虚拟网络管理

名称

虚拟网络的名称。

IPsec加密

是否开启IPsec加密功能。使能IPsec加密后，虚拟网络出去的数据报文都进行IPsec加密。在“设计 > 基础网络设计 > 网络设置 > 全局配置”页面可查询IPsec加密参数。

WAN互联

是否开启WAN互联功能。使能WAN互联后，表示可以配置WAN侧数据。

核心

--

选择核心设备，并配置设备的接口号（例如0/0/0）。

VLAN ID

该VLAN用于LAN网络边界网关与WAN网络网关之间二层通信所使用的VLAN。

IP地址

配置VLAN IF接口的IP地址。

网关

--

选择网关设备，并配置设备的接口号（例如0/0/0）。

IP地址

配置VLAN IF接口的IP地址。

核心

网关接口

L2

VLAN ID

该VLAN用于LAN网络边界网关与WAN网络网关之间二层通信所使用的VLAN。

物理接口

核心设备的物理接口号（例如0/0/0）。

IP地址

配置VLAN IF接口的IP地址。

网关

网关接口

L2

VLAN ID

该VLAN用于站点与LAN网络之间二层通信所使用的VLAN。不应与WLAN的VLAN号以及双网关内链路的VLAN号重叠。

系统会根据VLAN ID自动创建VLANIF接口。对于双网关站点，如果CPE设备下行直连L2交换机，为了在LAN侧网络中实现VRRP功能，两台CPE设备必须使用相同VLAN ID的VLANIF接口与LAN侧网络通信。

物理接口

网关的物理接口，参数请参见表5-385。

L3

接口

选择需要添加的接口类型并输入需要添加的接口号（例如0/0/0）。

子接口

是否创建子接口。

VLAN ID

三层子接口的范围为：1-4094。Dot1q Vlan的数值即为子接口的编号。

IP地址

配置VLAN IF接口的IP地址。

信任模式

指定安全域的类型，接口下的LAN网络属于信任域还是非信任域。

高级属性

参数请参见表5-386。

接口

选择需要添加的接口类型并输入需要添加的接口号（例如0/0/0）。

模式

指定以Tag或Untag形式将指定接口加入到VLAN。如果LAN侧设备类型为PC，则需要配置为Untag；其他的情况需要根据实际组网进行配置。仅高级模式支持。

从IP地址

一般情况下，一个接口只需配置一个主IP地址，但在有些特殊情况下需要配置从IP地址。比如，一台CPE通过一个接口连接了一个物理网络，但该物理网络的计算机分别属于2个不同的网络，为了使CPE与物理网络中的所有计算机通信，就需要在该接口上配置一个主IP地址和一个从IP地址。

每个三层接口可以配置一个主IP地址以及最多31个从IP地址。

DHCP

DHCP类型请参见表5-387。

VRRP

仅双网关类型的站点才能配置VRRP，使能VRRP后，两个网关对外体现为一台虚拟设备。请参见表5-388。

ARP代理

选择是否使能ARP代理功能，使能后默认为路由式ARP代理。

当两个站点下的LAN网络属于同一网段，并且均未配置默认网关时，两个LAN网络是无法互通的。通过在两个站点的LAN侧接口上使能路由式ARP代理功能，可实现LAN网络的互通。

MTU

接口最大传输单元。当物理接口类型为xDSL时，不支持配置。

网络层一般要限制每次发送数据包的最大长度。任何时候网络层接收到一份要发送的IP数据包时，它要判断向本地哪个接口发送数据，并查询该接口获得其最大传输单元MTU（Maximum Transmission Unit）。网络层把MTU值与要发送的IP数据包长度进行比较，如果IP数据包的长度比MTU值大，那么IP数据包就需要进行分片，分片后的数据包长度小于等于MTU。

• 由于QoS队列长度有限，如果MTU配置过小而报文尺寸较大，可能会造成分片过多，报文被QoS队列丢弃。
• 如果MTU值配置过大，会造成报文的传输速度较慢，甚至会造成报文丢失。

MSS

接口的TCP最大报文段长度。TCP最大报文段长度MSS（Max Segment Size）是TCP协议里面定义的一个选项，表示可以被对端设备接收的最大TCP报文段的长度。通信双方在建立TCP连接时会协商出MSS值，以确定TCP报文段的最大数据长度。这样，当对端发送的TCP报文段的长度超过协商出来的MSS，报文会进行分片处理。

Relay

服务器IP

DHCP中继所代理的DHCP服务器的IP地址。每个使能中继功能的接口最多可配置8个DHCP服务器的IP地址。

Server

地址分配范围

• 主IP网段：DHCP Server分配接口地址池中的IP地址段给Client。
• 主从IP网段：DHCP Server分配全局地址池中的IP地址段给Client。

Exclude IP

DHCP服务器地址池中不参与自动分配的IP地址范围。DHCP地址池即“IP地址”和“从IP地址”定义的地址段，其中部分IP地址需要保留给其他用途，有些IP地址被静态长期分配给某些特定主机（例如WWW服务器）后就不能再进行自动分配，DHCP服务器可以设置“Exclude IP”排除接口地址池中不参与自动分配的IP地址或IP地址范围。可设定全局地址池中不参与自动分配的IP地址或IP地址范围。

域名

分配给DHCP客户端的DNS域名后缀。DHCP Server在给Client分配IP地址的同时，也将域名后缀发送给Client。

租约时间

DHCP服务器接口地址池中IP地址的租用有效期限。

DNS server

通过选择DNS组（DNS组在全局配置的“DNS服务器IP”中配置），指定分配给DHCP客户端的DNS服务器IP。设备通过DHCP响应报文携带该地址知会客户端。

选项

如果“选项”为“[44] Wins/Netbios server”和“[150]TFTP server”，则“值”要输入服务器的IP地址。

如果“选项”为“[184]Voice option”，则“值”要输入以下四种类型的IP地址。

• as-ip：备份网络呼叫处理器IP地址。
• fail-over：fail-over的IP地址。
• ncp-ip：网络呼叫处理器IP地址。
• voice-vlan：voice-vlan的VLAN编号。

静态绑定

“IP地址”：静态分配给DHCP客户端的IP地址。

“MAC地址”：与IP地址静态绑定的客户端MAC地址。

VRRP ID

指定VRRP备份组号，两个网关需设置为同一组号。

虚拟IP

虚拟设备的IP地址，两个网关需设置相同的虚拟IP。

默认角色

指定设备为“Master”或者“Backup”。

正常情况下，流量通过Master设备转发，当Master设备故障时，迅速切换至Backup设备继续承担流量转发，实现了网关冗余备份。

抢占延迟（s）

设置Master或Backup抢占延迟的时间。

在配置VRRP备份组内各设备的延迟方式时，建议将Backup配置为立即抢占，即不延迟（延迟时间为0），而为Master配置60秒以上的抢占延迟时间。这样配置的目的是为了在网络环境不稳定时，在上下行链路的状态恢复一致性期间等待一定时间，避免由于双方频繁抢占导致用户设备学习到错误的Master设备地址而导致流量中断。

在某些异常场景下如Master设备重启这样的故障场景，需要较长时间才能使业务恢复，建议将抢占延迟时间根据实际情况设置得更多一些，如180秒及以上。

Track

Track

配置是否使能VRRP与BFD的联动以实现主备网关间的快速切换。

对端IP

对端设备的IP。

源IP

本端设备的IP。

己方描述符

指定BFD本端标识符，取值范围为1~8191。

对方描述符

指定BFD对端标识符，取值范围为1~8191。

检测周期

链路故障检测周期，取值范围为10~2000s。

优先级方式

根据选择优先级方式为“Increased”或“Reduced”来切换主备网关。

优先级

配置升高或降低的优先级。

配置的优先级降低值必须确保优先级降低后Master设备的优先级低于Backup设备的优先级，以触发主备切换。

设备

选择网关设备作为WLAN的配置对象。

SSID

设置WLAN的标识，服务集标识符SSID。

频段

选择WLAN的射频信号所使用的频段，频段可以是2.4G或5G。

VLAN ID

选择WLAN的VLAN号。不应与二层接口的VLAN号以及双网关内链路的VLAN号重叠。

接口IP地址

配置VLAN IF接口的IP地址。

DHCP

DHCP类型

接口使能DHCP功能后，需要设置DHCP类型。当前支持如下两种：

• Server：将设备作为DHCP服务器，负责为DHCP客户端分配网络参数的设备。
• Relay：将设备作为DHCP的中继，负责转发DHCP服务器和DHCP客户端之间的DHCP报文，协助DHCP服务器向DHCP客户端动态分配网络参数的设备。在企业网络中，如果需要规划较多网段，且网段中的终端都需要通过DHCP自动获取IP地址等网络参数时，可以部署DHCP中继。这样，不同网段的终端可以共用一个DHCP服务器，节省了服务器资源，方便统一管理。

Relay

服务器IP

DHCP中继所代理的DHCP服务器的IP地址。每个使能中继功能的接口最多可配置8个DHCP服务器的IP地址。

Server

Exclude IP

DHCP服务器地址池中不参与自动分配的IP地址范围。DHCP地址池即“IP地址”和“从IP地址”定义的地址段，其中部分IP地址需要保留给其他用途，有些IP地址被静态长期分配给某些特定主机（例如WWW服务器）后就不能再进行自动分配，DHCP服务器可以设置“Exclude IP”排除接口地址池中不参与自动分配的IP地址或IP地址范围。可设定全局地址池中不参与自动分配的IP地址或IP地址范围。

域名

分配给DHCP客户端的DNS域名后缀。DHCP Server在给Client分配IP地址的同时，也将域名后缀发送给Client。

租约时间

DHCP服务器接口地址池中IP地址的租用有效期限。

DNS server

通过选择DNS组（DNS组在全局配置的“DNS服务器IP”中配置），指定分配给DHCP客户端的DNS服务器IP。设备通过DHCP响应报文携带该地址知会客户端。

选项

如果“选项”为“[44] Wins/Netbios server”和“[150]TFTP server”，则“值”要输入服务器的IP地址。

如果“选项”为“[184]Voice option”，则“值”要输入以下四种类型的IP地址。

• as-ip：备份网络呼叫处理器IP地址。
• fail-over：fail-over的IP地址。
• ncp-ip：网络呼叫处理器IP地址。
• voice-vlan：voice-vlan的VLAN编号。

静态绑定

“IP地址”：静态分配给DHCP客户端的IP地址。

“MAC地址”：与IP地址静态绑定的客户端MAC地址。

安全认证

加密方法

WPA1：使用WPA（Wi-Fi网络安全存取版本1）认证方式。

WPA2：使用WPA（Wi-Fi网络安全存取版本2）认证方式。

PSK

设置PSK认证的共享密钥。

高级属性

隐藏SSID

使能隐藏SSID的功能后，SSID会被隐藏，新用户将无法搜索到SSID。

最大接入用户数

设置WLAN的最大接入用户数。

下行流量(kbit/s)

设置WLAN的上行流量。

上行流量(kbit/s)

设置WLAN的下行流量。

发射功率等级

设置射频的功率等级。取值越大，表示射频的功率等级越高，射频的发射功率越小。缺省值为0，表示满功率。只有频段选择2.4GHZ时，此参数有效。

信道

设置射频的工作信道，信道基于国家代码和射频模式来进行选择。工作带宽默认为20MHz。只有频段选择2.4GHZ时，此参数有效。

默认路由引入

使能将本地路由表中已存在的缺省路由引入到BGP路由表。

路由引入

设置引入的源路由协议。支持引入静态路由和直连路由。

外部优先级（仅支持AR）

eBGP路由优先级。可以为不同的设备分别配置优先级。对于双网关站点，可为网关指定不同的eBGP路由优先级。

聚合路由（仅支持AR）

将BGP本地路由表中的明细路由进行聚合，并且系统只发布该聚合路由，抑制聚合路由所包含的所有明细路由。可指定多个聚合路由的IP地址及掩码。

设备

选择“互联口配置”中配置的核心设备和网关设备作为BGP路由的配置对象。

对端IP

对端邻居设备的IP。一般是与传统站点建立BGP邻居关系。

对端AS

对端设备的自治域号。

本地AS

本端设备的伪AS号。如果不配置，则默认为全局配置中的AS号。

通常情况下，一个设备只支持一个BGP进程，即只支持一个AS号。但是在某些特殊情况下，例如网络迁移更换AS号的时候来为了保证网络切换的顺利进行，可以为指定对等体设置一个伪AS号。

存活时间

向对等体发送KeepAlive报文的时间间隔。当对等体间建立了BGP连接后，它们定时向对端发送Keepalive消息，以维持BGP连接的有效性。若设备在设定的连接保持时间（Hold time）内未收到对端的Keepalive消息或任何其它类型的报文，则认为此BGP连接已中断，从而退出此BGP连接。

保持时间

超时时间间隔。实际配置时，保持时间至少应为存活时间的3倍。

MD5加密

选择是否在BGP邻居之间使用MD5认证。如使能，需输入密文密码字符串。

路由策略

发布策略

发布

当WAN站点与传统站点互访时，可以通过BGP控制访问路径。

WAN站点与传统站点已经建立邻居关系。用于控制Underlay BGP路由信息的发布，站点只发布想要发布的或者对等体需要的路由，可限制传统站点对WAN站点LAN侧网段的访问。

匹配

类型

仅支持通过IP地址前缀（IP-perfix）进行路由过滤。

IP前缀列表

应用

过滤类型

过滤BGP路由，使指定网段的BGP路由不会通过当前站点发布到Underlay网络中。

• 黑名单：只允许发布“IP前缀列表”中所指定网段以外的BGP路由。
• 白名单：只允许发布“IP前缀列表”中所指定网段的BGP路由。

MED（仅当“过滤类型”为“白名单”时，才需要配置）

修改“IP前缀列表”中的所指定网段的BGP路由的MED值。

MED属性相当于IGP使用的度量值（Metrics），它用于判断流量进入AS时的最佳路由。当一个运行BGP的设备通过不同的EBGP对等体得到目的地址相同但下一跳不同的多条路由时，在其它条件相同的情况下，将优先选择MED值较小者作为最佳路由。

团体（仅当“过滤类型”为“白名单”时，才需要配置）

追加“IP前缀列表”中的所指定网段的BGP路由的团体属性。

团体属性是BGP的私有属性，在BGP对等体之间传播，且不受AS的限制。利用团体属性可以使多个AS中的一组BGP设备共享相同的策略，从而简化路由策略的应用和降低维护管理的难度。

AS Path（仅当“过滤类型”为“白名单”时，才需要配置）

设置“IP前缀列表”中的所指定网段的BGP路由的AS Path。

AS_Path属性按矢量顺序记录了某条路由从本地到目的地址所要经过的所有AS编号。配置不同的AS_Path属性功能，可以实现灵活的路由选路。

接收策略

接收

当WAN站点与传统站点互访时，可以通过BGP控制访问路径。

WAN站点与传统站点已经建立邻居关系。控制Underlay BGP路由信息的接收：站点只接收自己想要接收的路由，限制WAN站点对传统站点LAN侧网段的访问。

匹配

类型

仅支持通过IP地址前缀（IP-perfix）进行路由过滤。

IP前缀列表

应用

过滤类型

过滤BGP路由，使当前站点不会从Underlay网络中接收指定网段的BGP路由。

• 黑名单：只允许接收“IP前缀列表”中所指定网段以外的BGP路由。
• 白名单：只允许接收“IP前缀列表”中所指定网段的BGP路由。

设备

选择“互联口配置”中配置的核心设备和网关设备作为BGP路由的配置对象。

优先级

静态路由的优先级（1～255），数字越小优先级越高。

对于目的相同的多条静态路由，如果配置相同优先级可实现负载分担，如果配置不同优先级可以实现路由备份。

目的网段/掩码

指定静态路由的目的网段和掩码。

下一跳

下一跳类型

为静态路由指定下一跳的类型。

• IP地址
• “black_hole”表示访问该目的网段的报文将被丢弃，比如用于阻隔访问某个Internet网站的报文流量。交换机不支持此参数。

IP地址（仅当“下一跳类型”为“IP地址”时需要配置）

静态路由的下一跳IP地址。

探测（仅当“下一跳类型”为“IP地址”时需要配置）

使能静态路由与NQA测试例联动。

目标

静态路由与NQA联动时仅采用ICMP测试例来检测源端到目的端的路由是否可达。指定NQA测试例的目的地址。

设备

选择“互联口配置”中配置的核心设备和网关设备作为BGP路由的配置对象。

进程ID

OSPF进程号，可以根据业务类型划分不同的进程。

通告默认路由

将缺省路由通告到普通OSPF区域。仅AR设备支持此参数。

默认路由开销

默认路由的开销，整数形式，取值范围是0～16777214。缺省值是1。仅AR设备支持此参数。

内部优先级

OSPF协议路由的优先级，整数形式，取值范围是1～255。仅AR设备支持此参数。

ASE优先级

AS-External路由的优先级。整数形式，取值范围是1～255。仅AR设备支持此参数。

接口参数

区域ID

OSPF区域标识。

接口名称

运行OSPF协议的接口名称。

验证模式

OSPF区域所使用的验证模式，包括简单模式，安全模式和无

Key

接口密文验证的验证字标识符，必须与对端的验证字标识符一致。整数形式，取值范围是1～255。

密码

Hello报文间隔

接口发送Hello报文的时间间隔，整数形式，取值范围是1～65535，单位是秒。

DR优先级

接口在选举DR时的优先级，整数形式，取值范围是0～255。

开销

接口上运行OSPF协议所需的开销，整数形式，取值范围是1～65535。缺省值是1。

路由引入

协议

引入的路由协议类型。可以支持引入静态路由、直连路由和BGP路由。

进程ID

路由协议的进程ID。

开销

引入路由的开销值，整数形式，取值范围是0～16777214。缺省值是1。

路由过滤

发布过滤

策略

过滤OSPF路由，使指定网段的OSPF路由不会通过当前站点发布到LAN侧网络中。

• 黑名单：只允许发布“过滤地址”中所指定网段以外的OSPF路由。
• 白名单：只允许发布“过滤地址”中所指定网段的OSPF路由。

过滤地址

接收过滤

策略

过滤OSPF路由，使当前站点不会从LAN侧网络中接收指定网段的OSPF路由。

• 黑名单：只允许发布“过滤地址”中所指定网段以外的OSPF路由。
• 白名单：只允许接收“过滤地址”中所指定网段的OSPF路由。

过滤地址