检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置用户组和用户 背景信息 在用户管理页面,增加用户组及组内帐号,用户可以通过该帐号进行认证。建议将同一权限的用户帐号分配在同一用户组,方便后续以用户组为单位进行授权操作。 表1 员工的账号数据规划表 用户组 用户名(即终端账号) Wire_Dumb_Group(有线教学上网终端组
(可选)创建RADIUS服务器 如果在其他场景用户认证时,已创建RADIUS服务器,则可以跳过本步骤。 背景信息 配置用户接入认证功能前,需要提前与设备对接的RADIUS服务器,本案例采用华为乾坤云平台内置的RADIUS服务器用于接入认证。 配置步骤 切换到高级参数配置模式。 以租户帐号登录华为乾坤控制台
终端用户分为员工、访客和哑终端三类,通过DHCP动态获取IP地址,核心交换机作为DHCP Server,终端用户使用的IP地址范围和业务VLAN如表3所示。
在企业交换机详情页面右下方,单击“创建连接”。 进入二层连接创建页面。 根据界面提示,配置二层连接的基本信息,配置参数请参见表1。 表1 参数说明 参数 参数说明 取值样例 企业交换机 企业交换机的名称,不用设置。
配置站点连接RR 操作步骤 在界面顶部,单击“连接RR”页签。 图1 连接RR 选择分支站点,单击“连接”。 在弹出的连接窗口中,选择要接入的RR站点,单击“检测”。 图2 连接RR检测 在检测通过后,单击“确定”。 配置后显示如图3所示。 图3 连接RR成功 父主题: AR开局部署
NTP数据规划 AR设备上报性能数据时,会携带时间戳,如果AR的时间和云平台不一致,则会导致管理员在查看该设备的性能数据时,性能数据的时间与实际不符,站点流量和质量数据无法显示。所以云平台通过配置NTP,使站点设备和云平台的时间保持一致。 RR角色的Hub站点的NTP需要“手动配置
开通云管理网络服务 已注册华为乾坤租户帐号,帐号可以是自注册或者MSP代建。 访问华为乾坤控制台,在登录页面单击“立即注册”。 根据页面提示设置用户名、 密码等信息,确认无误后勾选隐私声明和用户协议,并单击“注册并登录”。 已购买并开通了云管理网络,具体步骤请参见《服务开通》的“开通云管理网络套餐
网络设计参数规划 总部和分支站点均采用的是Internet链路,且为双链路。网络全局规划参数如表1和表2所示。 表1 网络设计参数(物理网络) 参数 数据 备注 传输网络 传输网络 Internet Internet1 使用系统默认数据。 路由域 Internet Internet
WAN链路模板规划 不同的站点往往需要配置相同的网关类型、WAN链路条数和传输网络。通过定制链路模板可以将这些重复的配置信息模块化。 图1 总部WAN链路模板规划图 表1 WAN链路模板(总部站点) 参数 数据 模板名 Double_RR_Mix 单/双网关 双网关 支持多子接口
结果验证 查看在线用户中,是否存在新认证的用户。 单击页面左上角按钮,选择“准入管理 > 准入运维 > 在线用户控制 ”,单击“在线用户”页签。 在“站点”处选择待查看的站点,然后在用户列表中,查看是否有通过当前认证方式新增的用户。 如果存在,表示认证通过。 如果不存在,请参考下一步查看认证日志
网关地址:10.1.10.1 如果有多级交换机的组网,只需要修改第一级交换机的配置。下级交换机会自动从上级交换机学习管理VLAN及无线管理VLAN。 确认接入交换机状态为“正常”,确认接入交换机已成功注册上线。 父主题: 设备上线
认证控制点侧的配置:本例中使用交换机随板AC作为认证控制点,一部分配置需要在云管理平台上配置并下发给随板AC,另一部分配置需要直接登录WAC的Web界面进行配置。 认证服务器侧的配置思路 Portal认证采用华为乾坤云平台内置的Portal服务器组件。
结果验证 单击“云管理网络 > 准入认证”,进入准入认证界面。 查看云上在线用户。 查看左下角“在线用户”,单击可展示在线用户管理详细信息,如图1所示。查看通过当前认证方式新增的用户,是否已被统计到在线用户中。 图1 在线用户 查看Portal上下线日志。 单击“用户认证失败记录”
WAN链路模板规划 不同的站点往往需要配置相同的网关类型、WAN链路条数和传输网络。通过定制链路模板可以将这些重复的配置信息模块化。 图1 总部WAN链路模板规划图 表1 WAN链路模板(总部站点) 参数 数据 模板名 Double_RR_Mix 单/双网关 双网关 支持多子接口
VN数据规划 企业内部多个部门业务有隔离要求,需要通过部门(即VN)来构建多个Overlay网络。保证不同的部门转发独立,转发互相不能访问,从而实现不同部门业务在网络转发层面的安全隔离。 表1 Overlay网络VN的基本信息 参数 数据 备注 VN名称 VPN1 界面展示使用。
使用CES服务监控ESW网络指标 ESW支持的监控指标 查看ESW的监控指标 创建告警规则 配置监控数据存储至OBS
创建站点并添加设备 前提条件 已规划好相关数据,并与客户达成一致,具体信息请参考站点和设备数据规划。 已获取设备款型和ESN号。 操作步骤 在SD-WAN服务流程引导区域,单击“站点及设备管理”。 图1 SD-WAN服务流程引导 创建站点。 在“站点管理”页签,单击“创建”,进入创建站点页面
创建站点并添加设备 前提条件 已规划好相关数据,并与客户达成一致,具体信息请参考站点和设备数据规划。 已获取设备款型和ESN号。 操作步骤 在SD-WAN服务流程引导区域,单击“站点及设备管理”。 图1 SD-WAN服务流程引导 创建站点。 在“站点管理”页签,单击“创建”,进入创建站点页面
总体配置思路 独立AC作为认证控制点,以云管理平台作为认证服务器部署用户接入认证机制,总体上需要完成两部分的配置: 认证服务器侧的配置:本例中使用云管理平台作为认证服务器,因此认证服务器侧的配置直接在云管理平台上完成即可。 认证控制点侧的配置:本例中使用独立AC作为认证控制点,配置需要直接登录
总体配置思路 对无线员工终端进行802.1X认证,认证点在独立AC,认证服务器是华为乾坤云平台。 认证服务器侧的配置思路 802.1X认证采用华为乾坤云平台内置的RADIUS服务器组件。 在认证服务器侧的整个配置过程如下: 在华为乾坤云平台创建用户组Wireless_Employee_Group
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
