用于實(shí)現(xiàn)多個(gè)CPE終端之間公網(wǎng)VPN互聯(lián)的業(yè)務(wù)部署方案

前言：

在實(shí)際的5G交付過(guò)程中，部分企業(yè)用戶總有這樣的需求：企業(yè)在各地市均有營(yíng)業(yè)網(wǎng)點(diǎn)，如何將網(wǎng)點(diǎn)數(shù)據(jù)通過(guò)5G_CPE設(shè)備進(jìn)行遠(yuǎn)距離的安全的傳輸?，F(xiàn)在，我們可以通過(guò)一臺(tái)擁有公網(wǎng)地址的防火墻，在其上部署L2TP_VPN，連接了CPE設(shè)備的終端上配置客戶端撥號(hào)的方式，將多臺(tái)終端撥入同一個(gè)L2TP組內(nèi)，實(shí)現(xiàn)多臺(tái)終端的安全互聯(lián)互通。

組網(wǎng)說(shuō)明：

PC1和PC2通過(guò)公網(wǎng)傳輸或者直連可達(dá)防火墻，防火墻上，PC1和PC2之間沒(méi)有互訪路由。PC1和PC2通過(guò)向防火墻的L2TP服務(wù)器撥號(hào)，加入到L2TP_VPN實(shí)現(xiàn)安全互聯(lián)。

以下是具體實(shí)現(xiàn)步驟：

步驟 1 配置LNS側(cè)（防火墻）。

# 配置Eudemon防火墻作為L(zhǎng)NS服務(wù)器的名稱。

system-view

[Eudemon] sysname LNS

# 配置Ethernet 1/0/1的IP地址。

[LNS] interface Ethernet 1/0/1

[LNS-Ethernet1/0/1] ip address 202.38.160.1 24

# 配置Ethernet 1/0/0的IP地址。

[LNS] interface Ethernet 1/0/0

[LNS-Ethernet1/0/0] ip address 192.168.1.1 24

[LNS-Ethernet1/0/0] quit

# 配置Ethernet 1/0/0加入U(xiǎn)ntrust安全區(qū)域。

[LNS] firewall zone trust

[LNS-zone-trust] add interface Ethernet 1/0/0

[LNS-zone-trust] quit

# 配置Ethernet 1/0/1加入U(xiǎn)ntrust安全區(qū)域。

[LNS] firewall zone untrust

[LNS-zone-untrust] add interface Ethernet 1/0/1

[LNS-zone-untrust] quit

#此處進(jìn)行配置時(shí)可以將端口加入到不同的安全域，通過(guò)域間包過(guò)濾規(guī)則和安全策略進(jìn)行更加具體的安全限制

# 創(chuàng)建并配置虛擬接口模板。

[LNS] interface Virtual-Template 1

[LNS-Virtual-Template1] ip address 10.110.1.1 24

[LNS-Virtual-Template1] pppauthentication-mode chap

[LNS-Virtual-Template1] remote address pool 1

[LNS-Virtual-Template1] quit

# 配置虛擬接口模板加入安全區(qū)域，可以加入LNS的任一安全區(qū)域。本例將虛擬接口模板與接收L2TP隧道報(bào)文的實(shí)際物理接口Ethernet 1/0/1加入同一安全區(qū)域。

[LNS] firewall zone untrust

[LNS-zone-trust] add interface Virtual-Template 1

[LNS-zone-trust] quit

# 使能L2TP功能。

[LNS] l2tp enable

# 創(chuàng)建L2TP組。

[LNS] l2tp-group 1

# 配置隧道本端名稱。

[LNS-l2tp1] tunnel name lns

# 配置LNS端接受客戶端呼叫時(shí)使用的虛擬接口模板。

[LNS-l2tp1] allow l2tp virtual-template 1

# 關(guān)閉L2TP隧道驗(yàn)證功能。

[LNS-l2tp1] undo tunnel authentication

[LNS-l2tp1] quit

# 進(jìn)入AAA視圖，創(chuàng)建域testvpdn，定義地址池，為撥入用戶分配IP地址，創(chuàng)建本地用戶名和密碼并配置用戶類型（應(yīng)與用戶側(cè)配置一致）。

[LNS] aaa

[LNS-aaa] domain testvpdn

[LNS-aaa-domain-testvpdn] ip pool 1 10.110.1.20 10.110.1.80

[LNS-aaa-domain-testvpdn] quit

[LNS-aaa] local-user admin@testvpdn password simple admin123

[LNS-aaa] local-user admin@testvpdn service-type ppp

[LNS-aaa] quit

# 配置域間包過(guò)濾規(guī)則，允許LNS側(cè)與隧道相連的接口所在的安全區(qū)域與Local安全區(qū)域互通。

[LNS] acl 3001

[LNS-acl-adv-3001] rule permit ip

[LNS] firewall interzoneuntrust local

[LNS-interzone-local-trust] packet-filter 3001 outbound

[LNS-interzone-local-untrust] packet-filter 3001 inbound

步驟 2 終端PC側(cè)調(diào)試。

#對(duì)于WIN7和WIN10系統(tǒng)，需要修改注冊(cè)表，啟動(dòng)服務(wù)項(xiàng)：

1. 單擊“開(kāi)始”，單擊“運(yùn)行”，鍵入“regedit”，然后單擊“確定”

2. 找到注冊(cè)表的如下參數(shù)：

HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼RasMan＼Parameters中的AllowL2TPWeakCrypto項(xiàng)、AllowPPTPWeakCrypto項(xiàng)、ProhibitIpSec項(xiàng);（若沒(méi)有則按照下面步驟創(chuàng)建即可）以及HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼PolicyAgent中的AssumeUDPEncapsulationContextOnSendRule項(xiàng)，再將所有“數(shù)值數(shù)據(jù)”，改為“1”。

3. 若沒(méi)有上述幾項(xiàng)參數(shù)，則在上級(jí)目錄上點(diǎn)擊“新建”->“DWORD值”

4. 在“名稱”框中，鍵入“項(xiàng)名字”

5. 在“數(shù)值數(shù)據(jù)”框中，鍵入“1”

7. 單擊“開(kāi)始”，單擊“運(yùn)行”，鍵入“services.msc”，然后單擊“確定”

8. 開(kāi)啟以R字母開(kāi)頭的Routing and Remote Access服務(wù)。

9.打開(kāi)網(wǎng)絡(luò)和共享中心。選擇“設(shè)置新的連接或網(wǎng)絡(luò)”，選擇連接到工作區(qū)。

10.選擇“使用我的Internet連接“”

11.鍵入一個(gè)防火墻上可達(dá)的IP地址，本例中，PC1使用192.168.1.1，PC2選擇202.38.160.1作為撥號(hào)服務(wù)器的地址：

12.然后輸入在防火墻aaa上配置的local-user用戶admin并帶上域名。

13.撥號(hào)完成，即可獲取到10.110.1.20到10.110.1.80段地址池中分配的地址了。本例中，PC1和PC2分別獲得了10.110.1.20和10.110.1.21兩個(gè)地址，進(jìn)行互Ping測(cè)試，發(fā)現(xiàn)二者可以通過(guò)防火墻建立的L2TP互通。而本身兩者之間路由是不可達(dá)的。

作者簡(jiǎn)介：張淼，出生年月：1974/5/6，性別：男，民族：漢，籍貫（精確到市）：山東省東營(yíng)市，當(dāng)前職務(wù)：東營(yíng)聯(lián)通智能網(wǎng)絡(luò)中心技術(shù)總監(jiān)，當(dāng)前職稱：中級(jí)工程師，學(xué)歷：大學(xué)本科，研究方向：IP數(shù)據(jù)網(wǎng)絡(luò).