步骤一：使用云专线或VPN连通三层网络 操作场景 企业交换机建立二层通信网络时，依赖云下IDC和云上VPC之间的三层网络。本章节指导用户使用云专线或者VPN，建立本端隧道子网和远端隧道子网之间的三层网络通信。 前提条件 使用企业交换机之前，需要规划云下和云上所需的资源，资源规划请参考企业交换机工作原理。

查看更多 →

0.0.0.0 网段IP 10.3.0.0 正/反掩码 255.255.255.0 父主题： 企业边界防火墙双机组网（三层）--上行路由器（ospf）下行交换机

查看更多 →

移上云，具体请参见云下和云上二层网络的优势。 云下和云上三层网络的约束 通过VPN或者云专线建立云下IDC和云上VPC之间的三层网络，组网示意请参见图1，客户痛点请参见表1。 图1 云下和云上三层网络组网 表1 云下和云上三层网络说明 网络说明 云下IDC和云上VPC通过VPN或者云专线建立三层网络，通过路由通信。

查看更多 →

原因4：网关设备未正确配置NAT策略。 解决方法 设备默认的安全策略“default”的动作是禁止，需要先修改默认安全策略的动作为“允许”。 页面位置：策略 > 安全策略 > 安全策略。 确认并解决网络环路问题。 设备在某些客户网络中的部署位置如下，设备串行在路由器和交换机之间，设备的对外接口（GE0

查看更多 →

站点LAN侧设计 网关设备与三层交换机划分在同一VLAN内，且属于同一网段，从而实现站点网关与三层交换机之间互通。 分支站点需要以站点网关为DHCP中继，从DHCP 服务器 获取IP地址。 双网关分支站点LAN侧需要部署VRRP提高LAN侧的可靠性。 父主题： 用户组网和业务方案设计

查看更多 →

C之间二层网络。 并且，同一个VPC内的子网网络三层互通，此时云下IDC内Subnet A和云上Subnet C、云上Subnet A和云下Subnet C之间三层互通。 图3 云上和云下三层网络互通 资源和成本规划 表1 资源和成本规划 区域 资源 资源说明 数量 每月费用（元） 华为云（本端）

查看更多 →

与其他服务的关系 企业交换机与华为云上多个云服务之间存在交互关系，如图1所示。 图1 企业交换机与其他服务的关系 表1 企业交换机与其他服务的关系 服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您通过企业交换机可以建立云下IDC和云上VPC之间的二层网络。

查看更多 →

规格信息请使用Info-Finder的特性查询工具进行查询或导出。 天关和交换机采用三层网络连接。 天关连接交换机的上/下行接口需要加入同一组link-group。 该部署方式下，不论上行还是下行链路故障，交换机上配置的策略路由都会自动失效，不将流量发送给天关。 父主题： 企业边界天关旁挂策略路由直路（三层)

查看更多 →

前提条件 已购买相应的服务。 除防火墙外的其他设备已完成网络连接，确保通信正常。 配置思路 登录防火墙，主要配置以下内容。 配置公网地址和内网地址。 （可选）配置静态路由。在配置公网地址时采用了静态IP的方式，且没有配置默认网关，此场景下需要配置静态路由。 配置NAT策略（easy-

查看更多 →

主机路由前缀表项：删除无用的主机路由、ND表项、ARP表项，释放一些主机前缀资源。 IPv4路由前缀表项：删除无用的网段路由，释放一些路由前缀资源。 等价路由下一跳表项：删除无用的等价路由，释放一些下一跳资源。 三层出接口表项：删除无用的三层接口，释放一些三层接口资源。 下一跳表项：删除无用的路由（

查看更多 →

前提条件 成功登录华为乾坤工作台，并拥有“设备生命周期管理服务”中设备相关权限。 背景信息 设备管理是华为乾坤提供日常管理安全设备的页面。 用户可以快速感知安全设备的运行状态、套餐部署等信息，及时处置设备事件。 操作步骤 单击工作台页面右上方“资源中心”。 添加FW1/FW2设备。 选择“设备管理

查看更多 →

企业交换机当前仅支持二层连接网关特性，该特性提供一种虚拟隧道网关，可基于 虚拟专用网络 （Virtual Private Network, VPN）或者云专线（Direct Connect, DC）建立云上与云下之间的二层网络，解决云上和云下网络二层互通问题，允许您在不改变子网、IP规划的前提下将数据中心或私有云主机业务部分迁移上云。

查看更多 →

将Bypass接口对配置成为天关的上下行接口对，三层部署连接交换机，通过交换机的策略路由将流量引入天关进行检测。 配置天关路由。 分别配置边界防护与响应服务、 漏洞扫描服务 、云日志审计服务业务参数。 USG6603F-C 检测与光Bypass卡相连的接口状态。 取消Bypass接口

查看更多 →

S6520交换机） 远端隧道网关的配置方法：在VXLAN交换机和企业交换机之间建立VXLAN隧道，并将VXLAN隧道与VXLAN关联，以便将虚拟机发送的二层报文封装为IP报文后发到企业交换机。VXLAN交换机的下行端口上配置以太网服务实例和相应的匹配规则，用来识别用户网络中的报文所属的VXLAN。

查看更多 →

平台。 核心交换机下挂设备注册上线：在核心交换机（作为DHCP Server）上配置下挂设备的地址池和DHCP Option148参数。接入交换机和AP采用DHCP Option148方式注册上线，也就是从DHCP Server上获取IP地址的同时也获取云管理平台的IP/URL地址和端口号，完成注册上线。

查看更多 →

IP地址 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211 核心交换机的管理IP地址，需要核心交换机上线后，才能获取

查看更多 →

数据类型转换和转换函数 日期时间字符串、日期时间对象和Unix时间戳的相互转换方式和对应转换函数如下图所示。 上图所示的转换场景和对应的转换函数具体描述如下表所示。 转换场景 转换函数 日期时间对象和Unix时间戳的相互转换 日期时间对象转为Unix时间戳。 dt_parseti

查看更多 →

该商业地产网络架构如图1所示。AR路由器通过WAN口PPPoE拨号上网；通过LAN口连接AP和有线终端，并作为DHCP服务器，为其分配IP地址。 如果AP+有线终端的个数大于AR路由器LAN接口数，您可以选择一款接入交换机放在AR路由器和有线终端之间，推荐S3510-L系列交换机。 S3510-L

查看更多 →

IP地址 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211 核心交换机的管理IP地址，需要核心交换机上线后，才能获取

查看更多 →

规格信息请使用Info-Finder的特性查询工具进行查询或导出。 本场景中防火墙仅提供安全状态检测的功能，不对威胁事件进行自动阻断，云端配置的黑名单也不会生效。 本场景中防火墙旁挂的核心交换机需要支持镜像功能。 交换机上需要将镜像端口入方向和出方向的报文都镜像到观察端口，即双向镜像。

查看更多 →

网络有线问题分析 Issues是基于设备上报的异常日志以及检测的KPI异常等原始异常信息，按照一定的规则识别出来。待处置列表展示当前所有未清除或者未确认状态的问题，不活跃列表展示当前所有已清除未确认或者未清除已确认状态的问题，已处置列表展示当前所有已清除且已确认的问题，可以查看问题详情，包括问题基本信息、问题影响范围等。

查看更多 →