2024体育场馆高密无线网络部署最佳实践（非虚拟化网络：集中式网关独立AC）

（文档版 发布日 05-28集中式网关，独立AC集中式网关，独立AC）目录0303(2024-05-目录了解iMasterNCE-Campus配套产品与版 体育场馆高密场景介 体育场馆高密网络组网详细部署方 组网介 方案规 子场景介 看台区场 VIP包厢场 办公区场 体育场馆高密网络组网部署最佳实 部署流 规划部署参 部署参数规划注意事 网络管理区部件数据规 整体数据规 iMasterNCE-Campus部署规 iMasterNCE-CampusInsight部署规 DHCP服务器部署规 数据规 流量模 数据规 可靠性规 WLAN数据规 WLAN安全规 出口网络数据规 站点创 创建管理 创建站 导入网络规 配置防火墙被iMasterNCE-Campus纳 配置核心交换机纳 配置汇聚和接入交换机纳管（设备和Eth-trunk信息批量导入场景 配置汇聚和接入交换机纳管（设备手工添加及Eth-Trunk自协商场景 配置汇聚和接入交换机纳管（设备手工添加及Eth-Trunk非自协商场景 配置WAC纳 配置FitAP在WAC上 配置物理链路（核心交换机与出口防火墙及独立WAC对接的聚合链路 配置WLAN业 配置向WAC下发WAC认证模 配置无线业 配置WLAN安 无线认证逃 无线MAC和Portal认证逃 无线802.1X认证逃 智能运维配 配置CampusInsight与iMasterNCE-Campus对 配置园区网络设备向CampusInsight发送采集数 高密场景WLAN网规网优建 网络规 网络规划交付流 网络规划准 网络规划设 信号覆 业务分 容量设 设备选 网络部署设 信道规 AP布放设 供电走线设 AP安装方式设 场景网规参 网络优 配置射频调 调优模式配 调优信道配 调优功率配 配置RTS-CTS的工作模式和阈 强制低信号强度用户下 配置智能漫 配置频谱导航（5GHz优先 配置用户限 调整EDCA参 调整Beacon周期并提升Beacon速 降低ProbeResponse报文重传次 配置GI模式为Short 降低STA老化时 开启用户隔离和端口隔 集中式网关，独立AC集中式网关，独立AC）1了解iMasterNCE-Campus0303(2024-05-1了解iMasterNCE-Campus本篇最佳实践是基于iMasterNCE-CampusV300R023C00版本所配套的相关产品部件表1-1支持被iMasterNCE-Campus纳管，但是复杂配置不支持通过iMasterNCE-Campus下发，不建议纳管。本案例中产品文档链接：USG支持被iMasterNCE-CampusS7700&S8700&S9700&S12700&S16700支持被iMasterNCE-Campus产品文档链接：S3700&S5700&S6700支持被iMasterNCE-Campus产品文档链接：S3700&S5700&S6700支持被iMasterNCE-Campus产品文档链接：S3700&S5700&S6700e9700-支持被iMasterNCE-Campus产品文档链接：AirEngine9700e8760R-支持被iMasterNCE-Campus纳管，但当前运行在FitAP模产品文档链接：AirEngine8760R-支持被iMasterNCE-Campus纳管，但当前运行在FitAP模产品文档链接：AirEngine6760R-产品文档链接：iMasterNCE-产品文档链接：iMasterNCE-集中式网关，独立AC集中式网关，独立AC）20303(2024-05-工作人员，对应业务：页面浏览、E-mail智能手机（Android、iOS等平板电脑（Android、iOS、Windows等笔记本电脑（MACOS、WINDOWS等场馆观众通过MAC优先的Portal认证方式接入，场馆工作人员通过802.1xWPA2-PSK集中式网关，独立AC集中式网关，独立AC）30303(2024-05-本篇最佳实践基于非虚拟化集中式网关方案常用的三层组网介绍部署思路，无线网络采用tP架构，采用独立作为C角色纳管，如图3-所示。具体组网说明如下：无线网络的管理推荐使用独立WLANAC产品，提供AP管理以及用户接入，同形态同版本WLANAC间可做VRRP热备或者双链路热备份，并可进行AC扩容增加AP管为了保证链路级可靠性，链路间采用Eth-Trunk接入层，采用S5735POE交换机，连接各种款型AP，提供POE供电及网络接入功认证授权控制采用华为iMasterNCE-Campus，对用户进行认证授权，保证其安网络管理采用华为研制的新一代运维管理系统t，简称CI，对多类型的设备进行统一的监控和配置管理，实现对资源、业务、用户的统一管理以及智能联动。相较于传统的基于分钟级数据采集维护，且缺乏对用户体验、实时网络状态的监控。CI网络分析器功能，可进行可视化管理、用户旅程回放、潜在故障识别、故障根因定位功能，快速发现网络问题；elemetr秒级网络数据采集使数据上报分析到达实时的状态，真正实现了以用户体验为中心的A智能运图3-1体育场馆高密场景主要是基于iMasterNCE-Campus部署，按照iMasterNCE-的业务配置模型进行部署规划，具体规划如表3-1表3-1iMasterNCE-Campus向、iMasterNCE-CampusInsight南向与管理子网互通；一条用于iMasterNCE-Campus南向、DHCP服务器与用户子网互通。–核心交换机采用手动配置上线，汇聚层和接入层网络设备即插–汇聚交换机和接入交换机通过自协商管理VLAN打通管理网络，–AP通过自协商管理VLAN打通管理网络，通过DHCPOption获取WAC的地址，然后在WAC目前，体育场馆高密无线网络采用WAC+FitAP架构，采用独立AC作无线业务推荐采用直接转发，到核心之间VLAN需要手工打通，另外考虑到用户漫游场景，需要在楼栋的业务VLAN。FitAP的无线业务配置通过WAC的Web网管或者命令行方式进行集APNCE-Campus上的APESN校验。其中，管理网络打通、WAC的IP地址信息获取可参考“管理网络部署方案设备开局上线方式”规划；对于iMasterNCE-Campus上的APESN校验，支持以下两种方–提前导入AP信息：该方式需要在AP硬装时采集APESN信息，在Trunk等）一起，一次性导入iMasterNCE-Campus。–AP上线后手动修复：该方式不需要提前采集AP的ESN信息，需要现场施工时逐个安装AP并反馈APESN和位置信息，网络管理员可以同步在iMasterNCE-Campus纳管AP并根据AP位置修改SSID和业务VLAN场馆内非办公区域仅规划一个SSID，无线用户WAC上通过+Portal认证进行控制。用户VLAN分，也可以使用vlanpool管理。办公区域规划员工接入SSID和哑终WLAN在iMasterNCE-Campus上进行认证和权限控制。认证方式为IPOE的MAC优先的Portal大中型体育场看台区会分为2-3AP外AP；推荐使用AirEngine8760R-X1E/AirEngine6760R-51E/AirEngine6760-X1E/AirEngine6760-X1。5G天线间隔6~8m，2.4G天线间隔12~16m。2.4G信道频宽2看台部分，与接入交换机距离较近（m），可以选用支持供电P；如果与接入交换机距离较远，无法满足E供电要求本地供电，使用光口做上行口。eE或者eE等6款型支持t方式或者t方式供电，不支持方式供电器--25degC-60degC-90V-264V-56V/1.5A-C8/RI45-POEADAPTERVIPVIP包厢一般在二层看台的正下方，围绕一圈。小型包厢6~10用户/20平米，大型包厢30~40用户/100平米。AP通常大型体育场包厢部分属于室内环境，推荐使用O吊顶安装。单个房间小于㎡，参考部署方案A，每个房间布放个；单个房间大于㎡时，参考部署方案，按m等间距布放，点位选择靠墙的一侧。2.4G信道频宽20mH，5G信道频宽40mHz。口。O支持t方式或者t方式供电，不支持方式供电。器--25degC-60degC-90V-264V-56V/1.5A-C8/RI45-POEADAPTERAP4~5平米/AP办公区推荐使用O或者1，使用全向放装P覆盖。吸顶安装，AP间距推荐15~18m等间距三角部署，2.4G信道频宽20mHz，5G40mHz吸顶安装，等间距三角部署，使用全向放装AP集中式网关，独立AC集中式网关，独立AC）40303(2024-05-配置WLANiMasterNCE-Campus支持新旧两种菜单模式，本手册写作以旧模式菜单为准。客骤，请参见切换界面新旧模式目中请按实际业务需要规划资源数量（一般一个vlan规划1000个终端）。体育场馆网络管理层组件涉及iMasterNCE-Campus、iMasterNCE-CampusInsight和网络管理区安装各部件的每台服务器均采用双网卡绑定，然后与堆叠的相连，各部件与核心交换机互通数据规划如图4-1所示；部署时各部件的地址、VLAN等资源的整体规划如表4-1其中：VLAN4009用于iMasterNCE-Campus南向、iMasterNCE-CampusInsight南向与VLAN4012用于iMasterNCE-Campus南向、DHCP服务器与用户子网互通。表4-1网络管理区部件部署时IP地址、VLANVLANVLAN管理物理服务器VLANVLAN管理物理服务器VLANDHCP所用VLAN管理物理服务器VLAN说明建议把业务面和管理网口的地址规划到同一个网段，如果确实需要业务面和C管理网口的地址不在同一个网段，则需要把两个网段互相打通，否则告警无法上报到控制器。iMasterNCE-CampusiMasterNCE-Campus采用3机集群，网络规划采用两网络平面，内部通信单独一个网图4-2iMasterNCE-Campus表4-2服务器物理网口配置的IPIPbond1（业务、北向、南向共平面网卡接口，绑定eth1、iBMC（服务器管理网口，图中未标出bond1（业务、北向、南向共平面网卡接口，绑定eth1、iBMC（服务器管理网口，图中未标出IPbond1（业务、北向、南向共平面网卡接口，绑定eth1、iBMC（服务器管理网口，图中未标出说明建议把接口和管理网口的地址规划到同一个网段，如果确实需要接口和管理网口的地址不在同一个网段，则需要把两个网段互相打通，否则告警无法上报到控制器。表4-3iMasterNCE-Campus系统的IPIP①Nginx浮动IP（bond0浮动IP地址②ACA_Nginx浮动IP（bond0浮动IP地③ER浮动IP（bond1浮动IP地址1）：➃管理面负载均衡浮动通过该IP可以访问iMasterNCE-⑤负载均衡DIP（bond1浮动IP⑥FusionInsight管理浮动IP：通过该IPFusionInsight的管理⑦南向负载均衡虚安装iMasterNCE-Campus过程中，在填写景下，iMasterNCE-Campus对⑧文件服务器负载均衡虚非NAT场景下，iMasterNCE-⑨北向负载均衡虚安装iMasterNCE-Campus过程中，在填写NAT场景下，iMasterNCE-IP⑩FusionInsightDBservice浮动IP：FusionInsight数据库主备浮动4-4系统登录账号规划（用户名、密码仅为示例，实际规划时请根据业务情况合理iBMCFusionInsightiMasterNCE-Campus系统管iMasterNCE-CampusMSP管iMasterNCE-Campus租户管iMasterNCE-CampusInsightiMasterNCE-CampusInsight采用3机集群，网络规划采用单平面方式，通过系统本身图4-3iMasterNCE-CampusInsight表4-5服务器物理网口配置的IPIPiBMC（服务器管理网口，图中未标出iBMC（服务器管理网口，图中未标出iBMC（服务器管理网口，图中未标出表4-6iMasterNCE-CampusInsight系统的IPIPFusionInsight登录浮动iMasterNCE-CampusInsight登录浮动FusionInsight数据库浮动FusionInsight管理浮动iMasterNCE-CampusInsight南向浮动4-7系统登录账号规划（用户名、密码仅为示例，实际规划时请根据业务情况合理iBMCFusionInsightiMasterNCE-DHCP图4-4DHCP服务器部署组网图表4-8服务器物理网口配置的IPIP4-9系统登录账号规划（用户名、密码仅为示例，实际规划时请根据业务情况合理iBMCWlanWLANAP的网关统一放到S12700E上，S12700E作为DHCP服务器给AP终端业务网关统一放到核心S12700EFW-FW-Aggre-Aggre-Access-Access-4-11NCE-Campus核心交换机对接IPiMasterNCE-Campus南向地址和端口号：iMasterNCE-Campus纳有线自协商管理VLAN：VLAN网关接口IPDHCP无线自协商管理VLAN：VLAN网关接口IPDHCP自动协商WAC地址功能：开启，WAC和的P互通VLAN：，地址和掩码：WAC作为无线AP管理无线CAPWAP源接口：VLANIFHSB互通：VLANIFCAPWAP虚拟IP地址：VLANIF4070管理VRRP备份组备份业务：DHCP、用户接入、–VLANIF4070接口IP–抢占时间：1200及对端端口号均为10241恢复延迟时间：60VLANIF4070接口IP:及对端端口号均为10241恢复延迟时间：60DHCPAP的DHCP服务器：核心交换机S12700E作为DHCPRelay（VLANIF730：AAA计费模式：RADIUS实时计费时间间隔：15RADIUSRADIUS服务器模板名称：radius_huawei认证服务器IP计费服务器IP授权服务器IPRADIUSIPURLURLURL携带SSIDURL携带用户URLMAC免认证资源：DNS服务器的地址名称：authen-DNSIPAP调优策略：rogue-ap、non-SSID无线用户的关联老化时间设置为1配置2.4GHz射频类型Beacon帧的发送速率调整AC_BE报文edca参数为：【Client】ecwmin7，ecwmax10限制用户速率：上下行均为VAP业务频谱导航：开启（缺省RRM信噪比门限值配置为2G配置GI调整AC_BE报文edca参数为：【AP】ecwmin5，ecwmax6引用模板：RRM模板5G配置GI调整AC_BE报文edca参数为：【AP】ecwmin5，ecwmax6引用模板：RRM模板iMasterNCE-设备IPRADIUSVRRP+HSB高密场景组网推荐使用HSB+VRRPAC间热备份机制，保证在主设备故障时业务能够不该备份模式下只能获取到一个的地址，该地址为用户为同一P备份组中的主备配置的虚拟地址。P备份组中的C根据优先级选举出主，只有主负责管理和控制所有和用户，同时通过双机热备份B功能定时向备发送状态信息和需要备份的信息（的表项、P链路信息、用户信息）。当主故障时，备可以快速检测到主的故障，及时切换为新的主，保证用户业务不会中断。由于与采用P隧道模式交互，还需要为和划分单独的P管理VLAN。为了方便客户端地址的管理，业务n统一使用VLAN进行地址隔离，单VLAN设计用户1000WLAN一般按照不同的用户角色或者不同的业务类型来规划客。一般规划个：观众使用的D、员工使用的、哑终端使用的（显示屏、打印机等电子设备）。4-12VAPWLAN4-13指定VAP内每个STA指定VAP内每个STA4-14表4-15指定除ARP/DHCP/DHCPv6/ND限速，单位表4-16AP限速，单位包/AP有线口下行capwaparp、igmp、nd、other表4-17APARPIGMPND4-18FW-FW-FW-FW-FW-说明本方案涉及相关软件采用企业私有云部署场景，iMasterNCE-Campus的License模式采用全N1商业模式仅支持私有云场景，且对应N1商业模式，iMasterNCE-Campus获得的

本方案涉及软件产品对应的ESN对于iMasterNCE-Campus的ESN，可通过系统管理员账号登录iMasterNCE-Campus，然后选择“系统>用户管理>License管理”，在License管理页面选择如果iMasterNCE-Campu对接了iMastert，从iMasterCampus系统界面上获取的ESN会同时包含iMaster的ESN信息，可供iMastert的Li获取时使用；同时，iMastert的Li也可在iMasterNCE-Campu界面上加载，加载完成后，还需要手动向iMastert同步Li数据。

以下用iMasterNCE-Campus的License获取为例进行介绍，iMasterNCE-CampusInsight的License获取方式跟iMasterNCE-Campus的License获取操作上相步骤1登录华为License系统/sdp/portal.html，选择菜单”License激活>在线批量激活>单网元激活（数通使用）”，在搜索框内输入合同号。步骤2勾选对应产品，并填写对应设备的“ESN步骤3单击“确认并激活License步骤4最后下载激活的License步骤5获取License文件后，通过系统管理员账号登录iMasterNCE-Campus，加载License文件。选择“系统>管理员>License管理”，选择“License文件”页签，单击“上传更多License加载的详细信息，可参考iMasterNCE-Campus产品文档中的“License管----iMasterNCE-Campu建主要就是在配置场馆网络其他业务前，完成开局前期基础性工作，包括在站点中添加设备、配置iMasterNCE-Campu纳管设备等。置与iMasterNCE-Campus南向对接，然后完成上线；汇聚/接入交换机在不同场景有的Eth-Trunk链路；模板导入完成后，上游设备的下行Eth-Trunk方式二：手工添加设备信息，Eth-Trunk方式三：手工添加设备信息，Eth-Trunk图4-5汇聚/接入交换机不同上线方式（假设核心交换机已通过命令行在iMasterNCE-Campus上线）

园区站点创建是需要通过租户管理员账号登录iMasterNCE-Campus的北向Web页面进

通过系统管理员账号登录iMasterNCE-Campus在系统管理员视图下创建MSP及MSP在MSP4-19iMasterNCE-Campus北步骤1使用系统管理员账号登录iMasterNCE-Campus说明首次登录系统时，可以用默认的系统管理员账号登录iMasterNCE-Campus《iMasterNCE-Campus缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与步骤2进入“MSP管理”菜单，选择“MSP管理>MSP管理>MSP管理”，单击“创建”，表4-20创建MSP及MSP该MSP所能拥有的MSP选择MSP步骤3单击右上角的账号，选择“注销”，退出系统管理员视图。使用刚创建的MSP账号登步骤4进入“租户管理”菜单，选择“租户管理>租户管理>租户管理”，单击“创建”，4-21步骤5单击右上角的账号，选择“注销”，退出MSP管理员视图。使用刚创建的租户管理员----

4-22LSW、WAC、步骤1选择“设计>站点设计>站点管理”，单击“创建”，创建站点，输入“站点名说明无线业务管理采用的是WAC+FitAP架构，FitAP由WAC进行统一配置管理。WAC被iMasterNCE-Campus纳管后，可以直接在iMasterNCE-Campus上跳转到WAC的Web网管界面对Fit----

场馆网络由于设备较多，本案例选择“网络规划导入”的方式，通过在模板中填写设备的ESN号等信息，完成设备添加的操作。模板导入时需要填写的设备ESN过CloudCampus扫描设备等方式获取。同时，由于聚合链路不能通过LLDP动态发现，因此需要在iMasterNCE-Campus进行iMasterNCE-Campus纳管，核心交换机与防火墙之间的聚合链路需要手工创建，其步骤1选择“设计>网络设计>步骤2说明iMasterNCE-Campus通过模板导入的方式向站点添加堆叠系统的过程中，如果组建好的堆叠系统原有信息与模板中导入的信息不一致，会导致堆叠系统重启；而且重启前，iMasterNCE-Campus会向堆叠系统下发新的堆叠信息（框式交换机SlotID除外）。因此：对于框式交换机，由于通过命令行方式在iMasterNCE-Campus上线，可以在本地命令行配置过程中，执行命令displayesn和displaycssstatus记录原有成员设备ESN、堆叠ID和堆对于盒式交换机，由于通过P方式实现即插即用，需要堆叠系统空配置，而且盒式交换按规划的信息重新启动上线。4-23S12700E-S12700E-堆叠名称：堆叠设备必填。卡槽号/S12700E-卡槽号/S12700E-S12700E-说明4-25H-H-H-H-说明预配置“Eth-Trunk自协商”功能，以确保下游设备后续能通过Eth-Trunk链路在iMasterNCE-Campus步骤3填写完成后，在iMasterNCE-Campus上“选择文件”，选中填好的模板文件后，单击说明----配置防火墙被iMasterNCE-Campus步骤1配置防火墙接入Internet通过WebWeb将运行模式切换为云管理模式。单击“面板＞系统信息＞云管理模式”后的GE0/0/34-26GE0/0/3PPPoEInternet通过运营商A4-27GE0/0/4PPPoEInternet通过运营商B步骤2配置防火墙注册到iMasterNCE-单击“系统>管理员>设置”，单击“北向接口配置”模块中“Call-home主动注册”中的“新建”，填写网关（云防火墙）注册到iMasterNCE-Campus的IP地----

将待管理的设备添加到场馆网络站点后，接下来iMasterNCE-Campu点设备间的管理通道，完成设备纳管，以进行后续的业务配置下发。目前，iMasterNCE-Campu主要纳管接入层到核心层的设备，而且核心交换机的纳管需要在核心交换机上通过命令行配置与iMasterNCE-Campu的南向对接。

配置核心交换机与iMasterNCE-Campus对接所使用的VLAN、IP配置核心交换机到iMasterNCE-Campus配置核心交换机使用NETCONFOverSSHCallhome模式与iMasterNCE-说明核心交换机通过命令行配置被iMasterNCE-Campus纳管时，必须要先完成和iMasterNCE-表4-28核心交换机与iMasterNCE-CampusVLANIF接口iMasterNCE-南向接口IPEth-Trunk[Core]vlanbatch[Core][Core]vlanbatch[Core]interfaceeth-trunk[Core-Eth-Trunk5]trunkportxgigabitethernet1/1/0/31[Core-Eth-Trunk5]portlink-type[Core-Eth-Trunk5][Core]interfacevlanif[Core-Vlanif4009]ipaddress54[Core-Vlanif4009]步骤2配置到iMasterNCE-Campus[Core]iproute-static24 [Core][Core-netconf]source[Core][Core-netconf]sourceip[Core-netconf]callhomeimaster-[Core-netconf-callhome-imaster-campus]ipaddressport[Core-netconf-callhome-imaster-campus]步骤4通过命令行或者iMasterNCE-Campus检查核心交换机是否被iMasterNCE-Campus正[Core]displaynetconfconnect-Netconf :Uploadalarmstatus Connectedtocontrollerbefore:yesControlleraddresssource ControllerURL :--ControllerIP Controllerport :--Management ManagementIPaddress Registerphase :--Register Netconfsrc- :Netconfsrc- Netconfsrc- Controller No Portcallhomeimaster- 10020 456----配置汇聚和接入交换机纳管（设备和Eth-trunk信息批量导入

场馆网络中，由于汇聚/接入交换机数量较多，推荐通过4.4.3导入网络规划的方式，将设备和Eth-Trunk信息通过模板预先导入到iMasterNCE-Campus中。后续配置汇聚/

以核心交换机为根设备，配置自协商管理VLAN说明4-29IPIP表4-30自协商VLAN步骤1在核心交换机上配置管理汇聚/接入交换机的子网，子网网关接口开启DHCP服务器功能，并开启自动协商iMasterNCE-Campus地址功能。选择“部署设备部署站点配置”，选择“站点配置”页签，在左上角选择“交换机>子网”，然后单击“创建”，按如下信息配置有线管理子网，配置完成后，单击设备选择“Core”，子网名称为“Manage_Net”，管理VLANID为4080，开启DHCP功能，DHCP开启“管理网络”，然后AP模式选择“FitAP”，“自动协商控制器地址”按钮~00说明4-31DHCPAP指定当前子网中AP设备的模式。大中型园区网络，一般采用Fit备可以通过Option148获取iMasterNCE-CampusWAC开启时，当前子网的DHCPServer自动生成Option43，FitAP可以步骤2在核心交换机配置自协商管理VLAN功能，使得核心交换机作为根设备，通过pnp报文选择“部署>设备部署>>管理VLAN”，并在对应设备列表中选择核心交换机，单击，配置自协商管理VLAN为VLAN4080，无线自协商管理VLAN为4090，并将上行口自动放行功能关闭。表4-32配置自协商管理VLAN接的是AP，会将端口的PVIDVLAN修改为自协商管理VLAN。以当前设备为根设备，可以通过协商机制一级一级将下行级联链路的无线管理VLAN打通。在有线无线分别规划管理VLAN、自协商管理VLAN和无线自协商管理VLAN同时配置的场景下，如果根设备/联设备识别到下行端口连接的是，会将DVLAN修改为无线自协商管理VLAN，不会修改为自协商管理VLAN。管理开启该开关后，当前设备的上行口PVID会修改成管理VLAN如果当前设备的上行口为Access，会自动将管理VLANVLANID步骤3检查汇聚/在iMasterNCE-Campus选择“设计站点设计设备管理”，查看站点的设备列表，汇聚和接入设备的在iMasterNCE-Campus选择“维护配置维护配置结果”，查看向设备下发的配置结果。可以选择指执行命令displaynetconfconnect-status查看交换机上的NETCONF配置，包括与iMasterNCE-Campus的连接状态等。[Aggre-a]displaynetconfNetconf :Uploadalarm :Connectedtocontrollerbefore:Controlleraddress Controller ControllerIP Controller Management ManagementIP Register Register Netconfsrc- :Netconfsrc- Netconfsrc- Controller No 1callhomeimaster-2 3 4 5 6 登录设备命令行界面查看Eth-Trunk262260910111100PortPri262260910111100PortPriPortNoPortKeyPortStateStatusPortTypeSelected1GE<Aggre-a>displayeth-Eth-Trunk10'sstateinformationLAGID: WorkingMode:PreemptDelayTime:10 SystemPriority:120 SystemID:0018-82d4-04c3LeastActive-linknumber:1MaxActive-linknumber:2Operatestatus:up NumberOfUpPortInTrunk:2Selected 263260910111100SysPriSystemIDPortPriPortNo3276800e0-fc6e-bb11327682623276800e0-fc6e-bb1132768263----

对于场馆网络来说，如果需要管理的网络设备数量较多，在汇聚/接入交换机通过自协商VLAN功能完成上线后，可以按需规划多个管理VLAN及多个管理子网。而且还可以对不同的汇聚/接入交换机配置静态的管理地址，便于后续运维管理时访问汇聚接入交换机。不同管理子网的网关接口仍设置在核心交换机，假设切换的新管理VLAN为VLAN，网关地址为4，某接入交换机需要配置的静态管理为1，其具体配置过程如下：步骤1[Switch]iproute-static24 步骤2通过手工静态配置的方式，将核心、汇聚、接入交换机互联的Eth-Trunk接口，以trunk方式加入VLAN4081。以核心交换机连接汇聚交换机的Eth-Trunk1为例，在iMasterNCE-Campus具体操作如下。选择“部署设备部署站点配置”，选择“站点配置”页签，在左上角选择“交换机>接口”，并在对应设备列表中选择核心交换机，然后在接口面板上选中Eth-VLAN增加VLAN4081。配置完成后，单击“应用”。步骤3在核心交换机上创建新的管理子网，在iMasterNCE-Campus选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角“交换机>子网”，然后单击“创建”。设备选择“Co”，子网名称为“1”，管理VLAN为1，接口获取方式选择手动，配置地址为4；关闭P功能。配置完成后，单击“确步骤4将站点中汇聚/接入交换机的管理VLAN切换到新的管理VLAN，并配置静态IP地址。以接入交换机Access-a为例，配置的静态管理IP为，在iMasterNCE-Campus选择“部署>设备部署>>管理VLAN”，并在对应设备列表中选择接入交换机Access-a，单击，选择“管理VLAN类型”为自定义，配置“管理VLANID”为VLAN4081，“上行口自动放行”按钮开启（如果步骤2中已配置Access-a上行口加入VLAN4081，可不开启），“IP获取说明汇聚/接入交换机切换了新的管理VLANiMasterNCE-Campus南向与汇聚/接入交换机能通过新的管理VLAN----配置汇聚和接入交换机纳管（Eth-Trunk自协

场馆网络中，也有可能存在少量汇聚/接入交换机通过手工方式添加到iMasterNCE-

以核心交换机为根设备，配置自协商管理VLAN汇聚交换机可进行预配置，上线后iMasterNCE-Campus会自动向其下发Eth-开启Eth-Trunk步骤1将汇聚/选择“设计>站点设计>设备管理>设备”，单击“添加设备”，将设备ESN、角色说明对于交换机、AP和WAC设备，必须在站点中录入ESN步骤2假设汇聚/选择“设计>站点设计>设备管理>叠”，添加堆叠成员，并填写堆叠、堆叠优先级等信息。配置完成后，单击“确定”。步骤4以核心交换机为根设备，配置自协商管理VLAN功能，详细配置可参考4.4.6配置汇聚步骤5在核心交换机创建与汇聚交换机相连的下行Eth-Trunk接口，Eth-Trunk接口启用自协选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机接口”，进入物理接口配置页面。单击手工添加的堆叠系统，在2台成员交换机的步骤6按照步骤5的配置过程在汇聚交换机创建与接入交换机相连的下行Eth-TrunkEth-Trunk步骤7开启Eth-Trunk使用runk自协商场景纳管的设备，如果设备出现上下线时，会触发runk口重新添加和协商，导致期间网络不通，推荐所有设备通过runk自协商方式上线后，再开启runk率，从而避免自协商的runk发生震荡。Eth-Trunk选择“部署>设备部署>>管理VLAN”，开启Eth-Trunk步骤8检查汇聚/在iMasterNCE-Campus选择“设计站点设计设备管理”，查看站点的设备列表，汇聚和接入设备的在iMasterNCE-Campus选择“维护配置维护配置结果”，查看向设备下发的配置结果。可以选择指执行命令displaynetconfconnect-status查看交换机上的NETCONF配置，包括与iMasterNCE-Campus的连接状态等。Netconf :Uploadalarmstatus Connectedtocontrollerbefore:yesControlleraddresssource ControllerURL :--ControllerIP Controllerport :--Management ManagementIPaddress Registerphase :--Register Netconfsrc-ipNetconfsrc-ipNetconfsrc-ipv6Netconfsrc-portControllerinformationNoMode ::1callhomeimaster- 登录设备命令行界面查看Eth-Trunk执行命令displayeth-trunk查看Eth-Trunk接口的配置信息，包括Eth-Trunk接口<Aggre-a>displayeth-Eth-Trunk10'sstateinformationLAGID: WorkingMode:PreemptDelayTime:10 SystemPriority:120 SystemID:0018-82d4-04c3LeastActive-linknumber:1MaxActive-linknumber:2Operatestatus:up NumberOfUpPortInTrunk:2Status PortPriPortNoPortKeyPortStateSelected 262260910111100Selected 263260910111100SysPriSystemIDPortPriPortNoPortKey3276800e0-fc6e-bb1132768262 3276800e0-fc6e-bb1132768263 ----配置汇聚和接入交换机纳管（Eth-Trunk非自

场馆网络中，也有可能存在少量汇聚/接入交换机通过手工方式添加到iMasterNCE-说明如果上游设备已经在iMasterNCE-Campu上线，并且下行runk接口已经创建，则需要临时保持runk接口仅有一个物理成员接口Up，确保下游设备能够临时通过单物理链路自协商管理VLAN成功，然后在iMasterNCE-Campu行runk接口。如果上游设备已经在iMasterNCE-Campus上线，但下行Eth-Trunk接口没有创建，则下游设备临时通过单物理链路自协商管理VLAN成功，并在iMasterNCE-Campus上线后，需要先创致下游设备不能重新通过Eth-Trunk链路在iMasterNCE-Campus上线。

以核心交换机为根设备，配置自协商管理VLAN等待汇聚/接入交换机临时采用单物理链路在iMasterNCE-Campus即插即用上在汇聚交换机和核心交换机间创建Eth-Trunk步骤1将汇聚/选择“设计>站点设计>设备管理>设备”，单击“添加设备”，将设备ESN、角色说明对于交换机、AP和WAC设备，必须在站点中录入ESN步骤2假设汇聚/选择“设计>站点设计>设备管理>叠”，添加堆叠成员，并填写堆叠、堆叠优先级等信息。配置完成后，单击“确定”。步骤4以核心交换机为根设备，配置自协商管理VLAN功能，详细配置可参考4.4.6配置汇聚步骤5等待汇聚/接入交换机临时采用单物理链路在iMasterNCE-Campus即插即用上线。步骤6汇聚/接入交换机上线后，在接入交换机和汇聚交换机间创建Eth-Trunk链路。在接入交换机创建与汇聚交换机相连的上行Eth-Trunk选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机>接口”，进入物理接口配置页面。单击相应的接入层堆叠系统，在成员交换机的接口面板上选中需要聚合的成员接口，然后单击“聚合”；然后在下面的“接口配置”中，设置runk编号。配置完成后，单击“应用”。步骤7按照步骤6的配置过程在汇聚交换机和核心交换机间创建Eth-Trunk链路。在汇聚交换机创建与核心交换机相连的上行Eth-Trunk在核心交换机创建与汇聚交换机相连的下行Eth-Trunk在iMasterNCE-Campus选择“设计站点设计设备管理”，查看站点的设备列表，汇聚和接入设在iMasterNCE-Campus选择“维护配置维护配置结果”，查看向设备下发的配置结果。可以选执行命令displaynetconfconnect-status查看交换机上的NETCONF配置，包括与iMasterNCE-Campus的连接状态等。[Aggre-a]displaynetconfNetconf Uploadalarm ConnectedtocontrollerbeforeControlleraddress -Controller ControllerIP Controller Management -ManagementIP -Register Register Netconfsrc- :Netconfsrc- Netconfsrc- No 1callhomeimaster-2 3 4 5 6 登录设备命令行界面查看Eth-Trunk执行命令displayeth-trunk查看Eth-Trunk接口的配置信息，包括Eth-<Aggre-a><Aggre-a>displayeth-Eth-Trunk10'sstateinformationLAGID: WorkingMode:PreemptDelayTime: Hasharithmetic:AccordingtoSIP-XOR-SystemPriority:120LeastActive-linknumber:Operatestatus:upSystemID:0018-82d4-1MaxActive-linknumber:2NumberOfUpPortInTrunk:2StatusPortTypeSelected1GESelected1GEPortPriPortNoPortKeyPortState 262260910111100 263260910111100SysPriSystemIDPortPriPortNoPortKey3276800e0-fc6e-bb11327683276800e0-fc6e-bb1132768----配置WAC

本案例中，采用双机热备方案，首先成员设备需要添加到站点中，同时需要通过命令行的方式提前配置好双机热备功能，配置完成后再通过iMasterNCE-向站点添加组。核心交换机与独立间的聚合链路：核心交换机侧通过iMasterNCE-Campu手工创建，独立侧通过eb网管或Cli工具手工创建。

通过WEB网管方式配置WAC将WAC配置核心交换机作为WAC以核心交换机为根设备，配置自协商管理VLAN在核心交换机上创建互联WAC的下行Eth-Trunk使用Cli工具配置WAC上云，对接iMasterNCE-步骤1通过WEB网管配置WAC配置AC#单击“配置>配置向导>AC”，进入“AC“所在国家/地区”按实际情况选择，以“中国”为例。“系统时间”配置为#量修改”，配置接口加入Eth-Trunk1，选择“接口类型”为“Trunk”，并将接口加入VLAN4070（管理VLAN）和VLAN4080（设备纳管VLAN）。单击“应“GigabitEthernet0/0/1”加入VLAN4060（HSB心跳）。##VLANIF4070的IP地址为/24#配置接口VLANIF4060的IP地址为/24，接口VLANIF4080展开“静态路由表”，新建到iMasterNCE-Campus南向地址的静态路由，下#使用同样的方式新增到FitAP管理网段的静态路由，目的IP为#单击“下一步”，进入“AC配置WAC#开启双机热备（VRRP方式）。单击“新建”，进入“新建VRID”页面。创“VLANIF/IP“VRID“VRRP类型”为“管理VRRP“虚拟IP“抢占延迟时间(秒)#单击“确定”。配置HSB“本地IP“对端IP“关联VRID#开启配置同步，并配置“PSK#单击“下一步”，进入“AC配置AC#“AC源地址”选择“IP地址”，配置为“”。配置DTLS加密预共享秘钥和认证方式，以及FitAP登陆的默认用户名和密码、离线VAP（从0版本开始首次登陆配置P源地址时需要配置上述默认密码）。单击“下一步”，进入“配置确认”页面。#确认配置，单击“完成”。WAC2的配置和WAC1步骤2将WAC选择“设计>站点设计>设备管理>设备”，单击“添加设备”，将设备ESN、角色说明对于交换机、AP和WAC设备，必须在站点中录入ESN步骤3配置核心交换机作为WAC的管理子网网关（VLAN4090），详细配置可参考4.4.6配步骤4以核心交换机为根设备，配置无线自协商管理VLAN功能，详细配置可参考4.4.6配置步骤5在核心交换机上创建互联WAC的下行Eth-Trunk 在核心交换机创建与WAC相连的下行Eth-Trunk选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机>接口”，进入物理接口配置页面。单击相应的接入层堆叠系统，在成员交换机的接口面板上选中需要聚合的成员接口，然后单击“聚合”；然后在下面的“接口配置”中，设置runk编号和，并将接口加入VLAN和。配置完成后，单击“应用”。步骤6使用Cli工具配置WAC上云，对接iMasterNCE-登录，完成C上云配置。配置和类似，请参考配置。为防止两个通过核心设备获取管理VLAN造成环路，需要在设备上去使能接收功能。由于C和核心之间存在物理环路，P收敛会导致C接口被阻塞，从而导致心跳不通，此处需要在互联接口上去使能P。[WAC1][WAC1]ac-modeWarning:ThisoperationwillswitchtheACmodetocloud,Continue?Warning:ThisoperationwillloadthegeneralCAandlocalcertificatestothedefaultrealmandsetthecertificationrevocationchecktonone.Inthisway,thedevicecangoonlineandreportWMIdata.Continue?[WAC1]cloud-mngcontrollerip-addressport10020source-interfaceVlanif4080[WAC1]undopnpstartup-vlanreceiveenable[WAC1]interfaceGigabitEthernet0/0/1[WAC1-GigabitEthernet0/0/1]stpdisable[WAC1-GigabitEthernet0/0/1]quit[WAC1]quit<WAC1>步骤7在iMasterNCE-Campus上添加WAC选择“设计>站点设计>单击“增加”，将WAC1和WAC2加入该WAC----配置FitAP在WAC

在本场馆网络方案中，AP（通过iMasterNCE-Campu配置下发）在核心交换机配置管理VLAN的地址池接口以及和互通的接口地址0，通过P方式自动获取管理地址，打通与间的管理通道。（通过iMasterNCE-Campus配置下发）在WAC上关联AP，确保上线AP的合法4-33IPWACWACDHCP配置AP通过iMasterNCE-Campus4.4.6（设备和Eth-trunk信息批量导入场景）汇聚/接入交换机与AP可以共用管理VLANVLAN功能实现核心交换机到AP间的管理VLAN汇聚/接入交换机与AP也可以各自规划管理VLANVLAN时，同时启用无线的自协商管理VLAN无线管理子网网关接口配置DHCPOption43携带独立WAC配置WAC关联通过iMasterNCE-Campus在独立WAC上选中需要上线的AP，通过登录独立WAC的Web注意，作为PC与核心交换机互通，并且独立上还需要配置到达管理子网的路由。该配置任务已在4.4.9配置AC纳管章节完成配置。步骤1（通过iMasterNCE-Campus配置下发）在核心交换机配置DHCP地址池接口，并且开启Option43选项中携带WAC地址的功能。本案例中，AP与核心交换机间的管理通道iMasterNCE-Campus纳管”时启用。无线管理子网配置过程如下。选择“部署设备部署站点配置”，选择“站点配置”页签，在左上角选择“交换机>子网”，然后单击“创建”，按如下信息配置，配置完成后，单击“确定”。设备选择“Core”，子网名称为“AP_Manage_Net”，管理VLANID为4090，开启DHCP功能，DHCP开启“管理网络”，然后AP模式选择“FitAP”，“自动协商WAC地址”按钮选如果AP是通过“网络规划导入”方式添加的，则执行步骤2和3完成FitAP纳管；3完成FitAP纳管。使用相同的方式添加核心交换机和WAC互联的接口VLANIF4070步骤2（通过iMasterNCE-Campus配置下发）在WAC上关联AP。选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角“WAC”下拉框中选择“FitAP”。说明对于存量WAC场景，如果将正在使用的FitAP纳入到WAC管理，则原始FitAP上的配置将丢失。步骤3（通过iMasterNCE-Campus配置下发）对于没有提前通过“网络规划导入”方式添加选择“设计>站点设计>设备管理”，在设备列表中单击作为WAC的Core设备，进入说明对于存量WAC场景，如果将正在使用的FitAP纳入到WAC管理，则原始FitAP上的配置将丢失。----配置物理链路（核心交换机与出口防火墙及独立WAC对接的

表4-34核心层交换机与出口防火墙、独立WAC与出口防火墙FW-a与出口防火墙FW-b与出WAC1与出WAC2步骤1选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机>接口”，进入物理接口配置页面。单击“Core”堆叠系统，在2台成员交换机的步骤2按照步骤1的方式依次配置Eth-Trunk4/5/6----配置WLAN配置向WAC下发WAC

在分布式网关独立方案中，无线认证模板不能通过iMasterNCE-Campu发，需要登录的eb网管进行配置，但是iMasterNCE-Campu上仍然需要为每个无线认证的配置对应的认证配置，且模板的及认证方式需要和上的配置保持一致。4-35配置认证模板数据规划表（802.1X认证RADIUS表4-36配置认证模板数据规划表（MAC优先的Portal认证步骤1选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“WAC(FitAP)>认证”。步骤2配置无线802.1X在“选择设备”区域单击“增加”，添加无线认证控制点设备WAC1和WAC2步骤3配置MAC优先的Portal单击“创建”配置名称为Authen4，SSID为stadium，认证方式选择Portal例采用在iMasterNCE-Campus手工录入访客用户名、密码的方式）。iMasterNCE-Campu用户/用户组配置ortal免认证策略，如果同时配置，该步骤配置的“ortal免认证有效期”优先级更低。该步骤的“ortal侧未配置ortal免认证策略的用户/用户组。在“选择设备”区域单击“增加”，添加无线认证控制点设备WAC1和----

WAC作为无线控制器，负责AP的集中管理及WLAN本案例中无线总共规划员工、哑终端、访客三个，其中员工与研发、市场员工无线业务VLAN，哑终端与研发、市场哑终端无线业务VLAN，分别是一对多的关系，实际现网中与无线业务VLAN说明本案例中，WLAN采用独立WAC，所有无线业务都需要登录WAC的WEB4-37VAPSSID业务VLANIPSSID业务VLANIPWPA-业务VLANIPSSID表4-38无线终端识别数据上报的WMIDHCPOption、HTTPUA和步骤1新建AP组并配置AP加入AP选择“配置>AP配置>AP组配置”，进入“AP组”页签，单击“新建”，输入步骤2配置AP组Area-1选择“配置>AP配置>AP组配置”，进入“AP组”页签。单击AP说明“RADIUS服务器模板”右侧的，单击“新建”按钮，新建一个名称iMaster_RADIUS配置IP地址为iMasterNCE-Campus南向地址配置认证和计费的源IP地址为VLANIF4070的虚IP地址单击“确定”完成Radius选择“VAP配置>employee”，进入VAP模板employee，然后按如下参数配配置业务VLAN为VLAN开启mDNSSnooping功能。无线终端识别采用DHCPOption方式上报终配置接口管理”，在“物理接口”页签选择Eth-Trunk1接口，添加接口允许通过VLAN3002，单击“确定”完成配置。步骤3配置AP组Area-1的WMI参数，用于无线终端识别数据上报到iMasterNCE-Campus选择“配置>AP配置>AP组配置”，在“AP组”页签的AP组列表中选择“Area-1”。选择“AP>AP系统模板>WMI模板(通道1)”，单击“新建”，配配置“服务器地址”为iMasterNCE-Campus的南向地址和端口号，启用“终端识----配置WLANrate-limitclientup4096rate-limitclientdown4096webweb登录AC设备，在“配置>AP配置>模板管理>无线业务>流量模板”界vap在“配置>AP配置>模板管理>无线业务>VAPtraffic-optimizebroadcast-suppressionpackets128traffic-optimizemulticast-suppressionpackets128traffic-optimizeunicast-suppressionpackets64webweb登录AC设备，在“配置>AP配置>模板管理>无线业务>流量模板”界配置好了后，在VAPanti-attackfloodother-broadcaststa-rate-threshold5web登录AC设备，在“配置>AP配置>模板管理>无线业务>流量模板>模板”界面，选择新建或者单击已经存在的vaptraffic-optimizebroadcast-suppressionpackets128traffic-optimizemulticast-suppressionpackets128traffic-optimizeunicast-suppressionpackets64web登录AC设备，在“配置>AP配置>模板管理>AP>AP有线口模板”界面，配置好后将上面配置的AP有线口模板应用到ap组，如下路径：“AP配置>AP组配置>AP组”，单击“AP有线口配置列表”界面对应的接口，选择引用上面配置有线下行capwaparp、igmp、nd、other广播抑制，为了减小大量低速组播、广traffic-optimizebroadcast-suppressionarprate-threshold64traffic-optimizebroadcast-suppressionigmprate-threshold64traffic-optimizebroadcast-suppressionndrate-threshold64traffic-optimizebroadcast-suppressionotherrate-threshold50webweb登录AC设备，在“配置>AP配置>模板管理>AP>AP系统模板”界面，选配置好后将上面配置的AP系统模板应用到ap组，如下路径：“AP配置>AP组配置>AP组”，单击“AP系统模板”，选择引用上面配置的AP系统模板，最后单user-isolatel2webweb登录AC设备，在“配置>AP配置>模板管理>无线业务>流量模板”界learn-client-addressdhcp-strictSTA地址严格DHCP获取功能ipsourcecheckuser-bindenable//AP的IPSG功能arpanti-attackcheckuser-bindenable动态ARP检测功能web登录AC设备，在“配置>AP配置>模板管理>无线业务>流量模板>模板”界面，选择新建或者单击已经存在的vap“IP业务”左边的符号无线MAC和Portal说明无线的Portal认证或者包含Portal认证的混合认证，不支持认证前授权VLANVLAN本案例中，所有无线业务通过登录WAC的WEB

4-39逃生用户组授权AClVAParea1-rd-步骤1配置ACL#单击“配置>安全管理>ACL>高级ACL配置”，进入“高级ACL配置”页面。在#单击“确定”，返回“高级ACL#单击ACL编号3020右侧的“添加规则”，进入“添加规则”页面，添加ACL步骤2#单击“配置>安全管理>用户组>#单击“新建”，进入“新建用户组”页面，配置“用户组名称”和绑定ACL步骤3#单击“配置>AP配置>模板管理>无线业务>VAParea1-rd-dumb的VAP模板左边的，展开后，单击认证模板#“认证服务器不可用时授权用户组权限”绑定用户组“Service3#----无线802.1X认证方式不支持认证服务器Down的逃生。此场景可以通过配置OpenSSID，在认证服务器Down说明和开启闭操作使用命令vap-service-backupauth-server-down。4-40RADIUS非逃生VAP逃生VAP说明aea1-模板的P类型为业务型，aea1-模板的类型为备份业务型；SSID业务VLAN不一样，aea1-的业务VLAN是，aea1-的业务VLAN是（对应的VN是Pe_VN）。步骤1配置VAP#单击“配置>AP配置>模板管理>无线业务>VAP模板”，新建模板“area1-rd-步骤2配置VAP模板“area1-rd-employee_test1”的SSID----日志等数据）发送给华为iMasterNCE-CampusInsight（以下简称CampusInsight）网iMasterNCE-Campus与CampusInsight对接：iMasterNCE-Campus可以进行统一运维管理，CampusInsight能够以代理服务的方式被调用；iMasterNCE-说明网络设备和t的时间必须保持同步，如果两者之间的时间差超过分钟，则t上无法展示设备上报的数据。一般通过配置同源的服务器来保证网络设备和t的时间同步，t在安装时填写好外部时钟源的地址，网络设备上也配置相同的外部P时钟源地址。无线网络采用WAC+FitAP架构，FitAP的性能数据等采集开关则需要在WAC的Web界面上开启，暂不支持通过iMasterNCE-Campus开启。为了实现CampusInsight以代理服务的方式通过iMasterNCE-Campus直接跳转登录，需要在iMasterNCE-Campus提前安装好“智能分析器代理”特性。图4-6CampusInsightiMasterNCE-Campus

通过配置CampusInsight与iMasterNCE-Campus的对接，就可以实现iMasterNCE-iMasterNCE-Campus上还可以自动将站点、设备等信息同步给CampusInsight。

登录CampusInsight导入iMasterNCE-Campus配置与iMasterNCE-Campus登录iMasterNCE-Campus北向业务面配置（系统管理员账号配置与CampusInsight登录iMasterNCE-Campus北向业务面配置（租户管理员账号启用CampusInsight表4-41登录CampusInsightiMasterNCE-Campus北向业务iMasterNCE-CampusBackendERIP和端口号:26330，登录iMasterNCE-Campus北向管理面，选择“产品软件管理部署产品软件”，单击“更多>修改配置参数”，BackendERIPiMasterNCE-Campus的CA证书表4-42登录iMasterNCE-Campus0，登录t北向管理面，选择“产品部署产品软件”，单击“产品类型：t”，在配置项列表中找到对应配置：globalBacAddr的值，即为所需地址步骤1登录CampusInsight选择“系统>证书&秘钥>更新CA证书>本地”，进入更新CA证书页面。在更"format":"PEM","storeType":"X509""format":"PEM","keyPass":以sopuse用户通过H方式登录t任一节点后台，使用以下方法将ass对应的密文解析为私钥密码。[sopuser@Insight-1269~]$su[sopuser@Insight-1269~]$su[ossadm@Insight-1269sopuser]$.[ossadm@Insight-1269sopuser]$pythonPython3.8.2(default,May192020,21:47:09)[GCC7.3.0]onlinuxType"help","copyright","credits"or"license"formore>>>fromutilimport>>>说明如果导入CA证书使用客户自备的证书，则不需要从iMasterNCE-Campus获取CA证书如果iMasterNCE-Campus的IP地址、CA证书、ER证书发生变更，请同时更新证书导入完成后，选择“系统>对接配置>iMasterNCE-Campus”，进入配置配置服务端数据通信“IP地址”为iMasterNCE-CampusBackendERIP，“端是否为成功。如果是，继续下一步；否则，检查CampusInsight与iMasterNCE-Campus配置服务端“认证地址”和“校验地址”均为iMasterNCE-Campus北向业务面登说明如果iMasterNCE-Campus北向业务面登录地址通过NAT映射获得，则“校验地址”配置为iMasterNCE-Campus的ERIP，端口号默认为31943。如果iMasterNCE-Campus北向业务面登录地址为域名格式，需要在CampusInsight的步骤2登录iMasterNCE-Campus北向业务面配置（系统管理员账号）选择“系统>系统管理>SSO配置”，单击“SSO服务器端配置”页签，单击选择“系统>系统管理>配置数据同步“IP地址”为CampusInsightBackendERIP地址。配置完成后，单说明如果CampusInsight的License是通过iMasterN