FW做出口网关组网场景
FW(出口网关)注册上线
注册查询中心方式
华为公有云部署场景下华为已经部署了注册查询中心,且已经跟iMaster NCE-Campus对接;MSP自建云部署场景下,系统管理员可以配置iMaster NCE-Campus与华为的注册查询中心对接,系统管理员配置方法请参见配置注册中心。包含注册查询中心的组网如图5-52所示。
采用注册查询中心方式开局需要满足空配置、串口零输入和无用户登录,所以请从DHCP Server获取IP地址接入Internet。只要云化设备接入了Internet,后端向iMaster NCE-Campus注册认证的过程无需任何配置,自动化注册认证,实现云化设备的即插即用,注册上线的过程包括:
- iMaster NCE-Campus与注册查询中心之间建立HTTP2.0连接,同步待纳管的设备信息。详细交互过程如图5-53所示,交互步骤如下。
- 管理员向iMaster NCE-Campus导入新的待纳管设备的信息,包括设备的ESN、设备类型等。
- 导入完成后,在iMaster NCE-Campus的“站点管理”和“设备管理”界面开启“同步到注册查询中心”功能,iMaster NCE-Campus就会向注册查询中心发起上传信息的HTTP请求,注册查询中心收到请求后,就会与iMaster NCE-Campus之间进行HTTP2.0双向认证,建立连接。
- 连接建立成功后,iMaster NCE-Campus就可以向注册查询中心上传新的待纳管设备的ESN以及对应的iMaster NCE-Campus的信息。
- 设备接入Internet后,与注册查询中心之间建立HTTP2.0连接,切换云管理模式,获取iMaster NCE-Campus的地址和端口号。详细交互过程如图5-54所示,交互步骤如下。
- 当前最新发货的支持云管理的设备都会预置华为注册查询中心的URL地址(register.naas.huawei.com)和端口号(10020)。设备接入Internet后,会主动向注册查询中心发起查询的HTTP请求。
- 设备与注册查询中心之间就会建立一个HTTP2.0的双向认证连接。
- 连接建立成功后,设备会发送查询报文,报文携带自身的ESN信息。
- 注册查询中心在系统中查到对应的ESN信息,回应查询,回应的报文中会携带云管理模式的信息。
- 设备根据回应报文中的信息,从传统模式切换到云管理模式,重启设备,此时设备就成了云化设备。
- 重启切换完成后,云化设备会重新发送一个查询的HTTP请求。
- 云化设备与注册查询中心之间就会建立一个HTTP2.0的双向认证连接。
- 连接建立成功后,设备会发送查询报文,报文携带自身的ESN信息。
- 注册查询中心发送回应报文,携带该云化设备对应的iMaster NCE-Campus信息。
- 云化设备向iMaster NCE-Campus注册认证,实现云化设备即插即用。
Web网管方式
切换云管理模式
- 参考下图中的连线和缺省配置通过HTTPS登录FW的Web界面。
- 将运行模式切换为云管理模式。单击“面板 > 系统信息 > 云管理模式”后的“配置”,勾选“启用”,单击“确定”。执行此操作后,系统会提示清除设备的配置并重新启动。重启完毕,即切换到了云管理模式。
配置WAN口的IP地址
请根据网络服务商提供的信息选择接入Internet的方式。不同的接入Internet方式对应不同的参数。
前提条件 |
接入方式 |
|---|---|
如果网络服务商提供DHCP Server,您从其自动获取IP地址。 说明:
缺省情况下,FW接口下的DHCP Client功能处于关闭状态。 |
DHCP |
如果您从网络服务商处获得一个固定的IP地址或者IP地址段。 |
静态IP地址 |
如果您从网络服务商处获得一个用户名和密码。 |
PPPoE |
如果您通过4G接口连接运营商网络。 |
LTE |
- 当FW采用以太接口接入Internet时,配置上网参数。图形以“静态IP”举例。表5-13 DHCP方式接入Internet参数配置表
连接类型
参数
说明
DHCP
说明:上图中的选择、数据等信息仅供参考。
上网接口
上网接口作为DHCP客户端将自动尝试从网络服务商(DHCP服务器)处获取IP地址。
表5-14 静态IP地址方式接入Internet参数配置表连接类型
参数
说明
静态IP
接口名称
选择接入互联网的接口。
安全区域
选择“untrust”,将上网接口置于非信任区域。
连接类型
选择“静态IP”。
IP地址
上网接口的IP地址。
此参数由网络服务商提供,用点分十进制数表示(例如,1.1.1.1)。
默认网关
上网接口的默认网关的IP地址。内网用户访问互联网的报文都通过上网接口发送到默认网关,再由默认网关转发。
此参数由网络服务商提供,用点分十进制数表示(例如,1.1.1.254)。
首选DNS服务器
首选DNS服务器的IP地址。局域网的主机通常需要通过域名访问网站,因此需要为其指定DNS服务器地址。
此参数由网络服务商提供。
备用DNS服务器
备用DNS服务器的IP地址。当首选DNS服务器故障时,设备会访问备用DNS服务器解析域名。
此参数由网络服务商提供。
表5-15 PPPoE方式接入Internet参数配置表连接类型
参数
说明
PPPoE
接口名称
选择接入互联网的接口。
安全区域
选择“untrust”,将上网接口置于非信任区域。
连接类型
选择“PPPoE”。
说明:上图中的选择、数据等信息仅供参考。
用户名
PPPoE方式接入时身份验证使用的用户名。
此参数由网络服务商提供。
密码
PPPoE方式接入时身份验证使用的密码。
此参数由网络服务商提供。
在线方式
- 一直在线:当您是包月用户或者按流量计费的用户时请选择此方式。
- 空闲自动断线(秒):当您是按时计费的用户时请选择此方式。在“空闲自动断线(秒)”内如果没有流量通过,则断开互联网的访问。
自动获取IP地址
上网接口自动从网络服务商获取IP地址。
使用下面的IP地址
手工配置上网接口的IP地址。
IP地址
选中“使用下面的IP地址”后,“IP地址”取消置灰。
此参数由网络服务商提供。
- 当FW采用LTE方式接入Internet时,配置上网参数。表5-16 LTE方式接入Internet参数配置表
参数
说明
接口名称
系统自动指定的4G LTE Cellular接口编号,不可以手动修改。
别名
接口别名。
接入点名称
APN(Access Point Name)来标识用户要访问的外部PDN网络,需要向当地运营商获取。
用户名
需要接入外部PDN(Packet Data Network)网络用户的用户名。
密码
需要接入外部PDN网络用户的密码。
拨号串
呼叫对端的拨号串,可以为不包含空格、长度为1~30个字符的任意字符串。
在线方式
4G LTE接入的在线方式分为以下两种:
- 一直在线。
- 空闲一段时间后自动断线。
安全区域
将4G LTE Cellular接口加入指定安全区域。
配置FW注册到iMaster NCE-Campus
- 单击“系统 > 管理员 > 设置”,单击“北向接口配置”模块中“Call-home主动注册”中的“新建”,填写FW注册到iMaster NCE-Campus的IP地址/URL地址和端口信息等。
参数
参数说明
取值
主机名称
iMaster NCE-Campus主机名,仅在FW内部使用。
字符串形式,区分大小写,不支持空格,长度范围为1~31个字符。
IP地址/域名
iMaster NCE-Campus的IP地址/域名
- IP地址:点分十进制格式。
- 域名:字符串形式,区分大小写,不支持空格,长度范围为1~64个字符。
端口
iMaster NCE-Campus的端口号。
整数形式,取值范围为1~65535。
源IP地址
向iMaster NCE-Campus发起连接的源IP地址。
点分十进制格式。
虚拟路由器
表示虚拟系统名称。
必须是已经存在的虚拟系统。
- 单击“确定”和“应用”,完成配置。
命令行方式
切换云管理模式
- 通过Console方式登录FW设备。
- 执行命令system-view,进入系统视图。
- 在系统视图下执行命令firewall run-mode cloud-manage,切换到云管理模式。执行此命令后,设备会提示清除设备的配置并重新启动。重启完毕,即切换到了云管理模式。
配置WAN口的IP地址
请根据网络服务商提供的信息选择接入Internet的方式。不同的接入Internet方式对应不同的参数。
前提条件 |
接入方式 |
|---|---|
如果网络服务商提供DHCP Server,您从其自动获取IP地址。 说明:
缺省情况下,FW接口下的DHCP Client功能处于关闭状态。 |
DHCP |
如果您从网络服务商处获得一个固定的IP地址或者IP地址段。 |
静态IP地址 |
如果您从网络服务商处获得一个用户名和密码。 |
PPPoE |
如果您通过4G接口连接运营商网络。 |
LTE |
采用DHCP方式接入Internet:
- 在系统视图下执行命令interface interface-type interface-number,进入上行接口的接口视图。
- 执行命令ip address dhcp-alloc,开启DHCP Client功能。
缺省情况下,接口下DHCP Client功能处于关闭状态。
- 执行命令save,保存配置。
采用静态IP地址方式接入Internet:
- 在系统视图下执行命令interface interface-type interface-number,进入上行接口的接口视图。
- 执行命令gateway ip-address,配置FW设备的默认网关,此处IP地址是运营商提供的地址。
- 执行命令ip address ip-address { mask | mask-length },配置FW设备的IP地址和子网掩码,此处IP地址是运营商分配的公网地址。
- 将防火墙的上行接口加入安全区域。
- 执行命令quit,退回到系统视图。
- 执行命令firewall zone untrust,创建安全区域,并进入安全区域视图。
- 执行命令add interface interface-type interface-number,将FW的上行接口加入到安全区域。
- 执行命令quit,退回到系统视图。
确保配置完成后可以在FW上Ping通iMaster NCE-Campus。
- 执行命令save,保存配置。
采用PPPoE方式接入Internet:
- 配置Dialer接口。
- (可选)在系统视图下执行命令dialer-rule rule-number { { ip | ipv6 } { deny | permit } | { acl | acl6 } acl-number },配置拨号控制列表。
- 执行命令interface dialer number,创建Dialer接口并进入Dialer接口视图。
- 执行命令link-protocol ppp,配置接口封装的链路层协议为PPP。
- 配置验证方式。
- 配置PAP验证方式
执行命令ppp pap local-useruser-name password cipher password,配置本地被对端以PAP方式验证时,本地发送PAP用户名和口令。
- 配置CHAP验证方式
- 执行命令ppp chap user user-name,配置本地被对端以CHAP方式验证时的用户名。
- 执行命令ppp chap password cipher password,配置本地被对端以CHAP方式验证时的密码。
- 配置PAP验证方式
- 执行命令dialer user username,配置拨号用户名。
- 执行命令dialer bundle number,指定Dialer接口使用的Dialer bundle。
- (可选)执行命令dialer-group group-number,配置Dialer接口的Dialer Group。
dialer-group中的参数group-number和dialer-rule中的参数rule-number保持一致。
- 在Dialer接口视图下配置Dialer接口的IP地址。
- 配置Dialer接口的IPv4地址:
- 直接配置IP地址:
执行命令ip address ip-address { mask | mask-length },配置Dialer接口的IP地址。
- 配置由对端分配IP地址:
执行命令ip address ppp-negotiate,配置本端接口接受PPP协商产生的由对端分配的IP地址。
- 直接配置IP地址:
- 配置Dialer接口的IPv6地址:
执行命令ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length },配置接口的IPv6地址。
- 配置Dialer接口的IPv4地址:
- 配置接口上启用PPPoE Client功能。
- 执行命令quit,退回到系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令pppoe-client dial-bundle-number number [ no-hostuniq ] [ idle-timeout seconds [ queue-length packets ] ] [ ipv4 | ipv6 ],指定PPPoE会话所对应的Dialer bundle。
- 执行命令quit,退回到系统视图。
- 执行命令ip route-static 0.0.0.0 0 { nexthop-address | interface-type interface-number } [ preference preference ],配置到PPPoE Server的静态路由。
- 将防火墙的上行接口加入安全区域。
- 执行命令firewall zone untrust,创建安全区域,并进入安全区域视图。
- 执行命令add interface dialer number,将Dialer接口加入到安全区域。
- 执行命令add interface interface-type interface-number,将启用PPPoE Client功能的接口上加入到安全区域。
- 执行命令quit,退回到系统视图。
- 执行命令save,保存配置。
采用LTE方式接入Internet:
- 配置选择PLMN。
- 在系统视图下执行命令interface cellular interface-number,进入LTE Cellular接口视图。
- 执行命令plmn search,搜索PLMN。
- 选择PLMN。
- 执行命令plmn auto,配置采用自动方式选择PLMN。
- 执行命令plmn select manual mcc mnc,配置采用手动方式选择PLMN。
缺省情况下,设备采用自动方式选择PLMN。
- 执行命令mode lte { auto | gsm-only | lte-only | wcdma-only },配置LTE数据卡连接4G LTE网络的方式。
缺省情况下,LTE数据卡连接4G LTE网络的方式为auto。
- 配置APN模板。
- 执行命令quit,退回到系统视图。
- 创建APN模板。
- 执行命令apn profile profile-name,创建APN模板,并进入APN模板视图。
缺省情况下,设备没有创建APN模板。
- 执行命令apn apn-name,配置APN。
缺省情况下,设备没有在APN模板中配置APN。
- apn-name的获取需要咨询当地网络运营商。
- 配置APN后,APN会记录在LTE数据卡中,并会一直存在。如果APN值变化,需要重新配置。
- 执行命令quit,退回到系统视图。
- 执行命令apn profile profile-name,创建APN模板,并进入APN模板视图。
- 在LTE Cellular接口上绑定APN模板。
- 执行命令interface cellular interface-number,进入LTE Cellular接口视图。
- 执行命令apn-profile profile-name,配置LTE Cellular接口绑定APN模板。
- 执行命令quit,退回到系统视图。
- 配置轮询DCC拨号连接。
- 配置拨号控制列表。
执行命令dialer-rule dialer-number { acl acl-number | { ip | ipv6 } { deny | permit } },配置某个拨号访问组对应的拨号访问控制列表,指定引发DCC呼叫的条件。
- 开启轮询DCC。
- 执行命令interface cellular interface-number,创建并进入LTE Cellular接口视图。
- 执行命令dialer enable-circular,开启轮询DCC功能。
缺省情况下,接口上未开启轮询DCC功能。
- 执行命令dialer-group group-number,配置拨号接口的拨号访问组。
缺省情况下,未配置拨号接口所属的拨号访问组。
- 获取IP地址,采用WWAN拨号方式:
执行命令ip address negotiate,配置LTE Cellular接口动态获取IP地址。
- 执行命令dialer number dial-number [ autodial ],配置呼叫一个对端的拨号串。
拨号串由运营商提供,请向运营商获取。
- 执行命令quit,退回到系统视图。
- 执行命令ip route-static 0.0.0.0 0 { nexthop-address | interface-type interface-number } [ preference preference ],配置缺省路由。
- 配置拨号控制列表。
- 认证PIN码。
- 执行命令interface cellular interface-number,进入LTE Cellular接口视图。
- 执行命令pin verification enable [ auto ],开启LTE数据卡的PIN码认证功能。
缺省情况下,PIN码认证功能处于关闭状态。执行本步骤,您需要输入PIN码,才能开启LTE数据卡的PIN码认证功能。
- 执行命令pin verify [ auto ],对PIN码进行认证。
执行本步骤,您需要输入PIN码,等待一段时间。当接口下出现“PIN has been verified successfully.”提示信息后,表明PIN码认证成功。
- 执行命令save,保存配置。
配置FW注册到iMaster NCE-Campus
- 在系统视图下执行命令api call-home host hostname { domain domain-name | ip ip-address } port port-number [ source-ip source-ip-address ] [ vpn-instance vpn-instance-name ] ,配置FW注册到iMaster NCE-Campus的IP地址/URL地址和端口信息等。
- 执行命令api call-home connect [ host hostname ],发起连接iMaster NCE-Campus。
出口网关下挂的设备注册上线
FW做出口网关时,出口网关下挂的设备注册上线方式概览如表5-18所示。
开局方式 |
在哪里配置 |
配置什么 |
配置说明 |
推荐说明 |
|---|---|---|---|---|
注册查询中心方式 |
推荐在iMaster NCE-Campus上配置,操作对象为:FW(出口网关) |
设备的IP地址池 |
针对华为公有云部署场景或者MSP自建云部署场景(且已跟华为的注册查询中心对接),网络设备接入Internet后自动向注册查询中心发起请求,获取iMaster NCE-Campus的IP/URL地址和端口号,自动切换云管理模式,并注册上线。
|
针对华为公有云部署场景或者MSP自建云部署场景(且已跟华为的注册查询中心对接)有条件的推荐。 |
DHCP Option148方式 |
在iMaster NCE-Campus上配置,操作对象为:FW(出口网关) |
设备的IP地址池和DHCP Option148参数 |
|
推荐 |
在FW(出口网关)上用命令行配置 |
设备的IP地址池和DHCP Option148参数 |
|
不推荐 |
如果是组建堆叠交换机设备上线,有如下限制:
- 仅支持堆叠系统组建成功后向iMaster NCE-Campus注册,不支持通过iMaster NCE-Campus下发堆叠配置组建堆叠。
- 只有iMaster NCE-Campus存在堆叠系统中交换机的ESN时,堆叠系统中的交换机才可以正常注册。
交换机的堆叠组建方法可参考交换机产品《配置指南-设备管理》手册中的“堆叠配置”章节。
堆叠交换机上云的注册流程可参考交换机产品《配置指南-设备管理》手册中的“云管理 > 堆叠系统向iMaster NCE-Campus注册流程”章节。
注册查询中心方式
华为公有云部署场景下华为已经部署了注册查询中心,且已经跟iMaster NCE-Campus对接;MSP自建云部署场景下,系统管理员可以配置iMaster NCE-Campus与华为的注册查询中心对接,系统管理员配置方法请参见配置注册中心。包含注册查询中心的组网如图5-55所示。
采用注册查询中心方式开局需要满足空配置、串口零输入和无用户登录,所以请从DHCP Server获取IP地址接入Internet。只要云化设备接入了Internet,后端向iMaster NCE-Campus注册认证的过程无需任何配置,自动化注册认证,实现云化设备的即插即用,注册上线的过程包括:
- iMaster NCE-Campus与注册查询中心之间建立HTTP2.0连接,同步待纳管的设备信息。详细交互过程如图5-56所示,交互步骤如下。
- 管理员向iMaster NCE-Campus导入新的待纳管设备的信息,包括设备的ESN、设备类型等。
- 导入完成后,iMaster NCE-Campus就会向注册查询中心发起上传信息的HTTP请求,注册查询中心收到请求后,就会与iMaster NCE-Campus之间进行HTTP2.0双向认证,建立连接。
- 连接建立成功后,iMaster NCE-Campus就可以向注册查询中心上传新的待纳管设备的ESN以及对应的iMaster NCE-Campus的信息。
- 设备接入Internet后,与注册查询中心之间建立HTTP2.0连接,切换云管理模式,获取iMaster NCE-Campus的地址和端口号。详细交互过程如图5-57所示,交互步骤如下。
- 当前最新发货的支持云管理的设备都会预置华为注册查询中心的URL地址(register.naas.huawei.com)和端口号(10020)。设备接入Internet后,会主动向注册查询中心发起查询的HTTP请求。
- 设备与注册查询中心之间就会建立一个HTTP2.0的双向认证连接。
- 连接建立成功后,设备会发送查询报文,报文携带自身的ESN信息。
- 注册查询中心在系统中查到对应的ESN信息,回应查询,回应的报文中会携带云管理模式的信息。
- 设备根据回应报文中的信息,从传统模式切换到云管理模式,重启设备,此时设备就成了云化设备。
- 重启切换完成后,云化设备会重新发送一个查询的HTTP请求。
- 云化设备与注册查询中心之间就会建立一个HTTP2.0的双向认证连接。
- 连接建立成功后,设备会发送查询报文,报文携带自身的ESN信息。
- 注册查询中心发送回应报文,携带该云化设备对应的iMaster NCE-Campus信息。
- 云化设备向iMaster NCE-Campus注册认证,实现云化设备即插即用。
DHCP Option148方式(在iMaster NCE-Campus上配置)
- 登录iMaster NCE-Campus。
- 选择FW所在的站点,设为操作对象。
- 在左侧导航中选择。
- 在“LAN”页签设置网络配置模式(“本地Internet接入”或“多分支互联”)。
- 如果需要为同一站点里的不同防火墙设备配置相同的DHCP参数,请选用“本地Internet接入”。
- 如果需要为同一站点里的不同防火墙设备配置不同的DHCP参数,请选用“多分支互联”。
- 当站点类型为“FW”时,才支持选择“多分支互联”。
- 切换网络配置模式会清空现有的接口配置数据,请确认后再操作。
- 单击“创建”,设置LAN侧子网参数。
- LAN侧子网参数请根据实际情况配置,此处不做详细介绍。配置DHCP Option148参数的方法是:在“DHCP选项”参数处,单击“创建”,配置出口网关下挂的设备注册到iMaster NCE-Campus的IP地址/URL地址和端口信息。
参数
说明
DHCP选项
(仅服务器模式)DHCP Option的选项和值,在DHCP分配IP地址的时候一起下发给出口网关下挂的设备。
当选择“云平台地址(148)”时,将文本类型的值设置为:
agilemode=agile-cloud;agilemanage-mode=domain;agilemanage-domain=device-naas.huawei.com;agilemanage-port=10020;
出口网关下挂的设备在通过DHCP请求IP地址的时候就会通过该选项的值获得iMaster NCE-Campus的IP地址/URL地址和端口信息。
- 在“WAN”页签中打开“NAT使能”开关,并单击“应用”。
DHCP Option148方式(通过命令行配置)
- 在FW(出口网关)的系统视图下执行命令interface interface-type interface-number,进入下行接口的接口视图。
- 执行命令dhcp server option148 ascii agilemode=agile-cloud;agilemanage-mode=ip/domain;agilemanage-domain=IP地址/域名;agilemanage-port=端口号; 配置出口网关下挂的设备注册到iMaster NCE-Campus的IP地址/URL地址和端口信息。
- 在用户视图下执行命令save,保存配置。
U盘开局方式
U盘开局是指设备在开局部署时,管理员预先将开局文件(索引文件、配置文件等)存储在U盘中,然后将U盘插入设备,通过从U盘下载开局文件来实现对设备目标版本以及相关业务的部署。U盘开局具有操作方便、流程简单、不需要其他网元参与的特点。相比传统的通过专业技术工程师逐台地去给设备开局的模式,U盘开局功能只需要让专业技术工程师把所有开局文件存储到U盘中即可,具体开局任务可以通过开局现场非专业人员(如安装工程师)来进行。这样既简化了开局部署流程,又降低了开局部署成本。
FW(出口网关)采用U盘开局方式的指导请参见对应FW款型的产品文档中“管理员指南 > 系统 > U盘升级 ”。配置文件的主要命令行请参见DHCP Option148方式(通过命令行配置)。
