USR-G810与USR-G806搭建IPSEC子网对子网模式通信测试
一、资料下载
1、USR-G810说明书(完整版):http://www.kewodl.com/Download/997.html
2、USR-G810规格书:http://www.kewodl.com/Download/998.html
二、准备工作
1、USR-G810设备 数量1个
2、USR-G806设备 数量1个
3、电源适配器 12V 数量2个
4、网线 数量2根
5、Wifi天线、5G天线、LTE天线若干(根据设备所需配套数量)
6、电脑 数量1台
三、G810设备指示灯状态
四、测试步骤
该应用一般两个不同地域间相互通信,例如总公司在济南,分公司在深圳,想实现济南的子网和深圳的子 网之间通信,即可用该方式。IPSEC使用中需注意服务器与客户端两边参数必须相互对应,加密和认证方式必须一致。
1、G810以及G806WAN、LAN口IP,以及下级网口设备(电脑)获取到的IP地址。
类别 |
VPN服务器 |
VPN客户端 |
设备 |
USR-G806(对端) |
USR-G810(本端) |
WAN口IP |
172.16.14.4 |
172.16.14.171 |
LAN口IP |
192.168.12.1 |
192.168.1.1 |
子网下的PC IP |
192.168.12.235 |
192.168.1.141 |
2、806端配置:此处作为VPN服务器
基本设置界面设置本端及对端基本信息:
(1)使能IPSEC勾选上。启用IPSEC功能
(2)连接类型选择NET TO NET模式,传输类型选择隧道模式
(3)功能类型选择VPN服务器
(4)连接名称可自定义
(5)本端接口根据联网方式的不同可选择 wan_4G、wan_wired、自动
(6)本端子网:IPSec 本端子网及子网掩码
(7)本端标识符:通道本端标识,可以为 IP 或 FQDN,注意在域名自定义名时加@Ø
(8)对端子网:IPSec 对端子网及子网掩码
(9)对端标识符:通道对端标识,可以为 IP 或 FQDN,注意在域名自定义名时加@
高级设置界面可设置加密方式及认证方式
(1)DPD 检测周期:设置连接检测(DPD)的时间间隔 Ø
DPD 超时时间:设置连接检测(DPD)超时时间Ø
DPD 操作:设置连接检测的操作。包括重启、拆除、保持、无,默认重启
(2)IKE 的加密:第一阶段包括 IKE 阶段的加密方式、完整性方案、DH 交换算法
IKE 生命周期:设置 IKE 的生命周期,单位为秒,默认:28800
(3)ESP 加密:第二阶段包括 ESP 对应的加密方式、完整性方案
ESP 生命周期:设置 ESP 生命周期,单位为秒,默认:3600
(4)模式即协商方式:主模式、积极模式(野蛮模式),默认主模式
(5)会话密钥向前加密(PFS):提供不启用、DH1、DH2、DH5 共 4 个选项。本项设置需保证本段和对端一致
(6)认证方式:目前支持预共享密钥的认证方式
密钥可自定义
2、G810作为客户端的设置
逻辑与G806的设置完全一致,协商方法、隧道类型、IKE及ESP加密方式、认证方式、预共享密钥全部与G806VPN服务器的参数一致,本端子网及标识符、对端子网及标识符与G806VPN服务器的设置相反
3、测试结果:在 VPN 状态处可查看到“IPSec 已连接”提示,说明IPSEC已成功连接
4、此时互相 ping 对端子网也是连通状态
(1)810下IP为192.168.1.141的电脑,可以ping通对端192.168.12.235的IP
(2)806下IP为192.168.12.235的电脑,可以ping通对端192.168.1.141的IP