李 凌

（中國聯(lián)通馬鞍山市分公司，安徽 馬鞍山 243000）

XX銀行希望4G VPN業(yè)務(wù)自主設(shè)置賬號密碼并分配自有IP地址，先期實現(xiàn)友商VPN和我司VPN并存。通過技術(shù)攻關(guān)，解決了友商數(shù)據(jù)與我司數(shù)據(jù)沖突問題，通過4G VPN，L2TP及訪問控制列表在同一臺路由器實現(xiàn)方案滿足客戶需求，通過配置內(nèi)網(wǎng)地址池，可同時訪問本地和省行業(yè)務(wù)，彌補友商網(wǎng)卡只能訪問本地業(yè)務(wù)的不足。

1 研究背景

1.1 L2TP不能與友商配置數(shù)據(jù)共存的測試

將L2TP和友商的數(shù)據(jù)配在同一臺設(shè)備上

domain XX.133vpdn.ah /友商撥號地址池/

ip pool 0 10.185.125.1 10.185.125.254

interface Virtual-Template0 /友商撥號模板/

ppp authentication-mode chap domain XX.133vpdn.ah

ip address unnumbered interface Ethernet0/0/0

remote address pool 0

l2tp-group 1 /友商撥號組/

undo tunnel authentication

mandatory-lcp

allow l2tp virtual-template 0

新增我方撥號地址池和撥號模板，地址池地址由用戶提供

ip pool 1 10.185.133.2 10.185.133.254 /我方撥號地址池/

interface Virtual-Template1

ppp authentication-mode pap /我方撥號地址模板/

ip address 10.185.133.1 255.255.255.0

remote address pool 1

l2tp-group 2 /我方撥號組/

undo tunnel authentication

mandatory-lcp

allow l2tp virtual-template 1

進行L2TP撥號時，發(fā)現(xiàn)提示遠程主機無響應(yīng)。征得用戶同意后，將友商數(shù)據(jù)刪除，重新配置我方數(shù)據(jù)，Virtual-Template1改為0可以進行正常撥號。

分析原因如下：華為AR46XX路由器配置第2個L2TPGROUP，撥號組需要引用撥號物理端口，用戶設(shè)備較老不支持，嘗試將L2TP數(shù)據(jù)配置在GRE VPN路由器上。

2 針對問題制定對策

2.1 對策實施計劃

具體內(nèi)容如表1所示。

通過問題分析，決定采用在4GVPN基礎(chǔ)上，為用戶建立L2TP隧道，滿足用戶自行設(shè)置賬號密碼及IP地址池的需求，通過訪問列表權(quán)限還可以控制用戶訪問的目的地址段，這樣就不用購置RADIUS服務(wù)器設(shè)備，降低用戶成本，達到了用戶的預(yù)期。

3 方案可行性測試及數(shù)據(jù)配置實現(xiàn)

將L2TP數(shù)據(jù)配置在GRE VPN路由器上，通過了撥號認證，用戶不進行二次L2TP撥號也可以訪問其內(nèi)網(wǎng)，在GRE VPN路由器上配置訪問控制列表，解決該問題，實現(xiàn)通過4GVPN聯(lián)網(wǎng)后用戶需要進行賬號密碼認證才能訪問其內(nèi)網(wǎng)，獲取的是用戶自行分配的IP地址。

配置模板如下：

l2tp enable /使能L2TP配置/

l2tp domain suf fi x-separator @

domain system /配置用戶分配的L2TP地址池/

ip pool 1 10.185.133.2 10.185.133.254

local-user XXX /配置L2TP撥號賬號密碼/

password cipher XXX service-type telnet service-type ppp interface Virtual-Template0 /配置L2TP撥號模板/

表1 對策實施計劃表

ppp authentication-mode pap /配置L2TP認證方式/

ip address 10.185.133.1 255.255.255.0 /配置L2TP認證網(wǎng)關(guān)/

remote address pool 1 /配置L2TP認證地址池/

interface Ethernet0/0 /3G VPN接入IP地址/

ip address 10.30.X.X 255.255.255.252

interface Ethernet0/1 /和用戶內(nèi)網(wǎng)對接地址/ip address 172.16.X.X 255.255.255.252

firewall packet-filter 2000 outbound /只有獲取到L2TP地址才能通過/

interface Tunnel0 /GRE VPN隧道0/

ip address 192.168.X.X 255.255.255.252

source 10.30.X.X

destination 58.243.X.X

interface Tunnel1

ip address 192.168.Y.Y 255.255.255.252 /GRE VPN隧道1/

source 10.30.X.X

destination 58.243.Y.Y

acl number 2000 /只有獲取到L2TP地址才能通過/

rule 0 permit source 10.185.133.0 0.0.0.255 logging

rule 1 deny logging

l2tp-group 1 /配置L2TP撥號組/

undo tunnel authentication

mandatory-lcp

allow l2tp virtual-template 0

ip route-static 0.0.0.0 0.0.0.0 172.16.X.X preference 60 /指向用戶內(nèi)網(wǎng)/

ip route-static 58.243.0.0 255.255.0.0 10.30.X.X preference 60/至MME路由/

ip route-static 192.5.1.0 255.255.255.0 192.168.5.9 preference 60/至無線網(wǎng)卡地址段指向隧道0下一跳/

ip route-static 192.5.129.0 255.255.255.0 192.168.25.9 preference 60/至無線網(wǎng)卡地址段指向隧道1下一跳/

user-interface vty 0 4 /配置登錄方式/authentication-mode scheme

4 用戶端電腦配置模板

為用戶提供了XP和WIN7的L2TP VPN撥號模板和注冊表文件，使用步驟為首先連接4G VPN 無線上網(wǎng)卡，然后連接以下配置好的VPN撥號鏈接。

4.1 XP VPN撥號設(shè)置模板

（1）在桌面上右鍵點擊網(wǎng)上鄰居，選擇屬性。（2）在網(wǎng)絡(luò)連接里選擇創(chuàng)建一個新的連接。（3）點“下一步”后，選擇第二項“連接到我的工作場所”，點“下一步”。（4）選擇“虛擬專用網(wǎng)絡(luò)連接”，再點“下一步”。（5）輸入公司名馬鞍山農(nóng)商行，點“下一步”。（6）選擇“不撥初始連接”，點“下一步”。（7）輸入主機IP地址10.30.53.206 并點擊“下一步”。（8）選擇“在我的桌面建立快捷方式”，并點擊“完成”。（9）完成后，會自動彈出VPN撥號界面，點擊屬性，選擇安全標(biāo)簽，選擇高級設(shè)置，若L2TP認證方式為PAP，則要選擇可選加密，在PAP協(xié)議上進行勾選，如果配置認證方式為CHAP，則該選項不用填寫。（10）在屬性的網(wǎng)絡(luò)選項夾內(nèi)將VPN類型改為L2TP IPSec VPN，然后雙擊“Internet協(xié)議（TCP/IP）”。（11）撥號窗口，輸入用戶名為XXX密碼為XXX并點擊“連接”，等撥號連接建立后，即可訪問內(nèi)網(wǎng)。

4.2 WIN7 VPN撥號設(shè)置模板

（1）通過控制面板選擇網(wǎng)絡(luò)和Internet，進入網(wǎng)絡(luò)和共享中心。（2）選擇設(shè)置新的連接網(wǎng)絡(luò)，選連接到工作區(qū)。（3）選擇否，創(chuàng)建新連接。（4）使用“我的Internet”連接（VPN）。（5）在Internet地址選項輸入路由器的IP地址10.30.X.X，目標(biāo)名稱隨意寫個即可。（6）VPN類型選擇L2TP，數(shù)據(jù)加密可選加密，勾選未加密PAP。（7）網(wǎng)絡(luò)連接中選擇建立好的連接，雙擊輸入設(shè)置的賬號密碼，域名不填。WIN7 L2TP撥號終端設(shè)置2如圖1所示。

圖1 WIN7 L2TP撥號終端設(shè)置2

5 實施效果檢查

技術(shù)上滿足用戶自主設(shè)置賬號密碼并分配自有IP地址并實現(xiàn)友商VPN和中國聯(lián)通馬鞍山市分公司VPN并存，憑借該項目成功打破了友商在該銀行系統(tǒng)VPN業(yè)務(wù)的壟斷，樹立了品牌形象。

6 效益分析

滿足用戶自主設(shè)置賬號密碼并分配用戶自有IP地址的需求，同時實現(xiàn)友商和我司VPN并存，避免一次性全部轉(zhuǎn)網(wǎng)給用戶造成使用上的不便。