h3c oasis cloud-net 绿洲云简网络解决方案技术建议书2019-09-29

1、H3C Oasis Cloud-Net绿洲云简网络解决方案技术建议书Copyright 2018 新华三技术有限公司 版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部， 并不得以任何形式传播。本文档中的信息可能变动，恕不另行。目 录1 项目概述11.1 项目背景11.2 项目需求分析11.2.1 业务规模需求与分析11.2.2 网络架构需求与分析11.2.3 终端接入需求与分析11.2.4 管理运维需求与分析21.2.5 增值业务需求与分析22 Oasis Cloud-Net 绿洲云简网络方案概述22.1 方案概述22.2 方案架构32.3 方

2、案亮点42.4 方案功能53 Oasis Cloud-Net 方案设计143.1 场景组网设计143.1.1 微型门店场景143.1.2 小型门店场景153.1.3 中小型门店场景163.1.4 中型门店场景173.1.5 中大型门店场景183.2 网络设计193.2.1 开局设计193.2.2 业务网络（VLAN）设计203.2.3 VPN 设计203.2.4 认证设计21i11.1项目概述项目背景/ 根据实际的客户行业修改，如果是连锁商业类，描述为分支门店随着数字化转型的深入，XX 企业业务快速扩张，需要在不同的区域快速建设分支机构；新建分支场所的网络要能满足办公、互联网等业务需求，还要能

3、通过 VPN 连接到总部。如果采用传统的网络模式，存在问题越来越明显：除了基础网络设备，管理系统、认证系统以及专业维保等都是成本，一次性可投入资金不足；IT 技能要求高/成本高，而中小型企业一般没有专业的维护人员；传统的业务配置方式复杂，易用性差，传统的网络的可视性差，维护难度大。系统方案不适合中小企业客户；因此，中小企业用户急需更简单更优异的云管理网络构建与运维模式。我们推荐采用 OasisCloud-Net 绿洲云简网络解决方案，通过云化的网络架构解决多分支场所的建设和运维痛点。1.2项目需求分析1.2.1 业务规模需求与分析/ 根据实际项目规模修改，对于连锁商业，描述为门店本次项目，XX

4、X 企业计划新建 XX 分支场所，场所根据人员分为一类分支和二类分支，一类分支的规模为 3050 人；二类分支规模为 20 人左右。分支主要业务为内网办公，和总部 VPN 互联；公网互联网，访客网络以及监控网络，有线和无线需求并存。1.2.2 网络架构需求与分析有线无线接入：分支场所提供的网络除了员工办公，还给访客（或顾客）提供无线上网的业务， 办公网和访客网络逻辑隔离（物理隔离）；有线终端除了 PC 还有打印机、IP 电话等哑终端，需要 PoE。无线接入主要有便携机、PAD 和智能手机等。分支 VPN 互联：分支场所需要能够和企业的总部进行通信，一是方案企业资源、OA 系统，以及一些关键数据

5、，访问通道需要加密，一般采用 IPSec VPN 和总部互联。流量控制：为保障上网体验良好，针对企业办公业务、访客上网等不同应用，可以设置不同的流量控制策略。1.2.3 终端接入需求与分析企业分支场所的接入终端分为企业员工、访客、办公终端和监控终端等几大类。企业员工：有线和无线接入，能够访问公司总部或者企业内部的网络资源，可以访问 Internet；访问内部资源可以 Portal 认证。1访客：无线接入终端为主，主要访问 internet、具备访问指定推送资源的能力。建议采用短信认证或者微信公众号认证。办公终端：主要有打印机、POS 机、IP 电话等，有线接入为主，建议 MAC 认证。监控终端

6、：监控摄像头，PoE 供电，建议 MAC 认证。1.2.4 管理运维需求与分析云管理网络系统即时可用：用户不用安装专业的系统，开通账户即可使用，省时省成本。网络系统即时可用：在云管理系统的配合下，用户侧的网络可做到即插即用，大幅节省用户的人力投入。渠道商/集成商基于云管理网络系统可为其用户提供便捷的网络运维服务，避免了用户的人力投入需求，同时渠道商/集成商可获得持续的运维收入。相比传统运维方式，云管理网络方案大幅节省了渠道商/集成商的运维人力。1.2.5 增值业务需求与分析广告推送：当分支场所网络有来访的客户接入时，能够对该接入用户进行 portal 页面的推送， 推送内容包括对企业的介绍（或

7、者推荐商品、促销活动、手机 APP 等），达成企业的商业推广目的。增值业务：随着接入网络的顾客群体的增加，可以对这些接入的顾客进行用户画像和客户分析等基于大数据的分析应用，在此基础上开展更有价值的增值业务。22.1Oasis Cloud-Net 方案概述方案概述新华三绿洲平台是新华三为中小企业免费提供使用的云网络平台，解决了专用的问题。无需安装，登录即可用。绿洲目前已管理几十万台网络设备。系统太贵，太重Oasis Cloud-Net 绿洲云简网络（以下简称 Cloud-Net）是新华三基于绿洲平台对中小企业网络的无线和有线产品进行统一管理的云管理企业网络解决方案。2图2-1 Oasis Clo

8、ud-Net 绿洲云简网络解决方案Oasis Cloud-Net 绿洲云简网络方案对中小企业用户的价值：无需投入，Cloud-Net 方案即时可用；Cloud-Net 方案实现了真正的网络即插即用，用户网络的部署难度大幅降低，分钟级完成；Cloud-Net 方案的业务配置不是传统的基于设备特性（VLAN 等）的配置，而是基于用户意图， 去专业化的配置，对运维人员屏蔽 VLAN 等专业概念，业务配置简单易用；Cloud-Net 方案支持多分支/连锁用户快速构建企业 VPN，即时连通企业分支/门店与总部；Cloud-Net 方案只收集用户网络设备的信息，用于配置与运维，不会收集用户的任何业务数据。

9、2.2方案架构Oasis Cloud-Net 解决方案包含以下几个组件角色：3图2-2 Oasis Cloud-Net 绿洲云简网络解决方案架构绿洲平台：用户在其上完成网络管理，设备上线后，绿洲平台将相关离线配置下发给设备，实现对设备的纳管。网关设备: 目前 MSR 路由器和 MSG 无线融合网关都可用做网关角色，网关角色同时用做每个场所的 DHCP Server，MSG 设备同时兼做 AC 设备。网关设备上线后，接受绿洲平台的地址池配置和 VLAN 配置，利用这些配置，可实现内网设备的连通。内网设备包括交换机、AC、AP（Fit AP），及云 AP。内网设备上电后，通过 DHCP optio

10、n 从网关获取绿洲域名及获得设备管理 VLAN 的地址，并以此向绿洲注册，实现绿洲对这些设备的纳管。一个例外是 AP 作为内网设备，并不直接向绿洲平台注册，而是向 AC 注册。AC 角色可以是一立的 AC 设备，也可以是由 MSG 网关兼做 AC 角色，如果使用了 MSG 做网关，场所内不能再部署独立的 AC 设备。绿洲精灵手机 APP：主要功能是通过 APP 扫码功能将设备序列号加入场所，并配置网关 WAN侧的连通性。由于场所一般都采用 PPPoE 方式接入互联网，而且每个场所的 PPPoE 用户名与又不相同，因此这一步操作，无法自动化，需要现场人员先通过蓝牙，连通手机 APP 与网关设备，

11、再利用手机 APP 配置PPPoE 用户名/，实现网关与互联网的连通。2.3 方案亮点Oasis Cloud-Net 绿洲云简网络是通过绿洲云平台对连锁商业、多分支企业以及 SMB 的云管理网络解决方案。该方案对于客户和企业来讲是一种新的管理和运维模式，主要亮点有：全网络全设备即插即用，现场零运维：分支场所网络一次扫码，全部自动上线，设备即插即用，网络一键部署。异型设备故障即插即用，业务恢复快：分支场所设备故障，使用同类设备，无需相同型号即可替换，业务快速恢复。4基于意图的网络配置，管理去专业化：集中的 Web 配置平台，非专业人员基于图形化的操作向导可以完成设备的升级、配置与网络的监控管理。

12、云化管理，集中监控，大幅降低企业 OPEX：一切皆远程操作，对于多分支和大量门店的场景， 避免专业人员出差，节省运维成本。绿洲精灵 APP，随时随地掌握网络状态：手机 APP 随时监控网络状态，随时优化网络参数， 轻量化的管理模式带来极致的使用体验。基于 AI 的智能分析，网络故障预测和精准定位：绿洲云平台融合大数据分析和 AI 能力，及时准确定位网络故障和终端体验不好的原因。丰富多样的认证能力：短信、微信、二维码等多种认证形式，满足不同用户，不同用户，不同类型终端上网需求。开放 API，应用增值：绿洲云平台提供标准开放的 Restful API 接口，可以基于绿洲的数据运营，二次开发，结合客

13、户行业提供用户画像、客流分析，精准营销等增值应用，加速企业运营。2.4 方案功能2.4.1 极简部署，零配置上线1. 全网络全设备自动化Oasis Cloud-Net 方案设备自动部署功能，帮助用户实现对场所内设备的自动纳管，包括网关、Switch、AC、AP、云 AP 等。做到对于内网设备，用户不用进行任何配置操作即可使其被绿洲自动纳管， 并且设备分配到的管理地址是用户规划的管理地址，而非网关缺省自带的网段地址。2. 设备自动纳管Oasis Cloud-Net 方案基于场所对用户网络进行管理，用户只需创建场所，现场配置网关 WAN 的连通，连接网络设备即可完成网络的部署。图2-3 Oasis

14、 Cloud-Net 自动部署流程3. 场所设备即插即用用户可以离线一次创建多个场所，同时生成多场所的自动纳管配置。设备上线，云管理平台会自动分发场所配置。实现一次配置，多场所设备即插即用。运维人员在场所现场开局时，利用绿洲精灵手机 APP 扫码设备，该设备即纳管，即可用，而不用预先在云端导入该设备序列号，从而避免了收集和输入设备序列号的麻烦，扫码开局的设备纳管方式省时省力且正确率可保证。54. 设备连接即插即用传统网络规划时，都必须预先明确使用的设备款型，明确规划具体的设备之间连接的端口等。开局时也必须严格按照规划进行，这种方式安装时灵活性和容错性都很差，且网关不支持 L3 接口。而 Clo

15、ud-Net 方案无需提前规定设备的款型，对于设备布放无强制位置和设备连接端口限制，设备间可使用任意空闲端口连接，按需连线，即插即用，不受设备款型和端口规划约束。Cloud-Net 方案支持终端连接网关 L3 端口，使得网关所有端口都得到利用。Cloud-Net 方案会自动识别设备角色和设备间的连接关系，并根据这些动态获取的信息，动态分发设备配置，对设备进行自动纳管，Cloud-Net 的开局方式更灵活，而且不易出错。图2-4 Oasis Cloud-Net 设备连接即插即用5. 终端上网即插即用场所设备自动纳管后，无需配置，网关 L2 下的有线终端自动归属缺省业务网络，即可上网。AC 在网关

16、 L2 下时，无线终端可连接用户创建的缺省 SSID，即可上网。传统的网络部署完成后，设备和终端缺省都属于 Vlan1，因此终端引入的风险（病毒等）可能给设备带来冲击，而且管理网和业务网混在一起，带来安全隐患。而 Cloud-Net 方案自动形成两个网络：管理网络和缺省业务网络，终端与设备分属这两个网络，二层隔离，互相不影响。6图2-5 Oasis Cloud-Net 缺省业务网络2.4.2 基于意图的网络配置1. 业务网络自动部署在很多场景中，用户需要多个业务网络（VLAN）。绿洲 Cloud-Net 方案提供了业务网络部署功能，能够在多个场所批量创建业务网络。简化了用户手工逐个场所配置 V

17、LAN 的麻烦。Cloud-Net 方案批量创建业务网络后，SSID 和端口需要在设备上线后，手工添加到业务网络中。Cloud-Net 方案后续版本会支持创建业务网络同时批量创建 SSID 的功能，进一步提高配置的效率。2. 基于意图的网络配置传统的云管理业务网络配置是以 VLAN 特性为中心的配置。为了完成一个 VLAN 网络在用户多个场所的部署，需要反复进行以下操作：1）为场所创建业务 VLAN 地址池，在网关上创建相关接口并绑定地址池；2）配置设备端口或者无线 SSID access VLAN；3）配置中间设备 VLAN trunk；4） 在其它场所重复进行之前的配置操作。从配置过程可以

18、看出其对用户的专业性要求比较高，并且要求清楚分支组网拓扑。配置复杂，易出错，效率低。针对这些问题，Cloud-Net 方案在业务网络部署上，提出了基于意图的业务部署，可简单快速完成VLAN 网络在多个场所的快速部署。创建业务网络时，Cloud-Net 配置自动分配 VLAN，对用户屏蔽了 VLAN 的概念。用户只需要选择部署业务的有线端口（或者无线 SSID）以及需要加入的业务网络，即可自动完成业务网络部署。7图2-6 Oasis Cloud-Net 基于意图的业务部署Cloud-Net 方案的业务网络部署只需两步操作：创建业务网络即在云端进行业务网络地址池的配置，用户只需配置一次，Cloud

19、-Net 会自动为多个场所分配 VLAN，并生成可用的 VLAN DHCP 地址池和网关地址，不再需要逐个场所配置，配置效率大幅提升。选定场所内设备的端口或 SSID 加入指定的业务网络。Cloud-Net 会自动完成设备端口或 SSID 加入 VLAN 的操作，并且会自动完成从边缘设备到网关的 VLAN 连通配置，不再需要用户逐个设备去配置 VLAN trunk，配置效率大幅提升，配置错误率大幅降低。8图2-7 Cloud-Net 自动业务部署Cloud-Net 方案在开局部署完成后，即会自动创建缺省业务网络，并且设备所有的空闲端口都属于这个缺省业务网络，终端插入这些接口即可上网。对于一些网

20、络要求简单的用户，缺省业务网络即可满足需求，不需要再去配置其它的业务网络。3. 无线服务部署Cloud-Net 方案的业务网络配置支持创建 SSID，并配置 SSID 所属的业务网络，但是业务网络功能本身并不支持对 SSID 关联参数的细致配置。如果用户要对 SSID 关联的参数进行细致配置，需要使用绿洲的无线服务配置功能。在有些场景中，无线服务功能需要与业务网络功能配合使用，才能完全满足用户的配置需求。例如业务网络创建的 SSID 缺省会关联场所内的所有 AP，如果用户需要指定的 AP 关联到指定的 SSID，则需要在无线服务中配置 AP 和 SSID 的关联，再在业务网络中， 将 SSID

21、 与业务网络关联。4. 自动化 VPN 部署Cloud-Net VPN 方案基于 ADVPN 技术实现，具有以下亮点：支持多种总部分支场景组网：中心单网关场景，中心双网关场景，双中心场景都支持。分支网关支持一个 WAN 口，也支持双 WAN 口。Cloud-Net VPN 可以进行分支整体部署，自动规划虚拟 VPN 私网地址等，提升网络部署和管理的效率。轻松完成多场所 VPN 配置，不用理解复杂安全协议参数，高效，减少出错。Cloud-Net VPN 方案引入 VPN 域的概念，VPN 域中可以选择不同的安全模式、安全算法和 VPN 虚拟网段等设置。用户可以根据实际需求和现有网络规划，进行区分

22、化参数设置。同时，VPN 域有优先级等级设置，当主 VPN 域网络存在故障时，Cloud-Net VPN 会根据优先级选择其他 VPN 域进行替代，直到主 VPN 网络恢复。在 VPN 域中管理 Tunnel 地址范围、IKE 提议、IPsec 策略、预共享秘钥、分支认证以及域优先级等参数设置，其中预共享秘钥为默认六位随机数字的的密文持明文查看。，支9图2-8 Oasis Cloud-Net VPN 安全域Cloud-Net VPN 方案提供多分支批量注册、部署和删除功能。考虑到大型组网中多个分支存在设备类型类似、配置和组网需求雷同的情况，Cloud-Net VPN 支持 HUB 转发全网业务

23、需求。VPN 分支上非 VPN 业务也可以通过 HUB 转发访问。比如，分支设备为私有网络接入中心设备，有访问公网需求时，这部分数据不需要 VPN 加密，此时可以使用此功能实现 HUB 转发上网。中心设备也可以起到对分支设备流量管理和监控的作用。Cloud-Net VPN 在中心设备上可设置 OSPF 路由通告功能，对组网中非 VPN 设备进行 VPN 网络的路由通告接口，方便数据中心对 VPN 分支设备私网路由的获取，降低全网路由部署的复杂度。在中心 VPN 页面中可以设置私网网段，如果需要分支私网互通，可以加入分支的路由聚合网段，中心会将此聚合网段通告给数据中心和分支设备；如果数据中心非中

24、心设备直连网段，可以将数据中心网段加入此处，同样中心设备会将此网段通告给分支设备。图2-9 Oasis Cloud-Net VPN 路由衔接2.4.3极简运维，去专业化管理1. 替换设备即插即用传统的设备替换方案，新旧设备型号必须完全相同，导入新旧设备序列号，进行替换操作。10Cloud-Net 方案可使用异型设备直接替换，即插即用。且不用进行替换操作，用户只需要拔下故障设备，插上新的设备（可与故障设备不是同一型号）即可。（注：目前异型设备替换功能，只支持使用缺省业务网络的场景）图2-10 Oasis Cloud-Net 设备替换2. 云化管理，集中管理分支场所设备云化管理，全网设备集中监控，

25、一站式互联网的管理体验，方便客户实时查看网络状态。云平台引入 GIS，基于地图对设备位置进行标注，直观展现不同设备在各个区域的分布情况。GIS地图直观、精细的监控能力，便于网络管理人员及时的发现设备故障的物理位置，提高定位和排障效率，快速恢复客户业务，降低损失。图2-11 基于 GIS 的集中监控平台绿洲云平台提供专业的在线监控系统，对平台本身所需的 IaaS 层面资源、微服务、数据库和消息队列等进行全方位监控，保障平台的稳定运行。113. 绿洲精灵 APP，简单管理网络绿洲精灵 APP 提供移动运维能力，IT 人员随身携带，随时随地掌握网络运行状况。当网络发生故障时，可以实时监控并及时远程处

26、理，零距离运维。图2-12 绿洲精灵 APP绿洲精灵 APP 不仅支持一键诊断、实时监控和告警推送，还可以远程对相关设备进行版本升级、配置备份、配置还原、文件管理等常见操作。2.4.4丰富多样的终端认证能力1. 认证简介Cloud-Net 方案支持无线终端的认证接入，支持多种灵活的认证方式。MSG 网关，MSR 网关，独立的 AC 设备都可以用做认证接入设备。H3C 绿洲平台的绿洲认证组件，为接入绿洲各场所的无线节点（包括员工、访客、物联网终端等所有接入无线网络的参与者）提供多样的认证方式。绿洲认证采用 Portal 推送方案，当终端在接入网络上网时，设备会将终端重定向至绿洲平台进行 Port

27、al 认证，认证通过的节点即可访问互联网或指定的网络区域。绿洲平台对接入认证的无线终端数量不设上限，同时为运营方提供了丰富的认证策略，为无线终端提供更优质的使用体验，同时管理员可根据需要定制专属的广告推广业务。2. 认证方式绿洲平台为无线终端提供多种认证方式，包括一键认证、固定账号认证、短信认证、微信公众号认证、微信连 Wi-Fi 认证、哑终端认证、访客认证和 APP 认证，提供再次连接免认证功能，且部分认证方式可组合使用。3. Portal 定制支持自定义认证页面的能力，全图形化配置，所见即所得；支持拖拽调整布局，支持认证框、按钮等部分的自定义，如颜色、文字等。12图2-13 认证 Port

28、al 定制模板支持开发者模式，支持用户自行开发认证页面；支持权限单独分配，授权运营人员。定制及页面给用户运营带来极致体验。4. 认证用户管理绿洲平台除了支持账号的批量管理，自助修改等能力。等常见功能外，还支持黑和 Portal 用户逃生用网络，加入黑操作不会立即使其下线，但会禁止该终端下次认证上线。若某离线终端已处于黑中，且该终端符合任一免认证方式的免认证条件（终端曾认证通过且在免认证期内），则系统将依据黑禁止该终端认证上线。Portal 用户逃生：该功能在认证服务器不可达或 Portal Web 服务器不可达时生效。当接入设备探测到 Portal 认证服务器或者 Portal Web 服务器

29、不可达时，暂停无线服务上的 Portal 认证功能， 允许 Portal 用户不经过认证即可访问网络资源。当设备探测到服务器恢复时，认证会再次生效。5. 认证高级功能自动弹窗抑制，默认情况下，用户在接入无线服务进行认证时，会自动弹出认证页面。若管理员希望用户在连接无线服务进行认证时手动打开浏览器触发认证流程而非自动弹出认证页面，可以开启该功能。短信认证模式下，支持记住手机号，终端限制，自定义短信验证码有效时长等。微信认证模式下支持强制关注，跳转微信小程序，取消关注强制下线等能。上网时段限制，上网时长限制，哑终端认证、免认证等丰富的认证控制手段。2.4.5AI 智能运维管理Cloud-Net 方

30、案的智能运维功能，支持对无线设备和无线终端的问题可视，以及快速定位与分析， 能够帮助用户高效的解决无线网络的问题。无线智能运维功能目前只有无线产品支持，包括 MSG 和独立 AC 设备。（注：MSR 虽然内置 AC，但不支持此功能。）H3C 绿洲智能运维是融合云、网、端三位一体的网络运维系统，能够随时随地的进行网络监控，致13力于迅速定位网络问题以及智能优化网络配置。绿洲智能运维让复杂的网络运维工作变得简单有效， 极大节省用户运维成本。目前绿洲智能运维依托绿洲云，清晰且富有组织的呈现网络设备的相关历 史数据，基于边缘计算以及大数据的计算能力，极尽全力提升终端用户体验。网络健康度：绿洲平台通过对

31、网络信息的收集、分析和处理，直观呈现整个网络的监控度，详细呈现无线 ACAP、终端的统计信息。Oasis Cloud-Net 提供基于用户业务的网络监控，实时基于场所计算全网的健康度，并为不同网络进行评分体验，指导用户进行网络的优化。Oasis Cloud-Net 根据问题现象结合云平台强大的数据分析能力，轻松发现网络各种问题；根据掌握问题出现的规律，结合大数据和 AI 分析算法，能够对网络故障趋势做出预测，并提供优化和处理建议。基于专家分析系统，快速定位出问题的分类，辨别出终端还是网络故障，精确指出问题根源。AI 技术的运用，将彻底改变中小企业的运维模型，使网络运维进入新的时代，降低对人的依

32、赖。2.4.6开放 API，增值应用绿洲平台提供客流分析、酒店管理、物联网和 Wi-Fi 融合场景的应用，提供丰富的开放接口，使网络数据给客户运营赋能，加速企业的业务增值。绿洲平台提供在线开发能力，满足用户上层应用开发及终端对接需求，终端对接通过可视化操作， 降低终端对接成本，满足绿洲平台对终端设备的管理，用户同时可在绿洲平台针对对接后的终端进行上层应用的开发，支撑业务的端到端部署，同时新华三提供专业化开放实验室供合作伙伴及用户使用。3 Oasis Cloud-Net 方案设计3.1 场景组网设计3.1.1 微型门店场景1. 网络需求(1)(2)(3)AP 数目=3，人数30 人；以太网链路/

33、光纤/4G 上行； 有或者无 VPN 连接。142. 拓扑设计图3-1 拓扑设计3. 设备选择可根据 WAN 的连接方式（以太/光纤/4G），WAN 口数目，PoE 能力，绿洲 VPN 管理能力，智能运维，是否内置蓝牙等指标选择合适的网关设备款型，推荐款型如下：表3-1 网关设备3.1.2小型门店场景1. 网络需求(1)(2)(3)(4)AP 数目=10，人数100 人； 以太网链路/光纤；有或者无一台 Switch；有或者无 VPN 连接。15设备名称WAN 口数目光纤接入PoE内置4G绿洲VPN配置蓝牙无线认证客流分析无线智能运维市场MSG360-4-PWR1N60wNN内置YYY分销MS

34、R810-LM-WiNet2YNYY外置YYN分销MSR810-10-POE2Y60wNY外置YYN行业MSR810-LM2YNYY外置YYN行业2. 拓扑设计图3-2 拓扑设计3. 设备选择可根据 WAN 的连接方式（以太/光纤），WAN 口数目，POE 能力，绿洲 VPN 管理能力，智能运维，是否内置蓝牙等指标选择合适的网关设备款型，推荐款型如下：表3-2 网关设备交换机设备推荐：S5130S-28P-PWR-E（I行业）；分销场所小贝系列和 WiNet 系列和网关配套选择。3.1.3中小型门店场景1. 网络需求(1)(2)(3)(4)AP 数目=20，人数200 人； 以太网链路/光纤；

35、一台 Switch；有或者无 VPN 连接。16设备名称WAN 口数目光纤接入POE绿洲VPN配置蓝牙无线认证客流分析无线智能运维市场MSG360-10-PWR2N196wN内置YYY分销MSR830-5BEI-WiNet2NNY内置YYN分销MSR8102YNY外置YYN行业2. 拓扑设计图3-3 拓扑设计3. 设备选择可根据 WAN 的连接方式（以太/光纤），WAN 口数目，绿洲 VPN 管理能力，智能运维等指标选择合适的网关设备款型，推荐款型如下：表3-3 网关设备交换机设备推荐：WAS6124-PWR（分销），S5130S-28P-PWR-EI（行业）。3.1.4中型门店场景1. 网络

36、需求(1)(2)(3)(4)AP 数目=40，人数300 人； 以太网链路/光纤；多个 Switch；有或者无 VPN 连接。17设备名称WAN 口数目光纤接入绿洲 VPN 配置无线认证客流分析无线智能运维市场MSG360-201NNYYY分销MSR2600-6-WiNet2YYYYN分销MSR2600-6-X12YYYYN行业2. 拓扑设计图3-4 拓扑设计3. 设备选择可根据 WAN 的连接方式（以太/光纤），WAN 口数目，二层 LAN 口，绿洲 VPN 管理能力，智能运维等指标选择合适的网关设备款型，推荐款型如下：表3-4 网关设备交换机推荐：WAS6148-PWR（分销），S5130

37、S-52P-PWR-EI（行业）。3.1.5中大型门店场景1. 网络需求(1)(2)(3)(4)(5)AP 数目=80，人数500 人； 以太网链路/光纤；多台 Switch/两级 Switch； 独立的 AC 设备；有或者无 VPN 连接。18设备名称WAN 口数目光纤接入二层LAN绿洲 VPN配置无线认证客流分析无线智能运维市场MSG360-402N6NYYY分销MSR3610-X1-WiNet4（WAN+LAN）+2光Y0YYYN分销MSR3610-X14（WAN+LAN）+2光Y0YYYN行业2. 拓扑设计图3-5 拓扑设计3. 设备选择此场景组网绿洲 VPN 配置、无线认证、客流分析

38、、无线智能运维功能都支持。网关设备推荐：MSR3610-X1-WiNet（分销），MSR3610-X1（行业）。AC 设备推荐：WAC380-120（分销），WX2560H（行业）。交换机设备推荐：分销：WS5820-28P-WiNet（汇聚），WAS6148-PWR，WS5820-52TP-WiNet；行业：S5130S-28P-EI（汇聚），S5130S-52P-PWR-EI，S5130S-52TP-EI。3.2 网络设计3.2.1 开局设计Cloud-Net 自动部署/开局方案会为每个场所自动分配指定的 IP 地址/VLAN。开局部署完成后，场所内的设备都会获得规划的管理地址，并被绿洲管

39、理。Cloud-Net 方案在创建场所时，将场所规模分为为小型场所和中型场所。小型场所人数100，设备数30；中型场所人数500，设备数120。Cloud-Net 方案会为不同规模的场所分配不同大小的地址池。为了支持 MSR 网关设备利用多个 L3 端口连接内网设备的需求，Cloud-Net 场所预留管理地址时， 每个场所一共预留了 5 组管理地址。其中管理网络 1 的地址专门用来分配给网关 L2 接口连接下的设备。其它 4 组管理地址，用来分配给网关 L3 接口连接下的设备。即 Cloud-Net 方案最多支持 4 个 L3 端口与内网设备连接。开局前需要了解场所网关 WAN 口的接入方式，

40、如果使用 DHCP 方式（通常是因为网关挂在一个光猫下），需要先确认光猫给网关 WAN 口缺省分配的 IP 地址，与网关规划的管理地址池是否冲突。如果冲突的话，需要修改光猫 LAN 的地址池配置，或者修改规划的管理地址池范围。目前网关上都缺省有一个 LAN 地址池，也需要注意这个地址池与光猫给网关 WAN 口缺省分配的 IP地址是否冲突，如果冲突，会导致网关 WAN 口 DHCP 获取地址失败。此时最好修改光猫 LAN 的地址池配置避免冲突，也可以利用本地 Web/CLI 等方式修改网关缺省的 LAN 地址池范围。19Cloud-Net 方案必须使用绿洲精灵 APP 进行自动部署，通过绿洲精灵

41、 APP 对网关设备的配置完成开局流程。绿洲精灵 APP 与网关设备之间使用蓝牙连接，部分网关内置蓝牙，可直接与 APP 连接，不支持内置蓝牙的网关，需要外置蓝牙模块与 APP 连接。在利用 APP 对网关设备进行配置操作前，如果场所内的设备还没有加入场所，则需要先利用 APP的扫码功能把场所的所有设备（不包括 AP）加入指定的场所。Cloud-Net 方案对设备的版本有要求，如果场所内有设备版本不满足 Cloud-Net 方案要求，则 APP 会禁止用户进行“自动化部署”操作完成开局流程。用户开局使用的设备版本可能不是 Cloud-Net 要求的版本，APP 支持场所内的设备连接到网关后，对

42、场所内的设备进行自动版本升级即一键将场所内的设备（网关和 Switch，不包括独立的 AC）都升级到 Cloud-Net 所要求的版本。但此功能对设备款型有要求，Switch 必须是 WAS6100 系列或 WS5800 WiNet 系列（WS5800 必须是 2019 年 8 月 5 日后生产发货的设备）。因为目前只有这两个款型系列的版本内置了绿洲域名， 而且 vlan1 interface 设置为 DHCP 自动获取 IP。这样这两个款型系列连接到网关后，会与绿洲自动连通。对于其它系列的款型，只能采用手工配置设备连通绿洲（需要在设备上配置绿洲的域名），再利用绿洲对其升级的方式，或者本地升级

43、的方式先把设备升级到指定的 Cloud-Net 版本。版本升级完成后，即可进行自动化部署。如果通过绿洲平台升级设备版本，版本升级完成后，在绿洲场所拓扑上能看到所有设备。此时点击“自动化部署”，可完成对场所内所有设备的部署。如果使用本地方式升级设备版本，可能会发现某些设备在绿洲拓扑上也看不到。这是因为这些设备不会缺省连接绿洲。对于这种情况，建议先拔出网关与内网设备之间的连线，点击“自动化部署” 按钮完成网关的部署，再连接网关与内网设备之间的连线，待这些设备在绿洲场所的拓扑中可见后，再次点击“自动化部署”完成对这些内网设备（Switch、AC、云 AP）的部署。3.2.2业务网络（VLAN）设计C

44、loud-Net 方案为场所缺省提供两个 VLAN，一个为 VLAN1，用于管理设备，所有的设备（不包括云 AP）都会获得 VLAN1 地址；另一个为缺省业务网络 VLAN20，Switch 和网关的空闲端口，以及创建场所时缺省创建的 SSID 都属于VLAN20。如果用户需要更多的 VLAN，可以利用 Cloud-Net 业务网络功能自行创建更多的 VLAN，一个租户下，L2 LAN 口下最多可以创建 10 个业务网络（一个业务网络可同时应用到租户的多个场所）。3.2.3VPN 设计Cloud-Net 分支 VPN 方案支持“Hub-Spoke”拓扑结构的 VPN 组网，Hub 节点随 VP

45、N 域一起创建，通常部署在总部场所。创建 Hub 节点的同时可指定 VPN 域的路由信息、认证策略以及域优先级等配置。Cloud-Net VPN 方案利用 ADVPN 的 VPN 域支持了多种总部分支组网，中心单网关场景，中心双网关场景，双中心场景都支持。分支支持一个 WAN 口，也支持双 WAN 口。一个 VPN 域只能配置在一个 WAN 口上。20Hub 场所一般规模较大，而 Cloud-Net 场所类型规模有限制，所以 Hub 场所有可能不是 Cloud-Net类型的场所。Spoke 节点部署于分支场网关设备上并连接到所属 VPN 域的 Hub 节点，实现分支与总部的 VPN数据互通。C

46、loud-Net VPN 方案采用 ADVPN 技术，同时在 Spoke 节点与 Hub 节间点使用 IPsec 隧道进行通信，保证数据跨公网传输时的安全可靠。一台分支网关设备上可配置多个 VPN 域，支持 VPN 业务流在两个 VPN 域之间的备份。3.2.4认证设计Cloud-Net 方案依托 H3C 绿洲平台的绿洲认证组件，采用 Portal 推送的认证方式，为接入场所的无线终端提供多样的认证方式。绿洲平台提供的认证方式包括一键认证、固定账号认证、短信认证、微信公众号认证、哑终端认证、访客认证以及 APP 认证，部分认证方式支持组合使用。绿洲平台实现了Portal 认证配置的一键下发。用

47、户不再需要通过命令行对接入设备进行 Portal 配置， 只需在绿洲平台选择场所内的接入设备进行认证配置，创建认证模板，绑定无线服务后，平台即可将 Portal 认证的完整配置下发到接入设备。用户配置操作过程达到了最简化和去专业化。绿洲平台 Portal 认证系统中，由场所中担任 AC 角色的设备来作为接入设备，并不局限于独立的 AC设备。场所中作为内置 AC 的 MSG 网关、MSR 网关以及独立 AC 设备均可。Cloud-Net 方案中，当使用独立 AC 设备作为接入设备时，为了实现终端通过接入设备跳转到绿洲云平台，会在 AC 设备创建业务网络的 VLAN 虚接口中下发配置，并通过 DH

48、CP 获取相应网段 IP 地址。场所内存在多个业务 VLAN 时，则会在 AC 上创建多个对应的 VLAN 虚接口。3.2.5运维管理设计1. 绿洲平台与账号设计Oasis Cloud-Net 解决方案通过绿洲平台，主要面向中小企业用户的轻量级多业务平台，适用于中小企业办公网络，中小型商业网络以及分支连锁场景。绿洲平台为以上类型场景提供场景化解决方案，包括开局部署，设备监管，无线运维，数据对接与应用等。绿洲账户分为两种，租户与子账户，在登录页面注册的绿洲账户为租户，具有最高权限。登录后创建的账户均为子账户，子账户的权限低于租户。注册完成的租户或创建完成的子账户均可在登录页进行登录。2. 网络监

49、控告警设计绿洲平台上先配置场所和分支，增加设备或者自动部署加入分支设备管理。设备添加到场所中后， 可以执行一些基本操作，如修改设备名称、批量删除设备、查看设备基本信息等。在绿洲平台页面顶部导航栏中选择“网络管理”，在分支卡片中选择指定的分支（或场所），而后在“设备”页签下的设备列表中可看到该分支（或场所）中的所有设备。绿洲平台支持对网关、交换机、无线 AC 和 AP 的状态监控。在场所设备告警页面可以显示当天本场所下指定或全部设备出现的各级别告警信息。告警级别按照从高到低依次为：致命、紧急、严重、关注、提示。3. 设备配置管理绿洲云平台上进行网关、交换机、无线 AC 和 AP 的配置及常见设备维护操作。21针对无线 AC，可以远程进行无线服务，无线应用于无线调优相关远程操作。针对有线、无线设备还可以远程进行设备批量配置、远程升级、远程重启等维护操作。4. 移动运维设计绿洲精灵 APP 配套进行移动运维，提供场所配置、开局扫码 APP，工勘 APP，验收 APP 等； 针对无线分支场所提供