功能介绍

分支5G路由器拨入5G专网，与中心端建立L2TP VPN，以满足分支与总部内网间的通信需求。

应用场景

分支机构与总部间有互访需求，如：

1、企业分支与企业总部间通过内部专网进行数据互访；

2、公共场所广告业务系统与中心点的通信，实现总部向业务系统的广告及其它信息推送；

3、金融网点与总部间的数据通信（如果涉及生产业务，建议通过5G VPDN专网+l2tp+ipsec承载）

一、组网需求：

1、5G SIM卡可以是普通的，获取动态IP的卡；

3、总部有固定IP的APN专网出口

3、总部出口路由器支持L2TP VPN。    

二、组网拓扑：

三、组网规划：    

三、配置步骤
   第一部分、分支5G路由器基础配置
   1、配置路由器拨入5G互联网/APN专网
   

interface cellular 0/0    

  profile create master apn XXX                                //配置APN名称，该APN名称为运营商提供    

  profile create master username test password test      //选配，配置APN拨号所需的账号密码，由运营商提供，    

2、置内网网关以及dhcp  

interface vlan 1
    ip address 192.168.1.1 255.255.255.0//配置内网网关IP为192.168.1.1
   
   service dhcp
   ip dhcp pool ruijie
   network 192.168.1.0 255.255.255.0
   dns-server 8.8.8.8 114.114.114.114    //根据实际情况配置主（8.8.8.8）备（6.6.6.6）DNS
       default-router 192.168.1.1
   ip dhcp excluded-address 192.168.1.1    
 

3、配置5G路由器路由  

ip route 0.0.0.0 0.0.0.0 cellular 0/0  //配置到中心端外网口的路由    

ip route 192.168.2.0 255.255.255.0 virtual-ppp 1  // 配置到中心端内网的路由    

4、配置分支路由器与中心汇聚路由器的L2TP VPN隧道配置    

l2tp-class l2x
    authentication
    password ruijie   //     注意：在l2TP客户端上配置的隧道认证密码必须与服务器上的相同，否则L2TP无法协商成功。    
    pseudowire-class pw
        encapsulation l2tpv2             

protocol l2tpv2 l2x    

interface Virtual-ppp 1
        ppp pap sent-username test password test             

ip address 100.0.0.2 255.255.255.0  //如果有多个分支，其他分支的该处地址做一次顺延即可；如果采用方案二，该处地址要上端分配，那么该处使用命令      ip address negotiate 代替。    

    pseudowire 10.0.0.1 12 pw-class pw//10.0.0.1为中心汇聚路由器公网IP。如果中心端为域名，则此处IP地址替换为域名，同时在设备上增加DNS配置：ip name-server x.x.x.x(x.x.x.x为域名服务器IP)    
   

5、配置5G接口与TRACK联动（建议配置）    

 ip rns 1       

icmp-echo 10.0.0.1 out-interface celluar0/0              //建议将汇聚中心路由器的公网口地址作为探测地址可以直接通信的地址，这样延时小、丢包率低，链路探测更准确。
         frequency 3000    //探测频率为3秒，为提高故障切换速度，可以适当减小
       timeout 3000     //探测报文超时时间10秒，为提高故障切换速度，可以适当减小       

track 1 rns 1     delay up 5 down 5          //5s内所有探测报文都不通，则track状态变为down，触发重新拨号；5s内所有报文都通，则将track状态变为up
       exit
   interface cellular 0/0
   profile create master track 1
   注意：配置TRACK联动链路探测，会产生额外的流量费用，具体计算方法如下：
   1个icmp request/reply报文大小=100(icmp头+负载)+20(ip头)=120bytes
   1个探测周期流量=120(icmp request)+120(icmp reply)=240bytes
   探测周期为10秒情况下，探测1天所产生的流量=240*6*60*24=2073600bytes=2.07MB，1个月所产生的流量=2.07*30=62.1MB
   实际使用时建议配置探测周期为10秒即可  

6、配置5G路由器视频传输优化功能（传输视频数据时需配置）    
   wan-ta enable      //启用视频传输优化功能
       ip access-list extended 101      //定义被优化的视频数据流，摄像头192.168.1.2到服务器
        10 permit ip host 192.168.1.2 192.168.2.0  0.0.0.255
   wan-ta policy video  //          配置视频传输优化策略，采用默认tcp加速特性即可
    match-port all 
   interface Cellular 0/0      //接口启用视频传输优化策略
       wan-ta-policy video list 101  

   第二部分、配置中心汇聚路由器（以我司RSR路由器为例，如为友商设备请参考相应配置手册）  

1、中心汇聚路由器通过专线接入互联网出口配置  

inter gi0/0  // 配置公网口  

ip add 10.0.0.1 255.255.255.0  

inter gi0/1 // 配置内网口  

ip add 192.168.2.1 255.255.255.0    

2、配置中心汇聚路由器路由设置    
 

ip route 0.0.0.0 0.0.0.0 gi0/0 10.0.0.2      // 配置访问公网的默认路由  

ip route 192.168.1.0 255.255.255.0 100.0.0.2  // 配置到分支1内网的静态路由  

3、配置中心汇聚路由器L2TP VPN（以VPN 1.0及本地认证为例）  

1）配置5G路由器隧道的认证用户名和密码以及地址池（选配）  

ip local pool p1 100.0.0.2 100.0.0.100 //    可选，如果接入5G路由器virtual-ppp接口配置固定ip地址，p1地址池建议不要配置    
   username test password test  //配置5G路由器拨VPDN的用户名和密码，与5g路由器的virtual-ppp接口的用户名密码对应  

2）VPDN隧道配置
   interface loopback 1
      ip address 100.0.0.1 255.255.255.255  

interface Virtual-Template 1
   ppp authentication pap chap
   ip unnumbered Loopback 1
   peer default ip address pool p1      //    可选，如果采用方案二接入路由器的virtual-ppp接口采用动态分配，才需要配置，如果virtual-ppp接口配置固定ip地址，该地址池p1地址池建议不要配置    
 

vpdn enable
   vpdn-group 1
   accept-dialin
   protocol l2tp
               virtual-template 1
   l2tp tunnel authentication
   l2tp tunnel password ruijie
 

4、配置汇聚路由器上的视频传输优化（WAN-TA+RTP整形）功能（汇聚路由器非我司设备可以不配置）
   wan-ta enable         //启用视频传输优化功能
   ip access-list extended 101         //定义被优化的视频数据流，
    10 permit ip any any
   wan-ta policy video
   traffic classifier rtp or     //配置视频整形功能
         if-match acl 101
   traffic behavior rtp
    rtp-shaping delay 2000 clock-rate 90000
   traffic policy rtp
    classifier rtp behavior rtp precedence 1
   interface GigabitEthernet 1/1/0
   wan-ta-policy video list 101
   traffic-policy rtp inbound
   说明：更详细的视频传输优化配置，请参考    “典型配置    -视频传输优化    ”    部分内容    说明：更详细的视频传输优化配置  

       五、配置验证
   1、查看5G分支路由器上的L2TP状态信息
   （1）配置完成后，分支路由器会自动发起L2TP拨号，如果拨号成功，在分支路由器上通过show ip interface brief命令可以看到该接口已经up，并且获取到了正确的IP地址。
   
   （2）查看路由表，已经生成了一条virtual-ppp接口上直连的，LNSvirtual-template接口地址。
   
   （3）在L2TP客户端上能够ping通LNS的virtual-template接口地址。
   
   2、查看中心汇聚路由器的状态信息
   通过show vpdn命令可以看到当前已经成功拨的用户信息：
   
 

扩展补充：  

以上案例，两端内网互通的通过静态路由来实现的，当然也可以使用动态路由协议来进行传递路由。举例如下：  

方案2 ：动态路由协议（以OSPF为例）    // 当5g路由器的virtual-ppp的地址为中心路由器分配时，适合使用动态路由部署，便于配置    
   1）在中心汇聚路由器配置OSPF路由协议
   router ospf 1  

network 192.168.2.1 0.0.0.0 area 0
   network 100.0.0.1 0.0.0.0 area 0 //100.0.0.1    为virtual-template接口的地址，即接口下所配置的unnumber loopback接口地址。同时需根据实际需要将中心业务网段通过network或重分发静态路由的方式重分发进ospf，以便分支能够学习到中心网段的业务路由。
   2）在分支5G路由器配置OSPF路由协议
   router ospf 1
   network     100.0.0.0 0.0.0.255      area 0  //virtual-ppp接口所在的地址段  

redistribute connected subnets或network 192.168.1.0 255.255.255.0     // 发布5G路由器的内网地址路由