USG6525E连接以太网线 表1 接口使用说明 接口丝印 接口编号 说明 3 GE0/0/3 业务上行口，为三层口，连接互联网，此处以GE0/0/3为例。 6 GE0/0/6 业务下行口，为三层口，连接局域网交换机，此处以GE0/0/6为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，

查看更多 →

公网NAT网关是否可以限制具体某个 服务器 的带宽？ 不可以。公网NAT网关的SNAT功能通过绑定弹性公网IP，实现云主机私有IP到公网IP的转换。云主机通过公网NAT网关访问外网时，其带宽大小和您购买弹性公网IP时选择的带宽大小有关，无法单独在NAT网关上做限制。 父主题： 公网NAT网关

查看更多 →

规划部署方案 使用天关作为本地防御节点时，推荐二层透明直路方式接入网络，部署在出口路由器与内网交换机之间，不影响原网络拓扑。如果用户有NAT（网络地址转换）设备，天关需要部署在NAT设备下面，以保证能识别到用户内网的真实IP地址。 同时设备需要一个IP地址，用于和云端通信，以获取

查看更多 →

ay_id}/dnat_rules/{dnat_rule_id} nat:dnatRules:delete √ √ 更新DNAT规则 PUT /v2/{project_id}/dnat_rules/{dnat_rule_id} nat:dnatRules:update √ √ 父主题：

查看更多 →

设备部署 > 站点配置 > 站点配置 > 交换机 > 高级 > 资源模式”。 “资源模式”设置为“sac”。 配置完成后，选择“维护 > 配置维护 > 配置保存”对交换机上的配置进行保存。 选择“设计 > 站点设计 > 设备管理”，重启交换机。 选择“部署 > 设备部署 > 批量部署

查看更多 →

组网需求说明 本方案适用于客户内网中存在NAT设备的场景。 如果客户内网中存在NAT设备，内网资产使用NAT后地址访问外部区域，导致天关检测到威胁事件的源地址都是NAT后地址，进而无法识别失陷主机的真实地址。 为解决上述问题，采用如下图所示方案。 在NAT设备前部署天关2，用于检测区域2

查看更多 →

从IP地址 交换机的三层接口可以配置多个IP地址，其中一个为主IP地，其余为从IP地址。主要用于与多个子网通信场景。 ARP代理 是否需要开启ARP代理服务。 MTU 接口的最大传输单元。 配置DHCP。当交换机作为云AP的管理子网网关时，通过DHCP动态分配管理IP地址，同时设置DHCP

查看更多 →

添加静态路由 操作场景 若IEG设备连接的是三层交换机，则IEG设备与交换机通过静态路由进行交互，需参考本章节进行静态路由配置，否则请跳过本节。对于双机场景，请配置主设备、备设备的静态路由。 创建静态路由 在“智能企业网关”页面，选择“设备管理 > 路由管理”。 单击“添加静态路由”，配置路由信息，并单击“确定”。

查看更多 →

both [Switch-GigabitEthernet0/0/1] quit 配置三层端口。已购买 漏洞扫描服务 或云日志审计服务时需要配置。 配置Switch的GigabitEthernet0/0/3切换到三层模式，并配置IP地址。 [Switch] interface gigabitEthernet

查看更多 →

接口编号 说明 10GE3/0/7 业务下行口，为三层口，连接局域网交换机，此处以10GE3/0/7为例。 接口编号与使用的LPU板型号，LPU板位于的槽位号有关，图1中使用LPU版（型号为LPUA-2CQ-24XS）的7号口连接局域网交换机，且LPU板位于3号槽位，因此接口编号为10GE3/0/7。

查看更多 →

式。 来回路径不一致时，基于状态的协议检测无效（如TCP）；无状态的检测（比如UDP）会出现源目的IP对调问题。 性能约束：经过防火墙的且做内容安全检测流量保证<270Mbps（具体款型最大带宽不同，需参考防火墙规格清单）, 带宽按照两个链路叠加的带宽统计，防止单一链路故障导致带宽激增。

查看更多 →

大企业等机构上云，希望迁移上云保持组网不变，使用私网NAT网关无需对网络做任何更改即可保持原有方式互通。同时，行业监管部门要求指定地址接入，使用私网NAT网关将各部门的IP地址映射为指定地址接入行业监管部门，满足企业安全规范。 如下图所示，企业部门间存在网段重叠，使用私网NAT网关，实现企业各部门迁移上云后

查看更多 →

定”。 以交换机为例，添加方式选择“设备类型”，随板AC（汇聚交换机）款型为S6730-H48X6C，接入交换机款型为S5731-H48P4XC，AP设备添加过程类似。 补充交换机和AP信息。在“待添加设备列表”选择目标设备，单击按钮完善设备信息并单击“确定”。 交换机角色默认是

查看更多 →

规划部署方案 使用天关作为本地防御节点时，推荐二层透明直路方式接入网络，部署在出口路由器与内网交换机之间，不影响原网络拓扑。如果用户有NAT（网络地址转换）设备，天关需要部署在NAT设备下面，以保证能识别到用户内网的真实IP地址。 同时设备需要一个IP地址，用于和云端通信，以获取

查看更多 →

非大陆企业可以在大陆做备案吗？ 可以，备案需使用中国政府颁发的证件。 如果您在中国注册有分公司，可使用分公司证件备案。 如果没有注册分公司，需先向工商管理机构申请外国（地区）企业常驻代表机构登记证。 父主题： 备案基础

查看更多 →

ID、IP地址等信息。对于双机场景，请分别配置主设备、备设备的LAN接口信息。 约束与限制 LAN侧接口连接二层交换机、服务器、客户端时，需确保LAN接口的IP地址与所连接设备的IP地址在同一个网段。 LAN侧接口连接三层交换机时，还需配置添加静态路由，使智能企业网关设备与LAN侧连接的设备网络互通。 操作步骤

查看更多 →

除天关外的其他设备已完成网络连接，确保通信正常。 配置思路 登录华为乾坤控制台，根据租户内网资产IP地址配置全局白名单，提升安全状态检测的准确性。 配置交换机： 配置Switch的GigabitEthernet0/0/2为观察端口，该端口直连天关，Switch将通过镜像将流量上送到天关进行检测。

查看更多 →

单击“确定”。 “设备类型”设置以后只可以新增设备类型，不可以替换设备类型。如原站点中只有AP设备，可以将FW类型也添加进站点管理。但是不能将只包含AP设备的站点修改成只包含FW设备的站点。使用LSW做AC时，需要同时勾选LSW和WAC类型。 创建站点时，可以选择“从已有的站点克隆”，以减

查看更多 →

状态的检测会出现源目的IP对调情况。 此场景下天关的主备完全由策略路由控制，不受人工切换（hrp switch）控制。 交换机需要支持ACL和三层策略路由功能，并推荐采用堆叠方式。 在云端向设备手动下发黑白名单时，需要分别给主备设备下发。 父主题： 企业边界双链路组网—天关双机热备

查看更多 →

企业边界防火墙双机组网（三层）--上行路由器（ospf）下行交换机 组网需求 配置思路 数据规划 配置FW1 配置FW2 添加并绑定FW1/FW2 结果验证 父主题： 典型配置案例

查看更多 →

USG6525E连接以太网线 表1 接口使用说明 接口丝印 接口编号 说明 6 GE0/0/6 业务下行口，为三层口，连接局域网交换机，此处以GE0/0/6为例。 7 GE0/0/7 业务上行口，为三层口，连接互联网，此处以GE0/0/7为例。 MGMT MEth0/0/0 设备管理网口，连接管

查看更多 →