
需求:企业5G专网应用于物联网、备份线路等多场景;
中国移动推出5G专网,为用户提供CPE设备、企业5G 专属sim卡,将用户sim卡、专线划分至所属企业专用domian,与互联网、其它网络隔离,实现企业5G专属网络;
本案例企业分支使用华为CPE设备及专属sim卡接入5G专网,总部使用移动转线接入5G专网;
为提升网络安全级别,企业分支与总部通过H3C设备的IPSEC VPN对数据流量进行加密。
一、移动5G应用分支A 华为CPE配置:(企业分支B配置方式与之相同)

1、将专属sim插入CPE设备(sim卡槽位于底部);
2、CPE设备加电后,PC通过wifi或双绞线,连接设备,web登录设备;
初次登录设备时,设备默认连接apn可能为中国移动(cmnet),需配置以连接至企业专属APN;

3、网络设置=》 移动网络设置 =》添加APN;



企业专属APN添加后,确认其为cpe设备默认连接状态,

高级设置=》系统=》设备信息 查看确认WAN接口IP地址是否为与移动签署协议后所指定的SIM卡IP地址;

4、确认nat配置为圆锥形,即多对一;

5、高级设置 =》安全 =》静态路由 填加至分支内部网络路由(注意:静态路由菜单在安全菜单下,未在路由菜单下,也许是产品软件不太成熟)



完成以上配置后,CPE设备就可以正常使用了,后续再进行总部及分支机构路由器的接入及IPSEC 加密配置工作。
注意:本次CPE测试设备中WAN口地址为移动指定分配,但未发现CPE设备默认网关信息,
另设备目的地址转换不支持在WAN口对IPSEC UDP 500/4500进行映射,在此场景下,IPSEC VPN只能由分支侧发起协商;另外DHCP 68号端口及 l2tp 1701端口也不能对外进行映射,如果使用cpe的机构内部设备对外提供dhcp\ipsec\l2tp服务可能行不通;

二、企业总部、分支路由器配置:
注意:企业总部专线至移动5G专网的接入,需在总部路由器配置 GRE tunnel 以穿越数据网或传输网以到达移动的5G物联网或5G专网,(tunnel接口地址、源地址及、目的地址及gre隧道认证key ,由运营商分配指定,猜想配置tunnel可简化移动内部几张网络的设备的配置工作量)
测试验证:
1、分支机构A、B内部终端ping 和tracert 总部服务器10.1.1.1, 验证IPSEC VPN联通性及路径;


2、分支机构A、B路由器 display ike sa 、 display ipsec sa 、display ipsec tunnel, 验证 ipsec vpn 第一、二阶段协调状态及隧道状态;


3、总部内部终端ping 和tracert 分支机构A、B终端 172.16.1.1和172.16.2.1 , 验证IPSEC VPN联通性及路径;

4、总部路由器 display ike sa 、 display ipsec sa brief 、display ipsec tunnel, 验证 ipsec vpn 第一、二阶段协调状态及隧道状态。
