在线终端数量	Windows DHCP Server硬件资源
<4万	· CPU：16核，2.0GHz · 内存：32GB · 硬盘：2* 300GB RAID1 · RAID卡：256MB Cache
4万~6万	· CPU：24核，2.0GHz · 内存：64GB · 硬盘：2* 500GB RAID1 · RAID卡：1GB Cache
6万~10万	· CPU：24核，2.0GHz · 内存：64GB · 硬盘：2* 500GB RAID1 · RAID卡：1GB Cache

(6) CAMPUS:E6701~E6703P01&网管:E0711H04/E0713及之后版本，若Campus纳管的设备（Core、Distribution、Access、Bras）设备控制协议模板中SNMP版本使用V2，设备不会下发snmpv2 trap命令，请手动下发snmpv2 trap命令。若设备控制协议模板中SNMP版本使用V3 ，请手动下发snmpv3 trap命令。

¡ snmpv2 trap配置如下（xx.xx.xx.xx是北向IP，public是控制协议模板中的只读团体字）：

snmp-agent target-host trap address udp-domain xx.xx.xx.xx params securityname public v2c

¡ snmpv3 trap配置如下（xx.xx.xx.xx指北向IP，wk3为控制协议模板中配置的SNMP协议V3版本用户名）：

- 认证模式可选择：（1）不认证（2）MD5（3）SHA

- 加密模式可选择：（1）不加密（2）DES56（3）AES128（4）AES192（5）AES256

认证模式：不认证，加密模式：不加密：

snmp-agent target-host trap address udp-domain xx.xx.xx.xx params securityname wk3 v3

认证模式：MD5或SHA，加密模式：不加密

snmp-agent target-host trap address udp-domain xx.xx.xx.xx params securityname wk3 v3 authentication

认证模式：MD5或SHA，加密模式：DES56、AES128、AES192、AES256任意一种

snmp-agent target-host trap address udp-domain xx.xx.xx.xx params securityname wk3 v3 privacy

(7) M-LAG组网下，需先配置M-LAG相关业务后，再使用业务网络功能。

(8) 业务网络编排方式为QinQ时，只支持在Distribution角色设备上下发QinQ配置。

(9) BRAS大二层组网的Distribution下行口配置了QinQ编排，自动化拓扑页面的局部变更不支持对该下行口和直连Access的互联口之间仅一端换口。

2 传统网BRAS大二层简介

本文主要用于AD-Campus 6.5传统网BRAS大二层方案的基础部署配置。包括：Underlay手动配置、物理设备手动纳管、SeerEngine-Campus控制组件的基础业务配置和用户业务配置，以及无线管理通道的建立。

AD-Campus 6.5传统网BRAS大二层方案基于user-group来定义用户权限，用户在不同的user-group下上线，获取不同的user-group权限，控制组件通过对user-group之间进行策略编排，继而控制用户行为。BRAS大二层方案实现用户与用户组关联，解耦用户与IP地址段的关联关系。

2.1 单Fabric组网模型

AD-Campus园区网方案支持的组网模型：双Core组网以及IRF组网。双Core组网是指两台Core设备之间组成M-LAG系统，上行通过M-LAG接口接入上行交换机，实现设备的冗余保护和流量负载分担。IRF组网则是指将两台设备虚拟化成一台设备，实现多台设备的协同工作、统一管理和不间断维护。这两种模型下根据设备架构又可以分为三层架构组网模型以及单汇聚组网模型。

· 三层架构组网模型：指Core->Distribution->Access三级设备的组网，是园区网中的典型组网。其中，Core和Distribution支持单台、堆叠、M-LAG方式，Access支持单台、堆叠方式，并且支持多级级联。

· 单汇聚组网模型：指Distribution->Access连接的组网，没有Core设备，主要应用于一些小型网络。其中，Distribution可为单台、堆叠，也可作M-LAG（双Distribution组网模型），Access支持单台、堆叠以及多级级联。

2.1.1 双Core/双Distribution组网

1. 三层架构组网模型

图2-1 三层组网模型示意图

· 三层架构组网模型包括Core、Distribution、Access三层设备，是AD-Campus园区网方案的典型组网。

· 两台Core设备必须组成M-LAG，使用M-LAG接口与AC设备、上行L3交换机等通信，同时，也使用M-LAG接口与下行Distribution设备互联。

· BRAS设备作为用户网关及策略执行点。

· Distribution设备，也可组成M-LAG，若组成M-LAG，则也通过M-LAG接口与上行Core设备互联。

· Access设备作为接入设备，用于连接AP、终端设备，Access设备可支持多级Access的级联。

2. 单汇聚组网(双Distribution)模型

图2-2 单汇聚组网（双Distribution）模型示意图

· 单汇聚组网模型，没有Core设备，Distribution设备下连接多台Access设备。网络部署非常简单，主要应用于小型网络。

· BRAS设备作为用户网关及策略执行点。

· 双Distribution必须配置M-LAG，使用M-LAG接口与AC设备、上行L3交换机等通信。

· Distribution设备，用于二层转发用户报文。

· Access设备作为接入设备，用于连接AP、终端设备，Access设备可支持多级Access的级联。

2.1.2 IRF组网

1. 三层架构组网模型

图2-3 三层组网模型示意图

· 三层架构组网模型包括Core、Distribution、Access三层设备，是AD-Campus园区网方案的典型组网。

· BRAS设备作为用户网关，同时作为策略执行点。

· Core设备支持单机或堆叠，用于连接不同Distribution设备，同时进行二层转发用户报文。

· Distribution设备支持单机或堆叠，进行二层转发用户报文。

· Access设备支持单机或堆叠，作为接入设备，用于连接AP、终端设备，Access设备支持多级Access的级联。

2. 单汇聚组网模型

图2-4 单汇聚组网模型示意图

· 单汇聚组网模型，没有Core设备，Distribution设备下连接多台Access设备。网络部署非常简单，主要应用于小型网络。

· BRAS设备作为用户网关及策略执行点。

· Distribution设备支持单机或堆叠，用于二层转发用户报文。

· Access设备支持单机或堆叠，作为接入设备，用于连接AP、终端设备，Access设备支持多级Access的级联。

2.1.3 BRAS设备接入方式

前面介绍的组网模型中，服务器与各角色的设备均通过一台三层交换机互联，即服务器连接三层交换机，三层交换机去连接Core等设备，BRAS设备通过旁挂在Core设备接入组网。

以上任何一种组网模型上也支持顶层设备（三层组网中的Core、单汇聚组网中的Distribution）直连BRAS设备，BRAS设备通过一台三层交换机去连接服务器，以三层组网为例，则模型如下：

图2-5 传统网BRAS大二层BRAS设备作为中间设备

组网说明：

· 顶层设备Core直连BRAS设备，BRAS上方再通过一台三层交换机进行连接服务器。

· BRAS与三层交换机之间三层互联。

2.1.4 AC设备接入方式

前面介绍的组网模型中，AC设备均通过顶层设备（三层组网中的Core、单汇聚组网中的Distribution）接入组网；AC设备也可通过BRAS设备接入组网，以三层组网为例，模型如下：

图2-6 传统网BRAS大二层AC设备旁挂BRAS

组网说明：

· 顶层设备Core直连BRAS设备，BRAS上方再通过一台三层交换机进行连接服务器。

· 多个园区或Fabric可共用该AC设备。

· BRAS与三层交换机之间三层互联。

· 后续AC、AP之间的管理网业务中，AP的网关放在Core设备上，AC设备的网关放在BRAS设备上，AC到Core之间的路由需手动配置打通。

2.2 组网说明

(1) AD-Campus组网中，SeerEngine-Campus、DHCP服务器和网络设备使用三层互联。顶层设备（三层组网中的Core角色设备以及单汇聚组网中的Distribution设备）与上行三层交换机之间连接的上行链路都只需要一条逻辑链路（单台顶层设备场景下为单物理链路，IRF或M-LAG场景下为聚合链路）；

(2) 特别注意，Core设备与Distribution设备之间连接的链路为二层互联链路，多链路场景下为聚合互联；

(3) Access设备作为二层接入设备，主要用于连接终端设备。Access设备之间支持级联，最多支持三级级联；

(4) AC设备旁挂在顶层设备（三层组网中的Core，单汇聚组网中的Distribution）、BRAS设备上；

(5) 用户一般连接Access设备，用户网关在BRAS设备上，Access、Distribution、Core设备对用户报文进行VLAN或QinQ处理；

2.3 业务流程说明

AD-Campus 6.5园区网解决方案，需要进行Underlay配置、设备纳管和用户业务配置。

· Underlay配置为控制组件纳管设备之前的基础配置，主要是设备之间的物理连接相关的配置，通过设备自动化上线或者手动配置；

· 用户业务相关配置，包括用户业务网络、用户组的创建，以及组间策略等的配置；

SeerEngine-Campus支持单机部署和集群部署，具体参考《AD-Campus 6.5统一数字底盘及组件部署指导》。

图2-7 配置流程

3 配套软件及设备型号

3.1 配套应用

表3-1 配套应用

产品	名称	功能说明	说明
统一数字底盘（E0711）	GlusterFS	提供产品内本地共享存储功能	必选
	Portal	门户、统一认证、用户管理、服务网关、帮助中心	必选
	Kernel	权限、资源身份、License、配置中心、资源组、日志服务	必选
	Kernel-base	告警、访问参数模板、监控模板、报表、邮件短信转发服务	必选
	Network	基础网管（网络资源、网络性能、网络拓扑、iCC）	必选
	Dashboard	提供大屏框架	必选
	Widget	提供平台大屏功能	必选
	Websocket	提供传统设备自动化、新自动化功能	必选
	oneclickcheck	提供一键巡检功能	必选
	Syslog	Syslog相关功能，日志中心	可选
	Netconf	提供YANG能力集	可选
统一数字底盘（E0714）+基础网络管理	UDTP_Middle	中间件镜像库	必选
	UDTP_GlusterFS	提供产品内本地共享存储功能	必选
	UDTP_Core	门户、统一认证、用户管理、服务网关、帮助中心、权限、资源身份、License、配置中心、资源组、日志服务	必选
	UDTP_IMonitor	提供自监控服务	必选
	BMP_Report	提供报表服务	必选
	BMP_QuickReport	提供快速报表服务	必选
	BMP_Alarm	提供告警服务	必选
	BMP_Dashboard	提供大屏框架	必选
	BMP_Widget	提供平台大屏Widget	必选
	BMP_OneClickCheck	提供一键巡检功能	必选
	BMP_Subscription	提供订阅服务	必选
	BMP_Template	访问参数模板、监控模板	必选
	BMP_WebSocket	南向Websocket功能，实现新自动化	必选
	NSM_FCAPS-Res	网络设备的发现、纳管和基本信息管理	必选
	NSM_FCAPS-Perf	网络设备性能监控和展示	必选
	NSM_FCAPS-ICC	网络设备配置和软件部署、配置备份、配置审计	必选
	NSM_FCAPS-Topo	自定义拓扑、IP拓扑	必选
	NSM_FCAPS-Asset	网管资产管理	必选
园区场景所需的业务组件	SeerEngine-Campus	园区网管理园区控制组件—园区基础业务配置	必选
	vDHCP	DHCP服务器—自动化上线设备地址及终端用户地址分配	必选
	EIA	终端智能接入—用户认证业务配置	必选
	WSM	无线管理平台—提供无线接入网络服务	可选
	EAD	终端准入控制平台—控制终端受限接入	可选
	EPS	端点探测系统—主动识别终端、终端接入检测	可选
	SeerAnalyzer	先知分析器—网络数据采集、分析	可选
	SMP	提供防火墙管理功能	可选
支持紧耦合的DHCP服务器	vDHCP Server	H3C自研DHCP Server	必选
支持紧耦合的DHCP服务器	微软DHCP Server	支持紧耦合、松耦合	/
产品	名称	功能说明	说明
统一数字底盘（E0711）	GlusterFS	提供产品内本地共享存储功能	必选
	Portal	门户、统一认证、用户管理、服务网关、帮助中心	必选
	Kernel	权限、资源身份、License、配置中心、资源组、日志服务	必选
	Kernel-base	告警、访问参数模板、监控模板、报表、邮件短信转发服务	必选
	Network	基础网管（网络资源、网络性能、网络拓扑、iCC）	必选
	Dashboard	提供大屏框架	必选
	Widget	提供平台大屏功能	必选
	Websocket	提供传统设备自动化、新自动化功能	必选
	oneclickcheck	提供一键巡检功能	必选
	Syslog	Syslog相关功能，日志中心	可选
	Netconf	提供YANG能力集	可选
统一数字底盘（E0714）+基础网络管理	UDTP_Middle	中间件镜像库	必选
	UDTP_GlusterFS	提供产品内本地共享存储功能	必选
	UDTP_Core	门户、统一认证、用户管理、服务网关、帮助中心、权限、资源身份、License、配置中心、资源组、日志服务	必选
	UDTP_IMonitor	提供自监控服务	必选
	BMP_Report	提供报表服务	必选
	BMP_QuickReport	提供快速报表服务	必选
	BMP_Alarm	提供告警服务	必选
	BMP_Dashboard	提供大屏框架	必选
	BMP_Widget	提供平台大屏Widget	必选
	BMP_OneClickCheck	提供一键巡检功能	必选
	BMP_Subscription	提供订阅服务	必选
	BMP_Template	访问参数模板、监控模板	必选
	BMP_WebSocket	南向Websocket功能，实现新自动化	必选
	NSM_FCAPS-Res	网络设备的发现、纳管和基本信息管理	必选
	NSM_FCAPS-Perf	网络设备性能监控和展示	必选
	NSM_FCAPS-ICC	网络设备配置和软件部署、配置备份、配置审计	必选
	NSM_FCAPS-Topo	自定义拓扑、IP拓扑	必选
	NSM_FCAPS-Asset	网管资产管理	必选
园区场景所需的业务组件	SeerEngine-Campus	园区网管理园区控制组件—园区基础业务配置	必选
	vDHCP	DHCP服务器—自动化上线设备地址及终端用户地址分配	必选
	EIA	终端智能接入—用户认证业务配置	必选
	WSM	无线管理平台—提供无线接入网络服务	可选
	EAD	终端准入控制平台—控制终端受限接入	可选
	EPS	端点探测系统—主动识别终端、终端接入检测	可选
	SeerAnalyzer	先知分析器—网络数据采集、分析	可选
	SMP	提供防火墙管理功能	可选
支持紧耦合的DHCP服务器	vDHCP Server	H3C自研DHCP Server	必选
支持紧耦合的DHCP服务器	微软DHCP Server	支持紧耦合、松耦合	/

3.2 设备型号及角色

当前设备无Core、Distribution角色，设备支持的角色Core可以参考Spine设备，Distribution可以参考Leaf设备。

表3-2 支持的设备型号及角色

设备型号	默认角色	支持的非默认角色
S12500G-AF（T系列）	Spine	Leaf/Access/Aggr
S12500G-AF（S系列，信创款型）	Spine	Leaf/Access/Aggr
H3C S12500G-EF系列交换机（信创款型）	Spine	Leaf/Access/Aggr
S12600-G（信创款型）	Spine	Leaf/Access/Aggr
S10500X-G（信创款型）	Spine	Leaf/Access/Aggr
S10600X-G（信创款型）	Spine	Leaf/Access/Aggr
S10500X	Leaf	Spine/Access/Aggr
S7500X	Leaf	Spine/Access/Aggr
S7500X-G（信创款型）	Leaf	Spine/Access/Aggr
S8600X-G（信创款型）	Leaf	Spine/Access/Aggr
S9800-G（信创款型） S6800-G（信创款型）	Leaf	Spine/Access/Aggr
S9600XP-G（信创款型） S7800XP-G（信创款型）	Leaf	Spine/Access/Aggr
S6800-G（信创款型） S9800-G（信创款型）	Leaf	Spine/Access/Aggr
S6530X	Leaf	Spine/Access/Aggr
S6550XE-HI S6525XE-HI	Leaf	Access/Aggr
S6520X-HI	Leaf	Access/Aggr
S5560X-HI	Leaf	Access/Aggr
S6520X-EI（不支持微分段）	Leaf	Access/Aggr
S5560X-EI（不支持微分段）	Leaf	Access/Aggr
S5590-HI（信创款型） S5590-EI（信创款型）	Leaf	Access/Aggr
S5590XP-G（信创款型）	Leaf	Access/Aggr
S5800X-G（信创款型） S5800XP-G（信创款型）	Leaf	Access/Aggr
FS5500	Leaf	Access
FS5300	Access	无
S6520X-SI（含S6520X-MC-SI）	Access	无
S5170-EI	Access	无
S5570S-EI	Access	无
S5130S-EI S5130S-HI	Access	无
S5130S-HI-G（信创款型） S5130S-EI-G（信创款型）	Access	无
S5560-G（信创款型）	Access	无
S5600-G（信创款型）	Access	无
S6520X-G（信创款型）	Access	无
S6600X-G（信创款型）	Access	无
S5200-HI-G S5200-EI-G	Access	无

4 资源&IP地址规划

4.1 服务器资源规划

服务器与设备之间连接的中间交换机称为L3交换机。无论设备是自动化部署还是手动配置纳管，中间连接的L3交换机上都需要进行手动配置，保证设备和园区控制组件之间的连通。

配置之前需先规划好网络，SeerEngine-Campus园区控制组件和统一数字底盘可以共用一张网卡，也可以分别使用不同网卡。

建议统一数字底盘与VLAN 1以及VLAN 4094业务使用不同网段IP。

1. 以三层组网为例

SeerEngine-Campus园区控制组件和统一数字底盘共用网卡

SeerEngine-Campus园区控制组件和统一数字底盘可以共用一张网卡，此时统一数字底盘、SeerEngine-Campus、vDHCP使用相同网段的IP地址。

图4-1 SeerEngine-Campus园区控制组件和统一数字底盘共用网卡

表4-1 组网IP列表

规划项	数据示例	说明
VLAN 1 网段（网关）	120.1.0.0/24(120.1.0.1)	VLAN 1的网络，用于自动化上线，以及园区控制组件和设备通信
VLAN 4094网段（网关）	130.1.0.0/24(130.1.0.1)	VLAN 4094的网络，用于园区控制组件和Access设备通信
VLAN 77网段（网关）	192.169.0.0/16(192.169.228.220)	统一数字底盘&SeerEngine-Campus&vDHCP使用的网段
统一数字底盘北向业务IP	192.169.228.215	登录统一数字底盘的地址
SeerEngine-Campus集群IP	192.169.228.210	SeerEngine-Campus的集群地址
SeerEngine-Campus节点IP	Node1：192.169.228.211 Node2：192.169.228.212 Node3：192.169.228.213	SeerEngine-Campus集群包含的三个节点地址
vDHCP集群IP	192.169.228.117	vDHCP服务器的集群地址，实际不使用
vDHCP节点IP	Node1：192.169.228.118 Node2：192.169.228.119	vDHCP服务器使用的两个节点地址
微软DHCP的IP	192.169.228.20	微软DHCP服务器使用地址

SeerEngine-Campus园区控制组件和统一数字底盘分别使用网卡

SeerEngine-Campus园区控制组件和统一数字底盘可以使用不同网卡，使用2个网段的IP地址，此时统一数字底盘集群使用一个网段，SeerEngine-Campus、vDHCP使用另一个网段。

根据BRAS设备的接入方式，又可分为两种组网方式：BRAS旁挂Core设备、BRAS连接在Core与L3交换机之间，进行分别介绍：

推荐使用BRAS设备旁挂Core设备的方式。

BRAS旁挂Core组网。

图4-2 SeerEngine-Campus园区控制组件和统一数字底盘使用不同网卡（BRAS旁挂Core）

其中BRAS设备旁挂在Core设备上为例，接入组网的方式可参考AC设备，需注意BRAS设备的纳管，BRAS设备在控制组件上的管理IP直接启用在与Fabric互联的物理接口或三层聚合口上即可。

表4-2 组网IP列表

规划项	数据示例	说明
VLAN 1 网段（网关）	4.4.9.0/24(4.4.9.1)	VLAN 1的网络，启用在L3-Switch设备的int vlan1虚接口上，用于自动化上线以及园区控制组件和设备通信
VLAN 4094网段（网关）	4.4.8.0/24(4.4.8.1)	VLAN 4094的网络，启用在L3-Switch设备的int vlan4094虚接口上，用于园区控制组件和Access设备通信
VLAN 88网段（网关）	192.169.0.0/16(192.169.231.253)	统一数字底盘使用的网段，用于设备的vlan1、4094地址和统一数字底盘的通信
VLAN 31 网段（网关）	31.31.31.0/24(31.31.31.99)	SeerEngine-Campus&vDHCP使用的网段，用于设备和园区控制组件、vdhcp组件的通信（SeerEngine-Campus使用独立网卡时配置）
统一数字底盘北向业务IP	192.169.245.35	登录统一数字底盘的地址
SeerEngine-Campus集群IP	31.31.31.1	SeerEngine-Campus的集群地址
SeerEngine-Campus节点IP	Node1：31.31.31.2 Node2：31.31.31.3 Node3：31.31.31.4	SeerEngine-Campus集群包含的三个节点地址
vDHCP集群IP	31.31.31.5	vDHCP服务器的集群地址，实际不使用
vDHCP节点IP	Node1：31.31.31.6 Node2：31.31.31.7	vDHCP服务器使用的两个节点地址
微软DHCP的IP	192.169.231.6	微软DHCP服务器使用地址

BRAS连接在Core与L3-Switch之间组网。

若为Core设备直连BRAS设备，BRAS设备直连L3交换机的组网，则组网图如下：

图4-3 SeerEngine-Campus园区控制组件和统一数字底盘使用不同网卡（BRAS连接Core与L3 Switch）

推荐使用园区控制组件和统一数字底盘各使用一张网卡的方式。

本例以SeerEngine-Campus园区控制组件和统一数字底盘各使用一张网卡，且BRAS设备连接在Core和L3交换机之间为例，做如下地址规划：

表4-3 组网IP列表

规划项	数据示例	说明
VLAN 1 网段（网关）	4.4.9.0/24(4.4.9.1)	VLAN 1的网络，启用在BRAS下行口上，用于自动化上线以及园区控制组件和设备通信
VLAN 4094网段（网关）	4.4.8.0/24(4.4.8.1)	VLAN 4094的网络，启用在BRAS下行子接口上，用于园区控制组件和Access设备通信
VLAN 88网段（网关）	192.169.0.0/16(192.169.231.253)	统一数字底盘使用的网段，用于设备的VLAN 1、VLAN 4094地址和统一数字底盘的通信
VLAN 31 网段（网关）	31.31.31.0/24(31.31.31.99)	SeerEngine-Campus&vDHCP使用的网段，用于设备和园区控制组件、vdhcp组件的通信（SeerEngine-Campus使用独立网卡时配置）
VLAN 10 IP地址	4.10.10.1 4.10.10.2	用于L3交换机与BRAS设备互通
统一数字底盘北向业务IP	192.169.245.35	登录统一数字底盘的地址
SeerEngine-Campus集群IP	31.31.31.1	SeerEngine-Campus的集群地址
SeerEngine-Campus节点IP	Node1：31.31.31.2 Node2：31.31.31.3 Node3：31.31.31.4	SeerEngine-Campus集群包含的三个节点地址
vDHCP集群IP	31.31.31.5	vDHCP服务器的集群地址，实际不使用
vDHCP节点IP	Node1：31.31.31.6 Node2：31.31.31.7	vDHCP服务器使用的两个节点地址
微软DHCP的IP	192.169.231.6	微软DHCP服务器使用地址

4.2 用户资源规划

本文中用户业务的资源规划如下表所示。

表4-4 用户业务资源规划

规划项	数据示例	说明
无线AC+AP管理业务网络（网关）	59.0.0.0/24(59.0.0.1)	无线AC、AP设备使用的网络
学生有线业务网络（网关）	60.0.1.0/24(60.0.1.1)	学生有线终端使用的网络
学生无线业务网络（网关）	60.0.2.0/24(60.0.2.1)	学生无线终端使用的网络
IT资源组	30.0.0.0/24	IT资源组

4.3 用户VLAN规划

SeerEngine-Campus预置了多个VLAN池，路径：[自动化>园区网络>网络设备]，单击右上角“VNID池”链接，进入VNID池配置页面，单击“VLAN”页签进入VLAN池页面，在该页面可查看系统当前所有VLAN池信息。

VLAN池类型如下所示，系统默认创建的无线管理网VLAN池（default_wireless_manage）、M-LAG VLAN池（default_mlag）、无线业务VLAN池（default_wireless）、有线业务VLAN池（default_wired）、安全组VLAN池（default_security_group）和园区Access VLAN池（default_access）、QinQ VLAN池（default_qinq），资源池名称不允许修改。

· VLAN池中的VLAN范围允许扩容与缩容，若VLAN已经被业务使用，则不允许将该VLAN进行缩容。

· 同VLAN模型或同VXLAN模型下的不同VLAN池不能互相覆盖。

· SeerEngine-Campus默认分配VLAN 100用于设备自动化堆叠的BFD检测，VLAN 4090-VLAN 4094为保留VLAN。

· 无线管理网VLAN池：该类型的VLAN池用于为VLAN网络类型的隔离域下的无线AC、AP上线分配VLAN ID。默认的VLAN范围为4093。使用AC、AP业务网络方式建立AC和AP的连接时需要扩容该VLAN池；使用多套无线管理网络时，需要扩容该VLAN池。

· M-LAG VLAN池：该类型的VLAN池用于创建跨设备聚合时使用，默认的VLAN值为2。

· 无线业务VLAN池：该类型的VLAN池用于为VLAN网络类型的隔离域下的无线用户分配VLAN ID。默认的VLAN范围为3501-3600。

· 有线业务VLAN池：该类型的VLAN池用于为VLAN网络类型的隔离域下的有线用户分配VLAN ID。默认的VLAN范围为101-3000。

· QinQ VLAN池：该类型的VLAN池用于QinQ编排，配置distribution下行一级access设备的上行口PVID，缺省值为20，允许在20-24范围内修改。

· 安全组VLAN池：该类型的VLAN池用于VXLAN网络类型的隔离域下的安全组分配VLAN ID，实现用户的接入，默认的VLAN范围为3501-4000。本特性不涉及。

· 园区Access VLAN池：该类型的VLAN池用于VXLAN网络类型的Access设备上线后为其下发VLAN配置，默认的VLAN范围为101-3000。本特性不涉及。

图4-4 VLAN池

若用户需调整各资源的VLAN池范围，单击上图列表操作列的修改图标，进入VLAN池编辑页面。在“VLAN范围”区域，单击列表操作列的修改图标，进入修改VLAN范围页面，或者是单击“增加VLAN范围”按钮，根据用户规划修改或增加VLAN范围。

图4-5 增加VLAN范围

表4-5 用户VLAN资源规划

规划项	默认VLNN池（修改后）	说明
无线管理网VLAN池	4093 (4010、4093)	用于无线管理网业务网络

5 传统网BRAS大二层配置步骤

5.1 登录AD-Campus配置页面

(1) 安装部署完成后，在浏览器地址栏中输入AD-Campus园区控制组件登录地址，进入AD-Campus园区控制组件登录页面，如下图所示。其中，登录地址格式为：http://192.169.245.35:30000/，登录IP为“统一数字底盘的集群北向业务IP”，默认登录的用户名/密码：admin/Pwd@12345。

图5-1 登录界面

(2) 用户名、密码输入完成后，单击<登录>按钮，进入AD-Campus园区控制组件配置页面，如下图所示。

图5-2 首页

(3) 鼠标单击页面左上角的AD-Campus图标，可以查看到所有菜单，如下图所示。

图5-3 所有菜单

(4) 自动化功能模块用于园区网业务的配置。单击页面中[自动化]页签，展开左侧导航树中菜单项，如下图所示。

¡ 配置部署：用于设备备份、配置恢复以及软件库等相关的业务的配置；

¡ 园区网络：主要用于SeerEngine-Campus园区控制组件的业务相关的配置菜单，包括设备上线的自动化模板创建、隔离域、Fabric、用户组以及用户组间策略等业务的配置；

¡ 用户业务：EIA认证服务器的业务配置菜单，包括接入服务、接入策略以及接入用户等配置。若没有安装EIA组件，则没有该页签。

图5-4 自动化

5.2 License注册

· 在园区控制组件安装部署完后，SeerEngine-Campus与统一数字底盘融合，需要进行License注册。License注册前需要搭建License Server并且申请（购买）License。

· 当前版本可注册License或直接使用预授权License。

· 本文只介绍在AD-Campus页面上的License注册，License Server的搭建请参考相关的文档，不再赘述。

(1) 路径：[系统>License管理>License信息]，打开License注册页面。

(2) 系统安装部署后，默认提供一个预授权License，可临时使用，如下图所示。

图5-5 预授权License

(3) 在该页面“License server信息”区域配置License server信息，具体参数说明如下。填写完后单击<连接>按钮，连接License server服务器。

¡ IP地址：填写License server的IP地址，需确保统一数字底盘集群的北向IP和License server互通；

¡ 端口号：本例为5555；

¡ 客户端名称/客户端密码：admin/admin@123。该帐号、密码为License server路径：[配置>客户端]中配置的帐号和密码，请根据实际配置填写。

图5-6 License server信息

(4) License注册完成后，在License信息区域会列出注册的授权信息，如下图所示。

图5-7 License信息

5.3 配置前提

在配置业务之前，需对DHCP服务器进行配置。

5.3.1 DHCP服务器

路径：[自动化>园区网络>网络参数>DHCP]。

单击<增加>按钮，进入增加DHCP服务器页面。

图5-8 DHCP

增加DHCP服务器页面中，增加DHCP服务器的“管理方式”支持“紧耦合”和“松耦合”两种方式。

图5-9 增加DHCP

2. 紧耦合

· 支持紧耦合的DHCP Server：H3C自研的vDHCP Server和Microsoft DHCP Server。

· 紧耦合连接的DHCP Server，SeerEngine-Campus园区控制组件会根据页面配置的IP地址段，向DHCP Server申请创建IP地址池。

· 设备自动化部署，DHCP Server必须使用H3C自研的vDHCP Server。

vDHCP Server

(1) 在“增加DHCP服务器”页面中，填写参数如下所示，单击<确定>按钮完成配置。

¡ 管理方式：选择“紧耦合”，vDHCP Server只支持紧耦合。

¡ 使能高可用：集群环境时需勾选；若是单机环境，则不需要勾选。

¡ 启用双栈：当前传统网BRAS大二层不支持IPv6相关地址池，仅使用IPv4单栈即可。

¡ IP地址：填写的是部署vDHCP时分配的IP，可在部署vDHCP的页面查看，查看路径：[系统>部署管理]，在列表中展开“公共服务”项，单击查看详情。

图5-10 组件详情

¡ 厂商：选择“H3C”。

图5-11 增加DHCP服务器

(2) 增加DHCP Server后，需在DHCP列表页面中单击按钮同步DHCP Server，同步完成后“审计状态”会显示“审计成功”。

图5-12 审计

(3) DHCP列表页面中单击按钮可进行配置开启DHCP Server的数据定时同步功能，并能设置同步周期；若开启，则控制组件会在周期时间时，自动对DHCP Server进行配置审计动作。

图5-13 数据定时同步

(4) 单击名称（上图中的vdhcp），可以查看DHCP服务器的地址池以及IP地址分配等情况（若有配置后续业务）。

图5-14 DHCP服务器信息

Microsoft DHCP Server

微软DHCP Server的硬件配置，请参考表1-1。

(5) 增加DHCP Server

a. 在“增加DHCP服务器”页面中，“厂商”选择“Microsoft”，具体参数如下所示，单击<确定>按钮完成配置。

- 管理方式：选择“紧耦合”。

- 使能高可用：微软DHCP HA环境时需勾选；若是单机环境，则不需要勾选。

- IPv4地址：微软DHCP的IP地址。若集群环境，则需要分别填写两台DHCP Server的IP地址。

- 厂商：选择“Microsoft”。

- 故障转移模式：配置使能高可用时需要配置该选项，选择DHCP HA的故障转移模式，可选择负载均衡、热备用服务器模式。

图5-15 增加DHCP服务器

b. 增加DHCP Server后，在增加中单击<>按钮，会同步DHCP Server，并且在“审计状态”会显示“审计成功”。

c. DHCP列表页面中单击按钮可进行配置开启DHCP Server的数据定时同步功能，并能设置同步周期；若开启，则控制组件会在周期时间时，自动对DHCP Server进行配置审计动作。

d. 单击名称字段，页面切换到[服务器配置]子页签，可设置监控微软DHCP HA的状态，缺省“开启”。SeerEngine-Campus园区控制组件会定期监测DHCP HA的状态，若检测到微软DHCP备作用域状态故障，则园区控制组件会自动拉起微软DHCP备作用域。

图5-16 微软DHCP Server高可用状态检测设置

(6) 配置VLAN 1地址池。

微软DHCP Server增加后，需要手动通过SeerEngine-Campus园区控制组件创建一个地址池，配置地址池的网段与设备的DHCP中继的网段地址相同（无线管理业务下，需配置的是设备的VLAN1地址池）；若不配置，则微软DHCP Server无法响应发过来的DHCP请求。

若后续计划使用新自动化上线功能，则本VLAN1地址池的手动配置需在步骤5.4.1 2. 地址池配置之后进行配置。

在DHCP列表中单击微软DHCP名称链接进入DHCP服务器信息页面。

图5-17 微软DHCP

切换至[地址池]页签，单击<增加>按钮，进入增加地址池页面。若Fabric已配置了新自动化的地址池配置，则此处增加时会提示子网网段重叠，单击<确认>按钮。

¡ 子网网段：与设备的VLAN1的网段一致，该地址池不用于实际用户业务。

¡ 网关地址：设置与VLAN1同网段IP即可。

¡ 其他参数使用缺省值。

图5-18 增加地址池

图5-19 地址池

创建完成，部署成功后，在微软的DHCP Server上可以查看到创建的作用域，如下图所示。

图5-20 作用域

3. 松耦合

· 支持松耦合的DHCP Server：微软DHCP Server、网瑞达DHCP Server等支持配置Option82参数的DHCP Server服务器。

· 松耦合情况下，SeerEngine-Campus园区控制组件不会向DHCP Server创建任何地址池，也不同步DHCP Server的地址池信息。

· DHCP Server上所有的地址池以及地址池中用于匹配Distribution设备DHCP Relay报文中携带的Option82信息的策略都需要用户手动创建。

· 微软DHCP Server的硬件配置，请参考表1-1硬件配置要求。

· 第三方DHCP Server需要确保与设备、控制组件路由可达。

· 若现网需配置无线业务，则需要第三方DHCP Server支持option 43参数。

松耦合的DHCP Server，不能进行同步，没有按钮，”审计状态”为”--”。

松耦合情况下SeerEngine-Campus园区控制组件不向DHCP Server下任何配置，也不同步DHCP Server的地址池信息。

图5-21 松耦合DHCP

5.3.2 参数设置

路径：[自动化>园区网络>网络参数]页面，选择[参数]页签，修改网络类型为“VLAN”或“VXLAN-VLAN”。

本文以下全部介绍都是使用VLAN网络类型。

图5-22 网络参数

· 网络类型为VLAN时，隔离域页面仅支持配置VLAN业务，不支持配置VXLAN业务。

· 网络类型为VXLAN-VLAN时，可以选择默认VLAN或VXLAN。

图5-23 VXLAN-VLAN

此时隔离域页面支持VLAN、VXLAN切换。

图5-24 网络类型切换

5.3.3 创建设备控制协议模板

路径：[自动化>园区网络>网络参数>参数]，选择[设备控制协议模板]子页签，进入设备控制协议模板页面。

图5-25 设备控制协议模板

(1) 默认创建名称为“default_protocol_template”的设备控制协议模板，单击该设备控制组件协议模板操作列的修改图标，进入修改设备控制协议模板页面，修改完成后，单击<确定>按钮完成修改。

¡ 名称：不支持修改；

¡ 所属Fabric：不支持填写；

¡ SNMP协议：SNMP版本默认为V2，只读团体字默认“public”，读写团体字默认“private”，超时时间默认“15秒”，都支持修改；

¡ SNMP协议：SNMP版本选择“V3”时，用户名自定义填写，认证模式默认“不认证”；认证模式选择“MD5”或“SHA”时，需要填写认证密钥，加密模式默认“不加密”，加密模式也能选择“DES56”、 “AES128”、 “AES192”、 “SES256”，加密模式非“不加密”时，需要填写加密密钥；超时时间默认“15秒”，都支持修改；

¡ 登录信息：用户名、密码默认为空，需要手动填写，使能Telnet默认“是”，Telnet端口默认“23”，SSH端口默认“22”，默认已填写的可以不修改。

图5-26 修改设备控制协议模板

(2) 单击<增加>按钮，进入增加设备控制协议模板页面。

¡ 名称：不重复即可；

¡ 所属Fabric：默认不填写，填写后仅支持该Fabric下的设备使用；

¡ SNMP协议：SNMP版本默认为V2，只读团体字默认“public”，读写团体字默认“public”，超时时间默认“15秒”，都支持修改；

¡ 登录信息：用户名、密码默认为空，需要手动填写，使能Telnet默认“是”，Telnet端口默认“23”，SSH端口默认“22”，默认已填写的可以不修改。

图5-27 增加设备控制协议模板

5.3.4 导入设备版本（按需）

路径：[自动化>配置部署>软件库]，单击<导入>按钮。

· 导入来源选择“从文件导入”，软件类型可选复合软件包套件（IPE包）和补丁文件。

¡ 选择“复合软件包套件（IPE包）”，配置如下：

- 发布日期：非必填项，不填写即可；

- 选择文件：根据选择的软件类型，单击<选择文件>按钮，在本地目录中选择对应的文件；

- 目标文件：“选择文件”后，默认填充，不需要手动填写；

- 描述：非必填项，不填写即可。

图5-28 复合软件包套件（IPE包）

¡ 补丁文件方式导入完成后需要指定适用设备型号

图5-29 补丁文件

5.3.5 L3 Switch配置

L3 Switch的配置根据BRAS设备的连接位置有所区分。

1. BRAS旁挂Core设备组网

若BRAS旁挂Core设备，则L3设备按照以下配置方式：

(1) 全局使能STP、DHCP

#使能STP

[L3-Switch]stp global enable

[L3-Switch]dhcp enable

(2) 创建VLAN 31、VLAN 88接口

[L3-Switch]vlan 31

[L3-Switch-vlan31]vlan 88

[L3-Switch-vlan10]interface Vlan-interface 31

[L3-Switch-Vlan-interface31]ip address 31.31.31.99 24

[L3-Switch-Vlan-interface31]interface Vlan-interface 88

[L3-Switch-Vlan-interface88]ip address 192.169.231.253 16

(3) 与统一数字底盘连接的接口加入VLAN 88

[L3-Switch]int Ten-GigabitEthernet 1/0/47

[L3-Switch-Ten-GigabitEthernet 1/0/47]port access vlan 88

[L3-Switch-Ten-GigabitEthernet 1/0/47]stp edged-port //L3交换机与服务器相连的端口，配置为STP边缘端口。

与SeerEngine-Campus，vDHCP连接的接口加入VLAN 31

[L3-Switch]interface Ten-GigabitEthernet1/0/39

[L3-Switch-Ten-GigabitEthernet1/0/39]port access vlan 31

[L3-Switch-Ten-GigabitEthernet1/0/39]stp edged-port //L3交换机与服务器相连的端口，配置为STP边缘端口。

(4) 创建VLAN 1与VLAN 4094虚接口

[L3-Switch]interface Vlan-interface1

[L3-Switch-Vlan-interface1]ip address 4.4.9.1 255.255.255.0

[L3-Switch-Vlan-interface1]dhcp select relay //DHCP Relay相关的配置，用于设备自动化上线，若Core/Distribution/Access都为手动配置纳管，则DHCP Relay相关配置可以不配。

[L3-Switch-Vlan-interface1]dhcp relay server-address 31.31.31.6 //vDHCP服务器节点的IP地址

[L3-Switch-Vlan-interface1]dhcp relay server-address 31.31.31.7

[L3-Switch]vlan 4094

[L3-Switch]interface Vlan-interface4094

[L3-Switch-Vlan-interface4094]ip address 4.4.8.1 255.255.255.0

(5) 与Core相连的接口

[L3-Switch]interface Ten-GigabitEthernet1/0/6 //有多个接口的话，均进行该配置；后续等待Core设备侧聚合配置完毕后，再手动修改L3侧相关端口为聚合，并在聚合上配置该配置，需要保证聚合链路两侧聚合模式一致

[L3-Switch-Ten-GigabitEthernet1/0/6]description to_Core

[L3-Switch-GigabitEthernet1/0/2]port link-type trunk

[L3-Switch-GigabitEthernet1/0/2]port trunk permit vlan 1 4094

2. BRAS连接在Core设备和L3交换机设备之间

若BRAS设备连接在Core设备和L3交换机设备之间，则手动对L3 Switch配置如下：

(1) 全局使能STP

#使能STP

[L3-Switch]stp global enable

(2) 创建VLAN10、VLAN31、VLAN88接口

[L3-Switch]vlan 31

[L3-Switch-vlan31]vlan 88

[L3-Switch-vlan88]vlan 10

[L3-Switch-vlan10]interface Vlan-interface 31

[L3-Switch-Vlan-interface31]ip address 31.31.31.99 24

[L3-Switch-Vlan-interface31]interface Vlan-interface 88

[L3-Switch-Vlan-interface88]ip address 192.169.231.253 16

[L3-Switch-Vlan-interface88]interface Vlan-interface 10

[L3-Switch-Vlan-interface10]ip address 4.4.10.2 24

(3) 与BRAS相连的接口配置

[L3-Switch]int Ten-GigabitEthernet 1/0/11

[L3-Switch-Ten-GigabitEthernet 1/0/11]description to_BRAS

[L3-Switch-Ten-GigabitEthernet 1/0/11]port access vlan 10

(4) 与统一数字底盘连接的接口加入VLAN88

[L3-Switch]int Ten-GigabitEthernet 1/0/47

[L3-Switch-Ten-GigabitEthernet 1/0/47]port access vlan 88

[L3-Switch-Ten-GigabitEthernet 1/0/47]stp edged-port //L3交换机与服务器相连的端口，配置为STP边缘端口。

与SeerEngine-Campus，vDHCP连接的接口加入VLAN31

[L3-Switch]interface Ten-GigabitEthernet1/0/39

[L3-Switch-Ten-GigabitEthernet1/0/39]port access vlan 31

[L3-Switch-Ten-GigabitEthernet1/0/39]stp edged-port //L3交换机与服务器相连的端口，配置为STP边缘端口。

(5) 增加默认路由

#配置默认路由下一跳为与BRAS的互联接口地址。

[L3-Switch]ip route-static 0.0.0.0 0 4.4.10.1 //默认路由下一跳为与BRAS的互联接口地址

5.3.6 BRAS配置

· 若BRAS设备连接在Core设备和L3交换机设备之间，则设备上线前需要在BRAS设备上手动增加本小节配置。

· 若为BRAS旁挂Core组网场景，则忽略本小节。

(1) 全局使能DHCP，STP

#使能STP //若为L3交换机直连Core场景，则该配置只下发在L3交换机上即可

[BRAS]stp global enable

#使能DHCP //若为L3交换机直连Core场景，则该配置只下发在L3交换机上即可

[BRAS]dhcp enable

(2) 创建VLAN1，VLAN4094接口

[BRAS]vlan 1

[BRAS-vlan1]vlan 4094

[BRAS-vlan4094]interface Vlan-interface 1

[BRAS-Vlan-interface1]ip address 4.4.9.1 24

[BRAS-Vlan-interface1] dhcp select relay

[BRAS-Vlan-interface1] dhcp relay server-address 31.31.31.6

[BRAS-Vlan-interface1] dhcp relay server-address 31.31.31.7

[BRAS-Vlan-interface1]interface Vlan-interface 4094

[BRAS-Vlan-interface4094]ip address 4.4.8.1 24

[BRAS -Vlan-interface4094]quit

(3) 与L3交换机相连的接口配置

[BRAS]int GigabitEthernet 3/2/9

[BRAS-GigabitEthernet3/2/9]description to_L3_Switch

[BRAS-GigabitEthernet3/2/9] ip address 4.4.10.1 255.255.255.0

(4) 与Core设备相连接的接口

[BRAS]int GigabitEthernet 3/2/1

[BRAS-GigabitEthernet3/2/1]port link-mode bridge

The configuration of the interface will be restored to the default. Continue? [Y/N]:y

[BRAS-GigabitEthernet3/2/1]port link-type trunk

[BRAS-GigabitEthernet3/2/1]port trunk permit vlan 1 4094

(5) 与AC设备相连接的接口（若组网为AC设备旁挂在BRAS设备上，进行该配置步骤；若不是该组网，请忽略本步骤）

[BRAS]int GigabitEthernet 3/2/2.6

[BRAS-GigabitEthernet3/2/2.6]ip address 59.0.1.1 255.255.255.0

[BRAS-GigabitEthernet3/2/2.6] vlan-type dot1q vid 6

以vlan 6 ，AC IP为59.0.1.0/24网段为例，因为此vlan和IP为用户手动配置，请根据现场情况灵活配置；AC设备侧的对应请参考对应的章节5.10.1 纳管AC设备

(6) 增加路由

#配置到控制组件、vdhcp的路由，下一跳为L3设备上的接口。

[BRAS] ip route-static 31.31.31.0 24 4.4.10.2

#配置到统一数字底盘的路由，下一跳为L3设备上的接口。

[BRAS] ip route-static 192.169.0.0 16 4.4.10.2

BRAS设备的下行口先使用VLAN 1、VLAN 4094的方式，待顶层设备自动化部署完毕后，顶层设备的上行口配置固定后，再删除VLAN 1、VLAN 4094等的配置，并将VLAN虚接口上的相关配置下发在BRAS的三层物理口或三层聚合口上。

5.3.7 环路检测优化

环路检测优化作为STP的补充，与STP并存部署。主要用于解决组网中连接了一些无法透传STP或LLDP报文的设备（HUB或第三方设备），从而避免STP无法阻塞环路的情况。

具体配置可参考《AD-Campus 6.5 基础配置指导（组策略）》。

5.4 设备上线（新自动化）

本文以三层组网为例进行简单介绍，设备版本升级、堆叠、级联、局部变更等功能可参考文档《AD-Campus 6.5 新自动化配置指导》。

5.4.1 控制组件配置

1. 基础配置

Fabric配置方式有如下两种，本文档以使用园区向导方式为例进行配置介绍。

园区向导方式：路径：[向导>园区向导>设备上线规划]，第一步“基础配置”；

非园区向导方式：路径：[自动化>园区网络>Fabric]中进行配置。

(1) 进入[向导>园区向导>设备上线规划>基础配置]页面，单击“选择Fabric”下拉框，选择“创建Fabric”，打开“创建Fabric”页面，配置以下参数后，单击<确定>按钮，完成配置。

图5-30 创建Fabric

¡ 名称：可以填写最长255个字符，区分大小写。

¡ 网络类型：选择“VLAN”。

¡ 是否使用BRAS大二层：选择“是”

¡ 业务自动化：开启状态，纳管的Core、Distribution设备若占用设备系列或设备通用授权也需要同步占用业务自动化授权，授权不足可能会导致设备纳管失败；若为关闭状态，纳管的设备不占用相关授权，但无法加入隔离域。

¡ 业务随行：开启状态，纳管的Core、Distribution设备若占用设备系列授权或设备通用授权也需要同步占用业务随行授权，授权不足可能会导致设备纳管失败；若为关闭状态，纳管的设备不占用相关授权。

¡ 隔离域：选择Fabric所属隔离域，可在下拉框中选择增加隔离域，相关参数说明，请参考5.13.1 隔离域。

¡ STP黑洞探测：STP黑洞探测功能，默认关闭。开启时发包周期和超时时间必填。发包周期和超时时间推荐保持缺省值。详细介绍请参考本文5.3.7 环路检测优化。

¡ LLDP跨域检测：LLDP跨域检测功能，默认关闭。开启时通用策略组会默认生成LLDP跨域接口组。详细介绍请参考本文5.3.7 环路检测优化。

¡ ONU端口隔离：当前Fabirc下ONU设备的UNI口是否使能端口隔离功能开关；开启则此Fabric下ONU设备的UNI口使能端口隔离功能，关闭则此Fabric下ONU设备的UNI口去使能端口隔离功能。

然后单击<下一步>按钮进入地址池配置页面。

2. 地址池配置

地址池配置方式有如下两种，本文档以使用园区向导方式为例进行配置介绍。

园区向导方式：路径：[向导>园区向导>设备上线规划]，第二步“地址池配置”；

非园区向导方式：路径：[自动化>园区网络>Fabric>自动化模板]中进行配置。

(1) DHCP服务器：仅支持选择vDHCP，参数填写可参考本文5.3.1 vDHCP Server。

设备自动化使用的DHCP必须为H3C vDHCP。

(2) VALN1地址池：选择VLAN1地址池，地址池填写在BRAS设备或L3交换机中设置的VLAN1（4.4.9.0/24）网段的IP地址。“网关地址”是BRAS设备或L3交换机设置的VLAN 1的IP地址。

(3) VLAN1有两种添加方式：

¡ 路径：[自动化>园区网络>网络设备]，单击右上角IP地址池，新增VLAN1地址池。

¡ 在VLAN1地址池填写框下拉新增VLAN1地址池。

- 名称：不重复即可；

- 类型：默认“园区VLAN1网络”，不支持修改；

- 地址池：填写IP地址/掩码；

- 网关地址：填写上述地址池的网关地址；

- 是否绑定企业码：默认“否”，开启后VLAN1地址池中会下发option125的企业码参数，若组网中存在多个DHCP Server，支持的设备会优先获取vDHCP分配的地址。

- 添加地址段：不填写，默认全地址段，填写后，设备根据地址段进行VLAN1地址分配。

图5-31 增加VLAN1地址池

(4) 服务器IPv4管理网段：默认填写园区网控制组件网段和统一数字底盘网段，支持多个网段，该网段会在设备下发静态路由。

(5) VLAN4094地址池：填写后Access会使用VLAN4094进行纳管，地址池填写在BRAS设备或L3交换机中设置的VLAN4094（4.4.8.0/24）网段的IP地址。“网关地址”是BRAS设备或L3交换机设置的VLAN4094的IP地址。

图5-32 增加VLAN4094 地址池

(6) 服务器IPv6管理网段以及VLAN4094 IPv6地址池保持为空即可。

(7) 配置完成后，单击<下一步>按钮，进入“设备角色模板”页面。

3. 设备角色模板

Fabric配置方式有如下两种，本文档以使用园区向导方式为例进行配置介绍。

· 园区向导方式：路径：[向导>园区向导>设备上线规划]，第三步“设备角色模板”；

· 非园区向导方式：路径：[自动化>园区网络>Fabric>自动化部署>自动化模板]中进行配置。

¡ 组网模型：支持一种“BRAS大二层”组网模型，选择该模型即可；

¡ 是否使用Core：

- 默认“是”，表示三层组网模型，此时Core、Distribution、Access设备全部可以进行自动化上线。

- 选择“否”，则表示为单汇聚组网模型。（不含Core角色设备）。

¡ 半自动化上线：默认“否”；

- 默认“否”，此时Core、Distribution、Access设备全部可以进行自动化上线。

- 选择“是”，此时Core、Distribution手动纳管，仅Access设备可以进行自动化上线，配置方式可参考本文5.5 设备上线（半自动化）。

¡ Core部署模式：

在选择使用Core时可选择配置该选项。

- 默认“单机/堆叠模式”，Core设备上线后不能配置为M-LAG系统。

- 选择“M-LAG模式”，两台Core设备上线后，需配置成M-LAG系统，Core角色的“使能IRF”选项会自动置成“否”。

¡ Distribution部署模式：

是否使用Core选“否”时可选择配置该选项。

- 默认“单机/堆叠模式”，Distribution设备上线后不能配置为M-LAG系统。

- 选择“M-LAG模式”，两台Distribution设备上线后，需配置成M-LAG系统，Distribution角色的“使能IRF”选项会自动置成“否”。

¡ 单链路自动聚合：默认关闭，表示单链路不聚合，开启时，则表示即使为单条链路互联，也会自动聚合。

¡ 模板名：不重复即可。

¡ NTP服务器：填写NTP时间服务器的IP地址；统一数字底盘默认内置NTP服务器，IP地址为集群北向IP。

¡ 设备控制协议模板：支持两种添加方式：选择[自动化>园区网络>网络参数]菜单项，选择[参数]页签，选择[设备控制协议模板]子页签进行配置；或者下拉框新增设备控制协议模板，或者选择默认创建的设备控制协议模板“default_protocol_template”，参数填写请参考本文5.3.3 创建设备控制协议模板：

- 选择默认设备控制协议模板“default_protocol_template”，选中后，需要单击<模板修改>按钮，填写SNMP、NETCONF、TELNET、SSH相关信息。

图5-33 默认设备控制协议模板

- 新增设备控制协议模板。

图5-34 新建设备控制协议模板

¡ Core模板、Distribution模板、Access模板：可以再次选择设备控制协议模板，也可以不修改，上述选择设备控制协议模板后，模板内默认填充；使能IRF根据需要选择，使能olt根据需要选择；Access无使能IRF选择，默认“是”。

图5-35 设备角色模板

配置完成后，单击<下一步>按钮，进入设备版本升级配置页面。

4. 设备版本升级配置（按需）

Fabric配置方式有如下两种，本文档以使用园区向导方式为例进行配置介绍。

园区向导方式：路径：[向导>园区向导>设备上线规划]，第四步“设备版本升级配置”；

非园区向导方式：路径：[自动化>园区网络>Fabric>自动化部署>自动化模板]中进行配置。

设备版本升级配置页面通过针对设备角色和型号指定版本升级文件以实现自动化上线过程中的版自动升级功能。配置此项之前需要先在软件库上传版本文件。

单击<增加>按钮进入新增页面。进行如下配置。

图5-36 设备版本升级配置

· 设备角色：默认选择“Core”，可根据实际情况，在Core、Distribution、Access角色中选择一种；

· 版本类型：默认复合软件包套件（*.ipe）；

¡ 复合软件包套件：下拉选择复合软件包套件，复合软件包套件添加方式参考5.3.4 导入设备版本。

- 目标版本：选择“复合软件包套件”后，默认填充。

- 适用设备：可单击右侧的<选择型号><删除型号>按钮；

¡ 选择型号：勾选设备型号，单击<增加>按钮后，可以在适用设备框中看到勾选的设备型号，可选择多个；

¡ 删除型号：在适用设备框中选中设备型号，单击<删除>按钮，可以删除上一步勾选的设备型号。

· 补丁文件：非必填项，可不填写。

图5-37 新增设备版本升级配置

配置完成后，单击<下一步>按钮，进入设备上线清单页面。

5. 设备上线清单

Fabric配置方式有如下两种，本文档以使用园区向导方式为例进行配置介绍。

· 园区向导方式：路径：[向导>园区向导>设备上线规划]，第五步“设备上线清单”；

· 非园区向导方式：路径：[自动化>园区网络>Fabric>自动化部署>设备清单]中进行配置。

新自动化上线要求必须添加设备清单，否则设备无法上线。设备清单的主要作用包括：

· 指定设备角色，为设备开始自动化预配置角色信息。

· 设备注册WebSocket。若指定序列号不在设备清单内，设备将无法建立WebSocket连接，无法完成自动化上线；若指定序列号在设备清单内，设备可以通过设备清单注册WebSocket，完成自动化上线。

进入[向导>园区向导>设备上线规划>设备上线清单]页面，增加/导入设备清单。

· 网络类型：选择VLAN。

· 支持WebSocket：默认“是”，不支持修改。表示支持设备与控制组件使用WebSocket方式通信。

· 设备序列号：填写设备的唯一标识符（框式设备需要将机框SN、控制板SN均添加至同一条设备清单中）。

设备序列号查看详情：

<Core>display license device-id chassis 1

SN: 210235A1YKX21100002L

Device ID: vqCk-Eq3e-NJpu-tCG$-uCyD-938M-piZA-c463

或者

<access1>display device manuinfo slot 1

Slot 1 CPU 0:

DEVICE_NAME : S5130S-52S-EI

DEVICE_SERIAL_NUMBER : 219801A12F9191Q00251

MAC_AddRESS : 7057-BF65-A9C0

MANUFACTURING_DATE : 2019-01-11

VENDOR_NAME : H3C

· Fabric：选择该设备清单在哪个Fabric下进行上线。

· 设备角色：可选设备角色为Core/Distribution/Access，设备自动化上线时会根据设备清单中配置的角色信息修改设备角色。

· 设备标签：控制组件端展示的设备标识。

· 设备系统名称：设备的Sysname，设备自动化上线后根据本配置字段自动修改。

· 管理IP地址：仅支持对Access角色，填写VLAN4094的管理IP地址，Core/Distribution角色不支持填写管理IP地址：

¡ 指定Access设备自动化上线后的VLAN 4094的IP地址，为可选配置；

- 若配置了管理IP地址，则设备自动化上线后SeerEngine-Campus控制组件根据设置的IP地址分配给设备；

- 若不配置管理IP地址，则SeerEngine-Campus控制组件根据VLAN4094的地址池自动分配IP给设备。

· Underlay IP地址：本特性不涉及。

· 站点名称：选择设备属于哪个站点，按需配置，需要使用大屏功能时必须配置。

新增站点路径：[自动化>园区网络>Fabric]页面，选择右上角[站点]页签，单击<增加>按钮

¡ 名称：不重复即可；

¡ 上级站点：当不存在任何站点时，首次创建站点的上级站点默认为全局；

¡ 经度、纬度：根据实际站点的经纬度填写；

¡ 详细地址：可选项，可根据实际情况填写。

图5-38 站点

图5-39 增加站点

图5-40 增加设备清单

图5-41 设备清单查看

把所有需要自动化上线设备的设备清单都添加进来。

5.4.2 新自动化部署准备

1. 设备空配置上线

用户需要保证设备恢复出厂配置并重启才能进行自动化上线，配置命令：restore factory-default

Core/Distribution/Access设备空配置启动，自动获取VLAN1 IP地址后，主动通过Websocket连接控制组件。

图5-42 空配置重启1

图5-43 空配置重启2

图5-44 获取Vlan1地址

查看设备上Websocket连接已创建：

<H3C>disp cloud-management state

Cloud connection state : Established

Device state : Request_success

Cloud server address : 192.169.245.35

Cloud server domain name : 192.169.245.35

Cloud server port : 443

Connected at : Fri Dec 30 11:57:15 2022

Duration : 00d 00h 02m 21s

Process state : Message received

Failure reason : N/A

<H3C>

2. 设备版本升级（按需）

当设备版本与目标版本不一致时，设备在上线过程中会升级设备版本。

(1) 进入[自动化>园区网络>Fabrics>查看拓扑]页面，可查看到设备的拓扑节点信息。

图5-45 查看拓扑

(2) 在查看拓扑页面单击<版本升级状态>按钮，弹出版本升级状态页面，可查看自动创建的升级任务。若当前设备角色对应的设备型号配置了升级配置，设备通过VLAN 1获取地址上线之后云端检测到设备启动的版本和目标版本不一致时会自动执行升级任务。以Access设备为例：

图5-46 升级记录中自动创建任务执行

图5-47 升级记录

图5-48 升级详细步骤

图5-49 升级成功后拓扑添加展示

5.4.3 新自动化部署过程

1. 查看自动化部署拓扑

设备自动化上线获取到VLAN 1地址并与控制组件建立WebSocket连接，设备执行版本升级成功后，控制组件会自动创建对应的待纳管设备。进入[自动化>园区网络>网络设备]页面，查看设备信息如下图所示。

图5-50 设备信息

进入[自动化>园区网络>Fabrics>查看拓扑]页面，可查看到设备的拓扑节点信息。以三层组网为例：

图5-51 三层组网自动化拓扑

拓扑左上方的按钮对应功能分别为“放大”、“缩小”、“保存坐标”、“导出为图片”、“重置缩放”、“位置重置”、“链路筛选”和“查看图例”。

链路筛选包含单链路、聚合链路、变化链路、手动纳管链路、断开链路，后面括号中显示链路个数，勾选后可以展示该类型链路，去勾选后不显示该类型链路。单击变化链路、断开链路，可以显示链路详情。

图例释义包含设备配置状态以及链路状态对应的颜色展示，具体释义如下：

· 设备状态：

¡ 手工纳管（设备为手工纳管）

¡ 未配置（设备未进行自动化部署）

¡ 已配置（设备已完成自动化部署）

¡ 配置失败（设备自动化部署失败）

¡ 已移除（网络设备页签中已被删除的设备）

· 链路状态：

¡ 单链路（设备通过单条链路连线）

¡ 聚合链路（设备通过聚合链路连线）

¡ 变化链路（自动化部署完成的设备进行了连线变更或接入了新的连线）

¡ 手工纳管链路（手工纳管设备的连线）

¡ 断开链路（已完成自动化部署的设备之间被移除的链路）

图5-52 链路筛选

图5-53 变化链路

图5-54 断开链路

图5-55 查看图例

2. 配置跨设备聚合参数（按需）

若自动化模板中选择M-LAG模式，则此时应通过页面的“跨设备聚合参数”配置相关参数。

图5-56 跨设备聚合参数-1

选择使能M-LAG。

图5-57 跨设备聚合参数-2

M-LAG认证模式选择“免认证”方式即可，参数说明可参考5.9.1 Fabric启用M-LAG。

3. 选择上行口

(1) 单击Core上行配置的<配置>按钮，进入接口列表页面，选择Core设备与上行设备（L3交换机或者是BRAS设备）的接口。

图5-58 上行口配置

图5-59 接口列表

若组网模型不是双Core，也不是双Distribution组网，且Core设备与上行设备有多条链路，则应单击<增加聚合组>按钮，在增加聚合组页面配置聚合。

图5-60 配置聚合组（1）

图5-61 配置聚合组（2）

图5-62 配置聚合组（3）

若为双Core或双Distribution组网，则上行口应选择两台Core或两台Distribution设备的各一个上行口，如下图所示。

图5-63 双Core上行口选择

· 双Core/Distribution组网模型中，顶层设备需要配置M-LAG系统，且需要配置M-LAG组，与上行设备的M-LAG接口，需要通过M-LAG组页面进行创建，不需要在本步骤进行创建，本步骤只需要选择两台顶层设备的各一个上行物理口即可。

· 双Core/Distribution组网模型中，若每台Core或Distribution设备有多个上行口，自动化拓扑页面也只需要选择一个接口即可，后续在配置M-LAG组时，需选择所有的上行接口。

(2) 选择完接口后，单击<确认>按钮，返回查看拓扑页面，鼠标放在右上角图标上，可以查看设备序列号以及选择的物理端口。

图5-64 查看设备和接口

4. 启动自动化部署

自动化拓扑页展示设备的拓扑结构，用于查看设备节点及链路信息，对当前自动化拓扑节点进行“启动自动化部署”、“停止自动化部署”、“堆叠配置”及“换口配置”等操作。

进入[自动化>园区网络>Fabrics>查看拓扑]页面，单击<全选>按钮选择所有设备，或Ctrl键+鼠标左键选中部分设备，单击<启动自动化部署>按钮，则被选中设备开始进行自动化部署。

图5-65 启动自动化部署示例1-三层组网

5. 查看自动化部署详情

拓扑中的所有设备开始自动化部署后，可以通过单击<查看部署详情>按钮及<历史部署记录>按钮查看整体部署情况。以三层组网为例：

图5-66 部署详情

图5-67 部署记录

鼠标双击具体的设备节点，可以查看Core/Distribution/Access设备的详细部署过程。

图5-68 设备自动化部署详情

6. 查看设备上线结果

查看控制组件上设备状态。

进入[自动化>园区网络>网络设备]页面，查看设备信息，所有已经自动化上线完成的设备更新完成，在线状态为激活，管理状态为已纳管。

图5-69 三层组网网络设备

7. 停止自动化部署

开始自动化部署，部署任务在部署过程中，单击<停止自动化部署>按钮仅会停止未开始自动化的设备，已经在自动化部署过程中的设备将无法停止。

自动化部署最大支持10台设备同时部署，使用停止自动化部署功能可使未启用自动化部署的设备停止部署任务。

图5-70 停止自动化部署

5.4.4 上行接口更换

1. 启动自动化部署前更换上行口

进入[自动化>园区网络>Fabrics>查看拓扑]页面，查看设备的拓扑节点信息。

选择顶层设备（三层架构组网模型中的Core角色设备、单汇聚组网（双Distribution）模型中的Distribution角色设备）的上行接口。

图5-71 选择上行口

启动自动化部署前，若要更换上行接口或上行口需要聚合，则需重新选择上行口再启动自动化部署（启动自动化部署前，选择上行接口不会下发配置）。

2. 启动自动化部署后更换上行口

启动设备自动化部署，设备完成自动化上线后，若要更换上行接口或上行口需要聚合，则需重新选择上行口。此时可选择是否勾选“回收上一次接口配置”。

· 选择“是”：将上一次接口上的配置回收，且在新选择的上行接口下发相关配置，推荐勾选。

· 选择“否”：不回收上一次接口上的配置，在新选择的上行接口下发相关配置。

设备完成自动化上线后，更改上行接口，设备上的配置实时下发，无需再次启动自动化部署。

图5-72 更换上行口

双Core/双Distribution组网模型下，M-LAG页面需配置针对上行口的M-LAG组，配置完M-LAG组后，不支持对上行口的更换。

5.4.5 上行设备配置变更

若组网模型为Core设备直连L3交换机：

· Core设备与L3之间为单链路，则不用变更L3交换机配置。

· Core设备与L3之间为多链路，则L3交换机配置侧应同步配置动态聚合（Bridge-Aggregation）

若组网模型为Core设备直连BRAS设备，BRAS设备上连L3交换机：

· Core设备与BRAS设备之间为单链路，则BRAS设备与Core设备的互联口重新恢复成route类型端口，删除int vlan 1、int vlan 4094和vlan 4094，将int vlan1的IP及DHCP配置恢复到物理端口上，同时对物理口启用4094子接口，终结vlan 4094（vlan-type dot1q vid 4094配置），将int vlan 4094的配置（IP配置）恢复到该子接口上。

· Core设备与BRAS设备之间为多链路，则BRAS设备应将与Core设备的接口配置成三层聚合口（Route-Aggregation），删除int vlan 1、int vlan 4094和vlan 4094,将int vlan1的配置恢复到聚合端口上，同时对聚合口启用4094子接口，终结VLAN4094（vlan-type dot1q vid 4094配置），然后将int vlan 4094的配置恢复到该子接口上。

若组网为双Core或双Distribution模型，则需在配置5.9章节（顶层设备配置好与上行设备的M-LAG组）之后再进行本小节的配置。

以组网模型为Core设备直连BRAS设备，BRAS设备上连L3交换机，Core设备与BRAS设备之间为单链路为例进行配置说明。

(1) 删除int vlan 1、int vlan 4094、vlan 4094

#当前设备无Core角色，直接设置成Core角色即可

[BRAS]undo int vlan 4094

[BRAS]undo int vlan 1

[BRAS]undo vlan 4094

(2) 配置与Core设备连接的端口

[BRAS-GigabitEthernet3/2/1]ip address 4.4.9.1 24

[BRAS-GigabitEthernet3/2/1]dhcp select relay

[BRAS-GigabitEthernet3/2/1]dhcp relay server-address 31.31.31.6

[BRAS-GigabitEthernet3/2/1]dhcp relay server-address 31.31.31.7

(3) 配置与Core设备连接的4094子接口

[BRAS]int GigabitEthernet 3/2/1.4094

[BRAS-GigabitEthernet3/2/1.4094]vlan-type dot1q vid 4094

[BRAS-GigabitEthernet3/2/1.4094]ip address 4.4.8.1 24

(4) 删除STP

[Core]undo stp global enable

5.4.6 快捷选择设备功能

· 控制组件E6701L01及以后的版本新增“快捷选择设备”的功能，主要用于复杂场景中，便于用户选择需要进行自动化部署的设备。

· 仅可选择变化链路和断开链路相关联的设备。

· 本功能仅选择设备，后续进行自动化部署需用户自行单击<启动自动化部署>按钮。

该功能主要用于复杂场景中，便于用户选择需要进行自动化部署的设备。

(1) 选择一台待纳管设备，单击<快捷选择设备>按钮。

图5-73 扩容链路

(2) 选择要进行部署的本端设备作为起点，关联设备会自动选中，用户可手动单击设备名切换该设备的勾选状态。

默认展示一个区块，每个区块都包含本端设备和关联设备两项，必须选择了本端设备后才可以继续增加区块，删除区块时最少保留一个区块。

(3) 快捷选择设备

以本端设备为起点，找出与其相连的变化链路和断开链路的对端设备，再以这些对端设备继续查找，最后计算得出关联设备。

(4) 单击<确定>按钮后，拓扑中会自动选中本端设备和关联设备。

图5-74 点击确定

(5) 单击<启动自动化部署>按钮，则控制组件会对变化且被选中的拓扑节点和链路自动下发相关配置。

图5-75 自动化部署完成

5.5 设备上线（半自动化）

园区角色半自动化方案共包含两部分内容：

· 一部分是Core设备、Distribution设备Underlay的手动配置及纳管。

· 另一部分是Access设备的自动化部署。

Access使用VLAN4094进行纳管。

5.5.1 创建半自动化模板

1. 控制组件配置

参考本文5.4.1 控制组件配置。

下面仅介绍不同之处：

· 设备配置模板中“半自动化上线”勾选“是”，其余参考本文5.4.1 3. 设备角色模板。

图5-76 半自动化设备角色模板

· 设备上线清单、设备版本升级仅添加access角色的即可，填写方式参考本文5.4.1 5. 设备上线清单、5.4.1 4. 设备版本升级配置（按需）。

5.5.2 Core、Distribution设备手动纳管

手动纳管Core、Distribution，请参考本文5.8.1 Core设备以及5.8.2 Distribution设备。

5.5.3 Access设备自动化上线

1. 恢复出厂配置

用户需要保证设备恢复出厂配置，进行自动化上线。

<Sysname> restore factory-default

This command will restore the system to the factory default configuration and clear the operation data. Continue [Y/N]:y

Restoring the factory default configuration. This process might take a few minutes. Please wait..........................................................................................................Done.

Please reboot the system to place the factory default configuration into effect.

2. Access设备空配置启动

Access设备空配置启动，自动获取IP地址后获得自动化部署模板进行部署。

Automatic configuration attempt: 1.

Not ready for automatic configuration: no interface available.

Waiting for the next...

Automatic configuration attempt: 2.

Interface used: Vlan-interface1.

Enable DHCP client on Vlan-interface1.

Set DHCP client identifier: 542bded66358-VLAN0001

Line aux0 is available.

Press ENTER to get started.

3. 设备版本升级（按需）

请参考本文5.4.2 2. 设备版本升级（按需）。

4. 启动自动化部署

进入[自动化>园区网络>Fabrics>查看拓扑]页面，使能<自动化开关>按钮，单击<全选>按钮选择所有设备，或Ctrl键+鼠标左键选中部分设备，单击<启动自动化部署>按钮，则被选中设备开始进行自动化部署。

图5-77 启动自动化部署前---Core、Distribution设备手动纳管，Access自动化上线

图5-78 启动自动化部署

5. 查看自动化部署详情

拓扑中的所有设备开始自动化部署后，可以通过<查看部署详情>及<历史部署记录>查看整体部署情况。以三层组网为例：

图5-79 部署详情

图5-80 部署记录

6. 查看设备上线结果

进入[自动化>园区网络>设备组]页面，查看设备信息，所有已经自动化上线完成的设备更新完成，Access在线状态为激活，管理状态为已纳管。

图5-81 三层组网设备组

5.6 Access级联

与Distribution直连的Access为一级Access，一级Access下级联二级Access设备，依次类推。目前最多支持三级Access级联。二级Access设备的自动化上线与一级Access设备上线过程类似。

新自动化上线与半自动化上线，Access级联上线步骤相同，下面以新自动化二级access级联为例介绍。

5.6.1 二级Access设备空配置启动自动化上线

(1) 接入二级Access设备后查看拓扑并启动级联Access设备自动化部署。

图5-82 级联Access自动化部署

(2) 所有级联Access完成自动化部署后，通过单击“查看部署详情”链接查看整体部署情况。

图5-83 设备自动化部署详情

(3) 双击设备节点，查看其中一台级联Access的部署详情。

图5-84 设备自动化部署详情

5.6.2 查看设备及检查部署结果

1. 查看控制组件上设备状态

进入[自动化>园区网络>网络设备]页面，查看设备信息，所有级联Access设备自动创建正确，且在线状态为激活。

图5-85 网络设备

进入[自动化>园区网络>Fabrics>查看拓扑]页面，可查看到设备的拓扑节点及链路已更新为已配置状态。

图5-86 拓扑

2. 级联Access设备主要配置检查

查看级联Access设备IP已经分别获取了VLAN1和VLAN4094的IP地址。

<Access2>dis ip int brief

*down: administratively down

(s): spoofing (l): loopback

Interface Physical Protocol IP address VPN instance Description

Vlan1 *down down 4.4.9.221 -- --

Vlan4094 up up 4.4.8.2 -- --

级联Access设备之间互联口配置：

[Access2]int GigabitEthernet 1/0/1

[Access2-GigabitEthernet1/0/1]dis th

interface GigabitEthernet1/0/1

port link-type trunk

port trunk permit vlan 1 4094

stp instance 0 port priority 16

stp instance 0 cost 1

5.7 设备堆叠

新自动化支持Core/Distribution/Access设备单台或堆叠上线。当用户有堆叠需求时，可以在设备开始启动自动化部署前配置设备堆叠，支持自动化部署后的堆叠设备扩容、堆叠链路扩容以及堆叠链路换线。本文以Access堆叠为例简单讲述，详细堆叠流程可参考《AD-Campus 6.5 新自动化配置指导》，该文档主要讲述VXLAN组网，但堆叠流程可作为参考。

· 两台相互堆叠的交换机的所属系列、版本及角色必须完全一致；

· 堆叠口必须使用10G及以上速率的接口互连。当前Core/Distribution仅支持2台设备相互堆叠，Access最大支持9台设备相互堆叠。

· 当Access堆叠成员数量大于2时，不推荐使用控制组件配置MAD 链路，若有MAD检测需求，请手工配置

· 每台堆叠成员设备都需要和上行设备互联。

· 两台设备之间支持1个或多个堆叠口，仅支持一个MAD检测口。

· 堆叠设备扩容时堆叠设备最多只允许选中一台。

· 已形成环形堆叠的设备不允许堆叠设备扩容。

· 两台及以上已纳管的设备不支持配置堆叠，若有堆叠需求需要将设备清空配置重新上线后再进行堆叠配置。

5.7.1 Access堆叠

Access设备堆叠操作上线顺序：

(1) 每台堆叠成员设备都和上行设备互连；

(2) 两台设备互连；

(3) 操作设备空配置重启，设备获取VLAN 1地址并主动和控制组件建立WebSocket连接；

(4) 自动化拓扑页配置设备堆叠；

(5) 堆叠设备启动自动化部署。

2. 创建好连线，Access设备空配置启动

图5-87 空配置启动

3. 选择设备配置堆叠

进入[自动化>园区网络>Fabrics>查看拓扑]页面，查看设备的拓扑节点信息。

图5-88 拓扑

选中两台Access设备，单击<堆叠配置>按钮。指定主设备，选择对应的堆叠口及MAD口，单击<确定>按钮，设备自动开始堆叠，等待一段时间后，查看堆叠结果。

图5-89 堆叠配置

4. 堆叠配置记录

单击<堆叠配置记录>按钮，实时查看设备堆叠进度。

图5-90 堆叠配置记录1

图5-91 堆叠配置记录2

图5-92 查看堆叠进度

图5-93 查看堆叠配置

5. 检查设备堆叠结果

自动化拓扑页中，选中的两台Access已堆叠成功，设备拓扑节点合并成了一台设备，设备节点的图标显示由原来的两个设备节点合并成一个新图标。

图5-94 堆叠结果

设备上查看堆叠配置正常

<H3C>disp irf

MemberID Role Priority CPU-Mac Description

*1 Master 17 f010-90db-7402 ---

+2 Standby 15 f010-90db-7403 ---

--------------------------------------------------

* indicates the device is the master.

+ indicates the device through which the user logs in.

The bridge MAC of the IRF is: 542b-ded6-d7f8

Auto upgrade : yes

Mac persistent : always

Domain ID : 0

MAD检查配置正确

<H3C>disp mad ver

Multi-active recovery state: No

Excluded ports (user-configured):

Excluded ports (system-configured):

IRF physical interfaces:

Ten-GigabitEthernet1/0/49

Ten-GigabitEthernet2/0/49

BFD MAD interfaces:

GigabitEthernet1/0/39

GigabitEthernet2/0/37

Vlan-interface100

MAD ARP disabled.

MAD ND disabled.

MAD LACP disabled.

MAD BFD enabled interface: Vlan-interface100

MAD status : Normal

Member ID MAD IP address Neighbor MAD status

1 192.168.100.1/24 2 Normal

2 192.168.100.2/24 1 Normal

6. 启动堆叠设备自动化部署，并查看部署结果

选中堆叠设备以及对端设备，并单击<启动自动化部署>按钮。设备完成自动化部署后，通过双击堆叠设备节点，查看堆叠设备的部署详情。

图5-95 自动化部署

进入[自动化>园区网络>网络设备]页面，查看设备信息，堆叠设备自动创建正确，且在线状态为激活。

图5-96 网络设备

5.8 设备上线（手工纳管）

本章节介绍Core、Distribution、Aceess、BRAS不进行自动化部署时需要手动配置的基础配置部分。下面的配置只基于设备角色最基础的Underlay部分配置，以及设备控制组件纳管设备所需的配置，配置完该部分配置后，SeerEngine-Campus控制组件可以纳管设备。

5.8.1 Core设备

Core设备在纳入到SeerEngine-Campus管理之前，需要手动进行如下配置：

(1) 设备Sysname配置

[Core]sysname Core

(2) 配置LLDP，用以确定拓扑关系

[Core]lldp global enable

(3) 配置STP

[Core]stp mode mstp

[Core]stp global enable

[Core]stp instance 0 priority 0

(4) 配置SNMP、NETCONF、TELNET、SSH

# 配置SNMP，下面的配置为默认配置，SNMP团体字根据实际情况配置

[Core]snmp-agent

[Core]snmp-agent community write private

[Core]snmp-agent community read public

[Core]snmp-agent sys-info version all

[Core]snmp-agent packet max-size 8192

#配置NETCONF

[Core]netconf soap http enable

[Core]netconf soap https enable

[Core]netconf ssh server enable

[Core]restful https enable

#配置telnet

[Core]telnet server enable //使用telnet功能时必须配置

#配置ssh

[Core]ssh server enable

(5) 配置Telnet/SSH用户名、密码

#设置用户名、密码为admin、H3C1234567

[Core]local-user admin class manage

[Core-luser-manage-admin]password simple H3C1234567 //需设置密码符合等级保护要求。不能少于10个字符,最长63个字符，至少包含数字、大写字母、小写字母和特殊字符中的两种类型，不支持中文，不能包含‘？’和空格，不允许包含用户名和用户名倒序。

[Core-luser-manage-admin]service-type telnet http https ssh

[Core-luser-manage-admin]authorization-attribute user-role network-admin

[Core-luser-manage-admin]authorization-attribute user-role network-operator

[Core]line vty 0 63

[Core-line-vty0-63]authentication-mode scheme

[Core-line-vty0-63]user-role network-admin

[Core-line-vty0-63]user-role network-operator

(6) 配置VLAN1的IP地址

[Core]int vlan 1

[Core-Vlan-interface1]

[Core-Vlan-interface1]ip address 4.4.9.2 255.255.255.0

(7) 配置VLAN 4094

[Core]vlan 4094

(8) 配置Core与上行L3 Switch或BRAS设备接口的配置 //若有多条链路，则应先配置聚合，在聚合口上配置对应的配置；若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

[Core]interface Ten-GigabitEthernet3/0/23

[Core-Ten-GigabitEthernet3/0/23]port link-mode bridge

[Core-Ten-GigabitEthernet3/0/23]port link-type trunk

[Core-Ten-GigabitEthernet3/0/23]port trunk permit vlan 1 4094

配置Core与Distribution接口的配置 //若有多条链路，则应先配置聚合，在聚合口上配置对应的配置；若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

[Core]interface Ten-GigabitEthernet4/0/13

[Core-Ten-GigabitEthernet4/0/13]port link-mode bridge

[Core-Ten-GigabitEthernet4/0/13]port link-type trunk

[Core-Ten-GigabitEthernet4/0/13]port trunk permit vlan 1 4094

[Core-Ten-GigabitEthernet4/0/13] stp instance 0 port priority 16

[Core-Ten-GigabitEthernet4/0/13] stp instance 0 cost 1

[Core-Ten-GigabitEthernet4/0/13] stp root-protection

[Core-Ten-GigabitEthernet4/0/13] stp tc-restriction

Core的下行口需使能stp tc-restriction，stp root-protection。

(9) 配置静态路由

[Core]ip route-static 31.31.31.0 24 4.4.9.1//目的园区控制组件、vdhcp网段，下一跳vlan1网关

[Core]ip route-static 192.169.0.0 16 4.4.9.1//目的统一数字底盘网段，下一跳vlan1网关

(10) 配置NTP

#IP地址为NTP服务器IP，统一数字底盘默认内置NTP服务器，IP地址为集群北向IP

[Core]ntp-service enable

[Core]ntp-service unicast-server 192.169.245.35

(11) Core堆叠环境配置桥MAC保持不变，若Core为堆叠设备，需配置如下命令，确保主备倒换时设备桥MAC保持不变

[Core]irf mac-address persistent always

5.8.2 Distribution设备

Distribution设备在纳入到SeerEngine-Campus管理之前，需要手动进行如下配置：

(1) 设备Sysname配置

[Distribution]sysname Distribution

(2) 配置LLDP，用以确定拓扑关系

[Distribution]lldp global enable

(3) 配置STP

[Distribution]stp mode mstp

[Distribution]stp global enable

[Distribution]stp instance 0 priority 8192 \\有Core时配置该配置，无Core时，应配置stp instance 0 priority 0

(4) Distribution下行接口使能stp配置 \\若有多条链路，则应在配置聚合后，在聚合口上进行配置stp配置; 若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

[Distribution]int Ten-GigabitEthernet1/0/51

[Distribution-Ten-GigabitEthernet1/0/51]stp tc-restriction

[Distribution-Ten-GigabitEthernet1/0/51]stp instance 0 cost 1

[Distribution-Ten-GigabitEthernet1/0/51] stp instance 0 port priority 16

[Distribution-Ten-GigabitEthernet1/0/51] stp root-protection \\有Core时无需配置该配置，无Core时，应配置该配置

Distribution的下行口需使能stp tc-restriction。

(5) Distribution上行连接Core设备的接口使能stp配置 \\若有多条链路，则应在配置聚合后，在聚合口上进行配置stp配置; 若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

[Distribution]int Ten-GigabitEthernet1/0/52

[Distribution-Ten-GigabitEthernet1/0/52]stp instance 0 cost 1

[Distribution-Ten-GigabitEthernet1/0/52 stp instance 0 port priority 16

(6) 配置SNMP、NETCONF、TELNET、SSH

# 配置SNMP，下面的配置为默认配置，SNMP团体字根据实际情况配置

[Distribution]snmp-agent [Distribution]snmp-agent community write private

[Distribution]snmp-agent community read public

[Distribution]snmp-agent sys-info version all

[Distribution]snmp-agent packet max-size 4096

#配置NETCONF

[Distribution]netconf soap http enable

[Distribution]netconf soap https enable

[Distribution]netconf ssh server enable

[Distribution]restful https enable

#配置telnet

[Distribution]telnet server enable //使用telnet功能时必须配置

#配置ssh

[Distribution]ssh server enable

(7) 配置Telnet/SSH用户名、密码

#设置用户名、密码为admin、H3C1234567 [Distribution]local-user admin class manage

[Distribution-luser-manage-admin]password simple H3C1234567 //需设置密码符合等级保护要求。不能少于10个字符,最长63个字符，至少包含数字、大写字母、小写字母和特殊字符中的两种类型，不支持中文，不能包含‘？’和空格，不允许包含用户名和用户名倒序。

[Distribution-luser-manage-admin]service-type telnet http https ssh

[Distribution-luser-manage-admin]authorization-attribute user-role network-admin

[Distribution-luser-manage-admin]authorization-attribute user-role network-operator

[Distribution]line vty 0 63

[Distribution-line-vty0-63]authentication-mode scheme

[Distribution-line-vty0-63]user-role network-admin

[Distribution-line-vty0-63]user-role network-operator

(8) 配置VLAN 1的IP地址

[Distribution]int vlan 1

[Distribution -Vlan-interface1]

[Distribution -Vlan-interface1]ip address 4.4.9.3 255.255.255.0

(9) 配置VLAN 4094

[Distribution]vlan 4094

(10) 配置Distribution与Access接口vlan配置 \\若有多条链路，则应在配置聚合后，在聚合口上进行配置; 若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

[Distribution]interface Ten-GigabitEthernet1/0/51

[Distribution-Ten-GigabitEthernet1/0/51]port link-mode bridge

[Distribution-Ten-GigabitEthernet1/0/51]port link-type trunk

[Distribution-Ten-GigabitEthernet1/0/51]port trunk permit vlan 1 4094

(11) 配置Distribution与Core接口vlan配置若有多条链路，则应在配置聚合后，在聚合口上进行配置;若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

[Distribution]interface Ten-GigabitEthernet1/0/52

[Distribution-Ten-GigabitEthernet1/0/52]port link-mode bridge

[Distribution-Ten-GigabitEthernet1/0/52]port link-type trunk

[Distribution-Ten-GigabitEthernet1/0/52]port trunk permit vlan 1 4094

(12) 配置静态路由

[Distribution]ip route-static 31.31.31.0 24 4.4.9.1//目的园区控制组件、vdhcp网段，下一跳vlan1网关

[Distribution]ip route-static 192.169.0.0 16 4.4.9.1//目的统一数字底盘网段，下一跳vlan1网关

(13) 配置NTP

IP地址为NTP服务器IP，统一数字底盘默认内置NTP服务器，IP地址为集群北向IP

[Distribution]ntp-service enable

[Distribution]ntp-service unicast-server 192.169.245.35

(14) Distribution堆叠环境配置桥MAC保持不变，若Distribution为堆叠设备，需配置如下命令，确保主备倒换时设备桥MAC保持不变

[Distribution]irf mac-address persistent always

5.8.3 Access设备

每一台Access设备在纳入到SeerEngine-Campus管理之前，需要手动进行如下配置：

(1) 设备Access角色和Sysname配置

#设置成Access角色

[Access]vcf-fabric role access

[Access]sysname Access

(2) 配置LLDP，用以确定拓扑关系

[Access]lldp global enable

(3) 配置STP

[Access]stp global enable

[Access]stp mode mstp

(4) 配置SNMP、NETCONF、TELNET、SSH

# 配置SNMP，下面的配置为默认配置，SNMP团体字根据实际情况配置

[Access]snmp-agent [Access]snmp-agent community write private

[Access]snmp-agent community read public

[Access]snmp-agent sys-info version all

[Access]snmp-agent packet max-size 8192

#配置NETCONF

[Access]netconf soap http enable

[Access]netconf soap https enable

[Access]netconf ssh server enable

[Access]restful https enable

#配置telnet

[Access]telnet server enable //使用telnet功能时必须配置

#配置ssh

[Access]ssh server enable

(5) 配置Telnet/SSH用户名、密码

#设置用户名、密码为admin、H3C1234567

[Access]local-user admin class manage

[Access-luser-manage-admin]password simple H3C1234567 //需设置密码符合等级保护要求。不能少于10个字符,最长63个字符，至少包含数字、大写字母、小写字母和特殊字符中的两种类型，不支持中文，不能包含‘？’和空格，不允许包含用户名和用户名倒序。

[Access-luser-manage-admin]service-type telnet http https ssh

[Access-luser-manage-admin]authorization-attribute user-role network-admin

[Access-luser-manage-admin]authorization-attribute user-role network-operator

[Access]line vty 0 63

[Access-line-vty0-63]authentication-mode scheme

[Access-line-vty0-63]user-role network-admin

[Access-line-vty0-63]user-role network-operator

(6) 配置VLAN 4094的IP地址

[Access]int vlan 4094

[Access-Vlan-interface1]ip address 4.4.8.2 255.255.255.0

(7) 配置Access与Distribution接口的配置 \\若有多条链路，则应配置聚合后，在聚合接口上进行该配置; 若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

[Access]interface Ten-GigabitEthernet1/0/49

[Access-Ten-GigabitEthernet1/0/49]port link-mode bridge

[Access-Ten-GigabitEthernet1/0/49]port link-type trunk

[Access-Ten-GigabitEthernet1/0/49]port trunk permit vlan 4094

[Access-Ten-GigabitEthernet1/0/49]stp instance 0 port priority 16

[Access-Ten-GigabitEthernet1/0/49]stp instance 0 cost 1

(8) 配置静态路由

[Access]ip route-static 31.31.31.0 24 4.4.8.1//目的园区控制组件、vdhcp网段，下一跳vlan4094网关

[Access]ip route-static 192.169.0.0 16 4.4.8.1//目的统一数字底盘网段，下一跳vlan4094网关

(9) 配置NTP

IP地址为NTP服务器IP，统一数字底盘默认内置NTP服务器，IP地址为集群北向IP

[Access]ntp-service enable

[Access]ntp-service unicast-server 192.169.245.35

(10) Distribution堆叠环境配置桥MAC保持不变，若Distribution为堆叠设备，需配置如下命令，确保主备倒换时设备桥MAC保持不变

[Access]irf mac-address persistent always

(11) 若Access的端口连接了用户终端，则建议配置STP边缘端口的配置，可以在设备纳管成功后，在控制组件页面配置，可通过本文5.12.1 2. 端口STP配置开启STP边缘端口。业务网络VLAN编排方式为默认场景下，不需要在[端口STP配置]页面手动配置。

5.8.4 BRAS设备

每一台BRAS设备在纳入到SeerEngine-Campus管理之前，需要手动进行如下配置：

(1) 配置LLDP，用以确定拓扑关系

[BRAS]lldp global enable

(2) 配置SNMP、NETCONF、TELNET、SSH

# 配置SNMP，下面的配置为默认配置，SNMP团体字根据实际情况配置

[BRAS]snmp-agent [BRAS]snmp-agent community write private

[BRAS]snmp-agent community read public

[BRAS]snmp-agent sys-info version all

[BRAS]snmp-agent packet max-size 4096

#配置NETCONF

[BRAS]netconf soap http enable

[BRAS]netconf soap https enable

[BRAS]netconf ssh server enable

[BRAS]restful https enable

#配置telnet

[BRAS]telnet server enable //使用telnet功能时必须配置

#配置ssh

[BRAS]ssh server enable

(3) 配置Telnet/SSH用户名、密码

#设置用户名、密码为admin、H3C1234567

[BRAS]local-user admin class manage

[BRAS-luser-manage-admin]password simple H3C1234567 //需设置密码符合等级保护要求。不能少于10个字符,最长63个字符，至少包含数字、大写字母、小写字母和特殊字符中的两种类型，不支持中文，不能包含‘？’和空格，不允许包含用户名和用户名倒序。

[BRAS-luser-manage-admin]service-type telnet http https ssh

[BRAS-luser-manage-admin]authorization-attribute user-role network-admin

[BRAS-luser-manage-admin]authorization-attribute user-role network-operator

[BRAS]line vty 0 63

[BRAS-line-vty0-63]authentication-mode scheme

[BRAS-line-vty0-63]user-role network-admin

[BRAS-line-vty0-63]user-role network-operator

(4) 配置接口IP地址，用以服务器纳管

#如果BRAS设备旁挂在Core设备，则配置在连接Core设备的接口上启用子接口（以4094为例）

[BRAS] int GigabitEthernet 3/2/3.4094

[BRAS-GigabitEthernet 3/2/3.4094]ip address 4.4.8.201 255.255.255.0

[BRAS-GigabitEthernet 3/2/3.4094]vlan-type dot1q vid 4094

如果BRAS设备是双链路连接到Core设备上，需要保证聚合链路两侧聚合模式一致

举例（BRAS连接MLAG-Core配置动态聚合）：

[BRAS]interface Route-Aggregation 3

[BRAS-Route-Aggregation3]link-aggregation mode dynamic

[BRAS]int Route-Aggregation 3.4094

[BRAS-Route-Aggregation3.4094]ip address 4.4.8.201 255.255.255.0

[BRAS-Route-Aggregation3.4094]vlan-type dot1q vid 4094

· 需要在Core设备上配置全局vlan 4094，连接BRAS的端口上需配置trunk vlan 4094，Core设备连接L3交换机的端口上需配置trunk vlan 4094

· 也可使用其他的vlan进行互通管理，如使用vlan5，则将本端口配置涉及的vlan 4094替换成vlan 5即可，只是需要在L3交换机上配置vlan5的网关，网关到控制组件以及数字底盘的网段路由需手动配置打通。

· 请勿使用VLAN1地址池内的网段配置BRAS设备的管理IP。

#如果BRAS设备放在Core设备和L3交换机之间，则按照章节5.3.6 BRAS配置以及5.4.5 上行设备配置变更中配置的即可，其中连接L3交换机的接口IP：4.4.10.1即可作为BRAS设备的管理IP

(5) 配置静态路由

#如果BRAS设备旁挂在Core设备，则配置在连接Core设备的接口

[BRAS]ip route-static 31.31.31.0 24 4.4.8.1//目的园区控制组件、vdhcp网段，下一跳vlan4094网关

[BRAS]ip route-static 192.169.0.0 16 4.4.8.1//目的统一数字底盘网段，下一跳vlan4094网关

#如果BRAS设备放在Core设备和L3交换机之间，则按照章节5.3.6以及5.4.5中配置的即可

(6) 配置NTP

IP地址为NTP服务器IP，统一数字底盘默认内置NTP服务器，IP地址为集群北向IP

[BRAS]ntp-service enable

[BRAS]ntp-service unicast-server 192.169.245.35

5.8.5 设备纳管

增加Core、Distribution、Access角色设备前需要先增加Fabric。路径：[自动化>园区网络>网络设备]页面，单击<增加>按钮，参数填写可参考本文5.4.1 1. 基础配置。

1. 手工增加

Core/Distribution/Access设备：

(1) 路径：[向导>增加设备]，进入增加交换设备页面。

¡ 设备标签：填写“设备标签”；

¡ 所属Fabric：选择传统网BRAS大二层类型的Fabric；

¡ 设备角色：有Core，Distribution，Access三种角色；

¡ 核心设备：包含Core角色的组网，Core角色设备是核心设备。单汇聚组网，Distribution角色设备是核心设备；若为M-LAG场景，三层/二层组网，两台Core角色设备均是核心设备，单汇聚组网，两台Distribution角色设备均是核心设备；

¡ 系统名称：填写“系统名称”；

¡ 管理IP：Core以及Distribution设备为VLAN1接口的IP地址；Access设备为VLAN 4094接口的IP地址；

¡ Underlay IP：不涉及；

¡ 设备系列：选择增加的设备类型；

¡ 站点：选择站点；

¡ 设备控制协议模板：新建或选择默认的协议模板，单击<模板修改>按钮，可修改模板。参数填写请参考本文5.3.3 创建设备控制协议模板。

图5-97 手工增加网元

设备角色为Access时，Acces设备纳管，有一个“是否为第三方设备”选项，默认为“否”。若为第三方设备或H3C不支持设备角色的设备，请选择“是”，选择登录协议；第三方设备包含H3C不支持设备角色功能的设备。

图5-98 第三方设备

(2) 设备增加完成后，“在线状态”初始为“未激活”，需一段时间进行数据同步，同步完成后，单击<刷新>按钮，设备状态更新为“激活”，表示设备已连接。

图5-99 设备状态

BRAS设备：

(3) 路径：[自动化>园区网络>网络设备>BRAS设备]，单击<增加>按钮进入增加BRAS设备页面。

¡ 设备标签：填写“设备标签”；

¡ 系统名称：填写“系统名称”；

¡ 设备IP：设备接口的IP地址，用于设备纳管；

¡ 设备系列：选择增加的设备类型；

¡ 站点：选择站点；

¡ 设备控制协议模板：新建或选择默认的协议模板，单击<模板修改>按钮，可修改模板。参数填写请参考本文5.3.3 创建设备控制协议模板。

¡ 业务自动化：业务自动化开关开启时，BRAS设备若占用设备系列授权或设备通用授权，也需要同步占用业务自动化授权，授权不足可能会导致设备增加失败；业务自动化开关关闭时，BRAS设备不占用相关授权，但无法开启业务随行开关；

¡ 业务随行：开启状态，纳管BRAS时会同步占用业务随行授权；若不开启，则后续无法创建用户组业务。

图5-100 手工增加BRAS网元

(4) 设备增加完成后，“在线状态”初始为“未激活”，需一段时间进行数据同步，同步完成后，单击<刷新>按钮，设备状态更新为“激活”，表示设备已连接。

图5-101 设备状态

(5) 选择与Fabric的互联接口。

BRAS设备激活后，进行添加指定与Fabric的互联接口。配置前需要在bras设备互联接口手工创建子接口。

配置方式如下：

[Bras]interface GigabitEthernet 3/2/11.101 #若是对端Core/单汇聚组网Distribution为聚合或者M-LAG聚合，则BRAS设备侧应在对应的聚合口创建子接口

图5-102 与Fabric互联口（1）

图5-103 与Fabric互联口（2）

在BRAS设备的接口关联Fabric后，会下发如下类似全局配置：

qos policy SDN_POLICY_IN_000

qos policy SDN_POLICY_OUT_000

BRAS设备不支持设备自动化上线，不支持自动发现，只支持该手动纳管方式。

2. 自动发现

(1) 单击[向导>自动发现]菜单项，进入发现设备页面。

(2) 输入IP地址范围和SNMP参数，单击<创建设备扫描任务>按钮，会创建一个扫描任务，自动执行扫描。在“设备列表”列出所有扫描到的未纳管的设备，如下图所示。

图5-104 发现设备

(3) 若SNMP和NETCONF参数都配置，先扫描NETCONF信息再扫描SNMP信息。在“设备列表”中选择设备，单击设备列表操作列图标，打开添加交换设备页面；参数设置请参考章节1. 手工增加的方式进行手工增加方式。

BRAS设备不支持自动发现功能，只能发现Core、Distribution、Access角色设备。

5.9 跨设备聚合配置（按需）

传统网BRAS组网已支持M-LAG，网元在被控制组件纳管后，可根据需要配置跨设备聚合；若为新自动化上线场景，则在自动化拓扑页面启动自动化操作之前，即可通过页面上的“跨设备聚合参数”按钮进行配置M-LAG配置，可参考章节5.4.3 2. 配置跨设备聚合参数（按需）。

5.9.1 Fabric启用M-LAG

(1) 路径：[自动化>网络设备>跨设备聚合>跨设备聚合参数]

(2) “使能M-LAG”选择“是”。

图5-105 Fabric启动M-LAG（1）

(3) 参数说明：M-LAG认证模式

¡ 免认证：M-LAG系统不作为认证系统，选择该选项即可。

若5.4.3 2. 配置跨设备聚合参数（按需）已有配置，则本小节步骤可忽略（属于同一个配置）。

5.9.2 配置跨设备聚合

(1) 路径：[自动化>网络设备>跨设备聚合]

图5-106 配置跨设备聚合

(2) 参数说明：

¡ Fabric：选择M-LAG设备所属的Fabric（需提前在上一步骤对Fabric使能M-LAG）。

¡ 设备信息：选择需要组成M-LAG的两台设备。

¡ 边界设备：本特性暂不涉及，不勾选即可。

¡ KeepAlive接口信息：配置KeepAlive接口，支持自动分配和手动指定方式。

可根据需要选择对Core、Distribution角色设备的跨设备聚合。

5.9.3 配置M-LAG组

Distribution和Access之间的M-LAG组，在链路已经连接好的情况下，可借助如下快捷按钮自动配置。

图5-107 自动配置M-LAG组

Core与上行L3交换机或上行BRAS设备的M-LAG组需用户手动选择端口。

Core与Distribution之间的M-LAG组也需要用户手动选择端口。

图5-108 手动配置M-LAG组

· 创建M-LAG组时，M-LAG组编号允许手工指定，不指定M-LAG组编号，默认系统自动分配。

· Core的上行口配置好M-LAG组之后，上行设备若为L3交换机，则L3应同步修改为对应端口的动态聚合；若上行设备为BRAS设备，则BRAS设备侧应配置为动态聚合（三层接口动态聚合，Route-Aggregation），参考章节5.4.5 上行设备配置变更。

· Core和Distribution之间的互联M-LAG接口，需要各自分别在Core设备M-LAG系统中，创建对应M-LAG组，端口选择Core设备连接的对端某一Distribution的M-LAG系统（或某一Distribution设备）的所有下行口；Distribution设备侧，同样创建M-LAG组，对应的成员端口选择上行连接Core设备的所有端口。

· Core和Distribution设备之间的M-LAG组配置完毕后，需要配置跨设备聚合间M-LAG组，指定链路两侧M-LAG系统的对应关系。否则后续故障替换等功能会有异常，如图5-109所示。

· 配置M-LAG组勾选 Access & 第三方Access设备，会在M-LAG接口中下放通VLAN 1和4094，用于接入控制组件纳管的Access、AC设备。去勾选 Access & 第三方Access设备，不下发任何配置，用于接入AP等其他类型设备。

· 未配置跨设备聚合业务时，会可能出现Access设备不激活的情况，配置完成组网中的所有跨设备聚合业务后，Access会重新激活。

· M-LAG聚合口成员是新自动化上行口，请勾选“上行聚合口”，可以联动新自动化拓扑显示，新自动化上行口显示聚合口。如图5-110所示。

图5-109 跨设备聚合间M-LAG组

图5-110 双Core上行配置

5.10 无线业务

5.10.1 纳管AC设备

1. AC设备配置

独立的无线AC设备可旁挂在顶层设备上（三层组网下的Core，单汇聚组网下的Distribution）上，通过VLAN4093或其他VLAN（以无线管理业务网络分配的VLAN为准）与AP进行通信，通过VLAN4094与控制组件（SeerEngine-Campus）、统一数字底盘、WSM进行通信。

若无线AC旁挂在BRAS设备旁，则AC设备与控制组间及底盘之间的管理通道需用户手动配置打通；AC与AP设备之间的管理网中，AC到Core之间的路由需用户手动打通，AP到Core之间的链路配置、网关虚接口配置可由控制组件打通。

以VLAN4094为与控制组件的管理VLAN、VLAN4093为与AP的管理VLAN进行配置举例。

(1) VLAN4094配置三层接口，用于控制组件（SeerEngine-Campus）、WSM管理AC使用。（AC旁挂顶层设备）

[AC]vlan 4094

[AC]interface Vlan-interface4094

[AC-Vlan-interface1]ip address 4.4.9.99 255.255.255.0

(2) VLAN6配置三层接口，用于控制组件（SeerEngine-Campus）、WSM管理AC使用，同时可复用于AC与AP之间的CAPWAP管理隧道使用（AC旁挂BRAS设备）

[AC]Vlan 6

[AC]interface Vlan-interface6

[AC-Vlan-interface1]ip address 59.0.1.2 255.255.255.0

(3) 配置VLAN4093三层接口作为与AP通信接口，AC以该地址与AP建立CAPWAP隧道。（AC旁挂顶层设备）

[AC]vlan 4093

[AC]interface Vlan-interface4093

[AC-Vlan-interface1]ip address 59.0.0.2 255.255.255.0

(4) 配置LLDP，以确定拓扑关系。

[AC]lldp global enable

(5) 配置STP，以防止环路。

[AC]stp global enable

(6) 配置SNMP、NETCONF参数。

#配置SNMP

[AC]snmp-agent

[AC]snmp-agent community write private

[AC]snmp-agent community read public

[AC]snmp-agent sys-info version all

[AC]snmp-agent packet max-size 4094

#NETCONF配置

[AC]netconf soap http enable

[AC]netconf soap https enable

[AC]netconf ssh server enable （必须配置）

(7) 配置本地用户H3C和telnet参数，为后续控制组件（SeerEngine-Campus）连接设备时使用。

[AC]local-user H3C class manage

[AC-luser-manage-h3c]password simple ADCampus123 ———//需设置为长密码。不能少于10个字符,最长63个字符，至少包含数字、大写字母、小写字母和特殊字符中的两种类型，不支持中文，不能包含‘？’和空格，不允许包含用户名和用户名倒序。

[AC-luser-manage-h3c]service-type ftp

[AC-luser-manage-h3c]service-type ssh telnet terminal http https

[AC-luser-manage-h3c]authorization-attribute user-role network-admin

[AC]line vty 0 31

[AC-line-vty0-31]authentication-mode scheme （必须配置为scheme模式）

[AC-line-vty0-31]user-role network-admin

[AC-line-vty0-31]user-role network-operator

(8) 配置无线AC连接BRAS/Core/单汇聚组网Distribution的接口放通所有VLAN。

[AC]interface Ten-GigabitEthernet1/0/3

[AC-GigabitEthernet1/0/3]port link-type trunk

[AC-GigabitEthernet1/0/3]port trunk permit vlan all

若是对端Core/单汇聚组网Distribution为聚合或者M-LAG聚合，则AC设备侧应配置对应的聚合口，在聚合口上配置如下配置：

[AC]interface Bridge-Aggregation 4

[AC-Bridge-Aggregation4]port link-type trunk

[AC-Bridge-Aggregation4]port trunk permit vlan all

[AC-Bridge-Aggregation4]link-aggregation mode dynamic

(9) 在本地生成配置文件并下载到无线AC上，用于AP上线后自动配置上行口放通所有VLAN，配置文件具体内容如下，本地编辑完成后上传到无线AC上：

[AC]interface GigabitEthernet1/0/1 #不同型号AP的接口名称可能不同，根据实际情况配置即可。

port link-type trunk

port trunk permit vlan all

[AC]interface GigabitEthernet1/0/2 #不同型号AP的接口名称可能不同，根据实际情况配置即可。

port link-type trunk

port trunk permit vlan all

在默认AP分组里使用map-configuration指定AP的配置文件，当AP上线时自动下载该配置文件并生效。

不同版本的该配置有所区别，部分版本可直接在AP分组视图下配置，部分版本需要在AP分组下的ap model视图下配置，根据实际设备支持的命令行配置即可。

直接在AP分组视图下配置如下命令：

wlan ap-group default-group

map-configuration cfa0:/ad.txt

#ap model视图下配置

wlan ap-group default-group

ap-model WA4320i-ACN #AP的不同型号，根据实际情况配置即可

map-configuration cfa0:/ad.txt

(10) 由于AC需要跟控制组件（SeerEngine-Campus）、WSM、统一数字底盘进行通信，需要根据实际组网添加相应的路由，配置后，AC的VLAN4094地址应能ping通控制组件（SeerEngine-Campus）、统一数字底盘和WSM的业务IP。（AC旁挂顶层设备）

[AC]ip route-static 31.31.31.0 24 4.4.8.1 //到控制组件的下一跳为vlan4094网关

[AC]ip route-static 192.169.0.0 16 4.4.8.1 //到统一数字底盘和wsm的下一跳为vlan4094网关

(11) 由于AC需要跟控制组件（SeerEngine-Campus）、WSM、AP、统一数字底盘进行通信，需要根据实际组网添加相应的路由，配置后，AC的VLAN6地址应能ping通控制组件（SeerEngine-Campus）、统一数字底盘和WSM的业务IP以及后续的AP管理网的对应IP。（AC旁挂BRAS）

[AC]ip route-static 0.0.0.0 0 59.0.1.1 //默认下一跳为BRAS设备上配置的子接口网关

(12) AC设备如果是堆叠设备，需要配置：irf mac-address persistent always。

(13) AC设备需要通过告警来更新AP状态，需要配置：snmp-agent trap enable wlan capwap。

· AC旁挂顶层设备场景下，若AC设备通过VLAN 4094来作为与控制组件和数字底盘的管理VLAN，则Core设备需手动配置VLAN4094，并在互联口上trunk permit vlan4094；

· 当AC使用VLAN 1纳管，AC集中转发模式下，选择AC互联口进行QinQ编排，编排完成后AC无法激活，因此方案推荐使用VLAN 4094纳管AC，不推荐使用VLAN 1。

2. AC添加到Fabric

(1) 在统一数字底盘中纳管AC，进入[监控>监控列表>网络>SNMP设备]页面，单击<增加>按钮添加无线AC设备。将AC纳管到统一数字底盘中，如下图所示。

图5-111 添加无线AC设备

图5-112 配置无线AC设备-基本信息

图5-113 配置无线AC设备-配置SNMP参数

选择已有的SNMP模板或者是新增SNMP模板（AC设备的配置参数需要与选择的SNMP模板中参数一致），以选择已有模板为例。

图5-114 配置无线AC设备-选择已有 SNMP模板

图5-115 单击测试“成功”

单击<确定>按钮，在返回的页面上再次单击<确定>按钮。

图5-116 配置无线AC设备-添加成功

(2) AC纳管后，选中AC设备，单击<同步>按钮。

图5-117 同步无线AC设备

(3) AC纳管成功后，进入[自动化>园区网络>网络设备>无线设备]页面，如下图所示。

图5-118 查看无线设备

(4) 单击设备标签，跳转至AC设备详情界面。

图5-119 单击设备标签

(5) 进入AC设备详情界面，单击<配置>按钮，然后再单击<修改NETCONF参数>按钮，进入修改NETCONF页面，填写如下参数：

¡ 用户名：填写和设备侧相同的用户名；

¡ 密码：填写和设备侧相同的密码。

(6) 单击<确定>按钮配置完成。

图5-120 配置

图5-121 修改NETCONF参数

(7) 在[自动化>园区网络>Fabric>设置>无线设备]页面，单击<增加>按钮，可选设备列勾选AC设备移动到已选设备列表，单击<确定>按钮。添加成功后，设备状态未激活，请单击<刷新>按钮，设备状态变更为激活。

图5-122 选择设备

图5-123 刷新

若AC设备为旁挂BRAS，可无需配置本步骤（7）。

5.10.2 AP上线

1. 配置无线管理业务网络

(1) 进入[自动化>园区网络>网络设备>BRAS设备> BRAS业务配置>业务网络]页面创建无线管理；类型的业务网络，配置参数如下图所示。若规划AC与AP的管理网段不同，或者是有多套AC、AP管理网，请先扩容配置无线管理网VLAN池，因为默认创建的无线管理网VLAN池VLAN范围仅有VLAN4093。如何扩容无线管理网VLAN池，请参考本文4.3 用户VLAN规划。

(2) 无线管理业务网络域页面部分配置参考本文5.13.2 无线管理网络。

¡ 类型：选择“无线管理”选项；

¡ 支持配置三种使用场景，AC管理网、AP管理网、AC+AP管理网，用于为AC和AP设备上线使用。

- AC+AP管理网：AC与AP设备走相同网段互通，子网网段使用AC设备VLAN4093网段（具体的VLAN以配置业务网络时用户手动指定或控制组件自动分配的为准，以VLAN4093为例），无线AC填写AC设备的IP地址；网关选择组网中顶层设备（三层组网中的Core、单汇聚组网中的Distribution）（AC 旁挂顶层设备组网支持该类型）

- AC管理网、AP管理网：AC、AP使用不同的网段，网关选择组网中顶层设备（三层组网中的Core、单汇聚组网中的Distribution）

AC管理网：子网网段填写AC设备VLAN4093（以AC管理业务网络分配的vlan为准）网段，该子网不会推送给dhcp服务器。（AC 旁挂顶层设备组网支持该类型）

AP管理网：子网网段不与其他网段冲突即可，增加“无线AC”，填写AC设备VLAN4093地址，网关设备选择Core或单Distribution设备（AC 旁挂顶层设备、BRAS组网均支持该类型）

若为AC旁挂顶层设备，AC与AP走不同网段互通，此时需要手动到AC设备添加一条静态路由：

[AC]ip route-static 12.0.0.0 24 11.0.0.1 //12.0.0.0是AP管理网网段，下一跳是AC

管理网网关

若为AC旁挂BRAS设备场景，则需在AP管理网的网关设备上（Core或单Distribution设备）手动配置到AC设备网段的下一跳

[Core]ip route-static 59.0.1.0 24 4.4.9.1 //4.4.9.1是BRAS设备上的地址（Core、

Distributong等设备的Vlan1网关）,59.0.1.0/24网段是AC设备的IP 网段

本文以三层组网为例，使用AC+AP管理场景进行AP纳管上线。

图5-124 配置AC+AP无线管理业务网络（1）

网络范围填写Core设备与AC设备连接的ac类型端口，以及Access设备与AP连接的ap类型端口。

图5-125 配置AC+AP无线管理业务网络（2）

· 若为双Core组网，则网关处应同时选择两台Core设备，AC设备通过M-LAG接口连接两台Core设备，网络范围处应填写两台Core设备连接AC的接口。

· 同理，若为双Distribution组网，则网关处应同时选择两台Distribution设备，AC设备通过M-LAG接口连接两台Distribution设备，网络范围处应填写两台Distribution设备连接AC的接口。

无线AC填写AC设备VLAN 4093地址。

图5-126 配置AC+AP无线管理业务网络（3）

图5-127 查看业务网络

高级页签中，ARP Snooping选择为“否”。

图5-128 高级

(3) 添加无线AC的IP地址后，控制组件下发DHCP子网配置时，会多下发option43字段，用于AP通过DHCP获取IP时解析AC设备VLAN4093的IP。进入[自动化>园区网络>网络参数>DHCP>DHCP服务器信息>地址池详情]页面，可以查看option43选项信息。

图5-129 查看地址池

多隔离域场景，每个隔离域需要分别创建无线类型业务网络，AC地址填对应的AC地址。

2. WSM组件中配置AP模板

(1) 进入[自动化>园区网络>网络设备>无线设备>相关链接>配置管理]页面，单击“AP模板配置”链接创建AP模板，如下图所示。

图5-130 配置管理

图5-131 创建AP模板

图5-132 增加AP模板

(2) AP上线并注册成功后，在[监控>监控列表>网络>SNMP设备]界面选中AC，单击<同步>按钮，再去[自动化>园区网络>网络设备>无线设备]页面查看，AP状态会变为在线，如下图所示。

图5-133 查看状态

若此处不显示AP信息，可以进入[监控>监控列表>网络]页面勾选AC设备，然后单击<同步>按钮。

3. AP信息查看

AP上线后，可以在AC设备上查看AP的状态，状态应该为“R/M”状态，如下图所示。

图5-134 查看AP状态

5.11 通用组

路径：在[自动化>园区网络>Fabric]页面，单击Fabric右侧的<设置>按钮，选择[通用组]页签，可进行创建设备组和接口组。

VLAN设备参数的相关业务均可绑定通用组，有新增、删除业务时，可直接在对应的通用组中增加、删除成员。

5.11.1 设备组

增加通用组时可选择类型为设备组。

图5-135 增加设备组

5.11.2 接口组

接口组增加页面如下，当选择接口组时支持选择子类型，子类型支持物理口（包含聚合口，即图中中的“无”），也支持选择VLAN虚接口。

图5-136 增加接口组

增加接口成员时，可通过单击<刷新>按钮获取设备最新的接口信息。

图5-137 接口状态刷新

5.12 VLAN设备参数

路径：[自动化>园区网络>Fabric]，单击Fabric右侧的<设置>按钮，选择[VLAN设备参数]页签。

5.12.1 全局STP配置

选择[全局STP配置]页签，进入全局STP配置页面，在该页面单击<增加>按钮，进入增加全局配置页面，配置STP域名，生成树实例及是否使能，并选择对应的设备组，配置完成后单击<确定>按钮完成配置。

请根据需要配置。按照本文档进行新自动化的方式，以及手动配置设备配置的方式，无需再通过本页面进行相关配置。

图5-138 增加全局STP配置

配置后，设备上会下发如下类似配置。

stp region-configuration

region-name my_stp

instance 10 vlan 10 to 20

active region-configuration

2. 端口STP配置

选择[STP配置>端口STP配置]页签，单击<增加>按钮，进入增加端口STP配置页面，配置“STP使能”与“STP边缘端口”的开启或关闭，然后选择对应的接口组，配置完成后单击<确定>按钮完成配置。

图5-139 增加端口STP配置

5.12.2 端口隔离

选择[端口隔离]页签，进入端口隔离页面，在该页面单击<增加>按钮，进入增加端口隔离页面，指定隔离组ID，选择接口组，配置完成后单击<确定>按钮完成配置。

图5-140 增加端口隔离

配置完毕后，可查看到接口配置上配置如下：

port-isolate enable group 1

全局配置增加如下：

port-isolate group 1

5.12.3 端口配置

在业务网络页面创建网络范围后，可以在端口配置页面看到信息并修改，但不支持删除。

对如下接口进行配置可能导致风险：

· 互联口：可能会导致当前设备或其下联设备与控制组件不通。

· 堆叠口：配置下发失败。

· 聚合成员口：配置下发失败。

· MAD口：BFD MAD检测功能失效。

1. 端口VLAN

选择[端口配置>端口VLAN]页签，进入端口配置页面，单击<增加>按钮，进入增加端口VLAN页面，配置端口VLAN相关配置信息，选择接口组，然后单击<确定>按钮完成配置。

图5-141 增加端口VLAN配置

2. 端口高级配置

选择[端口配置>端口高级配置]页签，进入端口高级配置页面，单击<增加>按钮，进入增加端口高级配置页面，配置端口配置，关联接口组后单击<确定>按钮完成配置。端口下支持配置包含Dhcp Snooping Trust、风暴抑制、IPSG功能。

若使用二层网络域功能，不需要配置本页面功能，请根据需要配置。

图5-142 增加端口高级配置

本页面功能为非必要配置，请根据实际需要进行配置。

5.12.4 自定义配置

请根据实际需要进行配置。

1. 设备自定义配置

选择[自定义配置>设备自定义配置]页签，进入设备自定义配置页面，单击<增加>按钮，进入增加设备自定义配置页面，配置自定义配置，自定义配置包含绑定设备时下发的配置，以及解绑定时删除的配置，关联设备组后单击<确定>按钮完成配置。

图5-143 增加设备自定义配置

创建后完成，可查看部署结果。

图5-144 设备自定义配置结果展示

2. 接口自定义配置

选择[自定义配置>接口自定义配置]页签，进入接口自定义配置页面，单击<增加>按钮，进入接口自定义配置页面，配置自定义配置，自定义配置包含绑定接口时下发的配置，以及解绑定时删除的配置，然后关联接口组后单击<确定>按钮完成配置。

图5-145 增加接口自定义配置

部署后可查看部署展示结果。

图5-146 接口自定义配置部署结果展示

请谨慎对互联口进行操作，以防造成设备脱管。

5.13 用户业务配置

用户业务配置，包括隔离域、业务网络域、用户组、IT资源组和网络策略的相关配置。

5.13.1 隔离域

“隔离域”用于隔离用户网络。每个“隔离域”拥有独立的DHCP系统、认证系统、无线AC控制组件，一般根据物理位置划分，例如公司的一个园区，医院的一个院区，学校的一个校区等。

一个“隔离域”可包含多个“Fabric”，但是一个“Fabric”只能属于一个“隔离域”，“隔离域”和“Fabric”是一对多的关系。

隔离域配置方式有如下两种，本文档以使用园区向导方式为例进行配置介绍。

· 园区向导方式。路径：[向导>园区向导>接入网络规划]，第一步“隔离域”步骤中，切换至“隔离域”页签进行配置。

· 非园区向导方式。路径：[自动化>园区网络>隔离域>隔离域]中进行配置。

设置隔离域，包括指定“DHCP服务器”、设置“策略模式”和绑定“Fabric”。

· DHCPv4服务器：指定隔离域使用的DHCP服务器；

目前DHCPv4支持紧耦合和松耦合，紧耦合时配置的业务网络地址池会自动下发DHCP服务器；松耦合时业务网络的地址池不会自动下发DHCP服务器，需到DHCP服务器上手动创建。

· 策略模式：默认为“组策略”，不能修改；

· 增加Fabric：设置隔离域内包含的Fabric。

· DNS：指定隔离域使用的DNS服务器IP地址；

· 高级：无线转发模式默认。

¡ 无线转发模式：默认“AP本地转发”；可根据需要选择“AC集中转发”；

图5-147 创建隔离域

5.13.2 无线管理网络配置

路径：[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>业务网络]中进行配置。

(1) 进入业务网络页面。

图5-148 业务网络

(2) 单击<增加>按钮，进入增加业务网络页面。

¡ 隔离域：指定隔离域；

¡ Fabric：指定对应的Fabric；

¡ 类型：用户业务选择“无线管理”；无线管理支持配置三种使用场景，AC管理网、AP管理网、AC+AP管理网，用于为AC和AP设备上线使用；使用方法可参考5.10 无线业务。

¡ 网关设备：用于下发无线管理的网关接口及地址；BRAS大二层组网中需要选择Core设备（M-LAG组网时，需同时选择两台M-LAG成员设备；）。

¡ VLAN ID：当类型为无线管理类型时，支持选择；用于下发无线管理的网关接口及地址；

¡ IPv4地址获取方式：“自动”表示向DHCP Server创建地址池，无线AP可动态获取IP地址；“手动”表示不创建DHCP地址池，无线AP通过配置静态IP地址的方式认证上线；选择“自动”时，可设置地址租约，默认为1天，请根据实际情况设置。

· IPv4地址获取方式“自动”时，若无线AP通过配置静态IP地址的方式上线，需手动去[网络参数>DHCP服务器>IP禁止分配地址]中增加配置的静态IP地址。

· 使用场景为“AC管理网”时该选项隐藏。

图5-149 增加业务网络（无线管理）

(3) 配置[子网]页签，单击<增加>按钮，进入增加子网页面，填写输入框后，单击<确定>按钮保存配置。

图5-150 增加子网

(4) 子网配置完成后，单击<确定>按钮，返回增加业务网络页面。在该页面中切换至[网络范围]页签，注意只有当前网络类型为“无线管理”时支持配置；单击<增加>按钮，配置网络范围。

¡ 当使用场景为AC管理网时，网络范围选择顶层设备连接AC设备的接口。

¡ 当使用场景为AP管理网时，网络范围选择组网中设备连接AP设备的接口。

¡ 当使用场景为AC+AP管理网，连接AC和AP的接口均需要选择。

图5-151 增加接口

· 无线管理业务网络会在网络范围设备和网关设备之间的互联口上增加permit vlan为业务网络VLAN的端口配置。当网络拓扑发生变化时，需要在业务网络域页面单击按钮来更新互联口。

· 在无线管理业务网络增加网络范围成功后，在Fabric的[VLAN设备参数>端口配置]页面同步可见，用户可以在该页面配置端口的其它内容。单击删除按钮，会同步删除[VLAN设备参数>端口配置]中的端口VLAN。

(5) 网络范围配置完成后，单击<确定>按钮，返回增加业务网络页面。当网络类型为无线管理，且使用场景为AP管理网、AC+AP管理网时，在该页面中切换至[无线AC]页签，单击<增加>按钮，配置AC设备IP地址，该IP地址用于AC与AP设备建立capwap隧道使用。

图5-152 无线AC IP填写

(6) 网络范围配置完成后，单击<确定>按钮，返回增加业务网络页面。在该页面中切换至[高级]页签，确保ARP Snooping为“否”。

图5-153 ARP Snooping

(7) 网络范围的端口会在[自动化>园区网络>Fabric>设置>VLAN设备参数>端口配置]页面显示。若需要对端口有进一步的配置，可通过修改按钮继续修改。

图5-154 查看端口配置

图5-155 修改端口配置

5.13.3 VLAN编排-有线业务

路径：[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>业务网络]中进行配置。

(1) 进入业务网络页面。

图5-156 业务网络

(2) 单击<增加>按钮，进入增加业务网络页面。

¡ 隔离域：指定隔离域；

¡ Fabric：指定对应的Fabric；

¡ 类型：用户业务选择“有线业务”；

¡ VLAN编排方式：选择“默认”；

¡ 互联设备配置：选择Core设备与BRAS设备的互联端口（M-LAG场景，两个成员设备的聚合口均需要选择）；

¡ VLAN范围：设置有线用户接入端口的VLAN范围，取值需要在“有线业务VLAN池”范围内。

图5-157 有线业务

(3) 在[网络范围]页签增加接口，勾选“交换设备接口”，单击<增加>按钮，增加Access直连用户的接口。

图5-158 增加接口

(4) 单击已选接口列表的VLAN列的链接，弹出修改VLAN页面，可以自定义某个接口的VLAN，如下：

图5-159 修改VLAN

(5) 最后单击<确定>按钮完成配置。

图5-160 网络范围

(6) 对应的Access接口会下发对应的业务VLAN。Core连接BRAS的接口、核心汇聚接入设备互联端口会下发配置透传该业务VLAN。

(7) 以用户VLAN 123为例，下发的配置如下：

¡ Access连接用户端口使用VLAN 123

图5-161 Access连接用户端口

¡ 设备互联端口透传VLAN 123（以Access上行口为例）

图5-162 设备互联端口

¡ 核心设备连接BRAS的端口透传VLAN 123

图5-163 核心设备连接BRAS端口

(8) 如果是EPON组网，在[网络范围]页签，勾选“ONU设备接口”，增加ONU直连用户的接口。

图5-164 ONU设备接口

图5-165 增加接口

(9) 单击已选接口列表VLAN列的链接，弹出修改VLAN页面，可以单独设置接口的VLAN。

图5-166 修改VLAN

(10) 单击<确定>按钮完成配置。

图5-167 网络范围

(11) 配置完成后，对应的UNI接口会下发对应的业务VLAN。Core连接BRAS的接口、核心汇聚互联端口、汇聚设备OLT接口、ONU接口会下发配置透传该业务VLAN。

(12) 以用户VLAN 133为例，下发的配置如下：

¡ ONU的UNI 2接口使用tag VLAN 133，ONU接口透传VLAN 133。

图5-168 ONU接口

¡ 汇聚设备的OLT接口透传VLAN 133。

图5-169 汇聚设备的OLT接口

¡ 核心、汇聚设备互联端口透传VLAN 133（以汇聚设备上行口为例）

图5-170 汇聚设备上行口

¡ 核心设备连接BRAS的接口透传VLAN 133。

图5-171 核心设备连接BRAS接口

5.13.4 VLAN编排-无线业务

路径：[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>业务网络]中进行配置。

(1) 进入业务网络页面。

图5-172 业务网络

(2) 单击<增加>按钮，进入增加业务网络页面。

¡ 隔离域：指定隔离域；

¡ Fabric：指定对应的Fabric；

¡ 类型：用户业务选择“无线业务”；

¡ VLAN编排方式：选择“默认”；

¡ 互联设备配置：选择Core设备与BRAS设备的互联端口（M-LAG场景，两个成员设备的聚合口均需要选择）；

¡ VLAN范围：设置无线用户业务VLAN范围，取值需要在“无线业务VLAN池”范围内。

图5-173 业务网络

(3) 在[网络范围]页签增加接口，勾选“交换设备接口”，单击<增加>按钮，增加Access直连AP的接口。

图5-174 增加接口

(4) 单击已选接口列表的VLAN列的链接，弹出修改VLAN页面，可以调整VLAN范围，如下：

图5-175 修改VLAN

(5) 配置完成后，单击<确定>按钮。

(6) 对应的Access接口会放通对应的无线业务VLAN范围。Core连接BRAS的接口、核心汇聚接入设备互联端口会下发配置放通该无线VLAN范围。

(7) 以无线业务VLAN 3015 to 3505为例，下发的配置如下：

¡ Access连接AP的端口放通VLAN 3501 to 3505：

图5-176 Access连接AP端口

¡ 设备互联端口放通VLAN 3501 to 3505（以access上行口为例）：

图5-177 设备互联端口

¡ 核心设备连接BRAS的端口放通VLAN 3501 to 3505：

图5-178 核心设备连接BRAS端口

(8) 如果是EPON组网，在[网络范围]页签，勾选“ONU设备接口”，单击<增加>按钮，增加ONU直连AP的接口。

图5-179 增加接口

(9) 单击已选接列表VLAN列的链接，弹出修改VLAN页面，可以单独设置接口的VLAN。

图5-180 修改VLAN

(10) 配置完成后单击<确定>按钮。

图5-181 网络范围

(11) 对应的UNI接口会放通对应的无线业务VLAN范围。Core连接BRAS的接口、核心汇聚互联端口、汇聚设备OLT接口、ONU接口会下发配置放通无线业务VLAN范围。

(12) 以无线业务VLAN 3501 to 3505为例，下发的配置如下：

¡ ONU的UNI 4接口使用透明模式并下发端口隔离，ONU接口放通VLAN 3501 to 3505：

图5-182 ONU接口

¡ 汇聚设备的OLT接口透传VLAN 3501 to 3505：

图5-183 汇聚设备的OLT接口

¡ 核心、汇聚设备互联端口放通VLAN 3501 to 3505（以汇聚设备上行口为例）

图5-184 汇聚设备上行口

¡ 核心设备连接BRAS的端口放通VLAN 3501 to 3505：

图5-185 核心设备连接BRAS的端口

5.13.5 QinQ编排-有线业务

若手工增加业务网络编排方式为QinQ的相关配置，可参考以下控制组件下发的配置。

路径：[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>业务网络]中进行配置。

暂不支持EPON组网。

(1) 进入业务网络页面。

图5-186 业务网络

(2) 单击<增加>按钮，进入增加业务网络页面。

¡ 隔离域：指定隔离域；

¡ Fabric：指定对应的Fabric；

¡ 类型：用户业务选择“有线业务”；

¡ VLAN编排方式：选择“QinQ”；

¡ 互联设备配置：选择Core设备与BRAS设备的互联端口（M-LAG场景，两个成员设备的聚合口均需要选择）；

¡ VLAN范围：设置QinQ外层VLAN范围，取值需要在“有线业务VLAN池”范围内。

图5-187 业务网络

(3) 在[网络范围]页签增加接口，勾选“交换设备接口”，单击<配置>按钮，配置汇聚下行口的外层VLAN。

(4) 对于M-LAG组网，同一组汇聚设备的下行口（即一对M-LAG接口）均需要添加。

图5-188 配置网络范围

(5) 单击已选接口列表的VLAN列的链接，弹出修改VLAN页面，可以自定义汇聚下行口的外层VLAN（同一对M-LAG接口需要设置相同VLAN），如下：

图5-189 修改VLAN

(6) 勾选接口列表成员，单击<编排>按钮，可以自动编排汇聚下行口对应Access用户接口的VLAN，取值为有线业务VLAN范围。该VLAN即QinQ的内层VLAN。单击<配置编排结果>按钮可以查看编排情况，在编排结果页面可以单击VLAN列的链接修改内层VLAN。

图5-190 编排结果

(7) 配置完成后单击<确定>按钮。

图5-191 网络范围

(8) 汇聚下行口会下发指定的外层VLAN，对应的Access用户接口自动编排内层VLAN。

(9) Core连接BRAS的接口、核心汇聚设备互联端口会下发配置透传外层VLAN。

(10) 以外层VLAN 105为例，下发的配置如下：

¡ Access连接用户端口在有线业务VLAN范围内自动编排内层VLAN（VLAN 101~121）：

图5-192 Access连接用户端口在有线业务VLAN范围内自动编排内层VLAN

¡ Access上行口放通内层VLAN 101~121：

图5-193 Access上行口

¡ 汇聚设备下行口使能QinQ，指定外层VLAN为VLAN 2005，并透传内层VLAN 101~121。

图5-194 汇聚设备下行口

¡ 核心、汇聚设备互联端口透传外层VLAN 2005（以汇聚设备上行口为例）：

图5-195 核心、汇聚设备互联端口

¡ 核心设备连接BRAS的端口透传外层VLAN 2005：

图5-196 设备设备连接BRAS端口

5.13.6 QinQ编排-有线+无线业务

若手工增加业务网络编排方式为QinQ的相关配置，可参考以下控制组件下发的配置。

路径：[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>业务网络]中进行配置。

暂不支持EPON组网。

(1) 进入业务网络页面。

图5-197 业务网络

(2) 单击<增加>按钮，进入增加业务网络页面。

¡ 隔离域：指定隔离域；

¡ Fabric：指定对应的Fabric；

¡ 类型：用户业务选择“有线+业务”；

¡ VLAN编排方式：选择“QinQ”；

¡ 互联设备配置：选择Core设备与BRAS设备的互联端口（MLAG场景，两个成员设备的聚合口均需要选择）；

¡ VLAN范围：设置QinQ外层VLAN范围，取值需要在“有线业务VLAN池”范围内。

图5-198 业务网络

(3) 在[网络范围]页签增加接口，勾选“交换设备接口”，单击<配置>按钮，配置汇聚下行口的外层VLAN。

(4) 对于M-LAG组网，同一组汇聚设备的下行口（即一对M-LAG接口）均需要添加。

图5-199 配置接口

(5) 单击已选接口列表的VLAN列的链接，弹出修改VLAN页面，可以自定义汇聚下行口的外层VLAN（同一对M-LAG接口需要设置相同VLAN），如下：

图5-200 修改VLAN

(6) 勾选接口列表成员，单击<编排>按钮，可以自动编排汇聚下行口对应Access用户接口的VLAN，取值为有线业务VLAN范围。连接AP的接口会自动化编排为放通无线业务VLAN（如下图中的XGE1/0/5）。该VLAN即QinQ的内层VLAN。单击<配置编排结果>可以查看编排情况，在编排结果页面可以单击VLAN列的链接修改有线用户接口的内层VLAN。

图5-201 编排结果

(7) 配置完成后，单击<确定>按钮。

图5-202 网络范围

(8) 汇聚下行口会下发指定的外层VLAN，对应的Access用户接口自动编排内层VLAN，对应的Access连接AP的接口会放通无线业务VLAN作为内层VLAN，Core连接BRAS的接口、核心汇聚设备互联端口会下发配置透传外层VLAN。

(9) 以外层VLAN 105为例，下发的配置如下：

¡ Access连接用户端口在有线业务VLAN范围内自动编排内层VLAN（VLAN 101~121）：

图5-203 Access连接用户端口在有线业务VLAN范围内自动编排内层VLAN

¡ Access连接AP的端口放通无线业务VLAN作为内层VLAN（VLAN 3501~3600）：

图5-204 Access连接AP的端口

¡ Access上行口放通内层VLAN 101~121和3501~3600：

图5-205 Access上行口

¡ 汇聚设备下行口使能QinQ，指定外层VLAN为VLAN 2005，并透传内层VLAN 101~121和3501~3600。

图5-206 汇聚设备下行口

¡ 核心、汇聚设备互联端口透传外层VLAN 2005（以汇聚设备上行口为例）：

图5-207 核心、汇聚设备互联端口

¡ 核心设备连接BRAS的端口透传外层VLAN 2005：

图5-208 核心设备连接BRAS的端口

5.13.7 用户组

路径：[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>用户组]中进行配置，单击<增加>按钮，进入增加用户组页面。

用户组主要用于控制用户权限使用，相关参数如下：

· 名称：填写用户组名称。

· 类型：目前仅支持普通类型。

· 隔离域范围：选择BRAS设备管理的BRAS大二层类型隔离域；

· 授权用户组：用于下发到设备上的user-group；

图5-209 增加用户组

配置后，设备上新增配置如下：

user-group student_group

5.13.8 IT资源组

路径：[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>用户组>IT资源组]中进行配置，单击<增加>按钮，进入增加资源组页面，。

资源组主要用于控制用户与资源组的权限使用，相关参数如下：

· 名称：填写资源组名称。

单击<增加地址信息>按钮，弹出增加IP地址页面。

· 类型：选择子网类型。

· IP版本：支持选择IPv4和IPv6类型；

· 子网：支持填写网段，也支持填写主机位；可在一个资源组中填写多条地址池信息。

图5-210 增加IT组

若策略矩阵不是默认拒绝，则配置IT资源不会触发控制组件下发任何配置。

5.13.9 策略矩阵

本章节的相关配置只会下发在BRAS设备上。

路径：[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>策略矩阵]

网络矩阵用于配置用户组之间，以及用户组与资源组之间的用户权限。

可通过在矩阵页面拖拽“组间策略模板”的方式设置，直观、易用，简化用户操作。

1. 时间范围

(1) 选择[时间范围]页签，进行时间范围的配置，“时间范围”为非必配项，可按需进行设置。

(2) 单击<增加>按钮，在弹出的增加时间范围页面中设置时间范围，配置完成后单击图标保存配置，并单击<确定>按钮保存配置。

图5-211 时间范围

2. 策略模板

(1) 选择[策略模板]页签，进行策略模板的配置。其中，系统默认已有两个模板，全部允许和全部拒绝，如下图所示。

图5-212 策略模板

(2) 单击<增加规则>按钮，弹出增加规则页面。设置参数，单击<确定>按钮保存配置，参数说明如下：

¡ 协议类型：可选IP、UDP、TCP、ICMP；

¡ 时间范围：默认“无”，表示所有时间都有效；根据实际需求设置；

¡ 动作：“允许”、“拒绝”两个选项，组间策略请选择“允许”或“拒绝”。

图5-213 增加规则

(3) 策略模板增加完成后，单击<确定>按钮，保存策略模板。

3. 默认访问策略

选择[组间策略]页签，进入组间策略页面。在该页面“访问策略”区域“默认”项（以下简称默认访问策略）的下拉框中，可设置用户的访问权限。

· 允许：表示所有用户之间默认可以互相访；

· 拒绝：表示所有用户之间都不能互相访问。设置为“拒绝”后，不仅是用户组之间的用户不能互访，用户组内部用户之间也不能互访；用户组与资源组之间可正常访问；若“默认访问策略”设置为拒绝，则用户组内部用户互通需要配置用户组内的组间策略。

图5-214 访问策略

配置默认拒绝后，控制组件下发类似如下配置：

qos policy SDN_POLICY_IN_000

qos policy SDN_POLICY_OUT_000

classifier SDN_CLS_GLOBAL_BRAS_RES_GROUP behavior SDN_BHV_GLOBAL_BRAS_RES_GROUP

classifier SDN_CLS_GLOBAL_BRAS_USER_GROUP behavior SDN_BHV_GLOBAL_BRAS_USER_GROUP

traffic classifier SDN_CLS_GLOBAL_BRAS_RES_GROUP operator or

if-match acl name SDN_ACL_GLOBAL_BRAS_RES_GROUP

traffic classifier SDN_CLS_GLOBAL_BRAS_USER_GROUP operator or

if-match acl name SDN_ACL_GLOBAL_BRAS_USER_GROUP

traffic behavior SDN_BHV_GLOBAL_BRAS_RES_GROUP

filter permit

traffic behavior SDN_BHV_GLOBAL_BRAS_USER_GROUP

filter deny

acl advanced name SDN_ACL_GLOBAL_BRAS_RES_GROUP

description SDN_ACL_GLOBAL_BRAS_RES_GROUP

rule 0 permit ip source 61.0.0.0 0.0.0.255

acl advanced name SDN_ACL_GLOBAL_BRAS_USER_GROUP

description SDN_ACL_GLOBAL_BRAS_USER_GROUP

rule 0 permit ip destination-user-group teacher_group

rule 1 permit ip destination-user-group student_group

4. 组间策略

(1) 选择[组间策略]页签。若用户业务仅使用IPv4时，下发范围选择“IPv4”；若用户业务使用IPv4+IPv6时，下发范围选择“IPv4+IPv6”。

图5-215 组间策略

(2) 选择右侧的“访问策略”拖拽到需要设置的相应位置，弹出“策略方向”对话框，根据实际业务选择。选择完成后，单击<确定>按钮，保存配置。其中，“策略方向”分为“单向”和“双向”。

¡ 单向：表示设置报文从源到目的的访问策略。

- 单向允许：报文可以从源端发送到目的端，但不能从目的端发送到源端。

- 单向拒绝：报文不能从源端发送到目的端，但可以从目的端发送到源端。

¡ 双向：表示设置报文从源到目的和目的到源的访问策略。

- 双向允许：报文可以从源端发送到目的端，也可以从目的端发送到源端。如果要实现用户组之间用户互访，需要配置访问策略为双向允许。

- 双向拒绝：报文不能从源端发送到目的端，也不能从目的端发送到源端。

图5-216 策略方向

(3) 配置完成后，单击页面左上角<确定>按钮，保存配置。如下图所示，设置了源为“学生用户组”目的为“教师用户组”的策略配置。

图5-217 配置策略

配置后控制组件，会下发如下类似配置：

qos policy SDN_POLICY_OUT_000

classifier SDN_CLS_UG_A00_UG_A01_0001 behavior SDN_BHV_UG_A00_UG_A01_0001

traffic classifier SDN_CLS_UG_A00_UG_A01_0001 operator or

if-match acl name SDN_ACL_UG_A00_UG_A01_0001

traffic behavior SDN_BHV_UG_A00_UG_A01_0001

filter permit

acl advanced name SDN_ACL_UG_A00_UG_A01_0001

description SDN_ACL_UG_A00_UG_A01_0001

rule 0 permit ip time-range SDN_NBAC_000006 source-user-group student_group destination-user-group teacher_group

5.14 BRAS认证配置

## 全局开启DHCP。

dhcp enable

## 配置BRAS接入三层子接口工作在中继代理模式（代理模式为缺省配置，只需要配置为中继即可）

interface ${ingressInterfaceName}.${ingressVlan}

vlan-type dot1q vid ${ingressVlan}

dhcp select relay

## 配置BRAS出方向三层子接口

interface ${egressInterfaceName}.${egressVlan}

ip address ${egressIPV4Address} ${egressMask}

vlan-type dot1q vid ${egressVlan}

## 创建远端BAS IP地址池pool1，指定匹配该地址池的DHCPv4客户端所在的网段地址，将网关地址设置为禁止地址，并指定远端BAS IP地址池对应的DHCP服务器地址。

ip pool ${poolName} bas remote

gateway ${ingressIPV4Address} ${ingressMask}

forbidden-ip ${ingressIPV4Address}

remote-server ${dhcpV4Address}

##配置路由，与管理服务器互通（DHCP服务器、Portal服务器、Radius服务器等）

ip route-static ${dhcpV4Address} 32 ${l3swAddress}

ip route-static ${portalServerIp} 32 ${l3swAddress}

ip route-static ${radiusServerIp} 32 ${l3swAddress}

## 配置Portal认证服务器

portal server ${portalServerName}

ip ${portalServerIp} key simple ${portalServerSecret}

## 配置对HTTPS报文进行重定向的内部侦听端口号。

http-redirect https-port ${httpRedirectport}

## 创建认证前域用户组。

user-group preUserGroup

## 配置认证前域ACL

acl advanced name preDomainUserReceiveAcl

rule 0 permit ip destination ${portalServerIp} 0 user-group preUserGroup

acl advanced name preDomainUserSendAcl

rule 0 permit ip source ${portalServerIp} 0 user-group preUserGroup

acl advanced name preDomainUserHttpRedirectAcl

rule 0 permit tcp destination-port eq www user-group preUserGroup

acl advanced name preDomainUserHttpsRedirectAcl

rule 0 permit tcp destination-port eq 443 user-group preUserGroup

acl advanced name preDomainUserDenyAcl

rule 0 permit ip user-group preUserGroup

acl advanced name preDomainUserRedirectAcl

rule 0 permit ip user-group preUserGroup

## 配置认证前域qos策略

traffic classifier preDomainUserReceiveClassifier operator or

if-match acl name preDomainUserReceiveAcl

traffic classifier preDomainUserSendClassifier operator or

if-match acl name preDomainUserSendAcl

traffic classifier preDomainUserDenyClassifier operator or

if-match acl name preDomainUserDenyAcl

traffic classifier preDomainUserRedirectClassifier operator or

if-match acl name preDomainUserRedirectAcl

traffic classifier preDomainUserHttpClassifier operator or

if-match acl name preDomainUserHttpRedirectAcl

traffic classifier preDomainUserHttpsClassifier operator or

if-match acl name preDomainUserHttpsRedirectAcl

traffic behavior preDomainUserPermitBehavior

filter permit

free account

traffic behavior preDomainUserDenyBehavior

filter deny

free account

traffic behavior preDomainUserHttpBehavior

redirect http-to-cpu

traffic behavior preDomainUserHttpsBehavior

redirect https-to-cpu

traffic behavior preDomainUserRedirectBehavior

redirect cpu

qos policy qosGolbalPolicyInbound

classifier preDomainUserReceiveClassifier behavior preDomainUserPermitBehavior

classifier preDomainUserHttpClassifier behavior preDomainUserHttpBehavior

classifier preDomainUserHttpsClassifier behavior preDomainUserHttpsBehavior

classifier preDomainUserRedirectClassifier behavior preDomainUserRedirectBehavior

classifier preDomainUserDenyClassifier behavior preDomainUserDenyBehavior

qos policy qosGolbalPolicyOutbound

classifier preDomainUserSendClassifier behavior preDomainUserPermitBehavior

classifier preDomainUserDenyClassifier behavior preDomainUserDenyBehavior

qos apply policy qosGolbalPolicyInbound global inbound

qos apply policy qosGolbalPolicyOutbound global outbound

## 配置RADIUS方案

radius scheme ${radiusScheme}

primary authentication ${radiusServerIp}

primary accounting ${radiusServerIp}

key authentication simple ${radiusSecret}

key accounting simple ${radiusSecret}

user-name-format without-domain

nas-ip ${nasIp}

## 配置认证前域

domain name ${preDomain}

authorization-attribute user-group preUserGroup

authentication ipoe none

authorization ipoe none

accounting ipoe none

authorization-attribute ip-pool ${poolName}

web-server url ${portalLoginUrl}

## 配置web认证域

domain name ${domain}

authentication ipoe radius-scheme ${radiusScheme}

authorization ipoe radius-scheme ${radiusScheme}

accounting ipoe radius-scheme ${radiusScheme}

## 配置DAE服务器

radius dynamic-author server

client ip ${radiusServerIp} key simple ${radiusSecret}

## 配置BRAS接入三层子接口开启IPoE WEB普通MAC无感知认证

interface ${ingressInterfaceName}.${ingressVlan}

ip subscriber l2-connected enable

ip subscriber authentication-method web mac-auth

ip subscriber pre-auth domain ${preDomain}

ip subscriber web-auth domain ${domain}

ip subscriber initiator arp enable

ip subscriber initiator unclassified-ip enable matching-user

## 配置BRAS接入三层子接口工作在中继代理模式（代理模式为缺省配置，只需要配置为中继即可）。自动生成IPv6链路本地地址，该IPv6链路本

地地址作为用户的网关；取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1，即主机通过DHCPv6服务器获取IPv6地址。配置其他信息

配置标志位为1，即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。

interface ${ingressInterfaceName}.${ingressVlan}

ipv6 address auto link-local

ipv6 dhcp select relay

undo ipv6 nd ra halt

ipv6 nd autoconfig managed-address-flag

ipv6 nd autoconfig other-flag

## 为避免终端使用临时IPv6地址进行认证，从而导致认证失败，在用户上线接口配置前缀不在RA消息中发布，从而避免终端使用前缀生成临时

IPv6地址。

ipv6 nd ra prefix ${ipv6Prefix}/${ipv6Mask} no-advertise

## 创建远端IPv6地址池，指定匹配该地址池的DHCPv6客户端所在的网段地址，并指定远端地址池对应的DHCP服务器地址。

ipv6 pool ${ipv6PoolName}

gateway-list ${ingressIPV6Address} ${ingressIPv6Mask} ${ingressIPV6Address}

network ${ipv6Prefix}/${ipv6Mask} export-route

remote-server ${dhcpV6Address}

##配置路由

ipv6 route-static ${dhcpV6Address} 128 ${l3swIPv6Address}

ipv6 route-static ${portalServerIpv6} 128 ${l3swIPv6Address}

## 配置Portal认证服务器

portal server ${IPv6PortalServerName}

ipv6 ${portalServerIpv6} key simple ${portalServerSecret}

quit

## 配置认证前域ACL

acl ipv6 advanced name preDomainUserReceiveAcl

rule 0 permit ipv6 destination ${portalServerIpv6} 128 user-group preUserGroup

acl ipv6 advanced name preDomainUserSendAcl

rule 0 permit ipv6 source ${portalServerIpv6} 128 user-group preUserGroup

acl ipv6 advanced name preDomainUserHttpRedirectAcl

rule 0 permit tcp destination-port eq www user-group preUserGroup

acl ipv6 advanced name preDomainUserHttpsRedirectAcl

rule 0 permit tcp destination-port eq 443 user-group preUserGroup

acl ipv6 advanced name preDomainUserDenyAcl

rule 0 permit ipv6 user-group preUserGroup

acl ipv6 advanced name preDomainUserRedirectAcl

rule 0 permit ipv6 user-group preUserGroup

## 配置认证前域qos策略

traffic classifier preDomainUserReceiveClassifier operator or

if-match acl ipv6 name preDomainUserReceiveAcl

traffic classifier preDomainUserSendClassifier operator or

if-match acl ipv6 name preDomainUserSendAcl

traffic classifier preDomainUserDenyClassifier operator or

if-match acl ipv6 name preDomainUserDenyAcl

traffic classifier preDomainUserRedirectClassifier operator or

if-match acl ipv6 name preDomainUserRedirectAcl

traffic classifier preDomainUserHttpClassifier operator or

if-match acl ipv6 name preDomainUserHttpRedirectAcl

traffic classifier preDomainUserHttpsClassifier operator or

if-match acl ipv6 name preDomainUserHttpsRedirectAcl

## 配置认证前域增加授权ipv6默认地址池

domain name ${preDomain}

authorization-attribute ipv6-pool ${ipv6PoolName}

## 配置三层子接口增加IPv6 ND触发认证

interface ${ingressInterfaceName}.${ingressVlan}

ip subscriber initiator nsna enable

ip subscriber initiator unclassified-ipv6 enable matching-user

6 设备故障替换

在组网中原有设备发生故障等场景，需要用新设备替换原有设备的情况下，可以使用AD-Campus的设备替换功能。

· 设备替换类型可分两类：

¡ 精确替换：新设备与故障设备型号完全一致，且新设备版本与故障设备版本一致。

¡ 异构替换：新设备与故障设备型号可以不一样。

· 设备替换操作方式也可分为两种：

¡ 根据设备标签替换：在线替换，新设备先上线，再设置替换任务进行替换。

¡ 根据设备序列号替换：预替换，新设备不在线的情况下可以先设置替换任务，设备自动化上线后自动执行替换。

支持Core、Distribution、Access交换设备的替换，设备替换的具体操作步骤请参考《AD-Campus 6.5 设备故障替换配置指导》，该文介绍VXLAN场景的故障替换，VLAN组网设备的替换步骤操作流程与VXLAN组网设备的基本一致，请参考VXLAN组网故障替换的操作步骤。

7 分权分域

园区控制组件支持分权分域管理功能。主要指操作员登录园区控制组件后，园区控制组件根据用户所带有的角色属性，来为该用户呈现他具有的功能权限。传统网BRAS大二层与VXLAN组网配置流程基本相同，请参考文档《AD-Campus 6.5 基础配置指导（组策略）》。

8 运维监控

相关信息请参见《AD-Campus 6.5运维监控部署指导书》。

9 EPON

相关信息请参见《AD-Campus 6.5 传统网IP-SGT配置指导》的EPON章节。

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

技术支持

自助服务

热门推荐

热门推荐

热门推荐

热门推荐

合作伙伴培训与认证

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

15-AD-Campus 6.5 传统网BRAS大二层配置指导

目录

2 传统网BRAS大二层简介

2.1 单Fabric组网模型

2.1.1 双Core/双Distribution组网

1. 三层架构组网模型

2. 单汇聚组网(双Distribution)模型

2.1.2 IRF组网

1. 三层架构组网模型

2. 单汇聚组网模型

2.1.3 BRAS设备接入方式

2.1.4 AC设备接入方式

3 配套软件及设备型号

4 资源&IP地址规划

1. 以三层组网为例

SeerEngine-Campus园区控制组件和统一数字底盘共用网卡

SeerEngine-Campus园区控制组件和统一数字底盘分别使用网卡

4.3 用户VLAN规划

5 传统网BRAS大二层配置步骤

5.1 登录AD-Campus配置页面

5.2 License注册

5.3.1 DHCP服务器

vDHCP Server

Microsoft DHCP Server

3. 松耦合

5.3.3 创建设备控制协议模板

5.3.4 导入设备版本（按需）

5.3.5 L3 Switch配置

1. BRAS旁挂Core设备组网

2. BRAS连接在Core设备和L3交换机设备之间

5.3.6 BRAS配置

5.4.1 控制组件配置

1. 基础配置

3. 设备角色模板

4. 设备版本升级配置（按需）

5. 设备上线清单

1. 设备空配置上线

1. 查看自动化部署拓扑