网络环境：

 

1、用户网络接入使用的为HiPER 4210G，同时作为VPNserver软件版本为kv4210Gv10.3.bin

2、4210G lan口地址为192.168.16.1/24

3、三层交换机为华为的S5516，与4210G相连端口所在VLAN 地址为 192.168.16.254，S5516配置默认路由网关指向192.168.16.1，同时划分了4个VLAN分别为：192.168.100.0/24，192.168.101.0/24，192.168.102.0/24，192.168.103.0/24，其中103为服务器所在VLAN

 

 

1、 内网电脑可以正常访问互联网；

2、 4个VLAN之间不可以互访；

3、 移动用户拨到4210G上之后可以访问服务器（IP地址为192.168.103.100/24）

 

 

1、 S5516三层交换机添加默认路由：

命令：ip route-static 0.0.0.0 0.0.0.0 192.168.16.1 preference 60

2、 4210G上添加静态路由（即回程路由），配置好之后列表如图一的路由信息列表中所示，添加静态路由方法请参考图（一）图（二）的红色数字步骤：图示是添加到192.168.103.0/24的路由网关为192.168.16.254

                                               图（一）

                                               图（二）

这两步做完后，内网4个VLAN均可以正常上网，即用户的第一个需求已完成；

3、对于VLAN间不可以互访需要在三层交换机上做ACL实现（因划分的是三层VLAN，又因交换机上加了默认路由，4210G上有了回程路由，所以因为有了VLAN间路由，VLAN间目前是可以互访的）

参考命令如下：

1)acl number 3000                          

  rule 0 deny ip source 192.168.100.0 0.0.0.255 destination 192.168.101.0 0.0.0.255

  rule 1 deny ip source 192.168.100.0 0.0.0.255 destination 192.168.102.0 0.0.0.255

  rule 2 deny ip source 192.168.100.0 0.0.0.255 destination 192.168.103.0 0.0.0.255

2）启用此ACL

    packet-filter ip-group 3000 rule 0

    packet-filter ip-group 3000 rule 1

4、移动用户拨号访问103VLAN步骤

1) VPN配置->PPTP和L2TP ->拨入服务器 添加一个移动用户帐号

2) VPN配置->PPTP和L2TP ->全局配置    配置VPN地址池如图（三）

                                           图（三）

至此客户所有需求已经完成。

 

 

此需求特别需要注意

1、移动用户地址池即图（三）的配置，因为地址池很多用户会认为vpn用户目的是为了访问103这个VLAN所以就将地址池设置为103这个网段的地址，但是如果这么配置的话，移动用户获取到这个网段的地址后，在访问103.100这个服务器的时候，数据在返回到三层交换机后，就会被交换机在103这个VLAN广播，而不会发送到4210G的。所以就会出现无法访问的情况。

2、ACL配置，因为在这里遇到的三层交换机是华为的S5516，如果是CiSCO的设备请注意默认ACL有一条Deny any any的ACL的，所以请注意做了ACL后是否会禁止其他所有的数据。