3G在H3C设备上的实现 v32Word文档格式.docx

1、在LAC的VT0口上配置ppp authentication-mode pap/chap后，一旦认证成功就会触发L2TP拨号（L2TP配置省略）如下图所示：例如serial口（L2TP配置省略）在一端配置帐号和密码，在LAC这一段serial口上配置ppp authentication-mode pap/chap后，也可以触发L2TP拨号，如下图所示：我们关注这些链路的另外一个目的就是：既然我们身边有这么多具有链路层是PPP封装的物理层，那么有一天说不定它可以帮助你实现建立2层VPN的梦：通过与之互联的LAC设备的配合，也可以实现“不需要特殊软件版本支持，也无需人工参与，L2TP自动拨号” 如

2、下图所示：4. 3G硬件安装注意事项如下图所示：我司设备支持3G有2种形式，一种是3G usb modem 、一种是 3G sic卡modem。如上图所示。注意:设备对3G的支持是除了确定版本以外，还要确定接口对应的槽号，下面给出我司设备sic槽位支持情况如下：SIC机型Slot 1Slot 2Slot 3Slot 4MSR 20-20MSR 20-21MSR 20-40MSR 30-20MSR 30-40MSR 30-60MSR 30-10MSR 30-11MSR 30-11EMSR 30-11FMSR 30-16MSR 50-40MSR 50-60MSR 20-10MSR 20-11MSR

3、 20-12MSR 20-13MSR 20-15ICG 2200特别要关注设备的槽号，不是任何一款设备的任意SIC槽位或者USB接口都支持3G.目前还没有一个所有设备USB接口支持情况的统计，详细的请咨询二线为准，此处列举的目的就是想让你重视这一个问题。5. 3G访问企业网的常见组网方式5.1普通APN组网所谓的普通APN组网就是3G开通访问公网能力，获得公网地址后，通过自己的公网地址与企业出口的公网地址建立VPN的方式，达到访问企业内部网络的目的。组网图如下：5.2VPDN组网由于3G本身是封装的PPP协议，因此我们暂且可以把这种运用叫“pppo3g”,所谓的VPDN组网就是把3G本身封装的

4、PPP报文通过运营商自己建立的LAC设备转交到客户自己建立的LNS设备上，因此通过这种方式可以建立VPN。6. 一次3G测试碰到的问题问题现象：如上图所示以分支1里面的源地址的报文去访问私网2里面的地址，都无法正常的返回，除非以私网1里面的3G接口地址。定位过程：才开始以自己的PC机作为分支1内网设备去访问总部，无法正常访问，检查分支MSR5040发现OSPF邻居能够建立，在2端也能够看到对方私网里面的路由，可就是不能以分支1（3G接口除外）里面的源地址去访问总部，在MSR5040上PING 总部有正常，开始怀疑自己某个地方配置错误所致，反复检查配置，无果。突然想起为什么OSPF能正常？在MS

5、R5040上PING总部能够正常？难道说与源地址有关，分别通过带不同的源地址PING测试后，验证了自己的想法，既然是这样，于是尝试性的建立GRE通道（通道的源为3G的接口地址），GRE能够解决该问题，于是又在3G接口做NAT转换，也能解决问题。事后发现这次测试联通提供的3G链路有点怪，PPP地址协商的时候，正常情况下应该在路由表里面有2个DIRECT 路由表，一个是自己的，一个是对端的，但是这次无论怎么协商都只有自己的地址，没有对端的。（这次最大的遗憾是无法与联通的技术人员沟通，为什么会出现这样的问题）。 解决办法：既然只能使用3G接口的地址，那么我们可以建立GRE通道，或者做NAT转换，因为

6、经过这2种方式处理后从分支MSR5040发出的报文的源地址都是3G接口的地址。7. 如何通过3G访问不同的mpls VPN。上次到国家信息中心去测试，客户提出一种需求，那就是希望不同MPLS VPN的客户通过自己的3G网卡能够访问到自己所属的MPLS VPN及公网，且访问公网时就不能访问自己部门的MPLS VPN、访问自己部门MPLS VPN的时候就不能访问公网。这种需求大大超出了我们测试方案的准备，毕竟最初的测试方案上只是提及移动客户通过3G拨号到企业网。且客户的3G网络是VPDN网络，该3G网络结构与我前期所认为的普通的apn网络还不一样，在该需求下还要分别考虑设备使用3G和PC使用3G的

7、情况。 思路大致为LNS设备上为L2TP多实例加上VT口与VPN绑定的配置方式。对于设备插3G：由于设备插3G不存在访问不同的VPN情况，因此它只是当一个P设备或者PE，通过互联地址透传所有的VPN数据，所以无论哪种方案都与该设备插3G无关，下面着重讲解PC插3G的情况。7.1方案一 使用相同用户名带不同的域名例如：域名V -电子政务网V-internetV-部门VPN用户：Sic1如果用户想要访问电子政务网则使用 sic1 的用户名拨号如果用户想要访问internet则使用sic1的用户名拨号。如果用户想要访问部门VPN则使用sic1的用户名拨号。在MPLS里面找一台PE或者是MCE做LNS

8、，假设客户有3个VPN，则在LNS上建立对应的3个VT口，每个VT与一个VPN相绑定，然后建立对应的3个l2tp-group组，每个l2tp-group下面的VT口与VPN域名相对应。这样无论是什么VPN用户，只要在3G拨号时在账户里面带上自己的域名信息（如下图所示）就可触发LAC设备上相应的l2tp-group去拨号，在LNS端，根据域名把该用户与相应的VPN绑定，这样就可以访问自己所属的VPN。小结：该方式客户只需用运营商提供的3G拨号软件进行一次拨号就可以达到访问不同的VPN网络的目的。7.2方案二 不同的用户名带相同的域名域名：V用户名 Sic1 -电子政务网Sic2-internet

9、Sic3-部门VPN如果用户想要访问internet则使用sic2的用户名拨号。如果用户想要访问部门VPN则使用sic3的用户名拨号。 既然客户不愿意自己以后每使用一个域名，就去给运营商交涉，那么我们都统统使用运营商给定的域名（例如V），为了区分客户想要访问不同的VPN，关键点就需要根据不同账户分配不同的IP地址，然后根据IP地址来做策略。该配置分2种情况；一种如果LNS是PE设备的情况，可按照多角色主机策略路由的方式配置。我们可以把策略路由和多角色主机功能都直接做在上面，另外一种如果LNS设备是CE的情况，没有VPN的配置，它只根据不同的VPN用户分配不同的网段地址，然后在与它互联的上层PE

10、上配置策略路由，把不同的网段地址策略到相应的VPN里面去。LNS设备为CE的配置大致如下：对于LNS设备为PE的配置大致如下：如上图在VT口里面直接配置策略路由，该策略路由的功能是把不同IP地址网段的数据策略到不同的VPN里面去。以上方式客户只需用运营商提供的3G拨号软件进行一次拨号就可以达到访问不同的VPN网络的目的。注意事项：（1）如果该PE设备为MSR5040，则VPN用户是无法访问该PE设备的上的相关VPN地址，但是可以访问该设备VPN的外部地址。（2）如果该PE设备是SR6602，则无法使用模糊的回程反向路由返回到自己的VPN。7.2.1 LNS设备为PE的配置示例（该处只给出关键配

11、置）#配置的策略路由，目的就是把从3G口上来的不同的源地址网段的用户策略到不同的vpn里面去/配置策略路由，使不同的VPN用户到自己所属的VPN里面去查找路由policy-based-route vpn permit node 1if-match acl（VPN1用户的源地址） apply access-vpn vpn-instance vpn1 policy-based-route vpn permit node 2 if-match acl（VPN2用户的源地址） apply access-vpn vpn-instance vpn2 policy-based-route vpn permi

12、t node 3 if-match acl（VPN3用户的源地址） apply access-vpn vpn-instance vpn3l2tp-group 0 undo tunnel authentication allow l2tp virtual-template 0 #建立3G所使用的虚接口，在里面运用上面所使用策略路由。 interface Virtual-Template 0 ppp authentication-mode chap remote address pool 1 ip address 140.1.1.1 255.255.255.0 ip policy-based-ro

13、ute vpn #建立回程的静态路由 ip route-static vpn-instance vpn1 X.X.X.X（vpn1网段）255.255.255.0 Virtual-Template 0 ip route-static vpn-instance vpn2 X.X.X.X（vpn2 网段）255.255.255.0 Virtual-Template 0ip route-static vpn-instance vpn3 X.X.X.X（vpn3 网段）255.255.255.0 Virtual-Template 0 bgp 1 ipv4-family vpn-instance vpn

14、1 import-route static /把我们上面的建立的回程路由发布出去，使数据在远端的设备上能够找到回程路由。 ipv4-family vpn-instance vpn2 /把我们上面的建立的回程路由导入到bgp里面，使数据在远端的设备上能够找到回程路由。ipv4-family vpn-instance vpn2 7.3方案三，2次拨号同一个用户对同一台LNS设备多次拨号来达到到访问不同的VPN。如下图（示例假设VPN1,VPN2,VPN3）。第一次使用运营商提供的3G拨号软件对LNS拨号一次，第二次使用我司提供的inode软件再拨号一次。（毕竟实验室没有3G，大家要做测试的话，可以

15、用PPPOE来模拟3G拨号，成功后就可用INODE软件来模拟L2TP进行第二次次拨号）（1）第一次拨号到VT0口，给该用户的分配的IP不能够路由即访问不到其他地方，它的作用就只有一个：为第二次拨号到其他VPN做跳板。数据经过两次封装。好处就是：没有域名限制的烦恼。第一次拨号的域名只能是由运营商提供的以外，但第二次拨号的域名可以由用户自己设置，与运营商无关，且可以通过INODE软件轻松实现数据IPSEC加密。不好的就是：数据要两次封装，客户PC机上要单独再装INODE软件。（2）对于以上的方案优化：假设客户VPN1是internet网，客户平时上该网的时间最多，因此把第一次拨号的入口直接与VPN

16、1绑定，有特殊需要客户才去使用INODE拨号其他VPN，这样简化了客户平均拨号的次数。下面以PE设备为LNS，按照优化方案给出2次拨号的关键配置示例l2tp enable /使能l2tpl2tpmoreexam enable /使能多实例 radius scheme imc primary authentication 192.168.207.10 primary accounting 192.168.207.10 key authentication imc key accounting imc /使用我司的imc给认证的客户授权和分配固定的IP地址。domain /模拟internet网，

17、该入口是第一次拨号的入口，那么该域名必须是运营商所给定的域名，除此以外其他域名客户自己任意设置。authentication ppp radius-scheme imc authorization ppp radius-scheme imc accounting ppp radius-scheme imc domain /模拟电子政务网 authentication ppp radius-scheme imc authorization ppp radius-scheme imc accounting ppp radius-scheme imc domain /模拟XX网 accounting

18、 ppp radius-scheme imc interface Virtual-Template0 ppp authentication-mode chap domain /该入口是第一次拨号的入口，那么该域名必须是运营商所给定的域名。 ip binding vpn-instance vpn1 /访问internet的入口 ip address 150.1.1.1 255.255.255.0 # interface Virtual-Template1 ppp authentication-mode chap domain ip binding vpn-instance vpn2 /访问电子政

19、务的入口 ip address 160.1.1.1 255.255.255.0 interface Virtual-Template2 ppp authentication-mode chap domain ip binding vpn-instance /访问XX VPN的入口 ip address 5.5.5.5 255.255.255.0 l2tp-group 1 undo tunnel authentication allow l2tp virtual-template 0 remote XX domain /该模板是用于3G的第一次拨号，那么这里的XX、 都必须是指定运营商指定。l2

20、tp-group 2 allow l2tp virtual-template 1 remote LAC domain l2tp-group 3 allow l2tp virtual-template 2 remote LAC domain （3）INODE 拨号效果模拟图以上方式客户需拨号2次，第一次拨号使用运营商提供的3G拨号软件，第二次使用我司的inode软件拨号就可以达到访问不同的VPN网络的目的。8. 如何进行IPSEC加密8.1 INDODE上L2TP与IPSEC的关系Inode上l2tp 是over ipsec.8.2哪些需要加密如下图所示；由于与LNS设备互通的既有移动客户端，又

21、有包含很多私网路由的3G网络设备，因此为了对这些数据都进行保护，就必须区别对待；（1） 对于移动客户端来讲它没有什么私网路由，所以可以在LNS设备出口上配置IPSEC 模板，通过模板协商出所有需要保护的移动客户端，而3G网络设备传递的数据在该接口上无需被IPSEC处理，正常转发。（2） 对于3G网络设备则是通过IPSEC OVER GRE的方式，通过3G网络设备与LNS设备建立GRE通道，让所有与私网互访的数据走GRE通道，并且可以运行动态路由信息，传递分支路由，IPSEC由于是建立在GRE通道上的，所以ACL匹配的时候可以是PERMIT IP ALL.（3） 对于3G网络设备还可以配置IPS

22、EC隧道模式，该模式同样可以运行动态路由协议。9. 如何对L2TP进行MP绑定需求：客户需要对部分分支的PPP链路（例如3G接口，serial cpos等待）绑定，以此来提高带宽，因此LNS端的对应ppp也需要相应的处理（次odeius-scheme _例如在client端任意配置都可，该处是配置与VT口绑定的方式；关键点是在与LNS设备的这一头必须用账户绑定MP 的方式即ppp mp user h3c bind Virtual-Template 1，且配置mandatory-lcp（原因就是LCP 阶段告诉对方我要进行MP绑定，拨号端是与LAC设备进行LCP协商，并没有与LNS设备协商，所以

23、要配置该命令，让LNS端与拨号端俩再次重新协商） ，否则无法成功。这样可以让LNS端需要绑定的VT口进行了绑定，同时不需要绑定的也不相互影响通信。client10. MPLS 里面不同VPN用户之间如何互访？（前面是讲的网络之外的用户如何其访问自己所属VPN，而这个只是简单的翻版，讲的一个VPN怎样去访问另外的VPN）如果VPN1里面的部分用户需要访问VPN2的业务，有没有一种不需要用MPLS技术或者添加什么策略路由等等就能够实现的方式，有，如下图：请使用L2TP方式；在MPLS网络选择一台PE或者是MCE配置成LNS设备即可，相应的VT口与相应的VPN绑定，想要访问其他VPN的客户首先通过L

24、2TP拨号，只要你有该权限，你就可以访问任何你想要访问的VPN。10.1 配置示例1组网需求：2张VPN网络，正常情况下互相不能访问。现要求VPN1网络里面的一台PC能够访问VPN2网络。配置步骤：（1） 配置MPLS的基本能力（配置省略）（2） 配置LNS设备（随便选取一台PE作为LNS设备，该处选取PE1）l2tp enable /使能L2TP domain authentication ppp local authorization ppp local accounting ppp local /建立VPN1用户拨号的域名，否则使用默认域local-user h3c service-ty

25、pe ppppassword simple h3c /建立拨号使用的帐号 allow l2tp virtual-template 0 # ppp authentication-mode chap remote address 6.6.6.2 ip binding vpn-instance vpn2 /注意，该处绑定的是VPN2，即拨号成功就把该用户绑定到VPN2. ip address 6.6.6.1 255.255.255.0 interface LoopBack1 ip binding vpn-instance vpn1 /该处的地址很关键，表示用于接收VPN1网络里面的用户L2TP拨号。 ip address