快速搭建GPRS环境下的VPN

江苏移动 陈苏闽  chensumin@sina.com

GPRS通用无线分组业务(General Packet Radio Service)，是在GSM网络下开通的一种新型的分组数据传输技术。在传统虚拟专用网(Virtual Private Network，简称VPN)技术的基础上，GPRS方式可以为用户提供新的虚拟专用拨号网(Virtual Private Dailup Network，简称VPDN)的接入手段，可以实现移动办公、电子商务等丰富的移动数据业务应用。本文介绍了一种在较低成本下快速搭建GPRS环境下的企业VPN的方案。

设备投入

本方案所需设备都是常见的低端设备，具体如下。

客户端设备：

一台笔记本电脑，操作系统为Windows 2000 / XP。

一块GPRS PCMCIA卡。

一张开通了GPRS功能的中国移动全球通SIM卡。

VPN服务器：

一台Cisco 2621路由器，带IP Plus特性的IOS 。

网络结构图

       假设企业内网地址为192.168.1.1，拥有互联网合法地址200.100.1.1，采用如下图所示的网络结构，在客户机和VPN服务器间建立L2TP隧道，可以方便地搭建企业VPN。

VPN服务器配置：

! 配置拨入用户名称和口令

username USER password 0 PASSWORD

! 启用vpdn功能

vpdn enable

! 创建VPDN组

vpdn-group 1

! 允许拨入，采用L2TP协议，使用虚拟模板接口1

 accept-dialin

  protocol l2tp

  virtual-template 1

! 不使用L2TP隧道口令

 no l2tp tunnel authentication

! 互联网端口地址

interface Serial0/0

 ip address 200.100.1.1 255.255.255.252

! 内网端口地址

interface FastEthernet0/0

 ip address 192.168.1.1 255.255.255.0

! 虚拟模板接口1

interface Virtual-Template1

 ip unnumbered FastEthernet0/0

 peer default ip address pool GPRS-VPN

 ! 使用chap鉴别协议

 ppp authentication chap

! VPDN拨入用户地址池

ip local pool GPRS-VPN 192.168.1.2 192.168.1.254

! 互联网静态路由

ip route 0.0.0.0 0.0.0.0 Serial0/0

客户端配置

       1、安装好GPRS PCMCIA卡，可以成功通过GPRS接入Internet。

2、在笔记本电脑上创建“通过Internet连接到专用网络”的新连接，目的地主机的IP地址设置为200.100.1.1，高级安全设置为“质询握手身份验证协议(CHAP)”，VPN服务器类型设置为“第二层隧道协议(L2TP)”。

3、如果路由器不支持IP-Sec特性，则需要关闭笔记本电脑的IP-Sec，在注册表的[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]中添加ProhibitIpSec字段，值设置为1。（详见Microsoft Knowledge Base Article - Q240262  “How to Configure a L2TP/IPSec Connection Using Pre-shared Key Authentication”）。

方案分析

       配置好以上网络，只要在有中国移动GPRS覆盖的地方，我们可以先通过GPRS接入Internet，然后连接笔记本上创建的“虚拟专用连接”，就可以接入企业的VPN。

由于GPRS是按流量计费，不计漫游费，而且有优惠的包月套餐，因此该方案具有成本较低、构建迅速、支持漫游、访问灵活、快速安全的特点，可以为企业提供移动办公、提高工作效率、节省运营成本。

(版权归作者陈苏闽所有，转载请注明出处)