收藏
下载资源 加入VIP免费专享

3G在H3C设备上的实现.docx

上传人:小飞机 文档编号:1936941 上传时间:2022-12-27 格式:DOCX 页数:19 大小:376.30KB
返回 下载 相关 举报
3G在H3C设备上的实现.docx_第1页
第1页 / 共19页
3G在H3C设备上的实现.docx_第2页
第2页 / 共19页
3G在H3C设备上的实现.docx_第3页
第3页 / 共19页
3G在H3C设备上的实现.docx_第4页
第4页 / 共19页
3G在H3C设备上的实现.docx_第5页
第5页 / 共19页
点击查看更多>>
资源描述

《3G在H3C设备上的实现.docx》由会员分享,可在线阅读,更多相关《3G在H3C设备上的实现.docx(19页珍藏版)》请在三一办公上搜索。

1、摘要本文主要是讲解的是如何看待3G、如何通过3G看待我们身边的一些常见链路、如何使用3G访问不同的MPLS VPN。介绍由于3G技术的广泛使用,H3C公司作为全球网络通信领域的领先厂家在支持无线3G通信方面也是走在了前列。目前支持完备的3G通信功能,包括支持WCDMA、CDMA2000和TD-SCDMA三种制式,支持的接口形态和设备型号也非常丰富。1. 运营商提供的3G拨号软件界面APN:访问接入点,不同的名称代表不同的服务,常用访问公网的名称为3Gnet,如果运营商给你提供是VPDN服务,那么该名称就为相应的其他名称,例如该处的VPDN服务名称为vpdn.bjapn。至于VPDN帐号有2种:

2、一种是运营商给你分配,例如上面的sic4.如果想自己分配帐号,也可以, 但至少域名必须是运营商指定的,例如上面的.;另外一种是自己分配相应的帐号和域名,但是有特殊的组网前提,大致说来为2次拨号,第一次拨号也必须使用运营商指定的域名,第二次拨号的使用的帐号和域名就由自己来任意设定(详细说明见下文7.3)。2. 如何看待3G3G封装的是PPP报文,且3G只是众多承载PPP报文的物理层的一种,因此从运用上讲,就像PPP0E一样,因此我们可以把3G成为“PPPO3G”。3. 谁可以触发L2TP拨号我们常见的触发L2TP拨号都是PPPOE,其实3G、serial、cpos、E1等都可以,因为他们都是封装

3、的PPP报文,触发LAC设备拨号的前提条件就是对PPP进行认证,认证通过就可以触发L2TP拨号。注:所谓的认证通过是相对概念,如何通过关键要看对应的域里面是如何要求例如在输入domain system后在里面有如下几条命令:H3C-isp-systemauthentication ppp ? local Specify local scheme /必须有详细的账户和密码及服务类型才能算认证通过。 none Specify none scheme /无需有帐号即可就算认证通过 radius-scheme Specify RADIUS scheme /使用该命令则需在相应的radius设备上有详细

4、的该账户信息才能算认证通过例如PPPOE:在LAC的VT0口上配置ppp authentication-mode pap/chap后,一旦认证成功就会触发L2TP拨号(L2TP配置省略)如下图所示:例如serial口(L2TP配置省略)在一端配置帐号和密码,在LAC这一段serial口上配置ppp authentication-mode pap/chap后,也可以触发L2TP拨号,如下图所示:我们关注这些链路的另外一个目的就是:既然我们身边有这么多具有链路层是PPP封装的物理层,那么有一天说不定它可以帮助你实现建立2层VPN的梦:通过与之互联的LAC设备的配合,也可以实现“不需要特殊软件版本支

5、持,也无需人工参与,L2TP自动拨号” 如下图所示:LACLNSclient。pppoe3Gserial4. 3G硬件安装注意事项如下图所示:我司设备支持3G有2种形式,一种是3G usb modem 、一种是 3G sic卡modem。如上图所示。注意:设备对3G的支持是除了确定版本以外,还要确定接口对应的槽号,下面给出我司设备sic槽位支持情况如下:SIC机型Slot 1Slot 2Slot 3Slot 4MSR 20-20MSR 20-21MSR 20-40MSR 30-20MSR 30-40MSR 30-60MSR 30-10MSR 30-11MSR 30-11EMSR 30-11FM

6、SR 30-16MSR 50-40MSR 50-60MSR 20-10MSR 20-11MSR 20-12MSR 20-13MSR 20-15ICG 2200特别要关注设备的槽号,不是任何一款设备的任意SIC槽位或者USB接口都支持3G.注:目前还没有一个所有设备USB接口支持情况的统计,详细的请咨询二线为准,此处列举的目的就是想让你重视这一个问题。5. 3G访问企业网的常见组网方式5.1普通APN组网所谓的普通APN组网就是3G开通访问公网能力,获得公网地址后,通过自己的公网地址与企业出口的公网地址建立VPN的方式,达到访问企业内部网络的目的。组网图如下:5.2VPDN组网由于3G本身是封装

7、的PPP协议,因此我们暂且可以把这种运用叫“pppo3g”,所谓的VPDN组网就是把3G本身封装的PPP报文通过运营商自己建立的LAC设备转交到客户自己建立的LNS设备上,因此通过这种方式可以建立VPN。6. 一次3G测试碰到的问题LACLNS3G链路Ip:59.247.10.1分支1总部MSR5040问题现象:如上图所示以分支1里面的源地址的报文去访问私网2里面的地址,都无法正常的返回,除非以私网1里面的3G接口地址。定位过程:才开始以自己的PC机作为分支1内网设备去访问总部,无法正常访问,检查分支MSR5040发现OSPF邻居能够建立,在2端也能够看到对方私网里面的路由,可就是不能以分支1

8、(3G接口除外)里面的源地址去访问总部,在MSR5040上PING 总部有正常,开始怀疑自己某个地方配置错误所致,反复检查配置,无果。突然想起为什么OSPF能正常?在MSR5040上PING总部能够正常?难道说与源地址有关,分别通过带不同的源地址PING测试后,验证了自己的想法,既然是这样,于是尝试性的建立GRE通道(通道的源为3G的接口地址),GRE能够解决该问题,于是又在3G接口做NAT转换,也能解决问题。事后发现这次测试联通提供的3G链路有点怪,PPP地址协商的时候,正常情况下应该在路由表里面有2个DIRECT 路由表,一个是自己的,一个是对端的,但是这次无论怎么协商都只有自己的地址,没

9、有对端的。(这次最大的遗憾是无法与联通的技术人员沟通,为什么会出现这样的问题)。 解决办法:既然只能使用3G接口的地址,那么我们可以建立GRE通道,或者做NAT转换,因为经过这2种方式处理后从分支MSR5040发出的报文的源地址都是3G接口的地址。7. 如何通过3G访问不同的mpls VPN。上次到国家信息中心去测试,客户提出一种需求,那就是希望不同MPLS VPN的客户通过自己的3G网卡能够访问到自己所属的MPLS VPN及公网,且访问公网时就不能访问自己部门的MPLS VPN、访问自己部门MPLS VPN的时候就不能访问公网。这种需求大大超出了我们测试方案的准备,毕竟最初的测试方案上只是提

10、及移动客户通过3G拨号到企业网。且客户的3G网络是VPDN网络,该3G网络结构与我前期所认为的普通的apn网络还不一样,在该需求下还要分别考虑设备使用3G和PC使用3G的情况。 思路大致为LNS设备上为L2TP多实例加上VT口与VPN绑定的配置方式。对于设备插3G:由于设备插3G不存在访问不同的VPN情况,因此它只是当一个P设备或者PE,通过互联地址透传所有的VPN数据,所以无论哪种方案都与该设备插3G无关,下面着重讲解PC插3G的情况。 7.1方案一 使用相同用户名带不同的域名例如:域名V -电子政务网V-internetV-部门VPN用户:Sic1如果用户想要访问电子政务网则使用 sic1

11、 的用户名拨号如果用户想要访问internet则使用sic1的用户名拨号。 如果用户想要访问部门VPN则使用sic1的用户名拨号。在MPLS里面找一台PE或者是MCE做LNS,假设客户有3个VPN,则在LNS上建立对应的3个VT口,每个VT与一个VPN相绑定,然后建立对应的3个l2tp-group组,每个l2tp-group下面的VT口与VPN域名相对应。这样无论是什么VPN用户,只要在3G拨号时在账户里面带上自己的域名信息(如下图所示)就可触发LAC设备上相应的l2tp-group去拨号,在LNS端,根据域名把该用户与相应的VPN绑定,这样就可以访问自己所属的VPN。小结:该方式客户只需用运

12、营商提供的3G拨号软件进行一次拨号就可以达到访问不同的VPN网络的目的。7.2方案二 不同的用户名带相同的域名域名:V用户名 Sic1 -电子政务网Sic2-internetSic3-部门VPN如果用户想要访问电子政务网则使用 sic1 的用户名拨号如果用户想要访问internet则使用sic2的用户名拨号。 如果用户想要访问部门VPN则使用sic3的用户名拨号。 既然客户不愿意自己以后每使用一个域名,就去给运营商交涉,那么我们都统统使用运营商给定的域名(例如V),为了区分客户想要访问不同的VPN,关键点就需要根据不同账户分配不同的IP地址,然后根据IP地址来做策略。该配置分2种情况;一种如果

13、LNS是PE设备的情况,可按照多角色主机策略路由的方式配置。我们可以把策略路由和多角色主机功能都直接做在上面,另外一种如果LNS设备是CE的情况,没有VPN的配置,它只根据不同的VPN用户分配不同的网段地址,然后在与它互联的上层PE上配置策略路由,把不同的网段地址策略到相应的VPN里面去。 LNS设备为CE的配置大致如下:Mpls网络PELNS CE该LNS与我司的IMC配合,只对不同的VPN拨号用户分配不同的网段地址;用不同网段来区分不同的VPN该接口配置策略路由,把从LNS侧过来不同网段数据策略到不同的VPN里面去Vpn1 用户Vpn2 用户Vpn3 用户L2tp拨号对于LNS设备为PE的

14、配置大致如下:Mpls网络PE LNSVpn1用户Vpn2用户Vpn3用户L2tp拨号l2tp-group 1 undo tunnel authentication allow l2tp virtual-template 0 interface Virtual-Template0 remote address pool 1 ip policy-based-route vpn ip address 100.1.1.1 255.255.255.0 如上图在VT口里面直接配置策略路由,该策略路由的功能是把不同IP地址网段的数据策略到不同的VPN里面去。小结:以上方式客户只需用运营商提供的3G拨号软件

15、进行一次拨号就可以达到访问不同的VPN网络的目的。注意事项:(1)如果该PE设备为MSR5040,则VPN用户是无法访问该PE设备的上的相关VPN地址,但是可以访问该设备VPN的外部地址。(2)如果该PE设备是SR6602,则无法使用模糊的回程反向路由返回到自己的VPN。7.2.1 LNS设备为PE的配置示例(该处只给出关键配置)#配置的策略路由,目的就是把从3G口上来的不同的源地址网段的用户策略到不同的vpn里面去/配置策略路由,使不同的VPN用户到自己所属的VPN里面去查找路由policy-based-route vpn permit node 1if-match acl(VPN1用户的源

16、地址) apply access-vpn vpn-instance vpn1 policy-based-route vpn permit node 2 if-match acl(VPN2用户的源地址) apply access-vpn vpn-instance vpn2 policy-based-route vpn permit node 3 if-match acl(VPN3用户的源地址) apply access-vpn vpn-instance vpn3l2tp-group 0 undo tunnel authentication allow l2tp virtual-template

17、0 #建立3G所使用的虚接口,在里面运用上面所使用策略路由。 interface Virtual-Template 0 ppp authentication-mode chap remote address pool 1 ip address 140.1.1.1 255.255.255.0 ip policy-based-route vpn #建立回程的静态路由 ip route-static vpn-instance vpn1 X.X.X.X(vpn1网段)255.255.255.0 Virtual-Template 0 ip route-static vpn-instance vpn2 X

18、.X.X.X(vpn2 网段)255.255.255.0 Virtual-Template 0ip route-static vpn-instance vpn3 X.X.X.X(vpn3 网段)255.255.255.0 Virtual-Template 0 bgp 1 ipv4-family vpn-instance vpn1 import-route static /把我们上面的建立的回程路由发布出去,使数据在远端的设备上能够找到回程路由。 ipv4-family vpn-instance vpn2 import-route static /把我们上面的建立的回程路由导入到bgp里面,使数

19、据在远端的设备上能够找到回程路由。 ipv4-family vpn-instance vpn2 import-route static /把我们上面的建立的回程路由导入到bgp里面,使数据在远端的设备上能够找到回程路由。 7.3方案三,2次拨号同一个用户对同一台LNS设备多次拨号来达到到访问不同的VPN。如下图(示例假设VPN1,VPN2,VPN3)。第一次使用运营商提供的3G拨号软件对LNS拨号一次,第二次使用我司提供的inode软件再拨号一次。(毕竟实验室没有3G,大家要做测试的话,可以用PPPOE来模拟3G拨号,成功后就可用INODE软件来模拟L2TP进行第二次次拨号)(1)第一次拨号到

20、VT0口,给该用户的分配的IP不能够路由即访问不到其他地方,它的作用就只有一个:为第二次拨号到其他VPN做跳板。数据经过两次封装。好处就是:没有域名限制的烦恼。第一次拨号的域名只能是由运营商提供的以外,但第二次拨号的域名可以由用户自己设置,与运营商无关,且可以通过INODE软件轻松实现数据IPSEC加密。不好的就是:数据要两次封装,客户PC机上要单独再装INODE软件。(2)对于以上的方案优化:假设客户VPN1是internet网,客户平时上该网的时间最多,因此把第一次拨号的入口直接与VPN1绑定,有特殊需要客户才去使用INODE拨号其他VPN,这样简化了客户平均拨号的次数。下面以PE设备为L

21、NS,按照优化方案给出2次拨号的关键配置示例l2tp enable /使能l2tpl2tpmoreexam enable /使能多实例 radius scheme imc primary authentication 192.168.207.10 primary accounting 192.168.207.10 key authentication imc key accounting imc /使用我司的imc给认证的客户授权和分配固定的IP地址。 domain /模拟internet网,该入口是第一次拨号的入口,那么该域名必须是运营商所给定的域名,除此以外其他域名客户自己任意设置。 au

22、thentication ppp radius-scheme imc authorization ppp radius-scheme imc accounting ppp radius-scheme imc domain /模拟电子政务网 authentication ppp radius-scheme imc authorization ppp radius-scheme imc accounting ppp radius-scheme imc domain /模拟XX网 authentication ppp radius-scheme imc authorization ppp radiu

23、s-scheme imc accounting ppp radius-scheme imc interface Virtual-Template0 ppp authentication-mode chap domain /该入口是第一次拨号的入口,那么该域名必须是运营商所给定的域名。 ip binding vpn-instance vpn1 /访问internet的入口 ip address 150.1.1.1 255.255.255.0 # interface Virtual-Template1 ppp authentication-mode chap domain ip binding v

24、pn-instance vpn2 /访问电子政务的入口 ip address 160.1.1.1 255.255.255.0 # interface Virtual-Template2 ppp authentication-mode chap domain ip binding vpn-instance /访问XX VPN的入口 ip address 5.5.5.5 255.255.255.0 l2tp-group 1 undo tunnel authentication allow l2tp virtual-template 0 remote XX domain /该模板是用于3G的第一次拨

25、号,那么这里的XX、 都必须是指定运营商指定。 l2tp-group 2 undo tunnel authentication allow l2tp virtual-template 1 remote LAC domain l2tp-group 3 undo tunnel authentication allow l2tp virtual-template 2 remote LAC domain (3)INODE 拨号效果模拟图小结:以上方式客户需拨号2次,第一次拨号使用运营商提供的3G拨号软件,第二次使用我司的inode软件拨号就可以达到访问不同的VPN网络的目的。8. 如何进行IPSEC加

26、密8.1 INDODE上L2TP与IPSEC的关系Inode上l2tp 是over ipsec.8.2哪些需要加密如下图所示;LACLNS私网1由于与LNS设备互通的既有移动客户端,又有包含很多私网路由的3G网络设备,因此为了对这些数据都进行保护,就必须区别对待;(1) 对于移动客户端来讲它没有什么私网路由,所以可以在LNS设备出口上配置IPSEC 模板,通过模板协商出所有需要保护的移动客户端,而3G网络设备传递的数据在该接口上无需被IPSEC处理,正常转发。(2) 对于3G网络设备则是通过IPSEC OVER GRE的方式,通过3G网络设备与LNS设备建立GRE通道,让所有与私网互访的数据走

27、GRE通道,并且可以运行动态路由信息,传递分支路由,IPSEC由于是建立在GRE通道上的,所以ACL匹配的时候可以是PERMIT IP ALL.(3) 对于3G网络设备还可以配置IPSEC隧道模式,该模式同样可以运行动态路由协议。9. 如何对L2TP进行MP绑定需求:客户需要对部分分支的PPP链路(例如3G接口,serial cpos等待)绑定,以此来提高带宽,因此LNS端的对应ppp也需要相应的处理(次odeius-scheme例如在client端任意配置都可,该处是配置与VT口绑定的方式;关键点是在与LNS设备的这一头必须用账户绑定MP 的方式即ppp mp user h3c bind V

28、irtual-Template 1,且配置mandatory-lcp(原因就是LCP 阶段告诉对方我要进行MP绑定,拨号端是与LAC设备进行LCP协商,并没有与LNS设备协商,所以要配置该命令,让LNS端与拨号端俩再次重新协商) ,否则无法成功。这样可以让LNS端需要绑定的VT口进行了绑定,同时不需要绑定的也不相互影响通信。clientLNS1Serial 0/2/0 serial 0/2/0 Serial 0/2/1 serial 0/2/1 interface Serial0/2/0 link-protocol ppp ppp chap user h3c ppp chap password simple 1234567890 ppp mp Virtual-Template 0 ip address ppp-negotiate # interface Serial0/2/1 link-protocol ppp ppp chap user h3c ppp chap password simple 1234567890 ppp mp Virtual-Template 0 ip address ppp-negotiate #

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号