华为云用户手册

套餐扣减方式 试用套餐 当前试用套餐默认使用时间为90天，套餐资源直接按天数扣减。 商用套餐 设备资源按台天的方式进行扣减计算。 设备资源单位都是台年，根据设备系列进行池化，1台年=366台天。 每天定时扣减对应套餐设备数量*台天的资源，华为乾坤云平台会自动同步订单扣减信息。 当资源不足，不强制设备下线，但是配置不能下发到设备，不再接受设备上报的监测数据。 小行星款型交换机本身不扣减资源，只针对小行星交换机的上层交换机扣减。 当前仅云管模式的防火墙设备会扣减资源。

套餐说明 试用套餐 试用套餐可线上免费申请，具体请参考《服务开通》中“试用套餐的开通”章节。 申请云管理网络试用套餐后，可以使用云管理网络的全部功能特性，如表 套餐支持的功能所示。 商用套餐 商用套餐目前仅支持线下购买。请单击联系我们，留下您的联系方式，华为乾坤运营人员会联系您。 购买云管理网络商用套餐后，可以使用除SD-WAN以外的功能特性，如表 套餐支持的功能所示。如需使用SD-WAN功能，请勾选SD-WAN套餐项。 表1 套餐支持的功能 功能项 功能项说明 站点管理 支持按站点管理网络，可以查看网络拓扑、调整拓扑结构、配置站点业务。 设备管理 支持纳管网络设备（交换机、AP、AR、WAC）、安全设备（防火墙）。 网络规划与设计 提供网络自动规划与设计能力，包括Wi-Fi网规、设备款型推荐、业务参数自动规划等，并生成方案包。方案包包括LLD文档、组网拓扑、技术建议书等，能够支撑项目实施；同时，支持一键开局完成批量业务配置，待设备上线后自动下发。 准入认证 提供了802.1X、Portal、MAC等多种认证方式，可按需对接入用户进行策略管控。 IPsec VPN 提供一种静态VPN，通过在站点之间建立IPsec隧道来创建VPN通道，实现分支与分支、分支与总部、分支与云之间的业务互访。 SD-WAN 提供一种动态VPN，可按需在站点间建立隧道，动态发布路由。通过站点间建立GRE隧道来创建VPN通道，同时支持在GRE隧道上进行IPsec加密，实现分支与分支、分支与总部、分支与云之间的业务安全互访。 支持基于应用、策略选择质量较优的链路发送数据，实现基于应用、策略的智能选路。 网络环境监控 支持网络健康度评估、网络问题分析、无线智能去噪。 用户体验保障 支持用户旅程回放、协议回放、用户问题分析。 应用分析 支持全网应用数据监测，保障网络应用畅通无阻。 智能调优 支持智能无线射频调优、智能无线漫游。

参数说明 表2 通用射频配置参数 分类 参数 说明 调优模式设置 国家/地区 租户网络所在区域。按AP实际部署地区选择“国家/地区”以后，AP会根据当地法律法规重置射频的工作信道和功率，并相应调整允许配置的信道范围和功率大小。 调优模式设置 调优模式 周期性调优模式：AP根据调优间隔（缺省起始时刻03:00:00，间隔1440min）进行周期性的全局调优。 支持的射频调优策略如下： 入侵模式：所在网络中存在非法AP时，设备会立即规避该非法AP的干扰。该策略可能会导致信道切换频繁，建议在技术人员指导下使用。 底噪调优：当所在网络中由于特殊的外部干扰造成AP的底噪过高，导致业务体验恶化时，设备会规避干扰。当AP连续三次检测到当前信道底噪超过底噪阈值门限时，AP就会通过射频调优调离此信道，并在30分钟内不会调回此信道。 非Wi-Fi：所在网络中出现非Wi-Fi干扰时，设备会立即规避干扰 定时调优模式：AP在每天的指定时刻自动开始调优。 手动调优模式：AP不主动进行调优。 AI调优 缺省开启。开启后，设备会根据7天内的历史设备数据，通过AI算法自动调优。尤其设备周边干扰源在白天和黑夜有变化的场景下，该功能有较好的调优效果。 射频模式 AP的射频模式有五种，仅Wi-Fi6 AirEngine的设备支持以下射频模式： 默认模式。 2射频标准，双射频标准模式。 2射频2G增强，与标准模式相比，此模式下的2G射频可提供更大的容量。 3射频，选择该模式时，应确保AP的第三射频有无线业务配置，否则第三射频无法工作。 2射频独立扫描，双射频+独立射频扫描模式。 说明： 2射频独立扫描模式下，对于AirEngine 6760-X1、AirEngine 6760-X1E和AirEngine 5760-51，只有当加载RTU License后才可切换到双射频+独立射频扫描模式。 用户接入 智能漫游 缺省开启。传统WLAN网络中，当终端设备接入AP信号很弱时，终端设备的上网速率很低。如果多个低速率的终端设备接入AP，可能造成其他终端设备占用空口时间变少，造成AP吞吐量偏低，导致其他在线用户体验差。通过配置“弱信号终端强制下线”功能，一旦AP检测到终端设备的信噪比或接入速率低于指定的门限，主动向终端设备发送解除关联报文，让终端设备重新连接。 空口扫描 beacon周期(ms) 配置AP发送Beacon帧的周期。建议使用缺省值100ms。 AP通过周期发送Beacon帧来声明对应802.11网络的存在。终端设备收到Beacon帧后可以得知该网络的存在，从而调整加入该网络所必需的参数。 Beacon周期配置太大，会导致终端设备休眠时间变长；Beacon周期配置太小，会导致空口开销变大。 全信道检测 缺省关闭。打开全信道检测开关后，可以对AP射频所有信道进行扫描。 说明： 仅V200R020C10及以上版本的云AP和中心AP设备支持全信道检测功能。 频谱分析 缺省关闭。它是指WLAN设备检测无线网络环境中不同类型的干扰源，通过频谱分析服务器对采集到的无线信号进行特征分析，识别出非Wi-Fi（Non-WiFi）干扰设备，进而对干扰设备进行定位，消除干扰对WLAN网络的影响。打开开关后设备会将相关的数据采集并上报。 说明： 仅V200R020C10及以上版本的云AP和中心AP设备支持全信道检测功能。 空口扫描 缺省开启2.4G和5G空口扫描。对于无需空口扫描的AP，关闭该功能后，AP将停止扫描周围的无线信号。 说明： 空口扫描关闭后，将导致射频调优、频谱分析、终端定位、WIDS功能、智能漫游和DFS优选信道等功能无法正常使用。 扫描时长（ms） AP执行空口扫描的持续时间。AP会在该时间段内持续扫描周围的无线信号，扫描完成后AP会将扫描收集的信息上报给云平台，用于射频调优和频谱分析。 扫描时间越长，获取到的数据越多，数据分析越精确。但扫描时间过长会消耗过多系统资源，可能会影响正常业务，建议使用缺省值60ms。 说明： 仅在空口扫描使能后支持配置。 扫描间隔（ms） AP执行空口扫描的周期。建议使用缺省值10000ms。 说明： 仅在空口扫描使能后支持配置。 扫描信道 AP执行空口扫描的信道集合。缺省为“区域信道”。 区域信道：扫描“区域”中所选国家码支持的所有信道。 调优信道：扫描调优信道集合中的所有信道。 工作信道：仅扫描AP当前工作信道。 说明： 仅在空口扫描使能后支持配置。 性能优化 空口时间公平调度 缺省开启。开启后优先调度占用无线信道时间较少的用户，保证每个用户相对公平的占用无线信道。 逐包功率控制 缺省开启。开启后实时检测终端设备信号强度，实现绿色节能。 如果终端信号强度强（距离AP较近），发送数据包时自动降低实际发送的功率；如果终端信号强度弱（距离AP较远），恢复正常功率发送无线信号。 波束成型功能 缺省关闭。使AP在某个特定角度（目标用户）增强信号，在另一个特定角度（非目标用户或障碍物）减弱信号，从而控制信号传播的方向和覆盖范围。 说明： 波束成形特性依赖于纳管的AP款型是否支持此特性，详情请参见配套的AP产品文档“beamforming enable”页面中的说明。 负载均衡 缺省关闭。 在距离相对较近、覆盖范围重叠度较高的多个AP上，可以开启负载均衡功能，在WLAN网络中平衡AP的负载，充分保障每个终端设备的无线网络体验。当终端设备试图接入WLAN网络时，收到访问请求的AP会根据在线终端设备数和自身能力上限按一定的算法评估当前负荷。如果负荷显著高于附近的同站点AP的平均负荷，该AP将拒绝本次接入请求。 RTS-CTS模式 缺省值rts-cts。配置RTS-CTS（Request To Send/Clear To Send，握手协议）的工作模式，避免信道冲突导致的数据传输失败。 cts-to-self：数据传输前由发送方通告周边设备暂停数据发送。以较小的网络开销避免数据传输冲突，可以满足大部分应用环境。 rts-cts：数据传输前由发送方和接收方分别通告各自周边设备暂停数据发送。可以更好地避免冲突，但网络开销大，可能导致过多的通告帧占用信道带宽。 disable：数据传输前不发送通告。可能由于冲突而导致数据传输失败。 RTS-CTS阈值(byte) RTS-CTS门限来指定发送数据的帧长度，缺省值为1400。如果工作站发送数据的帧长度小于RTS-CTS阈值，将不执行RTS/CTS握手。 说明： 如果已通过CLI配置了RTS-CTS阈值，需执行“undo rts-cts-threshold”命令删除该配置。 WMM 缺省开启。802.11n和802.11ac的终端必须支持WMM（Wi-Fi Multimedia，Wi-Fi多媒体标准）功能。 如果去使能WMM功能，会导致802.11n和802.11ac不可用，终端仅能通过802.11a/b/g模式接入。 如果去使能WMM功能，则禁止非HT终端接入功能失效。 说明： 仅V200R008C10及以上版本的AP设备支持WMM功能。 信道竞争参数 WMM将报文分为4个类别的AC（Access Category），分别是AC_VO（voice）、AC_VI（video）、AC_BE（Best Effort）、AC_BK（Background）。每一个AC队列定义了一套增强分布式信道访问EDCA参数，该参数决定了队列占用信道的能力大小，可以实现高优先级AC队列占用信道机会大于低优先级AC队列。 EDCA参数分别如下： AIFSN ：空闲等待时间，数值越大，等待时间越长，优先级越小。 ECWmin ：最小竞争窗口，数值越大，优先级越低，且ECWmin 小于 ECWmax。 ECWmax ：最大竞争窗口，数值越大，优先级越低。 TXOPLimit：用户一次竞争信道成功后，可占用信道最大时间，数值越大，用户占用时间越长。 ACK策略： normal ：对于发送端发送的每个单播报文，接收端在接收到报文后，都需要发送ACK帧进行确认。 noack ：在通信质量很好、干扰很小的情况下，为提高传输效率，可以选择不应答ACK帧。 BE动态优化 缺省关闭。开启后，AP将根据接入用户数，通过算法动态调整终端占用空口资源的优先级，尽力提高业务的用户体验。BE指根据报文到达的先后顺序采用先来先服务的原则处理报文转发，对报文的延迟、抖动、丢包率和可靠性等不作承诺和保证。 BE优化阈值(包/秒) BE动态优化算法使用到的参数值，建议使用默认值6。 多媒体动态优化 缺省关闭。开启后，AP将根据接入用户数，通过算法动态调整终端占用空口资源的优先级，提高音频、视频应用的用户体验。 音频优化阈值(包/秒) 多媒体动态优化算法使用到的参数值，建议使用默认值。 视频优化阈值(包/秒) 场景 当“BE动态优化”和“多媒体动态优化”开关均关闭时，显示该参数。 根据网络实际情况和需要，配置WMM参数，使高优先级的数据报文优先占用无线信道，达到调整视频、语音等类型的流量的转发优先级的目的。为了使WMM生效，必须在射频参数中开启WMM开关。 默认：无优先级 音频：以语音流量优先 音频和视频：以语音及视频流量优先 表3 高级射频配置参数（2.4GHz/5GHz） 分类 参数 说明 高级参数设置(2.4GHz) 信道集(20MHz) 为AP在2.4GHz频段上的无线信号传输选择调优信道集，可配置为1~13。为了尽可能地减少邻近AP之间的同频或邻频干扰，系统将根据AP间邻居关系紧密程度从信道集中挑选信道进行调优，按动态信道调整算法（Dynamic Channel Allocation，简称为DCA）分别为每个AP分配信道。 TPC范围 用于限定射频调优完成后发射功率范围，单位为dBm。缺省配置时，TPC（Transmit Power Control）上限为127dBm，TPC下限为9dBm。 如果下限过低，可能导致射频调优后的功率过小、无法满足射频覆盖需要；如果上限过高，可能导致射频调优后的功率过大、AP之间出现信号干扰。 TPC阈值 射频调优TPC（Transmit Power Control）覆盖阈值，单位为dBm。缺省配置时，TPC阈值为-60dBm。 根据AP实际布放高度和间距适当调整该阈值，可以使AP在射频调优后达到最优的覆盖效果。阈值越大，TPC调整的功率值会整体提高。 接入用户数限制 缺省关闭。用于设置AP在2.4GHz频段上最大接入的用户数。 开启后，接入用户数阈值缺省为64，接入阈值策略有： 新用户禁止接入：射频接入的终端达到阈值后，新用户禁止接入。 新用户禁止接入且隐藏SSID：射频接入的终端达到阈值后，新用户禁止接入，且自动隐藏该射频下的所有SSID。 接入用户数阈值 接入阈值策略 组播发射速率 缺省自适应，也支持手动配置。注意，配置的速率要属于基础速率集或者支持速率集，且终端设备需要支持该速率，否则终端设备将不能正常接收组播数据。 基础速率(Mbps) 配置2.4G射频模板在不同射频类型下的基础速率集。基础速率集是指STA成功关联RU时，RU和STA都必须支持的速率集，RU和STA都必须支持基础速率集中的所有速率，STA才能成功关联RU。 支持速率(Mbps) 配置2.4G射频模板在不同射频类型下的支持速率集。支持速率集是在基础速率集的基础上AP支持的更多的速率的集合，目的是为了让AP和STA之间能够支持更多的数据传输速率。AP和STA之间的实际数据传输速率是在支持速率集和基础速率集中选取的。 保护间隔 配置非802.11ax的GI（Guard Interval）模式。 Default：使用设备缺省值。 short：短GI，即400ns。 normal：普通GI，即800ns。 说明： 仅V200R009C00及以上版本的AP设备支持该功能。 802.11ax GI模式 配置802.11ax的GI模式，缺省配置为0.8 (µs)。 0.8 (µs) 1.6 (µs) 3.2 (µs) 间隔时间越小，传输效率越高，间隔时间越大，抗干扰能力越强。室内环境干扰因素小，建议使用小的GI，室外环境干扰因素大，建议使用大的GI。 极限功率 当存在物体遮挡，信号无法覆盖时，通过开启更高功率的信号来覆盖此区域。 默认 开启 关闭 弱信号终端强制下线 缺省关闭。开启后，AP一旦检测到终端的信号较弱，会强制该终端下线。 普通：平台预设“信噪比阈值”为15dB，“检测周期”为500毫秒。 高密：平台预设“信噪比阈值”为20dB，“检测周期”为500毫秒。 自定义：需要用户手工输入“信噪比阈值”和“检测周期”。 双频动态调整 缺省关闭。是否使能双频动态调整功能。 冗余2.4G射频调整方式 当“双频动态调整”开启时，需要配置该参数。 自动切换成5G：冗余2.4G射频自动切换为5G射频。如果5G射频没有可用信道或当前射频不支持切换为5G时，切换为monitor模式。 自动关闭2.4G：冗余2.4G射频自动关闭。 高级参数设置(5GHz) 调优信道带宽 AP在5GHz频段上的无线信号传输设置调优频宽。配置大带宽信道可获得更大的传输速率。 信道集 AP在5GHz频段上的无线信号传输选择调优信道集。为了达到更优的调优效果，请选择3个或3个以上作为可选信道。 说明： 可以选择的信道取决于当前设置的区域码。 用户在配置调优时，需要考虑调优带宽和调优信道的匹配关系。 基础速率(Mbps) 配置5GHz射频模板在不同射频类型下的基础速率集。基础速率集是指STA成功关联RU时，RU和STA都必须支持的速率集，RU和STA都必须支持基础速率集中的所有速率，STA才能成功关联RU。 支持速率(Mbps) 配置5GHz射频模板在不同射频类型下的支持速率集。支持速率集是在基础速率集的基础上AP支持的更多的速率的集合，目的是为了让AP和STA之间能够支持更多的数据传输速率。AP和STA之间的实际数据传输速率是在支持速率集和基础速率集中选取的。 TPC范围 用于限定射频调优完成后发射功率范围，单位为dBm。缺省配置时，TPC上限为127dBm，TPC下限为12dBm。 如果下限过低，可能导致射频调优后的功率过小、无法满足射频覆盖需要；如果上限过高，可能导致射频调优后的功率过大、AP之间出现信号干扰。 TPC阈值 射频调优TPC（Transmit Power Control）覆盖阈值，单位为dBm。缺省配置时，TPC阈值为-60dBm。 根据AP实际布放高度和间距适当调整该阈值，可以使AP在射频调优后达到最优的覆盖效果。阈值越大，TPC调整的功率值会整体提高。 接入用户数限制 缺省关闭。用于设置AP在5GHz频段上最大接入的用户数。 开启后，接入用户数阈值缺省为64，接入阈值策略有： 新用户禁止接入：射频接入的终端达到阈值后，新用户禁止接入。 新用户禁止接入且隐藏SSID：射频接入的终端达到阈值后，新用户禁止接入，且自动隐藏该射频下的所有SSID。 接入用户数阈值 接入阈值策略 组播发射速率 缺省自适应，也支持手动配置。注意，配置的速率要属于基础速率集或者支持速率集，且终端设备需要支持该速率，否则终端设备将不能正常接收组播数据。 保护间隔 配置非802.11ax的GI（Guard Interval）模式。 Default：使用设备缺省值。 short：短GI，即400ns。 normal：普通GI，即800ns。 说明： 仅V200R009C00及以上版本的AP设备支持该功能。 802.11ax GI模式 配置802.11ax的GI模式，缺省配置为0.8 (µs)。 0.8 (µs) 1.6 (µs) 3.2 (µs) 间隔时间越小，传输效率越高，间隔时间越大，抗干扰能力越强。室内环境干扰因素小，建议使用小的GI，室外环境干扰因素大，建议使用大的GI。 极限功率 当存在物体遮挡，信号无法覆盖时，通过开启更高功率的信号来覆盖此区域。 默认 开启 关闭 弱信号终端强制下线 缺省关闭。开启后，AP一旦检测到终端的信号较弱，会强制该终端下线。 普通：平台预设“信噪比阈值”为15dB，“检测周期”为500毫秒。 高密：平台预设“信噪比阈值”为20dB，“检测周期”为500毫秒。 自定义：需要用户手工输入“信噪比阈值”和“检测周期”。 A-MSDU 缺省关闭。是否以A-MSDU聚合方式发送802.11ac报文的功能。 最大子帧数 缺省值为2。配置A-MSDU聚合方式一次能聚合的最大子帧数。 表4 频道规划参数 分类 参数 说明 手动射频调优 名称 需要调整的射频频段。 射频开关 缺省开启。是否使能射频功能。 频宽 选择工作带宽。缺省为“调优频宽”。 调优频宽 20mhz 40mhz-plus 40mhz-minus 80mhz（仅5G射频支持） 80+80mhz（仅5G射频1支持，三射频场景中，5G射频2为低频，不支持配置此带宽。） 160mhz（仅5G射频支持） 信道自动选择 当“频宽”选择“调优频宽”时，会自动选择信道。 信道 传输射频信号所使用的频段。为了避免信号干扰，请确保相邻AP工作在非重叠信道上。为了避免产生射频干扰，建议为相邻部署的AP在2.4G频段规划非重叠信道组合（例如1、6、11），在5GHz频段规划不同信道。 频宽自动选择 （仅5GHz射频支持）当“频宽”选择“调优频宽”时，可动态调整射频频宽，不受已有的调优频宽限制。 功率自动选择 开启时自动选择发射功率，关闭时手工调整发射功率。 发送功率（dBm） “功率自动选择”关闭时，需要配置该参数。根据实际网络环境的需求，配置射频的发射功率，使射频信号强度具备满足实际网络需求的能力，提高射频信号质量。 天线增益（dB） 天线增益用于衡量天线向特定方向收发信号的能力。在相同条件下，天线增益越高，电波传播的距离越远。请填写为AP实际所使用天线的增益值。 冗余射频调整 （仅2.4GHz射频支持）是否在当前设备的2.4G射频上使能“冗余射频调整”功能。若开启，还必须确保“高级参数设置”区域中“双频动态调整”开关已开启。

背景信息 WLAN网络是以射频信号（例如频率为2.4GHz或5GHz的无线电磁波）作为传输介质的，无线电磁波在空气中的传播会因为周围环境影响而导致无线信号衰减等现象，进而影响无线用户上网的服务质量。通过调整信道和功率，可以使各AP的信道和功率保持相对平衡，保证AP工作在最佳状态。 在AP上按实际需要配置握手协议模式、空口扫描参数和天线增益等，可以合理控制AP的无线网络覆盖区域、减少射频干扰和数据传输冲突。通过为射频功能配置定时开启/关闭策略，可以降低不必要的能耗。 在不同的国家和地区，法律法规为无线通信规定了不同的工作信道和功率，使用AP部署无线网络时，射频参数必须符合当地法律法规。在华为技术支持网站搜索并下载“国家码&信道顺从表”，可以查看具体约束信息。 企业用户技术支持网站：https://support.huawei.com/enterprise 运营商用户技术支持网站：https://support.huawei.com

设备款型约束 云管理网络支持纳管网络设备（交换机、AP、AR、WAC）、安全设备（防火墙）。 如果设备款型或版本不在设备清单里，可能无法保证设备配置下发正常，请选择正确的设备款型和配套版本。 网络设备支持的款型和版本请参见《华为乾坤云管理网络配套款型》。 安全设备（防火墙，云管模式）支持的款型如下： USG6106E、USG6305E、USG6306E、USG6308E、USG6312E、USG6322E、USG6332E、USG6350E、USG6305E、USG6309E、USG6315E、USG6325E、USG6335E、USG6355E、USG6365E、USG6385E、USG6395E、USG6525E、USG6515E、USG6550E、USG6560E、USG6580E、USG6555E、USG6565E、USG6575E-B、USG6585E、USG6605E-B。

系统约束 推荐使用表 客户端系统所示的客户端系统登录华为乾坤工作台。 表1 客户端系统 约束项 约束说明 硬件配置 空余内存最低1GB，推荐2GB或以上。 操作系统 Windows 10。 浏览器 Google Chrome 81及以上版本。 分辨率 最佳显示分辨率宽度是1920，最小显示宽度是1280。 大于1280，保持内容固定在1280不变，空白处显示背景。 浏览器自身的缩放比不要小于75%。

配置思路 图1是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以防火墙（FW）作为网关设备，整网设备均在华为乾坤云平台纳管。其中FW、WAC、核心交换机通过Web网管、命令行方式上云，核心交换机下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 使用云网规工具自动规划AP的安装点位，确保AP的无线信号对校园全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置防火墙接入Internet：通过PPPoE拨号方式接入运营商网络，采用Web网管配置。 配置设备上线云平台。 防火墙注册上线：配置防火墙为双机热备镜像模式，工作模式切为云管理模式，采用Web网管配置对接云平台。 核心交换机注册上线：采用命令行配置对接云平台。 核心交换机下挂设备注册上线：在核心交换机（作为DHCP Server）上配置下挂设备的地址池和DHCP 148参数。接入交换机和AP采用DHCP Option148方式注册上线，也就是从DHCP Server上获取IP地址的同时也获取华为乾坤云平台的IP/URL地址和端口号，完成注册上线。 WAC注册上线：工作模式切为云管理模式，采用Web网管配置对接云平台。 在华为乾坤云平台配置网络业务。 配置交换机业务。 配置核心交换机下行接口，以及接口允许通过的VLAN等参数。 配置接入交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置核心交换机的DHCP Server功能，为用户终端分配IP地址。 配置认证业务。 员工Wi-Fi采用802.1X认证，使用默认的认证授权配置。 访客Wi-Fi采用短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 哑终端接入采用MAC认证。 配置员工和访客Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 防火墙+核心交换机+接入交换机+AP+独立AC组网场景

操作步骤 单击“拓扑”页签。 在“VN”中选择已经建立的VN名称。 在“预定义拓扑”界面，依次选择“模式”、“拓扑模式”。 默认拓扑模式为“Full-Mesh”，单击“Hub-Spoke”进行切换，并设置中心站点和分支站点。 图1 配置Overlay拓扑 打开“分支互访”并在中心站点的“分支互通”开关，可以实现企业的分支之间的互通需求。 在中心站点中，打开“Hub间互通”开关，可以实现企业总部之间的互通需求。 单击“确定”。 重复以上步骤，完成各VN的Overlay拓扑配置。

配置思路 图 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以第三方路由器作为网关设备，核心交换机作为DHCP Server，且通过命令行配置上云，上云后可通过远程方式进行业务配置。核心交换机下挂的接入交换机和所有AP通过DHCP Option148方式注册上线。 数据规划。 使用工具自动规划AP的安装点位，确保AP的无线信号对酒店全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电，按组网图完成设备间连接以及两台核心交换机完成堆叠配置等。 第三方路由器作为出口网关，已接入运营商网络。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置核心交换机接入Internet：通过第三方路由器接入运营商网络，采用命令行进行配置。 配置设备上线云平台： 核心交换机注册上线：采用命令行方式配置对接云平台。 核心交换机下挂设备注册上线：在核心交换机（作为DHCP Server）上配置下挂设备的地址池和DHCP Option148参数。接入交换机和AP采用DHCP Option148方式注册上线，也就是从DHCP Server上获取IP地址的同时也获取云管理平台的IP/URL地址和端口号，完成注册上线。 在华为乾坤云平台配置网络业务。 配置交换机业务。 配置核心交换机、接入交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置用户接入认证。 员工Wi-Fi采用802.1X认证。 访客Wi-Fi采用Portal+短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 有线哑终端通过MAC认证：认证点在接入交换机，认证服务器是华为乾坤云平台。 结果验证：确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 仅核心交换机+接入交换机+云AP组网场景

背景信息 上行链路NQA 当前企业通常以双上行链路方式接入Internet，以保证链路的稳定。网络质量分析NQA（Network Quality Analysis）是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA能够实时监视网络QoS，在网络发生故障时进行有效的故障诊断和定位。 联动功能是指NQA提供探测功能，把探测结果通知其他模块，其他模块再根据探测结果进行相应处理的功能。比如和网络路由的联动。 以静态路由为例： 用户配置了一条静态路由，下一跳为192.168.0.88，如果192.168.0.88可达，该静态路由有效；如果192.168.0.88不可达，则该静态路由无效。通过在NQA和应用模块之间建立联动，可以实现静态路由有效性的实时判断。 NAT 在AR上开启NAT映射，使下行网络中的设备能以AR的WAN口IP地址访问Internet。 NAT（Network Address Translation）是一种地址转换技术，可以将IPv4报文头中的地址转换为另一个地址。AR支持基于出接口地址方式的NAT（又称为Easy IP），租户网络中的设备可以直接借用AR公网接口的IP地址访问Internet。 DNS 通过AR接入网络的设备能通过DNS服务器识别某些域名，自动将其解析为对应的IP地址。 DNS技术实现了域名和IP地址的相互映射，可以使用户能更方便地访问互联网，无需记忆具体的IP地址。 DNS客户端在接入网络以后，将DNS请求发送到DNS中继。DNS中继会直接将请求报文转发给DNS服务器，由DNS服务器执行域名解析，并将应答报文转发回DNS客户端。 子网 在AR上配置DHCP服务，使下行网络中的设备能自动获取IP地址，从而实现与AR上行网络的互通。 DHCP服务器 负责为DHCP客户端动态分配IP地址等网络参数的设备。 （可选）DHCP中继 如果DHCP客户端和DHCP服务器不在同一个网段，可以通过DHCP中继与DHCP服务器通信，从而获取到合法的IP地址。通过部署DHCP中继可以使多个网段的设备共用一个DHCP服务器，降低成本，便于集中管理。 DHCP客户端 通过DHCP协议以广播方式发送报文请求获取IP地址等网络参数的终端设备。例如PC、手机、IP电话、无盘工作站等。

用户旅程 用户旅程，聚焦用户真实的Wi-Fi体验，将每一个设备都作为传感器，精准地回放用户接入Wi-Fi网络的整个旅程。谁，何时，连接至哪个AP，体验如何，发生了什么问题，全部都一目了然，帮助运维人员从用户角度感知网络体验。 要做到用户旅程可回放，包括两方面： 网络节点通过Telemetry和Syslog向网络智能分析器上报用户在网络中的旅程。 网络智能分析器对采集的海量数据进行大数据分析，并将用户旅程按照时间轴进行全方位的图形化展示。展示内容包括什么时间接入网络、认证结果、体验如何、什么时间发生了漫游以及遇到什么问题等。 您可以通过用户旅程查看如下信息： 用户信息 查看用户的基本信息，包括MAC地址、用户名、厂商、终端能力、常驻AP等。 指标概览 查看用户的性能指标概览信息，包括平均延迟、总体验时长、流量、平均信号强度、平均带宽、平均丢包率等。 用户旅程 用户旅程提供了简易视图和专业视图用户的旅程回放。 简易视图 在简易视图中，可以查看此用户各时间点接入AP的性能指标信息。 对于接入失败的节点，可以查看用户关联失败、认证失败或DHCP失败次数。单击“查看更多”，可查看失败记录。单击任意一条失败记录操作列的，可进入当前用户的协议回放页面。 对于接入成功的节点，可以查看用户接入时长、RSSI、带宽、丢包率、信道利用率等指标信息，也可以查看此用户下多种应用的流量统计信息。单击“查看更多”，可查看用户接入AP的体验详情。 专业视图 在专业视图中，可以查看： 用户接入趋势统计。 用户信号强度、带宽、速率、延迟、丢包率等体验指标变化趋势。 用户的旅程回放详情。 用户的旅程回放详情，记录了此用户各时间点接入AP或SSID的过程中在关联、认证、DHCP三阶段的相关性能指标信息与体验数据，以及质差时长等，也可以查看此用户下多种应用的流量统计信息，以及每个应用的详情信息。单击指标名称可查看当前时间窗内的相应指标趋势。 对于存在关联、认证或DHCP失败的用户，单击“查看详情”或单击后，单击任意一条失败记录操作列的，可进入当前用户的协议回放页面。 在简易视图或专业视图中： 若当前节点存在Issue，单击Issue，可查看的具体的问题分析详情。 若当前节点存在质差问题，单击质差时长（非0），可进入对应的质差用户页面，查看该用户质差相关的性能指标详情，与导致质差的可能原因、排障对象和建议。 用户旅程信息以不同颜色进行标识： 时间节点为红色表示该节点下存在失败信息、存在Issue或者存在红色指标，需重点关注；橙色表示该节点下用户终端的IP地址信息异常或者存在橙色指标；绿色表示该节点正常。 性能指标信息（平均带宽、平均丢包率等）为红色表示用户体验差，橙色表示用户体验一般，黑色表示用户体验正常。 单击“接触终端”，可在“接触终端列表”中查看与该用户同一时间段接入同一AP的其他用户信息，包含接触地点（AP）、接触终端MAC、用户名、接触时间和接触时长。 父主题： 用户体验保障

背景信息 大中型园区网络中，AP全部运行在Fit AP模式，由WLAN-AC（简称WAC）集中配置管理。 为确保Fit AP注册到华为乾坤工作台后能被WAC正常管理，需要按以下步骤执行： 在华为乾坤云平台上创建站点，然后在站点内添加WAC和Fit AP设备，录入设备型号和SN等参数信息。设备添加有两种方式： 方式一：在华为乾坤工作台首页地图上选择指定站点，进入站点首页。若是聚合的站点图标，将鼠标悬停在站点图标上，在弹框中单击目标站点名称进入站点首页。然后在站点首页添加设备/设备组。 方式二：在设备管理页面添加设备。 在华为乾坤云平台上完成WAC关联Fit AP。 将WAC和Fit AP注册到华为乾坤云平台。

数据规划 表1 无线用户数据规划 配置项 数据 SSID模板 模板名称：wlan-net-ssid2 SSID名称：Employee 转发模式：隧道转发 业务VLAN：VLAN10 绑定AP组：default 安全模板 名称：wlan-net-security2 安全策略：WAP2 认证方式：Dot1x 加密方式：AES 认证模板 名称：wlan-net-Auth2 接入方式：802.1x接入 认证模式：Radius认证 802.1X认证配置 用户认证方式：EAP RADIUS服务器配置 RADIUS服务器模板：Radius IP地址：华为乾坤云平台南向IP地址139.9.137.139 Called-Station-Id格式：AC MAC

配置思路 图1 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以防火墙作为网关设备，整网设备均在华为乾坤云平台纳管。其中防火墙通过Web网管方式上云，防火墙下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 使用云网规工具WLAN Planner自动规划AP的安装点位，确保AP的无线信号对仓储局点全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备。在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置防火墙接入Internet并注册上线。通过PPPoE拨号方式接入运营商网络；工作模式切为云管理模式，采用Web网管配置对接云平台。 配置防火墙下挂设备注册上线。采用DHCP Option148方式，在华为乾坤云平台配置，配置对象是防火墙。目的是为网关下挂设备分配管理IP，同时下发云平台注册信息。 配置防火墙的安全策略 配置防火墙开启NAT 配置下挂设备上线 在华为乾坤云平台配置网络业务。 配置防火墙业务。配置防火墙的下行接口以及和核心交换机间的互联子网。 配置核心交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置接入交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置AP业务：配置员工Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 认证授权准备。 员工Wi-Fi采用Portal+短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 哑终端采用MAC认证。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 防火墙+核心交换机+接入交换机+云AP组网场景

操作步骤 登录华为乾坤控制台，单击左上角“大屏”，在大屏页面选择“租户网络大屏”。 若只购买开通了云管理网络，则默认进入租户网络大屏，无需选择。 （可选）在网络大屏上方，单击，可设置定时刷新时间。单击支持全屏显示。 单击页面上，支持用户自定义网络大屏，选择需要展示的模块。 表1 租户网络大屏模块说明 模块 说明 网规方案统计 网规设计方案：显示网络规划与设计中设计的方案总数。 无线网规方案：显示网络设计方案中使用了无线设计的方案总数。 开局站点统计 站点统计：显示租户当前创建的站点数量，以及不同状态的站点数量分布。 设备统计：显示租户当前添加的设备数量，以及不同状态的设备数量分布。 在线设备趋势 显示租户在线设备数量的趋势。默认显示近7天的在线设备数量，可单击卡片上修改。 24小时流量统计 显示租户所有在线设备累计转发的流量。 网络调优与收益 默认显示今天的网络调优与收益数据。 调优次数：显示全局调优次数、局部调优次数以及AI漫游引导次数。 调优收益：显示干扰率、下行带宽以及漫游成功率。 AP代际升级 显示当前时间窗内Wi-Fi 6款型AP和非Wi-Fi 6款型性能对比情况，以及AP的升级建议。 网络健康度评分 显示当前时间窗内网络健康度总体评分。默认显示今天的健康度评分。 已处理问题分布 显示当前时间窗内网络已处理无线接入问题，包括接入类问题、性能类问题以及漫游类问题。默认显示今天的已处理问题分布。 用户体验评估 显示各个评分等级的用户数。 应用总流量趋势 显示当前时间窗内的应用的流量分析，默认显示今天的应用总流量分布，可单击卡片上修改。 地图 显示当前站点部署、站点间VPN互联概况和站点配置概况。 在地图右下角菜单栏提供以下操作。 地图中红色站点表示该站点中有异常设备，绿色站点表示该站点设备正常或者为空站点。 地图默认展示自动视角。可单击地图右下角选择自定义模式视角，单击保存，则地图展示自定义视角。 滚动鼠标可以缩放地图，单击聚合站点或者单击地图页面右下角“+”、“-”图标，可放大地图分散站点。

配置思路 图 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以防火墙作为网关设备，整网设备均在华为乾坤云平台纳管。其中防火墙通过Web网管方式上云，防火墙下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 手动规划防火墙、交换机、中心AP的安装点位。 手动规划RU的安装点位，每个房间安装一个RU，确保安全可靠，信号无遮挡。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将医院所有防火墙、交换机、中心AP、RU加入同一个站点，以便统一配置。 配置防火墙接入Internet：通过PPPoE拨号方式接入运营商网络，采用Web网管配置。 配置设备上线云平台。 防火墙注册上线：工作模式切为云管理模式，采用Web网管配置对接云平台。 防火墙下挂设备注册上线：采用DHCP Option148方式，在华为乾坤云平台配置，配置对象是防火墙。目的是为网关下挂设备分配管理IP，同时下发云平台注册信息。 在华为乾坤云平台配置网络业务。 认证授权准备。 病房Wi-Fi采用PSK认证，无需认证准备，默认即可。 护士站PC和摄像接入无需认证。 配置防火墙业务。 配置防火墙的下行接口。 配置防火墙的DHCP Server功能，为用户终端分配IP地址。 开启防火墙的NAT功能。 配置防火墙的安全策略。 配置交换机业务。 配置交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置AP业务。 配置中心AP的上行、下行接口以及RU的上行接口。 配置病房Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 防火墙+交换机+中心AP+RU组网场景

后续操作 站点创建后，支持搜索、修改、删除等操作，如表 站点操作表表所示。 表1 站点操作表 操作名称 操作说明 搜索 关键字搜索：站点列表左上方搜索框内输入站点名称，单击左侧或按回车键搜索。 按设备类型：单击站点列表左上方“设备”筛选框，筛选不同设备类型的站点。 按站点状态：单击站点列表左上方“站点状态”筛选框，筛选正常或异常的站点。 修改 选择目标站点，单击列表中，修改站点名称、站点描述等信息 。 说明： 修改设备类型时，仅支持增加设备类型，不支持减少设备类型。 删除 单个删除：选择目标站点，单击列表中或列表右上角“删除”。 批量删除：选择目标站点，单击列表右上角的“删除”。 说明： 若站点内有设备，不允许删除该站点。 站点删除后，站点内的数据信息会一并删除且无法恢复，请谨慎操作。 查看站点设备 选择目标站点，单击设备数量列中数字，可以进入站点纳管的设备页面，设备操作请参见设备管理。 业务配置 选择目标站点，单击列表中，进入站点业务配置页面，具体操作请参见业务配置。 查看站点图标。站点创建后，工作台首页地图上会出现对应的站点图标。灰色站点图标表示当前站点无设备且没有待办事件；绿色站点图标表示当前设备正常且没有待办事件；红色站点图标表示当前站点存在异常设备或待办事件。 修改站点位置。在工作台首页地图上，将鼠标悬停在任意站点上，单击弹窗中“修改位置”，可以修改站点位置。

配置思路 图1是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以第三方路由器作为网关设备，整网设备均在华为乾坤云平台纳管。其中随板AC通过命令行方式上云，随板AC下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 使用云网规工具自动规划AP的安装点位，确保AP的无线信号对大型卖场全覆盖。 规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置设备上线云平台。 随板AC注册上线：采用命令行配置对接云平台。 随板AC下挂设备注册上线：在随板AC（作为DHCP Server）上配置下挂设备的地址池和DHCP 148参数。接入交换机和AP采用DHCP Option148方式注册上线，也就是从DHCP Server上获取IP地址的同时也获取云管理平台的IP/URL地址和端口号，完成注册上线。 在华为乾坤云平台配置网络业务。 配置交换机业务。 配置随板AC下行接口，以及接口允许通过的VLAN等参数。 配置随板AC的DHCP Server功能，为用户终端分配IP地址。 配置接入交换机上行、下行接口，以及接口允许通过的VLAN等参数。 配置认证业务。 员工Wi-Fi采用802.1X认证，使用默认的认证授权配置。 访客Wi-Fi采用短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 哑终端接入采用MAC认证。 配置员工和访客Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： 仅核心交换机+接入交换机+AP+随板AC组网场景

操作步骤 防火墙云管模式纳管，二层口配置上线，VlANIF和静态路由配置会被清除，导致设备离线，需要在站点进行预先配置才能正常上线。 查看防火墙工作模式。 通过Console方式登录防火墙设备。 您可以在《华为安全产品缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。为确保帐号安全，建议首次登录后修改缺省密码。 执行命令system-view，进入系统视图。 在系统视图下执行命令display firewall run-mode，查看当前防火墙工作模式。 （可选）切换云管理模式。 若当前防火墙工作在传统模式下，需在系统视图下执行命令firewall run-mode cloud-manage，切换到云管理模式。执行此命令后，设备会提示清除设备的配置并重新启动。重启完毕，即切换到了云管理模式。 配置防火墙接入Internet。 请根据网络服务商提供的信息选择接入Internet的方式。不同的接入Internet方式对应不同的参数。 表1 接入Internet方式 前提条件 接入方式 如果网络服务商提供DHCP Server，您可以自动获取IP地址。 说明： 缺省情况下，防火墙接口下的DHCP Client功能处于关闭状态。 DHCP 如果您从网络服务商处获得一个固定的IP地址或者IP地址段。 静态IP地址 如果您从网络服务商处获得一个用户名和密码。 PPPoE 如果您通过4G接口连接运营商网络。 LTE 采用DHCP方式接入Internet： 在系统视图下执行命令interface interface-type interface-number，进入上行接口的接口视图。 执行命令ip address dhcp-alloc，开启DHCP Client功能。 缺省情况下，接口下DHCP Client功能处于关闭状态。 执行命令save，保存配置。 采用静态IP地址方式接入Internet： 在系统视图下执行命令interface interface-type interface-number，进入上行接口的接口视图。 执行命令gateway ip-address，配置防火墙设备的默认网关，此处IP地址是运营商提供的地址。 执行命令ip address ip-address { mask | mask-length }，配置防火墙设备的IP地址和子网掩码，此处IP地址是运营商分配的公网地址。 将防火墙的上行接口加入非安全区域。 执行命令quit，退回到系统视图。 执行命令firewall zone untrust，创建非安全区域，并进入非安全区域视图。 执行命令add interface interface-type interface-number，将防火墙的上行接口加入到非安全区域。 执行命令quit，退回到系统视图。 执行命令ip route-static ip-address { mask | mask-length } ip-address，配置防火墙到华为乾坤云平台南向的静态路由。 确保配置完成后可以在防火墙上Ping通云管理平台。 执行命令save，保存配置。 采用PPPoE方式接入Internet： 配置Dialer接口。 在系统视图下执行命令dialer-rule dialer-number { { ip | ipv6 } { deny | permit } | { acl | acl6 } acl-number }，配置拨号控制列表。 执行命令interface dialer number，创建Dialer接口并进入Dialer接口视图。 执行命令link-protocol ppp，配置接口封装的链路层协议为PPP。 执行命令dialer user username，配置拨号用户名。 执行命令dialer bundle number，指定Dialer接口使用的Dialer bundle。 在Dialer接口视图下配置Dialer接口的IP地址。 配置Dialer接口的IPv4地址： 直接配置IP地址： 执行命令ip address ip-address { mask | mask-length }，配置Dialer接口的IP地址。 配置由对端分配IP地址： 执行命令ip address ppp-negotiate，配置本端接口接受PPP协商产生的由对端分配的IP地址。 配置Dialer接口的IPv6地址： 执行命令ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }，配置接口的IPv6地址。 配置接口上启用PPPoE Client功能。 执行命令quit，退回到系统视图。 执行命令interface interface-type interface-number，进入接口视图。 执行命令pppoe-client dial-bundle-number number [ no-hostuniq ] [ idle-timeout seconds [ queue-length packets ] ] [ ipv4 | ipv6 ]，指定PPPoE会话所对应的Dialer bundle。 执行命令quit，退回到系统视图。 执行命令ip route-static 0.0.0.0 0 { nexthop-address | interface-type interface-number } [ preference preference ]，配置到PPPoE Server的静态路由。 执行命令save，保存配置。 配置防火墙注册上线。 在系统视图下执行命令api call-home host hostname { domain domain-name | ip ip-address } port port-number [ source-ip source-ip-address ] [ vpn-instance vpn-instance-name ] ，配置防火墙注册到华为乾坤云平台的IP地址（139.9.137.139）/域名（device.qiankun-saas.huawei.com）以及端口号（10020）等。推荐优先使用domain域名方式上云。 执行命令api call-home connect [ host hostname ]，发起请求连接华为乾坤云平台。 执行命令display api call-home connection status，查看防火墙上线情况。

简介 用户体验保障围绕用户Wi-Fi网络接入、上网体验等进行全生命周期精准画像，并进行问题分析定位，让运维人员轻松处理用户报障，主动保障VIP用户网络体验。 基于“以设备为中心”的网络管理运维手段，无法满足数字化新空间的需求。“以设备为中心”的运维理念，需要升级为“以体验为中心”的运维理念。“以体验为中心”的运维理念，包含两个方面： 感知体验，对体验进行可视化管理，包括： 对单个用户的360°体验可视化和旅程回放 对全局用户的体验可视化 主动识别用户和业务的体验问题，发现潜在故障并识别根因，最终给出修复建议甚至自动修复，而非被动响应： 故障发生，第一时间感知 识别出体验差的用户和应用 识别潜在问题，提前消除问题 对问题或故障，进行根因定位，给出修复建议甚至自动修复 父主题： 用户体验保障

网络互通基本配置 SD-WAN针对AR设备的网络业务主要支持如下配置： WAN口配置：支持以太、LTE、Eth-Trunk、ATM口配置。 支持NTP、GRE、IPsec等基础配置。 路由协议配置：支持静态路由配置、OSPF路由配置、BGP路由配置。 站点间路由发布：支持连接RR站点自动配置BGP路由配置。 LAN口配置：支持以太接口、接口VLAN、Eth-trunk、DHCP、DHCP Relay、DNS等配置。 WLAN配置：支持SSID、射频配置。

广域优化 FEC（Forward Error Correction）是一种增加数据通讯可信度的数据编码技术，通过流分类识别指定数据流，为其增加携带校验信息的冗余包，如果网络中出现了报文丢失或者报文损伤，则通过冗余包还原报文。该技术优化的典型应用场景： 智能视频安防系统 智能视频安防系统应用的非常广泛，城市里部署大量摄像头，通过网络连接到数据中心进行监测、存储分析。连锁企业通过智能视频安防系统，把数据回传到总部进行监测、存储和分析。这种应用场景的特点是，多个站点的流量汇聚到同一站点，只有上行流量。通过Internet链路网络质量无法保证，可能会出现丢包，导致视频花屏、卡顿，影响视频质量，这就需要在摄像头区域出口、数据中心出口部署广域优化功能，保证视频质量。 视频会议 企业多个站点（分支或总部）都向位于数据中心的服务器建立连接，通过连接到同一站点（数据中心），通过数据中心的会议服务器，把多方的流量互相转发。这种场景既有分支到数据中心的流量，也有数据中心到各个分支的流量，是双向流量。通过Internet链路网络质量无法保证，可能会出现丢包，导致视频花屏、卡顿，影响视频质量，这就需要在视频终端的站点出口、数据中心出口部署广域优化的抗丢包功能，保证视频质量。

站点上网（Site to Internet） SD-WAN站点上网业务主要支持以下场景配置： 本地上网：站点的上网流量从本地CPE的Underlay链路直接出局上网。 集中上网：所有站点的上网流量都通过Overlay的EVPN隧道发送到集中上网的站点后出局上网。 混合上网： 默认集中上网+指定应用本地上网 默认采用集中上网的方式，对于特定流量/应用可指定从本地访问Internet，减少访问延迟。 默认本地上网+指定应用集中上网 默认采用本地上网的方式，对于特定流量/应用可指定从集中网关访问Internet，便于集中管控。 默认本地上网+集中备份上网 默认采用本地上网的方式，当本地Internet链路故障时，流量从集中网关访问Internet。 默认集中上网+本地备份上网 默认采用集中上网的方式，当Overlay通道故障时，流量从本地Internet链路上网。

多云互联 当前企业应用上云越来越多，企业部署SD-WAN系统，需要通过华为乾坤云平台实现企业分支和公有云的互通。SD-WAN多云互联方案支持公有云部署vCPE，将公有云作为SD-WAN网络中的站点，实现企业总部、分支、公有云互联网络的统一管理。 支持AR1000V在华为云和亚马逊云上自动化开局。 支持云站点关联RR，通过路由反射器向其他SD-WAN站点互相通告路由。 支持配置Underlay路由，实现云站点与其他SD-WAN站点的Underlay网络互通。 支持加入VN，将云站点加入所在的部门VN。 支持构建拓扑，将云站点与其他SD-WAN站点构建拓扑，建立Overlay隧道，实现Overlay网络的互通。 支持云站点与VPC互联，华为云支持Host VPC方案，亚马逊云支持Host VPC方案和Transit VPC方案。

站点间互联（Site to Site） 支持创建虚拟网络VN，用于不同业务的隔离，并提供基于VN的Hub-Spoke，Full-Mesh以及Partial-Mesh的组网互通方式。 在Hub-Spoke网络中，总部与分支间建立Hub-Spoke隧道，分支到分支的数据流经由总部传输，支持最多16个Hub的冗余组网设置。 在Full-Mesh网络中，分支与分支机构间建立Spoke-Spoke隧道，实现分支机构与分支机构之间的直接通信。如果分支数量较多，支持动态隧道功能按需建立隧道。 站点可以选择部署CPE单网关或双网关，同时支持多链路混合方式接入网络，保障网络连接可靠性。

Native IPv6 支持在LAN侧提供基本的IPv6配置能力，通过Underlay将各分支的IPv6网络连接在一起。 支持Overlay LAN侧配置DHCPv6，IPv6静态路由，OSPFv3。 支持Underlay配置IPv6静态路由，BGP+。 支持通过本地出局将LAN侧IPv6网络与Underlay IPv6网络连通。 支持Underlay配置IPv6 over IPv4 GRE 或者IPv6 over IPv4 GRE over IPsec隧道。

RADIUS认证、授权、计费 设备作为RADIUS客户端，负责收集用户信息（例如：用户名、密码等），并将这些信息发送到RADIUS服务器。RADIUS服务器则根据这些信息完成用户身份认证以及认证通过后的用户授权和计费。用户、RADIUS客户端和RADIUS服务器之间的交互流程如图1 RADIUS认证、授权、计费流程图所示。 图1 RADIUS认证、授权、计费流程图 当用户接入网络时，用户发起连接请求，向RADIUS客户端（即设备）发送用户名和密码。 RADIUS客户端向RADIUS服务器发送包含用户名和密码信息的认证请求报文。 RADIUS服务器对用户身份的合法性进行检验： 如果用户身份合法，RADIUS服务器向RADIUS客户端返回认证接受报文，允许用户进行下一步动作。由于RADIUS协议合并了认证和授权的过程，因此认证接受报文中也包含了用户的授权信息。 如果用户身份不合法，RADIUS服务器向RADIUS客户端返回认证拒绝报文，拒绝用户访问接入网络。 RADIUS客户端通知用户认证是否成功。 RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则RADIUS客户端向RADIUS服务器发送计费开始请求报文。 RADIUS服务器返回计费开始响应报文，并开始计费。 用户开始访问网络资源。 （可选）在使能实时计费功能的情况下，RADIUS客户端会定时向RADIUS服务器发送实时计费请求报文，以避免因付费用户异常下线导致的不合理计费。 （可选）RADIUS服务器返回实时计费响应报文，并实时计费。 用户发起下线请求，请求停止访问网络资源。 RADIUS客户端向RADIUS服务器提交计费结束请求报文。 RADIUS服务器返回计费结束响应报文，并停止计费。 RADIUS客户端通知用户访问结束，用户结束访问网络资源。

HACA认证、授权、计费 华为乾坤云平台作为HACA服务器部署在云端实现外置Portal服务器以及认证计费服务器。交换机作为用户的认证点，与HACA服务器完成用户认证上线功能。用户的授权信息由HACA服务器指定，用户认证通过后，HACA服务器会授予用户访问网络的权限。HACA认证、授权、计费流程如图2所示。 图2 HACA认证、授权、计费流程图 设备与HACA服务器通过HTTP 2.0协议与HACA服务器建立长连接并注册设备信息。 在认证之前客户端与设备之间建立起预连接。 客户端通过HTTP协议发起认证请求。HACA服务器提供Web页面供用户输入用户名和密码来进行认证。 接入设备与HACA服务器之间进行认证报文的交互。 用户认证成功后，HACA服务器主动发送授权报文授予用户网络访问权限。 用户开始访问网络后，接入设备向HACA服务器发送计费开始请求报文。 HACA服务器向接入设备发送计费开始响应报文，并开始计费。 （可选）在使能实时计费功能的情况下，接入设备会定时向HACA服务器发送实时计费请求报文，以避免因付费用户异常下线导致的不合理计费。 （可选）HACA服务器返回实时计费响应报文，并实时计费。 用户发起下线请求。 HACA服务器向接入设备发送用户下线请求报文。 接入设备向HACA服务器返回用户下线响应报文。 接入设备向HACA服务器提交计费结束请求报文。 HACA服务器返回计费结束响应报文，并停止计费。

背景信息 上行链路IP-Link 当前企业通常以双上行链路方式接入Internet，以保证链路的稳定。IP-Link是指防火墙通过向指定的目的IP周期性地发送探测报文并等待应答，来判断上行链路是否发生故障。 当上行链路出现故障时，防火墙不能将流量切换到备份链路上。故希望通过与IP-Link联动，检查链路的有效性。当发现所在链路出现故障时，则将业务流量切换到备份链路上。当链路从故障中恢复，防火墙能连续地收到响应报文，则认为链路故障已经消除。则将业务流量切换到主用链路上。 DNS 在防火墙上配置DNS相关功能，通过防火墙接入网络的设备能通过DNS服务器识别某些域名，自动将其解析为对应的IP地址。DNS技术实现了域名和IP地址的相互映射，可以使用户能更方便地访问互联网，无需记忆具体的IP地址。DNS客户端在接入网络以后，将DNS请求发送到DNS中继/代理： 对于DNS代理，会先查询本地域名缓存表。如果能查到对应的域名解析结果，会直接将应答返回给DNS客户端；否则会将请求报文转发给DNS服务器，由DNS服务器执行域名解析。 对于DNS中继，则直接将请求报文转发给DNS服务器，由DNS服务器执行域名解析，并将应答报文转发回DNS客户端。 NAT 在防火墙上开启NAT映射（缺省情况下已启用），使下行网络中的设备能以防火墙WAN口的IP地址访问Internet。 NAT（Network Address Translation）是一种地址转换技术，可以将IPv4报文头中的地址转换为另一个地址。防火墙支持基于出接口地址方式的NAT（又称为EasyIP），租户网络中的设备可以直接借用防火墙公网接口的IP地址访问Internet。 子网 通过防火墙接入网络的设备能从防火墙自动获取IP地址，从而实现与防火墙上行网络的互通。 DHCP服务器 负责为DHCP客户端动态分配IP地址等网络参数的设备。 （可选）DHCP中继 如果DHCP客户端和DHCP服务器不在同一个网段，可以通过DHCP中继与DHCP服务器通信，从而获取到合法的IP地址。通过部署DHCP中继可以使多个网段的设备共用一个DHCP服务器，降低成本，便于集中管理。 DHCP客户端 通过DHCP协议以广播方式发送报文请求获取IP地址等网络参数的终端设备。例如PC、手机、IP电话、无盘工作站等。

配置思路 图 配置流程图是典型网络部署流程和步骤，如果您的网络业务有特殊需求，可以在此基础上进行调整。 图1 配置流程图 本案例以路由器（AR）作为网关设备，整网设备均在华为乾坤云平台纳管。其中AR通过Web网管方式上云，AR下挂的设备通过DHCP Option方式上云，然后远程进行业务配置。 数据规划。 使用华为乾坤“网络规划与设计”工具自动规划AP的安装点位，确保AP的无线信号对酒店全覆盖。 使用华为乾坤“网络规划与设计”工具自动规划网络信息，包括组网方案、设备款型、接口、无线业务、QoS策略、网络安全策略等。 配置前准备。 （可选）手机下载并安装华为乾坤APP软件，用于网络验收。 现场安装设备，包括硬装、连线、上电等。 设备上线。 创建站点并添加设备：在华为乾坤云平台创建站点，将所有设备加入同一个站点，以便统一配置。 配置AR接入Internet：AR通过PPPoE拨号方式接入运营商网络，采用Web网管配置。 配置设备上线云平台。 AR注册上线：工作模式切为云管理模式，采用Web网管配置对接云平台。 AR下挂设备注册上线：采用DHCP Option148方式，在华为乾坤云平台配置，配置对象是AR。目的是为网关下挂设备分配管理IP，同时下发云平台注册信息。 在华为乾坤云平台配置网络业务。 认证授权准备。 员工Wi-Fi采用PSK认证，无需认证准备，默认即可。 访客Wi-Fi采用短信认证，配置华为乾坤云平台与短信平台对接，定制Portal推送页面、推送策略、认证规则等。 哑终端接入无需认证。 配置AR业务。 配置AR的下行接口。 配置AR的DHCP Server功能，为用户终端分配IP地址。 配置AR的流量策略。 （可选）配置交换机业务。 华为乾坤“网络规划与设计”工具可以自动规划交换机上行、下行接口，以及接口允许通过的VLAN等参数。如需调整，请手动修改配置。 配置AP业务。 配置员工和访客Wi-Fi，包括创建SSID、配置用户认证和QoS策略等。 结果验证。确认终端可以正常上网，可以在华为乾坤云平台监控各设备状态信息。 父主题： AR+交换机+AP组网场景