华为云用户手册

租户基础操作 表1 租户基础操作 操作任务 使用场景 操作入口 详细参考链接 委托MSP管理 当您需要委托MSP（服务渠道商）进行日常运维时，需要执行委托操作。 单击控制台右上角个人帐号，选择“委托”。 委托MSP管理 创建工单 当您在使用服务时，一旦发现问题即可创建问题工单。随后，华为工程师根据工单记录进行问题分析和处理。 单击控制台右上角个人帐号，选择“我的工单”。 工单管理 新建用户 华为乾坤支持分权分域管理。您可以根据组织结构划分不同的工作组，并为不同的工作组创建用户。 单击控制台右上角个人帐号，选择“权限管理”。 创建用户 订阅 华为乾坤支持订阅功能。订阅之后，华为乾坤会向订阅接受者发送订阅主题相关的信息。 单击控制台右上角个人帐号，选择“订阅”。 订阅管理 查看日志 日志主要包括操作日志和安全日志。当您需要了解相关信息的时候，可以查看。 单击控制台右上角个人帐号，选择“日志”。 日志查看 父主题： 更多操作

使用前准备 配置两个集群互连。 规划部署GDS服务器，确保所有的GDS服务器可以和上面配置的两个集群所有节点网络连通，即GDS服务器的安全组入方向要放通对应的GDS端口（例如5000）和DWS端口（默认8000）。部署GDS请参考安装配置和启动GDS。 启动GDS时，可指定任意目录作为数据中转的目录，例如/opt，启动命令示例如下： /opt/gds/bin/gds -d /opt -p 192.168.0.2:5000 -H 192.168.0.1/24 -l /opt/gds/bin/gds_log.txt -D -t 2

操作步骤 假设远端集群的待同步表名称是tbl_remote，用于数据同步的用户是user_remote，该用户须对表tbl_remote有访问权限；假设本地集群的待同步表名称是tbl_local。 创建server。 CREATE SERVER server_remote FOREIGN DATA WRAPPER GC_FDW OPTIONS( address '192.168.178.207:8000', dbname 'db_remote', username 'user_remote', password 'xxxxxxxx', syncsrv 'gsfs://192.168.178.129:5000|gsfs://192.168.178.129:5000' ); server_remote为server名称，供互联互通外表使用。 address为远端集群CN的IP地址和端口，仅允许填写一个地址。 dbname为远端集群的数据库名。 username为连接远端集群使用的用户名，注意该用户不能为系统管理员。 password为连接远端集群使用的用户名的密码。 syncsrv为GDS Server的IP地址和端口，如果有多个地址使用|分割，与GDS外表的location类似。 GaussDB(DWS)会对syncsrv所设置的GDS地址进行网络连接测试： 只能判断本地执行集群与GDS的网络情况，无法判断远端集群与GDS的网络情况，需要注意报错提示。 在移除不可用GDS后，从中选择不会导致业务hang的、数目适当的GDS进行数据同步。 创建互联互通外表。 CREATE FOREIGN TABLE ft_tbl( col_1 type_name, col_2 type_name, … ) SERVER server_remote OPTIONS ( schema_name 'schema_remote', table_name 'tbl_remote', encoding 'utf8' ); schema_name为远端集群表所属schema，如果该option缺省，则schema_name预设为该外表所在的schema。 table_name为远端集群表名，如果该option缺省，则table_name预设为该外表的表名。 encoding为远端集群的编码，如果该option缺省，则编码使用本地集群数据库的默认编码。 选项schema_name、table_name大小写敏感，必须与远端schema、table的名字大小写保持一致。 互联互通外表的列不允许带任何约束。 互联互通外表的列名、列类型必须与远端集群的表tbl_remote的列名和列类型完全一致。 SERVER须设置为步骤1中新建的server，必须包含syncsrv属性。 使用互联互通外表进行数据同步。 本地集群是目标集群时，发起数据同步业务： 全列全量数据同步： 1 INSERT INTO tbl_local SELECT * FROM ft_tbl; 全列过滤条件数据同步： 1 INSERT INTO tbl_local SELECT * FROM ft_tbl WHERE col_2 = XX; 部分列全量数据同步： 1 INSERT INTO tbl_local (col_1) SELECT col_1 FROM ft_tbl; 部分列过滤条件数据同步： 1 INSERT INTO tbl_local (col_1) SELECT col_1 FROM ft_tbl WHERE col_2 = XX; 本地集群是源集群时，发起数据同步业务： 单表数据同步： 1 INSERT INTO ft_tbl SELECT * FROM tbl_local; join结果集数据同步： 1 INSERT INTO ft_tbl SELECT * FROM tbl_local1 join tbl_local2 ON XXX; 如遇到报错连接失败，请检查server的信息确认两个集群是否已经相互连通。 如遇到报错GDS连接失败，请检查syncsrv指定的GDS Server是否都已经启动，且与两个集群所有节点可以网络连通。 如遇到报错表不存在，请检查外表的option信息是否正确。 如遇到报错列不存在，请检查外表的列名是否与源表一致。 如遇到报错列重复定义，请检查是否相应列名超长，若超长建议使用AS别名精简。 如遇到报错无法解析列类型，请检查语句中是否有列上表达式。 如遇到报错列信息不匹配，请检查外表的列信息是否与远端集群对应表的列信息是否一致。 如遇到报错语法不支持，请检查是否使用了Join、distinct、排序等复杂用法。 如遇到乱码，请检查两端数据库的实际编码是否一致。 当本地集群是源集群时，存在极小的概率出现数据成功同步到远端集群，但是本地集群返回执行失败的情况，针对这种情况建议校验同步数据记录数。 当本地集群是源集群时，通过事务块、子事务等控制的数据同步，需要总事务提交后才能查询到数据同步结果。 删除互联互通外表。 DROP FOREIGN TABLE ft_tbl;

使用场景 将数据从一个集群同步到另外一个集群，支持全量数据同步、过滤条件数据同步。 目前互联互通仅支持以下使用方式，除以下语句外，其他类型的语法均不支持。 INSERT INTO 内表 SELECT ... FROM 互联互通外表1 [WHERE]; INSERT INTO 互联互通表 SELECT * FROM 内表1 [JOIN 内表2 | WHERE]; SELECT ... FROM 互联互通表;

注意事项 创建的互联互通外表与其对应的远端表的列名和类型名要完全一致，且远端表的类型为行存表或列存表。 执行同步语句时，要确保本地集群、远端集群的待同步表已存在。 使用期间，两个集群的状态应为Normal。 两个集群都需要具备基于GDS的跨集群互联互通功能。 建议两端集群的数据库编码保持一致，否则可能出现报错或者收到的数据为乱码。 两端集群所指定的数据库兼容类型要保持一致，否则可能报错或乱码。 确保执行数据同步的相关用户对待同步表有相应的访问权限。 互联互通外表只能用于跨集群数据同步场景，其他场景可能出错或无效。 互联互通外表不支持复杂的列上表达式，不支持复杂语法，包括join、排序、游标、with、集合等。 不下推的SQL语句无法使用本特性进行数据同步，否则会报错。 不支持EXPLAIN计划、逻辑集群。 不支持除了simple模式以外的JDBC模式。 当本地集群同步数据到远端集群时，只支持内表查询。 Foreign Server的syncsrv选项指定的GDS不支持SSL模式。 数据同步结束时只校验数据行数，不校验数据内容。 业务最大并发数不能大于GDS启动参数-t的一半，同时也不能大于max_active_statements，否则可能会导致业务超时失败。

使用DRS将数据导入GaussDB(DWS) 使用数据复制服务（Data Replication Service，简称DRS），可以将其他数据源的数据导入到GaussDB(DWS)集群的数据库中。当前支持导入的数据源主要包括以下： MySQL DDM PostgreSQL（公测） Oracle（公测） GaussDB分布式版（公测） 请参见DRS实时同步章节。 其中PostgreSQL、Oracle、GaussDB分布式版的数据源属于公测阶段，请移步到DRS管理控制台，通过新建工单方式申请公测。 父主题： 实时入库

Kafka实时入库到GaussDB(DWS) 通过数据湖探索服务 DLI Flink作业将Kafka的消费数据实时同步至GaussDB(DWS)数据仓库，实现Kafka实时入库到GaussDB(DWS)的过程。 了解DLI请参见数据湖产品介绍 。 了解Kafka请参见分布式消息服务Kafka产品介绍。 图1 Kafka实时入库DWS 具体操作请参见通过DLI Flink作业将Kafka数据实时写入DWS。 父主题： 实时入库

专享版与共享版的差异 API网关当前提供共享版与专享版两种服务方式。其中共享版API即开即用，专享版API网关需要购买专享版实例，并在实例中管理API。 专享版API网关常用于企业内部系统解耦，各服务部署在云上的VPC内，服务之间以RESTful API方式通信，通信链路在VPC内部进行，网络安全得到进一步保障。同时专享版实例支持前端或后端服务部署在公有网络，通过绑定弹性公网IP实现网络交互。 表2 共享版与专享版API网关差异 差异项 共享版 专享版 计费 按API的调用量和公网流量计费。 按实例规格与公网出口带宽计费。 网络访问 公网访问。 实例运行在虚拟私有云（VPC）中，在VPC内，使用实例的虚拟私有云访问地址调用API。 可通过开启公网入口与出口访问，允许外部服务调用API，及后端部署在外部网络环境中。 云商店售卖 API可在云商店公开售卖。 不支持将API上架到云商店公开售卖。 使用对象 小型用户。 物理隔离要求较低，能够开箱即用，快速实现API能力开放。 中大型用户。 专享版API网关拥有物理隔离的独立集群， 更丰富的特性。 满足内部API调用跟API开放，专享独立的公网带宽。 API网关的共享版与专享版在功能上的异同点如下表所示。 表3 共享版与专享版API网关功能差异 规格分类 规格描述 共享版 专享版 基本功能 精细化流控 √ √ IP&用户访问控制 √ √ 安全认证 √ √ API生命周期管理 √ √ 自定义域名 √ √ Swagger导入导出 √ √ 支持VPC通道（负载通道） √ √ API参数编排 √ √ API分组变量管理 √ √ 高级功能 自定义认证 √ √ 支持对接API云商店 √ 即将支持 支持API策略路由 √ √ 运维分析展示 √ √ 支持后端负载均衡 × √ 支持内部API管理 × √ 后端支持对接私有云 × √ 支持对接专线服务 × √ 插件 × √ 日志分析 × √ 性能指标 独立物理多租集群 × √ 出、入网带宽独立 × √ 推荐每秒请求次数 200TPS 4000~10000TPS

专享版规格 专享版实例规格说明如下表所示。 表1 专享版实例规格说明 实例规格 每秒最大请求数 带宽 内网每秒新建连接数 基础版 2000 单AZ：50Mbit/s 双AZ及以上：100Mbit/s 1000 专业版 4000 单AZ：100Mbit/s 双AZ及以上：200Mbit/s 1000 企业版 6000 单AZ：200Mbit/s 双AZ及以上：400Mbit/s 1000 铂金版 10000 单AZ：400Mbit/s 双AZ及以上：800Mbit/s 1000 铂金版 x2 20000 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1000 铂金版 x3 30000 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1000 铂金版 x4 40000 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1000 铂金版 x5 50000 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1000 铂金版 x6 60000 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1000 铂金版 x7 70000 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1000 铂金版 x8 80000 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1000 部分新特性（支持实例规格变更、断路器策略等）在新版实例中才能使用，如果您发现当前实例不支持，请联系技术支持升级实例版本。 专享版实例对于API的各项默认配额，与共享版一致。 专享版的“每个API的访问频率”可调整上限，参考配置为上表所列出的每秒最大请求数。 专享版实例规格变更请参考实例规格变更。 目前仅北京四、上海一支持选择更多铂金版规格。 实际业务中网络、请求协议、响应时延等因素可能导致数据产生差异，专享版实例规格中的参数值仅供参考。专享版实例规格为在以下条件中测试得出： 连接协议：https 连接类型：长连接 并发数：100 认证方式：无认证 返回数据大小：1KB 带宽：10MB

配置思路 图 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 原始校园组网方案不变，WAC和Fit AP设备已打通管理通道。为方便管理和运维，现将WAC和Fit AP设备在华为乾坤云平台纳管。其中WAC通过命令行方式上云，Fit AP组通过配置CAPWAP源接口上云，然后远程进行业务配置。 数据规划。 Fit AP的安装点位保持原有设计。 基于现有组网规划网络信息，包括接口参数、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 准备工作：针对现有组网，获取AC和Fit AP设备基本信息，同时检查设备状态和网络状况。 创建站点并添加设备：在华为乾坤云平台创建站点，将AC和Fit AP设备加入同一个站点，以便统一配置。 配置设备上线云平台。 AC设备注册上线：工作模式切为云管理模式，采用Web网管配置对接云平台。 Fit AP设备注册上线：配置CAPWAP源地址接口。 在华为乾坤云平台配置网络业务。 认证授权准备。 员工Wi-Fi采用用户名密码认证，创建员工用户组，定制Portal推送页面、推送策略、认证规则等。 访客Wi-Fi采用短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 配置无线业务。 认证服务器侧（华为乾坤云平台）：创建无线认证模板，配置员工和访客无线子网业务。 认证控制点侧（AC）：通过Web网管配置员工和访客无线子网业务，包括创建SSID模板、认证模板和QoS策略等。 配置设备数据上报。 上报设备侧基础数据至华为乾坤云平台，实现整网设备状态界面可视。 上报设备侧运维数据至华为乾坤云平台，以便进行网络故障识别、智能分析处置等运维操作。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 独立AC+Fit AP监控上云组网场景

背景信息 除DHCP Option、注册查询中心等即插即用上线方式外，交换机也支持通过本地Web网管界面，手工配置华为乾坤云平台的URL/IP和端口号信息，最终完成上线。 交换机上如何使能NETCONF、切换到云管理模式，以及设置华为乾坤云平台对接参数的操作过程如下。除此之外，还需要保证交换机与华为乾坤云平台能够互通，才能完成上线。 V600款型交换机目前不支持通过Web网管方式上云，请通过其他方式上云。

无线网络健康度 通过无线网络健康度可以查看如下信息： 指标概览 查看接入成功率、接入耗时、漫游达标率、信号与干扰、容量健康度和吞吐达标率六大统计指标的评分高低。 单击各统计指标，在页面右侧可查看统计指标的变化趋势，以及各统计指标的根因指标数据和与该根因指标相关的问题概览。 单击任一根因指标数据，可查看该根因指标的相关详细信息，包括当前时间窗内该根因指标的趋势图、与该根因指标数据相关的问题列表与异常分析等。 健康度得分趋势 查看园区健康度得分变化趋势。 Top10 站点健康度排名 查看园区网络情况的整体健康度排名。 父主题： 网络环境监控

数据规划 表1 无线访客数据规划 配置项 数据 SSID模板 模板名称：wlan-net-ssid SSID名称：Guest 转发模式：隧道转发 业务VLAN：VLAN20 绑定AP组：default 安全模板 名称：wlan-net-security 安全策略：Portal认证 HACA接入配置 服务器IP地址：华为乾坤云平台南向IP地址139.9.137.139 URL：https://139.9.137.139:19008/portal 报文端口号：50100 重定向配置： AC-MAC关键字/AC-MAC：wac-mac 用户访问URL关键字：redirect-url 用户MAC关键字：umac 用户IP地址关键字：uaddress SSID关键字：ssid

操作步骤 防火墙云管模式纳管，二层口配置上线，VlANIF和静态路由配置会被清除，导致设备离线，需要在站点进行预先配置才能正常上线。 防火墙与华为乾坤云平台建立连接以及被平台纳管的过程如图 防火墙与平台建立连接和纳管过程所示。 图1 防火墙与平台建立连接和纳管过程 防火墙向注册查询中心查询华为乾坤云平台的域名和端口信息。 防火墙连接上Internet以后，自动向注册查询中心（默认域名register.naas.huawei.com）发送HTTP2.0通道建立请求。 在空配置条件下，防火墙将以传统模式启动。启动过程中，防火墙会把接口状态为UP的业务口的DHCP Client和DNS Client功能打开，并将此接口加入安全区域，然后开放安全策略，以使自己可以成功连接上Internet。 防火墙在传统运行模式下时，管理员不可以登录防火墙，否则会造成后续防火墙无法自动切换到云管理模式，造成连接云平台失败。如果管理员已经误登录，请恢复防火墙空配置这个初始条件后重启设备，以便防火墙能自动连接到云平台。 注册查询中心向防火墙返回HTTP2.0通道连接响应消息。 建成的HTTP2.0通道用来传送后续的域名查询请求。 防火墙向注册查询中心发送域名查询请求。 此消息用来查找防火墙所要连接的华为乾坤云平台域名和端口。 注册查询中心向防火墙返回查询结果。 注册查询中心会从云管理平台同步防火墙的SN、设备类型、平台域名和端口等信息，然后将此信息返回给防火墙。 防火墙收到平台域名和端口信息后，会自动把运行模式切换成云管理模式。 防火墙切换为云管理模式时，会触发一次设备重启，该重启属于正常现象。 如果防火墙查询无果，系统将不进行云管理模式切换，而是以传统模式完成启动。系统启动完成后，之前为业务口开放的DHCP Client功能会关闭、接口与安全区域的绑定关系取消，并恢复缺省的安全策略。 防火墙连接和纳入华为乾坤云平台。 防火墙向平台发送NETCONF通道连接请求。 连接请求中携带了防火墙的设备证书，此证书供平台验证防火墙的身份。 平台向防火墙返回NETCONF通道连接响应消息。 建成的NETCONF通道用来传送后续的查询请求、业务配置等消息。 防火墙和平台彼此向对方发送Hello报文，检测NETCONF通道连接状态。 平台向防火墙发送设备信息查询请求。 防火墙将自己的设备信息返回给平台。 平台根据上一步获得的防火墙信息，向该设备下发业务配置。 防火墙向平台返回配置结果。 华为乾坤云平台可以向防火墙正常下发业务配置，这就表示防火墙已经纳入了平台的管理。纳入平台管理的防火墙会主动上报NETCONF Notification告警。

Portal微信公众号认证（AP作为认证点） 访客可以通过关注微信公众号获取链接进行认证。用户关注公众号之后，在公众号中回复消息，公众号返回上网链接，用户单击链接认证，也可以直接在公众号单击上网菜单认证。支持单公众号认证和多公众号认证，多公众号适用于商家有多个公众号，用户不论关注哪个公众号，都能获取到认证链接上网的场合。 总体配置思路 配置微信公众平台 认证服务器侧的配置 认证控制点侧的配置（配置SSID） 结果验证 父主题： 配置用于访客上网的准入认证

创建三方系统接入用户 获取试用权限，当前仅限于华为内部测试用，可联系网络环境监控和用户体验保障服务研发团队进行支持，协助进行开通；外部帐号只能通过购买云管理网络服务获得试用权限。 登录华为乾坤控制台。 鼠标移动至登录用户名，在下拉菜单中单击“权限管理”，选择“用户管理”页签。 单击“创建”，创建用户。 在“基本信息”界面，“类型”选择“三方系统接入用户”，并依次设置访问API接口的用户名和密码，单击“下一步”。 在“选择角色”界面，勾选“云管理网络开放接口操作员”。 创建完成后，通过用户名和密码，调用IAM接口获取到Token。

Token认证 Token的有效期为30分钟，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 使用Token前请确保Token离过期有足够的时间，防止调用API的过程中Token过期导致调用API失败。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 Token可通过调用获取用户Token接口获取，请求body填写数据，参考如下所示。 POST https://openapi.qiankun-saas.huawei.com/v1/iam/tokens Content-Type: application/json { "user_name": "***", "password": "***" } 获取Token后，再调用其他接口时，您需要在请求消息头中添加“x-auth-token”，其值即为Token。例如Token值为“ABCDEFJ....”，则调用接口时将“x-auth-token: ABCDEFJ....”加到请求消息头即可，如下所示。 GET https://openapi.qiankun-saas.huawei.com/v1/ci/expmonitor/common/basic?param={"id":"/","regionType":"site","level":0,"tenantId":"default-organization-id","startTime":1597766400000,"endTime":1597820400000,"settingRefresh":false,"metricType":"accessSuccessRate"} Content-Type: application/json x-auth-token: ABCDEFJ....

配置思路 图 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以云AP作为网关设备，所有AP均在华为乾坤云平台纳管。AP通过华为乾坤APP注册上线，然后远程进行Wi-Fi业务配置。 数据规划。 手动规划AP的安装点位，确保AP的无线信号对咖啡厅实现全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 手机下载并安装华为乾坤APP软件，用于网络开局和验收。 现场安装AP设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有咖啡厅AP设备加入同一个站点，以便统一配置。 配置AP接入Internet：AP出口接入运营商网络，采用华为乾坤APP配置。 AP通过华为乾坤APP扫码，完成华为乾坤云平台上线。 在华为乾坤云平台配置网络业务。 认证授权准备： 员工Wi-Fi采用PSK认证，无需认证准备，默认即可。 访客Wi-Fi采用微信链接认证，配置华为乾坤云平台与微信平台对接，定制Portal推送页面、推送策略、认证规则等。 配置AP业务： 配置DHCP Server，为用户终端分配IP地址。 配置员工和访客Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监测各设备状态信息。 父主题： 单AP组网场景

协议回放 协议回放，基于用户接入Wi-Fi三阶段（关联、认证、DHCP）进行协议级别的精细化分析，细化各阶段协议交互的详情，提供用户接入问题的根因与修复建议，是解决Wi-Fi连不上问题的一个强有力的武器。 您可以通过协议回放查看如下信息： 基本信息 查看用户的基本信息，包括用户名和用户MAC。可单击基本信息中的头像或进行用户的切换，单击用户旅程按钮可跳转至用户旅程页面。 接入趋势 查看此用户在当前时间窗内各时间段的接入情况。 接入分布 查看此用户上发生的连接成功、失败数。 会话列表 会话列表显示了该用户在所选时间段的所有会话连接情况。 选择一条会话，可以查看当前用户在关联、认证、DHCP三个阶段的具体请求和响应信息。单击“关联”、“认证”或“DHCP”，可查看对应阶段的协议回放信息。对于失败的会话，给出了失败的大概率根因和修复建议。 父主题： 用户体验保障

配置思路 图 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以第三方路由器作为网关设备，所有AP和接入LSW通过注册查询中心方式上云，被华为乾坤云平台纳管，然后远程进行业务配置。 数据规划。 使用工具自动规划AP的安装点位，确保AP的无线信号对超市全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置设备上线云平台。 交换机注册上线：交换机由第三方路由器（DHCP Server）分配IP地址，通过注册查询中心方式上线云平台。 AP注册上线：AP通过交换机接入Internet，且保持空口配置和串口无输入两个条件，便可以通过预置的华为注册查询中心的URL（register.naas.huawei.com）和端口号（10020），在获取管理IP地址后将自动向华为注册查询中心发起HTTP2.0连接请求。 配置交换机业务。 在华为乾坤云平台配置交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置认证接入。 员工Wi-Fi采用802.1X认证。 访客Wi-Fi采用Portal（短信认证），配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 有线哑终端通过MAC认证：认证点在接入交换机，认证服务器是华为乾坤云平台。 结果验证：确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 仅接入LSW+云AP组网场景

办公：关键问题分析识别，网络智能运维 如今，传统办公网的建设和运维越来越难以适应新的时代变化，尤其是Wi-Fi网络的普及，难于进行故障定界和根因分析。如何提升办公网络的运维效率，如何让网络更好的服务于员工的日常生活办公，已经成为企业IT团队的关键挑战。 如图2 云管理网络在企业办公场景的应用所示，基于华为乾坤云管理网络的智慧办公方案，网络服务即买即用，不仅缩短了企业分支的建网时间，而且IT运维人员在云上就可以实时感知网络质量评分，体验网络智能运维。 无线网络健康度实时评估：基于云上智能分析技术，提供7*24小时的网络健康度模型分析能力，从接入成功率、接入耗时、漫游达标率、吞吐达标率、信号与干扰、容量健康度多维度分析全网健康度，一键式网络问题排查和故障定位。 用户网络体验看护：基于云上智能分析技术，提供7*24小时的用户360网络体验评估能力，实时筛查发现网络质差用户，可一键直达定位用户质差原因。 图2 云管理网络在企业办公场景的应用

零售：门店极简开局，大幅提升开局效率 在零售行业，随着业务的快速发展，零售门店的建设也会快速扩张。采用传统的开局部署方式，规划、部署、网优、验收整个过程下来一般需要至少1周的时间，而且网络部署过程中需要工程师多次现场调试，这种传统的网络部署方式效率低下，人力成本居高不下，无法实现零售门店的快速扩张。 如图 云管理网络在零售门店场景的应用所示，采用华为乾坤云管理网络的智慧零售方案，分支网络可以实现自动规划与设计，一键完成批量业务配置，所有设备即插即用，不需要工程师现场调测。这种方式能够保证在业务快速扩张的情况下网络服务能够即需即得，部署一家门店的时间由1周降低至1天。 图1 云管理网络在零售门店场景的应用

配置思路 图1是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以第三方路由器作为网关设备，整网设备均在华为乾坤云平台纳管。其中WAC、核心交换机通过Web网管、命令行方式上云，核心交换机下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 使用云网规工具自动规划AP的安装点位，确保AP的无线信号对大型卖场全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等，并确保两台核心交换机完成堆叠配置。 第三方路由器作为出口网关，已接入运营商网络，并确保其与核心交换机的对接，保证路由可达。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置设备上线云平台。 核心交换机注册上线：采用命令行配置对接云平台。 核心交换机下挂设备注册上线：在核心交换机（作为DHCP Server）上配置下挂设备的地址池和DHCP Option148参数。接入交换机采用DHCP Option148方式注册上线，也就是从DHCP Server上获取IP地址的同时也获取华为乾坤云平台的IP/URL地址和端口号，完成注册上线。 WAC注册上线：工作模式切为云管理模式，采用Web网管配置对接云平台。 在华为乾坤云平台配置网络业务。 配置交换机业务。 配置核心交换机下行接口，以及接口允许通过的VLAN等参数。 配置接入交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置核心交换机的DHCP Server功能，为用户终端分配IP地址。 配置认证业务。 员工Wi-Fi采用802.1X认证，使用默认的认证授权配置。 访客Wi-Fi采用短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 哑终端接入采用MAC认证。 配置员工和访客Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 仅核心交换机+接入交换机+AP+独立AC组网场景

设备列表支持的操作 添加设备。 手动添加设备： 单击设备列表右上方“手动添加”，进入添加设备页面。 选择设备所属站点。 如果不选站点，网络设备添加到平台后，不归属任何站点，安全设备（防火墙）添加到平台后，会自动归属默认站点（系统自行创建，一般以default-site加上uuid的前8位命名）。 在“待添加设备列表”区域单击“添加”，支持按设备SN或设备类型方式添加设备。 按SN添加：输入相应的设备序列号，单击“确定”。 单个SN长度在10-40位之间，只允许包含数字和字母。 如果按SN方式添加失败，请使用设备类型方式添加设备。 如果设备SN被占用，导致无法添加设备，请在右上角的帐号下，单击“我的工单”，提交工单寻求解决方法。或者联系MSP清除设备SN。 （推荐）按设备类型添加：选择设备类型（AP/WAC/交换机/AR/防火墙）、设备款型、设备数量，单击“确定”。 （可选）补充和完善设备信息。 如果添加的设备涉及防火墙/交换机，请务必执行本步骤，否则会影响后续网络操作。 防火墙的SN信息不能为空，需要您手动输入。 AR设备角色默认为“出口网关”，如不符合实际情况，请手动修改角色（出口网关/网关+路由反射器）。 交换机角色默认是“接入交换机”，如果不符合实际情况，请手动修改角色（汇聚/核心/接入）。 安全设备（防火墙）： 选择目标设备，单击按钮，设备SN信息为必填项，其余参数参考表 安全设备参数说明设置，完成后单击“确定”。 表3 安全设备参数说明 参数 参数说明 设备名称 设备名称仅包含字母、数字、中文和特殊符号（不含空格）。 SN 设备序列号，是设备的唯一识别码，必填参数。 设备款型 当前支持“云管模式”的防火墙型号有：USG6106E、USG6305E、USG6306E、USG6308E、USG6312E、USG6322E、USG6332E、USG6350E、USG6305E、USG6309E、USG6315E、USG6325E、USG6335E、USG6355E、USG6365E、USG6385E、USG6395E、USG6525E、USG6515E、USG6550E、USG6560E、USG6580E、USG6555E、USG6565E、USG6575E-B、USG6585E、USG6605E-B。 防护网段 可配置防护网段及范围，用回车分隔。示例： 10.0.0.0/11 10.0.0.0-10.31.255.255。 高级设置（可选） 只有支持“云管模式”的防火墙款型才会显示此功能，具体款型清单参考本表“设备款型”参数说明。 传统模式：用户需要登录设备进行网络配置。 云管模式：用户可以在平台进行网络配置，且配置自动下发到设备。 说明： 请确保平台侧工作模式与设备实际配置的工作模式一致，否则会导致设备或网络异常。 如需将“传统模式”（防火墙设备出厂时默认“传统模式”）切为“云管模式”并成功被华为乾坤云平台纳管，具体请参见配置防火墙上线。 如需将“云管模式”切为“传统模式”，目前仅支持通过命令行操作。通过Console方式登录防火墙设备，在系统视图下执行命令： 查看当前防火墙工作模式：display firewall run-mode。 切为传统模式：undo firewall run-mode cloud-manage。 网络设备（AR/交换机/AP/WAC）： 选择目标设备（以交换机为例），单击按钮，设置SN、角色等信息，完成后单击“确定”。建议输入网络设备SN信息，方便后续设备上线。 确认设备信息无误后，最后单击“确认”。 批量导入（仅网络设备支持）： 单击“批量导入”，下载模板并填写好设备信息，然后导入即可。注意，导入的设备条数不超过1000条。 查看设备详情。 不同设备类型展示的信息不同，此处以“AP设备”为例。 单击指定的AP设备名称，进入AP设备详情页面，详细介绍如表4所示。 表4 设备详情介绍表 模块 说明 设备概览 设备信息概览：显示了设备名称、版本、补丁版本、型号、SN等信息。 配置锁定/解锁（仅网络设备支持）： 当设备处于正常状态，可以配置锁定，一旦锁定后新策略将无法下发到设备上；当设备处于“锁定”状态，可以配置解锁，重新下发策略。 远程登录：单击“远程登录”可直接跳转设备网管界面，支持查看设备信息、配置设备业务等。 说明： 只有设备已上线，设备状态处于正常或告警，才能使用远程登录功能。 目前只有AR、防火墙、WAC和部分交换机款型支持远程登录。 命令行（仅防火墙支持）：单击“命令行”可直接跳转设备CLI界面，支持查看设备信息、配置设备业务等。 说明： 只有防火墙设备处于正常或告警状态，并在站点配置界面手动修改accampus密码之后，才能使用命令行功能。修改accampus密码操作请参见修改密码。 基本信息（仅网络设备支持） 不同设备类型对应的基本信息不同。 AP：显示了设备接口、SSID、漫游邻居信息。 交换机：显示了接口信息，如接口名称、类型、运行状态、管理状态等。 WAC：显示了与WAC关联的AP列表信息，如AP的SN、型号、状态等。若关联的 Fit AP设备存在异常，可选择异常设备，单击AP列表右上方“修复”。 AR：显示了物理接口、报文速率等信息。 射频（仅AP支持） 射频：显示了频段、信道、频宽、功率、噪声强度等信息。 报文信息：显示了报文速率和报文统计信息。 资源 说明： 若设备未加入站点，将不会产生资源数据。 不同设备类型对应的资源信息不同，默认是最近24小时内的资源使用信息，可自定义时间段。 AP：显示了某一段时间内CPU使用率、内存使用率、网络速率和连接终端数。 交换机：显示了某一段时间内CPU使用率、内存使用率、存储空间使用率和温度。 WAC：显示了某一段时间内CPU使用率、内存使用率和网络速率。 AR：显示了某一段时间内CPU使用率、内存使用率和存储空间使用率。 防火墙：显示了某一段时间内CPU使用率、内存使用率、接口出口和接口入口速率等信息。 用户列表（仅AP支持）：支持通过终端MAC和终端IP查询用户，列表显示了名称、终端MAC、终端IP、SSID、无线信号强度、重传率、丢包率、信噪比等信息。 性能监控（仅AP、WAC、AR和LSW支持） AP支持查看下列指标： 指标概览 AP的性能指标概览信息，包括当前时间窗内此AP上总接入用户数、接入过程中各阶段失败次数等。单击各阶段失败次数，可跳转至接入分析页面查看该AP接入趋势。 问题分布 环形图直观展示了此AP上发生的所有问题的分布情况。 设备指标趋势 单击“查看趋势”，在“设备”页签，可查看设备的各性能指标趋势。 射频指标趋势 单击“查看趋势”，在“射频”页签，可分别查看不同频段射频的各性能指标趋势。 用户指标趋势 单击“查看趋势”，在“用户”页签，可分别查看不同频段射频用户的各性能指标趋势。 VAP指标趋势 单击“查看趋势”，在“VAP”页签，可查看VAP的各性能指标趋势。 QoS队列指标趋势 单击“查看趋势”，在“QoS队列”页签，可查看QoS队列的各性能指标统计和趋势。 AP健康度 单击“查看指标”，查看各时间段内此AP在不同频段上的各项性能指标数据，包括设备指标、射频指标、用户指标、VAP指标和QoS队列指标。鼠标悬停在在线用户数、信道利用率、干扰率等指标上时，会显示该指标的好、中、差阈值范围。如果指标数值属于中阈值范围时，该数值会被标为橙色；如果指标数值属于差阈值范围时，该数值会被标为红色。 关键事件 以小时为单位，展现每小时内此AP的基础指标概览信息（包括接入用户数、接入过程中各阶段失败次数等）以及关键事件（包括AP离线、关联失败、功率变化等）。单击各阶段失败次数，可跳转至接入分析页面查看该AP接入趋势。 关键事件红色标注时属于紧急事件；橙色标注时属于重要事件；黄色标注时属于一般事件。 时间节点为红色表示该节点下存在紧急事件；橙色表示该节点下存在重要事件；黄色表示该节点下存在一般事件；绿色表示该节点正常，无事件发生。 LSW支持查看设备指标、单板指标、接口指标及光模块指标。在下拉框中选择具体的指标名称，可查看指标数据，单击支持查看指标趋势。 WAC、AR支持查看设备指标、单板指标及接口指标。在下拉框中选择具体的指标名称，可查看指标数据，单击支持查看指标趋势。 故障告警 支持查看告警级别、名称、发生时间和告警内容等信息，告警级别如表 设备告警级别所示。 查看告警详情（仅网络设备支持）：在故障告警列表单击按钮，查看告警内容、来源、类型、定位信息等，以便后续定位和解决故障告警。 单个清除：对于网络设备告警，在故障告警列表单击或者勾选目标告警单击列表右上角“清除”。 对于安全设备告警，在故障告警列表点击“清除告警”或者勾选目标告警单击列表右上角“清除”。 批量清除：勾选目标告警，单击列表右上角“清除”。 全部清除：单击列表右上角“全部清除”。 说明： 若告警未经过处理就被清除，则该告警信息会再次上报。 任何级别的告警均可以清除。 设备告警清除，约3分钟后，工作台首页智慧体网络评分会变高，首页智慧体告警链接也会消失。 在设备在线状态不变的情况下，若清除离线告警信息，则首页智慧体不会再展示该离线告警。其他类型告警清除后若再次上报，则智慧体会再次展示该告警。 表5 设备告警级别 级别 说明 处理策略 紧急 已经影响业务，需要立即采取纠正措施。 需要紧急处理，否则有业务中断或系统瘫痪的风险。 重要 已经影响业务，如果不及时处理会产生较为严重后果。 需要及时处理，否则会影响重要业务运行。 次要 目前对业务影响轻微，但需要采取纠正措施，以防止更为严重的故障发生。 需要查找告警原因，消除故障隐患。 提示 检测到潜在的或即将发生的影响业务的故障，但是目前对业务还没有影响。 可根据告警了解网络和网元的运行状态，视具体情况进行处理。 搜索设备：在设备列表左上方输入设备SN或者设备名称，单击图标或回车键进行搜索。 删除设备：设备一旦删除，将无法处置设备上的事件，请谨慎操作。 单个删除：选择目标设备，单击列表中“删除”。 批量删除：选择想要删除的设备，单击列表右上方“删除”。 编辑设备信息：选择目标设备，单击列表中“编辑”，修改设备名称、SN、角色等信息。 切换站点：在设备列表中勾选目标设备，单击“站点切换”，选择新站点，然后单击“确定”。 站点切换操作会对业务产生重大的影响，且耗时较长，请谨慎操作。 设备从旧站点切换新站点后，系统将强制清除原有配置，按新站点业务配置重新下发。 对于AP设备，系统将强制清除原来所有的设备级配置（如子网，接口等配置）；对于非AP设备，可以选择是否清除原来的设备级配置；对于CoAP协议纳管的设备（如交换机S210系列）不支持配置清除。 设备如果重启上线，会将站点业务配置重新全量下发（CoAP协议纳管的设备重启不下发全量配置，如交换机S210系列）。 升级设备（仅防火墙支持）：只有工作在“传统模式”下的防火墙支持该操作。单击列表右上方“升级”，单击“新增”选择目标设备，最后选择升级类型，单击“确定”即可。 绑定热备（仅防火墙支持）：选择目标设备，单击列表中“绑定热备”，在弹框中选择需要绑定的设备，单击“确定”即可。 “绑定热备”是将两个安全设备绑定，实现主备设备间会话的同步备份。 当设备A发生故障时，通过将流量引导至设备B，可以保证业务持续不中断。 绑定热备操作的前提是设备均已成功上线。 目前支持热备操作的设备有：USG6106E，USG6301E-C，USG6302E-C，USG6303E-C，USG6305E，USG6306E，USG6308E，USG6308E-B，USG6309E，USG6312E，USG6315E，USG6318E-B，USG6322E，USG6325E，USG6332E，USG6335E，USG6338E-B，USG6350E，USG6355E，USG6358E-B，USG6365E，USG6378E-B，USG6385E，USG6388E-B，USG6395E，USG6398E-B，USG6501E-C，USG6502E-C，USG6503E-C，USG6515E，USG6520E-K，USG6525E，USG6550E，USG6555E，USG6560E，USG6560E-K，USG6565E，USG6575E-B，USG6580E，USG6585E，USG6590E-K，USG6603F-C，USG6605E-B，USG6000F-E01，USG6000F-E03，USG6000F-E05，USG6000F-E07，USG6000F-E09，USG6000F-E12，USG6000F-E15，USG6000F-E20，USG6303E。

设备页面介绍 表1 设备页面介绍 序号 模块名 模块说明 1 站点列表 快速搜索站点：输入站点名，单击或按回车键搜索符合条件的站点。 筛选站点设备：选中目标站点，设备概览和设备列表模块会同步显示该站点下所有设备信息。 2 设备概览 选择设备类型卡片，设备列表会显示所有同类型的设备信息。 3 设备列表 显示了设备名称、状态、款型、版本以及所属站点等信息，设备状态可参见表2 设备状态说明，而设备列表支持的操作请参见设备列表支持的操作。 表2 设备状态说明 设备状态 状态说明 可能原因 正常 设备成功上线 不涉及。 离线 设备离线 可能是网络连通性异常、设备配置丢失等。 未注册 设备上线失败 可能是证书到期、设备与华为乾坤云平台网络、设备版本不适配、设备款型不配套、注册服务未启动、网络IP地址冲突不通等。 设备已失效 当前设备没有版本信息。需要删除设备重新添加。 告警 在正常上线后的使用过程中出现告警 可能是设备配置下发失败、CPU占用高、内存高、光模块非标、有风暴等。

配置思路 图 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以第三方路由器作为网关设备，所有AP设备在华为乾坤云平台纳管。AP通过华为乾坤APP注册上线，然后远程进行Wi-Fi业务配置。 数据规划。 手动规划AP的安装点位，确保AP的无线信号对汽车展厅实现全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 手机下载并安装华为乾坤APP软件，用于网络开局和验收。 现场安装AP设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有AP设备加入同一个站点，以便统一配置。 配置AP接入Internet：AP出口接入第三方交换机，采用DHCP方式。 配置AP注册上线：AP通过华为乾坤APP扫码，完成华为乾坤云平台上线。 在华为乾坤云平台配置网络业务。 认证授权准备： 员工Wi-Fi采用PSK认证，无需认证准备，默认即可。 访客Wi-Fi采用短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 配置AP业务。 配置员工和访客Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监测各设备状态信息。 父主题： 纯AP组网场景

仪表盘 通过仪表盘可以查看如下信息 网络健康度评分 查看当前网络健康度劣化指标，单击查看全部指标，可跳转至网络健康度查看园区网络整体健康度详情。 查看健康度变化趋势。 查看Top 10子场景体验分布情况。 待处置问题 查看待处置的无线和有线问题列表，选择无线或有线的问题个数，单击“查看详情”，可跳转至具体的问题分析页面。 可优化区域 查看网优场景列表，单击任一记录行，可跳转至网络体验提升页面。 父主题： 网络环境监控

背景信息 华为乾坤云平台基于大数据分析及AI智能判断出可能的噪音数据（如离网AP、边缘AP等），在界面显示。您可以对系统自动判断出的离网AP、边缘AP进行屏蔽。同时，您可以通过输入AP的MAC地址，将某AP手工屏蔽。 一般情况下被屏蔽后的AP不能参与“网络健康度”的数据统计。如果要同时在“网络问题分析”时屏蔽某AP，不参与“网络问题分析”的数据统计，则在屏蔽AP时，需要选中“同时屏蔽问题分析”。 针对已屏蔽AP，您可以单击“取消屏蔽”，将已经屏蔽的AP取消。

准入认证方案架构 园区网络接入控制可以分为两个部分：用户接入认证和策略管控。云管理网络的用户接入认证架构，如图1所示。 认证控制点：对终端接入用户进行认证，实现用户接入控制，如允许接入网络或拒绝用户接入网络。在云管理网络园区，认证控制点一般部署在交换机上。云管理网络园区使用单设备组网时，本设备认证点即本设备。 策略执行点：在用户通过认证允许接入网络后，控制用户可以访问的资源。在云管理网络园区，策略执行点一般也部署在交换机上。 认证服务器：主要负责用户身份认证，一般使用RADIUS服务器作为认证服务器，云管理平台集成了RADIUS服务器和Portal服务器，所以云管理网络园区直接使用云管理平台作为认证服务器和Portal服务器。 短信服务器：终端用户使用Portal+短信验证码认证时，认证服务器需要与短信服务器进行交互，完成认证。 图1 用户认证接入结构图

认证关键技术 园区网络主要包括三种方式的认证技术：802.1X认证、Portal认证和MAC认证。由于这三种方式的认证原理不同，各自适合的场景也有所差异，实际应用中，可以根据场景部署选一种合适的认证方式，也可以部署几种认证方式组成的混合认证，混合认证的组合方式以设备实际支持情况为准。 802.1X认证 如图 802.1X认证示意图所示，802.1X认证方案包括三个基本要素：用户终端、认证控制点和认证服务器（通常采用RADIUS服务器）。用户终端一般会安装有802.1X客户端软件。 用户终端与认证控制点间：采用EAP（Extensible Authentication Protocol，可扩展认证协议）进行认证信息交互。EAP协议可以运行在各种底层，包括数据链路层和上层协议（如UDP、TCP等），而不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。 认证控制点与RADIUS服务器间：采用RADIUS协议，通过认证信息交互，完成认证、授权和计费。认证控制点从用户终端接收到包含认证请求的EAP报文后，会将用户认证信息封装到RADIUS报文中，或者将EAP报文直接封装到RADIUS报文中，然后发送给RADIUS服务器。 图2 802.1X认证示意图 Portal认证 Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。用户上网时，必须在门户网站进行认证，如果未认证成功，仅可以访问特定的网络资源，认证成功后，才可以访问其他网络资源。如图3所示，Portal认证通常包含四个基本要素：用户终端、认证控制点、Portal服务器和认证服务器（通常采用RADIUS服务器）。 用户终端与认证控制点间：认证控制点将用户终端的HTTP报文重定向到Portal服务器。 认证控制点与Portal服务器间：通过HACA协议进行认证信息交互。Portal服务器认证通过后，通过HACA协议通知认证控制点进行授权。 用户终端与Portal服务器间：用户终端向Portal服务器发送认证信息，Portal服务器校验后将认证结果返回给用户终端。 图3 Portal认证示意图 MAC认证 MAC认证，全称MAC地址认证，是一种基于终端MAC地址对用户的访问权限进行控制的认证方法。如图4所示，MAC认证系统通常包括三个基本要素：用户终端、认证控制点和认证服务器（通常为RADIUS服务器）。 用户终端与认证控制点间：认证控制点首次检测到用户终端的MAC地址，进行MAC地址学习，触发MAC认证。 认证控制点与RADIUS服务器间：采用RADIUS协议，通过认证信息交互，完成认证、授权和计费。认证控制点触发MAC认证后，会将用户认证信息封装到RADIUS报文中，然后发往RADIUS服务器。 图4 MAC认证示意图