华为云用户手册

WAC双机及管理AP相关规划 WAC双机热备采用VRRP方式。无线CAPWAP源接口：VLANIF4070。 表4 WAC无线CAPWAP源接口 设备 接口类型 VLAN ID IP地址/掩码 Site1_WAC_1 VLANIF 4070 200.1.7.2/24 Site1_WAC_2 VLANIF 4070 200.1.7.3/24 表5 WAC VRRP规划 VRID（管理VRRP备份组ID） VRRP类型 虚拟IP地址 优先级 抢占延迟时间 1 管理VRRP组 200.1.7.6 120 1800 表6 HSB（双机热备）互通 设备 备份业务 本端地址 本端端口 对端地址 对端端口 关联VRID Site1_WAC_1 WLAN业务、NAC业务、DHCP 200.1.6.1 10241 200.1.6.2 10241 1 Site1_WAC_2 WLAN业务、NAC业务、DHCP 200.1.6.2 10241 200.1.6.1 10241 1

业务VLAN规划 LAN侧用户网关在核心交换机上，需要规划有线和无线的用户网关，按照员工业务分类。终端用户分为员工、访客和哑终端三类，通过DHCP动态获取IP地址，核心交换机作为DHCP Server，终端用户使用的IP地址范围和业务VLAN如表3所示。 表3 业务子网规划 设备 VLAN ID 子网名称 IP地址/掩码 DHCP模式 DNS服务 子网用途 备注 Site1_Core 10 Employee 200.1.1.1/24 服务器 DNS地址 由运营商提供。本文以114.114.114.114、8.8.8.8为例。 业务网管理 员工无线终端接入子网 Site1_Core 20 Guest 200.1.2.1/24 服务器 DNS地址由运营商提供。本文以114.114.114.114、8.8.8.8为例。 业务网管理 访客无线终端接入子网 Site1_Core 30 DumbDevice 200.1.3.1/24 服务器 DNS地址由运营商提供。本文以114.114.114.114、8.8.8.8为例。 业务网管理 哑终端接入子网 Site1_Core 40 Employee_wire 200.1.4.1/24 服务器 DNS地址由运营商提供。本文以114.114.114.114、8.8.8.8为例。 业务网管理 员工有线终端接入子网

管理VLAN规划 核心交换机作为接入交换机、WAC/AP的管理子网网关。 接入交换机通过有线自协商管理VLAN的DHCP Option148获取云平台地址，上线云平台。 AP通过无线自协商管理VLAN的DHCP Option43获取WAC地址，上线WAC。然后WAC向云平台上报AP的设备状态。 WAC通过命令行上线云平台。 表1 自协商VLAN规划 设备 有线自协商管理VLAN ID 无线自协商管理VLAN ID 管理VLAN 上行口PVID使能 上行口自动放行 IP获取方式 Site1_Core 4080 4090 101 ON ON 动态 表2 子网规划（Site1_Core） 参数 自协商管理子网（有线） 自协商管理子网（无线） WAC的CAPWAP通道子网 备注 基本配置 子网名称 Manage_Net AP_Manage_Net WAC_CAPWAP 自定义。 VLAN ID 4080 4090 4070 - IP/掩码 200.1.8.1/24 200.1.9.1/24 200.1.7.1/24 - DHCP配置 DHCP 开启 开启 关闭 - DHCP模式 服务器 服务器 - - DNS服务 自定义 自定义 - DNS地址由运营商提供。 首选DNS 114.114.114.114 8.8.8.8 114.114.114.114 8.8.8.8 - 子网用途 FitAP管理 FitAP管理 - - 自动协商华为乾坤地址 ON OFF - 开启后，当前子网的DHCP服务器自动生成Option148，子网内的设备（交换机）可以通过Option148获取云平台地址，完成上线。 自动协商WAC地址 OFF ON WAC地址：200.1.7.6 - - 租期 1天 1天 - -

约束或注意事项 AP、交换机、防火墙在华为乾坤云平台上线后，设备缺省帐号密码会失效，平台统一下发并覆盖设备帐号和密码。后续登录设备Web/CLI界面均需使用平台下发的帐号和密码，操作如下。 登录华为乾坤控制台。 在控制台首页地图选择“test_RU”站点，单击站点首页右上角“站点配置”。 在站点配置左侧导航栏选择“站点通用配置”，选择“本地用户”页签。 缺省情况下平台支持admin和accampus用户，单击“创建”可自定义帐号和密码。若使用默认帐号，因密码是平台随机生成的，需单击重置密码。

进入AC网管界面 使用网线将PC与AC的端口相连。 PC终端打开浏览器软件（以Windows IE10.0为例），在地址栏中输入“https://169.254.1.1”（169.254.1.1为示例，请以实际配置的接入端口IP地址为准），按下回车键，显示Web网管的登录页面。 您可以在《WLAN缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。为确保帐号安全，建议首次登录后修改缺省密码。

操作步骤 创建总部站点的WAN链路模板（“Double_RR_Mix”），供Hub1、Hub2站点使用。 在“WAN链路模板”页签。 图1 WAN链路模板页签 单击“创建”，填写链路信息，如图2所示。配置完成后，单击“确定”。 图2 “Double_RR_Mix”模板 创建“Single_CPE_Mix”的站点模板，供Site1站点使用。 图3 “Single_CPE_Mix”模板 创建“Double_CPE_Mix”的站点模板，供Site2站点使用。 图4 “Double_CPE_Mix”模板 创建“Single_CPE_Internet”的站点模板，供Site3站点使用。 图5 Single_CPE_Internet模板

智能选路策略设计 MPLS链路质量高、带宽相对较小，适合对链路质量要求较高的业务流量。Internet链路带宽大，链路质量相对较差，适合大流量业务应用。在上行有多条链路的情况下，针对不同的业务，配置智能选路策略来实现流量的选路控制，以便于进行流量的传输控制与监控。 针对多上行或者双网关站点配置智能选路策略。 绑定流分类模板，设置主传输链路，并确定流量传输方式与切换指标。 实时视频会议、VoIP电话等对链路质量要求较高的业务流量，优先调度到MPLS链路，采用优先占用方式的选路。 其它大流量类办公业务，同时负载到MPLS链路和Internet链路，以充分利用线路带宽，采用负载分担方式的选路。 MPLS链路及Inernet链路，分别使用相同的传输网络，以减少跨运营商间的网络时延和抖动。 在同类型链路下考虑有多种运营商，链路的染色原则按站点ID大优先。 父主题： 用户业务设计

操作步骤 在“Underlay配置”页签，选择待配置的站点（如：Hub1）。 图1 Underlay配置页签入口 在“WAN路由”页签中，单击“点击添加路由协议”，选择协议为“IPv4 Static”。 在“IPv4 Static”界面中，单击“创建”，完成静态路由配置，单击“确定”。 Hub1的静态路由。 Hub2的静态路由。 Site1的静态路由。 Site2的静态路由。 Site3的静态路由。

智能选路数据规划 如果网络中存在多条链路，为在让高优先级应用选择一条质量好的链路，此时可使用优先级选路。语音，实时视频会议类对时延、抖动敏感业务，建议使用优先选路选择质量较好的链路。其它大流量类业务，建议使用负载分担负载到所有链路上，以便充分利用链路带宽。 表1 实时视频会议流分类模板信息 参数 数据 流分类模板名称 test_traffic_Video 规则类型 与 ACL类型 IPv4 L3 ACL - 应用组 test_app_Video 表2 其它办公业务流分类模板信息 参数 数据 流分类模板名称 test_traffic_ip_dest 规则类型 与 ACL类型 IPv4 L3 ACL 优先级 10 类型 子网掩码 目的IP地址 135.1.1.0/24 应用组 - 表3 智能选路策略信息 参数 数据 备注 VN/VN QoS组 OA 办公业务 策略名称 test_spr_pf test_spr_lb test_spr_pf：为实时视频会议业务使用的智能选路策略，优先调度到MPLS链路，采用优先占用方式的选路。 test_spr_lb：为大流量办公业务（如文件传输业务）使用的智能选路策略，同时负载到MPLS链路和Internet链路，以充分利用线路带宽，采用负载分担方式的选路。 流分类模板 test_traffic_Video test_traffic_ip_dest - 策略优先级 10 20 - 切换指标 实时视频 大容量数据 - 链路切换指标 延迟（ms） 150 300 - 抖动（ms） 20 40 - 丢包率(‰) 10 50 丢包比例阈值。 注意： 丢包率单位为‰，配置时请注意数值换算。 传输网络优先级 主传输网络 传输网络：MPLS、MPLS1，优先级：1 传输网络：Internet、Internet1，优先级：2 传输网络：MPLS、MPLS1、Internet、Internet1，优先级：1 test_spr_pf：通过区分链路的优先级，并且结合“优先占用”，才能达到优先占用的效果。 test_spr_lb：通过配置相同的优先级，并且结合“负载均衡”，才能达到负载均衡的效果。 备传输网络 - - - 流量行为 传输网络间流量行为 优先占用 负载均衡 - 包复制 关 - 只有优先占用才有，不使用广域优化，不建议开启。 负载均衡模式 - 流模式 只有负载均衡，推荐使用流模式。 条件不满足时流量行为 差中选优 等价转发 - 切换模式 可以回切 可以回切 - 站点 Hub1、Site1 Hub1、Site1 - 父主题： 业务体验数据规划

约束或注意事项 AP、交换机、防火墙在华为乾坤云平台上线后，设备缺省密码会失效，平台统一下发并覆盖设备密码。后续登录设备Web/CLI界面均需使用平台下发的帐号和密码，操作如下。 登录华为乾坤控制台。 在控制台首页地图双击“test_fw”站点，单击站点首页右上角“站点配置”。 在站点配置左侧导航栏选择“站点通用配置”，选择“本地用户”页签。 缺省情况下平台支持admin和accampus用户，单击“创建”可自定义帐号和密码。若使用默认帐号，因密码是平台随机生成的，需单击重置密码。

约束或注意事项 AP、交换机、防火墙在华为乾坤云平台上线后，设备缺省密码会失效，平台统一下发并覆盖设备帐号和密码。后续登录设备Web/CLI界面均需使用平台下发的帐号和密码，操作如下。 登录华为乾坤控制台。 在控制台首页地图选择“Site1”站点，单击站点首页右上角“站点配置”。 在站点配置左侧导航栏选择“站点通用配置”，选择“本地用户”页签。 缺省情况下平台支持admin和accampus用户，单击“创建”可自定义帐号和密码。若使用默认帐号，因密码是平台随机生成的，需单击重置密码。

硬件安装云化设备 根据部署规划时的网络设备安装点位设计、设备间互联等信息，完成网络设备的硬件安装、连线、上电等操作，参见表 硬件安装与布线任务一览表。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装硬件设备 硬件设备安装需要遵循施工规范，常见的硬件施工规范有： 物理设备必须可靠接地。 物理设备谨慎搬运，要连带外纸箱或泡沫垫，不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线，规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请单击以下设备名称，进入“硬件安装与维护指南”手册，查看对应设备款型的安装指导。 若无法找到，请在搜索框中输入设备款型查找安装指导。 WAC AP 连接线缆 根据布线规划完成线缆连接，连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。

硬件安装云化设备 根据部署规划时的网络设备安装点位设计、设备间互联等信息，完成网络设备的硬件安装、连线、上电等操作，参见表1。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装硬件设备 硬件设备安装需要遵循施工规范，常见的硬件施工规范有： 物理设备必须可靠接地。 物理设备谨慎搬运，要连带外纸箱或泡沫垫，不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线，规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请单击以下设备名称，进入“硬件安装与维护指南”手册，查看对应设备款型的安装指导。 若无法找到，请在搜索框中输入设备款型查找安装指导。 AR 交换机 AP 连接线缆 根据布线规划完成线缆连接，连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。

约束或注意事项 AP、交换机在华为乾坤云平台上线后，设备缺省密码会失效，平台统一下发并覆盖设备帐号和密码。后续登录设备Web/CLI界面均需使用平台下发的帐号和密码，操作如下。 登录华为乾坤控制台。 在控制台首页地图选择“Site1”站点，单击站点首页右上角“站点配置”。 在站点配置左侧导航栏选择“站点通用配置”，选择“本地用户”页签。 缺省情况下平台支持admin和accampus用户，单击“创建”可自定义帐号和密码。若使用默认帐号，因密码是平台随机生成的，需单击重置密码。

背景信息 本案例属于单AP组网场景，每家咖啡厅都安装了一台AP设备（同时满足空配置和串口无输入），设备出厂时已预置华为注册查询中心的域名（register.naas.huawei.com）和端口号（10020）。 本案例推荐使用华为乾坤APP扫码上线。通过扫描设备SN并将其同步到华为乾坤云平台，以注册查询中心方式完成注册上线。 华为乾坤APP界面截图可能与实际界面略有差异，但并不影响使用，具体操作请以实际界面为准。

后续操作 云AP在华为乾坤云平台上线后，设备缺省密码会失效，平台统一下发并覆盖设备帐号和密码。后续登录设备Web/CLI界面均需使用平台下发的帐号和密码，操作如下。 登录华为乾坤控制台。 在控制台首页地图双击“test_ap1”站点，单击站点首页右上角“站点配置”。 在站点配置左侧导航栏选择“站点通用配置”，选择“本地用户”页签。 缺省情况下平台支持admin和accampus用户，单击“创建”可自定义帐号和密码。若使用默认帐号，因密码是平台随机生成的，需单击重置密码。

Overlay ACL策略数据规划 如果需要对站点的LAN接口入方向的业务报文（即外部网络访问站点内的业务）进行阻断时，则需配置Overlay网络的ACL策略。 表1 流分类模板信息 参数 数据 流分类模板名称 test_permit_445_inner test_deny_445_all 规则类型 与 与 ACL类型 IPv4 IPv4 L3 ACL 优先级 10 10 目的IP地址 10.1.0.0/16 - 协议 TCP TCP 目的端口 445-445 445-445 应用组 - - 说明 对特定网段可以访问外部的445端口 禁止内部访问外部的445端口 表2 Overlay ACL策略信息 参数 数据 VN/VN QoS组 OA 策略名称 test_permit_445_inner test_deny_445_all 模板模式 流分类模板 流分类模板 模板名称 test_permit_445_inner test_deny_445_all 接口 LAN LAN 策略优先级 10 20 流量过滤 允许 拒绝 流量方向 Inbound Inbound 生效时间模板 - 站点 Hub1、Hub2、Site1、Site2、Site3 父主题： 业务体验优化数据规划

NTP数据规划 AR设备上报性能数据时，会携带时间戳，如果AR的时间和华为乾坤云平台不一致，则会导致管理员在查看该设备的性能数据时，性能数据的时间与实际不符，站点流量和质量数据无法显示。所以华为乾坤云平台通过配置NTP，使站点设备和华为乾坤云平台的时间保持一致。 RR角色的Hub站点需要“手动配置”，规划数据如表1所示。分支站点NTP为“与RR站点同步”，规划数据如表2所示。 表1 RR角色的Hub站点的NTP信息（与网络设计参数规划中的NTP信息一致） 参数 数据 备注 时区 (UTC+08:00)北京，重庆，香港特别行政区，乌鲁木齐 需要客户提供NTP服务器地址，并且华为乾坤云平台和CPE（customer-premises equipment，客户终端设备）与NTP服务器网络可达。 NTP认证 OFF NTP客户端模式 手动配置 NTP服务器 10.10.1.1 认证模式 HMAC-SHA256 认证密码 ntp123 认证ID 123456 表2 分支站点NTP信息 参数 数据 时区 (UTC+08:00)北京，重庆，香港特别行政区，乌鲁木齐 NTP认证 OFF NTP客户端模式 与RR站点同步 父主题： 开局部署数据规划

硬件安装云化设备 根据部署规划时的网络设备安装点位设计、设备间互联等信息，完成网络设备的硬件安装、连线、上电等操作，参见表 硬件安装与布线任务一览表。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装硬件设备 硬件设备安装需要遵循施工规范，常见的硬件施工规范有： 物理设备必须可靠接地。 物理设备谨慎搬运，要连带外纸箱或泡沫垫，不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线，规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请单击以下设备名称，进入“硬件安装与维护指南”手册，查看对应设备款型的安装指导。 若无法找到，请在搜索框中输入设备款型查找安装指导。 防火墙 随板AC AP 连接线缆 根据布线规划完成线缆连接，连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。

分支网络互联组网设计 WAN侧虚拟网络拓扑模式采用Hub-spoke组网，实现分支机构和总部DC（Data Center，数据中心）之间直接互访，分支机构之间通过总部中转。 本举例中企业总部DC站点的LAN侧设备为本地管理，在使用本方案实施前已部署完成，下文仅体现AR上的相关配置。 实际场景中站点内LAN侧设备的选型和组网可根据需求进行灵活选择。 图1 分支网络互联组网图 Hub-spoke组网，一般由企业总部和数据中心作为Hub站点，企业各分支作为Spoke站点。企业各分支通过WAN集中访问部署在总部或者数据中心站点的服务器应用；同时，企业的分支之间如果需要互通，也经过Hub站点中转。 节约设备成本和链路成本，Hub站点同时作为RR。 两个Hub对Spoke提供相同服务，可以基于Spoke设置访问两个Hub的优先级（比如：Hub1优先级为1，Hub2优先级为2）。 当Spoke存在互访需求时，两个Hub可以启用分支互访中转功能，两个Hub工作在主备模式。 部署时建议优先使用主控板的接口用于WAN侧接口。对于使用接口板上的接口作为WAN侧接口的场景需要确保流量不超过设备的负荷。 本场景使用的设备款型如表1所示。 表1 设备款型 站点 设备类型 设备款型 总部DC站点 路由器 AR6280 分支站点 路由器 AR651 接入交换机 S5735-L AP 按场景选AP款型，参见官网的WLAN网络规划指导。

操作步骤 单击“拓扑”页签。 在“VN”中选择已经建立的VN名称。 在“预定义拓扑”界面，选择“模式”为“简单模式”，选择“拓扑模式”为“Full-Mesh”，设置“分支站点”和“逃生站点”，并使能“动态隧道”。 Full-Mesh拓扑组网简单，业务互访效率高，随着网络规模的扩张，为了防止Full-Mesh网络中不同分支之间大量的隧道占用设备资源，华为SD-WAN解决方案支持EVPN动态建立隧道，即基于流量是否存在自动建立和删减隧道，可以合理分配设备资源。 图1 配置Overlay拓扑 单击“确定”。 重复以上步骤，完成各VN的Overlay拓扑配置。

智能选路数据规划 如果网络中存在多条链路，为在让高优先级应用选择一条质量好的链路，此时可使用优先级选路。语音，实时视频会议类对时延、抖动敏感业务，建议使用优先选路选择质量较好的链路。其它大流量类业务，建议使用负载分担负载到所有链路上，以便充分利用链路带宽。 表1 实时视频会议流分类模板信息 参数 数据 流分类模板名称 test_traffic_Video 规则类型 与 ACL类型 IPv4 L3 ACL - 应用组 test_app_Video 表2 其它办公业务流分类模板信息 参数 数据 流分类模板名称 test_traffic_ip_dest 规则类型 与 ACL类型 IPv4 L3 ACL 优先级 10 类型 子网掩码 目的IP地址 135.1.1.0/24 应用组 - 表3 智能选路策略信息 参数 数据 备注 VN/VN QoS组 OA 办公业务 策略名称 test_spr_pf test_spr_lb test_spr_pf：为实时视频会议业务使用的智能选路策略，优先调度到MPLS链路，采用优先占用方式的选路。 test_spr_lb：为大流量办公业务（如文件传输业务）使用的智能选路策略，同时负载到MPLS链路和Internet链路，以充分利用线路带宽，采用负载分担方式的选路。 流分类模板 test_traffic_Video test_traffic_ip_dest - 策略优先级 10 20 - 切换指标 实时视频 大容量数据 - 链路切换指标 延迟（ms） 150 300 - 抖动（ms） 20 40 - 丢包率(‰) 10 50 丢包比例阈值。 注意： 丢包率单位为‰，配置时请注意数值换算。 传输网络优先级 主传输网络 传输网络：MPLS、MPLS1，优先级：1 传输网络：Internet、Internet1，优先级：2 传输网络：MPLS、MPLS1、Internet、Internet1，优先级：1 test_spr_pf：通过区分链路的优先级，并且结合“优先占用”，才能达到优先占用的效果。 test_spr_lb：通过配置相同的优先级，并且结合“负载均衡”，才能达到负载均衡的效果。 备传输网络 - - - 流量行为 传输网络间流量行为 优先占用 负载均衡 - 包复制 关 - 只有优先占用才有，不使用广域优化，不建议开启。 负载均衡模式 - 流模式 只有负载均衡，推荐使用流模式。 条件不满足时流量行为 差中选优 等价转发 - 切换模式 可以回切 可以回切 - 站点 Hub1、Site1 Hub1、Site1 - 父主题： 业务体验优化数据规划

操作步骤 创建总部站点的WAN链路模板（“Double_RR_Mix”），供Hub1、Hub2站点使用。 单击“WAN链路模板”页签。 图1 WAN链路模板页签 ，单击“创建”，填写链路信息，如图2所示。配置完成后，单击“确定”。 图2 “Double_RR_Mix”模板 创建“Single_CPE_Mix”的站点模板，供Site1站点使用。 图3 “Single_CPE_Mix”模板 创建“Double_CPE_Mix”的站点模板，供Site2站点使用。 图4 “Double_CPE_Mix”模板

背景信息 对于哑终端，需要在华为乾坤云平台上添加MAC帐号、配置认证方式等，然后对哑终端进行认证授权。华为乾坤云平台可以在同一类用户组的授权结果中绑定相应安全组，认证控制点设备在执行安全组策略时，能够基于绑定的安全组控制哑终端访问权限。在用户管理页面，首先创建用户组，然后将MAC帐号添加到规划的用户组中，哑终端可以通过该帐号进行认证。建议将同一权限的MAC帐号分配在同一用户组，方便后续以用户组为单位进行授权操作。哑终端的账号数据规划如表1所示。 表1 哑终端的账号数据规划表 用户组 MAC账号 MAC地址 Wireless_Dumb_Group（哑终端） wireless_dumb1 00-01-00-01-00-04

操作步骤 单击“零配置开局”页签。 图1 零配置开局 在左侧列表的“站点列表”中，选择“未配置”，筛选出待配置的站点。 配置总部RR站点的WAN链路及南向接入服务。 单击待配置的站点（以Hub1为例），在右侧页面，单击“物理站点”下的“点击开局”。 单击“模板导入”，选择已经创建好的WAN链路模板。 以下以配置Hub1的WAN链路为例，选择的WAN链路模板名称为“Double_RR_Mix”。 在“设备1”处选择“Hub1_1”。“设备2”自动变成“Hub1_2”。 逐个单击WAN链路后的按钮，配置WAN链路。 在弹出的“设置WAN链路”窗口中，完成所有WAN链路配置后，单击“确定”。 配置Hub1的WAN链路及南向接入服务。 配置Hub1_1设备的Internet链路及南向接入服务。 配置Hub1_1设备的MPLS链路及南向接入服务。 配置Hub1_2设备的Internet链路及南向接入服务。 配置Hub1_2设备的MPLS链路及南向接入服务。 配置Hub2的WAN链路及南向接入服务。 配置Hub2_1设备的Internet链路及南向接入服务。 配置Hub2_1设备的MPLS链路及南向接入服务。 配置Hub2_2设备的Internet链路及南向接入服务。 配置Hub2_2设备的MPLS链路及南向接入服务。 配置分支站点WAN链路及南向接入服务。 和RR站点的操作相同，完成分支站点WAN链路及南向接入服务的参数配置，然后单击“确定”。 配置Site1站点WAN链路及南向接入服务。 配置Internet的链路及南向接入服务。 配置MPLS的链路及南向接入服务。 配置Site2站点的WAN链路及南向接入服务。 配置Internet的链路及南向接入服务。 配置MPLS的链路及南向接入服务。

硬件安装云化设备 根据部署规划时的网络设备安装点位设计、设备间互联等信息，完成网络设备的硬件安装、连线、上电等操作，参见表1。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装硬件设备 硬件设备安装需要遵循施工规范，常见的硬件施工规范有： 物理设备必须可靠接地。 物理设备谨慎搬运，要连带外纸箱或泡沫垫，不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线，规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请单击以下设备名称，进入“硬件安装与维护指南”手册，查看对应设备款型的安装指导。 若无法找到，请在搜索框中输入设备款型查找安装指导。 防火墙 交换机 AP 连接线缆 根据布线规划完成线缆连接，连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。

网络规划 本案例中规划的设备上线、用户接入等参数均为示例，仅供参考，请根据实际项目需求进行调整。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 MSP MSP帐号名称：huawei-partner@huawei.com MSP帐号密码：mspUser@123 架构规划 网络拓扑 见图 防火墙+交换机+中心AP+RU组网拓扑图示例 设备选型 防火墙：USG6355E 交换机：S5735-L24T4S-QA2 中心AP：AirEngine 9700D-M RU：AirEngine 5761-11WD 站点 站点名称：test_RU 站点类型：FW、LSW、云AP 设备接口互联 见图 防火墙+交换机+中心AP+RU组网拓扑图示例 设备上线规划 防火墙接入Internet的方式 采用Web网管配置 主用接口：GE0/0/1接口，PPPoE拨号 备用接口：GE0/0/2接口，PPPoE拨号 防火墙注册上线的方式 采用Web网管配置 华为乾坤云平台URL地址为：device.qiankun-saas.huawei.com，端口号为：10020 防火墙下挂的设备获取管理IP地址方式 IP地址获取方式：DHCP动态获取，防火墙作为DHCP Server IP地址范围：10.1.1.0/24 防火墙下挂的设备注册上线方式 DHCP Option148方式：在华为乾坤云平台上配置，配置对象是防火墙 NAT 在防火墙上开启NAT功能 用户上线规划 用户接入 病房终端（无线接入） 护士站PC（有线接入） 摄像头（有线接入） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，防火墙作为DHCP Server（网关） IP地址范围： 病房终端：10.3.0.0/22 护士站PC：10.2.2.0/24 摄像头：10.2.4.0/24 用户所属的VLAN 病房终端：VLAN 10 护士站PC：VLAN 20 摄像头：VLAN 30 终端接入与认证方式 病房终端：无线子网名称test-wireless；PSK认证 护士站PC：有线子网名称test-wired-PC；不认证 摄像头：有线子网名称test-wired-Camera；不认证 用户业务规划 QoS 无线终端限速：10Mbit/s 非法网站URL屏蔽

操作步骤 注册并登录APP。打开APP点击“登录/注册”，输入手机号和验证码，首次登录会自动注册华为乾坤帐号。 如果已有华为乾坤帐号，无需再次注册，输入用户名和密码，签署用户协议和隐私政策即可。 如果提示发现新版本，请升级到最新版本，避免功能无法使用。 扫码添加设备。 在“首页”页签，单击右上角，选择“扫码添加设备”。 图1 扫码添加设备 将摄像头对准AP上的SN号二维码或条形码，提示扫码成功后，单击“确认”，然后单击“完成扫码”。 图2 扫描添加设备 单击“下一步”。如果您还需要添加AP，请单击“继续扫描”。 图3 设备列表 向左滑动页面，查看连线提示，查看完毕后单击“开始上线”。 图4 查看连线提示 等待2~5分钟，页面提示设备上线成功，单击“完成”。 配置无线Wi-Fi SSID。 在“首页”页签，单击左上角下拉箭头，选中目标站点。 单击“Wi-Fi管理”。 图5 Wi-Fi管理 单击“添加Wi-Fi”。 输入Wi-Fi名称和Wi-Fi密码，单击“保存Wi-Fi”，WIFI创建成功。 图6 创建Wi-Fi

分支网络互联组网设计 WAN侧虚拟网络拓扑模式采用Hub-spoke组网，实现分支机构和总部DC（Data Center，数据中心）之间直接互访，分支机构之间通过总部中转。 本举例中企业总部DC站点的LAN侧设备为本地管理，在使用本方案实施前已部署完成，下文仅体现AR上的相关配置。 实际场景中站点内LAN侧设备的选型和组网可根据需求进行灵活选择。 图1 分支网络互联组网图 Hub-spoke组网，一般由企业总部和数据中心作为Hub站点，企业各分支作为Spoke站点。企业各分支通过WAN集中访问部署在总部或者数据中心站点的服务器应用；同时，企业的分支之间如果需要互通，也经过Hub站点中转。 节约设备成本和链路成本，Hub站点同时作为RR。 两个Hub对Spoke提供相同服务，可以基于Spoke设置访问两个Hub的优先级（比如：Hub1优先级为1，Hub2优先级为2）。 当Spoke存在互访需求时，两个Hub可以启用分支互访中转功能，两个Hub工作在主备模式。 部署时建议优先使用主控板的接口用于WAN侧接口。对于使用接口板上的接口作为WAN侧接口的场景需要确保流量不超过设备的负荷。 本场景使用的设备款型如表1所示。 表1 设备款型 站点 设备类型 设备款型 总部DC站点 路由器 AR6280 分支站点 路由器 AR6121E 核心交换机 S12700E 接入交换机 S5735-L AP 按场景选AP款型，参见官网的WLAN网络规划指导。

安装云化设备 根据部署规划时的网络设备安装点位设计、设备间互联等信息，完成网络设备的硬件安装、连线、上电等操作，参见表1。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装硬件设备 硬件设备安装需要遵循施工规范，常见的硬件施工规范有： 物理设备必须可靠接地。 物理设备谨慎搬运，要连带外纸箱或泡沫垫，不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线，规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请单击以下设备名称，进入“硬件安装与维护指南”手册，查看对应设备款型的安装指导。 若无法找到，请在搜索框中输入设备款型查找安装指导。 AP 连接线缆 根据布线规划完成线缆连接，连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。 在租户网络现场，可以使用华为乾坤APP的“扫码上线”功能，将云化设备（AP）的SN录入华为乾坤云平台。