远程移动用户基于4G网VPDN安全访问总部数据库

周末从湖北自已开到到湖南长沙参加了一个大数据与安全技术的沙龙，来自全国各地的技术爱好者欢聚一堂，各新老专家朋友分享交流了数据标准化、大数据时代下的安全审计、等保应用中的系统安全防护、敏感数据安全管控与利用、DevOps平台从开发到部署运维中的工作实践。

感谢朋友们的技术分享，感谢长沙的技术同行热情款待。

这次出行正好带了一款某品牌的4G路由器，我的手机卡是小卡，从长沙一运营商营业厅路过时热情的老板送了一套大小卡套，开车路上顺便测试了一下基于4G网VPDN安全访问总部数据库，配置过程分享出来。

说明：VPDN又称虚拟专用拨号网(Virtual Private Dial－up Networks)，是采用隧道技术，即将企业网的数据封装在隧道中进行传输，是一种VPN业务，是基于拨号用户的虚拟专用拨号网。

应用场景：移动办人员出差时带着4G路由器需要访问总部内部网络中的数据库服务器和其[它应用服务器，4G路由器LAN口IP172.16.1.1；总部条件：有台中心路由器，有固定上网IP:10.0.0.1，内部IP为192.168.5.0网段。

总部中心路由器主要配置：

username admin password ********

enable password ********

enable service web-server http

enable service web-server https

vpdn enable

vpdn-group 1

accept-dialin

protocol any

virtual-template 1

l2tp tunnel authentication

l2tp tunnel password abcd

lcp renegotiation always

interface GigabitEthernet 0/0

ip address 192.168.5.1 255.255.255.0

duplex auto

speed auto

interface GigabitEthernet 0/1

ip address 10.0.0.1 255.255.255.0

duplex auto

speed auto

interface Loopback 0

ip address 172.16.0.1 255.255.255.255

interface Virtual-Template 1

ppp authentication pap chap

ip unnumbered Loopback 0

keepalive 3 3

ip route 0.0.0.0 0.0.0.0 10.0.0.254

ip route 172.16.1.0 255.255.255.0 172.16.0.2

line vty 0 4

login

password ********

4G客户端路由器配置

webmaster level 0 username admin password 0 ********

username admin password ********

username admin privilege 15

链路状态探测

ip rns 1

icmp-echo 10.0.0.1

timeout 3000

frequency 3000

启用通道验证功能l2tp-class l2x

authentication

hostname site10

password ruijie

创建以pw名称虚拟的 pseudowire-class 接口，

pseudowire-class pw

encapsulation l2tpv2

protocol l2tpv2 l2x

在 virtual-ppp 接口上设置 pseudowire 规则

interface Virtual-ppp 1

ppp pap sent-username admin password ********

ip address 172.16.0.2 255.255.255.0

pseudowire 10.0.0.1 pw-class pw

keepalive 3 3

interface VLAN 1

ip address 172.16.1.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 Virtual-ppp 1

ip route 10.0.0.1 255.255.255.255 Cellular 0/0