华为云用户手册

认证控制点侧的配置思路 认证控制点负责用户接入认证，并与认证服务器进行交互，完成认证、授权、计费。 认证控制点上需要配置认证模板，然后将认证模板绑定到无线终端接入的SSID。认证模板中包含了用户接入认证方式；绑定的RADIUS服务器模板也需要在认证控制点配置，模板中会配置对接的RADIUS服务器参数。无线认证控制点的模板配置、模板与SSID的绑定都需要登录WAC的Web网管进行配置。 无线接入认证采用华为乾坤云平台内置的认证服务器时，华为乾坤云平台需要记录认证控制点、SSID和认证模板的对应关系，在“站点配置”页签配置。 WAC采用随板WAC，认证相关模板也在华为乾坤云平台配置，华为乾坤云平台会向随板WAC下发认证模板配置。

认证服务器侧的配置思路 802.1X认证采用华为乾坤云平台内置的RADIUS服务器组件。整个配置过程如下： 在华为乾坤云平台创建用户组Wireless_Employee_Group，把同一类认证方式的用户放到同一个用户组，方便管理，同时，在该用户组中增加用户账号信息。 创建认证规则Wireless_Employee_Authen，认证方式采用用户接入认证，匹配用户组Wireless_Employee_Group。 创建授权结果。本案例使用系统的缺省授权结果允许接入和拒绝接入。如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则Wireless_Employee_Rule，认证方式采用用户接入认证，匹配用户组Wireless_Employee_Group，关联的授权结果为允许接入。

认证服务器侧的配置思路 Portal认证采用华为乾坤云平台内置的Portal服务器组件。以图中某园区访客终端采用短信验证码方式的Portal认证为例，整个配置过程如下： 配置华为乾坤云平台与短信服务器对接。短信服务器的账号和密码需要租户提前向运营商申请。 在华为乾坤云平台创建用户组Wireless_Guest_Group，把同一类认证方式的用户放到同一个用户组，方便管理。 创建认证规则Wireless_Guest_Authen，认证方式采用用户接入认证，匹配用户组Wireless_Guest_Group，用户数据源在本示例中采用的是短信验证码方式添加的本地数据源。 创建授权结果。本案例使用系统的缺省授权结果允许接入和拒绝接入。如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则Guest_Rule，认证方式采用用户接入认证，匹配用户组Wireless_Guest_Group，关联的授权结果为允许接入。

认证服务器侧的配置思路 本案例在认证服务器侧的配置过程如下： 创建认证规则Wireless_Guest_Authen，认证方式采用用户接入认证，用户数据源在本示例中采用的是短信验证码方式添加的本地数据源。 创建授权结果。系统的缺省授权结果包括允许接入和拒绝接入，如果不能满足需求，请根据实际需求创建新的授权结果。 创建授权规则Guest_Rule，认证方式采用用户接入认证，关联授权结果“允许接入”。

配置思路 图1是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以云AP作为网关设备，所有AP均在华为乾坤云平台纳管。AP通过华为乾坤APP注册上线，然后远程进行Wi-Fi业务配置。 数据规划。 手动规划AP的安装点位，确保AP的无线信号对咖啡厅实现全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 手机下载并安装华为乾坤APP软件，用于网络开局和验收。 现场安装AP设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有咖啡厅AP设备加入同一个站点，以便统一配置。 配置AP接入Internet：AP出口接入运营商网络，采用华为乾坤APP配置。 AP通过华为乾坤APP扫码，完成华为乾坤云平台上线。 在华为乾坤云平台配置网络业务。 认证授权准备： 员工Wi-Fi采用PSK认证，无需认证准备，默认即可。 访客Wi-Fi采用微信链接认证，配置华为乾坤云平台与微信平台对接，定制Portal推送页面、推送策略、认证规则等。 配置AP业务： 配置DHCP Server，为用户终端分配IP地址。 配置员工和访客Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监测各设备状态信息。 父主题： 单AP组网场景

DHCP Option开局 DHCP Option开局是指网络管理员在华为乾坤云平台完成站点ZTP配置，在DHCP服务器上完成对CPE接口分配IP地址、平台的南向IP地址、端口号等信息。CPE接口通过DHCP方式向DHCP服务器申请IP地址，DHCP服务器在给CPE分配IP地址时，通过DHCP报文的Option选项将平台信息传递到CPE。CPE在获取IP地址接入到Underlay网络后，自动注册完成开局。 当WAN侧是IPv4网络时，采用Option 148方式；当WAN侧是IPv6网络时，采用Option 17方式。 表2 DHCP Option开局流程 步骤序号 步骤说明 1 开局前，网络管理员在华为乾坤云平台上配置站点、全局参数、配置ZTP。 2 网络管理员配置DHCP服务器。 3 站点开局人员完成CPE设备连线并上电。 4 DHCP服务器在给CPE分配IP地址的同时，通过Option 148/Option 17选项将华为乾坤云平台的相关信息传递给CPE。 5 CPE根据获取到的华为乾坤云平台信息，自主发起注册请求，从而完成DHCP Option开局。 CPE设备通过WAN侧L3接口与DHCP服务器互通。 开局流程如图3所示，数字对应表2中步骤序号。 此场景下，DHCP服务器为CPE设备的WAN侧L3接口分配临时IP地址，待CPE向华为乾坤云平台注册后，平台会为CPE的WAN侧L3接口分配正式的IP地址，覆盖临时IP地址。 例如，DHCP服务器给CPE的WAN侧接口GE1/0/1分配IP地址是10.1.1.1，平台上ZTP配置的是10.1.1.2，CPE会首先使用10.1.1.1向平台注册，配置下发成功后，GE1/0/1的IP地址会被替换为10.1.1.2。 图3 DHCP Option开局流程（WAN侧L3接口互通） CPE设备通过非WAN侧L3接口与DHCP服务器互通。 开局流程如图4所示，数字对应表2中步骤序号。 此场景下，DHCP服务器为CPE设备的非WAN侧L3接口分配IP地址，CPE通过非WAN侧L3接口接入管理网络后，向华为乾坤云平台注册，平台会为CPE的WAN侧L3接口分配IP地址。 例如，DHCP服务器给CPE的非WAN侧接口GE1/0/5分配的IP地址是192.168.1.1，平台上ZTP配置的是10.1.1.2，CPE会首先使用192.168.1.1向平台注册，配置下发成功后，CPE的WAN侧接口GE1/0/1的IP地址会被设置为10.1.1.2。 图4 DHCP Option开局流程（非WAN侧L3接口互通）

U盘开局 U盘开局是指网络管理员在华为乾坤云平台完成站点的ZTP配置后，自动会生成记录了CPE开局信息的ZTP文件，开局人员将ZTP文件存储在U盘中，再将U盘插入CPE以完成开局，具体流程参见图2。 图2 U盘开局流程 配置网络参数。在华为乾坤云平台创建站点、添加设备并分别配置网络部署参数。 生成ZTP文件。根据ZTP配置，平台自动生成记录了CPE开局配置信息的ZTP文件（即配置文件及索引文件），网络管理员将ZTP文件发送给站点开局人员。 批量导入ZTP文件。开局人员批量导入ZTP文件到U盘中，方便后续批量开局。 开局人员执行开局。待CPE设备上电并启动成功后，开局人员将准备好的U盘插入到CPE设备的USB接口上，系统自动启动U盘开局流程。 设备接入网络并注册到华为乾坤云平台。 设备根据ZTP文件中的华为乾坤云平台地址和端口号参数，自动发起注册。 若注册成功，平台自动下发业务配置数据至该CPE设备，至此开局流程结束。 若注册失败，待失败原因排除后，CPE设备会自动向华为乾坤云平台再次发起注册。

站点拓扑管理 云管理网络支持站点拓扑管理。对于已创建的站点，可以直接进入站点首页，而且无论通过何种方式在站点中添加了设备信息，都可以在站点首页以拓扑形式展示。站点拓扑可以更直观地呈现当前站点网络信息，同时也可以从拓扑视角更方便快捷地进行网络业务配置和调整。 可以在站点首页查看到整个站点的拓扑信息。 可以在站点首页添加设备构建拓扑，也可以在已有的拓扑中添加设备。 可以在站点首页拓扑上组建设备组。 可以查看拓扑上的设备网元详情，包括设备型号、版本号、管理IP地址、状态等。而且支持在设备网元上进行业务配置。 可以从全局视角展示有线业务、无线业务在整个拓扑的配置信息，比如VLAN配置、SSID配置等。而且支持对有线业务、无线业务进行设置调整。

邮件开局 邮件开局也称URL开局，在华为乾坤云平台完成ZTP配置后，平台会自动生成开局邮件/ZTP文件，其中包含的URL参数已经携带了设备上线所需的WAN口配置信息（以加密形式）。开局人员收到开局邮件/ZTP文件后，通过浏览器访问URL链接即可启动开局流程，完成设备自动开局。详细的邮件开局流程如图1所示。 图1 邮件开局流程 配置网络参数，并发送开局邮件。 （可选）若通过邮件开局，需要提前配置邮件服务器，选择“发送邮件方式”开局。 在华为乾坤云平台创建站点、添加设备并分别配置网络部署参数。 区分不同开局方式，执行如下操作： 发送邮件方式：在华为乾坤云平台配置设备开局邮件内容，并发送到指定邮箱帐号中。该邮件中提供的URL将以加密方式携带对应CPE设备的网络配置信息。 下载ZTP文件方式：从华为乾坤云平台获取ZTP文件，文件中提供的URL将以加密方式携带对应CPE设备的网络配置信息。 通过邮件/ZTP文件方式，获取包含开局参数的URL链接。 发送邮件方式：登录邮箱帐号，确认已成功接收到所有开局邮件，并将其携带至客户现场。 下载ZTP文件方式：获取ZTP文件，确认文件中包含所有开局设备的ZTP文件，并将其携带至客户现场。 通过手机或PC执行邮件开局。 待CPE设备安装完毕并启动成功后，开局终端通过有线或无线方式接入设备，点击开局邮件中的URL链接启动开局流程。 设备解析URL链接内容推送开局Portal页面，开局人员确认开局后，设备根据URL链接中的参数自动完成配置（一般包括接口配置、网络接入配置以及VPN配置）。 设备接入网络并注册到华为乾坤云平台。 设备根据URL中的华为乾坤云平台地址和端口号参数，自动发起注册。 若注册成功，平台自动下发业务配置数据至该CPE设备，至此开局流程结束。 若注册失败，待失败原因排除后，CPE设备会自动向华为乾坤云平台再次发起注册。

认证服务器侧的配置思路 MAC认证采用华为乾坤云平台内置的RADIUS服务器组件。 在认证服务器侧的整个配置过程如下： 在华为乾坤云平台创建用户组Wire_Dumb_Group，把同一类认证方式的用户放到同一个用户组，方便管理。 创建认证规则Dumb_Authen，认证方式采用MAC认证，匹配用户组Wire_Dumb_Group。 创建授权结果。本案例使用系统的缺省授权结果允许接入和拒绝接入。如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则Dumb_Rule，认证方式采用用户接入认证，匹配用户组Wire_Dumb_Group，关联的授权结果为允许接入。

日志查看 前提条件 成功登录华为乾坤控制台，并拥有“审计日志服务”相关权限。 背景信息 日志系统是华为乾坤提供的能够帮助用户快速了解服务运行状态、操作等信息的系统。 目前系统支持查看操作日志和安全日志，可查看6个月内的日志，超过6个月但不超过1年的日志仅支持下载到本地查看。 操作日志记录用户进行失陷主机处置、威胁事件处置、设备管理等相关操作。 安全日志记录用户登录、创建下级工作组帐号等安全相关操作。 操作步骤 单击控制台页面右上角帐号，选择“日志”进入日志详情页面。 支持查看操作日志和安全日志，其操作流程基本一致，以操作日志为例： 选择“操作日志”页签，查看日志列表，包含当前帐号的操作名称、对象、结果等信息。 图1 日志列表 单击日志列表的“详细信息”栏中任意一项，可以查看日志的详细记录。 图2 日志详情 单击日志列表上方“高级搜索”，根据表1设置筛选条件，单击“搜索”即可。 表1 筛选条件参数表 参数 说明 时间 设置起始时间，筛选该时间段内的日志。 操作名称 操作行为。 级别 日志级别分为紧急、报警、严重、错误、警告、通知、提示、调试，程度递减。 操作用户 操作行为对应的帐号。 详细信息 操作行为的具体描述。 操作对象 操作行为的具体对象，如套餐、设备、站点等。 操作结果 日志操作结果分为成功、失败、部分成功。 来源 日志来源模块。 如果单击“重置”，日志筛选条件恢复成默认条件： 最近48小时内的记录。 所有日志级别类型。 所有操作结果类型。 下载日志。 日志界面可查看6个月内的日志，超过6个月但不超过1年的日志可单击右上方“点击此处”下载。

后续操作 接收人管理： 搜索：在列表左上方搜索框内输入接收人名称，单击左侧或者按回车键直接搜索。 消息接收配置：单击接收人列表中“消息接收配置”，可以为当前接收人设置接受的消息类型等。 修改接收人信息：单击接收人列表中“修改”，可以修改接收人相关信息，包括名称、手机号、邮箱等。 删除接收人： 单个删除：单击接收人列表中“删除”，可以删除当前接收人。 批量删除：选中需要删除的接收人，单击列表右上方“删除”。

适用产品和版本 设备 版本 备注 USG6502E-C、USG6503E-C 边界防护与响应服务、 漏洞扫描服务 ：V600R007C20SPC300及其后续版本 云日志 审计服务：V600R007C20SPC500及其后续版本 - USG6603F-C 边界防护与响应服务：V600R021C00SPC100（必须安装V600R021SPH002补丁）及其后续版本 漏洞扫描 服务：V600R022C10及其后续版本 云日志审计服务：V600R023C00及后续版本 -

约束或注意事项 规格信息请使用Info-Finder的特性查询工具进行查询或导出。 USG6501E-C不支持电Bypass口，此方案不使用该型号设备。 对交换机的要求： 天关2对应的交换机需支持源+目的协议的镜像，建议只引流DNS流量。 USG6502E-C、USG6503E-C接口使用限制： 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对。每个Bypass接口对的接口同时工作在二层工作模式时，组成一条电链路Bypass。推荐使用这两对接口作为业务口，用于转发内外网的业务流量，当天关故障时流量直接通过天关，保证业务不中断。 奇数编号接口用于连接上行设备，偶数编号接口用于连接下行局域网设备。 USG6603F-C接口使用限制： 为了提高业务可靠性，可以配置光Bypass卡，连接光Bypass卡的方式请参见《USG6000F-C天关上线》中“安装并连接光Bypass插卡”章节。 默认情况下，接口编号相邻的接口两两组成二层接口对。 奇数编号接口用于连接上行设备，偶数编号接口用于连接下行局域网设备。

适用产品和版本 设备 版本 备注 USG6502E-C、USG6503E-C 边界防护与响应服务、漏洞扫描服务：V600R007C20SPC300及其后续版本 云日志审计服务：V600R007C20SPC500及其后续版本 - USG6603F-C 边界防护与响应服务：V600R021C00SPC100（必须安装V600R021SPH002补丁）及其后续版本 漏洞扫描服务：V600R022C10及其后续版本 云日志审计服务：V600R023C00及后续版本 -

约束或注意事项 规格信息请使用Info-Finder的特性查询工具进行查询或导出。 两组接口对需均在同一VLAN下。 当防火墙主备切换时，会出现来回路径不一致的问题，此时基于状态检测的协议无效，无状态检测的协议会出现源目的IP对调问题。 USG6502E-C、USG6503E-C接口使用限制： 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对。每个Bypass接口对的接口同时工作在二层工作模式时，组成一条电链路Bypass。推荐使用这两对接口作为业务口，用于转发内外网的业务流量，当天关故障时流量直接通过天关，保证业务不中断。 奇数编号接口用于连接上行设备，偶数编号接口用于连接下行局域网设备。 USG6603F-C接口使用限制： 为了提高业务可靠性，可以配置光Bypass卡，连接光Bypass卡的方式请参见《USG6000F-C天关上线》中“安装并连接光Bypass插卡”章节。 默认情况下，接口编号相邻的接口两两组成二层接口对。 奇数编号接口用于连接上行设备，偶数编号接口用于连接下行局域网设备。

数据规划 项目 数据 说明 租户内网资产IP地址 区域1地址：192.168.55.0-192.168.55.255 区域2地址：172.16.1.0-172.16.1.255、1.1.1.1-1.1.1.5 请向租户获取，此处为示例。 转发业务流量接口（Bypass接口对） USG6502E-C、USG6503E-C：GE0/0/21和GE0/0/20 - USG6603F-C：10GE0/0/0、10GE0/0/1 云端管理接口 GE0/0/3：172.16.10.10/24 请向租户获取，此处为示例。 漏洞扫描和云日志审计接口 GE0/0/2：192.168.56.10/24 请向租户获取，此处为示例。 父主题： 企业边界天关透明直路

配置思路 上行路由器（ospf）下行交换机企业边界防火墙双机组网（三层）的配置思路： 登录FW1，配置以下内容 配置上下行接口，用于转发内外网业务流量；配置HRP心跳接口，建立HRP心跳链路。 配置HRP业务参数，建立双机热备，使主备防火墙包报文交互。 配置OSPF，保证路由可达。 配置安全策略，放行指定流量。 登录FW2，配置以下内容： 配置上下行接口，用于转发内外网业务流量；配置HRP心跳接口，建立HRP心跳链路。 配置HRP业务参数，建立双机热备，使主备防火墙包报文交互。 配置OSPF，保证路由可达。 在华为乾坤中添加并绑定FW1/FW2。 父主题： 企业边界防火墙双机组网（三层）--上行路由器（ospf）下行交换机

数据规划 项目 数据 说明 租户内网资产IP地址 区域1地址：192.168.55.0~192.168.55.255 区域2地址：172.16.1.0-172.16.1.255、1.1.1.1-1.1.1.5 请向租户获取，此处为示例。 交换机 GigabitEthernet0/0/1：10.1.10.2 GigabitEthernet0/0/2：10.2.10.2 请向租户获取，此处为示例。 天关 转发业务流量接口（接口对） USG6502E-C/USG6503E-C 流量上行GE0/0/21：10.1.10.21 流量下行GE0/0/20：10.2.10.20 USG6603F-C 流量上行GE0/0/7：10.1.10.21 流量下行GE0/0/6：10.2.10.20 请向租户获取，此处为示例。 父主题： 企业边界天关旁挂策略路由直路（三层)

数据规划 项目 数据 说明 租户内网资产IP地址 区域1地址：192.168.55.0-192.168.55.255 区域2地址：172.16.1.0-172.16.1.255 请向租户获取，此处为示例。 云端管理接口 GE0/0/3：172.16.10.10/24 请向租户获取，此处为示例。 USG6502E-C、USG6503E-C Bypass接口对 GE0/0/20和GE0/0/21 GE0/0/22和GE0/0/23 转发业务流量接口。 USG6603F-C Bypass接口对 10GE0/0/0和10GE0/0/1 10GE0/0/2和10GE0/0/3 漏洞扫描和云日志审计接口 VLAN接口：192.168.56.10/24 请向租户获取，此处为示例。 父主题： 企业边界双链路组网—双接口对bypass组网

权限管理 角色是用户操作权限的集合。在创建用户时，给用户赋予了什么样的角色，用户就拥有了什么样的操作权限。 华为乾坤控制台支持自定义角色。同时，为了方便客户配置，控制台预置了多种角色，包括公共类角色和服务类角色。 本节主要介绍与本服务相关的预置角色。如果您想了解更多角色类信息，请参考《租户公共操作》中“背景知识”章节。 表1 预置角色及权限说明 角色名称 说明 漏洞扫描管理员 具有漏洞扫描服务的查看、编辑权限。 漏洞扫描审计员 具有漏洞扫描服务的查看权限。 漏洞扫描开放接口操作员 具有开放接口业务的使用权限。 父主题： 产品介绍

数据规划 项目 数据 说明 交换机 与天关1上行口连接接口 GE1/0/21：10.1.10.2/24 请向租户获取，此处为示例。 与天关1下行口连接接口 GE1/0/20：10.2.10.2/24 与天关2上行口连接接口 GE0/0/21：10.6.10.2/24 与天关2下行口连接接口 GE0/0/20：10.7.10.2/24 与上行设备连接接口 Vlanif10：10.3.0.4/24 与内网设备连接接口 Eth-trunk1：10.5.0.1/24 天关1（USG6502E-C、USG6503E-C） 上行口 GE0/0/21：10.1.10.21/24 请向租户获取，此处为示例。 下行口 GE0/0/20：10.2.10.20/24 心跳口 GE0/0/8：10.10.0.1/24 天关2（USG6502E-C、USG6503E-C） 上行口 GE0/0/21：10.6.10.21/24 请向租户获取，此处为示例。 下行口 GE0/0/20：10.7.10.20/24 心跳口 GE0/0/8：10.10.0.2/24 天关1（USG6603F-C） 上行口 GE0/0/7：10.1.10.21/24 请向租户获取，此处为示例。 下行口 GE0/0/6：10.2.10.20/24 心跳口 GE0/0/8：10.10.0.1/24 天关2（USG6603F-C） 上行口 GE0/0/7：10.6.10.21/24 请向租户获取，此处为示例。 下行口 GE0/0/6：10.7.10.20/24 心跳口 GE0/0/8：10.10.0.2/24 父主题： 企业边界双链路组网—天关双机热备

数据规划 项目 数据 说明 租户内网资产IP地址 区域1地址：192.168.55.0-192.168.55.255 区域2地址：172.16.1.0-172.16.1.255、1.1.1.1-1.1.1.5 请向租户获取，此处为示例。 交换机 GigabitEthernet0/0/2 观察端口。 GigabitEthernet0/0/1 镜像端口。 天关 USG6502E-C、USG6503E-C 转发镜像流量Bypass接口对：GE0/0/21和GE0/0/20 云端管理接口GE0/0/3：172.16.10.10/24 漏洞扫描和云日志审计接口GE0/0/2：192.168.56.10/24 请向租户获取，此处为示例。 父主题： 企业边界天关旁路镜像引流透传场景

适用产品和版本 设备 版本 备注 USG6000E-E03/USG6000E-E07 USG6106E USG6305E/USG6306E/USG6308E/USG6309E/USG6312E/USG6315E/USG6322E/USG6325E/USG6332E/USG6335E/USG6350E/USG6355E/USG6365E/USG6385E/USG6395E/USG6308E-B/USG6318E-B/USG6338E-B/USG6358E-B/USG6378E-B/USG6388E-B/USG6398E-B USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E/USG6520E-K/USG6560E-K/USG6590E-K V600R007C20SPC500及其之后版本 不支持漏洞扫描服务和云日志审计服务。

数据规划 项目 数据 说明 租户内网资产IP地址 区域1地址：192.168.55.0-192.168.55.255 区域2地址：172.16.1.0-172.16.1.255、 1.1.1.1-1.1.1.5 请向租户获取，此处为示例。 转发业务流量接口（Bypass接口对） USG6502E-C、USG6503E-C 天关1：GE0/0/21和GE0/0/20 天关2：GE0/0/21和GE0/0/20 USG6603F-C 天关1：10GE0/0/0、10GE0/0/1 天关2：10GE0/0/0、10GE0/0/1 - 区域2NAT后地址 192.168.55.100 区域2中所有资产使用该NAT后地址访问其他区域（外网或区域1）。 云端管理接口 天关1GE0/0/3：192.168.66.10/24 天关2GE0/0/3：172.16.10.10/24 请向租户获取，此处为示例。 漏洞扫描和云日志审计接口 天关1GE0/0/2：192.168.67.10/24 天关2GE0/0/2：172.16.11.10/24 请向租户获取，此处为示例。 父主题： 企业内部存在NAT转换场景

适用产品和版本 设备 版本 备注 USG6502E-C、USG6503E-C 边界防护与响应服务、漏洞扫描服务：V600R007C20SPC300及其后续版本 云日志审计服务：V600R007C20SPC500及其后续版本 - USG6603F-C 边界防护与响应服务：V600R021C00SPC100（必须安装V600R021SPH002补丁）及其后续版本 漏洞扫描服务：V600R022C10及其后续版本 云日志审计服务：V600R023C00及后续版本 -

操作步骤 配置接口对。 配置接口GigabitEthernet 0/0/1。 [HUAWEI] interface gigabitethernet 0/0/1[HUAWEI-GigabitEthernet0/0/1] undo portswitch[HUAWEI-GigabitEthernet0/0/1] ip address 10.1.10.2 24[HUAWEI-GigabitEthernet0/0/1] quit 配置接口GigabitEthernet 0/0/2。 [HUAWEI] interface gigabitethernet 0/0/2[HUAWEI-GigabitEthernet0/0/2] undo portswitch[HUAWEI-GigabitEthernet0/0/2] ip address 10.2.10.2 24[HUAWEI-GigabitEthernet0/0/2] quit 配置策略路由。 配置流分类。 [HUAWEI] traffic classifier c1[HUAWEI-classifier-c1] if-match any[HUAWEI-classifier-c1] quit 配置下行流行为和流策略，指定下一跳地址为10.2.10.20。 [HUAWEI] traffic behavior b1[HUAWEI-behavior-b1] redirect ip-nexthop 10.2.10.20[HUAWEI-behavior-b1] quit[HUAWEI] traffic policy p1[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1[HUAWEI-trafficpolicy-p1] quit 配置上行流行为和流策略，指定下一跳地址为10.1.10.21。 [HUAWEI] traffic behavior b2[HUAWEI-behavior-b2] redirect ip-nexthop 10.1.10.21[HUAWEI-behavior-b2] quit[HUAWEI] traffic policy p2[HUAWEI-trafficpolicy-p2] classifier c1 behavior b2[HUAWEI-trafficpolicy-p2] quit 在下行口GigabitEthernet0/0/47应用流策略。 [HUAWEI] interface gigabitethernet 0/0/47[HUAWEI-GigabitEthernet0/0/47] traffic-policy p1 inbound[HUAWEI-GigabitEthernet0/0/47] quit[HUAWEI] quit 在上行口GigabitEthernet0/0/48应用流策略。 [HUAWEI] interface gigabitethernet 0/0/48[HUAWEI-GigabitEthernet0/0/48] traffic-policy p2 inbound[HUAWEI-GigabitEthernet0/0/48] quit[HUAWEI] quit

配置思路 通过vrrp配置企业边界防火墙双机组网（三层）的配置思路： 登录FW1，主要配置以下内容： 配置上下行接口，用于转发内外网业务流量；配置HRP心跳接口，建立HRP心跳链路。 配置HRP业务参数，建立双机热备，使主备防火墙包报文交互。 配置安全策略，放行指定流量。 登录FW2，主要配置以下内容： 配置上下行接口，用于转发内外网业务流量；配置HRP心跳接口，建立HRP心跳链路。 配置HRP业务参数，建立双机热备，使主备防火墙包报文交互。 在华为乾坤中添加并绑定FW1/FW2。 父主题： 企业边界防火墙双机组网（三层）--vrrp

组网需求说明 本方案天关采用双机热备部署，并旁挂于交换机，不额外配置独立的管理口与云端通信。 下图以天关USG6502E-C的GE0/0/21作为上行口、GE0/0/20作为下行口为例，分别与交换机相连，并使用GE0/0/8作为心跳口。如果使用天关USG6603F-C，则使用GE0/0/7作为上行口、GE0/0/6作为下行口分别与交换机相连，其他组网信息与USG6502E-C相同。 图1 方案组网

约束或注意事项 规格信息请使用Info-Finder的特性查询工具进行查询或导出。 若业务口接口故障，直接触发策略路由切换来回路径不一致时，基于状态的协议检测无效；无状态的检测会出现源目的IP对调情况。 此场景下天关的主备完全由策略路由控制，不受人工切换（hrp switch）控制。 交换机需要支持ACL和三层策略路由功能，并推荐采用堆叠方式。 在云端向设备手动下发黑白名单时，需要分别给主备设备下发。