4G VPN业务L2TP鉴权认证的实现研究

李 凌

（中国联通马鞍山市分公司，安徽 马鞍山 243000）

XX银行希望4G VPN业务自主设置账号密码并分配自有IP地址，先期实现友商VPN和我司VPN并存。通过技术攻关，解决了友商数据与我司数据冲突问题，通过4G VPN，L2TP及访问控制列表在同一台路由器实现方案满足客户需求，通过配置内网地址池，可同时访问本地和省行业务，弥补友商网卡只能访问本地业务的不足。

1 研究背景

1.1 L2TP不能与友商配置数据共存的测试

将L2TP和友商的数据配在同一台设备上

domain XX.133vpdn.ah /友商拨号地址池/

ip pool 0 10.185.125.1 10.185.125.254

interface Virtual-Template0 /友商拨号模板/

ppp authentication-mode chap domain XX.133vpdn.ah

ip address unnumbered interface Ethernet0/0/0

remote address pool 0

l2tp-group 1 /友商拨号组/

undo tunnel authentication

mandatory-lcp

allow l2tp virtual-template 0

新增我方拨号地址池和拨号模板，地址池地址由用户提供

ip pool 1 10.185.133.2 10.185.133.254 /我方拨号地址池/

interface Virtual-Template1

ppp authentication-mode pap /我方拨号地址模板/

ip address 10.185.133.1 255.255.255.0

remote address pool 1

l2tp-group 2 /我方拨号组/

undo tunnel authentication

mandatory-lcp

allow l2tp virtual-template 1

进行L2TP拨号时，发现提示远程主机无响应。征得用户同意后，将友商数据删除，重新配置我方数据，Virtual-Template1改为0可以进行正常拨号。

分析原因如下：华为AR46XX路由器配置第2个L2TPGROUP，拨号组需要引用拨号物理端口，用户设备较老不支持，尝试将L2TP数据配置在GRE VPN路由器上。

2 针对问题制定对策

2.1 对策实施计划

具体内容如表1所示。

通过问题分析，决定采用在4GVPN基础上，为用户建立L2TP隧道，满足用户自行设置账号密码及IP地址池的需求，通过访问列表权限还可以控制用户访问的目的地址段，这样就不用购置RADIUS服务器设备，降低用户成本，达到了用户的预期。

3 方案可行性测试及数据配置实现

将L2TP数据配置在GRE VPN路由器上，通过了拨号认证，用户不进行二次L2TP拨号也可以访问其内网，在GRE VPN路由器上配置访问控制列表，解决该问题，实现通过4GVPN联网后用户需要进行账号密码认证才能访问其内网，获取的是用户自行分配的IP地址。

配置模板如下：

l2tp enable /使能L2TP配置/

l2tp domain suf fi x-separator @

domain system /配置用户分配的L2TP地址池/

ip pool 1 10.185.133.2 10.185.133.254

local-user XXX /配置L2TP拨号账号密码/

password cipher XXX service-type telnet service-type ppp interface Virtual-Template0 /配置L2TP拨号模板/

表1 对策实施计划表

ppp authentication-mode pap /配置L2TP认证方式/

ip address 10.185.133.1 255.255.255.0 /配置L2TP认证网关/

remote address pool 1 /配置L2TP认证地址池/

interface Ethernet0/0 /3G VPN接入IP地址/

ip address 10.30.X.X 255.255.255.252

interface Ethernet0/1 /和用户内网对接地址/ip address 172.16.X.X 255.255.255.252

firewall packet-filter 2000 outbound /只有获取到L2TP地址才能通过/

interface Tunnel0 /GRE VPN隧道0/

ip address 192.168.X.X 255.255.255.252

source 10.30.X.X

destination 58.243.X.X

interface Tunnel1

ip address 192.168.Y.Y 255.255.255.252 /GRE VPN隧道1/

source 10.30.X.X

destination 58.243.Y.Y

acl number 2000 /只有获取到L2TP地址才能通过/

rule 0 permit source 10.185.133.0 0.0.0.255 logging

rule 1 deny logging

l2tp-group 1 /配置L2TP拨号组/

undo tunnel authentication

mandatory-lcp

allow l2tp virtual-template 0

ip route-static 0.0.0.0 0.0.0.0 172.16.X.X preference 60 /指向用户内网/

ip route-static 58.243.0.0 255.255.0.0 10.30.X.X preference 60/至MME路由/

ip route-static 192.5.1.0 255.255.255.0 192.168.5.9 preference 60/至无线网卡地址段指向隧道0下一跳/

ip route-static 192.5.129.0 255.255.255.0 192.168.25.9 preference 60/至无线网卡地址段指向隧道1下一跳/

user-interface vty 0 4 /配置登录方式/authentication-mode scheme

4 用户端电脑配置模板

为用户提供了XP和WIN7的L2TP VPN拨号模板和注册表文件，使用步骤为首先连接4G VPN 无线上网卡，然后连接以下配置好的VPN拨号链接。

4.1 XP VPN拨号设置模板

（1）在桌面上右键点击网上邻居，选择属性。（2）在网络连接里选择创建一个新的连接。（3）点“下一步”后，选择第二项“连接到我的工作场所”，点“下一步”。（4）选择“虚拟专用网络连接”，再点“下一步”。（5）输入公司名马鞍山农商行，点“下一步”。（6）选择“不拨初始连接”，点“下一步”。（7）输入主机IP地址10.30.53.206 并点击“下一步”。（8）选择“在我的桌面建立快捷方式”，并点击“完成”。（9）完成后，会自动弹出VPN拨号界面，点击属性，选择安全标签，选择高级设置，若L2TP认证方式为PAP，则要选择可选加密，在PAP协议上进行勾选，如果配置认证方式为CHAP，则该选项不用填写。（10）在属性的网络选项夹内将VPN类型改为L2TP IPSec VPN，然后双击“Internet协议（TCP/IP）”。（11）拨号窗口，输入用户名为XXX密码为XXX并点击“连接”，等拨号连接建立后，即可访问内网。

4.2 WIN7 VPN拨号设置模板

（1）通过控制面板选择网络和Internet，进入网络和共享中心。（2）选择设置新的连接网络，选连接到工作区。（3）选择否，创建新连接。（4）使用“我的Internet”连接（VPN）。（5）在Internet地址选项输入路由器的IP地址10.30.X.X，目标名称随意写个即可。（6）VPN类型选择L2TP，数据加密可选加密，勾选未加密PAP。（7）网络连接中选择建立好的连接，双击输入设置的账号密码，域名不填。WIN7 L2TP拨号终端设置2如图1所示。

图1 WIN7 L2TP拨号终端设置2

5 实施效果检查

技术上满足用户自主设置账号密码并分配自有IP地址并实现友商VPN和中国联通马鞍山市分公司VPN并存，凭借该项目成功打破了友商在该银行系统VPN业务的垄断，树立了品牌形象。

6 效益分析

满足用户自主设置账号密码并分配用户自有IP地址的需求，同时实现友商和我司VPN并存，避免一次性全部转网给用户造成使用上的不便。