华为云用户手册

  • 操作步骤 防火墙云管模式纳管,二层口配置上线,VlANIF和静态路由配置会被清除,导致设备离线,需要在站点进行预先配置才能正常上线。 防火墙与华为乾坤云平台建立连接以及被平台纳管的过程如图1所示。 图1 防火墙与平台建立连接和纳管过程 防火墙向注册查询中心查询华为乾坤云平台的 域名 和端口信息。 防火墙连接上Internet以后,自动向注册查询中心(默认域名register.naas.huawei.com)发送HTTP2.0通道建立请求。 在空配置条件下,防火墙将以传统模式启动。启动过程中,防火墙会把接口状态为UP的业务口的DHCP Client和DNS Client功能打开,并将此接口加入安全区域,然后开放安全策略,以使自己可以成功连接上Internet。 防火墙在传统运行模式下时,管理员不可以登录防火墙,否则会造成后续防火墙无法自动切换到云管理模式,造成连接云平台失败。如果管理员已经误登录,请恢复防火墙空配置这个初始条件后重启设备,以便防火墙能自动连接到云平台。 注册查询中心向防火墙返回HTTP2.0通道连接响应消息。 建成的HTTP2.0通道用来传送后续的域名查询请求。 防火墙向注册查询中心发送域名查询请求。 此消息用来查找防火墙所要连接的华为乾坤云平台域名和端口。 注册查询中心向防火墙返回查询结果。 注册查询中心会从云管理平台同步防火墙的SN、设备类型、平台域名和端口等信息,然后将此信息返回给防火墙。 防火墙收到平台域名和端口信息后,会自动把运行模式切换成云管理模式。 防火墙切换为云管理模式时,会触发一次设备重启,该重启属于正常现象。 如果防火墙查询无果,系统将不进行云管理模式切换,而是以传统模式完成启动。系统启动完成后,之前为业务口开放的DHCP Client功能会关闭、接口与安全区域的绑定关系取消,并恢复缺省的安全策略。 防火墙连接和纳入华为乾坤云平台。 防火墙向平台发送NETCONF通道连接请求。 连接请求中携带了防火墙的设备证书,此证书供平台验证防火墙的身份。 平台向防火墙返回NETCONF通道连接响应消息。 建成的NETCONF通道用来传送后续的查询请求、业务配置等消息。 防火墙和平台彼此向对方发送Hello报文,检测NETCONF通道连接状态。 平台向防火墙发送设备信息查询请求。 防火墙将自己的设备信息返回给平台。 平台根据上一步获得的防火墙信息,向该设备下发业务配置。 防火墙向平台返回配置结果。 华为乾坤云平台可以向防火墙正常下发业务配置,这就表示防火墙已经纳入了平台的管理。纳入平台管理的防火墙会主动上报NETCONF Notification告警。
  • 认证关键技术 园区网络主要包括三种方式的认证技术:802.1X认证、Portal认证和MAC认证。由于这三种方式的认证原理不同,各自适合的场景也有所差异,实际应用中,可以根据场景部署选一种合适的认证方式,也可以部署几种认证方式组成的混合认证,混合认证的组合方式以设备实际支持情况为准。 802.1X认证 如图2所示,802.1X认证方案包括三个基本要素:用户终端、认证控制点和认证服务器(通常采用RADIUS服务器)。用户终端一般会安装有802.1X客户端软件。 用户终端与认证控制点间:采用EAP(Extensible Authentication Protocol,可扩展认证协议)进行认证信息交互。EAP协议可以运行在各种底层,包括数据链路层和上层协议(如UDP、TCP等),而不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。 认证控制点与RADIUS服务器间:采用RADIUS协议,通过认证信息交互,完成认证、授权和计费。认证控制点从用户终端接收到包含认证请求的EAP报文后,会将用户认证信息封装到RADIUS报文中,或者将EAP报文直接封装到RADIUS报文中,然后发送给RADIUS服务器。 图2 802.1X认证示意图 Portal认证 Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。如图3所示,Portal认证通常包含四个基本要素:用户终端、认证控制点、Portal服务器和认证服务器(通常采用RADIUS服务器)。 用户终端与认证控制点间:认证控制点将用户终端的HTTP报文重定向到Portal服务器。 认证控制点与Portal服务器间:通过HACA协议进行认证信息交互。Portal服务器认证通过后,通过HACA协议通知认证控制点进行授权。 用户终端与Portal服务器间:用户终端向Portal服务器发送认证信息,Portal服务器校验后将认证结果返回给用户终端。 图3 Portal认证示意图 MAC认证 MAC认证,全称MAC地址认证,是一种基于终端MAC地址对用户的访问权限进行控制的认证方法。如图4所示,MAC认证系统通常包括三个基本要素:用户终端、认证控制点和认证服务器(通常为RADIUS服务器)。 用户终端与认证控制点间:认证控制点首次检测到用户终端的MAC地址,进行MAC地址学习,触发MAC认证。 认证控制点与RADIUS服务器间:采用RADIUS协议,通过认证信息交互,完成认证、授权和计费。认证控制点触发MAC认证后,会将用户认证信息封装到RADIUS报文中,然后发往RADIUS服务器。 图4 MAC认证示意图
  • 准入认证方案架构 园区网络接入控制可以分为两个部分:用户接入认证和策略管控。云管理网络的用户接入认证架构,如图1所示。 认证控制点:对终端接入用户进行认证,实现用户接入控制,如允许接入网络或拒绝用户接入网络。在云管理网络园区,认证控制点一般部署在交换机上。云管理网络园区使用单设备组网时,本设备认证点即本设备。 策略执行点:在用户通过认证允许接入网络后,控制用户可以访问的资源。在云管理网络园区,策略执行点一般也部署在交换机上。 认证服务器:主要负责用户身份认证,一般使用RADIUS服务器作为认证服务器,云管理平台集成了RADIUS服务器和Portal服务器,所以云管理网络园区直接使用云管理平台作为认证服务器和Portal服务器。 短信服务器:终端用户使用Portal+短信验证码认证时,认证服务器需要与短信服务器进行交互,完成认证。 图1 用户认证接入结构图
  • 配置思路 图1是典型网络部署流程和步骤,如果您的网络业务有特殊需求,可以在此基础上进行调整。 图1 配置流程图 本案例以云AP作为网关设备,所有AP均在华为乾坤云平台纳管。AP通过华为乾坤APP注册上线,然后远程进行Wi-Fi业务配置。 数据规划。 手动规划AP的安装点位,确保AP的无线信号对咖啡厅实现全覆盖。 规划网络信息,包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 手机下载并安装华为乾坤APP软件,用于网络开局和验收。 现场安装AP设备,包括硬装、连线、上电等。 设备上线。 创建站点并添加设备:在华为乾坤云平台创建站点,将所有咖啡厅AP设备加入同一个站点,以便统一配置。 配置AP接入Internet:AP出口接入运营商网络,采用华为乾坤APP配置。 AP通过华为乾坤APP扫码,完成华为乾坤云平台上线。 在华为乾坤云平台配置网络业务。 认证授权准备: 员工Wi-Fi采用PSK认证,无需认证准备,默认即可。 访客Wi-Fi采用微信链接认证,配置华为乾坤云平台与微信平台对接,定制Portal推送页面、推送策略、认证规则等。 配置AP业务: 配置DHCP Server,为用户终端分配IP地址。 配置员工和访客Wi-Fi,包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网,可以在华为乾坤云平台监测各设备状态信息。 父主题: 单AP组网场景
  • HACA协议认证流程 Portal认证上线流程: Portal认证上线流程如图2所示。 图2 Portal认证上线流程 客户端访问网络发起HTTPS请求。 HTTPS报文经过接入设备时,对于访问Portal服务器或设定的免认证网络资源的HTTPS报文,接入设备允许其通过;对于访问其它地址的HTTPS报文,接入设备将其URL地址重定向到Portal认证页面。 用户在Portal认证页面输入用户名和密码,向Portal服务器发起认证请求。 Portal服务器校验用户名密码,校验通过后,通过HTTPS/2 通道给设备下发客户端用户的授权。 接入设备接收到授权请求后,对接入客户端进行授权并通过HTTPS/2通道将授权结果给Portal服务器,Portal服务器根据设备返回的授权结果,返回给客户端。 Portal服务器向客户端发送认证结果报文,通知客户端认证成功,并将用户加入自身在线用户列表。 接入设备向Portal服务器确认认证结果成功后,用户上线。 客户端主动注销Portal认证下线流程: 客户端主动注销Portal认证下线流程如图3所示。 图3 客户端主动注销Portal认证下线流程 客户端发起注销认证请求。 Portal服务器向接入设备发送下线通知报文(REQ_ LOG OUT)。 接入设备将用户从在线列表中删除。并向Portal服务器发送用户下线响应报文(ACK_LOGOUT)。 Portal服务器将用户从在线列表删除,用户下线。 管理员强制客户端用户Portal认证下线流程: 管理员强制客户端用户Portal认证下线流程如图4所示。 图4 管理员强制客户端用户Portal认证下线流程 管理员在华为乾坤云平台强制客户端用户下线。 华为乾坤云平台同时通知Portal服务器用户下线。 Portal服务器向接入设备发送下线通知报文(REQ_LOGOUT)。 接入设备接收到Portal服务器的下线报文,接入设备向Portal服务器发送下线响应报文(ACK_LOGOUT)。 Portal服务器接收到接入设备的下线响应报文(ACK_LOGOUT)并确认后,将用户从在线列表中删除。 Portal服务器表示华为乾坤云平台的内置Portal功能模块。
  • 认证方式 不同的组网方式下,可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分,Portal认证方式分为两种:二层认证方式和三层认证方式。 二层认证方式 客户端与接入设备直连(或之间只有二层设备存在),设备能够学习到用户的MAC地址并可以利用IP和MAC地址来识别用户,此时可配置Portal认证为二层认证方式。 二层认证方式支持MAC优先的Portal认证,设备学习到用户的MAC地址后,将MAC地址封装到RADIUS属性中发送给RADIUS服务器,认证成功后,RADIUS服务器会将用户的MAC地址写入缓存和数据库。 二层认证流程简单,安全性高,但由于限制了用户只能与接入设备处于同一网段,降低了组网的灵活性。 三层认证方式 当设备部署在汇聚层或核心层时,在认证客户端和设备之间存在三层转发设备,此时设备不一定能获取到认证客户端的MAC地址,所以将以IP地址唯一标识用户,此时需要将Portal认证配置为三层认证方式。 三层认证跟二层认证的认证流程完全一致。三层认证组网灵活,容易实现远程管理,但由于只有IP可以用来标识一个用户,所以安全性不高。
  • 简介 Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。如图1所示,Portal认证通常包含三个基本要素:客户端、接入设备、Portal服务器。 图1 Portal认证示意图 华为乾坤仅支持HACA协议。 使用HACA协议进行Portal认证时,不需要RADIUS服务器。 客户端:安装有运行HTTPS协议的浏览器的主机。 接入设备:交换机、路由器等接入设备的统称,主要有三方面的作用: 在认证之前,将认证网段内用户的所有HTTPS请求都重定向到Portal服务器。 在认证过程中,与Portal服务器、RADIUS服务器交互,完成对用户身份认证、授权与计费的功能。 在认证通过后,允许用户访问被管理员授权的网络资源。 Portal服务器:接收客户端认证请求的服务器系统,提供免费门户服务和认证界面,与接入设备交互客户端的认证信息。华为乾坤云平台集成了Portal服务器的功能。
  • 配置思路 图1是典型网络部署流程和步骤,如果您的网络业务有特殊需求,可以在此基础上进行调整。 图1 配置流程图 本案例以第三方路由器作为网关设备,所有AP和接入LSW通过注册查询中心方式上云,被华为乾坤云平台纳管,然后远程进行业务配置。 数据规划。 使用工具自动规划AP的安装点位,确保AP的无线信号对超市全覆盖。 规划网络信息,包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 (可选)手机下载并安装华为乾坤APP软件,用于网络验收。 现场安装设备,包括硬装、连线、上电等。 设备上线。 创建站点并添加设备:在华为乾坤云平台创建站点,将所有设备加入同一个站点,以便统一配置。 配置设备上线云平台。 交换机注册上线:交换机由第三方路由器(DHCP Server)分配IP地址,通过注册查询中心方式上线云平台。 AP注册上线:AP通过交换机接入Internet,且保持空口配置和串口无输入两个条件,便可以通过预置的华为注册查询中心的URL(register.naas.huawei.com)和端口号(10020),在获取管理IP地址后将自动向华为注册查询中心发起HTTP2.0连接请求。 配置交换机业务。 在华为乾坤云平台配置交换机上行、下行接口,以及接口允许通过的VLAN等参数。 配置认证接入。 员工Wi-Fi采用802.1X认证。 访客Wi-Fi采用Portal(短信认证),配置华为乾坤云平台与短信平台对接,定制Portal推送页面、推送策略、认证规则等。 有线哑终端通过MAC认证:认证点在接入交换机,认证服务器是华为乾坤云平台。 结果验证:确认终端可以正常上网,可以在华为乾坤云平台监控各设备状态信息。 父主题: 仅接入LSW+云AP组网场景
  • 后续操作 创建IPsec VPN通道后,支持对IPsec VPN进行如下操作: 搜索:在IPsec VPN配置列表左上方搜索框输入名称、设备、设备站点或状态,单击左侧或按回车键直接搜索。 修改:选中目标IPsec VPN网络,单击列表中“编辑”,可修改当前IPsec VPN配置。 修改IPsec VPN会导致设备之前的IPsec VPN隧道中断,可能无法重新建立,请谨慎操作。 删除:选中目标IPsec VPN网络,单击列表中“删除”或选中多个IPsec VPN网络单击列表右上方“删除”,支持单个或批量删除IPsec VPN网络。 若设备为“未注册”或“离线”状态,将无法成功删除设备所在的VPN。 查看下发状态:单击列表中 “查看下发状态”,可查看当前站点间IPsec VPN配置下发状态。如需重新下发IPsec VPN配置,可单击“重新下发”。 IPsec VPN配置状态如下: 预配置:设备还未上线,配置待下发。 失败:设备上线成功,配置下发失败。 告警:设备上线成功,配置下发异常。 正在部署:设备上线成功,配置正在下发中。 成功:设备上线成功,配置下发成功。
  • 背景信息 根据实际情况,添加需要互联的分支、总部站点,并创建“点对点”或“点对多点”的VPN隧道,配置互联相关的信息。 为提升数据传输的安全性,用户可以在防火墙、AR与对端设备之间建立IPsec隧道,将需要保护的数据引流到该IPsec隧道。通过安全协议对IPsec隧道中的网络报文进行加密传输和验证,可以保障关键业务数据在Internet中安全传输,降低信息泄漏的风险。 在Hub-Spoke场景中,V500R005C00及以后版本的防火墙还支持IPsec智能选路功能。开启该功能后,防火墙会选用最先配置的链路建立IPsec隧道,并通过持续发送ICMP报文检测IPsec隧道内通信的时延和丢包率。当两个指标任意一项高于指定阈值,防火墙会切换到其他链路建立IPsec隧道,并继续检测IPsec隧道的时延和丢包率,直至隧道的时延和丢包率达标或者循环切换次数达到设定的上限(缺省为3次)。启用智能选路功能后,Hub和Spoke的选取规则如下: 设备角色 约束条件 Hub 当前只支持防火墙或第三方设备作为Hub设备。 已作为Spoke使用的设备不能同时作为Hub使用。 非智能选路场景下,只支持1台Hub设备,一个VPN中的Hub设备不能和其他VPN重复。 智能选路场景下,最多支持10台Hub设备。 子网数必须大于0,且不能大于16。 Spoke 已作为Hub使用的设备不能同时作为Spoke使用。 一个Spoke设备最多在3个VPN中。 一个VPN最多支持32台互访设备或者200台不互访设备。 Spoke子网网段不能重叠。 VPN最后一个Spoke节点不允许删除。 子网数必须大于0,且不能大于16。 当前仅支持一级租户下的用户进行“站点间互联”配置。 低于V300R003C10版本的AR设备不支持配置IPsec VPN。 AR设备不支持Mesh组网,也不支持作为Hub节点,可作为Spoke节点。 AR设备不支持开启IPsec 智能选路。 AR设备不支持通过设备SN和FQDN方式进行身份认证。
  • 组网需求 某连锁酒店为了给访客提供更好的服务,希望在酒店内部进行无线网络全覆盖。 该连锁酒店具有如下特点和诉求: 没有IT人员,缺乏网络建设与运维能力。 酒店规模小,不超过10间客房。 企业希望在访客接入无线网络时,为访客推送最新的商品、优惠信息。 用户终端以无线接入为主,存在少量哑终端通过有线接入。 基于连锁酒店的诉求,可采用华为乾坤云管理网络完成网络部署和运维。由于酒店没有IT人员,可以选择由MSP进行代建和代维。 该连锁酒店网络架构如图1所示,部署一台路由器(AR)作为出口网关,部署一台接入交换机,监测区的摄像头和前台的有线终端通过交换机接入网络,前台以及客房的无线终端通过AP接入网络。 图1 AR+交换机+AP组网拓扑图示例 父主题: AR+交换机+AP组网场景
  • 硬件安装云化设备 根据部署规划时的网络设备安装点位设计、设备间互联等信息,完成网络设备的硬件安装、连线、上电等操作,参见表1。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装硬件设备 硬件设备安装需要遵循施工规范,常见的硬件施工规范有: 物理设备必须可靠接地。 物理设备谨慎搬运,要连带外纸箱或泡沫垫,不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线,规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请单击以下设备名称,进入“硬件安装与维护指南”手册,查看对应设备款型的安装指导。 若无法找到,请在搜索框中输入设备款型查找安装指导。 防火墙 交换机 AP 连接线缆 根据布线规划完成线缆连接,连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。
  • 办公:关键问题分析识别,网络智能运维 如今,传统办公网的建设和运维越来越难以适应新的时代变化,尤其是Wi-Fi网络的普及,难于进行故障定界和根因分析。如何提升办公网络的运维效率,如何让网络更好的服务于员工的日常生活办公,已经成为企业IT团队的关键挑战。 如图2所示,基于华为乾坤云管理网络的智慧办公方案,网络服务即买即用,不仅缩短了企业分支的建网时间,而且IT运维人员在云上就可以实时感知网络质量评分,体验网络智能运维。 无线网络健康度实时评估:基于云上智能分析技术,提供7*24小时的网络健康度模型分析能力,从接入成功率、接入耗时、漫游达标率、吞吐达标率、信号与干扰、容量健康度多维度分析全网健康度,一键式网络问题排查和故障定位。 用户网络体验看护:基于云上智能分析技术,提供7*24小时的用户360网络体验评估能力,实时筛查发现网络质差用户,可一键直达定位用户质差原因。 图2 云管理网络在企业办公场景的应用
  • 零售:门店极简开局,大幅提升开局效率 在零售行业,随着业务的快速发展,零售门店的建设也会快速扩张。采用传统的开局部署方式,规划、部署、网优、验收整个过程下来一般需要至少1周的时间,而且网络部署过程中需要工程师多次现场调试,这种传统的网络部署方式效率低下,人力成本居高不下,无法实现零售门店的快速扩张。 如图1所示,采用华为乾坤云管理网络的智慧零售方案,所有设备即插即用,不需要工程师现场调测。这种方式能够保证在业务快速扩张的情况下网络服务能够即需即得。 图1 云管理网络在零售门店场景的应用
  • 通过DHCP Option方式实现即插即用 DHCP Option方式的即插即用方案,是通过DHCP Option148字段来携带云模式、华为乾坤云平台的地址及端口号信息。当设备在DHCP请求交互过程中,可以获取这些信息来完成自动连接到华为乾坤云平台并上线。 图1是将园区出口网关作为下游设备的管理子网网关,使能了DHCP Server功能的同时,设置了Option148字段携带云模式、华为乾坤云平台的地址及端口号信息。出口网关下挂的交换机最终通过解析DHCP报文的Option148字段获取上述信息,实现即插即用开局。 图1 设备通过DHCP方式实现即插即用流程 采用DHCP Option方式实现设备即插即用,需要满足空配置、串口无输入,整个设备注册上线的过程如下: 交换机上电并空配置启动后,会主动作为DHCP Client,优先使用VLAN 1向出口网关发起请求。 假设出口网关将VLANIF 1作为管理子网网关接口,并且使能了DHCP Server、设置Option148字段,那么出口网关在收到DHCP请求后,会作为DHCP Server回复一个带DHCP Option148的报文;交换机在获取到IP地址的同时,通过Option148字段可以获取到云模式、华为乾坤云平台的地址及端口号信息。 交换机根据Option148字段中的云模式字段自动切换到NETCONF管理模式。 交换机自动向华为乾坤云平台注册,获取网络业务配置。 父主题: 设备即插即用开局
  • 硬件安装 根据网络规划时的网络设备安装点位设计、设备间互联等信息,完成网络设备的硬件安装、连线、上电等操作,参见表1。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装防火墙硬件设备 硬件设备安装需要遵循施工规范,常见的硬件施工规范有: 物理设备必须可靠接地。 物理设备谨慎搬运,要连带外纸箱或泡沫垫,不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线,规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请点击以下设备名称,查看对应设备详细的硬件安装指导: AP 交换机 AR WAC 防火墙 连接线缆 根据布线规划完成线缆连接,连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。 父主题: 网络部署
  • 可能的原因 交换机为非空配置或者Console口插了串口线。 交换机通过注册查询中心或DHCP方式上线时,需要确保交换机为空配置,并且Console口不能连线。 华为乾坤云平台录入的交换机ESN和设备款型与交换机的不一致。 交换机与注册查询中心或者华为乾坤云平台网络不通。 SSH连接授权类型不是root。(仅V600版本的交换机需要检查) 堆叠场景下,设备侧的配置和华为乾坤云平台侧的配置不一致。 设备版本或者款型不支持在华为乾坤云平台上线。
  • 配置思路 图1是典型网络部署流程和步骤,如果您的网络业务有特殊需求,可以在此基础上进行调整。 图1 配置流程图 本案例以第三方路由器作为网关设备,所有AP设备在华为乾坤云平台纳管。AP通过华为乾坤APP注册上线,然后远程进行Wi-Fi业务配置。 数据规划。 手动规划AP的安装点位,确保AP的无线信号对汽车展厅实现全覆盖。 规划网络信息,包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 手机下载并安装华为乾坤APP软件,用于网络开局和验收。 现场安装AP设备,包括硬装、连线、上电等。 设备上线。 创建站点并添加设备:在华为乾坤云平台创建站点,将所有AP设备加入同一个站点,以便统一配置。 配置AP接入Internet:AP出口接入第三方交换机,采用DHCP方式。 配置AP注册上线:AP通过华为乾坤APP扫码,完成华为乾坤云平台上线。 在华为乾坤云平台配置网络业务。 认证授权准备: 员工Wi-Fi采用PSK认证,无需认证准备,默认即可。 访客Wi-Fi采用短信认证,配置华为乾坤云平台与短信平台对接,定制Portal推送页面、推送策略、认证规则等。 配置AP业务。 配置员工和访客Wi-Fi,包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网,可以在华为乾坤云平台监测各设备状态信息。 父主题: 纯AP组网场景
  • 配置防火墙连网 无论是主用防火墙或备用防火墙,均通过GE0/0/1接口,采用PPPoE拨号方式接入到运营商网络。过程一样,详细步骤如下。 设备连线。 用网线将防火墙(主/备)的GE0/0/1接口连接到运营商的互联网。 用网线将PC连接到防火墙(主/备)的管理网口(MEth0/0/0)。如果防火墙支持Wi-Fi功能,可以选择手机/PC连接防火墙的Wi-Fi。SSID:HUAWEI-FIREWALL,密码:admin@123。Wi-Fi连接成功后请不要切换网络。 通过Web方式登录防火墙并修改密码。 在管理PC上配置网络连接的IP地址为192.168.0.2(192.168.0.2~192.168.0.254中任意一个),子网掩码为255.255.255.0。如使用Wi-Fi连接防火墙,可以跳过此步骤。 使用浏览器访问缺省IP地址“https://192.168.0.1:8443”登录防火墙的Web界面。 您可以在《华为安全产品缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。为确保帐号安全,建议首次登录后修改缺省密码。 按照系统提示,修改登录密码。 使用新密码重新登录防火墙。 将运行模式切换为云管理模式。单击“面板 > 设备信息 > 云管理模式”后的“配置”,勾选“启用”,单击“确定”。执行此操作后,系统会提示清除设备的配置并重新启动。重启完毕,切换为云管理模式。 配置接入运营商网络。 配置防火墙(主/备)采用以太接口(PPPoE拨号)接入Internet,按表1配置上网参数。 单击“网络 > 接口”,在“接口列表”中选择GE0/0/1接口。 表1 采用PPPoE方式接入Internet参数配置表 参数名称 参数取值 接口名称 GigabitEthernet0/0/1 安全区域 untrust 连接类型 PPPoE 用户名 通过运营商ISP获取 密码 在线方式 一直在线
  • 准入认证方案架构 园区网络接入控制可以分为两个部分:用户接入认证和策略管控。云管理网络的用户接入认证架构,如图1所示。 认证控制点:对终端接入用户进行认证,实现用户接入控制,如允许接入网络或拒绝用户接入网络。在云管理网络园区,认证控制点一般部署在交换机上。云管理网络园区使用单设备组网时,本设备认证点即本设备。 策略执行点:在用户通过认证允许接入网络后,控制用户可以访问的资源。在云管理网络园区,策略执行点一般也部署在交换机上。 认证服务器:主要负责用户身份认证,一般使用RADIUS服务器作为认证服务器,云管理平台集成了RADIUS服务器和Portal服务器,所以云管理网络园区直接使用云管理平台作为认证服务器和Portal服务器。 短信服务器:终端用户使用Portal+短信验证码认证时,认证服务器需要与短信服务器进行交互,完成认证。 图1 用户认证接入结构图
  • 认证关键技术 园区网络主要包括三种方式的认证技术:802.1X认证、Portal认证和MAC认证。由于这三种方式的认证原理不同,各自适合的场景也有所差异,实际应用中,可以根据场景部署选一种合适的认证方式,也可以部署几种认证方式组成的混合认证,混合认证的组合方式以设备实际支持情况为准。 802.1X认证 如图2所示,802.1X认证方案包括三个基本要素:用户终端、认证控制点和认证服务器(通常采用RADIUS服务器)。用户终端一般会安装有802.1X客户端软件。 用户终端与认证控制点间:采用EAP(Extensible Authentication Protocol,可扩展认证协议)进行认证信息交互。EAP协议可以运行在各种底层,包括数据链路层和上层协议(如UDP、TCP等),而不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。 认证控制点与RADIUS服务器间:采用RADIUS协议,通过认证信息交互,完成认证、授权和计费。认证控制点从用户终端接收到包含认证请求的EAP报文后,会将用户认证信息封装到RADIUS报文中,或者将EAP报文直接封装到RADIUS报文中,然后发送给RADIUS服务器。 图2 802.1X认证示意图 Portal认证 Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。如图3所示,Portal认证通常包含四个基本要素:用户终端、认证控制点、Portal服务器和认证服务器(通常采用RADIUS服务器)。 用户终端与认证控制点间:认证控制点将用户终端的HTTP报文重定向到Portal服务器。 认证控制点与Portal服务器间:通过HACA协议进行认证信息交互。Portal服务器认证通过后,通过HACA协议通知认证控制点进行授权。 用户终端与Portal服务器间:用户终端向Portal服务器发送认证信息,Portal服务器校验后将认证结果返回给用户终端。 图3 Portal认证示意图 MAC认证 MAC认证,全称MAC地址认证,是一种基于终端MAC地址对用户的访问权限进行控制的认证方法。如图4所示,MAC认证系统通常包括三个基本要素:用户终端、认证控制点和认证服务器(通常为RADIUS服务器)。 用户终端与认证控制点间:认证控制点首次检测到用户终端的MAC地址,进行MAC地址学习,触发MAC认证。 认证控制点与RADIUS服务器间:采用RADIUS协议,通过认证信息交互,完成认证、授权和计费。认证控制点触发MAC认证后,会将用户认证信息封装到RADIUS报文中,然后发往RADIUS服务器。 图4 MAC认证示意图
  • 网络规划 本案例中规划的设备上线、用户接入等参数均为示例,仅供参考,请根据实际项目需求进行调整。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 MSP MSP帐号名称:huawei-partner@huawei.com MSP帐号密码:mspUser@123 架构规划 网络拓扑 见图1 设备选型 防火墙:USG6355E 交换机:S5735-L24T4S-QA2 中心AP:AirEngine 9700D-M RU:AirEngine 5761-11WD 站点 站点名称:test_RU 站点类型:FW、LSW、云AP 设备接口互联 见图1 设备上线规划 防火墙接入Internet的方式 采用Web网管配置 主用接口:GE0/0/1接口,PPPoE拨号 备用接口:GE0/0/2接口,PPPoE拨号 防火墙注册上线的方式 采用Web网管配置 华为乾坤云平台URL地址为:device.qiankun-saas.huawei.com,端口号为:10020 防火墙下挂的设备获取管理IP地址方式 IP地址获取方式:DHCP动态获取,防火墙作为DHCP Server IP地址范围:10.1.1.0/24 防火墙下挂的设备注册上线方式 DHCP Option148方式:在华为乾坤云平台上配置,配置对象是防火墙 NAT 在防火墙上开启NAT功能 用户上线规划 用户接入 病房终端(无线接入) 护士站PC(有线接入) 摄像头(有线接入) 用户终端的IP地址 IP地址获取方式:DHCP动态获取,防火墙作为DHCP Server(网关) IP地址范围: 病房终端:10.3.0.0/22 护士站PC:10.2.2.0/24 摄像头:10.2.4.0/24 用户所属的VLAN 病房终端:VLAN 10 护士站PC:VLAN 20 摄像头:VLAN 30 终端接入与认证方式 病房终端:无线子网名称test-wireless;PSK认证 护士站PC:有线子网名称test-wired-PC;不认证 摄像头:有线子网名称test-wired-Camera;不认证 用户业务规划 QoS 无线终端限速:10Mbit/s 非法网站URL屏蔽
  • 套餐扣减方式 试用套餐 当前试用套餐默认使用时间为180天,套餐资源直接按天数扣减。 商用套餐 设备资源按台天的方式进行扣减计算。 设备资源单位都是台年,根据设备系列进行池化,1台年=366台天。 每天定时扣减对应套餐设备数量*台天的资源,华为乾坤云平台会自动同步订单扣减信息。 当资源不足,不强制设备下线,但是配置不能下发到设备,不再接受设备上报的监测数据。 小行星款型交换机本身不扣减资源,只针对小行星交换机的上层交换机扣减。 当前仅云管模式的防火墙设备会扣减资源。
  • 套餐说明 试用套餐 试用套餐可线上免费申请,具体请参考《服务开通》中“试用套餐的开通”章节。 申请云管理网络试用套餐后,可以使用云管理网络的全部功能特性,如表1所示。 商用套餐 商用套餐目前仅支持线下购买。请单击联系我们,留下您的联系方式,华为乾坤运营人员会联系您。 购买云管理网络商用套餐后,可以使用除SD-WAN以外的功能特性,如表1所示。如需使用SD-WAN功能,请勾选SD-WAN套餐项。 表1 套餐支持的功能 功能项 功能项说明 站点管理 支持按站点管理网络,可以查看网络拓扑、调整拓扑结构、配置站点业务。 设备管理 支持纳管网络设备(交换机、AP、AR、WAC)、安全设备(防火墙)。 准入认证 提供了802.1X、Portal、MAC等多种认证方式,可按需对接入用户进行策略管控。 IPsec VPN 提供一种静态VPN,通过在站点之间建立IPsec隧道来创建VPN通道,实现分支与分支、分支与总部、分支与云之间的业务互访。 SD-WAN 提供一种动态VPN,可按需在站点间建立隧道,动态发布路由。通过站点间建立GRE隧道来创建VPN通道,同时支持在GRE隧道上进行IPsec加密,实现分支与分支、分支与总部、分支与云之间的业务安全互访。 支持基于应用、策略选择质量较优的链路发送数据,实现基于应用、策略的智能选路。 网络环境监控 支持网络健康度评估、网络问题分析、无线智能去噪。 用户体验保障 支持用户旅程回放、协议回放、用户问题分析。 应用分析 支持全网应用数据监测,保障网络应用畅通无阻。 智能调优 支持智能无线射频调优、智能无线漫游。
  • 参数说明 表2 通用射频配置参数 分类 参数 说明 调优模式设置 国家/地区 租户网络所在区域。按AP实际部署地区选择“国家/地区”以后,AP会根据当地法律法规重置射频的工作信道和功率,并相应调整允许配置的信道范围和功率大小。 调优模式设置 调优模式 周期性调优模式:AP根据调优间隔(缺省起始时刻03:00:00,间隔1440min)进行周期性的全局调优。 支持的射频调优策略如下: 入侵模式:所在网络中存在非法AP时,设备会立即规避该非法AP的干扰。该策略可能会导致信道切换频繁,建议在技术人员指导下使用。 底噪调优:当所在网络中由于特殊的外部干扰造成AP的底噪过高,导致业务体验恶化时,设备会规避干扰。当AP连续三次检测到当前信道底噪超过底噪阈值门限时,AP就会通过射频调优调离此信道,并在30分钟内不会调回此信道。 非Wi-Fi:所在网络中出现非Wi-Fi干扰时,设备会立即规避干扰 定时调优模式:AP在每天的指定时刻自动开始调优。 手动调优模式:AP不主动进行调优。 AI调优 缺省开启。开启后,设备会根据7天内的历史设备数据,通过AI算法自动调优。尤其设备周边干扰源在白天和黑夜有变化的场景下,该功能有较好的调优效果。 射频模式 AP的射频模式有五种,仅Wi-Fi6 AirEngine的设备支持以下射频模式: 默认模式。 2射频标准,双射频标准模式。 2射频2G增强,与标准模式相比,此模式下的2G射频可提供更大的容量。 3射频,选择该模式时,应确保AP的第三射频有无线业务配置,否则第三射频无法工作。 2射频独立扫描,双射频+独立射频扫描模式。 说明: 2射频独立扫描模式下,对于AirEngine 6760-X1、AirEngine 6760-X1E和AirEngine 5760-51,只有当加载RTU License后才可切换到双射频+独立射频扫描模式。 用户接入 智能漫游 缺省开启。传统WLAN网络中,当终端设备接入AP信号很弱时,终端设备的上网速率很低。如果多个低速率的终端设备接入AP,可能造成其他终端设备占用空口时间变少,造成AP吞吐量偏低,导致其他在线用户体验差。通过配置“弱信号终端强制下线”功能,一旦AP检测到终端设备的信噪比或接入速率低于指定的门限,主动向终端设备发送解除关联报文,让终端设备重新连接。 空口扫描 beacon周期(ms) 配置AP发送Beacon帧的周期。建议使用缺省值100ms。 AP通过周期发送Beacon帧来声明对应802.11网络的存在。终端设备收到Beacon帧后可以得知该网络的存在,从而调整加入该网络所必需的参数。 Beacon周期配置太大,会导致终端设备休眠时间变长;Beacon周期配置太小,会导致空口开销变大。 全信道检测 缺省关闭。打开全信道检测开关后,可以对AP射频所有信道进行扫描。 说明: 仅V200R020C10及以上版本的云AP和中心AP设备支持全信道检测功能。 频谱分析 缺省关闭。它是指WLAN设备检测无线网络环境中不同类型的干扰源,通过频谱分析服务器对采集到的无线信号进行特征分析,识别出非Wi-Fi(Non-WiFi)干扰设备,进而对干扰设备进行定位,消除干扰对WLAN网络的影响。打开开关后设备会将相关的数据采集并上报。 说明: 仅V200R020C10及以上版本的云AP和中心AP设备支持全信道检测功能。 空口扫描 缺省开启2.4G和5G空口扫描。对于无需空口扫描的AP,关闭该功能后,AP将停止扫描周围的无线信号。 说明: 空口扫描关闭后,将导致射频调优、频谱分析、终端定位、WIDS功能、智能漫游和DFS优选信道等功能无法正常使用。 扫描时长(ms) AP执行空口扫描的持续时间。AP会在该时间段内持续扫描周围的无线信号,扫描完成后AP会将扫描收集的信息上报给云平台,用于射频调优和频谱分析。 扫描时间越长,获取到的数据越多,数据分析越精确。但扫描时间过长会消耗过多系统资源,可能会影响正常业务,建议使用缺省值60ms。 说明: 仅在空口扫描使能后支持配置。 扫描间隔(ms) AP执行空口扫描的周期。建议使用缺省值10000ms。 说明: 仅在空口扫描使能后支持配置。 扫描信道 AP执行空口扫描的信道集合。缺省为“区域信道”。 区域信道:扫描“区域”中所选国家码支持的所有信道。 调优信道:扫描调优信道集合中的所有信道。 工作信道:仅扫描AP当前工作信道。 说明: 仅在空口扫描使能后支持配置。 性能优化 空口时间公平调度 缺省开启。开启后优先调度占用无线信道时间较少的用户,保证每个用户相对公平的占用无线信道。 逐包功率控制 缺省开启。开启后实时检测终端设备信号强度,实现绿色节能。 如果终端信号强度强(距离AP较近),发送数据包时自动降低实际发送的功率;如果终端信号强度弱(距离AP较远),恢复正常功率发送无线信号。 波束成型功能 缺省关闭。使AP在某个特定角度(目标用户)增强信号,在另一个特定角度(非目标用户或障碍物)减弱信号,从而控制信号传播的方向和覆盖范围。 说明: 波束成形特性依赖于纳管的AP款型是否支持此特性,详情请参见配套的AP产品文档“beamforming enable”页面中的说明。 负载均衡 缺省关闭。 在距离相对较近、覆盖范围重叠度较高的多个AP上,可以开启负载均衡功能,在WLAN网络中平衡AP的负载,充分保障每个终端设备的无线网络体验。当终端设备试图接入WLAN网络时,收到访问请求的AP会根据在线终端设备数和自身能力上限按一定的算法评估当前负荷。如果负荷显著高于附近的同站点AP的平均负荷,该AP将拒绝本次接入请求。 RTS- CTS 模式 缺省值rts-cts。配置RTS-CTS(Request To Send/Clear To Send,握手协议)的工作模式,避免信道冲突导致的数据传输失败。 cts-to-self:数据传输前由发送方通告周边设备暂停数据发送。以较小的网络开销避免数据传输冲突,可以满足大部分应用环境。 rts-cts:数据传输前由发送方和接收方分别通告各自周边设备暂停数据发送。可以更好地避免冲突,但网络开销大,可能导致过多的通告帧占用信道带宽。 disable:数据传输前不发送通告。可能由于冲突而导致数据传输失败。 RTS-CTS阈值(byte) RTS-CTS门限来指定发送数据的帧长度,缺省值为1400。如果工作站发送数据的帧长度小于RTS-CTS阈值,将不执行RTS/CTS握手。 说明: 如果已通过CLI配置了RTS-CTS阈值,需执行“undo rts-cts-threshold”命令删除该配置。 WMM 缺省开启。802.11n和802.11ac的终端必须支持WMM(Wi-Fi Multimedia,Wi-Fi多媒体标准)功能。 如果去使能WMM功能,会导致802.11n和802.11ac不可用,终端仅能通过802.11a/b/g模式接入。 如果去使能WMM功能,则禁止非HT终端接入功能失效。 说明: 仅V200R008C10及以上版本的AP设备支持WMM功能。 信道竞争参数 WMM将报文分为4个类别的AC(Access Category),分别是AC_VO(voice)、AC_VI(video)、AC_BE(Best Effort)、AC_BK(Background)。每一个AC队列定义了一套增强分布式信道访问EDCA参数,该参数决定了队列占用信道的能力大小,可以实现高优先级AC队列占用信道机会大于低优先级AC队列。 EDCA参数分别如下: AIFSN :空闲等待时间,数值越大,等待时间越长,优先级越小。 ECWmin :最小竞争窗口,数值越大,优先级越低,且ECWmin 小于 ECWmax。 ECWmax :最大竞争窗口,数值越大,优先级越低。 TXOPLimit:用户一次竞争信道成功后,可占用信道最大时间,数值越大,用户占用时间越长。 ACK策略: normal :对于发送端发送的每个单播报文,接收端在接收到报文后,都需要发送ACK帧进行确认。 noack :在通信质量很好、干扰很小的情况下,为提高传输效率,可以选择不应答ACK帧。 BE动态优化 缺省关闭。开启后,AP将根据接入用户数,通过算法动态调整终端占用空口资源的优先级,尽力提高业务的用户体验。BE指根据报文到达的先后顺序采用先来先服务的原则处理报文转发,对报文的延迟、抖动、丢包率和可靠性等不作承诺和保证。 BE优化阈值(包/秒) BE动态优化算法使用到的参数值,建议使用默认值6。 多媒体动态优化 缺省关闭。开启后,AP将根据接入用户数,通过算法动态调整终端占用空口资源的优先级,提高音频、视频应用的用户体验。 音频优化阈值(包/秒) 多媒体动态优化算法使用到的参数值,建议使用默认值。 视频优化阈值(包/秒) 场景 当“BE动态优化”和“多媒体动态优化”开关均关闭时,显示该参数。 根据网络实际情况和需要,配置WMM参数,使高优先级的数据报文优先占用无线信道,达到调整视频、语音等类型的流量的转发优先级的目的。为了使WMM生效,必须在射频参数中开启WMM开关。 默认:无优先级 音频:以语音流量优先 音频和视频:以语音及视频流量优先 表3 高级射频配置参数(2.4GHz/5GHz) 分类 参数 说明 高级参数设置(2.4GHz) 信道集(20MHz) 为AP在2.4GHz频段上的无线信号传输选择调优信道集,可配置为1~13。为了尽可能地减少邻近AP之间的同频或邻频干扰,系统将根据AP间邻居关系紧密程度从信道集中挑选信道进行调优,按动态信道调整算法(Dynamic Channel Allocation,简称为DCA)分别为每个AP分配信道。 TPC范围 用于限定射频调优完成后发射功率范围,单位为dBm。缺省配置时,TPC(Transmit Power Control)上限为127dBm,TPC下限为9dBm。 如果下限过低,可能导致射频调优后的功率过小、无法满足射频覆盖需要;如果上限过高,可能导致射频调优后的功率过大、AP之间出现信号干扰。 TPC阈值 射频调优TPC(Transmit Power Control)覆盖阈值,单位为dBm。缺省配置时,TPC阈值为-60dBm。 根据AP实际布放高度和间距适当调整该阈值,可以使AP在射频调优后达到最优的覆盖效果。阈值越大,TPC调整的功率值会整体提高。 接入用户数限制 缺省关闭。用于设置AP在2.4GHz频段上最大接入的用户数。 开启后,接入用户数阈值缺省为64,接入阈值策略有: 新用户禁止接入:射频接入的终端达到阈值后,新用户禁止接入。 新用户禁止接入且隐藏SSID:射频接入的终端达到阈值后,新用户禁止接入,且自动隐藏该射频下的所有SSID。 接入用户数阈值 接入阈值策略 组播发射速率 缺省自适应,也支持手动配置。注意,配置的速率要属于基础速率集或者支持速率集,且终端设备需要支持该速率,否则终端设备将不能正常接收组播数据。 基础速率(Mbps) 配置2.4G射频模板在不同射频类型下的基础速率集。基础速率集是指STA成功关联RU时,RU和STA都必须支持的速率集,RU和STA都必须支持基础速率集中的所有速率,STA才能成功关联RU。 支持速率(Mbps) 配置2.4G射频模板在不同射频类型下的支持速率集。支持速率集是在基础速率集的基础上AP支持的更多的速率的集合,目的是为了让AP和STA之间能够支持更多的数据传输速率。AP和STA之间的实际数据传输速率是在支持速率集和基础速率集中选取的。 保护间隔 配置非802.11ax的GI(Guard Interval)模式。 Default:使用设备缺省值。 short:短GI,即400ns。 normal:普通GI,即800ns。 说明: 仅V200R009C00及以上版本的AP设备支持该功能。 802.11ax GI模式 配置802.11ax的GI模式,缺省配置为0.8 (µs)。 0.8 (µs) 1.6 (µs) 3.2 (µs) 间隔时间越小,传输效率越高,间隔时间越大,抗干扰能力越强。室内环境干扰因素小,建议使用小的GI,室外环境干扰因素大,建议使用大的GI。 极限功率 当存在物体遮挡,信号无法覆盖时,通过开启更高功率的信号来覆盖此区域。 默认 开启 关闭 弱信号终端强制下线 缺省关闭。开启后,AP一旦检测到终端的信号较弱,会强制该终端下线。 普通:平台预设“信噪比阈值”为15dB,“检测周期”为500毫秒。 高密:平台预设“信噪比阈值”为20dB,“检测周期”为500毫秒。 自定义:需要用户手工输入“信噪比阈值”和“检测周期”。 双频动态调整 缺省关闭。是否使能双频动态调整功能。 冗余2.4G射频调整方式 当“双频动态调整”开启时,需要配置该参数。 自动切换成5G:冗余2.4G射频自动切换为5G射频。如果5G射频没有可用信道或当前射频不支持切换为5G时,切换为monitor模式。 自动关闭2.4G:冗余2.4G射频自动关闭。 高级参数设置(5GHz) 调优信道带宽 AP在5GHz频段上的无线信号传输设置调优频宽。配置大带宽信道可获得更大的传输速率。 信道集 AP在5GHz频段上的无线信号传输选择调优信道集。为了达到更优的调优效果,请选择3个或3个以上作为可选信道。 说明: 可以选择的信道取决于当前设置的区域码。 用户在配置调优时,需要考虑调优带宽和调优信道的匹配关系。 基础速率(Mbps) 配置5GHz射频模板在不同射频类型下的基础速率集。基础速率集是指STA成功关联RU时,RU和STA都必须支持的速率集,RU和STA都必须支持基础速率集中的所有速率,STA才能成功关联RU。 支持速率(Mbps) 配置5GHz射频模板在不同射频类型下的支持速率集。支持速率集是在基础速率集的基础上AP支持的更多的速率的集合,目的是为了让AP和STA之间能够支持更多的数据传输速率。AP和STA之间的实际数据传输速率是在支持速率集和基础速率集中选取的。 TPC范围 用于限定射频调优完成后发射功率范围,单位为dBm。缺省配置时,TPC上限为127dBm,TPC下限为12dBm。 如果下限过低,可能导致射频调优后的功率过小、无法满足射频覆盖需要;如果上限过高,可能导致射频调优后的功率过大、AP之间出现信号干扰。 TPC阈值 射频调优TPC(Transmit Power Control)覆盖阈值,单位为dBm。缺省配置时,TPC阈值为-60dBm。 根据AP实际布放高度和间距适当调整该阈值,可以使AP在射频调优后达到最优的覆盖效果。阈值越大,TPC调整的功率值会整体提高。 接入用户数限制 缺省关闭。用于设置AP在5GHz频段上最大接入的用户数。 开启后,接入用户数阈值缺省为64,接入阈值策略有: 新用户禁止接入:射频接入的终端达到阈值后,新用户禁止接入。 新用户禁止接入且隐藏SSID:射频接入的终端达到阈值后,新用户禁止接入,且自动隐藏该射频下的所有SSID。 接入用户数阈值 接入阈值策略 组播发射速率 缺省自适应,也支持手动配置。注意,配置的速率要属于基础速率集或者支持速率集,且终端设备需要支持该速率,否则终端设备将不能正常接收组播数据。 保护间隔 配置非802.11ax的GI(Guard Interval)模式。 Default:使用设备缺省值。 short:短GI,即400ns。 normal:普通GI,即800ns。 说明: 仅V200R009C00及以上版本的AP设备支持该功能。 802.11ax GI模式 配置802.11ax的GI模式,缺省配置为0.8 (µs)。 0.8 (µs) 1.6 (µs) 3.2 (µs) 间隔时间越小,传输效率越高,间隔时间越大,抗干扰能力越强。室内环境干扰因素小,建议使用小的GI,室外环境干扰因素大,建议使用大的GI。 极限功率 当存在物体遮挡,信号无法覆盖时,通过开启更高功率的信号来覆盖此区域。 默认 开启 关闭 弱信号终端强制下线 缺省关闭。开启后,AP一旦检测到终端的信号较弱,会强制该终端下线。 普通:平台预设“信噪比阈值”为15dB,“检测周期”为500毫秒。 高密:平台预设“信噪比阈值”为20dB,“检测周期”为500毫秒。 自定义:需要用户手工输入“信噪比阈值”和“检测周期”。 A-MSDU 缺省关闭。是否以A-MSDU聚合方式发送802.11ac报文的功能。 最大子帧数 缺省值为2。配置A-MSDU聚合方式一次能聚合的最大子帧数。 表4 频道规划参数 分类 参数 说明 手动射频调优 名称 需要调整的射频频段。 射频开关 缺省开启。是否使能射频功能。 频宽 选择工作带宽。缺省为“调优频宽”。 调优频宽 20MHz 40MHz-plus 40MHz-minus 80MHz(仅5G射频支持) 80+80MHz(仅5G射频1支持,三射频场景中,5G射频2为低频,不支持配置此带宽。) 160MHz(仅5G射频支持) 信道自动选择 当“频宽”选择“调优频宽”时,会自动选择信道。 信道 传输射频信号所使用的频段。为了避免信号干扰,请确保相邻AP工作在非重叠信道上。为了避免产生射频干扰,建议为相邻部署的AP在2.4G频段规划非重叠信道组合(例如1、6、11),在5GHz频段规划不同信道。 频宽自动选择 (仅5GHz射频支持)当“频宽”选择“调优频宽”时,可动态调整射频频宽,不受已有的调优频宽限制。 功率自动选择 开启时自动选择发射功率,关闭时手工调整发射功率。 发送功率(dBm) “功率自动选择”关闭时,需要配置该参数。根据实际网络环境的需求,配置射频的发射功率,使射频信号强度具备满足实际网络需求的能力,提高射频信号质量。 天线增益(dB) 天线增益用于衡量天线向特定方向收发信号的能力。在相同条件下,天线增益越高,电波传播的距离越远。请填写为AP实际所使用天线的增益值。 冗余射频调整 (仅2.4GHz射频支持)是否在当前设备的2.4G射频上使能“冗余射频调整”功能。若开启,还必须确保“高级参数设置”区域中“双频动态调整”开关已开启。
  • 背景信息 WLAN网络是以射频信号(例如频率为2.4GHz或5GHz的无线电磁波)作为传输介质的,无线电磁波在空气中的传播会因为周围环境影响而导致无线信号衰减等现象,进而影响无线用户上网的服务质量。通过调整信道和功率,可以使各AP的信道和功率保持相对平衡,保证AP工作在最佳状态。 在AP上按实际需要配置握手协议模式、空口扫描参数和天线增益等,可以合理控制AP的无线网络覆盖区域、减少射频干扰和数据传输冲突。通过为射频功能配置定时开启/关闭策略,可以降低不必要的能耗。 在不同的国家和地区,法律法规为无线通信规定了不同的工作信道和功率,使用AP部署无线网络时,射频参数必须符合当地法律法规。在华为技术支持网站搜索并下载“国家码&信道顺从表”,可以查看具体约束信息。 企业用户技术支持网站:https://support.huawei.com/enterprise 运营商用户技术支持网站:https://support.huawei.com
  • 网络信息规划 本案例中规划的网络数据、业务数据等均为示例,仅供参考,请根据实际项目要求调整参数值。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 MSP MSP帐号名称:huawei-partner@huawei.com MSP帐号密码:mspUser@123 架构设计 网络拓扑 见图1 设备选型 AP:AirEngine6760-X1 站点 站点名称:test_ap 站点类型:云AP 设备接口互联 AP连接运营商网络接口:GE0/0/0 设备上线设计 AP接入Internet方式 DHCP方式 AP注册上线方式 采用华为乾坤APP扫码添加设备 AP自动通过注册查询中心上线 用户上线设计 用户接入 员工(无线接入) 访客(无线接入) 用户终端的IP地址 IP地址获取方式:DHCP动态获取,AP作为DHCP Server IP地址范围:10.1.1.0/24 用户所属的VLAN VLAN 3911 终端接入与认证方式 员工Wi-Fi:SSID名称为test-emp;PSK认证 访客Wi-Fi:SSID名称为test-guest;Portal认证(微信链接认证) 用户业务设计 QoS 单个员工终端带宽限制:5Mbit/s 单个访客终端带宽限制:5Mbit/s
  • 背景信息 上行链路NQA 当前企业通常以双上行链路方式接入Internet,以保证链路的稳定。网络质量分析NQA(Network Quality Analysis)是一种实时的网络性能探测和统计技术,可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA能够实时监视网络QoS,在网络发生故障时进行有效的故障诊断和定位。 联动功能是指NQA提供探测功能,把探测结果通知其他模块,其他模块再根据探测结果进行相应处理的功能。比如和网络路由的联动。 以静态路由为例: 用户配置了一条静态路由,下一跳为192.168.0.88,如果192.168.0.88可达,该静态路由有效;如果192.168.0.88不可达,则该静态路由无效。通过在NQA和应用模块之间建立联动,可以实现静态路由有效性的实时判断。 NAT 在AR上开启NAT映射,使下行网络中的设备能以AR的WAN口IP地址访问Internet。 NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。AR支持基于出接口地址方式的NAT(又称为Easy IP),租户网络中的设备可以直接借用AR公网接口的IP地址访问Internet。 DNS 通过AR接入网络的设备能通过DNS服务器识别某些域名,自动将其解析为对应的IP地址。 DNS技术实现了域名和IP地址的相互映射,可以使用户能更方便地访问互联网,无需记忆具体的IP地址。 DNS客户端在接入网络以后,将DNS请求发送到DNS中继。DNS中继会直接将请求报文转发给DNS服务器,由DNS服务器执行域名解析,并将应答报文转发回DNS客户端。 子网 在AR上配置DHCP服务,使下行网络中的设备能自动获取IP地址,从而实现与AR上行网络的互通。 DHCP服务器 负责为DHCP客户端动态分配IP地址等网络参数的设备。 (可选)DHCP中继 如果DHCP客户端和DHCP服务器不在同一个网段,可以通过DHCP中继与DHCP服务器通信,从而获取到合法的IP地址。通过部署DHCP中继可以使多个网段的设备共用一个DHCP服务器,降低成本,便于集中管理。 DHCP客户端 通过DHCP协议以广播方式发送报文请求获取IP地址等网络参数的终端设备。例如PC、手机、IP电话、无盘工作站等。
  • 堆叠上云流程 堆叠上云相比于单机设备上云,最大的差异是在导入堆叠系统中交换机的SN后,还需要手动在华为乾坤云平台上创建堆叠。 因华为乾坤云平台无法自动将多台成员交换机组建为堆叠系统,所以需要手动组建堆叠系统。所以堆叠上云分为两大步:设备侧组建堆叠系统和华为乾坤云平台上创建堆叠。从易操作和减少出错率考虑,推荐先完成设备侧堆叠系统的组建,然后再在华为乾坤云平台创建堆叠。 通过华为乾坤云平台对堆叠系统进行纳管时,核心交换机可以用框式或盒式,框式最多支持2台组堆叠,盒式最多支持4台组堆叠,汇聚和接入交换机最大支持4机堆叠。
  • 设备侧组建堆叠系统 组建堆叠系统指的手动将多台支持堆叠功能的交换机逻辑上合并为一台交换机。为保证堆叠系统能够成功组建并和华为乾坤云平台正常通信,推荐按照下面流程组建堆叠系统。 选择交换机型号 支持堆叠功能的交换机与支持上云的交换机不完全一致,所以为了保证堆叠系统能够上云,必须选择二者的交集。所以推荐按照如下规则选择交换机型号: 推荐先从《云管理网络规格清单》获取交换机型号,然后再根据堆叠助手判断是否支持堆叠。在堆叠助手中无法选择的交换机就说明该交换机不支持堆叠。 推荐选择相同型号的交换机进行堆叠,如果必须使用不同型号的交换机进行混堆,请注意: 不同系列的交换机不能组建堆叠 同系列内不同子系列交换机不能组建堆叠 同系列内同子系列内不同型号的交换机基本可以组建堆叠,只有少量型号不支持 选择堆叠方式 S系列交换机支持三种堆叠方式,三种堆叠方式的差异如表1表所示。不同交换机支持的堆叠方式也不同,所以在选择堆叠方式时,需要和交换机型号组合考虑。 推荐使用业务口专用堆叠线缆堆叠,即免配置堆叠。该方式无需手动将业务口修改为堆叠口,组网工作量小。 表1 堆叠方式对比 堆叠方式 成本投入 组网难易度 堆叠卡堆叠 需要单独购买堆叠卡和堆叠线缆 无需配置,安装好堆叠卡,连接好堆叠线缆后自动组建堆叠 业务口专用堆叠线缆堆叠,也叫免配置堆叠 可以直接使用交换机上的业务口进行堆叠,无需额外购买堆叠卡,需单独购买专用堆叠线缆 无需配置,根据规则连接专用堆叠线缆后可自动组建堆叠 业务口普通线缆堆叠 可以使用交换机上的业务口进行堆叠,无需额外购买堆叠卡和专用堆叠线缆 需要手动将业务口配置为堆叠口,然后连接堆叠线缆后才可以组建堆叠 选择堆叠连线方式 堆叠线缆支持两种连接方式:一种是环形连接,一种是链形连接。具体连接方式,请参见堆叠助手中的描述。 从可靠性考虑,建议使用环形连接方式,这样一条链路故障不会导致堆叠系统分裂。并且建议连接多条线缆,在扩充带宽的同时进行链路间的备份。 使用专用堆叠线缆进行免配置堆叠时,为保证堆叠可以正确组建,建议按照图1连接堆叠线缆。 按照交换机从上到下的顺序依次连线。 连线时注意线缆的主备端,确保:最上面交换机的所有端口连接的都是线缆主端,最下面交换机的所有端口连接的都是线缆备端,中间交换机的2个逻辑端口分别连接主端和备端。 图1 专用堆叠线缆环形连线方式
共100000条