【正文】 分支1（3G接口除外）里面的源地址去訪問(wèn)總部，在MSR5040上PING 總部有正常，開始懷疑自己某個(gè)地方配置錯(cuò)誤所致，反復(fù)檢查配置，無(wú)果。事后發(fā)現(xiàn)這次測(cè)試聯(lián)通提供的3G鏈路有點(diǎn)怪，PPP地址協(xié)商的時(shí)候，正常情況下應(yīng)該在路由表里面有2個(gè)DIRECT 路由表，一個(gè)是自己的，一個(gè)是對(duì)端的，但是這次無(wú)論怎么協(xié)商都只有自己的地址，沒(méi)有對(duì)端的。 解決辦法：既然只能使用3G接口的地址，那么我們可以建立GRE通道，或者做NAT轉(zhuǎn)換，因?yàn)榻?jīng)過(guò)這2種方式處理后從分支MSR5040發(fā)出的報(bào)文的源地址都是3G接口的地址。上次到國(guó)家信息中心去測(cè)試，客戶提出一種需求，那就是希望不同MPLS VPN的客戶通過(guò)自己的3G網(wǎng)卡能夠訪問(wèn)到自己所屬的MPLS VPN及公網(wǎng)，且訪問(wèn)公網(wǎng)時(shí)就不能訪問(wèn)自己部門的MPLS VPN、訪問(wèn)自己部門MPLS VPN的時(shí)候就不能訪問(wèn)公網(wǎng)。且客戶的3G網(wǎng)絡(luò)是VPDN網(wǎng)絡(luò)，該3G網(wǎng)絡(luò)結(jié)構(gòu)與我前期所認(rèn)為的普通的apn網(wǎng)絡(luò)還不一樣，在該需求下還要分別考慮設(shè)備使用3G和PC使用3G的情況。對(duì)于設(shè)備插3G：由于設(shè)備插3G不存在訪問(wèn)不同的VPN情況，因此它只是當(dāng)一個(gè)P設(shè)備或者PE，通過(guò)互聯(lián)地址透?jìng)魉械腣PN數(shù)據(jù)，所以無(wú)論哪種方案都與該設(shè)備插3G無(wú)關(guān)，下面著重講解PC插3G的情況。電子政務(wù)網(wǎng)用戶：Sic1如果用戶想要訪問(wèn)電子政務(wù)網(wǎng)則使用 sic1 的用戶名撥號(hào)如果用戶想要訪問(wèn)internet則使用sic1。在MPLS里面找一臺(tái)PE或者是MCE做LNS，假設(shè)客戶有3個(gè)VPN，則在LNS上建立對(duì)應(yīng)的3個(gè)VT口，每個(gè)VT與一個(gè)VPN相綁定，然后建立對(duì)應(yīng)的3個(gè)l2tpgroup組，每個(gè)l2tpgroup下面的VT口與VPN域名相對(duì)應(yīng)。小結(jié)：該方式客戶只需用運(yùn)營(yíng)商提供的3G撥號(hào)軟件進(jìn)行一次撥號(hào)就可以達(dá)到訪問(wèn)不同的VPN網(wǎng)絡(luò)的目的。電子政務(wù)網(wǎng)Sic2224。部門VPN如果用戶想要訪問(wèn)電子政務(wù)網(wǎng)則使用 sic1 的用戶名撥號(hào)如果用戶想要訪問(wèn)internet則使用sic2。 既然客戶不愿意自己以后每使用一個(gè)域名，就去給運(yùn)營(yíng)商交涉，那么我們都統(tǒng)統(tǒng)使用運(yùn)營(yíng)商給定的域名（），為了區(qū)分客戶想要訪問(wèn)不同的VPN，關(guān)鍵點(diǎn)就需要根據(jù)不同賬戶分配不同的IP地址，然后根據(jù)IP地址來(lái)做策略。我們可以把策略路由和多角色主機(jī)功能都直接做在上面，另外一種如果LNS設(shè)備是CE的情況，沒(méi)有VPN的配置，它只根據(jù)不同的VPN用戶分配不同的網(wǎng)段地址，然后在與它互聯(lián)的上層PE上配置策略路由，把不同的網(wǎng)段地址策略到相應(yīng)的VPN里面去。小結(jié)：以上方式客戶只需用運(yùn)營(yíng)商提供的3G撥號(hào)軟件進(jìn)行一次撥號(hào)就可以達(dá)到訪問(wèn)不同的VPN網(wǎng)絡(luò)的目的。（2）如果該P(yáng)E設(shè)備是SR6602，則無(wú)法使用模糊的回程反向路由返回到自己的VPN。 interface VirtualTemplate 0 ppp authenticationmode chap remote address pool 1 ip address ip policybasedroute vpn 建立回程的靜態(tài)路由 ip routestatic vpninstance vpn1 （vpn1網(wǎng)段） VirtualTemplate 0 ip routestatic vpninstance vpn2 （vpn2 網(wǎng)段） VirtualTemplate 0ip routestatic vpninstance vpn3 （vpn3 網(wǎng)段） VirtualTemplate 0 bgp 1 ipv4family vpninstance vpn1 importroute static //把我們上面的建立的回程路由發(fā)布出去，使數(shù)據(jù)在遠(yuǎn)端的設(shè)備上能夠找到回程路由。 ipv4family vpninstance vpn2 importroute static //把我們上面的建立的回程路由導(dǎo)入到bgp里面，使數(shù)據(jù)在遠(yuǎn)端的設(shè)備上能夠找到回程路由。如下圖（示例假設(shè)VPN1,VPN2,VPN3）。（畢竟實(shí)驗(yàn)室沒(méi)有3G，大家要做測(cè)試的話，可以用PPPOE來(lái)模擬3G撥號(hào)，成功后就可用INODE軟件來(lái)模擬L2TP進(jìn)行第二次次撥號(hào)）(1)第一次撥號(hào)到VT0口，給該用戶的分配的IP不能夠路由即訪問(wèn)不到其他地方，它的作用就只有一個(gè)：為第二次撥號(hào)到其他VPN做跳板。好處就是：沒(méi)有域名限制的煩惱。不好的就是：數(shù)據(jù)要兩次封裝，客戶PC機(jī)上要單獨(dú)再裝INODE軟件。下面以PE設(shè)備為L(zhǎng)NS，按照優(yōu)化方案給出2次撥號(hào)的關(guān)鍵配置示例l2tp enable //使能l2tpl2tpmoreexam enable //使能多實(shí)例 radius scheme imc primary authentication primary accounting key authentication imc key accounting imc //使用我司的imc給認(rèn)證的客戶授權(quán)和分配固定的IP地址。 authentication ppp radiusscheme imc authorization ppp radiusscheme imc accounting ppp radiusscheme imc domain //模擬電子政務(wù)網(wǎng) authentication ppp radiusscheme imc authorization ppp radiusscheme imc accounting ppp radiusscheme imc domain //模擬