1 虚拟专网

1.1  IPsec VPN

1.1.1  简介

IPsec VPN是利用IPsec技术建立的虚拟专用网。IPsec通过在特定通信方之间建立“通道”，来保护通信方之间传输的用户数据，该通道通常称为IPsec隧道。

IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构，包括安全协议AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，互联网密钥交换）以及用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。

设备支持两种IPsec VPN组网方式：

·     “中心—分支”方式组网：企业分支机构网关将主动与总部网关建立IPsec隧道，分支机构内部终端可以安全访问总部的网络资源。

·     对等方式组网：企业各分支网关之间均可主动建立IPsec隧道，来保护分支之间的数据通信。

1.1.2  配置IPsec分支节点

1. 配置需求

“中心—分支”方式组网环境中的分支节点设备需要主动建立IPsec隧道与中心节点通信。

对等方式组网环境中的设备需要与对端设备主动建立IPsec隧道。

2. 配置步骤

IPsec基本配置

(1)     单击导航树中[虚拟专网/IPsec VPN]菜单项，进入IPsec VPN配置页面。

(2)     单击“IPsec策略”页签，进入IPsec策略配置页面。

图1-1 IPsec策略

(3)     点击<添加>按钮，进入添加IPsec策略页面。

(4)     在“名称”配置项处，输入IPsec策略的名称。

(5)     在“接口”配置项处，选择应用IPsec策略的接口。请注意，此接口需要与对端设备路由可达。

(6)     在“组网方式”配置项处，选择分支节点。

(7)     在“对端网关地址”配置项处，输入IPsec隧道对端的IP地址。通常为总部网关或对端分支机构网关的WAN口地址。

(8)     在“认证方式”配置项处，设备目前仅支持预共享密钥认证方式。

(9)     在“预共享密钥”配置项处，输入与对端设备相同的预共享密钥。该密钥需要提前进行协商和通告。

(10)     在“保护流配置”配置项处，进行如下配置：

a.     在“受保护协议”配置项处，选择受IPsec隧道保护的报文的协议类型。

b.     在“本端受保护网段/掩码”配置项处，输入本端受保护网段。

c.     在“本端受保护端口”配置项处，输入本端受保护端口。仅当受保护协议选择为TCP或UDP时支持配置。

由本端受保护网段内主机的受保护端口发送的报文将被设备进行IPsec隧道封装处理。

d.     在“对端受保护网段/掩码”配置项处，输入对端受保护网段。

e.     在“对端受保护端口”配置项处，输入对端受保护端口。仅当受保护协议选择为TCP或UDP时支持配置。

由对端受保护网段内主机的受保护端口发送的报文才可以被设备进行IPsec隧道解封装处理。

f.     可以通过多次执行步骤（9）添加多条保护流。

图1-2 添加IPsec策略

IKE配置

如您需要改变设备的缺省IKE配置，可按如下方式进行配置。

(11)     按上述方式完成IPsec基本配置。

(12)     点击<显示高级配置>链接，进入高级配置页面。

(13)     单击“IKE配置”页签，进入IKE配置页面。

(14)     在“协商模式”配置项处，选择IKE协商模式：

¡     主模式：协商步骤多，身份验证位于密钥交互过程之后进行，适用于对身份保护要求较高的场合。

¡     野蛮模式：协商步骤少，身份验证与密钥交互同时进行，适用于对身份保护要求不高的场合。

若设备公网IP地址是动态分配的，建议您选择IKE协商模式为野蛮模式。

(15)     在“本端身份类型”配置项处，配置用于IKE认证的本端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是，此项必须与对端设备上执行步骤（6）配置的对端身份类型和身份标识一致。

如果您执行步骤（4）选择的IKE协商模式为主模式，您需要将本端设备身份类型配置为IP地址。

(16)     在“对端身份类型”配置项处，配置用于IKE认证的对端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是，此项必须与对端设备上执行步骤（5）配置的本端身份类型和身份标识一致。

(17)     在“对等体存活检测（DPD）”配置项处，选择是否开启对等体存活检测功能。该功能可用于检测对端是否存活，设备将拆除对端失活的IPsec隧道。建议您开启此功能，使设备能够及时获悉IPsec隧道的可用情况。

(18)     在“算法组合”配置项处，选择IKE协议交互所需的加密和认证算法。您可选择推荐的算法组合亦可自定义认证算法、加密算法和PFS算法。

IPsec隧道的两端所配置的认证算法、加密算法和PFS算法必须一致。

(19)     在“SA生存时间”配置项处，输入IKE重新协商的时间间隔，超过所配时间将触发IKE相关参数的重新协商。

图1-3 高级配置-IKE配置

IPsec高级配置

如您需要改变设备的缺省IPsec高级配置，可按如下方式进行配置。

(20)     按上述方式完成IPsec基本配置。

(21)     单击“IPsec配置”页签，进入IPsec配置页面。

(22)     在“算法组合”配置项处，选择IPsec协议交互使用的安全协议以及相应的加密和认证算法。您可选择推荐的算法组合亦可自定义安全协议、认证算法、加密算法、封装模式和PFS算法。

若IPsec本端受保护网段与对端受保护网段均为私网网段，建议您选择封装模式为隧道模式。

IPsec隧道的两端所配置的安全协议、认证算法、加密算法、封装模式和PFS算法必须一致。

(23)     在“基于时间的SA生存时间”配置项处，输入触发IPsec重新协商的时间间隔，超过所配时间将触发IPsec相关参数的重新协商。

(24)     在“基于流量的生存时间”配置项处，输入触发IPsec重新协商的流量大小，超过所配流量将触发IPsec相关参数的重新协商。

(25)     在“触发模式”配置项处，选择IPsec协议交互使用的触发模式，包括流量触发和长连模式。流量触发表示只有存在符合要求的流量时才会触发建立IPSec隧道；长连模式表示只要配置条件满足就会建立IPSec隧道。

(26)     点击<返回基本配置>按钮，返回添加IPsec策略页面。

(27)     点击<确定>按钮，完成配置。

图1-4 高级配置-IPsec配置

1.1.3  配置IPsec中心节点

1. 配置需求

“中心—分支”方式组网环境中的中心节点设备需要主动建立IPsec隧道与对端设备通信。

2. 配置步骤

IPsec基本配置

(1)     单击导航树中[虚拟专网/IPsec VPN]菜单项，进入IPsec VPN配置页面。

(2)     单击“IPsec策略”页签，进入IPsec策略配置页面。

图1-5 IPsec策略

(3)     点击<添加>按钮，进入添加IPsec策略页面。

(4)     在“名称”配置项处，输入IPsec策略的名称。

(5)     在“接口”配置项处，选择应用IPsec策略的接口。请注意，此接口需要与分支节点设备路由可达。

(6)     在“组网方式”配置项处，选择中心节点。

(7)     在“认证方式”配置项处，设备目前仅支持预共享密钥认证方式。

(8)     在“预共享密钥”配置项处，输入与对端设备相同的预共享密钥。该密钥需要提前进行协商和通告。

图1-6 添加IPsec策略

IKE配置

如您需要改变设备的缺省IKE配置，可按如下方式进行配置。

(9)     按上述方式完成IPsec基本配置。

(10)     点击<显示高级配置>链接，进入高级配置页面。

(11)     单击“IKE配置”页签，进入IKE配置页面。

(12)     在“协商模式”配置项处，选择IKE协商模式：

¡     主模式：协商步骤多，身份验证位于密钥交互过程之后进行，适用于对身份保护要求较高的场合。

¡     野蛮模式：协商步骤少，身份验证与密钥交互同时进行，适用于对身份保护要求不高的场合。

若设备公网IP地址是动态分配的，建议您选择IKE协商模式为野蛮模式。

(13)     在“本端身份类型”配置项处，配置用于IKE认证的本端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是，此项必须与分支节点设备上配置的对端身份类型和身份标识一致。

如果您执行步骤（4）选择的IKE协商模式为主模式，您需要将本端设备身份类型配置为IP地址。

(14)     在“对等体存活检测（DPD）”配置项处，选择是否开启对等体存活检测功能。该功能可用于检测对端是否存活，设备将拆除对端失活的IPsec隧道。建议您开启此功能，使设备能够及时获悉IPsec隧道的可用情况。

(15)     在“算法组合”配置项处，选择IKE协议交互所需的加密和认证算法。您可选择推荐的算法组合亦可自定义认证算法、加密算法和PFS算法。

IPsec隧道的两端所配置的认证算法、加密算法和PFS算法必须一致。

(16)     在“SA生存时间”配置项处，输入IKE重新协商的时间间隔，超过所配时间将触发IKE相关参数的重新协商。

图1-7 高级配置-IKE配置

IPsec高级配置

如您需要改变设备的缺省IPsec高级配置，可按如下方式进行配置。

(17)     按上述方式完成IPsec基本配置。

(18)     单击“IPsec配置”页签，进入IPsec配置页面。

(19)     在“算法组合”配置项处，选择IPsec协议交互使用的安全协议以及相应的加密和认证算法。您可选择推荐的算法组合亦可自定义安全协议、认证算法、加密算法、封装模式和PFS算法。

若IPsec本端受保护网段与对端受保护网段均为私网网段，建议您选择封装模式为隧道模式。

IPsec隧道的两端所配置的安全协议、认证算法、加密算法、封装模式和PFS算法必须一致。

(20)     在“基于时间的SA生存时间”配置项处，输入触发IPsec重新协商的时间间隔，超过所配时间将触发IPsec相关参数的重新协商。

(21)     在“基于流量的生存时间”配置项处，输入触发IPsec重新协商的流量大小，超过所配流量将触发IPsec相关参数的重新协商。

(22)     点击<返回基本配置>按钮，返回添加IPsec策略页面。

(23)     点击<确定>按钮，完成配置。

图1-8 高级配置-IPsec配置

1.1.4  监控信息

1. 配置步骤

(1)     单击导航树中[虚拟专网(VPN)/IPsec VPN]菜单项，进入IPsec VPN配置页面。

(2)     单击“监控信息”页签，进入监控信息页面。

图1-9 监控信息

1.2  L2TP服务器端

1.2.1  简介

本功能主要用于配置L2TP服务器端基本参数，开启L2TP服务。

如果您希望为企业驻外机构和出差人员等远端用户，提供一种安全且经济的方式，让他们能够与企业内部网络通信，访问企业内部网络资源，那么您可以通过配置L2TP服务器端来实现上述需求。

L2TP服务器端是具有PPP和L2TP协议处理能力的设备，通常位于企业内部网络的边缘。

1.2.2  配置L2TP服务端

1. 配置步骤

(1)     单击导航树中[虚拟专网/L2TP服务器端]菜单项，进入L2TP服务器端页面。

(2)     单击“L2TP配置”页签，进入L2TP配置页面。

(3)     在“L2TP服务器端”配置项处，选择“开启”选项，开启L2TP服务。

图1-10 L2TP服务器端-L2TP配置

(4)     点击<添加>按钮，进入新建L2TP组页面。

(5)     在“L2TP配置”下，设置L2TP隧道参数：

¡     根据需要决定是否勾选“对端隧道名称”，如勾选，则在配置项处输入L2TP客户端的隧道名称。

¡     在“本端隧道名称”配置项处，输入L2TP服务器端的隧道名称。

¡     在“隧道验证”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则需在“隧道验证密码”配置项处，输入验证密码。该方式更加安全，但需要L2TP服务器端和L2TP客户端都启用隧道验证，且密码一致。

-     如选择“禁用”，则表示L2TP服务器端和L2TP客户端在建立隧道时无需验证。

(6)     在“PPP认证配置”下的“PPP认证方式”配置项处，根据需要选择认证方式为“None”、“PAP”或“CHAP”。

¡     如选择“None”，则表示对用户免认证。该方式，安全性最低，请谨慎使用。

¡     如选择“PAP”，则表示采用两次握手机制对用户进行认证。该方式，安全性中。

¡     如选择“CHAP”，则表示采用三次握手机制对用户进行认证。该方式，安全性最高。

(7)     在“PPP地址配置”下，设置PPP地址参数：

¡     在“虚拟模板接口地址”配置项处，输入虚拟模板接口的IP地址，使L2TP服务器端具有为L2TP客户端或用户分配IP地址的能力。

¡     在“子网掩码”配置项处，输入虚拟模板接口IP地址的子网掩码。

¡     在“用户地址池”配置项处，输入用于分配给L2TP客户端或用户的IP地址。

(8)     在“LNS用户管理”下根据提示添加指定接入的PPP用户。

(9)     点击<显示高级设置>按钮，展开高级配置页面。

(10)     在“高级配置”下，设置高级配置参数：

¡     在“Hello报文间隔”配置项处，输入保活报文的时间间隔。

¡     在“流量控制”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则表示在L2TP数据报文的接收与发送过程中，基于报文中携带的序列号来检测是存在否丢包，并根据序列号对乱序报文进行排序，提高L2TP数据报文传输的正确性和可靠性。在L2TP服务器端和L2TP客户端中的任意一端启用流量控制，该功能即可生效。

-     如选择“禁用”，则表示不对报文进行检测及排序。

¡     在“强制本端CHAP认证”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则表示在L2TP客户端对用户进行验证后，再由L2TP服务器端采用CHAP方式对用户进行二次认证，增强安全性。启用强制CHAP认证时，PPP认证方式必须选择为“CHAP”。

-     如选择“禁用”，则表示不在L2TP服务器端对用户进行强制CHAP验证。对于不支持进行第二次CHAP认证的用户，建议禁用本功能。

¡     在“强制LCP重协商”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则表示在L2TP客户端对用户进行验证后，再由L2TP服务器端采用LCP重协商方式对用户进行二次LCP协商及认证，增强安全性。如果同时启用了强制LCP重协商和强制CHAP认证，则仅强制LCP重协商生效。

-     如选择“禁用”，则表示不在L2TP服务器端与用户进行强制LCP重协商。对于不支持LCP协商的用户，建议禁用本功能。

(11)     点击<确定>按钮，完成配置。

图1-11 新建L2TP组

1.2.3  修改L2TP配置

1. 配置步骤

(1)     单击导航树中[虚拟专网/L2TP服务器端]菜单项，进入L2TP服务器端页面。

(2)     单击“L2TP配置”页签，进入L2TP配置页面。

(3)     点击操作栏下的<修改>按钮，进入修改L2TP组页面。

(4)     在该页面根据实际需要完成相关修改后，点击<确定>按钮，完成修改操作。

图1-12 修改L2TP组

1.2.4  删除L2TP组

1. 配置步骤

(1)     单击导航树中[虚拟专网/L2TP服务器端]菜单项，进入L2TP服务器端页面。

(2)     单击“L2TP配置”页签，进入L2TP配置页面。

¡     点击操作栏下的<删除>按钮，可删除当前L2TP配置项。

¡     在“L2TP组号”列，勾选多个待删除的“L2TP配置”项，点击右上角<删除>按钮，可以一次性删除多个L2TP配置项。

(3)     点击<删除>按钮后，在弹出的“确认提示”对话框中，点击<是>按钮，完成删除操作。

图1-13 删除L2TP组

1.2.5  查看隧道信息

1. 配置步骤

(1)     单击导航树中[虚拟专网/L2TP服务器端]菜单项，进入L2TP服务器端页面。

(2)     单击“隧道信息”页签，进入隧道信息页面，可查看当前设备作为L2TP服务端时隧道的信息。

图1-14 L2TP服务器端-隧道信息

1.2.6  删除隧道信息

1. 配置步骤

(1)     单击导航树中[虚拟专网/L2TP服务器端]菜单项，进入L2TP服务器端页面。

(2)     单击“隧道信息”页签，进入隧道信息页面。

(3)     删除L2TP隧道有如下方式：

¡     删除单个隧道：在列表中点击待删除隧道对应操作列的<删除>按钮，在弹出的确认提示对话框中，点击<是>按钮，完成删除操作。

¡     一次性删除多个隧道：在列表中勾选多个待删除的隧道后，点击右上方的<删除>按钮，在弹出的确认提示对话框中，点击<是>按钮，完成删除操作。

图1-15 删除L2TP隧道

1.3  L2TP客户端

1.3.1  简介

本功能主要用于配置L2TP客户端基本参数，开启L2TP服务。

如果您希望为企业驻外机构，提供一种安全且经济的方式，让他们能够与企业内部网络通信，访问企业内部网络资源，那么您可以通过配置L2TP服务器端来实现上述需求。

L2TP客户端是具有PPP和L2TP协议处理能力的设备，通常位于企业驻外机构网络的出口。

1.3.2  配置L2TP客户端

1. 配置步骤

(1)     单击导航树中[虚拟专网/L2TP客户端]菜单项，进入L2TP客户端页面。

(2)     单击“L2TP配置”页签，进入L2TP配置页面。

(3)     在“L2TP客户端”配置项处，选择“开启”选项，开启L2TP服务。

图1-16 L2TP客户端-L2TP配置

(4)     点击<添加>按钮，进入新建L2TP组页面。

(5)     在“L2TP配置”下，设置L2TP隧道参数：

¡     在“本端隧道名称”配置项处，输入L2TP客户端的隧道名称。

¡     在“地址获取方式”配置项处，根据实际需要选择“静态”或“动态”选项。

-     若选择“静态”，则需在“静态IP地址”配置处，为虚拟PPP接口手工配置一个IP地址；

-     若选择“动态”，则由LNS端为虚拟PPP接口动态分配IP地址。

¡     在“隧道验证”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则需在“隧道验证密码”配置项处，输入验证密码。该方式更加安全，但需要L2TP服务器端和L2TP客户端都启用隧道验证，且密码一致。

-     如选择“禁用”，则表示L2TP服务器端和L2TP客户端在建立隧道时无需验证。

(6)     在“PPP认证配置”下的“PPP认证方式”配置项处，，根据需要选择认证方式为“None”、“PAP”或“CHAP”。

¡     如选择“None”，则表示对用户免认证。该方式，安全性最低，请谨慎使用。

¡     如选择“PAP”，则表示采用两次握手机制对用户进行认证。该方式，安全性中。

¡     如选择“CHAP”，则表示采用三次握手机制对用户进行认证。该方式，安全性最高。

(7)     在“L2TP服务器端配置”下的“L2TP服务器端地址”配置项处，输入L2TP服务器端的IP地址。

(8)     在“高级配置”下，设置高级配置参数：

¡     在“Hello报文间隔”配置项处，输入保活报文的时间间隔。

¡     在“流量控制”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则表示在L2TP数据报文的接收与发送过程中，基于报文中携带的序列号来检测是存在否丢包，并根据序列号对乱序报文进行排序，提高L2TP数据报文传输的正确性和可靠性。在L2TP服务器端和L2TP客户端中的任意一端启用流量控制，该功能即可生效。

-     如选择“禁用”，则表示不对报文进行检测及排序。

(9)     点击<确定>按钮，完成配置。

图1-17 新建L2TP组

1.3.3  修改L2TP配置

1. 配置步骤

(1)     单击导航树中[虚拟专网/L2TP客户端]菜单项，进入L2TP客户端页面。

(2)     单击“L2TP配置”页签，进入L2TP配置页面。

(3)     点击操作栏下的<修改>按钮，进入修改L2TP组页面。

(4)     在该页面根据实际需要完成相关修改后，点击<确定>按钮，完成修改操作。

图1-18 修改L2TP组

1.3.4  删除L2TP配置

1. 配置步骤

(1)     单击导航树中[虚拟专网/L2TP客户端]菜单项，进入L2TP客户端页面。

(2)     单击“L2TP配置”页签，进入L2TP配置页面。

¡     点击操作栏下的<删除>按钮，可删除当前L2TP配置项。

¡     在“L2TP组号”列，勾选多个待删除的“L2TP配置”项，点击右上角<删除>按钮，可以一次性删除多个L2TP配置项。

(3)     点击<删除>按钮后，在弹出的“确认提示”对话框中，点击<是>按钮，完成删除操作。

图1-19 删除L2TP组

1.3.5  查看隧道信息

1. 配置步骤

(1)     单击导航树中[虚拟专网/L2TP客户端]菜单项，进入L2TP客户端页面。

(2)     单击“隧道信息”页签，进入隧道信息页面，可查看当前设备作为L2TP客户端时隧道的信息。

图1-20 L2TP客户端-隧道信息

1.3.6  删除隧道信息

1. 配置步骤

(1)     单击导航树中[虚拟专网/L2TP客户端]菜单项，进入L2TP客户端页面。

(2)     单击“隧道信息”页签，进入隧道信息页面。

(3)     删除L2TP隧道有如下方式：

¡     删除单个隧道：在列表中点击待删除隧道对应操作列的<删除>按钮，在弹出的确认提示对话框中，点击<是>按钮，完成删除操作。

¡     一次性删除多个隧道：在列表中勾选多个待删除的隧道后，点击右上方的<删除>按钮，在弹出的确认提示对话框中，点击<是>按钮，完成删除操作。

图1-21 删除L2TP隧道

1.4  EoGRE

1.4.1  简介

EoGRE（Ethernet over GRE，通用路由封装传输以太网报文）协议用来对以太网数据报文进行封装，使这些被封装的数据报文能够在IP网络中传输。封装后的数据报文在网络中传输的路径，称为EoGRE隧道。EoGRE隧道是一个虚拟的点到点的连接，其两端的设备分别对数据报文进行封装及解封装。

EoGRE隧道的模式分为EoGRE隧道模式和UDP封装的EoGRE隧道模式。若二层以太网报文跨三层网络转发且穿越NAT，EoGRE隧道需设置为UDP封装的EoGRE隧道模式，若不穿越NAT，EoGRE隧道需设置为EoGRE隧道模式。

本功能包括配置EoGRE隧道，配置VE-Bridge接口，并监控EoGRE信息。

1.4.2  配置EoGRE隧道

1. 注意事项

创建EoGRE隧道时，设置的隧道模式，在创建完成后，无法修改。

2. 配置步骤

(1)     单击导航树中[虚拟专网/EoGRE]菜单项，进入EoGRE配置页面。

(2)     单击“EoGRE隧道”页签，进入EoGRE隧道配置页面。

图1-22 EoGRE隧道

(3)     点击<添加>按钮，进入新建EoGRE隧道页面。

(4)     设置EoGRE隧道的参数：

a.     在“隧道编号”配置项处，输入EoGRE隧道的编号。

b.     在“隧道源端”配置项处，为隧道源端选择源接口或者设置IP地址。

(5)     在“隧道目的端地址”配置项处，为隧道目的端设置IP地址。

(6)     点击<高级配置>按钮，可为隧道设置模式。

¡     若勾选“UDP封装”选项，将隧道模式设置为UDP封装的EoGRE隧道模式，可根据需要设置UDP端口号。

¡     若不勾选“UDP封装”选项，将隧道模式设置为EoGRE隧道模式。

(7)     点击<确定>按钮，完成EoGRE隧道的创建。

图1-23 新建EoGRE隧道

1.4.3  配置VE-Bridge接口

1. 注意事项

·     为VE-Bridge接口绑定Tunnel接口或者GE接口时，如果选择了已经与其他VE-Bridge接口绑定的Tunnel接口或者GE接口，配置完成后，此Tunnel接口或者GE接口将与之前绑定的VE-Bridge接口解除绑定。

·     为VE-Bridge接口绑定GE接口时，选择的GE接口将只能用于二层报文的转发，此GE接口已配置的其他业务将会失效。

2. 配置步骤

(1)     单击导航树中[虚拟专网/EoGRE]菜单项，进入EoGRE配置页面。

(2)     单击“VE-Bridge接口”页签，进入VE-Bridge接口配置页面。

图1-24 VE-Bridge接口

(3)     点击<添加>按钮，进入新建VE-Bridge接口页面。

(4)     在“接口编号”配置项处，输入VE-Bridge接口的编号。

(5)     在“缺省VLAN”配置项处，为VE-Bridge接口配置缺省的VLAN，即PVID。

(6)     在“链路类型”配置项处，选择接口的链路类型，

¡     若选择“Access”选项，则不需要设置允许通过的VLAN。

¡     若选择“Trunk”选项，则需在“允许通过的VLAN”配置项处，输入允许通过该VE-Bridge接口的VLAN ID。

(7)     在“接口绑定”配置项处，为VE-Bridge接口绑定用于二层转发的接口。

¡     若选择“Tunnel接口”选项，则可以选择已创建的EoGRE隧道接口与该VE-Bridge接口绑定，也可以选择“不绑定”，表示不为VE-Bridge接口绑定EoGRE隧道接口。

¡     若选择“GE口”选项，则可以选择三层接口作与该VE-Bridge接口绑定，也可以选择“不绑定”，表示不为VE-Bridge接口绑定三层接口。

(8)     点击<确定>按钮，完成VE-Bridge接口的创建。

图1-25 新建VE-Bridge接口

1.4.4  查看监控信息

1. 配置步骤

(1)     单击导航树中[虚拟专网/EoGRE]菜单项，进入EoGRE配置页面。

(2)     单击“监控信息”页签，进入监控信息配置页面。

(3)     在EoGRE隧道列表中可以查看EoGRE隧道的编号、状态、源接口/源地址和目的端地址。其中隧道状态分为UP和Down。UP表示隧道能够正常转发报文；Down表示隧道不能转发报文。

图1-26 查看监控信息