在线终端数量	Windows DHCP Server硬件资源
<4万	CPU：16核，2.0GHz 内存：32GB 硬盘：2* 300GB RAID1 RAID卡：256MB Cache
4万~6万	CPU：24核，2.0GHz 内存：64GB 硬盘：2* 500GB RAID1 RAID卡：1GB Cache
6万~10万	CPU：24核，2.0GHz 内存：64GB 硬盘：2* 500GB RAID1 RAID卡：1GB Cache

(6) M-LAG组网下，需先配置M-LAG相关业务后，再使用业务网络功能。

(7) 业务网络编排方式为QinQ时，只支持在Distribution角色设备上下发QinQ配置。

(8) BRAS大二层自动化对QinQ编排的端口进行换口配置或单链路扩容为聚合链路时，需要到[自动化>网络设备>BRAS设备>BRAS业务配置>业务网络]中对已有的QinQ配置进行重新编排，以同步QinQ编排相关的配置。注意:若出现设备自动化上线失败，请将设备清空配置重新尝试自动化上线。

(9) 控制组件和安全控制组件融合部署时，传输协议仅支持HTTP方式。

(10) 旁挂防火墙场景，私有网络仅支持配置一个开启防火墙的出口网关，该出口网关中仅支持配置一个成员，私有网络不支持同时配置开启防火墙的出口网关和没有开启防火墙的出口网关。

(11) 如果组网中Marvell芯片设备做Border设备，并且配置共享出口网关和私网默认策略为拒绝，那么南北向流量也不能通行，若需要放通南北向流量，则需要在Border设备上共享出口网关的vlan-interface下，配置一个PBR，放行所有南北向报文。示例如下：

acl advanced name PERMIT_ALL_ACL

rule 0 permit ip

policy-based-route VLAN_4001 permit node 65535

if-match acl name PERMIT_ALL_ACL

interface Vlan-interface4001

ip policy-based-route VLAN_4001

(12) 由于Marvell芯片设备在IP策略场景下ACL规则不支持匹配VPN，如果配置IP策略的私网互通业务，跨私网的流量会匹配到私网默认拒绝策略导致流量不通，故组网中存在Marvell芯片设备时，不支持配置策略模式为IP策略且默认组间策略为拒绝的私有网络的互通。

(13) 由于PBR应用全局的参数不支持修改，若Spine设备上的私网的与vpn-default互通方式均为互引RT，当新增与vpn-default互通方式为静态路由的私网的第一个子网时，Spine设备下发第一个与vpn-default互通方式为静态路由的私网VRF配置时，会将PBR应用全局删除掉，再携带exclude service-loopback-group重新下发，全局PBR会有短时失效；当删除Spine设备上最后一个与vpn-default互通方式为静态路由的私网的最后一个子网时，Spine设备在删除最后一个与vpn-default互通方式为静态路由的私网VRF配置时，会将PBR应用全局删除掉，再重新下发，全局PBR会有短时失效。

(14) BRAS大二层组网的Distribution下行口配置了QinQ编排，自动化拓扑页面的局部变更不支持对该下行口和直连Access的互联口之间仅一端换口。

2 传统网BRAS大二层简介

本文主要用于AD-Campus 7.1传统网BRAS大二层方案的基础部署配置。包括：Underlay手动配置、物理设备手动纳管、SeerEngine-Campus控制组件的基础业务配置和用户业务配置，以及无线管理通道的建立。

AD-Campus 7.1传统网BRAS大二层方案基于user-group来定义用户权限，用户在不同的user-group下上线，获取不同的user-group权限，控制组件通过对user-group之间进行策略编排，继而控制用户行为。BRAS大二层方案实现用户与用户组关联，解耦用户与IP地址段的关联关系。

2.1 单Fabric组网模型

AD-Campus园区网方案支持的组网模型：双Core组网以及IRF组网。双Core组网是指两台Core设备之间组成M-LAG系统，上行通过M-LAG接口接入上行交换机，实现设备的冗余保护和流量负载分担。IRF组网则是指将两台设备虚拟化成一台设备，实现多台设备的协同工作、统一管理和不间断维护。这两种模型下根据设备架构又可以分为三层架构组网模型以及单汇聚组网模型。

· 三层架构组网模型：指Core->Distribution->Access三级设备的组网，是园区网中的典型组网。其中，Core和Distribution支持单台、堆叠、M-LAG方式，Access支持单台、堆叠方式，并且支持多级级联。

· 单汇聚组网模型：指Distribution->Access连接的组网，没有Core设备，主要应用于一些小型网络。其中，Distribution可为单台、堆叠，也可作M-LAG（双Distribution组网模型），Access支持单台、堆叠以及多级级联。

2.1.1 双Core/双Distribution组网

1. 三层架构组网模型

图2-1 三层组网模型示意图

· 三层架构组网模型包括Core、Distribution、Access三层设备，是AD-Campus园区网方案的典型组网。

· 两台Core设备必须组成M-LAG，使用M-LAG接口与AC设备、上行L3交换机等通信，同时，也使用M-LAG接口与下行Distribution设备互联。

· BRAS设备作为用户网关及策略执行点。

· Distribution设备，也可组成M-LAG，若组成M-LAG，则也通过M-LAG接口与上行Core设备互联。

· Access设备作为接入设备，用于连接AP、终端设备，Access设备可支持多级Access的级联。

2. 单汇聚组网(双Distribution)模型

图2-2 单汇聚组网（双Distribution）模型示意图

· 单汇聚组网模型，没有Core设备，Distribution设备下连接多台Access设备。网络部署非常简单，主要应用于小型网络。

· BRAS设备作为用户网关及策略执行点。

· 双Distribution必须配置M-LAG，使用M-LAG接口与AC设备、上行L3交换机等通信。

· Distribution设备，用于二层转发用户报文。

· Access设备作为接入设备，用于连接AP、终端设备，Access设备可支持多级Access的级联。

2.1.2 IRF组网

1. 三层架构组网模型

图2-3 三层组网模型示意图

· 三层架构组网模型包括Core、Distribution、Access三层设备，是AD-Campus园区网方案的典型组网。

· BRAS设备作为用户网关，同时作为策略执行点。

· Core设备支持单机或堆叠，用于连接不同Distribution设备，同时进行二层转发用户报文。

· Distribution设备支持单机或堆叠，进行二层转发用户报文。

· Access设备支持单机或堆叠，作为接入设备，用于连接AP、终端设备，Access设备支持多级Access的级联。

2. 单汇聚组网模型

图2-4 单汇聚组网模型示意图

· 单汇聚组网模型，没有Core设备，Distribution设备下连接多台Access设备。网络部署非常简单，主要应用于小型网络。

· BRAS设备作为用户网关及策略执行点。

· Distribution设备支持单机或堆叠，用于二层转发用户报文。

· Access设备支持单机或堆叠，作为接入设备，用于连接AP、终端设备，Access设备支持多级Access的级联。

2.1.3 BRAS设备接入方式

前面介绍的组网模型中，服务器与各角色的设备均通过一台三层交换机互联，即服务器连接三层交换机，三层交换机去连接Core等设备，BRAS设备通过旁挂在Core设备接入组网。

以上任何一种组网模型上也支持顶层设备（三层组网中的Core、单汇聚组网中的Distribution）直连BRAS设备，BRAS设备通过一台三层交换机去连接服务器，以三层组网为例，则模型如下：

图2-5 传统网BRAS大二层BRAS设备作为中间设备

组网说明：

· 顶层设备Core直连BRAS设备，BRAS上方再通过一台三层交换机连接服务器。

· BRAS与三层交换机之间三层互联。

2.1.4 AC设备接入方式

前面介绍的组网模型中，AC设备均通过顶层设备（三层组网中的Core、单汇聚组网中的Distribution）接入组网；AC设备也可通过BRAS设备接入组网，以三层组网为例，模型如下：

图2-6 传统网BRAS大二层AC设备旁挂BRAS

组网说明：

· 顶层设备Core直连BRAS设备，BRAS上方再通过一台三层交换机进行连接服务器。

· 多个园区或Fabric可共用该AC设备。

· BRAS与三层交换机之间三层互联。

· 后续AC、AP之间的管理网业务中，AP的网关放在Core设备上，AC设备的网关放在BRAS设备上，AC到Core之间的路由需手动配置打通。

2.2 组网说明

(1) AD-Campus组网中，SeerEngine-Campus、DHCP服务器和网络设备使用三层互联。顶层设备（三层组网中的Core角色设备以及单汇聚组网中的Distribution设备）与上行三层交换机之间连接的上行链路都只需要一条逻辑链路（单台顶层设备场景下为单物理链路，IRF或M-LAG场景下为聚合链路）；

(2) 特别注意，Core设备与Distribution设备之间连接的链路为二层互联链路，多链路场景下为聚合互联；

(3) Access设备作为二层接入设备，主要用于连接终端设备。Access设备之间支持级联，最多支持三级级联；

(4) AC设备旁挂在顶层设备（三层组网中的Core，单汇聚组网中的Distribution）、BRAS设备上；

(5) 用户一般连接Access设备，用户网关在BRAS设备上，Access、Distribution、Core设备对用户报文进行VLAN或QinQ处理；

2.3 业务流程说明

AD-Campus 7.1园区网解决方案，需要进行Underlay配置、设备纳管和用户业务配置。

· Underlay配置为控制组件纳管设备之前的基础配置，主要是设备之间的物理连接相关的配置，通过设备自动化上线或者手动配置；

· 用户业务相关配置，包括用户业务网络、用户组的创建，以及组间策略等的配置；

SeerEngine-Campus支持单机部署和集群部署，具体参考《AD-Campus 7.1统一数字底盘及组件部署指导》。

图2-7 配置流程

3 配套软件及设备型号

3.1 配套应用

表3-1 部署SeerEngine-Campus所需的统一数字底盘应用包

安装包名称	功能说明	说明	依赖关系
NingOS_version.iso	H3C 磐宁 NingOS 操作系统的安装包	必选
UDTP_Base_version_platform.zip	基础服务组件：提供融合部署、用户管理、权限管理、资源管理、租户管理、菜单管理、日志中心、备份恢复和健康检查等基础功能	必选
BMP_Common_version_platform.zip	通用服务组件：提供大屏管理、告警、告警聚合和告警订阅等功能	必选
BMP_Connect_version_platform.zip	连接服务组件：提供上下级站点管理、WebSocket通道管理和NETCONF通道管理功能	必选

表3-2 部署SeerEngine-Campus所需的基础网络管理应用包

安装包名称	功能说明	说明	依赖关系
U-Center_UCP_BasePlat_version_platform.zip	基础网络管理的依赖包	必选
U-Center_UCP_CollectPlat_version_platform.zip	基础网络管理的依赖包	必选
U-Center_CMDB_version_platform.zip	网络全景运维地图功能应用包	可选
NSM_FCAPS-Res_version_platform.zip	网络设备的发现、纳管和基本信息管理	必选
NSM_FCAPS-Perf_version_platform.zip	网络设备性能监控和展示	必选
NSM_FCAPS-ICC_version_platform.zip	网络设备配置和软件部署、配置备份、配置审计	必选
NSM_FCAPS-Topo_version_platform.zip	使用网络全景运维地图功能时需要部署	可选	CMDB

表3-3 园区场景所需的业务组件

组件名称	功能说明	说明	说明
SeerEngine-Campus	园区网管理园区控制组件—园区基础业务配置	必选
vDHCP	DHCP服务器—自动化上线设备地址	必选
EIA	终端智能接入—用户认证业务配置	必选
iWM	无线管理平台—提供无线接入网络服务	可选
EAD	终端准入控制平台—控制终端受限接入	可选
EPS	端点探测系统—主动识别终端、终端接入检测	可选
SeerAnalyzer	先知分析器—网络数据采集、分析	可选
SMP	提供防火墙管理功能	可选	未适配
支持紧耦合的DHCP服务器	vDHCP Server	H3C自研DHCP Server	必选
支持紧耦合的DHCP服务器	微软DHCP Server	支持紧耦合、松耦合	/

3.2 设备型号及角色

当前设备无Core、Distribution角色，设备支持的角色Core可以参考Spine设备，Distribution可以参考Leaf设备。

表3-4 支持的设备型号及角色

设备型号	默认角色	支持的非默认角色
S12500G-AF（T系列）	Spine	Leaf/Access/Aggr
S12500G-AF（S系列，信创款型）	Spine	Leaf/Access/Aggr
H3C S12500G-EF系列交换机（信创款型）	Spine	Leaf/Access/Aggr
S12600-G（信创款型）	Spine	Leaf/Access/Aggr
S10500X-G（信创款型）	Spine	Leaf/Access/Aggr
S10600X-G（信创款型）	Spine	Leaf/Access/Aggr
S10500X	Leaf	Spine/Access/Aggr
S7500X	Leaf	Spine/Access/Aggr
S7500X-G（信创款型）	Leaf	Spine/Access/Aggr
S8600X-G（信创款型）	Leaf	Spine/Access/Aggr
S9800-G（信创款型） S6800-G（信创款型）	Leaf	Spine/Access/Aggr
S9600XP-G（信创款型） S7800XP-G（信创款型）	Leaf	Spine/Access/Aggr
S6800-G（信创款型） S9800-G（信创款型）	Leaf	Spine/Access/Aggr
S6550X-HI	Leaf	Spine/Access/Aggr
S6550XE-HI S6525XE-HI	Leaf	Access/Aggr
S5580X-HI	Leaf	Access/Aggr
S6520X-HI	Leaf	Access/Aggr
S5560X-HI	Leaf	Access/Aggr
S6520X-EI（不支持微分段）	Leaf	Access/Aggr
S5560X-EI（不支持微分段）	Leaf	Access/Aggr
S5590-HI（信创款型） S5590-EI（信创款型）	Leaf	Access/Aggr
S5590XP-G（信创款型）	Leaf	Access/Aggr
S5800X-G（信创款型） S5800XP-G（信创款型）	Leaf	Access/Aggr
S6530X	Leaf	Spine/Access/Aggr
FS5500	Leaf	Access
FS5300	Access	无
S6520X-SI（含S6520X-MC-SI）	Access	无
S5170-EI	Access	无
S5570S-EI	Access	无
S5135S-EI	Access	无
S5130S-EI S5130S-HI	Access	无
S5130S-HI-G（信创款型） S5130S-EI-G（信创款型）	Access	无
S5560-G（信创款型）	Access	无
S5600-G（信创款型）	Access	无
S6520X-G（信创款型）	Access	无
S6600X-G（信创款型）	Access	无
S5200-HI-G S5200-EI-G	Access	无
S5580S-EI S5580X-EI	Access	无

4 资源&IP地址规划

4.1 服务器资源规划

服务器与设备之间连接的中间交换机称为L3交换机。无论设备是自动化部署还是手动配置纳管，中间连接的L3交换机上都需要进行手动配置，保证设备和园区控制组件之间的连通。

配置之前需先规划好网络，SeerEngine-Campus园区控制组件和统一数字底盘可以共用一张网卡，也可以使用不同网卡。

· 建议统一数字底盘与VLAN 1以及VLAN 4094业务使用不同网段IP。

· 本章节以三层组网为例进行说明。

· 推荐使用园区控制组件和统一数字底盘使用不同网卡的方式。

1. SeerEngine-Campus园区控制组件和统一数字底盘共用网卡

SeerEngine-Campus园区控制组件和统一数字底盘可以共用一张网卡，此时统一数字底盘、SeerEngine-Campus、vDHCP使用相同网段的IP地址。

图4-1 SeerEngine-Campus园区控制组件和统一数字底盘共用网卡

表4-1 组网IP列表

规划项	数据示例	说明
VLAN 1 网段（网关）	120.1.0.0/24(120.1.0.1)	VLAN 1的网络，用于自动化上线，以及园区控制组件和设备通信
VLAN 4094网段（网关）	130.1.0.0/24(130.1.0.1)	VLAN 4094的网络，用于园区控制组件和Access设备通信
VLAN100网段（网关）	100.1.0.0/24(100.1.0.1)	统一数字底盘&SeerEngine-Campus&vDHCP使用的网段
统一数字底盘北向业务IP	100.1.0.100	登录统一数字底盘的地址
统一数字底盘节点IP	Node1：100.1.0.201 Node2：100.1.0.202 Node3：100.1.0.203	统一数字底盘集群包含的三个节点地址
SeerEngine-Campus集群IP	100.1.0.200	SeerEngine-Campus的集群地址
SeerEngine-Campus节点IP	Node1：100.1.0.201 Node2：100.1.0.202 Node3：100.1.0.203	SeerEngine-Campus集群包含的三个节点地址
vDHCP集群IP	100.1.0.204	vDHCP服务器的集群地址，实际不使用
vDHCP节点IP	Node1：100.1.0.205 Node2：100.1.0.206	vDHCP服务器使用的两个节点地址
微软DHCP的IP	8.0.0.171	微软DHCP服务器使用地址

2. SeerEngine-Campus园区控制组件和统一数字底盘使用不同网卡

SeerEngine-Campus园区控制组件和统一数字底盘可以使用不同网卡，使用两个网段的IP地址，此时统一数字底盘集群使用一个网段，SeerEngine-Campus、vDHCP使用另一个网段。

根据BRAS设备的接入方式，又可分为两种组网方式：

· BRAS旁挂Core设备

· BRAS连接在Core与L3交换机之间

推荐使用BRAS设备旁挂Core设备的方式。

BRAS旁挂Core组网

图4-2 SeerEngine-Campus园区控制组件和统一数字底盘使用不同网卡（BRAS旁挂Core）

其中BRAS设备旁挂在Core设备上为例，接入组网的方式可参考AC设备，需注意BRAS设备的纳管，BRAS设备在控制组件上的管理IP直接启用在与Fabric互联的物理接口或三层聚合口上即可。

表4-2 组网IP列表

规划项	数据示例	说明
VLAN 1 网段（网关）	120.1.0.0/24(120.1.0.1)	VLAN 1的网络，启用在L3-Switch设备的int vlan1虚接口上，用于自动化上线以及园区控制组件和设备通信
VLAN 4094网段（网关）	130.1.0.0/24(130.1.0.1)	VLAN 4094的网络，启用在L3-Switch设备的int vlan4094虚接口上，用于园区控制组件和Access设备通信
VLAN 100网段（网关）	100.1.0.0/24(100.1.0.1)	统一数字底盘使用的网段，用于设备的VLAN1、4094地址和统一数字底盘的通信
VLAN 110 网段（网关）	110.1.0.0/24(3110.1.0.1)	SeerEngine-Campus&vDHCP使用的网段，用于设备和园区控制组件、vDHCP组件的通信（SeerEngine-Campus使用独立网卡时配置）
统一数字底盘北向业务IP	100.1.0.100	登录统一数字底盘的地址
SeerEngine-Campus集群IP	110.1.0.100	SeerEngine-Campus的集群地址
SeerEngine-Campus节点IP	Node1：110.1.0.101 Node2：110.1.0.102 Node3：110.1.0.103	SeerEngine-Campus集群包含的三个节点地址
vDHCP集群IP	110.1.0.104	vDHCP服务器的集群地址，实际不使用
vDHCP节点IP	Node1：110.1.0.105 Node2：110.1.0.106	vDHCP服务器使用的两个节点地址
微软DHCP的IP	8.0.0.171	微软DHCP服务器使用地址

BRAS连接在Core与L3-Switch之间组网

若为Core设备直连BRAS设备，BRAS设备直连L3交换机的组网，则组网图如图4-3所示。

图4-3 SeerEngine-Campus园区控制组件和统一数字底盘使用不同网卡（BRAS连接Core与L3 Switch）

本例以SeerEngine-Campus园区控制组件和统一数字底盘各使用一张网卡，且BRAS设备连接在Core和L3交换机之间为例，做如下地址规划：

表4-3 组网IP列表

规划项	数据示例	说明
VLAN 1 网段（网关）	120.1.0.0/24(120.1.0.1)	VLAN 1的网络，启用在BRAS下行口上，用于自动化上线以及园区控制组件和设备通信
VLAN 4094网段（网关）	130.1.0.0/24(130.1.0.1)	VLAN 4094的网络，启用在BRAS下行子接口上，用于园区控制组件和Access设备通信
VLAN 100网段（网关）	100.1.0.0/24(100.1.0.1)	统一数字底盘使用的网段，用于设备的VLAN 1、VLAN 4094地址和统一数字底盘的通信
VLAN 110 网段（网关）	110.1.0.0/24(110.1.0.1)	SeerEngine-Campus&vDHCP使用的网段，用于设备和园区控制组件、vdhcp组件的通信（SeerEngine-Campus使用独立网卡时配置）
VLAN 10 IP地址	4.4.10.1 4.4.10.2	用于L3交换机与BRAS设备互通
统一数字底盘北向业务IP	100.1.0.100	登录统一数字底盘的地址
SeerEngine-Campus集群IP	110.1.0.100	SeerEngine-Campus的集群地址
SeerEngine-Campus节点IP	Node1：110.1.0.101 Node2：110.1.0.102 Node3：110.1.0.103	SeerEngine-Campus集群包含的三个节点地址
vDHCP集群IP	110.1.0.104	vDHCP服务器的集群地址，实际不使用
vDHCP节点IP	Node1：110.1.0.105 Node2：110.1.0.106	vDHCP服务器使用的两个节点地址
微软DHCP的IP	8.0.0.171.	微软DHCP服务器使用地址

4.2 用户资源规划

本文中用户业务的资源规划如表4-4所示。

表4-4 用户业务资源规划

规划项	数据示例	说明
无线AC+AP管理业务网络（网关）	59.0.0.0/24(59.0.0.1)	无线AC、AP设备使用的网络
学生有线业务网络（网关）	60.0.1.0/24(60.0.1.1)	学生有线终端使用的网络
学生无线业务网络（网关）	60.0.2.0/24(60.0.2.1)	学生无线终端使用的网络
IT资源组	30.0.0.0/24	IT资源组

4.3 用户VLAN规划

SeerEngine-Campus预置了多个VLAN池，路径：[自动化>园区网络>网络设备]，单击右上角“VNID池”链接，进入VNID池配置页面，单击“VLAN”页签进入VLAN池页面，在该页面可查看系统当前所有VLAN池信息。

VLAN池类型如下所示，系统默认创建的应用VLAN网络的VLAN池包含

· 无线管理网VLAN池（default_wireless_manage）

· M-LAG VLAN池（default_mlag）

· 无线业务VLAN池（default_wireless）

· 有线业务VLAN池（default_wired）

· 安全组VLAN池（default_security_group）

· 园区Access VLAN池（default_access）

· QinQ VLAN池（default_qinq）

· VLAN池中的VLAN范围允许扩容与缩容，若VLAN已经被业务使用，则不允许将该VLAN进行缩容。

· 同VLAN模型或同VXLAN模型下的不同VLAN池不能互相覆盖。

· SeerEngine-Campus默认分配VLAN 100用于设备自动化堆叠的BFD检测，VLAN 4090-VLAN 4094为保留VLAN。

· 系统默认创建的池资源池名称不允许修改。

表4-5 资源池列表

VLAN池	取值范围	网络类型	说明
安全组VLAN池	默认值3501~4000	VXLAN	系统默认创建的应用VLAN网络的VLAN池，用于安全组VLANID分配
园区Access VLAN池	默认值101~3000	VXLAN	系统默认创建的应用VLAN网络的VLAN池，用于为接入设备Access与终端连接接口分配VLAN ID
M-LAG VLAN池	默认值2	VLAN/VXLAN	M-LAG的逃生VLAN，用于2台设备之间Underlay互通
环网控制VLAN池	默认值98-99	VLAN/VXLAN	用户Access环网配置
无线管理网VLAN池	默认值4093	VLAN	用于无线AC、AP的管理通道
QinQ VLAN池	默认值20	VLAN	用户QinQ配置
有线业务VLAN池	默认值101~3000	VLAN	用作于有线业务vlan的编排
无线业务VLAN池	默认值3501~3600	VLAN	用作于无线业务vlan的编排
默认Underlay VLAN（非VNID池）	VLAN3001-VLAN3500	VXLAN	用于设备自动化上线Spine-Leaf间互联的，系统默认值，不可修改
园区出口VLAN池	手动配置	VLAN/VXLAN	园区出口业务，Border与外网连接使用
安全外网出口VLAN池	手动配置	VLAN/VXLAN	园区安全出口业务，与FW连接使用
园区免认证VLAN池	手动配置	VLAN/VXLAN	免认证业务使用
管理网出口VLAN池	手动配置	VLAN//VXLAN	双Spine/双Leaf与L3交换机连接使用
园WAN互联VLAN池	手动配置	VXLAN	园数融合业务使用
园区静态接入VLAN池	手动配置	VXLAN	静态AC认证配置使用

图4-4 VLAN池

若用户需调整各资源的VLAN池范围，单击上图列表操作列的修改图标，进入VLAN池编辑页面。在“VLAN范围”区域，单击列表操作列的修改图标，进入修改VLAN范围页面，或者是单击“增加VLAN范围”按钮，根据用户规划修改或增加VLAN范围。

图4-5 增加VLAN范围

表4-6 用户VLAN资源规划

规划项	默认VLNN池（修改后）	说明
无线管理网VLAN池	4093 (4010、4093)	用于无线管理网业务网络

5 传统网BRAS大二层配置步骤

5.1 登录AD-Campus配置页面

(1) 安装部署完成后，在浏览器地址栏中输入AD-Campus园区控制组件登录地址，进入AD-Campus园区控制组件登录页面，如下图所示。其中，登录地址格式为：http://100.1.0.100:30000/，登录IP为“统一数字底盘的集群北向业务IP”，默认登录的用户名/密码：admin/Pwd@12345。

图5-1 登录界面

(2) 用户名、密码输入完成后，单击<登录>按钮，进入AD-Campus园区控制组件配置页面，如下图所示。

图5-2 首页

(3) 鼠标单击页面左上角的图标，可以查看到所有菜单，如下图所示。

图5-3 所有菜单

5.2 License注册

· 在园区控制组件安装部署完后，SeerEngine-Campus与统一数字底盘融合，需要进行License注册。License注册前需要搭建License Server并且申请（购买）License。

· 当前版本可注册License或直接使用预授权License。

· 本文只介绍在AD-Campus页面上的License注册，License Server的搭建请参考相关的文档，不再赘述。

(1) 路径：[系统>License管理>License信息]，打开License注册页面。

(2) 系统安装部署后，默认提供预授权License，可临时使用，如下图所示。

图5-4 预授权License

(3) 在该页面“License server信息”区域配置License server信息，具体参数说明如下。填写完后单击<连接>按钮，连接License server服务器。

¡ IP地址：填写License server的IP地址，需确保统一数字底盘集群的北向IP和License server互通；

¡ 端口号：本例为5555；

¡ 客户端名称/客户端密码：admin/admin@123。该账号、密码为License server路径：[配置>客户端]中配置的账号和密码，请根据实际配置填写。

图5-5 License server信息

(4) License注册完成后，在License信息区域会列出注册的授权信息，如下图所示。

图5-6 License信息

5.3 配置前提

在配置业务之前，需对DHCP服务器进行配置。

5.3.1 DHCP服务器

1. 配置DHCP服务器的管理方式

路径：[自动化>园区网络>网络参数>DHCP]。

单击<增加>按钮，进入增加DHCP服务器页面。

图5-7 DHCP

增加DHCP服务器页面中，增加DHCP服务器的“管理方式”支持“紧耦合”和“松耦合”两种方式。

图5-8 增加DHCP

2. 紧耦合

· 支持紧耦合的DHCP Server：H3C自研的vDHCP Server和Microsoft DHCP Server。

· 紧耦合连接的DHCP Server，SeerEngine-Campus园区控制组件会根据页面配置的IP地址段，向DHCP Server申请创建IP地址池。

· 设备自动化部署，DHCP Server必须使用H3C自研的vDHCP Server。

vDHCP Server

(1) 在“增加DHCP服务器”页面中，填写参数如下所示，单击<确定>按钮完成配置。

¡ 管理方式：选择“紧耦合”，vDHCP Server只支持紧耦合。

¡ 使能高可用：集群环境时需勾选；若是单机环境，则不需要勾选。

¡ 启用双栈：当前传统网BRAS大二层不支持IPv6相关地址池，仅使用IPv4单栈即可。

¡ IP地址：填写的是部署vDHCP时分配的IP，可在部署vDHCP的页面查看，查看路径：[系统>部署管理]，在列表中展开“公共服务”项，单击查看详情。

图5-9 组件详情

¡ 厂商：选择“H3C”。

图5-10 增加DHCP服务器

(2) 增加DHCP Server后，需在DHCP列表页面中单击按钮同步DHCP Server，同步完成后“审计状态”会显示“审计成功”。

图5-11 审计

(3) DHCP列表页面中单击按钮可进行配置开启DHCP Server的数据定时同步功能，并能设置同步周期；若开启，则控制组件会在周期时间时，自动对DHCP Server进行配置审计动作。

图5-12 数据定时同步

(4) 单击名称（上图中的vdhcp），可以查看DHCP服务器的地址池以及IP地址分配等情况（若有配置后续业务）。

图5-13 DHCP服务器信息

Microsoft DHCP Server

微软DHCP Server的硬件配置，请参考表1-1。

(5) 增加DHCP Server

a. 在“增加DHCP服务器”页面中，“厂商”选择“Microsoft”，具体参数如下所示，单击<确定>按钮完成配置。

- 管理方式：选择“紧耦合”。

- 使能高可用：微软DHCP HA环境时需勾选；若是单机环境，则不需要勾选。

- IPv4地址：微软DHCP的IP地址。若集群环境，则需要分别填写两台DHCP Server的IP地址。

- 厂商：选择“Microsoft”。

- 故障转移模式：配置使能高可用时需要配置该选项，选择DHCP HA的故障转移模式，可选择负载均衡、热备用服务器模式。

图5-14 增加DHCP服务器

b. 增加DHCP Server后，在增加中单击<>按钮，会同步DHCP Server，并且在“审计状态”会显示“审计成功”。

c. DHCP列表页面中单击按钮可进行配置开启DHCP Server的数据定时同步功能，并能设置同步周期；若开启，则控制组件会在周期时间时，自动对DHCP Server进行配置审计动作。

d. 若“使能高可用”，单击名称字段，页面切换到[服务器配置]子页签，可设置监控微软DHCP HA的状态，缺省“开启”。SeerEngine-Campus园区控制组件会定期监测DHCP HA的状态，若检测到微软DHCP备作用域状态故障，则园区控制组件会自动拉起微软DHCP备作用域。

图5-15 微软DHCP Server高可用状态检测设置

(6) 配置VLAN 1地址池。

微软DHCP Server增加后，需要手动通过SeerEngine-Campus园区控制组件创建一个地址池，配置地址池的网段与设备的DHCP中继的网段地址相同（无线管理业务下，需配置的是设备的VLAN1地址池）；若不配置，则微软DHCP Server无法响应发过来的DHCP请求。

若后续计划使用新自动化上线功能，则本VLAN1地址池的手动配置需在步骤5.4.1 2. 地址池配置之后进行配置。

在DHCP列表中单击微软DHCP名称链接进入DHCP服务器信息页面。

图5-16 微软DHCP

切换至[地址池]页签，单击<增加>按钮，进入增加地址池页面。若Fabric已配置了新自动化的地址池配置，则此处增加时会提示子网网段重叠，单击<确认>按钮。

¡ 子网网段：与设备的VLAN1的网段一致，该地址池不用于实际用户业务。

¡ 网关：设置与VLAN1同网段IP即可。

¡ 其他参数使用缺省值。

图5-17 增加地址池

图5-18 地址池

创建完成，部署成功后，在微软的DHCP Server上可以查看到创建的作用域，如下图所示。

图5-19 作用域

3. 松耦合

· 支持松耦合的DHCP Server：微软DHCP Server、网瑞达DHCP Server等支持配置Option82参数的DHCP Server服务器。

· 松耦合情况下，SeerEngine-Campus园区控制组件不会向DHCP Server创建任何地址池，也不同步DHCP Server的地址池信息。

· DHCP Server上所有的地址池以及地址池中用于匹配Distribution设备DHCP Relay报文中携带的Option82信息的策略都需要用户手动创建。

· 微软DHCP Server的硬件配置，请参考表1-1 硬件配置要求。

· 第三方DHCP Server需要确保与设备、控制组件路由可达。

· 若现网需配置无线业务，则需要第三方DHCP Server支持option 43参数。

松耦合的DHCP Server，不能进行同步，没有按钮，”审计状态”为”--”。

松耦合情况下SeerEngine-Campus园区控制组件不向DHCP Server下任何配置，也不同步DHCP Server的地址池信息。

图5-20 松耦合DHCP

5.3.2 参数设置

路径：[自动化>园区网络>网络参数]页面，选择[参数]页签，修改网络类型为“VLAN”或“VXLAN-VLAN”。

本文以下全部介绍都是使用VLAN网络类型。

图5-21 网络参数

· 网络类型为VLAN时，隔离域页面仅支持配置VLAN业务，不支持配置VXLAN业务。

· 网络类型为VXLAN-VLAN时，可以选择默认VLAN或VXLAN。

图5-22 VXLAN-VLAN

此时隔离域页面支持VLAN、VXLAN切换。

图5-23 网络类型切换

5.3.3 创建设备控制协议模板

(1) 路径：[自动化>园区网络>网络参数>参数]，选择[设备控制协议模板]子页签，进入设备控制协议模板页面。

图5-24 设备控制协议模板

(2) 默认已创建名称为“default_protocol_template”的设备控制协议模板，单击该设备控制协议模板操作列的修改图标，进入修改设备控制协议模板页面，修改完成后，单击<确定>按钮完成修改。

¡ 名称：不支持修改；

¡ 所属Fabric：不支持填写；

¡ SNMP版本：

- SNMP版本默认为V2，只读团体字默认“public”，读写团体字默认“private”，超时时间默认“15秒”，都支持修改；

- SNMP版本选择“V3”时，用户名自定义填写，认证模式默认“不认证”；认证模式选择“MD5”或“SHA”时，需要填写认证密钥，加密模式默认“不加密”，加密模式也能选择“DES56”、 “AES128”、 “AES192”、 “SES256”，加密模式非“不加密”时，需要填写加密密钥；超时时间默认“15秒”，都支持修改；

¡ 登录信息：用户名、密码默认为空，需要手动填写，使能Telnet默认“是”，Telnet端口默认“23”，SSH端口默认“22”，默认已填写的可以不修改。

图5-25 修改设备控制协议模板

(3) 单击<增加>按钮，进入增加设备控制协议模板页面。

¡ 名称：不重复即可；

¡ 所属Fabric：默认不填写，填写后仅支持该Fabric下的设备使用；

¡ SNMP协议：

- SNMP版本默认为V2，只读团体字默认“public”，读写团体字默认“public”，超时时间默认“15秒”，都支持修改；

¡ 登录信息：用户名、密码默认为空，需要手动填写，使能Telnet默认“是”，Telnet端口默认“23”，SSH端口默认“22”，默认已填写的可以不修改。

图5-26 增加设备控制协议模板

5.3.4 导入设备版本（按需）

路径：[管理>设备配置管理>设备部署任务>软件库]，单击<导入>按钮。

· 导入来源选择“从文件导入”，软件类型可选复合软件包套件（IPE包）和补丁文件。

¡ 选择“复合软件包套件（IPE包）”，配置如下：

- 发布日期：非必填项，不填写即可；

- 选择文件：根据选择的软件类型，单击<选择文件>按钮，在本地目录中选择对应的文件；

- 目标文件：“选择文件”后，默认填充，不需要手动填写；

- 描述：非必填项，不填写即可。

图5-27 复合软件包套件（IPE包）

¡ 补丁文件方式导入完成后需要指定适用设备型号

图5-28 补丁文件

5.3.5 L3 Switch配置

L3 Switch的配置根据BRAS设备的连接位置有所区分。

1. BRAS旁挂Core设备组网

若BRAS旁挂Core设备，则L3设备按照以下配置方式：

(1) 全局使能STP、DHCP

#使能STP

stp global enable

dhcp enable

(2) 创建VLAN 100、VLAN 110接口

vlan 100

vlan 110

interface Vlan-interface 100

ip address 100.1.0.1 24

interface Vlan-interface 110

ip address 110.1.0.1 24

(3) 与统一数字底盘连接的接口加入VLAN 100

int Ten-GigabitEthernet 1/0/47

port access vlan 100

stp edged-port //L3交换机与服务器相连的端口，配置为STP边缘端口。

与SeerEngine-Campus，vDHCP连接的接口加入VLAN 110

interface Ten-GigabitEthernet1/0/39

port access vlan 110

stp edged-port //L3交换机与服务器相连的端口，配置为STP边缘端口。

(4) 创建VLAN 1与VLAN 4094虚接口

interface Vlan-interface1

ip address 120.1.0.1 255.255.255.0

ospf 1 area 0.0.0.0

dhcp select relay

dhcp relay server-address 110.1.0.105 //DHCP Relay相关的配置，用于设备自动化上线，若Core/Distribution/Access都为手动配置纳管，则DHCP Relay相关配置可以不配。

dhcp relay server-address 110.1.0.106

interface Vlan-interface4094

ip address 130.1.0.1 255.255.255.0

(5) 与Core相连的接口

interface Ten-GigabitEthernet1/0/26 //有多个接口的话，均进行该配置；后续等待Core设备侧聚合配置完毕后，再手动修改L3侧相关端口为聚合，并在聚合上配置该配置，需要保证聚合链路两侧聚合模式一致

description to_Core

port link-type trunk

port trunk permit vlan 1 4094

M-LAG组网，L3与两台Core设备连接的接口需要配置成聚合组（设备自动化上线后再配置）；

interface Bridge-Aggregation1

port link-type trunk

port trunk permit vlan 1 4094

link-aggregation mode dynamic

interface Ten-GigabitEthernet1/0/26

description to_CoreA

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 4094

port link-aggregation group 1

interface Ten-GigabitEthernet1/0/28

description to_CoreB

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 4094

port link-aggregation group 1

2. BRAS连接在Core设备和L3交换机设备之间

若BRAS设备连接在Core设备和L3交换机设备之间，则手动对L3 Switch配置如下：

(1) 全局使能STP

#使能STP

stp global enable

(2) 创建VLAN10、VLAN 100、VLAN 110接口

vlan 10

vlan 100

vlan 110

interface Vlan-interface 10

ip address 4.4.10.1 24

interface Vlan-interface 100

ip address 100.1.0.1 24

interface Vlan-interface 110

ip address 110.1.0.1 24

(3) 与统一数字底盘连接的接口加入VLAN 100

int Ten-GigabitEthernet 1/0/47

port access vlan 100

stp edged-port //L3交换机与服务器相连的端口，配置为STP边缘端口。

(4) 与SeerEngine-Campus，vDHCP连接的接口加入VLAN 110

interface Ten-GigabitEthernet1/0/39

port access vlan 110

stp edged-port //L3交换机与服务器相连的端口，配置为STP边缘端口。

(5) 与BRAS相连的接口配置

Vlan10

int Ten-GigabitEthernet 1/0/11

description to_BRAS

port access vlan 10

(6) 增加默认路由

#配置默认路由下一跳为与BRAS的互联接口地址。

ip route-static 0.0.0.0 0 4.4.10.2 //默认路由下一跳为与BRAS的互联接口地址

5.3.6 BRAS配置

· 若BRAS设备连接在Core设备和L3交换机设备之间，则设备上线前需要在BRAS设备上手动增加本小节配置。

· 若为BRAS旁挂Core组网场景，则忽略本小节。

(1) 全局使能DHCP，STP

#使能STP //若为L3交换机直连Core场景，则该配置只下发在L3交换机上即可

stp global enable

#使能DHCP //若为L3交换机直连Core场景，则该配置只下发在L3交换机上即可

dhcp enable

(2) 创建VLAN1，VLAN4094接口（Bras接口为路由口时不需要配置）

vlan 1

vlan 4094

interface Vlan-interface1

ip address 120.1.0.1 255.255.255.0

ospf 1 area 0.0.0.0 //根据实际组网配置

dhcp select relay

dhcp relay server-address 110.1.0.105 //DHCP Relay相关的配置，用于设备自动化上线，若Core/Distribution/Access都为手动配置纳管，则DHCP Relay相关配置可以不配。

dhcp relay server-address 110.1.0.106

interface Vlan-interface4094

ip address 130.1.0.1 255.255.255.0

(3) 与L3交换机相连的接口配置

int GigabitEthernet 3/2/9

description to_L3_Switch

ip address 4.4.10.2 255.255.255.0

(4) 与Core设备相连接的接口

¡ 二层以太网接口配置

description to_Core

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 4094

M-LAG组网，Bras与两台Core设备连接的接口需要配置成聚合组；

interface Bridge-Aggregation1

port link-type trunk

port trunk permit vlan 1 4094

link-aggregation mode dynamic

interface Ten-GigabitEthernet1/0/26

description to_CoreA

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 4094

port link-aggregation group 1

interface Ten-GigabitEthernet1/0/28

description to_CoreB

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 4094

port link-aggregation group 1

¡ 三层路由口配置：

#Bras是三层路由口时，需要Bras三层路由口上配置vlan1对应的ip地址

description to_Core

ip address 120.1.0.1 255.255.255.0

ospf 1 area 0.0.0.0 //根据实际组网配置

dhcp select relay

dhcp relay server-address 110.1.0.105 //DHCP Relay相关的配置，用于设备自动化上线，若Core/Distribution/Access都为手动配置纳管，则DHCP Relay相关配置可以不配。

dhcp relay server-address 110.1.0.106

interface Ten-GigabitEthernet1/0/26.4094

ip address 130.1.0.1 255.255.255.0

ospf 1 area 0.0.0.0 //根据实际组网配置

vlan-type dot1q vid 4094

M-LAG组网，Bras与两台Core设备连接的接口需要配置成聚合组；

interface Route-Aggregation1

ip address 120.1.0.1 255.255.255.0

ospf 1 area 0.0.0.0 //根据实际组网配置

dhcp select relay

dhcp relay server-address 110.1.0.105 //DHCP Relay相关的配置，用于设备自动化上线，若Core/Distribution/Access都为手动配置纳管，则DHCP Relay相关配置可以不配。

dhcp relay server-address 110.1.0.106

link-aggregation mode dynamic //Bras直连的Core设备自动化上线前，不要配置。等Core设备自动化上线完成，2台Core设备配置上行M-LAG口时，再把该命令配上。

interface Ten-GigabitEthernet1/0/26

description to_CoreA

port link-mode route

port link-aggregation group 1

interface Ten-GigabitEthernet1/0/28

description to_CoreB

port link-mode route

port link-aggregation group 2

interface Route-Aggregation1.4094

ip address 130.1.0.1 255.255.255.0

ospf 1 area 0.0.0.0

vlan-type dot1q vid 4094

(5) 与AC设备相连接的接口（若组网为AC设备旁挂在BRAS设备上，进行该配置步骤；若不是该组网，请忽略本步骤）

int GigabitEthernet 3/2/2.6

ip address 59.0.1.1 255.255.255.0

vlan-type dot1q vid 6 //以vlan 6 ，AC IP为59.0.1.0/24网段为例，因为此vlan和IP为用户手动配置，请根据现场情况灵活配置；AC设备侧的对应请参考对应的章节5.10.1 纳管AC设备

(6) 增加路由

#配置到控制组件、vdhcp的路由，下一跳为L3设备上的接口。

ip route-static 110.1.1.0 24 4.4.10.1

#配置到统一数字底盘的路由，下一跳为L3设备上的接口。

ip route-static 100.1.0.0 24 4.4.10.1

BRAS设备的下行口先使用VLAN 1、VLAN 4094的方式，待顶层设备自动化部署完毕后，顶层设备的上行口配置固定后，再删除VLAN 1、VLAN 4094等的配置，并将VLAN虚接口上的相关配置下发在BRAS的三层物理口或三层聚合口上。

5.3.7 环路检测优化

环路检测优化作为STP的补充，与STP并存部署。主要用于解决组网中连接了一些无法透传STP或LLDP报文的设备（HUB或第三方设备），从而避免STP无法阻塞环路的情况。

具体配置可参考《AD-Campus 7.1 基础配置指导（组策略）》。

5.4 设备上线（新自动化）

本文以三层组网为例进行简单介绍，设备版本升级、堆叠、级联、局部变更等功能可参考文档《AD-Campus 7.1 新自动化配置指导》。

5.4.1 控制组件配置

1. 基础配置

本章内容的配置入口有两种，本文档以使用园区向导方式为例进行配置介绍。

· 园区向导路径：[向导>设备上线规划]

· 非园区向导路径：[自动化>园区网络>Fabrics]

(1) 进入[向导>设备上线规划]页面，进行第一步“基础配置”。

(2) 在“选择Fabric”下拉框中选择“创建Fabric”，会跳转至建Fabric配置页面，配置以下参数后，单击<确定>按钮，完成配置。

图5-29 创建Fabric

图5-30 Fabric配置

¡ 名称：可以填写最长255个字符，区分大小写。

¡ 网络类型：选择“VLAN”。

¡ 是否使用BRAS大二层：选择“是”

¡ 业务自动化：开启状态，纳管的Core、Distribution设备若占用设备系列或设备通用授权也需要同步占用业务自动化授权，授权不足可能会导致设备纳管失败；若为关闭状态，纳管的设备不占用相关授权，但无法加入隔离域。

¡ 业务随行：开启状态，纳管的Core、Distribution设备若占用设备系列授权或设备通用授权也需要同步占用业务随行授权，授权不足可能会导致设备纳管失败；若为关闭状态，纳管的设备不占用相关授权。

¡ 隔离域：选择Fabric所属隔离域，可在下拉框中选择增加隔离域，相关参数说明，请参考5.13.1 隔离域。

¡ STP黑洞探测：STP黑洞探测功能，默认关闭。开启时发包周期和超时时间必填。发包周期和超时时间推荐保持缺省值。详细介绍请参考本文5.3.7 环路检测优化。

¡ LLDP跨域检测：LLDP跨域检测功能，默认关闭。开启时通用策略组会默认生成LLDP跨域接口组。详细介绍请参考本文5.3.7 环路检测优化。

¡ ONU端口隔离：当前Fabirc下ONU设备的UNI口是否使能端口隔离功能开关；开启则此Fabric下ONU设备的UNI口使能端口隔离功能，关闭则此Fabric下ONU设备的UNI口去使能端口隔离功能。

(3) 然后单击<下一步>按钮进入地址池配置页面。

2. 地址池配置

地址池的配置入口有两种，本文档以使用园区向导方式为例进行配置介绍。

· 园区向导路径：[向导>设备上线规划]

· 非园区向导路径：[自动化>园区网络>Fabrics>自动化部署>自动化模板]

进入[向导>设备上线规划]页面，进行第二步“地址池配置”。

(1) DHCP服务器：仅支持选择vDHCP，参数填写可参考本文5.3.1 DHCP服务器的VDHCP Server内容。

设备自动化使用的DHCP必须为H3C vDHCP。

(2) VALN1地址池：选择VLAN1地址池，地址池填写在BRAS设备或L3交换机中设置的VLAN1（120.1.0.0/24）网段的IP地址。“网关地址”是BRAS设备或L3交换机设置的VLAN 1的IP地址。

(3) VLAN1有两种添加方式：

¡ 路径：[自动化>园区网络>网络设备]，单击右上角IP地址池，新增VLAN1地址池。

¡ 在VLAN1地址池填写框下拉新增VLAN1地址池。

- 名称：不重复即可；

- 类型：默认“园区VLAN1网络”，不支持修改；

- 地址池：填写IP地址/掩码；

- 网关地址：填写上述地址池的网关地址；

- 是否绑定企业码：默认“否”，开启后VLAN1地址池中会下发option125的企业码参数，若组网中存在多个DHCP Server，支持的设备会优先获取vDHCP分配的地址。

- 添加地址段：不填写，默认全地址段，填写后，设备根据地址段进行VLAN1地址分配。

图5-31 增加VLAN1地址池

(4) 服务器IPv4管理网段：默认填写园区网控制组件网段和统一数字底盘网段，支持多个网段，该网段会在设备下发静态路由。

VLAN4094地址池：填写后Access会使用VLAN4094进行纳管，地址池填写在BRAS设备或L3交换机中设置的VLAN4094（130.1.0.0/24）网段的IP地址。“网关地址”是BRAS设备或L3交换机设置的VLAN4094的IP地址。

图5-32 增加VLAN4094 地址池

(5) 服务器IPv6管理网段以及VLAN4094 IPv6地址池保持为空即可。

(6) 配置完成后，单击<下一步>按钮，进入“设备角色模板”页面。

3. 设备角色模板

设备角色模板的配置入口有两种，本文档以使用园区向导方式为例进行配置介绍。

· 园区向导路径：[向导>设备上线规划]

· 非园区向导路径：[自动化>园区网络>Fabrics>自动化部署>自动化模板]

(1) 进入[向导>设备上线规划]页面，进行第三步“设备角色模板”。

¡ 组网模型：支持“BRAS大二层”组网模型，选择该模型即可；

¡ 是否使用Core：

- 默认“是”，表示三层组网模型，此时Core、Distribution、Access设备全部可以进行自动化上线。

- 选择“否”，则表示为单汇聚组网模型。（不含Core角色设备）。

¡ 半自动化上线：默认“否”；

- 默认“否”，此时Core、Distribution、Access设备全部可以进行自动化上线。

- 选择“是”，此时Core、Distribution手动纳管，仅Access设备可以进行自动化上线，配置方式可参考本文5.5 设备上线（半自动化）。

¡ Core部署模式：

在选择使用Core时可选择配置该选项。

- 默认“单机/堆叠模式”，Core设备上线后不能配置为M-LAG系统。

- 选择“M-LAG模式”，两台Core设备上线后，需配置成M-LAG系统，Core角色的“使能IRF”选项会自动置成“否”。

¡ Distribution部署模式：

是否使用Core选“否”时可选择配置该选项。

- 默认“单机/堆叠模式”，Distribution设备上线后不能配置为M-LAG系统。

- 选择“M-LAG模式”，两台Distribution设备上线后，需配置成M-LAG系统，Distribution角色的“使能IRF”选项会自动置成“否”。

¡ 单链路互联默认聚合：默认关闭，表示单链路不聚合，开启时，则表示即使为单条链路互联，也会自动聚合。

¡ 模板名：不重复即可。

¡ NTP服务器：填写NTP时间服务器的IP地址；统一数字底盘默认内置NTP服务器，IP地址为集群北向IP。

¡ 设备控制协议模板：支持两种添加方式：选择[自动化>园区网络>网络参数]菜单项，选择[参数]页签，选择[设备控制协议模板]子页签进行配置；或者下拉框新增设备控制协议模板，或者选择默认创建的设备控制协议模板“default_protocol_template”，参数填写请参考本文5.3.3 创建设备控制协议模板：

选择默认设备控制协议模板“default_protocol_template”，选中后，需要单击<模板修改>按钮，填写SNMP、NETCONF、TELNET、SSH相关信息。

图5-33 控制协议模板

¡ Core模板、Distribution模板、Access模板：可以再次选择设备控制协议模板，也可以不修改，上述选择设备控制协议模板后，模板内默认填充；使能IRF根据需要选择，使能olt根据需要选择；Access无使能IRF选择，默认“是”。

图5-34 设备角色模板

(2) 配置完成后，单击<下一步>按钮，进入设备版本升级配置页面。

4. 设备版本升级配置（按需）

设备版本升级配置页面通过针对设备角色和型号指定版本升级文件以实现自动化上线过程中的版自动升级功能。配置此项之前需要先在软件库上传版本文件。

设备版本升级配置的配置入口有两种，本文档以使用园区向导方式为例进行配置介绍。

· 园区向导路径：[向导>设备上线规划]

· 非园区向导路径：[自动化>园区网络>Fabrics>自动化部署>自动化模板]

(1) 进入[向导>设备上线规划]页面，进行第四步“设备版本升级配置”。

(2) 单击<增加>按钮进入新增页面。

图5-35 设备版本升级配置

(3) 进行如下配置：

¡ 设备角色：默认选择“Core”，可根据实际情况，在Core、Distribution、Access角色中选择一种；

¡ 版本类型：默认复合软件包套件（*.ipe）；

- 复合软件包套件：下拉选择复合软件包套件，复合软件包套件添加方式参考5.3.4 导入设备版本。

目标版本：选择“复合软件包套件”后，默认填充。

适用设备：可单击右侧的<选择型号><删除型号>按钮；

- 选择型号：勾选设备型号，单击<增加>按钮后，可以在适用设备框中看到勾选的设备型号，可选择多个；

- 删除型号：在适用设备框中选中设备型号，单击<删除>按钮，可以删除上一步勾选的设备型号。

¡ 补丁文件：非必填项，可不填写。

图5-36 新增设备版本升级配置

(4) 配置完成后，单击<下一步>按钮，进入设备上线清单页面。

5. 设备上线清单

自动化上线要求必须添加设备清单，否则设备无法上线。设备清单的主要作用包括：

· 指定设备角色，为设备开始自动化预配置角色信息。

· 设备注册WebSocket。若指定序列号不在设备清单内，设备将无法建立WebSocket连接，无法完成自动化上线；若指定序列号在设备清单内，设备可以通过设备清单注册WebSocket，完成自动化上线。

设备上线清单的配置入口有两种，本文档以使用园区向导方式为例进行配置介绍。

· 园区向导路径：[向导>设备上线规划]

· 非园区向导路径：[自动化>园区网络>Fabrics>自动化部署>设备清单]

(1) 进入[向导>设备上线规划]页面，进行第五步“设备上线清单”。

(2) 增加/导入设备清单，应把所有需要自动化上线设备的设备清单都添加进来。

¡ 网络类型：选择VLAN。

¡ 支持WebSocket：默认“是”，不支持修改。表示支持设备与控制组件使用WebSocket方式通信。

¡ 设备序列号：填写设备的唯一标识符（框式设备需要将机框SN、控制板SN均添加至同一条设备清单中）。

设备序列号查看详情：

<Core>display license device-id chassis 1

SN: 210235A1YKX21100002L

Device ID: vqCk-Eq3e-NJpu-tCG$-uCyD-938M-piZA-c463

或者

<access1>display device manuinfo slot 1

Slot 1 CPU 0:

DEVICE_NAME : S5130S-52S-EI

DEVICE_SERIAL_NUMBER : 219801A12F9191Q00251

MAC_AddRESS : 7057-BF65-A9C0

MANUFACTURING_DATE : 2019-01-11

VENDOR_NAME : H3C

¡ Fabric：选择该设备清单在哪个Fabric下进行上线。

¡ 设备角色：可选设备角色为Core/Distribution/Access，设备自动化上线时会根据设备清单中配置的角色信息修改设备角色。

¡ 设备标签：控制组件端展示的设备标识。

¡ 设备系统名称：设备的Sysname，设备自动化上线后根据本配置字段自动修改。

¡ 管理IP地址：仅支持对Access角色，填写VLAN4094的管理IP地址，Core/Distribution角色不支持填写管理IP地址：

指定Access设备自动化上线后的VLAN 4094的IP地址，为可选配置；

- 若配置了管理IP地址，则设备自动化上线后SeerEngine-Campus控制组件根据设置的IP地址分配给设备；

- 若不配置管理IP地址，则SeerEngine-Campus控制组件根据VLAN4094的地址池自动分配IP给设备。

¡ Underlay IP地址：本特性不涉及。

¡ 站点名称：选择设备属于哪个站点，按需配置，需要使用大屏功能时必须配置。

新增站点路径：[自动化>园区网络>Fabrics]页面，选择右上角[站点]页签，单击<增加>按钮，配置以下参数即可。

- 名称：不重复即可；

- 上级站点：当不存在任何站点时，首次创建站点的上级站点默认为全局；

- 经度、纬度：根据实际站点的经纬度填写；

- 详细地址：可选项，可根据实际情况填写。

图5-37 站点

图5-38 增加站点

图5-39 增加设备清单

图5-40 设备清单查看

5.4.2 新自动化部署准备

1. 设备空配置上线

用户需要保证设备恢复出厂配置并重启才能进行自动化上线，配置命令：restore factory-default

Core/Distribution/Access设备空配置启动，自动获取VLAN1 IP地址后，主动通过WebSocket连接控制组件。

图5-41 空配置重启1

图5-42 空配置重启2

图5-43 获取VLAN1地址

查看设备上WebSocket连接已创建：

<H3C>display cloud-management state

Cloud connection state : Established

Device state : Request_success

Cloud server address : 100.1.0.100

Cloud server domain name : 100.1.0.100

Cloud server port : 443

Connected at : Sat Jan 13 20:38:15 2024

Duration : 00d 03h 34m 39s

Process state : Message received

Failure reason : N/A

<H3C>

2. 设备版本升级（按需）

当设备版本与目标版本不一致时，设备在上线过程中会升级设备版本。

(1) 进入[自动化>园区网络>Fabrics>查看拓扑]页面，可查看到设备的拓扑节点信息。

图5-44 查看拓扑

(2) 在查看拓扑页面单击<版本升级状态>按钮，弹出版本升级状态页面，可查看自动创建的升级任务。若当前设备角色对应的设备型号配置了升级配置，设备通过VLAN 1获取地址上线之后云端检测到设备启动的版本和目标版本不一致时会自动执行升级任务。

图5-45 自动化拓扑

图5-46 版本升级状态

图5-47 版本不一致自动创建升级任务

图5-48 升级记录

图5-49 升级详细步骤

图5-50 升级成功后拓扑添加展示

5.4.3 新自动化部署过程

1. 查看自动化部署拓扑

设备自动化上线获取到VLAN 1地址并与控制组件建立WebSocket连接，设备执行版本升级成功后，控制组件会自动创建对应的待纳管设备。进入[自动化>园区网络>网络设备]页面，查看设备信息如下图所示。

图5-51 设备信息

进入[自动化>园区网络>Fabrics>查看拓扑]页面，可查看到设备的拓扑节点信息。

图5-52 三层组网自动化拓扑

拓扑左上方的按钮对应功能分别为“放大”、“缩小”、“保存坐标”、“导出为图片”、“重置缩放”、“位置重置”、“链路筛选”和“查看图例”。

链路筛选包含单链路、聚合链路、变化链路、手动纳管链路、断开链路，后面括号中显示链路个数，勾选后可以展示该类型链路，去勾选后不显示该类型链路。单击变化链路、断开链路，可以显示链路详情。

图例释义包含设备配置状态以及链路状态对应的颜色展示，具体释义如下：

· 设备状态：

¡ 手工纳管（设备为手工纳管）

¡ 未配置（设备未进行自动化部署）

¡ 已配置（设备已完成自动化部署）

¡ 配置失败（设备自动化部署失败）

¡ 已移除（网络设备页签中已被删除的设备）

· 链路状态：

¡ 单链路（设备通过单条链路连线）

¡ 聚合链路（设备通过聚合链路连线）

¡ 变化链路（自动化部署完成的设备进行了连线变更或接入了新的连线）

¡ 手工纳管链路（手工纳管设备的连线）

¡ 断开链路（已完成自动化部署的设备之间被移除的链路）

图5-53 链路筛选

图5-54 变化链路

图5-55 查看图例

2. 配置跨设备聚合参数（按需）

若自动化模板中选择M-LAG模式，则此时应通过页面的“跨设备聚合参数”配置相关参数。

图5-56 跨设备聚合参数-1

图5-57 跨设备聚合参数-2

M-LAG认证模式选择“免认证”方式即可，参数说明可参考5.9.1 M-LAG类型IP地址池。

3. 选择上行口

单击Core上行配置的<配置>按钮，进入接口列表页面，选择Core设备与上行设备（L3交换机或者是BRAS设备）的接口。

图5-58 上行口配置

若组网模型不是双Core，也不是双Distribution组网，且Core设备与上行设备有多条链路，则应单击<增加聚合组>按钮，在增加聚合组页面配置聚合。

图5-59 配置聚合组

· 双Core/Distribution组网模型，先自动化和上线Core，再上线Distribution、Access设备。Core/Distribution设备与L3/BRAS设备连接接口需配置成M-LAG接口。

· 双Core/Distribution组网模型中，若每台Core或Distribution设备有多个上行口，自动化拓扑页面也只需要选择一个接口即可，后续配置M-LAG组时，需选择所有的上行接口。

4. 启动自动化部署

自动化拓扑页展示设备的拓扑结构，用于查看设备节点及链路信息，对当前自动化拓扑节点进行“启动自动化部署”、“停止自动化部署”、“堆叠配置”及“换口配置”等功能。

进入[自动化>园区网络>Fabrics>查看拓扑]页面，单击<全选>按钮选择所有设备，或Ctrl键+鼠标左键选中部分设备，单击<启动自动化部署>按钮，则被选中设备开始进行自动化部署。

图5-60 启动自动化部署示例1-三层组网

5. 查看自动化部署详情

拓扑中的所有设备开始自动化部署后，可以通过单击<查看部署详情>按钮及<历史部署记录>按钮查看整体部署情况。

图5-61 部署详情

图5-62 部署记录

鼠标双击具体的设备节点，可以查看Core/Distribution/Access设备的详细部署过程。

图5-63 设备自动化部署详情

6. 查看设备上线结果

查看控制组件上设备状态。

进入[自动化>园区网络>网络设备]页面，查看设备信息，所有已经自动化上线完成的设备更新完成，在线状态为激活，管理状态为已纳管。

图5-64 自动化上线纳管设备

7. 停止自动化部署

开始自动化部署，部署任务在部署过程中，单击<停止自动化部署>按钮仅会停止未开始自动化的设备，已经在自动化部署过程中的设备将无法停止。

自动化部署最大支持10台设备同时部署，使用停止自动化部署功能可使未启用自动化部署的设备停止部署任务。

图5-65 停止自动化部署

5.4.4 上行接口更换

1. 启动自动化部署前更换上行口

路径：[自动化>园区网络>Fabrics>查看拓扑]，打开“自动化拓扑”页面。

启动自动化部署前，若要更换上行接口或上行口需配置聚合，单击<配置>按钮，重新设置即可。

需要选择三层架构组网模型中的Core角色设备、单汇聚组网（双Distribution）模型中的Distribution角色设备的上行接口。

图5-66 选择上行口

2. 启动自动化部署后更换上行口

路径：[自动化>园区网络>Fabrics>查看拓扑]，打开“自动化拓扑”页面。

启动设备自动化部署，设备完成自动化上线后，若要更换上行接口或上行口需要聚合，则需重新选择上行口。单击<配置>按钮，在弹出的Core上行配置页面中，单击需要修改的端口输入框，重新选择端口即可。

图5-67 更换上行口

双Core/双Distribution组网模型下，M-LAG页面需配置针对上行口的M-LAG组，配置完M-LAG组后，不支持对上行口的更换。

5.4.5 上行设备配置变更

若组网模型为Core设备直连L3交换机：

· Core设备与L3之间为单链路，则不用变更L3交换机配置。

· Core设备与L3之间为多链路，则L3交换机配置侧应同步配置动态聚合（Bridge-Aggregation）

若组网模型为BRAS串连在Core设备和L3交换机之间：

· Core设备与BRAS设备之间为单链路，则BRAS设备与Core设备的互联口重新恢复成route类型端口，删除int vlan 1、int vlan 4094和vlan 4094，将int vlan1的IP及DHCP配置恢复到物理端口上，同时对物理口启用4094子接口，终结vlan 4094（vlan-type dot1q vid 4094配置），将int vlan 4094的配置（IP配置）恢复到该子接口上。

· Core设备与BRAS设备之间为多链路，则BRAS设备应将与Core设备的接口配置成三层聚合口（Route-Aggregation），删除int vlan 1、int vlan 4094和vlan 4094,将int vlan1的配置恢复到聚合端口上，同时对聚合口启用4094子接口，终结VLAN 4094（vlan-type dot1q vid 4094配置），然后将int vlan 4094的配置恢复到该子接口上。

若组网为双Core或双Distribution模型，则需在配置5.9章节（顶层设备配置好与上行设备的M-LAG组）之后再进行本小节的配置。

以组网模型为Core设备直连BRAS设备，BRAS设备上连L3交换机，Core设备与BRAS设备之间为单链路为例进行配置说明。

(1) 删除int vlan 1、int vlan 4094、vlan 4094

undo int vlan 4094

undo int vlan 1

undo vlan 4094

(2) 配置与Core设备连接的端口

Interface Ten-GigabitEthernet3/2/1

ip address 120.1.0.1 24

dhcp select relay

dhcp relay server-address 110.1.0.105

dhcp relay server-address 110.1.0.106

(3) 配置与Core设备连接的4094子接口

int Ten-GigabitEthernet 3/2/1.4094

vlan-type dot1q vid 4094

ip address 130.1.0.1 24

(4) 删除STP

undo stp global enable

5.4.6 快捷选择设备功能

· 控制组件E6701L01及以后的版本新增“快捷选择设备”的功能，主要用于复杂场景中，便于用户选择需要进行自动化部署的设备。

· 仅可选择变化链路和断开链路相关联的设备。

· 本功能仅选择设备，后续进行自动化部署需用户自行单击<启动自动化部署>按钮。

该功能主要用于复杂场景中，便于用户选择需要进行自动化部署的设备。

(1) 选择一台待纳管设备，单击<快捷选择设备>按钮。

图5-68 扩容链路

(2) 选择要进行部署的本端设备作为起点，关联设备会自动选中，用户可手动单击设备名切换该设备的勾选状态。

默认展示一个区块，每个区块都包含本端设备和关联设备两项，必须选择了本端设备后才可以继续增加区块，删除区块时最少保留一个区块。

图5-69 快捷选择设备

以本端设备为起点，找出与其相连的变化链路和断开链路的对端设备，再以这些对端设备继续查找，最后计算得出关联设备。

(3) 单击<确定>按钮后，拓扑中会自动选中本端设备和关联设备。

图5-70 点击确定

(4) 单击<启动自动化部署>按钮，则控制组件会对变化且被选中的拓扑节点和链路自动下发相关配置。

图5-71 自动化部署完成

5.5 设备上线（半自动化）

园区角色半自动化方案共包含两部分内容：

· 一部分是Core设备、Distribution设备Underlay的手动配置及纳管。

· 另一部分是Access设备的自动化部署。

Access使用VLAN4094进行纳管。

5.5.1 创建半自动化模板

1. 控制组件配置

参考本文5.4.1 控制组件配置。

下面仅介绍不同之处：

· 设备配置模板中“半自动化上线”勾选“是”，其余参考本文5.4.1 3. 设备角色模板。

图5-72 半自动化设备角色模板

· 设备上线清单、设备版本升级仅添加Access角色的即可，填写方式参考本文5.4.1 5. 设备上线清单、5.4.1 4. 设备版本升级配置（按需）。

5.5.2 Core、Distribution设备手动纳管

手动纳管Core、Distribution，请参考本文5.8.1 Core设备以及5.8.2 Distribution设备。

5.5.3 Access设备自动化上线

1. 恢复出厂配置

用户需要保证设备恢复出厂配置，进行自动化上线。

<Sysname> restore factory-default

This command will restore the system to the factory default configuration and clear the operation data. Continue [Y/N]:y

Restoring the factory default configuration. This process might take a few minutes. Please wait..........................................................................................................Done.

Please reboot the system to place the factory default configuration into effect.

2. Access设备空配置启动

Access设备空配置启动，自动获取IP地址后获得自动化部署模板进行部署。

Automatic configuration attempt: 1.

Not ready for automatic configuration: no interface available.

Waiting for the next...

Automatic configuration attempt: 2.

Interface used: Vlan-interface1.

Enable DHCP client on Vlan-interface1.

Set DHCP client identifier: 542bded66358-VLAN0001

Line aux0 is available.

Press ENTER to get started.

3. 设备版本升级（按需）

请参考本文5.4.2 2. 设备版本升级（按需）。

4. 启动自动化部署

进入[自动化>园区网络>Fabrics>查看拓扑]页面，使能<自动化开关>按钮，单击<全选>按钮选择所有设备，或Ctrl键+鼠标左键选中部分设备，单击<启动自动化部署>按钮，则被选中设备开始进行自动化部署。

图5-73 启动自动化部署前-Core、Distribution设备手动纳管，Access自动化上线

图5-74 启动自动化部署

5. 查看自动化部署详情

拓扑中的所有设备开始自动化部署后，可以通过<查看部署详情>及<历史部署记录>查看整体部署情况。以三层组网为例：

图5-75 部署详情

6. 查看设备上线结果

进入[自动化>园区网络>网络设备]页面，查看设备信息，所有已经自动化上线完成的设备更新完成，Access在线状态为激活，管理状态为已纳管。

图5-76 三层组网设备组

5.6 Access级联

与Distribution直连的Access为一级Access，一级Access下级联二级Access设备，依次类推，目前最多支持三级Access级联。

二级Access设备的自动化上线与一级Access设备上线过程类似。

新自动化上线与半自动化上线，Access级联上线步骤相同，下面以新自动化二级access级联为例介绍。

5.6.1 二级Access设备空配置启动自动化上线

(1) 接入二级Access设备后查看拓扑并启动级联Access设备自动化部署。

图5-77 级联Access自动化部署

(2) 所有级联Access完成自动化部署后，通过单击“查看部署详情”链接查看整体部署情况。

(3) 双击设备节点，查看其中一台级联Access的部署详情。

图5-78 设备自动化部署详情

5.6.2 查看设备及检查部署结果

1. 查看控制组件上设备状态

进入[自动化>园区网络>网络设备]页面，查看设备信息，所有级联Access设备自动创建正确，且在线状态为激活。

图5-79 网络设备

进入[自动化>园区网络>Fabrics>查看拓扑]页面，可查看到设备的拓扑节点及链路已更新为已配置状态。

图5-80 拓扑

2. 级联Access设备主要配置检查

查看级联Access设备IP已经分别获取了VLAN1和VLAN 4094的IP地址，控制组件会自动把interface vlan1进行shutdown操作。

[Access2]dis ip int brief

*down: administratively down

(s): spoofing (l): loopback

Interface Physical Protocol IP address VPN instance Description

Vlan1 down down 120.1.0.11 -- --

Vlan4094 up up 130.1.0.3 -- --

级联Access设备之间互联口配置：

interface GigabitEthernet1/0/1

port link-type trunk

port trunk permit vlan 1 4094

stp instance 0 port priority 16

stp instance 0 cost 1

5.7 设备堆叠

新自动化支持Core/Distribution/Access设备单台或堆叠上线。当用户有堆叠需求时，可以在设备开始启动自动化部署前配置设备堆叠，支持自动化部署后的堆叠设备扩容、堆叠链路扩容以及堆叠链路换线。本文以Access堆叠为例简单讲述，详细堆叠流程可参考《AD-Campus 7.1 新自动化配置指导》中的“设备堆叠”章节。

· 两台相互堆叠的交换机的所属系列、版本及角色必须完全一致；

· 堆叠口必须使用10G及以上速率的接口互连。当前Core/Distribution仅支持两台设备相互堆叠，Access最大支持9台设备相互堆叠。

· 当Access堆叠成员数量大于2时，不推荐使用控制组件配置MAD链路，若有MAD检测需求，请手工配置

· 每台堆叠成员设备都需要和上行设备互联。

· 两台设备之间支持1个或多个堆叠口，仅支持一个MAD检测口。

· 堆叠设备扩容时堆叠设备最多只允许选中一台。

· 已形成环形堆叠的设备不允许堆叠设备扩容。

· 两台及以上已纳管的设备不支持配置堆叠，若有堆叠需求需要将设备清空配置重新上线后再进行堆叠配置。

5.7.1 Access堆叠

1. Access设备堆叠操作上线顺序

(1) 每台堆叠成员设备都和上行设备互连；

(2) 两台设备互连；

(3) 操作设备空配置重启，设备获取VLAN 1地址并主动和控制组件建立WebSocket连接；

(4) 自动化拓扑页配置设备堆叠；

(5) 堆叠设备启动自动化部署。

2. 创建好连线，Access设备空配置启动

图5-81 空配置启动

3. 选择设备配置堆叠

进入[自动化>园区网络>Fabrics>查看拓扑]页面，查看设备的拓扑节点信息。

图5-82 拓扑

选中两台Access设备，单击<堆叠配置>按钮。指定主设备，选择对应的堆叠口及MAD口，单击<确定>按钮，设备自动开始堆叠，等待一段时间后，查看堆叠结果。

图5-83 堆叠配置

4. 堆叠配置记录

单击<堆叠配置记录>按钮，实时查看设备堆叠进度。

图5-84 堆叠配置记录1

图5-85 堆叠配置记录2

图5-86 查看堆叠进度

图5-87 查看堆叠配置

5. 检查设备堆叠结果

自动化拓扑页中，选中的两台Access已堆叠成功，设备拓扑节点合并成了一台设备，设备节点的图标显示由原来的两个设备节点合并成一个新图标。

图5-88 堆叠结果

设备上查看堆叠配置正常

<H3C>disp irf

MemberID Role Priority CPU-Mac Description

*1 Master 17 f010-90db-7402 ---

+2 Standby 15 f010-90db-7403 ---

--------------------------------------------------

* indicates the device is the master.

+ indicates the device through which the user logs in.

The bridge MAC of the IRF is: 542b-ded6-d7f8

Auto upgrade : yes

Mac persistent : always

Domain ID : 0

MAD检查配置正确

<H3C>disp mad ver

Multi-active recovery state: No

Excluded ports (user-configured):

Excluded ports (system-configured):

IRF physical interfaces:

Ten-GigabitEthernet1/0/49

Ten-GigabitEthernet2/0/49

BFD MAD interfaces:

GigabitEthernet1/0/39

GigabitEthernet2/0/37

Vlan-interface100

MAD ARP disabled.

MAD ND disabled.

MAD LACP disabled.

MAD BFD enabled interface: Vlan-interface100

MAD status : Normal

Member ID MAD IP address Neighbor MAD status

1 192.168.100.1/24 2 Normal

2 192.168.100.2/24 1 Normal

6. 启动堆叠设备自动化部署，并查看部署结果

选中堆叠设备以及对端设备，并单击<启动自动化部署>按钮。设备完成自动化部署后，通过双击堆叠设备节点，查看堆叠设备的部署详情。

图5-89 自动化部署

进入[自动化>园区网络>网络设备]页面，查看设备信息，堆叠设备自动创建正确，且在线状态为激活。

图5-90 网络设备

5.8 设备上线（手工纳管）

本章节介绍Core、Distribution、Aceess、BRAS不进行自动化部署时需要手动配置的基础配置部分。下面的配置只基于设备角色最基础的Underlay部分配置，以及设备控制组件纳管设备所需的配置，配置完该部分配置后，SeerEngine-Campus控制组件可以纳管设备。

5.8.1 Core设备

Core设备在纳入到SeerEngine-Campus管理之前，需要手动进行如下配置：

(1) 设备Sysname配置

sysname Core

(2) 配置LLDP，用以确定拓扑关系

lldp global enable

(3) 配置STP

stp mode mstp

stp global enable

stp instance 0 priority 0

(4) 配置SNMP、NETCONF、TELNET、SSH

# 配置SNMP，下面的配置为默认配置，SNMP团体字根据实际情况配置

snmp-agent

snmp-agent community write private

snmp-agent community read public

snmp-agent sys-info version all

snmp-agent packet max-size 8192

#配置NETCONF

netconf soap http enable

netconf soap https enable

netconf ssh server enable

restful https enable

#配置telnet

telnet server enable //使用telnet功能时必须配置

#配置ssh

ssh server enable

(5) 配置Telnet/SSH用户名、密码

#设置用户名、密码为admin、H3C1234567

local-user admin class manage

password simple H3C1234567 //需设置密码符合等级保护要求。不能少于10个字符,最长63个字符，至少包含数字、大写字母、小写字母和特殊字符中的两种类型，不支持中文，不能包含‘？’和空格，不允许包含用户名和用户名倒序。

service-type telnet http https ssh

authorization-attribute user-role network-admin

authorization-attribute user-role network-operator

line vty 0 63

authentication-mode scheme

user-role network-admin

user-role network-operator

(6) 配置VLAN1的IP地址

int vlan 1

ip address 120.1.0.2 255.255.255.0

(7) 配置VLAN 4094

vlan 4094

(8) 配置Core与上行L3 Switch或BRAS设备接口的配置 //若有多条链路，则应先配置聚合，在聚合口上配置对应的配置；若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

interface Ten-GigabitEthernet3/0/23

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 4094

(9) 配置Core与Distribution接口的配置 //若有多条链路，则应先配置聚合，在聚合口上配置对应的配置；若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

interface Ten-GigabitEthernet4/0/13

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 4094

stp instance 0 port priority 16

stp instance 0 cost 1

stp root-protection

stp tc-restriction

Core的下行口需使能stp tc-restriction，stp root-protection。

(10) 配置静态路由

ip route-static 110.1.0.0 24 120.1.0.1//目的园区控制组件、vdhcp网段，下一跳vlan1网关

ip route-static 100.1.0.0 24 120.1.0.1//目的统一数字底盘网段，下一跳vlan1网关

(11) 配置NTP

#IP地址为NTP服务器IP，统一数字底盘默认内置NTP服务器，IP地址为集群北向IP

ntp-service enable

ntp-service unicast-server 100.1.0.100

(12) Core堆叠环境配置桥MAC保持不变，若Core为堆叠设备，需配置如下命令，确保主备倒换时设备桥MAC保持不变

irf mac-address persistent always

5.8.2 Distribution设备

Distribution设备在纳入到SeerEngine-Campus管理之前，需要手动进行如下配置：

(1) 设备Sysname配置

sysname Distribution

(2) 配置LLDP，用以确定拓扑关系

lldp global enable

(3) 配置STP

stp mode mstp

stp global enable

stp instance 0 priority 8192 \\有Core时需配置，无Core时，应配置stp instance 0 priority 0

(4) Distribution下行接口使能stp配置 \\若有多条链路，则应在配置聚合后，在聚合口上进行配置stp配置; 若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

int Ten-GigabitEthernet1/0/51

stp tc-restriction

stp instance 0 cost 1

stp instance 0 port priority 16

stp root-protection \\有Core时无需配置该配置，无Core时，应配置该配置

Distribution的下行口需使能stp tc-restriction。

(5) Distribution上行连接Core设备的接口使能stp配置 \\若有多条链路，则应在配置聚合后，在聚合口上进行配置STP配置; 若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

int Ten-GigabitEthernet1/0/52

stp instance 0 cost 1

stp instance 0 port priority 16

(6) 配置SNMP、NETCONF、TELNET、SSH

# 配置SNMP，下面的配置为默认配置，SNMP团体字根据实际情况配置

snmp-agent

snmp-agent community write private

snmp-agent community read public

snmp-agent sys-info version all

snmp-agent packet max-size 4096

#配置NETCONF

netconf soap http enable

netconf soap https enable

netconf ssh server enable

restful https enable

#配置telnet

telnet server enable //使用telnet功能时必须配置

#配置ssh

ssh server enable

(7) 配置Telnet/SSH用户名、密码

#设置用户名、密码为admin、H3C1234567

local-user admin class manage

service-type telnet http https ssh

authorization-attribute user-role network-admin

authorization-attribute user-role network-operator

line vty 0 63

authentication-mode scheme

user-role network-admin

user-role network-operator

(8) 配置VLAN 1的IP地址

int vlan 1

ip address 120.1.0.3 255.255.255.0

(9) 配置VLAN 4094

vlan 4094

(10) 配置Distribution与Access接口VLAN配置 \\若有多条链路，则应在配置聚合后，在聚合口上进行配置; 若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

interface Ten-GigabitEthernet1/0/51

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 4094

(11) 配置Distribution与Core接口VLAN配置，若有多条链路，则应在配置聚合后，在聚合口上进行配置;若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

interface Ten-GigabitEthernet1/0/52

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 4094

(12) 配置静态路由

ip route-static 110.1.0.0 24 120.1.0.1//目的园区控制组件、vdhcp网段，下一跳vlan1网关

ip route-static 100.1.0.0 24 120.1.0.1//目的统一数字底盘网段，下一跳vlan1网关

(13) 配置NTP

#IP地址为NTP服务器IP，统一数字底盘默认内置NTP服务器，IP地址为集群北向IP

ntp-service enable

ntp-service unicast-server 100.1.0.100

(14) Distribution堆叠环境配置桥MAC保持不变，若Distribution为堆叠设备，需配置如下命令，确保主备倒换时设备桥MAC保持不变

irf mac-address persistent always

5.8.3 Access设备

每一台Access设备在纳入到SeerEngine-Campus管理之前，需要手动进行如下配置：

(1) 设备Access角色和Sysname配置

sysname Access

(2) 配置LLDP，用以确定拓扑关系

lldp global enable

(3) 配置STP

stp global enable

stp mode mstp

(4) 配置SNMP、NETCONF、TELNET、SSH

# 配置SNMP，下面的配置为默认配置，SNMP团体字根据实际情况配置

snmp-agent snmp-agent community write private

snmp-agent community read public

snmp-agent sys-info version all

snmp-agent packet max-size 8192

#配置NETCONF

netconf soap http enable

netconf soap https enable

netconf ssh server enable

restful https enable

#配置telnet

telnet server enable //使用telnet功能时必须配置

#配置ssh

ssh server enable

(5) 配置Telnet/SSH用户名、密码

#设置用户名、密码为admin、H3C1234567

local-user admin class manage

service-type telnet http https ssh

authorization-attribute user-role network-admin

authorization-attribute user-role network-operator

ine vty 0 63

authentication-mode scheme

user-role network-admin

user-role network-operator

(6) 配置VLAN 4094的IP地址

int vlan 4094

ip address 130.1.0.2 255.255.255.0

(7) 配置Access与Distribution接口的配置 \\若有多条链路，则应配置聚合后，在聚合接口上进行该配置; 若为M-LAG场景，则无需手动配置聚合，后续在创建M-LAG组时，由控制组件下发

interface Ten-GigabitEthernet1/0/49

port link-mode bridge

port link-type trunk

port trunk permit vlan 4094

stp instance 0 port priority 16

stp instance 0 cost 1

(8) 配置静态路由

ip route-static 110.1.0.0 24 130.1.0.1 //目的园区控制组件、vdhcp网段，下一跳vlan4094网关

ip route-static 100.1.0.0 24 130.1.0.1 //目的统一数字底盘网段，下一跳vlan4094网关

(9) 配置NTP

#IP地址为NTP服务器IP，统一数字底盘默认内置NTP服务器，IP地址为集群北向IP

ntp-service enable

ntp-service unicast-server 100.1.0.100

(10) Distribution堆叠环境配置桥MAC保持不变，若Distribution为堆叠设备，需配置如下命令，确保主备倒换时设备桥MAC保持不变

irf mac-address persistent always

(11) 若Access的端口连接了用户终端，则建议配置STP边缘端口的配置，可以在设备纳管成功后，在控制组件页面配置，可通过本文5.12.1 1. 端口STP配置开启STP边缘端口。业务网络VLAN编排方式为默认场景下，不需要在[端口STP配置]页面手动配置。

5.8.4 BRAS设备

每一台BRAS设备在纳入到SeerEngine-Campus管理之前，需要手动进行如下配置：

(1) 配置LLDP，用以确定拓扑关系

lldp global enable

(2) 配置SNMP、NETCONF、TELNET、SSH

# 配置SNMP，下面的配置为默认配置，SNMP团体字根据实际情况配置

snmp-agent snmp-agent community write private

snmp-agent community read public

snmp-agent sys-info version all

snmp-agent packet max-size 4096

#配置NETCONF

netconf soap http enable

netconf soap https enable

netconf ssh server enable

restful https enable

#配置telnet

telnet server enable //使用telnet功能时必须配置

#配置ssh

ssh server enable

(3) 配置Telnet/SSH用户名、密码

#设置用户名、密码为admin、H3C1234567

local-user admin class manage

service-type telnet http https ssh

authorization-attribute user-role network-admin

authorization-attribute user-role network-operator

line vty 0 63

authentication-mode scheme

user-role network-admin

user-role network-operator

(4) 配置接口IP地址，用以服务器纳管

#如果BRAS设备旁挂在Core设备，则配置在连接Core设备的接口上启用子接口（以4094为例）

int Ten-GigabitEthernet 3/2/3.4094

ip address 130.1.0.201 255.255.255.0

vlan-type dot1q vid 4094

如果BRAS设备是双链路连接到Core设备上，需要保证聚合链路两侧聚合模式一致

举例（BRAS连接MLAG-Core配置动态聚合）：

interface Route-Aggregation 3

link-aggregation mode dynamic

int Route-Aggregation 3.4094

ip address 130.1.0.201 255.255.255.0

vlan-type dot1q vid 4094

· 需要在Core设备上配置全局VLAN 4094，连接BRAS的端口上需配置trunk vlan 4094，Core设备连接L3交换机的端口上需配置trunk vlan 4094

· 也可使用其他的VLAN进行互通管理，如使用VLAN 5，则将本端口配置涉及的VLAN 4094替换成VLAN 5即可，只是需要在L3交换机上配置VLAN 5的网关，网关到控制组件以及数字底盘的网段路由需手动配置打通。

· 请勿使用VLAN1地址池内的网段配置BRAS设备的管理IP。

如果BRAS设备放在Core设备和L3交换机之间，则按照章节5.3.6 BRAS配置以及5.4.5 上行设备配置变更中配置的即可，其中连接L3交换机的接口IP：4.4.10.1即可作为BRAS设备的管理IP

(5) 配置静态路由

#如果BRAS设备旁挂在Core设备，则配置在连接Core设备的接口

ip route-static 110.1.0.0 24 130.1.0.1 //目的园区控制组件、vdhcp网段，下一跳vlan4094网关

ip route-static 100.1.0.0 24 130.1.0.1 //目的统一数字底盘网段，下一跳vlan4094网关

#如果BRAS设备放在Core设备和L3交换机之间，则按照章节5.3.6以及5.4.5中配置的即可

(6) 配置NTP

IP地址为NTP服务器IP，统一数字底盘默认内置NTP服务器，IP地址为集群北向IP

ntp-service enable

ntp-service unicast-server 100.1.0.100

5.8.5 设备纳管

增加Core、Distribution、Access角色设备前需要先增加Fabric。路径：[自动化>园区网络>网络设备>交换设备]页面，单击<增加>按钮，参数填写可参考本文5.4.1 1. 基础配置。

1. 手工增加

Core/Distribution/Access设备：

(1) 进入增加交换设备页面。

¡ 设备标签：填写“设备标签”；

¡ 所属Fabric：选择传统网BRAS大二层类型的Fabric；

¡ 设备角色：有Core，Distribution，Access三种角色；

¡ 核心设备：包含Core角色的组网，Core角色设备是核心设备。单汇聚组网，Distribution角色设备是核心设备；若为M-LAG场景，三层/二层组网，两台Core角色设备均是核心设备，单汇聚组网，两台Distribution角色设备均是核心设备；

¡ 系统名称：填写“系统名称”；

¡ 管理IP：Core以及Distribution设备为VLAN1接口的IP地址；Access设备为VLAN 4094接口的IP地址；

¡ Underlay IP：不涉及；

¡ 设备系列：选择增加的设备类型；

¡ 站点：选择站点；

¡ 设备控制协议模板：新建或选择默认的协议模板，单击<模板修改>按钮，可修改模板。参数填写请参考本文5.3.3 创建设备控制协议模板。

图5-91 手工增加设备

设备角色为Access时，Acces设备纳管，有一个“是否为第三方设备”选项，默认为“否”。若为第三方设备或H3C不支持设备角色的设备，请选择“是”，选择登录协议；第三方设备包含H3C不支持设备角色功能的设备。

图5-92 第三方设备

(2) 设备增加完成后，“在线状态”初始为“未激活”，需一段时间进行数据同步，同步完成后，单击<刷新>按钮，设备状态更新为“激活”，表示设备已连接。

图5-93 设备状态

BRAS设备：

(1) 路径：[自动化>园区网络>网络设备>BRAS设备]，单击<增加>按钮进入增加BRAS设备页面。

¡ 设备标签：填写“设备标签”；

¡ 系统名称：填写“系统名称”；

¡ 设备IP：设备接口的IP地址，用于设备纳管；

¡ 设备系列：选择增加的设备类型；

¡ 站点：选择站点；

¡ 设备控制协议模板：新建或选择默认的协议模板，单击<模板修改>按钮，可修改模板。参数填写请参考本文5.3.3 创建设备控制协议模板。

¡ 业务自动化：业务自动化开关开启时，BRAS设备若占用设备系列授权或设备通用授权，也需要同步占用业务自动化授权，授权不足可能会导致设备增加失败；业务自动化开关关闭时，BRAS设备不占用相关授权，但无法开启业务随行开关；

图5-1 手工增加BRAS设备

图5-2 设备状态

(3) 选择与Fabric的互联接口。

BRAS设备激活后，进行添加指定与Fabric的互联接口。配置前需要在BRAS设备互联接口手工创建子接口。

配置方式如下：

#若是对端Core/单汇聚组网Distribution为聚合或者M-LAG聚合，则BRAS设备侧应在对应的聚合口创建子接口

interface GigabitEthernet 3/2/11.101

#若为聚合口，配置如下

interface Route-Aggregation1.101

图5-3 与Fabric互联口（1）

图5-4 与Fabric互联口（2）

在BRAS设备的接口关联Fabric后，控制组件会向BRAS设备下发如下配置：

qos policy SDN_POLICY_IN_000

qos policy SDN_POLICY_OUT_000

BRAS设备不支持设备自动化上线，不支持自动发现，只支持该手动纳管方式。

2. 自动发现

(1) 在[自动化>园区网络>网络设备>交换设备]页面，点击<发现设备>按钮，进入发现设备页面。

(2) 输入IP地址范围和SNMP参数，单击<创建设备扫描任务>按钮，会创建一个扫描任务，自动执行扫描。在“设备列表”列出所有扫描到的未纳管的设备，如下图所示。

图5-5 发现设备

(3) 若SNMP和NETCONF参数都配置，先扫描NETCONF信息再扫描SNMP信息。在“设备列表”中选择设备，单击设备列表操作列图标，打开添加交换设备页面；参数设置请参考章节1. 手工增加的方式进行手工增加方式。

BRAS设备不支持自动发现功能，只能发现Core、Distribution、Access角色设备。

5.9 跨设备聚合配置（按需）

传统网BRAS组网已支持M-LAG，网元在被控制组件纳管后，可根据需要配置跨设备聚合；若为新自动化上线场景，则在自动化拓扑页面启动自动化操作之前，即可通过页面上的“跨设备聚合参数”按钮进行配置M-LAG配置，可参考章节5.4.3 2. 配置跨设备聚合参数（按需）。

5.9.1 M-LAG类型IP地址池

配置M-LAG之前需配置M-LAG类型的IP地址池，用以在配置跨设备聚合时分配逃生IP地址。

路径：[自动化>网络设备>IP地址池]

图5-6 M-LAG IP 地址池

注意不要与已有的地址池有地址段重复。

5.9.2 Fabric启用M-LAG

路径：[自动化>网络设备>跨设备聚合>跨设备聚合参数]

“使能M-LAG”选择“是”。

图5-7 Fabric启动M-LAG（1）

参数说明：

M-LAG认证模式：免认证，M-LAG系统不作为认证系统，选择该选项即可。

若5.4.3 2. 配置跨设备聚合参数（按需）已有配置，则本小节步骤可忽略（属于同一个配置）。

5.9.3 配置跨设备聚合

路径：[自动化>网络设备>跨设备聚合]

图5-8 配置跨设备聚合

参数说明：

· Fabric：选择M-LAG设备所属的Fabric（需提前在上一步骤对Fabric使能M-LAG）。

· 设备信息：选择需要组成M-LAG的两台设备。

· 边界设备：本特性暂不涉及，不勾选即可。

· KeepAlive接口信息：配置KeepAlive接口，支持自动分配和手动指定方式。

可根据需要选择对Core、Distribution角色设备的跨设备聚合。

5.9.4 配置M-LAG组

M-LAG组网，Core/Distribution与L3/BRAS连接链路，Core与Distribution之间的链路，以及Distribution和Access之间都需要配置M-LAG接口。

Distribution和Access之间的M-LAG组，在链路已经连接好的情况下，可借助如下快捷按钮自动配置。

图5-9 自动配置M-LAG组

Core/Distribution与L3/BRAS连接链路配置M-LAG组时需要勾选“上行聚合口”，Core与Distribution之间的M-LAG组不需要勾选“上行聚合口”。

图5-10 手动配置M-LAG组

参数说明：

· M-LAG组编号：允许手工指定，不指定系统默认指定。

· Access & 第三方Access设备：勾选Access & 第三方Access类型的M-LAG组，会在M-LAG接口中下放通VLAN 1和4094，用于接入控制组件纳管的Access设备；去勾选Access & 第三方Access类型的M-LAG组，不下发任何配置，用于接入无线AC、AP等其他类型设备。

· 上行聚合口：配置与上行L3交换机的M-LAG互联接口时需进行勾选，其他场景无需勾选。

· STP根保护：三层及二层组网时，对Core角色接口进行勾选；单汇聚组网时对Distribution角色设备进行勾选。

· STP TC BPDU传播限制：对端设备未使能stp功能时不需要勾选。

有其他M-LAG组的配置需求时，也可通过本页面进行配置。

· Core的上行口配置好M-LAG组之后，L3交换机侧配置应同步修改为对应端口的动态聚合。若上行设备为BRAS设备，则BRAS设备侧应配置动态聚合组。

· 未配置跨设备聚合业务时，可能会出现Access设备不激活的情况，配置完成组网中的所有跨设备聚合业务后，Access会重新激活。

Core除了与上行L3交换机或BRAS设备之间需配置M-LAG组。Core与Distribution之间也需要配置M-LAG组。配置M-LAG组时，Core与两台Distribution之间连接的接口都加到M-LAG组中，若Core与Distribution之间有多个连接接口，需要都加入到同一个M-LAG组中。

图5-11 M-LAG组

同时，Distribution与Core设备也需要建立M-LAG组，Distribution与两台Core设备之间连接的接口也都加到M-LAG组中。

图5-12 M-LAG组

Core与Distribution之间的M-LAG组配置完成后，需要配置跨设备聚合组间M-LAG组，指定链路两侧M-LAG系统的对应关系。这个必须要配置，否则后续故障替换功能会有异常。

图5-13 增加跨设备聚合间M-LAG组

图5-14 跨设备聚合间M-LAG组

5.10 无线业务

5.10.1 纳管AC设备

1. AC设备配置

独立的无线AC设备可旁挂在顶层设备上（三层组网下的Core，单汇聚组网下的Distribution）上，通过VLAN 4093或其他VLAN（以无线管理业务网络分配的VLAN为准）与AP进行通信，通过VLAN 4094与控制组件（SeerEngine-Campus）、统一数字底盘、WSM进行通信。

若无线AC旁挂在BRAS设备旁，则AC设备与控制组间及底盘之间的管理通道需用户手动配置打通；AC与AP设备之间的管理网中，AC到Core之间的路由需用户手动打通，AP到Core之间的链路配置、网关虚接口配置可由控制组件打通。

以VLAN 4094为与控制组件的管理VLAN、VLAN 4093为与AP的管理VLAN进行配置举例。

(1) VLAN 4094配置三层接口，用于控制组件（SeerEngine-Campus）、WSM管理AC使用。（AC旁挂顶层设备）

vlan 4094

interface Vlan-interface4094

ip address 130.1.0.99 255.255.255.0

(2) 配置VLAN三层接口，用于控制组件（SeerEngine-Campus）、WSM管理AC使用，同时可复用于AC与AP之间的CAPWAP管理隧道使用（AC旁挂BRAS设备）

Vlan 6 //主要目的是打通链路，请根据实际局点配置vlan

interface Vlan-interface6

ip address 59.0.1.2 255.255.255.0

(3) 配置VLAN 4093三层接口作为与AP通信接口，AC以该地址与AP建立CAPWAP隧道。（AC旁挂顶层设备）

vlan 4093

interface Vlan-interface4093

ip address 59.0.0.2 255.255.255.0

(4) 配置LLDP，以确定拓扑关系。

lldp global enable

(5) 配置STP，以防止环路。

stp global enable

(6) 配置SNMP、NETCONF参数。

#配置SNMP

snmp-agent

snmp-agent community write private

snmp-agent community read public

snmp-agent sys-info version all

snmp-agent packet max-size 4094

#NETCONF配置

netconf soap http enable

netconf soap https enable

netconf ssh server enable （必须配置）

(7) 配置本地用户H3C和telnet参数，为后续控制组件（SeerEngine-Campus）连接设备时使用。

local-user admin class manage

password simple ADCampus123 ———//需设置为长密码。不能少于10个字符,最长63个字符，至少包含数字、大写字母、小写字母和特殊字符中的两种类型，不支持中文，不能包含‘？’和空格，不允许包含用户名和用户名倒序。

service-type ftp

service-type ssh telnet terminal http https

authorization-attribute user-role network-admin

line vty 0 31

authentication-mode scheme （必须配置为scheme模式）

user-role network-admin

user-role network-operator

(8) 配置无线AC连接BRAS/Core/单汇聚组网Distribution的接口放通所有VLAN。

interface Ten-GigabitEthernet1/0/3

port link-type trunk

port trunk permit vlan all

若是对端Core/单汇聚组网Distribution为聚合或者M-LAG聚合，则AC设备侧应配置对应的聚合口，在聚合口上配置如下配置：

interface Bridge-Aggregation 4

port link-type trunk

port trunk permit vlan all

link-aggregation mode dynamic

(9) 在本地生成配置文件并下载到无线AC上，用于AP上线后自动配置上行口放通所有VLAN，配置文件具体内容如下，本地编辑完成后上传到无线AC上：

interface GigabitEthernet1/0/1 #不同型号AP的接口名称可能不同，根据实际情况配置即可。

port link-type trunk

port trunk permit vlan all

interface GigabitEthernet1/0/2 #不同型号AP的接口名称可能不同，根据实际情况配置即可。

port link-type trunk

port trunk permit vlan all

在默认AP分组里使用map-configuration指定AP的配置文件，当AP上线时自动下载该配置文件并生效。

不同版本的该配置有所区别，部分版本可直接在AP分组视图下配置，部分版本需要在AP分组下的ap model视图下配置，根据实际设备支持的命令行配置即可。

直接在AP分组视图下配置如下命令：

wlan ap-group default-group

map-configuration cfa0:/ad.txt

#ap model视图下配置

wlan ap-group default-group

ap-model WA4320i-ACN #AP的不同型号，根据实际情况配置即可

map-configuration cfa0:/ad.txt

(10) 由于AC需要跟控制组件（SeerEngine-Campus）、WSM、统一数字底盘进行通信，需要根据实际组网添加相应的路由，配置后，AC的VLAN 4094地址应能ping通控制组件（SeerEngine-Campus）、统一数字底盘和WSM的业务IP。（AC旁挂顶层设备）

ip route-static 110.1.0.0 24 130.1.0.1 //到控制组件的下一跳为vlan4094网关

ip route-static 100.1.0.0 24 130.1.0.1 //到统一数字底盘和wsm的下一跳为vlan4094网关

(11) 由于AC需要跟控制组件（SeerEngine-Campus）、WSM、AP、统一数字底盘进行通信，需要根据实际组网添加相应的路由，配置后，AC的VLAN 6地址应能ping通控制组件（SeerEngine-Campus）、统一数字底盘和WSM的业务IP以及后续的AP管理网的对应IP。（AC旁挂BRAS）

ip route-static 0.0.0.0 0 59.0.1.1 //默认下一跳为BRAS设备上配置的子接口网关

(12) AC设备如果是堆叠设备，需要配置如下命令：

irf mac-address persistent always

(13) AC设备需要通过告警来更新AP状态，需要配置如下命令：

snmp-agent trap enable wlan capwap

(14) 配置cloud-management，用于控制器与设备的websoket连接。（AD-Campus 7.1方案必须配置）

cloud-management server domain 100.1.0.100

· AC旁挂顶层设备场景下，若AC设备通过VLAN 4094来作为与控制组件和数字数字底盘的管理VLAN，则Core设备需手动配置VLAN 4094，并在互联口上trunk permit vlan4094。

· 当AC使用VLAN 1纳管，AC集中转发模式下，选择AC互联口进行QinQ编排，编排完成后AC无法激活，因此方案推荐使用VLAN 4094纳管AC，不推荐使用VLAN 1。

2. AC添加到Fabric

(1) 在统一数字底盘中纳管AC，进入[管理>基础资源管理>资源列表>资源列表]页面，单击<增加>按钮添加无线AC设备。将AC纳管到统一数字底盘中，如下图所示。

图5-15 添加无线AC设备

图5-16 配置无线AC设备-基本信息

(2) 单击按钮，进行SNMP参数和Netconf参数设置。

¡ SNMP参数配置：

选择已有的SNMP模板或者是新增SNMP模板（AC设备的配置参数需要与选择的SNMP模板中参数一致）。

图5-17 配置无线AC设备-选择SNMP模板

¡ Netconf配置：

选择已有的Netconf模板或者是新增Netconf模板。用户名/密码：与设备侧配置的用户名/密码相同。

图5-18 配置无线AC设备-选择Netconf模板

(3) 单击<测试连通性>，可测试配置的SNMP参数是否正确。

(4) 单击<确定>按钮，在返回的页面上再次单击<确定>按钮。

图5-19 配置无线AC设备-添加成功

(5) AC纳管成功后，进入在[自动化>园区网络>Fabrics>设置>无线设备]页面，单击<增加>按钮，，如下图所示。添加成功后，设备状态未激活，请单击<刷新>按钮，设备状态变更为激活。

图5-20 查看无线设备

5.10.2 AP上线

1. 配置无线管理业务网络

(1) 进入[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>业务网络]页面创建无线管理类型的业务网络，配置参数如下图所示。若规划AC与AP的管理网段不同，或者是有多套AC、AP管理网，请先扩容配置无线管理网VLAN池，因为默认创建的无线管理网VLAN池VLAN范围仅有VLAN 4093。如何扩容无线管理网VLAN池，请参考本文4.3 用户VLAN规划。

(2) 无线管理业务网络域页面部分配置参考本文5.13.2 无线管理网络。

¡ 类型：选择“无线管理”选项；

¡ 使用场景：支持配置三种使用场景，AC管理网、AP管理网、AC+AP管理网，用于为AC和AP设备上线使用。

- AC+AP管理网：AC与AP设备走相同网段互通，子网网段使用AC设备VLAN 4093网段（具体的VLAN以配置业务网络时用户手动指定或控制组件自动分配的为准，以VLAN 4093为例），无线AC填写AC设备的IP地址；网关选择组网中顶层设备（三层组网中的Core、单汇聚组网中的Distribution）（AC旁挂顶层设备组网支持该类型）

- AC管理网、AP管理网：AC、AP使用不同的网段，网关选择组网中顶层设备（三层组网中的Core、单汇聚组网中的Distribution）

AC管理网：子网网段填写AC设备VLAN4093（以AC管理业务网络分配的vlan为准）网段，该子网不会推送给dhcp服务器。（AC 旁挂顶层设备组网支持该类型）

AP管理网：子网网段不与其他网段冲突即可，增加“无线AC”，填写AC设备VLAN4093地址，网关设备选择Core或单Distribution设备（AC 旁挂顶层设备、BRAS组网均支持该类型）

若为AC旁挂顶层设备，AC与AP走不同网段互通，此时需要手动到AC设备添加一条静态路由：

[AC]ip route-static 12.0.0.0 24 11.0.0.1 //12.0.0.0是AP管理网网段，下一跳是AC管理网网关

若AC旁挂BRAS设备场景，则需在AP管理网的网关设备上（Core或单Distribution设备）手动配置到AC设备网段的下一跳

[Core]ip route-static 59.0.1.0 24 4.4.9.1 //4.4.9.1是BRAS设备上的地址,59.0.1.0/24网段是AC设备的IP 网段

本文以三层组网为例，使用AC+AP管理场景进行AP纳管上线。

图5-21 配置AC+AP无线管理业务网络（1）

网络范围填写Core设备与AC设备连接的AC类型端口，以及Access设备与AP连接的AP类型端口。

图5-22 配置AC+AP无线管理业务网络（2）

· 若为双Core组网，则网关处应同时选择两台Core设备，AC设备通过M-LAG接口连接两台Core设备，网络范围处应填写两台Core设备连接AC的接口。

· 同理，若为双Distribution组网，则网关处应同时选择两台Distribution设备，AC设备通过M-LAG接口连接两台Distribution设备，网络范围处应填写两台Distribution设备连接AC的接口。

无线AC填写AC设备VLAN 4093地址。

图5-23 配置AC+AP无线管理业务网络（3）

高级页签中，ARP Snooping选择为“否”。

图5-24 高级

(3) 配置子网，子网网段与无线AC同网段，单击<确定>，保存配置。

(4) 添加无线AC的IP地址后，控制组件下发DHCP子网配置时，会多下发option43字段，用于AP通过DHCP获取IP时解析AC设备VLAN 4093的IP。进入[自动化>园区网络>网络参数>DHCP>DHCP服务器信息>地址池详情]页面，可以查看option43选项信息。

图5-25 查看地址池

多隔离域场景，每个隔离域需要分别创建无线类型业务网络，AC地址填对应的AC地址。

2. iWM组件中配置AP模板

(1) 进入[管理>无线管理>AC配置>AP配置]页面，单击<增加>，打开“增加AP”页面。如下图所示。

图5-26 AP配置页面

图5-27 增加AP配置

(2) 单击<保存配置Radio>按钮，打开Radios配置页面。配置Radio，单击<确定>按钮完成配置。

图5-28 Radio配置

(3) 单击<读取设备>按钮，可读取AP设备的MAC地址。

3. AP信息查看

(1) 进入[管理>无线管理>AC]页面，可查看AP信息。

图5-29 查看AP信息

(2) AP上线后，可以在AC设备上查看AP的状态，状态应该为“R/M”状态，如下图所示。

图5-30 查看AP状态

5.11 通用组

路径：在[自动化>园区网络>Fabrics]页面，单击Fabric右侧的<设置>按钮，选择[通用组]页签，可进行创建设备组和接口组。

VLAN设备参数的相关业务均可绑定通用组，有新增、删除业务时，可直接在对应的通用组中增加、删除成员。

图5-31 通用组

5.11.1 设备组

增加通用组时可选择类型为设备组。

图5-32 增加设备组

5.11.2 接口组

接口组增加页面如下，当选择接口组时支持选择子类型，子类型支持物理口（包含聚合口，即图中中的“无”），也支持选择VLAN虚接口。

图5-33 增加接口组

增加接口成员时，可通过单击按钮获取设备最新的接口信息。

图5-34 接口状态刷新

5.12 VLAN设备参数

路径：[自动化>园区网络>Fabrics]，单击Fabric右侧的<设置>按钮，选择[VLAN设备参数]页签。

图5-35 VLAN设备参数

5.12.1 全局STP配置

选择[全局STP配置]页签，进入全局STP配置页面，在该页面单击<增加>按钮，进入增加全局配置页面，配置STP域名，生成树实例及是否使能，并选择对应的设备组，配置完成后单击<确定>按钮完成配置。

可不进行配置，请根据需要配置。按照本文档进行新自动化的方式，以及手动配置设备配置的方式，无需在通过本页面进行相关配置。

图5-36 增加全局STP配置

配置后，设备上会下发如下类似配置

stp region-configuration

region-name my_stp

instance 10 vlan 10 to 20

active region-configuration

1. 端口STP配置

选择[STP配置>端口STP配置]页签，单击<增加>按钮，进入增加端口STP配置页面，配置“STP使能”与“STP边缘端口”的开启或关闭，然后选择对应的接口组，配置完成后单击<确定>按钮完成配置。

图5-37 端口STP配置

图5-38 增加端口STP配置

5.12.2 端口隔离

选择[端口隔离]页签，进入端口隔离页面，在该页面单击<增加>按钮，进入增加端口隔离页面，指定隔离组ID，选择接口组，配置完成后单击<确定>按钮完成配置。

配置完毕后，可查看到接口配置上配置如下：

port-isolate enable group 1

port-isolate group 1

图5-39 端口隔离

图5-40 增加端口隔离

5.12.3 端口配置

· 在业务网络页面创建网络范围后，可以在端口配置页面看到信息并修改，但不支持删除。

· 对如下接口进行配置可能导致风险：

· 互联口：可能会导致当前设备或其下联设备与控制组件不通。

· 堆叠口：配置下发失败。

· 聚合成员口：配置下发失败。

· MAD口：BFD MAD检测功能失效。

1. 端口VLAN

选择[端口配置>端口VLAN]页签，进入端口配置页面，单击<增加>按钮，进入增加端口VLAN页面，配置端口VLAN相关配置信息，选择接口组，然后单击<确定>按钮完成配置。

图5-41 端口VLAN

图5-42 增加端口VLAN

2. 端口高级配置

选择[端口配置>端口高级配置]页签，进入端口高级配置页面，单击<增加>按钮，进入增加端口高级配置页面，配置端口配置，关联接口组后单击<确定>按钮完成配置。端口下支持配置包含Dhcp Snooping Trust、风暴抑制、IPSG功能。

若使用二层网络域功能，不需要配置本页面功能，请根据需要配置。

图5-43 增加端口高级配置

本页面功能为非必要配置，请根据实际需要进行配置。

5.12.4 自定义配置

请根据实际需要进行配置。

1. 设备自定义配置

选择[自定义配置>设备自定义配置]页签，进入设备自定义配置页面，单击<增加>按钮，进入增加设备自定义配置页面，配置自定义配置，自定义配置包含绑定设备时下发的配置，以及解绑定时删除的配置，关联设备组后单击<确定>按钮完成配置。

图5-44 设备自定义配置

图5-45 增加设备自定义配置

创建后完成，可查看部署结果。

图5-46 设备自定义配置结果展示

2. 接口自定义配置

选择[自定义配置>接口自定义配置]页签，进入接口自定义配置页面，单击<增加>按钮，进入接口自定义配置页面，配置自定义配置，自定义配置包含绑定接口时下发的配置，以及解绑定时删除的配置，然后关联接口组后单击<确定>按钮完成配置。

图5-47 增加接口自定义配置

部署后可查看部署展示结果。

图5-48 接口自定义配置部署结果展示

请谨慎对互联口进行操作，以防造成设备脱管。

5.13 用户业务配置

用户业务配置，包括隔离域、业务网络域、用户组、IT资源组和网络策略的相关配置。

5.13.1 隔离域

“隔离域”用于隔离用户网络。每个“隔离域”拥有独立的DHCP系统、认证系统、无线AC控制组件，一般根据物理位置划分，例如公司的一个园区，医院的一个院区，学校的一个校区等。

一个“隔离域”可包含多个“Fabric”，但是一个“Fabric”只能属于一个“隔离域”，“隔离域”和“Fabric”是一对多的关系。

隔离域的配置入口有两种，本文档以使用园区向导方式为例进行配置介绍。

· 园区向导路径：[向导>接入网络规划]

· 非园区向导路径：[自动化>园区网络>隔离域>隔离域]

(1) 进入[向导>接入网络规划]页面，在第一步“隔离域”中，在“隔离域”页签下进行配置。

(2) 设置隔离域，包括指定“DHCP服务器”、设置“策略模式”和绑定“Fabric”。

¡ DHCPv4服务器：指定隔离域使用的DHCP服务器；

目前DHCPv4支持紧耦合和松耦合，紧耦合时配置的业务网络地址池会自动下发DHCP服务器；松耦合时业务网络的地址池不会自动下发DHCP服务器，需到DHCP服务器上手动创建。

¡ 策略模式：默认为“组策略”，不能修改。

¡ 增加Fabric：设置隔离域内包含的Fabric。

¡ DNS：指定隔离域使用的DNS服务器IP地址。

¡ 高级：无线转发模式默认。

¡ 无线转发模式：默认“AP本地转发”；可根据需要选择“AC集中转发”。

图5-49 创建隔离域

5.13.2 无线管理网络配置

(1) 进入[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>业务网络]页面。

图5-50 业务网络

(2) 单击<增加>按钮，进入增加业务网络页面。

¡ 隔离域：指定隔离域；

¡ Fabric：指定对应的Fabric；

¡ 类型：用户业务选择“无线管理”；无线管理支持配置三种使用场景，AC管理网、AP管理网、AC+AP管理网，用于为AC和AP设备上线使用；使用方法可参考5.10 无线业务。

¡ 网关设备：用于下发无线管理的网关接口及地址；BRAS大二层组网中需要选择Core设备（M-LAG组网时，需同时选择两台M-LAG成员设备；）。

¡ VLAN ID：当类型为无线管理类型时，支持选择；用于下发无线管理的网关接口及地址；

¡ IPv4地址获取方式：“自动”表示向DHCP Server创建地址池，无线AP可动态获取IP地址；“手动”表示不创建DHCP地址池，无线AP通过配置静态IP地址的方式认证上线；选择“自动”时，可设置地址租约，默认为1天，请根据实际情况设置。

· IPv4地址获取方式“自动”时，若无线AP通过配置静态IP地址的方式上线，需手动去[网络参数>DHCP服务器>IP禁止分配地址]中增加配置的静态IP地址。

· 使用场景为“AC管理网”时该选项隐藏。

图5-51 增加业务网络（无线管理）

(3) 配置[子网]页签，单击<增加>按钮，进入增加子网页面，填写输入框后，单击<确定>按钮保存配置。

图5-52 增加子网

(4) 子网配置完成后，单击<确定>按钮，返回增加业务网络页面。在该页面中切换至[网络范围]页签，注意只有当前网络类型为“无线管理”时支持配置；单击<增加>按钮，配置网络范围。

¡ 当使用场景为AC管理网时，网络范围选择顶层设备连接AC设备的接口。

¡ 当使用场景为AP管理网时，网络范围选择组网中设备连接AP设备的接口。

¡ 当使用场景为AC+AP管理网，连接AC和AP的接口均需要选择。

图5-53 增加接口

图5-54 增加业务网络

· 无线管理业务网络会在网络范围设备和网关设备之间的互联口上增加permit vlan为业务网络VLAN的端口配置。当网络拓扑发生变化时，需要在业务网络域页面单击按钮来更新互联口。

· 在无线管理业务网络增加网络范围成功后，在Fabric的[VLAN设备参数>端口配置]页面同步可见，用户可以在该页面配置端口的其它内容。单击删除按钮，会同步删除[VLAN设备参数>端口配置]中的端口VLAN。

(5) 网络范围配置完成后，单击<确定>按钮，返回增加业务网络页面。当网络类型为无线管理，且使用场景为AP管理网、AC+AP管理网时，在该页面中切换至[无线AC]页签，单击<增加>按钮，配置AC设备IP地址，该IP地址用于AC与AP设备建立capwap隧道使用。

(6) 无线AC填写AC设备VLAN 4093地址。

图5-55 无线AC IP填写

(7) 网络范围配置完成后，单击<确定>按钮，返回增加业务网络页面。在该页面中切换至[高级]页签，确保ARP Snooping为“否”。

图5-56 ARP Snooping

(8) 单击<确定>按钮，保存配置后，网络范围的端口会在[自动化>园区网络>Fabrics>设置>VLAN设备参数>端口配置]页面显示。若需要对端口有进一步的配置，可通过修改按钮继续修改。

图5-57 查看端口配置

图5-58 修改端口配置

5.13.3 VLAN编排-有线业务

(1) 进入[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>业务网络]页面。

图5-59 业务网络

(2) 单击<增加>按钮，进入增加业务网络页面。

¡ 隔离域：指定隔离域；

¡ Fabric：指定对应的Fabric；

¡ 类型：用户业务选择“有线业务”；

¡ VLAN编排方式：选择“默认”；

¡ 互联设备配置：选择Core设备与BRAS设备的互联端口（M-LAG场景，两个成员设备的聚合口均需要选择）；

¡ VLAN范围：设置有线用户接入端口的VLAN范围，取值需要在“有线业务VLAN池”范围内。

图5-60 有线业务

(3) 在[网络范围]页签增加接口，勾选“交换设备接口”，单击<增加>按钮，增加Access直连用户的接口。

图5-61 增加接口

(4) 单击已选接口列表的VLAN列的链接，弹出修改VLAN页面，可以自定义某个接口的VLAN，如下：

图5-62 修改VLAN

(5) 最后单击<确定>按钮完成配置。

图5-63 网络范围

(6) 对应的Access接口会下发对应的业务VLAN。Core连接BRAS的接口、核心汇聚接入设备互联端口会下发配置透传该业务VLAN。

(7) 以用户VLAN 123为例，下发的配置如下：

¡ Access连接用户端口使用VLAN 123

图5-64 Access连接用户端口

¡ 设备互联端口透传VLAN 123（以Access上行口为例）

图5-65 设备互联端口

¡ 核心设备连接BRAS的端口透传VLAN 123

图5-66 核心设备连接BRAS端口

(8) 如果是EPON组网，在[网络范围]页签，勾选“ONU设备接口”，增加ONU直连用户的接口。

图5-67 ONU设备接口

图5-68 增加接口

(9) 单击已选接口列表VLAN列的链接，弹出修改VLAN页面，可以单独设置接口的VLAN。

图5-69 修改VLAN

(10) 单击<确定>按钮完成配置。

图5-70 网络范围

(11) 配置完成后，对应的UNI接口会下发对应的业务VLAN。Core连接BRAS的接口、核心汇聚互联端口、汇聚设备OLT接口、ONU接口会下发配置透传该业务VLAN。

(12) 以用户VLAN 133为例，下发的配置如下：

¡ ONU的UNI 2接口使用tag VLAN 133，ONU接口透传VLAN 133。

图5-71 ONU接口

¡ 汇聚设备的OLT接口透传VLAN 133。

图5-72 汇聚设备的OLT接口

¡ 核心、汇聚设备互联端口透传VLAN 133（以汇聚设备上行口为例）

图5-73 汇聚设备上行口

¡ 核心设备连接BRAS的接口透传VLAN 133。

图5-74 核心设备连接BRAS接口

5.13.4 VLAN编排-无线业务

路径：[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>业务网络]中进行配置。

(1) 进入业务网络页面。

图5-75 业务网络

(2) 单击<增加>按钮，进入增加业务网络页面。

¡ 隔离域：指定隔离域；

¡ Fabric：指定对应的Fabric；

¡ 类型：用户业务选择“无线业务”；

¡ VLAN编排方式：选择“默认”；

¡ 互联设备配置：选择Core设备与BRAS设备的互联端口（M-LAG场景，两个成员设备的聚合口均需要选择）；

¡ VLAN范围：设置无线用户业务VLAN范围，取值需要在“无线业务VLAN池”范围内。

图5-76 业务网络

(3) 在[网络范围]页签增加接口，勾选“交换设备接口”，单击<增加>按钮，增加转发接口。隔离域中“无线转发模式”为“AC集中转发”时，设置的是交换设备与AC连接的接口；若为“AP本地转发”时，设置的是交换设备与AP直连的接口。

图5-77 增加接口

(4) 单击已选接口列表的VLAN列的链接，弹出修改VLAN页面，可以调整VLAN范围，如下：

图5-78 修改VLAN

(5) 配置完成后，单击<确定>按钮。

(6) 对应的Access接口会放通对应的无线业务VLAN范围。Core连接BRAS的接口、核心汇聚接入设备互联端口会下发配置放通该无线VLAN范围。

(7) 以无线业务VLAN 3501 to 3510为例，下发的配置如下：

¡ Access连接AP的端口放通VLAN 3501 to 3510：

图5-79 Access连接AP端口

¡ 设备互联端口放通VLAN 3501 to 3510（以access上行口为例）：

图5-80 设备互联端口

¡ 核心设备连接BRAS的端口放通VLAN 3501 to 3510：

图5-81 核心设备连接BRAS端口

(8) 如果是EPON组网，在[网络范围]页签，勾选“ONU设备接口”，单击<增加>按钮，增加ONU直连AP的接口。

图5-82 增加接口

(9) 单击已选接列表VLAN列的链接，弹出修改VLAN页面，可以单独设置接口的VLAN。

图5-83 修改VLAN

(10) 配置完成后单击<确定>按钮。

图5-84 网络范围

(11) 对应的UNI接口会放通对应的无线业务VLAN范围。Core连接BRAS的接口、核心汇聚互联端口、汇聚设备OLT接口、ONU接口会下发配置放通无线业务VLAN范围。

(12) 以无线业务VLAN 3501 to 3505为例，下发的配置如下：

¡ ONU的UNI 4接口使用透明模式并下发端口隔离，ONU接口放通VLAN 3501 to 3505：

图5-85 ONU接口

¡ 汇聚设备的OLT接口透传VLAN 3501 to 3505：

图5-86 汇聚设备的OLT接口

¡ 核心、汇聚设备互联端口放通VLAN 3501 to 3505（以汇聚设备上行口为例）

图5-87 汇聚设备上行口

¡ 核心设备连接BRAS的端口放通VLAN 3501 to 3505：

图5-88 核心设备连接BRAS的端口

5.13.5 QinQ编排-有线业务

若手工增加业务网络编排方式为QinQ的相关配置，可参考以下控制组件下发的配置。

路径：[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>业务网络]中进行配置。

暂不支持EPON组网。

(1) 进入业务网络页面。

图5-89 业务网络

(2) 单击<增加>按钮，进入增加业务网络页面。

¡ 隔离域：指定隔离域；

¡ Fabric：指定对应的Fabric；

¡ 类型：用户业务选择“有线业务”；

¡ VLAN编排方式：选择“QinQ”；

¡ 互联设备配置：选择Core设备与BRAS设备的互联端口（M-LAG场景，两个成员设备的聚合口均需要选择）；

¡ VLAN范围：设置QinQ外层VLAN范围，取值需要在“有线业务VLAN池”范围内。

图5-90 业务网络

(3) 在[网络范围]页签增加接口，勾选“交换设备接口”，单击<配置>按钮，配置汇聚下行口的外层VLAN。

(4) 对于M-LAG组网，同一组汇聚设备的下行口（即一对M-LAG接口）均需要添加。

图5-91 配置网络范围

(5) 单击已选接口列表的VLAN列的链接，弹出修改VLAN页面，可以自定义汇聚下行口的外层VLAN（同一对M-LAG接口需要设置相同VLAN），如下：

图5-92 修改VLAN

(6) 勾选接口列表成员，单击<编排>按钮，可以自动编排汇聚下行口对应Access用户接口的VLAN，取值为有线业务VLAN范围。该VLAN即QinQ的内层VLAN。单击<配置编排结果>按钮可以查看编排情况，在编排结果页面可以单击VLAN列的链接修改内层VLAN。

图5-93 编排

图5-94 编排结果

(7) 配置完成后单击<确定>按钮。

图5-95 网络范围

(8) 汇聚下行口会下发指定的外层VLAN，对应的Access用户接口自动编排内层VLAN。

(9) Core连接BRAS的接口、核心汇聚设备互联端口会下发配置透传外层VLAN。

(10) 以外层VLAN 105为例，下发的配置如下：

¡ Access连接用户端口在有线业务VLAN范围内自动编排内层VLAN（VLAN 101~121）：

图5-96 Access连接用户端口在有线业务VLAN范围内自动编排内层VLAN

¡ Access上行口放通内层VLAN 101~125，其中pvid vlan 20 为控制组件下发的默认配置，默认PVID 为VLAN 20。

图5-97 Access上行口

¡ 汇聚设备下行口使能QinQ，指定外层VLAN为VLAN 2005，并透传内层VLAN 101~121。

图5-98 汇聚设备下行口

¡ 核心、汇聚设备互联端口透传外层VLAN 2005（以汇聚设备上行口为例）：

图5-99 核心、汇聚设备互联端口

¡ 核心设备连接BRAS的端口透传外层VLAN 2005：

图5-100 设备设备连接BRAS端口

5.13.6 QinQ编排-有线+无线业务

若手工增加业务网络编排方式为QinQ的相关配置，可参考以下控制组件下发的配置。

路径：[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>业务网络]中进行配置。

暂不支持EPON组网。

(1) 进入业务网络页面。

图5-101 业务网络

(2) 单击<增加>按钮，进入增加业务网络页面。

¡ 隔离域：指定隔离域；

¡ Fabric：指定对应的Fabric；

¡ 类型：用户业务选择“有线+业务”；

¡ VLAN编排方式：选择“QinQ”；

¡ 互联设备配置：选择Core设备与BRAS设备的互联端口（M-LAG场景，两个成员设备的聚合口均需要选择）；

¡ VLAN范围：设置QinQ外层VLAN范围，取值需要在“有线业务VLAN池”范围内。

图5-102 业务网络

(3) 在[网络范围]页签增加接口，勾选“交换设备接口”，单击<配置>按钮，配置汇聚下行口的外层VLAN。

(4) 对于M-LAG组网，同一组汇聚设备的下行口（即一对M-LAG接口）均需要添加。

图5-103 配置接口

(5) 单击已选接口列表的VLAN列的链接，弹出修改VLAN页面，可以自定义汇聚下行口的外层VLAN（同一对M-LAG接口需要设置相同VLAN），如下：

图5-104 修改VLAN

(6) 勾选接口列表成员，单击<编排>按钮，可以自动编排汇聚下行口对应Access用户接口的VLAN，取值为有线业务VLAN范围。连接AP的接口会自动化编排为放通无线业务VLAN（如下图中的XGE1/0/5）。该VLAN即QinQ的内层VLAN。单击<配置编排结果>可以查看编排情况，在编排结果页面可以单击VLAN列的链接修改有线用户接口的内层VLAN。

图5-105 编排

图5-106 编排结果

(7) 配置完成后，单击<确定>按钮。

图5-107 网络范围

(8) 汇聚下行口会下发指定的外层VLAN，对应的Access用户接口自动编排内层VLAN，对应的Access连接AP的接口会放通无线业务VLAN作为内层VLAN，Core连接BRAS的接口、核心汇聚设备互联端口会下发配置透传外层VLAN。

(9) 以外层VLAN 105为例，下发的配置如下：

¡ Access连接用户端口在有线业务VLAN范围内自动编排内层VLAN（VLAN 101~121）：

图5-108 Access连接用户端口在有线业务VLAN范围内自动编排内层VLAN

¡ Access连接AP的端口放通无线业务VLAN作为内层VLAN（VLAN 3501~3600）：

图5-109 Access连接AP的端口

¡ Access上行口放通内层VLAN 101~125和3501~3600：

图5-110 Access上行口

¡ 汇聚设备下行口使能QinQ，指定外层VLAN为VLAN 2005，并透传内层VLAN 101~121和3501~3600。

图5-111 汇聚设备下行口

¡ 核心、汇聚设备互联端口透传外层VLAN 2005（以汇聚设备上行口为例）：

图5-112 核心、汇聚设备互联端口

¡ 核心设备连接BRAS的端口透传外层VLAN 2005：

图5-113 核心设备连接BRAS的端口

5.13.7 用户组

在[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>用户组]页面，单击<增加>按钮，进入增加用户组页面。

图5-114 用户组

用户组主要用于控制用户权限使用，相关参数如下：

· 名称：填写用户组名称。

· 类型：目前仅支持普通类型。

· 隔离域范围：选择BRAS设备管理的BRAS大二层类型隔离域；

· 授权用户组：用于下发到设备上的user-group；

图5-115 增加用户组

配置后，设备上新增配置如下：

user-group student_group

5.13.8 IT资源组

在[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>用户组>IT资源组]页面，单击<增加>按钮，进入增加资源组页面。

图5-116 IP资源组

资源组主要用于控制用户与资源组的权限使用，相关参数如下：

· 名称：填写资源组名称。

· 单击<增加地址信息>按钮，弹出增加IP地址页面。

· 类型：选择子网类型。

· IP版本：支持选择IPv4和IPv6类型；

· 子网：支持填写网段，也支持填写主机位；可在一个资源组中填写多条地址池信息。

图5-117 增加IT组

若策略矩阵不是默认拒绝，则配置IT资源不会触发控制组件下发任何配置

5.13.9 策略矩阵

本章节的相关配置只会下发在BRAS设备上。

路径：[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>策略矩阵]

网络矩阵用于配置用户组之间，以及用户组与资源组之间的用户权限。

可通过在矩阵页面拖拽“组间策略模板”的方式设置，直观、易用，简化用户操作。

图5-118 组间策略

1. 时间范围

(1) 选择[时间范围]页签，进行时间范围的配置，“时间范围”为非必配项，可按需进行设置。

(2) 单击<增加>按钮，在弹出的增加时间范围页面中设置时间范围，配置完成后单击图标保存配置，并单击<确定>按钮保存配置。

图5-119 时间范围

2. 策略模板

(1) 选择[策略模板]页签，进行策略模板的配置。其中，系统默认已有两个模板，全部允许和全部拒绝，如下图所示。

图5-120 策略模板

(2) 单击<增加规则>按钮，弹出增加规则页面。设置参数，单击<确定>按钮保存配置，参数说明如下：

¡ 协议类型：可选IP、UDP、TCP、ICMP；

¡ 时间范围：默认“无”，表示所有时间都有效；根据实际需求设置；

¡ 动作：“允许”、“拒绝”两个选项，组间策略请选择“允许”或“拒绝”。

图5-121 增加规则

(3) 策略模板增加完成后，单击<确定>按钮，保存策略模板。

3. 默认访问策略

选择[组间策略]页签，进入组间策略页面。在该页面“访问策略”区域“默认”项（以下简称默认访问策略）的下拉框中，可设置用户的访问权限。

· 允许：表示所有用户之间默认可以互相访；

· 拒绝：表示所有用户之间都不能互相访问。设置为“拒绝”后，不仅是用户组之间的用户不能互访，用户组内部用户之间也不能互访；用户组与资源组之间可正常访问；若“默认访问策略”设置为拒绝，则用户组内部用户互通需要配置用户组内的组间策略。

图5-122 访问策略

配置默认拒绝后，控制组件下发类似如下配置：

qos policy SDN_POLICY_IN_000

qos policy SDN_POLICY_OUT_000

classifier SDN_CLS_GLOBAL_BRAS_RES_GROUP behavior SDN_BHV_GLOBAL_BRAS_RES_GROUP

classifier SDN_CLS_GLOBAL_BRAS_USER_GROUP behavior SDN_BHV_GLOBAL_BRAS_USER_GROUP

traffic classifier SDN_CLS_GLOBAL_BRAS_RES_GROUP operator or

if-match acl name SDN_ACL_GLOBAL_BRAS_RES_GROUP

traffic classifier SDN_CLS_GLOBAL_BRAS_USER_GROUP operator or

if-match acl name SDN_ACL_GLOBAL_BRAS_USER_GROUP

traffic behavior SDN_BHV_GLOBAL_BRAS_RES_GROUP

filter permit

traffic behavior SDN_BHV_GLOBAL_BRAS_USER_GROUP

filter deny

acl advanced name SDN_ACL_GLOBAL_BRAS_RES_GROUP

description SDN_ACL_GLOBAL_BRAS_RES_GROUP

rule 0 permit ip source 61.0.0.0 0.0.0.255

acl advanced name SDN_ACL_GLOBAL_BRAS_USER_GROUP

description SDN_ACL_GLOBAL_BRAS_USER_GROUP

rule 0 permit ip destination-user-group teacher_group

rule 1 permit ip destination-user-group student_group

4. 组间策略

(1) 选择[组间策略]页签。若用户业务仅使用IPv4时，下发范围选择“IPv4”；若用户业务使用IPv4+IPv6时，下发范围选择“IPv4+IPv6”。

图5-123 组间策略

(2) 选择右侧的“访问策略”拖拽到需要设置的相应位置，弹出“策略方向”对话框，根据实际业务选择。选择完成后，单击<确定>按钮，保存配置。其中，“策略方向”分为“单向”和“双向”。

¡ 单向：表示设置报文从源到目的的访问策略。

- 单向允许：报文可以从源端发送到目的端，但不能从目的端发送到源端。

- 单向拒绝：报文不能从源端发送到目的端，但可以从目的端发送到源端。

¡ 双向：表示设置报文从源到目的和目的到源的访问策略。

- 双向允许：报文可以从源端发送到目的端，也可以从目的端发送到源端。如果要实现用户组之间用户互访，需要配置访问策略为双向允许。

- 双向拒绝：报文不能从源端发送到目的端，也不能从目的端发送到源端。

图5-124 策略方向

(3) 配置完成后，单击页面左上角<确定>按钮，保存配置。如下图所示，设置了源为“学生用户组”目的为“教师用户组”的策略配置。

图5-125 配置策略

配置后控制组件，会下发如下类似配置：

qos policy SDN_POLICY_OUT_000

classifier SDN_CLS_UG_A00_UG_A01_0001 behavior SDN_BHV_UG_A00_UG_A01_0001

traffic classifier SDN_CLS_UG_A00_UG_A01_0001 operator or

if-match acl name SDN_ACL_UG_A00_UG_A01_0001

traffic behavior SDN_BHV_UG_A00_UG_A01_0001

filter permit

acl advanced name SDN_ACL_UG_A00_UG_A01_0001

description SDN_ACL_UG_A00_UG_A01_0001

rule 0 permit ip time-range SDN_NBAC_000006 source-user-group student_group destination-user-group teacher_group

5.14 BRAS认证配置

全局开启DHCP。

dhcp enable

配置BRAS接入三层子接口工作在中继代理模式（代理模式为缺省配置，只需要配置为中继即可）

interface ${ingressInterfaceName}.${ingressVlan}

vlan-type dot1q vid ${ingressVlan}

dhcp select relay

配置BRAS出方向三层子接口

interface ${egressInterfaceName}.${egressVlan}

ip address ${egressIPV4Address} ${egressMask}

vlan-type dot1q vid ${egressVlan}

创建远端BAS IP地址池pool1，指定匹配该地址池的DHCPv4客户端所在的网段地址，将网关地址设置为禁止地址，并指定远端BAS IP地址池对应的DHCP服务器地址。

ip pool ${poolName} bas remote

gateway ${ingressIPV4Address} ${ingressMask}

forbidden-ip ${ingressIPV4Address}

remote-server ${dhcpV4Address}

配置路由，与管理服务器互通（DHCP服务器、Portal服务器、Radius服务器等）

ip route-static ${dhcpV4Address} 32 ${l3swAddress}

ip route-static ${portalServerIp} 32 ${l3swAddress}

ip route-static ${radiusServerIp} 32 ${l3swAddress}

配置Portal认证服务器

portal server ${portalServerName}

ip ${portalServerIp} key simple ${portalServerSecret}

配置对HTTPS报文进行重定向的内部侦听端口号。

http-redirect https-port ${httpRedirectport}

创建认证前域用户组。

user-group preUserGroup

配置认证前域ACL

acl advanced name preDomainUserReceiveAcl

rule 0 permit ip destination ${portalServerIp} 0 user-group preUserGroup

acl advanced name preDomainUserSendAcl

rule 0 permit ip source ${portalServerIp} 0 user-group preUserGroup

acl advanced name preDomainUserHttpRedirectAcl

rule 0 permit tcp destination-port eq www user-group preUserGroup

acl advanced name preDomainUserHttpsRedirectAcl

rule 0 permit tcp destination-port eq 443 user-group preUserGroup

acl advanced name preDomainUserDenyAcl

rule 0 permit ip user-group preUserGroup

acl advanced name preDomainUserRedirectAcl

rule 0 permit ip user-group preUserGroup

配置认证前域qos策略

traffic classifier preDomainUserReceiveClassifier operator or

if-match acl name preDomainUserReceiveAcl

traffic classifier preDomainUserSendClassifier operator or

if-match acl name preDomainUserSendAcl

traffic classifier preDomainUserDenyClassifier operator or

if-match acl name preDomainUserDenyAcl

traffic classifier preDomainUserRedirectClassifier operator or

if-match acl name preDomainUserRedirectAcl

traffic classifier preDomainUserHttpClassifier operator or

if-match acl name preDomainUserHttpRedirectAcl

traffic classifier preDomainUserHttpsClassifier operator or

if-match acl name preDomainUserHttpsRedirectAcl

traffic behavior preDomainUserPermitBehavior

filter permit

free account

traffic behavior preDomainUserDenyBehavior

filter deny

free account

traffic behavior preDomainUserHttpBehavior

redirect http-to-cpu

traffic behavior preDomainUserHttpsBehavior

redirect https-to-cpu

traffic behavior preDomainUserRedirectBehavior

redirect cpu

qos policy qosGolbalPolicyInbound

classifier preDomainUserReceiveClassifier behavior preDomainUserPermitBehavior

classifier preDomainUserHttpClassifier behavior preDomainUserHttpBehavior

classifier preDomainUserHttpsClassifier behavior preDomainUserHttpsBehavior

classifier preDomainUserRedirectClassifier behavior preDomainUserRedirectBehavior

classifier preDomainUserDenyClassifier behavior preDomainUserDenyBehavior

qos policy qosGolbalPolicyOutbound

classifier preDomainUserSendClassifier behavior preDomainUserPermitBehavior

classifier preDomainUserDenyClassifier behavior preDomainUserDenyBehavior

qos apply policy qosGolbalPolicyInbound global inbound

qos apply policy qosGolbalPolicyOutbound global outbound

配置RADIUS方案

radius scheme ${radiusScheme}

primary authentication ${radiusServerIp}

primary accounting ${radiusServerIp}

key authentication simple ${radiusSecret}

key accounting simple ${radiusSecret}

user-name-format without-domain

nas-ip ${nasIp}

配置认证前域

domain name ${preDomain}

authorization-attribute user-group preUserGroup

authentication ipoe none

authorization ipoe none

accounting ipoe none

authorization-attribute ip-pool ${poolName}

web-server url ${portalLoginUrl}

配置web认证域

domain name ${domain}

authentication ipoe radius-scheme ${radiusScheme}

authorization ipoe radius-scheme ${radiusScheme}

accounting ipoe radius-scheme ${radiusScheme}

配置DAE服务器

radius dynamic-author server

client ip ${radiusServerIp} key simple ${radiusSecret}

配置BRAS接入三层子接口开启IPoE WEB普通MAC无感知认证

interface ${ingressInterfaceName}.${ingressVlan}

ip subscriber l2-connected enable

ip subscriber authentication-method web mac-auth

ip subscriber pre-auth domain ${preDomain}

ip subscriber web-auth domain ${domain}

ip subscriber initiator arp enable

ip subscriber initiator unclassified-ip enable matching-user

配置BRAS接入三层子接口工作在中继代理模式（代理模式为缺省配置，只需要配置为中继即可）。自动生成IPv6链路本地地址，该IPv6链路本地地址作为用户的网关；取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1，即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1，即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。

interface ${ingressInterfaceName}.${ingressVlan}

ipv6 address auto link-local

ipv6 dhcp select relay

undo ipv6 nd ra halt

ipv6 nd autoconfig managed-address-flag

ipv6 nd autoconfig other-flag

为避免终端使用临时IPv6地址进行认证，从而导致认证失败，在用户上线接口配置前缀不在RA消息中发布，从而避免终端使用前缀生成临时IPv6地址。

ipv6 nd ra prefix ${ipv6Prefix}/${ipv6Mask} no-advertise

创建远端IPv6地址池，指定匹配该地址池的DHCPv6客户端所在的网段地址，并指定远端地址池对应的DHCP服务器地址。

ipv6 pool ${ipv6PoolName}

gateway-list ${ingressIPV6Address} ${ingressIPv6Mask} ${ingressIPV6Address}

network ${ipv6Prefix}/${ipv6Mask} export-route

remote-server ${dhcpV6Address}

配置路由

ipv6 route-static ${dhcpV6Address} 128 ${l3swIPv6Address}

ipv6 route-static ${portalServerIpv6} 128 ${l3swIPv6Address}

配置Portal认证服务器

portal server ${IPv6PortalServerName}

ipv6 ${portalServerIpv6} key simple ${portalServerSecret}

配置认证前域ACL

acl ipv6 advanced name preDomainUserReceiveAcl

rule 0 permit ipv6 destination ${portalServerIpv6} 128 user-group preUserGroup

acl ipv6 advanced name preDomainUserSendAcl

rule 0 permit ipv6 source ${portalServerIpv6} 128 user-group preUserGroup

acl ipv6 advanced name preDomainUserHttpRedirectAcl

rule 0 permit tcp destination-port eq www user-group preUserGroup

acl ipv6 advanced name preDomainUserHttpsRedirectAcl

rule 0 permit tcp destination-port eq 443 user-group preUserGroup

acl ipv6 advanced name preDomainUserDenyAcl

rule 0 permit ipv6 user-group preUserGroup

acl ipv6 advanced name preDomainUserRedirectAcl

rule 0 permit ipv6 user-group preUserGroup

配置认证前域qos策略

traffic classifier preDomainUserReceiveClassifier operator or

if-match acl ipv6 name preDomainUserReceiveAcl

traffic classifier preDomainUserSendClassifier operator or

if-match acl ipv6 name preDomainUserSendAcl

traffic classifier preDomainUserDenyClassifier operator or

if-match acl ipv6 name preDomainUserDenyAcl

traffic classifier preDomainUserRedirectClassifier operator or

if-match acl ipv6 name preDomainUserRedirectAcl

traffic classifier preDomainUserHttpClassifier operator or

if-match acl ipv6 name preDomainUserHttpRedirectAcl

traffic classifier preDomainUserHttpsClassifier operator or

if-match acl ipv6 name preDomainUserHttpsRedirectAcl

配置认证前域增加授权ipv6默认地址池

domain name ${preDomain}

authorization-attribute ipv6-pool ${ipv6PoolName}

配置三层子接口增加IPv6 ND触发认证

interface ${ingressInterfaceName}.${ingressVlan}

ip subscriber initiator nsna enable

ip subscriber initiator unclassified-ipv6 enable matching-user

6 BRAS代拨

BRAS代拨功能将准入认证、准出认证合二为一，通过一台BRAS设备完成用户的准入/准出认证。

在组网中，BRAS设备作为网关，将用户认证信息发送到园区内的AAA服务器，完成用户的准入认证；然后，AAA服务器将用户账号转换为运营商认证的准出认证账号，并将其发送回BRAS； BRAS通过准出认证账号信息向运营商BRAS发起PPPoE认证，从而实现代拨功能。

图6-1 BRAS代拨流程

本章节介绍BRAS代拨在AD-Campus网络中与EIA、Campus组合的相关业务配置。

· 由于BRAS部分的配置为手动配置，本章节的配置介绍仅做参考，具体项目实施请联系BRAS产品咨询。

· BRAS代拨功能有单板型号要求，BRAS用户认证的接口和与运影响连接的代拨接口都需要支持代拨功能的单板，具体支持情况请查看BRAS产品手册或联系BRAS产品咨询。

· BRAS准入认证支持IPv4、IPv6用户认证，但是Bras到运营商代拨的准出认证只支持IPv4认证，具体支持情况请联系BRAS产品咨询。

· 目前BRAS与AD-Campus的组合可支持Portal认证和802.1x认证的BRAS代拨。

6.1 Campus相关配置

6.1.1 BRAS业务配置

BRAS业务配置前，请根据文档说明进行设备自动化上线和BRAS纳管置，并打通整网的路由。

(1) 在[自动化>园区网络>网络设备>BRAS设备]页面，增加BRAS设备。

增加BRAS设备时可使用任意IP地址，只要确保IP与Server之间互通即可，本例使用LoopBack0地址作为BRAS纳管IP。

interface LoopBack0

ip address 81.1.0.1 255.255.255.255

ospf 1 area 0.0.0.0

ospfv3 1 area 0.0.0.0

ipv6 address 81:1::1/128

(2) 在[自动化>园区网络>网络设备>BRAS设备]页面，单击<BRAS业务配置>按钮进入配置页面。在[业务网络]页签下单击<增加>，进行VLAN业务编排。“网络范围”选择终端直连的接口，并配置VLAN。

控制器会向Access接口、核心汇聚接入设备互联接口、与BRAS的接口Core设备接口下发配置透传该VLAN，打通从Access到Core设备的整个上行链路。

图6-2 增加业务网络

(3) 在[自动化>园区网络>网络设备>BRAS设备页面，单击<BRAS业务配置>按钮进入配置页面。在[用户组]页签下单击<增加>，配置用户组。

如图6-3所示增加了4个用户组，其中：

¡ student、teacher用户组用于用户业务

¡ pre用户组用于BRAS上Portal认证的前域认证用户组

¡ pppoea用户组用于代拨业务。

pre和pppoea 可直接在bras设备上命令配置。用于用户业务的student、teacher用户组建议在Campus控制器上配置，便于后续用户访问策略的配置下发。

图6-3 增加用户组

执行上述操作后，Campus控制器会向Bras设备下发对应命令。

· Bras纳管后，下发命令如下：

qos policy SDN_POLICY_IN_000

qos policy SDN_POLICY_OUT_000

· 创建用户组后，下发命令如下：

user-group pre //用于portal前域认证

user-group pppoea //用于pppoe代拨认证认证

user-group student //用户业务

user-group teacher

6.1.2 端口隔离配置

完成BRAS业务配置后，需要对接口配置端口隔离，以确保大二层网络用户业务在大二层内部进行广播，并且可确保用户业务流量能通过网关进行流量转发。具体操作请参看5.12.3端口隔离。

6.2 EIA相关配置

6.2.1 开启BRAS代拨

(1) 进入[终端>接入用户管理>业务参数配置>接入参数>系统配置]页面，单击“系统参数配置”操作列的按钮进入编辑页面，单击“认证、授权，计费（AAA）参数”区域的<高级配置>按钮，展开配置页面。

图6-4 高级配置

(2) 设置“准出代拨”为“启动”，单击<确定>按钮，保存配置，开启EIA的准出代拨功能。

图6-5 开启准出代拨

开启准出代拨功能，在[终端>接入用户管理>接入服务>更多]中会增加一个“运营商配置”菜单，如图6-6所示。点击[运营商配置]菜单，进入运营商配置页面，如图6-7所示。

图6-6 运营商配置页签

图6-7 运营商配置页面

(3) 单击<增加>按钮，进行运营商信息配置，配置完成后单击<确定>按钮即可保存。

部分参数说明如下：

¡ 运营商：自定义运营商名称。

¡ 拨号标识：对应到BRAS设备上配置的拨号组，Radius服务器将此属性下发给设备用于指定拨号的运营商出口。

¡ 认证地址：填写BRAS设备的IP地址。

¡ 认证秘钥：与BRAS设备之间认证交互报文的加密密钥，需与BRAS设备的配置保持一致。

图6-8 配置运营商信息

6.2.2 EIA启用IPv6（可选）

EIA需要支持IPv6时开启，若不需要可不开启。

在[终端>接入用户管理>业务参数配置>接入参数>系统配置]页面，单击“系统参数配置”操作列的进入编辑页面，将“用户数据管理参数”模块下的“启用IPv6”设置为“是”。

图6-9 启用IPv6

6.2.3 接入服务配置

(1) 在[终端>接入用户管理>接入服务>接入策略]页面，单击<增加>按钮，进行接入策略配置。仅需要手动配置“下发用户组”，其他默认即可。

下发用户组选择6.1.1 BRAS业务配置中配置的用户组名称（例如student，teacher）。用户认证时，EIA会向BRAS设备授权用户组信息。

图6-10 配置接入策略

(2) 在[终端>接入用户管理>接入服务>接入服务]页面，单击<增加>按钮，增加接入服务。

¡ 缺省接入策略：选择前面配置的接入策略。

¡ 运营商准出：开启BRAS代拨功能后，接入服务配置页面会显示“运营商准出”配置项，开启接入策略的准出代拨功能。

图6-11 配置接入服务

6.2.4 接入用户配置

在[终端>接入用户管理>接入用户>接入用户]页面，增加接入用户。关于接入用户的详细配置不再赘述，此处仅介绍代拨功能的相关配置。

(1) 在增加接入用户页面的“接入服务”模块，勾选6.2.3 接入服务配置章节增加的服务。

图6-12 配置接入服务

(2) 在增加接入用户页面的“运营商账号信息”模块，配置用户到运营商认证时的账号密码。

图6-13 配置运营商账号信息

开启BRAS代拨后，在增加接入用户页面会增加“运营商账号信息”配置项。

6.2.5 接入设备配置

(1) 在[终端>接入用户管理>接入服务>接入设备>接入设备配置]页面，单击<增加>按钮，进行接入设备配置。

¡ 共享密钥：需与BRAS设备Radius配置的密码保持一致。

¡ 设备列表：增加BRAS设备的NAS IP地址。

图6-14 配置接入设备

(2) 完成接入设备配置。若要支持IPv6认证，则需要增加设备的IPv6地址。

图6-15 配置完成

6.2.6 Portal配置

(1) 在[终端>接入用户管理>Portal服务管理>IP地址组配置]页面，单击<增加>按钮，进行IP地址配置。

IP地址范围填写认证用户的IP地址。若要支持IPv6认证，则需要增加的用户IPv6地址范围。

图6-16 增加IP地址组

图6-17 IP地址组增加完成

(2) 在[终端>接入用户管理>Portal服务管理>设备配置]页面，单击<增加>按钮，进行设备配置。

¡ 公网IP：与Bras设备上配置的portal bas-ip一致。

¡ 密钥：需与BRAS设备配置的密码保持一致。

¡ 版本：ipv4地址选择Portal2.0，IPv6地址选择Portal3.0。

图6-18 增加设备信息

(3) 完成设备配置。若要支持IPv6认证，则需要增加设备的IPv6地址。

图6-19 完成设备配置

(4) 在设备配置页签下，单击列表操作列的按钮，进行IP地址绑定。输入“端口组名”，“IP地址组”选择前面配置的IP地址组，其他默认即可。

图6-20 增加端口组信息

6.3 BRAS设备配置

下面以认证接口Route-Aggregation2.101，用户业务组 user-group student为例进行配置举例。

6.3.1 用户认证基础配置

//////////////dhcp 中继配置/////////////////////

dhcp enable

interface Route-Aggregation2.101

ip address 30.1.0.1 255.255.255.0

vlan-type dot1q vid 101

dhcp relay source-address 30.1.0.1 //配置dhcp relay

dhcp select relay

ipv6 dhcp select relay

ipv6 dhcp relay source-address 30:1::1

ipv6 address 30:1::1/64

#远端dhcp pool配置

ip pool p101 bas remote

gateway 30.1.0.1 mask 255.255.0.0

forbidden-ip 30.1.0.1

remote-server 110.1.0.201 //配置dhcp server地址

ipv6 pool p101

network 30:1::/64

gateway-list 30:1::1

remote-server 110:1::201 //配置ipv6 dhcp server地址

//////////////打通与服务器之间路由///////////////////

可配置静态路由打通，也可通过动态路由打通，确保到AAA服务器和DHCP服务器路由可达即可。

ip route-static 100.1.0.0 24 3.1.0.2 //AAA server

ip route-static 110.1.0.0 24 3.1.0.2 //dhcp server

ipv6 route-static 100:1:: 64 3:1::2

ipv6 route-static 110:1:: 64 3:1::2

//////////////配置HTTPS的内部侦听端口///////////////////

http-redirect https-port 11111

//////////////////配置RADIUS方案//////////////////////////

#配置到AAA服务器的radius

radius scheme eia

primary authentication 100.1.0.100

primary accounting 100.1.0.100

key authentication simple 123456 //与6.2.5 接入设备配置中设置的密码相同

key accounting simple 123456

user-name-format without-domain

nas-ip 81.1.0.1 //与6.2.5 接入设备配置中设置的设备IP相同

radius scheme eiav6

primary authentication ipv6 100:1::100

primary accounting ipv6 100:1::100

key authentication simple 123456 //与6.2.5 接入设备配置中设置的密码相同

key accounting simple 123456

user-name-format without-domain

nas-ip ipv6 81:1::1 //与6.2.5 接入设备配置中设置的设备IP相同

radius dynamic-author server

client ip 100.1.0.100 key simple 123456

client ipv6 100:1::100 key simple 123456

trust ip 100.1.0.100

trust ipv6 100:1::100

6.3.2 Portal认证配置

///////////////////配置ARP/ND查询获取用户信息///////////////////

实现是portal模块需要通过arp表去ipoe模块获取mac信息，二层组网可以不配，但是一般都是配置的

portal access-info trust arp

portal access-info trust nd

//////////////配置portal Server///////////////////

portal server ipv4

ip 100.1.0.100 key simple 123456 //与6.2.6 Portal配置中的密钥设置相同

portal server ipv6

ipv6 100:1::100 key simple 123456 //与6.2.6 Portal配置中的密钥设置相同

//////////////////配置portal bas-ip //////////////////////////

#系统视图下配置，需与EIA页面6.2.6 Portal配置中设置的公网ip相同，用于指定portal 报文源IP

portal bas-ip 81.1.0.1

portal bas-ipv6 81:1::1

///////////////创建Portal前域认证用户组///////////////////

配置认证前域用户组（可Campus控制器页面创建）

user-group pre

///////////////////////配置ACL规则///////////////////////////

1.放行到portal服务器；

2.放行ipoeweb前域的内网流量（选配）；

3.匹配ipoeweb前域的http报文做重定向；

4.匹配ipoeweb前域的https报文做重定向；

5.匹配ipoeweb前域的其余流量丢弃；

//////////////////////////////////////////////////////////////

1. 放行到portal认证服务器、dhcp server的IP

acl advanced name web_permit

rule 5 permit ip destination 100.1.0.100 0 user-group pre

acl ipv6 advanced name web_permit

rule 5 permit ipv6 destination 100:1::100/128 user-group pre

配置用于认证前域用户的类,配置类web_permit，匹配ACL web_permit

traffic classifier web_permit operator or

if-match acl name web_permit

if-match acl ipv6 name web_permit

配置流行为web_permit，允许用户组中用户的目的地址为Portal服务器IP地址的报文通过。

traffic behavior web_permit

filter permit

free account

2.匹配ipoeweb前域的http报文做重定向；

acl advanced name web_http

rule 5 permit tcp destination-port eq www user-group pre

acl ipv6 advanced name web_http

rule 5 permit tcp destination-port eq www user-group pre

配置用于认证前域用户的类配置类web_http，匹配ACL web_http。

traffic classifier web_http operator or

if-match acl name web_http

if-match acl ipv6 name web_http

配置流行为web_http，对用户组中用户的目的端口为80的TCP报文(即HTTP报文)重定向到CPU。

traffic behavior web_http

redirect http-to-cpu

3.匹配ipoeweb前域的https报文做重定向

acl advanced name web_https

rule 5 permit tcp destination-port eq 443 user-group pre

acl ipv6 advanced name web_https

rule 5 permit tcp destination-port eq 443 user-group pre

配置类web_https，匹配ACL web_https

traffic classifier web_https operator or

if-match acl name web_https

if-match acl ipv6 name web_https

配置流行为web_https，对用户组pre中用户的目的端口为443的TCP报文(即HTTPS报文)重定向到CPU。

traffic behavior web_https

redirect https-to-cpu

4．分别为IPv4和IPv6高级ACL web_out创建规则如下：匹配前域用户组中源地址为Portal服务器的IP报文

acl advanced name web_out

rule 5 permit ip source 100.1.0.100 0 user-group pre

acl ipv6 advanced name web_out

rule 5 permit ipv6 source 100:1::100/128 user-group pre

配置类web_out，匹配ACL web_out

traffic classifier web_out operator or

if-match acl name web_out

if-match acl ipv6 name web_out

配置流行为web_out，允许用户组中用户的目的地址为Portal服务器IP地址的报文通过。

traffic behavior web_out

filter permit

free account

5. 匹配ipoe web前域的其余流量丢弃；

匹配用户组中用户的IP报文

acl advanced name userip

rule 5 permit ip user-group pre

acl ipv6 advanced name userip

rule 5 permit ipv6 user-group pre

配置类userip，匹配ACL userip

traffic classifier userip operator or

if-match acl name userip

if-match acl ipv6 name userip

配置流行为,禁止用户组中用户的所有IP报文通过。

traffic behavior userip_deny

filter deny

free account

///////////////配置应用QoS策略///////////////////

# 配置入方向QoS策略user_in

qos policy user_in

classifier web_permit behavior web_permit

classifier web_http behavior web_http

classifier web_https behavior web_https

classifier userip behavior userip_deny

# 配置入方向QoS策略user_out

qos policy user_out

classifier web_out behavior web_out

classifier userip behavior userip_deny

# 对接收的用户流量应用QoS策略，策略名为user_in（应用策略后可以执行display qos policy global inbound命令查看策略是否生效）。

qos apply policy user_in global inbound

# 对发送的上线用户流量应用QoS策略，策略名为user_out（应用策略后可以执行display qos policy global outbound命令查看策略是否生效）。

qos apply policy user_out global outbound

//////////////////配置IPoE认证前域//////////////////

配置domain认证前域

domain name pre101

authorization-attribute user-group pre

authorization-attribute ip-pool p101

authorization-attribute ipv6-pool p101

authentication ipoe none

authorization ipoe none

accounting ipoe none

web-server url http://100.1.0.100:9092/portal/ //EIA portal配置页面的url

web-server ipv6-url http://[100:1::100]:9092/portal/

//////////////////（IPoE认证后域）配置IPoE用户在Web认证阶段使用的认证域//////////////////

配置认证后域用户组（可Campus控制器页面创建）

user-group pppoea

用户业务组，需Campus通过控制器创建，以确保后续可做内网的访问策略

user-group student

配置后域认证domian，ipv4、ipv6选配其中一种即可

domain name posv4

authorization-attribute user-group pppoea //后域认证默认进入pppoea用户组，用户认证授权时会进入授权所在用户组

authentication ipoe radius-scheme eia

authorization ipoe radius-scheme eia

accounting ipoe radius-scheme eia

domain name posv6

authorization-attribute user-group pppoea

authentication ipoe radius-scheme eiav6

authorization ipoe radius-scheme eiav6

accounting ipoe radius-scheme eiav6

6.3.3 PPPoE代拨配置

/////////////////////PPPoE代拨配置/////////////////////

# 创建PPPoE代拨用户的认证域pppoe1

domain name pppoe1

accounting pppoea radius-scheme eia

配置PPPoE代拨转发策略，匹配ACL的流量视为内网流量，允许转发；

acl advanced name ip_permit

rule 5 permit ip destination 30.1.0.0 0.0.255.255 //放通私网ip

rule 10 permit ip destination 30.2.0.0 0.0.255.255

rule 15 permit ip destination 100.1.0.100 0 //放到到服务器的ip

用户认证成功后授权进入的用户组配置PPPoE代拨，用户认证成功后触发PPPoE代拨

user-group pppoea

pppoe-agency forward ipv4 acl name ip_permit

pppoe-agency authentication domain pppoe1

user-group student

pppoe-agency forward ipv4 acl name ip_permit

pppoe-agency authentication domain pppoe1

/////////////////////////校园Bras与运营商Bras之间的配置////////////////////////

创建一个虚拟模板接口1

interface virtual-template 1

代拨组的名称由AAA服务器通过COA下发，与EIA上6.2.1开启Bras代拨中的“拨号标识”相同，这里COA下发的代拨组名称为cmcc

interface Ten-GigabitEthernet3/2/2 //Bras与运营商Bras连接的出接口

port link-mode route

pppoe-agency bind virtual-template 1 pppoe-agency-group cmcc

配置PPPoE代拨，服务器监听代拨应答报文的目的端口为3799。（这里为缺省端口3799为例）

radius dynamic-author server

client ip 100.1.0.100 key simple 123456

pppoe-agency reply-port 3799

6.3.4 DOT1X认证配置

/////////////////////用户组配置/////////////////////

配置认证后域用户组（可Campus控制器页面创建）

user-group pppoea

用户业务组，需Campus通过控制器创建，以确保后续可做内网的访问策略

user-group student

/////////////////////dot1x认证域配置/////////////////////

domain name dot1x_vlan101

authorization-attribute user-group pppoea //认证默认进入pppoea用户组，用户认证授权时会进入授权所在用户组

authorization-attribute ip-pool p101

authorization-attribute ipv6-pool p101

authentication lan-access radius-scheme eia

authorization lan-access radius-scheme eia

accounting lan-access radius-scheme eia

6.3.5 接口认证配置

BRAS与交换机连接的路由子接口101下发认证配置：

interface Route-Aggregation2.101

ip address 30.1.0.1 255.255.0.0

ospf 1 area 0.0.0.0 //确保接口IP与AAA认证服务器、dhcp sever服务器互通即可

ospfv3 1 area 0.0.0.0

proxy-arp enable //arp、nd代理，接口相同网段流量转发时需要配置

local-proxy-arp enable

vlan-type dot1q vid 101

dhcp select relay

dhcp relay source-address 30.1.0.1

ipv6 dhcp select relay //ipv6配置可不配

ipv6 dhcp relay source-address 30:1::1

ipv6 nd ra prefix 30:1::/64 no-advertise

ipv6 address 30:1::1/64

ipv6 nd autoconfig managed-address-flag

ipv6 nd autoconfig other-flag

proxy-nd enable

local-proxy-nd enable

undo ipv6 nd ra halt

dot1x mandatory-domain dot1x_vlan101 //dot1x认证

ip subscriber l2-connected enable //二层接入模式认证模式

ip subscriber authentication-method dot1x high-priority web //同时支持dot1x和web认证

ip subscriber pre-auth domain pre101 //portal认证前域

ip subscriber web-auth domain posv4 //portal认证后域

6.3.6 与EIA联动

//EIA上做强制用户下线

radius session-control enable

6.3.7 与Campus组间策略联动

(1) Campus纳管BRAS后，会向BRAS设备下发如下命令：

qos policy SDN_POLICY_IN_000

qos policy SDN_POLICY_OUT_000

(2) 可通过在Campus的[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>策略矩阵]页面配置组间策略，会向BRAS设备下发相应的MQC。

例如，Campus配置student和teacher用户组之间互访为deny

图6-21 配置组间策略

Campus向BRAS下发的MQC如下所示：

acl advanced name SDN_ACL_UG_A00_UG_A01_FFFF

description SDN_ACL_UG_A00_UG_A01_FFFF

rule 0 permit ip source-user-group student destination-user-group teacher

acl advanced name SDN_ACL_UG_A01_UG_A00_FFFF

description SDN_ACL_UG_A01_UG_A00_FFFF

rule 0 permit ip source-user-group teacher destination-user-group student

traffic classifier SDN_CLS_UG_A00_UG_A01_FFFF operator or

if-match acl name SDN_ACL_UG_A00_UG_A01_FFFF

traffic classifier SDN_CLS_UG_A01_UG_A00_FFFF operator or

if-match acl name SDN_ACL_UG_A01_UG_A00_FFFF

traffic behavior SDN_BHV_UG_A00_UG_A01_FFFF

filter deny

traffic behavior SDN_BHV_UG_A01_UG_A00_FFFF

filter deny

qos policy SDN_POLICY_IN_000

qos policy SDN_POLICY_OUT_000

classifier SDN_CLS_UG_A00_UG_A01_FFFF behavior SDN_BHV_UG_A00_UG_A01_FFFF

classifier SDN_CLS_UG_A01_UG_A00_FFFF behavior SDN_BHV_UG_A01_UG_A00_FFFF

(3) 由于Campus只下发了MQC，没有下发apply应用，因此需要手动配置。

在认证接口指定MQC 应用如下：

interface Route-Aggregation2.101

qos apply policy SDN_POLICY_IN_000 inbound

qos apply policy SDN_POLICY_OUT_000 outbound

6.4 用户认证

6.4.1 Portal认证

(1) 终端设备接入Access接口，先触发Portal前域认证，获取IP地址，可通过display access-user命令查询认证信息。

图6-22 查询认证信息

(2) 终端页面输入任意IP，打开URL认证重定向页面，输入用户名/密码进行认证。

图6-23 认证页面

(3) 用户认证成功后，在EIA上可查看到在线用户信息。

图6-24 EIA上查看在线用户信息

(4) 在BRAS设备上，通过display access-user命令查看用户信息，可以看到终端设备不仅获取内网IP地址，并且通过BRAS代拨获取了运营商的地址分配的地址。

图6-25 BRAS设备上查看在线用户信息

通过下图命令查看认证用户详情，可以看到用户的授权信息。该用户被授权进入名为student的用户组。与Campus组合，可实现用户组的访问策略。

图6-26 查看认证用户详情

图6-27 查看用户授权信息

6.4.2 Dot1x认证

(1) Dot1x客户端输入用户名/密码，用户认证成功。

(2) 用户认证成功后，在EIA上可查看到在线用户信息。

图6-28 EIA上查看在线用户信息

(3) 在BRAS设备上，通过display access-user命令查看用户信息，可以看到终端设备不仅获取了内网IP地址，并且通过BRAS代拨获取了运营商的地址分配的地址。

图6-29 BRAS设备上查看在线用户信息

(4) 通过下图命令查看认证用户详情，可以看到用户的授权信息。该用户被授权进入名为student的用户组。与Campus组合，可实现用户组的访问策略。

图6-30 查看认证用户详情

图6-31 查看用户授权信息

7 BRAS哑终端认证拆分

在校园网场景中，经常有大量哑终端接入的需求，BRAS支持同时对接多个AAA服务器，可实现哑终端通过EIA进行认证，匹配静态IP或指定业务VLAN到EIA做认证，其他非哑终端业务可以采用其他第三方AAA（深澜/城市热点）等。

· 由于BRAS部分的配置为手动配置，本章节的配置介绍仅做参考，具体项目实施请联系BRAS产品咨询。

· 本章节介绍BRAS上配置指定IP地址触发认证到指定的EIA上做认证，以及BRAS的VLAN接口配置MAC认证到指定的EIA上做认证的配置流程，其他非哑终端业务不在此介绍。

7.1 Campus上配置

7.1.1 BRAS业务配置

BRAS业务配置前，请根据文档说明进行设备自动化上线和BRAS纳管置，并打通整网的路由。

(1) 在[自动化>园区网络>网络设备>BRAS设备]页面，增加BRAS设备。

增加BRAS设备时可使用任意IP地址，只要确保IP与Server之间互通即可，本例使用LoopBack0地址作为BRAS纳管IP。

interface LoopBack0

ip address 81.1.0.1 255.255.255.255

ospf 1 area 0.0.0.0

ospfv3 1 area 0.0.0.0

ipv6 address 81:1::1/128

(2) 在[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>业务网络]页面，单击<增加>，进行VLAN业务编排。在“网络范围”模块为终端直连的接口配置VLAN。

控制器会向Access接口、核心汇聚接入设备互联接口、与BRAS的接口Core设备接口下发配置透传该VLAN，打通从Access到Core设备的整个上行链路。

配置VLAN 201用于哑终端的用户认证，如图7-1所示。

图7-1 VLAN业务编排

(3) 在[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>用户组]页面，单击<增加>，配置用户组。

图7-2中增加了2个用户组mac1、mac2，用于用户业务的用户组建议在Campus控制器上配置，便于后续用户访问策略的配置下发。

图7-2 增加用户组

执行上述操作后，Campus控制器会向Bras设备下发对应命令。

· Bras纳管后，下发命令如下：

qos policy SDN_POLICY_IN_000

qos policy SDN_POLICY_OUT_000

· 创建用户组后，下发命令如下：

user-group mac1

user-group mac2

7.1.2 端口隔离配置

BRAS业务配置完后，需要对接口配置端口隔离，以确保大二层网络用户业务在大二层内部进行广播，并且可确保用户业务流量能通过网关进行流量转发。具体操作请参看5.12.2 端口隔离。

7.2 EIA上配置

7.2.1 接入服务配置

(1) 在[终端>接入用户管理>接入服务>接入策略]页面，单击<增加>按钮，进行接入策略配置。仅需要配置“下发用户组”，其他默认即可。

下发用户组填写6.1 Campus上BRAS业务配置中配置的用户组名称（例如mac1，mac2）。用户认证时，EIA会向BRAS设备授权用户组信息。

图7-3 配置接入策略

(2) 在[终端>接入用户管理>接入服务>接入服务]页面，单击<增加>按钮，增加接入服务。“缺省接入策略”需指定上一步骤配置的接入策略。

图7-4 配置接入服务

7.2.2 哑终端配置

(1) 在[终端>接入用户管理>接入用户>哑终端用户配置]页面，增加哑终端用户,分别配置基于MAC段和基于IP的哑终端用户。

基于MAC段的哑终端用于匹配指定业务VLAN的用户认证，需要配置MAC地址段并选择前面设置的接入服务。

图7-5 基于MAC段的哑终端用户配置

¡ 基于IP段的哑终端用于匹配静态IP的用户认证，需要配置IP地址段，并选择前面设置的接入服务，如下图所示。

图7-6 基于IP段的哑终端用户配置

(2) 配置完后，勾选新增的哑终端，单击<立即生效>。

图7-7 立即生效

7.2.3 接入设备配置

(1) 在[终端>接入用户管理>接入服务>接入设备>接入设备配置]页面，单击<增加>按钮，进行接入设备配置。

¡ 共享密钥：需与BRAS设备Radius配置的密码保持一致。

¡ 设备列表：增加BRAS设备的NAS IP地址。

图7-8 增加接入设备

(2) 完成接入设备配置。若要支持IPv6认证，则需要增加设备的IPv6地址。

图7-9 接入设备配置完成

7.3 用户认证基础配置

//////////////dhcp 中继配置/////////////////////

dhcp enable

#只有静态IP认证，可不配置dhcp relay

interface Route-Aggregation2.201

ip address 20.1.0.1 255.255.255.0

vlan-type dot1q vid 201

dhcp relay source-address 20.1.0.1 //配置dhcp relay

dhcp select relay

ipv6 dhcp select relay

ipv6 dhcp relay source-address 20:1::1

ipv6 address 20:1::1/64

#远端dhcp pool配置

ip pool p201 bas remote

gateway 20.1.0.1 mask 255.255.0.0

forbidden-ip 20.1.0.1

remote-server 110.1.0.201 //配置dhcp server地址

ipv6 pool p201

network 20:1::/64

gateway-list 20:1::1

remote-server 110:1::201 //配置dhcp server地址

forbidden-address 20:1::1

//////////////打通与服务器之间路由///////////////////

可配置静态路由打通，也可通过动态路由打通，确保到AAA服务器和DHCP服务器路由可达即可。

ip route-static 100.1.0.0 24 3.1.0.2 //AAA server

ip route-static 110.1.0.0 24 3.1.0.2 //dhcp server

ipv6 route-static 100:1:: 64 3:1::2

ipv6 route-static 110:1:: 64 3:1::2

//////////////////配置RADIUS方案//////////////////////////

#配置到AAA服务器的radius

radius scheme eia

primary authentication 100.1.0.100

primary accounting 100.1.0.100

key authentication simple 123456 //与6.2.5 接入设备配置中设置的密码相同

key accounting simple 123456

user-name-format without-domain

nas-ip 81.1.0.1 //与6.2.5 接入设备配置中设置的设备IP相同

radius scheme eiav6

primary authentication ipv6 100:1::100

primary accounting ipv6 100:1::100

key authentication simple 123456 //与6.2.5 接入设备配置中设置的密码相同

key accounting simple 123456

user-name-format without-domain

nas-ip ipv6 81:1::1 //与6.2.5 接入设备配置中设置的设备IP相同

radius dynamic-author server

client ip 100.1.0.100 key simple 123456

client ipv6 100:1::100 key simple 123456

trust ip 100.1.0.100

trust ipv6 100:1::100

7.4 与EIA联动

//在BRAS设备上配置，实现EIA上去做强制用户下线，使BRAS设备上的用户下线

radius session-control enable

7.5 与Campus组间策略联动

(1) Campus纳管BRAS后，会向BRAS设备下发如下命令：

qos policy SDN_POLICY_IN_000

qos policy SDN_POLICY_OUT_000

(2) 可通过在Campus的[自动化>园区网络>网络设备>BRAS设备>BRAS业务配置>策略矩阵]页面配置组间策略，会向BRAS设备下发相应的MQC。

例如，Campus配置mac1和mac2用户组之间互访为deny。

图7-10 配置组间策略

Campus向BRAS下发的MQC如下所示：

acl advanced name SDN_ACL_UG_A00_UG_A01_FFFF

description SDN_ACL_UG_A00_UG_A01_FFFF

rule 0 permit ip source-user-group mac1 destination-user-group mac2

acl advanced name SDN_ACL_UG_A01_UG_A00_FFFF

description SDN_ACL_UG_A01_UG_A00_FFFF

rule 0 permit ip source-user-group mac2 destination-user-group mac1

traffic classifier SDN_CLS_UG_A00_UG_A01_FFFF operator or

if-match acl name SDN_ACL_UG_A00_UG_A01_FFFF

traffic classifier SDN_CLS_UG_A01_UG_A00_FFFF operator or

if-match acl name SDN_ACL_UG_A01_UG_A00_FFFF

traffic behavior SDN_BHV_UG_A00_UG_A01_FFFF

filter deny

traffic behavior SDN_BHV_UG_A01_UG_A00_FFFF

filter deny

qos policy SDN_POLICY_IN_000

qos policy SDN_POLICY_OUT_000

classifier SDN_CLS_UG_A00_UG_A01_FFFF behavior SDN_BHV_UG_A00_UG_A01_FFFF

classifier SDN_CLS_UG_A01_UG_A00_FFFF behavior SDN_BHV_UG_A01_UG_A00_FFFF

(3) 由于Campus只下发了MQC，没有下发apply应用，因此需要手动配置。

在认证接口指定MQC 应用如下：

interface Route-Aggregation2.201

qos apply policy SDN_POLICY_IN_000 inbound

qos apply policy SDN_POLICY_OUT_000 outbound

7.6 基于静态IP的哑终端认证

7.6.1 认证命令配置

//////////////////配置domain//////////////////////////

domain name isp1

authentication ipoe radius-scheme eia

authorization ipoe radius-scheme eia

accounting ipoe radius-scheme eia

//////////////////用户认证接口配置//////////////////////////

interface Route-Aggregation3.201

ip address 20.1.0.1 255.255.0.0

ospf 1 area 0.0.0.0 //确保接口IP与AAA认证服务器、dhcp sever服务器互通即可

ospfv3 1 area 0.0.0.0

proxy-arp enable //arp、nd代理，当接口相同网段流量转发时需要配置

local-proxy-arp enable

ip subscriber initiator arp enable //使能ARP报文触发方式

vlan-type dot1q vid 201

ipv6 address 20:1::1/64 //ipv6相关配置可不配

ipv6 address auto link-local

ipv6 nd autoconfig managed-address-flag

ipv6 nd autoconfig other-flag

proxy-nd enable

local-proxy-nd enable

undo ipv6 nd ra halt

ip subscriber l2-connected enable //二层接入模式认证模式

ip subscriber authentication-method dot1x high-priority web //同时支持dot1x和web认证

ip subscriber initiator unclassified-ip enable matching-user //使能未知源IP报文触发方式

//////////////////配置静态IP认证//////////////////////////

#配置匹配指定静态IP地址段报文触发认证

ip subscriber session static ip 20.1.0.101 20.1.0.200 domain isp1

7.6.2 用户认证

(1) 哑终端设备网卡配置静态IP（20.1.0.101），向网关发送报文触发认证，认证成功。可在EIA的在线用户页面查看到认证信息（哑终端账号EIA自动生成）。

图7-11 EIA上查看在线用户信息

(2) BRAS设备上可通过display access-user命令查看用户认证上线。

图7-12 BRAS设备上查看在线用户信息

(3) 通过下图命令查看认证用户详情，可以看到用户的授权信息。该用户被授权进入名为mac1的用户组。与Campus组合，可实现用户组的访问策略。

图7-13 查看认证用户详情

图7-14 查看用户授权信息

7.7 基于MAC的哑终端认证配置

7.7.1 认证命令配置

//////////////////配置domain//////////////////////////

domain name mac

authorization-attribute ip-pool p201

authorization-attribute ipv6-pool p201

authentication ipoe radius-scheme eia

authorization ipoe radius-scheme eia

accounting ipoe radius-scheme eia

//////////////////用户认证接口配置//////////////////////////

interface Route-Aggregation3.201

ip address 20.1.0.1 255.255.0.0

ospf 1 area 0.0.0.0 //确保接口IP与AAA认证服务器、dhcp sever服务器互通即可

ospfv3 1 area 0.0.0.0

proxy-arp enable //arp、nd代理，当接口相同网段流量转发时需要配置

local-proxy-arp enable

ip subscriber initiator arp enable //使能ARP报文触发方式

vlan-type dot1q vid 201

dhcp select relay

dhcp relay source-address 20.1.0.1

ipv6 dhcp select relay //ipv6相关配置可不配

ipv6 dhcp relay source-address 20:1::1

ipv6 address 20:1::1/64

ipv6 address auto link-local

ipv6 nd autoconfig managed-address-flag

ipv6 nd autoconfig other-flag

proxy-nd enable

local-proxy-nd enable

undo ipv6 nd ra halt

ip subscriber l2-connected enable //二层接入模式认证模式

ip subscriber authentication-method dot1x high-priority web //同时支持dot1x和web认证

ip subscriber password mac-address //mac触发认证，用户名/密码使用mac地址进行认证

ip subscriber pre-auth domain mac

ip subscriber username mac-address

ip subscriber initiator unclassified-ip enable matching-user //使能未知源IP报文触发方式，静态IP触发认证时需要配置

7.7.2 用户认证

(1) 哑终端终端设备接入网络，通过网卡dhcp触发用户认证，获取IP地址。可在EIA的在线用户页面查看到认证信息（哑终端账号EIA自动生成）。

图7-15 EIA上查看在线用户信息

(2) BRAS设备上可通过display access-user命令查看用户认证上线。

图7-16 BRAS设备上查看在线用户信息

(3) 通过下图命令查看认证用户详情，可以看到用户的授权信息。该用户被授权进入名为mac1的用户组。与Campus组合，可实现用户组的访问策略。

图7-17 查看认证用户详情

图7-18 查看用户授权信息

7.8 哑终端自助申报

哑终端自助申报与EIA的IP地址管理功能组合，可实现IP地址可视化以及IP地址的分配和回收。

· 哑终端用户认证若要动态获取IP地址，则需要与DHCP Server组合配置。

· IP地址管理与DHCP Server组合，只支持IPv4地址的管理和分配，不支持IPv6。

· 若IP地址管理与DHCP Server组合，需确保DHCP Server服务器已安装EIA的DHCP Agent组件。

· 本章节只介绍与BRAS哑终端自助申报与IP地址管理的配置流程，关于IP地址管理的其他功能实现以及各种参数配置请联系EIA产品咨询。

7.8.1 IP地址管理配置

1. DHCP Server配置（可选）

哑终端用户认证需要动态获取IP地址时，需要进行DHCP Server配置。若哑终端用户都为静态IP，则不需要该配置。

(1) 打开[终端>接入用户管理>IP地址管理>更多>系统配置]页面，填写“DHCP服务器”。

图7-19 DHCP服务器配置

(2) DHCP Server服务器上打开DHCP Agent，填写EIA的IP地址，并重启DHCP Server。

图7-20 DHCP Agent配置

2. IP规划创建子网分组

(1) 打开[终端>接入用户管理>IP地址管理>IP规划]页面，单击<增加>按钮，增加子网分组。

图7-21 增加子网分组

(2) 选择子网分组，增加子网。在“增加子网”页面，选择前面配置的哑终端。

¡ 使用DHCP Server，动态获取IP地址时，页面配置如图7-22所示。

图7-22 使用DHCP Server的配置

¡ 不使用DHCP Server，哑终端使用静态IP地址时的页面配置如图7-23所示。

图7-23 不使用DHCP Server的配置

(3) 子网配置完成后，会在[IP规划]页签下生成一条子网记录，如图7-24所示。若联动DHCP Server，则会在DHCP Server上创建的子网的地址池，如图7-25所示。

图7-24 子网记录

图7-25 子网地址池

7.8.2 哑终端自助申请

(1) 登录AD-Campus系统，进入[终端>接入用户管理>接入用户]页面，查看已接入的用户账号

图7-26 查看接入用户

(2) 通过http://<统一数字底盘北向业务IP>:9066/ssvui/selfservice/register/login.html进入网络准入系统登录页面，使用上一步查询到的已有账号登录。

图7-27 网络准入系统登录页面

(3) 用户登录后，会自动打开“设备入网申请流程”页面。

¡ 设备类型：选择为“哑终端”

¡ 一级审批人：根据实际业务填写即可，但必须是“接入用户”中已创建的用户。

¡ MAC地址：请根据实际情况填写。若不填写，则只申请哑终端的IP，不会进行MAC和IP的绑定。

图7-28 设备入网申请流程配置

图7-29 申请提交成功

(4) 通过http://<统一数字底盘北向业务虚IP>:9066/进入用户自助服务平台的登录页面，使用步骤（3）中指定的“一级审批人”的账号密码登录。

图7-30 用户自助服务平台的登录页面

(5) 用户登录后，进入[IP地址审批>待审批]页面，可以进行申请审批。

图7-31 待审批页面

(6) 单击列表中的审批按钮进入审批页面，填写“下一步处理人”及确认意见后，单击<确定>按钮即可完成审批。根据实际情况填写即可，本例使用admin用户。

图7-32 审批

(7) 通过http://<统一数字底盘北向业务虚IP>:30000/uclogin/view/login.html/ 进入AD-Campus系统登录页面，使用步骤（6）中设置的“下一步处理人”的账号密码登录。

图7-33 AD-Campus系统登录页面

(8) 进入[终端>接入用户管理>IP地址管理>IP审批]页面，上述提交审批的申请记录会展示在[未处理]页签下。

图7-34 未处理的申请列表

(9) 单击列表操作列的进入审批页面，设置IP地址后，单击<确定>按钮即可完成审批。

图7-35 审批设置

(10) 审批完后，可以看到以下结果。

¡ 在[终端>接入用户管理>IP地址管理>IP分配]页面，可以查看到指定的MAC信息及已分配的地址信息。

图7-36 查看MAC信息

图7-37 查看已分配地址

【说明】若使用DHCP Server，则在DHCP Server上会生成IP和MAC的绑定。

图7-38 DHCP Server中IP和MAC的绑定

¡ 在[终端>接入用户管理>接入用户>哑终端用户配置]页面，单击基于MAC段的配置名称进入中配置详情页面，可以查看下发的哑终端配置。

图7-39 基于MAC段的哑终端配置

图7-40 查看下发的哑终端配置

(11) 过一段时间后（20分钟左右）审批会自动生效，自动生效后，哑终端可认证上线。

哑终端认证上线时手动拔插网卡可触发认证，EIA会自动生成接入用户，并获取步骤（9）指定的IP地址。

¡ 在[终端>接入用户管理>在线用户>本地在线用户]页面，可以看到在线的用户信息。

图7-41 在线用户信息

¡ 在[终端>接入用户管理>IP地址管理>IP分配]页面，可以查看在线的IP地址及对应的用户认证信息。

图7-42 在线IP地址

7.9 与EPS组合

BRAS与EPS组合建立合规基线化为EPS基本功能，EPS的参数配置请参考EPS产品相关文档。由于Bras认证接口不记录ARP表项，EPS扫描需配置为网段扫描。

图7-43 EPS扫描配置

8 设备故障替换

在组网中原有设备发生故障等场景，需要用新设备替换原有设备的情况下，可以使用AD-Campus的设备替换功能。

· 设备替换类型可分两类：

¡ 精确替换：新设备与故障设备型号完全一致，且新设备版本与故障设备版本一致。

¡ 异构替换：新设备与故障设备型号可以不一样。

· 设备替换操作方式也可分为两种：

¡ 根据设备标签替换：在线替换，新设备先上线，再设置替换任务进行替换。

¡ 根据设备序列号替换：预替换，新设备不在线的情况下可以先设置替换任务，设备自动化上线后自动执行替换。

支持Core、Distribution、Access交换设备的替换，设备替换的具体操作步骤请参考《AD-Campus 7.1 设备故障替换配置指导》，该文介绍VXLAN场景的故障替换，VLAN组网设备的替换步骤操作流程与VXLAN组网设备的基本一致，请参考VXLAN组网故障替换的操作步骤。

9 分权分域

园区控制组件支持分权分域管理功能。主要指操作员登录园区控制组件后，园区控制组件根据用户所带有的角色属性，来为该用户呈现他具有的功能权限。传统网BRAS大二层与VXLAN组网配置流程基本相同，请参考文档《AD-Campus 7.1 基础配置指导（组策略）》。

10 运维监控

相关信息请参见《AD-Campus 7.1运维监控部署指导书》。

11 EPON

相关信息请参见《AD-Campus 7.1传统网IP-SGT配置指导》的EPON章节。

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

技术支持

自助服务

热门推荐

热门推荐

热门推荐

热门推荐

合作伙伴培训与认证

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

13-AD-Campus 7.1 传统网BRAS大二层配置指导

目录

2 传统网BRAS大二层简介

2.1 单Fabric组网模型

2.1.1 双Core/双Distribution组网

2. 单汇聚组网(双Distribution)模型

2.1.2 IRF组网

2. 单汇聚组网模型

2.1.3 BRAS设备接入方式

2.1.4 AC设备接入方式

3 配套软件及设备型号

3.2 设备型号及角色

4 资源&IP地址规划

1. SeerEngine-Campus园区控制组件和统一数字底盘共用网卡

2. SeerEngine-Campus园区控制组件和统一数字底盘使用不同网卡

BRAS旁挂Core组网

BRAS连接在Core与L3-Switch之间组网

4.3 用户VLAN规划

5 传统网BRAS大二层配置步骤

5.1 登录AD-Campus配置页面

5.2 License注册

5.3.1 DHCP服务器

1. 配置DHCP服务器的管理方式

vDHCP Server

Microsoft DHCP Server

5.3.3 创建设备控制协议模板

5.3.4 导入设备版本（按需）

5.3.5 L3 Switch配置

1. BRAS旁挂Core设备组网

2. BRAS连接在Core设备和L3交换机设备之间

5.3.6 BRAS配置

5.4.1 控制组件配置

1. 基础配置

3. 设备角色模板

4. 设备版本升级配置（按需）

5. 设备上线清单

2. 配置跨设备聚合参数（按需）

5.4.4 上行接口更换