华为云用户手册

网络信息规划 本案例中规划的网络数据、业务数据等均为示例，仅供参考，请根据实际项目要求调整参数值。 表1 网络对接链路及数据规划 设备 设备Eth-Trunk接口 Eth-Trunk接口成员 接口类型 接口地址 备注 第三方路由器1 Eth-Trunk 1 第三方设备，不做描述 三层口 10.1.10.1/28 与核心交换机互联互通地址 第三方路由器2 Eth-Trunk 2 第三方设备，不做描述 三层口 10.1.10.2/28 与核心交换机互联互通地址 随板AC（堆叠） Eth-Trunk 1 XGE1/1/0/5、XGE2/1/0/5 VLANIF 5 10.1.10.3/28 用于和第三方路由器1互联互通地址 Eth-Trunk 2 XGE1/1/0/6、XGE2/1/0/6 用于和第三方路由器2互联互通地址 Eth-Trunk 3 XGE1/1/0/1、XGE2/1/0/1 VLANIF 1 VLANIF 10 VLANIF 20 VLANIF 30 10.1.1.1/24 10.1.2.1/24 10.1.4.1/24 10.1.6.1/24 下行连接用于有线终端和AP接入的交换机 Eth-Trunk 4 XGE1/1/0/2、XGE2/1/0/2 VLANIF 1 VLANIF 10 VLANIF 20 VLANIF 30 10.1.1.1/24 10.1.2.1/24 10.1.4.1/24 10.1.6.1/24 下行连接用于有线终端和AP接入的交换机 接入交换机 Eth-Trunk 3 LSW1的GE0/0/2、GE0/0/4 VLANIF 1 自动获取 上行到核心交换机 Eth-Trunk4 LSW2的GE0/0/2、GE0/0/4 VLANIF 1 自动获取 上行到核心交换机 表2 网络信息规划 设计项 设计要点 设计内容 管理员设计 租户帐户 租户帐号名称：test@huawei.com 租户帐号密码：Admin@1234 架构规划 网络拓扑 见图1 设备选型 随板AC：S12700E（配置有X系列单板） 接入交换机：S5735-L AP：按场景选AP款型，参见官网的WLAN网络规划指导 站点 站点名称：Site1 站点类型：LSW、WAC/FitAP 设备接口互联 见图1 设备上线规划 随板AC注册上线方式 采用命令行配置 华为乾坤云平台南向IP地址为：139.9.137.139，端口号为：10020 随板AC下挂的设备获取IP地址方式 IP地址获取方式：DHCP动态获取，随板AC作为DHCP Server 有线管理子网： 网关接口：VLANIF 4080 网关接口IP地址及掩码：192.168.100.254/24 DHCP服务器功能：开启 自动协商控制器地址功能：开启 无线管理子网： 网关接口：VLANIF 4090 网关接口IP地址及掩码：192.168.200.254/24 DHCP服务器功能：开启 自动协商WAC地址功能：开启，WAC地址为192.168.200.254 随板AC下挂的设备注册上线方式 DHCP Option148方式：在华为乾坤云平台配置，配置对象是随板AC 用户上线规划 用户接入 员工（无线接入，802.1X认证） 访客（无线接入，Portal认证） 哑终端（有线接入，MAC认证） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，随板AC作为DHCP Server IP地址范围： − 员工：10.1.2.0/24 − 访客：10.1.4.0/24 − 哑终端：10.1.6.0/24 用户所属的VLAN 员工：VLAN 10 访客：VLAN 20 哑终端：VLAN 30 终端接入与认证方式 员工Wi-Fi：SSID名称为Employee，802.1X认证 访客Wi-Fi：SSID名称为Guest，Portal认证（短信认证） 哑终端：有线子网DumbDevice，MAC认证 随板AC和第三方路由器互联配置 互联VLAN：VLAN 5 互联网段：10.1.10.0/28 路由方式：静态路由 用户业务规划 QoS 单个员工终端带宽限制：5Mbit/s 单个访客终端带宽限制：5Mbit/s

NTP数据规划 AR设备上报性能数据时，会携带时间戳，如果AR的时间和华为乾坤云平台不一致，则会导致管理员在查看该设备的性能数据时，性能数据的时间与实际不符，站点流量和质量数据无法显示。所以华为乾坤云平台通过配置NTP，使站点设备和华为乾坤云平台的时间保持一致。 RR角色的Hub站点需要“手动配置”，规划数据如表1所示。分支站点NTP为“与RR站点同步”，规划数据如表2所示。 表1 Hub&RR站点NTP信息 参数 数据 站点 Hub1 Hub2 时区 (UTC+08:00)北京，重庆，香港特别行政区，乌鲁木齐 NTP认证 OFF NTP客户端模式 手动配置 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 WAN链路 mpls(underlay_2) mpls1(underlay_4) mpls(underlay_2) mpls1(underlay_4) NTP服务器类型 IPv4 IPv4 IPv4 IPv4 NTP服务器地址 10.10.1.1 10.10.1.1 10.10.1.1 10.10.1.1 认证 ON ON ON ON 优先NTP服务器 OFF OFF OFF OFF 认证模式 HMAC-SHA256 HMAC-SHA256 HMAC-SHA256 HMAC-SHA256 认证密码 ntp123 ntp123 ntp123 ntp123 认证ID 123456 123456 123456 123456 表2 分支站点NTP信息 参数 数据 站点 Site1、Site2 时区 (UTC+08:00)北京，重庆，香港特别行政区，乌鲁木齐 NTP认证 OFF NTP客户端模式 与RR站点同步 父主题： 开局部署数据规划

LAN侧路由数据规划 为了使站点网关和LAN侧网络互通，需要配置Overlay LAN侧路由。 表1 LAN侧OSPF路由信息 参数 数据 VN OA 设备 Hub1_1 Hub1_2 进程ID 1001 1001 Router ID 127.1.0.6 127.1.0.7 通用参数 通告默认路由 ON ON 默认路由开销 1 1 内部优先级 10 10 ASE优先级 150 150 接口参数 区域ID 0 0 区域类型 normal normal 接口名称 GE0/0/7 GE0/0/7 验证模式 None None 网络类型 broadcast broadcast 填充MTU OFF OFF Hello报文间隔 10 10 DR优先级 0 0 路由引入 协议 - - 进程ID - - 开销 - - 路由策略 发布过滤 OFF OFF 接收过滤 OFF OFF 表2 LAN侧静态路由信息 参数 数据 站点 Site1 Site2 Site3 设备 Site1_1 Site2_1 Site2_2 Site3_1 优先级 60 60 60 60 目的网段/掩码 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 下一跳 IP地址 IP地址 IP地址 IP地址 IP地址 33.1.1.1 34.1.1.1 35.1.1.1 36.1.1.1 探测 ON ON ON ON 目标 33.1.1.1 34.1.1.1 35.1.1.1 36.1.1.1 父主题： 站点互联数据规划

数据规划 表1 无线访客数据规划 配置项 数据 SSID模板 模板名称：wlan-net-ssid SSID名称：Guest 转发模式：隧道转发 业务VLAN：VLAN20 绑定AP组：default 安全模板 名称：wlan-net-security 安全策略：Portal认证 HACA接入配置 服务器IP地址：华为乾坤云平台南向IP地址139.9.137.139 URL：https://139.9.137.139:19008/portal 报文端口号：50100 重定向配置： AC-MAC关键字/AC-MAC：wac-mac 用户访问URL关键字：redirect-url 用户MAC关键字：umac 用户IP地址关键字：uaddress SSID关键字：ssid

组网需求 某连锁酒店网络改造，需要更换原有交换机和Wi-Fi5设备，使用华为交换机和Wi-Fi6进行更新换代。 该酒店具有如下特点和诉求： 没有IT人员，缺乏网络建设与运维能力。 酒店规模＜200间客房。 企业希望在访客接入无线网络时，为访客推送最新的商品、优惠信息。 用户终端以无线接入为主，存在少量哑终端通过有线接入。 基于连锁酒店的诉求，可采用华为乾坤云管理网络完成网络部署和运维。由于企业没有IT人员，可以选择由MSP进行代建和代维。 该酒店网络架构如图1所示，部署2台路由器（非华为设备）作为出口网关，部署新购的华为交换机和AP，用于连接有线及无线终端。 图1 仅核心LSW+接入LSW+云AP组网拓扑图示例 父主题： 仅核心交换机+接入交换机+云AP组网场景

站点上网数据规划 站点需要上网时，统一通过Hub站点上网，Hub1为主网关。 如果客户想要让部分特定应用进行本地上网走Underlay出局，其余应用走默认的SD-WAN Overlay隧道，这种场景下可以配置基于应用的本地上网。 表1 流分类模板信息 参数 数据 流分类模板名称 test_traffic_local 规则类型 与 ACL类型 IPv4 L3 ACL - 应用组 test_app_local 表2 站点上网信息（分支站点配置基于应用的本地上网策略） 参数 数据 VN/VN QoS组 OA 本地网关 站点 Site1、Site2、Site3 上网策略类型 应用流量 上网方式 本地上网 流分类模板 test_traffic_local 链路优先级 Internet：1 NAT ON 使能链路 ON 父主题： 站点互联数据规划

LANWAN互联口规划（业务网） 分支站点内LAN侧为三层网络，需要在出口AR和核心设备上配置LANWAN的互联口信息，如下表所示。 表3 分支站点LANWAN互联口信息（业务网规划，网关） 参数 数据（网关） VN VPN1 站点 Site1 设备 Site1_AR_1 Site1_AR_2 网关接口 L2 L2 VLAN ID 301 302 物理接口 接口 Eth-Trunk7 Eth-Trunk7 模式 tag tag 信任模式 信任 信任 IPv4属性 IP地址 10.10.10.17/30 10.10.10.21/30 DHCP 不开启 不开启 VRRP 不开启 不开启 ARP 不开启 不开启 表4 分支站点LANWAN互联口信息（业务网规划，核心） 参数 数据（核心） VN VPN1 站点 Site1 设备 Site1_Core 类型 VLANIF VLANIF VLAN ID 301 302 接口 Eth-Trunk1 Eth-Trunk2 IPv4 10.10.10.18/30 10.10.10.22/30

LANWAN互联路由规划（管理面） 分支站点的LAN侧是三层网络，为了和LAN侧网络互通，需要配置LANWAN互联路由，本举例中使用静态路由。 表2 LANWAN互联静态路由信息 参数 数据 设备 Site1_AR_1 Site1_AR_1 Site1_AR_2 Site1_AR_2 优先级 60 60 60 60 目的网段/掩码 核心交换机的VLAN4080网段 200.1.8.0/24 核心交换机的VLAN4090网段 200.1.9.0/24 核心交换机的VLAN4080网段 200.1.8.0/24 核心交换机的VLAN4090网段 200.1.9.0/24 下一跳类型 IP地址 IP地址 IP地址 IP地址 IP地址 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211 核心交换机的管理IP地址，需要核心交换机上线后，才能获取 192.168.3.211

LANWAN互联路由规划（业务面） 分支站点的LAN侧是三层网络，为了和LAN侧网络互通，需要配置LANWAN互联路由，本举例中使用OSPF。 表5 LANWAN互联OSPF路由信息 参数 数据（网关） 数据（核心） 设备 Site1_AR_1 Site1_AR_2 Site1_Core 接口名称 Vlanif301 Vlanif302 Vlanif301 Vlanif302 进程ID 1001 1001 1001 1001 区域配置 区域ID 0 0 0 0 接口配置 验证模式 None None None None 高级配置 DR优先级 0 0 0 0 Hello报文间隔 10 10 10 10 表6 进程ID信息 参数 数据（网关） 数据（核心） 设备 Site1_AR_1 Site1_AR_2 Site1_Core Site1_Core 进程ID 1001 1001 1001 1001 Router ID 172.0.0.6 172.0.0.7 - - 通用参数 通告默认路由 ON ON - - 默认路由开销 1 1 - - 内部优先级 10 10 - - ASE优先级 150 150 - - 路由引入 保持默认 保持默认 保持默认 保持默认

LANWAN互联口规划（管理网） 分支站点出口AR作为核心交换机的管理网关，需要在出口AR上单独规划管理VLAN和IP地址，并配置DHCP Server和Option148参数，用于核心交换机上线云平台。 表1 分支站点AR的LANWAN互联口信息（管理网规划） 参数 数据 VN VPN1 站点 Site1 设备 Site1_AR_1 Site1_AR_2 网关接口 L2 L2 VLAN ID 101 101 物理接口 接口 Eth-Trunk7 Eth-Trunk7 模式 Untag Untag 信任模式 信任 信任 IPv4属性 IP地址 192.168.3.2/24 192.168.3.3/24 DHCP 使能 DHCP类型 Server 选项 [148]云平台地址 值 agilemode=agile-cloud;agilemanage-mode=domain;agilemanage-domain=device.qiankun-saas.huawei.com;agilemanage-port=10020 其中：agilemanage-domain需要设置为华为乾坤云平台的南向 域名 。 DNS server 请向客户获取，以8.8.8.8和114.114.114.114为例 请向客户获取，以8.8.8.8和114.114.114.114为例 VRRP 使能 使能 VRRP ID 1 1 虚拟IP 192.168.3.1 192.168.3.1 默认角色 Master Backup 抢占延迟（s） 30 0 Track 不使能 不使能 ARP代理 不使能 不使能 MTU 1500 1500 MSS 1200 1200

办公：关键问题分析识别，网络智能运维 如今，传统办公网的建设和运维越来越难以适应新的时代变化，尤其是Wi-Fi网络的普及，难于进行故障定界和根因分析。如何提升办公网络的运维效率，如何让网络更好的服务于员工的日常生活办公，已经成为企业IT团队的关键挑战。 如图2 云管理网络在企业办公场景的应用所示，基于华为乾坤云管理网络的智慧办公方案，网络服务即买即用，不仅缩短了企业分支的建网时间，而且IT运维人员在云上就可以实时感知网络质量评分，体验网络智能运维。 无线网络健康度实时评估：基于云上智能分析技术，提供7*24小时的网络健康度模型分析能力，从接入成功率、接入耗时、漫游达标率、吞吐达标率、信号与干扰、容量健康度多维度分析全网健康度，一键式网络问题排查和故障定位。 用户网络体验看护：基于云上智能分析技术，提供7*24小时的用户360网络体验评估能力，实时筛查发现网络质差用户，可一键直达定位用户质差原因。 图2 云管理网络在企业办公场景的应用

零售：门店极简开局，大幅提升开局效率 在零售行业，随着业务的快速发展，零售门店的建设也会快速扩张。采用传统的开局部署方式，规划、部署、网优、验收整个过程下来一般需要至少1周的时间，而且网络部署过程中需要工程师多次现场调试，这种传统的网络部署方式效率低下，人力成本居高不下，无法实现零售门店的快速扩张。 如图 云管理网络在零售门店场景的应用所示，采用华为乾坤云管理网络的智慧零售方案，分支网络可以实现自动规划与设计，一键完成批量业务配置，所有设备即插即用，不需要工程师现场调测。这种方式能够保证在业务快速扩张的情况下网络服务能够即需即得，部署一家门店的时间由1周降低至1天。 图1 云管理网络在零售门店场景的应用

站点及ZTP开局数据规划 添加多个站点时，往往需要配置相同的网关类型、WAN链路条数和传输网络。通过定制链路模板可以将这些重复的配置信息模块化。 配置站点在WAN侧的物理链路，是进行开局的前提条件。站点配置或激活后，可新增或删除WAN侧链路。 表1 站点模板 参数 数据 模板名 Double_RR_Mix Single_CPE_Mix Double_CPE_Mix 单/双网关 双网关 单网关 双网关 WAN链路 名称 internet mpls internet1 mpls1 internet mpls internet mpls 设备 Device1 Device1 Device2 Device2 Device1 Device1 Device1 Device2 端口 GE0/0/1 GE0/0/2 GE0/0/1 GE0/0/2 GE0/0/8 GE0/0/9 GE0/0/8 GE0/0/8 Overlay隧道 ON ON ON ON ON ON ON ON 传输网络（路由域） Internet MPLS Internet MPLS Internet MPLS Internet MPLS 角色 Active Active Active Active Active Active Active Active Inter-CPE链路 使用LAN侧二层物理口 OFF - - OFF VLAN ID 4000-4008 - - 4000-4008 设备1端口 GE0/0/3 GE0/0/4 - - GE0/0/1 GE0/0/2 设备2端口 GE0/0/3 GE0/0/4 - - GE0/0/1 GE0/0/2 表2 站点及ZTP配置（1） 参数 数据 创建后，是否可以修改 备注 站点 Hub1 Hub2 是 站点名称可修改 ZTP模式 URL/U盘 URL/U盘 否 配置完成后不可修改 多子接口 OFF OFF 否 配置完成后不可修改 RDB方式开局 OFF OFF 否 配置完成后不可修改 WAN链路模板 Double_RR_Mix Double_RR_Mix - - 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 - - 链路名称 internet mpls internet1 mpls1 internet mpls internet1 mpls1 否 站点名称可修改 VN实例 underlay_1 underlay_2 underlay_3 underlay_4 underlay_1 underlay_2 underlay_3 underlay_4 否 站点名称可修改 开启IPv4 ON ON ON ON ON ON ON ON 是 - 接口协议类型 IPoE IPoE IPoE IPoE IPoE IPoE IPoE IPoE - - 链路接入网络方式 静态 静态 静态 静态 静态 静态 静态 静态 - - IPv4地址/掩码 20.1.1.1/24 110.1.1.1/24 20.1.2.1/24 110.1.2.1/24 30.1.1.1/24 120.1.1.1/24 30.1.2.1/24 120.1.2.1/24 否 配置完成后不可修改 IPv4网关 20.1.1.2 110.1.1.2 20.1.2.2 110.1.2.2 30.1.1.2 120.1.1.2 30.1.2.2 120.1.2.2 否 配置完成后不可修改 URL开局配置 ON ON ON ON ON ON ON ON 否 配置完成后开局链路不可修改，非开局链路支持删除和新增。 南向接入服务 Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access 否 WAN链路默认均使用默认南向接入服务，也可选择其他自定义接入服务，开局后不可更改。 南向接入优先级 低 低 低 低 低 低 低 低 是 - 开启IPv6 OFF OFF OFF OFF OFF OFF OFF OFF 是 - 上行容量(Mbps) 1000 1000 1000 1000 1000 1000 1000 1000 是 - 下行容量(Mbps) 1000 1000 1000 1000 1000 1000 1000 1000 是 - 表3 站点及ZTP配置（2） 参数 数据 站点 Site1 Site2 单/双网关 单网关 双网关 ZTP模式 URL/U盘 URL/U盘 多子接口 OFF OFF RDB方式开局 OFF OFF 站点模板 Single_CPE_Mix Double_CPE_Mix 设备 Site1_1 Site2_1 Site2_2 链路名称 internet mpls internet mpls VN实例 underlay_1 underlay_2 underlay_1 underlay_2 开启IPv4 ON ON ON ON 接口协议类型 IPoE IPoE IPoE IPoE 链路接入网络方式 静态 静态 静态 静态 IPv4地址/掩码 40.1.1.1/24 130.1.1.1/24 50.1.1.1/24 140.1.1.1/24 IPv4网关 40.1.1.2 130.1.1.2 50.1.1.2 140.1.1.2 NAT穿越 ON OFF ON OFF URL开局配置 ON ON ON ON 南向接入服务 Public Default South Access Public Default South Access Public Default South Access Public Default South Access 南向接入优先级 低 低 低 低 开启IPv6 OFF OFF OFF OFF 上行容量(Mbps) 20 20 20 20 下行容量(Mbps) 100 100 100 100 父主题： 开局部署数据规划

可能的原因 交换机为非空配置或者Console口插了串口线。 交换机通过注册查询中心或DHCP方式上线时，需要确保交换机为空配置，并且Console口不能连线。 华为乾坤云平台录入的交换机ESN和设备款型与交换机的不一致。 交换机与注册查询中心或者华为乾坤云平台网络不通。 SSH连接授权类型不是root。（仅V600版本的交换机需要检查） 堆叠场景下，设备侧的配置和华为乾坤云平台侧的配置不一致。 设备版本或者款型不支持在华为乾坤云平台上线。

LAN侧接入数据规划 站点网关与LAN侧网络对接时，需要配置相应对接参数。 本章节及后续所有章节数据规划，无特殊说明，均以办公业务VN（OA）为例。 表1 站点LAN接口信息 参数 数据 创建后，是否可以修改 备注 VN OA - 办公业务 站点 Hub1 Hub2 Site1 Site2 Site3 - - 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 Site1_1 Site2_1 Site2_2 Site3_1 - - 网关接口 L3 L3 L3 L3 L2 L2 L2 L2 - - VLAN ID - - - - 400 300 300 200 是 接口的VLAN ID不能与内联的VLAN ID重复。 接口 GE0/0/7 GE0/0/7 GE0/0/7 GE0/0/7 GE0/0/6 GE0/0/6 GE0/0/6 GE0/0/6 是 建议统一分配，以便对上线站点做预配置，后续进行批量开局，以及业务割接。 模式 - - - - Untag Untag Untag Untag - - 信任模式 信任 信任 信任 信任 信任 信任 信任 信任 - - IP地址 170.1.1.10/24 170.1.1.20/24 180.1.1.10/24 180.1.1.20/24 33.1.1.10/24 22.1.1.10/24 22.1.1.20/24 11.1.1.10/24 - 接口IP地址。 VRRP VRRP ID 1 1 1 1 - 1 1 - - 根据现网诉求配置优先级和抢占时间。一般VRRP主设备的优先级设置成120（默认100），抢占时延为20 秒（默认0）。备设备的优先级为100，抢占时延0 秒。 虚拟IP 170.1.1.1 170.1.1.1 180.1.1.1 180.1.1.1 - 22.1.1.1 22.1.1.1 - - 优先级 120 100 120 100 - 120 100 - - 抢占延迟(s) 20 0 20 0 - 20 0 - - 认证Key 1234abcd 1234abcd 1234abcd 1234abcd - 1234abcd 1234abcd - - DHCP DHCP类型 - - - - Server - - Relay - - 服务器IP - - - - - - - 11.3.3.20 - - 租约时间 - - - - 1天 - - - - - 父主题： 站点互联数据规划

NTP数据规划 AR设备上报性能数据时，会携带时间戳，如果AR的时间和云平台不一致，则会导致管理员在查看该设备的性能数据时，性能数据的时间与实际不符，站点流量和质量数据无法显示。所以云平台通过配置NTP，使站点设备和云平台的时间保持一致。 RR角色的Hub站点的NTP需要“手动配置”，分支站点NTP为“自动与RR站点同步”，规划数据如下表所示。 表1 RR角色的Hub站点的NTP信息（与网络设计参数规划中的NTP信息一致） 参数 数据 备注 时区 (UTC+08:00)北京，重庆，香港特别行政区，乌鲁木齐 需要客户提供NTP服务器地址，并且云平台和CPE（customer-premises equipment，客户终端设备）与NTP服务器网络可达。 NTP认证 OFF NTP客户端模式 手动配置 NTP服务器 10.10.1.1 认证模式 HMAC-SHA256 认证密码 ntp123 认证ID 123456 表2 分支站点NTP信息 参数 数据 时区 (UTC+08:00)北京，重庆，香港特别行政区，乌鲁木齐 NTP客户端模式 自动与RR站点同步 父主题： 开局部署数据规划

终端接入与认证方式规划 员工通过无线接入，采用802.1X认证；访客通过无线接入，采用Portal+短信认证；哑终端通过有线接入，采用MAC认证。 表1 终端接入认证 用户分类 终端接入方式 SSID 接入认证方式 业务VLAN 员工 无线接入 Employee 802.1X认证 10 访客 无线接入 Guest Portal认证（短信认证） 20 哑终端 有线接入 - MAC认证 30 员工 有线接入 - 802.1X认证 40 父主题： LAN侧网络数据规划

WAN链路模板规划 不同的站点往往需要配置相同的网关类型、WAN链路条数和传输网络。通过定制链路模板可以将这些重复的配置信息模块化。 图1 总部WAN链路模板规划图 表1 WAN链路模板（总部站点） 参数 数据 模板名 Double_RR_internet_links 单/双网关 双网关 支持多子接口 OFF WAN链路 名称 Device1_internet Device2_internet 设备 Device1 Device2 端口 GE0/0/1 GE0/0/1 Overlay隧道 ON ON 传输网络 Internet Internet 角色 Active Active Inter-CPE链路 使用LAN侧二层物理口 OFF VLAN ID 4086～4094 设备1端口 GE0/0/5 GE0/0/6 设备2端口 GE0/0/5 GE0/0/6 图2 分支站点WAN链路模板规划图 表2 WAN链路模板（分支站点） 参数 数据 模板名 Single_CPE_Mix 单/双网关 单网关 支持多子接口 OFF WAN链路 名称 Internet_1 Internet_2 设备 Device1 Device1 端口 GE0/0/8 LTE0/0/0（LTE端口） Overlay隧道 ON ON 传输网络 Internet Internet 角色 Active Active 父主题： 开局部署数据规划

组网需求 某手机生产商在全国各地市都部署了多家终端体验门店。 门店网络内终端类型包含有线接入终端和无线接入终端。 门店数据通过专线/互联网VPN回传至总部。 门店之间不需要互访。 华为乾坤云管理网络多分支LAN-WAN融合方案可以满足上述企业的网络建设诉求。如果客户没有IT人员，可以选择由MSP进行代建和代维。如果客户有IT人员，可以选择由租户进行自建和自维。 该手机生产商的企业网络架构如图1所示。 门店内网络部署多级交换机组网，使用随板AC对AP进行管理。 门店出口部署华为AR路由器，使用Internet网络，实现分支门店与总部数据中心之间的安全互联。 图1 企业网络架构图 父主题： LANWAN融合-核心交换机+接入交换机+AP+随板AC+HubSpoke组网

智能选路策略设计 MPLS链路质量高、带宽相对较小，适合对链路质量要求较高的业务流量。Internet链路带宽大，链路质量相对较差，适合大流量业务应用。在上行有多条链路的情况下，针对不同的业务，配置智能选路策略来实现流量的选路控制，以便于进行流量的传输控制与监控。 针对多上行或者双网关站点配置智能选路策略。 绑定流分类模板，设置主传输链路，并确定流量传输方式与切换指标。 实时视频会议、VoIP电话等对链路质量要求较高的业务流量，优先调度到MPLS链路，采用优先占用方式的选路。 其它大流量类办公业务，同时负载到MPLS链路和Internet链路，以充分利用线路带宽，采用负载分担方式的选路。 MPLS链路及Internet链路，分别使用相同的传输网络，以减少跨运营商间的网络时延和抖动。 在同类型链路下考虑有多种运营商，链路的染色原则按站点ID大优先。 父主题： 用户业务设计

Underlay网络数据规划 站点Underlay网络WAN侧的静态路由。 表1 WAN侧静态路由信息（1） 参数 数据 站点 Hub1 Hub2 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 优先级 60 60 60 60 WAN链路 Device1_internet Device2_internet Device1_internet Device2_internet 目的网段/掩码 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 下一跳类型 IP地址 IP地址 IP地址 IP地址 IP地址 20.1.1.2 20.1.2.2 30.1.1.2 30.1.2.2 探测 OFF OFF OFF OFF 表2 WAN侧静态路由信息（2） 参数 数据 站点 Site1 设备 Site1_AR 优先级 60 WAN链路 Internet_1 目的网段/掩码 0.0.0.0/0 下一跳类型 IP地址 IP地址 40.1.1.2 探测 ON 目标 40.1.1.2 父主题： 站点互联数据规划

Underlay网络数据规划 站点Underlay网络WAN侧的静态路由。 表1 WAN侧BGP路由信息（1） 参数 数据 站点 Hub1 Hub2 Site1 Site2 路由协议 BGP 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 Site1_1 Site2_2 对端IP 110.1.1.2 110.1.2.2 120.1.1.2 120.1.2.2 130.1.1.2 140.1.1.2 对端AS 100 100 100 100 100 100 本地AS 110 110 120 120 130 140 存活时间 30 30 30 30 30 30 保持时间 180 180 180 180 180 180 认证类型 不加密 不加密 不加密 不加密 不加密 不加密 WAN链路 mpls(underlay_2) mpls1(underlay_4) mpls(underlay_2) mpls1(underlay_4) mpls(underlay_2) mpls(underlay_2) 发布团体属性 OFF OFF OFF OFF OFF OFF 路由策略 发布 OFF OFF OFF OFF OFF OFF 接收 OFF OFF OFF OFF OFF OFF 表2 WAN侧静态路由信息（2） 参数 数据 站点 Hub1 Hub2 Site1 Site2 路由协议 IPv4 Static 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 Site1_1 Site2_1 优先级 60 60 60 60 60 60 WAN链路 internet(underlay_1) internet1(underlay_3) internet(underlay_1) internet1(underlay_3) internet(underlay_1) internet(underlay_1) 目的网段/掩码 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 下一跳类型 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 20.1.1.2 20.1.2.2 30.1.1.2 30.1.2.2 130.1.1.2 140.1.1.2 探测 ON ON ON ON ON ON 目标 20.1.1.2 20.1.2.2 30.1.1.2 30.1.2.2 130.1.1.2 140.1.1.2 父主题： 站点互联数据规划

自协商管理VLAN规划 接入交换机通过自协商管理VLAN打通管理网络，通过DHCP Option148获取云平台地址，上线云平台。 AP通过自协商管理VLAN打通管理网络，通过DHCP Option43获取WAC地址，上线随板AC。然后随板AC向云平台上报AP的设备状态。 表1 自协商VLAN规划 设备 有线自协商管理VLAN ID 无线自协商管理VLAN ID 管理VLAN 上行口PVID使能 上行口自动放行 IP获取方式 Site1_Core 4080 4090 101 ON ON 动态 表2 自协商管理子网规划（Site1_Core） 参数 数据 备注 基本配置 子网名称 Manage_Net AP_Manage_Net 自定义。 VLAN ID 4080 4090 与自协商管理VLAN一致。 IP/掩码 200.1.8.1/24 200.1.9.1/24 - DHCP配置 DHCP 开启 开启 - DHCP模式 服务器 服务器 - DNS服务 自定义 自定义 DNS地址 由运营商提供。本文以114.114.114.114、8.8.8.8为例。 DNS 114.114.114.114 8.8.8.8 114.114.114.114 8.8.8.8 子网用途 FitAP管理 FitAP管理 - 自动协商华为乾坤地址 ON OFF 开启后，当前子网的DHCP服务器自动生成Option148，子网内的设备（交换机）可以通过Option148获取云平台地址，完成上线。 自动协商WAC地址 OFF ON WAC地址：200.1.9.1 - 租期 1天 1天 -

业务VLAN规划 LAN侧用户网关在核心交换机上，需要规划有线和无线的用户网关，按照员工业务分类。终端用户分为员工、访客和哑终端三类，通过DHCP动态获取IP地址，核心交换机作为DHCP Server，终端用户使用的IP地址范围和业务VLAN如表3所示。 表3 业务子网规划 设备 VLAN ID 子网名称 IP地址/掩码 DHCP模式 DNS服务 子网用途 备注 Site1_Core 10 Employee 200.1.1.1/24 服务器 DNS地址由运营商提供。本文以114.114.114.114、8.8.8.8为例。 业务网管理 员工无线终端接入子网 Site1_Core 20 Guest 200.1.2.1/24 服务器 DNS地址由运营商提供。本文以114.114.114.114、8.8.8.8为例。 业务网管理 访客无线终端接入子网 Site1_Core 30 DumbDevice 200.1.3.1/24 服务器 DNS地址由运营商提供。本文以114.114.114.114、8.8.8.8为例。 业务网管理 哑终端接入子网 Site1_Core 40 Employee_wire 200.1.4.1/24 服务器 DNS地址由运营商提供。本文以114.114.114.114、8.8.8.8为例。 业务网管理 员工有线终端接入子网

网络物理链路规划 图1 网络物理链路规划图 表1 网络物理链路规划表 站点 源设备 源设备接口 目的设备 目的设备接口 总部DC1 Hub1_1/Hub1_2 GE0/0/1 Internet侧设备（运营商A） - Hub1_1/Hub1_2 GE0/0/2 Internet侧设备（运营商B） - Hub1_1 GE0/0/5 GE0/0/6 Hub1_2 GE0/0/5 GE0/0/6 总部DC2 Hub2_1/Hub2_2 GE0/0/1 Internet侧设备（运营商A） - Hub2_1/Hub2_2 GE0/0/2 Internet侧设备（运营商B） - Hub2_1 GE0/0/5 GE0/0/6 Hub1_2 GE0/0/5 GE0/0/6 分支 Site1_AR_1 GE0/0/8 Internet侧设备（运营商A） - Site1_AR_2 GE0/0/8 Internet侧设备（运营商B） - Site1_AR_1 GE0/0/1 GE0/0/2 Site1_AR_2 GE0/0/1 GE0/0/2 Site1_AR_1 Eth-Trunk7： GE0/0/5 GE0/0/6 Site1_Core Eth-Trunk1： GE1/1/0/46 GE2/1/0/46 Site1_AR_2 Eth-Trunk7： GE0/0/5 GE0/0/6 Site1_Core Eth-Trunk2： GE1/1/0/47 GE2/1/0/47 Site1_Core Eth-Trunk3： GE1/1/0/1 GE2/1/0/1 Site1_ACC Eth-Trunk1： GE0/0/24 GE0/0/23 Site1_Core Eth-Trunk5： GE1/1/0/2 GE2/1/0/2 Site1_WAC_1 Eth-Trunk1： GE0/0/5 GE0/0/6 Site1_Core Eth-Trunk6： GE1/1/0/3 GE2/1/0/3 Site1_WAC_2 Eth-Trunk1： GE0/0/5 GE0/0/6 Site1_WAC_1 GE0/0/1 Site1_WAC_2 GE0/0/1 Site1_ACC GE0/0/2 Site1_AP GE0/0/0 GE0/0/1 哑终端 - GE0/0/12 有线终端 - 父主题： 数据规划

VN及网络拓扑数据规划 企业内部多个部门业务有隔离要求，需要通过部门（即VN）来构建多个Overlay网络。保证不同的部门转发独立，转发互相不能访问，从而实现不同部门业务在网络转发层面的安全隔离。 表1 Overlay网络VN的基本信息 参数 数据 创建后，是否可以修改 备注 名称 BIZ OA IM 是 BIZ：生产业务；OA：办公业务；IM：多媒体业务 VN实例名称 BIZ OA IM 否 下发给设备的VRF实例名称。 IPSec加密 ON ON ON - - 站点名称 Hub1、Hub2、Site1、Site2 Hub1、Hub2、Site1、Site2 Hub1、Hub2、Site1、Site2 - - 表2 Overlay网络拓扑信息 参数 数据 创建后，是否可以修改 备注 VN BIZ OA IM - - 模式 简单模式 简单模式 简单模式 是 不建议修改，会触发全网路由重新编排，业务中断。 拓扑模式 Full-Mesh Full-Mesh Full-Mesh 是 不建议修改，会触发全网路由重新编排，业务中断。 分支站点 Hub1、Hub2、Site1、Site2 Hub1、Hub2、Site1、Site2 Hub1、Hub2、Site1、Site2 - - 逃生站点 Hub1：主 Hub2：备 Hub1：主 Hub2：备 Hub1：主 Hub2：备 是 不建议修改，会触发全网路由重新编排，业务中断。 父主题： 站点互联数据规划

使用指引 表1 MSP操作指引 使用场景 配置指引 说明 1. 我想了解MSP门户 MSP界面介绍 登录MSP操作界面，需要了解模块布局和内容，方便进行后续的维护操作。 2. 我要接受租户委托 处理租户委托 如果租户发起或变更云管理网络的委托申请，MSP需要跟进处理。只有接受租户委托申请，才能进行租户业务代维。 3. 我为租户代维业务 代维租户业务 MSP代维的服务不同，相应的代维操作也不同。 代维方式：对于云管理网络，仅支持MSP“按租户”维度代维，不支持“按服务”维度代维。 代维操作：支持查看和处理MSP帐号下所有租户的基本信息和业务信息，可以进入/退出代维。 4. 我想了解MSP基础操作 更多操作 除了上述针对代维云管理网络的特有操作，还有一些公共的基础操作，例如MSP个性化设置、访问控制（分权分域）、工单创建、日志/公告查看、套餐管理等。

组网需求 企业的分支之间存在大量的协同作业，如VoIP语音业务和视频会议业务等高价值的应用，对于网络丢包、时延和抖动等网络性能具有很高的要求，此类业务需要分支间能直接互通。 针对语音、视频等实时性要求比较高的业务，希望可以选择链路质量更优的MPLS专线；对其它大流量类的办公业务，希望可以同时负载到专线和Internet上，以充分利用线路带宽。当链路质量不满足业务诉求时，业务流量切换至满足业务诉求的链路上；链路质量恢复后，业务流量可以回切至原链路。MPLS专线和Internet都会使用多个运营商的网络，希望优先走同运营商网络，以减少跨运营商间的网络时延和抖动。 基于上述诉求，可采用SD-WAN的Full-Mesh组网方案完成网络部署和运维。如果客户没有IT人员，可以选择由MSP进行代建和代维。如果客户有IT人员，可以选择由租户进行自建和自维。 该企业网络架构如图1所示。 图1 企业网络架构图 父主题： 仅SD-WAN组网（Full-Mesh组网）

站点和设备数据规划 SD-WAN各个站点的设备，需要先添加到华为乾坤云平台中，管理员才能对设备进行配置和管理。 表1 站点规划 站点名称 设备类型 站点位置 备注 Hub1 AR xx省xx市xx路xx号xx “站点位置”可以在华为乾坤云平台的地图上选择。 站点的设备类型，除了“AR”以外，如果还有其他设备，请对应勾选“LSW、FW”等设备类型。 Hub2 AR xx省xx市xx路xx号xx Site1 AR xx省xx市xx路xx号xx Site2 AR xx省xx市xx路xx号xx 表2 设备信息 设备ESN数据 设备名称 设备型号 角色 创建后，是否可以修改 备注 请从设备的物理标签上获取 Hub1_1 AR6280 网关+路由反射器 是 设备名称可修改。 说明： “设备型号”均为举例，请以实际为准。 请从设备的物理标签上获取 Hub1_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2_1 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Site1_1 AR651 网关 请从设备的物理标签上获取 Site2_1 AR651 网关 请从设备的物理标签上获取 Site2_2 AR651 网关 父主题： 开局部署数据规划

站点和设备数据规划 SD-WAN各个站点的设备，需要先添加到华为乾坤云平台中，管理员才能对设备进行配置和管理。 本举例中仅体现SD-WAN组网（Hub-Spoke组网）中各站点间的AR对接配置，对于站点内部的LAN侧设备配置，不再涉及。 表1 站点规划 站点名称 设备类型 站点位置 备注 Hub1 AR xx省xx市xx路xx号xx “站点位置”可以在华为乾坤云平台的地图上选择。 站点的设备类型，除了“AR”以外，如果还有其他设备，请对应勾选“LSW、FW”等设备类型。 Hub2 AR xx省xx市xx路xx号xx Site1 AR xx省xx市xx路xx号xx Site2 AR xx省xx市xx路xx号xx Site3 AR xx省xx市xx路xx号xx 表2 设备信息 设备ESN数据 设备名称 设备型号 角色 创建后，是否可以修改 备注 请从设备的物理标签上获取 Hub1_1 AR6280 网关+路由反射器 是 设备名称可修改。 说明： “设备型号”均为举例，请以实际为准。 请从设备的物理标签上获取 Hub1_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2_1 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Site1_1 AR651 网关 请从设备的物理标签上获取 Site2_1 AR651 网关 请从设备的物理标签上获取 Site2_2 AR651 网关 请从设备的物理标签上获取 Site3_1 AR6121E 网关 父主题： 开局部署数据规划