针对该限制，推荐您使用选择企业路由器组网方案中介绍的中转VPC组网方案（方案二），避免将业务VPC直接接入ER。 当接入ER的VPC关联NAT网关，并配置SNAT或者DNAT规则的“使用场景”选择“云专线/云连接”，则网络不通。 针对该限制，推荐您使用选择企业路由器组网方案中介绍的中转VPC组网方案（方案二），避免将业务VPC直接接入ER。

查看更多 →

C，然后通过VPN实现互联？ VPN连通的是两个子网，即云上VPC网络与用户数据中心网络。 VPN成功建立后，两个子网间可以运行任何类型的业务流量，此时应用 服务器 访问数据库业务在逻辑上和访问同一局域网的其它主机是相同的，因此该方案可行的。 这种场景是IPsec VPN的典型场景，请用户放心使用。

查看更多 →

VPC对等连接组网迁移方案概述 应用场景 华为云未上线企业路由器ER之前，客户通常使用VPC对等连接连通同一个区域内的不同虚拟私有云VPC。对等连接适用于简单的组网，因为每连通两个VPC，就需要创建一个对等连接。那么对于复杂的组网，大量的对等连接将会导致组网结构非常繁复冗余，不利于网络扩容，同时增加运维成本。

查看更多 →

用户组网和业务方案设计 站点WAN侧设计 站点LAN侧设计 用户业务设计 推荐配套产品 父主题： 仅SD-WAN组网（Hub-Spoke组网）

查看更多 →

通过VPN实现云上云下网络互通（非固定IP接入） 方案概述 组网和资源规划 操作步骤

查看更多 →

用户组网和业务方案设计 站点WAN侧设计 站点LAN侧设计 用户业务设计 推荐配套产品 父主题： 仅SD-WAN组网（Full-Mesh组网）

查看更多 →

组网需求 某手机生产商在全国各地市都部署了多家终端体验门店。 门店网络内终端类型包含有线接入终端和无线接入终端。 门店数据通过专线/互联网VPN回传至总部。 门店之间不需要互访。 华为乾坤云管理网络多分支LAN-WAN融合方案可以满足上述企业的网络建设诉求。如果客户没有IT人员，

查看更多 →

然后通过VPN实现互联？ 可以。 VPN连通的是两个子网，即云上VPC网络与用户数据中心网络。 VPN成功建立后，两个子网间可以运行任何类型的业务流量，此时应用服务器访问数据库业务在逻辑上和访问同一局域网的其它主机是相同的，因此该方案可行的。 这种场景是IPsec VPN的典型场景，请用户放心使用。

查看更多 →

方案设计 部署方案 使用华为云服务来完成部署，服务器计算资源使用E CS 或者BMS，存储使用EVS与SFS。 请参考部署方案章节完成部署方案的设计。 组网方案 迁移至华为云后，云上采用VPC组网，子网划分按照华为云最佳实践进行划分。通过EIP、VPN或云专线与线下IDC互通。 详细信息参考组网方案部分。

查看更多 →

组网需求 某手机生产商在全国各地市都部署了多家终端体验门店。 门店网络内终端类型包含有线接入终端和无线接入终端。 门店数据通过专线/互联网VPN回传至总部。 门店之间不需要互访。 华为乾坤云管理网络多分支LAN-WAN融合方案可以满足上述企业的网络建设诉求。如果客户没有IT人员，

查看更多 →

组网需求 在一些大型的分支连锁或者分支办公场景中，分支的网络不仅需要访问Internet，还需要访问总部或者数据中心；同时，分支的网络有可能通过专线或者VPN接入到总部网。分支需要访问总部/数据中心的业务，分支和总部/数据中心部署单链路或者多链路上行互联。需要智能选路，根据业务、

查看更多 →

组网需求 某手机生产商在全国各地市都部署了多家终端体验门店。 门店网络内终端类型包含有线接入终端和无线接入终端。 门店数据通过专线/互联网VPN回传至总部。 门店之间不需要互访。 华为乾坤云管理网络多分支LAN-WAN融合方案可以满足上述企业的网络建设诉求。如果客户没有IT人员，

查看更多 →

组网方式 NetEco主要针对中小型数据中心场景，支持接入多个中小型数据中心网点，组网方式如图1所示。 图1 组网方式

查看更多 →

典型组网 本节以企业分支访问华为云单个VPC场景为例，介绍IEG设备侧的典型组网。 表1 典型组网 组网场景 组网说明 组网图 组网配置 设备直挂LAN侧动态（DHCP）上云 适用于企业分支/门店等新建网络场景，IEG设备作为企业分支内网关使用，直接连接二层交换机。 IEG设备支

查看更多 →

组网配置 组网配置方式 无线网络（外网）&有线网络（内网） 父主题： 注册HiLens Kit

查看更多 →

使用三层接口GE0/0/2作为 漏洞扫描服务 和云日志审计服务的通道，并使用GE0/0/3上报云端。 图1 方案组网 约束或注意事项 规格信息请使用Info-Finder的特性查询工具进行查询或导出。 USG6501E-C不支持电Bypass口，此方案不使用该型号设备。 USG6502E-C、USG6503E-C接口使用限制：

查看更多 →

云日志审计服务：V600R023C00及后续版本 - 组网需求说明 客户已有网络通过交换机组建三层网络直接访问互联网；在已有网络基础上，直路交换机上旁路部署天关，采用接口对连接方式，将交换机上的流量通过策略路由引向天关，实现天关对于流量的旁路检测。 图1 方案组网 本场景不设置独立管理口，直接使用GE0/0/21作为管理口。

查看更多 →

，与Switch的观察端口直连。使用三层接口GE0/0/2作为漏洞扫描服务和云日志审计服务的通道，并使用GE0/0/3上报云端。 图1 方案组网 约束或注意事项 规格信息请使用Info-Finder的特性查询工具进行查询或导出。 本场景中天关设备仅提供安全状态检测的功能，不对威胁

查看更多 →

云日志审计服务：V600R023C00及后续版本 - 组网需求说明 在某企业网络出口，核心交换机Switch上行通过路由器访问外网，天关在企业边界天关旁路只做镜像引流透传场景。华为乾坤对业务流量提供安全状态检测功能。 图1 方案组网 约束或注意事项 规格信息请使用Info-Finder的特性查询工具进行查询或导出。

查看更多 →

云日志审计服务：V600R023C00及后续版本 - 组网需求说明 本方案适用于客户内网中存在NAT设备的场景。 如果客户内网中存在NAT设备，内网资产使用NAT后地址访问外部区域，导致天关检测到威胁事件的源地址都是NAT后地址，进而无法识别失陷主机的真实地址。 为解决上述问题，采用如下图所示方案。 在NAT设备前

查看更多 →

描服务和云日志审计服务的通道，并使用GE0/0/3上报云端。 图1 方案组网 约束或注意事项 规格信息请使用Info-Finder的特性查询工具进行查询或导出。 USG6501E-C不支持电Bypass口，此方案不使用该型号设备。 对交换机的要求： 天关2对应的交换机需支持源+目的协议的镜像，建议只引流DNS流量。

查看更多 →