华为云用户手册

响应示例 HTTP/1.1 200 OKData:Tue,26 Jul 2022 17:31:54 GMTServer: example.comContent-Type: application/json {"resultCode":200,"errorDes":"Successful.","errorReson":"Successful.","errorDetail":"Successful.","errorAdvice":"Successful.","data":{"totalRate":99.65,"values":{"timestamp":1629690547000,"rate":-1.0,"successCon":9.09,"timeCon":296.0,"roaming":-1.0,"coverage":52.73,"capacity":-1.0,"throughput":100.0}}}

响应参数 返回状态码为 200: query Time Cost Cause Index 表3 响应Body参数列表 名称 类型 是否必选 描述 resultCode Integer 否 状态码。 缺省值:200 errorDes String 否 错误描述。 缺省值:Successful. errorReson String 否 错误原因。 缺省值:Successful. errorDetail String 否 错误详情。 缺省值:Successful. errorAdvice String 否 错误建议。 缺省值:Successful. data MonitorOverviewModel 否 无线健康度多维度汇总数据集合。 表4 MonitorOverviewModel 名称 类型 是否必选 描述 totalRate Double 否 多维度总评分。 缺省值:0 values RateValueModel 否 各指标达标率数据集合。 表5 RateValueModel 名称 类型 是否必选 描述 timestamp Long 否 时间戳。 缺省值:0 rate Double 否 当前达标率。 缺省值:-1 successCon Double 否 接入成功率。 缺省值:-1 timeCon Double 否 接入耗时。 缺省值:-1 roaming Double 否 漫游达标率。 缺省值:-1 coverage Double 否 信号与干扰。 缺省值:-1 capacity Double 否 容量健康度。 缺省值:-1 throughput Double 否 吞吐达标率。 缺省值:-1 表6 返回状态码 返回状态码 状态码说明 响应参数 400 参数错误 无 401 该用户未认证 无 403 URL鉴权失败 无 404 REST接口没找到 无 500 服务器内部错误 无 502 网关错误 无 503 服务不可用 无

URL /v1/ci/expmonitor/overview/rate 表1 请求Query参数列表 名称 类型 是否必选 描述 param String 是 查询条件，param格式： { "regionType": "site", // 区域类型。包含site（站点）、region（区域）、building（楼宇）和floor（楼层），必填项。 "level": "0", // 左树级别。站点所在的级别，对应0-9级，必填项。 "tenantId": "default-organization-id", // 租户ID，必填项。 "startTime": "1597766400000", // 开始时间，必填项。 "id": "/", // 站点区域ID，“/”为根区域，必填项。 "endTime": "1597816800000" // 结束时间，必填项。 } 最小长度:1 最大长度:90000 表2 请求Header参数列表 名称 类型 是否必选 描述 X-Auth-Token String 是 认证Token，用于API的Token认证。 最小长度:0 最大长度:90000

请求示例 GET /v1/ci/expmonitor/overview/rate?param={regionType:site,level:0,tenantId:default-organization-id,startTime:1597766400000,id:/,endTime:1597816800000} HTTP/1.1Host: example.comContent-Type: application/jsonAccept: application/jsonX-Auth-Token: MIIDwAYJKoZIhvcNAQcCoIIDsTCCA60CAQExDTALBglghkgBZQMEAgEwggIOBgkqhkiG9w0BBwGgggH--jxxA==

响应示例 HTTP/1.1 200 OKData:Tue,26 Jul 2022 17:31:54 GMTServer: example.comContent-Type: application/json {"resultCode":200,"errorDes":"Successful.","errorReson":"Successful.","errorDetail":"Successful.","errorAdvice":"Successful.","data":{"totalRate":56.0,"values":[{"timestamp":1629690547000,"rate":-1.0,"successCon":9.09,"timeCon":296.0,"roaming":-1.0,"coverage":52.73,"capacity":-1.0,"throughput":100.0}]}}

URL /v1/ci/expmonitor/rate/basictable 表1 请求Query参数列表 名称 类型 是否必选 描述 param String 是 查询条件，param格式： { "regionType": "site", // 区域类型。包含site（站点）、region（区域）、building（楼宇）和floor（楼层），必填项。 "level": "0", // 左树级别。站点所在的级别，对应0-9级，必填项。 "tenantId": "default-organization-id", // 租户ID，必填项。 "startTime": "1597766400000", // 开始时间，必填项。 "id": "/", // 站点区域ID，“/”为根区域，必填项。 "endTime": "1597816800000" // 结束时间，必填项。 } 最小长度:1 最大长度:90000 表2 请求Header参数列表 名称 类型 是否必选 描述 X-Auth-Token String 是 认证Token，用于API的Token认证。 最小长度:0 最大长度:90000

请求示例 GET /v1/ci/expmonitor/rate/basictable?param={regionType:site,level:0,tenantId:default-organization-id,startTime:1597766400000,id:/,endTime:1597816800000} HTTP/1.1Host: example.comContent-Type: application/jsonAccept: application/jsonX-Auth-Token: MIIDwAYJKoZIhvcNAQcCoIIDsTCCA60CAQExDTALBglghkgBZQMEAgEwggIOBgkqhkiG9w0BBwGgggH--jxxA==

响应参数 返回状态码为 200: query Time Cost Cause Index 表3 响应Body参数列表 名称 类型 是否必选 描述 resultCode Integer 否 状态码。 缺省值:200 errorDes String 否 错误描述。 缺省值:Successful. errorReson String 否 错误原因。 缺省值:Successful. errorDetail String 否 错误详情。 缺省值:Successful. errorAdvice String 否 错误建议。 缺省值:Successful. data MonitorRateModel 否 无线健康度整体达标率数据集合。 表4 MonitorRateModel 名称 类型 是否必选 描述 totalRate Double 否 多维度总评分。 缺省值:0 values Array of RateValueModel 否 各指标达标率数据集合。 表5 RateValueModel 名称 类型 是否必选 描述 timestamp Long 否 时间戳。 缺省值:0 rate Double 否 当前达标率。 缺省值:-1 successCon Double 否 接入成功率。 缺省值:-1 timeCon Double 否 接入耗时。 缺省值:-1 roaming Double 否 漫游达标率。 缺省值:-1 coverage Double 否 信号与干扰。 缺省值:-1 capacity Double 否 容量健康度。 缺省值:-1 throughput Double 否 吞吐达标率。 缺省值:-1 表6 返回状态码 返回状态码 状态码说明 响应参数 400 参数错误 无 401 该用户未认证 无 403 URL鉴权失败 无 404 REST接口没找到 无 500 服务器内部错误 无 502 网关错误 无 503 服务不可用 无

网络信息规划 基于原始组网方案，实现AC和Fit AP云化管理，大幅降低网络部署和运维成本。 本案例中规划的参数值、设备上线方式等均为示例说明，仅供参考，具体项目中根据实际情况调整。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 租户 租户帐号名称：test@huawei.com 租户帐号密码：testUser@123 架构设计 网络拓扑 见图 WAC+Fit AP监控上云组网拓扑图示例 设备选型 WAC：AC6805 Fit AP：AirEngine5760-51 说明： 防火墙和交换机（非华为设备）不在华为乾坤云平台上纳管，保持原始设备款型和业务配置。 站点 站点名称：test_standalone_wac 站点类型：WAC/Fit AP 设备接口互联 见图 WAC+Fit AP监控上云组网拓扑图示例 设备上线设计 WAC注册上线方式 采用Web网管配置 华为乾坤云平台URL地址为device.qiankun-saas.huawei.com，端口号为10020 华为乾坤云管理网络监控服务器地址：139.9.137.139 华为乾坤云管理网络分析服务器地址：124.71.230.158 Fit AP注册上线方式 设备录入后，通过WAC自动上线 用户上线设计 用户接入 员工（本案例指教职工和学生，无线接入） 访客（无线接入） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，AC作为DHCP Server（网关） IP地址范围： 员工：10.1.2.0/24 访客：10.1.4.0/24 用户所属的VLAN 员工：VLAN 10 访客：VLAN 20 终端接入与认证方式 员工Wi-Fi：SSID名称为test-emp；Portal认证（用户名密码认证） 访客Wi-Fi：SSID名称为test-guest；Portal认证（短信认证） 用户业务设计 QoS 无线终端带宽限制：5Mbit/s

网络有线问题分析 Issues是基于设备上报的异常日志以及检测的KPI异常等原始异常信息，按照一定的规则识别出来。待处置列表展示当前所有未清除或者未确认状态的问题，不活跃列表展示当前所有已清除未确认或者未清除已确认状态的问题，已处置列表展示当前所有已清除且已确认的问题，可以查看问题详情，包括问题基本信息、问题影响范围等。 有线问题分析识别，对从设备实时采集的Syslog日志信息等统一转换为原始事件模型，并对原始事件进行分组、关联，利用AI+知识推理技术，完成故障问题的分析识别。 有线问题分析支持识别的问题如下： 问题大类 问题类别 问题名称 设备 状态类 设备接口板异常、设备接口板反复异常、设备主控板异常、设备主控板反复异常、设备交换网板异常、设备交换网板反复异常、设备风扇异常、设备电源异常、二层环路、疑似二层环路、CPCar丢包、堆叠双主故障、软硬件表项不一致、AP供电不足、框式集群分裂、单板运行温度异常 设备 容量类 转发平面CPU超阀值、转发表项超限告警、转发面表项内存申请失败、转发面BLOCK内存超阈值、转发面流表会话超阈值、交换机存储空间超门限、转发面SAC流表会话超阈值、转发面SPR流表会话超阈值、转发面IPS流表会话超阈值、转发面BUF数量低于阈值、SD-WAN EVPN链接数量达到阈值、交换机ACL资源超限、交换机三层资源超限、交换机MAC表项超限、交换机MPLS表项超限、交换机ACL资源超阈值、交换机组播资源超限、交换机ACL表项异常增长、交换机ARP表项异常增长、交换机FIB4表项异常增长、交换机FIB6表项异常增长、交换机IPMC_VLAN表项异常增长、交换机IPMC表项异常增长、交换机MAC表项异常增长、交换机ND表项异常增长、交换机NHP表项异常增长、双网关通道进入失效、BGP路由连接数量超阈值、EVPN隧道状态变化、IPv4路由整机前缀超阈值、IPv4公网路由前缀超阈值 设备 性能类 设备CPU超阈值、设备内存超阈值 网络 策略类 ARP-Request攻击、IGMP攻击、ICMP攻击、ARP-Miss攻击 网络 状态类 端口闪断、PoE供电故障、PoE供电反复故障、设备端口error-down 网络 性能类 端口拥塞、队列拥塞、端口误包数超过阈值、接口丢包数异常增长、接口单播包数异常增长、接口组播包数异常增长、接口广播包数异常增长、接口带宽占用率异常增长 网络 协议类 BGP Peer Down、BGP震荡、OSPF Peer Down、OSPF router id冲突、OSPF震荡、STP震荡 父主题： 网络环境监控

接入类问题 分析识别网络中出现的群体性接入问题（比如认证服务器配置问题导致批量用户认证失败，终端问题导致的个体接入失败不会在此呈现）。系统会依据历史大数据训练接入失败阈值基线，如果某时段内出现大量用户接入失败，超过阈值基线，则会上报群体接入故障问题。 接入类问题包括： 认证失败：快速发现AP设备的群体性认证失败问题，记录为认证失败问题。 认证超时：快速发现AP设备的群体性认证超时问题，记录为认证超时问题。 认证慢：快速发现AP设备的群体性认证慢问题，记录为认证慢问题。 关联失败：快速发现AP设备的群体性关联失败问题，记录为关联失败问题。 关联慢：快速发现AP设备的群体性关联慢问题，记录为关联慢问题。 DHCP失败：快速发现DHCP server的群体性DHCP失败问题，记录为DHCP失败问题。 DHCP慢：快速发现DHCP server的群体性DHCP慢问题，记录为DHCP慢问题。 用户网关不可达：AP周期Ping用户网关，识别用户网关不可达问题。 用户集体下线：识别网络状态变化导致用户集体下线的问题。

网络体验提升 通过网络体验提升可以查看如下信息： 网优建议 单击不同的场景卡片，查看该场景优化建议数量，并展示不同类型的优化建议数量。 网优场景列表 查看具体某个场景信息，包括健康度评分、同场景全网排名、待提升指标和网优建议数等信息。 单击“场景名称”列的场景名称，可查看网优场景详情，包括指标云分析、网优最佳实践云推荐等详细信息。 体验评估概览 查看所有场景健康度评分、场景总数、网优场景数和网优建议统计数量。 单击场景总数，用户可根据实际情况手动设置场景识别类型。 单击网优建议数，支持查看并导出网优建议。单击网优建议中的场景名称，可查看网优场景详情，包括指标云分析、网优最佳实践云推荐等详细信息。 父主题： 网络环境监控

空口性能类问题 分析识别无线空口侧的群体性性能问题（比如射频功率配置过小导致弱信号覆盖，邻居AP间信道冲突导致同频干扰严重等）。系统会依据用户关键KPI以及射频关键KPI的大数据分析，并结合专家经验，识别无线空口侧的群体性能问题。 空口性能类问题包括： 弱信号覆盖：快速发现存在批量用户信号弱并持续一段时间的覆盖类问题，记录为弱信号覆盖问题。 高干扰：快速发现同频干扰率高并持续一段时间的问题，记录为高干扰率问题。 高信道利用率：快速发现信道利用率高并持续一段时间的问题，记录为高信道利用率问题。 空口拥塞：快速发现拥塞数（记录AP未能及时发送至无线用户而缓存的数据包数）大于0并持续一段时间的问题，记录为空口拥塞问题。 非5G优先接入：快速发现AP设备双频终端（同时支持2.4G和5G）接入2.4G无线信号并持续一段时间的问题，记录为非5G优先接入问题。 终端容量：快速发现用户数高并持续一段时间的问题，记录为高终端容量问题。

配置说明 本案例中对无线终端部署了接入认证机制，以华为乾坤云平台作为认证服务器，随板AC作为认证控制点。 员工和访客无线终端需要进行Portal认证（用户名密码认证和短信认证），认证协议采用HACA协议。 认证控制点侧SSID业务配置要与认证服务器侧SSID业务配置对应，SSID名称保持一致。 表1 访客无线接入业务规划表 VAP模板 SSID模板 安全模板 认证模板 认证方式 area1-guest 业务VLAN ID：30 转发模式：隧道转发 SSID模板名称：guest SSID名称：test-guest guest 华为乾坤云平台配置下发 短信认证 表2 员工无线接入业务规划表 VAP模板 SSID模板 安全模板 认证模板 认证方式 area1-emp 业务VLAN ID：20 转发模式：隧道转发 SSID模板名称：emp SSID名称：test-emp emp 华为乾坤云平台配置下发 用户名密码认证

网络规划 本案例中规划的设备上线、用户接入等参数均为示例，仅供参考，请根据实际项目需求进行调整。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 MSP MSP帐号名称：huawei-partner@huawei.com MSP帐号密码：mspUser@123 架构规划 网络拓扑 见图 防火墙+交换机+中心AP+RU组网拓扑图示例 设备选型 防火墙：USG6355E 交换机：S5735-L24T4S-QA2 中心AP：AirEngine 9700D-M RU：AirEngine 5761-11WD 站点 站点名称：test_RU 站点类型：FW、LSW、云AP 设备接口互联 见图 防火墙+交换机+中心AP+RU组网拓扑图示例 设备上线规划 防火墙接入Internet的方式 采用Web网管配置 主用接口：GE0/0/1接口，PPPoE拨号 备用接口：GE0/0/2接口，PPPoE拨号 防火墙注册上线的方式 采用Web网管配置 华为乾坤云平台URL地址为：device.qiankun-saas.huawei.com，端口号为：10020 防火墙下挂的设备获取管理IP地址方式 IP地址获取方式：DHCP动态获取，防火墙作为DHCP Server IP地址范围：10.1.1.0/24 防火墙下挂的设备注册上线方式 DHCP Option148方式：在华为乾坤云平台上配置，配置对象是防火墙 NAT 在防火墙上开启NAT功能 用户上线规划 用户接入 病房终端（无线接入） 护士站PC（有线接入） 摄像头（有线接入） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，防火墙作为DHCP Server（网关） IP地址范围： 病房：10.3.0.0/22 护士站PC：10.2.2.0/24 摄像头：10.2.4.0/24 用户所属的VLAN 病房Wi-Fi：VLAN 10 护士站PC：VLAN 20 摄像监控：VLAN 30 终端接入与认证方式 病房Wi-Fi：无线子网名称test-wireless；PSK认证 护士站PC：有线子网名称test-wired-PC；不认证 摄像监控：有线子网名称test-wired-Camera；不认证 用户业务规划 QoS 无线终端限速：10Mbit/s 非法网站URL屏蔽

响应示例 HTTP/1.1 200 OKData:Tue,26 Jul 2022 17:31:54 GMTServer: example.comContent-Type: application/json {"resultCode":200,"errorDes":"Successful.","errorReson":"Successful.","errorDetail":"Successful.","errorAdvice":"Successful.","data":{"weightMap":"{ "weightaccessRatio":30, "weightroam":15, "weightcapacity":15, "weighttimeCost":15, "weightcoverage":10, "weightthroughput":15}","rankflag":"global","regionMap":[{"region_id":"0504e02f-3037-44f3-8935-e2bbcd58083e","region_name":"string","value":66.2}]}}

请求示例 GET /v1/ci/expmonitor/rank/basictable?param={regionType:site,level:0,tenantId:default-organization-id,startTime:1597766400000,id:/,endTime:1597816800000} HTTP/1.1Host: example.comContent-Type: application/jsonAccept: application/jsonX-Auth-Token: MIIDwAYJKoZIhvcNAQcCoIIDsTCCA60CAQExDTALBglghkgBZQMEAgEwggIOBgkqhkiG9w0BBwGgggH--jxxA==

URL /v1/ci/expmonitor/rank/basictable 表1 请求Query参数列表 名称 类型 是否必选 描述 param String 是 查询条件，param格式： { "regionType": "site", // 区域类型。包含site（站点）、region（区域）、building（楼宇）和floor（楼层），必填项。 "level": "0", // 左树级别。站点所在的级别，对应0-9级，必填项。 "tenantId": "default-organization-id", // 租户ID，必填项。 "startTime": "1597766400000", // 开始时间，必填项。 "id": "/", // 站点区域ID，“/”为根区域，必填项。 "endTime": "1597816800000" // 结束时间，必填项。 } 最小长度:1 最大长度:90000 表2 请求Header参数列表 名称 类型 是否必选 描述 X-Auth-Token String 是 认证Token，用于API的Token认证。 最小长度:0 最大长度:90000

响应参数 返回状态码为 200: query Time Cost Cause Index 表3 响应Body参数列表 名称 类型 是否必选 描述 resultCode Integer 否 状态码。 缺省值:200 errorDes String 否 错误描述。 缺省值:Successful. errorReson String 否 错误原因。 缺省值:Successful. errorDetail String 否 错误详情。 缺省值:Successful. errorAdvice String 否 错误建议。 缺省值:Successful. data MonitorRankModel 否 无线健康度区域达标率排名数据集合。 表4 MonitorRankModel 名称 类型 是否必选 描述 weightMap Object 否 权重值集合： - weightaccessRatio：接入成功率 - weightroam：漫游达标率 - weightcapacity：容量健康度 - weighttimeCost：接入耗时 - weightcoverage：信号与干扰 - weightthroughput：吞吐达标率 rankflag String 否 区域范围。 regionMap Array of RegionValueModel 否 区域维度排名数据集合。 表5 RegionValueModel 名称 类型 是否必选 描述 region_id String 否 区域ID。 最小长度:0 最大长度:64 region_name String 否 区域名。 最小长度:0 最大长度:64 value Double 否 无线健康度区域达标率排名值。 表6 返回状态码 返回状态码 状态码说明 响应参数 400 参数错误 无 401 该用户未认证 无 403 URL鉴权失败 无 404 REST接口没找到 无 500 服务器内部错误 无 502 网关错误 无 503 服务不可用 无

配置AP上线（安卓版） 注册并登录APP。打开APP点击“登录/注册”，输入手机号和验证码，首次登录会自动注册华为乾坤帐号。 如果已有华为乾坤帐号，无需再次注册，输入用户名和密码，签署用户协议和隐私政策即可。 如果提示发现新版本，请升级到最新版本，避免功能无法使用。 站点添加设备。 参照下图指引，扫码录入设备信息。 如果站点已有设备，点击页面右上角“+”，选择“扫码添加设备”录入新设备信息。 如果扫码无法成功，可以点击“手动输入”方式录入设备信息。 支持多次录入设备信息，当不再添加设备，点击“结束扫描”，检查设备列表无误后，点击“下一步”。 选择站点。 首次登录华为乾坤APP，系统默认创建“我的网络”站点。 如需自定义站点，点击页面左上角“+”，选择“创建站点”输入站点名称点击“完成”。 设备上线。确保设备已连网、连线和上电，然后等待3~5分钟。 配置Wi-Fi。设备上线后，首页会弹出“Wi-Fi设置”提示框，参照下图指引完成配置。 验收上线结果。 方式1：参照下图指引，检查目标设备状态是否在线。 方式2：手机连接配置的Wi-Fi，参照下图指引对Wi-Fi测速，确保无线网络畅通。

VPN监控页面介绍 表1 VPN监控页面介绍 模块名 模块说明 VPN连接状态统计 显示各个连接状态下VPN数。状态说明如下： 已连接：设备在线并且VPN连接正常。 未连接：设备在线但VPN无流量。 脱管：设备离线。 协商失败：设备在线但VPN连接协商失败。 部分连接：设备在线但只有部分子链路连接成功，如VPN上行链路连接正常，下行链路连接失败。 VPN丢包率占比统计 显示了VPN丢包率占比。VPN的丢包率低于5%时为正常，VPN的丢包率高于5%、低于30%时为告警，VPN的丢包率高于30%时为故障。 仅在智能选路场景下有统计数据。 VPN时延占比统计 显示VPN时延占比。VPN时延低于100ms时为正常，VPN时延高于100ms、低于500ms时为告警，VPN时延高于500ms时为故障。 仅在智能选路场景下有统计数据。 VPN隧道信息 列表展示了VPN隧道IP、站点、丢包率、时延、同步状态等信息，支持VPN快速搜索、同步操作。 搜索：单击列表左上角“高级搜索”，支持按VPN状态、同步状态、本端站点、本端隧道IP、对端站点和对端隧道IP进行隧道信息过滤。 说明： VPN设备IP地址变更之后，旧的VPN信息不会立即删除，在列表中显示为“未连接”状态。 对于防火墙和AR设备，只有设备重新上线或者单击操作列的“同步”之后，旧的VPN信息方可在列表删除。 对于AP设备，只有设备重新上线之后，旧的VPN信息方可删除。 同步：只能同步已发现的IPsec VPN状态信息。 选择需要同步的IPsec VPN，单击“同步”。 单击“一键同步”，同步所有IPsec VPN状态信息。

背景信息 随着分支办公、分支连锁场景越来越多，分支网络不仅要访问Internet，还要访问总部/数据中心（DC）、甚至其它分支机构。此类场景我们统称为多园区/分支互联场景，需要部署出口互联的园区网络。传统分支接入总部网络一般采用“专线”方式，其成本高、部署效率低，显然无法满足企业发展诉求。当前，企业分支可以选择通过Internet接入总部网络，同时为保证网络互联安全性和可靠性，可以部署IPsec VPN或SD-WAN方案。 本章主要介绍了IPsec VPN互联方案，配置流程如表 互联配置流程所示。IPsec VPN属于一种静态的VPN，通过在站点之间建立IPsec隧道来创建VPN通道，根据配置静态网段引流到VPN隧道中，实现站点间的业务通过VPN隧道进行访问。 如果有以下场景诉求，建议选择IPsec VPN方案： 金融、物流、办公门店等只考虑用FW做出口网关场景。 Hub节点为第三方VPN网关。 表1 互联配置流程 配置步骤 配置指引 1. 部署分支网络 单站点内网络部署流程如表 网络部署操作指引所示，包括站点创建、设备添加、网络业务配置、设备上线、配置下发等，不再赘述。 2. 配置分支互联 配置站点间VPN，具体操作参见VPN配置和VPN监控。

逻辑架构 图1 IPsec VPN架构图 服务架构如图 IPsec VPN架构图所示，主要包括管理/控制层和网络层。每层具备明确的核心组件并承担不同的功能。 第三方BSS/OSS 华为乾坤开放了北向API接口，可以纳入到现有的BSS/OSS等第三方业务编排系统，实现广域网络的灵活集成和定制。 管理/控制层 IPsec VPN互联方案的网络编排，主要涉及华为乾坤云平台，通过云平台对站点间VPN的模型进行编排、业务发放。 华为乾坤云平台是管理/控制层的核心，主要包含网络业务编排、网元控制、基础网络运维、基础性能监控（提供链路质量信息、应用质量信息、流量信息，并提供站点、站点间等多维度的统计呈现）等功能。 网络层 网络层主要由物理设备组成，是企业WAN的基础物理组网。用户可以根据实际诉求选择合适的出口设备，当前IPsec VPN方案支持的网关设备如下： AR：主要做中小分支的出口设备，通过简单的IPsec VPN进行站点间通信。 防火墙：主要适用于金融、物流、办公等高安全场景，采用防火墙做出口设备，可以做分支或总部的出口设备。 第三方VPN网关：多分支场景，总部网络一般已部署（已存在第三方VPN网关设备），此时分支设备需要和第三方VPN网关对接，只能通过IPsec VPN与第三方VPN网关对接。

典型组网 IPsec VPN 单Hub组网 组网方案简介： 分支通过单条或者多条出口链路和单总部/DC互联，即单Hub节点互联。分支出口网关设备可以为云AR、 云防火墙 或者第三方VPN网关设备；总部网关设备可以为云防火墙，也可以为本地管理的防火墙（传统模式）或者第三方VPN网关设备。 图4 多分支、单总部/数据中心（单Hub节点）互联组网示意 适用场景： 海量小分支需要和总部/DC通信，只有一个总部/DC，或者对外仅体现一个公网地址，分支可以单条或者多条出口链路。 方案关键点： 分支间、分支和总部间的网段不能有重叠。 总部Hub节点为第三方VPN网关时，需要支持标准的IPsec对接，同时根据第三方VPN网关的能力做对应的站点规模的规划。 IPsec VPN方案中AR设备不支持作为总部Hub节点，只能用防火墙。针对防火墙设备，总部安全需求、策略比较复杂，建议采用传统模式。 AR仅支持Hub-spoke模型。当开启“智能选路”功能后，AR不能作为分支出口网关设备。 IPsec VPN 多Hub组网 组网方案简介： IPsec VPN 多Hub节点组网前提是开启“智能选路”功能，分支通过多条上行链路（多条有线链路、或者有线+LTE无线链路）出口和多总部/DC互联，或者一个总部多个对外出口，即多Hub节点互联。分支出口网关设备是云防火墙；总部网关设备可以为本地管理的防火墙（传统模式）或者第三方VPN网关设备。 图5 分支多链路、多总部/数据中心（多Hub节点）互联组网示意 适用场景： 海量小分支需要和多总部/DC通信，分支需要访问总部业务，通过多个总部/DC出口接入或者通过多个中心机房接入企业DC，两个中心站点内部需要提供相同的业务，为考虑可靠性，一般要求分支部署多条上行链路，可以为两条有线链路，或者一条有线线路（作为主用线路）和一条无线线路（作为备用线路）。 方案关键点： 分支多条链路上行时，通过开局配置的方式线下配置出口链路参数。分支站点推荐配置两条出口线路，可以两条有线线路，或者一条主用的有线线路和一条备份的LTE无线线路。 Hub节点可以为多个总部/DC；或者一个总部/DC有多个公网IP地址，在互联模型上，实际可以当做多个Hub点来链接。 多个Hub点的子网网段必须相同（防火墙同一时刻只会选择一个Hub建立通道，所以必须保证Hub内的业务相同，否则连接不同的Hub点，业务范围就会有差异）。 Hub节点的主备顺序，需要根据对应DC站点的实际顺序定义，同时需要先开通到主Hub节点的链路，保证Spoke站点可以先链接到主Hub节点。

背景信息 WLAN技术以射频信号（例如频率为2.4GHz或5GHz的无线电磁波）作为传输介质。为了避免信号干扰，相邻AR必须使用非重叠信道传输无线信号。通过调整信道和功率，可以使各AR的信道和功率保持相对平衡，保证AR工作在最佳状态。 在不同的国家和地区，法律法规为无线通信规定了不同的工作信道和功率，使用AR部署无线网络时，射频参数必须符合当地法律法规。在华为技术支持网站搜索并下载“国家码&信道顺从表”，可以查看具体约束信息。 企业用户技术支持网站：https://support.huawei.com/enterprise 运营商用户技术支持网站：https://support.huawei.com 当站点类型包含AR设备但不含AP设备时，如需配置Wi-Fi业务（SSID和射频），只能在AR设备进行无线配置。

背景信息 SSID是终端用户无线接入网络时看到的网络名称，每个SSID可以指定一种认证方式，从而实现对无线接入的终端用户准入控制。 每个SSID只能指定一种认证方式，终端用户接入网络时选择的无线网络就决定了所采用的认证方式。但一个AR允许部署多个SSID，比如员工和访客分别使用不同的SSID接入，可以采用不同的认证方式。 当站点类型包含AR设备但不含AP设备时，如需配置Wi-Fi业务（SSID和射频），只能在AR设备进行无线配置。

后续操作 设置规则优先级：单击规则列表中“优先级”列中设置优先级，优先级设置不可重复。 搜索规则：在搜索框输入名称，单击按钮或回车键进行搜索。 查看详情：单击规则列表中查看规则详情。 修改规则信息：单击规则列表中修改规则信息，包括名称、认证方式、认证页面和匹配条件等信息。 删除规则： 单个删除：选择需要删除的页面规则，单击规则列表中删除规则。 批量删除：选择需要删除的页面规则，单击规则规则列表右上方“删除”。

网络信息规划 本案例中规划的网络数据、业务数据等均为示例，仅供参考，请根据实际项目要求调整参数值。 表1 网络信息规划表 设计项 设计要点 设计内容 管理员设计 MSP MSP帐号名称：huawei-partner@huawei.com MSP帐号密码：mspUser@123 架构设计 网络拓扑 见图 单AP组网拓扑图示例 设备选型 AP：AirEngine6760-X1 站点 站点名称：test_ap 站点类型：云AP 设备接口互联 AP连接运营商网络接口：GE0/0/0 设备上线设计 AP接入Internet方式 DHCP方式 AP注册上线方式 采用华为乾坤APP扫码添加设备 AP自动通过注册查询中心上线 用户上线设计 用户接入 员工（无线接入） 访客（无线接入） 用户终端的IP地址 IP地址获取方式：DHCP动态获取，AP作为DHCP Server IP地址范围：10.1.1.0/24 用户所属的VLAN VLAN 3911 终端接入与认证方式 员工Wi-Fi：SSID名称为test-emp；PSK认证 访客Wi-Fi：SSID名称为test-guest；Portal认证（微信链接认证） 用户业务设计 QoS 单个员工终端带宽限制：5Mbit/s 单个访客终端带宽限制：5Mbit/s

选路策略 选路策略配置主要包含以下部分： 流分类配置 流量分类配置支持基于源IP、目的IP、协议、源端口、目的端口、DSCP标志、应用组等参数配置，当前是基于模板方式配置。 切换条件配置 切换条件包括：时延，抖动和丢包三个指标，其中一个指标不满足就会进行切换。支持按流量带宽进行选路控制，可保证高优先级应用不受低优先级应用的影响。 主备传输网络配置 主备传输网络基于传输网络进行选择，主备传输网络分别可以同时选择多个传输网络，可配置链路的优先级。当主传输网络存在多个传输网络时，所有传输网络对应的物理链路上承载的Overlay隧道链路质量都满足要求的情况下，优先从高优先级链路选择，当所有主传输网络的隧道不满足要求，则切换到备传输网络的隧道进行按优先级选择传输。

安全策略 URL过滤 支持配置URL过滤策略并下发到CPE设备，通过对用户访问的统一资源定位符URL（Uniform Resource Locator）进行控制，允许或禁止用户访问某些网页资源，达到规范上网行为的目的。可根据系统预置的URL分类控制企业用户禁止或允许访问哪些类别的URL，同时对这些预定义的URL指定控制动作级别。 防火墙（Firewall） 防火墙是一种隔离技术，使内网和外网分开，可以防止外部网络用户以非法手段通过外部网络进入内部网络，保护内网免受外部非法用户的侵入。防火墙策略只在选中站点的域间生效，例如在trust域与untrust域之间生效。 IPS&AV安全策略 通过预置的IPS与病毒特征库，将报文的特征与特征库中的特征进行对比，如果匹配则采取相应的防御措施。从而对企业用户访问Internet的业务进行安全防护，阻断来自Internet的各种入侵行为，有效地保护网络安全。