功能介绍
4G路由器拨入VPDN专网,触发运营商PGW设备与总部汇聚端的LNS进行L2TP隧道协商,LNS通过本地或3A服务器进行认证并分配对应的IP地址,4G路由器获取IP地址后,和LNS端建立IPSEC隧道,配置IPSEC的反向路由注入(reverse-route)即可完成两端的点对点加密IPSEC隧道通信,实现4G路由器与总部的内部私网互联互通。
应用场景
金融行业的4G接入组网。
一、组网需求:
1、运营商开通VPDN专网功能的4G SIM卡
2、LNS通过VPDN专线与运营商PGW互联
3、PGW配置L2TP协议中继4G用户流量与LNS建立L2TP连接
4、4G路由器与LNS建立IPSEC VPN保护分支与总部内网间的通信
二、组网拓扑:
组网规划:
三、配置要点:
第一部分、分支4G路由器基础配置
1、配置路由器拨入4G互联网/APN专网
1、配置路由器拨入4G互联网/APN专网
interface Cellular 2/0
plmn mode manual lte-pref //设置优先接入4G,该命令为SIC-TD-LTE线卡推荐配置,移动4G路由器保持默认即可。
profile create master apn gdboc.3gwd.gdapn //配置APN
profile create master username test3@ruijie.com.cn password ruijie //配置用户名、密码
2、置内网网关以及dhcp
interface vlan 1
ip address 192.168.1.1 255.255.255.0//配置内网网关IP为192.168.1.1
service dhcp
ip dhcp pool ruijie
network 192.168.1.0 255.255.255.0
dns-server 8.8.8.8 114.114.114.114 //根据实际情况配置主(8.8.8.8)备(6.6.6.6)DNS
ip dhcp excluded-address 192.168.1.1
ip address 192.168.1.1 255.255.255.0//配置内网网关IP为192.168.1.1
service dhcp
ip dhcp pool ruijie
network 192.168.1.0 255.255.255.0
dns-server 8.8.8.8 114.114.114.114 //根据实际情况配置主(8.8.8.8)备(6.6.6.6)DNS
ip dhcp excluded-address 192.168.1.1
3、配置4G路由器路由
ip route 0.0.0.0 0.0.0.0 cellular 2/0 //配置到中心端外网口的路由
4、配置分支路由器与中心汇聚路由器的IPSEC VPN隧道配置
(1)配置ipsec感兴趣流
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 //指定分支内网到总部内网的感兴趣流。
(2)配置isakmp策略
crypto isakmp keepalive 5 periodic //配置IPSEC DPD探测功能
crypto isakmp policy 1 //创建新的isakmp策略
authentication pre-share //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
encryption 3des //指定使用3DES进行加密
(3)配置预共享密钥
crypto isakmp key 0 ruijie address 100.0.0.1 //指定peer 100.0.0.1 的预共享密钥为ruijie,要与汇聚端的密码配置一致,其中100.0.0.1为中心路由器的virtual-template 接口地址。
(4)配置ipsec加密转换集
crypto ipsec transform-set myset esp-des esp-md5-hmac //指定ipsec使用esp封装des加密、MD5检验
(5)配置ipsec加密图
crypto map mymap 5 ipsec-isakmp //新建名称为“mymap”的加密图
set peer
100.0.0.1
//指定peer地址,该地址为中心路由器的
virtual-template
接口地址
set transform-set myset //指定加密转换集为“myset”
match address 101 //指定感兴趣流为ACL 101
(6)将加密图应用到接口
interface celluar 2/0
crypto map mymap
5、配置4G接口与TRACK联动(建议配置)
ip rns 1
icmp-echo 100.0.0.1 out-interface celluar0/0
//建议将汇聚中心路由器的
virtual-template
口地址作为探测地址可以直接通信的地址,这样延时小、丢包率低,链路探测更准确。
track 1 rns 1
delay up 5 down 5
//5s内所有探测报文都不通,则track状态变为down,触发重新拨号;5s内所有报文都通,则将track状态变为up
interface cellular 2/0
profile create master track 1
注意:配置TRACK联动链路探测,会产生额外的流量费用,具体计算方法如下:
1个icmp request/reply报文大小=100(icmp头+负载)+20(ip头)=120bytes
1个探测周期流量=120(icmp request)+120(icmp reply)=240bytes
探测周期为10秒情况下,探测1天所产生的流量=240*6*60*24=2073600bytes=2.07MB,1个月所产生的流量=2.07*30=62.1MB
实际使用时建议配置探测周期为10秒即可
interface cellular 2/0
profile create master track 1
注意:配置TRACK联动链路探测,会产生额外的流量费用,具体计算方法如下:
1个icmp request/reply报文大小=100(icmp头+负载)+20(ip头)=120bytes
1个探测周期流量=120(icmp request)+120(icmp reply)=240bytes
探测周期为10秒情况下,探测1天所产生的流量=240*6*60*24=2073600bytes=2.07MB,1个月所产生的流量=2.07*30=62.1MB
实际使用时建议配置探测周期为10秒即可
6、配置4G路由器视频传输优化功能(传输视频数据时需配置)
wan-ta enable //启用视频传输优化功能
wan-ta policy video //
match-port all
interface Cellular 0/0 //接口启用视频传输优化策略
wan-ta enable //启用视频传输优化功能
wan-ta policy video //
match-port all
interface Cellular 0/0 //接口启用视频传输优化策略
第二部分、配置中心汇聚路由器(以我司RSR路由器为例,如为友商设备请参考相应配置手册)
1、中心汇聚路由器通过专线接入互联网出口配置
inter gi0/0 // 配置公网口
ip add 10.0.0.1 255.255.255.0
inter gi0/1 // 配置内网口
ip add 192.168.2.1 255.255.255.0
2、配置中心汇聚路由器路由设置
ip route 0.0.0.0 0.0.0.0 gi0/0 10.0.0.2
// 配置访问公网的默认路由
3、配置中心汇聚路由器L2TP VPN(以VPN 1.0及本地认证为例)
1)配置4G路由器隧道的认证用户名和密码以及地址池(选配)
ip local pool p1 100.0.0.2 100.0.0.100 //
可选,该地址池用于给下联4G路由器的4G接口分配的,如果采用aaa分配,则此处无需配置
username test3@ruijie.com.cn password ruijie //配置4G路由器拨VPDN的用户名和密码,与4g路由器4g接口 的用户名密码对应
username test3@ruijie.com.cn password ruijie //配置4G路由器拨VPDN的用户名和密码,与4g路由器4g接口 的用户名密码对应
2)VPDN隧道配置
interface loopback 1
ip address 100.0.0.1 255.255.255.255
interface loopback 1
ip address 100.0.0.1 255.255.255.255
interface Virtual-Template 1
ppp authentication pap chap
ip unnumbered Loopback 1
peer default ip address pool p1 // 可选,如果采用方案二接入路由器的virtual-ppp接口采用动态分配,才需要配置,如果virtual-ppp接口配置固定ip地址,该地址池p1地址池建议不要配置
ppp authentication pap chap
ip unnumbered Loopback 1
peer default ip address pool p1 // 可选,如果采用方案二接入路由器的virtual-ppp接口采用动态分配,才需要配置,如果virtual-ppp接口配置固定ip地址,该地址池p1地址池建议不要配置
vpdn enable
vpdn-group 1
accept-dialin
protocol l2tp
virtual-template 1
l2tp tunnel authentication
l2tp tunnel password ruijie
vpdn-group 1
accept-dialin
protocol l2tp
virtual-template 1
l2tp tunnel authentication
l2tp tunnel password ruijie
4、配置汇聚路由器的IPSEC
(1)配置isakmp策略
crypto isakmp keepalive 5 periodic //配置IPSEC DPD探测功能
crypto isakmp policy 1//创建新的isakmp策略
encryption 3des //指定使用3DES进行加密
authentication pre-share//指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
(2)配置预共享密钥
crypto isakmp key 0 ruijie address 0.0.0.0 0.0.0.0//配置预共享密钥为“ruijie”,IPSEC客户端也必须配置相同的密钥。由于对端的 ip地址是动态的,因此使用address 0.0.0.0 0.0.0.0代表所有ipsec客户端
(3)配置ipsec加密转换集
crypto ipsec transform-set myset esp-des esp-md5-hmac //指定ipsec使用esp封装des加密、MD5检验
(4)配置动态ipsec加密图
crypto dynamic-map dymymap 5//新建名为“dymymap”的动态ipsec加密图
set transform-set myset //指定加密转换集为“myset”
reverse-route //配置反向路由注入功能
(5)将动态ipsec加密图映射到静态的ipsec加密图中
crypto map mymap 10 ipsec-isakmp dynamic dymymap //将动态的“dymymap”ipsec加密图映射至静态ipsec加密图mymap中
(6)将加密图应用到接口
interface
virtual-template 1
crypto map mymap
1、在4G路由器上能够ping通LNS的virtual-template接口地址。
2、查看中心汇聚路由器的状态信息
通过show vpdn命令可以看到当前已经成功拨的用户信息:
