SJW07-A工程人员培训指南

SJW07—A 增强型
——电力专用纵向加密认证装置
工程人员指南
SJW07—A 增强型 (1)
1 引言 (3)
1.1 设备简介 (3)
1。

2 预期读者 (4)
1。

3 文档结构 (4)
2 密码机的安装 (4)
2。

1 外观图 (4)
2。

2 前面板示意图 (4)
2。

3 后面板示意图 (4)
2。

4 密码机网线连接 (5)
2.5 配置管理软件安装 (5)
3 工作原理及名词解释 (5)
3。

1 典型应用拓扑 (5)
3。

2 双机互备 (6)
3。

3 安全证书机制 (6)
3.4 密钥体系 (6)
3。

5 人机卡认证 (6)
3.6 远程管理 (7)
3。

7 设备状态说明 (7)
3.8 声光指示 (7)
3.9 旁路模式开关 (7)
4 本地配置 (7)
4.1 初始配置流程 (8)
4。

2 生成设备证书请求 (8)
4。

3 导出设备证书请求 (8)
4。

4 导入根证书 (8)
4。

5 导入操作员证书 (9)
4。

6 导入管理中心证书 (9)
4.7 验证操作员口令 (9)
4.8 配置管理软件登录 (9)
4。

9 配置主菜单 (10)
4.10 智能卡初始化 (10)
4。

11 证书管理 (10)
导入证书 (10)
删除证书 (11)
修改证书名称 (11)
4.12 隧道管理 (11)
添加隧道 (12)
删除隧道 (12)
查询隧道 (12)
重置隧道 (12)
绑定隧道 (13)
解绑隧道 (13)
修改隧道名称 (13)
设置隧道组 (13)
4。

13 策略管理 (13)
添加策略 (14)
查询策略 (14)
修改策略 (14)
删除策略 (14)
4.14 系统配置 (14)
网络配置 (14)
VLAN配置 (15)
设备状态 (16)
互备装置 (16)
杂项配置 (16)
安全管理 (17)
4.15 日志管理 (17)
5 配置实例 (18)
5.1 场景假定 (18)
5.2 安装目标 (18)
A←→B 通信,交换机内侧式 (18)
案例分析 (18)
具体配置 (19)
装置A1上的配置工作。

(19)
装置B1上的配置工作. (21)
A←→C 通信，交换机外侧式 (24)
案例分析 (24)
具体配置 (24)
装置A1上的配置工作 (24)
装置C1上的配置工作 (26)
典型交换机内侧式(甘肃、天津、新疆、青海) (28)
非典型交换机内侧式(东北） (29)
6 工程实用 (29)
6。

1 软件升级 (29)
6。

1.1 阶段一 (29)
6。

1。

2 阶段二 (30)
6.2 软件升级的另外一种方式 (30)
6。

3 签发证书 (31)
6.3.1 工具安装 (31)
6.3.2 签发证书步骤 (31)
6。

4 /proc/ipsec详解 (31)
6.4.1 ipsec说明 (31)
6。

4。

2 ipsec参数说明 (32)
6.5 日志文件说明 (32)
6.6 隧道状态说明 (33)
6。

7 状态异常 (33)
6。

7.1 硬件故障 (33)
6.7。

2 密钥丢失 (33)
6。

8 隧道组 (34)
6.8。

1 绑定/解绑 (34)
6。

8 隧道的工作模式及变换 (34)
6.9 调试 (35)
6.9。

1 初期ping通信测试 (35)
6.9。

2 密通测试 (36)
6。

10 工程问题 (36)
6。

10。

1如何根据网络拓扑判断配置模式 (36)
6.10。

2 工程中配置的问题 (36)
6。

10.3 调试工具、方法 (37)
附录 1 (38)
1 引言
1.1设备简介
SJW07-A 网络密码机（以下简称SJW07—A)用于实现在IP网络上的数据加密传输，用于商用密码领域。

通过SJW07—A可在公网(如Internet 或其他商业性网络）之上构造安全的VPN系统。

SJW07-A主要应用于全国电力二次系统,基于全国电力调度数据网络构建安全VPN，为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。

SJW07—A在电力系统中的专用称谓是“电力专用纵向加密认证装置（简称装置）”，除非做特别说明,本文不区分SJW07-A和装置。

1.2预期读者
本手册对SJW07-A的功能、使用方法及日常维护做了详细的介绍、并根据工程实例对装置的功能和用途作了进一步说明，读者可以根据。

预期读者是SJW07-A的使用和维护人员，请相关人员在使用或维护装置前认真阅读本手册。

读者在进行密码机配置的前期首先要掌握以下几种知识：
●简单的linux 系统的操作，比如cp、mv、cd、ls、rm、cat、more等命令
●常用的网络命令ftp、telnet等
●简单的网络知识，比如路由、子网掩码、VLAN等概念.
●简单路由器、交换机的配置。

如何在路由器、交换机查看配置、抓包、ping等操作。

1.3文档结构
为了能够更快的了解本手册的内容，现将手册的基本结构介绍如下：
第一章：引言
简述SJW07—A网络密码机的适用领域及本手册的基本结构。

第二章：安装
介绍如何安装SJW07-A的软硬件。

第三章：工作原理及名词解释
第三章：本地配置
2 密码机的安装
2.1外观图
2.2前面板示意图
图错误!未定义书签。

SJW07—A前面板示意图
2.3后面板示意图
图 1 SJW07-A后面板示意图
2.4密码机网线连接
装置通过10BaseT/100BaseTX RJ45以太网口与路由器、交换机或集线器等网络设备相连。

装置的外网口与外部网相连,内网口与内部网相连,心跳口用于双机互备.
将随机附带的非屏蔽五类直通/交叉网线一端连接到装置的外/内网口，另一端连接到路由器、交换机或集线器的以太网口。

设置为双机互备的两台装置必须用随机附带非屏蔽五类交叉网线将心跳口连接起来。

2.5配置管理软件安装
操作员可以使用随机光盘中附带的配置管理软件在WINDOWS PC上对装置进行配置管理。

配置管理软件的安装步骤如下:
首先执行随机光盘中的安装文件：加密机配置管理。

exe,弹出安装对话框，如图：点击下一步弹出选择安装目录对话框，如图：
点击下一步弹出快捷方式对话框,如图：
点击下一步弹出安装对话框,点击安装按钮,安装结束。

在桌面上会有一个配置终端的快捷方式，点击快捷方式即可进入配置终端软件.
3 工作原理及名词解释
3.1典型应用拓扑
上图为SJW07-A网络密码机的典型应用拓扑：
每一个局域网根据具体情况可在由一到两台装置保护下,同其它局域网互联；从而使整个系统成为一个安全的VPN系统。

装置证书服务系统采用离线方式工作，不与广域网相连。

装置管理中心直接与各装置通信，实现对全系统装置的集中管理。

3.2双机互备
当局域网中配备两台SJW07-A网络密码机时，可将装置配置成双机互备。

即当主装置发生故障时，能够快速将认证和加密传输处理工作切换至备装置中，保障通信连续性。

推荐每个局域网中配备两台SJW07-A网络密码机，并把装置配置成双机互备，以提高系统可用性。

3.3安全证书机制
证书采用X。

509格式,共有4类，分别为根证书、管理中心证书、对端装置设备证书（简称对机证书)、操作员证书.装置证书服务系统采用离线方式工作，所有证书均由装置证书服务系统统一签发。

根证书:用于验证其它证书的有效性。

管理中心证书：用于与管理中心通信。

操作员证书:用于人机卡认证。

对机证书：用于与其它装置同步工作密钥，与IP地址绑定。

3.4密钥体系
SJW07-A网络密码机采用三级密钥：主密钥、设备密钥、工作密钥.
主密钥：由装置硬件噪声源随机生成，存储在装置内部；又称保护密钥，负责加密保护装置中所有的密钥。

设备私钥：设备公私钥对由装置的密码模块产生,设备私钥被主密钥加密后存储在装置内部。

设备公钥以证书请求方式导出，由装置证书服务系统签发成设备证书并发布.
工作密钥：工作密钥由装置在工作时产生，不需要保存，动态更新。

装置具有开壳毁钥功能,当装置检测机箱顶盖到被非法打开后，则立即销毁主密钥和设备密钥。

3.5人机卡认证
在登录进入装置配置界面时，会进行操作员口令、操作员卡和装置之间的交叉认证,认
证通过后才能对装置进行配置。

3.6远程管理
装置安装管理中心证书后，装置管理中心可直接与装置通信，对其进行远程配置和监控。

远程管理中心是其他厂商开发的,一个地方可能有多个管理中心，多个管理中心在装置界定是根据管理中心的IP地址进行区别的。

3.7设备状态说明
装置共有两种状态：初始态和工作态。

这两种状态在一定的条件下相互转换，状态转换时需要重新启动装置。

初始态:装置出厂时，默认为该状态。

处于初始态时需要用户通过配置终端做一些初始配置。

工作态：初始配置结束后，装置正常的工作状态。

3.8声光指示
装置在工作的过程中，通过前面板指示灯和蜂鸣器的不同组合实现声光指示。

正常情况下，显示装置的状态;当装置出现故障时,声光告警，提示用户.
装置状态表参见附录1。

3.9旁路模式开关
旁路模式开关为按钮开关,有2种状态：旁路模式和工作模式。

4 本地配置
SJW07—A网络密码机采用图形化配置界面，具有友好、便捷等优点.在PC机上运行配置管理软件前,请用配置电缆连接PC和装置(参见“配置电缆连接”）.软件正常运行后，会根据装置的当前状态，显示不同的用户界面。

具体见使用说明书。

4.1初始配置流程
当装置处在出厂态和初始态时，采用向导式初始化流程，方便用户完成装置的初始配置。

4.2生成设备证书请求
图2“生成设备证书请求”对话框
装置处于出厂态时,运行配置管理软件，执行初始化向导。

第一步弹出“生成设备证书请求”对话框,如上图所示。

功能：随机生成主密钥、产生设备密钥，根据输入的证书信息生成设备证书请求.
操作：用户先填写证书信息，包括省、直辖市、组织、部门、名称和Email.点击按钮“生成证书”。

提示：操作时间较长，大约需要等待10秒钟。

填写证书信息时请注意，组织和部门都必须是大写的“GDD"。

4.3导出设备证书请求
产生证书请求后，点击按钮“下一步"，弹出“导出设备证书请求”对话框,如下图所示。

图错误!未定义书签。

“导出设备证书请求”对话框
功能：将生成的证书请求以文件形式导出到PC机上。

操作：“选择”保存的文件名称,点击按钮“导出证书请求”。

导出证书请求成功后，提示重启装置,配置管理软件自动关闭。

提示:证书请求采用X.509格式，使用BASE—64编码。

4.4导入根证书
装置重新启动后,进入初始态,再次运行配置管理软件。

第一步弹出“导入根证书”对话框，如下图所示。

图3“导入根证书”对话框
功能：将根证书导入装置中。

操作：选择证书名称和证书编码，点击按钮“导入证书”。

提示：导入前必须确认证书编码格式。

4.5导入操作员证书
导入根证书成功后，点击按钮“下一步”，弹出“导入操作员证书”对话框，如下图所示。

图错误!未定义书签。

“导入操作员证书"对话框
功能：将操作员证书导入装置中,使用根证书验证该证书的有效性.
操作：选择证书名称和证书编码,点击按钮“导入证书”。

4.6导入管理中心证书
操作员证书导入成功后,点击按钮“下一步”，弹出“导入管理中心证书”对话框，如下图所示。

图4“导入管理中心证书”对话框
功能：将管理中心证书导入装置，并用根证书验证该证书的有效性。

操作：选择证书名称和证书编码，点击按钮“导入证书”.
管理中心证书是可选择安装的,如用户不安装该证书，可点击按钮“跳过”.
4.7验证操作员口令
图错误!未定义书签。

“验证操作员口令"对话框
在“管理中心证书”对话框，点击按钮“下一步”或“跳过”，都会弹出“验证操作员口令”对话框，如上图所示。

功能：执行人机卡认证，对操作员口令、操作员卡、操作员证书进行交叉认证。

操作：插入操作员卡，输入口令，点击按钮“验证"。

验证通过后，重启装置,配置管理软件自动关闭。

提示：操作员口令和操作员卡由管理中心下发。

4.8配置管理软件登录
初始配置结束后，装置进入工作态.运行配置管理软件后运行后弹出登录对话框，如下图所示.
图错误!未定义书签。

“登录”对话框
功能：执行人机卡认证，对操作员口令、操作员卡、操作员证书进行交叉认证。

操作：插入操作员卡，输入口令，点击按钮“验证”.
4.9配置主菜单
登录成功后，SJW07-A网络装置配置管理主菜单，如下图所示.
图 5 SJW07—A网络密码机配置管理主菜单
主菜单展示了装置的参数列表和隧道状态，双击参数列表中的某个参数，可以进入相关参数的配置对话框。

配置终端提供两个快捷键可以快速使用相应功能。

F5：手工刷新参数列表.(注:为了不影响软件运行速度当所有参数刷新被选中时，所有参数才全部进行刷新，如果不选只有必要参数才会进行刷新）
F6：弹出命令行对话框.
注：1、以上快捷键也可从菜单栏中操作的下拉框进行选择。

2、状态栏中的日期、时间为装置中的日期和时间,时间大约1分钟更新一次。

4.10智能卡初始化
在主菜单中选择“智能卡初始化”，弹出操作员证书请求对话框,插入智能卡，填写证书信息,点击确定,生成操作员证书请求。

4.11证书管理
在主菜单中选择“证书管理”，弹出证书管理对话框,共有两个选项卡:导入证书、证书管理。

主要功能包括导入证书、查询证书列表、查询证书内容和删除证书.
导入证书
“导入证书”选项卡如下图所示。

图错误!未定义书签。

“导入证书"选项卡
功能：将各类证书导入到装置中，包括操作员证书、CA证书、管理中心证书、对机证书、纵向认证设备证书。

操作:选择证书类型、IP地址、证书名称和证书编码，点击按钮“导入证书”。

提示：IP地址只对“对机证书”有效,对其它类型证书无效。

证书管理
“证书管理”选项卡如下图所示。

图6“证书管理”选项卡
功能：查询装置的证书列表和证书详细内容。

操作：右侧“证书列表"自动更新；在“证书列表"中选择证书名称后,点击按钮“查询证书内容”.
提示：双击证书名称，也可查询证书内容。

删除证书
功能：删除装置存储的证书，该操作集成在证书管理"选项卡中.
操作：在“证书列表"中选择证书名称后,点击按钮“删除证书”。

提示：每次操作只能删除一个证书。

用户只能删除“对机证书”,其它类型的证书采用覆盖方式导入。

修改证书名称
功能:修改装置存储的证书的名称，该操作集成在证书管理”选项卡中。

操作：在“证书列表”中选择证书名称后，点击按钮“修改证书名称”。

在弹出的对话框中输入一个合法的IP地址。

提示：用户只能修改“对机证书”的名称。

对机证书都是以对机的IP地址作为其名称的.
4.12隧道管理
在主菜单中选择“隧道管理”，弹出隧道管理对话框。

主要功能包括添加隧道、删除隧道、查询隧道、重置隧道、绑定隧道和解绑隧道，修改隧道名称，设定隧道组。

隧道管理对话框如下图所示。

图7“隧道管理"对话框
功能：建立同远端装置通信的隧道，该功能集成在“隧道管理”对话框中。

如果要启用隧道绑定VLAN的功能，必须在添加隧道之前设置好VLAN，请参考“VLAN配置"。

操作：在左侧“证书列表”中选择证书文件;
如果要启用隧道绑定VLAN的功能,必须选中复选框“绑定VLAN”，同时选定一个VLAN ID；
最后，设置隧道工作模式，点击按钮“添加隧道”,然后弹出添加隧道名称的对话框如下图,填写隧道名称.
提示:每次操作只能添加一条隧道。

隧道添加成功后,在中间“隧道列表”中,显示隧道的相关信息。

删除隧道
功能：删除已建立的隧道，该功能集成在“隧道管理”对话框中.
操作：在隧道列表中，选择隧道的IP地址，点击按钮“删除隧道”。

提示:每次操作只能删除一条隧道。

查询隧道
功能：查询装置中已有的隧道列表,该功能集成在“隧道管理"对话框中。

操作：点击按钮“查询隧道”。

重置隧道
功能：装置中对应的隧道将被重置,重新协商工作密钥；该功能集成在“隧道管理”对话框中.
操作:在隧道列表中，选择隧道的IP地址，点击按钮“重置隧道”.
提示：每次操作只能重置一条隧道。

功能：将两条隧道绑定在一起，两条隧道所对应的证书不同，但策略相同，用于双机热备；该功能集成在“隧道管理”对话框中。

操作：在隧道列表中，选择需要绑定的两条隧道,点击按钮“绑定隧道"。

解绑隧道
功能:将两条已绑定的隧道解绑，解绑后两条隧道的策略仍然相同，用户需要重新配置。

该功能集成在“隧道管理”对话框中.
操作：在隧道列表中，选择绑定的任意一条隧道，点击按钮“解绑隧道”。

修改隧道名称
功能:修改已有隧道的名称。

操作：在隧道列表中，选择要修改的一个隧道,点击按钮“修改隧道名称",弹出对话框输入新的隧道名称。

如图:
设置隧道组
功能：设置已有隧道的隧道组。

操作：在隧道列表中，选择要修改的一个隧道或一组隧道,点击按钮“设定隧道组"，弹出隧道组维护对话框.如图：
说明：
⏹随机产生组ID一般为新生成一个隧道组使用。

⏹设定组ID一般为修改隧道组ID使用。

⏹取消组设定一般为删除隧道组使用
4.13策略管理
在主菜单中选择“策略管理”，弹出策略管理对话框。

主要功能包括添加策略、删除策
略、查询策略和修改策略。

策略管理对话框如下图所示。

图错误!未定义书签。

“策略管理”对话框
添加策略
功能：为选定的隧道配置策略，每条策略包括源地址（范围)、目的地址（范围）、方向、协议、工作模式、源端口（范围)和目的端口（范围）;该功能集成在“策略管理”对话框中.
操作：在左侧“隧道列表”选择隧道，输入策略信息，点击按钮“添加策略”。

查询策略
功能：查询选定隧道对应的所有策略,该功能集成在“策略管理”对话框中。

操作：在“隧道列表”选择隧道，点击按钮“查询策略"。

修改策略
功能：修改策略信息，该功能集成在“策略管理"对话框中。

操作：在右侧“策略列表"选择策略号，修改策略信息；点击按钮“修改策略"。

删除策略
功能：删除策略，该功能集成在“策略管理”对话框中。

操作：在右侧“策略列表”选择策略号，点击按钮“删除策略”.
4.14系统配置
在主菜单中选择“系统配置”，弹出系统配置对话框.主要功能包括网络配置、设备状态、互备装置、杂项配置和安全管理.
网络配置
“网络配置”选项卡如下图所示.
图8“网络配置"选项卡
功能：配置网络相关的参数,包括IP地址、掩码、网关和路由。

操作：选择启用框后，第1路和第2路的设置才可执行.填入IP地址和掩码，点击按钮“设置IP地址”可设置装置的IP地址;填入网关、选择路由类型,点击按钮“设置路由表”，可设置装置路由表；填入网关、选择路由类型，点击按钮“删除路由表”,可将该路由从装置路由表中删除。

提示：“选项卡"下方的“路由表”显示当前装置的路由表信息。

启用NATIP地址后，NA TIP地址设置才能生效.
VLAN配置
在主窗口中，点击按钮“所属VLAN”标签右侧的按钮“设置”，弹出VLAN配置对话框。

如下图所示：
图错误!未定义书签。

“VLAN配置”对话框
功能:配置VLAN相关的参数，包括子网地址、子网掩码、外出（路由器）的IP地址和进入（交换机）的IP地址。

操作：添加VLAN。

过程如下:
选中复选框“启用VLAN”；
填写VLAN ID;如果这个VLAN ID是用户所有VLAN中最小的那个VLAN ID，请选中复选框“装置属于该VLAN”；
在“子网地址”里填入写一个IP地址,这个IP地址必须是分配给装置的IP地址；填入一个子网掩码；
如果“网络配置"时选中了复选框“启用虚拟IP地址”，就必须填写外出（路由器）的IP地址和进入（交换机）的IP地址。

点击按钮“添加”,完成一个VLAN的添加.重复上述过程添加所有VLAN。

删除VLAN。

过程如下:
在下方的列表框中选中一个VLAN，点击按钮“删除"就可以删除一个VLAN.
提示:复选框“装置属于该VLAN”与最小的那个VLAN ID对应，必需且只需选中一次.选中启用ARP后，该VLAN会自动启用ARP代理。

设备状态
“设备状态"选项卡如下图所示。

图错误!未定义书签。

“设备状态”选项卡
功能：查询装置当前的各项状态。

操作:点击按钮“查看设备状态"。

提示：在“选项卡"上方的“设备状态列表”将显示装置的各项信息
互备装置
“互备装置”选项卡如下图所示。

图9“互备装置”选项卡
功能：查询和配置装置的双机互备参数;当装置处于互备状态时，才需要设置装置的主备参数.
操作：选择装置的互备参数：“单机”或“双机互备”,然后点击右侧的“设置”按钮；当选择的是“双机互备”时,还可以进一步选择装置的互备角色：“主装置”或“备装置"，然后点击右侧的“设置"按钮。

提示:“选项卡”下方的“信息列表”会显示操作结果和当前装置的互备参数。

选中主备切换标志后，主、备机正常启动后,备机网口不会正常工作，当主机不工作时,备机才能正常工作。

杂项配置
“杂项装置”选项卡如下图所示。

图错误!未定义书签。

“杂项配置”选项卡
功能:配置装置的各项工作参数,包括系统时间、工作模式、生成树协议、是否报警、工作密钥生存期和工作密钥使用次数。

操作:在时间框中填入时间，点击按钮“设置系统时间”；选择工作模式,点击按钮”设置工作模式“；点击“alarm”或“STP”可启用/禁止警报和生成树协议；输入次数，点击按钮“最大加密次数"；输入工作密钥生存周期（小时），点击按钮“设置生存期".
提示：“选项卡”下方的“信息列表”会显示操作结果和当前装置的当前工作参数。

安全管理
“安全管理”选项卡如下图所示。

图错误!未定义书签。

“安全管理”选项卡
功能：包括修改操作员口令,启动和关闭装置，装置自检，软件备份、恢复和更新,恢复出厂设置，备份配置，恢复配置。

操作：输入旧口令和2次新口令,点击按钮“确定"更改操作员口令。

选择重启或关机，点击按钮“确定”重启或关闭装置。

点击按钮“系统自检”，检测装置当前的状态.点击按钮“备份软件”，将装置相关软件备份到本地；点击按钮“恢复软件”，将本地的软件包恢复到装置；点击按钮“软件更新"，以增量的方式将软件更新到装置上。

点击按钮“恢复出厂设置”将装置恢复为出厂态，重新执行初始配置；点击按钮“备份配置”，选中要备份的配置文件，将机器中的配置文件导出到本地；点击按钮“恢复配置”，选中要上传的文件，将本地的配置文件上传到机器中.
提示:“选项卡"下方的“信息列表”显示操作结果和系统状态；更改操作员口令是必须插入操作员卡。

4.15日志管理
“日志管理”对话框如下图所示。

图10“日志管理”对话框
功能：对装置保存的日志进行管理，包括查看日志、备份日志、清空日志。

操作：点击按钮“备份日志”将装置日志备份到本地.点击按钮“清空日志”将装置存储的日志文件清空。

日志采用分页方式查看，点击按钮“查看日志”查看最新的日志文件，通过“上一页”和“下一页”翻页。

提示：日志管理的操作时间比较长，“日志管理"对话框下方的进度条,显示操作的进度。

5 配置实例
下面结合一个实例进行配置说明：
5.1场景假定
●设定节点A和节点B之间要建立加密通信。

●设定节点A和节点C之间要建立加密通信.
●A、B装置的位置已经明确，位于交换机和路由器之间。

●C装置的位置位于交换机和保护通信网关之间。

●交换机和路由器通过互联VLAN901和VLAN904进行互联，这个互联网段的子网
掩码是30位,没有多余的IP地址。

●节点A的两台交换机互为热备。

节点B的两台交换机互为热备。

●节点C的两台装置各自保护一台通信网关,不相互备份.
●数据业务走VLAN901，需要加密，其它业务走VLAN904，不需要加密。

5.2安装目标
A←→B 通信，交换机内侧式
节点A的被保护主机(10.23.4.193、10。

23.4。

194等）与节点B的被保护主机(10.21。

4。

193、10.21.4。

194等）之间可以进行加密通信.
案例分析
由于节点A的局域网交换机互为热备，因此，对于装置A1和A2来说，它们要保护的网段相同，即，都是10.23.4.193、10.23.4。

194等。

节点B同理。

因此，节点A的装置A1与装置B1和B2应各建立一条隧道，这两隧道是互为绑定的主主隧道。

装置A2同理。

反过来，节点B的装置B1、B2也需要建立到节点A的互为绑定的主主隧道.
由于交换机和路由器之间是VLAN TRUNK，因此，装置要启用VLAN功能；。