华为云用户手册

认证服务器侧的配置思路 802.1X认证采用华为乾坤云平台内置的RADIUS服务器组件。 在认证服务器侧的整个配置过程如下： 在华为乾坤云平台创建用户组Wire_Dumb_Group，把同一类认证方式的用户放到同一个用户组，方便管理，同时，在该用户组中增加用户账号信息。 创建认证规则DumbDevice_Authen，认证方式采用用户接入认证，匹配用户组Wire_Dumb_Group。 创建授权结果。本案例使用系统的缺省授权结果允许接入和拒绝接入。如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则DumbDevice_Rule，认证方式采用用户接入认证，匹配用户组Wire_Dumb_Group，关联的授权结果为DumbDevice_Result。

开通云管理网络服务 已注册华为乾坤租户帐号，帐号可以是自注册或者MSP代建。 访问华为乾坤控制台，在登录页面单击“立即注册”。 根据页面提示设置用户名、 密码等信息，确认无误后勾选隐私声明和用户协议，并单击“注册并登录”。 已购买并开通了云管理网络，具体步骤请参见《服务开通》的“开通云管理网络套餐”。 LAN-WAN融合场景至少需要购买“网络基础套餐”和“SD-WAN增值套餐”两种套餐。 父主题： 配置前准备

推荐配套产品 在RR选择共部署的单层Hub-Spoke组网中，一般Hub站点的AR既是站点的网关，又要承担RR的职责，所以需要高性能的AR设备。Spoke站点根据站点业务规模选择AR。 本场景推荐的设备款型如表1所示。 表1 推荐款型 站点 设备款型 总部Hub站点/数据中心站点 AR6300（只支持单主控，不支持双主控）、AR6280。 2个Hub站点，每个Hub站点2个AR。出于可靠性考虑，每个Hub站点必须采用双网关模式。双网关要求使用相同型号的2个AR设备。 Spoke分支站点 大型分支：AR6300（只支持单主控，不支持双主控）、AR6280。 中型分支：AR6100系列。 小型分支：AR650系列、AR610系列。 父主题： 用户组网和业务方案设计

减少流量瓶颈 分支机构和总公司、数据中心之间可以直接互访，分支机构之间通过数据中心中转，Overlay网络拓扑模式采用Hub-Spoke组网可以满足，在DC1和DC2分别部署Hub1和Hub2两个站点作为中心站点，如图1所示。 图1 站点WAN设计组网图 Hub-Spoke组网，一般由企业总部和数据中心作为Hub站点，企业各分支作为Spoke站点，通过WAN集中访问部署在总部或者数据中心站点的服务器应用。同时，企业的分支之间如果需要互通，经过Hub站点中转；企业总部之间也可以直接互通。 节约设备成本和链路成本，RR建议与Hub站点共部署。 两个Hub对Spoke提供相同服务，可以基于Spoke设置访问两个Hub的优先级。 当Spoke存在互访需求时，两个Hub可以启用分支互访中转功能，两个Hub工作在主备模式。 部署时建议优先使用主控板的接口用于WAN侧接口。对于使用接口板上的接口作为WAN侧接口的场景需要确保流量不超过设备的负荷。

站点上网策略设计 在防火墙上进行上网流量统计与管理，该防火墙部署在Hub侧，配置区域集中上网与Hub站点本地上网的策略，实现Spoke站点上网流量汇总到Hub后再访问互联网。 配置集中上网，将两个Hub站点分别设置为主备网关。 在Hub站点上配置本地上网。 本地上网最多支持通过三条Internet链路上网，当启用多Internet链路上网时，只支持单AR多个Internet的负载分担上网，不支持双AR上的多个Internet链路负载分担上网。 基于应用的本地上网：客户希望分支站点的一些应用流量（例如淘宝、Youtube等）进行本地上网，其余应用业务通过SD-WAN Overlay先集中到总部、再通过总部进行本地上网。 父主题： 用户业务设计

自定义应用数据规划 创建自定义VoIP应用。 表1 VoIP自定义应用1 参数 数据 名称 test_Voip1 应用类型 Domain Name 规则 名称 voip1 域名 *voip1.com* 表2 VoIP自定义应用2 参数 数据 名称 test_Voip2 应用类型 Advance Rule 规则 名称 voip2 源IP - 目的IP 1.2.3.0/24 DSCP - 协议 UDP 源端口 - 目的端口 5060-5060 每台设备可以配置的自定义应用数量为256个，所有自定义应用规则数总和为512。自定义应用会下发到租户下的所有设备，需要注意规格限制。 父主题： 应用管理数据规划

安装硬件设备 根据部署规划时的网络设备安装点位设计、设备间互联等信息，完成网络设备的硬件安装、连线、上电等操作，具体指导文档请参见表1。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装硬件设备 硬件设备安装需要遵循施工规范，常见的硬件施工规范有： 物理设备必须可靠接地。 物理设备谨慎搬运，要连带外纸箱或泡沫垫，不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线，规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请单击以下设备名称，进入“硬件安装与维护指南”手册，查看对应设备款型的安装指导。 若无法找到，请在搜索框中输入设备款型查找安装指导。 AR 连接线缆 根据布线规划完成线缆连接，连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。 父主题： 配置前准备

减少流量瓶颈 VoIP语音业务和视频会议等应用，对于网络的丢包、时延和抖动等网络性能具有很高的要求，因此这类业务更适用分支之间直接互访。根据分支站点和总部站点之间、分支站点之间需要直接互访的需求，Overlay网络拓扑模式采用Full-Mesh组网。如图1所示，在DC1和DC2分别部署Hub1和Hub2两个站点，在分支部署Site1、Site2两个站点，所有站点间为Full-Mesh组网，两两之间可直接互通，无需绕行总公司DC站点。 图1 站点WAN设计组网 采用Full-Mesh组网，分支站点之间，数据可以直接交互，不需要经过中间站点进行中转。 节约设备成本和链路成本，RR建议与总部站点共部署。

减少专线费用 一些分支机构所在地区的Internet质量良好，完全可以代替专线。对于部分分支机构可以采用Internet和专线双链路，通过Internet分担MPLS的流量压力，同时互为备份提高可靠性。 Full-Mesh组网方案由于需要所有站点之间互相建立隧道，建议使用MPLS专线链路，不需要NAT。如果客户现网采用Internet链路，需要确保所有站点设备接口的IP地址为公网地址。如果IP地址为私网地址，需要确认站点的运营商互联网的NAT类型，目前还不支持Restricted Cone和Symmetric类型的NAT设备之间互通，也不支持Symmetric类型间的NAT设备互通，这些站点互访只能通过DC/HQ站点中转。

LAN侧路由数据规划 为了使站点网关和LAN侧网络互通，需要配置Overlay LAN侧路由。 表1 LAN侧OSPF路由信息 参数 数据 VN OA 设备 Hub1_1 Hub1_2 进程ID 1001 1001 Router ID 127.1.0.6 127.1.0.7 通用参数 通告默认路由 ON ON 默认路由开销 1 1 内部优先级 10 10 ASE优先级 150 150 接口参数 区域ID 0 0 区域类型 normal normal 接口名称 GE0/0/7 GE0/0/7 验证模式 None None 网络类型 broadcast broadcast 填充MTU OFF OFF Hello报文间隔 10 10 DR优先级 0 0 路由引入 协议 - - 进程ID - - 开销 - - 路由策略 发布过滤 OFF OFF 接收过滤 OFF OFF 表2 LAN侧静态路由信息 参数 数据 站点 Site1 Site2 Site3 设备 Site1_1 Site2_1 Site2_2 Site3_1 优先级 60 60 60 60 目的网段/掩码 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 下一跳 IP地址 IP地址 IP地址 IP地址 IP地址 33.1.1.1 34.1.1.1 35.1.1.1 36.1.1.1 探测 ON ON ON ON 目标 33.1.1.1 34.1.1.1 35.1.1.1 36.1.1.1 父主题： 站点互联数据规划

部署流程 表1 部署流程 部署任务 子任务 配置前准备 开通云管理网络服务 安装华为乾坤APP（可选） 安装硬件设备 AR开局部署 开启SD-WAN服务 创建站点并添加设备 配置网络设计参数 配置WAN链路模板 配置站点接入WAN侧网络的链路 配置NTP 配置站点连接RR 邮件开局 确认开局成功 站点互联配置 配置Underlay网络 创建Overlay网络 确认配置是否成功 配置站点上网策略 应用管理 查看预定义应用 创建自定义应用 创建应用组 使用应用及应用组 业务体验优化策略 配置流量分配 配置QoS策略 配置智能选路策略 查看全网数据 查看全网数据 父主题： 部署指导

网络信息规划 本案例中规划的网络数据、业务数据等均为示例，仅供参考，请根据实际项目要求调整参数值。 表1 网络信息规划 设计项 设计要点 设计内容 管理员设计 租户帐户 租户帐号名称：test@huawei.com 租户帐号密码：Admin@1234 架构规划 网络拓扑 见图1 设备选型 FW：USG6525E 核心交换机：S5731-H 接入交换机：S5735-L AP：按场景选AP款型，参见官网的WLAN网络规划指导 站点 站点名称：Site1 站点类型：FW、LSW、云AP 设备接口互联 见图1 设备上线规划 FW接入Internet的方式 采用Web网管配置 主用接口：GE0/0/1接口，PPPoE拨号 备用接口：GE0/0/2接口，PPPoE拨号 FW注册上线的方式 采用Web网管配置 华为乾坤云平台URL地址为：device.qiankun-saas.huawei.com，端口号为：10020 FW下挂的设备获取IP地址方式 IP地址获取方式：DHCP动态获取，FW作为DHCP Server IP地址范围：10.1.1.0/24 FW下挂的设备注册上线方式 DHCP Option148方式：在华为乾坤云平台配置，配置对象是FW NAT 在出口网关FW上开启NAT功能 用户上线规划 用户接入 员工（无线接入，portal认证） 哑终端（有线接入，MAC认证） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，核心LSW作为DHCP Server IP地址范围： 员工：10.1.2.0/24 哑终端：10.1.6.0/24 用户所属的VLAN 员工：VLAN 10 哑终端：VLAN 30 终端接入与认证方式 员工Wi-Fi：SSID名称为Employee，Portal（短信认证） 哑终端：有线子网DumbDevice，MAC认证 核心交换机和FW互联配置 互联VLAN：VLAN 5 互联网段：10.1.10.0/28 路由方式：静态路由 用户业务规划 QoS 单个员工终端带宽限制：5Mbit/s 单个访客终端带宽限制：5Mbit/s

LAN侧接入数据规划 站点网关与LAN侧网络对接时，需要配置相应对接参数。 本章节及后续所有章节数据规划，无特殊说明，均以办公业务VN（OA）为例。 表1 站点LAN接口信息 参数 数据 创建后，是否可以修改 备注 VN OA - 办公业务 站点 Hub1 Hub2 Site1 Site2 Site3 - - 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 Site1_1 Site2_1 Site2_2 Site3_1 - - 网关接口 L3 L3 L3 L3 L2 L2 L2 L2 - - VLAN ID - - - - 400 300 300 200 是 接口的VLAN ID不能与内联的VLAN ID重复。 接口 GE0/0/7 GE0/0/7 GE0/0/7 GE0/0/7 GE0/0/6 GE0/0/6 GE0/0/6 GE0/0/6 是 建议统一分配，以便对上线站点做预配置，后续进行批量开局，以及业务割接。 模式 - - - - Untag Untag Untag Untag - - 信任模式 信任 信任 信任 信任 信任 信任 信任 信任 - - IP地址 170.1.1.10/24 170.1.1.20/24 180.1.1.10/24 180.1.1.20/24 33.1.1.10/24 22.1.1.10/24 22.1.1.20/24 11.1.1.10/24 - 接口IP地址。 VRRP VRRP ID 1 1 1 1 - 1 1 - - 根据现网诉求配置优先级和抢占时间。一般VRRP主设备的优先级设置成120（默认100），抢占时延为20 秒（默认0）。备设备的优先级为100，抢占时延0 秒。 虚拟IP 170.1.1.1 170.1.1.1 180.1.1.1 180.1.1.1 - 22.1.1.1 22.1.1.1 - - 优先级 120 100 120 100 - 120 100 - - 抢占延迟(s) 20 0 20 0 - 20 0 - - 认证Key 1234abcd 1234abcd 1234abcd 1234abcd - 1234abcd 1234abcd - - DHCP DHCP类型 - - - - Server - - Relay - - 服务器IP - - - - - - - 11.3.3.20 - - 租约时间 - - - - 1天 - - - - - 父主题： 站点互联数据规划

VN数据规划 企业内部多个部门业务有隔离要求，需要通过部门（即VN）来构建多个Overlay网络。保证不同的部门转发独立，转发互相不能访问，从而实现不同部门业务在网络转发层面的安全隔离。 表1 Overlay网络VN的基本信息 参数 数据 备注 VN名称 VPN1 界面展示使用。 IPSec加密 ON - 站点名称 Hub1、Hub2、Site1 - 拓扑模式 Hub-Spoke 不建议修改，触发全网路由重新编排，业务中断。 中心站点 主：Hub1 备：Hub2 - 父主题： 站点互联数据规划

VN及网络拓扑数据规划 企业内部多个部门业务有隔离要求，需要通过部门（即VN）来构建多个Overlay网络。保证不同的部门转发独立，转发互相不能访问，从而实现不同部门业务在网络转发层面的安全隔离。 表1 Overlay网络VN的基本信息 参数 数据 创建后，是否可以修改 备注 名称 BIZ OA IM 是 BIZ：生产业务；OA：办公业务；IM：多媒体业务 VN实例名称 BIZ OA IM 否 下发给设备的VRF实例名称。 IPSec加密 ON ON ON - - 站点名称 Hub1、Hub2、Site1、Site2 Hub1、Hub2、Site1、Site2 Hub1、Hub2、Site1、Site2 - - 表2 Overlay网络拓扑信息 参数 数据 创建后，是否可以修改 备注 VN BIZ OA IM - - 模式 简单模式 简单模式 简单模式 是 不建议修改，会触发全网路由重新编排，业务中断。 拓扑模式 Full-Mesh Full-Mesh Full-Mesh 是 不建议修改，会触发全网路由重新编排，业务中断。 分支站点 Hub1、Hub2、Site1、Site2 Hub1、Hub2、Site1、Site2 Hub1、Hub2、Site1、Site2 - - 逃生站点 Hub1：主 Hub2：备 Hub1：主 Hub2：备 Hub1：主 Hub2：备 是 不建议修改，会触发全网路由重新编排，业务中断。 父主题： 站点互联数据规划

站点和设备数据规划 SD-WAN各个站点的设备，需要先添加到华为乾坤云平台中，管理员才能对设备进行配置和管理。 表1 站点规划 站点名称 设备类型 站点位置 备注 Hub1 AR xx省xx市xx路xx号xx “站点位置”可以在华为乾坤云平台的地图上选择。 站点的设备类型，除了“AR”以外，如果还有其他设备，请对应勾选“LSW、FW”等设备类型。 Hub2 AR xx省xx市xx路xx号xx Site1 AR xx省xx市xx路xx号xx Site2 AR xx省xx市xx路xx号xx 表2 设备信息 设备ESN数据 设备名称 设备型号 角色 创建后，是否可以修改 备注 请从设备的物理标签上获取 Hub1_1 AR6280 网关+路由反射器 是 设备名称可修改。 说明： “设备型号”均为举例，请以实际为准。 请从设备的物理标签上获取 Hub1_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2_1 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Site1_1 AR651 网关 请从设备的物理标签上获取 Site2_1 AR651 网关 请从设备的物理标签上获取 Site2_2 AR651 网关 父主题： 开局部署数据规划

QoS策略设计 为了保证在网络拥塞情况下关键应用流量得到优先调度，需要配置QoS策略，保障关键流量的带宽，同时限制非关键流量的带宽。 办公软件、VoIP流量等为重要业务，属于关键流量，需要优先调度并保证带宽；保卫监控流量等属于非关键流量，对该部分流量进行带宽限制。 根据上行带宽大小与拥塞时的链路使用情况，设置限制流量的带宽占用大小。 按照实际使用情况与用户需求，对Spoke站点绑定QoS策略。 父主题： 用户业务设计

VN数据规划 企业内部多个业务有隔离要求，可以通过VN来构建多个Overlay网络，方便后续对多个VN统一做流量策略管理。 表1 Overlay网络VN的基本信息 参数 数据 创建后，是否可以修改 备注 名称 BIZ OA IM 是 BIZ：生产业务；OA：办公业务；IM：多媒体业务 VN实例名称 BIZ OA IM 否 下发给设备的VRF实例名称。 IPSec加密 ON ON ON - - 站点名称 Hub1、Hub2、Site1、Site2、Site3 Hub1、Hub2、Site1、Site2、Site3 Hub1、Hub2、Site1、Site2、Site3 - - 拓扑模式 Hub-Spoke Hub-Spoke Hub-Spoke 是 不建议修改，触发全网路由重新编排，业务中断。 中心站点 主：Hub1 备：Hub2 主：Hub1 备：Hub2 主：Hub1 备：Hub2 - - 父主题： 站点互联数据规划

自定义应用数据规划 创建自定义VoIP应用。 表1 VoIP自定义应用1 参数 数据 名称 test_Voip1 应用类型 Domain Name 规则 名称 voip1 域名 *voip1.com* 表2 VoIP自定义应用2 参数 数据 名称 test_Voip2 应用类型 Advance Rule 规则 名称 voip2 源IP - 目的IP 1.2.3.0/24 DSCP - 协议 UDP 源端口 - 目的端口 5060-5060 每台设备可以配置的自定义应用数量为256个，所有自定义应用规则数总和为512。自定义应用会下发到租户下的所有设备，需要注意规格限制。 父主题： 应用管理数据规划

认证服务器侧的配置思路 802.1X认证采用华为乾坤云平台内置的RADIUS服务器组件。整个配置过程如下： 在华为乾坤云平台创建用户组Wireless_Employee_Group，把同一类认证方式的用户放到同一个用户组，方便管理，同时，在该用户组中增加用户账号信息。 创建认证规则Wireless_Employee_Authen，认证方式采用用户接入认证，匹配用户组Wireless_Employee_Group。 创建授权结果。本案例使用系统的缺省授权结果允许接入和拒绝接入。如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则Wireless_Employee_Rule，认证方式采用用户接入认证，匹配用户组Wireless_Employee_Group，关联的授权结果为允许接入。

认证控制点侧的配置思路 认证控制点负责用户接入认证，并与认证服务器进行交互，完成认证、授权、计费。 认证控制点上需要配置认证模板，然后将认证模板绑定到无线终端接入的SSID。认证模板中包含了用户接入认证方式；绑定的RADIUS服务器模板也需要在认证控制点配置，模板中会配置对接的RADIUS服务器参数。无线认证控制点的模板配置、模板与SSID的绑定都需要登录WAC的Web网管进行配置。 无线接入认证采用华为乾坤云平台内置的认证服务器时，华为乾坤云平台需要记录认证控制点、SSID和认证模板的对应关系，在“站点配置”页签配置。 WAC采用随板WAC，认证相关模板也在华为乾坤云平台配置，华为乾坤云平台会向随板WAC下发认证模板配置。

Underlay网络数据规划 站点Underlay网络WAN侧的静态路由。 表1 WAN侧静态路由信息（1） 参数 数据 站点 Hub1 Hub2 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 优先级 60 60 60 60 60 60 60 60 WAN链路 internet mpls internet1 mpls1 internet mpls internet1 mpls1 目的网段/掩码 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 下一跳 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 20.1.1.2 110.1.1.2 20.1.2.2 110.1.2.2 30.1.1.2 120.1.1.2 30.1.2.2 120.1.2.2 探测 OFF OFF OFF OFF OFF OFF OFF OFF 表2 WAN侧静态路由信息（2） 参数 数据 站点 Site1 Site2 Site3 设备 Site1_1 Site2_1 Site2_2 Site3_1 优先级 60 60 60 60 60 60 WAN链路 internet mpls internet mpls internet internet_5g 目的网段/掩码 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 下一跳 IP地址 IP地址 IP地址 IP地址 出接口 出接口 IP地址 40.1.1.2 130.1.1.2 50.1.1.2 140.1.1.2 - - 探测 ON ON ON ON OFF OFF 目标 40.1.1.2 130.1.1.2 50.1.1.2 140.1.1.2 - - 父主题： 站点互联数据规划

应用组设计 使用应用组可以有效地对应用进行监控，在监控页面能够观察该应用的质量情况、带宽使用情况。推荐定义出在生产业务、办公业务、多媒体业务中需要监控的应用，划分到不同的应用组中。后续可以通过QoS策略、智能选路策略及站点上网策略实现对应用的统一策略控制。 生产业务中可定义的应用组：物联网管理等。 办公业务中可定义的应用组：视频会议、上网、邮件等。 多媒体业务中可定义的应用组：保卫监控、VoIP语音业务等。 父主题： 用户业务设计

LAN侧路由数据规划 为了使站点网关和LAN侧网络互通，需要配置Overlay LAN侧路由。 表1 LAN侧OSPF路由信息 参数 数据 VN OA 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 路由协议 OSPF 进程ID 1001 1001 1001 1001 Router ID - - - - 通用参数 通告默认路由 OFF OFF OFF OFF 内部优先级 10 10 10 10 ASE优先级 150 150 150 150 接口参数 区域ID 0 0 0 0 区域类型 normal normal normal normal 接口名称 GE0/0/6 GE0/0/6 GE0/0/6 GE0/0/6 网络类型 p2p p2p p2p p2p 接口开销 10 10 10 10 填充MTU OFF OFF OFF OFF 验证模式 None None None None DR优先级 0 0 0 0 Hello报文间隔 2 2 2 2 路由引入 协议 - - - - 进程ID - - - - 开销 - - - - Overlay路由聚合 OFF OFF OFF OFF 路由策略 发布 ON ON ON ON 匹配 IP前缀 IP地址掩码 10.1.0.0/16 10.1.0.0/16 10.1.0.0/16 10.1.0.0/16 掩码范围下限 16 16 16 16 掩码范围上限 32 32 32 32 应用 过滤类型 黑名单 黑名单 黑名单 黑名单 接收 OFF OFF OFF OFF 父主题： 站点互联数据规划

推荐配套产品 在RR选择共部署的组网中，一般总部站点的CPE既是站点的网关，又要承担RR的职责，所以需要高性能的CPE设备。分支站点根据站点业务规模选择CPE。 本场景推荐的设备款型如表1所示。 表1 推荐款型 站点 设备款型 总部Hub站点/数据中心站点 AR6300（只支持单主控，不支持双主控）、AR6280。 2个Hub站点，每个Hub站点2个CPE。出于可靠性考虑，每个Hub站点必须采用双网关模式。双网关要求使用相同型号的2个CPE设备。 Spoke分支站点 大型分支：AR6300（只支持单主控，不支持双主控）、AR6280。 中型分支：AR6140、AR6280。 小型分支：AR6140、AR6280（总站点数较少时：AR650系列、AR6100）。 父主题： 用户组网和业务方案设计

站点上网策略设计 由于客户想要在设置防火墙进行上网流量统计与管理，将该防火墙部署在Hub侧，配置区域集中上网与Hub站点本地上网的策略，实现Spoke站点上网流量汇总到Hub后再访问互联网。 配置集中上网，将两个Hub站点分别设置为主备网关。 在Hub站点上配置本地上网。 本地上网最多支持通过三条Internet链路上网，当启用多Internet链路上网时，只支持单CPE多个Internet的负载分担上网，不支持双CPE上的多个Internet链路负载分担上网。 基于应用的本地上网：客户希望分支站点的一些应用流量（例如淘宝、Youtube等）进行本地上网，其余应用业务通过SD-WAN Overlay先集中到总部、再通过总部进行本地上网。 父主题： 用户业务设计

QoS策略设计 为了保证在网络拥塞情况下关键应用流量得到优先调度，需要配置QoS策略，保障关键流量的带宽，同时限制非关键流量的带宽。 办公软件、VoIP流量等为重要业务，属于关键流量，需要优先调度并保证带宽；保卫监控流量等属于非关键流量，对该部分流量进行带宽限制。 根据上行带宽大小与拥塞时的链路使用情况，设置限制流量的带宽占用大小。 按照实际使用情况与用户需求，对Spoke站点绑定QoS策略。 父主题： 用户业务设计

安装硬件设备 根据部署规划时的网络设备安装点位设计、设备间互联等信息，完成网络设备的硬件安装、连线、上电等操作，具体指导文档请参见表1。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装硬件设备 硬件设备安装需要遵循施工规范，常见的硬件施工规范有： 物理设备必须可靠接地。 物理设备谨慎搬运，要连带外纸箱或泡沫垫，不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线，规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请单击以下设备名称，进入“硬件安装与维护指南”手册，查看对应设备款型的安装指导。 若无法找到，请在搜索框中输入设备款型查找安装指导。 AR 连接线缆 根据布线规划完成线缆连接，连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。 父主题： 配置前准备

部署流程 表1 部署流程 部署任务 子任务 配置前准备 开通云管理网络服务 安装华为乾坤APP（可选） 安装硬件设备 AR开局部署 开启SD-WAN服务 创建站点并添加设备 配置网络设计参数 配置WAN链路模板 配置站点接入WAN侧网络的链路 配置NTP 配置站点连接RR 邮件开局 确认开局成功 站点互联配置 配置Underlay网络 创建Overlay网络 确认配置是否成功 配置站点上网策略 应用管理 查看预定义应用 创建自定义应用 创建应用组 使用应用及应用组 业务体验优化策略 配置流量分配 配置Overlay ACL策略 配置QoS策略 配置智能选路策略 查看全网数据 查看全网数据 父主题： 部署指导

站点及ZTP开局数据规划 添加多个站点时，往往需要配置相同的网关类型、WAN链路条数和传输网络。通过定制链路模板可以将这些重复的配置信息模块化。 配置站点在WAN侧的物理链路，是进行开局的前提条件。站点配置或激活后，可新增或删除WAN侧链路。 表1 站点模板（RR设备） 参数 数据 模板名 Double_RR_Mix 单/双网关 双网关 WAN链路 名称 internet mpls internet1 mpls1 设备 Device1 Device2 端口 GE0/0/1 GE0/0/2 GE0/0/1 GE0/0/2 Overlay隧道 ON ON ON ON 传输网络（路由域） Internet MPLS Internet MPLS 角色 Active Active Active Active Inter-CPE链路 使用LAN侧二层物理口 OFF VLAN ID 4086～4094 设备1端口 GE0/0/3 GE0/0/4 设备2端口 GE0/0/3 GE0/0/4 表2 站点模板（CPE设备） 参数 数据 模板名 Single_CPE_Mix Double_CPE_Mix Single_CPE_Internet 单/双网关 单网关 双网关 单网关 WAN链路 名称 internet mpls internet mpls internet internet_5g 设备 Device1 Device1 Device1 Device2 Device1 Device1 端口 GE0/0/8 GE0/0/9 GE0/0/8 GE0/0/8 GE0/0/8 LTE1/0/0 Overlay隧道 ON ON ON ON ON ON 传输网络（路由域） Internet MPLS Internet MPLS Internet Internet_5G 角色 Active Active Active Active Active Standby Inter-CPE链路 使用LAN侧二层物理口 - - OFF - - VLAN ID - - 4086～4094 - - 设备1端口 - - GE0/0/1 GE0/0/2 - - 设备2端口 - - GE0/0/1 GE0/0/2 - - 为了便于用户管理设备和提升业务部署效率，同一个租户下，同一个网络的设备可以规划到一个站点中。 表3 站点及ZTP配置（1） 参数 数据 创建后，是否可以修改 备注 站点 Hub1 Hub2 是 站点名称可修改 是否开启RR功能 ON ON - - 单/双网关 双网关 双网关 - - 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 - - 多子接口 OFF OFF OFF OFF 否 - RDB方式开局 OFF OFF OFF OFF 否 后续如果需要修改WAN链路，则需要打开该开关 WAN链路模板 Double_RR_Mix Double_RR_Mix - - 链路名称 internet mpls internet1 mpls1 internet mpls internet1 mpls1 否 配置完成后不可修改 VN实例 underlay_1 underlay_2 underlay_3 underlay_4 underlay_1 underlay_2 underlay_3 underlay_4 否 配置完成后不可修改 接口协议类型 IPoE IPoE IPoE IPoE IPoE IPoE IPoE IPoE - - 链路接入网络方式 静态 静态 静态 静态 静态 静态 静态 静态 - - IPv4地址/掩码 20.1.1.1/24 110.1.1.1/24 20.1.2.1/24 110.1.2.1/24 30.1.1.1/24 120.1.1.1/24 30.1.2.1/24 120.1.2.1/24 否 配置完成后不可修改 IPv4网关 20.1.1.2 110.1.1.2 20.1.2.2 110.1.2.2 30.1.1.2 120.1.1.2 30.1.2.2 120.1.2.2 否 配置完成后不可修改 IPv4公网IP 20.1.1.1 - 20.1.2.1 - 30.1.1.1 120.1.1.1 30.1.2.1 120.1.2.1 是 可以修改。公网IP为该链路上外部可访问的IP地址，分支可通过该地址注册到RR站点，当RR在NAT设备后或RR在云上部署时，需要填写映射到外部的外网IP。 上行容量(Mbps) 1000 1000 1000 1000 1000 1000 1000 1000 - 需要根据客户实际购买的链路带宽设置。 下行容量(Mbps) 1000 1000 1000 1000 1000 1000 1000 1000 - URL开局配置 ON ON ON ON ON ON ON ON 否 配置完成后开局链路不可修改，非开局链路支持删除和新增。 南向接入服务 Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access 否 WAN链路默认均使用默认南向接入服务，也可选择其他自定义接入服务，开局后不可更改。 南向接入优先级 低 低 低 低 低 低 低 低 否 - 表4 站点及ZTP配置（2） 参数 数据 站点 Site1 Site2 Site3 是否开启RR功能 OFF OFF OFF 连接到RR Hub1、Hub2 Hub1、Hub2 Hub1、Hub2 单/双网关 单网关 双网关 单网关 多子接口 OFF OFF OFF RDB方式开局 OFF OFF OFF 站点模板 Single_CPE_Mix Double_CPE_Mix Single_CPE_Internet 设备 Site1_1 Site2_1 Site2_2 Site3_1 链路名称 internet mpls internet mpls internet internet_5g VN实例 underlay_1 underlay_2 underlay_1 underlay_2 underlay_1 underlay_2 接口协议类型 IPoE IPoE IPoE IPoE IPoE - 链路接入网络方式 静态 静态 静态 静态 动态 5G IPv4地址/掩码 40.1.1.1/24 130.1.1.1/24 50.1.1.1/24 140.1.1.1/24 - - IPv4网关 40.1.1.2 130.1.1.2 50.1.1.2 140.1.1.2 - - NAT穿越 ON OFF ON OFF ON ON 上行容量(Mbps) 20 20 20 20 20 20 下行容量(Mbps) 100 100 100 100 100 100 URL开局 ON ON ON ON ON OFF 南向接入服务 Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access 南向接入优先级 低 低 低 低 低 低 父主题： 开局部署数据规划