UniFi Security Gateway/USG基本设置教程

tange

更多教程请关注本站微信公众号，订阅UBNT教程，更详细更全面的专业教程！








USG是UniFi企业级网关，支持双WAN、防火墙、端口指向和Radius认证等，具有非常优秀的数据转发能力，并且有非常稳定的性能，在我所做的项目中，已经有500多天不重启还在正常使用中的。然而，在中国国情下，USG的设置却相比国产品牌会麻烦很多，因此，请看本教程的用户多认真研究，设置似难却又不难。
目前国内常用的USG有二款，USG建议带机200人，USG-PRO-4建议带机1000人。


回复下载本文PDF教程：

游客，如果您要查看本帖隐藏内容请回复

一、USG设置步骤
USG在设置之前需要明确宽带的情况：

宽带情况	设置要点
USG连光猫，光猫未拔号的	IP段修改不影响使用，直接控制器采用设置即可，但本站建议对IP段也作修改，发现部分地方不修改USG会有问题
USG连光猫，光猫已拔号的	作二级路由器用，USG的IP段不能和猫/上级路由器冲突
USG当二级路由器或静态IP上网的	USG的IP段不能和猫/上级路由器冲突

USG默认IP为192.168.1.1，通常光猫的IP也是192.168.1.1。当我们设置时，通常要将其IP段与光猫的IP段错开。
推荐一种最简单的办法：直接修改光猫的IP段，可跳过本文大部分最麻烦的步骤。

USG修改IP地址段较为麻烦，本文提供了二种方法。
针对USG的固件情况区分对待。根据UBNT目前出厂情况，2019年中以后的USG出厂固件已默认升级到4.X，请按下列步骤操作：
修改IP段 -> 控制器采用
如果默认出厂固件是3.X的，则在默认的WEB页没有修改IP段的功能，则需要按下述步骤来操作：
升级 -> 修改IP段 -> 控制器采用
按以上步骤操作，则不会出现USG反复同步不成功的问题。

二、USG升级
USG出厂的固件版本比较低，低版本没有改IP这个功能的，若是控制器采用后再修改，许多用户会出现反复采用失败的情况。
注意：2019年中以后出厂的USG，其固件已更新到4.x，故可略过升级步骤了。
用户购买前可要求卖家先升级好固件最好了，您省心卖家也省心。
第1步：控制器正常上网。不论是UCK还是电脑端的控制器，先让他能上网。
第2步：打开"设置 -> 站点 -> 维护 -> 固件“，如下图找到USG将其固件缓存到本地。


第3步：控制器接到USG的LAN口下，UCK和电脑会从USG分配一个IP。UC-CK的IP地址可以在USG WEB界面查看到。UCK-G2则查看显示屏。
第4步：在控制器里对USG进行离线升级。
注意：不要选择“Adopt and Upgrade“，若不慎选择了这个的，请升级完成后将USG移除出控制器。
控制器缓存了USG固件后，不需要上外网也可升级成功。如果USG是二级路由器，能保证上外网也可直接升级。


升级需要5-10分钟，升级完成后，确保USG未采用。

tange

三、USG修改IP段的方法1
本法在未采用USG之前，通过USG设置界面进行修改IP段。建议使用此方法。
第1步：电脑网线接到USG的LAN口，默认会从USG分配1个IP。
第2步：打开浏览器，输入192.168.1.1进入USG WEB设置界面。
在Configuration中，将USG的IP地址改成其它网段，DHCP Range地址池同步更新，本例改成了192.168.3.1。



应用后，USG右上角会提示要更新网卡，这是USG反复采用不成功的关键原因。


第3步：关键一步来了。USG修改IP段后，电脑网卡仍是之前1段的IP：


这是USG不能成功采用的原因。解决办法是将网卡禁用后再启用。检查网卡得到的IP是刚刚修改后的3段IP，如下图分配IP地址是有问题的，可能仍不能正确采用USG。


可将USG断电重启一次，再检查是否分配到了正确的IP。若还不行，则直接将网卡修改为新IP段的固定IP。
第4步：登录控制器，将网络IP地址修改为192.168.3.1/24：



第5步：刷新控制器界面，即可发现USG的IP段已修改了，采用USG。此时USG可成功采用：



四、USG修改IP段的方法2
本方法是USG正常采用的情况下，对USG进行修改IP段。如下图，“状态”为绿色“已连接”则USG正常采用。



第1步：找到“设置 -> 网络 -> LAN -> 编辑"：


第2步：本例将IP段修改为192.168.3.1
同步更新DHCP地址池，应用生效。


保存应用后，返回到设备列表，会发现USG显示同步中，但是一直会不成功，陷入死循环：


采用不成功的原因是电脑的IP地址仍为之前的1段，自然不能访问新改的3段。

很简单的解决办法，就是把USG断电重启一次，观察网卡是否获取了正确的IP段，然后再重新打开控制器即可。


也可以打开“控制面板\网络和 Internet\网络连接”，可发现本地连接网卡的IP还是之前1段的，将本地连接禁用，然后再启用它：


注意：如果是用UCK管理，则将UCK重启一次（按RESET一下即为重启）。

得到新IP后，观察USG的蓝色灯应为常亮。打开浏览器的控制器界面，按一下刷新按钮（或按F5键），控制器重新打开后会重新同步USG，可看到USG的IP地址已变，这时便可以成功连接USG了：

tange

USG支持DHCP、PPPoE和静态IP地址上网。
第1步：打开“设置 -> 网络 -> WAN -> 编缉”：


第2步：IPV4 -> 连接类型，选择自己的宽带类型，对于光猫本身已拔号的选择DHCP，需要拔号的选择PPPoE：

智能队列：即智能QoS，可选设置。

六、启用WAN2/LAN2
USG支持双WAN或二个LAN，默认并没有开启。开启方法：
打开“设置 -> 网络 -> 创建新网络”



如下图，“用途”中选择“WAN”，“连接类型”依自己宽带选择，“负载均衡”一般选择“带权重的负载均衡”，则二条宽带可同时用：


若是作为LAN2，则“用途”选择为“企业”，"网络群组"选择“LAN2”：
注意：LAN2的IP段是不能和LAN1相同的。但可互访。



七、端口转发

如果源端口和转发端口不一至，则每个端口都新建一条规则，不要共用规则。

八、其它教程
UBNT UniFi网关家族参数对比一览表
UniFi控制器基本设置教程
UBNT EdgeRouter路由器基本设置教程
UniFi Security Gateway/USG基本设置教程
UniFi Cloud Key控制器设置教程
UBNT USG MAC黑白名单限制上网教程
UBNT优倍快USG Radius认证教程
在NAS上用docker安装UniFi控制器完全教程

lzsd

适合新手啊，谢谢！

bg7olj

新手来学习，谢谢。

爱左边了

选择光猫拨号好还是路由器

arain032012

谢谢，楼主！

leonada4444

求问电信光猫如何修改IP段？

brokenyouth1992

大神，您好！
我现在是有一个 amplifi的路由器，请问下如何能把它加入我现在的系统中，目前是 ISP--》USG---》交换机 ----》AP ；
请问把这个Amplifi的路由接到交换机上，用桥接模式，能否实现漫游呢？

ricohung

學習中,希望能從文章學到‘

张煦

新手的福音，谢谢了。

sdlaobing

非常感谢楼主辛苦了！再请教下，如何利用USG连接交换机建立tagged端口亦或咋接第二个交换机使用完成单线复用呢？不吝赐教网络上实在找不到有关这方面的资料啊，UBNT的中文网站上更是蜻蜓点水呵呵