更新时间:2023-04-20 GMT+08:00
组网需求
适用产品和版本
设备 |
版本 |
备注 |
|---|---|---|
USG6502E-C、USG6503E-C |
V600R007C20SPC601及之后版本 |
不支持漏洞扫描服务和云日志审计服务。 |
USG6603F-C |
V600R022C00SPC100及之后版本 |
不支持漏洞扫描服务和云日志审计服务。 |
组网需求说明
本方案天关采用双机热备部署,并旁挂于交换机,不额外配置独立的管理口与云端通信。
下图以天关USG6502E-C的GE0/0/21作为上行口、GE0/0/20作为下行口为例,分别与交换机相连,并使用GE0/0/8作为心跳口。如果使用天关USG6603F-C,则使用GE0/0/7作为上行口、GE0/0/6作为下行口分别与交换机相连,其他组网信息与USG6502E-C相同。
图1 方案组网
约束或注意事项
- 若业务口接口故障,直接触发策略路由切换来回路径不一致时,基于状态的协议检测无效;无状态的检测会出现源目的IP对调情况。
- 此场景下天关的主备完全由策略路由控制,不受人工切换(hrp switch)控制。
- 交换机需要支持ACL和三层策略路由功能,并推荐采用堆叠方式。
- 在云端向设备手动下发黑白名单时,需要分别给主备设备下发。
父主题: 企业边界双链路组网—天关双机热备
