通博TBET

USR-G810与USR-G806搭建IPSEC子网对子网模式通信测试

一、资料下载

1、USR-G810说明书（完整版）：http://www.ybljg.com/Download/997.html

2、USR-G810规格书：http://www.ybljg.com/Download/998.html

二、准备工作

1、USR-G810设备  数量1个

2、USR-G806设备  数量1个

3、电源适配器 12V 数量2个

4、网线 数量2根

5、Wifi天线、5G天线、LTE天线若干（根据设备所需配套数量）

6、电脑 数量1台

三、G810设备指示灯状态

四、测试步骤

该应用一般两个不同地域间相互通信，例如总公司在济南，分公司在深圳，想实现济南的子网和深圳的子 网之间通信，即可用该方式。IPSEC使用中需注意服务器与客户端两边参数必须相互对应，加密和认证方式必须一致。

1、G810以及G806WAN、LAN口IP，以及下级网口设备（电脑）获取到的IP地址。

2、806端配置：此处作为VPN服务器

基本设置界面设置本端及对端基本信息：

（1）使能IPSEC勾选上。启用IPSEC功能

（2）连接类型选择NET TO NET模式，传输类型选择隧道模式

（3）功能类型选择VPN服务器

（4）连接名称可自定义

（5）本端接口根据联网方式的不同可选择 wan_4G、wan_wired、自动

（6）本端子网：IPSec 本端子网及子网掩码

（7）本端标识符：通道本端标识，可以为 IP 或 FQDN，注意在域名自定义名时加@Ø

（8）对端子网：IPSec 对端子网及子网掩码

（9）对端标识符：通道对端标识，可以为 IP 或 FQDN，注意在域名自定义名时加@

高级设置界面可设置加密方式及认证方式

（1）DPD 检测周期：设置连接检测（DPD）的时间间隔 Ø

DPD 超时时间：设置连接检测（DPD）超时时间Ø

DPD 操作：设置连接检测的操作。包括重启、拆除、保持、无，默认重启

（2）IKE 的加密：第一阶段包括 IKE 阶段的加密方式、完整性方案、DH 交换算法

IKE 生命周期：设置 IKE 的生命周期，单位为秒，默认：28800

（3）ESP 加密：第二阶段包括 ESP 对应的加密方式、完整性方案

ESP 生命周期：设置 ESP 生命周期，单位为秒，默认：3600

（4）模式即协商方式：主模式、积极模式（野蛮模式），默认主模式

（5）会话密钥向前加密(PFS)：提供不启用、DH1、DH2、DH5 共 4 个选项。本项设置需保证本段和对端一致

（6）认证方式：目前支持预共享密钥的认证方式

密钥可自定义

2、G810作为客户端的设置

逻辑与G806的设置完全一致，协商方法、隧道类型、IKE及ESP加密方式、认证方式、预共享密钥全部与G806VPN服务器的参数一致，本端子网及标识符、对端子网及标识符与G806VPN服务器的设置相反

3、测试结果：在 VPN 状态处可查看到“IPSec 已连接”提示，说明IPSEC已成功连接

4、此时互相 ping 对端子网也是连通状态

（1）810下IP为192.168.1.141的电脑，可以ping通对端192.168.12.235的IP

（2）806下IP为192.168.12.235的电脑，可以ping通对端192.168.1.141的IP