安全设置 参考如何进入业务配置中心中操作，登录AstroZero业务配置中心。 在左侧导航栏中，选择“安全设置”。 修改相应参数，单击“保存”。 图1 安全设置 密码长度（位）：最小长度为2，最大长度为30。 是否允许弱口令密码：是否允许用户，设置弱口令密码。 不允许使用最近密码（次）：用户修改密码时，不允许使用最近密码的次数。 首次登录是否强制修改密码：如果设置为是，则未修改过密码的用户下次登录时需要修改密码。 强制定期修改密码周期（天）：用户密码设置后，多久强制用户再次修改密码。 连续输错密码启用图片验证码（次）：用户密码连续输错几次，启用图片验证码。 连续使用错误密码锁定用户（次）：用户密码连续输错几次，锁定用户。 锁定用户后自动解锁（分钟）：用户账号被锁后，多久可自动解锁。 系统支持业务用户在个人设置中修改密码。

什么是业务用户 AstroZero平台存在两类用户：用户（User）和业务用户（PortalUser）。 用户（User）是指访问AstroZero的开发者账号，用来管理应用和业务用户。购买AstroZero的账号默认拥有所有权限，是管理员用户，可通过AstroZero环境的管理台添加其他用户账号并为其配置需要的权限。 业务用户（即PortalUser）是指登录并使用在AstroZero中开发的业务应用的用户账号。您可在业务配置中心创建、删除和编辑业务用户，并为业务用户配置相应的权限。 图1 AstroZero中用户行为

如何批量导入用户 参考如何进入业务配置中心中操作，登录AstroZero业务配置中心。 在左侧导航栏中，选择“用户管理”。 在用户管理页面中，可查看到通过“业务配置中心”创建的所有业务用户。 在用户管理页面，单击“导入”。 图2 单击导入 在导入用户页面，设置用户基础信息、上传完善用户信息后的导入文件、设置发送邮件通知，单击“导入”。 图3 导入用户 导入成功后，单击页面右下角的“查看导入记录”，可查看导入记录。 图4 查看导入记录

参数说明 表2 通用射频配置参数 分类 参数 说明 调优模式设置 国家/地区 租户网络所在区域。按AP实际部署地区选择“国家/地区”以后，AP会根据当地法律法规重置射频的工作信道和功率，并相应调整允许配置的信道范围和功率大小。 调优模式设置 调优模式 周期性调优模式：AP根据调优间隔（缺省起始时刻03:00:00，间隔1440min）进行周期性的全局调优。 支持的射频调优策略如下： 入侵模式：所在网络中存在非法AP时，设备会立即规避该非法AP的干扰。该策略可能会导致信道切换频繁，建议在技术人员指导下使用。 底噪调优：当所在网络中由于特殊的外部干扰造成AP的底噪过高，导致业务体验恶化时，设备会规避干扰。当AP连续三次检测到当前信道底噪超过底噪阈值门限时，AP就会通过射频调优调离此信道，并在30分钟内不会调回此信道。 非Wi-Fi：所在网络中出现非Wi-Fi干扰时，设备会立即规避干扰 定时调优模式：AP在每天的指定时刻自动开始调优。 手动调优模式：AP不主动进行调优。 AI调优 缺省开启。开启后，设备会根据7天内的历史设备数据，通过AI算法自动调优。尤其设备周边干扰源在白天和黑夜有变化的场景下，该功能有较好的调优效果。 射频模式 AP的射频模式有五种，仅Wi-Fi6 AirEngine的设备支持以下射频模式： 默认模式。 2射频标准，双射频标准模式。 2射频2G增强，与标准模式相比，此模式下的2G射频可提供更大的容量。 3射频，选择该模式时，应确保AP的第三射频有无线业务配置，否则第三射频无法工作。 2射频独立扫描，双射频+独立射频扫描模式。 说明： 2射频独立扫描模式下，对于AirEngine 6760-X1、AirEngine 6760-X1E和AirEngine 5760-51，只有当加载RTU License后才可切换到双射频+独立射频扫描模式。 用户接入 智能漫游 缺省开启。传统WLAN网络中，当终端设备接入AP信号很弱时，终端设备的上网速率很低。如果多个低速率的终端设备接入AP，可能造成其他终端设备占用空口时间变少，造成AP吞吐量偏低，导致其他在线用户体验差。通过配置“弱信号终端强制下线”功能，一旦AP检测到终端设备的信噪比或接入速率低于指定的门限，主动向终端设备发送解除关联报文，让终端设备重新连接。 空口扫描 beacon周期(ms) 配置AP发送Beacon帧的周期。建议使用缺省值100ms。 AP通过周期发送Beacon帧来声明对应802.11网络的存在。终端设备收到Beacon帧后可以得知该网络的存在，从而调整加入该网络所必需的参数。 Beacon周期配置太大，会导致终端设备休眠时间变长；Beacon周期配置太小，会导致空口开销变大。 全信道检测 缺省关闭。打开全信道检测开关后，可以对AP射频所有信道进行扫描。 说明： 仅V200R020C10及以上版本的云AP和中心AP设备支持全信道检测功能。 频谱分析 缺省关闭。它是指WLAN设备检测无线网络环境中不同类型的干扰源，通过频谱分析服务器对采集到的无线信号进行特征分析，识别出非Wi-Fi（Non-WiFi）干扰设备，进而对干扰设备进行定位，消除干扰对WLAN网络的影响。打开开关后设备会将相关的数据采集并上报。 说明： 仅V200R020C10及以上版本的云AP和中心AP设备支持全信道检测功能。 空口扫描 缺省开启2.4G和5G空口扫描。对于无需空口扫描的AP，关闭该功能后，AP将停止扫描周围的无线信号。 说明： 空口扫描关闭后，将导致射频调优、频谱分析、终端定位、WIDS功能、智能漫游和DFS优选信道等功能无法正常使用。 扫描时长（ms） AP执行空口扫描的持续时间。AP会在该时间段内持续扫描周围的无线信号，扫描完成后AP会将扫描收集的信息上报给云平台，用于射频调优和频谱分析。 扫描时间越长，获取到的数据越多，数据分析越精确。但扫描时间过长会消耗过多系统资源，可能会影响正常业务，建议使用缺省值60ms。 说明： 仅在空口扫描使能后支持配置。 扫描间隔（ms） AP执行空口扫描的周期。建议使用缺省值10000ms。 说明： 仅在空口扫描使能后支持配置。 扫描信道 AP执行空口扫描的信道集合。缺省为“区域信道”。 区域信道：扫描“区域”中所选国家码支持的所有信道。 调优信道：扫描调优信道集合中的所有信道。 工作信道：仅扫描AP当前工作信道。 说明： 仅在空口扫描使能后支持配置。 性能优化 空口时间公平调度 缺省开启。开启后优先调度占用无线信道时间较少的用户，保证每个用户相对公平的占用无线信道。 逐包功率控制 缺省开启。开启后实时检测终端设备信号强度，实现绿色节能。 如果终端信号强度强（距离AP较近），发送数据包时自动降低实际发送的功率；如果终端信号强度弱（距离AP较远），恢复正常功率发送无线信号。 波束成型功能 缺省关闭。使AP在某个特定角度（目标用户）增强信号，在另一个特定角度（非目标用户或障碍物）减弱信号，从而控制信号传播的方向和覆盖范围。 说明： 波束成形特性依赖于纳管的AP款型是否支持此特性，详情请参见配套的AP产品文档“beamforming enable”页面中的说明。 负载均衡 缺省关闭。 在距离相对较近、覆盖范围重叠度较高的多个AP上，可以开启负载均衡功能，在WLAN网络中平衡AP的负载，充分保障每个终端设备的无线网络体验。当终端设备试图接入WLAN网络时，收到访问请求的AP会根据在线终端设备数和自身能力上限按一定的算法评估当前负荷。如果负荷显著高于附近的同站点AP的平均负荷，该AP将拒绝本次接入请求。 RTS-CTS模式 缺省值rts-cts。配置RTS-CTS（Request To Send/Clear To Send，握手协议）的工作模式，避免信道冲突导致的数据传输失败。 cts-to-self：数据传输前由发送方通告周边设备暂停数据发送。以较小的网络开销避免数据传输冲突，可以满足大部分应用环境。 rts-cts：数据传输前由发送方和接收方分别通告各自周边设备暂停数据发送。可以更好地避免冲突，但网络开销大，可能导致过多的通告帧占用信道带宽。 disable：数据传输前不发送通告。可能由于冲突而导致数据传输失败。 RTS-CTS阈值(byte) RTS-CTS门限来指定发送数据的帧长度，缺省值为1400。如果工作站发送数据的帧长度小于RTS-CTS阈值，将不执行RTS/CTS握手。 说明： 如果已通过CLI配置了RTS-CTS阈值，需执行“undo rts-cts-threshold”命令删除该配置。 WMM 缺省开启。802.11n和802.11ac的终端必须支持WMM（Wi-Fi Multimedia，Wi-Fi多媒体标准）功能。 如果去使能WMM功能，会导致802.11n和802.11ac不可用，终端仅能通过802.11a/b/g模式接入。 如果去使能WMM功能，则禁止非HT终端接入功能失效。 说明： 仅V200R008C10及以上版本的AP设备支持WMM功能。 信道竞争参数 WMM将报文分为4个类别的AC（Access Category），分别是AC_VO（voice）、AC_VI（video）、AC_BE（Best Effort）、AC_BK（Background）。每一个AC队列定义了一套增强分布式信道访问EDCA参数，该参数决定了队列占用信道的能力大小，可以实现高优先级AC队列占用信道机会大于低优先级AC队列。 EDCA参数分别如下： AIFSN ：空闲等待时间，数值越大，等待时间越长，优先级越小。 ECWmin ：最小竞争窗口，数值越大，优先级越低，且ECWmin 小于 ECWmax。 ECWmax ：最大竞争窗口，数值越大，优先级越低。 TXOPLimit：用户一次竞争信道成功后，可占用信道最大时间，数值越大，用户占用时间越长。 ACK策略： normal ：对于发送端发送的每个单播报文，接收端在接收到报文后，都需要发送ACK帧进行确认。 noack ：在通信质量很好、干扰很小的情况下，为提高传输效率，可以选择不应答ACK帧。 BE动态优化 缺省关闭。开启后，AP将根据接入用户数，通过算法动态调整终端占用空口资源的优先级，尽力提高业务的用户体验。BE指根据报文到达的先后顺序采用先来先服务的原则处理报文转发，对报文的延迟、抖动、丢包率和可靠性等不作承诺和保证。 BE优化阈值(包/秒) BE动态优化算法使用到的参数值，建议使用默认值6。 多媒体动态优化 缺省关闭。开启后，AP将根据接入用户数，通过算法动态调整终端占用空口资源的优先级，提高音频、视频应用的用户体验。 音频优化阈值(包/秒) 多媒体动态优化算法使用到的参数值，建议使用默认值。 视频优化阈值(包/秒) 场景 当“BE动态优化”和“多媒体动态优化”开关均关闭时，显示该参数。 根据网络实际情况和需要，配置WMM参数，使高优先级的数据报文优先占用无线信道，达到调整视频、语音等类型的流量的转发优先级的目的。为了使WMM生效，必须在射频参数中开启WMM开关。 默认：无优先级 音频：以语音流量优先 音频和视频：以语音及视频流量优先 表3 高级射频配置参数（2.4GHz/5GHz） 分类 参数 说明 高级参数设置(2.4GHz) 信道集(20MHz) 为AP在2.4GHz频段上的无线信号传输选择调优信道集，可配置为1~13。为了尽可能地减少邻近AP之间的同频或邻频干扰，系统将根据AP间邻居关系紧密程度从信道集中挑选信道进行调优，按动态信道调整算法（Dynamic Channel Allocation，简称为DCA）分别为每个AP分配信道。 TPC范围 用于限定射频调优完成后发射功率范围，单位为dBm。缺省配置时，TPC（Transmit Power Control）上限为127dBm，TPC下限为9dBm。 如果下限过低，可能导致射频调优后的功率过小、无法满足射频覆盖需要；如果上限过高，可能导致射频调优后的功率过大、AP之间出现信号干扰。 TPC阈值 射频调优TPC（Transmit Power Control）覆盖阈值，单位为dBm。缺省配置时，TPC阈值为-60dBm。 根据AP实际布放高度和间距适当调整该阈值，可以使AP在射频调优后达到最优的覆盖效果。阈值越大，TPC调整的功率值会整体提高。 接入用户数限制 缺省关闭。用于设置AP在2.4GHz频段上最大接入的用户数。 开启后，接入用户数阈值缺省为64，接入阈值策略有： 新用户禁止接入：射频接入的终端达到阈值后，新用户禁止接入。 新用户禁止接入且隐藏SSID：射频接入的终端达到阈值后，新用户禁止接入，且自动隐藏该射频下的所有SSID。 接入用户数阈值 接入阈值策略 组播发射速率 缺省自适应，也支持手动配置。注意，配置的速率要属于基础速率集或者支持速率集，且终端设备需要支持该速率，否则终端设备将不能正常接收组播数据。 基础速率(Mbps) 配置2.4G射频模板在不同射频类型下的基础速率集。基础速率集是指STA成功关联RU时，RU和STA都必须支持的速率集，RU和STA都必须支持基础速率集中的所有速率，STA才能成功关联RU。 支持速率(Mbps) 配置2.4G射频模板在不同射频类型下的支持速率集。支持速率集是在基础速率集的基础上AP支持的更多的速率的集合，目的是为了让AP和STA之间能够支持更多的数据传输速率。AP和STA之间的实际数据传输速率是在支持速率集和基础速率集中选取的。 保护间隔 配置非802.11ax的GI（Guard Interval）模式。 Default：使用设备缺省值。 short：短GI，即400ns。 normal：普通GI，即800ns。 说明： 仅V200R009C00及以上版本的AP设备支持该功能。 802.11ax GI模式 配置802.11ax的GI模式，缺省配置为0.8 (µs)。 0.8 (µs) 1.6 (µs) 3.2 (µs) 间隔时间越小，传输效率越高，间隔时间越大，抗干扰能力越强。室内环境干扰因素小，建议使用小的GI，室外环境干扰因素大，建议使用大的GI。 极限功率 当存在物体遮挡，信号无法覆盖时，通过开启更高功率的信号来覆盖此区域。 默认 开启 关闭 弱信号终端强制下线 缺省关闭。开启后，AP一旦检测到终端的信号较弱，会强制该终端下线。 普通：平台预设“信噪比阈值”为15dB，“检测周期”为500毫秒。 高密：平台预设“信噪比阈值”为20dB，“检测周期”为500毫秒。 自定义：需要用户手工输入“信噪比阈值”和“检测周期”。 双频动态调整 缺省关闭。是否使能双频动态调整功能。 冗余2.4G射频调整方式 当“双频动态调整”开启时，需要配置该参数。 自动切换成5G：冗余2.4G射频自动切换为5G射频。如果5G射频没有可用信道或当前射频不支持切换为5G时，切换为monitor模式。 自动关闭2.4G：冗余2.4G射频自动关闭。 高级参数设置(5GHz) 调优信道带宽 AP在5GHz频段上的无线信号传输设置调优频宽。配置大带宽信道可获得更大的传输速率。 信道集 AP在5GHz频段上的无线信号传输选择调优信道集。为了达到更优的调优效果，请选择3个或3个以上作为可选信道。 说明： 可以选择的信道取决于当前设置的区域码。 用户在配置调优时，需要考虑调优带宽和调优信道的匹配关系。 基础速率(Mbps) 配置5GHz射频模板在不同射频类型下的基础速率集。基础速率集是指STA成功关联RU时，RU和STA都必须支持的速率集，RU和STA都必须支持基础速率集中的所有速率，STA才能成功关联RU。 支持速率(Mbps) 配置5GHz射频模板在不同射频类型下的支持速率集。支持速率集是在基础速率集的基础上AP支持的更多的速率的集合，目的是为了让AP和STA之间能够支持更多的数据传输速率。AP和STA之间的实际数据传输速率是在支持速率集和基础速率集中选取的。 TPC范围 用于限定射频调优完成后发射功率范围，单位为dBm。缺省配置时，TPC上限为127dBm，TPC下限为12dBm。 如果下限过低，可能导致射频调优后的功率过小、无法满足射频覆盖需要；如果上限过高，可能导致射频调优后的功率过大、AP之间出现信号干扰。 TPC阈值 射频调优TPC（Transmit Power Control）覆盖阈值，单位为dBm。缺省配置时，TPC阈值为-60dBm。 根据AP实际布放高度和间距适当调整该阈值，可以使AP在射频调优后达到最优的覆盖效果。阈值越大，TPC调整的功率值会整体提高。 接入用户数限制 缺省关闭。用于设置AP在5GHz频段上最大接入的用户数。 开启后，接入用户数阈值缺省为64，接入阈值策略有： 新用户禁止接入：射频接入的终端达到阈值后，新用户禁止接入。 新用户禁止接入且隐藏SSID：射频接入的终端达到阈值后，新用户禁止接入，且自动隐藏该射频下的所有SSID。 接入用户数阈值 接入阈值策略 组播发射速率 缺省自适应，也支持手动配置。注意，配置的速率要属于基础速率集或者支持速率集，且终端设备需要支持该速率，否则终端设备将不能正常接收组播数据。 保护间隔 配置非802.11ax的GI（Guard Interval）模式。 Default：使用设备缺省值。 short：短GI，即400ns。 normal：普通GI，即800ns。 说明： 仅V200R009C00及以上版本的AP设备支持该功能。 802.11ax GI模式 配置802.11ax的GI模式，缺省配置为0.8 (µs)。 0.8 (µs) 1.6 (µs) 3.2 (µs) 间隔时间越小，传输效率越高，间隔时间越大，抗干扰能力越强。室内环境干扰因素小，建议使用小的GI，室外环境干扰因素大，建议使用大的GI。 极限功率 当存在物体遮挡，信号无法覆盖时，通过开启更高功率的信号来覆盖此区域。 默认 开启 关闭 弱信号终端强制下线 缺省关闭。开启后，AP一旦检测到终端的信号较弱，会强制该终端下线。 普通：平台预设“信噪比阈值”为15dB，“检测周期”为500毫秒。 高密：平台预设“信噪比阈值”为20dB，“检测周期”为500毫秒。 自定义：需要用户手工输入“信噪比阈值”和“检测周期”。 A-MSDU 缺省关闭。是否以A-MSDU聚合方式发送802.11ac报文的功能。 最大子帧数 缺省值为2。配置A-MSDU聚合方式一次能聚合的最大子帧数。 表4 频道规划参数 分类 参数 说明 手动射频调优 名称 需要调整的射频频段。 射频开关 缺省开启。是否使能射频功能。 频宽 选择工作带宽。缺省为“调优频宽”。 调优频宽 20mhz 40mhz-plus 40mhz-minus 80mhz（仅5G射频支持） 80+80mhz（仅5G射频1支持，三射频场景中，5G射频2为低频，不支持配置此带宽。） 160mhz（仅5G射频支持） 信道自动选择 当“频宽”选择“调优频宽”时，会自动选择信道。 信道 传输射频信号所使用的频段。为了避免信号干扰，请确保相邻AP工作在非重叠信道上。为了避免产生射频干扰，建议为相邻部署的AP在2.4G频段规划非重叠信道组合（例如1、6、11），在5GHz频段规划不同信道。 频宽自动选择 （仅5GHz射频支持）当“频宽”选择“调优频宽”时，可动态调整射频频宽，不受已有的调优频宽限制。 功率自动选择 开启时自动选择发射功率，关闭时手工调整发射功率。 发送功率（dBm） “功率自动选择”关闭时，需要配置该参数。根据实际网络环境的需求，配置射频的发射功率，使射频信号强度具备满足实际网络需求的能力，提高射频信号质量。 天线增益（dB） 天线增益用于衡量天线向特定方向收发信号的能力。在相同条件下，天线增益越高，电波传播的距离越远。请填写为AP实际所使用天线的增益值。 冗余射频调整 （仅2.4GHz射频支持）是否在当前设备的2.4G射频上使能“冗余射频调整”功能。若开启，还必须确保“高级参数设置”区域中“双频动态调整”开关已开启。

背景信息 WLAN网络是以射频信号（例如频率为2.4GHz或5GHz的无线电磁波）作为传输介质的，无线电磁波在空气中的传播会因为周围环境影响而导致无线信号衰减等现象，进而影响无线用户上网的服务质量。通过调整信道和功率，可以使各AP的信道和功率保持相对平衡，保证AP工作在最佳状态。 在AP上按实际需要配置握手协议模式、空口扫描参数和天线增益等，可以合理控制AP的无线网络覆盖区域、减少射频干扰和数据传输冲突。通过为射频功能配置定时开启/关闭策略，可以降低不必要的能耗。 在不同的国家和地区，法律法规为无线通信规定了不同的工作信道和功率，使用AP部署无线网络时，射频参数必须符合当地法律法规。在华为技术支持网站搜索并下载“国家码&信道顺从表”，可以查看具体约束信息。 企业用户技术支持网站：https://support.huawei.com/enterprise 运营商用户技术支持网站：https://support.huawei.com

背景信息 上行链路NQA 当前企业通常以双上行链路方式接入Internet，以保证链路的稳定。网络质量分析NQA（Network Quality Analysis）是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA能够实时监视网络QoS，在网络发生故障时进行有效的故障诊断和定位。 联动功能是指NQA提供探测功能，把探测结果通知其他模块，其他模块再根据探测结果进行相应处理的功能。比如和网络路由的联动。 以静态路由为例： 用户配置了一条静态路由，下一跳为192.168.0.88，如果192.168.0.88可达，该静态路由有效；如果192.168.0.88不可达，则该静态路由无效。通过在NQA和应用模块之间建立联动，可以实现静态路由有效性的实时判断。 NAT 在AR上开启NAT映射，使下行网络中的设备能以AR的WAN口IP地址访问Internet。 NAT（Network Address Translation）是一种地址转换技术，可以将IPv4报文头中的地址转换为另一个地址。AR支持基于出接口地址方式的NAT（又称为Easy IP），租户网络中的设备可以直接借用AR公网接口的IP地址访问Internet。 DNS 通过AR接入网络的设备能通过DNS服务器识别某些域名，自动将其解析为对应的IP地址。 DNS技术实现了域名和IP地址的相互映射，可以使用户能更方便地访问互联网，无需记忆具体的IP地址。 DNS客户端在接入网络以后，将DNS请求发送到DNS中继。DNS中继会直接将请求报文转发给DNS服务器，由DNS服务器执行域名解析，并将应答报文转发回DNS客户端。 子网 在AR上配置DHCP服务，使下行网络中的设备能自动获取IP地址，从而实现与AR上行网络的互通。 DHCP服务器 负责为DHCP客户端动态分配IP地址等网络参数的设备。 （可选）DHCP中继 如果DHCP客户端和DHCP服务器不在同一个网段，可以通过DHCP中继与DHCP服务器通信，从而获取到合法的IP地址。通过部署DHCP中继可以使多个网段的设备共用一个DHCP服务器，降低成本，便于集中管理。 DHCP客户端 通过DHCP协议以广播方式发送报文请求获取IP地址等网络参数的终端设备。例如PC、手机、IP电话、无盘工作站等。

背景信息 大中型园区网络中，AP全部运行在Fit AP模式，由WLAN-AC（简称WAC）集中配置管理。 为确保Fit AP注册到华为乾坤工作台后能被WAC正常管理，需要按以下步骤执行： 在华为乾坤云平台上创建站点，然后在站点内添加WAC和Fit AP设备，录入设备型号和SN等参数信息。设备添加有两种方式： 方式一：在华为乾坤工作台首页地图上选择指定站点，进入站点首页。若是聚合的站点图标，将鼠标悬停在站点图标上，在弹框中单击目标站点名称进入站点首页。然后在站点首页添加设备/设备组。 方式二：在设备管理页面添加设备。 在华为乾坤云平台上完成WAC关联Fit AP。 将WAC和Fit AP注册到华为乾坤云平台。

背景信息 上行链路IP-Link 当前企业通常以双上行链路方式接入Internet，以保证链路的稳定。IP-Link是指防火墙通过向指定的目的IP周期性地发送探测报文并等待应答，来判断上行链路是否发生故障。 当上行链路出现故障时，防火墙不能将流量切换到备份链路上。故希望通过与IP-Link联动，检查链路的有效性。当发现所在链路出现故障时，则将业务流量切换到备份链路上。当链路从故障中恢复，防火墙能连续地收到响应报文，则认为链路故障已经消除。则将业务流量切换到主用链路上。 DNS 在防火墙上配置DNS相关功能，通过防火墙接入网络的设备能通过DNS服务器识别某些域名，自动将其解析为对应的IP地址。DNS技术实现了域名和IP地址的相互映射，可以使用户能更方便地访问互联网，无需记忆具体的IP地址。DNS客户端在接入网络以后，将DNS请求发送到DNS中继/代理： 对于DNS代理，会先查询本地域名缓存表。如果能查到对应的域名解析结果，会直接将应答返回给DNS客户端；否则会将请求报文转发给DNS服务器，由DNS服务器执行域名解析。 对于DNS中继，则直接将请求报文转发给DNS服务器，由DNS服务器执行域名解析，并将应答报文转发回DNS客户端。 NAT 在防火墙上开启NAT映射（缺省情况下已启用），使下行网络中的设备能以防火墙WAN口的IP地址访问Internet。 NAT（Network Address Translation）是一种地址转换技术，可以将IPv4报文头中的地址转换为另一个地址。防火墙支持基于出接口地址方式的NAT（又称为EasyIP），租户网络中的设备可以直接借用防火墙公网接口的IP地址访问Internet。 子网 通过防火墙接入网络的设备能从防火墙自动获取IP地址，从而实现与防火墙上行网络的互通。 DHCP服务器 负责为DHCP客户端动态分配IP地址等网络参数的设备。 （可选）DHCP中继 如果DHCP客户端和DHCP服务器不在同一个网段，可以通过DHCP中继与DHCP服务器通信，从而获取到合法的IP地址。通过部署DHCP中继可以使多个网段的设备共用一个DHCP服务器，降低成本，便于集中管理。 DHCP客户端 通过DHCP协议以广播方式发送报文请求获取IP地址等网络参数的终端设备。例如PC、手机、IP电话、无盘工作站等。

参数说明 表1 交换机接口参数说明 参数 说明 已选接口 以太网接口名称。 描述 接口相关的描述。 管理状态 用于开启/关闭该接口。关闭操作将导致该接口不可用，请慎重选择。 链路类型 根据该网口实际连线场景来选取。 默认：云平台对设备不下发配置，以设备默认能力为准。 Access：用于连接用户主机和交换机的链路。通常情况下，主机无需知道自己属于哪个VLAN，主机硬件通常也不能识别带有VLAN标记的帧。因此，主机发送和接收的帧都是untagged帧。 Trunk：用于交换机间的互连或交换机与路由器之间的连接。干道链路可以承载多个不同VLAN数据，数据帧在干道链路传输时，干道链路的两端设备需要能够识别数据帧属于哪个VLAN，所以在干道链路上传输的帧都是Tagged帧。交换机的上行口必须配置为Trunk类型。 Hybrid：既可以连接用户主机，又可以连接其他交换机。允许多个VLAN的帧通过，并可以在出接口方向将某些VLAN帧的Tag剥掉。 说明： 由于设备所有的接口缺省都加入VLAN1，因此当网络中存在VLAN1的未知单播、组播或者广播报文时，可能会引起广播风暴。对于不需要加入VLAN1的接口及时退出VLAN1，避免环路。 上行口不支持配置为Hybrid类型。 只有V200R012C00及以上版本的交换机设备才支持通过云平台将接口配置为Hybrid类型。 VLAN ID 当“链路类型”为“Access”时需要配置此参数。 以统一方式处理Access接口收到的报文。 对于Untagged报文，自动打上VLAN ID作为Tag并允许通过 对于带Tag的报文，如果Tag中的VLAN ID与接口的VLAN ID相同，则允许通过。否则丢弃该报文。 缺省VLAN 当“链路类型”为“Trunk”或“Hybrid”时需要配置此参数。 若交换机配置了“自协商管理VLAN”或“无线自协商管理VLAN”，与之直连的AP设备网口之间自动协商后，将协商产生的管理VLAN上报给云平台，由云平台刷新对应的链路类型和缺省VLAN，用户不可以手工修改。配置“自协商管理VLAN”或“无线自协商管理VLAN”的具体操作，请参见配置管理VLAN。 说明： 如果交换机已配置“无线自协商管理VLAN”，则优先上报“无线自协商管理VLAN”，否则上报“自协商管理VLAN”。 若交换机未配置“自协商管理VLAN”和“无线自协商管理VLAN”，用户可以手工修改链路类型和缺省VLAN。缺省VLAN取值范围为1～4094，缺省值为1。 允许通过的VLAN 当“链路类型”为“Trunk”时需要配置此参数。以统一方式处理Trunk接口收到的报文。 对于不带Tag的报文，自动打上VLAN ID作为Tag。如果VLAN ID在“允许通过的VLAN”中，则允许通过。否则丢弃该报文。 对于带Tag的报文，如果Tag中的VLAN ID在“允许通过的VLAN”中，则允许通过。否则丢弃该报文。 说明： 仅V200R011C10SPC550及以上版本交换机支持在“允许通过的VLAN”中输入“all”。 如果交换机已在虚拟网络配置互联口VLAN，“链路类型”需选择“Trunk”类型，且“允许通过的VLAN”中需包含互联口VLAN ID，否则原互联口VLAN将被覆盖。 Tagged VLAN 当“链路类型”为“Hybrid”时需要配置此参数。 Hybrid类型接口加入的VLAN，这些VLAN的帧以Tagged方式通过接口。tagged Vlan和untagged Vlan不能有交集，取值范围为1～4094，不支持all。 Untagged VLAN 当“链路类型”为“Hybrid”时需要配置此参数。 Hybrid类型接口加入的VLAN，这些VLAN的帧以Untagged方式通过接口。tagged Vlan和untagged Vlan不能有交集，取值范围为1～4094，不支持all。 高级 自协商 缺省关闭。若开启，当前设备接口与直连的设备接口间自动协商双工模式和接口速率，使数据传输能力达到双方都支持的最大值。 接口速率 当且仅当“自协商”关闭时才支持配置此参数。设置接口传输数据时的速率，支持选择默认和其他可配置的速率。 默认：接口速率由设备接口的缺省能力决定，不同设备支持的接口速率请参考交换机产品手册。 其他速率：接口会设置为非自协商模式，并调整为设置的速率，如10Mbit/s、100Mbit/s、1Gbit/s。 说明： 数据传输速率还受到传输介质能力约束。如果双方接口速率一致，但传输介质不支持该传输速率，仍将导致链路两端接口无法正常工作。如果传输介质问题无法解决，则建议在传输介质两端的接口上分别选用非自协商模式，按实际传输能力手工设置传输速率。 双工模式 当自协商关闭时： 接口速率为1Gbit/s、2.5Gbit/s、5Gbit/s和10Gbit/s时，双工模式为全双工，不可修改。 接口速率为100Mbit/s或者10Mbit/s时，双工模式缺省为全双工，可修改。 链路对端网口必须同样设置为全双工，以免引起报文丢失。 PoE 仅PoE交换机支持此功能，用于开启/关闭该接口的PoE供电功能。 管理VLAN自协商 （仅Trunk口和Hybrid口）是否在当前端口上使能管理VLAN自协商功能，缺省为“ON”。 Eth-Trunk自协商 （仅基于Eth-Trunk配置时有效）是否在当前Eth-Trunk口上使能Eth-Trunk自协商功能，缺省为“OFF”。使能该功能后，当前Eth-Trunk口下行直连交换机对应的物理口将自动加入Eth-Trunk0，接入上行网络。 说明： 如果当前Eth-Trunk口下行直连交换机对应物理接口的如下配置不是缺省值，会由于自动加入Eth-Trunk0失败而导致下行直连交换机脱管。 接口类型 缺省VLAN 认证功能 DHCP snooping DHCP snooping trusted ND snooping ND snooping trusted STP边缘口 接口隔离 在使能Eth-Trunk自协商之前，请务必确保与当前Eth-Trunk口下行直连交换机的对应物理接口上这些配置项为缺省值. LLDP 是否使能LLDP。互联设备运行LLDP后，能够发现对端的状态信息。可以通过此功能发现链路拓扑。 DHCP snooping选项 是否将在接口上使能DHCP Snooping功能。确保交换机下行的DHCP客户端从合法的DHCP服务器获取IP地址，可以有效防止针对DHCP的攻击。 不对报文做处理 snooping trusted 该参数仅适用于V200R011C10SPC550或更高版本的交换机设备。 DHCP snooping trusted选项 将该接口设置DHCP Snooping信任接口。该参数仅适用于V200R011C10SPC550或更高版本的交换机设备。 端口隔离 是否使能端口隔离。该接口使能后，与同一VLAN内其他使能端口隔离功能的接口间会二层隔离，但可以通过三层互通。 STP 是否使能STP功能。 STP边缘端口 是否将当前接口设置为STP边缘端口。 IP子网划分VLAN 是否使能基于IP子网划分VLAN。 如果配置交换机接口认证，请保持“IP子网划分VLAN”为默认。 SNMP trap 当接口的协议状态发生变化时，是否主动发送SNMP Trap。

安全设置 参考如何进入业务配置中心中操作，登录AstroZero业务配置中心。 在左侧导航栏中，选择“安全设置”。 修改相应参数，单击“保存”。 图1 安全设置 密码长度（位）：最小长度为2，最大长度为30。 是否允许弱口令密码：是否允许用户，设置弱口令密码。 不允许使用最近密码（次）：用户修改密码时，不允许使用最近密码的次数。 首次登录是否强制修改密码：如果设置为是，则未修改过密码的用户下次登录时需要修改密码。 强制定期修改密码周期（天）：用户密码设置后，多久强制用户再次修改密码。 连续输错密码启用图片验证码（次）：用户密码连续输错几次，启用图片验证码。 连续使用错误密码锁定用户（次）：用户密码连续输错几次，锁定用户。 锁定用户后自动解锁（分钟）：用户账号被锁后，多久可自动解锁。 系统支持业务用户在个人设置中修改密码。

操作步骤 LAN侧设备使用DHCP Option148方式上线云平台。 LAN侧设备连线，上电后，会通过DHCP方式获得云平台的URL地址和端口号，自动注册上线。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装硬件设备 硬件设备安装需要遵循施工规范，常见的硬件施工规范有： 物理设备必须可靠接地。 物理设备谨慎搬运，要连带外纸箱或泡沫垫，不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线，规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请单击以下设备名称，进入“硬件安装与维护指南”手册，查看对应设备款型的安装指导。 若无法找到，请在搜索框中输入设备款型查找安装指导。 接入交换机 AP 连接线缆 根据布线规划完成线缆连接，连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。

参数说明 表1 全局DHCP配置的部分参数说明 参数 说明 DHCP使能 是否使能全局DHCP功能，默认使能。 网关IP地址 设置网关IP地址，默认是10.1.1.1。 子网掩码 设置子网掩码，默认是24位。 日志记录 默认关闭，开启后AP可以记录DHCP服务器配置成功或者失败的日志信息，然后向华为乾坤云平台上报。 租期 DHCP服务器动态分配的IP地址租期。 首选WINS 分配给DHCP客户端的首选WINS服务器地址。 备选WINS 分配给DHCP客户端的备用WINS服务器地址。 静态地址绑定 单击“增加”为特定DHCP客户端分配固定的IP地址，单击“删除”可以取消绑定的静态地址。 VLAN ID 业务子网对应的VLAN，也是AP上设置的子网网关VLANIF接口编号。

配置说明 本案例中对无线终端部署了接入认证机制，以华为乾坤云平台作为认证服务器，随板AC作为认证控制点。 员工和访客无线终端需要进行Portal认证（用户名密码认证和短信认证），认证协议采用HACA协议。 认证控制点侧SSID业务配置要与认证服务器侧SSID业务配置对应，SSID名称保持一致。 表1 访客无线接入业务规划表 VAP模板 SSID模板 安全模板 认证模板 认证方式 area1-guest 业务VLAN ID：30 转发模式：隧道转发 SSID模板名称：guest SSID名称：test-guest guest 华为乾坤云平台配置下发 短信认证 表2 员工无线接入业务规划表 VAP模板 SSID模板 安全模板 认证模板 认证方式 area1-emp 业务VLAN ID：20 转发模式：隧道转发 SSID模板名称：emp SSID名称：test-emp emp 华为乾坤云平台配置下发 用户名密码认证

背景信息 SSID是终端用户无线接入网络时看到的网络名称，每个SSID可以指定一种认证方式，从而实现对无线接入的终端用户准入控制。 每个SSID只能指定一种认证方式，终端用户接入网络时选择的无线网络就决定了所采用的认证方式。但一个AR允许部署多个SSID，比如员工和访客分别使用不同的SSID接入，可以采用不同的认证方式。 当站点类型包含AR设备但不含AP设备时，如需配置Wi-Fi业务（SSID和射频），只能在AR设备进行无线配置。

什么是业务用户 AppCube平台存在两类用户：用户（User）和业务用户（PortalUser）。 用户（User）是指访问AppCube的开发者帐号，用来管理应用和业务用户。购买AppCube的帐号默认拥有所有权限，是管理员用户，可通过AppCube环境的管理台添加其他用户帐号并为其配置需要的权限。 业务用户（即PortalUser）是指登录并使用在AppCube中开发的业务应用的用户帐号。您可在业务配置中心创建、删除和编辑业务用户，并为业务用户配置相应的权限。 图1 AppCube中用户行为