eSIX 文档中心

简体中文

English

简体中文

English

Appearance

拓扑设置

  1. 本功能将基于以下拓扑环境进行演示。
  2. 主要涉及的接口为 Xatellite4 的 eth1 和 Xatellite5 的 eth1

功能配置流程与功能验证

设备 Xatellite 4 IPSEC 功能配置

  1. 进入 IPSEC 配置界面
  • 点击 VPN 选项卡。
  • 点击 IPSEC 选项卡。
  1. 点击 Setting 选项卡。
  2. 点击 Enable 启用 IPSEC 功能。
  3. 点击 SAVE & APPLY 保存当前配置。
  1. 点击 Remote 选项卡。
  2. 点击 ADD 选项卡。

  1. 点击 General 选项卡。

  2. 点击 Enable 选项卡以启用该功能。

  3. 配置 IPSEC 功能相关地址

  • Local Addr 中填写地址。本功能演示中填写 0.0.0.0
  • Remote Gateway 中填写对端通信地址。本功能演示中填写 192.168.1.2
  1. 配置 Pre-Shared Key
  • Pre-Shared Key 中输入自定义密钥。该密钥需要在两台设备上保持一致。
  1. 配置 Phase 1 Proposal
  • 点击 Enable Phase 1 Proposal 启用。
  • 点击 Encryption Algorithm,并从下拉列表中选择合适的加密算法。本演示使用 AES-128,即采用 128 位密钥的高级加密标准,具备安全性和可靠性。
  • 点击 Hash Algorithm,并从下拉列表中选择合适的哈希算法。本演示使用 MD5
  • 点击 DH Group,并从下拉列表中选择合适的 DH 组。本演示使用 DH Group 2
  1. 点击 Tunnel 选项卡。
  2. 点击 ADD 按钮。
  1. 点击 Enable 选项卡,启用 Tunnel 功能及其相关参数配置。
  2. 配置 Tunnel 相关地址信息
  • Local Subnet 中以 IPv4 CIDR 格式填写源地址。(此处的 Loopback 接口 IP 地址 1.1.1.1/32 仅用于临时演示。请根据实际情况填写需要加密的数据源地址或源网段。)
  • Remote Subnet 中以 IPv4 CIDR 格式填写目的地址。(此处的 Loopback 接口 IP 地址 2.2.2.2/32 仅用于临时演示。请根据实际情况填写需要加密的数据目的地址或目的网段。)
  1. 配置 Enable Phase 2 Proposal
  • 勾选 Enable Phase 2 Proposal 启用。
  • 点击 Encryption Algorithm,并从下拉列表中选择合适的加密算法。本演示使用 AES-128,即采用 128 位密钥的高级加密标准,具备安全性和可靠性。
  • 点击 Hash Algorithm,并从下拉列表中选择合适的哈希算法。本演示使用 MD5
  • 点击 PFS Group,并从下拉列表中选择合适的 DH 组。本演示使用 PFS Group 2
  1. 点击 SAVE 保存上述配置。

设备 Xatellite 5 IPSEC 功能配置

  1. 进入 IPSEC 配置界面
  • 点击 VPN 选项卡。
  • 点击 IPSEC 选项卡。
  1. 点击 Setting 选项卡。
  2. 点击 Enable 启用 IPSEC 功能。
  3. 点击 SAVE & APPLY 保存当前配置。
  1. 点击 Remote 选项卡。
  2. 点击 ADD 选项卡。

  1. 点击 General 选项卡。

  2. 点击 Enable 选项卡以启用该功能。

  3. 配置 IPSEC 功能相关地址

  • Local Addr 中填写地址。本功能演示中填写 0.0.0.0
  • Remote Gateway 中填写对端通信地址。本功能演示中填写 192.168.1.1
  1. 配置 Pre-Shared Key
  • Pre-Shared Key 中输入自定义密钥。该密钥需要在两台设备上保持一致。
  1. 配置 Phase 1 Proposal
  • 点击 Enable Phase 1 Proposal 启用。
  • 点击 Encryption Algorithm,并从下拉列表中选择合适的加密算法。本演示使用 AES-128,即采用 128 位密钥的高级加密标准,具备安全性和可靠性。
  • 点击 Hash Algorithm,并从下拉列表中选择合适的哈希算法。本演示使用 MD5
  • 点击 DH Group,并从下拉列表中选择合适的 DH 组。本演示使用 DH Group 2
  1. 点击 Tunnel 选项卡。
  2. 点击 ADD 按钮。
  1. 点击 Enable 选项卡,启用 Tunnel 功能及其相关参数配置。
  2. 配置 Tunnel 相关地址信息
  • Local Subnet 中以 IPv4 CIDR 格式填写源地址。(此处的 Loopback 接口 IP 地址 2.2.2.2/32 仅用于临时演示。请根据实际情况填写需要加密的数据源地址或源网段。)
  • Remote Subnet 中以 IPv4 CIDR 格式填写目的地址。(此处的 Loopback 接口 IP 地址 1.1.1.1/32 仅用于临时演示。请根据实际情况填写需要加密的数据目的地址或目的网段。)
  1. 配置 Enable Phase 2 Proposal
  • 勾选 Enable Phase 2 Proposal 启用。
  • 点击 Encryption Algorithm,并从下拉列表中选择合适的加密算法。本演示使用 AES-128,即采用 128 位密钥的高级加密标准,具备安全性和可靠性。
  • 点击 Hash Algorithm,并从下拉列表中选择合适的哈希算法。本演示使用 MD5
  • 点击 PFS Group,并从下拉列表中选择合适的 DH 组。本演示使用 PFS Group 2
  • 点击 SAVE 保存上述配置。

测试 IPSEC VPN 可用性和加密效果

  1. 可以看到,来自 Xatellite 4、IP 地址为 1.1.1.1/32 的 ICMP 数据包可以成功到达 Xatellite 5 的 2.2.2.2/32
  2. 可以看到,来自 Xatellite 5、IP 地址为 2.2.2.2/32 的 ICMP 数据包可以成功到达 Xatellite 4 的 1.1.1.1/32
  1. 通过抓包可以看到,IPSEC VPN 中已经存在加密数据通信。其中 ESP 协议相关的数据包为加密数据包,ICMP 协议相关的数据包为解密后的数据包。