用于實現(xiàn)多個CPE終端之間公網(wǎng)VPN互聯(lián)的業(yè)務(wù)部署方案

前言：

在實際的5G交付過程中，部分企業(yè)用戶總有這樣的需求：企業(yè)在各地市均有營業(yè)網(wǎng)點，如何將網(wǎng)點數(shù)據(jù)通過5G_CPE設(shè)備進行遠距離的安全的傳輸。現(xiàn)在，我們可以通過一臺擁有公網(wǎng)地址的防火墻，在其上部署L2TP_VPN，連接了CPE設(shè)備的終端上配置客戶端撥號的方式，將多臺終端撥入同一個L2TP組內(nèi)，實現(xiàn)多臺終端的安全互聯(lián)互通。

組網(wǎng)說明：

PC1和PC2通過公網(wǎng)傳輸或者直連可達防火墻，防火墻上，PC1和PC2之間沒有互訪路由。PC1和PC2通過向防火墻的L2TP服務(wù)器撥號，加入到L2TP_VPN實現(xiàn)安全互聯(lián)。

以下是具體實現(xiàn)步驟：

步驟 1 配置LNS側(cè)（防火墻）。

# 配置Eudemon防火墻作為LNS服務(wù)器的名稱。

system-view

[Eudemon] sysname LNS

# 配置Ethernet 1/0/1的IP地址。

[LNS] interface Ethernet 1/0/1

[LNS-Ethernet1/0/1] ip address 202.38.160.1 24

# 配置Ethernet 1/0/0的IP地址。

[LNS] interface Ethernet 1/0/0

[LNS-Ethernet1/0/0] ip address 192.168.1.1 24

[LNS-Ethernet1/0/0] quit

# 配置Ethernet 1/0/0加入Untrust安全區(qū)域。

[LNS] firewall zone trust

[LNS-zone-trust] add interface Ethernet 1/0/0

[LNS-zone-trust] quit

# 配置Ethernet 1/0/1加入Untrust安全區(qū)域。

[LNS] firewall zone untrust

[LNS-zone-untrust] add interface Ethernet 1/0/1

[LNS-zone-untrust] quit

#此處進行配置時可以將端口加入到不同的安全域，通過域間包過濾規(guī)則和安全策略進行更加具體的安全限制

# 創(chuàng)建并配置虛擬接口模板。

[LNS] interface Virtual-Template 1

[LNS-Virtual-Template1] ip address 10.110.1.1 24

[LNS-Virtual-Template1] pppauthentication-mode chap

[LNS-Virtual-Template1] remote address pool 1

[LNS-Virtual-Template1] quit

# 配置虛擬接口模板加入安全區(qū)域，可以加入LNS的任一安全區(qū)域。本例將虛擬接口模板與接收L2TP隧道報文的實際物理接口Ethernet 1/0/1加入同一安全區(qū)域。

[LNS] firewall zone untrust

[LNS-zone-trust] add interface Virtual-Template 1

[LNS-zone-trust] quit

# 使能L2TP功能。

[LNS] l2tp enable

# 創(chuàng)建L2TP組。

[LNS] l2tp-group 1

# 配置隧道本端名稱。

[LNS-l2tp1] tunnel name lns

# 配置LNS端接受客戶端呼叫時使用的虛擬接口模板。

[LNS-l2tp1] allow l2tp virtual-template 1

# 關(guān)閉L2TP隧道驗證功能。

[LNS-l2tp1] undo tunnel authentication

[LNS-l2tp1] quit

# 進入AAA視圖，創(chuàng)建域testvpdn，定義地址池，為撥入用戶分配IP地址，創(chuàng)建本地用戶名和密碼并配置用戶類型（應(yīng)與用戶側(cè)配置一致）。

[LNS] aaa

[LNS-aaa] domain testvpdn

[LNS-aaa-domain-testvpdn] ip pool 1 10.110.1.20 10.110.1.80

[LNS-aaa-domain-testvpdn] quit

[LNS-aaa] local-user admin@testvpdn password simple admin123

[LNS-aaa] local-user admin@testvpdn service-type ppp

[LNS-aaa] quit

# 配置域間包過濾規(guī)則，允許LNS側(cè)與隧道相連的接口所在的安全區(qū)域與Local安全區(qū)域互通。

[LNS] acl 3001

[LNS-acl-adv-3001] rule permit ip

[LNS] firewall interzoneuntrust local

[LNS-interzone-local-trust] packet-filter 3001 outbound

[LNS-interzone-local-untrust] packet-filter 3001 inbound

步驟 2 終端PC側(cè)調(diào)試。

#對于WIN7和WIN10系統(tǒng)，需要修改注冊表，啟動服務(wù)項：

1. 單擊“開始”，單擊“運行”，鍵入“regedit”，然后單擊“確定”

2. 找到注冊表的如下參數(shù)：

HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼RasMan＼Parameters中的AllowL2TPWeakCrypto項、AllowPPTPWeakCrypto項、ProhibitIpSec項;（若沒有則按照下面步驟創(chuàng)建即可）以及HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼PolicyAgent中的AssumeUDPEncapsulationContextOnSendRule項，再將所有“數(shù)值數(shù)據(jù)”，改為“1”。

3. 若沒有上述幾項參數(shù)，則在上級目錄上點擊“新建”->“DWORD值”

4. 在“名稱”框中，鍵入“項名字”

5. 在“數(shù)值數(shù)據(jù)”框中，鍵入“1”

7. 單擊“開始”，單擊“運行”，鍵入“services.msc”，然后單擊“確定”

8. 開啟以R字母開頭的Routing and Remote Access服務(wù)。

9.打開網(wǎng)絡(luò)和共享中心。選擇“設(shè)置新的連接或網(wǎng)絡(luò)”，選擇連接到工作區(qū)。

10.選擇“使用我的Internet連接“”

11.鍵入一個防火墻上可達的IP地址，本例中，PC1使用192.168.1.1，PC2選擇202.38.160.1作為撥號服務(wù)器的地址：

12.然后輸入在防火墻aaa上配置的local-user用戶admin并帶上域名。

13.撥號完成，即可獲取到10.110.1.20到10.110.1.80段地址池中分配的地址了。本例中，PC1和PC2分別獲得了10.110.1.20和10.110.1.21兩個地址，進行互Ping測試，發(fā)現(xiàn)二者可以通過防火墻建立的L2TP互通。而本身兩者之間路由是不可達的。

作者簡介：張淼，出生年月：1974/5/6，性別：男，民族：漢，籍貫（精確到市）：山東省東營市，當前職務(wù)：東營聯(lián)通智能網(wǎng)絡(luò)中心技術(shù)總監(jiān)，當前職稱：中級工程師，學歷：大學本科，研究方向：IP數(shù)據(jù)網(wǎng)絡(luò).