华为云用户手册

典型组网 组网方案简介： 分支通过多条上行链路（多条有线链路、或者有线链路+LTE无线链路）出口和多总部/DC互联，分支、总部/DC的出口网关设备都必须为支持SD-WAN功能的AR设备。 图4 SD-WAN组网方案示意 适用场景： 海量小分支需要和多总部/DC通信，分支需要访问总部/DC的业务，分支和总部/DC部署单链路或者多链路上行互联。需要智能选路，根据业务、应用选择链路质量优的链路优先发送，同时需要支持链路的自动切换和回切。 组网方案关键点： 分支支持单机部署，也可以双机部署；双机部署时每台设备至少连接一条上行链路。 总部、分支等所有站点都必须部署支持SD-WAN功能的AR设备；如果总部已有网关，则也必须旁挂、或者串联AR的设备。

逻辑架构 图1 SD-WAN架构图 服务架构如图 SD-WAN架构图所示，主要包括管理层、控制层和网络层。每层具备明确的核心组件并承担不同的功能。 第三方BSS/OSS 华为乾坤开放了北向API接口，可以纳入到现有的BSS/OSS等第三方业务编排系统，实现广域网络的灵活集成和定制。 管理/控制层 SD-WAN互联方案的网络编排，除了华为乾坤云平台，还需要部署RR的角色（路由反射器，也叫区域控制器）。因为涉及到动态路由的按需发布，因此除了对VPN模型的编排外，还需要考虑RR模型的部署、业务配置。 华为乾坤云平台作为网络编排和控制层的核心，对网络业务进行抽象，实现网络业务的编排和控制，并对网络业务进行自动发放。RR在华为乾坤云平台的指导下，基于用户定义的VPN拓扑策略，进行出口设备之间的VPN路由和隧道信息按需分发。云平台对整网路径的控制结果首先需要传递给RR，RR实现对全网出口设备的VPN路由、隧道信息的控制和传播，因此RR是网络管理/控制层的重要组成部分。 网络层 网络层主要由物理设备组成，是企业WAN的基础物理组网。当前SD-WAN方案仅支持AR设备作为出口设备。 从网络功能层次划分，SD-WAN网络可以分为Underlay网络和Overlay网络。 Underlay网络：物理网络，是由路由器等网络设备通过运营商提供的物理线路互联组成的WAN，常见类型有MSTP专线、MPLS VPN以及Internet等。 Overlay网络：虚拟网络，是在一张物理网络上构建出一张或多张虚拟的逻辑网络。不同的虚拟网络虽然共享物理网络中的设备和线路，但虚拟网络中的业务与物理网络中的业务相互解耦。虚拟网络的多实例化，既可以服务于同一租户的不同业务（如多个部门），也可以服务于不同租户。 从网络设备的功能定位划分，网络层主要由Edge和GW两类设备构成。 Edge：是站点的出口CPE设备（Customer Premise Equipment）。Edge的本质是SD-WAN隧道的发起和终结点，也可以看做SD-WAN网络的边界点。Edge之间的Overlay隧道可以构建在任意的有线或者无线的Underlay WAN网络上。 GW：是连接SD-WAN站点和其他网络（如传统VPN）的网关设备。通过GW可以实现SD-WAN网络与传统网络、公有云网络间的互通。

背景信息 随着分支办公、分支连锁场景越来越多，分支网络不仅要访问Internet，还要访问总部/数据中心（DC）、甚至其它分支机构。此类场景我们统称为多园区/分支互联场景，需要部署出口互联的园区网络。传统分支接入总部网络一般采用“专线”方式，其成本高、部署效率低，显然无法满足企业发展诉求。当前，企业分支可以选择通过Internet接入总部网络，同时为保证网络互联安全性和可靠性，可以部署IPsec VPN或SD-WAN方案。 本章主要介绍了SD-WAN互联方案，SD-WAN属于一种动态的VPN，可以按需在站点间建立隧道，动态发布路由。SD-WAN通过在站点间建立GRE隧道来创建VPN通道，同时支持在GRE隧道上进行IPsec加密，以实现隧道的加密安全。另外SD-WAN可以基于应用、策略选择质量较优的链路发送数据，实现基于应用、策略的智能选路。 如果有以下场景诉求，建议选择SD-WAN方案： 分支、总部站点多链路上行，分支、总部需要多隧道建链实现多VPN隧道的主备或者负载分担。 有多区域/多中心站点（每个区域相当于一个总部），需要跨区域进行分层互联的复杂互联场景。 园区间有多部门业务隔离的诉求，对WAN侧也需要进行隔离，需要部署多VPN的互联。 需要基于应用、链路质量进行智能选路。

网络信息规划 本案例中规划的网络数据、业务数据等均为示例，仅供参考，请根据实际项目要求调整参数值。 表1 网络物理链路规划表 源设备 源设备Eth-Trunk接口 源设备Eth-Trunk成员接口 目的设备 目的设备Eth-Trunk接口 目的设备Eth-Trunk成员接口 FW1 Eth-Trunk1 GE0/0/3 Stack_A Eth-Trunk1 XGE1/1/0/5 GE0/0/4 Stack_A XGE2/1/0/5 FW2 GE0/0/3 Stack_A XGE1/1/0/6 GE0/0/4 Stack_A XGE2/1/0/6 Stack_A Eth-Trunk3 XGE1/1/0/1 Stack_B Eth-Trunk3 XGE1/1/0/5 XGE2/1/0/1 XGE2/1/0/5 XGE1/1/0/2 XGE1/1/0/6 XGE2/1/0/2 XGE2/1/0/6 表2 网络信息规划 设计项 设计要点 设计内容 管理员设计 租户帐户 租户帐号名称：test@huawei.com 租户帐号密码：Admin@1234 架构规划 网络拓扑 见图1 设备选型 FW：USG6525E 随板AC：S12700E（配置有X系列单板） 接入交换机：S5735-L AP：按场景选AP款型，参见官网的WLAN网络规划指导 站点 站点名称：Site1 站点类型：FW、LSW、WAC/FitAP 设备接口互联 见图1 设备上线规划 FW接入Internet的方式 采用Web网管配置 主用接口：FW1的GE0/0/1接口，PPPoE拨号 备用接口：FW2的GE0/0/1接口，PPPoE拨号 心跳线：主备防火墙通过GE0/0/7连接 FW1的GE0/0/7接口IP地址：10.10.0.1/24 FW2的GE0/0/7接口IP地址：10.10.0.2/24 FW注册上线的方式 采用Web网管配置 华为乾坤云平台URL地址为：device.qiankun-saas.huawei.com，端口号为：10020 随板AC注册上线方式 采用命令行配置 华为乾坤云平台南向IP地址为：139.9.137.139，端口号为：10020 随板AC下挂的设备获取IP地址方式 IP地址获取方式：DHCP动态获取，随板AC作为DHCP Server 有线管理子网： 网关接口：VLANIF 4080 网关接口IP地址及掩码：192.168.100.254/24 DHCP服务器功能：开启 自动协商控制器地址功能：开启 无线管理子网： 网关接口：VLANIF 4090 网关接口IP地址及掩码：192.168.200.254/24 DHCP服务器功能：开启 自动协商WAC地址功能：开启，WAC地址为192.168.200.254 随板AC下挂的设备注册上线方式 DHCP Option148方式：在华为乾坤云平台配置，配置对象是随板AC NAT 在出口网关FW上开启NAT功能 用户上线规划 用户接入 员工（无线接入，Portal认证） 访客（无线接入，Portal认证） 教学上网（有线接入，802.1X认证） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，随板AC作为DHCP Server IP地址范围： − 员工：10.1.2.0/24 − 访客：10.1.4.0/24 − 教学上网：10.1.6.0/24 用户所属的VLAN 员工：VLAN 10 访客：VLAN 20 教学上网：VLAN 30 终端接入与认证方式 员工Wi-Fi：SSID名称为Employee，Portal认证（短信认证） 访客Wi-Fi：SSID名称为Guest，Portal认证（用户名密码认证） 随板AC和FW互联配置 互联VLAN：VLAN 5 互联网段：10.1.10.0/28 路由方式：静态路由 用户业务规划 QoS 单个员工终端带宽限制：5Mbit/s 单个访客终端带宽限制：5Mbit/s

WAN链路数据规划 规划ZTP（Zero Touch Provisioning，零配置部署）开局配置所需的数据。 表1 站点及ZTP配置（总部站点） 参数 数据 备注 站点 Hub1 Hub2 - ZTP模式 URL/U盘 URL/U盘 - 多子接口 OFF OFF - 设备配置 模板导入 Double_RR_Mix Double_RR_Mix - 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 - 链路名称 Device1_internet Device1_internet1 Device2_internet Device2_internet1 Device1_internet Device1_internet1 Device2_internet Device2_internet1 - VN实例 underlay_1 underlay_2 underlay_3 underlay_4 underlay_1 underlay_2 underlay_3 underlay_4 - 接口协议类型 IPoE IPoE IPoE IPoE IPoE IPoE IPoE IPoE - 链路接入网络方式 静态 静态 静态 静态 静态 静态 静态 静态 - IP地址/掩码 20.1.1.1/24 110.1.1.1/24 20.1.2.1/24 110.1.2.1/24 30.1.1.1/24 120.1.1.1/24 30.1.2.1/24 120.1.2.1/24 url开局链路配置完成后不可修改 网关 20.1.1.2 110.1.1.2 20.1.2.2 110.1.2.2 30.1.1.2 120.1.1.2 30.1.2.2 120.1.2.2 url开局链路配置完成后不可修改 公网IP 20.1.1.1 110.1.1.1 20.1.2.1 110.1.2.1 30.1.1.1 120.1.1.1 30.1.2.1 120.1.2.1 该链路上外部可访问的IP地址，分支通过该IP地址注册到RR站点。当RR站点在NAT设备后时，需要规划。 NAT穿越 ON ON ON ON ON ON ON ON - URL开局配置 ON ON ON ON ON ON ON ON 配置完成后开局链路不可修改，非开局链路支持删除和新增。 控制器南向接入服务 Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access WAN链路默认均使用默认南向接入服务（即Public Default South Access）。 上行容量(Mbps) 1000 1000 1000 1000 1000 1000 1000 1000 需要根据客户实际购买的链路带宽设置。 下行容量(Mbps) 1000 1000 1000 1000 1000 1000 1000 1000 表2 站点及ZTP配置（分支站点） 参数 数据 备注 站点 Site1 - ZTP模式 URL/U盘 - 多子接口 OFF - 模板导入 Double_CPE_Mix - 设备 Site1_AR_1 Site1_AR_2 - 链路名称 Device1_internet Device2_internet1 - VN实例 underlay_1 underlay_2 - 接口协议类型 IPoE IPoE - 链路接入网络方式 静态 静态 - IP地址/掩码 50.1.1.1/24 140.1.1.1/24 url开局链路配置完成后不可修改 网关 50.1.1.2 140.1.1.2 url开局链路配置完成后不可修改 NAT穿越 ON ON - URL开局 ON ON 配置完成后开局链路不可修改，非开局链路支持删除和新增。 控制器南向接入服务 Public Default South Access Public Default South Access WAN链路默认均使用默认南向接入服务（即Public Default South Access）。 上行容量(Mbps) 20 20 需要根据客户实际购买的链路带宽设置。 下行容量(Mbps) 100 100 表3 分支站点连接RR站点的规划 分支站点 连接到RR Site1 Hub1、Hub2 父主题： 开局部署数据规划

WAN链路模板规划 不同的站点往往需要配置相同的网关类型、WAN链路条数和传输网络。通过定制链路模板可以将这些重复的配置信息模块化。 图1 总部WAN链路模板规划图 表1 WAN链路模板（总部站点） 参数 数据 模板名 Double_RR_Mix 单/双网关 双网关 支持多子接口 OFF WAN链路 名称 Device1_internet Device1_internet1 Device2_internet Device2_internet1 设备 Device1 Device2 端口 GE0/0/1 GE0/0/2 GE0/0/1 GE0/0/2 Overlay隧道 ON ON ON ON 传输网络 Internet Internet1 Internet Internet1 角色 Active Active Active Active Inter-CPE链路 使用LAN侧二层物理口 OFF VLAN ID 4086～4094 设备1端口 GE0/0/5 GE0/0/6 设备2端口 GE0/0/5 GE0/0/6 图2 分支站点WAN链路模板规划图 表2 WAN链路模板（分支站点） 参数 数据 模板名 Double_CPE_Mix 单/双网关 双网关 支持多子接口 OFF WAN链路 名称 Device1_internet Device2_internet1 设备 Device1 Device2 端口 GE0/0/8 GE0/0/8 Overlay隧道 ON ON 传输网络 Internet Internet1 角色 Active Active Inter-CPE链路 使用LAN侧二层物理口 OFF VLAN ID 4086～4094 设备1端口 GE0/0/1 GE0/0/2 设备2端口 GE0/0/1 GE0/0/2 父主题： 开局部署数据规划

Underlay网络数据规划 站点Underlay网络WAN侧的静态路由。 表1 WAN侧静态路由信息（1） 参数 数据 站点 Hub1 Hub2 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 优先级 60 60 60 60 60 60 60 60 WAN链路 Device1_internet Device1_internet1 Device2_internet Device2_internet1 Device1_internet Device1_internet1 Device2_internet Device2_internet1 目的网段/掩码 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 下一跳类型 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 20.1.1.2 110.1.1.2 20.1.2.2 110.1.2.2 30.1.1.2 120.1.1.2 30.1.2.2 120.1.2.2 探测 OFF OFF OFF OFF OFF OFF OFF OFF 表2 WAN侧静态路由信息（2） 参数 数据 站点 Site1 设备 Site1_AR_1 Site1_AR_2 优先级 60 60 WAN链路 Device1_internet Device2_internet 目的网段/掩码 0.0.0.0/0 0.0.0.0/0 下一跳类型 IP地址 IP地址 IP地址 50.1.1.2 140.1.1.2 探测 ON ON 目标 50.1.1.2 140.1.1.2 父主题： 站点互联数据规划

Overlay ACL策略数据规划 如果需要对站点的LAN接口入方向的业务报文（即外部网络访问站点内的业务）进行阻断时，则需配置Overlay网络的ACL策略。 表1 流分类模板信息 参数 数据 流分类模板名称 test_permit_445_inner test_deny_445_all 规则类型 与 与 ACL类型 IPv4 IPv4 L3 ACL 优先级 10 10 目的IP地址 10.1.0.0/16 - 协议 TCP TCP 目的端口 445-445 445-445 应用组 - - 说明 对特定网段可以访问外部的445端口 禁止内部访问外部的445端口 表2 Overlay ACL策略信息 参数 数据 VN/VN QoS组 OA 策略名称 test_permit_445_inner test_deny_445_all 模板模式 流分类模板 流分类模板 模板名称 test_permit_445_inner test_deny_445_all 接口 LAN LAN 策略优先级 10 20 流量过滤 允许 拒绝 流量方向 Inbound Inbound 生效时间模板 - 站点 Hub1、Hub2、Site1、Site2、Site3 父主题： 业务体验优化数据规划

NTP数据规划 AR设备上报性能数据时，会携带时间戳，如果AR的时间和华为乾坤云平台不一致，则会导致管理员在查看该设备的性能数据时，性能数据的时间与实际不符，站点流量和质量数据无法显示。所以华为乾坤云平台通过配置NTP，使站点设备和华为乾坤云平台的时间保持一致。 RR角色的Hub站点需要“手动配置”，规划数据如表1所示。分支站点NTP为“与RR站点同步”，规划数据如表2所示。 表1 RR角色的Hub站点的NTP信息（与网络设计参数规划中的NTP信息一致） 参数 数据 备注 时区 (UTC+08:00)北京，重庆，香港特别行政区，乌鲁木齐 需要客户提供NTP服务器地址，并且华为乾坤云平台和CPE（customer-premises equipment，客户终端设备）与NTP服务器网络可达。 NTP认证 OFF NTP客户端模式 手动配置 NTP服务器 10.10.1.1 认证模式 HMAC-SHA256 认证密码 ntp123 认证ID 123456 表2 分支站点NTP信息 参数 数据 时区 (UTC+08:00)北京，重庆，香港特别行政区，乌鲁木齐 NTP认证 OFF NTP客户端模式 与RR站点同步 父主题： 开局部署数据规划

智能选路数据规划 如果网络中存在多条链路，为在让高优先级应用选择一条质量好的链路，此时可使用优先级选路。语音，实时视频会议类对时延、抖动敏感业务，建议使用优先选路选择质量较好的链路。其它大流量类业务，建议使用负载分担负载到所有链路上，以便充分利用链路带宽。 表1 实时视频会议流分类模板信息 参数 数据 流分类模板名称 test_traffic_Video 规则类型 与 ACL类型 IPv4 L3 ACL - 应用组 test_app_Video 表2 其它办公业务流分类模板信息 参数 数据 流分类模板名称 test_traffic_ip_dest 规则类型 与 ACL类型 IPv4 L3 ACL 优先级 10 类型 子网掩码 目的IP地址 135.1.1.0/24 应用组 - 表3 智能选路策略信息 参数 数据 备注 VN/VN QoS组 OA 办公业务 策略名称 test_spr_pf test_spr_lb test_spr_pf：为实时视频会议业务使用的智能选路策略，优先调度到MPLS链路，采用优先占用方式的选路。 test_spr_lb：为大流量办公业务（如文件传输业务）使用的智能选路策略，同时负载到MPLS链路和Internet链路，以充分利用线路带宽，采用负载分担方式的选路。 流分类模板 test_traffic_Video test_traffic_ip_dest - 策略优先级 10 20 - 切换指标 实时视频 大容量数据 - 链路切换指标 延迟（ms） 150 300 - 抖动（ms） 20 40 - 丢包率(‰) 10 50 丢包比例阈值。 注意： 丢包率单位为‰，配置时请注意数值换算。 传输网络优先级 主传输网络 传输网络：MPLS、MPLS1，优先级：1 传输网络：Internet、Internet1，优先级：2 传输网络：MPLS、MPLS1、Internet、Internet1，优先级：1 test_spr_pf：通过区分链路的优先级，并且结合“优先占用”，才能达到优先占用的效果。 test_spr_lb：通过配置相同的优先级，并且结合“负载均衡”，才能达到负载均衡的效果。 备传输网络 - - - 流量行为 传输网络间流量行为 优先占用 负载均衡 - 包复制 关 - 只有优先占用才有，不使用广域优化，不建议开启。 负载均衡模式 - 流模式 只有负载均衡，推荐使用流模式。 条件不满足时流量行为 差中选优 等价转发 - 切换模式 可以回切 可以回切 - 站点 Hub1、Site1 Hub1、Site1 - 父主题： 业务体验优化数据规划

网络信息规划 本案例中规划的网络数据、业务数据等均为示例，仅供参考，请根据实际项目要求调整参数值。 表1 网络物理链路规划表 源设备 源设备Eth-Trunk接口 源设备Eth-Trunk成员接口 目的设备 目的设备Eth-Trunk接口 目的设备Eth-Trunk成员接口 FW1 Eth-Trunk1 GE0/0/3 Core Eth-Trunk1 XGE1/1/0/5 GE0/0/4 Core XGE2/1/0/5 FW2 GE0/0/3 Core XGE1/1/0/6 GE0/0/4 Core XGE2/1/0/6 Core Eth-Trunk3 XGE1/1/0/1 LSW1 Eth-Trunk3 GE0/0/2 XGE2/1/0/1 GE0/0/4 Core Eth-Trunk4 XGE1/1/0/2 LSW2 Eth-Trunk4 GE0/0/2 XGE2/1/0/2 GE0/0/4 WAC1 Eth-Trunk5 XGE0/0/5 Core Eth-Trunk5 XGE1/1/0/7 XGE0/0/6 XGE2/1/0/7 WAC2 Eth-Trunk6 XGE0/0/5 Core Eth-Trunk6 XGE1/1/0/8 XGE0/0/6 XGE2/1/0/8 表2 网络信息规划 设计项 设计要点 设计内容 管理员设计 租户帐户 租户帐号名称：test@huawei.com 租户帐号密码：Admin@1234 架构规划 网络拓扑 见图1 设备选型 FW：USG6525E 核心交换机：S12700E 接入交换机：S5735-L WAC：AC6805 Fit AP：AirEngine5760-51 站点 站点名称：Site1 站点类型：FW、LSW、WAC/FitAP 设备接口互联 见图1 设备上线规划 FW接入Internet的方式 采用Web网管配置 主用接口：GE0/0/1接口，PPPoE拨号 备用接口：GE0/0/1接口，PPPoE拨号 心跳线：主备防火墙通过GE0/0/7连接 FW1的GE0/0/7接口IP地址：10.10.0.1/24 FW2的GE0/0/7接口IP地址：10.10.0.2/24 FW注册上线的方式 采用Web网管配置 华为乾坤云平台URL地址为：device.qiankun-saas.huawei.com，端口号为：10020 Eth-Trunk1 IP地址：10.1.10.1/28 核心交换机注册上线方式 采用命令行配置 华为乾坤云平台南向IP地址为：139.9.137.139，端口号为：10020 WAC注册上线方式 采用Web网管配置 华为乾坤云平台URL地址为：device.qiankun-saas.huawei.com，端口号为：10020 无线CAPWAP源接口：VLANIF 4070 HSB互通：VLANIF 4060 WAC1: VLANIF 4070 接口IP:192.168.10.1/24 优先级：120 抢占时间：1200秒 HSB主备服务：VLAN4060；本端IP地址为192.168.20.1，对端IP地址为192.168.20.2，本端及对端端口号均为10241。 恢复延迟时间：60秒 WAC2： VLANIF 4070 接口IP: 192.168.10.2/24 HSB主备服务：VLAN4060；本端IP地址为192.168.20.2，对端IP地址为192.168.20.1，本端及对端端口号均为10241。 恢复延迟时间：60秒 核心交换机下挂的设备获取IP地址方式 IP地址获取方式：DHCP动态获取，核心交换机作为DHCP Server 有线管理子网： 网关接口：VLANIF 4080 网关接口IP地址及掩码：192.168.100.254/24 DHCP服务器功能：开启 自动协商控制器地址功能：开启 无线管理子网： 网关接口：VLANIF 4090 网关接口IP地址及掩码：192.168.200.254/24 DHCP服务器功能：开启 自动协商WAC地址功能：开启，WAC地址为192.168.10.3 和WAC的CAPWAP互通VLAN：4070，IP地址和掩码：192.168.10.254/24 核心交换机下挂的设备注册上线方式 DHCP Option148方式：在华为乾坤云平台配置，配置对象是核心交换机 NAT 在出口网关FW上开启NAT功能 用户上线规划 用户接入 员工（无线接入，802.1X认证） 访客（无线接入，Portal认证） 哑终端（有线接入，MAC认证） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，核心交换机作为DHCP Server IP地址范围： − 员工：10.1.2.0/24 − 访客：10.1.4.0/24 − 哑终端：10.1.6.0/24 用户所属的VLAN 员工：VLAN 10 访客：VLAN 20 哑终端：VLAN 30 终端接入与认证方式 员工Wi-Fi：SSID名称为Employee，802.1X认证 访客Wi-Fi：SSID名称为Guest，Portal认证（短信认证） 哑终端：有线子网DumbDevice，MAC认证 核心交换机和FW互联配置 互联VLAN：VLAN 5 互联网段：10.1.10.0/28 路由方式：静态路由 用户业务规划 QoS 单个员工终端带宽限制：5Mbit/s 单个访客终端带宽限制：5Mbit/s

终端接入与认证方式规划 员工通过无线接入，采用802.1X认证；访客通过无线接入，采用Portal+短信认证；哑终端通过有线接入，采用MAC认证。 表1 终端接入认证 用户分类 终端接入方式 SSID 接入认证方式 业务VLAN 员工 无线接入 Employee 802.1X认证 10 访客 无线接入 Guest Portal认证（短信认证） 20 哑终端 有线接入 - MAC认证 30 员工 有线接入 - 802.1X认证 40 父主题： LAN侧网络数据规划

WAN链路模板规划 不同的站点往往需要配置相同的网关类型、WAN链路条数和传输网络。通过定制链路模板可以将这些重复的配置信息模块化。 图1 总部WAN链路模板规划图 表1 WAN链路模板（总部站点） 参数 数据 模板名 Double_RR_Mix 单/双网关 双网关 支持多子接口 OFF WAN链路 名称 Device1_internet Device1_internet1 Device2_internet Device2_internet1 设备 Device1 Device2 端口 GE0/0/1 GE0/0/2 GE0/0/1 GE0/0/2 Overlay隧道 ON ON ON ON 传输网络 Internet Internet1 Internet Internet1 角色 Active Active Active Active Inter-CPE链路 使用LAN侧二层物理口 OFF VLAN ID 4086～4094 设备1端口 GE0/0/5 GE0/0/6 设备2端口 GE0/0/5 GE0/0/6 图2 分支站点WAN链路模板规划图 表2 WAN链路模板（分支站点） 参数 数据 模板名 Double_CPE_Mix 单/双网关 双网关 支持多子接口 OFF WAN链路 名称 Device1_internet Device2_internet1 设备 Device1 Device2 端口 GE0/0/8 GE0/0/8 Overlay隧道 ON ON 传输网络 Internet Internet1 角色 Active Active Inter-CPE链路 使用LAN侧二层物理口 OFF VLAN ID 4086～4094 设备1端口 GE0/0/1 GE0/0/2 设备2端口 GE0/0/1 GE0/0/2 父主题： 开局部署数据规划

VN数据规划 企业内部多个部门业务有隔离要求，需要通过部门（即VN）来构建多个Overlay网络。保证不同的部门转发独立，转发互相不能访问，从而实现不同部门业务在网络转发层面的安全隔离。 表1 Overlay网络VN的基本信息 参数 数据 备注 VN名称 VPN1 界面展示使用。 IPSec加密 ON - 站点名称 Hub1、Hub2、Site1 - 拓扑模式 Hub-Spoke 不建议修改，触发全网路由重新编排，业务中断。 中心站点 主：Hub1 备：Hub2 - 父主题： 站点互联数据规划

LANWAN互联口规划（业务网） 分支站点的出口AR作为LAN侧业务的用户网关，还需要在出口AR上为互联的业务规划对应的VLAN和IP地址等。本举例中的规划如表2所示。 表2 分支站点AR的LANWAN互联口信息（业务网） 参数 数据 VN VPN1 站点 Site1 设备 Site1_AR 网关接口 L2 L2 L2 L2 VLAN ID 10（无线-员工） 20（无线-访客） 30（有线-哑终端） 40（有线-员工） 物理接口 接口 GE0/0/1 GE0/0/1 GE0/0/1 GE0/0/1 模式 Tag Tag Tag Tag 信任模式 信任 信任 信任 信任 IPv4属性 IP地址 192.168.4.1/24 192.168.5.1/24 192.168.6.1/24 192.168.7.1/24 DHCP 使能 使能 使能 使能 DHCP类型 Server Server Server Server DNS server 请向客户获取，以8.8.8.8和114.114.114.114为例 请向客户获取，以8.8.8.8和114.114.114.114为例 请向客户获取，以8.8.8.8和114.114.114.114为例 请向客户获取，以8.8.8.8和114.114.114.114为例 VRRP 不使能 不使能 不使能 不使能 ARP代理 不使能 不使能 不使能 不使能 MTU 1500 1500 1500 1500 MSS 1200 1200 1200 1200

LANWAN互联口规划（管理网） 分支站点出口AR作为LAN侧设备的管理网关，开启DHCP Server并配置Option148参数，用于LAN侧设备获取华为乾坤云平台地址。 LAN侧设备使用VLAN 1向DHCP服务器发送请求报文，获取NETCONF使能状态和IP地址以及华为乾坤云平台的相关信息，从而注册到华为乾坤云平台。 表1 分支站点AR的LANWAN互联口信息（管理网） 参数 数据 VN VPN1 站点 Site1 设备 Site1_AR 网关接口 L2 VLAN ID 101 物理接口 接口 GE0/0/1 模式 Untag 信任模式 信任 IPv4属性 IP地址 192.168.2.1/24 DHCP 使能 DHCP类型 Server 选项 [148]云平台地址 值 agilemode=agile-cloud;agilemanage-mode=domain;agilemanage-domain=device.qiankun-saas.huawei.com;agilemanage-port=10020 其中：agilemanage-domain需要设置为华为乾坤云平台的南向 域名 。 DNS server 请向客户获取，以8.8.8.8和114.114.114.114为例 VRRP 不使能 MTU 1500 MSS 1200

网络物理链路规划 图1 网络物理链路规划图 表1 网络物理链路规划表 站点 源设备 源设备接口 目的设备 目的设备接口 总部DC1 Hub1_1/Hub1_2 GE0/0/1 Internet侧设备（运营商A） - Hub1_1/Hub1_2 GE0/0/2 Internet侧设备（运营商B） - Hub1_1 GE0/0/5 GE0/0/6 Hub1_2 GE0/0/5 GE0/0/6 总部DC2 Hub2_1/Hub2_2 GE0/0/1 Internet侧设备（运营商A） - Hub2_1/Hub2_2 GE0/0/2 Internet侧设备（运营商B） - Hub2_1 GE0/0/5 GE0/0/6 Hub2_2 GE0/0/5 GE0/0/6 分支 Site1_AR_1 GE0/0/8 Internet侧设备（运营商A） - Site1_AR_1 GE0/0/1 GE0/0/2 Site1_AR_2 GE0/0/1 GE0/0/2 Site1_AR_1 Eth-Trunk7： GE0/0/5 GE0/0/6 Site1_Core Eth-Trunk1： GE1/1/0/46 GE2/1/0/46 Site1_AR_2 GE0/0/8 Internet侧设备（运营商B） - Site1_AR_2 Eth-Trunk7： GE0/0/5 GE0/0/6 Site1_Core Eth-Trunk2： GE1/1/0/47 GE2/1/0/47 Site1_Core Eth-Trunk3： GE1/1/0/1 GE2/1/0/1 Site1_ACC Eth-Trunk1： GE0/0/24 GE0/0/23 Site1_ACC GE0/0/2 Site1_AP GE0/0/0 GE0/0/1 哑终端 - GE0/0/12 有线终端 - 父主题： 数据规划

LANWAN互联口规划（业务网） 分支站点内LAN侧为三层网络，需要在出口AR和核心设备上配置LANWAN的互联口信息，如下表所示。 表3 分支站点LANWAN互联口信息（业务网规划，网关） 参数 数据（网关） VN VPN1 站点 Site1 设备 Site1_AR_1 Site1_AR_2 网关接口 L2 L2 VLAN ID 301 302 物理接口 接口 Eth-Trunk7 Eth-Trunk7 模式 tag tag 信任模式 信任 信任 IPv4属性 IP地址 10.10.10.17/30 10.10.10.21/30 DHCP 不开启 不开启 VRRP 不开启 不开启 ARP 不开启 不开启 表4 分支站点LANWAN互联口信息（业务网规划，核心） 参数 数据（核心） VN VPN1 站点 Site1 设备 Site1_Core 类型 VLANIF VLANIF VLAN ID 301 302 接口 Eth-Trunk1 Eth-Trunk2 IPv4 10.10.10.18/30 10.10.10.22/30

LANWAN互联路由规划（业务面） 分支站点的LAN侧是三层网络，为了和LAN侧网络互通，需要配置LANWAN互联路由，本举例中使用OSPF。 表5 LANWAN互联OSPF路由信息 参数 数据（网关） 数据（核心） 设备 Site1_AR_1 Site1_AR_2 Site1_Core 接口名称 Vlanif301 Vlanif302 Vlanif301 Vlanif302 进程ID 1001 1001 1001 1001 区域配置 区域ID 0 0 0 0 接口配置 验证模式 None None None None 高级配置 DR优先级 0 0 0 0 Hello报文间隔 10 10 10 10 表6 进程ID信息 参数 数据（网关） 数据（核心） 设备 Site1_AR_1 Site1_AR_2 Site1_Core Site1_Core 进程ID 1001 1001 1001 1001 Router ID 172.0.0.6 172.0.0.7 - - 通用参数 通告默认路由 ON ON - - 默认路由开销 1 1 - - 内部优先级 10 10 - - ASE优先级 150 150 - - 路由引入 保持默认 保持默认 保持默认 保持默认

LANWAN互联路由规划（管理面） 分支站点的LAN侧是三层网络，为了和LAN侧网络互通，需要配置LANWAN互联路由，本举例中使用静态路由。 表2 LANWAN互联静态路由信息 参数 数据 设备 Site1_AR_1 Site1_AR_1 Site1_AR_2 Site1_AR_2 优先级 60 60 60 60 目的网段/掩码 核心交换机的VLAN4080网段 200.1.8.0/24 核心交换机的VLAN4090网段 200.1.9.0/24 核心交换机的VLAN4080网段 200.1.8.0/24 核心交换机的VLAN4090网段 200.1.9.0/24 下一跳类型 IP地址 IP地址 IP地址 IP地址 IP地址 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211

LANWAN互联口规划（管理网） 分支站点出口AR作为核心交换机的管理网关，需要在出口AR上单独规划管理VLAN和IP地址，并配置DHCP Server和Option148参数，用于核心交换机上线云平台。 表1 分支站点AR的LANWAN互联口信息（管理网规划） 参数 数据 VN VPN1 站点 Site1 设备 Site1_AR_1 Site1_AR_2 网关接口 L2 L2 VLAN ID 101 101 物理接口 接口 Eth-Trunk7 Eth-Trunk7 模式 Untag Untag 信任模式 信任 信任 IPv4属性 IP地址 192.168.3.2/24 192.168.3.3/24 DHCP 使能 DHCP类型 Server 选项 [148]云平台地址 值 agilemode=agile-cloud;agilemanage-mode=domain;agilemanage-domain=device.qiankun-saas.huawei.com;agilemanage-port=10020 其中：agilemanage-domain需要设置为华为乾坤云平台的南向域名。 DNS server 请向客户获取，以8.8.8.8和114.114.114.114为例 请向客户获取，以8.8.8.8和114.114.114.114为例 VRRP 使能 使能 VRRP ID 1 1 虚拟IP 192.168.3.1 192.168.3.1 默认角色 Master Backup 抢占延迟（s） 30 0 Track 不使能 不使能 ARP代理 不使能 不使能 MTU 1500 1500 MSS 1200 1200

VN数据规划 企业内部多个部门业务有隔离要求，需要通过部门（即VN）来构建多个Overlay网络。保证不同的部门转发独立，转发互相不能访问，从而实现不同部门业务在网络转发层面的安全隔离。 表1 Overlay网络VN的基本信息 参数 数据 备注 VN名称 VPN1 界面展示使用。 IPSec加密 ON - 站点名称 Hub1、Hub2、Site1 - 拓扑模式 Hub-Spoke 不建议修改，触发全网路由重新编排，业务中断。 中心站点 主：Hub1 备：Hub2 - 父主题： 站点互联数据规划

组网需求 某连锁超市为改善无线信号质量，需要更换原有WiFi5设备，使用华为交换机和WiFi6设备进行更新换代。 该超市具有如下特点和诉求： 没有IT人员，缺乏网络建设与运维能力。 超市面积＜1000㎡，最大同时在线终端数＜1000个。 希望在客户接入无线网络时，为客户推送促销优惠政策信息。 基于连锁超市的诉求，可采用华为乾坤云管理网络完成网络部署和运维。由于企业没有IT人员，可以选择由MSP进行代建和代维。 该超市网络架构如图1所示，部署一台路由器（非华为设备）作为出口网关，部署新购的华为交换机和AP，用于连接有线及无线终端。 图1 仅接入LSW+云AP组网拓扑图示例 父主题： 仅接入LSW+云AP组网场景

LAN侧路由数据规划 为了使站点网关和LAN侧网络互通，需要配置Overlay LAN侧路由。 表1 LAN侧OSPF路由信息 参数 数据 VN OA 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 路由协议 OSPF 进程ID 1001 1001 1001 1001 Router ID - - - - 通用参数 通告默认路由 OFF OFF OFF OFF 内部优先级 10 10 10 10 ASE优先级 150 150 150 150 接口参数 区域ID 0 0 0 0 区域类型 normal normal normal normal 接口名称 GE0/0/6 GE0/0/6 GE0/0/6 GE0/0/6 网络类型 p2p p2p p2p p2p 接口开销 10 10 10 10 填充MTU OFF OFF OFF OFF 验证模式 None None None None DR优先级 0 0 0 0 Hello报文间隔 2 2 2 2 路由引入 协议 - - - - 进程ID - - - - 开销 - - - - Overlay路由聚合 OFF OFF OFF OFF 路由策略 发布 ON ON ON ON 匹配 IP前缀 IP地址掩码 10.1.0.0/16 10.1.0.0/16 10.1.0.0/16 10.1.0.0/16 掩码范围下限 16 16 16 16 掩码范围上限 32 32 32 32 应用 过滤类型 黑名单 黑名单 黑名单 黑名单 接收 OFF OFF OFF OFF 父主题： 站点互联数据规划

站点上网数据规划 站点需要上网时，统一通过Hub站点上网，Hub1为主网关。 如果客户想要让部分特定应用进行本地上网走Underlay出局，其余应用走默认的SD-WAN Overlay隧道，这种场景下可以配置基于应用的本地上网。 表1 流分类模板信息 参数 数据 流分类模板名称 test_traffic_local 规则类型 与 ACL类型 IPv4 L3 ACL - 应用组 test_app_local 表2 站点上网信息（分支站点配置基于应用的本地上网策略） 参数 数据 VN/VN QoS组 OA 本地网关 站点 Site1、Site2 上网策略类型 应用流量 上网方式 本地上网 流分类模板 test_traffic_local 链路优先级 Internet：1 NAT ON 使能链路 ON 父主题： 站点互联数据规划

数据规划 表1 无线用户数据规划 配置项 数据 SSID模板 模板名称：wlan-net-ssid2 SSID名称：Employee 转发模式：隧道转发 业务VLAN：VLAN10 绑定AP组：default 安全模板 名称：wlan-net-security2 安全策略：WAP2 认证方式：Dot1x 加密方式：AES 认证模板 名称：wlan-net-Auth2 接入方式：802.1x接入 认证模式：Radius认证 802.1X认证配置 用户认证方式：EAP RADIUS服务器配置 RADIUS服务器模板：Radius IP地址：华为乾坤云平台南向IP地址139.9.137.139 Called-Station-Id格式：AC MAC

站点和设备数据规划 各个站点的设备，需要先添加到云平台，管理员才能对设备进行配置和管理。 表1 站点规划 站点名称 设备类型 Hub1 AR Hub2 AR Site1 AR、LSW、WAC/FitAP 表2 设备信息 所属站点 设备名称 设备型号 设备角色 设备ESN数据 备注 Hub1 Hub1_1 AR6280 网关+路由反射器 请从设备的物理标签上获取 设备名称可修改。 说明： “设备型号”均为举例，请以实际为准。 Hub1_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2 Hub2_1 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Site1 Site1_AR_1 AR6121E 网关 请从设备的物理标签上获取 Site1_AR_2 AR6121E 网关 请从设备的物理标签上获取 Site1_Core_slot0 S12700E-4 核心 请从设备的物理标签上获取 Site1_Core_slot1 S12700E-4 核心 请从设备的物理标签上获取 Site1_ACC S5735-L48P4X-A1 接入 请从设备的物理标签上获取 Site1_WAC_1 AC6805 WAC 请从设备的物理标签上获取 Site1_WAC_2 AC6805 WAC 请从设备的物理标签上获取 Site1_AP AirEngine5760-51 AP 请从设备的物理标签上获取 父主题： 开局部署数据规划

QoS策略数据规划 希望对应用或者流量进行带宽限制时，需要配置QoS策略。 流分类：用来定义一组流量匹配规则，以对报文进行分类。流分类模板，即将匹配一定规则的报文归为一类，对匹配同一流分类的报文进行相同的处理。 表1 流分类模板信息1 参数 数据 流分类模板名称 test_traffic_IPCamera 规则类型 与 ACL类型 IPv4 L3 ACL - 应用组 test_app_IPCamera 表2 流分类模板信息2 参数 数据 流分类模板名称 test_traffic_Voip 规则类型 与 ACL类型 IPv4 L3 ACL - 应用组 test_app_Voip 创建策略行为模板，包括配置重定向策略的模板和QoS策略的模板，QoS策略的模板又根据作用在不同接口上分为WAN策略行为模板和LAN策略行为模板。 表3 策略行为模板信息1 参数 数据 策略行为名称 test_behavior_IPCamera 行为类型 QoS 类型 WAN 流方向 Outbound 队列优先级 关 流量带宽限制 限制类型 流量监管 限制带宽 Value 10Mbps DSCP标记 关 队列长度 关 8021P标记 关 统计开关 开 使能Re-mark Mpls Exp 关 使能Wred 关 表4 策略行为模板信息2 参数 数据 策略行为名称 test_behavior_Voip 行为类型 QoS 类型 WAN 流方向 Outbound 队列优先级 优先级 高 保证带宽 Value 5Mbps 流量带宽限制 关 DSCP标记 关 队列长度 关 8021P标记 关 统计开关 开 使能Re-mark Mpls Exp 关 使能Wred 关 对应用或者流量进行带宽限制时，需要配置QoS策略。 表5 QoS策略信息 参数 数据 VN/VN QoS组 IM 策略名称 test_qos_IPCamera 流量方向 Outbound 策略优先级1 10 流分类模板1 test_traffic_IPCamera WAN策略行为模板1 test_behavior_IPCamera 策略优先级2 20 流分类模板2 test_traffic_Voip WAN策略行为模板2 test_behavior_Voip 站点 Site1、Site2、Site3 父主题： 业务体验优化数据规划

网络信息规划 本案例中规划的网络数据、业务数据等均为示例，仅供参考，请根据实际项目要求调整参数值。 表1 网络信息规划 设计项 设计要点 设计内容 管理员设计 租户帐号 租户帐号名称：test@huawei.com 租户帐号密码：Admin@1234 架构规划 网络拓扑 见图1 设备选型 核心交换机：S5731-H 接入交换机：S5735-L AP：按场景选AP款型，参见官网的WLAN网络规划指导 站点 站点名称：Site1 站点类型：LSW、云AP 设备接口互联 见图1 设备上线规划 核心交换机（堆叠）注册上线方式 采用命令行配置 华为乾坤云平台南向IP地址为：139.9.137.139，端口号为：10020 核心交换机下挂的设备注册上线方式 DHCP Option148方式： 核心交换机作为DHCP Server IP地址范围：10.1.1.0/24 用户上线规划 用户接入 员工（无线接入，802.1X认证） 访客（无线接入，Portal认证） 哑终端（有线接入，MAC认证） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，核心交换机作为DHCP Server IP地址范围： 员工：10.1.2.0/24 访客：10.1.4.0/24 哑终端：10.1.6.0/24 用户所属的VLAN 员工：VLAN 10 访客：VLAN 20 哑终端：VLAN 30 终端接入与认证方式 员工Wi-Fi：SSID名称为Employee，802.1X认证 访客Wi-Fi：SSID名称为Guest，Portal认证（短信认证） 哑终端：有线子网DumbDevice，MAC认证 核心交换机和第三方路由器互联配置 互联VLAN：VLAN 5 互联网段：10.1.10.0/28 路由方式：静态路由 用户业务规划 QoS 单个员工终端带宽限制：5Mbit/s 单个访客终端带宽限制：5Mbit/s 表2 网络物理链路规划表 设备 设备Eth-Trunk接口 Eth-Trunk接口成员 接口类型 接口地址 备注 出口（第三方路由器）AR1 Eth-Trunk1 -- 三层口 10.1.10.1/24 与核心交换机互联互通地址，VRRP IP为10.1.10.111/24 出口（第三方路由器）AR2 Eth-Trunk2 -- 三层口 10.1.10.2/24 与核心交换机互联互通地址，VRRP IP为10.1.10.111/24 核心交换机（堆叠） Eth-Trunk1 两台核心交换机的GE0/0/1、GE1/0/1 VLANIF 10.1.10.3/24 用于和第三方AR1互联互通地址 Eth-Trunk2 两台核心交换机的GE0/0/2、GE1/0/2 用于和第三方AR2互联互通地址 Eth-Trunk3 两台核心交换机的GE0/0/3、GE1/0/3 VLANIF 自动获取 下行连接用于有线终端和AP接入的交换机 接入交换机 Eth-Trunk3 GE0/0/3、GE0/0/4 VLANIF 自动获取 上行到核心交换机

Underlay网络数据规划 站点Underlay网络WAN侧的静态路由。 表1 WAN侧静态路由信息（1） 参数 数据 站点 Hub1 Hub2 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 优先级 60 60 60 60 60 60 60 60 WAN链路 Device1_internet Device1_internet1 Device2_internet Device2_internet1 Device1_internet Device1_internet1 Device2_internet Device2_internet1 目的网段/掩码 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 下一跳类型 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 20.1.1.2 110.1.1.2 20.1.2.2 110.1.2.2 30.1.1.2 120.1.1.2 30.1.2.2 120.1.2.2 探测 OFF OFF OFF OFF OFF OFF OFF OFF 表2 WAN侧静态路由信息（2） 参数 数据 站点 Site1 设备 Site1_AR_1 Site1_AR_2 优先级 60 60 WAN链路 Device1_internet Device2_internet 目的网段/掩码 0.0.0.0/0 0.0.0.0/0 下一跳类型 IP地址 IP地址 IP地址 50.1.1.2 140.1.1.2 探测 ON ON 目标 50.1.1.2 140.1.1.2 父主题： 站点互联数据规划