华为云用户手册

配置思路 图 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以第三方路由器作为网关设备，所有AP和接入LSW通过注册查询中心方式上云，被华为乾坤云平台纳管，然后远程进行业务配置。 数据规划。 使用工具自动规划AP的安装点位，确保AP的无线信号对超市全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置设备上线云平台。 交换机注册上线：交换机由第三方路由器（DHCP Server）分配IP地址，通过注册查询中心方式上线云平台。 AP注册上线：AP通过交换机接入Internet，且保持空口配置和串口无输入两个条件，便可以通过预置的华为注册查询中心的URL（register.naas.huawei.com）和端口号（10020），在获取管理IP地址后将自动向华为注册查询中心发起HTTP2.0连接请求。 配置交换机业务。 在华为乾坤云平台配置交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置认证接入。 员工Wi-Fi采用802.1X认证。 访客Wi-Fi采用Portal（短信认证），配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 有线哑终端通过MAC认证：认证点在接入交换机，认证服务器是华为乾坤云平台。 结果验证：确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 仅接入LSW+云AP组网场景

配置思路 图1是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以第三方路由器作为网关设备，整网设备均在华为乾坤云平台纳管。其中WAC、核心交换机通过Web网管、命令行方式上云，核心交换机下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 使用云网规工具自动规划AP的安装点位，确保AP的无线信号对大型卖场全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等，并确保两台核心交换机完成堆叠配置。 第三方路由器作为出口网关，已接入运营商网络，并确保其与核心交换机的对接，保证路由可达。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置设备上线云平台。 核心交换机注册上线：采用命令行配置对接云平台。 核心交换机下挂设备注册上线：在核心交换机（作为DHCP Server）上配置下挂设备的地址池和DHCP Option148参数。接入交换机采用DHCP Option148方式注册上线，也就是从DHCP Server上获取IP地址的同时也获取华为乾坤云平台的IP/URL地址和端口号，完成注册上线。 WAC注册上线：工作模式切为云管理模式，采用Web网管配置对接云平台。 在华为乾坤云平台配置网络业务。 配置交换机业务。 配置核心交换机下行接口，以及接口允许通过的VLAN等参数。 配置接入交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置核心交换机的DHCP Server功能，为用户终端分配IP地址。 配置认证业务。 员工Wi-Fi采用802.1X认证，使用默认的认证授权配置。 访客Wi-Fi采用短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 哑终端接入采用MAC认证。 配置员工和访客Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 仅核心交换机+接入交换机+AP+独立AC组网场景

配置思路 图 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以第三方路由器作为网关设备，所有AP设备在华为乾坤云平台纳管。AP通过华为乾坤APP注册上线，然后远程进行Wi-Fi业务配置。 数据规划。 手动规划AP的安装点位，确保AP的无线信号对汽车展厅实现全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 手机下载并安装华为乾坤APP软件，用于网络开局和验收。 现场安装AP设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有AP设备加入同一个站点，以便统一配置。 配置AP接入Internet：AP出口接入第三方交换机，采用DHCP方式。 配置AP注册上线：AP通过华为乾坤APP扫码，完成华为乾坤云平台上线。 在华为乾坤云平台配置网络业务。 认证授权准备： 员工Wi-Fi采用PSK认证，无需认证准备，默认即可。 访客Wi-Fi采用短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 配置AP业务。 配置员工和访客Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监测各设备状态信息。 父主题： 纯AP组网场景

准入认证方案架构 园区网络接入控制可以分为两个部分：用户接入认证和策略管控。云管理网络的用户接入认证架构，如图1所示。 认证控制点：对终端接入用户进行认证，实现用户接入控制，如允许接入网络或拒绝用户接入网络。在云管理网络园区，认证控制点一般部署在交换机上。云管理网络园区使用单设备组网时，本设备认证点即本设备。 策略执行点：在用户通过认证允许接入网络后，控制用户可以访问的资源。在云管理网络园区，策略执行点一般也部署在交换机上。 认证服务器：主要负责用户身份认证，一般使用RADIUS服务器作为认证服务器，云管理平台集成了RADIUS服务器和Portal服务器，所以云管理网络园区直接使用云管理平台作为认证服务器和Portal服务器。 短信服务器：终端用户使用Portal+短信验证码认证时，认证服务器需要与短信服务器进行交互，完成认证。 图1 用户认证接入结构图

认证关键技术 园区网络主要包括三种方式的认证技术：802.1X认证、Portal认证和MAC认证。由于这三种方式的认证原理不同，各自适合的场景也有所差异，实际应用中，可以根据场景部署选一种合适的认证方式，也可以部署几种认证方式组成的混合认证，混合认证的组合方式以设备实际支持情况为准。 802.1X认证 如图 802.1X认证示意图所示，802.1X认证方案包括三个基本要素：用户终端、认证控制点和认证服务器（通常采用RADIUS服务器）。用户终端一般会安装有802.1X客户端软件。 用户终端与认证控制点间：采用EAP（Extensible Authentication Protocol，可扩展认证协议）进行认证信息交互。EAP协议可以运行在各种底层，包括数据链路层和上层协议（如UDP、TCP等），而不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。 认证控制点与RADIUS服务器间：采用RADIUS协议，通过认证信息交互，完成认证、授权和计费。认证控制点从用户终端接收到包含认证请求的EAP报文后，会将用户认证信息封装到RADIUS报文中，或者将EAP报文直接封装到RADIUS报文中，然后发送给RADIUS服务器。 图2 802.1X认证示意图 Portal认证 Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。用户上网时，必须在门户网站进行认证，如果未认证成功，仅可以访问特定的网络资源，认证成功后，才可以访问其他网络资源。如图3所示，Portal认证通常包含四个基本要素：用户终端、认证控制点、Portal服务器和认证服务器（通常采用RADIUS服务器）。 用户终端与认证控制点间：认证控制点将用户终端的HTTP报文重定向到Portal服务器。 认证控制点与Portal服务器间：通过HACA协议进行认证信息交互。Portal服务器认证通过后，通过HACA协议通知认证控制点进行授权。 用户终端与Portal服务器间：用户终端向Portal服务器发送认证信息，Portal服务器校验后将认证结果返回给用户终端。 图3 Portal认证示意图 MAC认证 MAC认证，全称MAC地址认证，是一种基于终端MAC地址对用户的访问权限进行控制的认证方法。如图4所示，MAC认证系统通常包括三个基本要素：用户终端、认证控制点和认证服务器（通常为RADIUS服务器）。 用户终端与认证控制点间：认证控制点首次检测到用户终端的MAC地址，进行MAC地址学习，触发MAC认证。 认证控制点与RADIUS服务器间：采用RADIUS协议，通过认证信息交互，完成认证、授权和计费。认证控制点触发MAC认证后，会将用户认证信息封装到RADIUS报文中，然后发往RADIUS服务器。 图4 MAC认证示意图

参数说明 表2 通用射频配置参数 分类 参数 说明 调优模式设置 国家/地区 租户网络所在区域。按AP实际部署地区选择“国家/地区”以后，AP会根据当地法律法规重置射频的工作信道和功率，并相应调整允许配置的信道范围和功率大小。 调优模式设置 调优模式 周期性调优模式：AP根据调优间隔（缺省起始时刻03:00:00，间隔1440min）进行周期性的全局调优。 支持的射频调优策略如下： 入侵模式：所在网络中存在非法AP时，设备会立即规避该非法AP的干扰。该策略可能会导致信道切换频繁，建议在技术人员指导下使用。 底噪调优：当所在网络中由于特殊的外部干扰造成AP的底噪过高，导致业务体验恶化时，设备会规避干扰。当AP连续三次检测到当前信道底噪超过底噪阈值门限时，AP就会通过射频调优调离此信道，并在30分钟内不会调回此信道。 非Wi-Fi：所在网络中出现非Wi-Fi干扰时，设备会立即规避干扰 定时调优模式：AP在每天的指定时刻自动开始调优。 手动调优模式：AP不主动进行调优。 AI调优 缺省开启。开启后，设备会根据7天内的历史设备数据，通过AI算法自动调优。尤其设备周边干扰源在白天和黑夜有变化的场景下，该功能有较好的调优效果。 射频模式 AP的射频模式有五种，仅Wi-Fi6 AirEngine的设备支持以下射频模式： 默认模式。 2射频标准，双射频标准模式。 2射频2G增强，与标准模式相比，此模式下的2G射频可提供更大的容量。 3射频，选择该模式时，应确保AP的第三射频有无线业务配置，否则第三射频无法工作。 2射频独立扫描，双射频+独立射频扫描模式。 说明： 2射频独立扫描模式下，对于AirEngine 6760-X1、AirEngine 6760-X1E和AirEngine 5760-51，只有当加载RTU License后才可切换到双射频+独立射频扫描模式。 用户接入 智能漫游 缺省开启。传统WLAN网络中，当终端设备接入AP信号很弱时，终端设备的上网速率很低。如果多个低速率的终端设备接入AP，可能造成其他终端设备占用空口时间变少，造成AP吞吐量偏低，导致其他在线用户体验差。通过配置“弱信号终端强制下线”功能，一旦AP检测到终端设备的信噪比或接入速率低于指定的门限，主动向终端设备发送解除关联报文，让终端设备重新连接。 空口扫描 beacon周期(ms) 配置AP发送Beacon帧的周期。建议使用缺省值100ms。 AP通过周期发送Beacon帧来声明对应802.11网络的存在。终端设备收到Beacon帧后可以得知该网络的存在，从而调整加入该网络所必需的参数。 Beacon周期配置太大，会导致终端设备休眠时间变长；Beacon周期配置太小，会导致空口开销变大。 全信道检测 缺省关闭。打开全信道检测开关后，可以对AP射频所有信道进行扫描。 说明： 仅V200R020C10及以上版本的云AP和中心AP设备支持全信道检测功能。 频谱分析 缺省关闭。它是指WLAN设备检测无线网络环境中不同类型的干扰源，通过频谱分析服务器对采集到的无线信号进行特征分析，识别出非Wi-Fi（Non-WiFi）干扰设备，进而对干扰设备进行定位，消除干扰对WLAN网络的影响。打开开关后设备会将相关的数据采集并上报。 说明： 仅V200R020C10及以上版本的云AP和中心AP设备支持全信道检测功能。 空口扫描 缺省开启2.4G和5G空口扫描。对于无需空口扫描的AP，关闭该功能后，AP将停止扫描周围的无线信号。 说明： 空口扫描关闭后，将导致射频调优、频谱分析、终端定位、WIDS功能、智能漫游和DFS优选信道等功能无法正常使用。 扫描时长（ms） AP执行空口扫描的持续时间。AP会在该时间段内持续扫描周围的无线信号，扫描完成后AP会将扫描收集的信息上报给云平台，用于射频调优和频谱分析。 扫描时间越长，获取到的数据越多，数据分析越精确。但扫描时间过长会消耗过多系统资源，可能会影响正常业务，建议使用缺省值60ms。 说明： 仅在空口扫描使能后支持配置。 扫描间隔（ms） AP执行空口扫描的周期。建议使用缺省值10000ms。 说明： 仅在空口扫描使能后支持配置。 扫描信道 AP执行空口扫描的信道集合。缺省为“区域信道”。 区域信道：扫描“区域”中所选国家码支持的所有信道。 调优信道：扫描调优信道集合中的所有信道。 工作信道：仅扫描AP当前工作信道。 说明： 仅在空口扫描使能后支持配置。 性能优化 空口时间公平调度 缺省开启。开启后优先调度占用无线信道时间较少的用户，保证每个用户相对公平的占用无线信道。 逐包功率控制 缺省开启。开启后实时检测终端设备信号强度，实现绿色节能。 如果终端信号强度强（距离AP较近），发送数据包时自动降低实际发送的功率；如果终端信号强度弱（距离AP较远），恢复正常功率发送无线信号。 波束成型功能 缺省关闭。使AP在某个特定角度（目标用户）增强信号，在另一个特定角度（非目标用户或障碍物）减弱信号，从而控制信号传播的方向和覆盖范围。 说明： 波束成形特性依赖于纳管的AP款型是否支持此特性，详情请参见配套的AP产品文档“beamforming enable”页面中的说明。 负载均衡 缺省关闭。 在距离相对较近、覆盖范围重叠度较高的多个AP上，可以开启负载均衡功能，在WLAN网络中平衡AP的负载，充分保障每个终端设备的无线网络体验。当终端设备试图接入WLAN网络时，收到访问请求的AP会根据在线终端设备数和自身能力上限按一定的算法评估当前负荷。如果负荷显著高于附近的同站点AP的平均负荷，该AP将拒绝本次接入请求。 RTS- CTS 模式 缺省值rts-cts。配置RTS-CTS（Request To Send/Clear To Send，握手协议）的工作模式，避免信道冲突导致的数据传输失败。 cts-to-self：数据传输前由发送方通告周边设备暂停数据发送。以较小的网络开销避免数据传输冲突，可以满足大部分应用环境。 rts-cts：数据传输前由发送方和接收方分别通告各自周边设备暂停数据发送。可以更好地避免冲突，但网络开销大，可能导致过多的通告帧占用信道带宽。 disable：数据传输前不发送通告。可能由于冲突而导致数据传输失败。 RTS-CTS阈值(byte) RTS-CTS门限来指定发送数据的帧长度，缺省值为1400。如果工作站发送数据的帧长度小于RTS-CTS阈值，将不执行RTS/CTS握手。 说明： 如果已通过CLI配置了RTS-CTS阈值，需执行“undo rts-cts-threshold”命令删除该配置。 WMM 缺省开启。802.11n和802.11ac的终端必须支持WMM（Wi-Fi Multimedia，Wi-Fi多媒体标准）功能。 如果去使能WMM功能，会导致802.11n和802.11ac不可用，终端仅能通过802.11a/b/g模式接入。 如果去使能WMM功能，则禁止非HT终端接入功能失效。 说明： 仅V200R008C10及以上版本的AP设备支持WMM功能。 信道竞争参数 WMM将报文分为4个类别的AC（Access Category），分别是AC_VO（voice）、AC_VI（video）、AC_BE（Best Effort）、AC_BK（Background）。每一个AC队列定义了一套增强分布式信道访问EDCA参数，该参数决定了队列占用信道的能力大小，可以实现高优先级AC队列占用信道机会大于低优先级AC队列。 EDCA参数分别如下： AIFSN ：空闲等待时间，数值越大，等待时间越长，优先级越小。 ECWmin ：最小竞争窗口，数值越大，优先级越低，且ECWmin 小于 ECWmax。 ECWmax ：最大竞争窗口，数值越大，优先级越低。 TXOPLimit：用户一次竞争信道成功后，可占用信道最大时间，数值越大，用户占用时间越长。 ACK策略： normal ：对于发送端发送的每个单播报文，接收端在接收到报文后，都需要发送ACK帧进行确认。 noack ：在通信质量很好、干扰很小的情况下，为提高传输效率，可以选择不应答ACK帧。 BE动态优化 缺省关闭。开启后，AP将根据接入用户数，通过算法动态调整终端占用空口资源的优先级，尽力提高业务的用户体验。BE指根据报文到达的先后顺序采用先来先服务的原则处理报文转发，对报文的延迟、抖动、丢包率和可靠性等不作承诺和保证。 BE优化阈值(包/秒) BE动态优化算法使用到的参数值，建议使用默认值6。 多媒体动态优化 缺省关闭。开启后，AP将根据接入用户数，通过算法动态调整终端占用空口资源的优先级，提高音频、视频应用的用户体验。 音频优化阈值(包/秒) 多媒体动态优化算法使用到的参数值，建议使用默认值。 视频优化阈值(包/秒) 场景 当“BE动态优化”和“多媒体动态优化”开关均关闭时，显示该参数。 根据网络实际情况和需要，配置WMM参数，使高优先级的数据报文优先占用无线信道，达到调整视频、语音等类型的流量的转发优先级的目的。为了使WMM生效，必须在射频参数中开启WMM开关。 默认：无优先级 音频：以语音流量优先 音频和视频：以语音及视频流量优先 表3 高级射频配置参数（2.4GHz/5GHz） 分类 参数 说明 高级参数设置(2.4GHz) 信道集(20MHz) 为AP在2.4GHz频段上的无线信号传输选择调优信道集，可配置为1~13。为了尽可能地减少邻近AP之间的同频或邻频干扰，系统将根据AP间邻居关系紧密程度从信道集中挑选信道进行调优，按动态信道调整算法（Dynamic Channel Allocation，简称为DCA）分别为每个AP分配信道。 TPC范围 用于限定射频调优完成后发射功率范围，单位为dBm。缺省配置时，TPC（Transmit Power Control）上限为127dBm，TPC下限为9dBm。 如果下限过低，可能导致射频调优后的功率过小、无法满足射频覆盖需要；如果上限过高，可能导致射频调优后的功率过大、AP之间出现信号干扰。 TPC阈值 射频调优TPC（Transmit Power Control）覆盖阈值，单位为dBm。缺省配置时，TPC阈值为-60dBm。 根据AP实际布放高度和间距适当调整该阈值，可以使AP在射频调优后达到最优的覆盖效果。阈值越大，TPC调整的功率值会整体提高。 接入用户数限制 缺省关闭。用于设置AP在2.4GHz频段上最大接入的用户数。 开启后，接入用户数阈值缺省为64，接入阈值策略有： 新用户禁止接入：射频接入的终端达到阈值后，新用户禁止接入。 新用户禁止接入且隐藏SSID：射频接入的终端达到阈值后，新用户禁止接入，且自动隐藏该射频下的所有SSID。 接入用户数阈值 接入阈值策略 组播发射速率 缺省自适应，也支持手动配置。注意，配置的速率要属于基础速率集或者支持速率集，且终端设备需要支持该速率，否则终端设备将不能正常接收组播数据。 基础速率(Mbps) 配置2.4G射频模板在不同射频类型下的基础速率集。基础速率集是指STA成功关联RU时，RU和STA都必须支持的速率集，RU和STA都必须支持基础速率集中的所有速率，STA才能成功关联RU。 支持速率(Mbps) 配置2.4G射频模板在不同射频类型下的支持速率集。支持速率集是在基础速率集的基础上AP支持的更多的速率的集合，目的是为了让AP和STA之间能够支持更多的数据传输速率。AP和STA之间的实际数据传输速率是在支持速率集和基础速率集中选取的。 保护间隔 配置非802.11ax的GI（Guard Interval）模式。 Default：使用设备缺省值。 short：短GI，即400ns。 normal：普通GI，即800ns。 说明： 仅V200R009C00及以上版本的AP设备支持该功能。 802.11ax GI模式 配置802.11ax的GI模式，缺省配置为0.8 (µs)。 0.8 (µs) 1.6 (µs) 3.2 (µs) 间隔时间越小，传输效率越高，间隔时间越大，抗干扰能力越强。室内环境干扰因素小，建议使用小的GI，室外环境干扰因素大，建议使用大的GI。 极限功率 当存在物体遮挡，信号无法覆盖时，通过开启更高功率的信号来覆盖此区域。 默认 开启 关闭 弱信号终端强制下线 缺省关闭。开启后，AP一旦检测到终端的信号较弱，会强制该终端下线。 普通：平台预设“信噪比阈值”为15dB，“检测周期”为500毫秒。 高密：平台预设“信噪比阈值”为20dB，“检测周期”为500毫秒。 自定义：需要用户手工输入“信噪比阈值”和“检测周期”。 双频动态调整 缺省关闭。是否使能双频动态调整功能。 冗余2.4G射频调整方式 当“双频动态调整”开启时，需要配置该参数。 自动切换成5G：冗余2.4G射频自动切换为5G射频。如果5G射频没有可用信道或当前射频不支持切换为5G时，切换为monitor模式。 自动关闭2.4G：冗余2.4G射频自动关闭。 高级参数设置(5GHz) 调优信道带宽 AP在5GHz频段上的无线信号传输设置调优频宽。配置大带宽信道可获得更大的传输速率。 信道集 AP在5GHz频段上的无线信号传输选择调优信道集。为了达到更优的调优效果，请选择3个或3个以上作为可选信道。 说明： 可以选择的信道取决于当前设置的区域码。 用户在配置调优时，需要考虑调优带宽和调优信道的匹配关系。 基础速率(Mbps) 配置5GHz射频模板在不同射频类型下的基础速率集。基础速率集是指STA成功关联RU时，RU和STA都必须支持的速率集，RU和STA都必须支持基础速率集中的所有速率，STA才能成功关联RU。 支持速率(Mbps) 配置5GHz射频模板在不同射频类型下的支持速率集。支持速率集是在基础速率集的基础上AP支持的更多的速率的集合，目的是为了让AP和STA之间能够支持更多的数据传输速率。AP和STA之间的实际数据传输速率是在支持速率集和基础速率集中选取的。 TPC范围 用于限定射频调优完成后发射功率范围，单位为dBm。缺省配置时，TPC上限为127dBm，TPC下限为12dBm。 如果下限过低，可能导致射频调优后的功率过小、无法满足射频覆盖需要；如果上限过高，可能导致射频调优后的功率过大、AP之间出现信号干扰。 TPC阈值 射频调优TPC（Transmit Power Control）覆盖阈值，单位为dBm。缺省配置时，TPC阈值为-60dBm。 根据AP实际布放高度和间距适当调整该阈值，可以使AP在射频调优后达到最优的覆盖效果。阈值越大，TPC调整的功率值会整体提高。 接入用户数限制 缺省关闭。用于设置AP在5GHz频段上最大接入的用户数。 开启后，接入用户数阈值缺省为64，接入阈值策略有： 新用户禁止接入：射频接入的终端达到阈值后，新用户禁止接入。 新用户禁止接入且隐藏SSID：射频接入的终端达到阈值后，新用户禁止接入，且自动隐藏该射频下的所有SSID。 接入用户数阈值 接入阈值策略 组播发射速率 缺省自适应，也支持手动配置。注意，配置的速率要属于基础速率集或者支持速率集，且终端设备需要支持该速率，否则终端设备将不能正常接收组播数据。 保护间隔 配置非802.11ax的GI（Guard Interval）模式。 Default：使用设备缺省值。 short：短GI，即400ns。 normal：普通GI，即800ns。 说明： 仅V200R009C00及以上版本的AP设备支持该功能。 802.11ax GI模式 配置802.11ax的GI模式，缺省配置为0.8 (µs)。 0.8 (µs) 1.6 (µs) 3.2 (µs) 间隔时间越小，传输效率越高，间隔时间越大，抗干扰能力越强。室内环境干扰因素小，建议使用小的GI，室外环境干扰因素大，建议使用大的GI。 极限功率 当存在物体遮挡，信号无法覆盖时，通过开启更高功率的信号来覆盖此区域。 默认 开启 关闭 弱信号终端强制下线 缺省关闭。开启后，AP一旦检测到终端的信号较弱，会强制该终端下线。 普通：平台预设“信噪比阈值”为15dB，“检测周期”为500毫秒。 高密：平台预设“信噪比阈值”为20dB，“检测周期”为500毫秒。 自定义：需要用户手工输入“信噪比阈值”和“检测周期”。 A-MSDU 缺省关闭。是否以A-MSDU聚合方式发送802.11ac报文的功能。 最大子帧数 缺省值为2。配置A-MSDU聚合方式一次能聚合的最大子帧数。 表4 频道规划参数 分类 参数 说明 手动射频调优 名称 需要调整的射频频段。 射频开关 缺省开启。是否使能射频功能。 频宽 选择工作带宽。缺省为“调优频宽”。 调优频宽 20mhz 40mhz-plus 40mhz-minus 80mhz（仅5G射频支持） 80+80mhz（仅5G射频1支持，三射频场景中，5G射频2为低频，不支持配置此带宽。） 160mhz（仅5G射频支持） 信道自动选择 当“频宽”选择“调优频宽”时，会自动选择信道。 信道 传输射频信号所使用的频段。为了避免信号干扰，请确保相邻AP工作在非重叠信道上。为了避免产生射频干扰，建议为相邻部署的AP在2.4G频段规划非重叠信道组合（例如1、6、11），在5GHz频段规划不同信道。 频宽自动选择 （仅5GHz射频支持）当“频宽”选择“调优频宽”时，可动态调整射频频宽，不受已有的调优频宽限制。 功率自动选择 开启时自动选择发射功率，关闭时手工调整发射功率。 发送功率（dBm） “功率自动选择”关闭时，需要配置该参数。根据实际网络环境的需求，配置射频的发射功率，使射频信号强度具备满足实际网络需求的能力，提高射频信号质量。 天线增益（dB） 天线增益用于衡量天线向特定方向收发信号的能力。在相同条件下，天线增益越高，电波传播的距离越远。请填写为AP实际所使用天线的增益值。 冗余射频调整 （仅2.4GHz射频支持）是否在当前设备的2.4G射频上使能“冗余射频调整”功能。若开启，还必须确保“高级参数设置”区域中“双频动态调整”开关已开启。

背景信息 WLAN网络是以射频信号（例如频率为2.4GHz或5GHz的无线电磁波）作为传输介质的，无线电磁波在空气中的传播会因为周围环境影响而导致无线信号衰减等现象，进而影响无线用户上网的服务质量。通过调整信道和功率，可以使各AP的信道和功率保持相对平衡，保证AP工作在最佳状态。 在AP上按实际需要配置握手协议模式、空口扫描参数和天线增益等，可以合理控制AP的无线网络覆盖区域、减少射频干扰和数据传输冲突。通过为射频功能配置定时开启/关闭策略，可以降低不必要的能耗。 在不同的国家和地区，法律法规为无线通信规定了不同的工作信道和功率，使用AP部署无线网络时，射频参数必须符合当地法律法规。在华为技术支持网站搜索并下载“国家码&信道顺从表”，可以查看具体约束信息。 企业用户技术支持网站：https://support.huawei.com/enterprise 运营商用户技术支持网站：https://support.huawei.com

设备款型约束 云管理网络支持纳管网络设备（交换机、AP、AR、WAC）、安全设备（防火墙）。 如果设备款型或版本不在设备清单里，可能无法保证设备配置下发正常，请选择正确的设备款型和配套版本。 网络设备支持的款型和版本请参见《华为乾坤云管理网络配套款型》。 安全设备（防火墙，云管模式）支持的款型如下： USG6106E、USG6305E、USG6306E、USG6308E、USG6312E、USG6322E、USG6332E、USG6350E、USG6305E、USG6309E、USG6315E、USG6325E、USG6335E、USG6355E、USG6365E、USG6385E、USG6395E、USG6525E、USG6515E、USG6550E、USG6560E、USG6580E、USG6555E、USG6565E、USG6575E-B、USG6585E、USG6605E-B。

配置思路 图1是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以防火墙（FW）作为网关设备，整网设备均在华为乾坤云平台纳管。其中FW、WAC、核心交换机通过Web网管、命令行方式上云，核心交换机下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 使用云网规工具自动规划AP的安装点位，确保AP的无线信号对校园全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置防火墙接入Internet：通过PPPoE拨号方式接入运营商网络，采用Web网管配置。 配置设备上线云平台。 防火墙注册上线：配置防火墙为双机热备镜像模式，工作模式切为云管理模式，采用Web网管配置对接云平台。 核心交换机注册上线：采用命令行配置对接云平台。 核心交换机下挂设备注册上线：在核心交换机（作为DHCP Server）上配置下挂设备的地址池和DHCP 148参数。接入交换机和AP采用DHCP Option148方式注册上线，也就是从DHCP Server上获取IP地址的同时也获取华为乾坤云平台的IP/URL地址和端口号，完成注册上线。 WAC注册上线：工作模式切为云管理模式，采用Web网管配置对接云平台。 在华为乾坤云平台配置网络业务。 配置交换机业务。 配置核心交换机下行接口，以及接口允许通过的VLAN等参数。 配置接入交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置核心交换机的DHCP Server功能，为用户终端分配IP地址。 配置认证业务。 员工Wi-Fi采用802.1X认证，使用默认的认证授权配置。 访客Wi-Fi采用短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 哑终端接入采用MAC认证。 配置员工和访客Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 防火墙+核心交换机+接入交换机+AP+独立AC组网场景

操作步骤 单击“拓扑”页签。 在“VN”中选择已经建立的VN名称。 在“预定义拓扑”界面，依次选择“模式”、“拓扑模式”。 默认拓扑模式为“Full-Mesh”，单击“Hub-Spoke”进行切换，并设置中心站点和分支站点。 图1 配置Overlay拓扑 打开“分支互访”并在中心站点的“分支互通”开关，可以实现企业的分支之间的互通需求。 在中心站点中，打开“Hub间互通”开关，可以实现企业总部之间的互通需求。 单击“确定”。 重复以上步骤，完成各VN的Overlay拓扑配置。

配置思路 图 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以第三方路由器作为网关设备，核心交换机作为DHCP Server，且通过命令行配置上云，上云后可通过远程方式进行业务配置。核心交换机下挂的接入交换机和所有AP通过DHCP Option148方式注册上线。 数据规划。 使用工具自动规划AP的安装点位，确保AP的无线信号对酒店全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电，按组网图完成设备间连接以及两台核心交换机完成堆叠配置等。 第三方路由器作为出口网关，已接入运营商网络。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置核心交换机接入Internet：通过第三方路由器接入运营商网络，采用命令行进行配置。 配置设备上线云平台： 核心交换机注册上线：采用命令行方式配置对接云平台。 核心交换机下挂设备注册上线：在核心交换机（作为DHCP Server）上配置下挂设备的地址池和DHCP Option148参数。接入交换机和AP采用DHCP Option148方式注册上线，也就是从DHCP Server上获取IP地址的同时也获取云管理平台的IP/URL地址和端口号，完成注册上线。 在华为乾坤云平台配置网络业务。 配置交换机业务。 配置核心交换机、接入交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置用户接入认证。 员工Wi-Fi采用802.1X认证。 访客Wi-Fi采用Portal+短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 有线哑终端通过MAC认证：认证点在接入交换机，认证服务器是华为乾坤云平台。 结果验证：确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 仅核心交换机+接入交换机+云AP组网场景

背景信息 上行链路NQA 当前企业通常以双上行链路方式接入Internet，以保证链路的稳定。网络质量分析NQA（Network Quality Analysis）是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA能够实时监视网络QoS，在网络发生故障时进行有效的故障诊断和定位。 联动功能是指NQA提供探测功能，把探测结果通知其他模块，其他模块再根据探测结果进行相应处理的功能。比如和网络路由的联动。 以静态路由为例： 用户配置了一条静态路由，下一跳为192.168.0.88，如果192.168.0.88可达，该静态路由有效；如果192.168.0.88不可达，则该静态路由无效。通过在NQA和应用模块之间建立联动，可以实现静态路由有效性的实时判断。 NAT 在AR上开启NAT映射，使下行网络中的设备能以AR的WAN口IP地址访问Internet。 NAT（Network Address Translation）是一种地址转换技术，可以将IPv4报文头中的地址转换为另一个地址。AR支持基于出接口地址方式的NAT（又称为Easy IP），租户网络中的设备可以直接借用AR公网接口的IP地址访问Internet。 DNS 通过AR接入网络的设备能通过DNS服务器识别某些 域名 ，自动将其解析为对应的IP地址。 DNS技术实现了域名和IP地址的相互映射，可以使用户能更方便地访问互联网，无需记忆具体的IP地址。 DNS客户端在接入网络以后，将DNS请求发送到DNS中继。DNS中继会直接将请求报文转发给DNS服务器，由DNS服务器执行域名解析，并将应答报文转发回DNS客户端。 子网 在AR上配置DHCP服务，使下行网络中的设备能自动获取IP地址，从而实现与AR上行网络的互通。 DHCP服务器 负责为DHCP客户端动态分配IP地址等网络参数的设备。 （可选）DHCP中继 如果DHCP客户端和DHCP服务器不在同一个网段，可以通过DHCP中继与DHCP服务器通信，从而获取到合法的IP地址。通过部署DHCP中继可以使多个网段的设备共用一个DHCP服务器，降低成本，便于集中管理。 DHCP客户端 通过DHCP协议以广播方式发送报文请求获取IP地址等网络参数的终端设备。例如PC、手机、IP电话、无盘工作站等。

配置思路 图1 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以防火墙作为网关设备，整网设备均在华为乾坤云平台纳管。其中防火墙通过Web网管方式上云，防火墙下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 使用云网规工具WLAN Planner自动规划AP的安装点位，确保AP的无线信号对仓储局点全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备。在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置防火墙接入Internet并注册上线。通过PPPoE拨号方式接入运营商网络；工作模式切为云管理模式，采用Web网管配置对接云平台。 配置防火墙下挂设备注册上线。采用DHCP Option148方式，在华为乾坤云平台配置，配置对象是防火墙。目的是为网关下挂设备分配管理IP，同时下发云平台注册信息。 配置防火墙的安全策略 配置防火墙开启NAT 配置下挂设备上线 在华为乾坤云平台配置网络业务。 配置防火墙业务。配置防火墙的下行接口以及和核心交换机间的互联子网。 配置核心交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置接入交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置AP业务：配置员工Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 认证授权准备。 员工Wi-Fi采用Portal+短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 哑终端采用MAC认证。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 防火墙+核心交换机+接入交换机+云AP组网场景

操作步骤 登录华为乾坤控制台，单击左上角“大屏”，在大屏页面选择“租户网络大屏”。 若只购买开通了云管理网络，则默认进入租户网络大屏，无需选择。 （可选）在网络大屏上方，单击，可设置定时刷新时间。单击支持全屏显示。 单击页面上，支持用户自定义网络大屏，选择需要展示的模块。 表1 租户网络大屏模块说明 模块 说明 网规方案统计 网规设计方案：显示网络规划与设计中设计的方案总数。 无线网规方案：显示网络设计方案中使用了无线设计的方案总数。 开局站点统计 站点统计：显示租户当前创建的站点数量，以及不同状态的站点数量分布。 设备统计：显示租户当前添加的设备数量，以及不同状态的设备数量分布。 在线设备趋势 显示租户在线设备数量的趋势。默认显示近7天的在线设备数量，可单击卡片上修改。 24小时流量统计 显示租户所有在线设备累计转发的流量。 网络调优与收益 默认显示今天的网络调优与收益数据。 调优次数：显示全局调优次数、局部调优次数以及AI漫游引导次数。 调优收益：显示干扰率、下行带宽以及漫游成功率。 AP代际升级 显示当前时间窗内Wi-Fi 6款型AP和非Wi-Fi 6款型性能对比情况，以及AP的升级建议。 网络健康度评分 显示当前时间窗内网络健康度总体评分。默认显示今天的健康度评分。 已处理问题分布 显示当前时间窗内网络已处理无线接入问题，包括接入类问题、性能类问题以及漫游类问题。默认显示今天的已处理问题分布。 用户体验评估 显示各个评分等级的用户数。 应用总流量趋势 显示当前时间窗内的应用的流量分析，默认显示今天的应用总流量分布，可单击卡片上修改。 地图 显示当前站点部署、站点间VPN互联概况和站点配置概况。 在地图右下角菜单栏提供以下操作。 地图中红色站点表示该站点中有异常设备，绿色站点表示该站点设备正常或者为空站点。 地图默认展示自动视角。可单击地图右下角选择自定义模式视角，单击保存，则地图展示自定义视角。 滚动鼠标可以缩放地图，单击聚合站点或者单击地图页面右下角“+”、“-”图标，可放大地图分散站点。

配置思路 图 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以防火墙作为网关设备，整网设备均在华为乾坤云平台纳管。其中防火墙通过Web网管方式上云，防火墙下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 手动规划防火墙、交换机、中心AP的安装点位。 手动规划RU的安装点位，每个房间安装一个RU，确保安全可靠，信号无遮挡。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将医院所有防火墙、交换机、中心AP、RU加入同一个站点，以便统一配置。 配置防火墙接入Internet：通过PPPoE拨号方式接入运营商网络，采用Web网管配置。 配置设备上线云平台。 防火墙注册上线：工作模式切为云管理模式，采用Web网管配置对接云平台。 防火墙下挂设备注册上线：采用DHCP Option148方式，在华为乾坤云平台配置，配置对象是防火墙。目的是为网关下挂设备分配管理IP，同时下发云平台注册信息。 在华为乾坤云平台配置网络业务。 认证授权准备。 病房Wi-Fi采用PSK认证，无需认证准备，默认即可。 护士站PC和摄像接入无需认证。 配置防火墙业务。 配置防火墙的下行接口。 配置防火墙的DHCP Server功能，为用户终端分配IP地址。 开启防火墙的NAT功能。 配置防火墙的安全策略。 配置交换机业务。 配置交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置AP业务。 配置中心AP的上行、下行接口以及RU的上行接口。 配置病房Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 防火墙+交换机+中心AP+RU组网场景

配置思路 图1是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以第三方路由器作为网关设备，整网设备均在华为乾坤云平台纳管。其中随板AC通过命令行方式上云，随板AC下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 使用云网规工具自动规划AP的安装点位，确保AP的无线信号对大型卖场全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置设备上线云平台。 随板AC注册上线：采用命令行配置对接云平台。 随板AC下挂设备注册上线：在随板AC（作为DHCP Server）上配置下挂设备的地址池和DHCP 148参数。接入交换机和AP采用DHCP Option148方式注册上线，也就是从DHCP Server上获取IP地址的同时也获取云管理平台的IP/URL地址和端口号，完成注册上线。 在华为乾坤云平台配置网络业务。 配置交换机业务。 配置随板AC下行接口，以及接口允许通过的VLAN等参数。 配置随板AC的DHCP Server功能，为用户终端分配IP地址。 配置接入交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置认证业务。 员工Wi-Fi采用802.1X认证，使用默认的认证授权配置。 访客Wi-Fi采用短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 哑终端接入采用MAC认证。 配置员工和访客Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 仅核心交换机+接入交换机+AP+随板AC组网场景

简介 用户体验保障围绕用户Wi-Fi网络接入、上网体验等进行全生命周期精准画像，并进行问题分析定位，让运维人员轻松处理用户报障，主动保障VIP用户网络体验。 基于“以设备为中心”的网络管理运维手段，无法满足数字化新空间的需求。“以设备为中心”的运维理念，需要升级为“以体验为中心”的运维理念。“以体验为中心”的运维理念，包含两个方面： 感知体验，对体验进行可视化管理，包括： 对单个用户的360°体验可视化和旅程回放 对全局用户的体验可视化 主动识别用户和业务的体验问题，发现潜在故障并识别根因，最终给出修复建议甚至自动修复，而非被动响应： 故障发生，第一时间感知 识别出体验差的用户和应用 识别潜在问题，提前消除问题 对问题或故障，进行根因定位，给出修复建议甚至自动修复 父主题： 用户体验保障

网络互通基本配置 SD-WAN针对AR设备的网络业务主要支持如下配置： WAN口配置：支持以太、LTE、Eth-Trunk、ATM口配置。 支持NTP、GRE、IPsec等基础配置。 路由协议配置：支持静态路由配置、OSPF路由配置、BGP路由配置。 站点间路由发布：支持连接RR站点自动配置BGP路由配置。 LAN口配置：支持以太接口、接口VLAN、Eth-trunk、DHCP、DHCP Relay、DNS等配置。 WLAN配置：支持SSID、射频配置。

广域优化 FEC（Forward Error Correction）是一种增加数据通讯可信度的数据编码技术，通过流分类识别指定数据流，为其增加携带校验信息的冗余包，如果网络中出现了报文丢失或者报文损伤，则通过冗余包还原报文。该技术优化的典型应用场景： 智能视频安防系统 智能视频安防系统应用的非常广泛，城市里部署大量摄像头，通过网络连接到数据中心进行监测、存储分析。连锁企业通过智能视频安防系统，把数据回传到总部进行监测、存储和分析。这种应用场景的特点是，多个站点的流量汇聚到同一站点，只有上行流量。通过Internet链路网络质量无法保证，可能会出现丢包，导致视频花屏、卡顿，影响视频质量，这就需要在摄像头区域出口、数据中心出口部署广域优化功能，保证视频质量。 视频会议 企业多个站点（分支或总部）都向位于数据中心的服务器建立连接，通过连接到同一站点（数据中心），通过数据中心的会议服务器，把多方的流量互相转发。这种场景既有分支到数据中心的流量，也有数据中心到各个分支的流量，是双向流量。通过Internet链路网络质量无法保证，可能会出现丢包，导致视频花屏、卡顿，影响视频质量，这就需要在视频终端的站点出口、数据中心出口部署广域优化的抗丢包功能，保证视频质量。

站点间互联（Site to Site） 支持创建虚拟网络VN，用于不同业务的隔离，并提供基于VN的Hub-Spoke，Full-Mesh以及Partial-Mesh的组网互通方式。 在Hub-Spoke网络中，总部与分支间建立Hub-Spoke隧道，分支到分支的数据流经由总部传输，支持最多16个Hub的冗余组网设置。 在Full-Mesh网络中，分支与分支机构间建立Spoke-Spoke隧道，实现分支机构与分支机构之间的直接通信。如果分支数量较多，支持动态隧道功能按需建立隧道。 站点可以选择部署CPE单网关或双网关，同时支持多链路混合方式接入网络，保障网络连接可靠性。

Native IPv6 支持在LAN侧提供基本的IPv6配置能力，通过Underlay将各分支的IPv6网络连接在一起。 支持Overlay LAN侧配置DHCPv6，IPv6静态路由，OSPFv3。 支持Underlay配置IPv6静态路由，BGP+。 支持通过本地出局将LAN侧IPv6网络与Underlay IPv6网络连通。 支持Underlay配置IPv6 over IPv4 GRE 或者IPv6 over IPv4 GRE over IPsec隧道。

站点上网（Site to Internet） SD-WAN站点上网业务主要支持以下场景配置： 本地上网：站点的上网流量从本地CPE的Underlay链路直接出局上网。 集中上网：所有站点的上网流量都通过Overlay的EVPN隧道发送到集中上网的站点后出局上网。 混合上网： 默认集中上网+指定应用本地上网 默认采用集中上网的方式，对于特定流量/应用可指定从本地访问Internet，减少访问延迟。 默认本地上网+指定应用集中上网 默认采用本地上网的方式，对于特定流量/应用可指定从集中网关访问Internet，便于集中管控。 默认本地上网+集中备份上网 默认采用本地上网的方式，当本地Internet链路故障时，流量从集中网关访问Internet。 默认集中上网+本地备份上网 默认采用集中上网的方式，当Overlay通道故障时，流量从本地Internet链路上网。

多云互联 当前企业应用上云越来越多，企业部署SD-WAN系统，需要通过华为乾坤云平台实现企业分支和公有云的互通。SD-WAN多云互联方案支持公有云部署vCPE，将公有云作为SD-WAN网络中的站点，实现企业总部、分支、公有云互联网络的统一管理。 支持AR1000V在华为云和亚马逊云上自动化开局。 支持云站点关联RR，通过路由反射器向其他SD-WAN站点互相通告路由。 支持配置Underlay路由，实现云站点与其他SD-WAN站点的Underlay网络互通。 支持加入VN，将云站点加入所在的部门VN。 支持构建拓扑，将云站点与其他SD-WAN站点构建拓扑，建立Overlay隧道，实现Overlay网络的互通。 支持云站点与VPC互联，华为云支持Host VPC方案，亚马逊云支持Host VPC方案和Transit VPC方案。

背景信息 上行链路IP-Link 当前企业通常以双上行链路方式接入Internet，以保证链路的稳定。IP-Link是指防火墙通过向指定的目的IP周期性地发送探测报文并等待应答，来判断上行链路是否发生故障。 当上行链路出现故障时，防火墙不能将流量切换到备份链路上。故希望通过与IP-Link联动，检查链路的有效性。当发现所在链路出现故障时，则将业务流量切换到备份链路上。当链路从故障中恢复，防火墙能连续地收到响应报文，则认为链路故障已经消除。则将业务流量切换到主用链路上。 DNS 在防火墙上配置DNS相关功能，通过防火墙接入网络的设备能通过DNS服务器识别某些域名，自动将其解析为对应的IP地址。DNS技术实现了域名和IP地址的相互映射，可以使用户能更方便地访问互联网，无需记忆具体的IP地址。DNS客户端在接入网络以后，将DNS请求发送到DNS中继/代理： 对于DNS代理，会先查询本地域名缓存表。如果能查到对应的域名解析结果，会直接将应答返回给DNS客户端；否则会将请求报文转发给DNS服务器，由DNS服务器执行域名解析。 对于DNS中继，则直接将请求报文转发给DNS服务器，由DNS服务器执行域名解析，并将应答报文转发回DNS客户端。 NAT 在防火墙上开启NAT映射（缺省情况下已启用），使下行网络中的设备能以防火墙WAN口的IP地址访问Internet。 NAT（Network Address Translation）是一种地址转换技术，可以将IPv4报文头中的地址转换为另一个地址。防火墙支持基于出接口地址方式的NAT（又称为EasyIP），租户网络中的设备可以直接借用防火墙公网接口的IP地址访问Internet。 子网 通过防火墙接入网络的设备能从防火墙自动获取IP地址，从而实现与防火墙上行网络的互通。 DHCP服务器 负责为DHCP客户端动态分配IP地址等网络参数的设备。 （可选）DHCP中继 如果DHCP客户端和DHCP服务器不在同一个网段，可以通过DHCP中继与DHCP服务器通信，从而获取到合法的IP地址。通过部署DHCP中继可以使多个网段的设备共用一个DHCP服务器，降低成本，便于集中管理。 DHCP客户端 通过DHCP协议以广播方式发送报文请求获取IP地址等网络参数的终端设备。例如PC、手机、IP电话、无盘工作站等。

配置思路 图 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以防火墙作为网关设备，整网设备均在华为乾坤云平台纳管。其中防火墙通过Web网管方式上云，防火墙下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 使用云网规工具自动规划AP的安装点位，确保AP的无线信号对汽车4S店全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置防火墙接入Internet：通过PPPoE拨号方式接入运营商网络，采用Web网管配置。 配置设备上线云平台。 防火墙注册上线：工作模式切为云管理模式，采用Web网管配置对接云平台。 防火墙下挂设备注册上线：采用DHCP Option148方式，在华为乾坤云平台配置，配置对象是防火墙。目的是为网关下挂设备分配管理IP，同时下发云平台注册信息。 在华为乾坤云平台配置网络业务。 认证授权准备。 员工Wi-Fi采用PSK认证，无需认证准备，默认即可。 访客Wi-Fi采用短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 哑终端接入无需认证。 配置防火墙业务。 配置防火墙的下行接口。 配置防火墙的DHCP Server功能，为用户终端分配IP地址。 开启防火墙的NAT功能。 配置防火墙的安全策略。 配置交换机业务。 配置交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置AP业务。 配置员工和访客Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 防火墙+交换机+AP组网场景

配置思路 图1是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以防火墙（FW）作为网关设备，整网设备均在华为乾坤云平台纳管。其中FW、随板AC通过Web网管、命令行方式上云，随板AC下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 使用云网规工具自动规划AP的安装点位，确保AP的无线信号对学校全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置防火墙接入Internet：通过PPPoE拨号方式接入运营商网络，采用Web网管配置。 配置设备上线云平台。 防火墙注册上线：配置防火墙为双机热备镜像模式，工作模式切为云管理模式，采用Web网管配置对接云平台。 随板AC注册上线：采用命令行配置对接云平台。 随板AC下挂设备注册上线：在随板AC（作为DHCP Server）上配置下挂设备的地址池和DHCP 148参数。接入交换机采用DHCP Option148方式注册上线，也就是从DHCP Server上获取IP地址的同时也获取云管理平台的IP/URL地址和端口号，完成注册上线。 在华为乾坤云平台配置网络业务。 配置交换机业务。 配置随板AC下行接口，以及接口允许通过的VLAN等参数。 配置随板AC的DHCP Server功能，为用户终端分配IP地址。 配置接入交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置认证业务。 访客Wi-Fi采用用户名密码认证，创建员工用户组，定制Portal推送页面、推送策略、认证规则等。 员工Wi-Fi采用短信认证，配置华为乾坤云平台与短信服务器对接，定制Portal推送页面、推送策略、认证规则等。 教学有线终端接入采用802.1X认证，使用默认的认证授权配置。 配置员工和访客Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 防火墙+核心交换机+接入交换机+AP+随板AC组网场景

配置思路 图 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例中防火墙采用双机热备，工作在传统模式下，随板AC和接入交换机均采用堆叠。以随板AC作为网关设备，整网设备都在华为乾坤云平台纳管。其中防火墙和随板AC通过Web网管方式上云，随板AC下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 使用云网规工具自动规划AP的安装点位，确保AP的无线信号对校园全覆盖。 规划网络信息，包括组网方案、设备款型、接口、有线/无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置防火墙接入Internet：通过PPPoE拨号方式接入运营商网络，采用Web网管配置。 配置设备上线云平台。 防火墙注册上线：工作模式为传统模式，采用Web网管配置对接云平台。 随板AC注册上线：工作模式为NETCONF模式，采用Web网管配置对接云平台。 随板AC下挂设备注册上线：采用DHCP Option148方式，在华为乾坤云平台配置，配置对象是随板AC。目的是为网关下挂设备分配管理IP，同时下发云平台注册信息。 在华为乾坤云平台配置网络业务。 认证授权准备。 员工Wi-Fi采用用户名密码认证，创建员工用户组，定制Portal推送页面、推送策略、认证规则等。 访客Wi-Fi采用短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 教学有线终端接入采用802.1X认证，使用默认的认证授权配置。 配置无线业务。 认证服务器侧（华为乾坤云平台）：创建无线认证模板，配置员工和访客无线子网业务。 认证控制点侧（随板AC）：通过Web网管配置员工和访客无线子网业务，包括创建SSID模板、认证模板和QoS策略等。 配置有线业务。 配置有线认证模板：绑定Radius服务器模板。 配置有线网络业务：创建教学有线子网，配置设备互联端口放通业务VLAN。 配置设备数据上报。 上报设备侧基础数据至华为乾坤云平台，实现整网设备状态界面可视。 上报设备侧运维数据至华为乾坤云平台，以便进行网络故障识别、智能分析处置等运维操作。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 随板AC+Fit AP 配置上云组网场景

功能介绍 您可以通过AI漫游查看如下信息： 首页卡片中展示了当前时间窗内AI漫游引导次数、终端画像数和终端厂商识别的统计信息。 首页列表中展示了当前时间窗内各厂商AI漫游终端的统计信息，包括：厂商、终端数量、引导成功次数/总次数、漫游前和漫游后信号强度、终端画像数、上行和下行速率等。 单击“查看详情”列中，可以查看该厂商漫游调优事件的详情，包括：漫游时间、用户MAC、用户名和漫游结果等。 单击单个漫游事件前面的，可以查看此次漫游出详情、漫游入详情和漫游过程途径AP信息。

竞争力 相比传统统一策略的漫游引导，智能漫游差异化的引导改善了漫游策略终端私有，网络侧主动引导成功率低业界难题，实现漫游成功率提升至90%，漫游体现提升。 相比业界定制化的漫游策略（网络厂商与部分终端厂商合作），存在只能优化部分手机款型的漫游体验，其他款型无法兼顾，相比我司方案普适性差的缺点。 基于历史大数据的自我在线学习，能自适应新上线终端款型的漫游引导（终端款型新上线，操作系统迭代升级），及时性高，维护成本低。

应对方案与关键技术 基于大数据进行终端漫游行为画像训练，基于不同“终端款型+操作系统”实施差异性漫游引导策略（是否能引导，什么时候引导，引导到哪个AP），提升漫游成功率，降低漫游过程的丢包，时延，提升终端漫游体验。 以终端类型识别为基础，采用强化学习算法进行在线终端画像实时训练，与设备侧、终端侧协同提升漫游体验。 终端下行信号测量：基于Wi-Fi 802.11k，Wi-Fi 802.11h协议获取每个终端的下行信号测量能力及测量结果，以及终端802.11v的漫游协议支持能力。 终端漫游行为基线：探寻每个终端漫游的终端802.11v选网条件（源AP信号阈值、目标AP信号阈值、源/目标AP信号差值等）以及不同的终端802.11v协议参数组合，建立行为基线。 终端画像训练：大数据识别与分析每个终端的漫游行为特征，结合基础画像的漫游引导效果，采用强化学习算法训练出每种终端款型的行为特征。