华为Agile Controller方案

合集下载

Agile Controller产品安装部署培训

Page17
安装准备
启动安装
登录系统
软件注册
软件获取
Agile Controller-Campus 有两种安装方式：
a) b)
通过光盘安装：需要准备相关光盘。通过软件包安装：需要准备相关软件包。
Page13
目录

部署原则、安装盘介绍安装Agile Controller-Campus步骤卸载Agile Controller-Campus步骤
Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
Page14
Agile ControllerCampus安装部署

Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
前言

Agile Controller-Campus是华为最新研制的基于用户和应用的网络资源自动化控制系统。该系统定位是智慧的园区大脑，在SDN集中化控制思想的指导下，动态调配整个园区的网络与安全资源，让网络更敏捷地为业务服务。本课程主要介绍如何在Windows Server 2008 R2系统安装 Agile Controller-Campus 。

用户名和密码规划：初始默认密码为admin/Changeme123，第一次登录
Agile Controller-Campus系统时，会提示修改密码。

主机名和IP 地址规划：可以根据实际情况修改服务器的主机名、IP地址。磁盘分区规划：C盘-操作系统，D盘-用于安装数据库和Agile Controller-

华为Agile Controller-Campus技术建议书

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：******************************客户服务电话：400-822-9999华为Agile Controller（园区版）错误!未知的文档属性名称目录目录1 概述 (3)1.1 项目背景 (3)1.1.1 园区网发展趋势 (3)1.1.2 项目现状 (3)1.1.3 接入场景及安全风险分析 (3)1.1.4 项目目标和范围 (4)2 应用场景 (4)3 方案设计思想及原则 ...................................................................................... 错误!未定义书签。

4 项目方案设计 (7)4.1 方案概述.......................................................................................................................... 错误!未定义书签。

华为Agile Controller-Campus产品说明书

CPE/uCPEEnterprise HQCloudCPEEnterprise Network in CloudDCThe Agile Controller-Campus is a next-generation campus and branch network controller developed by Huawei. The AgileController-Campus uses new technologies such as cloud computing, SD-WAN, and VXLAN to implement network virtualization, policy centralization, and cloud-based management. The Agile Controller-Campus provides enterprises with fast managed LAN and cloud-based leased line services, reduces OPEX, and accelerates migration of services to the cloud and digital transformation.Huawei Agile Controller-Campus is the core component of Huawei SD-WAN solution. This document describes the functions of the Agile Controller-Campus in the SD-WANsolution.Product OverviewSolution DescriptionAs enterprises undergo ICT transformation, a large number of enterprise services are being migrated to the cloud. Traditional enterprise leased line solutions hardly can meet enterprise service requirements in the cloud era. First of all, leased lines are expensive. According to the Telecom market research and survey of consulting corporations, thecost of MPLS leased lines is several times or dozens of times that of the Internet, consuming a large amount of enterprise funds. In addition, it takes a long time (an average of 30 working days) to provision services, preventing enterprise customers from quickly obtaining services. Finally, maintaining enterprise leased lines is costly. Traditional leased line devices require maintenance to be carried out onsite. For enterprises with multiple branches, it is difficult to maintain the branch networks and maintenance costs are high.To meet the requirements of service cloudification and industry digitalization, enterprise leased lines require higher bandwidth, simplified O&M, and quick responses to service changes. Huawei's innovative SD-WAN solution helps enterprises build application-aware, cost-effective, easy-to-maintain, and on-demand cloud-based enterprise leased lines, and reshapes the online experience of service provisioning, O&M, adjustment, and optimization. This solution facilitates the rapid innovation of enterprise services in thecloud era and helps enterprises achieve business success.Huawei Agile Controller-Campus DatasheetNETCONFEnterprise Branch 1CPEuCPEvFWvWoC …Enterprise Branch nInternetMPLSArchitecture of Huawei SD-WAN solutionHuawei SD-WAN solution aims to solve problems caused by traditional enterprise leased lines. It allows enterprises to quickly pr ovision new services, reduce investment and O&M costs, and quickly respond to service demands and changes in the cloud era. This solution strengthens enterprise competitiveness and leads the entire business ecosystem. Huawei SD-WAN solution offers the following benefits:• Flexible link binding, reducing bandwidth costs• Service provisioning time shortened from months to days• Application -aware intelligent path selection, improving user experience • Plug -and-play, visualized O&M, reducing OPEXKey ComponentsHuawei Agile Controller-Campus is the core component of Huawei SD-WAN solution. It manages enterprise interconnection services throughout the entire process, and provides a wide range of unmatched functions and capabilities, such as automated deployment of leased line services, configuration of intelligent path selection policies, VAS management, plug-and-play, and visualized O&M. The Agile Controller-Campus providesnorthbound RESTful interfaces for easy interconnection with third-party systems, and communicates with devices through southbound NETCONF, HTTP2.0, and HTTPS interfaces to implement device management and control.NETCONFHTTP2Southbound interfaceHTTPSVAS managementTraffic policySecurity policyPlug-and-play Service functionsRESTful Northbound interface Multi-tenant managementCluster management Alarm managementBasic functionsLog managementVASsOSS/BSSAnalysis system3rd-party VASOther applicationsVisualized O&M Enterprise branchCPEuCPEHQ/DCPhysical networkMPLSInternetLTEPublic cloud/private cloudCPE/uCPE Device configurationTunnel management Network PMI Device upgradevCPEEnterprise branchBenefitsFast deployment, accelerating SD-WAN service provisioningThe Agile Controller-Campus can automatically deploy end-to-end network services and supports plug-and-play for all series of CPEs, so that devices can quickly go online. The Agile Controller-Campus supports quick configuration and automatic deployment of leased line tunnels, shortening the leased line service provisioning period from months to days, making service provisioning more convenient, and meeting enterprise requirements for rapid network service expansion.Intelligent path selection, improving user experienceThe Agile Controller-Campus supports configuration of application-based intelligent path selection, including the configuration of predefined application identification and user-defined application identification. The Agile Controller-Campus implements differentiated network services based on different user requirements on application quality to preferentially ensure the quality of services for key applications.On-demand VAS, accelerating service provisioningThe Agile Controller-Campus supports uCPE management. The uCPE uses the x86/ARM universal hardware platform to carry virtualization services, and runs VNFs to provide functions such as firewall and WOC. The Agile Controller-Campus can manage VNFs on the uCPE throughout the lifecycle. Enterprise customers can quickly load VASs. In addition, the Agile Controller-Campus supports service chain orchestration, ensuring that service traffic passes through multiple VNF nodes in sequence, meeting enterprises' various service requireme nts.Visualized O&M and visualized application traffic across the entire networkThe Agile Controller-Campus supports visualized management of applications and links. The Agile Controller-Campus can visualize the status of the entire network and display the network status in real time, improving O&M efficiency. The Agile Controller-Campus monitors and collects statistics on the actual service flow, and presents the quality, status, and trend of applications and links, implementing quick troubleshooting and accurate fault backtracking.Key Features Key Feature ValuePlug-and-play Tunnel managementIntelligent path selectionOn-demand VAS Application visualization In the SD-WAN scenario, an enterprise needs to deploy CPEs at the sites. After being powered on, the CPEs automatically obtain IP addresses and proactively register with the Agile Controller-Campus to complete configurations and go online. The plug-and-play feature requires no manual configuration, saving much time and reducing misconfigurations. Plug-and-play can be implemented using the following methods:• URL in the emailHuawei SD-WAN solution provides hybrid link access capabilities. To ensure experience of services for key enterprise applications, the Agile Controller-Campus supports application-and application quality-based intelligent path selection. This ensures that services requiring high link quality use leased lines, and other services use Internet links. When a network fault occurs or the link quality is unstable, a link switchover can be flexibly performed to improve user experience. To implement intelligent path selection, the Agile Controller-Campus supports the following functions:• Identification of predefined applications and user-defined applications• IP FPM-based link quality detection (including latency, jitter, and packet loss)• Path selection policy management of applicationsIn traditional mode, VASs for enterprise sites are provided by different pieces of hardware. The disadvantages lie in fixed hardware functions and complex service deployment and provisioning. To implement fast, on-demand VAS deployment, Huawei launches the uCPE based on the x86/ARM architecture. The uCPE can carry virtualized VASs. The Agile Controller-Campus can manage and control VNFs on the uCPE, including:• Full-lifecycle management of VNFs on the uCPE, including installing, pausing, stopping, restarting and deleting VNFs• Service chain orchestration of VNFs on the uCPE• Monitoring of VNFs on the uCPE(including query of information such as the VNF management IP address, CPU, RAM, and running/operating status)• Support for multiple types of VNFs (such as Huawei vFW/vAR, Riverbed vWOC, Fortinet FortiGate, and Checkpoint vSec)The Agile Controller-Campus supports application-based visualized management. Users can quickly locate faults using the Agile Controller-Campus, simplifying O&M. To implement application visualization, the Agile Controller-Campus can display:• Health score distribution, worst 5 sites by health score, site list and other information of network-wide sites• Average AQM , bandwidth usage, throughput trend, Worst 5 Applications by AQM, and other information of a specified site• Worst 5 links by LQM, top 5 links by traffic, link list and other information of network-wide links• LQM trend, throughput trend, application top traffic, application AQM distribution, and other information of a specified link • AQM distribution, worst 5 applications by AQM, top 5 application traffic, application list and other information of network-wide applications.• AQM trend, throughput trend, and other information of a specified applicationAs the number of enterprise branches increases, inter-branch access traffic also increases. Traditionally, inter-branch access traffic needs to be transmitted via the enterprise headquarters, consuming resources of the headquarters and causing delay. The Agile Controller-Campus supports automatic deployment of dynamic smart VPN (DSVPN), implementing dynamic establishment of tunnels between branches. The Agile Controller-Campus supports IPSec encryption, ensuring security of enterprise services. To implement tunnel management, the Agile Controller-Campus supports the following functions:• DSVPN tunnel• Full-mesh and Hub-Spoke networking• IPSec encryptionOrdering InformationItem License QuantityPlatformDevice management SD-WAN function VAS management SD-WAN Platform SoftwareDevice Management License For AR160, Per DeviceDevice Management License For AR1X00, Per DeviceDevice Management License For AR2X00, Per DeviceDevice Management License For AR3X00, Per DeviceDevice Management License For AR651W-X4, Per DeviceDevice Management License For AR651-X8, Per DeviceDevice Management License For AR1610-X6, Per DeviceDevice Management License For AR1000V, Per DeviceSD-WAN Service License For AR160, Per DeviceSD-WAN Service License For AR1X00, Per DeviceSD-WAN Service License For AR2X00, Per DeviceSD-WAN Service License For AR3X00, Per DeviceSD-WAN Service License For AR651W-X4, Per DeviceSD-WAN Service License For AR651-X8, Per DeviceSD-WAN Service License For AR1610-X6, Per DeviceSD-WAN Service License For AR1000V, Per DeviceVirtual Application Management License For uCPE, Per vCPU1-21-N1-N1-N1-N1-N1-N1-N1-N1-N1-N1-N1-N1-N1-N1-N1-N1-NAgile Controller software licenseAgile Controller Subscription And Support LicenseMore InformationFor more information about the Huawei Agile Controller-Campus, visit .Item Quantity Platform SnSDevice management SnSSD-WAN function SnSVAS management SnSSnS LicenseSubscription And Support, 1/2/3 Year, SD-WAN Platform SoftwareSubscription And Support, 1/2/3 Year, Device Management License For AR160 or AR6X0, Per Device Subscription And Support, 1/2/3 Year, Device Management License For AR1X00, Per Device Subscription And Support, 1/2/3 Year, Device Management License For AR2X00, Per Device Subscription And Support, 1/2/3 Year, Device Management License For AR3X00, Per DeviceSubscription And Support, 1/2/3 Year, Device Management License For AR651W-X4, Per Device Subscription And Support, 1/2/3 Year, Device Management License For AR651-X8, Per Device Subscription And Support, 1/2/3 Year, Device Management License For AR1610-X6, Per Device Subscription And Support, 1/2/3 Year, Device Management License For AR1000V, Per Device Subscription And Support, 1/2/3 Year, SD-WAN Service License For AR160, Per Device Subscription And Support, 1/2/3 Year, SD-WAN Service License For AR1X00, Per Device Subscription And Support, 1/2/3 Year, SD-WAN Service License For AR2X00, Per Device Subscription And Support, 1/2/3 Year, SD-WAN Service License For AR3X00, Per DeviceSubscription And Support, 1/2/3 Year, SD-WAN Service License For AR651W-X4, Per Device Subscription And Support, 1/2/3 Year, SD-WAN Service License For AR651-X8, Per Device Subscription And Support, 1/2/3 Year, SD-WAN Service License For AR1610-X6, Per Device Subscription And Support, 1/2/3 Year, SD-WAN Service License For AR1000V, Per DeviceSubscription And Support, 1/2/3 Year, Virtual Application Management License For uCPE, Per vCPU1-N1-N 1-N 1-N 1-N1-N 1-N 1-N 1-N 1-N 1-N 1-N 1-N 1-N 1-N 1-N 1-N 1-N。

光联 SD-WAN 产品使用手册说明书

光联SD-WAN产品使用手册1.产品定位和特点1.1产品定位Agile Controller-Campus是针对SD-WAN解决方案场景的管理控制系统，对企业互联业务实现全流程管理，提供了专线业务的自动化部署、智能选路策略配置、VAS业务管理，企业分支连接公有云，以及即插即用、可视化运维等能力。

通过Agile Controller-Campus可以实现在多租户网络中独立开展业务开通配置、日常运维等工作。

1.2产品特点简单∙网络部署简单：可实现端到端网络业务自动化部署，支持全系列CPE设备（customer premise equipment）即插即用，设备快速上线，无技术门槛。

∙业务开通简单：在SD-WAN解决方案中，支持专线隧道快速配置及自动化部署，支持基于应用的智能选路配置，根据关键应用需求，对应用实现差异化网络服务，并对链路质量和应用质量进行检测，根据策略配置优先保障关键应用优质体验。

∙网络运维简单：SD-WAN控制器能够实时的对全网业务流量，质量，告警和日志等关键信息进行收集并统一呈现，提供友好的网络拓扑和GIS地图信息，方便用户对网络运行状况进行全局掌控，及时发现并处理问题。

弹性∙网络按需扩展：支持超大规模以及跨地域设备接入管理，支持基于应用的智能选路，根据关键应用需求，对应用实现差异化网络服务。

∙管理按需扩展：Agile Controller-Campus支持多租户，企业网络既可自运维，也可交由MSP代维，企业可根据自身能力和业务需求，自由选择网络管理模式。

开放∙第三方O层对接：Agile Controller-Campus提供完整的面向SD-WAN业务模型的北向API，可方便快捷的与第三方协同器进行对接，快速的集成进客户的业务系统。

∙uCPE广泛生态构筑：uCPE作为按需提供VAS服务的平台，覆盖业界主流VAS 功能，包括安全、语音、广域加速、DHCP、DNS、IPAM、文件共享等。

Agile Controller-Campus产品介绍 PPT

在移动化时代，有线无线同时存在，用户可能同时拥有移动或者固定终端，需要实现统一管理。
一致体验保障
移动化，追求随时随地，一致的体验，网络策略需要能够随着用户、应用快速调整
移动应用快速推广
当企业需要部署新的应用，网络能够快速、灵活调整，以适应变化
Sales(millions of unites)
目录
Agile Controller-Campus产品定位 Agile Controller-Campus产品概述 Agile Controller-Campus应用场景
移动化趋势，呼唤一致的业务体验
移动化势不可挡
2011年，移动智能终端出货量首次超过
PC Gartner预测：2015年，Tablets销量达 3.26亿台，智能手机销量达10亿台（占手机市场比重50%），企业办公人群使用比例为最高
统一策略平台 Agile Controller-Campus
5 What :什么设备接入（PC、iOS、And有o线rid) 6 How:如何接入( 有线、无线、VPN)
有线
无线
Users
Users
Users
Users
Agile Controller-Campus：全网策略统一管理
企业分支
数据中心
外部传统攻击
移动网络攻击
Ⅹ防火墙单点防御失效
传统网络接入方式、位置固定，攻击点和攻击手段单一
无线窃听攻击
AP AP AP
移动终端攻击
移动化后，办公场所无限扩展，接入终端非常丰富，导致攻击点和攻击手段也多样化
Agile Controller-Campus, 智慧的园区大脑
L2 SW 分支 AR 网

Agile Controller V100R002C00 产品安装部署培训

Page4
简介
预安装方案
全新安装方案
卸载Controller
总体架构
Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
Page5
简介
预安装方案
全新安装方案
卸载Controller
组件介绍
服务器层包括：

MC（Management Center，管理中心）
Page14
数据库激活
缺省密码账号禁用密码过期策略最大服务器内存登录审计策略启动方式默认使用的端口
Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
简介
预安装方案
全新安装方案
卸载Controller
数据库参数配置-Oracle
分级部署时使用，作为Agile Controller系统的管理中心，负责制定总体的安全策略。

SM（Service Manager，业务管理器）
承担业务管理的角色，系统管理员通过WEB管理界面，可以完成用户管理、准入控
制等管理工作。作为Agile Controller系统的管理器，将管理其下的各个业务控制器。
Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
Page17
目录
简介
预安装方案
全新安装方案
Agile Controller卸载
Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.

Agile Controller产品安装部署培训

存在多个分支机构分支机构间终端直接到分支的SC认证
SA SA Dept A
SA SA Dept B

Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
Page8
分级式部署，满足大型规模网络需求
集中式部署分布式部署
Page12
安装盘现状

支持中文和英文两种语言 MC和SM&SC支持Windows安装 SV&iRadar支持Linux安装
系统采用B/S架构，客户端免安装
安装过程与License无关，安装完成后由用户自行导入
Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
18ptpage52备份数据库和文件放开硬件的接入控制执行升级包安装程序启动服务系统配置恢复硬件的接入控制升级回退结束升级失败升级成功放开硬件接入设备接入控制的主要目的是
Agile ControllerCampus安装部署

Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
网络特点、规模、带宽及质量要求终端管理数量
管理要求
部署原则
集中式/分布式：只在总部部署一个SM，管理位于总部和分支的1~N个SC。分级式：MC只部署在分级式组网的总部，同时一个MC可以管理多个SM。园区和分支均部署一个SM，每个SM管理1~N个SC。终端管理的数量决定SC数量，全网最多管理100000个终端。1个SC能管理10000个终端，每多10000个终端需要多1个SC。终端管理数量小于等于2000，推荐SM与SC在单服务器进行集中式组网。终端管理数量在2001~100000，推荐SM与SC分别在不同服务器的组网。控制服务器失当单个控制服务器发生故障，不能提供服务的时候，终端能够从另一个控制服务器获得效转移要求准入控制等服务，业务不中断。需要控制服务器失效转移功能，即需要部署两个或以上 SC。数据库热备要当数据库发生故障的时候，希望业务不中断。则需要启动数据库热备功能。数据库部署求上需要使用三个数据库，并部署在三台不同的服务器上： 1. 主数据库：是实际使用的数据库。负责处理应用程序读取和写入数据的事务请求。一般与SC同机部署。 2. 备数据库：是独立于主数据库的另外数据库实例，作为主数据库的数据备份。镜像数据库的数据不能直接访问，当主数据库出现故障时，自动切换到镜像数据库。一般与SC 同机部署。 3. 见证数据库：用来判断在什么情况下需要进行数据错误恢复。一般与SM同机部署。对数据库没有热备需求时，只需在SM&SC一体机或者与SM直连的SC上部署一个DB。

Agile Controller 产品概述

Page 3
目录

Agile Controller-Campus产品定位 Agile Controller-Campus产品概述 Agile Controller-Campus应用场景
Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
Page 6
传统边界消失，导致防火墙单点防御失效
WAN/Internet WAN/Internet
外部攻击
外部传统攻击
单点有效防御
移动网络攻击
Ⅹ防火墙单点防御失效
无线窃听攻击
AP AP AP
移动终端攻击
传统网络接入方式、位置固定，攻击点移动化后，办公场所无限扩展，接入终端非常丰富，导致攻击点和攻击手段也多样化
理用户策略和监控网络安全。为解决这些问题，华为公司推出了Agile Controller-Campus产品。

Agile Controller-Campus产品具有操作简单、功能齐全等特
点。本课程介绍Agile Controller-Campus软硬件组成和常见应用场景。

Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
业务流路径
数据中心
WAN/Internet
Step1 业务流策略
结合敏捷园区中的安全资源动态分配方案，可以实现在认证点交换机上对特定组流量按照指定的编排顺序进行流量调度。在Controller中配置基于组的安全资源调用策略，规定流量需要被哪些安全设备处理，以及处理的先后顺序。
例子：财务员工访问财务数据的流量须要引到安全

华为Agile-Controller配置手册(园区版)

Agile Controller-Campus V100R002C00 配置手册(仅供内部使用)拟制: 汪敦全、丁凌风、蒲俊杰日期：2014-4-2审核: 日期：审核: 日期：批准: 日期：华为技术有限公司版权所有侵权必究目录1Agile Controller-Campus V100R002C00总体介绍 (9)1.1系统网络逻辑结构及接口关系 (10)1.1.1Controller服务器网络实体组成 (10)1.1.2Controller安全协防组件网络实体组成 (11)1.2组网方式和配置原则介绍 (11)1.2.1Controller服务器的组网和配置原则 (11)1.2.2802.1X准入控制的组网和配置原则 (17)1.2.3硬件SACG准入控制的组网和配置原则 (20)2产品基本配置说明 (24)2.1系统配置简介 (24)2.2SM&SC组件的服务器和客户端配置说明 (26)2.2.1服务器配置 (27)2.2.2客户端配置 (32)2.2.3服务器软硬件配置说明 (32)1.单服务器方案配置说明 (33)2.服务器备份方案配置说明 (34)3.数据库镜像方案配置说明 (35)2.3安全协防组件设备配置说明 (35)3报价项配置说明 (38)3.1配置概述 (38)3.2Agile Controller-Campus 软件报价说明 (38)3.2.1接入控制报价项 (38)3.2.2访客管理报价项 (39)3.2.3业务随行报价项 (40)3.2.1业务编排报价项 (40)3.3安全协防软件报价说明 (40)3.3.1SecView报价项 (43)3.3.2iRadar报价项 (43)3.4SM&SC组件的业务整机报价项说明 (43)3.5安全协防组件的业务整机服务器报价项说明 (49)3.7存储设备报价项说明 (52)4产品配置说明 (52)4.1产品配置清单和配置说明 (52)4.2业务整机的配置说明 (54)4.3存储配置说明 (69)4.4组件｜附件-Agile Controller-软件 (73)4.5组件｜License配置说明 (76)4.5.1License包配置说明 (76)4.5.2License报价项配置说明 (77)4.5.3接入控制服务License配置说明 (77)4.5.4访客管理特性License配置说明 (78)4.5.5业务随行特性License配置说明 (79)4.5.6业务编排特性License配置说明 (79)4.5.7安全协防特性License配置说明 (80)4.5.8定制开发License配置说明 (82)4.6外部成套电缆配置说明 (82)5资料配置说明 (84)6部分配件说明 (84)6.1市场建议 (84)6.2用户自备硬件说明 (84)6.3合同预审要求 (85)7扩容和升级改造方法与配置说明 (85)7.1扩容方法与配置说明 (85)7.1.1扩容的方法与原则 (85)7.1.2扩容设备的清单 (85)7.1.3可扩容部分的说明 (85)7.1.4扩容所涉及的机柜、母板插框、单板等的配置原则 (86)7.1.5扩容中需特别注意的问题 (86)7.2升级改造方法与配置说明 (86)7.2.1升级改造方法 (86)7.2.2升级设备的清单 (86)7.2.3可升级部分的说明 (86)7.2.4更换部件注意事项 (86)8.1附录I：缩略语清单 (87)表目录表1 集中组网推荐配置表 (25)表2 分布式组网分支机构推荐配置表 (25)表3 AnyOffice客户端的运行环境 (32)图目录图1 Agile Controller-Campus系统网络实体组成 (10)图2 单服务器集中组网方案 (12)图3 双服务器集中组网方案 (13)图4 三服务器集中组网方案 (14)图5 业务控制器分布式组网方案 (16)图6 在接入层交换机上实施802.1X (18)图7 在汇聚层交换机上实施802.1X (19)图8 SACG直挂路由模式部署方案 (20)图9 SACG侧挂路由模式部署方案 (21)图10 SACG透明/混合模式部署方案 (22)图11 SACG侧挂侧挂核心交换机示意图 (23)Agile Controller-Campus V100R002C00配置手册关键词：准入控制、补丁管理、软件分发、安全接入控制网关、WEB认证客户端。

04-Huawei-Agile-Controller-访客管理培训

HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
访客管理培训提纲
1 访客功能介绍
2 账号申请
培
训
3 访客认证
目
录
4 访客审计
5 页面推送
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
访客定义及接入场景
右边是快速注册页面，输入手机号就可以获取密码。
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
访客申请-管理员审批账号
管理登陆系统可以审批所有的访客申请，基本信息是访客申请是填写的，无法修改。审批信息是管理员填写的，审批时可以修改。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
访客管理培训提纲
1 访客功能介绍
2 账号申请
培
训
3 访客认证
目
录
4 访客审计
5 页面推送
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
访客申请-管理员手工创建访客账号
Agile Controller V1R1 访客管理培训
Agile Controller 项目组
Security Level:
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
前言
随着WIFI大量普及，在企业、商场等多种场合需要能够让访客临时接入网络，并在访客接入网络后进行准入控制与行为审计。为解决这个问题，华为公司在敏捷控制器Agile Controller中推出了访客准入与访客管理功能。

华为 Agile Controller 接入控制技术白皮书

接入控制技术白皮书Access Control Technical White Paper(仅供内部使用）For internal use only拟制: Prepared by G67943 日期：Date2014-4-9审核: Reviewed by 日期：Date审核: Reviewed by 日期：Date批准: Granted by日期：Date华为技术有限公司Huawei Technologies Co., Ltd.版权所有侵权必究All rights reserved修订记录Revision record目录1概述 (6)1.1产生背景 (6)1.2技术特点 (6)2终端接入控制 (6)2.1802.1X准入控制 (6)2.1.1有线802.1X接入控制 (7)2.1.2无线802.1X接入控制 (8)2.2Portal接入控制 (9)2.3MAC旁路接入控制 (11)2.4SACG接入控制 (12)3典型组网应用 (13)3.1802.1X+MAC旁路认证接入控制 (13)3.2Portal接入控制 (13)3.3SACG接入控制 (14)4参考文档 (14)图目录 Table of contents for the figure图1802.1X体系结构示意图 (7)图2EAP-MD5协议流程示意图 (7)图3无线802.1X协议流程示意图 (8)图4Portal系统组成示意图 (10)图5Portal协议框架 (10)图6Portal协议框架 (11)图7802.1X+MAC旁路认证示意图 (12)图8Portal+MAC旁路认证示意图 (12)图9有线802.1X+MAC接入控制组网示意图 (13)图10有线802.1X接入控制组网示意图 (14)图11SACG接入控制组网示意图 (14)接入控制技术白皮书Access Control Technical White PaperKey words 关键词：接入控制、802.1X、Portal、MAC旁路认证、SACGAbstract 摘要：华为策略管理中心针对不同客户的网络情况，提供了多种网络接入控制解决方案。

05-Huawei_Agile_Controller_USB管理培训

D. 已挂失
Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
Page 24
学习推荐
Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
对于未安装AnyOffice的终端，插入非全盘加密注册的U盘，加密区写入的文件打开为密文文件，非加密区文件可正常使用。插入全盘加密注册的U，整个文件系统为密文，会提示格式化
Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 9
注册申请被拒绝，表明USB存储设备注册失败，注册审批列表中USB注册申请的“当前状态” 为“被拒绝”。
Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
Page 18
目录

USB管理应用场景
USB管理功能实现
Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.
Page 14
自动注册账号管理
使用自动注册账号提交USB注册申请，能够自动完成申请批准，无需管理员干预。创建自动注册账号，能够减轻管理员审批申请的工作量，保证终端用户能够及时完成USB存储设备注册选择“策略 > USB管理 > 自动注册账号”。
Copyright © 2014 Huawei Technologies Co., Ltd. All rights reserved.

华为AgileControlle...

华为AgileControlle...华为Agile Controller-CampusV100R003 订购指南Issue V1.5Date2017-7-31华为技术有限公司修订记录⽬录1产品简介 (4)1.1产品简介 (4)1.2产品架构 (4)1.3可靠性说明 (5)1.4可销售特性 (5)2产品订购指导 (6)2.1软件配置 (6)2.2硬件配置 (8)2.3外购件 (11)2.4定制开发费⽤ (12)2.5版本升级费⽤ (13)2.6服务 (13)3新建项⽬的配置报价指导 (13)3.1新建项⽬的数据准备： (13)3.2添加产品节点 (15)3.3配置Agile Controller-Campus (15)3.4配置Agile Controller-Campus HW (17)4扩容项⽬的配置报价指导 (18)4.1扩容项⽬的数据准备： (18)4.2添加产品节点 (19)4.3配置Agile Controller-Campus (19)4.4配置Agile Controller-Campus HW (20)1产品简介1.1产品简介Agile Controller-Campus是华为推出的园区策略控制系统，提供企业雇员、访客⼈员、设备管理员的统⼀接⼊和管理，可集中控制园区⽤户的权限，QoS，带宽，应⽤，安全等策略，适⽤于需要对⽤户接⼊⽹络进⾏⾝份验证和授权的项⽬，可涵盖⾦融、政府、教育、医疗、酒店等⾏业。

1.2产品架构分级管理中⼼（Manager Center, MC）在分级管理场景使⽤，负责制定全局策略，对下级节点（SM/SC）的实施情况进⾏监控。

业务管理器（Service Manager, SM）承担业务管理的⾓⾊。

系统管理员通过WEB管理界⾯，完成⽤户、业务、安全策略的配置⼯作。

业务控制器（Service Controller, SC）集成标准Radius、Portal服务器，与NAD设备（交换机等）联动，完成Client的认证和授权⼯作。

华为Agile Controller配置手册(园区版)

华为Agile Controller方案

华为Agile Controller 方案概述移动办公、BYOD、WLAN的基本特征就是作为信息消费者的用户终端，物理位置变得不固定，这对传统以手工静态配置为核心的传统网络形成了挑战：1. 不同的位置、不同的终端，如何保证一致的用户办公体验？让用户感觉不到位置的差异？2. 如何动态配置用户的权限、安全、QoS优先级等网络策略？传统的固定网络用户可以跟一个物理端口绑定，策略是管理员手工配置到离用户最近的网络设备上的，当用户位置不固定时，我们不能要求网络管理员通过手工配置去适应每个人位置的变化。

这就要求网络需要具备动态分配资源和部署策略的能力，网络资源需要跟着用户走。

3. 网络安全如何部署？传统的网络安全泄漏点主要是在企业到互联网的边界，很多企业也都把防火墙等安全设备部署到这个边界位置进行防护。

但移动性的引入，以及网络攻击手段的发展，使得安全防护失去了边界：Wi-Fi、移动终端、远程办公引入了大量的新的安全泄漏点，以及内部攻击手段(病毒/木马/APT 攻击)的出现，都让传统的边界防护手段彻底失效。

敏捷控制器（Agile Controller）是华为面向企业市场发布的下一代网络解决方案敏捷网络的核心部件，全面覆盖敏捷园区、敏捷分支、敏捷广域、敏捷数据中心各种应用场景，实现从接入到数据中心端到端联接的应用策略控制。

Agile Controller应用SDN集中化控制原则，以业务体验为中心，基于用户和应用动态调配全网资源，实现网络与安全资源跟随用户自由移动，让网络更敏捷地为业务服务。

产品特点以业务体验为中心重新定义网络从以前关注技术、设备、连通性，到关注用户、业务、体验；从以前手工配置，到用自然语言规划和自动部署。

•将SDN集中化控制思想引入园区，动态调配整个园区的网络与安全资源，让资源跟随用户移动，实现业务随行。

•可灵活调整全网权限、QoS、安全等策略，大大缩短新业务开通或网络扩容周期，适应越来越快的业务变化需要。

agile controller 手册

agile controller 手册Agile Controller 手册是关于华为公司开发的网络管理平台——Agile Controller 的详细文档。

本手册旨在为用户提供必要的指导，帮助他们正确、高效地使用和管理这一平台。

在本手册中，你将了解到关于Agile Controller的基本概念、功能特性以及使用方法等内容。

以下是本手册的详细内容：一、简介1.1 Agile Controller 概述1.2 手册目的1.3 使用范围和对象1.4 术语和缩略语解释二、安装与部署2.1 系统要求2.2 安装前准备2.3 Agile Controller 安装步骤2.4 系统部署配置三、用户管理3.1 超级管理员账户3.2 用户权限管理3.3 用户组管理3.4 登录与注销操作四、网络设备管理4.1 设备接入与管理4.2 设备监控与告警4.3 设备配置备份与恢复4.4 设备拓扑图五、网络拓扑管理5.1 拓扑发现与显示5.2 拓扑分析与规划5.3 拓扑自动布局六、网络服务管理6.1 VLAN配置与管理 6.2 路由配置与管理6.3 QoS配置与管理6.4 安全策略配置与管理6.5 NAT配置与管理七、流量监控与分析7.1 流量监控与实时统计 7.2 流量报表与分析7.3 流量告警与日志管理八、故障定位与排除8.1 告警处理与故障定位 8.2 故障排除与修复8.3 系统日志与事件管理九、系统管理与维护9.1 系统配置与设置9.2 数据备份与恢复9.3 系统升级与Patch管理9.4 授权与License管理十、常见问题解答10.1 安装与部署问题10.2 用户管理问题10.3 设备管理问题10.4 网络服务问题10.5 流量监控问题10.6 故障排除问题10.7 系统维护问题结论本手册为用户提供了关于Agile Controller的全面介绍，并指导用户如何正确使用和管理该平台。

通过学习本手册，用户可以更好地理解Agile Controller的功能特性，并掌握相应的操作技巧。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

这就要求网络需要具备动态分配资源和部署策略的能力，网络资源需要跟着用户走。

3. 网络安全如何部署？传统的网络安全泄漏点主要是在企业到互联网的边界，很多企业也都把防火墙等安全设备部署到这个边界位置进行防护。

•将SDN集中化控制思想引入园区，动态调配整个园区的网络与安全资源，让资源跟随用户移动，实现业务随行。

•可灵活调整全网权限、QoS、安全等策略，大大缩短新业务开通或网络扩容周期，适应越来越快的业务变化需要。

•让用户不再需要关注各种设备差异，只需使用自然语言进行规划，一键式完成全网策略统一部署和同步。

•实现基于最终用户的QoS调度，在网络资源有限的情况下，优先转发VIP用户流量，确保VIP用户业务体验良好。

基于全网视角的安全协防从以前更多关注单点，到更多关注全网；从单点防护步入全网防护时代。

•统一采集网络设备、安全设备、业务系统的日志，应用大数据关联分析，发现单点设备难于发现的攻击和威胁。

•提供虚拟化的安全资源中心能力，通过智能联动将特性用户的流量进行阻断、引流，主动防御网络攻击行为。

•提供完善的终端安全、桌面管理功能，预置5000+终端安全策略，确保网络终端接入安全。

产品开放合作，易与客户现有系统对接•提供丰富的南北向接口，开放API，实现转发面与控制面的可编程，可与客户现有设备与业务系统进行对接，提升端到端运维效率，加快新业务上线速度，营造企业快速创新环境。

•实现与业界主流云平台华为FusionSphere 、VMware vSphere、Openstack、Microsoft Hyper-v等的无缝对接，致力于打造一个弹性、开放平台，集成各个领域的优秀实践，让用户可根据业务需要灵活定义网络，做到即需即用。

基于高可靠保护的弹性架构设计•提供集中式、分布式、分级式组网方式，适用于各种网络。

•提供接入认证备份、数据库备份等高可靠保护，保证服务的连续性。

•B/S架构，基于华为全新敏捷UI设计，简单易用。

产品组成Agile Controller针对不同的应用场景提供多个业务组件，满足不同客户的需求。

接入控制组件产品概述随着企业信息化水平的提高，为了满足用户接入企业网络，通常会把网络铺设到办公区的每个角落。

公司内大量流动的办公人员和合作伙伴经常会带着笔记本电脑接入公司的局域网，这将给公司的信息安全带来很大的挑战。

外来的非法终端接入公司的网络，除了可能带来计算机病毒方面的安全威胁外，还可能通过接入公司的网络，非法获取公司的商业秘密。

另外，WLAN技术的成熟以及智能终端的普及，许多企业开始考虑允许员工自带智能设备使用企业内部应用。

企业的目标是在满足员工自身对于新科技和个性化追求的同时提高员工的工作效率，降低企业在移动终端上的成本和投入。

WLAN在企业的应用，给企业带来很大的信息安全风险。

华为Agile Controller接入控制组件通过与网络接入控制设备联动，控制企业内部和外部终端对网络的访问，实施统一的接入控制策略，同时提供灵活的认证策略和授权策略管理功能，支持多维度的接入控制策略，满足不同客户的业务控制需求。

产品特点全面的准入控制技术，适用于各种网络层次化的部门与用户管理，满足企业组织管理复杂化的需求•部门下可以同时带子部门和用户。

•部门最大级数支持10级，能够满足最复杂的组织结构的需求。

•支持使用Excel表格方式批量导入导出部门和用户信息。

支持与企业身份数据源和社交平台无缝对接•系统支持多种认证协议，可以与主流的AD、LDAP、Radius以及动态令牌系统对接。

•系统支持按需同步、按过滤条件同步等特性，满足各类用户的个性需求。

基于5W1H情景感知的精细化授权，灵活与安全并重终端智能识别，认证页面自适配，满足BYOD终端权限控制•多达200种终端识别模板, 支持MAC OUI、DHCP Option、HTTP User-Agent、SNMP等多种方式识别设备。

•支持相同用户账号根据终端类型分配不同的业务策略，细化用户权限控制粒度。

•根据终端类型，认证页面自动适配，保留用户操作习惯。

•根据终端类型赋予不同的业务策略，如VLAN/ACL/带宽限制等。

运行环境用户数≤2000的中小规模场景，配置要求如下：用户数>2000的大规模场景，配置要求如下：组网应用802.1x接入控制在靠近终端的交换机上启用802.1X，终端正常接入网络前，需要先部署安全代理，或者部署操作系统自带的802.1X客户端。

当终端通过802.1x认证后，Agile Controller服务器给接入交换机下发VLAN/ACL等授权参数，控制终端的网络访问权限。

对于网络中的打印机/IP PHONE等哑终端，启用MAC旁路认证功能，当哑终端接入网络的时候，设备自动触发MAC旁路认证，开通网络访问权限。

Portal接入控制在接入终端的网关位置，启用Portal+MAC旁路认证功能，终端可以使用WEB 认证的方式接入网络，也可以在终端上使用Agile Controller的NAC客户端接入网络。

哑终端使用MAC旁路认证接入网络。

SACG接入控制对于较为复杂园区网络环境，特别是已经存量大量第三方交换机、路由器等数通设备，可以采用SACG接入控制方式。

SACG设备侧挂在三层交换机或者路由器上。

通过在交换机上配置报文重定向，或者在路由器上配置策略路由，把来自终端PC的上行流量重定向到SACG设备，通过SACG设备过滤后，再回到交换机/路由器上执行正常的路由转发。

配套设备订购信息访客管理组件产品概述随着WLAN技术的成熟以及智能终端的普及，许多企业开始考虑面向到访客户和合作伙伴开放网络。

在公共领域（如商场、酒店、展馆、连锁门店、景区、营业厅、候客厅等），大量用户接入网络，蕴含着大量的广告机会。

华为Agile Controller访客管理组件提供全生命流程的访客管理，实现访客账号申请、审批、分发、认证、审计、注销等统一管理，账号申请支持访客自注册、员工代申请、微信申请、二维码申请等多种方式，访客账号申请与认证页面支持“所见即所得”的自定义功能，可灵活推送广告。

产品特点一套系统实现员工与访客统一管理，降低客户建设成本和IT运维成本•访客管理组件与接入控制组件，可同时部署，也可单独部署。

全生命周期访客管理，灵活选择审批和免审批模式审批•自动审批（免审批）•管理员审批•接待人审批分发•手机SMS（包括短信猫和短信网关两种）• Email• WEB方式认证•用户名/密码认证• Passcode认证• VLAN/ACL权限隔离审计与注销•用户上下线审计•到期后自动注销•定期清理账号Portal界面定制和灵活推送，助力企业品牌提升和广告营销•支持登录页面、注册页面的“所见即所得”定制，为企业提供个性化的展示界面，提高企业品牌形象。

的免费WIFI网络用户名•通过认证后，可以自动重定向到认证前页面，或者管理员配置的URL ，十分适合进行品牌定向推广•可基于位置（SSID和AP）的页面推送，个性化的资讯推送•可基于终端IP和终端类型的页面推送与企业的微信公众账号绑定，增加公众账号的粉丝，可定期推送信息使用二维码扫描审批，“零输入”快速开通访客账号，提升访客满意度智能终端无感知认证，实现一次认证，多次接入•首次Portal+MAC认证，后续自动MAC认证运行环境用户数≤2000的中小规模场景，配置要求如下：用户数>2000的大规模场景，配置要求如下：组网应用在接入终端的网关位置，通常启用Portal+MAC旁路认证功能，终端使用WEB 认证的方式接入网络。

网络Agile ControllerPortal交换机配套设备设备角色设备类型认证设备•华为Sx7系列交换机随板AC•华为AR路由器随板AC•华为WLAN AC设备订购信息描述备注Agile Controller访客管理功能必配Agile Controller访客管理功能-含管理200个访客账号License 选配Agile Controller访客管理功能-含管理500个访客账号License 选配Agile Controller访客管理功能-含管理1000个访客账号License 选配业务随行组件产品概述随着移动办公、BYOD的普及推广，用户在企业总部、分支、出差都有接入公司网络的需求，终端的物理位置变得不再固定，私有终端也开始处理公司办公业务。

如何保证不同的终端在不同的位置，却能享受一致的办公体验，成为大家普遍关注的问题。

华为Agile Controller业务随行组件在传统网络接入控制NAC的基础上，配合华为敏捷交换机和NGFW，基于安全组的策略规划，实现全网策略的统一部署与自动同步，确保全网策略一致，让用户自动移动时享受一致的业务体验。

同时，提供基于用户组的QoS策略部署，在网络资源有限的情况下，优先转发VIP用户的流量，保障用户的业务体验。

产品特点基于安全组的策略控制替代传统VLAN/ACL的控制方案，大幅度提升效率•全网策略统一规划，一键式完成部署。

•同时与交换机、防火墙、SVN智能联动，保证全网一致，实现用户自由移动，一致体验。

•全网策略集中管理，可以灵活调整，并实现增量下发。

实现用户组与资源组、用户组到用户组的访问权限控制面向自然语言的快速授权，全面优化5W1H配置体验基于用户组的带宽/QoS策略，保障VIP用户的体验保障运行环境因为业务随行组件依赖于接入控制组件，所以运行环境参考接入控制组件组网应用业务随行组件无特殊组网要求，只需Agile Controller服务器与联动的网络设备IP可达即可，通常部署在数据中心区域。