华为云用户手册

背景信息 对于哑终端，需要在华为乾坤云平台上添加MAC账号、配置认证方式等，然后对哑终端进行认证授权。华为乾坤云平台可以在同一类用户组的授权结果中绑定相应安全组，认证控制点设备在执行安全组策略时，能够基于绑定的安全组控制哑终端访问权限。在用户管理页面，首先创建用户组，然后将MAC账号添加到规划的用户组中，哑终端可以通过该账号进行认证。建议将同一权限的MAC账号分配在同一用户组，方便后续以用户组为单位进行授权操作。哑终端的账号数据规划如表1所示。 表1 哑终端的账号数据规划表 用户组 MAC账号 MAC地址 Wireless_Dumb_Group（哑终端） wireless_dumb1 00-01-00-01-00-04

认证服务器侧的配置 配置社交媒体参数。 配置访客账号策略：本案例使用系统缺省策略。如果系统的缺省策略不能满足需求时，请根据实际需求创建新的策略。 配置Portal推送页面：本案例使用“默认微信链接认证”推送页面。如果系统的缺省推送页面不能满足需求时，请根据实际需求创建新的推送页面。 配置Portal推送策略PortalPageRule，认证方式为微信链接认证，推动页面为默认推送页面，认证成功后不跳转。 创建认证规则authenRule，认证方式采用用户接入认证，开启Portal-HACA协议。 配置授权结果：本案例使用缺省授权结果“允许接入”。如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则authorRule，认证方式采用用户接入认证，开启Portal-HACA协议。

特性约束 设备和华为乾坤云平台的时间必须保持同步，如果两者时间差超过10分钟，华为乾坤云平台上将无法展示设备上报的数据。如果不同步，建议通过配置同源的NTP服务器来保证设备和平台时间同步。 对于不支持RTC（Real-Time Clock）功能的交换机设备，如果其NTP服务器发生故障或者和NTP服务器断连，交换机断电重启后会以上次写入Flash的时间为准，设备和平台之间的时间差可能会超过10分钟。请解决NTP服务器故障或者网络故障，恢复NTP时间同步，上报数据方可正常显示。以下交换机不支持RTC： S5720-LI系列交换机。 S5720S-LI系列交换机。 S5720I-6X-PWH-SI-AC、S5720I-10X-PWH-SI-AC、S5720I-12X-SI-AC、S5720I-12X-PWH-SI-DC。 S5735-L、S5735S-L、S5735-SL-M、S5735-S-I。 S8700-6、S8700-10、S6730-H24X6C-V2、S6730-H48X6C-V2、S6730-H48Y6C-V2、S6730-H48Y6C-TV2、S6730-H24X6C-TV2、S6730-H48X6C-TV2不支持上报告警数据信息功能。 S8700和S6730-H系列交换机只支持上报性能数据信息和上报设备日志信息开关。

操作步骤 登录华为乾坤控制台，单击左上角“大屏”，在大屏页面选择“租户网络大屏”。 若只购买开通了云管理网络，则默认进入租户网络大屏，无需选择。 （可选）在网络大屏上方，单击，可设置定时刷新时间。单击支持全屏显示。 单击页面上，支持用户自定义网络大屏，选择需要展示的模块。 表1 租户网络大屏模块说明 模块 说明 网规方案统计 网规设计方案：显示网络规划与设计中的方案总数。 无线网规方案：显示网络设计方案中涉及的无线设计的方案总数。 开局站点统计 站点统计：显示租户当前创建的站点数量，以及不同状态的站点数量分布。 设备统计：显示租户当前添加的设备数量，以及不同状态的设备数量分布。 在线设备趋势 显示租户在线设备数量的趋势。默认显示近7天的在线设备数量，可单击卡片上修改。 24小时流量统计 显示租户所有在线设备累计转发的流量。 网络调优与收益 默认显示当天的网络调优与收益数据。 调优次数：显示全局调优次数、局部调优次数以及AI漫游引导次数。 调优收益：显示干扰率、下行带宽以及漫游成功率。 AP代际升级 显示当前时间窗内Wi-Fi 6款型AP和非Wi-Fi 6款型性能对比情况，以及AP的升级建议。 网络健康度评分 显示当前时间窗内网络健康度总体评分。默认显示今天的健康度评分。 已处理问题分布 显示当前时间窗内网络已处理无线接入问题，包括接入类问题、性能类问题以及漫游类问题。默认显示今天的已处理问题分布。 用户体验评估 显示各个评分等级的用户数。 应用总流量趋势 显示当前时间窗内的应用的流量分析，默认显示今天的应用总流量分布，可单击卡片上修改。 地图 显示当前站点部署、站点间VPN互联概况和站点配置概况。 在地图右下角菜单栏提供以下操作。 地图中红色站点表示该站点中有异常设备，绿色站点表示该站点设备正常或者为空站点。 地图默认展示自动视角。可单击地图右下角选择自定义模式视角，单击保存，则地图展示自定义视角。 滚动鼠标可以缩放地图，单击聚合站点或者单击地图页面右下角“+”、“-”图标，可放大地图分散站点。

网络信息规划 本案例中规划的网络数据、业务数据等均为示例，仅供参考，请根据实际项目要求调整参数值。 表1 网络物理链路规划表 源设备 源设备Eth-Trunk接口 源设备Eth-Trunk成员接口 目的设备 目的设备Eth-Trunk接口 目的设备Eth-Trunk成员接口 FW1 Eth-Trunk1 GE0/0/3 Core Eth-Trunk1 XGE1/1/0/5 GE0/0/4 Core XGE2/1/0/5 FW2 GE0/0/3 Core XGE1/1/0/6 GE0/0/4 Core XGE2/1/0/6 Core Eth-Trunk3 XGE1/1/0/1 LSW1 Eth-Trunk3 GE0/0/2 XGE2/1/0/1 GE0/0/4 Core Eth-Trunk4 XGE1/1/0/2 LSW2 Eth-Trunk4 GE0/0/2 XGE2/1/0/2 GE0/0/4 WAC1 Eth-Trunk5 XGE0/0/5 Core Eth-Trunk5 XGE1/1/0/7 XGE0/0/6 XGE2/1/0/7 WAC2 Eth-Trunk6 XGE0/0/5 Core Eth-Trunk6 XGE1/1/0/8 XGE0/0/6 XGE2/1/0/8 表2 网络信息规划 设计项 设计要点 设计内容 管理员设计 租户帐户 租户账号名称：test@huawei.com 租户账号密码：Admin@1234 架构规划 网络拓扑 见图1 设备选型 FW：USG6525E 核心交换机：S12700E 接入交换机：S5735-L WAC：AC6805 Fit AP：AirEngine5760-51 站点 站点名称：Site1 站点类型：FW、LSW、WAC/FitAP 设备接口互联 见图1 设备上线规划 FW接入Internet的方式 采用Web网管配置 主用接口：GE0/0/1接口，PPPoE拨号 备用接口：GE0/0/1接口，PPPoE拨号 心跳线：主备防火墙通过GE0/0/7连接 FW1的GE0/0/7接口IP地址：10.10.0.1/24 FW2的GE0/0/7接口IP地址：10.10.0.2/24 FW注册上线的方式 采用Web网管配置 华为乾坤云平台URL地址为：device.qiankun-saas.huawei.com，端口号为：10020 Eth-Trunk1 IP地址：10.1.10.1/28 核心交换机注册上线方式 采用命令行配置 华为乾坤云平台南向IP地址为：139.9.137.139，端口号为：10020 WAC注册上线方式 采用Web网管配置 华为乾坤云平台URL地址为：device.qiankun-saas.huawei.com，端口号为：10020 无线CAPWAP源接口：VLANIF 4070 HSB互通：VLANIF 4060 WAC1: VLANIF 4070 接口IP:192.168.10.1/24 优先级：120 抢占时间：1200秒 HSB主备服务：VLAN4060；本端IP地址为192.168.20.1，对端IP地址为192.168.20.2，本端及对端端口号均为10241。 恢复延迟时间：60秒 WAC2： VLANIF 4070 接口IP: 192.168.10.2/24 HSB主备服务：VLAN4060；本端IP地址为192.168.20.2，对端IP地址为192.168.20.1，本端及对端端口号均为10241。 恢复延迟时间：60秒 核心交换机下挂的设备获取IP地址方式 IP地址获取方式：DHCP动态获取，核心交换机作为DHCP Server 有线管理子网： 网关接口：VLANIF 4080 网关接口IP地址及掩码：192.168.100.254/24 DHCP服务器功能：开启 自动协商控制器地址功能：开启 无线管理子网： 网关接口：VLANIF 4090 网关接口IP地址及掩码：192.168.200.254/24 DHCP服务器功能：开启 自动协商WAC地址功能：开启，WAC地址为192.168.10.3 和WAC的CAPWAP互通VLAN：4070，IP地址和掩码：192.168.10.254/24 核心交换机下挂的设备注册上线方式 DHCP Option148方式：在华为乾坤云平台配置，配置对象是核心交换机 NAT 在出口网关FW上开启NAT功能 用户上线规划 用户接入 员工（无线接入，802.1X认证） 访客（无线接入，Portal认证） 哑终端（有线接入，MAC认证） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，核心交换机作为DHCP Server IP地址范围： − 员工：10.1.2.0/24 − 访客：10.1.4.0/24 − 哑终端：10.1.6.0/24 用户所属的VLAN 员工：VLAN 10 访客：VLAN 20 哑终端：VLAN 30 终端接入与认证方式 员工Wi-Fi：SSID名称为Employee，802.1X认证 访客Wi-Fi：SSID名称为Guest，Portal认证（短信认证） 哑终端：有线子网DumbDevice，MAC认证 核心交换机和FW互联配置 互联VLAN：VLAN 5 互联网段：10.1.10.0/28 路由方式：静态路由 用户业务规划 QoS 单个员工终端带宽限制：5Mbit/s 单个访客终端带宽限制：5Mbit/s

进入AC网管界面 使用网线将PC与AC的端口相连。 PC终端打开浏览器软件（以Windows IE10.0为例），在地址栏中输入“https://169.254.1.1”（169.254.1.1为示例，请以实际配置的接入端口IP地址为准），按下回车键，显示Web网管的登录页面。 您可以在《WLAN缺省账号与密码》（企业网、运营商）文档中获取各种缺省账号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。为确保账号安全，建议首次登录后修改缺省密码。

配置防火墙连网 无论是主用防火墙或备用防火墙，均通过GE0/0/1接口，采用PPPoE拨号方式接入到运营商网络。过程一样，详细步骤如下。 设备连线。 用网线将防火墙（主/备）的GE0/0/1接口连接到运营商的互联网。 用网线将PC连接到防火墙（主/备）的管理网口（MEth0/0/0）。如果防火墙支持Wi-Fi功能，可以选择手机/PC连接防火墙的Wi-Fi。SSID：HUAWEI-FIREWALL，密码：admin@123。Wi-Fi连接成功后请不要切换网络。 通过Web方式登录防火墙并修改密码。 在管理PC上配置网络连接的IP地址为192.168.0.2（192.168.0.2～192.168.0.254中任意一个），子网掩码为255.255.255.0。如使用Wi-Fi连接防火墙，可以跳过此步骤。 使用浏览器访问缺省IP地址“https://192.168.0.1:8443”登录防火墙的Web界面。 您可以在《华为安全产品缺省账号与密码》（企业网、运营商）文档中获取各种缺省账号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。为确保账号安全，建议首次登录后修改缺省密码。 按照系统提示，修改登录密码。 使用新密码重新登录防火墙。 将运行模式切换为云管理模式。单击“面板 ＞ 设备信息 ＞ 云管理模式”后的“配置”，勾选“启用”，单击“确定”。执行此操作后，系统会提示清除设备的配置并重新启动。重启完毕，切换为云管理模式。 配置接入运营商网络。 配置防火墙（主/备）采用以太接口（PPPoE拨号）接入Internet，按表1配置上网参数。 单击“网络 ＞ 接口”，在“接口列表”中选择GE0/0/1接口。 表1 采用PPPoE方式接入Internet参数配置表 参数名称 参数取值 接口名称 GigabitEthernet0/0/1 安全区域 untrust 连接类型 PPPoE 用户名 通过运营商ISP获取 密码 在线方式 一直在线

后续操作 创建IPsec VPN通道后，支持对IPsec VPN进行如下操作： 搜索：在IPsec VPN配置列表左上方搜索框输入名称、设备、设备站点或状态，单击左侧或按回车键直接搜索。 修改：选中目标IPsec VPN网络，单击列表中“编辑”，可修改当前IPsec VPN配置。 修改IPsec VPN会导致设备之前的IPsec VPN隧道中断，可能无法重新建立，请谨慎操作。 删除：选中目标IPsec VPN网络，单击列表中“删除”或选中多个IPsec VPN网络单击列表右上方“删除”，支持单个或批量删除IPsec VPN网络。 若设备为“未注册”或“离线”状态，将无法成功删除设备所在的VPN。 查看下发状态：单击列表中 “查看下发状态”，可查看当前站点间IPsec VPN配置下发状态。如需重新下发IPsec VPN配置，可单击“重新下发”。 IPsec VPN配置状态如下： 预配置：设备还未上线，配置待下发。 失败：设备上线成功，配置下发失败。 告警：设备上线成功，配置下发异常。 正在部署：设备上线成功，配置正在下发中。 成功：设备上线成功，配置下发成功。

背景信息 根据实际情况，添加需要互联的分支、总部站点，并创建“点对点”或“点对多点”的VPN隧道，配置互联相关的信息。 为提升数据传输的安全性，用户可以在防火墙、AR与对端设备之间建立IPsec隧道，将需要保护的数据引流到该IPsec隧道。通过安全协议对IPsec隧道中的网络报文进行加密传输和验证，可以保障关键业务数据在Internet中安全传输，降低信息泄漏的风险。 在Hub-Spoke场景中，V500R005C00及以后版本的防火墙还支持IPsec智能选路功能。开启该功能后，防火墙会选用最先配置的链路建立IPsec隧道，并通过持续发送ICMP报文检测IPsec隧道内通信的时延和丢包率。当两个指标任意一项高于指定阈值，防火墙会切换到其他链路建立IPsec隧道，并继续检测IPsec隧道的时延和丢包率，直至隧道的时延和丢包率达标或者循环切换次数达到设定的上限（缺省为3次）。启用智能选路功能后，Hub和Spoke的选取规则如下： 设备角色 约束条件 Hub 当前只支持防火墙或第三方设备作为Hub设备。 已作为Spoke使用的设备不能同时作为Hub使用。 非智能选路场景下，只支持1台Hub设备，一个VPN中的Hub设备不能和其他VPN重复。 智能选路场景下，最多支持10台Hub设备。 子网数必须大于0，且不能大于16。 Spoke 已作为Hub使用的设备不能同时作为Spoke使用。 一个Spoke设备最多在3个VPN中。 一个VPN最多支持32台互访设备或者200台不互访设备。 Spoke子网网段不能重叠。 VPN最后一个Spoke节点不允许删除。 子网数必须大于0，且不能大于16。 当前仅支持一级租户下的用户进行“站点间互联”配置。 低于V300R003C10版本的AR设备不支持配置IPsec VPN。 AR设备不支持Mesh组网，也不支持作为Hub节点，可作为Spoke节点。 AR设备不支持开启IPsec 智能选路。 AR设备不支持通过设备SN和FQDN方式进行身份认证。

后续操作 AP、交换机、防火墙在华为乾坤云平台上线后，设备缺省密码会失效，平台统一下发并覆盖设备密码。后续登录设备Web/CLI界面均需使用平台下发的账号和密码，操作如下。 登录华为乾坤控制台。 在控制台首页地图双击“test_fw”站点，单击站点首页右上角“站点配置”。 在站点配置左侧导航栏选择“站点通用配置”，选择“本地用户”页签。 缺省情况下平台支持admin和accampus用户，单击“创建”可自定义用户名和密码。若使用默认账号，因密码是平台随机生成的，需单击重置密码。

网络信息规划 本案例中规划的网络数据、业务数据等均为示例，仅供参考，请根据实际项目要求调整参数值。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 租户 租户账号：enterprise_name 架构规划 网络拓扑 见图1 设备选型 AR：S3580-S8P2T-A AP：AirEngine5762-12 站点 站点名称：test 站点类型：AR、云AP 设备接口互联 见图1 设备上线规划 AR接入Internet的方式 采用Web网管配置 WAN口：PPPoE拨号 AR注册上线的方式 注册查询中心 AR下挂的设备获取IP地址方式 IP地址获取方式：DHCP动态获取，AR作为DHCP Server IP地址范围：192.168.1.1/24 VLAN ID：1 AR下挂的设备注册上线方式 DHCP Option148方式：在乾坤云管理平台配置，配置对象是AR NAT 在出口网关AR上开启NAT功能 用户上线规划 用户终端接入所属VLAN和IP地址 IP地址获取方式：DHCP动态获取，AR作为DHCP Server IP地址范围：192.168.1.1/24 VLAN ID：1 终端接入与认证方式 无线终端Wi-Fi：SSID名称为test-ap；PSK认证

约束或注意事项 AP、交换机、FW、WAC在华为乾坤云平台上线后，设备缺省密码会失效，平台统一下发并覆盖设备账号和密码。后续登录设备Web/CLI界面均需使用平台下发的账号和密码，操作如下。 登录华为乾坤控制台。 双击控制台首页地图选择“Site1”站点，单击站点首页右上角“站点配置”。 在站点配置左侧导航栏选择“站点通用配置”，选择“本地用户”页签。 缺省情况下平台支持admin和accampus用户，单击“创建”可自定义用户名和密码。若使用默认账号，因密码是平台随机生成的，需单击重置密码。

网络信息规划 本案例中规划的参数值、设备上线方式等均为示例说明，仅供参考，具体项目中根据实际情况调整。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 租户 租户账号名称：test@huawei.com 租户账号密码：testUser@123 架构设计 网络拓扑 见图1 设备选型 防火墙：USG6525E 汇聚交换机（随板AC）：S6730-H48X6C 接入交换机：S5731-H48P4XC AP：AirEngine5761-21 站点 站点名称：test_native_ac 站点类型：FW、LSW、WAC/Fit AP 设备接口互联 见图1 设备上线设计 防火墙接入Internet方式 采用Web网管配置 FW1为主用防火墙：GE0/0/1接口，PPPoE拨号 FW2为备用防火墙：GE0/0/1接口，PPPoE拨号 心跳线：主备防火墙通过GE0/0/2连接 防火墙注册上线方式 采用Web网管配置 华为乾坤云平台URL地址为device.qiankun-saas.huawei.com，端口号为10020 随板AC注册上线方式 采用Web网管配置 华为乾坤云平台URL地址为device.qiankun-saas.huawei.com，端口号为10020 随板AC下挂的设备获取IP地址方式 IP地址获取方式：DHCP动态获取，汇聚交换机（随板AC）作为DHCP Server IP地址范围：10.1.1.0/24 随板AC下挂的设备注册上线方式 DHCP Option148方式 NAT 在出口防火墙上开启NAT功能 用户上线设计 用户接入 教学上网（有线接入） 员工（本案例指教职工和学生，无线接入） 访客（无线接入） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，汇聚交换机（随板AC）作为DHCP Server（网关） IP地址范围： 教学上网：10.1.2.0/24 员工：10.1.4.0/24 访客：10.1.6.0/24 用户所属的VLAN 教学上网：VLAN 10 员工：VLAN 20 访客：VLAN 30 终端接入与认证方式 教学上网：有线子网test-wired，802.1X认证 员工Wi-Fi：SSID名称为test-emp；Portal认证（用户名密码认证） 访客Wi-Fi：SSID名称为test-guest；Portal认证（短信认证） 用户业务设计 QoS 无线终端带宽限制：5Mbit/s

网络信息规划 本案例中规划的网络数据、业务数据等均为示例，仅供参考，请根据实际项目要求调整参数值。 表1 网络对接链路及数据规划 设备 设备Eth-Trunk接口 Eth-Trunk接口成员 接口类型 接口地址 备注 第三方路由器1 Eth-Trunk 1 第三方设备，不做描述 三层口 10.1.10.1/28 与核心交换机互联互通地址 第三方路由器2 Eth-Trunk 2 第三方设备，不做描述 三层口 10.1.10.2/28 与核心交换机互联互通地址 随板AC（堆叠） Eth-Trunk 1 XGE1/1/0/5、XGE2/1/0/5 VLANIF 5 10.1.10.3/28 用于和第三方路由器1互联互通地址 Eth-Trunk 2 XGE1/1/0/6、XGE2/1/0/6 用于和第三方路由器2互联互通地址 Eth-Trunk 3 XGE1/1/0/1、XGE2/1/0/1 VLANIF 1 VLANIF 10 VLANIF 20 VLANIF 30 10.1.1.1/24 10.1.2.1/24 10.1.4.1/24 10.1.6.1/24 下行连接用于有线终端和AP接入的交换机 Eth-Trunk 4 XGE1/1/0/2、XGE2/1/0/2 VLANIF 1 VLANIF 10 VLANIF 20 VLANIF 30 10.1.1.1/24 10.1.2.1/24 10.1.4.1/24 10.1.6.1/24 下行连接用于有线终端和AP接入的交换机 接入交换机 Eth-Trunk 3 LSW1的GE0/0/2、GE0/0/4 VLANIF 1 自动获取 上行到核心交换机 Eth-Trunk4 LSW2的GE0/0/2、GE0/0/4 VLANIF 1 自动获取 上行到核心交换机 表2 网络信息规划 设计项 设计要点 设计内容 管理员设计 租户帐户 租户账号名称：test@huawei.com 租户账号密码：Admin@1234 架构规划 网络拓扑 见图1 设备选型 随板AC：S12700E（配置有X系列单板） 接入交换机：S5735-L AP：按场景选AP款型，参见官网的WLAN网络规划指导 站点 站点名称：Site1 站点类型：LSW、WAC/FitAP 设备接口互联 见图1 设备上线规划 随板AC注册上线方式 采用命令行配置 华为乾坤云平台南向IP地址为：139.9.137.139，端口号为：10020 随板AC下挂的设备获取IP地址方式 IP地址获取方式：DHCP动态获取，随板AC作为DHCP Server 有线管理子网： 网关接口：VLANIF 4080 网关接口IP地址及掩码：192.168.100.254/24 DHCP服务器功能：开启 自动协商控制器地址功能：开启 无线管理子网： 网关接口：VLANIF 4090 网关接口IP地址及掩码：192.168.200.254/24 DHCP服务器功能：开启 自动协商WAC地址功能：开启，WAC地址为192.168.200.254 随板AC下挂的设备注册上线方式 DHCP Option148方式：在华为乾坤云平台配置，配置对象是随板AC 用户上线规划 用户接入 员工（无线接入，802.1X认证） 访客（无线接入，Portal认证） 哑终端（有线接入，MAC认证） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，随板AC作为DHCP Server IP地址范围： − 员工：10.1.2.0/24 − 访客：10.1.4.0/24 − 哑终端：10.1.6.0/24 用户所属的VLAN 员工：VLAN 10 访客：VLAN 20 哑终端：VLAN 30 终端接入与认证方式 员工Wi-Fi：SSID名称为Employee，802.1X认证 访客Wi-Fi：SSID名称为Guest，Portal认证（短信认证） 哑终端：有线子网DumbDevice，MAC认证 随板AC和第三方路由器互联配置 互联VLAN：VLAN 5 互联网段：10.1.10.0/28 路由方式：静态路由 用户业务规划 QoS 单个员工终端带宽限制：5Mbit/s 单个访客终端带宽限制：5Mbit/s

约束或注意事项 AP、交换机、WAC在华为乾坤云平台上线后，设备缺省密码会失效，平台统一下发并覆盖设备账号和密码。后续登录设备Web/CLI界面均需使用平台下发的账号和密码，操作如下。 登录华为乾坤控制台。 在控制台首页地图双击“Site1”站点，单击站点首页右上角“站点配置”。 在站点配置左侧导航栏选择“站点通用配置”，选择“本地用户”页签。 缺省情况下平台支持admin和accampus用户，单击“创建”可自定义用户名和密码。若使用默认账号，因密码是平台随机生成的，需单击重置密码。

应用场景 不同区域AP按照接入应用的不同，设置不同的无线策略（射频、限速、认证方式等等）。例如用户隔离功能在办公区的AP关闭，在会议室的AP打开，此时可以按照表1进行配置。 表1 不同区域AP设置不同的标签 区域 SSID AP设备名称 AP标签 策略不同点 办公区 Work_ssid AP_WorkA、AP_WorkB、AP_WorkC Work 用户隔离功能关闭 会议室 Meeting_ssid AP_MeetingA、AP_MeetingB、AP_MeetingC Meeting 用户隔离功能打开

背景信息 在随板AC和Fit AP场景下，AP可以通过随板AC设备将基础数据和运维数据上传到华为乾坤云平台，前者用于网络监控可视化，方便界面化展示设备和网络运行状态；后者用于网络智能故障诊断、用户体验分析，实现智能运维。 对于随板AC，其设备数据上报过程与交换机一样，具体过程参见开启交换机设备数据上报。 对于Fit AP，缺省情况下其设备数据不会上报到华为乾坤云平台。请根据实际业务需要，登录随板AC（交换机）Web网管页面开启相应的开关。

认证服务器侧的配置 在Portal认证过程中，终端用户需要填写账号作为认证信息，整个配置过程如下： 在云管理平台创建用户组Wireless_User_Group，把同一类认证方式的用户放到同一个用户组，方便管理。在用户组中为企业员工创建账户。 创建认证规则Staff_Authen，认证方式采用用户接入认证，匹配用户组Wireless_User_Group。 创建授权结果Staff_Result。也可以使用系统的缺省授权结果允许接入和拒绝接入，如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则Staff_Rule，认证方式采用用户接入认证，匹配用户组Wireless_User_Group，关联的授权结果Staff_Result。

操作步骤 如果租户想委托MSP管理云管理网络，需要创建委托申请。等MSP审批同意后，将与MSP成功建立委托关系。 以租户账号登录华为乾坤控制台。 在租户账号界面，单击右上角账号，选择“委托”进入委托界面。 单击“创建”，根据表1设置参数，然后单击“确定”。 表1 委托参数 参数 说明 受托方标识 若当前租户账号由MSP创建，界面默认已填充对应的MSP标识。 若当前租户账号是自注册，请向被委托的MSP获取唯一标识（在MSP界面，单击账号名获取唯一标识）。 委托列表 选择“公共服务”中“基础管理”和“设备管理”角色卡片。 选择“网络服务”中“云管理网络”角色卡片。 委托角色包括管理员、审计员、开放接口操作员，默认全选。 委托到期时间 选择委托到期时间，到达该时间后，本次委托将自动结束。 说明 委托说明，此处填写的内容将在MSP的审批流程中显示。 在弹出的授权清单界面，确认无误后勾选“我已阅读代操作授权风险告知协议并明确该操作的风险”，单击“确定”。当MSP审批同意后，将与MSP建立委托关系。

约束或注意事项 AP、交换机、防火墙在华为乾坤云平台上线后，设备缺省账号密码会失效，平台统一下发并覆盖设备账号和密码。后续登录设备Web/CLI界面均需使用平台下发的账号和密码，操作如下。 登录华为乾坤控制台。 双击控制台首页地图选择“test_RU”站点，单击站点首页右上角“站点配置”。 在站点配置左侧导航栏选择“站点通用配置”，选择“本地用户”页签。 缺省情况下平台支持admin和accampus用户，单击“创建”可自定义用户名和密码。若使用默认账号，因密码是平台随机生成的，需单击重置密码。

背景信息 本案例属于单AP组网场景，每家咖啡厅都安装了一台AP设备（同时满足空配置和串口无输入），设备出厂时已预置华为注册查询中心的 域名 （register.naas.huawei.com）和端口号（10020）。 本案例推荐使用华为乾坤APP扫码上线。通过扫描设备SN并将其同步到华为乾坤云平台，以注册查询中心方式完成注册上线。 华为乾坤APP界面截图可能与实际界面略有差异，但并不影响使用，具体操作请以实际界面为准。

后续操作 云AP在华为乾坤云平台上线后，设备缺省密码会失效，平台统一下发并覆盖设备账号和密码。后续登录设备Web/CLI界面均需使用平台下发的账号和密码，操作如下。 登录华为乾坤控制台。 在控制台首页地图双击“test_ap1”站点，单击站点首页右上角“站点配置”。 在站点配置左侧导航栏选择“站点通用配置”，选择“本地用户”页签。 缺省情况下平台支持admin和accampus用户，单击“创建”可自定义用户名和密码。若使用默认账号，因密码是平台随机生成的，需单击重置密码。

网络信息规划 本案例中规划的参数值、设备上线方式等均为示例说明，仅供参考，具体项目中根据实际情况调整。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 MSP MSP账号名称：huawei-partner@huawei.com MSP账号密码：mspUser@123 架构规划 网络拓扑 见图1 设备选型 防火墙：USG6550E 交换机：S5735-L24P4S-A-V2 AP：AirEngine 5762-12SW 站点 站点名称：test_fw 站点类型：FW、LSW、云AP 设备接口互联 见图1 设备上线规划 防火墙接入Internet的方式 采用Web网管配置 主用接口：GE0/0/1接口，PPPoE拨号 备用接口：GE0/0/2接口，PPPoE拨号 防火墙注册上线的方式 采用Web网管配置 华为乾坤云平台URL地址为：device.qiankun-saas.huawei.com，端口号为：10020 防火墙下挂的设备获取IP地址方式 IP地址获取方式：DHCP动态获取，网关作为DHCP Server IP地址范围：10.1.1.0/24 防火墙下挂的设备注册上线方式 DHCP Option148方式：在华为乾坤云平台上配置，配置对象是防火墙 NAT 在防火墙上开启NAT功能 用户上线规划 用户接入 员工（无线接入） 访客（无线接入） 哑终端（有线接入，如打印机等） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，防火墙作为DHCP Server（网关） IP地址范围： 员工：10.1.2.0/24 访客：10.1.4.0/24 哑终端：10.1.6.0/24 用户所属的VLAN 员工：VLAN 10 访客：VLAN 20 哑终端：VLAN 30 终端接入与认证方式 员工Wi-Fi：SSID名称为test-emp；PSK认证 访客Wi-Fi：SSID名称为test-guest；Portal认证（短信认证） 哑终端：有线子网名称test-dumb；不认证 用户业务规划 QoS 单个员工终端带宽限制：5Mbit/s 单个访客终端带宽限制：5Mbit/s

网络规划 本案例中规划的设备上线、用户接入等参数均为示例，仅供参考，请根据实际项目需求进行调整。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 MSP MSP账号名称：huawei-partner@huawei.com MSP账号密码：mspUser@123 架构规划 网络拓扑 见图1 设备选型 防火墙：USG6355E 交换机：S5735-L24T4S-QA2 中心AP：AirEngine 9700D-M RU：AirEngine 5761-11WD 站点 站点名称：test_RU 站点类型：FW、LSW、云AP 设备接口互联 见图1 设备上线规划 防火墙接入Internet的方式 采用Web网管配置 主用接口：GE0/0/1接口，PPPoE拨号 备用接口：GE0/0/2接口，PPPoE拨号 防火墙注册上线的方式 采用Web网管配置 华为乾坤云平台URL地址为：device.qiankun-saas.huawei.com，端口号为：10020 防火墙下挂的设备获取管理IP地址方式 IP地址获取方式：DHCP动态获取，防火墙作为DHCP Server IP地址范围：10.1.1.0/24 防火墙下挂的设备注册上线方式 DHCP Option148方式：在华为乾坤云平台上配置，配置对象是防火墙 NAT 在防火墙上开启NAT功能 用户上线规划 用户接入 病房终端（无线接入） 护士站PC（有线接入） 摄像头（有线接入） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，防火墙作为DHCP Server（网关） IP地址范围： 病房终端：10.3.0.0/22 护士站PC：10.2.2.0/24 摄像头：10.2.4.0/24 用户所属的VLAN 病房终端：VLAN 10 护士站PC：VLAN 20 摄像头：VLAN 30 终端接入与认证方式 病房终端：无线子网名称test-wireless；PSK认证 护士站PC：有线子网名称test-wired-PC；不认证 摄像头：有线子网名称test-wired-Camera；不认证 用户业务规划 QoS 无线终端限速：10Mbit/s 非法网站URL屏蔽

操作步骤 华为乾坤APP界面截图可能与实际界面略有差异，但并不影响使用，具体操作请以实际界面为准。 注册并登录APP。打开APP单击“登录”，输入手机号和验证码，首次登录会自动注册华为乾坤账号。 如果已有华为乾坤账号，无需再次注册，输入用户名和密码，签署用户协议和隐私政策即可。 如果提示发现新版本，请升级到最新版本，避免功能无法使用。 扫码添加设备。 在“首页”页签，单击右上角，选择“扫码添加设备”。 图1 扫码添加设备 将摄像头对准AP上的SN号二维码或条形码，提示扫码成功后，单击“确认”，然后单击“完成扫码”。 图2 扫描添加设备 单击“下一步”。如果您还需要添加AP，请单击“继续扫描”。 图3 设备列表 向左滑动页面，查看连线提示，查看完毕后单击“开始上线”。 图4 查看连线提示 等待2~5分钟，页面提示设备上线成功，单击“完成”。 配置无线Wi-Fi SSID。 在“首页”页签，单击左上角下拉箭头，选中目标站点。 单击“Wi-Fi管理”。 图5 Wi-Fi管理 单击“添加Wi-Fi”。 输入Wi-Fi名称和Wi-Fi密码，单击“保存Wi-Fi”，WIFI创建成功。 图6 创建Wi-Fi

后续操作 站点创建后，支持搜索、修改、删除等操作，如表1表所示。 表1 站点操作表 操作名称 操作说明 搜索 关键字搜索：站点列表左上方搜索框内输入站点名称，单击右侧或按回车键搜索。 按设备类型：单击站点列表左上方“设备”筛选框，筛选不同设备类型的站点。 修改 选择目标站点，单击列表中“修改”，修改站点名称、站点描述等信息 。 说明： 修改设备类型时，仅支持增加设备类型，不支持减少设备类型。 删除 单个删除：选择目标站点，单击列表中“删除”或列表右上角“删除”。 批量删除：选择目标站点，单击列表右上角的“删除”。 说明： 若站点内有设备，不允许删除该站点。 站点删除后，站点内的数据信息会一并删除且无法恢复，请谨慎操作。 查看站点设备 选择目标站点，单击设备数量列中数字，可以进入站点纳管的设备页面，设备操作请参见设备管理。 业务配置 选择目标站点，单击列表中“站点配置”，进入站点业务配置页面，具体操作请参见业务配置。 查看站点图标。站点创建后，工作台首页地图上会出现对应的站点图标。灰色站点图标表示当前站点无设备且没有待办事件；绿色站点图标表示当前设备正常且没有待办事件；红色站点图标表示当前站点存在异常设备或待办事件。 修改站点位置。在工作台首页地图上，将鼠标悬停在任意站点上，单击弹窗中，右侧弹出“修改站点”页签，可以修改站点位置。

配置AP上线（安卓版） 注册并登录APP。打开APP单击“登录”，输入手机号和验证码，首次登录会自动注册华为乾坤账号。 如果已有华为乾坤账号，无需再次注册，输入用户名和密码，签署用户协议和隐私政策即可。 如果提示发现新版本，请升级到最新版本，避免功能无法使用。 站点添加设备。 参照下图指引，扫码录入设备信息。 如果站点已有设备，单击页面右上角“+”，选择“扫码添加设备”录入新设备信息。 如果扫码无法成功，可以单击“手动输入”方式录入设备信息。 支持多次录入设备信息，当不再添加设备，单击“结束扫描”，检查设备列表无误后，单击“下一步”。 选择站点。 首次登录华为乾坤APP，系统默认创建“我的网络”站点。 如需自定义站点，单击页面左上角“+”，选择“创建站点”输入站点名称单击“完成”。 设备上线。确保设备已连网、连线和上电，然后等待3~5分钟。 配置Wi-Fi。设备上线后，首页会弹出“Wi-Fi设置”提示框，参照下图指引完成配置。 验收上线结果。 方式1：参照下图指引，检查目标设备状态是否在线。 方式2：手机连接配置的Wi-Fi，参照下图指引对Wi-Fi测速，确保无线网络畅通。

网络信息规划 本案例中规划的网络数据、业务数据等均为示例，仅供参考，请根据实际项目要求调整参数值。 表1 网络信息规划 设计项 设计要点 设计内容 管理员设计 租户账号 租户账号名称：test@huawei.com 租户账号密码：Admin@1234 架构规划 网络拓扑 见图1 设备选型 核心交换机：S5731-H 接入交换机：S5735-L AP：按场景选AP款型，参见官网的WLAN网络规划指导 站点 站点名称：Site1 站点类型：LSW、云AP 设备接口互联 见图1 设备上线规划 核心交换机（堆叠）注册上线方式 采用命令行配置 华为乾坤云平台南向IP地址为：139.9.137.139，端口号为：10020 核心交换机下挂的设备注册上线方式 DHCP Option148方式： 核心交换机作为DHCP Server IP地址范围：10.1.1.0/24 用户上线规划 用户接入 员工（无线接入，802.1X认证） 访客（无线接入，Portal认证） 哑终端（有线接入，MAC认证） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，核心交换机作为DHCP Server IP地址范围： 员工：10.1.2.0/24 访客：10.1.4.0/24 哑终端：10.1.6.0/24 用户所属的VLAN 员工：VLAN 10 访客：VLAN 20 哑终端：VLAN 30 终端接入与认证方式 员工Wi-Fi：SSID名称为Employee，802.1X认证 访客Wi-Fi：SSID名称为Guest，Portal认证（短信认证） 哑终端：有线子网DumbDevice，MAC认证 核心交换机和第三方路由器互联配置 互联VLAN：VLAN 5 互联网段：10.1.10.0/28 路由方式：静态路由 用户业务规划 QoS 单个员工终端带宽限制：5Mbit/s 单个访客终端带宽限制：5Mbit/s 表2 网络物理链路规划表 设备 设备Eth-Trunk接口 Eth-Trunk接口成员 接口类型 接口地址 备注 出口（第三方路由器）AR1 Eth-Trunk1 -- 三层口 10.1.10.1/24 与核心交换机互联互通地址，VRRP IP为10.1.10.111/24 出口（第三方路由器）AR2 Eth-Trunk2 -- 三层口 10.1.10.2/24 与核心交换机互联互通地址，VRRP IP为10.1.10.111/24 核心交换机（堆叠） Eth-Trunk1 两台核心交换机的GE0/0/1、GE1/0/1 VLANIF 10.1.10.3/24 用于和第三方AR1互联互通地址 Eth-Trunk2 两台核心交换机的GE0/0/2、GE1/0/2 用于和第三方AR2互联互通地址 Eth-Trunk3 两台核心交换机的GE0/0/3、GE1/0/3 VLANIF 自动获取 下行连接用于有线终端和AP接入的交换机 接入交换机 Eth-Trunk3 GE0/0/3、GE0/0/4 VLANIF 自动获取 上行到核心交换机

网络信息规划 本案例中规划的网络数据、业务数据等均为示例，仅供参考，请根据实际项目要求调整参数值。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 MSP MSP账号名称：huawei-partner@huawei.com MSP账号密码：mspUser@123 架构设计 网络拓扑 见图1 设备选型 AP：AirEngine6760-X1 站点 站点名称：test_ap 站点类型：云AP 设备接口互联 AP连接运营商网络接口：GE0/0/0 设备上线设计 AP接入Internet方式 DHCP方式 AP注册上线方式 采用华为乾坤APP扫码添加设备 AP自动通过注册查询中心上线 用户上线设计 用户接入 员工（无线接入） 访客（无线接入） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，AP作为DHCP Server IP地址范围：10.1.1.0/24 用户所属的VLAN VLAN 3911 终端接入与认证方式 员工Wi-Fi：SSID名称为test-emp；PSK认证 访客Wi-Fi：SSID名称为test-guest；Portal认证（微信链接认证） 用户业务设计 QoS 单个员工终端带宽限制：5Mbit/s 单个访客终端带宽限制：5Mbit/s

约束或注意事项 随板AC和防火墙在华为乾坤云平台注册上线后，设备缺省密码会失效，平台会统一下发并覆盖原先设备账号和密码。因此，后续登录设备Web/CLI界面都要使用平台下发的账号和密码，具体操作如下。 登录华为乾坤控制台。 在控制台首页地图选择“test_native_ac”站点，单击站点首页右上角“站点配置”。 在站点配置左侧导航栏选择“站点通用配置”，选择“本地用户”页签。 缺省情况下平台支持admin和accampus用户，单击“创建”可自定义用户名和密码。若使用默认账号，因密码是平台随机生成的，需单击重置密码。