华为云用户手册

  • 后续操作 云AP在华为乾坤云平台上线后,设备缺省密码会失效,平台统一下发并覆盖设备帐号和密码。后续登录设备Web/CLI界面均需使用平台下发的帐号和密码,操作如下。 登录华为乾坤控制台。 在控制台首页地图双击“test_ap1”站点,单击站点首页右上角“站点配置”。 在站点配置左侧导航栏选择“站点通用配置”,选择“本地用户”页签。 缺省情况下平台支持admin和accampus用户,单击“创建”可自定义帐号和密码。若使用默认帐号,因密码是平台随机生成的,需单击重置密码。
  • 补充说明 不同端口类型以及端口工作模式下,“自协商”、“接口速率”、“双工模式”参数支持情况不同,请参考表2。 表格中Y表示支持配置该参数,N表示不支持配置该参数。 表2 端口参数支持表 端口类型 速率 全双工/半双工 10M 100M 1G 2.5G 5G 10G 25G 自协商 10M 100M 1G/2.5G/5G/10G/25G 1G电口 Y Y Y N N N N Y Y/Y Y/Y Y/N 1G光口 插光电模块支持 Y Y N N N N Y 插光电模块支持/插光电模块支持 Y/插光电模块支持 Y/N combo口 工作在电模式支持 Y Y N N N N Y 工作在电模式支持/工作在电模式支持 Y/工作在电模式支持 Y/N 40G光口 N N N N N N N N N/N N/N N/N 100G光口 N N N N N N N N N/N N/N N/N XGE光口 N N 插光电模块支持/1G光模块支持 N N Y N N N/N N/N Y/N
  • 背景信息 在防火墙上配置网口,使其接入到有线网络中。配置的接口必须与安装连线时选用的网络接口相匹配。 设备上线前若对接口进行了配置,且上线后该接口为上行接口,设备上线后为避免下发到上行接口上的配置失败,会对该接口进行配置修复,该接口下的配置将丢失。 为防止配置丢失,可以待设备直接上线之后再做接口的配置。 设备上线后,直接在设备上通过命令行配置上行口,华为乾坤云平台无法感知到此接口的配置变化,需要设备重新启动或者重新上线,云管理网络页面才可以刷新展示并设置上行口。
  • 网络信息规划 基于原始组网方案,实现AC和Fit AP云化管理,大幅降低网络部署和运维成本。 本案例中规划的参数值、设备上线方式等均为示例说明,仅供参考,具体项目中根据实际情况调整。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 租户 租户帐号名称:test@huawei.com 租户帐号密码:testUser@123 架构设计 网络拓扑 见图1 设备选型 WAC:AC6805 Fit AP:AirEngine5760-51 说明: 防火墙和交换机(非华为设备)不在华为乾坤云平台上纳管,保持原始设备款型和业务配置。 站点 站点名称:test_standalone_wac 站点类型:WAC/Fit AP 设备接口互联 见图1 设备上线设计 WAC注册上线方式 采用Web网管配置 华为乾坤云平台URL地址为device.qiankun-saas.huawei.com,端口号为10020 华为乾坤云管理网络监控服务器地址:139.9.137.139 华为乾坤云管理网络分析服务器地址:124.71.230.158 Fit AP注册上线方式 设备录入后,通过WAC自动上线 用户上线设计 用户接入 员工(本案例指教职工和学生,无线接入) 访客(无线接入) 用户终端的IP地址 IP地址获取方式:DHCP动态获取,AC作为DHCP Server(网关) IP地址范围: 员工:10.1.2.0/24 访客:10.1.4.0/24 用户所属的VLAN 员工:VLAN 10 访客:VLAN 20 终端接入与认证方式 员工Wi-Fi:SSID名称为test-emp;Portal认证(用户名密码认证) 访客Wi-Fi:SSID名称为test-guest;Portal认证(短信认证) 用户业务设计 QoS 无线终端带宽限制:5Mbit/s
  • 配置AP上线(安卓版) 注册并登录APP。打开APP点击“登录/注册”,输入手机号和验证码,首次登录会自动注册华为乾坤帐号。 如果已有华为乾坤帐号,无需再次注册,输入用户名和密码,签署用户协议和隐私政策即可。 如果提示发现新版本,请升级到最新版本,避免功能无法使用。 站点添加设备。 参照下图指引,扫码录入设备信息。 如果站点已有设备,点击页面右上角“+”,选择“扫码添加设备”录入新设备信息。 如果扫码无法成功,可以点击“手动输入”方式录入设备信息。 支持多次录入设备信息,当不再添加设备,点击“结束扫描”,检查设备列表无误后,点击“下一步”。 选择站点。 首次登录华为乾坤APP,系统默认创建“我的网络”站点。 如需自定义站点,点击页面左上角“+”,选择“创建站点”输入站点名称点击“完成”。 设备上线。确保设备已连网、连线和上电,然后等待3~5分钟。 配置Wi-Fi。设备上线后,首页会弹出“Wi-Fi设置”提示框,参照下图指引完成配置。 验收上线结果。 方式1:参照下图指引,检查目标设备状态是否在线。 方式2:手机连接配置的Wi-Fi,参照下图指引对Wi-Fi测速,确保无线网络畅通。
  • 组网需求 某医院希望打造“以患者为中心”的医疗服务理念,通过部署无线Wi-Fi网络,结合自身的病房服务系统,保证病人在住院治疗期间享受到高质量的生活、休闲娱乐体验。 该医院具有如下特点和诉求: 没有专业IT人员,缺乏网络建设和运维能力。 病房数量较多,每间病房都需要有信号覆盖,并且不能有严重的干扰。 护士站的PC和过道的摄像头需要有线接入。 希望提供健康的网络环境,支持应用过滤和URL过滤。 基于医院诉求,可采用华为乾坤云管理网络完成网络部署和运维。由于医院没有IT人员,可选择MSP进行代建代维。 医院网络架构如图1所示,考虑到医院属于房间密集型场景,建议在房间内使用分布式Wi-Fi方案,即每间病房由一台RU完成无线网络覆盖;楼道监控、护士站PC等有线终端通过交换机接入网络。考虑到该医院对业务安全要求较高,使用防火墙作为网络出口。 图1 防火墙+交换机+中心AP+RU组网拓扑图示例 父主题: 防火墙+交换机+中心AP+RU组网场景
  • 上云操作方法 DHCP服务器侧:需要配置DHCP Option 148选项。 无论网关设备是防火墙还是路由器,只要保证出口已成功接入运营商网络,作为DHCP服务器时它们的配置大致一样。 以华为防火墙作为DHCP服务器为例,完整的配置如下,注意不要忘记最后的分号。 interface Vlanif100;ip address 192.168.100.1 255.255.255.0;service-manage all permit; interface Vlanif100:进入VLAN 100的逻辑接口。该数值为用户自定义,可修改。 ip address 192.168.100.1 255.255.255.0:设置IP地址。IP地址和掩码为用户自定义,可修改。 service-manage all permit:以策略全放通为例,一般不建议全放通,请根据实际情况设置。 dhcp select interface;dhcp server option 148 ascii agilemode=agile-cloud;agilemanage-mode=domain;agilemanage-domain=device.qiankun-saas.huawei.com;agilemanage-port=10020;ap-agilemode=tradition-fit; agilemode=agile-cloud:设置切换模式为云模式,使能NETCONF。 agilemanage-mode=domain:设置注册方式。值为domain,表示使用URL 域名 注册。 agilemanage-domain=device.qiankun-saas.huawei.com:设置华为乾坤云平台的南向域名为device.qiankun-saas.huawei.com。 agilemanage-port=10020:设置端口号为10020。 ap-agilemode=tradition-fit:设置AP工作模式为FIT模式。 WAC侧:需要开启接口下的DHCP功能,配置如下,注意不要忘记最后的分号。 interface Vlanif1;ip address dhcp-alloc; interface Vlanif1:进入VLAN 1的逻辑接口。 ip address dhcp-alloc:开启接口下的DHCP功能。 如果AP与WAC使用同一个DHCP地址池,为了防止AP受到Option 148参数agilemode=agile-cloud的影响而切为云模式,需要增加Option 148参数“ap-agilemode”=“tradition-fit”。对于AP,ap-agilemode将优先于agilemode生效。
  • 网络信息规划 本案例中规划的网络数据、业务数据等均为示例,仅供参考,请根据实际项目要求调整参数值。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 MSP MSP帐号名称:huawei-partner@huawei.com MSP帐号密码:mspUser@123 架构规划 网络拓扑 见图1 设备选型 AR:AR651W-8P 交换机:S5735-L24P4S-A-V2 AP:AirEngine5761-11W 站点 站点名称:test_hotel 站点类型:AR、LSW、云AP 设备接口互联 见图1 设备上线规划 AR接入Internet的方式 采用Web网管配置 主用接口:GE0/0/1接口,PPPoE拨号 备用接口:GE0/0/2接口,PPPoE拨号 AR注册上线的方式 采用Web网管配置 华为乾坤云平台URL地址为:device.qiankun-saas.huawei.com,端口号为:10020 AR下挂的设备获取IP地址方式 IP地址获取方式:DHCP动态获取,AR作为DHCP Server IP地址范围:10.1.1.0/24 AR下挂的设备注册上线方式 DHCP Option148方式:在华为乾坤云平台配置,配置对象是AR NAT 在出口网关AR上开启NAT功能 用户上线规划 用户接入 员工(无线接入) 访客(无线接入) 哑终端(有线接入) 用户终端的IP地址 IP地址获取方式:DHCP动态获取,AR作为DHCP Server IP地址范围: 员工:10.1.2.0/24 访客:10.1.4.0/24 哑终端:10.1.6.0/24 用户所属的VLAN 员工:VLAN 10 访客:VLAN 20 哑终端:VLAN 30 终端接入与认证方式 员工Wi-Fi:SSID名称为test-emp;PSK认证 访客Wi-Fi:SSID名称为test-guest;Portal认证(短信认证) 哑终端:有线子网test-dumb;不认证 用户业务规划 QoS 单个员工终端带宽限制:5Mbit/s 单个访客终端带宽限制:5Mbit/s
  • 配置思路 图1是典型网络部署流程和步骤,如果您的网络业务有特殊需求,可以在此基础上进行调整。 图1 配置流程图 本案例中防火墙采用双机热备,工作在传统模式下,随板AC和接入交换机均采用堆叠。以随板AC作为网关设备,整网设备都在华为乾坤云平台纳管。其中防火墙和随板AC通过Web网管方式上云,随板AC下挂的设备通过DHCP Option方式上云,然后远程进行业务配置。 数据规划。 使用云网规工具自动规划AP的安装点位,确保AP的无线信号对校园全覆盖。 规划网络信息,包括组网方案、设备款型、接口、有线/无线业务、QoS策略、网络安全策略等。 配置前准备。 (可选)手机下载并安装华为乾坤APP软件,用于网络验收。 现场安装设备,包括硬装、连线、上电等。 设备上线。 创建站点并添加设备:在华为乾坤云平台创建站点,将所有设备加入同一个站点,以便统一配置。 配置防火墙接入Internet:通过PPPoE拨号方式接入运营商网络,采用Web网管配置。 配置设备上线云平台。 防火墙注册上线:工作模式为传统模式,采用Web网管配置对接云平台。 随板AC注册上线:工作模式为NETCONF模式,采用Web网管配置对接云平台。 随板AC下挂设备注册上线:采用DHCP Option148方式,在华为乾坤云平台配置,配置对象是随板AC。目的是为网关下挂设备分配管理IP,同时下发云平台注册信息。 在华为乾坤云平台配置网络业务。 认证授权准备。 员工Wi-Fi采用用户名密码认证,创建员工用户组,定制Portal推送页面、推送策略、认证规则等。 访客Wi-Fi采用短信认证,配置华为乾坤云平台与短信平台对接,定制Portal推送页面、推送策略、认证规则等。 教学有线终端接入采用802.1X认证,使用默认的认证授权配置。 配置无线业务。 认证服务器侧(华为乾坤云平台):创建无线认证模板,配置员工和访客无线子网业务。 认证控制点侧(随板AC):通过Web网管配置员工和访客无线子网业务,包括创建SSID模板、认证模板和QoS策略等。 配置有线业务。 配置有线认证模板:绑定Radius服务器模板。 配置有线网络业务:创建教学有线子网,配置设备互联端口放通业务VLAN。 配置设备数据上报。 上报设备侧基础数据至华为乾坤云平台,实现整网设备状态界面可视。 上报设备侧运维数据至华为乾坤云平台,以便进行网络故障识别、智能分析处置等运维操作。 结果验证。确认终端可以正常上网,可以在华为乾坤云平台监控各设备状态信息。 父主题: 随板AC+Fit AP 配置上云组网场景
  • 配置AR注册到云管理平台 配置和华为乾坤云平台对接参数。要求配置的callhome名称必须配置为default-callhome,ac_south_ip-address 为华为乾坤云平台南向地址。interface-name_ac_south_ip-address请参考说明中endpoint命名规则。 netconf callhome default-callhome endpoint interface-name_ac_south_ip-address peer-ip ac_south_ip-address port 10020 vpn-instance vpn-instance endpoint命名必须为:注册到华为乾坤云平台使用的WAN链路接口_ac_south_ip-address,例如: WAN链路使用的接口为GE0/0/1,IP地址为192.168.10.10,endpoint命名为“GE0/0/1_192.168.10.10”。 WAN链路使用的接口为XGE0/0/1,IP地址为192.168.10.10,endpoint命名为“10GE0/0/1_192.168.10.10”。
  • 配置SSH用户 配置SSH服务器用户。 system-view snetconf server enable ssh user huawei ssh user huawei authentication-type x509v3-rsa ssh user huawei assign pki default ssh user huawei service-type snetconf 指定SSH服务器的源接口。 ssh server-source all-interface 配置SSH认证方式。 ssh server assign pki default 配置SSH连接的授权类型。 ssh authorization-type default root 查看当前SSH服务器公钥算法。 display current-configuration | in ssh server publickey 配置SSH服务器公钥算法。在查询到的当前设备已经配置的SSH服务器公钥算法基础上,添加算法x509v3-ssh-rsa,当前以缺省公钥算法为RSA_SHA2_256、RSA_SHA2_512举例。 ssh server publickey x509v3-ssh-rsa rsa_sha2_256 rsa_sha2_512
  • 配置AR接入Internet 请根据网络服务商提供的信息选择接入Internet的方式。不同的接入Internet方式对应不同的参数。 通过PPP和MP接入Internet: 配置接口封装PPP协议: 执行命令system-view,进入系统视图。 执行命令interface interface-type interface-number,进入接口视图。 执行命令link-protocol ppp,配置接口封装的链路层协议为ppp。 执行命令ip address ip-address { mask | mask-length} [ tag tag-value ],直接配置IPv4地址。 执行命令ip address ppp-negotiate配置设备作为客户端,通过IP地址协商获取本端接口的IP地址。缺省情况下,本端接口没有配置IP地址可协商属性。 执行命令ip address unnumbered interface { interface-name | interface-type interface -number },配置借用其他接口的IP地址。 执行命令remote address ip-address,配置设备作为服务器为对端分配IP地址。 配置CHAP认证: 执行命令system-view,进入系统视图。 执行命令interface interface-type interface-number,进入接口视图。 配置以CHAP方式认证对端。 当认证方已配置用户名时。CHAP认证中,当认证方配置了用户名时,可以对认证方的用户名进行确认。 配置设备作为认证方,以CHAP方式认证对端: 执行命令ppp authentication-mode chap [ pap ],配置PPP认证方式为CHAP。 执行命令ppp chap user user-name,配置采用CHAP认证时认证方的CHAP用户名。此处在认证方上配置的CHAP用户名要和被认证方配置的本地接入用户名一致。 执行命令quit,回到系统视图。 执行命令aaa,进入AAA视图。 执行命令local-access-user user-name,创建本地接入帐号,并配置本地接入用户名。 执行命令password cipher password,配置本地接入用户的密码。此处在认证方上配置的本地接入用户名和密码要和被认证方配置的本地接入用户名和密码一致。 执行命令service-type ppp,配置本地接入用户的接入类型为ppp。 配置设备作为被认证方,以CHAP方式被对端认证: 执行命令ppp chap user user-name,配置采用CHAP认证时认证方的CHAP用户名。此处在认证方上配置的CHAP用户名要和被认证方配置的本地接入用户名一致。 执行命令quit,回到系统视图。 执行命令aaa,进入AAA视图。 执行命令local-access-user user-name,创建本地接入帐号,并配置本地接入用户名。 执行命令password cipher password,配置本地接入用户的密码。此处在认证方上配置的本地接入用户名和密码要和被认证方配置的本地接入用户名和密码一致。 执行命令service-type ppp,配置本地接入用户的接入类型为ppp。 当认证方未配置用户名时。当认证方没有配置用户名时,可以采用被认证方以CHAP方式认证对端的形式进行认证。 配置设备作为认证方,以CHAP方式认证对端: 执行命令ppp authentication-mode chap [ pap ],配置PPP认证方式为CHAP。 执行命令quit,回到系统视图。 执行命令aaa,进入AAA视图。 执行命令local-access-user user-name,创建本地接入帐号,并配置本地接入用户名。 执行命令password cipher password,配置本地接入用户的密码。此处在认证方上配置的本地接入用户名和密码要和被认证方配置的本地接入用户名和密码一致。 执行命令service-type ppp,配置本地接入用户的接入类型为ppp。 配置设备作为被认证方,以CHAP方式被对端认证: 执行命令ppp chap user user-name,配置本地被对端认证的用户名。 执行命令ppp chap password { simple password | cipher { password1 | password2 } },配置CHAP认证的密码。 配置PAP认证: 执行命令system-view进入系统视图。 执行命令interface interface-type interface-number,进入接口视图。 配置PPP认证方式为PAP。 配置设备作为认证方,以PAP方式认证对端。 执行命令ppp authentication-mode pap,配置认证方式为PAP。 执行命令quit,回到系统视图。 执行命令aaa,进入AAA视图。 执行命令local-access-user user-name,创建本地接入帐号。 执行命令password cipher password,配置本地接入用户的密码。 执行命令service-type ppp,配置本地接入用户的接入类型为ppp。 配置设备作为被认证方,以PAP方式被对端认证。 执行命令ppp chap local-user user-name password { simple password | cipher { password1 | password2 } },配置本地被对端以PAP方式验证时,本地发送的PAP用户名和密码。 配置MP: 执行命令system-view,进入系统视图。 执行命令interface mp-group number,创建MP-Group接口,并进入MP-Group接口视图。 配置MP-Group接口的IP地址。 以下方式选择一种即可。 执行命令ip address ip-address { mask | mask-length }[ tag tag-value ],直接配置MP-Group接口的IP地址。 执行命令ip address ppp-negotiate,配置设备作为客户端,通过IP地址协商获取本端接口的IP地址。 执行命令quit,回到系统视图。 执行命令interface serial interface-number,进入需要加入MP-Group接口的串行接口视图。 执行命令ppp mp { interface-type interface-number | interface-name },将当前串行接口加入指定的MP-Group接口,使该串口工作在MP方式。 通过PPPoE接入Internet: 配置Dialer接口: 执行命令system-view,进入系统视图。 执行命令interface dialer number,创建Dialer接口并进入Dialer接口视图。 配置Dialer接口的IP地址。 以下方式选择一种即可。 执行命令ip address ip-address { mask | mask-length } [ tag tag-value ]直接配置Dialer接口的IPv4地址。 执行命令ip address ppp-negotiate配置由对端分配IPv4地址。 配置PPPoE Client作为被认证方: 执行命令system-view,进入系统视图。 执行命令interface dialer number,进入Dialer接口视图。 配置PPPoE Client的认证用户名和密码。 当PPPoE Server的认证方式为PAP时。 执行命令ppp pap local-user user-name password { simple password | cipher { password1 | password2 } },配置本地被对端以PAP方式验证时,本地发送的PAP用户名和密码。 此处在PPPoE Client上配置的PAP用户名和密码,要和PPPoE Server上配置的本地接入用户名和密码一致。 缺省情况下,对端采用PAP认证时,本地设备发送的用户名和密码均为空。 当PPPoE Server的认证方式为CHAP,且PPPoE Server配置用户名时。 执行命令ppp chap user user-name,配置本地被对端认证的用户名。 执行命令quit,回到系统视图。 执行命令aaa,进入AAA视图。 执行命令local-access-user user-name,创建本地接入帐号,并配置本地接入用户名。 执行命令password cipher password,配置本地接入用户的密码。 此处在PPPoE Client上配置的本地接入用户名,要和PPPoE Server上配置的本地接入用户名和CHAP认证用户名一致。 此处在PPPoE Client上配置的本地接入用户密码,要和PPPoE Server上配置的本地接入用户密码一致。 执行命令service-type ppp,配置本地接入用户的接入类型为ppp。 当PPPoE Server的认证方式为CHAP,且PPPoE Server没有配置用户名时。 执行命令ppp chap user user-name,配置PPPoE Client被PPPoE Server以CHAP方式认证的用户名。 执行命令ppp chap password { simple password | cipher { password1 | password2 } },配置PPPoE Client被PPPoE Server以CHAP方式认证的密码。 配置接口上启用PPPoE Client功能: 执行命令system-view,进入系统视图。 执行命令interface interface-type interface-number,进入接口视图。 执行命令pppoe-client dial-bundle-number number [ on-demand ] [ no-hostuniq ] [ ppp-max-payload value ] [ service-name name ],指定PPPoE会话所对应的Dialer bundle。 在一个以太网接口上可以配置多个PPPoE会话,即一个以太网接口可以同时属于多个Dialer Bundle,但是一个Dialer Bundle中只能拥有一个以太网接口,一个Dialer接口也只能绑定一个以太网接口。 PPPoE会话是和Dialer Bundle一一对应的。如果某一Dialer接口的Dialer Bundle已经有一个以太网接口被用于PPPoE,那么此Dialer Bundle中不能加入其他任何接口。同样,如果在某一个Dialer Bundle中已经有除需要被加入的以太网接口外的接口,那么此Dialer bundle也同样不能加入该以太网接口。 如果不配置参数on-demand,则PPPoE拨号方式为永久在线方式;如果配置参数on-demand,则PPPoE拨号方式为按需拨号方式,目前设备支持的按需拨号方式为报文触发方式。 如果不配置参数no-hostuniq,则表示在PPPoE Client发起的呼叫中携带Host-Uniq字段,用于与主机的某个唯一特定的请求联系起来,使检查更加严格。 执行命令quit,退回到系统视图。 执行命令ip route-static ip-address { mask | mask-length } { interface-name | interface-type interface-number },配置静态路由,使得PPPoE Client和PPPoE Server路由可达。 通过Cellular接入Internet: 使用该方式接入Internet时,需要向运营商申请开通蜂窝网络服务,并获取SIM卡,若运营商网络需要鉴权,还需获取接入运营商网络的APN、用户名、密码和认证方式。 需提前将安装SIM卡到Cellular单板。安装前须确保SIM卡没有物理损坏,安装完成后须确保SIM卡已经插紧。 配置网络连接方式: 执行命令system-view,进入系统视图。 执行命令cellular-profile profile-name,创建Cellular模板并进入Cellular模板视图。 执行命令mode { auto | wcdma-only | lte-only | lte-wcdma | nr-only | nr-lte },配置Cellular模组网络连接的方式。 缺省情况下,Cellular模组网络连接的方式为auto。仅AR5710-S8T2XE-NRCN、AR5710-S10T1X2、AR6700系列、AR8000系列产品支持lte-wcdma、nr-only与nr-lte参数。 执行命令quit,退回到系统视图。 执行命令interface interface-type interface-number,进入接口视图。 执行命令cellular-profile profile-name,绑定Cellular模板。 配置APN模板(单SIM卡场景): 执行命令system-view,进入系统视图。 创建APN模板。 执行命令apn profile profile-name,创建APN模板,并进入APN模板视图。 缺省情况下,设备没有创建APN模板,设备动态配置APN。 执行命令apn apn-name,配置APN。 缺省情况下,设备没有在APN模板中配置APN。 执行命令quit,退回到系统视图。 在Cellular通道接口上绑定APN模板。 执行命令interface cellular interface-number,进入Cellular通道接口视图。 执行命令apn-profile profile-name[ priority priority ],绑定APN模板。缺省情况下,Cellular通道接口上没有绑定APN模板。 配置APN模板(双SIM卡场景): 执行命令system-view,进入系统视图。 创建APN模板。 执行命令apn profile profile-name,创建APN模板,并进入APN模板视图。 缺省情况下,设备没有创建APN模板,设备动态配置APN。 执行命令apn apn-name,配置APN。 缺省情况下,设备没有在APN模板中配置APN。 执行命令sim-id sim-id,关联SIM卡ID。缺省情况下,不指定特定SIM卡。 执行命令quit,退回到系统视图。 在Cellular通道接口上绑定APN模板。 执行命令interface cellular interface-number,进入Cellular通道接口视图。 执行命令apn-profile profile-name[ priority priority ],绑定APN模板。缺省情况下,Cellular通道接口上没有绑定APN模板。 配置拨号功能: 执行命令system-view,进入系统视图。 执行命令interface cellular interface-number,进入Cellular通道接口视图。 执行命令ip address modem-alloc,开启自动拨号并获取IP地址功能。缺省情况下,设备上自动拨号功能处于未开启状态。 执行命令quit,退回到系统视图。 执行命令ip route-static ip-address { mask | mask-length }{ interface-name | interface-type interface-number },配置静态路由,指定出接口为Cellular通道接口。
  • 前提条件 请确认华为乾坤云平台上已创建站点并添加设备。 请确认设备款型和版本能够在华为乾坤云平台上线。 设备款型和版本支持情况,请参考《华为乾坤云管理网络配套款型表》(若无权限访问,请联系华为渠道获取)。 如果版本不匹配,请参考单产品升级指导书完成版本升级。 为了保证开局成功,请确保设备为出厂配置,如果设备上有残留信息会导致开局失败。 设备导入CA证书后才能注册到云管理平台。 开局前请执行以下命令查看或导入设备上已加载的CA证书内容。 display pki certificate ca realm default 如果查询到CA证书,请正常进行开局流程,跳过下列步骤。如果未查询到CA证书,请执行下列步骤导入CA证书。 请执行以下命令将预置的CA证书导入到default域下。CA证书导入成功后,请执行上一步检查证书信息。CA证书导入失败时,请联系华为技术支持人员。 pki import-certificate default_ca realm default
  • 设备通过注册查询中心方式上线基本原理 以采用云模式的AP为例,AP通过注册查询中心实现即插即用,如图2所示。 图2 AP通过注册查询中心方式上线示意图 注册查询中心方式可以概括为两个HTTP2.0连接建立、交互的过程: 平台与注册查询中心建立HTTP2.0连接: 在华为乾坤云平台上创建网络站点,将待管的AP设备信息添加到站点中。 华为乾坤云平台与华为注册查询中心之间建立HTTP2.0连接,同步待管的AP设备信息。 设备向注册查询中心发起HTTP2.0连接: 设备连线、上电。 一般AP通过DHCP方式从运营商侧路由器获取IP地址。 AP获取IP地址后,根据预置的华为注册查询中心地址,向华为注册查询中心获取华为乾坤云平台域名/IP地址+端口号。 AP获取华为乾坤云平台域名/IP地址+端口号后,向华为乾坤云平台发起HTTP2.0连接请求(携带证书)。如果双向认证成功,则创建NETCONF安全通道,AP完成上线。
  • 设备通过DHCP Option方式上线基本原理 以交换机为例,交换机通过DHCP服务器获取云模式和华为乾坤云平台地址信息的基本流程如图1所示。 图1 交换机通过DHCP Option方式上线基本流程图 出口网关部署DHCP服务器功能(或者在网络中部署单独的DHCP服务器),配置Option 148选项,包含华为乾坤云平台的URL/IP和端口号、云模式信息。 交换机空配置启动后,先使用VLAN 1主动向DHCP服务器发起请求。 DHCP服务器收到请求后,就会向交换机回应一个携带Option 148选项的DHCP报文。 交换机根据Option 148选项中的内容,使能NETCONF,同时获取华为乾坤云平台的URL/IP和端口号信息。 交换机获取到华为乾坤云平台的URL/IP和端口号信息后,就会向华为乾坤云平台注册认证。
  • 网络信息规划 本案例中规划的参数值、设备上线方式等均为示例说明,仅供参考,具体项目中根据实际情况调整。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 MSP MSP帐号名称:huawei-partner@huawei.com MSP帐号密码:mspUser@123 架构规划 网络拓扑 见图1 设备选型 防火墙:USG6550E 交换机:S5735-L24P4S-A-V2 AP:AirEngine 5762-12SW 站点 站点名称:test_fw 站点类型:FW、LSW、云AP 设备接口互联 见图1 设备上线规划 防火墙接入Internet的方式 采用Web网管配置 主用接口:GE0/0/1接口,PPPoE拨号 备用接口:GE0/0/2接口,PPPoE拨号 防火墙注册上线的方式 采用Web网管配置 华为乾坤云平台URL地址为:device.qiankun-saas.huawei.com,端口号为:10020 防火墙下挂的设备获取IP地址方式 IP地址获取方式:DHCP动态获取,网关作为DHCP Server IP地址范围:10.1.1.0/24 防火墙下挂的设备注册上线方式 DHCP Option148方式:在华为乾坤云平台上配置,配置对象是防火墙 NAT 在防火墙上开启NAT功能 用户上线规划 用户接入 员工(无线接入) 访客(无线接入) 哑终端(有线接入,如打印机等) 用户终端的IP地址 IP地址获取方式:DHCP动态获取,防火墙作为DHCP Server(网关) IP地址范围: 员工:10.1.2.0/24 访客:10.1.4.0/24 哑终端:10.1.6.0/24 用户所属的VLAN 员工:VLAN 10 访客:VLAN 20 哑终端:VLAN 30 终端接入与认证方式 员工Wi-Fi:SSID名称为test-emp;PSK认证 访客Wi-Fi:SSID名称为test-guest;Portal认证(短信认证) 哑终端:有线子网名称test-dumb;不认证 用户业务规划 QoS 单个员工终端带宽限制:5Mbit/s 单个访客终端带宽限制:5Mbit/s
  • 操作步骤 将WAC接入本地网络。 WAC从DHCP服务器自动获取IP地址,并通过网关接入Internet。 在WAC上ping 华为乾坤云平台的域名,确认网络可达。 使用命令行工具登录WAC。 执行命令system-view,进入系统视图。 执行命令ac-mode cloud [ only ],将WAC切为云模式。 如果在切换模式时未选择将default域的CA证书和本地证书恢复为默认证书,也可以在事后执行pki-load general-certificate命令手工恢复。 执行pnp startup-vlan receive enable命令,使能从上游设备获取PnP VLAN的功能。 缺省情况下,设备已使能从上游设备获取PnP VLAN的功能。
  • 组网需求 某汽车4S店为了给员工和客户提供更好的服务,准备在公司大楼进行无线网络覆盖。 该公司具有如下特点和诉求: 没有IT人员,缺乏网络建设与运维能力。 支持有线和无线终端接入,最大在线用户终端数不超过3000台。 对网络可靠性有一定要求,出口链路需要进行备份。 希望提供“绿色”的网络环境,支持URL过滤和内容过滤等安全功能。 基于汽车4S店的诉求,可采用华为乾坤云管理网络完成网络部署和运维。由于企业没有IT人员,可以选择由MSP进行代建和代维。 该汽车4S店网络架构如图 防火墙+交换机+AP组网拓扑图示例所示,部署一台防火墙(FW)作为出口网关,防火墙下挂接入交换机,分别负责4S店汽车展厅区、会议室以及办公区的网络接入,其中有线终端通过交换机接入网络,无线终端通过AP接入网络。 图1 防火墙+交换机+AP组网拓扑图示例 父主题: 防火墙+交换机+AP组网场景
  • 硬件安装云化设备 根据部署规划时的网络设备安装点位设计、设备间互联等信息,完成网络设备的硬件安装、连线、上电等操作,参见表 硬件安装与布线任务一览表。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装硬件设备 硬件设备安装需要遵循施工规范,常见的硬件施工规范有: 物理设备必须可靠接地。 物理设备谨慎搬运,要连带外纸箱或泡沫垫,不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线,规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请单击以下设备名称,进入“硬件安装与维护指南”手册,查看对应设备款型的安装指导。 若无法找到,请在搜索框中输入设备款型查找安装指导。 防火墙 随板AC AP 连接线缆 根据布线规划完成线缆连接,连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。
  • 参数说明 表1 交换机接口参数说明 参数 说明 已选接口 以太网接口名称。 描述 接口相关的描述。 管理状态 用于开启/关闭该接口。关闭操作将导致该接口不可用,请慎重选择。 链路类型 根据该网口实际连线场景来选取。 默认:云平台对设备不下发配置,以设备默认能力为准。 Access:用于连接用户主机和交换机的链路。通常情况下,主机无需知道自己属于哪个VLAN,主机硬件通常也不能识别带有VLAN标记的帧。因此,主机发送和接收的帧都是untagged帧。 Trunk:用于交换机间的互连或交换机与路由器之间的连接。干道链路可以承载多个不同VLAN数据,数据帧在干道链路传输时,干道链路的两端设备需要能够识别数据帧属于哪个VLAN,所以在干道链路上传输的帧都是Tagged帧。交换机的上行口必须配置为Trunk类型。 Hybrid:既可以连接用户主机,又可以连接其他交换机。允许多个VLAN的帧通过,并可以在出接口方向将某些VLAN帧的Tag剥掉。 说明: 由于设备所有的接口缺省都加入VLAN1,因此当网络中存在VLAN1的未知单播、组播或者广播报文时,可能会引起广播风暴。对于不需要加入VLAN1的接口及时退出VLAN1,避免环路。 上行口不支持配置为Hybrid类型。 只有V200R012C00及以上版本的交换机设备才支持通过云平台将接口配置为Hybrid类型。 VLAN ID 当“链路类型”为“Access”时需要配置此参数。 以统一方式处理Access接口收到的报文。 对于Untagged报文,自动打上VLAN ID作为Tag并允许通过 对于带Tag的报文,如果Tag中的VLAN ID与接口的VLAN ID相同,则允许通过。否则丢弃该报文。 缺省VLAN 当“链路类型”为“Trunk”或“Hybrid”时需要配置此参数。 若交换机配置了“自协商管理VLAN”或“无线自协商管理VLAN”,与之直连的AP设备网口之间自动协商后,将协商产生的管理VLAN上报给云平台,由云平台刷新对应的链路类型和缺省VLAN,用户不可以手工修改。配置“自协商管理VLAN”或“无线自协商管理VLAN”的具体操作,请参见配置管理VLAN。 说明: 如果交换机已配置“无线自协商管理VLAN”,则优先上报“无线自协商管理VLAN”,否则上报“自协商管理VLAN”。 若交换机未配置“自协商管理VLAN”和“无线自协商管理VLAN”,用户可以手工修改链路类型和缺省VLAN。缺省VLAN取值范围为1~4094,缺省值为1。 允许通过的VLAN 当“链路类型”为“Trunk”时需要配置此参数。以统一方式处理Trunk接口收到的报文。 对于不带Tag的报文,自动打上VLAN ID作为Tag。如果VLAN ID在“允许通过的VLAN”中,则允许通过。否则丢弃该报文。 对于带Tag的报文,如果Tag中的VLAN ID在“允许通过的VLAN”中,则允许通过。否则丢弃该报文。 说明: 仅V200R011C10SPC550及以上版本交换机支持在“允许通过的VLAN”中输入“all”。 如果交换机已在虚拟网络配置互联口VLAN,“链路类型”需选择“Trunk”类型,且“允许通过的VLAN”中需包含互联口VLAN ID,否则原互联口VLAN将被覆盖。 Tagged VLAN 当“链路类型”为“Hybrid”时需要配置此参数。 Hybrid类型接口加入的VLAN,这些VLAN的帧以Tagged方式通过接口。tagged Vlan和untagged Vlan不能有交集,取值范围为1~4094,不支持all。 Untagged VLAN 当“链路类型”为“Hybrid”时需要配置此参数。 Hybrid类型接口加入的VLAN,这些VLAN的帧以Untagged方式通过接口。tagged Vlan和untagged Vlan不能有交集,取值范围为1~4094,不支持all。 高级 自协商 缺省关闭。若开启,当前设备接口与直连的设备接口间自动协商双工模式和接口速率,使数据传输能力达到双方都支持的最大值。 接口速率 当且仅当“自协商”关闭时才支持配置此参数。设置接口传输数据时的速率,支持选择默认和其他可配置的速率。 默认:接口速率由设备接口的缺省能力决定,不同设备支持的接口速率请参考交换机产品手册。 其他速率:接口会设置为非自协商模式,并调整为设置的速率,如10Mbit/s、100Mbit/s、1Gbit/s。 说明: 数据传输速率还受到传输介质能力约束。如果双方接口速率一致,但传输介质不支持该传输速率,仍将导致链路两端接口无法正常工作。如果传输介质问题无法解决,则建议在传输介质两端的接口上分别选用非自协商模式,按实际传输能力手工设置传输速率。 双工模式 当自协商关闭时: 接口速率为1Gbit/s、2.5Gbit/s、5Gbit/s和10Gbit/s时,双工模式为全双工,不可修改。 接口速率为100Mbit/s或者10Mbit/s时,双工模式缺省为全双工,可修改。 链路对端网口必须同样设置为全双工,以免引起报文丢失。 PoE 仅PoE交换机支持此功能,用于开启/关闭该接口的PoE供电功能。 管理VLAN自协商 (仅Trunk口和Hybrid口)是否在当前端口上使能管理VLAN自协商功能,缺省为“ON”。 Eth-Trunk自协商 (仅基于Eth-Trunk配置时有效)是否在当前Eth-Trunk口上使能Eth-Trunk自协商功能,缺省为“OFF”。使能该功能后,当前Eth-Trunk口下行直连交换机对应的物理口将自动加入Eth-Trunk0,接入上行网络。 说明: 如果当前Eth-Trunk口下行直连交换机对应物理接口的如下配置不是缺省值,会由于自动加入Eth-Trunk0失败而导致下行直连交换机脱管。 接口类型 缺省VLAN 认证功能 DHCP snooping DHCP snooping trusted ND snooping ND snooping trusted STP边缘口 接口隔离 在使能Eth-Trunk自协商之前,请务必确保与当前Eth-Trunk口下行直连交换机的对应物理接口上这些配置项为缺省值. LLDP 是否使能LLDP。互联设备运行LLDP后,能够发现对端的状态信息。可以通过此功能发现链路拓扑。 DHCP snooping选项 是否将在接口上使能DHCP Snooping功能。确保交换机下行的DHCP客户端从合法的DHCP服务器获取IP地址,可以有效防止针对DHCP的攻击。 不对报文做处理 snooping trusted 该参数仅适用于V200R011C10SPC550或更高版本的交换机设备。 DHCP snooping trusted选项 将该接口设置DHCP Snooping信任接口。该参数仅适用于V200R011C10SPC550或更高版本的交换机设备。 端口隔离 是否使能端口隔离。该接口使能后,与同一VLAN内其他使能端口隔离功能的接口间会二层隔离,但可以通过三层互通。 STP 是否使能STP功能。 STP边缘端口 是否将当前接口设置为STP边缘端口。 IP子网划分VLAN 是否使能基于IP子网划分VLAN。 如果配置交换机接口认证,请保持“IP子网划分VLAN”为默认。 SNMP trap 当接口的协议状态发生变化时,是否主动发送SNMP Trap。
  • 后续操作 接收人管理: 搜索:在列表左上方搜索框内输入接收人名称,单击左侧或者按回车键直接搜索。 消息接收配置:单击接收人列表中“消息接收配置”,可以为当前接收人设置接受的消息类型等。 修改接收人信息:单击接收人列表中“修改”,可以修改接收人相关信息,包括名称、手机号、邮箱等。 删除接收人: 单个删除:单击接收人列表中“删除”,可以删除当前接收人。 批量删除:选中需要删除的接收人,单击列表右上方“删除”。
  • MSP首页介绍 MSP控制台首页主要由四个模块组成,模块内容如表1所示。 图1 MSP首页 表1 MSP首页介绍 模块名称 模块说明 菜单栏 -- 控制台提供了工具菜单,如租户、服务、安全设备、运营中心、帐号等。同时菜单左侧还有代维服务列表、大屏功能等。 单击菜单左侧“华为乾坤”,可跳转华为乾坤商城页面。 单击菜单左侧“工作台”,可跳转华为乾坤工作台首页。 地图 -- 显示当前代维租户的位置信息。 在地图左上角搜索框输入租户名称,单击或者回车键进行搜索。支持“进入代维”和“定位”的操作。 单击搜索框,会显示当前帐号下所有租户及站点待办数量和设备信息,支持“进入代维”和“定位”的操作。 地图左上角展示代维租户数量总数以及异常代维租户总数,单击支持跳转代维租户页面。 单击地图上租户图标,可以查看当前租户详情,在详情页面支持MSP进入代维操作以及查看待处理事件。 鼠标悬停在租户图标上,支持“修改位置”和“进入代维”两个操作。 说明: 地图默认展示自动视角,可单击地图右下角支持自定义地图视角。单击保存,则地图展示自定义视角。 单击菜单栏可全屏展示地图区域。 滚动鼠标可以缩放地图,单击聚合站点或者单击地图页面右下角“+”、“-”图标,可放大或缩小地图。 整体信息概览(单击页面上可左右滑动剩余模块) 租户待办数量统计 显示当前租户待办事件数量统计概况。单击“全部”按钮,进一步查看租户信息,具体操作请查阅租户管理。 设备统计 显示当前安全设备和网络设备整体情况。单击“全部”按钮,可进一步查看安全设备信息,具体操作请查阅安全设备。 运营统计 显示当前各个状态下套餐数量情况。单击“全部”按钮,进一步查看套餐相关信息,具体操作请查阅套餐管理。 工单统计 显示当前工单概况。单击“全部”按钮,进一步查看工单信息,具体操作请查阅工单管理。 单击工单状态下数字,可快速定位该状态下的工单。 服务统计(Top5) 显示当前Top5代维服务概况。单击“全部”按钮,进一步查看代维服务信息,具体操作请查阅服务代维。 Top5未处置问题租户 显示当前问题未处理数最高的五位租户。可以单击租户查看问题详情。 单击“全部”按钮,进一步查看未处置问题租户信息,具体操作请查阅租户管理。 单击租户名,支持查看当前租户下所有的待处理事件。 智能助手小坤 -- 显示当前待办事项。 单击租户问题可以查看当前租户问题详情并处理当前事件。 待您关注 -- 提供消息统一管理功能,单击智能消息中心模块右上方“全部”,可进入消息中心。详细信息请查阅消息中心。
  • 站点配置 站点配置 前提条件 登录华为乾坤控制台后成功创建了站点,并拥有“设备生命周期管理服务”中站点管理相关权限。 背景信息 创建站点后,用户根据实际情况将设备纳入到同一站点中,并对设备拓扑调整、业务配置,确保站点正常运行。 操作步骤 站点设备拓扑操作。 站点的设备拓扑图一般由设备和链路组成。如果站点还未添加设备,请先跳转步骤3,然后进行站点设备拓扑操作。 安全站点 查看设备拓扑。可以查看设备拓扑概况。将鼠标悬停在链路上,可以查看当前链路信息。 查看设备详情。鼠标悬停在设备拓扑中任意安全设备图标,单击弹窗中“详情”,或右击安全设备,单击“查看详情”。具体参见设备详情。 删除设备。右击安全设备,单击“删除设备”,可以删除当前设备。 云管理网络站点 云管理网络场景下站点设备拓扑操作比网络安全场景更复杂些,具体如表1所示。 表1 设备拓扑操作 操作名称 操作说明 拓扑管理 站点首页右上角提供了拓扑管理菜单,支持调同步数据、页面刷新周期、手动刷新、恢复拓扑默认布局、其他优化配置。 拓扑调整 站点首页右下角提供了绘图区域菜单,支持调整拓扑位置、查看图例、设置全屏展示、放大/缩小绘图区域。 设备搜索 站点首页提供了设备搜索框,支持快速搜索目标设备。在设备搜索的结果页面单击,可在拓扑中高亮标记设备,快速定位到该设备。 设备查看和编辑 设备状态不同显示颜色也不同,比如设备异常有告警显示成红色。 当设备数量较多时,默认聚合展示,可单击展开。 鼠标停留在设备图标上,显示设备摘要信息。单击“详情”进入设备管理页面,相关操作参见设备。 链路查看 鼠标停留在链路线上,会出现设备互联信息,如本端端口、远端端口等。 业务网配置 拓扑图左侧展示了有线或无线网的“业务网”配置情况: 无论是有线或无线场景,单击子网按钮,进入子网配置修改页面。其中,无线子网指的是修改SSID配置参数。 图1 云管理网络站点设备拓扑 (可选)站点添加设备。具体操作介绍可参见添加设备。 (可选)站点业务配置。 进入站点首页,单击页面右上角“站点配置”进入业务配置页面。 图2 业务配置页面 查看站点配置结果。 在站点配置页面,单击“配置结果”,进入站点配置结果页面。 在站点配置结果页面,查看配置向设备下发情况。 如果当前设备未上线,“设备配置状态”显示为预配置。 如果当前设备上线,但配置下发失败,可单击“失败重下发”或“全量下发”,重新下发配置。 图3 配置结果页面 单击展开配置结果详情,单击指定特性条目的按钮,可查看该特性配置结果详情。 设置设备本地用户帐号和密码。 使用默认的用户帐号 网络站点开局过程中,会自动在纳管的设备上生成admin用户和accampus用户。用户密码是平台随机生成的,因此在登录设备Web/CLI界面之前,请单击本地用户列表中按钮重置密码。 默认情况下,平台自动创建admin用户和accampus用户。其中admin帐号是设备本地预置帐号,accampus帐号是平台与设备侧交互的专用帐号,若只需要手动登录设备,建议使用admin或其他帐号。 admin用户帐号会同时对串口生效。 通过CoAP协议纳管的设备(如S210系列)仅支持admin帐号。 如需要删除用户,不推荐删除admin用户。 删除用户之前,请确保已经新建其他管理员用户帐号,避免无法登录设备Web/CLI界面。 自定义用户帐号 单击本地用户列表右上角“创建”,在弹出的“创建本地用户”页面按表 本地用户配置的部分参数说明配置参数,完成后单击“确定”。 表2 本地用户配置的部分参数说明 参数 说明 用户名 设备本地用户账号的用户名。 密码 设备本地用户账号的密码。 用户角色 包括监控用户、管理用户两种,二选一,不同角色有不同的网络设备管理权限。 不同级别的用户登录后,只能使用等于或低于自身级别的命令。 监控用户:1级用户。 管理用户:15级用户。 服务类型 本地用户账号服务的协议类型,包括HTTP(S)、SSH和Terminal三种,支持多选。 HTTP(S):如果勾选该选项,则可以使用该用户通过浏览器以HTTP(S)协议登录设备的WebUI界面。 SSH:如果勾选该选项,则可以使用该用户通过SSH客户端登录设备的命令行界面。 Terminal:如果勾选该选项,则可以使用该用户通过终端,即Console口登录设备命令行界面。 说明: 登录方式为Telnet和FTP时存在安全风险,建议使用STelnet和SFTP,此时,用户服务类型配置为SSH。 缺省情况下,HTTP采用随机生成的自签名证书支持HTTPS。由于自签名证书存在安全风险,因此建议用户替换为官方授权的数字证书。 对分布式AP生效 本地用户账号对分布式AP是否生效的控制开关。注意,默认分布式AP不支持用户角色和服务类型。 设置管理VLAN。 设置自协商。只有开启该功能后,本站点内的自协商管理VLAN才能生效。 单击列表右上方“自协商”,在弹出的页面开启“自协商管理VLAN”并单击“应用”。 防火墙和交换机设备的所有物理接口默认开启“管理VLAN自协商”,这些接口的下行网元可通过自协商自动切换管理VLAN。 如需在特定设备某些接口上关闭该功能,请进入该设备“接口”页面选中接口,在“高级”参数中将“管理VLAN自协商”设置为“OFF”。 如果站点中交换机设备的某个Eth-Trunk口上开启“Eth-Trunk自协商”开关(缺省关闭),则对该Eth-Trunk的所有成员接口,下行直连交换机的对应物理口将自动加入Eth-Trunk0,并通过自协商的管理VLAN接入上行网络。 图4 自协商配置 修改管理VLAN。 选择设备条目,单击按钮或者单击列表右上方“修改”,阅读风险提示后单击“确定”进入修改管理VLAN页面。 以FW配置为例 ,参数说明请参见表3,单击“确定”。 配置管理VLAN属于高危操作,请谨慎操作。因为修改管理VLAN将导致设备暂时离线并重新上线,请确保配置正确,否则会导致设备脱管。 图5 修改管理VLAN 表3 管理VLAN参数表 参数 说明 自协商管理VLAN(仅防火墙和交换机) 下行网元连到当前设备时,可以通过协商机制将管理VLAN切换为该VLAN,使其能从DHCP服务器获取IP地址,从而注册到华为乾坤。 取值范围1~4094。 无线自协商管理VLAN(仅交换机) 下行无线设备连到当前设备时,可以通过协商机制将管理VLAN切换为该VLAN,使其能从DHCP服务器获取IP地址,从而注册到华为乾坤控制台。 取值范围1~4094,不能与“自协商管理VLAN”值相同。 管理VLAN(仅交换机和AP) 为当前设备指定管理VLAN,配置管理VLAN后,华为乾坤可以通过管理VLAN的VLANIF接口连接到当前设备,实现网管集中管理设备。 用户可以使用默认的管理VLAN,也可以自定义管理VLAN。 默认:默认的管理VLAN为1。 自定义:管理VLAN ID取值范围为1~4094。 上行口PVID使能(仅交换机) 接口缺省VLAN标识,即PVID,指的是二层接口上的缺省VLAN ID(每个二层接口上有且只有一个VLAN ID 作为PVID)。在接口收到流量,并且该流量不携带任何VLAN ID信息时,该接口认为这些流量属于PVID对应的VLAN。缺省情况下,所有接口的PVID均为 VLAN 1。 开启该开关后,上行口的PVID将会设置为“管理VLAN ID”中配置的VLAN ID。 如果当前设备的上行口为Access口,缺省VLAN即为该接口允许通过的VLAN,修改该接口允许通过的VLAN即为修改该接口的缺省VLAN。 如果当前设备的上行口为Trunk口,该接口允许多个VLAN通过,但只能有一个缺省VLAN,修改接口允许通过的VLAN,不会修改接口的缺省VLAN。 上行口自动放行(仅交换机) 开启该开关后, 如果当前设备的上行口为Trunk口,会自动将管理VLAN加为允许通过的VLAN。 修改或清除管理VLAN后,如果当前设备的上行口为Trunk口,上行口中已允许通过VLAN中将保留原管理VLAN。 如上行口不再需要允许通过此原有管理VLAN,可在交换机接口页面删除。 如果当前设备的上行口为Access,会自动将管理VLAN作为缺省VLAN ID。 IP获取方式(仅交换机和AP) 配置管理IP地址的获取方式。对于交换机,仅当“管理VLAN”为自定义时才支持此功能。 动态:动态获取管理IP地址。 静态:手工设置管理IP地址,需配置IP地址、掩码和网关地址等。 说明: 通过静态获取IP方式时,AP设备还需配置DNS服务。
  • 操作步骤 打开华为乾坤APP。 登录华为乾坤APP。 如果尚未注册华为乾坤帐号 新用户注册 输入手机号码+验证码+密码进行注册。帐号名由系统自动生成,可以登录华为乾坤APP,在“我的”页签单击头像进行查看。 验证码登录 输入手机号码+验证码进行登录,首次登录会自动注册华为乾坤帐号。 如果已经注册华为乾坤帐号 使用密码登录 网站控制台注册的租户帐号可以用于登录华为乾坤APP。 新用户注册场景下,可以输入帐户名+密码进行登录。 使用验证码登录 输入手机号码+验证码进行登录。 使用华为乾坤APP(首页) 华为乾坤APP功能持续上新中,下图为示例界面,如果示例界面和下载安装后APP的界面略有差异,请以软件实际安装的界面为准。 首页总览 华为乾坤APP“首页”功能布局如表1所示。 表1 首页功能布局 序号 功能描述 1 点击查看地图:直观显示各站点的设备数量和安全信息。 2 我的站点:站点设备信息,可以切换站点,并展示各站点的拓扑。 3 网络体验:网络质量信息,可以切换站点,显示网络环境各评估维度的得分。 4 安全态势:安全告警趋势动态信息,单击安全告警类型(如外部攻击),可查看并处置安全告警。 5 发现:华为乾坤最新资讯。 6 工具:网络实用工具。 7 我的:用户中心,支持工单创建查询等操作。 添加设备:首次登录后请先根据提示扫码或者手动输入设备SN码添加设备,可以连续添加多台设备。首次添加设备后APP将设备添加到默认站点中。 创建站点:当您确定已录入全部设备后,请点击“下一步”选择或创建站点,默认站点名称为“我的网络”,直接点击“下一步”会创建默认站点。 设备连线:请根据指示完成设备的连线和初始配置。 当APP中已有站点时,如果需要新增其他站点,可以点击右上角的“+”或者点击“我的站点”模块内的“创建站点”新增站点(请以实际界面为准),然后根据提示在新增站点中添加设备。 如果站点中已有设备,请点击右上角的“+”,点击“扫描添加设备”添加新设备。 如果扫描后未能成功添加设备,可以使用手动输入的方式添加设备。 此处以添加AP为例,不同设备添加过程可能存在少许差异,请根据实际界面操作。 只有添加AP时,才提示编辑WiFi。 查看网络体验: 点击APP“首页”的“网络体验”进入网络体验的“概览”界面。点击“全部站点”可以切换站点,上方根据您选择的站点显示网络环境各评估维度的得分,下方显示设备信息和接入用户的信息。 点击“网络体验”中的“设备”或“接入用户”分别进入网络体验对应的界面。 “设备”界面:点击“全部站点”可以切换站点,您也可以筛选设备的状态以及设备类型,下方显示您筛选设备的相关信息。 “接入用户”界面:点击“全部站点”可以切换站点,下方显示接入用户的相关信息。 查看安全态势:点击APP“首页”的“安全态势”进入安全态势的“总览”界面。“总览”界面显示全部事件的数量,最多可以查看近30天内的威胁事件信息、资产风险等级、威胁事件类型。 安全态势的“总览”界面可以展示近30天或近7天或近24小时的安全态势,此处以近30天为例,点击“近7天”也可切换至近7天的安全态势信息。 处置威胁事件:点击下方“事件”可切换至“威胁事件”界面。“威胁事件”界面根据事件的状态、时间、级别显示相应的信息,点击“威胁事件”名称可以对其处置。 此处以处置“外部攻击源”为例,“失陷主机”和“恶意文件”处置方法与处置“外部攻击源”一致,可以参考处置“外部攻击源”。 查看资产:点击下方“资产”可切换至“资产”界面。“资产”界面根据资产的等级和状态显示相应的信息,点击具体的资产名称可查看资产具体信息。 查看站点拓扑:在首页进入站点后,点击右上角“查看拓扑”进入设备的“真实拓扑”界面,可以直观的体现设备之间的连接情况。手指滑动可以放大和缩小界面,点击右侧“还原”按钮可还原至初始大小。 WIFI管理:您可以在AP上创建Wi-Fi,创建完成后即可连接此Wi-Fi接入网络。 Wi-Fi调优:优化Wi-Fi的网络速度。 视频测速:分别使用720P/1080P/4K测试当前Wi-Fi播放视频的流畅情况。 您也可以在“工具”界面使用此功能。 升级管理:对当前在线的设备进行版本升级。 黑白名单:可以为天关创建和编辑IP黑名单、域名黑名单和白名单。 此处以创建“IP黑名单”为例,“域名黑名单”和“白名单”操作方法与创建“IP黑名单”相近,可以参考创建“IP黑名单”。 漫游测试:测试Wi-Fi覆盖率,比如在A房间已安装一个AP,在B房间测试Wi-Fi的信号强度、时延等,以决定在B房间是否也要安装一个AP。 您也可以在“工具”界面使用此功能。 Wi-Fi测速:测试当前连接Wi-Fi的下载速度、上传速度、网络延时。 您也可以在“工具”界面使用此功能。 Wi-Fi体检:从覆盖测试、业务体验、网络安全维度全面评估Wi-Fi的使用体验,并提示用户当前Wi-Fi可优化项。 您也可以在“工具”界面使用此功能。 设备密码:修改当前站点所有设备的admin账户的密码,忘记设备admin账户密码时,可以使用此功能重置密码。 AP指示灯:打开或者关闭AP指示灯,通过打开或者关闭AP指示灯可以快速找到AP所在的位置 。 AP计算器:快速计算网络覆盖需要的AP数量。 您也可以在“工具”界面使用此功能。 AP诊断:对未上云AP进行诊断,如果诊断结果是设备正常,您可以扫描设备上云,如果异常请根据提示修复。 下图示例中AP的模式为云管理模式,如果AP为非云管理模式,APP会提示用户切换云管理模式。 您也可以在“工具”界面使用此功能。 终端拨测:测试某个地点的Wi-Fi综合性能指标,包括信号强度、时延、网页连通性,互联网性能(上传/下载的速度)、Wi-Fi干扰等。 iobox:快速搜索和连接附近的蓝牙信号。 您也可以在“工具”界面使用此功能。 使用华为乾坤APP(工具)。 华为乾坤APP功能持续上新中,下图为示例界面,如果示例界面和下载安装后APP的界面略有差异,请以软件实际安装的界面为准。 工具总览 表2 功能布局 序号 功能名称 功能描述 1 Wi-Fi测速 测试当前连接Wi-Fi的下载速度、上传速度、网络延时。 2 Wi-Fi体检 从覆盖测试、业务体验、网络安全维度全面评估Wi-Fi的使用体验,并提示用户当前Wi-Fi可优化项。 3 AP计算器 快速计算网络覆盖需要的AP数量。 4 AP诊断 对未上云AP进行诊断,如果诊断结果是设备正常,您可以扫描设备上云,如果异常请根据提示修复。 5 漫游测试 测试Wi-Fi覆盖率,比如在A房间已安装一个AP,在B房间测试Wi-Fi的信号强度、时延等,以决定在B房间是否也要安装一个AP。 6 视频测速 分别使用720P/1080P/4K测试当前Wi-Fi播放视频的流畅情况。 7 IOBOX 快速搜索和连接附近的蓝牙信号。 8 安全报表 查看乾坤云服务月报的相关信息。 9 扫码查看端口 可以通过扫码或手动输入SN码的方式添加设备。 10 Ping 输入IP地址检测网络的连通情况。 11 Tracert 网络诊断工具,探测数据包从源地址到目的地址经过的路由器IP地址
  • 约束与限制 服务配套的天关和防火墙型号,请参见《华为乾坤安全云服务天关和防火墙上云清单》,服务涉及其他约束与限制,如表1所示。 表1 约束与限制 类别 约束与限制描述 漏洞扫描 针对非网站类型的资产:只支持对IP地址格式为IPv4的资产进行漏洞扫描。 针对网站类型的资产:只支持对“URL”格式为“http(s)://IP地址:端口号”的资产进行漏洞扫描。 可扫描资产的IP地址需为非云上保留IP。 云上保留IP:10.252.0.64/26,10.252.0.0/28,172.27.0.0/23,172.28.0.0/23。 单个扫描任务最多支持添加20个资产。 资产发现 目前仅适用于A类/B类/C类私有IP地址网段和资产IP白名单范围内的资产发现。 可发现资产的IP地址需为非云上保留IP。 云上保留IP:10.252.0.64/26,10.252.0.0/28,172.27.0.0/23,172.28.0.0/23。 规格类 所有租户最多支持200个资产同时扫描。 对于款型为USG66xxF-C、USG65xxF、USG66xxF、USG67xxF的设备,如需正常使用 漏洞扫描服务 ,设备上线后、服务启用前请执行以下配置代码:install feature-software WEAKEA 父主题: 产品介绍
  • 场景说明 防火墙存在传统模式和云管模式两种工作模式,默认情况下,防火墙处于传统模式。当防火墙使用在云管理网络中时,需要将防火墙切换到云管模式。 本文介绍在传统模式下,防火墙的上线操作,以及边界防护与响应服务、漏洞扫描服务、 云日志 审计服务所需的配置。 传统模式下,各服务配套的USG6000E系列防火墙所包含的机型,请参见《华为乾坤安全云服务天关和防火墙上云清单》。 父主题: USG6000E防火墙上线(传统模式)
  • 背景信息 华为乾坤按照以下顺序判定威胁事件是否为失陷主机。 如果是信任域内的主机存在攻击行为,判定为失陷主机。信任域的具体信息请参见配置设备安全域。 如果是全局白名单内的IP地址存在攻击行为,判定为失陷主机。全局白名单的具体信息请参见配置全局白名单。 如果是在不可信内网地址内的主机存在攻击行为,不判定为失陷主机。不可信内网地址的具体信息请参见配置不可信内网地址。 如果是缺省私网网段内的IP地址存在攻击行为,判定为失陷主机。缺省私网网段指10.0.0.0~10.255.255.255、172.16.0.0~172.31.255.555、192.168.0.0~192.168.255.255。 根据失陷类型的不同,安全运营专家可以为失陷主机打上“勒索”、“挖矿”、“蠕虫”、“远控”、“漏洞攻击”、“不安全配置”等标签,暂未识别失陷类型的归入“其他”。 针对失陷主机,华为乾坤向租户发送短信和邮件告警,失陷主机的状态置为“未处置”。租户需要进一步确认和处置,处置方法包括隔离主机和标记状态(已人工处置、忽略)。 USG6000F-C系列天关、USG6000F系列防火墙、USG12000系列防火墙从V600R023C10及之后的版本支持下发域名黑名单功能;USG6000E-C系列天关、USG6000E系列防火墙支持自动下发域名黑名单功能,并且开通如下版本时,才能使用自动下发域名黑名单功能。 同时购买边界防护与响应服务标准版+自动阻断 边界防护与响应服务试用版 边界防护与响应服务高级版
  • 后续处理 您可以单击失陷主机列表中的“录入资产”按钮,将失陷主机录入云平台。 使用IPv6地址的失陷主机不支持录入资产,资产录入的参数说明请参见《租户操作指南》中“资产录入”章节。 对于已录入的资产,您可以单击失陷主机列表中的资产名称,对资产信息进行编辑。 您可以单击失陷主机列表中的失陷主机IP,查看此失陷主机详情页面。 图3 失陷主机列表 失陷主机详情页面包含处置建议、处置记录、失陷类型分析和关联告警事件列表等信息。 您可以单击“导出详情”,导出包含失陷主机详细信息的Word格式文件。 图4 失陷主机详情页面 若租户同时购买智能终端安全服务,并检测到失陷主机存在挖矿行为或感染病毒,可以在详情页面的“处置建议”区域中进行处置。 一键隔离:隔离操作将会杀死该主机上的全部挖矿进程,并隔离这些进程文件。 病毒查杀:根据查杀结果,手动处理病毒文件(立即终止运行进程并将病毒文件移动到隔离区,或忽略不处置)。 若失陷主机上存在多个挖矿或病毒事件,对单个事件进行处置时,此失陷主机上的其余事件也会被同步处置。处置完成后,所有事件都会被标识为“已人工处置”状态。 导出完成后,请单击右上角帐号,选择“下载”,下载对应文件。 图5 下载中心 您可以单击失陷主机详情页面中关联告警事件列表中的事件名称,查看此事件的详情页面。 图6 事件详情页面 失陷主机详情页面可能涉及公网地址,仅用于事件信息展示以帮助用户了解威胁事件,服务不会主动发起与这些公网地址的连接。
  • 约束与限制 服务配套的天关和防火墙型号,请参见《华为乾坤安全云服务天关和防火墙上云清单》。 天关/防火墙的相关约束如下: 天关/防火墙接收日志的速率默认为3000条/秒,当企业内所有资产每秒上报的日志数量总和超过3000条后,天关/防火墙就会丢弃超过阈值的日志。 天关/防火墙最大支持的单条日志长度为1024字节,对长度超过1024字节的日志会进行截断。 天关/防火墙与资产之间不允许存在NAT设备,否则可能导致无法解析出资产的实际IP地址。如果企业内部网络存在NAT设备,需要在资产和NAT设备之间部署独立的天关/防火墙,并开启日志审计服务。 父主题: 产品介绍
  • 通过光Bypass插卡连接设备 前提条件 请确保天关及上下游设备光接口上已安装光模块。 请确保光Bypass插卡已经安装完好。 注意事项 光Bypass卡只支持LC接头单模光纤。 操作步骤 取下光Bypass插卡接口上的保护橡胶塞。 按照下图所示完成连线。 图2 通过光Bypass插卡连接设备 表1 接口使用说明 接口丝印 接口编号 说明 EXTERNAL接口0 - 用于连接上行设备的光接口(如:出口路由器)。 INTERNAL接口2 - 用于连接天关的奇数编号接口,此处以10GE0/0/1为例。 EXTERNAL接口0与INTERNAL接口2组成一条链路,保证天关与上行设备连接正常。 EXTERNAL接口1 - 用于连接下行设备的光接口(如:内网交换机)。 INTERNAL接口3 - 用于连接天关的偶数编号接口,此处以10GE0/0/0为例。 EXTERNAL接口1和INTERNAL接口3组成一条链路,保证天关与下行设备连接正常。 0 10GE0/0/0(光接口) 用于跟INTERNAL接口3连接。 使用上下相邻的一对光接口分别连接。 1 10GE0/0/1(光接口) 用于跟INTERNAL接口2连接。 说明: 请使用上下相邻的一对光接口分别连接INTERNAL接口2、INTERNAL接口3,此处以10GE0/0/1、10GE0/0/0为例。 1 GE0/0/1(电接口) 单独物理上网口,连接上行设备(如:出口路由器)。为此接口配置IP地址并确保可达互联网,天关通过该IP地址完成云端注册。请选取奇数编号接口,此处以GE0/0/1为例。 MGMT MEth0/0/0 设备管理网口,连接管理PC,用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 光Bypass插卡提供四个接口,包括两个EXTERNAL接口和两个INTERNAL接口。Bypass链路处于工作回路时,EXTERNAL接口0和INTERNAL接口2组成一条链路,EXTERNAL接口1和INTERNAL接口3组成另一条链路。Bypass链路处于保护回路时,两个EXTERNAL口直接相连组成一条链路。 天关上电后检查光纤连接后对应光接口的指示灯状态。如果指示灯常亮或闪烁,表示链路已连通或有数据转发;如果指示灯常灭,表示链路未连通。
共100000条