4G VPN業務L2TP鑒權認證的實現研究

李 凌

（中國聯通馬鞍山市分公司，安徽 馬鞍山 243000）

XX銀行希望4G VPN業務自主設置賬號密碼并分配自有IP地址，先期實現友商VPN和我司VPN并存。通過技術攻關，解決了友商數據與我司數據沖突問題，通過4G VPN，L2TP及訪問控制列表在同一臺路由器實現方案滿足客戶需求，通過配置內網地址池，可同時訪問本地和省行業務，彌補友商網卡只能訪問本地業務的不足。

1 研究背景

1.1 L2TP不能與友商配置數據共存的測試

將L2TP和友商的數據配在同一臺設備上

domain XX.133vpdn.ah /友商撥號地址池/

ip pool 0 10.185.125.1 10.185.125.254

interface Virtual-Template0 /友商撥號模板/

ppp authentication-mode chap domain XX.133vpdn.ah

ip address unnumbered interface Ethernet0/0/0

remote address pool 0

l2tp-group 1 /友商撥號組/

undo tunnel authentication

mandatory-lcp

allow l2tp virtual-template 0

新增我方撥號地址池和撥號模板，地址池地址由用戶提供

ip pool 1 10.185.133.2 10.185.133.254 /我方撥號地址池/

interface Virtual-Template1

ppp authentication-mode pap /我方撥號地址模板/

ip address 10.185.133.1 255.255.255.0

remote address pool 1

l2tp-group 2 /我方撥號組/

undo tunnel authentication

mandatory-lcp

allow l2tp virtual-template 1

進行L2TP撥號時，發現提示遠程主機無響應。征得用戶同意后，將友商數據刪除，重新配置我方數據，Virtual-Template1改為0可以進行正常撥號。

分析原因如下：華為AR46XX路由器配置第2個L2TPGROUP，撥號組需要引用撥號物理端口，用戶設備較老不支持，嘗試將L2TP數據配置在GRE VPN路由器上。

2 針對問題制定對策

2.1 對策實施計劃

具體內容如表1所示。

通過問題分析，決定采用在4GVPN基礎上，為用戶建立L2TP隧道，滿足用戶自行設置賬號密碼及IP地址池的需求，通過訪問列表權限還可以控制用戶訪問的目的地址段，這樣就不用購置RADIUS服務器設備，降低用戶成本，達到了用戶的預期。

3 方案可行性測試及數據配置實現

將L2TP數據配置在GRE VPN路由器上，通過了撥號認證，用戶不進行二次L2TP撥號也可以訪問其內網，在GRE VPN路由器上配置訪問控制列表，解決該問題，實現通過4GVPN聯網后用戶需要進行賬號密碼認證才能訪問其內網，獲取的是用戶自行分配的IP地址。

配置模板如下：

l2tp enable /使能L2TP配置/

l2tp domain suf fi x-separator @

domain system /配置用戶分配的L2TP地址池/

ip pool 1 10.185.133.2 10.185.133.254

local-user XXX /配置L2TP撥號賬號密碼/

password cipher XXX service-type telnet service-type ppp interface Virtual-Template0 /配置L2TP撥號模板/

表1 對策實施計劃表

ppp authentication-mode pap /配置L2TP認證方式/

ip address 10.185.133.1 255.255.255.0 /配置L2TP認證網關/

remote address pool 1 /配置L2TP認證地址池/

interface Ethernet0/0 /3G VPN接入IP地址/

ip address 10.30.X.X 255.255.255.252

interface Ethernet0/1 /和用戶內網對接地址/ip address 172.16.X.X 255.255.255.252

firewall packet-filter 2000 outbound /只有獲取到L2TP地址才能通過/

interface Tunnel0 /GRE VPN隧道0/

ip address 192.168.X.X 255.255.255.252

source 10.30.X.X

destination 58.243.X.X

interface Tunnel1

ip address 192.168.Y.Y 255.255.255.252 /GRE VPN隧道1/

source 10.30.X.X

destination 58.243.Y.Y

acl number 2000 /只有獲取到L2TP地址才能通過/

rule 0 permit source 10.185.133.0 0.0.0.255 logging

rule 1 deny logging

l2tp-group 1 /配置L2TP撥號組/

undo tunnel authentication

mandatory-lcp

allow l2tp virtual-template 0

ip route-static 0.0.0.0 0.0.0.0 172.16.X.X preference 60 /指向用戶內網/

ip route-static 58.243.0.0 255.255.0.0 10.30.X.X preference 60/至MME路由/

ip route-static 192.5.1.0 255.255.255.0 192.168.5.9 preference 60/至無線網卡地址段指向隧道0下一跳/

ip route-static 192.5.129.0 255.255.255.0 192.168.25.9 preference 60/至無線網卡地址段指向隧道1下一跳/

user-interface vty 0 4 /配置登錄方式/authentication-mode scheme

4 用戶端電腦配置模板

為用戶提供了XP和WIN7的L2TP VPN撥號模板和注冊表文件，使用步驟為首先連接4G VPN 無線上網卡，然后連接以下配置好的VPN撥號鏈接。

4.1 XP VPN撥號設置模板

（1）在桌面上右鍵點擊網上鄰居，選擇屬性。（2）在網絡連接里選擇創建一個新的連接。（3）點“下一步”后，選擇第二項“連接到我的工作場所”，點“下一步”。（4）選擇“虛擬專用網絡連接”，再點“下一步”。（5）輸入公司名馬鞍山農商行，點“下一步”。（6）選擇“不撥初始連接”，點“下一步”。（7）輸入主機IP地址10.30.53.206 并點擊“下一步”。（8）選擇“在我的桌面建立快捷方式”，并點擊“完成”。（9）完成后，會自動彈出VPN撥號界面，點擊屬性，選擇安全標簽，選擇高級設置，若L2TP認證方式為PAP，則要選擇可選加密，在PAP協議上進行勾選，如果配置認證方式為CHAP，則該選項不用填寫。（10）在屬性的網絡選項夾內將VPN類型改為L2TP IPSec VPN，然后雙擊“Internet協議（TCP/IP）”。（11）撥號窗口，輸入用戶名為XXX密碼為XXX并點擊“連接”，等撥號連接建立后，即可訪問內網。

4.2 WIN7 VPN撥號設置模板

（1）通過控制面板選擇網絡和Internet，進入網絡和共享中心。（2）選擇設置新的連接網絡，選連接到工作區。（3）選擇否，創建新連接。（4）使用“我的Internet”連接（VPN）。（5）在Internet地址選項輸入路由器的IP地址10.30.X.X，目標名稱隨意寫個即可。（6）VPN類型選擇L2TP，數據加密可選加密，勾選未加密PAP。（7）網絡連接中選擇建立好的連接，雙擊輸入設置的賬號密碼，域名不填。WIN7 L2TP撥號終端設置2如圖1所示。

圖1 WIN7 L2TP撥號終端設置2

5 實施效果檢查

技術上滿足用戶自主設置賬號密碼并分配自有IP地址并實現友商VPN和中國聯通馬鞍山市分公司VPN并存，憑借該項目成功打破了友商在該銀行系統VPN業務的壟斷，樹立了品牌形象。

6 效益分析

滿足用戶自主設置賬號密碼并分配用戶自有IP地址的需求，同時實現友商和我司VPN并存，避免一次性全部轉網給用戶造成使用上的不便。