GM1# commit
commit complete
