USR-G810與USR-G806搭建IPSEC子網對子網模式通信測試
一、資料下載
1、USR-G810說明書(完整版):http://m.0575400.com/Download/997.html
2、USR-G810規格書:http://m.0575400.com/Download/998.html
二、準備工作
1、USR-G810設備 數量1個
2、USR-G806設備 數量1個
3、電源適配器 12V 數量2個
4、網線 數量2根
5、Wifi天線、5G天線、LTE天線若干(根據設備所需配套數量)
6、電腦 數量1臺
三、G810設備指示燈狀態
四、測試步驟
該應用一般兩個不同地域間相互通信,例如總公司在濟南,分公司在深圳,想實現濟南的子網和深圳的子 網之間通信,即可用該方式。IPSEC使用中需注意服務器與客戶端兩邊參數必須相互對應,加密和認證方式必須一致。
1、G810以及G806WAN、LAN口IP,以及下級網口設備(電腦)獲取到的IP地址。
類別 |
VPN服務器 |
VPN客戶端 |
設備 |
USR-G806(對端) |
USR-G810(本端) |
WAN口IP |
172.16.14.4 |
172.16.14.171 |
LAN口IP |
192.168.12.1 |
192.168.1.1 |
子網下的PC IP |
192.168.12.235 |
192.168.1.141 |
2、806端配置:此處作為VPN服務器
基本設置界面設置本端及對端基本信息:
(1)使能IPSEC勾選上。啟用IPSEC功能
(2)連接類型選擇NET TO NET模式,傳輸類型選擇隧道模式
(3)功能類型選擇VPN服務器
(4)連接名稱可自定義
(5)本端接口根據聯網方式的不同可選擇 wan_4G、wan_wired、自動
(6)本端子網:IPSec 本端子網及子網掩碼
(7)本端標識符:通道本端標識,可以為 IP 或 FQDN,注意在域名自定義名時加@?
(8)對端子網:IPSec 對端子網及子網掩碼
(9)對端標識符:通道對端標識,可以為 IP 或 FQDN,注意在域名自定義名時加@
高級設置界面可設置加密方式及認證方式
(1)DPD 檢測周期:設置連接檢測(DPD)的時間間隔 ?
DPD 超時時間:設置連接檢測(DPD)超時時間?
DPD 操作:設置連接檢測的操作。包括重啟、拆除、保持、無,默認重啟
(2)IKE 的加密:第一階段包括 IKE 階段的加密方式、完整性方案、DH 交換算法
IKE 生命周期:設置 IKE 的生命周期,單位為秒,默認:28800
(3)ESP 加密:第二階段包括 ESP 對應的加密方式、完整性方案
ESP 生命周期:設置 ESP 生命周期,單位為秒,默認:3600
(4)模式即協商方式:主模式、積極模式(野蠻模式),默認主模式
(5)會話密鑰向前加密(PFS):提供不啟用、DH1、DH2、DH5 共 4 個選項。本項設置需保證本段和對端一致
(6)認證方式:目前支持預共享密鑰的認證方式
密鑰可自定義
2、G810作為客戶端的設置
邏輯與G806的設置完全一致,協商方法、隧道類型、IKE及ESP加密方式、認證方式、預共享密鑰全部與G806VPN服務器的參數一致,本端子網及標識符、對端子網及標識符與G806VPN服務器的設置相反
3、測試結果:在 VPN 狀態處可查看到“IPSec 已連接”提示,說明IPSEC已成功連接
4、此時互相 ping 對端子網也是連通狀態
(1)810下IP為192.168.1.141的電腦,可以ping通對端192.168.12.235的IP
(2)806下IP為192.168.12.235的電腦,可以ping通對端192.168.1.141的IP
-20250623144437.png)
