1. 简介

eSIX 独有的 VPN 隧道技术可在相同 eSIX 硬件环境下提供比传统 IPSec 更高效、更可靠的隧道连接，性能最高可提升约 30%。该技术的主要优势是与网络和协议无关，并且易于部署。

如示例拓扑所示，设备可以位于不同网络甚至不同地区。端点既可以创建在控制中心，也可以部署在云端；接入的客户端可以是 TAP 设备、VETH 设备或物理设备。通过 4G/5G 等有线或无线网络，IPfiber 隧道可在毫秒级建立虚拟本地局域网，将这些设备桥接起来。

IPfiber 隧道支持三层和二层模式，并具备数据包重传能力。为优化容量和性能，可以在三层模式下建立多条隧道实现负载均衡，也可以在二层模式下用于本地分流。这些隧道还可用于高可用冗余和网络资源优化。所有这些专业配置都可以通过 eSIX 图形界面完成，操作简单直观。

2. 配置步骤

示例拓扑

前期准备

此拓扑要求客户端能够直接与服务器的 WAN 口或 WWAN 口（蜂窝网络接口）通信。

2.1 IPfiber 单链路

Layer 3

创建隧道监听端口

服务器：

在左侧菜单栏进入 IPfiber > Settings > Properties。

在 service port 页面点击 ADD，进入端口添加页面，输入端口号后点击保存。

隧道配置

服务器：

创建隧道用户：

进入 IPfiber > user，点击 ADD 进入隧道用户创建页面。

在图中标记 1 的位置选择本地终端节点。一个隧道对应一个终端节点。

在图中标记 2 的位置填写用于建立隧道的用户名。

在图中标记 3 的位置设置密码。

完成设置后，点击右下角保存。

客户端：

建立隧道：

先在客户端尝试 ping 服务器端的 WAN 口 IP。确认该 IP 可访问后，再按照以下步骤建立隧道。

进入 IPfiber > connection，点击 ADD 进入隧道创建页面。

在图中标记 4 的位置填写隧道名称。

在图中标记 5 的位置选择本地终端节点。

在图中标记 6 的位置填写服务器端的 WAN 口地址。

在图中标记 7 的位置填写服务器监听端口。

在图中标记 8 和 9 的位置填写服务器端终端节点以及对应的用户名。

在图中标记 10 的位置填写服务器用户名对应的密码。

完成所有配置后，点击保存。此时可以看到隧道已经建立，并处于 open/online 状态。

如果服务器 IP 可以访问，端口也确认已开放，但隧道状态仍未上线，请分别在服务器端和客户端进入 network > Firewall，尝试开放防火墙 WAN 区域的入站数据。

服务器与客户端：

在 IPfiber > Settings > interface binding 页面，可以看到系统预设了 16 个终端节点及其虚拟接口。

注意：该页面中的虚拟接口对应 network > interface > devices 页面中名称为 Tap 的网络设备，如下图所示。

名为 IPF00X 的桥接设备是一个包含名为 TAP 的网络设备的虚拟桥，并不是虚拟接口。