华为云用户手册

使用前必读 编译构建是指将软件的源代码编译成目标文件，并和配置文件、资源文件等一起打包的过程。 编译构建服务（CodeArts Build）为开发者提供配置简单的混合语言构建平台，实现编译构建云端化，支撑企业实现持续交付，缩短交付周期，提升交付效率。支持编译构建任务一键创建、配置和执行，实现获取代码、构建、打包等活动自动化，实时监控构建状态，让您更加快速、高效地进行云端编译构建。 更多产品信息请参考产品介绍。 在使用编译构建服务前，用户需先了解角色权限和使用流程，以及如何购买服务。

配置说明 编译构建服务默认使用私有依赖库作为私有依赖下载源，如果需要将构建产物上传至私有依赖库供其他项目依赖使用，则需要添加此配置。 软件发布库主要用于归档用以部署或其他用途的软件包。 私有依赖库主要用于存储供其他项目依赖的工具包等。 私有依赖仓库分为release仓库和snapshot仓库，两种仓库对应的使用场景为： 对于以调试为目的发布的私有依赖包，一般会给依赖版本号增加-SNAPSHOT后缀（如：1.0.0-SNAPSHOT），执行发布操作时，此类依赖会自动发布到snapshot仓库，发布时无需更新版本号，构建命令中增加-U参数即可拉取最新版本。 对于正式发布的私有依赖包，版本号中不可带-SNAPSHOT后缀（如：1.0.0），执行发布操作时，此类依赖会自动发布到release仓库，发布时必须更新版本号，否则会导致构建过程无法拉取最新依赖包。 使用时要务必注意区分，避免出现如“将依赖上传到软件发布库但是构建时无法下载”此类场景。

OpenStack原生接口说明 表3 OpenStack原生接口说明 类型 说明 API版本信息 当前API所有可用版本的查询、分页查询。 端口 端口的查询、创建、更新、删除等接口。 网络 网络的查询、创建、更新、删除等接口。 子网 子网的查询、创建、更新、删除等接口。 路由器 路由器的查询、创建、更新、删除等接口。 网络ACL 网络ACL的创建、更新、删除等接口。 网络ACL规则的创建、更新、删除、查询等接口。 网络ACL策略的创建、更新、删除、查询等接口。 安全组 安全组创建、查询、删除、更新等接口。 安全组规则创建、查询、删除等接口。

VPC接口说明 表1 VPC接口说明 类型 说明 VPC VPC的创建、查询、更新、删除等接口。 子网 子网的创建、查询、更新、删除等接口。 配额 配额查询接口。 私有IP 私有IP的申请、查询、删除等接口。 安全组 安全组创建、查询、删除等接口。 安全组规则创建、查询、删除等接口。 端口 端口创建、查询、更新、删除等接口。 对等连接 对等连接查询、创建、更新、删除等接口。 接受、拒绝对等连接请求接口。 VPC路由 VPC路由查询、创建、删除等接口。 路由表 路由表查询、创建、删除等接口。 标签管理 VPC资源标签的创建、查询、删除等接口。 子网资源标签的创建、查询、删除等接口。 查询网络IP使用情况 查询一个指定网络中的IP地址使用情况，包括网络中的IP总数以及已用IP总数。 流日志 流日志创建、查询、更新、删除等接口。 该类型接口目前在“华北-北京四、华东-上海一、华南-广州、西南-贵阳一、中国-香港、亚太-曼谷、亚太-新加坡、拉美-墨西哥城二、非洲-约翰内斯堡”区域开放。

VPC V3接口说明 表2 VPC接口说明 类型 说明 VPC V3 VPC V3的查询、编辑扩展网段等接口。 该类型接口在“华北-北京一，华北-北京二，华北-北京四，华北-乌兰察布一，华东-上海一，华东-上海二，华南-广州，华南-深圳，西南-贵阳一，中国-香港，亚太-曼谷，亚太-新加坡，亚太-雅加达，土耳其-伊斯坦布尔，非洲-约翰内斯堡，拉美-墨西哥城一，拉美-墨西哥城二，拉美-圣保罗一，拉美-圣地亚哥”区域上线。 安全组 V3 安全组 V3的创建、查询、更新、删除等接口。 该类型接口在“华北-北京一，华北-北京二，华北-北京四，华北-乌兰察布一，华东-上海一，华东-上海二，华南-广州，华南-深圳，西南-贵阳一，中国-香港，亚太-曼谷，亚太-新加坡，亚太-雅加达，土耳其-伊斯坦布尔，非洲-约翰内斯堡，拉美-墨西哥城一，拉美-墨西哥城二，拉美-圣保罗一，拉美-圣地亚哥”区域上线。 安全组规则 V3 安全组规则 V3的创建、查询、删除等接口。 该类型接口在“华北-北京一，华北-北京二，华北-北京四，华北-乌兰察布一，华东-上海一，华东-上海二，华南-广州，华南-深圳，西南-贵阳一，中国-香港，亚太-曼谷，亚太-新加坡，亚太-雅加达，土耳其-伊斯坦布尔，非洲-约翰内斯堡，拉美-墨西哥城一，拉美-墨西哥城二，拉美-圣保罗一，拉美-圣地亚哥”区域上线。 IP地址组 地址组的创建、查询、更新、删除等接口。 该类型接口在“华北-北京一，华北-北京二，华北-北京四，华北-乌兰察布一，华东-上海一，华东-上海二，华南-广州，华南-深圳，西南-贵阳一，中国-香港，亚太-曼谷，亚太-新加坡，亚太-雅加达，土耳其-伊斯坦布尔，非洲-约翰内斯堡，拉美-墨西哥城一，拉美-墨西哥城二，拉美-圣保罗一，拉美-圣地亚哥”区域上线。 辅助弹性网卡 辅助弹性网卡的创建、查询、更新、删除等接口。 该类型接口在“华北-北京四、华北-北京二、华东-上海一、华东-上海二、华南-广州、西南-贵阳一、中国-香港、亚太-新加坡、亚太-雅加达、拉美-墨西哥城二、土耳其-伊斯坦布尔”区域上线。 流量镜像会话 流量镜像会话的创建、查询、更新、删除等接口。 该类型接口在“华东-上海一、亚太-新加坡”区域上线。 流量镜像筛选条件 流量镜像筛选条件的创建、查询、更新、删除等接口。 该类型接口在“华东-上海一、亚太-新加坡”区域上线。 流量镜像筛选规则 流量镜像筛选规则的创建、查询、更新、删除等接口。 该类型接口在“华东-上海一、亚太-新加坡”区域上线。 网络ACL V3 网络ACL V3的创建、查询、更新、删除等接口。 该类型接口在“华北-北京四，华东-上海一，华南-广州，华南-深圳，西南-贵阳一，亚太-新加坡”区域上线。 端口 V3 端口 V3的插入安全组、移除安全组等接口。 该类型接口在“华北-北京四，华东-上海一，华南-广州，华南-深圳，西南-贵阳一，亚太-曼谷、中国-香港”区域上线。

网络信息规划 本案例中规划的参数值、设备上线方式等均为示例说明，仅供参考，具体项目中根据实际情况调整。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 租户 租户帐号名称：test@huawei.com 租户帐号密码：testUser@123 架构设计 网络拓扑 见图 随板AC+Fit AP配置上云组网拓扑图示例 设备选型 防火墙：USG6525E 汇聚交换机（随板AC）：S6730-H48X6C 接入交换机：S5731-H48P4XC AP：AirEngine5761-21 站点 站点名称：test_native_ac 站点类型：FW、LSW、WAC/Fit AP 设备接口互联 见图 随板AC+Fit AP配置上云组网拓扑图示例 设备上线设计 防火墙接入Internet方式 采用Web网管配置 FW1为主用防火墙：GE0/0/1接口，PPPoE拨号 FW2为备用防火墙：GE0/0/1接口，PPPoE拨号 心跳线：主备防火墙通过GE0/0/2连接 防火墙注册上线方式 采用Web网管配置 华为乾坤云平台URL地址为device.qiankun-saas.huawei.com，端口号为10020 随板AC注册上线方式 采用Web网管配置 华为乾坤云平台URL地址为device.qiankun-saas.huawei.com，端口号为10020 随板AC下挂的设备获取IP地址方式 IP地址获取方式：DHCP动态获取，汇聚交换机（随板AC）作为DHCP Server IP地址范围：10.1.1.0/24 随板AC下挂的设备注册上线方式 DHCP Option148方式 NAT 在出口防火墙上开启NAT功能 用户上线设计 用户接入 教学上网（有线接入） 员工（本案例指教职工和学生，无线接入） 访客（无线接入） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，汇聚交换机（随板AC）作为DHCP Server（网关） IP地址范围： 教学上网：10.1.2.0/24 员工：10.1.4.0/24 访客：10.1.6.0/24 用户所属的VLAN 教学上网：VLAN 10 员工：VLAN 20 访客：VLAN 30 终端接入与认证方式 教学上网：有线子网test-wired，802.1X认证 员工Wi-Fi：SSID名称为test-emp；Portal认证（用户名密码认证） 访客Wi-Fi：SSID名称为test-guest；Portal认证（短信认证） 用户业务设计 QoS 无线终端带宽限制：5Mbit/s

认证服务器侧的配置思路 802.1X认证采用华为乾坤云平台内置的RADIUS服务器组件。 在认证服务器侧的整个配置过程如下： 在华为乾坤云平台创建用户组Wireless_Employee_Group，把同一类认证方式的用户放到同一个用户组，方便管理，同时，在该用户组中增加用户账号信息。 创建认证规则Wireless_Employee_Authen，认证方式采用用户接入认证，匹配用户组Wireless_Employee_Group。 创建授权结果。本案例使用系统的缺省授权结果允许接入和拒绝接入。如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则Wireless_Employee_Rule，认证方式采用用户接入认证，匹配用户组Wireless_Employee_Group，关联的授权结果为允许接入。

后续操作 创建IPsec VPN通道后，支持对IPsec VPN进行如下操作： 搜索：在IPsec VPN配置列表左上方搜索框输入名称、设备、设备站点或状态，单击左侧或按回车键直接搜索。 修改：选中目标IPsec VPN网络，单击列表中“编辑”，可修改当前IPsec VPN配置。 修改IPsec VPN会导致设备之前的IPsec VPN隧道中断，可能无法重新建立，请谨慎操作。 删除：选中目标IPsec VPN网络，单击列表中“删除”或选中多个IPsec VPN网络单击列表右上方“删除”，支持单个或批量删除IPsec VPN网络。 若设备为“未注册”或“离线”状态，将无法成功删除设备所在的VPN。 查看下发状态：单击列表中 “查看下发状态”，可查看当前站点间IPsec VPN配置下发状态。如需重新下发IPsec VPN配置，可单击“重新下发”。 IPsec VPN配置状态如下： 预配置：设备还未上线，配置待下发。 失败：设备上线成功，配置下发失败。 告警：设备上线成功，配置下发异常。 正在部署：设备上线成功，配置正在下发中。 成功：设备上线成功，配置下发成功。

背景信息 根据实际情况，添加需要互联的分支、总部站点，并创建“点对点”或“点对多点”的VPN隧道，配置互联相关的信息。 为提升数据传输的安全性，用户可以在防火墙、AR与对端设备之间建立IPsec隧道，将需要保护的数据引流到该IPsec隧道。通过安全协议对IPsec隧道中的网络报文进行加密传输和验证，可以保障关键业务数据在Internet中安全传输，降低信息泄漏的风险。 在Hub-Spoke场景中，V500R005C00及以后版本的防火墙还支持IPsec智能选路功能。开启该功能后，防火墙会选用最先配置的链路建立IPsec隧道，并通过持续发送ICMP报文检测IPsec隧道内通信的时延和丢包率。当两个指标任意一项高于指定阈值，防火墙会切换到其他链路建立IPsec隧道，并继续检测IPsec隧道的时延和丢包率，直至隧道的时延和丢包率达标或者循环切换次数达到设定的上限（缺省为3次）。启用智能选路功能后，Hub和Spoke的选取规则如下： 设备角色 约束条件 Hub 当前只支持防火墙或第三方设备作为Hub设备。 已作为Spoke使用的设备不能同时作为Hub使用。 非智能选路场景下，只支持1台Hub设备，一个VPN中的Hub设备不能和其他VPN重复。 智能选路场景下，最多支持10台Hub设备。 子网数必须大于0，且不能大于16。 Spoke 已作为Hub使用的设备不能同时作为Spoke使用。 一个Spoke设备最多在3个VPN中。 一个VPN最多支持32台互访设备或者200台不互访设备。 Spoke子网网段不能重叠。 VPN最后一个Spoke节点不允许删除。 子网数必须大于0，且不能大于16。 当前仅支持一级租户下的用户进行“站点间互联”配置。 低于V300R003C10版本的AR设备不支持配置IPsec VPN。 AR设备不支持Mesh组网，也不支持作为Hub节点，可作为Spoke节点。 AR设备不支持开启IPsec 智能选路。 AR设备不支持通过设备SN和FQDN方式进行身份认证。

认证服务器侧的配置思路 采用短信验证码方式的Portal认证整个配置过程如下： Portal认证在认证服务器侧的配置采用华为乾坤云平台内置的Portal服务器组件。以访客终端采用短信验证码方式的Portal认证为例，整个配置过程如下： 在华为乾坤云平台创建用户组Wireless_Guest_Group，把同一类认证方式的用户放到同一个用户组，方便管理。 配置华为乾坤云平台与短信服务器对接。短信服务器的账号和密码需要租户提前向运营商申请。 创建认证规则Guest_Authen，认证方式采用用户接入认证，匹配用户组Wireless_Guest_Group。 创建授权结果Guest_Result。也可以使用系统的缺省授权结果允许接入和拒绝接入，如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则Guest_Rule，认证方式采用用户接入认证，匹配用户组Wireless_Guest_Group，关联的授权结果为Guest_Result。 配置访客账号策略Guest_Account_Policy，密码类型选择短信验证码方式，设置验证码有效期和验证通过后有效期，访客所属用户组为Wireless_Guest_Group。也可以使用系统默认的访客账号策略，系统默认的访客账号策略不能满足需求时，请根据实际需求创建新的访客账号策略。 配置Portal推送页面Guest_Portal，访问协议采用HTTPS，系统模板为短信模板，绑定访问账号策略Guest_Account_Policy。也可以使用系统默认的页面，如果系统默认的推送页面不能满足需求时，请按照页面提示定制新的推送页面。 配置Portal页面推送策略Guest_Portal_Policy，认证方式为短信认证，推送页面为Guest_Portal，首推认证页面，认证成功后不跳转页面。

认证服务器侧的配置思路 MAC认证采用华为乾坤云平台内置的RADIUS服务器组件。 在认证服务器侧的整个配置过程如下： 在华为乾坤云平台创建用户组Wire_Dumb_Group，把同一类认证方式的用户放到同一个用户组，方便管理。 创建认证规则Dumb_Authen，认证方式采用MAC认证，匹配用户组Wire_Dumb_Group。 创建授权结果。本案例使用系统的缺省授权结果允许接入和拒绝接入。如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则Dumb_Rule，认证方式采用用户接入认证，匹配用户组Wire_Dumb_Group，关联的授权结果为允许接入。

认证服务器侧的配置思路 MAC认证采用华为乾坤云平台内置的RADIUS服务器组件。 在认证服务器侧的整个配置过程如下： 在华为乾坤云平台创建用户组Wireless_Dumb_Group，把同一类认证方式的用户放到同一个用户组，方便管理。 创建认证规则Dumb_Authen，认证方式采用MAC认证，匹配用户组Wireless_Dumb_Group。 创建授权结果。本案例使用系统的缺省授权结果允许接入和拒绝接入。如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则Dumb_Rule，认证方式采用用户接入认证，匹配用户组Wireless_Dumb_Group，关联的授权结果为允许接入。

网络信息规划 本案例中规划的网络数据、业务数据等均为示例，仅供参考，请根据实际项目要求调整参数值。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 租户 租户帐号：enterprise_name 架构规划 网络拓扑 见图1 设备选型 AR：S3580-S8P2T-A AP：AirEngine5762-12 站点 站点名称：test 站点类型：AR、云AP 设备接口互联 见图1 设备上线规划 AR接入Internet的方式 采用Web网管配置 WAN口：PPPoE拨号 AR注册上线的方式 注册查询中心 AR下挂的设备获取IP地址方式 IP地址获取方式：DHCP动态获取，AR作为DHCP Server IP地址范围：192.168.1.1/24 VLAN ID：1 AR下挂的设备注册上线方式 DHCP Option148方式：在乾坤云管理平台配置，配置对象是AR NAT 在出口网关AR上开启NAT功能 用户上线规划 用户终端接入所属VLAN和IP地址 IP地址获取方式：DHCP动态获取，AR作为DHCP Server IP地址范围：192.168.1.1/24 VLAN ID：1 终端接入与认证方式 无线终端Wi-Fi：SSID名称为test-ap；PSK认证

典型组网 组网方案简介： 分支通过多条上行链路（多条有线链路、或者有线链路+LTE无线链路）出口和多总部/DC互联，分支、总部/DC的出口网关设备都必须为支持SD-WAN功能的AR设备。 图4 SD-WAN组网方案示意 适用场景： 海量小分支需要和多总部/DC通信，分支需要访问总部/DC的业务，分支和总部/DC部署单链路或者多链路上行互联。需要智能选路，根据业务、应用选择链路质量优的链路优先发送，同时需要支持链路的自动切换和回切。 组网方案关键点： 分支支持单机部署，也可以双机部署；双机部署时每台设备至少连接一条上行链路。 总部、分支等所有站点都必须部署支持SD-WAN功能的AR设备；如果总部已有网关，则也必须旁挂、或者串联AR的设备。

逻辑架构 图1 SD-WAN架构图 服务架构如图 SD-WAN架构图所示，主要包括管理层、控制层和网络层。每层具备明确的核心组件并承担不同的功能。 第三方BSS/OSS 华为乾坤开放了北向API接口，可以纳入到现有的BSS/OSS等第三方业务编排系统，实现广域网络的灵活集成和定制。 管理/控制层 SD-WAN互联方案的网络编排，除了华为乾坤云平台，还需要部署RR的角色（路由反射器，也叫区域控制器）。因为涉及到动态路由的按需发布，因此除了对VPN模型的编排外，还需要考虑RR模型的部署、业务配置。 华为乾坤云平台作为网络编排和控制层的核心，对网络业务进行抽象，实现网络业务的编排和控制，并对网络业务进行自动发放。RR在华为乾坤云平台的指导下，基于用户定义的VPN拓扑策略，进行出口设备之间的VPN路由和隧道信息按需分发。云平台对整网路径的控制结果首先需要传递给RR，RR实现对全网出口设备的VPN路由、隧道信息的控制和传播，因此RR是网络管理/控制层的重要组成部分。 网络层 网络层主要由物理设备组成，是企业WAN的基础物理组网。当前SD-WAN方案仅支持AR设备作为出口设备。 从网络功能层次划分，SD-WAN网络可以分为Underlay网络和Overlay网络。 Underlay网络：物理网络，是由路由器等网络设备通过运营商提供的物理线路互联组成的WAN，常见类型有MSTP专线、MPLS VPN以及Internet等。 Overlay网络：虚拟网络，是在一张物理网络上构建出一张或多张虚拟的逻辑网络。不同的虚拟网络虽然共享物理网络中的设备和线路，但虚拟网络中的业务与物理网络中的业务相互解耦。虚拟网络的多实例化，既可以服务于同一租户的不同业务（如多个部门），也可以服务于不同租户。 从网络设备的功能定位划分，网络层主要由Edge和GW两类设备构成。 Edge：是站点的出口CPE设备（Customer Premise Equipment）。Edge的本质是SD-WAN隧道的发起和终结点，也可以看做SD-WAN网络的边界点。Edge之间的Overlay隧道可以构建在任意的有线或者无线的Underlay WAN网络上。 GW：是连接SD-WAN站点和其他网络（如传统VPN）的网关设备。通过GW可以实现SD-WAN网络与传统网络、公有云网络间的互通。

背景信息 随着分支办公、分支连锁场景越来越多，分支网络不仅要访问Internet，还要访问总部/数据中心（DC）、甚至其它分支机构。此类场景我们统称为多园区/分支互联场景，需要部署出口互联的园区网络。传统分支接入总部网络一般采用“专线”方式，其成本高、部署效率低，显然无法满足企业发展诉求。当前，企业分支可以选择通过Internet接入总部网络，同时为保证网络互联安全性和可靠性，可以部署IPsec VPN或SD-WAN方案。 本章主要介绍了SD-WAN互联方案，SD-WAN属于一种动态的VPN，可以按需在站点间建立隧道，动态发布路由。SD-WAN通过在站点间建立GRE隧道来创建VPN通道，同时支持在GRE隧道上进行IPsec加密，以实现隧道的加密安全。另外SD-WAN可以基于应用、策略选择质量较优的链路发送数据，实现基于应用、策略的智能选路。 如果有以下场景诉求，建议选择SD-WAN方案： 分支、总部站点多链路上行，分支、总部需要多隧道建链实现多VPN隧道的主备或者负载分担。 有多区域/多中心站点（每个区域相当于一个总部），需要跨区域进行分层互联的复杂互联场景。 园区间有多部门业务隔离的诉求，对WAN侧也需要进行隔离，需要部署多VPN的互联。 需要基于应用、链路质量进行智能选路。

使用网规工具规划AP的安装点位 可以购买业界常用的网规网优工具（比如华为的云网规工具WLAN Planner），根据连锁酒店实际建筑布局和现有的基础设施，对室内和室外WLAN网络快速规划，包括现场环境规划、AP布放（AP的型号、数量、安装点位等）、网络信号仿真等，提高工程师的网络规划效率。 本案例使用华为乾坤云管理网络提供的“网络规划与设计”，内嵌多种行业场景化网络最佳实践，只需简单需求描述和菜单点选，即可进行无线网规设计和业务规划。具体的使用步骤如下： 新建方案。选择相似的行业场景模板，基于平面图创建室内/室外网规方案。 输入基本信息。设置方案名称、网络规模、网络业务等信息 无线网规设计。设置建筑的比例尺、障碍物、Wi-Fi覆盖区域，一键自动布放AP，完成Wi-Fi信号仿真，确认是否满足无线要求。 网络拓扑设计。根据基本信息和网规设计，按网络层级自动绘制组网图。 业务规划。拓扑设计完成后，自动进行有线业务规划和无线业务规划。 导出方案包。可下载WlanReport、开局方案、LLD、拓扑图、项目技术建议书。

网络信息规划 本案例中规划的网络数据、业务数据等均为示例，仅供参考，请根据实际项目要求调整参数值。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 MSP MSP帐号名称：huawei-partner@huawei.com MSP帐号密码：mspUser@123 架构规划 网络拓扑 见图 AR+交换机+AP组网拓扑图示例 设备选型 AR：AR651W-8P 交换机：S5735-L24P4S-A-V2 AP：AirEngine5761-11W 站点 站点名称：test_hotel 站点类型：AR、LSW、云AP 设备接口互联 见图 AR+交换机+AP组网拓扑图示例 设备上线规划 AR接入Internet的方式 采用Web网管配置 主用接口：GE0/0/1接口，PPPoE拨号 备用接口：GE0/0/2接口，PPPoE拨号 AR注册上线的方式 采用Web网管配置 华为乾坤云平台URL地址为：device.qiankun-saas.huawei.com，端口号为：10020 AR下挂的设备获取IP地址方式 IP地址获取方式：DHCP动态获取，AR作为DHCP Server IP地址范围：10.1.1.0/24 AR下挂的设备注册上线方式 DHCP Option148方式：在华为乾坤云平台配置，配置对象是AR NAT 在出口网关AR上开启NAT功能 用户上线规划 用户接入 员工（无线接入） 访客（无线接入） 哑终端（有线接入） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，AR作为DHCP Server IP地址范围： 员工：10.1.2.0/24 访客：10.1.4.0/24 哑终端：10.1.6.0/24 用户所属的VLAN 员工：VLAN 10 访客：VLAN 20 哑终端：VLAN 30 终端接入与认证方式 员工Wi-Fi：SSID名称为test-emp；PSK认证 访客Wi-Fi：SSID名称为test-guest；Portal认证（短信认证） 哑终端：有线子网test-dumb；不认证 用户业务规划 QoS 单个员工终端带宽限制：5Mbit/s 单个访客终端带宽限制：5Mbit/s

网络信息规划 本案例中规划的参数值、设备上线方式等均为示例说明，仅供参考，具体项目中根据实际情况调整。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 MSP MSP帐号名称：huawei-partner@huawei.com MSP帐号密码：mspUser@123 架构规划 网络拓扑 见图 防火墙+交换机+AP组网拓扑图示例 设备选型 防火墙：USG6550E 交换机：S5735-L24P4S-A-V2 AP：AirEngine 5762-12SW 站点 站点名称：test_fw 站点类型：FW、LSW、云AP 设备接口互联 见图 防火墙+交换机+AP组网拓扑图示例 设备上线规划 防火墙接入Internet的方式 采用Web网管配置 主用接口：GE0/0/1接口，PPPoE拨号 备用接口：GE0/0/2接口，PPPoE拨号 防火墙注册上线的方式 采用Web网管配置 华为乾坤云平台URL地址为：device.qiankun-saas.huawei.com，端口号为：10020 防火墙下挂的设备获取IP地址方式 IP地址获取方式：DHCP动态获取，网关作为DHCP Server IP地址范围：10.1.1.0/24 防火墙下挂的设备注册上线方式 DHCP Option148方式：在华为乾坤云平台上配置，配置对象是防火墙 NAT 在防火墙上开启NAT功能 用户上线规划 用户接入 员工（无线接入） 访客（无线接入） 哑终端（有线接入，如打印机等） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，防火墙作为DHCP Server（网关） IP地址范围： 员工：10.1.2.0/24 访客：10.1.4.0/24 哑终端：10.1.6.0/24 用户所属的VLAN 员工：VLAN 10 访客：VLAN 20 哑终端：VLAN 30 终端接入与认证方式 员工Wi-Fi：SSID名称为test-emp；PSK认证 访客Wi-Fi：SSID名称为test-guest；Portal认证（短信认证） 哑终端：有线子网名称test-dumb；不认证 用户业务规划 QoS 单个员工终端带宽限制：5Mbit/s 单个访客终端带宽限制：5Mbit/s

终端接入与认证方式规划 员工通过无线接入，采用802.1X认证；访客通过无线接入，采用Portal+短信认证；哑终端通过有线接入，采用MAC认证。 表1 终端接入认证 用户分类 终端接入方式 SSID 接入认证方式 业务VLAN 员工 无线接入 Employee 802.1X认证 10 访客 无线接入 Guest Portal认证（短信认证） 20 哑终端 有线接入 - MAC认证 30 员工 有线接入 - 802.1X认证 40 父主题： LAN侧网络数据规划

操作步骤 操作前，请确保AR设备与核心交换机之间未连线或者连线被断开。 单击“LAN-WAN互联”页签。 在站点列表，单击待配置站点“Site1”，在“LAN-WAN连接”区域，单击。 填写“名称”，然后在“网关”区域，单击“创建”。 图2 填写名称 创建LANWAN互联口，如图3所示。参数值请参考LANWAN互联口规划（管理网）。 分支站点有两台AR设备，需要创建两个LANWAN互联口。下图以“Site1_AR_1”为例。 图3 创建LANWAN互联口 参考上述步骤，创建“Site1_AR_2”设备对应的LANWAN互联口。 配置完成后，如图4所示。 图4 LANWAN互联口配置完成 单击“下一步”，进入“互联路由配置”。 无需配置，直接单击“完成”。

认证服务器侧的配置思路 802.1X认证采用华为乾坤云平台内置的RADIUS服务器组件。 在认证服务器侧的整个配置过程如下： 在华为乾坤云平台创建用户组Wire_Employee_Group，把同一类认证方式的用户放到同一个用户组，方便管理，同时，在该用户组中增加用户账号信息。 创建认证规则Wire_Employee_Authen，认证方式采用用户接入认证，匹配用户组Wire_Employee_Group。 创建授权结果。本案例使用系统的缺省授权结果允许接入和拒绝接入。如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则Wire_Employee_Rule，认证方式采用用户接入认证，匹配用户组Wire_Employee_Group，关联的授权结果为允许接入。

站点和设备数据规划 各个站点的设备，需要先添加到云平台，管理员才能对设备进行配置和管理。 表1 站点规划 站点名称 设备类型 Hub1 AR Hub2 AR Site1 AR、LSW、云AP 表2 设备信息 所属站点 设备名称 设备型号 设备角色 设备ESN数据 备注 Hub1 Hub1_1 AR6280 网关+路由反射器 请从设备的物理标签上获取 设备名称可修改。 说明： “设备型号”均为举例，请以实际为准。 Hub1_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2 Hub2_1 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Site1 Site1_AR AR651 网关 请从设备的物理标签上获取 Site1_ACC S5735-L48P4X-A1 接入 请从设备的物理标签上获取 Site1_AP 假设：AirEngine5761R-11 AP 请从设备的物理标签上获取 父主题： 开局部署数据规划

硬件安装云化设备 根据部署规划时的网络设备安装点位设计、设备间互联等信息，完成网络设备的硬件安装、连线、上电等操作，参见表1。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装硬件设备 硬件设备安装需要遵循施工规范，常见的硬件施工规范有： 物理设备必须可靠接地。 物理设备谨慎搬运，要连带外纸箱或泡沫垫，不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线，规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请单击以下设备名称，进入“硬件安装与维护指南”手册，查看对应设备款型的安装指导。 若无法找到，请在搜索框中输入设备款型查找安装指导。 随板AC 接入交换机 AP 连接线缆 根据布线规划完成线缆连接，连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。

开通云管理网络服务 已注册华为乾坤租户帐号，帐号可以是自注册或者MSP代建。 访问华为乾坤控制台，在登录页面单击“立即注册”。 根据页面提示设置用户名、 密码等信息，确认无误后勾选隐私声明和用户协议，并单击“注册并登录”。 已购买并开通了云管理网络，具体步骤请参见《服务开通》的“开通云管理网络套餐”。 LAN-WAN融合场景至少需要购买“网络基础套餐”和“SD-WAN增值套餐”两种套餐。 父主题： 配置前准备

操作步骤 LAN侧设备使用DHCP Option148方式上线云平台。 LAN侧设备连线，上电后，会通过DHCP方式获得云平台的URL地址和端口号，自动注册上线。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装硬件设备 硬件设备安装需要遵循施工规范，常见的硬件施工规范有： 物理设备必须可靠接地。 物理设备谨慎搬运，要连带外纸箱或泡沫垫，不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线，规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请单击以下设备名称，进入“硬件安装与维护指南”手册，查看对应设备款型的安装指导。 若无法找到，请在搜索框中输入设备款型查找安装指导。 接入交换机 AP 连接线缆 根据布线规划完成线缆连接，连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。

Underlay网络数据规划 站点Underlay网络WAN侧的静态路由。 表1 WAN侧静态路由信息（1） 参数 数据 站点 Hub1 Hub2 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 优先级 60 60 60 60 WAN链路 Device1_internet Device2_internet Device1_internet Device2_internet 目的网段/掩码 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 下一跳类型 IP地址 IP地址 IP地址 IP地址 IP地址 20.1.1.2 20.1.2.2 30.1.1.2 30.1.2.2 探测 OFF OFF OFF OFF 表2 WAN侧静态路由信息（2） 参数 数据 站点 Site1 设备 Site1_AR 优先级 60 WAN链路 Internet_1 目的网段/掩码 0.0.0.0/0 下一跳类型 IP地址 IP地址 40.1.1.2 探测 ON 目标 40.1.1.2 父主题： 站点互联数据规划

站点和设备数据规划 各个站点的设备，需要先添加到云平台，管理员才能对设备进行配置和管理。 表1 站点规划 站点名称 设备类型 Hub1 AR Hub2 AR Site1 AR、LSW、WAC/FitAP 表2 设备信息 所属站点 设备名称 设备型号 设备角色 设备ESN数据 备注 Hub1 Hub1_1 AR6280 网关+路由反射器 请从设备的物理标签上获取 设备名称可修改。 说明： “设备型号”均为举例，请以实际为准。 Hub1_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2 Hub2_1 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Site1 Site1_AR_1 AR6121E 网关 请从设备的物理标签上获取 Site1_AR_2 AR6121E 网关 请从设备的物理标签上获取 Site1_Core_slot0 S12700E-4 核心 请从设备的物理标签上获取 Site1_Core_slot1 S12700E-4 核心 请从设备的物理标签上获取 Site1_ACC S5735-L48P4X-A1 接入 请从设备的物理标签上获取 Site1_AP 假设：AirEngine5761-21 AP 请从设备的物理标签上获取 父主题： 开局部署数据规划

操作步骤 单击“零配置开局”页签。 图1 零配置开局 在左侧列表的“站点列表”中，选择“未配置”，筛选出待配置的站点。 配置总部站点的WAN链路。 单击待配置的站点（以Hub1为例），在右侧页面，单击“物理站点”下的“点击开局”。 图2 零配置开局 在“设备配置”区域，单击“模板导入”，选择已经创建好的WAN链路模板（“Double_RR_Mix”）。 导入成功后，界面信息如图3所示。 图3 Hub1的WAN链路 在“设备1”处选择“Hub1_1”。“设备2”自动变成“Hub1_2”。 逐个单击WAN链路后的按钮，配置WAN链路。 不同链路的配置方法相同，参数值请参考WAN链路数据规划。 以“Device1_internet”链路为例，配置信息如图4所示。 图4 修改Device1_internet链路 参考上述步骤，完成另一个总部站点的WAN链路配置。参数值请参考WAN链路数据规划。 参考上述步骤，完成分支站点的WAN链路配置。参数值请参考WAN链路数据规划。

配置防火墙连网 无论是主用防火墙或备用防火墙，均通过GE0/0/1接口，采用PPPoE拨号方式接入到运营商网络。过程一样，详细步骤如下。 设备连线。 用网线将防火墙（主/备）的GE0/0/1接口连接到运营商的互联网。 用网线将PC连接到防火墙（主/备）的管理网口（MEth0/0/0）。如果防火墙支持Wi-Fi功能，可以选择手机/PC连接防火墙的Wi-Fi。SSID：HUAWEI-FIREWALL，密码：admin@123。Wi-Fi连接成功后请不要切换网络。 通过Web方式登录防火墙并修改密码。 在管理PC上配置网络连接的IP地址为192.168.0.2（192.168.0.2～192.168.0.254中任意一个），子网掩码为255.255.255.0。如使用Wi-Fi连接防火墙，可以跳过此步骤。 使用浏览器访问缺省IP地址“https://192.168.0.1:8443”登录防火墙的Web界面。 您可以在《华为安全产品缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。为确保帐号安全，建议首次登录后修改缺省密码。 按照系统提示，修改登录密码。 使用新密码重新登录防火墙。 将运行模式切换为云管理模式。单击“面板 ＞ 设备信息 ＞ 云管理模式”后的“配置”，勾选“启用”，单击“确定”。执行此操作后，系统会提示清除设备的配置并重新启动。重启完毕，切换为云管理模式。 配置接入运营商网络。 配置防火墙（主/备）采用以太接口（PPPoE拨号）接入Internet，按表 采用PPPoE方式接入Internet参数配置表配置上网参数。 单击“网络 ＞ 接口”，在“接口列表”中选择GE0/0/1接口。 表1 采用PPPoE方式接入Internet参数配置表 参数名称 参数取值 接口名称 GigabitEthernet0/0/1 安全区域 untrust 连接类型 PPPoE 用户名 通过运营商ISP获取 密码 在线方式 一直在线