华为云用户手册

2023年9月 序号 功能 功能描述 阶段 相关文档 1 开源治理（CodeArts Governance）服务首次发布 开源治理服务（CodeArts Governance）是针对软件研发提供的一站式开源软件治理服务，凝聚华为在开源治理上的优秀实践经验，提供开源软件元数据及软件成分分析、恶意代码检测等能力，从合法合规、网络安全、供应安全等维度消减开源软件使用风险，助力企业更加安全、更加高效地使用开源软件。 商用 产品介绍

操作步骤 如图1所示，假设出口网关作为DHCP服务器，向交换机动态分配管理IP地址。为了完成交换机上线，DHCP服务器侧和交换机侧需要进行的操作如下。 图1 交换机通过DHCP Option方式上线示例 DHCP服务器侧：需要配置DHCP Option 148选项。 无论网关设备是防火墙还是路由器，只要保证出口已成功接入运营商网络，作为DHCP服务器时它们的配置大致一样。 以华为防火墙作为DHCP服务器为例，完整的配置如下，注意不要忘记最后的分号。 interface Vlanif100;ip address 192.168.100.1 255.255.255.0;service-manage all permit; interface Vlanif100：进入VLAN 100的逻辑接口。该数值为用户自定义，可修改。 ip address 192.168.100.1 255.255.255.0：设置IP地址。IP地址和掩码为用户自定义，可修改。 service-manage all permit：以策略全放通为例，一般不建议全放通，请根据实际情况设置。 dhcp select interface;dhcp server option 148 ascii agilemode=agile-cloud;agilemanage-mode=domain;agilemanage-domain=device.qiankun-saas.huawei.com;agilemanage-port=10020; agilemode=agile-cloud：设置切换模式为云模式，使能NETCONF。 agilemanage-mode=domain：设置注册方式。值为domain，表示使用URL 域名 注册；值为ip，表示使用IP地址注册。 agilemanage-domain=device.qiankun-saas.huawei.com：设置华为乾坤云平台的南向域名为device.qiankun-saas.huawei.com。 agilemanage-port=10020：设置端口号为10020。

背景信息 除DHCP Option、注册查询中心等即插即用上线方式外，交换机也支持通过本地Web网管界面，手工配置华为乾坤云平台的URL/IP和端口号信息，最终完成上线。 交换机上如何使能NETCONF、切换到云管理模式，以及设置华为乾坤云平台对接参数的操作过程如下。除此之外，还需要保证交换机与华为乾坤云平台能够互通，才能完成上线。 V600款型交换机目前不支持通过Web网管方式上云，请通过其他方式上云。

操作步骤 配置Hub1站点的静态路由。 在“Underlay配置”页签，选择待配置的站点（如：Hub1）。 图1 Underlay配置页签入口 在“WAN路由”页签中，单击“点击添加路由协议”，在显示的对话框中，选择“IPv4 Static”，单击“确定”。 图2 添加路由协议 单击“创建”，添加静态路由，如图3所示。各路由参数值请参考Underlay网络数据规划。 图3 Hub1的静态路由 采用相同方式配置Hub2、Site1的静态路由。 各路由参数值请参考Underlay网络数据规划。

操作步骤 防火墙云管模式纳管，二层口配置上线，VlANIF和静态路由配置会被清除，导致设备离线，需要在站点进行预先配置才能正常上线。 防火墙与华为乾坤云平台建立连接以及被平台纳管的过程如图 防火墙与平台建立连接和纳管过程所示。 图1 防火墙与平台建立连接和纳管过程 防火墙向注册查询中心查询华为乾坤云平台的域名和端口信息。 防火墙连接上Internet以后，自动向注册查询中心（默认域名register.naas.huawei.com）发送HTTP2.0通道建立请求。 在空配置条件下，防火墙将以传统模式启动。启动过程中，防火墙会把接口状态为UP的业务口的DHCP Client和DNS Client功能打开，并将此接口加入安全区域，然后开放安全策略，以使自己可以成功连接上Internet。 防火墙在传统运行模式下时，管理员不可以登录防火墙，否则会造成后续防火墙无法自动切换到云管理模式，造成连接云平台失败。如果管理员已经误登录，请恢复防火墙空配置这个初始条件后重启设备，以便防火墙能自动连接到云平台。 注册查询中心向防火墙返回HTTP2.0通道连接响应消息。 建成的HTTP2.0通道用来传送后续的域名查询请求。 防火墙向注册查询中心发送域名查询请求。 此消息用来查找防火墙所要连接的华为乾坤云平台域名和端口。 注册查询中心向防火墙返回查询结果。 注册查询中心会从云管理平台同步防火墙的SN、设备类型、平台域名和端口等信息，然后将此信息返回给防火墙。 防火墙收到平台域名和端口信息后，会自动把运行模式切换成云管理模式。 防火墙切换为云管理模式时，会触发一次设备重启，该重启属于正常现象。 如果防火墙查询无果，系统将不进行云管理模式切换，而是以传统模式完成启动。系统启动完成后，之前为业务口开放的DHCP Client功能会关闭、接口与安全区域的绑定关系取消，并恢复缺省的安全策略。 防火墙连接和纳入华为乾坤云平台。 防火墙向平台发送NETCONF通道连接请求。 连接请求中携带了防火墙的设备证书，此证书供平台验证防火墙的身份。 平台向防火墙返回NETCONF通道连接响应消息。 建成的NETCONF通道用来传送后续的查询请求、业务配置等消息。 防火墙和平台彼此向对方发送Hello报文，检测NETCONF通道连接状态。 平台向防火墙发送设备信息查询请求。 防火墙将自己的设备信息返回给平台。 平台根据上一步获得的防火墙信息，向该设备下发业务配置。 防火墙向平台返回配置结果。 华为乾坤云平台可以向防火墙正常下发业务配置，这就表示防火墙已经纳入了平台的管理。纳入平台管理的防火墙会主动上报NETCONF Notification告警。

背景信息 对于哑终端，需要在华为乾坤云平台上添加MAC帐号、配置认证方式等，然后对哑终端进行认证授权。华为乾坤云平台可以在同一类用户组的授权结果中绑定相应安全组，认证控制点设备在执行安全组策略时，能够基于绑定的安全组控制哑终端访问权限。在用户管理页面，首先创建用户组，然后将MAC帐号添加到规划的用户组中，哑终端可以通过该帐号进行认证。建议将同一权限的MAC帐号分配在同一用户组，方便后续以用户组为单位进行授权操作。哑终端的账号数据规划如表1所示。 表1 哑终端的账号数据规划表 用户组 MAC账号 MAC地址 Wireless_Dumb_Group（哑终端） wireless_dumb1 00-01-00-01-00-04

操作步骤 配置Hub1站点的静态路由。 在“Underlay配置”页签，选择待配置的站点（如：Hub1）。 图1 Underlay配置页签入口 在“WAN路由”页签中，单击“点击添加路由协议”，在显示的对话框中，选择“IPv4 Static”，单击“确定”。 图2 添加路由协议 单击“创建”，添加静态路由，如图3所示。各路由参数值请参考Underlay网络数据规划。 图3 Hub1的静态路由 采用相同方式配置Hub2、Site1的静态路由。 各路由参数值请参考Underlay网络数据规划。

操作步骤 单击“零配置开局”页签。 图1 零配置开局 在左侧列表的“站点列表”中，选择“未配置”，筛选出待配置的站点。 配置总部RR站点的WAN链路及南向接入服务。 单击待配置的站点（以Hub1为例），在右侧页面，单击“物理站点”下的“点击开局”。 单击“模板导入”，选择已经创建好的WAN链路模板。 以下以配置Hub1的WAN链路为例，选择的WAN链路模板名称为“Double_RR_Mix”。 在“设备1”处选择“Hub1_1”。“设备2”自动变成“Hub1_2”。 逐个单击WAN链路后的按钮，配置WAN链路。 在弹出的“设置WAN链路”窗口中，完成所有WAN链路配置后，单击“确定”。 配置Hub1的WAN链路及南向接入服务。 配置Hub1_1设备的Internet链路及南向接入服务。 配置Hub1_1设备的MPLS链路及南向接入服务。 配置Hub1_2设备的Internet链路及南向接入服务。 配置Hub1_2设备的MPLS链路及南向接入服务。 配置Hub2的WAN链路及南向接入服务。 配置Hub2_1设备的Internet链路及南向接入服务。 配置Hub2_1设备的MPLS链路及南向接入服务。 配置Hub2_2设备的Internet链路及南向接入服务。 配置Hub2_2设备的MPLS链路及南向接入服务。 配置分支站点WAN链路及南向接入服务。 和RR站点的操作相同，完成分支站点WAN链路及南向接入服务的参数配置，然后单击“确定”。 配置Site1站点WAN链路及南向接入服务。 配置Internet的链路及南向接入服务。 配置MPLS的链路及南向接入服务。 配置Site2站点的WAN链路及南向接入服务。 配置Internet的链路及南向接入服务。 配置MPLS的链路及南向接入服务。

通过DHCP Option方式实现即插即用 在DHCP Option方式的即插即用方案中，可以通过DHCP Option148字段来携带云模式、华为乾坤云平台的地址及端口号信息，然后设备在DHCP请求交互过程中获取这些信息，最终完成上线。 图1是将园区出口网关作为下游设备的管理子网网关，使能了DHCP Server功能的同时，设置了Option148字段携带云模式、华为乾坤云平台的地址及端口号信息。出口网关下挂的交换机最终通过解析DHCP报文的Option148字段获取上述信息，实现即插即用开局。 图1 设备通过DHCP方式实现即插即用流程 采用DHCP Option方式实现设备即插即用，需要满足空配置、串口无输入，整个设备注册上线的过程如下： 交换机上电并空配置启动后，会主动作为DHCP Client，优先使用VLAN 1向出口网关发起请求。 假设出口网关将VLANIF 1作为管理子网网关接口，并且使能了DHCP Server、设置Option148字段，那么出口网关在收到DHCP请求后，会作为DHCP Server回复一个带DHCP Option148的报文；交换机在获取到IP地址的同时，通过Option148字段可以获取到云模式、华为乾坤云平台的地址及端口号信息。 交换机根据Option148字段中的云模式字段自动切换到NETCONF管理模式。 交换机自动向华为乾坤云平台注册，获取网络业务配置。 父主题： 设备即插即用开局

配置防火墙连网 无论是主用防火墙或备用防火墙，均通过GE0/0/1接口，采用PPPoE拨号方式接入到运营商网络。过程一样，详细步骤如下。 设备连线。 用网线将防火墙（主/备）的GE0/0/1接口连接到运营商的互联网。 用网线将PC连接到防火墙（主/备）的管理网口（MEth0/0/0）。如果防火墙支持Wi-Fi功能，可以选择手机/PC连接防火墙的Wi-Fi。SSID：HUAWEI-FIREWALL，密码：admin@123。Wi-Fi连接成功后请不要切换网络。 通过Web方式登录防火墙并修改密码。 在管理PC上配置网络连接的IP地址为192.168.0.2（192.168.0.2～192.168.0.254中任意一个），子网掩码为255.255.255.0。如使用Wi-Fi连接防火墙，可以跳过此步骤。 使用浏览器访问缺省IP地址“https://192.168.0.1:8443”登录防火墙的Web界面。 您可以在《华为安全产品缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。为确保帐号安全，建议首次登录后修改缺省密码。 按照系统提示，修改登录密码。 使用新密码重新登录防火墙。 将运行模式切换为云管理模式。单击“面板 ＞ 设备信息 ＞ 云管理模式”后的“配置”，勾选“启用”，单击“确定”。执行此操作后，系统会提示清除设备的配置并重新启动。重启完毕，切换为云管理模式。 配置接入运营商网络。 配置防火墙（主/备）采用以太接口（PPPoE拨号）接入Internet，按表 采用PPPoE方式接入Internet参数配置表配置上网参数。 单击“网络 ＞ 接口”，在“接口列表”中选择GE0/0/1接口。 表1 采用PPPoE方式接入Internet参数配置表 参数名称 参数取值 接口名称 GigabitEthernet0/0/1 安全区域 untrust 连接类型 PPPoE 用户名 通过运营商ISP获取 密码 在线方式 一直在线

帐号简介 当前华为乾坤支持三种类型帐号：华为官网帐号、华为乾坤帐号和华为坤灵帐号。 华为官网帐号：如果用华为官网帐号首次登录华为乾坤控制台时，系统会帮您自动创建同名帐号，默认形式是“帐号+（uniportal）”。 华为乾坤帐号：用于登录华为乾坤控制台，是使用云服务的帐号。 华为坤灵帐号：仅在SOHO场景下使用，支持工程商通过坤灵帐号登录华为乾坤控制台，进行远程运维和业务部署。 当前，部分复杂网络功能暂不支持在华为坤灵APP端操作，但是支持登录Web端进行操作。Web端支持操作的部分常见功能请参见表1。 表1 Web端支持操作的部分常见功能 分类 常用功能 详细说明 基础配置 远程登录设备Web页面 AR路由器和交换机（S210除外）在华为坤灵系统上线后，支持通过Web端跳转登录到设备Web页面。 LAN侧配置 链路聚合 将多个物理接口捆绑为一个逻辑接口，增加链路带宽，提升链路可靠性。 DHCP Snooping 保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。 运维 用户接入信息列表查看 支持查看接入网络的用户摘要信息，包括终端MAC地址、流量、时延、丢包、厂商类型等。 接口性能查看 支持显示接口信息，包括报文、流量、速率、宽带利用率等。 设备日志收集 支持下载设备日志文件。

使用指引 表1 网络运维操作指引 使用场景 配置指引 说明 1.我想要了解服务概况 服务首页介绍 服务首页支持查看网络设计与建设、网络运维与分析、网络体验优化以及网络基本运营报表和事件统计信息。 网络大屏介绍 大屏支持查看网络规划与建设、网络优化和网络维护三块内容，可以全面了解网络质量和网络短板，以便及时优化网络。 2. 我想要进行网络智能运维和优化 开启设备数据上报 完成网络规划与部署后，设备侧需要上报基础数据和运维数据，以便华为乾坤云平台实时监控设备状态，同时进行智能分析和运维。 网络环境监控 网络环境监控可以评估网络健康度，智能分析定位网络异常情况，给出修复建议。 用户体验保障 用户体验保障支持用户体验可视化管理，支持回放用户旅程以及回放用户接入协议交互过程，识别异常问题根因并给出修复建议。 智能调优 智能调优，可以帮助用户进行无线射频智能调优。 应用分析 应用分析，可以帮助用户统计和分析全网应用数据，保障应用体验良好。

操作步骤 单击“零配置开局”页签。 图1 零配置开局 在左侧列表的“站点列表”中，选择“未配置”，筛选出待配置的站点。 配置总部站点的WAN链路。 单击待配置的站点（以Hub1为例），在右侧页面，单击“物理站点”下的“点击开局”。 图2 站点开局 在“设备配置”区域，单击“模板导入”，选择已经创建好的WAN链路模板（“Double_RR_Mix”）。 导入成功后，界面信息如图3所示。 图3 Hub1的WAN链路 在“设备1”处选择“Hub1_1”。“设备2”自动变成“Hub1_2”。 逐个单击WAN链路后的按钮，配置WAN链路。 不同链路的配置方法相同，参数值请参考WAN链路数据规划。 以“Device1_internet”链路为例，配置信息如图4所示。 图4 修改Device1_internet链路 参考上述步骤，完成另一个总部站点的WAN链路配置。参数值请参考WAN链路数据规划。 参考上述步骤，完成分支站点的WAN链路配置。参数值请参考WAN链路数据规划。

系统约束 推荐使用表 客户端系统所示的客户端系统登录华为乾坤工作台。 表1 客户端系统 约束项 约束说明 硬件配置 空余内存最低1GB，推荐2GB或以上。 操作系统 Windows 10。 浏览器 Google Chrome 81及以上版本。 分辨率 最佳显示分辨率宽度是1920，最小显示宽度是1280。 大于1280，保持内容固定在1280不变，空白处显示背景。 浏览器自身的缩放比不要小于75%。

背景信息 在配置VIP用户保障之前，需要开启VIP用户的优先接入、配置带宽预留、单独授权和AP设备位置空间，以保障VIP用户的体验。 VIP用户必须开启优先接入，否则VIP用户在SSID接入用户超过阈值后，无法接入SSID。 VIP用户必须开启带宽预留，缺省为20%。VIP用户带宽预留不够时，体验无法得到保障。 VIP用户必须配置单独授权结果，和普通用户做区分，否则AP无法识别VIP用户，会导致VIP用户无法得到体验保障。 VIP用户必须配置AP设备位置空间，否则无法查看用户旅程。

操作步骤 在“Underlay配置”页签，选择待配置的站点（如：Hub1）。 图1 Underlay配置页签入口 在“WAN路由”页签中，单击“点击添加路由协议”，选择协议为“BGP”。 在“BGP”界面中，单击“创建”，完成BGP路由配置，单击“确定”。 图2 配置BGP路由 依次完成所有设备的WAN侧链路的BGP路由配置。 在“WAN路由”页签中，单击，选择协议为“IPv4 Static”。 在“IPv4 Static”界面中，单击“创建”，完成静态路由配置，单击“确定”。 图3 配置静态路由 依次完成所有设备的WAN侧链路的静态路由配置。

堆叠上云流程 堆叠上云相比于单机设备上云，最大的差异是在导入堆叠系统中交换机的SN后，还需要手动在华为乾坤云平台上创建堆叠。 因华为乾坤云平台无法自动将多台成员交换机组建为堆叠系统，所以需要手动组建堆叠系统。所以堆叠上云分为两大步：设备侧组建堆叠系统和华为乾坤云平台上创建堆叠。从易操作和减少出错率考虑，推荐先完成设备侧堆叠系统的组建，然后再在华为乾坤云平台创建堆叠。 通过华为乾坤云平台对堆叠系统进行纳管时，核心交换机可以用框式或盒式，框式最多支持2台组堆叠，盒式最多支持4台组堆叠，汇聚和接入交换机最大支持4机堆叠。

设备侧组建堆叠系统 组建堆叠系统指的手动将多台支持堆叠功能的交换机逻辑上合并为一台交换机。为保证堆叠系统能够成功组建并和华为乾坤云平台正常通信，推荐按照下面流程组建堆叠系统。 选择交换机型号 支持堆叠功能的交换机与支持上云的交换机不完全一致，所以为了保证堆叠系统能够上云，必须选择二者的交集。所以推荐按照如下规则选择交换机型号： 推荐先从《云管理网络规格清单》获取交换机型号，然后再根据堆叠助手判断是否支持堆叠。在堆叠助手中无法选择的交换机就说明该交换机不支持堆叠。 推荐选择相同型号的交换机进行堆叠，如果必须使用不同型号的交换机进行混堆，请注意： 不同系列的交换机不能组建堆叠 同系列内不同子系列交换机不能组建堆叠 同系列内同子系列内不同型号的交换机基本可以组建堆叠，只有少量型号不支持 选择堆叠方式 S系列交换机支持三种堆叠方式，三种堆叠方式的差异如表1表所示。不同交换机支持的堆叠方式也不同，所以在选择堆叠方式时，需要和交换机型号组合考虑。 推荐使用业务口专用堆叠线缆堆叠，即免配置堆叠。该方式无需手动将业务口修改为堆叠口，组网工作量小。 表1 堆叠方式对比 堆叠方式 成本投入 组网难易度 堆叠卡堆叠 需要单独购买堆叠卡和堆叠线缆 无需配置，安装好堆叠卡，连接好堆叠线缆后自动组建堆叠 业务口专用堆叠线缆堆叠，也叫免配置堆叠 可以直接使用交换机上的业务口进行堆叠，无需额外购买堆叠卡，需单独购买专用堆叠线缆 无需配置，根据规则连接专用堆叠线缆后可自动组建堆叠 业务口普通线缆堆叠 可以使用交换机上的业务口进行堆叠，无需额外购买堆叠卡和专用堆叠线缆 需要手动将业务口配置为堆叠口，然后连接堆叠线缆后才可以组建堆叠 选择堆叠连线方式 堆叠线缆支持两种连接方式：一种是环形连接，一种是链形连接。具体连接方式，请参见堆叠助手中的描述。 从可靠性考虑，建议使用环形连接方式，这样一条链路故障不会导致堆叠系统分裂。并且建议连接多条线缆，在扩充带宽的同时进行链路间的备份。 使用专用堆叠线缆进行免配置堆叠时，为保证堆叠可以正确组建，建议按照图1连接堆叠线缆。 按照交换机从上到下的顺序依次连线。 连线时注意线缆的主备端，确保：最上面交换机的所有端口连接的都是线缆主端，最下面交换机的所有端口连接的都是线缆备端，中间交换机的2个逻辑端口分别连接主端和备端。 图1 专用堆叠线缆环形连线方式

操作步骤 配置SSH服务器用户。 system-view ssh user huawei ssh user huawei authentication-type x509v3-rsa ssh user huawei assign pki default ssh user huawei service-type snetconf 查看当前SSH服务器公钥算法。 display current-configuration | in ssh server publickey 配置SSH服务器源接口、PKI证书、授权类型和公钥算法。在查询到的当前设备已经配置的SSH服务器公钥算法基础上，添加算法x509v3-ssh-rsa，当前以缺省公钥算法为RSA_SHA2_256、RSA_SHA2_512举例。 ssh server-source all-interface Warning: SSH server source configuration will take effect in the next login. Do you want to continue? [Y/N]:Y Warning: It expands the range of accessed IP. ssh server assign pki default ssh authorization-type default root ssh server publickey x509v3-ssh-rsa rsa_sha2_256 rsa_sha2_512 使能NETCONF功能。 snetconf server enable 配置设备与华为乾坤云平台建立NETCONF连接。 netconf callhome default-callhome endpoint netconf_139.9.137.139 peer-ip 139.9.137.139 port 10020 return 对于V600版本LSW设备，NETCONF协议基于SSH协议承载，保证数据传输的安全性。在认证前，华为乾坤云平台需要预先导入每台设备的ESN号、设备类型、CA证书等信息。如果需要进行证书相关的操作，比如更新本地证书等，需要在设备上进行命令行设置。 加载出厂预置的CA证书从NV RAM 到default域下。 system-view pki import-certificate default_ca realm default Info: Succeeded in importing the certificate. 将所有配置保存到配置文件中。 save 交换机向华为乾坤云平台注册认证，建立NETCONF传输通道。 云管理平台对交换机进行管理。

操作步骤 切换云管理模式。 通过物理串口、蓝牙串口或者Telnet方式登录AP设备。 您可以在《WLAN缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。为确保帐号安全，建议首次登录后修改缺省密码。 执行命令system-view，进入系统视图。 在系统视图下执行命令ap-mode-switch cloud，切换到云管理模式。执行此命令后，设备会提示清除设备的配置并重新启动。重启完毕，即切换到了云管理模式。 配置AP接入Internet。主要为了完成IP地址获取，与网关互通设置。 请根据网络服务商提供的信息选择接入Internet的方式。不同的接入Internet方式对应不同的参数。 以下配置都是在WAN口下配置，如果是在管理VLANIF接口下配置，设备重启后管理VLANIF接口下的配置会丢失。 表1 接入Internet方式 前提条件 接入方式 如果网络服务商提供DHCP Server，您从其自动获取IP地址。 说明： AP默认支持DHCP Client自动获取IP地址。如果选择DHCP方式接入Internet，则无需配置步骤3。默认设备与华为乾坤云平台已经对接。 DHCP 如果您从网络服务商处获得一个固定的IP地址或者IP地址段。 静态IP地址 如果您从网络服务商处获得一个用户名和密码。 PPPoE DHCP接入方式：网络服务商提供了DHCP Server，从其自动获取IP地址。 由于AP默认支持DHCP Client自动获取IP地址。如果选择DHCP方式接入Internet，需开启接口下DHCP功能，配置如下，注意不要忘记最后的分号。 interface Vlanif1;ip address dhcp-alloc; 静态IP地址接入方式：网络服务商提供了一个固定的IP地址或者IP地址段。 在系统视图下执行命令interface wan0，进入WAN视图。 执行命令ip address ip-address { mask-length | mask } [ gateway gateway ]，配置AP设备wan0接口的IP地址、子网掩码和网关，此处IP地址是运营商分配的公网地址。 缺省情况下，未配置wan0接口的静态IP地址、子网掩码、默认网关。 执行命令dns-server ip-address1 [ ip-address2 ]，配置AP设备在管理VLAN下的域名服务器。 缺省情况下，未配置DNS服务器IP地址。 确保是通过wan0接口和云管理平台通信，配置完成后可以在AP上Ping通云管理平台。 PPPoE接入方式：网络服务商提供了PPPoE拨号的用户名和密码。 在系统视图下执行命令interface wan0，进入WAN视图。 执行命令pppoe-client username user-name password cipher password，开启PPPoE拨号功能并配置帐号信息。 缺省情况下，PPPoE拨号功能未开启，未配置PPPoE拨号的帐号信息。 （可选）执行命令tcp adjust-mss value，配置WAN视图下的TCP最大报文段长度。 缺省情况下，未配置接口的TCP最大报文段长度。 配置华为乾坤云平台对接参数。 在系统视图下执行命令cloud-mng controller url url-string port port-number，配置云管理平台的URL地址（device.qiankun-saas.huawei.com）和端口信息（10020）。 在用户视图下执行命令save，保存配置。

操作步骤 配置交换机和华为乾坤云平台通信的基本信息。 方法一：采用Callhome方式 执行命令system-view，进入系统视图。 执行命令netconf，使能NETCONF功能并进入NETCONF视图。 执行命令source ip ip-address [ port port-number ]，配置交换机与华为乾坤云平台进行NETCONF通信时使用的IPv4地址及端口号。IP地址采用点分十进制形式，端口号为整数形式，取值范围是（830，55552~55807），缺省值为830。 执行命令callhome callhome-name，创建callhome模板并进入callhome模板视图。 执行命令ip address ip-address port port-number，配置与交换机进行NETCONF通信的华为乾坤云平台的南向IP地址（139.9.137.139）及端口号（10020）。 方法二：采用管理VLAN方式 执行命令system-view，进入系统视图。 执行命令netconf，使能NETCONF功能并进入NETCONF视图。 执行命令management-vlan（NETCONF视图），配置交换机和华为乾坤云平台通信时使用的VLAN。 执行命令controller url url-string port port-number，配置华为乾坤云平台URL（device.qiankun-saas.huawei.com）和端口号（10020）。 交换机向华为乾坤云平台注册认证，建立NETCONF传输通道，设备被平台纳管。

操作步骤 单击首页地图上方的“互联”，在“站点间互联统计”窗口，查看租户下所有“IPSec VPN”互联统计信息。 在“站点间互联统计”窗口，单击本端站点/隧道IP名称，将在地图上定位并标识本端与对端站点，同时在“互联详情”窗口中展示详细互联信息。 鼠标悬停在对应链路上时，可查看本端/对端站点名称，本端/对端IP地址，时延、丢包率等信息。可通过单击Tips窗口的，打开对应互联详情。 在“互联详情”窗口，单击右上角“站点间互联管理”；或在“站点间互联统计”窗口，单击右上角“站点间互联管理”或“创建互联”，跳转至资源中心的“站点间互联管理”页面。 通过“VPN监控”页签，查看具体的IPSec VPN状态，支持过滤、同步以及刷新等操作。 通过“VPN配置”页签，在分支站点间创建IPSec VPN，具体创建方式请参见IPsec VPN互联。

操作步骤 单击“Overlay服务”页签。 单击“LAN接口”，在左侧选择Hub站点，单击“创建”，配置LAN接口。 单击“接口”后面的“+”号，创建GE0/0/6接口。 图1 配置Hub站点LAN接口 在左侧选择分支站点，单击“创建”，配置LAN接口。 单击“接口”下面的“+”号，创建GE0/0/6接口。 图2 配置分支站点LAN接口 参考以上步骤，依次完成所有Hub站点和分支站点的LAN接口配置。 单击“LAN路由”，在左侧选择Hub站点，在对应的“OSPF”路由协议界面中，单击“创建”，完成路由配置后单击“确定”。 图3 配置路由策略 按照上述步骤依次完成所有站点设备的LAN路由配置。

背景信息 大中型园区网络中，AP全部运行在Fit AP模式，由WLAN-AC（简称WAC）集中配置管理。 为确保Fit AP注册到华为乾坤工作台后能被WAC正常管理，需要按以下步骤执行： 在华为乾坤云平台上创建站点，然后在站点内添加WAC和Fit AP设备，录入设备型号和SN等参数信息。设备添加有两种方式： 方式一：在华为乾坤工作台首页地图上选择指定站点，进入站点首页。若是聚合的站点图标，将鼠标悬停在站点图标上，在弹框中单击目标站点名称进入站点首页。然后在站点首页添加设备/设备组。 方式二：在设备管理页面添加设备。 在华为乾坤云平台上完成WAC关联Fit AP。 将WAC和Fit AP注册到华为乾坤云平台。

背景信息 除了DHCP Option方式外，AP还可以通过注册查询中心实现即插即用上线。华为乾坤云平台添加了设备信息后，会向华为注册查询中心同步，包括自身的地址和端口号。AP在获取管理IP地址后，可以主动向华为注册查询中心发起HTTP2.0连接请求，然后获取华为乾坤云平台的地址和端口号，最终完成上线。 AP缺省会主动向注册查询中心发起HTTP2.0连接请求，如果认为关闭了该功能，可在本地执行命令undo cloud-mng register-center disable恢复。 当前最新发货支持云模式的AP均会预置华为设备注册查询中心的URL（register.naas.huawei.com）和端口号（10020）。V200R019版本支持云模式的AP没有预置，但是可以升级到最新软件版本获取。 AP通过注册查询中心方式切换到云管理模式，仅针对从未上线过的AP有效。 Fat模式下的AP，不支持通过注册查询中心方式切换成云模式，需要通过命令行方式切换。

操作步骤 如图1所示，假设出口网关作为DHCP服务器，向AP动态分配管理IP地址。为了完成AP上线，DHCP服务器侧和AP侧需要进行的操作如下。 图1 AP通过DHCP Option方式上线示例 DHCP服务器侧：需要配置DHCP Option 148选项。 无论网关设备是防火墙还是路由器，只要保证出口已成功接入运营商网络，作为DHCP服务器时它们的配置大致一样。 以华为防火墙作为DHCP服务器为例，完整的配置如下，注意不要忘记最后的分号。 interface Vlanif100;ip address 192.168.100.1 255.255.255.0;service-manage all permit; interface Vlanif100：进入VLAN 100的逻辑接口。该数值为用户自定义，可修改。 ip address 192.168.100.1 255.255.255.0：设置IP地址。IP地址和掩码为用户自定义，可修改。 service-manage all permit：以策略全放通为例，一般不建议全放通，请根据实际情况设置。 dhcp select interface;dhcp server option 148 ascii agilemode=agile-cloud;agilemanage-mode=domain;agilemanage-domain=device.qiankun-saas.huawei.com;agilemanage-port=10020; agilemode=agile-cloud：设置切换模式为云模式，使能NETCONF。 agilemanage-mode=domain：设置注册方式。值为domain，表示使用URL域名注册；值为ip，表示使用IP地址注册。 agilemanage-domain=device.qiankun-saas.huawei.com：设置华为乾坤云平台的南向域名为device.qiankun-saas.huawei.com。 agilemanage-port=10020：设置端口号为10020。

操作步骤 笔记本终端连接AP。 有线连接方式：使用网线将笔记本的网口连接到AP的任意网口，将笔记本的IP地址配置为与AP默认的IP地址在同一网段，对于缺省配置的AP，必须将笔记本配置为169.254.1.x/24网段（169.254.1.1除外，建议使用169.254.1.100），以确保笔记本和AP之间网络互通。 无线连接方式：在AP的无线信号覆盖范围内，笔记本搜索默认SSID为hw_manage_xxxx，xxxx为AP MAC地址的后四位。笔记本动态获取IP地址后可以正常连接到AP。 笔记本终端打开浏览器软件（以Windows IE10.0为例）。 有线连接方式：在地址栏中输入“http://169.254.1.1”或“https://169.254.1.1”，按下回车键，显示Web网管的登录页面，输入用户名和密码。 无线连接方式：在地址栏中输入“http://169.254.2.1”或“https://169.254.2.1”，按下回车键，显示Web网管的登录页面，输入用户名和密码。 您可以在《WLAN缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。为确保帐号安全，建议首次登录后修改缺省密码。 选择“首页 ＞ 概览”，进入“概览”页面。 在“概览”页面单击“开局配置”，进行AP开局配置，具体参数说明请参见表1。 表1 开局配置参数表 序号 项目 说明 1 AP工作模式 工作模式 请选择“云AP”，切换设备的工作模式为云管理模式。 2 网络连接配置 连接方式 如果网络服务商提供DHCP Server，您从其自动获取IP地址，请选择“DHCP”。 如果您从网络服务商处获得一个固定的IP地址或者IP地址段，请选择“静态IP地址”。 如果您从网络服务商处获得一个用户名和密码，请选择“PPPoE”。 3（DHCP） “连接方式”确定后，具体参数值填写区域。图形以“PPPoE”举例。 无需填写参数。 3（静态IP地址） IP地址 在选择“静态IP地址”后，手工配置设备的静态IP地址。 子网掩码 在选择“静态IP地址”后，手工配置设备的子网掩码。 默认网关 在选择“静态IP地址”后，手工配置设备的默认网关地址。 首选DNS服务器 在选择“静态IP地址”后，手工配置设备的首选DNS服务器地址。 3（PPPoE） 用户名 在选择“PPPoE”后，PPPoE拨号方式的帐号名称。 密码 在选择“PPPoE”后，PPPoE拨号方式的帐号密码。 4 华为乾坤云平台配置 地址形式 请根据实际情况选择“URL”或者“IP”。 IP地址/URL，端口号 平台URL为device.qiankun-saas.huawei.com，IP地址为139.9.137.139，端口号为10020 单击“应用”。

操作步骤 单击“零配置开局”页签。 图1 零配置开局 在左侧列表的“站点列表”中，选择“未配置”，筛选出待配置的站点。 配置总部站点的WAN链路。 单击待配置的站点（以Hub1为例），在右侧页面，单击“物理站点”下的“点击开局”。 图2 站点开局 在“设备配置”区域，单击“模板导入”，选择已经创建好的WAN链路模板（“Double_RR_internet_links”）。 导入成功后，界面信息如图3所示。 图3 Hub1的WAN链路 在“设备1”处选择“Hub1_1”。“设备2”自动变成“Hub1_2”。 逐个单击WAN链路后的按钮，配置WAN链路。 不同链路的配置方法相同，参数值请参考WAN链路数据规划。 以“Device1_internet”链路为例，配置信息如图4所示。 图4 修改Device1_internet链路 参考上述步骤，完成另一个总部站点的WAN链路配置。参数值请参考WAN链路数据规划。 参考上述步骤，完成分支站点的WAN链路配置。 分支站点使用了LTE连接Internet。相比GE接口，LTE的WAN链路配置有些差异。 LTE的WAN链路配置如图5所示。参数值请参考WAN链路数据规划。 图5 修改分支站点的Internet_2链路配置（LTE链路）

操作步骤 配置Hub1站点的静态路由。 在“Underlay配置”页签，选择待配置的站点（如：Hub1）。 图1 Underlay配置页签入口 在“WAN路由”页签中，单击“点击添加路由协议”，在显示的对话框中，选择“IPv4 Static”，单击“确定”。 图2 添加路由协议 单击“创建”，添加静态路由，如图3所示。各路由参数值请参考Underlay网络数据规划。 图3 Hub1的静态路由 采用相同方式配置Hub2、Site1的静态路由。 各路由参数值请参考Underlay网络数据规划。

操作步骤 单击“零配置开局”页签。 图1 零配置开局 在左侧列表的“站点列表”中，选择“未配置”，筛选出待配置的站点。 配置总部站点的WAN链路。 单击待配置的站点（以Hub1为例），在右侧页面，单击“物理站点”下的“点击开局”。 图2 站点开局 在“设备配置”区域，单击“模板导入”，选择已经创建好的WAN链路模板（“Double_RR_Mix”）。 导入成功后，界面信息如图3所示。 图3 Hub1的WAN链路 在“设备1”处选择“Hub1_1”。“设备2”自动变成“Hub1_2”。 逐个单击WAN链路后的按钮，配置WAN链路。 不同链路的配置方法相同，参数值请参考WAN链路数据规划。 以“Device1_internet”链路为例，配置信息如图4所示。 图4 修改Device1_internet链路 参考上述步骤，完成另一个总部站点的WAN链路配置。参数值请参考WAN链路数据规划。 参考上述步骤，完成分支站点的WAN链路配置。参数值请参考WAN链路数据规划。