华为云用户手册

注册并登录控制台 华为乾坤控制台是华为乾坤所有服务的操作界面，登录前需要先注册华为乾坤帐号。 如果您已有华为乾坤MSP（渠道服务商）创建的租户帐号，可以跳过本节内容。 如果您已有华为官网帐号，可跳过本节内容直接登录华为乾坤控制台，具体操作参见华为乾坤支持哪些帐号登录。 访问华为乾坤控制台。 在登录页面单击“立即注册”。 默认进入“快速注册”页面，可单击“常规注册”跳转常规注册。请根据实际情况，选择合适的注册方式。 快速注册。 输入手机号和验证码，勾选“我已阅读并同意隐私政策声明和华为乾坤用户协议”，单击“注册并登录”。 设置密码，单击“确定”后登录到华为乾坤控制台。 常规注册。设置租户名、用户名、手机号和验证码，勾选“我已阅读并同意隐私政策声明和华为乾坤用户协议”，单击“注册并登录”。 为提高安全性，密码设置要求： 字符串形式，长度不小于8个字符，不超过32个字符。 至少包含1个字母和1个数字。 不能含用户名、用户手机号码和电子邮箱等敏感信息。 不建议使用密码强度低或常见的密码。 “用户名”和“密码”是用于登录控制台的帐号信息。此帐号相当于一级租户管理员，登录后还可以继续创建下级租户，进行分权分域管理。“租户名”相当于一个企业或客户名称，非必填。 注册成功后，您将自动登录到华为乾坤控制台，同时您的手机将收到注册帐号信息。

购买服务套餐 购买方式： 云管理网络套餐目前仅支持线下购买。请单击联系我们，留下您的联系方式，华为乾坤运营人员会联系您。详细License介绍可参见《License介绍》。 购买成功后，您会获得服务授权证书（PDF格式），用于后续激活服务。 套餐对应的设备款型： 对于企业业务客户，当前云管理网络支持在SCT平台购买的设备套餐有路由器（AR）、交换机、AP和防火墙的套餐。 本章节所涉及设备款型为需要购买License资源设备，全部款型和版本信息请参见《华为乾坤云管理网络配套款型》（若无权限访问，请联系华为渠道获取）。 如需使用SD-WAN服务，需要同时购买网络基础套餐与SD-WAN增值套餐。 如需使用应用保障360服务，需要同时购买网络基础套餐与应用分析增值套餐。 如需使用智能调优360服务，需要同时购买网络基础套餐与调优自愈增值套餐。

操作步骤 在“Underlay配置”页签，选择待配置的站点（如：Hub1）。 图1 Underlay配置页签入口 在“WAN路由”页签中，单击“点击添加路由协议”，选择协议为“IPv4 Static”。 在“IPv4 Static”界面中，单击“创建”，完成静态路由配置，单击“确定”。 Hub1的静态路由。 Hub2的静态路由。 Site1的静态路由。 Site2的静态路由。 Site3的静态路由。

配置AP上线（安卓版） 注册并登录APP。打开APP点击“登录/注册”，输入手机号和验证码，首次登录会自动注册华为乾坤帐号。 如果已有华为乾坤帐号，无需再次注册，输入用户名和密码，签署用户协议和隐私政策即可。 如果提示发现新版本，请升级到最新版本，避免功能无法使用。 站点添加设备。 参照下图指引，扫码录入设备信息。 如果站点已有设备，点击页面右上角“+”，选择“扫码添加设备”录入新设备信息。 如果扫码无法成功，可以点击“手动输入”方式录入设备信息。 支持多次录入设备信息，当不再添加设备，点击“结束扫描”，检查设备列表无误后，点击“下一步”。 选择站点。 首次登录华为乾坤APP，系统默认创建“我的网络”站点。 如需自定义站点，点击页面左上角“+”，选择“创建站点”输入站点名称点击“完成”。 设备上线。确保设备已连网、连线和上电，然后等待3~5分钟。 配置Wi-Fi。设备上线后，首页会弹出“Wi-Fi设置”提示框，参照下图指引完成配置。 验收上线结果。 方式1：参照下图指引，检查目标设备状态是否在线。 方式2：手机连接配置的Wi-Fi，参照下图指引对Wi-Fi测速，确保无线网络畅通。

上云操作方法 DHCP服务器侧：需要配置DHCP Option 148选项。 无论网关设备是防火墙还是路由器，只要保证出口已成功接入运营商网络，作为DHCP服务器时它们的配置大致一样。 以华为防火墙作为DHCP服务器为例，完整的配置如下，注意不要忘记最后的分号。 interface Vlanif100;ip address 192.168.100.1 255.255.255.0;service-manage all permit; interface Vlanif100：进入VLAN 100的逻辑接口。该数值为用户自定义，可修改。 ip address 192.168.100.1 255.255.255.0：设置IP地址。IP地址和掩码为用户自定义，可修改。 service-manage all permit：以策略全放通为例，一般不建议全放通，请根据实际情况设置。 dhcp select interface;dhcp server option 148 ascii agilemode=agile-cloud;agilemanage-mode=domain;agilemanage-domain=device.qiankun-saas.huawei.com;agilemanage-port=10020;ap-agilemode=tradition-fit; agilemode=agile-cloud：设置切换模式为云模式，使能NETCONF。 agilemanage-mode=domain：设置注册方式。值为domain，表示使用URL 域名 注册。 agilemanage-domain=device.qiankun-saas.huawei.com：设置华为乾坤云平台的南向域名为device.qiankun-saas.huawei.com。 agilemanage-port=10020：设置端口号为10020。 ap-agilemode=tradition-fit：设置AP工作模式为FIT模式。 WAC侧：需要开启接口下的DHCP功能，配置如下，注意不要忘记最后的分号。 interface Vlanif1;ip address dhcp-alloc; interface Vlanif1：进入VLAN 1的逻辑接口。 ip address dhcp-alloc：开启接口下的DHCP功能。 如果AP与WAC使用同一个DHCP地址池，为了防止AP受到Option 148参数agilemode=agile-cloud的影响而切为云模式，需要增加Option 148参数“ap-agilemode”=“tradition-fit”。对于AP，ap-agilemode将优先于agilemode生效。

背景信息 对于哑终端，需要在华为乾坤云平台上添加MAC帐号、配置认证方式等，然后对哑终端进行认证授权。在用户管理页面，首先创建用户组，然后将MAC帐号添加到规划的用户组中，哑终端可以通过该帐号进行认证。建议将同一权限的MAC帐号分配在同一用户组，方便后续以用户组为单位进行授权操作。哑终端的账号数据规划如表1所示。 表1 哑终端的账号数据规划表 用户组 MAC账号 MAC地址 Wire_Dumb_Group（哑终端） wire_dumb1 00-01-00-01-00-04

配置AR注册到云管理平台 配置和华为乾坤云平台对接参数。要求配置的callhome名称必须配置为default-callhome，ac_south_ip-address 为华为乾坤云平台南向地址。interface-name_ac_south_ip-address请参考说明中endpoint命名规则。 netconf callhome default-callhome endpoint interface-name_ac_south_ip-address peer-ip ac_south_ip-address port 10020 vpn-instance vpn-instance endpoint命名必须为：注册到华为乾坤云平台使用的WAN链路接口_ac_south_ip-address，例如： WAN链路使用的接口为GE0/0/1，IP地址为192.168.10.10，endpoint命名为“GE0/0/1_192.168.10.10”。 WAN链路使用的接口为XGE0/0/1，IP地址为192.168.10.10，endpoint命名为“10GE0/0/1_192.168.10.10”。

配置SSH用户 配置SSH服务器用户。 system-view snetconf server enable ssh user huawei ssh user huawei authentication-type x509v3-rsa ssh user huawei assign pki default ssh user huawei service-type snetconf 指定SSH服务器的源接口。 ssh server-source all-interface 配置SSH认证方式。 ssh server assign pki default 配置SSH连接的授权类型。 ssh authorization-type default root 查看当前SSH服务器公钥算法。 display current-configuration | in ssh server publickey 配置SSH服务器公钥算法。在查询到的当前设备已经配置的SSH服务器公钥算法基础上，添加算法x509v3-ssh-rsa，当前以缺省公钥算法为RSA_SHA2_256、RSA_SHA2_512举例。 ssh server publickey x509v3-ssh-rsa rsa_sha2_256 rsa_sha2_512

配置AR接入Internet 请根据网络服务商提供的信息选择接入Internet的方式。不同的接入Internet方式对应不同的参数。 通过PPP和MP接入Internet： 配置接口封装PPP协议： 执行命令system-view，进入系统视图。 执行命令interface interface-type interface-number，进入接口视图。 执行命令link-protocol ppp，配置接口封装的链路层协议为ppp。 执行命令ip address ip-address { mask | mask-length} [ tag tag-value ]，直接配置IPv4地址。 执行命令ip address ppp-negotiate配置设备作为客户端，通过IP地址协商获取本端接口的IP地址。缺省情况下，本端接口没有配置IP地址可协商属性。 执行命令ip address unnumbered interface { interface-name | interface-type interface -number }，配置借用其他接口的IP地址。 执行命令remote address ip-address，配置设备作为服务器为对端分配IP地址。 配置CHAP认证： 执行命令system-view，进入系统视图。 执行命令interface interface-type interface-number，进入接口视图。 配置以CHAP方式认证对端。 当认证方已配置用户名时。CHAP认证中，当认证方配置了用户名时，可以对认证方的用户名进行确认。 配置设备作为认证方，以CHAP方式认证对端： 执行命令ppp authentication-mode chap [ pap ]，配置PPP认证方式为CHAP。 执行命令ppp chap user user-name，配置采用CHAP认证时认证方的CHAP用户名。此处在认证方上配置的CHAP用户名要和被认证方配置的本地接入用户名一致。 执行命令quit，回到系统视图。 执行命令aaa，进入AAA视图。 执行命令local-access-user user-name，创建本地接入帐号，并配置本地接入用户名。 执行命令password cipher password，配置本地接入用户的密码。此处在认证方上配置的本地接入用户名和密码要和被认证方配置的本地接入用户名和密码一致。 执行命令service-type ppp，配置本地接入用户的接入类型为ppp。 配置设备作为被认证方，以CHAP方式被对端认证： 执行命令ppp chap user user-name，配置采用CHAP认证时认证方的CHAP用户名。此处在认证方上配置的CHAP用户名要和被认证方配置的本地接入用户名一致。 执行命令quit，回到系统视图。 执行命令aaa，进入AAA视图。 执行命令local-access-user user-name，创建本地接入帐号，并配置本地接入用户名。 执行命令password cipher password，配置本地接入用户的密码。此处在认证方上配置的本地接入用户名和密码要和被认证方配置的本地接入用户名和密码一致。 执行命令service-type ppp，配置本地接入用户的接入类型为ppp。 当认证方未配置用户名时。当认证方没有配置用户名时，可以采用被认证方以CHAP方式认证对端的形式进行认证。 配置设备作为认证方，以CHAP方式认证对端： 执行命令ppp authentication-mode chap [ pap ]，配置PPP认证方式为CHAP。 执行命令quit，回到系统视图。 执行命令aaa，进入AAA视图。 执行命令local-access-user user-name，创建本地接入帐号，并配置本地接入用户名。 执行命令password cipher password，配置本地接入用户的密码。此处在认证方上配置的本地接入用户名和密码要和被认证方配置的本地接入用户名和密码一致。 执行命令service-type ppp，配置本地接入用户的接入类型为ppp。 配置设备作为被认证方，以CHAP方式被对端认证： 执行命令ppp chap user user-name，配置本地被对端认证的用户名。 执行命令ppp chap password { simple password | cipher { password1 | password2 } }，配置CHAP认证的密码。 配置PAP认证： 执行命令system-view进入系统视图。 执行命令interface interface-type interface-number，进入接口视图。 配置PPP认证方式为PAP。 配置设备作为认证方，以PAP方式认证对端。 执行命令ppp authentication-mode pap，配置认证方式为PAP。 执行命令quit，回到系统视图。 执行命令aaa，进入AAA视图。 执行命令local-access-user user-name，创建本地接入帐号。 执行命令password cipher password，配置本地接入用户的密码。 执行命令service-type ppp，配置本地接入用户的接入类型为ppp。 配置设备作为被认证方，以PAP方式被对端认证。 执行命令ppp chap local-user user-name password { simple password | cipher { password1 | password2 } }，配置本地被对端以PAP方式验证时，本地发送的PAP用户名和密码。 配置MP： 执行命令system-view，进入系统视图。 执行命令interface mp-group number，创建MP-Group接口，并进入MP-Group接口视图。 配置MP-Group接口的IP地址。 以下方式选择一种即可。 执行命令ip address ip-address { mask | mask-length }[ tag tag-value ]，直接配置MP-Group接口的IP地址。 执行命令ip address ppp-negotiate，配置设备作为客户端，通过IP地址协商获取本端接口的IP地址。 执行命令quit，回到系统视图。 执行命令interface serial interface-number，进入需要加入MP-Group接口的串行接口视图。 执行命令ppp mp { interface-type interface-number | interface-name }，将当前串行接口加入指定的MP-Group接口，使该串口工作在MP方式。 通过PPPoE接入Internet： 配置Dialer接口： 执行命令system-view，进入系统视图。 执行命令interface dialer number，创建Dialer接口并进入Dialer接口视图。 配置Dialer接口的IP地址。 以下方式选择一种即可。 执行命令ip address ip-address { mask | mask-length } [ tag tag-value ]直接配置Dialer接口的IPv4地址。 执行命令ip address ppp-negotiate配置由对端分配IPv4地址。 配置PPPoE Client作为被认证方： 执行命令system-view，进入系统视图。 执行命令interface dialer number，进入Dialer接口视图。 配置PPPoE Client的认证用户名和密码。 当PPPoE Server的认证方式为PAP时。 执行命令ppp pap local-user user-name password { simple password | cipher { password1 | password2 } }，配置本地被对端以PAP方式验证时，本地发送的PAP用户名和密码。 此处在PPPoE Client上配置的PAP用户名和密码，要和PPPoE Server上配置的本地接入用户名和密码一致。 缺省情况下，对端采用PAP认证时，本地设备发送的用户名和密码均为空。 当PPPoE Server的认证方式为CHAP，且PPPoE Server配置用户名时。 执行命令ppp chap user user-name，配置本地被对端认证的用户名。 执行命令quit，回到系统视图。 执行命令aaa，进入AAA视图。 执行命令local-access-user user-name，创建本地接入帐号，并配置本地接入用户名。 执行命令password cipher password，配置本地接入用户的密码。 此处在PPPoE Client上配置的本地接入用户名，要和PPPoE Server上配置的本地接入用户名和CHAP认证用户名一致。 此处在PPPoE Client上配置的本地接入用户密码，要和PPPoE Server上配置的本地接入用户密码一致。 执行命令service-type ppp，配置本地接入用户的接入类型为ppp。 当PPPoE Server的认证方式为CHAP，且PPPoE Server没有配置用户名时。 执行命令ppp chap user user-name，配置PPPoE Client被PPPoE Server以CHAP方式认证的用户名。 执行命令ppp chap password { simple password | cipher { password1 | password2 } }，配置PPPoE Client被PPPoE Server以CHAP方式认证的密码。 配置接口上启用PPPoE Client功能： 执行命令system-view，进入系统视图。 执行命令interface interface-type interface-number，进入接口视图。 执行命令pppoe-client dial-bundle-number number [ on-demand ] [ no-hostuniq ] [ ppp-max-payload value ] [ service-name name ]，指定PPPoE会话所对应的Dialer bundle。 在一个以太网接口上可以配置多个PPPoE会话，即一个以太网接口可以同时属于多个Dialer Bundle，但是一个Dialer Bundle中只能拥有一个以太网接口，一个Dialer接口也只能绑定一个以太网接口。 PPPoE会话是和Dialer Bundle一一对应的。如果某一Dialer接口的Dialer Bundle已经有一个以太网接口被用于PPPoE，那么此Dialer Bundle中不能加入其他任何接口。同样，如果在某一个Dialer Bundle中已经有除需要被加入的以太网接口外的接口，那么此Dialer bundle也同样不能加入该以太网接口。 如果不配置参数on-demand，则PPPoE拨号方式为永久在线方式；如果配置参数on-demand，则PPPoE拨号方式为按需拨号方式，目前设备支持的按需拨号方式为报文触发方式。 如果不配置参数no-hostuniq，则表示在PPPoE Client发起的呼叫中携带Host-Uniq字段，用于与主机的某个唯一特定的请求联系起来，使检查更加严格。 执行命令quit，退回到系统视图。 执行命令ip route-static ip-address { mask | mask-length } { interface-name | interface-type interface-number }，配置静态路由，使得PPPoE Client和PPPoE Server路由可达。 通过Cellular接入Internet： 使用该方式接入Internet时，需要向运营商申请开通蜂窝网络服务，并获取SIM卡，若运营商网络需要鉴权，还需获取接入运营商网络的APN、用户名、密码和认证方式。 需提前将安装SIM卡到Cellular单板。安装前须确保SIM卡没有物理损坏，安装完成后须确保SIM卡已经插紧。 配置网络连接方式： 执行命令system-view，进入系统视图。 执行命令cellular-profile profile-name，创建Cellular模板并进入Cellular模板视图。 执行命令mode { auto | wcdma-only | lte-only | lte-wcdma | nr-only | nr-lte }，配置Cellular模组网络连接的方式。 缺省情况下，Cellular模组网络连接的方式为auto。仅AR5710-S8T2XE-NRCN、AR5710-S10T1X2、AR6700系列、AR8000系列产品支持lte-wcdma、nr-only与nr-lte参数。 执行命令quit，退回到系统视图。 执行命令interface interface-type interface-number，进入接口视图。 执行命令cellular-profile profile-name，绑定Cellular模板。 配置APN模板（单SIM卡场景）： 执行命令system-view，进入系统视图。 创建APN模板。 执行命令apn profile profile-name，创建APN模板，并进入APN模板视图。 缺省情况下，设备没有创建APN模板，设备动态配置APN。 执行命令apn apn-name，配置APN。 缺省情况下，设备没有在APN模板中配置APN。 执行命令quit，退回到系统视图。 在Cellular通道接口上绑定APN模板。 执行命令interface cellular interface-number，进入Cellular通道接口视图。 执行命令apn-profile profile-name[ priority priority ]，绑定APN模板。缺省情况下，Cellular通道接口上没有绑定APN模板。 配置APN模板（双SIM卡场景）： 执行命令system-view，进入系统视图。 创建APN模板。 执行命令apn profile profile-name，创建APN模板，并进入APN模板视图。 缺省情况下，设备没有创建APN模板，设备动态配置APN。 执行命令apn apn-name，配置APN。 缺省情况下，设备没有在APN模板中配置APN。 执行命令sim-id sim-id，关联SIM卡ID。缺省情况下，不指定特定SIM卡。 执行命令quit，退回到系统视图。 在Cellular通道接口上绑定APN模板。 执行命令interface cellular interface-number，进入Cellular通道接口视图。 执行命令apn-profile profile-name[ priority priority ]，绑定APN模板。缺省情况下，Cellular通道接口上没有绑定APN模板。 配置拨号功能： 执行命令system-view，进入系统视图。 执行命令interface cellular interface-number，进入Cellular通道接口视图。 执行命令ip address modem-alloc，开启自动拨号并获取IP地址功能。缺省情况下，设备上自动拨号功能处于未开启状态。 执行命令quit，退回到系统视图。 执行命令ip route-static ip-address { mask | mask-length }{ interface-name | interface-type interface-number }，配置静态路由，指定出接口为Cellular通道接口。

前提条件 请确认华为乾坤云平台上已创建站点并添加设备。 请确认设备款型和版本能够在华为乾坤云平台上线。 设备款型和版本支持情况，请参考《华为乾坤云管理网络配套款型》（若无权限访问，请联系华为渠道获取）。 如果版本不匹配，请参考单产品升级指导书完成版本升级。 为了保证开局成功，请确保设备为出厂配置，如果设备上有残留信息会导致开局失败。 设备导入CA证书后才能注册到云管理平台。 开局前请执行以下命令查看或导入设备上已加载的CA证书内容。 display pki certificate ca realm default 如果查询到CA证书，请正常进行开局流程，跳过下列步骤。如果未查询到CA证书，请执行下列步骤导入CA证书。 请执行以下命令将预置的CA证书导入到default域下。CA证书导入成功后，请执行上一步检查证书信息。CA证书导入失败时，请联系华为技术支持人员。 pki import-certificate default_ca realm default

操作步骤 将WAC接入本地网络。 WAC从DHCP服务器自动获取IP地址，并通过网关接入Internet。 在WAC上ping 华为乾坤云平台的域名，确认网络可达。 使用命令行工具登录WAC。 执行命令system-view，进入系统视图。 执行命令ac-mode cloud [ only ]，将WAC切为云模式。 如果在切换模式时未选择将default域的CA证书和本地证书恢复为默认证书，也可以在事后执行pki-load general-certificate命令手工恢复。 执行pnp startup-vlan receive enable命令，使能从上游设备获取PnP VLAN的功能。 缺省情况下，设备已使能从上游设备获取PnP VLAN的功能。

背景信息 华为乾坤通过“IPv4地址+天关”或“MAC地址+主机名”确定资产唯一性。资产信息发生变化时，可能导致多个现存资产之间发生冲突，无法确定资产唯一性，需要进行人工处置。 假设用户内网存在一资产，可能导致以下冲突： 场景1：“IPv4地址+天关”冲突 DAY1：用户购买并开通了 漏洞扫描服务 ，手动录入该资产，资产管理创建资产A，资产信息包含资产A的IPv4地址和天关。执行 漏洞扫描 ，发现相关漏洞信息。 DAY2：用户购买并开通了智能终端安全服务，HiSec Endpoint Agent将该资产上报资产管理，资产管理创建资产B，资产信息包含资产B的IPv4地址和MAC地址。 DAY3：用户购买并开通了边界防护与响应服务，根据边界防护与响应服务与智能终端安全服务的联动处置要求，资产B自动绑定天关，此时资产管理发现资产A与资产B实际为统一资产，发生冲突。 场景2：“MAC地址+主机名”冲突 DAY1：用户购买并开通了智能终端安全服务，HiSec Endpoint Agent将该资产上报资产管理，资产管理创建资产A，资产信息包含资产A的MAC地址（MAC地址1）和主机名。用户使用服务后，本地卸载Agent，此时资产管理仍保存资产A数据。 DAY2：用户切换该资产的网卡，并再次安装HiSec Endpoint Agent。HiSec Endpoint Agent将该资产上报资产管理，资产管理创建资产B（因MAC地址不同，识别为不同资产），资产信息包含资产B的MAC地址（MAC地址2）和主机名（与资产A主机名相同）。 DAY3：用户切换至原网卡，资产B的资产信息变动，HiSec Endpoint Agent上报最新数据，此时资产管理发现资产A与资产B的资产信息发生冲突，导致资产B的资产信息无法更新。

站点配置 前提条件 登录华为乾坤控制台后成功创建了站点，并拥有“设备生命周期管理服务”中站点管理相关权限。 背景信息 创建站点后，用户根据实际情况将设备纳入到同一站点中，并对设备拓扑调整、业务配置，确保站点正常运行。 操作步骤 站点设备拓扑操作。 站点的设备拓扑图一般由设备和链路组成。如果站点还未添加设备，请先跳转步骤3，然后进行站点设备拓扑操作。 安全站点 查看设备拓扑。可以查看设备拓扑概况。将鼠标悬停在链路上，可以查看当前链路信息。 查看设备详情。鼠标悬停在设备拓扑中任意安全设备图标，单击弹窗中“详情”，或右击安全设备，单击“查看详情”。具体参见设备详情。 删除设备。右击安全设备，单击“删除设备”，可以删除当前设备。 云管理网络站点 云管理网络场景下站点设备拓扑操作比网络安全场景更复杂些，具体如表1所示。 表1 设备拓扑操作 操作名称 操作说明 拓扑管理 站点首页右上角提供了拓扑管理菜单，支持调同步数据、页面刷新周期、手动刷新、恢复拓扑默认布局、其他优化配置。 拓扑调整 站点首页右下角提供了绘图区域菜单，支持调整拓扑位置、查看图例、设置全屏展示、放大/缩小绘图区域。 设备搜索 站点首页提供了设备搜索框，支持快速搜索目标设备。在设备搜索的结果页面单击，可在拓扑中高亮标记设备，快速定位到该设备。 设备查看和编辑 设备状态不同显示颜色也不同，比如设备异常有告警显示成红色。 当设备数量较多时，默认聚合展示，可单击展开。 鼠标停留在设备图标上，显示设备摘要信息。单击“详情”进入设备管理页面，相关操作参见设备。 链路查看 鼠标停留在链路线上，会出现设备互联信息，如本端端口、远端端口等。 业务网配置 拓扑图左侧展示了有线或无线网的“业务网”配置情况： 无论是有线或无线场景，单击子网按钮，进入子网配置修改页面。其中，无线子网指的是修改SSID配置参数。 图1 云管理网络站点设备拓扑 （可选）站点添加设备。具体操作介绍可参见添加设备。 （可选）站点业务配置。 进入站点首页，单击页面右上角“站点配置”进入业务配置页面。 图2 业务配置页面 查看站点配置结果。 在站点配置页面，单击“配置结果”，进入站点配置结果页面。 在站点配置结果页面，查看配置向设备下发情况。 如果当前设备未上线，“设备配置状态”显示为预配置。 如果当前设备上线，但配置下发失败，可单击“失败重下发”或“全量下发”，重新下发配置。 图3 配置结果页面 单击展开配置结果详情，单击指定特性条目的按钮，可查看该特性配置结果详情。 设置设备本地用户帐号和密码。 使用默认的用户帐号 网络站点开局过程中，会自动在纳管的设备上生成admin用户和accampus用户。用户密码是平台随机生成的，因此在登录设备Web/CLI界面之前，请单击本地用户列表中按钮重置密码。 默认情况下，平台自动创建admin用户和accampus用户。其中admin帐号是设备本地预置帐号，accampus帐号是平台与设备侧交互的专用帐号，若只需要手动登录设备，建议使用admin或其他帐号。 admin用户帐号会同时对串口生效。 通过CoAP协议纳管的设备（如S210系列）仅支持admin帐号。 如需要删除用户，不推荐删除admin用户。 删除用户之前，请确保已经新建其他管理员用户帐号，避免无法登录设备Web/CLI界面。 自定义用户帐号 单击本地用户列表右上角“创建”，在弹出的“创建本地用户”页面按表 本地用户配置的部分参数说明配置参数，完成后单击“确定”。 表2 本地用户配置的部分参数说明 参数 说明 用户名 设备本地用户账号的用户名。 密码 设备本地用户账号的密码。 用户角色 包括监控用户、管理用户两种，二选一，不同角色有不同的网络设备管理权限。 不同级别的用户登录后，只能使用等于或低于自身级别的命令。 监控用户：1级用户。 管理用户：15级用户。 服务类型 本地用户账号服务的协议类型，包括HTTP(S)、SSH和Terminal三种，支持多选。 HTTP(S)：如果勾选该选项，则可以使用该用户通过浏览器以HTTP(S)协议登录设备的WebUI界面。 SSH：如果勾选该选项，则可以使用该用户通过SSH客户端登录设备的命令行界面。 Terminal：如果勾选该选项，则可以使用该用户通过终端，即Console口登录设备命令行界面。 说明： 登录方式为Telnet和FTP时存在安全风险，建议使用STelnet和SFTP，此时，用户服务类型配置为SSH。 缺省情况下，HTTP采用随机生成的自签名证书支持HTTPS。由于自签名证书存在安全风险，因此建议用户替换为官方授权的数字证书。 对分布式AP生效 本地用户账号对分布式AP是否生效的控制开关。注意，默认分布式AP不支持用户角色和服务类型。 设置管理VLAN。 设置自协商。只有开启该功能后，本站点内的自协商管理VLAN才能生效。 单击列表右上方“自协商”，在弹出的页面开启“自协商管理VLAN”并单击“应用”。 防火墙和交换机设备的所有物理接口默认开启“管理VLAN自协商”，这些接口的下行网元可通过自协商自动切换管理VLAN。 如需在特定设备某些接口上关闭该功能，请进入该设备“接口”页面选中接口，在“高级”参数中将“管理VLAN自协商”设置为“OFF”。 如果站点中交换机设备的某个Eth-Trunk口上开启“Eth-Trunk自协商”开关（缺省关闭），则对该Eth-Trunk的所有成员接口，下行直连交换机的对应物理口将自动加入Eth-Trunk0，并通过自协商的管理VLAN接入上行网络。 图4 自协商配置 修改管理VLAN。 选择设备条目，单击按钮或者单击列表右上方“修改”，阅读风险提示后单击“确定”进入修改管理VLAN页面。 以FW配置为例 ，参数说明请参见表3，单击“确定”。 配置管理VLAN属于高危操作，请谨慎操作。因为修改管理VLAN将导致设备暂时离线并重新上线，请确保配置正确，否则会导致设备脱管。 图5 修改管理VLAN 表3 管理VLAN参数表 参数 说明 自协商管理VLAN（仅防火墙和交换机） 下行网元连到当前设备时，可以通过协商机制将管理VLAN切换为该VLAN，使其能从DHCP服务器获取IP地址，从而注册到华为乾坤。 取值范围1~4094。 无线自协商管理VLAN（仅交换机） 下行无线设备连到当前设备时，可以通过协商机制将管理VLAN切换为该VLAN，使其能从DHCP服务器获取IP地址，从而注册到华为乾坤控制台。 取值范围1~4094，不能与“自协商管理VLAN”值相同。 管理VLAN（仅交换机和AP） 为当前设备指定管理VLAN，配置管理VLAN后，华为乾坤可以通过管理VLAN的VLANIF接口连接到当前设备，实现网管集中管理设备。 用户可以使用默认的管理VLAN，也可以自定义管理VLAN。 默认：默认的管理VLAN为1。 自定义：管理VLAN ID取值范围为1~4094。 上行口PVID使能（仅交换机） 接口缺省VLAN标识，即PVID，指的是二层接口上的缺省VLAN ID（每个二层接口上有且只有一个VLAN ID 作为PVID）。在接口收到流量，并且该流量不携带任何VLAN ID信息时，该接口认为这些流量属于PVID对应的VLAN。缺省情况下，所有接口的PVID均为 VLAN 1。 开启该开关后，上行口的PVID将会设置为“管理VLAN ID”中配置的VLAN ID。 如果当前设备的上行口为Access口，缺省VLAN即为该接口允许通过的VLAN，修改该接口允许通过的VLAN即为修改该接口的缺省VLAN。 如果当前设备的上行口为Trunk口，该接口允许多个VLAN通过，但只能有一个缺省VLAN，修改接口允许通过的VLAN，不会修改接口的缺省VLAN。 上行口自动放行（仅交换机） 开启该开关后， 如果当前设备的上行口为Trunk口，会自动将管理VLAN加为允许通过的VLAN。 修改或清除管理VLAN后，如果当前设备的上行口为Trunk口，上行口中已允许通过VLAN中将保留原管理VLAN。 如上行口不再需要允许通过此原有管理VLAN，可在交换机接口页面删除。 如果当前设备的上行口为Access，会自动将管理VLAN作为缺省VLAN ID。 IP获取方式（仅交换机和AP） 配置管理IP地址的获取方式。对于交换机，仅当“管理VLAN”为自定义时才支持此功能。 动态：动态获取管理IP地址。 静态：手工设置管理IP地址，需配置IP地址、掩码和网关地址等。 说明： 通过静态获取IP方式时，AP设备还需配置DNS服务。 父主题： 站点管理

控制台首页介绍 使用注册的华为乾坤帐号登录控制台，详细过程参见帐号注册。控制台首页主要由四个模块组成，包括菜单栏、地图、智能助手小坤和系统健康状态评估模块。 图1 控制台首页 表1 租户首页介绍 模块名称 模块说明 菜单栏 - 控制台提供了工具菜单，如资源中心、帐号等。同时页面左侧还有服务列表等。 单击页面左侧“华为乾坤”，可跳转华为乾坤商城页面。单击页面左侧“工作台”，可跳转华为乾坤控制台首页。 地图 - 为方便展示业务布局，提供了地图展示能力。主要包括站点部署、站点间VPN互联概况、站点配置概况和业务安全概况。地图上方还提供全局搜索功能以及数据展示。 站点搜索。在地图左上角搜索框输入站点名称，单击图标或回车键进行搜索。 单击搜索框，会显示当前帐号下所有站点及站点待办数量和设备信息。单击列表中的某个站点名称，地图中会自动定位到该站点。 数据展示。包括当前租户下各维度的数量统计信息，如站点、设备等。 单击地图页面上统计数据胶囊，会同步在地图上显示各站点对应资源的异常/总数数据，并在页面右侧显示对应资源统计列表。单击资源列表中的单个资源名称，地图会自动定位到该资源对应的站点，并在上方显示气泡，单击气泡可进入到该资源的详情界面。 - 站点 单击页面上“站点”，可以查看当前租户的站点信息，支持如下操作。 创建站点：在站点统计页面单击“创建站点”，设置站点名称、设备类型和站点位置完成站点创建。 搜索：在站点统计页面输入站点名称，单击或回车键进行搜索。 设备拓扑：单击站点列表中的某个站点名称，单击“进入站点”，可以进入站点设备拓扑页面。详细信息请参见站点首页。 站点设备：单击站点列表中设备数量，可以进入设备管理页面。详细信息请参见设备管理。 站点管理：单击站点统计页面右上角“进入站点管理”，可进入站点管理页面。详细信息请参见站点管理。 - 应用 单击页面上“应用”，可以查看当前租户下的应用信息。 搜索：在应用统计页面输入应用名称或IP地址，单击或回车键进行搜索。 添加保障：单击应用统计页面左上方“添加保障”，可将站点下某一应用设置为重保应用。 应用保障详情：单击应用列表中应用名称，可以查看该应用在各个站点的保障详情。 单击站点列表下的“站点名称”，可以查看应用体验事件页面。 页面左侧是应用路径信息。提供单站点下的应用流信息，并且支持呈现单站点故障的流路径。 侧滑页面呈现整体应用的流量、网络质量、会话流信息。 - 用户 单击页面上“用户”，可以查看当前租户下用户信息。 搜索：在用户统计页面输入用户名或MAC，单击或回车键进行搜索。 添加VIP：单击用户统计页面左上方“VIP管理”，可选择将用户或访客设置为VIP用户。 用户详情：单击用户统计列表中“用户名称”，可以查看该用户在网络中的旅程。 页面左侧通过拓扑轨迹呈现用户的空间旅程。 侧滑页面根据用户评分劣化进行关联指标根因分析，给出排障建议。 - 设备 单击页面上“设备”，可以查看当前租户下设备信息，支持如下操作。 搜索：在设备统计页面输入关键字，单击或回车键进行搜索。 添加设备：在设备统计页面单击“添加设备”，支持添加设备，具体操作请参见添加设备。 设备详情：在设备列表中单击设备名称，可以查看当前设备详情，具体信息请参见设备详情。单击设备详情页面，可以展开/收起详情信息。 设备拓扑：单击设备列表中站点名称，可以进入站点的设备拓扑页面。具体信息请参见站点首页。 设备管理：单击设备统计页面右上角“进入设备管理”，可进入设备管理页面。具体信息请参见设备管理。 - 资产 单击页面上“资产”，可以查看当前租户下的资产信息，支持如下操作。 搜索：在资产统计页面输入资产名称，单击或回车键进行搜索。 资产详情：单击资产列表中资产名称，可以查看当前资产详情。详细信息请参见资产详情查看。单击资产详情页面，可以展开/收起详情信息。将鼠标置于详情页面左侧边界，也可以拉伸详情页面尺寸。 资产管理：单击资产统计右上方“进入资产管理”，可以进入资产管理页面，详细信息请参见资产管理。 - 站点互联 单击页面上“站点互联”，可以查看当前租户下站点互联信息。 搜索：在站点间互联统计页面输入本端站点名称，单击或回车键进行搜索。 互联详情：单击列表本端站点/隧道IP，查看站点互联详情。单击详情页面“同步”可以同步IPSec VPN状态。 互联管理：单击站点互联统计页面“进入站点间互联管理”，可以进入互联管理页面，详细信息请参见云管理网络服务的《网络部署》中的“VPN监控”章节。 - 站点部署和站点配置概况 例如站点地域分布、站点状态、站点设备等信息。单站点支持的操作如下： 查看站点详情。鼠标悬浮在站点图标上，可查看当前站点设备、资产、用户和应用等数据。单击地图上站点图标，会在右侧显示站点详情，包括资源统计和待办事项等。 编辑当前站点信息。鼠标悬浮在站点图标上，单击弹框中，可修改站点名和站点位置信息。 鼠标悬浮在站点图标上，单击弹框中，可进入站点首页。 删除站点。鼠标悬浮在站点图标上，单击弹框中，可删除当前站点。 说明： 聚合站点图标上数字表示当前地点包含的站点数量。 绿色站点图标表示当前站点没有待办事件；红色站点图标表示当前站点存在待办事件。 若当前站点包含设备，则无法删除该站点。 - IPsec-VPN互联概况 展示站点间的VPN连接情况。 鼠标悬停在站点间的连线上，会显示VPN隧道的信息。单击“查看”支持查看站点间互联的详细信息，更多信息请参见云管理网络服务的《网络部署》中“VPN配置”章节。 说明： 用户需要拥有“云管理网络服务”相关权限，且当前帐号内存在VPN隧道连接时，显示VPN信息。 若存在多条VPN隧道连接，会在地图VPN隧道连接上显示具体VPN隧道数量。 - 业务安全概况（可选） 如果购买了安全领域服务： 地图左侧会展示攻击事件，单击地图左下角可查看当前帐号下所有的攻击事件，单击任意一条事件，可以进入页面快速处置。 地图下方会展示安全防护态势，单击地图右下角可查看当前帐号最近15天业务被攻击的次数。 - 地图菜单栏 在地图右下角提供以下操作。 地图默认展示自动视角，可单击地图右下角支持自定义地图视角。 单击菜单栏可全屏展示地图区域。 滚动鼠标可以缩放地图，双击聚合站点或者单击地图页面右下角“+”、“-”图标，可缩放地图站点。 小坤智能助手 - 为提高业务操作效率、降低运维难度，控制台提供了智能助手（小坤机器人）。 系统健康状态评估 - 从开通服务起，智能助手可以实时监测系统安全和网络问题，动态评估系统的健康状态，健康等级如表2所示。您可以查看并处置“待您处理”中的异常事件，提升系统的健康得分。 待您处理：提供自动检测整个系统内的异常事件，提供所有站点内的异常事件处理入口，保障用户业务正常运行。 待您关注：提供消息统一管理功能，单击智能消息中心模块右上方“更多”，可进入消息中心。消息中心详细介绍请参见消息中心。 表2 健康度等级 等级分类 等级颜色 等级分数 安全 绿色 90~100 良好 橙色 70～89 危险 红色 0～69 父主题： 服务使用

背景信息 资产一般是指客户IT环境中有价值的任何硬件或软件，如服务器、网络设备、网页应用程序等。用户可以将资产信息添加到云平台，方便统一管理。 资产录入有以下几种方式： 手动录入：用户在控制台手动录入资产信息。 批量导入：用户在控制台利用Excel模板批量导入资产信息。 Agent上报：依赖于智能终端安全服务中HiSec Endpoint Agent的主动上报功能，已经安装HiSec Endpoint Agent的终端，经用户授权后将资产信息提供给云端。 资产发现：依赖于漏洞扫描服务的主动发现功能，基于客户提供的IP网段，主动发现网段内的活跃资产。经用户确认后，支持一键录入，提高梳理效率。 边界防护录入：依赖于边界防护与响应服务中失陷主机的录入资产功能。检出的失陷资产，经用户手动填写必要信息后，录入到资产管理平台。 终端管理发现：依赖于云管理网络中的准入认证功能。

背景信息 理清自有资产是进行安全管理的必要前提。如果用户购买了华为乾坤多个安全服务，检出的威胁事件对应的资产可能有所重叠，资产管理服务可以帮助用户从资产的角度，全方位、多维度了解其安全属性。 相比于全部资产，用户可能更关心风险资产。为了帮助用户精准定位需要关注的资产，资产管理服务分别提供了全部资产和风险资产的审视窗口： 全部资产：用于全量资产清单维护，包含资产的通用信息。 风险资产：用于对高风险资产进行运维和处置，包含风险资产的风险评分、威胁标签、自定义标签等。

华为乾坤提供哪些解决方案或服务 华为乾坤是华为面向企业推出的数字化网络云服务，包括网络管理、网络安全、网络连接等一站式云服务产品，助力企业网络更简单、更安全。其提供的解决方案或服务如表1所示。 表1 华为乾坤解决方案或服务 解决方案或服务名称 简介 安全重保解决方案 针对重大活动期间网络安全保障需求，推出的一站式云化安全解决方案，由部署在云端的云服务和部署在客户网络边界的华为天关防护节点构成，能够帮助用户实现常态化安全保障。 等保合规解决方案 面向等保2.0推出的简单高效、安全可靠的云化等保解决方案。由部署在云端的云服务和部署在客户网络边界的天关/防火墙构成，满足企业等保需求。 防勒索解决方案 采用云边端一体的创新架构，构建了以资产为核心的纵深防御体系，针对勒索软件攻击链特征，实现对勒索事件的层层防护，全方位保障企业网络安全。 安全分支解决方案 一套面向企业WLAN、LAN、WAN以及安全的全方位网络管理方案，并以SaaS云服务形式提供给用户，为企业降低了运维复杂度、节省管理成本、确保端到端安全。 边界防护与响应服务 使用天关为租户的本地网络提供边界防护，并基于天关提供的日志进行智能分析和处置，持续保护企业内网安全。云端通过集成告警自动确认、威胁分析等检测模型，智能识别租户本地网络的潜在威胁并完成自动化处置，从而帮助租户简化本地运维，提升安全防护实效。 威胁信息服务 提供一种基于证据的知识，它通过云端对威胁来源进行实时自动化采集、分析、分类与关联，描述了已经存在或即将出现的针对企业资产的威胁信息。 漏洞扫描服务 一种针对客户资产提供的在线漏洞检测服务。该服务从风险预防角度出发，检测企业资产安全状况，高效精准地识别潜在漏洞，为客户提供专业的修复建议，帮助客户降低资产安全风险。 云日志 审计服务 一站式的日志数据云端管理平台，致力于提供事后溯源取证的安全能力。通过对日志数据的接收、解析、管理，对各种安全威胁和异常行为事件进行溯源取证，为管理人员提供全局的视角，确保客户业务的不间断运营安全。 智能终端安全服务 针对企业本地终端进行风险检测和处置，防止终端感染和威胁在内网传播的一种服务。它采用云、端协同架构，由云端和安装在终端侧的HiSec Endpoint Agent软件组成。 网络威胁评估服务（友测） 一种评估网络安全防御体系防护效果的服务，通过自动化方式持续对企业安全防御体系进行威胁模拟，识别企业网络环境的薄弱点，评估企业安全防御体系的风险和有效性。 云管理网络 向企业网络的规、建、维、优，推出的全生命周期数字化服务。通过利用云计算、大数据等技术，云管理网络不仅能够在云端实现网络的集中化管理，同时，还向用户提供了极简智能的网络开局和运维能力，实现了网络生命周期的一站式智能化管理。 父主题： 常见问题

操作步骤 打开华为乾坤APP。 登录华为乾坤APP。 如果尚未注册华为乾坤帐号 新用户注册 输入手机号码+验证码+密码进行注册。帐号名由系统自动生成，可以登录华为乾坤APP，在“我的”页签单击头像进行查看。 验证码登录 输入手机号码+验证码进行登录，首次登录会自动注册华为乾坤帐号。 如果已经注册华为乾坤帐号 使用密码登录 网站控制台注册的租户帐号可以用于登录华为乾坤APP。 新用户注册场景下，可以输入帐户名+密码进行登录。 使用验证码登录 输入手机号码+验证码进行登录。 使用华为乾坤APP（首页） 华为乾坤APP功能持续上新中，下图为示例界面，如果示例界面和下载安装后APP的界面略有差异，请以软件实际安装的界面为准。 首页总览 华为乾坤APP“首页”功能布局如表1所示。 表1 首页功能布局 序号 功能描述 1 点击查看地图：直观显示各站点的设备数量和安全信息。 2 我的站点：站点设备信息，可以切换站点，并展示各站点的拓扑。 3 网络体验：网络质量信息，可以切换站点，显示网络环境各评估维度的得分。 4 安全态势：安全告警趋势动态信息，单击安全告警类型（如外部攻击），可查看并处置安全告警。 5 发现：华为乾坤最新资讯。 6 工具：网络实用工具。 7 我的：用户中心，支持工单创建查询等操作。 添加设备：首次登录后请先根据提示扫码或者手动输入设备SN码添加设备，可以连续添加多台设备。首次添加设备后APP将设备添加到默认站点中。 创建站点：当您确定已录入全部设备后，请点击“下一步”选择或创建站点，默认站点名称为“我的网络”，直接点击“下一步”会创建默认站点。 设备连线：请根据指示完成设备的连线和初始配置。 当APP中已有站点时，如果需要新增其他站点，可以点击右上角的“+”或者点击“我的站点”模块内的“创建站点”新增站点（请以实际界面为准），然后根据提示在新增站点中添加设备。 如果站点中已有设备，请点击右上角的“+”，点击“扫描添加设备”添加新设备。 如果扫描后未能成功添加设备，可以使用手动输入的方式添加设备。 此处以添加AP为例，不同设备添加过程可能存在少许差异，请根据实际界面操作。 只有添加AP时，才提示编辑WiFi。 查看网络体验： 点击APP“首页”的“网络体验”进入网络体验的“概览”界面。点击“全部站点”可以切换站点，上方根据您选择的站点显示网络环境各评估维度的得分，下方显示设备信息和接入用户的信息。 点击“网络体验”中的“设备”或“接入用户”分别进入网络体验对应的界面。 “设备”界面：点击“全部站点”可以切换站点，您也可以筛选设备的状态以及设备类型，下方显示您筛选设备的相关信息。 “接入用户”界面：点击“全部站点”可以切换站点，下方显示接入用户的相关信息。 查看安全态势：点击APP“首页”的“安全态势”进入安全态势的“总览”界面。“总览”界面显示全部事件的数量，最多可以查看近30天内的威胁事件信息、资产风险等级、威胁事件类型。 安全态势的“总览”界面可以展示近30天或近7天或近24小时的安全态势，此处以近30天为例，点击“近7天”也可切换至近7天的安全态势信息。 处置威胁事件：点击下方“事件”可切换至“威胁事件”界面。“威胁事件”界面根据事件的状态、时间、级别显示相应的信息，点击“威胁事件”名称可以对其处置。 此处以处置“外部攻击源”为例，“失陷主机”和“恶意文件”处置方法与处置“外部攻击源”一致，可以参考处置“外部攻击源”。 查看资产：点击下方“资产”可切换至“资产”界面。“资产”界面根据资产的等级和状态显示相应的信息，点击具体的资产名称可查看资产具体信息。 查看站点拓扑：在首页进入站点后，点击右上角“查看拓扑”进入设备的“真实拓扑”界面，可以直观的体现设备之间的连接情况。手指滑动可以放大和缩小界面，点击右侧“还原”按钮可还原至初始大小。 WIFI管理：您可以在AP上创建Wi-Fi，创建完成后即可连接此Wi-Fi接入网络。 Wi-Fi调优：优化Wi-Fi的网络速度。 视频测速：分别使用720P/1080P/4K测试当前Wi-Fi播放视频的流畅情况。 您也可以在“工具”界面使用此功能。 升级管理：对当前在线的设备进行版本升级。 黑白名单：可以为天关创建和编辑IP黑名单、域名黑名单和白名单。 此处以创建“IP黑名单”为例，“域名黑名单”和“白名单”操作方法与创建“IP黑名单”相近，可以参考创建“IP黑名单”。 漫游测试：测试Wi-Fi覆盖率，比如在A房间已安装一个AP，在B房间测试Wi-Fi的信号强度、时延等，以决定在B房间是否也要安装一个AP。 您也可以在“工具”界面使用此功能。 Wi-Fi测速：测试当前连接Wi-Fi的下载速度、上传速度、网络延时。 您也可以在“工具”界面使用此功能。 Wi-Fi体检：从覆盖测试、业务体验、网络安全维度全面评估Wi-Fi的使用体验，并提示用户当前Wi-Fi可优化项。 您也可以在“工具”界面使用此功能。 设备密码：修改当前站点所有设备的admin账户的密码，忘记设备admin账户密码时，可以使用此功能重置密码。 AP指示灯：打开或者关闭AP指示灯，通过打开或者关闭AP指示灯可以快速找到AP所在的位置 。 AP计算器：快速计算网络覆盖需要的AP数量。 您也可以在“工具”界面使用此功能。 AP诊断：对未上云AP进行诊断，如果诊断结果是设备正常，您可以扫描设备上云，如果异常请根据提示修复。 下图示例中AP的模式为云管理模式，如果AP为非云管理模式，APP会提示用户切换云管理模式。 您也可以在“工具”界面使用此功能。 终端拨测：测试某个地点的Wi-Fi综合性能指标，包括信号强度、时延、网页连通性，互联网性能（上传/下载的速度）、Wi-Fi干扰等。 iobox：快速搜索和连接附近的蓝牙信号。 您也可以在“工具”界面使用此功能。 使用华为乾坤APP（工具）。 华为乾坤APP功能持续上新中，下图为示例界面，如果示例界面和下载安装后APP的界面略有差异，请以软件实际安装的界面为准。 工具总览 表2 功能布局 序号 功能名称 功能描述 1 Wi-Fi测速 测试当前连接Wi-Fi的下载速度、上传速度、网络延时。 2 Wi-Fi体检 从覆盖测试、业务体验、网络安全维度全面评估Wi-Fi的使用体验，并提示用户当前Wi-Fi可优化项。 3 AP计算器 快速计算网络覆盖需要的AP数量。 4 AP诊断 对未上云AP进行诊断，如果诊断结果是设备正常，您可以扫描设备上云，如果异常请根据提示修复。 5 漫游测试 测试Wi-Fi覆盖率，比如在A房间已安装一个AP，在B房间测试Wi-Fi的信号强度、时延等，以决定在B房间是否也要安装一个AP。 6 视频测速 分别使用720P/1080P/4K测试当前Wi-Fi播放视频的流畅情况。 7 IOBOX 快速搜索和连接附近的蓝牙信号。 8 安全报表 查看乾坤云服务月报的相关信息。 9 扫码查看端口 可以通过扫码或手动输入SN码的方式添加设备。 10 Ping 输入IP地址检测网络的连通情况。 11 Tracert 网络诊断工具，探测数据包从源地址到目的地址经过的路由器IP地址

连接和通道 每个连接使用大约100 KB的内存（如果使用TLS会更多），成千上万的连接会导致RabbitMQ负载很高，极端情况下，会导致内存溢出。AMQP协议引入了通道的概念，一个连接中可以有多个通道。连接是长期存在的，AMQP连接的握手过程比较复杂，至少需要7个TCP数据包（如果使用TLS会更多）。相对连接来说，打开和关闭通道会更简单，但是建议通道也设置为长期存在的。例如，应该为每个生产者线程重用相同的通道，不要在每次生产时都打开通道。最佳实践是重用连接并将线程之间的连接与通道多路复用。 推荐使用Spring AMQP线程池：ConnectionFactory是Spring AMQP定义的连接工厂，负责创建连接。

自动删除不再使用的队列 客户端可能连接失败导致队列被残留，大量的残留队列会影响实例的性能。RabbitMQ提供三种自动删除队列的方法： 在队列中设置TTL策略：例如TTL策略设置为28天，当持续28天队列未被使用时，此队列将被删除。 使用auto-delete队列：当最后一个消费者退出或通道/连接关闭（或与服务器的TCP连接丢失）时，auto-delete队列会被删除。 使用exclusive queue：只能在创建exclusive queue的连接中使用，当此连接关闭或消失时，exclusive queue会被删除。 设置auto-delete队列和exclusive queue的方法如下： boolean exclusive = true; boolean autoDelete = true; channel.queueDeclare(QUEUENAME, durable, exclusive, autoDelete, arguments);

通过访问控制，保护数据安全性 建议对不同角色的 IAM 用户仅设置最小权限，避免权限过大导致数据泄露或被误操作。 为了更好的进行权限隔离和管理，建议您配置独立的IAM管理员，授予IAM管理员IAM策略的管理权限。IAM管理员可以根据您业务的实际诉求创建不同的用户组，用户组对应不同的数据访问场景，通过将用户添加到用户组并将IAM策略绑定到对应用户组，IAM管理员可以为不同职能部门的员工按照最小权限原则授予不同的数据访问权限，详情请参见权限管理。 建议配置安全组访问控制，保护您的数据不被异常读取和操作。 租户配置安全组的入方向、出方向规则限制，可以控制连接实例的网络范围，避免DMS for RabbitMQ暴露给不可信第三方，详情请参见配置安全组。安全组入方向规则的“源地址”应避免设置为0.0.0.0/0。 建议将访问RabbitMQ实例方式设置为密码访问，防止未经认证的客户端误操作实例。 RabbitMQ 3.8.35版本默认使用密码访问，RabbitMQ AMQP-0-9-1版本需要开启ACL访问控制功能，开启ACL权限控制后，生产消息和消费消息时，需要鉴权。 开启敏感操作多因子认证保护您的数据不被误删。 DMS for RabbitMQ支持敏感操作保护，开启后执行删除实例等敏感操作时，系统会进行身份验证，进一步对数据的高危操作进行控制，保证DMS for RabbitMQ数据的安全性。详情请参见敏感操作。

构建数据的恢复和容灾能力 预先构建数据的容灾和恢复能力，可以有效避免异常数据处理场景下数据误删、破坏的问题。 建议使用RabbitMQ集群实例，获得异常场景数据快速恢复能力。 在生产环境中建议使用RabbitMQ集群实例，在实例某个broker故障的情况下，不影响RabbitMQ实例持续提供服务。 建议使用多个可用区构建数据容灾能力。 RabbitMQ集群实例支持跨可用区部署，支持跨可用区容灾。如果创建实例时选择了多个可用区，当一个可用区异常时，不影响RabbitMQ实例持续提供服务。

审计是否存在异常数据访问 开启 云审计 服务，记录RabbitMQ的所有访问操作，便于事后审查。 云审计服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 您开通云审计服务并创建和配置追踪器后，CTS可记录RabbitMQ的管理事件和数据事件用于审计。详情请参见查看RabbitMQ审计日志。 使用 云监控服务 对RabbitMQ进行实时监控和告警。 为使您更好地掌握RabbitMQ实例状态，华为云提供了 云监控 服务（Cloud Eye）。您可使用该服务监控自己的RabbitMQ实例，执行自动实时监控、告警和通知操作，帮助您实时掌握RabbitMQ实例中所产生的请求、流量等信息。 云监控服务不需要开通，会在您创建RabbitMQ实例后自动启动。相关文档请参见RabbitMQ支持的监控指标。

方案概述 在RabbitMQ的业务处理过程中，如果消息重发了多次，消费者端对该重复消息消费多次与消费一次的结果是相同的，多次消费并没有对业务产生负面影响，那么这个消息处理过程是幂等的。消息幂等保证了无论消息被重复投递多少次，最终的处理结果都是一致的，避免了因消息重复而对业务产生影响。 例如在支付场景下，用户购买商品后进行支付，由于网络不稳定导致用户收到多次扣款请求，导致重复扣款。但实际上扣款业务只应进行一次，商家也只应产生一条订单流水。这时候使用消息幂等就可以避免这个问题。 在实际应用中，导致消息重复的原因有网络闪断、客户端故障等，且可能发生在消息生产阶段，也可能发生在消息消费阶段。因此，可以将消息重复的场景分为以下两类： 生产者发送消息时发生消息重复： 生产者发送消息时，消息成功发送至服务端。如果此时发生网络闪断，导致生产者未收到服务端的响应，此时生产者会认为消息发送失败，因此尝试重新发送消息至服务端。当消息重新发送成功后，在服务端中就会存在两条内容相同的消息，最终消费者会消费到两条内容一样的重复消息。 消费者消费消息时发生消息重复： 消费者消费消息时，服务端将消息投递至消费者并完成业务处理。如果此时发生网络闪断，导致服务端未收到消费者的响应，此时服务端会认为消息投递失败。为了保证消息至少被消费一次，服务端会尝试投递之前已被处理过的消息，最终消费者会消费到两条内容一样的重复消息。

实施方法 对于消息重复的场景，一般可以使用全局唯一ID来判断该消息是否已消费过。如果已经消费过，则直接返回处理结果，否则进行消息处理，并将全局ID记录下来。 生产者为每一条消息设置唯一的messageID，示例代码如下： //持久化消息，并且生成随机的全局唯一messageID AMQP.BasicProperties.Builder builder = new AMQP.BasicProperties().builder(); builder.deliveryMode(2); builder.messageId(UUID.randomUUID().toString()); //自定义发送的消息 String message = "message content"; //生产消息，exchangeName和routingKey根据实际填写Queue所属的Exchange名称和Routing Key channel.basicPublish("exchangeName", "routingKey", false, builder.build(), message.getBytes(StandardCharsets.UTF_8)); String messageId = builder.build().getMessageId(); System.out.println("messageID: " + messageId); System.out.println("Send message success!"); //关闭信道 channel.close(); //关闭连接 connection.close(); 消费者根据messageID对消息进行幂等处理，示例代码如下： //创建一个以messageID为主键的数据库表，利用数据库主键去重的方式来处理RabbitMQ幂等。 //在消费者消费前先去数据库查询这条消息是否存在，如果存在表示消息已被消费，无需处理；如果不存在表示消息未被消费，执行消费操作 //queueName根据实际填写要消费的Queue名称 channel.basicConsume("queueName", false, new DefaultConsumer(channel) { @Override public void handleDelivery(String consumerTag, Envelope envelope, AMQP.BasicProperties properties, byte[] body) throws IOException { //获取messageID，并判断是否为空 String messageId = properties.getMessageId(); if (StringUtils.isBlank(messageId)){ logger.info("messageId is null"); return; } //查询数据库中是否存在主键为messageID的记录，如果存在，说明这条消息已经被消费，无需处理，否则消费消息，并且在消费完成后将消息记录入库 //数据库查询逻辑省略 //todo //如果数据库中没有messageID的记录，则执行消费，否则提示消息已消费 if (null == "{数据库查出来的结果记录}"){ //获取消息 String message = new String(body,StandardCharsets.UTF_8); //手动响应 channel.basicAck(envelope.getDeliveryTag(),false); logger.info("[x] received message: " + message + "," + "messageId:" + messageId); //存入数据库表中，标识该消息已消费 //数据库插入操作省略 //todo } else { //如果根据messageID查询到消息已消费，则不进行消费 logger.error("该消息已消费，无需重复消费"); } } });

简化运维 网络安全实效的达成离不开专业人员的运维，华为乾坤通过“智能分析+安全专家”降低本地运维难度，同时租户可以多维度快速感知安全态势。 智能分析：利用智能分析能力提升自动运维效率，自动拦截攻击，响应效率由小时级提升到分钟级。 安全专家：云端共享安全专家资源7*24小时在线服务，解决复杂网络安全问题。 安全 态势感知 ：按周、月提供安全报告，全面掌握网络安全态势；重要事件邮件短信告警，及时感知紧急安全事件，并指导用户及时安全处置；登录华为乾坤APP随时查看安全态势、防护状态、安全报表，针对安全事件及时执行封禁动作。

终端威胁感知全，检测快，判定准，处置优 轻量级软件HiSec Endpoint Agent部署在租户端侧，全面覆盖安全日志采集点，能够实时感知终端上的异常行为。当其与云端网络断连后，仍可提供主动防御能力，进行有效防护 HiSec Endpoint Agent内置防病毒引擎和行为检测引擎，根据全攻击路径检测规则，对终端上的文件和目录进行毫秒级检测，快速判定威胁。针对勒索病毒，HiSec Endpoint Agent采用诱饵捕获技术，在病毒入侵初期即可精准识别风险，向云端及时上报异常事件。智能终端安全服务实时同步威胁信息，检出新威胁后及时更新威胁特征库，增强对全网的安全防护能力。 基于海量数据库和智能检测算法，云端能够检出常规签名无法检测到的恶意样本，发现多种WAF（Web Application Firewall，网站应用程式防火墙）绕过手段，对抗未知和变种威胁。 智能终端安全服务可联动边界防护与响应服务，进行威胁分析和封禁外部攻击源，为租户提供最优阻断方案，全方位抵御安全风险。云端采用智能化技术，当攻击发生时，可自动挖掘同一攻击链上所有威胁事件，提供一键快速处置方式。

提升实效 如图1所示，华为乾坤通过云端的“智能分析+安全专家”快速提升防护实效，满足等保2.0对主动防护、动态防御、整体防御、精准防御的相关要求。 图1 提升实效 智能分析 云端对天关/防火墙提供的日志文件进行智能分析和响应。 全局统筹分析：对日志文件进行全局关联分析，降噪处理，精准识别有效异常事件。 丰富的自动化分析模型：基于主机失陷模型、告警自动确认模型、误报模型、威胁情报关联分析模型、历史复用等模型全面提升自动化分析效率。 全面的威胁情报库：基于华为安全能力中心、未然实验室信息收集，本地天关/防火墙有效分析结果等多种途径汇总威胁情报库，全面提升分析准确率。 威胁信息全局共享：威胁信息全局共享，威胁信息一处检出，所有企业全局快速免疫。 规则快速迭代优化：基于安全误报事件，云端将快速实现检测规则优化，实时更新天关/防火墙的检测防护能力，不断提升防护效果。 安全专家 云端专家深入攻防对抗过程，整合安全能力，快速准确识别复杂攻击。 专家现网攻防对抗经验固化到云端，不断增强云端安全能力。 最新漏洞分析、新型攻击方法剖析、云端智能签名生产，快速应对新型攻击。 专家针对发现的每一条安全告警进行统一分析，运用云端各种安全能力，解决最新“疑难杂症”。

方案组网 图1 AR路由器作为出口网关 如图1所示，方案采用云边端一体创新架构。 云端部署云管理网络（含SD-WAN特性）和边界防护与响应等服务，为用户提供设备云化管理、网络极简开局、SD-WAN智能选路、智能运维、威胁自动分析处置等能力。 本地网络出口网关采用AR路由器，实现了分支与分支、分支与总部/数据中心（DC）、分支与云之间通过SD-WAN的互访；边界部署安全设备（天关），持续保护企业分支安全。 在PC、服务器等企业终端部署HiSec Endpoint Agent软件，云端时刻感知资产终端风险，防止终端感染和威胁在内网传播。

组网模型 SD-WAN使用的是动态的VPN，可以按需在站点间建立隧道，动态发布路由。SD-WAN组网的站点互联模型和出口互联模型如下所示。 站点互联模型 园区LAN-WAN融合场景的SD-WAN组网方案支持三种站点互联模型：Full-mesh、Hub-spoke、分层组网。不同互联模型所支持的组网规模不同，如表1所示，需要根据企业网络中需要互联的站点数量或规模来选择对应的互联模型。 图2 SD-WAN互联模型（Full-mesh） 图3 SD-WAN互联模型（Hub-spoke） 图4 SD-WAN互联模型（分层组网） 表1 SD-WAN互联模型支持的场景 互联模型 站点规模 适用场景 Full-mesh 站点≤200 网络规模比较小 分支间流量比较大 Hub-spoke 站点≤1000 中等规模网络 流量主要是分支访问总部，分支间的互访可以通过总部互访 分层组网 站点≤2000 网络规模大，有多个区域中心，通过多个区域中心将整个网络连通起来 出口互联模型 对于中小型酒店、门店、商超等场景，网络规模比较小，出口组网采用单设备和单链路即可满足要求，如图5中的方案1 对于大型商超、普教场景，网络规模较大，对可靠性要求高，可以采用双设备或双链路组网方案，如图5中的方案2。 图5 互联出口组网模型（路由器做出口网关）