江苏移动 陈苏闽 chensumin@sina.com 2002年3月 GPRS通用无线分组业务(General Packet Radio Service)，是在GSM网络下开通的一种新型的分组数据传输技术。在传统虚拟专用网(Virtual Private Network，简称VPN)技术的基础上，GPRS方式可以为用户提供新的虚拟专用拨号网(Virtual Private Dailup Network，简称VPDN)的接入手段，可以实现移动办公、电子商务等丰富的移动数据业务应用。本文介绍了一种在较低成本下快速搭建GPRS环境下的企业VPN的方案。 设备投入 本方案所需设备都是常见的低端设备，具体如下。 客户端设备： 一台笔记本电脑，操作系统为Windows 2000 / XP。 一块GPRS PCMCIA卡。 一张开通了GPRS功能的中国移动全球通SIM卡。 VPN服务器： 一台Cisco 2621路由器，带IP Plus特性的IOS 。 网络结构图 假设企业内网地址为192.168.1.1，拥有互联网合法地址200.100.1.1，采用如下图所示的网络结构，在客户机和VPN服务器间建立L2TP隧道，可以方便地搭建企业VPN。 此主题相关图片如下，点击图片看大图：
VPN服务器配置： ! 配置拨入用户名称和口令 username USER password 0 PASSWORD ! 启用vpdn功能 vpdn enable ! 创建VPDN组 vpdn-group 1 ! 允许拨入，采用L2TP协议，使用虚拟模板接口1 accept-dialin protocol l2tp virtual-template 1 ! 不使用L2TP隧道口令 no l2tp tunnel authentication ! 互联网端口地址 interface Serial0/0 ip address 200.100.1.1 255.255.255.252 ! 内网端口地址 interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ! 虚拟模板接口1 interface Virtual-Template1 ip unnumbered FastEthernet0/0 peer default ip address pool GPRS-VPN ! 使用chap鉴别协议 ppp authentication chap ! VPDN拨入用户地址池 ip local pool GPRS-VPN 192.168.1.2 192.168.1.254 ! 互联网静态路由 ip route 0.0.0.0 0.0.0.0 Serial0/0 客户端配置 1、安装好GPRS PCMCIA卡，可以成功通过GPRS接入Internet。 2、在笔记本电脑上创建“通过Internet连接到专用网络”的新连接，目的地主机的IP地址设置为200.100.1.1，高级安全设置为“质询握手身份验证协议(CHAP)”，VPN服务器类型设置为“第二层隧道协议(L2TP)”。 3、如果路由器不支持IP-Sec特性，则需要关闭笔记本电脑的IP-Sec，在注册表的[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]中添加ProhibitIpSec字段，值设置为1。（详见Microsoft Knowledge Base Article - Q240262 “How to Configure a L2TP/IPSec Connection Using Pre-shared Key Authentication”）。 方案分析 配置好以上网络，只要在有中国移动GPRS覆盖的地方，我们可以先通过GPRS接入Internet，然后连接笔记本上创建的“虚拟专用连接”，就可以接入企业的VPN。 由于GPRS是按流量计费，不计漫游费，而且有优惠的包月套餐，因此该方案具有成本较低、构建迅速、支持漫游、访问灵活、快速安全的特点，可以为企业提供移动办公、提高工作效率、节省运营成本。 (版权归作者陈苏闽所有，转载请注明出处)