云管理网络

网络数字地图

全网资源可视

GIS地图

站点位置

-

站点在GIS地图基于经纬度呈现，站点的tips支持呈现设备、应用、用户的数量统计信息。

站点汇聚

-

缩放地图时，多个站点在相同位置支持聚合，并且聚合态站点支持聚合态的tips。

站点互联

-

站点在ipsec vpn互联场景，支持在GIS地图上呈现站点间互联信息。

地图配置

-

• 支持全屏显示GIS地图。
• 支持GIS地图上站点、链路等图例。
• 支持设置地图视角：默认显示全部站点，也可以设置成指定视角。

站点搜索

-

支持基于站点名称搜索站点，并在GIS地图上快速定位站点。

站点拓扑

区域管理

-

支持在站点内划分区域，可划分楼栋楼层拥有管理AP在空间视图的真实物理位置。

物理拓扑

-

• 支持基于LLDP协议动态发现物理拓扑、基于站点维度的物理拓扑呈现。
• 支持在物理拓扑上呈现设备的状态和基本信息。
• 支持在物理拓扑上基于设备名称、IP地址/地址段快速找到单个或者多个设备。
• 不同设备类型用不同图标展现。
• 支持逐级展开和收缩设备组、终端组。
• 链路呈现链路两端设备接口、链路流量信息。
• 拓扑布局支持横竖切换。

设备管理

-

• 支持在拓扑上查看设备详情。
• 支持在拓扑上删除设备。

站点配置

-

支持在站点拓扑上快捷进行站点配置。

站点网络监控

-

支持在站点拓扑上快捷进入站点网络监控页面。

站点统计

-

-

• 支持呈现站点列表，以及站点数量的统计。
• 支持创建站点。
• 选择站点后，在GIS地图上定位并显示站点详情。

设备统计

-

-

• 支持呈现设备列表，以及设备数量的统计。
• 支持创建设备。
• 选择设备后，在GIS地图上定位设备所属站点，或者在拓扑上定位设备。

应用统计

-

-

• 支持呈现应用列表，以及应用数量的统计。
• 支持进入应用管理页面。

用户统计

-

-

• 支持呈现用户列表，以及用户数量的统计。
• 支持进入用户管理页面。

互联统计

-

-

• 支持呈现站点ipsec互联列表，以及互联数量的统计。
• 支持创建站点间ipsec互联。
• 选择站点间互联后，在GIS地图上定位并高亮展示站点间互联。

应用体验地图

重点应用保障

-

-

• 支持选择应用以及对应的站点进行应用保障（最多10个应用，同时支持自定义应用）。
• 支持配置应用优先级。
• 支持基于拓扑链路自动配置IPCA流起点、流终点（暂不支持编排流经点）。
• 支持基于拓扑链路自动开启接口应用识别、应用流量统计。
• 支持拓扑链路或者配置变更时的差异检测

应用概览

-

-

• 应用可视：支持查看应用列表、非法应用、流量统计。
• 总流量趋势：支持站点总流量趋势分析，设置阈值监控流量超限。

网流分析

-

-

支持设备、主机维度的网络流量分析

应用地图

-

-

• 支持应用统计胶囊，应用事件冒泡，站点应用统计。
• 支持单应用流列表详情，单应用、单站点查看全流路径拓扑可视。

用户体验地图

VIP用户保障

-

-

• 支持设置用户为VIP用户。
• 支持设置访客为VIP访客。
• 支持给VIP用户/访客进行授权（认证授权在准入认证中）。
• 支持给VIP用户/访客预留空口带宽和WIFI优先接入（在站点配置中）。

用户列表

-

-

支持查看用户接入信息列表

用户旅程

-

-

支持查看用户旅程信息：用户信息、指标概览、接入旅程各节点详情。

协议回放

-

-

支持基于无线用户接入三阶段协议级别过程呈现，包括关联、认证（仅支持Dot1x认证方式）、DHCP，通过细化各个协议交互阶段结果与耗时，提供用户接入过程个障的精细化分析，支持呈现用户接入失败的大概率根因与修复建议。

用户地图

-

-

• 支持用户统计胶囊，用户VIP事件冒泡，站点用户数据统计。
• 支持楼层拓扑展示用户轨迹，支持单用户网络质量（用户网络指标）信息及用户网络体验故障分析。

网络健康地图

智能调优

首页概览

-

• 支持调优收益查看，包括上下行带宽、干扰率、信号强度、漫游成功率等。
• 支持AI推理数据查看：高负载AP、终端漫游基线、低功率AP、大带宽AP、大带宽AP重保AP、干扰AP对、差体验AP、边缘AP。
• 支持智能无线射频调优次数与AI漫游引导次数查看。

容量调优

• 支持大带宽AP组网识别，提升频宽到80M，获得更大的网络体验。
• 依赖：依赖规划AP点位。
• 约束：
  • 不支持2.4G频段（2.4G只支持20M频宽）。
  • 不支持云AC+FitAP组网通过系统下发配置（控制器不支持）。

漫游调优

-

• 支持终端漫游基线自学习，提高设备更准确发现终端漫游引导时机，提升漫游成功率。
• 依赖：
  • 三射频AP（需开启第三射频独立扫描）
    • 支持对手机终端引导设备版本：V200C021C00
    • 支持对笔记本终端引导设备版本：V200C022C00
  • 双射频AP
    • 支持对手机、笔记本终端引导设备版本：待V200C023C00支持
  • 支持云AP设备版本：待V200C023C00支持
  • AP之间二层网络互通

覆盖调优

-

• 支持低功率AP识别，推荐合理功率。
• 依赖：WAC支持版本：V200C021C00。
• 约束：不支持2.4G频段（避免引导了更多用户接入2.4G频段。

干扰调优

-

• 支持干扰影响度评估和排序，指导设备优先避让高干扰设备。
• 依赖：
  • WAC支持版本：V200C022C10
• 约束：
  • 不支持随版AC
  • 不支持云AP

AI推理

-

• 持高负载AP、终端漫游基线、低功率AP、大带宽AP、大带宽AP、干扰AP对、差体验AP、边缘AP列表呈现。
• 支持重保AP增加、删除、查看。

调优记录

-

• 支持调优记录查看：调优时间、调优类型、调优范围、调优频段、调优后的终端上下行带宽，干扰率、信道利用率等。

网络健康

仪表盘

-

支持网络整体概览评估，包括健康度评分，接入用户、流量及设备数。全网问题分布与调优次数，AP款型代际升级及覆盖补盲决策项。

无线健康度

-

• 评价指标支持接入成功率、接入耗时、信号与干扰、容量、漫游、吞吐、并按照优良差分档评估。
• 根因指标支持关联/认证/DHCP成功率、关联/认证/DHCP耗时、信号强度、信道利用率、用户数、带宽、漫游成功率、漫游耗时、干扰率、空口拥塞达标率、非5G优先占比。
• 支持查看评价指标排名、趋势；支持查看根因指标详情。
• 数据分析支持issue关联呈现，支持数据聚类能力，包括AP聚类、用户聚类、SSID聚类等，并识别问题终端、问题AP等提升运行效率。
• 支持健康度评估报告本地下载。

问题分析

• 支持查看连接类问题的数量、分布、详细信息。连接类问题支持：认证失败（802.1x认证、mac认证）、认证慢（802.1x认证）、认证超时（802.1x认证、mac认证）、关联失败（有线用户不支持）、关联慢（有线用户不支持）、DHCP失败、DHCP慢。
• 支持认证服务器不可达、用户数超容量等问题的根因识别，支持认证类问题关联设备类问题的根因识别。
  说明：

  portal认证的场景，由于不同portal服务器的差异，网络接入控制流程不同，只有最终到Radius上认证的场景才支持。

• 支持查看空口性能类问题的数量、分布、详细信息。空口性能类问题支持：弱信号覆盖、高信道利用率、高干扰、空口拥塞、终端容量、非5G优先接入。
• 支持查看漫游类问题的数量、分布、详细信息，包括乒乓漫游。
• 支持设备容量类、设备性能类、设备状态类、网络策略类、网络协议类、网络性能类、网络状态类，共7大类有线问题分析。

网络云化管理

资源管理

资源管理

设备管理

云盒设备管理（V200/V300/V500）

云盒设备通指通过Netconf Callhome方式与Campus建联的设备，包括路由器（AR）、云AP、交换机、防火墙。

• 支持导入设备SN号，设置设备名称和描述，关联站点。
• 支持单个和批量删除设备。
• 支持显示租户下存量设备列表信息，包括名称、SN、状态、所属站点、型号、license状态、软件版本、注册时间等，支持根据状态、站点类型和关键词过滤查询。
• 支持修改设备名称、描述、SN、角色等信息。

云盒设备管理（V600）

支持V600设备的纳管，包含AR、交换机，防火墙，纳管方式与V200/V300/V500设备一致。

远端模块管理（*）

支持分布式交换机管理，以远端模块方式在中心交换机设备详情中呈现，支持端口隔离配置下发、设备复位、设备性能数据上报和接口性能数据上报。

WiFi-CPE（*）

• 支持WiFi-CPE统一纳管。
• 支持WiFi-CPE远程监控。
• 支持WiFi-CPE批量远程升级和远程指令下发。

COAP协议设备管理（*）

支持通过COAP协议管理S3510-S系列交换机，包含：

1、设备纳管及上线

2、注册中心开局、DHCP开局

3、物理接口、本地用户、时间同步、设备名称、LBDT配置

4、静态/动态MAC表项性能数据上报

5、支持温度、风扇、光模块、POE、环路检测、接口丢包等关键告警上报

6、支持设备重启、设备升级、设备接口列表查询

站点管理

站点管理

• 支持创建站点，指定站点名称、站点下设备类型、站点GIS位置、描述信息。
• 支持修改站点的名称、GIS位置和描述，支持新增站点下的设备类型。
• 支持站点列表，呈现站点下的应用数、VIP数等信息。
• 支持基于站点名称、设备类型、和站点状态进行站点查询。

文件管理（*）

文件管理（*）

• 支持通过WEB上传各种类型的本地文件，包括软件包、补丁、证书文件、license文件。
• 支持查看文件上传的任务列表，可以停止或取消某个上传任务。
• 支持上传文件（软件包、补丁）签名校验。

其中，软件包、补丁由uUpgrade实现。

网规&开局

网络规划与设计

组网方案规划

组网方案推荐

• 基于AI+预置规则进行推荐。
• 基于零售商超场景的组网方案推荐。
• 基于分支办公场景的组网方案推荐。
• 基于高教校园场景的组网方案推荐。

组网方案手动优化

• 通过无线网规工具优化无线组网配置。
• 通过拓扑规划优化拓扑组网。
• 通过业务配置调整优化网络配置。

生成网规报告

• 支持生成网规LLD报告。
• 支持生成项目技术建议书。

自动开局

组网方案导入

• 支持网规自动导入设备清单。
• 支持网规自动导入网络配置。
• 支持网规手动导入。

协同网规

支持MSP网规

• 支持MSP租户进行网络规划。
• 支持MSP网规方案分享。

网规（*）

网规管理（*）

-

• 支持工程创建、修改、删除、导入、导出和合并。
• 支持网规工程同步到室内地图。
• 网规工程包括楼层、楼栋、环境设置、区域设置、设备布放、信号仿真、导出报告。
• 支持云盒设备的网规统一管理。

Easy-Branch

预置场景业务发放

-

• 支持微型分支业务发放。
• 小型分支业务发放。
• 中小型分支业务发放。
• 大型HUB业务发放。
• 全局配置发放。

runbook

-

提供基础框架能力，支撑以上预置/自定义场景的配置发放：

• 表格批量导入/导出业务配置。
• 支持用户自定义场景工作流，预置/自定义场景支持复制、编辑。
• 场景配置发放支持批量执行、重试、回滚、日志记录。
• 支持自定义场景动作包。

网络业务配置

网元注册

协议通道

管理方式（云盒）

云盒设备基于SSH通道主动Callhome连接控制台。

SN白名单

-

支持配置SN白名单，不在名单里的设备不允许注册纳管，提升安全性。

网元认证

-

认证采用证书+SN双向校验。

开局方式

DHCP开局

本地部署采用DHCP Option 148配置方式，设备获取IP后自动连接华为乾坤云平台。

注册查询中心开局

采用注册查询中心开局方式，在华为乾坤云平台上导入设备SN，设备自动连接注册查询中心后完成到租户的注册上线。AR暂不支持。

APP开局

支持开局人员使用开局APP扫码录入完成AP设备开局。

邮件开局

支持设备在开局部署时，用户预先将开局文件发送到开局人员的邮箱，开局人员使用PC或便携机作为开局终端，接收开局邮件，然后将开局终端接入设备执行开局操作，仅限AR设备。

U盘开局

支持设备在开局部署时，用户预先将开局文件存储在U盘中，然后将U盘插入设备，通过从U盘下载开局文件实现开局部署，支持防火墙、路由器（AR）设备。

免ESN开局

• 支持设置站点SiteCode并配置DHCP Option 148字段传递SiteCode信息，设备上线时携带SiteCode自动上线，实现免ESN开局能力。
• 支持审批和免审批方式，免审批方式下设备自动添加到站点设备列表里，审批方式下设备进入待审批列表，由管理员手动审批完成设备添加。
• 支持SiteCode生命周期管理，支持SiteCode开启、关闭、刷新、失效等功能。

命令行开局

通过串口连接设备，配置命令行指定设备要连接华为乾坤云平台的地址，完成设备上线。

网络配置

站点配置模板管理（*）

站点配置模板（*）

• 支持站点模板创建、查看、修改、删除。
• 支持站点模板绑定到站点，与站点解绑。
• 站点级模板支持配置包括：
  • 站点级配置，BootROM、SNMP参数、本地用户、NTP。
  • AP参数：射频、SSID、攻击防范、无线安全、DHCP。
  • 防火墙参数：子网、DNS、认证、SSID、流量策略。

CLI站点配置模板（*）

支持CLI站点配置模板，包括AP、AR、防火墙、交换机。

站点配置模板克隆（*）

站点配置模板支持克隆。

站点批量配置（*）

• 支持子模板的创建、查看、修改、删除、克隆。
• 支持站点模板与站点绑定和解绑。
• 支持父模板与子模板配置同步，支持同步的范围：AP SSID、射频、无线安全、攻击防范、DHCP、IPV6业务。

特性模板（*）

交换机端口特性部署模板化（*）

• 端口安全特性部署模板：DHCP snooping；ND Snooping；IPSG；DAI；端口隔离及风暴控制，可以绑定到多个交换机端口。
• 端口VLAN：配置access VLAN/trunk/hybrid VLAN，缺省VLAN，允许通过的VLAN以及voice VLAN，并绑定到多个端口。
• 端口物理属性：自协商；POE使能。
• 端口环网：可以配置STP使能，环路检测，并绑定到多个端口。
• 端口流量策略：基于接口或接口组下发流量策略：DSCP（0~63，0最低）/802.1P优先级（0~7，0最低）。
• 支持接口应用识别和应用流量统计。

交换机设备特性部署模板化（*）

• 支持设备组定义。
• 支持基于设备或设备组下发流量策略（仅限交换机），包括：
  • 出方向、入方向、双向。
  • 流分类定义：五元组、Vlan段。
  • 流行为应用：Deny/Permit。
  • 流量限速包括：CIR/PIR/CBS/PBS。
  • 流量优先级包括：本地优先级/DSCP优先级/802.1p优先级。

模板管理

模板管理（*）

支持创建、修改和删除业务模板。

业务模板（*）

• 支持ACL、动态ACL、URL、URL分类模板。
• 支持Radius服务器和Radius中继、HWTACACS服务器和第三方Portal模板。
• 支持认证模板、逃生策略模板。
• 支持流分类模板、流行为模板。
• 支持定义HQOS依赖的相关模板，包括：自定义应用模板、应用调度模板。
• 支持IGMP Snooping模板。
• 支持WAN链路模板。
• 支持防火墙安全域模板管理，防火墙IP/MAC地址集管理。
• 支持自定义SA应用。

设备模板

交换机接口模板（*）

支持交换机设备级模板管理，包括设备级模板的增加、删除、修改、查询，交换机的接口特性适配设备级模板。

CLI模板（*）

支持CLI设备模板，包括AP/AR/防火墙/交换机。

站点克隆（*）

站点克隆（*）

支持把源站点的部分站点级配置克隆到目的站点。

站点深度克隆（*）

站点克隆时支持勾选深度克隆（仅支持单FW站点，FW+AP站点），会把站点级配置和FW的配置克隆，主要应对：

1. 把源站点的设备，克隆到新站点为无ESN的未注册设备
2. 克隆站点的部分站点级配置（同原来的站点克隆特性）
3. 克隆部分设备级配置：
   • FW：接口、IPSecVPN的Spoke设置、WAN口配置
   • AP： 设备级射频

站点克隆配置同步（*）

手动触发克隆的配置同步（包括站点级克隆内容和设备级克隆内容）

支持网络配置魔方（*）

支持V600设备网络配置魔方（*）

通过引入搭积木式的业务配置模板，助力企业网络业务批量复制，批量部署， 个性定制和快速上线。

关键能力：

• 支持批量复制（继承），批量部署，联动批量修改。
• 支持模板导入导出。
• 支持灵活组装特性。
• 支持模板应用时使用变量参数。

GND设备配置（*）

GND单设备配置（*）

支持通过GND基于云杉设备下发配置。

GND还原（*）

支持V600交换机GND还原，特性范围：LLDP、接口管理、VLAN配置、STP配置、IP基础业务配置、DHCP配置、ACL配置、IPv4静态路由。

特性模板（*）

支持将多个GND特性组成特性模板，通过特性模板批量部署设备配置下发。

基础配置管理

设备名称配置

-

控制台下发设备名称到设备，以便准确地进行设备识别。

设备管理员帐号密码配置

-

控制台支持修改设备admin账号的密码、服务级别以及支持的服务类型。

SNMP（*）

SNMP基本配置（*）

• 用户配置SNMP（简单网络管理协议），以便用户网络中其他网管（如eSight等）或告警服务器通过SNMP协议连接设备，使用户可以通过网管查看设备的配置，设备可以上报告警到告警服务器。
• 允许指定可以通过SNMP访问设备的IP地址范围。

SNMP告警屏蔽（*）

支持屏蔽接口链路层状态变化SNMP告警。

时间配置

-

• 配置时区，使设备本地时间显示为当地时间。
• 配置NTP，使设备通过NTP进行时间同步，确保时间准确。

二/三层网络业务管理

接口管理

接口配置

• 支持以太网接口信息按照列表显示。
• 接口配置包含管理状态、描述、自协商（速率和双工模式）、管理VLAN自协商、VLAN ID和允许通过的VLAN、Voice VLAN、QINQ双层VLAN。
• 支持链路邻居发现协议开关：LLDP/CDP。
• 支持端口安全配置，包括：DHCP Snooping/ND Snooping/ARP Snooping/DNS Snooping/mDNS Snooping/DAI/IPSG/风暴抑制/环路检测。
• 支持基于IP子网划分VLAN的开关。
• 变化通知SNMP TRAP开关。
• 动态MAC采集开关。
• Trust选项、端口隔离、风暴控制、环路检测、POE供电。
• STP开关、边缘端口配置。
• 配置重置。
• 支持流量策略。
• 支持指定设备重启后端口延迟UP的时间。
• 支持ARP表项老化时间。

多出口管理（*）

• 支持多出口链路的配置管理，包括接口下的NAT配置及状态监控。
• 支持3G/LTE/5G作为备份链路。

框式交换机上云

-

支持框式交换机纳管，基础运维（诊断工具、性能监控、告警上报、升级），板卡插拔。

交换机堆叠

盒式交换机堆叠

• 堆叠自动配置。
• 支持租户管理员管理堆叠和堆叠成员，显示堆叠告警故障状态，堆叠设备主机和成员上下线。
• 支持堆叠升级、证书替换、堆叠告警、性能监控、设备日志上报。
• 支持堆叠成员配置下发、保留vlan配置、多主检测。

框式交换机堆叠

• 支持框式交换机堆叠上云：拓扑查看、巡检、升级、堆叠分裂检测及基础运维。
• 支持堆叠成员替换。

M-LAG

M-LAG

支持VLAN组网下组建M-LAG设备组，支持配置包含：

• DFS组、Peer-Link链路、双主检测链路、一致性检查、二次故障增强功能、M-LAG接口组等，支持网规导入。
• 支持Peer-Link状态检测、链路状态异常告警上报。
• 支持M-LAG在双活模式下无损升级。

Network

Internet网络接入

支持本地Internet接入和多分支互联两种模式的Network配置。

Network参数配置

• Network支持配置名称、描述、用途、VLAN ID、IP地址、掩码和DHCP配置。DHCP配置包括DHCP模式、DNS模式、DHCP Relay模式下的Server列表、租期、保留IP地址。
• 支持配置ARP代理、MTU、管理VLAN、管理地址固化策略。

Static管理IP

支持配置交换机子网、防火墙子网、AR子网的固定管理IP。

DHCP

-

在终端使用NAT模式接入网络场景下，需要为终端配置DHCP 地址池，支持IP地址、掩码、租期、主WINS、备WINS和静态绑定地址。

DNS

-

支持配置DNS模式（客户端、中继）、DNS服务器地址列表、本地域名配置列表。

NAT

-

支持EasyIp的NAT配置。

VPN

IPSec VPN

• 支持Hub-Spoke和Mesh两种模式的VPN配置（防火墙作为Hub设备）。
• Hub-Spoke模式下，支持配置一个Hub节点（第三方设备或云管理设备，支持配置进入VPN的网段）、选择安全模板的方式配置IKE提议和IPSec提议、配置多个Spoke节点（全部设备、手选设备或第三方Spoke设备，支持配置进入VPN的网段和VPN的限速）。
• Mesh模式下，支持多个设备与当前站点的设备组成Mesh网络、选择安全模板的方式配置IKE提议和IPSec提议、配置当前站点内组成Mesh网络的设备（全部设备或手选设备，支持配置进入VPN的网段和VPN的限速）。

IPSec VPN增强

• IPSecVPN智能选路场景Spoke支持多上行：
  • Spoke多上行与Hub组成M*N条链路，统一生成智能选路规则。
  • Spoke多上行变更时，重新生成智能选路规则。
  • Hub变更时，重新生成智能选路规则。
• 智能选路场景下，支持链路回切，高优先级的链路优先，默认使用高优先级；链路故障时使用低优先级；高优先级的链路恢复后，切换回高优先级链路。

管理VLAN

云盒自动协商管理VLAN

云盒自动协商管理VLAN新增云盒支持即插即用。

手工配置管理VLAN

用户配置管理VLAN，使内网设备通过独立的VLAN获取管理IP，避免与业务竞争IP地址。

管理VLAN配置

有线和无线PNP VLAN设置，并且支持基于核心交换机的端口对管理VLAN配置二层隔离策略。

STP

MSTP（*）

支持生成树实例，域名等MSTP基本能力配置。

RSTP（*）

使能RSTP协议，配置优先级。

VBST（*）

使能VBST协议，配置交换机和VLAN范围。

路由

策略路由

• 支持静态策略路由（配置基于五元组的策略路由进行选路）。
• 支持动态策略路由（基于应用种类和基于出口链路质量的智能选路）。

支持防火墙站点静态路由配置

支持防火墙站点静态路由配置。

支持交换机站点静态路由配置

支持交换机站点静态路由配置。

支持AR站点静态路由配置

支持AR站点静态路由配置。

LAN-WAN融合（*）

LAN-WAN端到端管理（*）

云管理控制器与SD-WAN控制器初步融合，界面统一：安装部署，性能监控，组织管理，设备管理，租户管理，维护诊断工具，维护升级，告警，站点管理。

支持WAN高级策略（*）

WAN侧出口支持配置ACL配置、Qos配置、智能选路策略、上网策略、安全策略、对接VAS、支持对接zScaler&Fortinet等第三方云安全平台。

WAN侧开局配置快速导入导出（*）

WAN侧开局配置快速导入导出。

WLAN业务管理

SSID管理

SSID配置

支持SSID的创建、修改、删除与查询功能，包含SSID基本配置（VLAN、最大用户数、启用射频、隐藏SSID、限速、WMM），支持SSID的高级优化配置。

Soft GRE（*）

支持基于SSID配置Soft GRE。

终端限速区分时间段（*）

单个终端分时间段限速进行上下行限速。

射频管理

-

• 支持国家码修改，支持射频开关、频宽、信道、发射功率和增益配置。
• 支持手动、自动和定时射频调优，包括2.4G和5G，支持设置调优TPC阈值。

内置Wi-Fi的AR支持双频同时开启。

漫游

-

支持中心AP和云AP间三层漫游。

双频DCA动态信道调整（*）

-

• 支持双频DCA动态调整开关、策略下发。
• 支持DCA信道调整结果查看。

WLAN AC上云

WLAN AC基本配置

• 通过Netconf报文创建控制到设备的ssh反向连接隧道。
• 控制台管理员的浏览器打开设备Web网管的界面。

WLAN AC兼容老款型AP

WLAN AC上云，可以管理非云盒AP；可以监控AP的状态；配置下发（功能较云盒AP少）。

WAC关联Fit AP

支持WAC关联Fit AP，支持从WAC中移除Fit AP关联关系。

WAC关联云AP（*）

支持WAC关联云AP，并支持配置WAC与云AP的加密隧道，实现流量的集中/本地转发，支持从WAC中移除云AP关联关系。

WAC配置上云（*）

针对V600版本WAC设备，支持如下配置范围上云：

• 支持无线配置向导，包括AC配置向导、AP上线、无线业务配置等基础配置。
• 支持有线基础配置，包括VLAN、接口管理、IP业务等。
• 支持无线基础配置，包括VAP、SSID、AP基础配置、AP组基础配置、射频配置等。
• 支持认证基础配置，包括Portal、802.1x认证、PSK等认证方式；以及AAA相关配置，包括Portal服务器全局设置、Radius设置等。
• 支持VRRP热备可靠性相关配置。
• 支持层次化模板的配置逻辑。
• 支持WAC配置还原。

VIP用户优先保障（*）

-

VIP用户优先保障。

802.11r（*）

-

支持802.11r的使能去使能。

抗非法AP干扰（*）

-

支持配置射频调优策略，让AP可以自动规避非法AP的干扰。

负载均衡（*）

-

支持AP基于终端数做负载均衡。

WLAN MESH配置（*）

-

支持Mesh配置和下发，支持MESH链路状态监控。

蓝牙（*）

蓝牙基本配置（*）

支持蓝牙广播，蓝牙监控。

蓝牙广播个性化配置（*）

支持给站点内设备配置不同蓝牙广播参数。

应用保障（*）

QoS（*）

报文重标记（*）

基于IP段/掩码，协议+端口，hostname，MAC地址，应用/应用分类（AP/AR/FW/SW不支持），用户组，时间段，国家/地区（仅防火墙）。

流量限速（*）

• 基于IP段/掩码，协议+端口，hostname，MAC地址，应用/应用分类（AP/AR/FW/SW不支持），用户组，时间段，国家/地区（仅防火墙）。
• 支持FW的每IP限流。
• 支持基于SSID和终端的上行、下行流量限速。

流量整形（*）

• 支持配置设备端口的端口队列和整形配置。
• 支持端口trust 配置：dscp和8021p，其中设备默认8021p。

拥塞管理（*）

支持配置端口拥塞管理，支持pq，wrr，drr及混合调度配置。

切片（*）

-

• 支持匹配五元组入切片。
• 支持VLAN/VxLAN/SRv6网络业务叠加切片。
• 设备配置和层次化模板支持切片配置。
• 网络切片支持拓扑可视。
• 支持在单设备详情中进行切片相关的表项查询。
• 支持匹配切片失败、切片资源不足、切片配置未生效相关告警呈现。

基础安全业务管理

静态MAC绑定（*）

-

支持基于设备配置MAC/VLAN/接口的绑定关系。

防异常报文攻击（*）

-

支持全局配置畸形报文、分片报文、TCP SYNC泛洪、UDP泛洪、ICMP泛洪攻击。

PSK加密（*）

-

漫游、负载均衡、射频调优等无线功能需要多个无线设备之间进行通信，此类通信信息可以进行加密，以提高网络安全性。

安全策略（*）

流量策略（*）

设备根据流量报文的特性进行条件匹配，对于匹配到条件的流量进行安全控制。

DHCP Snooping

-

支持在接口中配置DHCP Snooping使能。

源IP有效性验证（*）

-

支持按设备VLAN配置NA报文、NS报文、RS报文检测。

MAC黑白名单功能

-

MAC黑白名单功能。

WIDS/WIPS（*）

-

• 支持WIDS模板、白名单（SSID、OUI、MAC）、SSID仿冒识别规则模板。
• 支持WIDS检测配置；反制非法设备、非法客户端。
• 支持攻击检测与防御配置。

URL过滤

-

• 预定义URL分类过滤。
• URL黑白名单（HTTP/HTTPS）。

特征库升级（*）

病毒库升级（*）

控制台可以升级防火墙的病毒库。

文件信誉库升级（*）

控制台可以升级防火墙的文件信誉库。

恶意域名库升级（*）

控制台可以升级防火墙的恶意域名库。

入侵防护库升级（*）

控制台可以升级防火墙的入侵防护库。

IP信誉库升级（*）

控制台可以升级防火墙的IP信誉库。

干扰检测（*）

-

• 针对租户，提供有无干扰。
• 针对租户，提供干扰和AP的检测关系，并显示干扰类型。

无线非经（*）

-

-

支持中国的无线访问安全要求。

网络运维

配置维护（*）

配置结果（*）

-

• 业务配置完成之后，可以查看是否成功下发到设备，并支持失败配置重下发和配置全量下发。
• 支持查看全站点配置结果统计信息。

配置保存（*）

-

每隔2小时会自动向南向设备下发一次save操作，避免设备由于异常掉电等因素而造成数据丢失，同时也支持对指定设备手动触发save操作。

数据一致性（*）

-

支持对云杉设备进行配置差异发现、同步和对账操作：

• 差异发现是指从设备上收集全量或者增量变化的配置，与控制器上存储的设备数据进行比较，并将差异呈现现在界面上，用于对配置信息进行检查。
• 同步是指当控制器与设备有差异配置后，以设备配置为准，可覆盖控制器侧的无源配置，并可删除控制器侧冗余的无源配置，但不支持覆盖控制器侧的有源配置。

• 对账是指当控制器与设备有差异配置后，以控制器配置为准，可覆盖设备侧的差异配置，同时也可删除设备侧冗余的配置（开关控制）。

配置文件管理（*）

配置文件管理（*）

-

支持设备配置文件的备份、恢复、基线化、查看、导入、导出、运行至启动、比较等操作，发生变更能产生告警。

监控

云管理网络服务首页

网规统计报表

支持网络预案统计、开通网络站点数统计、网络设备统计。

网络运维和分析报表

支持告警设备数统计、无线问题数统计。

网络体验优化统计

漫游引导数统计、自动调优次数统计、VIP数统计。

在线设备趋势图

支持统计云盒设备在线趋势图。

接入用户数趋势图

支持接入用户数趋势图。

无线健康度趋势图

支持无线健康评分趋势图。

VIP用户体验分析报表

支持异常和异常的VIP用户统计。

网络大屏

站点GIS报表widget

支持GIS上展示站点的位置和状态数据，支持按比例缩放。

网规方案统计widget

网规方案数统计，无线网规方案数统计。

开局站点数widget

开局站点数统计，站点状态统计，设备数统计，设备状态统计。

在线设备趋势widget

近7天在线设备趋势图。

网络流量统计widget

近24小时网络流量统计，支持总流量、总下行流量、总上行流量。

网络调优与收益widget

支持全局调优、局部调优、AI漫游引导的次数统计，支持干扰率、下行带宽、漫游成功率的优化度量统计。

AP代际升级widget

统计对比Wifi6非Wifi6 AP的信号强度、时延和接入人数。

应用总流量widget

应用总流量趋势统计。

用户体验评估widget

支持各评分等级的用户数统计。

已处理问题分布widget

支持各类已处理问题的分布统计。

网络监控评分widget

支持查看网络监控评分。

告警管理

-

• 支持设备告警数据查询、清除和导出
• 支持告警邮件通知管理员
• 支持单设备详细显示故障设备告警信息

设备监控

设备状态

支持设备在线、离线、未注册、告警、故障状态信息。

设备信息

• 单设备详情支持显示设备基本信息：设备名称、版本、型号、启动时间、IP地址、MAC地址、运行时间、制造商、描述信息、所属标签组、地图上的位置信息。
• 支持显示设备接口信息：包括接口运行状态、名称、IP地址、带宽、MTU、双工模式等。

资源监控

• 支持显示单设备CPU、内存使用率监控。
• 支持显示单设备SSID和射频信息。
• 支持显示单设备流量、终端信息。

AP空口资源监控

查看AP空口和有线端口上下行的单播、组播， 广播报文统计和趋势以及端口的状态。

终端监控

在线终端信息

支持查看站点下AP上线的终端列表，可以查看终端的IP地址、MAC地址、用户名、关联AP、协商速率、丢包率、信噪比、重传率、信号强度、认证方式、上下行速率、VLAN最近接入的时间、接入的SSID、流量等信息。

导出终端用户列表（*）

支持在报表定制页面导出30天内的终端用户列表 。

历史趋势（*）

• 支持查看7天内历史用户。
• 支持显示指定时间段的站点总的连接终端数趋势。
• 支持选择天、周、月、年四种时间范围。

终端KPI数据（*）

控制器上展示终端KPI数据。

终端漫游轨迹（*）

支持终端漫游轨迹查看。

漫游组及漫游邻居（*）

定时上报漫游组和漫游邻居信息，由控制台界面进行展示（只做表格展示）。

认证用户监控

-

• 支持显示通过控制台进行Portal认证的在线用户信息，在线用户信息包括：用户名、用户组、认证方式、访问策略、接入SSID、终端MAC地址、终端IP、登录时间和站点，在线用户信息支持导出。
• 支持租户管理员将指定在线用户强制下线。

WLAN业务监控（*）

无线环境监控（*）

• 射频信道利用率、射频干扰率、射频噪声统计。
• 历史24小时射频趋势图。
• 支持显示站点下AP射频信息列表。

基础安全业务监控（*）

VPN状态（*）

查询VPN隧道连接状态，包括IPSec策略名、源设备、接口、目的设备、VPN状态。

应用监控（*）

应用识别（*）

• AP/防火墙设备，DPI应用的识别，可识别具体应用类型，如QQ、MSN、sina邮箱等。
• 可按照DPI应用识别的报文，按时间段、租户、设备、站点，统计各应用的流量和占用率。

DPI升级（*）

• 支持在线升级控制台的应用数据。
• 控制配置防火墙、AR、AP的升级地址，同时配置升级计划。
• 支持控制台触发设备立即在线升级应用数据。
• 支持应用库本地升级：租户上传库文件到控制台，控制台下发到设备进行应用数据本地升级。

流量分析（*）

• 支持显示指定时间段的站点总的网络流量趋势（站点中所有设备的流量汇总），支持选择天、周、月、年四种时间范围，支持分别显示上行和下行网络流量的趋势。
• 支持显示指定时间段内站点的Top5流量的设备和对应的流量，点击设备链接可以显示指定设备的详情。
• 支持显示指定时间段内站点的Top5流量的SSID和对应的流量。
• 支持显示指定时间段内站点的Top5流量的终端和对应的流量。
• 增加支持租户级统计。

应用体验（*）

基于IP的随流检测（*）

支持基于五元组部署随流检测能力。

基于应用的随流检测（*）

• 支持下发DPI应用、自定义应用的应用识别，以及应用流量采集、上报能力。
• 支持呈现交换机单个应用、应用列表、Top·N应用流量数据。
• 支持基于应用部署随流检测能力。

基于安全组的随流检测（*）

• 支持基于安全组或者安全组+应用部署应用体验检测能力。
• 支持基于安全组或者安全组+应用部署随流检测能力。

空口随流检测（*）

支持IPCA3.0技术实现非标准RTP音视频空口上行和广域下行的网络丢包率和抖动等质量监控。

拓扑管理

站点网络拓扑

-

• 支持物理拓扑自动发现和呈现。
• 支持呈现设备状态和基本信息。
• 支持快速查找设备。
• 支持查看组网流量热力图。

GIS拓扑

-

• 支持在GIS地图上呈现站点间的VPN连接信息。
• 支持呈现VPN通道的状态。

支持物理拓扑（*）

-

• 支持基于LLDP协议动态发现物理拓扑，基于站点维度的物理拓扑呈现
• 支持在物理拓扑上手工编辑设备节点和连接关系
• 支持在物理拓扑上呈现设备的状态和基本信息
• 支持在物理拓扑上基于设备名称，IP地址/地址段快速找到单个或者多个设备
• 支持在物理拓扑上显示链路状态
• 不同设备类型用不同图标展现

支持全局拓扑（*）

-

• 支持多级拓扑：支持呈现一级站点GIS地图，支持呈现二级站点内物理设备（支持按角色自动布局）和终端拓扑
• 拓扑呈现优化：支持拓扑按设备角色折叠 和 站点内划分区域
• 支持终端可视：支持在拓扑上查看终端（含PC， 手机，摄像头等）

故障诊断

远程命令行

-

支持控制器远程登录设备命令行界面进行诊断，防火墙设备在V3R3C00支持。

远程控制

-

• AP闪灯。
• 支持远程重启设备。
• 支持AP设备的关灯、开灯配置，且支持按照时间段设置。

批量重启设备（*）

-

用户可以通过批量选中部分设备，一键式批量重启设备，简化运维，快速恢复业务。

获取报文头（*）

-

支持通过控制器界面选择设备的抓包端口，按照64字节长度抓取报文，并支持通过控制器界面下载抓包文件。

报文路径跟踪（*）

-

支持自定义设备报文跟踪，探测协议支持ICMP、IGMP、IPINIP、TCP、UDP、GRE、OSPF。

诊断信息收集（*）

-

支持手动收集设备诊断信息；支持自动收集设备诊断信息，触发条件是设备CPU占用高、内存占用高或重启，条件三选一。

故障定位

定位手段（*）

控制器支持基于AP查看非法信号。

故障定位工具

包含Ping测试、TraceRoute测试、射频Ping测试、虚拟电缆测试。

-

远程登录

-

支持跳转到设备的web界面。

-

配置锁定

-

支持锁定单设备的配置下发行为。

升级（*）

软件包管理（*）

-

• 支持软件大包、补丁文件的上传、修改、删除、查询功能。
• 支持通过琥珀平台下载设备软件大包。

软件升级（*）

-

• 支持基于站点进行软件大包、补丁的安装，查看安装的进度，提供对老软件版本设备的自动升级：当加入到新软件版本的站点内，控制台自动升级设备版本。
• 设备在线升级可以实现选择设备升级。
• 站点云盒版本升级可编排。
• 支持云盒设备堆叠升级。

断点续传（*）

-

支持大包升级时断点续传。

支持设定时间窗（*）

-

支持设定升级时间窗，在时间窗内设备开始升级，时间窗关闭后停止升级。

报表（*）

统计报表（*（

-

• 支持基于租户/站点两个维度统一下列数据：
  • 站点网络出口uplink/downlink的整体流量(在租户维度统计每一个站点的总体流量）。
  • 每天接入的client（接入终端）数的统计（租户/站点两个维度，可以选择设置Top·N）。
  • 统计每SSID，AP，用户/用户组，应用分类/单应用的流量统计（租户/站点两个维度，可以选择设置Top·N）。
  • 安全事件（WIDS/IPS分析，网络告警）的导出（租户/站点两个维度，可以选择设置Top·N），增加支持租户级Top·N统计。
• 可以按照（日，周，月，年）周期性导出（CVS或者其他格式）并支持eMail发送。

敏捷报表（*）

-

• 提供默认的场景化仪表盘简化运维，支持针对客户根据自身运维分析诉求灵活定制DASHBOARD，支持常用数据源编排能力，支持联动进行数据关联分析，支持周期性报表导出任务；支持报表导出：Word、PDF或CSV文件格式。
• 基于敏捷报表框架提供以下报表：
  • 资源类包括：设备供应商报表、设备类别统计报表、设备类型统计报表。
  • 认证报表：在线终端趋势图、在线用户趋势图、Radius日志统计图、Portal日志统计图、终端类型占比图、Top·N厂商、Top·N操作系统。

日志（*）

设备通道日志（*）

-

支持记录和查询设备的配置通道、性能通道、认证通道、IP Group通道的建联日志。

设备统一日志管理（*）

-

支持AP设备的日志采集、展示、导出及过期日志删除。

日志集中管理（*）

-

• 支持租户级配置syslog server，上报类型包括：操作日志、安全日志、客户端上下线日志、设备上下线日志，支持SSL加密。
• 支持给AP/AC、交换机、FW、AR产品配置syslog服务器。

设备证书（*）

离线设备证书管理（*）

-

• 支持导出设备证书申请请求文件。
• 支持上传申请成功的设备证书。
• 支持设备证书下发。

设备对接三方CA（*）

-

• 支持admin管理员配置三方CA服务器的地址。
• 支持租户管理员将三方CA服务器地址等参数下发给设备，从而使得设备对接三方CA服务器下载证书。

设备对接内置LiteCA（*）

-

支持通过控制器内置LiteCA实现设备身份证书的颁发和吊销。

安全接入（*）

设备管理安全控制（*）

-

在开局过程中，管理员发送给用户的开局信息携带NCE-Campus证书实体信息，AR设备上线之前通过证书实体信息验证NCE-Campus的合法性，验证通过之后方可正常上线，避免存在非法NCE-Campus；同时NCE-Campus也基于设备证书的CN字段与netconf建链上报master_esn字段匹配，验证AR设备的合法性，验证通过之后方可允许AR接入NCE-Campus，避免非法AR设备接入。

网络接入安全控制

（*）

-

• 为了保证网络的安全性，Edge站点接入RR站点时，可以验证RR站点的合法性，验证通过之后，方可接入RR站点，避免接入非法的RR站点。同时RR站点也可以验证Edge站点的合法性，验证通过之后，方可允许Edge站点接入，避免非法Edge站点接入。实现原理为NCE-Campus将Edge站点或RR站点的设备ESN白名单下发给对端站点，对端站点基于ESN白名单做接入控制。
• 支持手动指定站定进行站点隔离操作和取消隔离操作。

IP地址管理

（*）

IP地址管理

（*）

-

• 支持IP分组管理：用户可以按照部门、办公区域、行政划分等不同层级方式创建分组，用于IP子网、IP地址的分层分组管理，可基于分组查看IP地址的分配率、使用率等信息。最多可创建5层分组。
• 支持IP子网管理：支持按照IP子网对IP地址进行划分管理，创建子网时可将对应IP添加到网管，可查看子网的IP地址分配率、使用率等信息。
• 支持IP地址分配：用户可以对IP地址执行分配操作，指定IP地址的使用人、MAC、位置、描述等信息。
• 支持IP地址管理：用户可以查看IP地址的使用状态、是否为异常IP等信息。
• 支持IP地址空闲检测：支持用户进行IP地址闲置检测，功能开启后，如果IP在闲置超时时间内未接入过网络，则属于空闲IP，用户可以进行释放操作以节省资源。
• 支持IP地址回收：支持用户对已经分配的IP地址进行回收释放操作，释放后的IP地址可以重新进行分配。
• 支持IP子网/IP地址导入导出：用户可以通过导入导出方式，快速录入现网存量IP地址信息。

电子保单

（*）

服务年限信息管理

（*）

-

支持控制器和设备的服务年限信息的维护和查询（仅Netconf协议纳管的V600R021C00版本及之后版本的设备支持服务年限信息的同步和下发）。

用户体验360

用户列表

-

-

支持查看用户接入信息列表。

用户旅程

-

-

支持查看用户旅程信息：用户信息、指标概览、接入旅程各节点详情。

协议回放

-

-

支持基于无线用户接入三阶段协议级别过程呈现，包括关联、认证（仅支持802.1X认证方式）、DHCP，通过细化各个协议交互阶段结果与耗时，提供用户接入过程个障的精细化分析，支持呈现用户接入失败的大概率根因与修复建议。

应用保障360

应用概览

-

-

• 应用可视：支持查看应用列表、非法应用、流量统计。
• 总流量趋势：支持站点总流量趋势分析，设置阈值监控流量超限。

网流分析

-

-

支持设备、主机维度的网络流量分析。

云准入

用户管理

本地用户管理

用户管理

-

• 支持创建、修改和删除用户信息，该用户信息用于终端进行Portal认证，用户信息包括用户名、密码、邮箱、过期时间、联系电话。
• 支持用户导入导出。
• 支持用户通过注册创建用户帐号。

用户组管理

-

• 支持创建、修改和删除用户组信息，基于用户的组管理，可用于访问策略控制用户组信息包括用户组名、地址、邮编、管理员邮箱和描述。
• 支持用户组导入导出功能（和用户的导入导出共用模板）。

MAC账号（*）

-

• 支持MAC账号能力支持，支持增删改查MAC账号信息，主要适用于MAC认证场景，可在一个MAC账号之中选择多个MAC地址。
• 支持导入导出MAC账号能力，方便后续MAC账号信息管理和运维。

黑名单（*）

-

• 支持黑名单信息手动加入和删除，可通过此方式控制用户、访客是否允许接入。
• 支持自定义黑名单自动加入方式，启用用户锁定功能后，在固定时间内登录失败次数超过一定次数后可锁定一段时间。

角色管理

-

• 支持角色管理增删改查能力，用户、访客等信息可绑定角色能力，并通过角色进行差异化授权。
• 支持角色导入导出能力。

访客管理

访客帐号管理

-

• 支持租户管理员和访客管理员创建普通访客帐号，访客账号支持定时清理。
• 支持租户管理员批量创建Passcode帐号。（*）
• 访客支持组管理、角色管理。
• 账号过期支持邮件和短信通知提醒。

访客帐号策略（*）

-

• 用户名密码，支持帐号、手机、邮箱、公共二维码四种。
• 支持定制访客帐号生效策略、通知策略、审批策略。
• 支持限制访客登录的类型。

访客帐号审批（*）

-

• 访客帐号审批支持：免审批流程、租户管理员审批流程、员工审批流程、邮箱激活审批、二维码审批。
• 审批通知支持短信、邮件。
• 访客账号审批通过通知支持短信、邮件、WEB。

访客认证（*）

-

访客认证支持：用户名密码认证、Passcode认证、短信认证、双因子认证、匿名认证、微信链接认证、微信连WiFi认证、社交媒体认证（Facebook、Twitter、QQ、新浪微博），开发者模式微信认证、公共二维码认证。

访客申请支持的接入方式（*）

-

访客申请支持的接入方式支持三种模式：租户管理员创建及批量创建访客帐号、访客管理员创建及批量创建访客帐号、访客自助申请。

访客功能部署向导（*）

-

采用向导的方式部署访客功能，降低系统部署和实施的复杂度。

自助服务页面（*）

-

自助服务页面支持准入用户、访客管理员登录，主要有以下能力。

• 普通用户：修改用户名、邮箱、重置密码等个人账号信息管理操作。
• 访客管理员：增删改查访客用户、修改访客密码、审批访客注册信息等等访客管理操作。

社交媒体对接配置

微信对接配置

-

• 支持配置对接的微信公众号，配置密钥信息
• 支持微信认证用户映射用户组配置

第三方数据源对接（*）

社交媒体对接配置（*）

-

• 支持微信公众号、Facebook、Twitter、Google帐号、QQ、新浪微博的对接配置。
• 支持映射用户组配置。

在线用户管理

在线用户管理

-

支持在线用户导出、强制用户下线，支持通过HACA通道进行Radius CoA授权信息变更。

时长流量控制（*）

-

支持用户/终端的流量和时长统计、管理：

• 用户/终端在线流量限制。
• 用户/终端在线时长控制。
• 终端单次在线时长控制。
• 基于用户组粒度限制用户/终端流量和时长。
• 手动清除在线用户/终端时长信息。
• 手动重置在线用户/终端流量信息。
• 在线用户/终端流量信息周期清理。
• 支持每次登录的时候自动重置用户/终端流量和时长信息。
• 用户/终端的流量和时长信息统计。

最大终端接入策略（*）

-

支持用户级、策略级最大接入终端数对准入用户认证的控制。

• 用户级：可在用户管理、访客管理功能中设置最大接入终端数，此场景设置优先级最高，若用户、访客最大接入属性设置对应数值，则默认按照数值管控。
• 策略级：可通过最大接入终端数策略管控用户、访客的最大接入终端数。
  • 用户级：优先级次之，策略创建后可绑定用户，若有用户匹配此策略，则按照此策略中用户数量作为最大接入数量。
  • 用户组级：最大接入终端数可分配用户组进行匹配，优先级最低，用户可根据自己的用户组（可级联向上查询是否有策略匹配）来确定是否有最大接入数匹配。

终端管理

终端管理（*）

终端和终端组管理（*）

终端和终端组管理（*）

• 支持终端组的增删改查，支持级联。
• 支持终端分配到终端组、并支持手工添加终端，自动发现后加入组。
• 支持已识别终端准入，以及终端黑名单。
• 支持预置终端识别策略；支持自定义终端识别策略。

摄像头类终端管理（*）

在原终端管理基础上，支持：

• 支持摄像头对接接口的POE状态查询和关闭/启动能力。
• 支持查看摄像头的流量等信息。

终端识别（*）

终端识别（*）

• 规则库：fingerbank。
• 识别手段：User-Agent、DHCP Option、MAC OUI、MDNS、LLDP
• 支持识别的终端信息：操作系统、产商、终端型号、终端类型。

AI聚类/识别（*）

• 支持将未知终端按照类型划分，方便管理员统一处理。
• 支持根据已学习的标记规则，自动识别未知终端。

支持终端识别增强（设备探测）（*）

终端识别增强：

• 视频专网场景摄像头静态IP场景TOP5厂家（含大华、海康、宇视、华为、TP-Link）。
• 办公终端TOP3类型*TOP5厂家识别率达到100%。摄像头：海康、大华、宇视、华为、天地伟业；IP话机：宝利通、亿联、思科、亚美亚、潮流网络。打印机/传真机：惠普、佳能、爱普生、兄弟、联想、理光。（V300R023C10版本支持）。
• 支持在网络设备主动探测识别终端信息。（V300R022C10版本支持V200交换机，V300R023C10版本支持V600交换机）支持动态识别入网终端，实时探测识别终端信息，包括认证终端和非认证终端。
• 控制器可基于终端大类和厂商型号信息，如果有变化需报告警和阻断。

物联感知网（*）

即插即用

支持配置引导iConnect终端的引导SSID，实现物联终端的即插即用。

证书认证

支持iConnect终端自动加载数字证书增强终端的接入安全。

终端防私接

终端防私接

• 支持自定义私接终端类型，并基于终端识别能力识别私接终端。
• 支持针对私接终端配置阻断策略，可根据阻断策略自动阻断识别到的私接终端。
• 支持基于站点批量开启HUB私接、路由器私接、WiFi共享私接检测开关，接收设备上报的防私接告警并呈现在私接终端列表，同时支持对私接终端进行阻断。

终端认证日志

Portal上下线日志

-

Portal上下线日志过滤、查看和导出。

RADIUS上下线日志（*）

-

radius认证日志和radius计费日志的过滤、查看和导出。

Boarding管理（*）

Boarding管理（*）

-

通过boarding客户端配置1X认证，网络接入策略管理。

Portal认证

内置Portal认证（*）

Portal协议（*）

-

支持基于HTTP 2.0的Portal认证（HACA），支持Portal认证逃生。

MAC优先（*）

-

• 控制台保存终端的mac地址，第二次就可以直接使用网络，不用登录。
• 支持跨站点的MAC优先认证。

认证方式（*）

-

Portal认证支持用户密码认证、匿名认证、短信认证、Facebook认证、passcode认证。

账号密码生成策略（*）

批量生成账号密码（*）

-

批量创建账号，并指定账号有效周期，用户首次认证时触发计时。

一键生成账号密码（*）

-

一键式自动生成登录账号密码。

passcode（*）

-

只输入一个参数就完成认证。

接入终端数控制（*）

-

-

用户名和密码的portal认证，能限制每个账号可接入的终端数。

第三方Portal对接（*）

-

-

• 支持配置对接第三方Portal，控制台下发对接第三方Portal和Radius配置。
• AP设备第三方Portal支持对接深澜、防火墙支持对接园区控制器。

页面规则

Portal页面推送规则

-

支持根据不同推送条件配置推送不同的Portal页面，包括认证方式、站点、ssid、操作系统等

Portal页面管理（*）

页面定制（*）

-

• 支持预置Portal页面模板，根据模板增加、删除Portal页面，支持修改页面的Logo、标题、描述内容、样式，支持拨号控件、轮播图控件。
• 预置页面支持：微信连接认证页面、用户名密码认证页面、短信认证页面、Passcode认证页面、一键认证页面、社交媒体认证页面、匿名认证页面、全屏广告页。
• 完全可自定义的portal页面。

页面语言选择（*）

-

portal页面的定制化功能具备选择登录语言的能力，除英语外，当前可选择德语、西班牙语。

门户管理（*）

-

支持上传门户页面和删除门户文件。

Portal页面推送策略（*）

-

支持根据不同推送条件配置推送不同的Portal页面，包括根据设备、设备类型、设备组、终端OS、终端浏览器语言、终端IP、SSID、时间、站点推送不同页面。

PPSK/DPSK

PPSK/DPSK（*）

-

-

• 通过UI进行PPSK账号配置；提供API进行PPSK账号配置；PPSK账号批量导入导出。
• 可以为每个用户提供不同的PSK密码。

社交媒体认证

微信认证（*）

微信链接认证（*）

-

支持微信链接（URL对接密钥）。

微信公众号扫码认证（*）

-

关注微信公众号，二维码扫码。

Facebook认证（*）

-

-

支持通过Facebook的账号密码进行身份认证，接入网络。

Twitter账号认证（*）

-

-

支持通过Twitter账号密码进行身份认证，接入网络。

短信认证

短信认证（*）

-

-

支持短信认证，支持预置Twillio/fungo短信模板。

短信内容定制（*）

-

-

支持认证短信内容支持定制。

Radius认证

Radius Server

-

-

控制器支持自身作为Radius认证、计费服务器。

认证规则管理

认证规则条件（*）

-

-

认证规则支持以下组合：用户/用户组/角色/站点/准入控制设备组/设备类型/接入设备/SSID/终端组/终端IP/地址范围/时间段/通过Radius属性自定义条件/认证方式/接入方式。

认证规则条件

-

-

认证规则支持以下组合：用户/用户组/角色/站点/SSID。

认证规则处理

-

-

• 用户不存在时，默认继续处理。
• 身份认证失败时，默认拒绝接入。

认证规则处理（*）

-

-

• 支持自学习接入设备的IP地址、接入vlan、接入端口、用户MAC地址、用户IP地址、IMSI、终端SN。
• 如果帐号中没有绑定任何接入信息，则不允许接入网络。
• 根据认证规则的条件，选择不同的数据源，支持选择多个数据源。
• 配置802.1X认证中，服务端的首选协议，提升协议协商速率。

• 在Radius认证场景下，可以限制服务端支持的Radius协议类型。
• 用户不存在时，支持三种策略：继续处理、不发送应答报文、拒绝接入。
• 身份认证失败时，支持三种策略：继续处理、不发送应答报文、拒绝接入。

授权结果管理

授权规则条件（*）

-

-

授权规则定义支持以下组合：用户/用户组/角色/站点/准入控制设备组/设备类型/接入设备/SSID/终端组/终端IP/地址范围/时间段/通过Radius属性自定义条件/认证方式/接入方式/区域属性。

授权规则条件

-

-

授权规则定义支持以下组合：用户/用户组/角色/站点/SSID/MDM检查。

授权结果管理

-

-

授权ACL、授权VLAN、授权QoS。

授权结果管理（*）

-

-

授权VIP用户身份、授权URL过滤、授权ACL、授权VLAN、授权QoS、授权应用调度（HQOS）、自定义Radius授权参数、授权安全组、授权重定向、ACL（动态ACL&静态ACL）、授权强推URL。

逃生设置（*）

支持全局默认放行规则（*）

-

-

支持配置基于IPv4和IPv6 ACL的全局默认放行规则。

准入配置下发

认证配置下发管理（*）

云AP认证配置（*）

-

云AP支持配置Portal认证、PSK/PPSK认证、MAC认证、802.1X认证。

交换机认证配置（*）

-

• 交换机有线和无线接入支持配置Portal认证、PSK/PPSK认证、MAC认证、802.1X认证。
• 交换机有线接入模式支持指定：
  • 设置端口下允许多终端接入、仅允许单终端接入。
  • 多终端分别认证接入、仅第一个终端需要认证接入。

防火墙认证配置（*）

-

防火墙支持Portal认证配置。

AR认证配置（*）

-

AR支持Portal认证配置。

授权配置下发管理（*）

云AP授权配置（*）

-

云AP授权配置支持：VIP用户、授权ACL、URL过滤、终端流量限速、授权DSCP、授权VLAN。

交换机授权配置（*）

-

交换机授权配置支持：VIP用户、授权ACL、授权IPv6 ACL、授权安全组、授权VLAN、终端流量限速、应用控制模板。

防火墙授权配置（*）

-

防火墙授权配置支持：授权安全组。

AR授权配置（*）

-

AR授权配置支持：授权ACL、终端流量限速、授权DSCP。

PPSK帐号下发（*）

-

-

PPSK帐号下发，仅AP支持。

业务随行

业务随行资源（*）

安全组管理（*）

-

• 支持安全组管理、逃生安全组管理。
• 支持安全组的导入和导出。

资源组管理（*）

-

• 支持资源组管理。
• 支持资源组的导入和导出。

业务随行策略（*）

业务随行策略（*）

-

业务随行策略配置：

• 支持单站场景的策略矩阵定义。
• 支持策略矩阵修改。
• 策略矩阵部署。
• 组间策略定义。
• 支持组策略批量配置。
• 支持策略反向规则配置。
• 支持以矩阵和列表方式展示组间策略。
• 支持自定义策略视图。
• 支持策略优先级调整。

IPv6用户认证

802.1x认证（*）

-

-

支持IPv6终端通过802.1x认证后接入园区网络。

MAC认证（*）

-

-

支持IPv6终端通过MAC认证后接入园区网络。

Portal认证（*）

-

-

支持IPv6终端通过Portal认证接入园区网络。

SD-WAN（*）

即插即用

Underlay网络

Underlay链路类型

接口类型

支持配置站点内CPE的WAN口，目前支持以太接口（GE/xGE/FE）、支持xDSL接口（ATM）、支持Cellular接口，支持XDSLA（PTM）、支持E1-IMA（ATM），支持Ima-Group，支持Serial接口、支持Eth-trunk口。其中E1-IMA（ATM），Ima-Group，Eth-trunk以及Serial接口不生成开局配置，需要对此设备手工开局。

支持 loopback 注册控制器，并通过loopback 口支持 SD-WAN 业务（选路、LB、Qos等）

WAN接入方式

WAN接入方式

CPE与WAN网络之间物理端口链路的接口协议类型。 接口类型为GE/FE/XGE/xDSL（PTM）支持的协议类型为：IPOE、PPPoE 接口类型为xDSL（ATM）的协议类型为：IPoA、IPoEoA、PPPoA、PPPoEoA 接口类型为Cellular：支持LTE、5G不同无线信号

Underlay链路调整

开局链路端口调整

支持新增、修改、删除开局链路（仅V300 AR）

开局方式

URL邮件开局

URL开局

邮件URL开局，支持通过邮件发送URL携带开局信息进行CPE设备开局。 管理员在控制器上为所有设备预先配置业务数据，控制器通过邮件将各设备WAN口的网络接入参数发给开局人员。开局人员到达客户现场后，通过网线或WIFI方式连上CPE后，点击开局邮件中的链接，一键式向CPE设备下发WAN口配置信息，使CPE成功注册到控制器，从而完成业务的快速部署。

URL加密密钥

在邮件开局时，需要在PC上点击开局邮件中的URL后，再输入该加密密钥，邮件开局才能成功。

ESN注册有效期

当没有获取设备ESN号的情况下，可通过设备型号模式将设备添加到控制器中。在创建站点并发送开局邮件后，要求在有效期内内进行ESN号注册，否则注册不上。

URl开局信息制作

由租户管理员在AC上基于模板进行URL开局信息的制作，之后通过第三方邮件服务器进行发送（在AC上操作，AC上配置邮件服务器地址及账号、密码等信息）

开局终端类型

支持PC终端、移动终端（手机、PAD），终端可以通过有线或者WiFi方式与CPE连接

支持接口类型

支持配置站点内设备的WAN口，支持以太接口、XDSL接口（支持ADSL、VDSL、G.SHDSL）、LTE接口，最后通过邮件的方式下发给设备。

U盘开局

U盘制作

支持由AC控制器批量生成CPE的初始配置文件，然后利用工具生成U盘配置文件，然后倒入到U盘中，进行U盘开局。支持通过USB进行批量开局。

与ESN解绑定

支持发货与ESN解绑定，在设备发货时对设备的ESN无约束（不需要发送指定ESN的设备到站点），只需要设备型号对应即可。

注册中心开局

注册中心开局

支持设备接入网络后，通过自动向注册中心查询的方式获取到控制器地址，然后注册上线。

开局链路优先级

开局链路优先级

支持配置注册控制器链路的连接优先级

安全性

双向认证

支持通过基于Netconf协议的双向认证通道进行CPE设备注册，保证设备注册信息的安全性。

CPE配置

离线配置

离线配置

支持进行离线CPE预配置，待CPE注册上线成功后，自动进行配置下发。

全局配置

业务功能

对租户网络中全局性的参数进行配置。

物理网络

路由域、传输网络、IPSec加密参数、设备激活安全配置、选路策略参数配置、NAT STUN/DTLS端口

针对IPSec加密参数，当有IPSec隧道需要加密时，需要配置IPSec隧道加密模式和加密密码。所有需要加密的隧道将使用共同的加密模式和加密密码。

虚拟网络

BGP路由的AS号、保留地址、保留VLAN、DNS、团体属性。

针对DNS，DNS部署在公网，全局统一的DNS服务器IP会下发到所有的CPE。可有规划多个。

针对保留地址，配置的地址主要包括：站点间隧道的地址、内环隧道地址、CPE的地址、双网关内链路的地址。

针对保留VLAN，在双网关场景下，会在双网关之间的内链路的端口上为不同的部门配置不同的子接口，来隔离不同的部门。需要为双网关之间的内链路配置保留VLAN。

WAN侧配置

WAN口配置

支持设置WAN侧接口协议类型、接口IP地址、默认网关、设置NAT、设定上下行容量。

接入协议类型

CPE与WAN网络之间物理端口链路的接口协议类型。 接口类型为GE/FE/XGE/xDSL（PTM）支持的协议类型为：IPOE、PPPoE。 接口类型为xDSL（ATM）的协议类型为：IPoA、IPoEoA、PPPoA、PPPoEoA。

NTP

AR设备上报性能数据时，会携带时间戳，如果AR的时间不正确，则会导致管理员在查看该设备的性能数据时，性能数据的时间与实际不符。支持配置站点中设备的时间同步，分支站点和汇聚站点支持向父站点同步数据。支持时区配置，认证状态可动态选择，支持NTP服务器IP地址、MD5，HMAC-SHA认证方式。每个站点可以单独配置NTP，NTP的配置顺序为：外部时钟源->中心站点->汇聚站点->分支站点。 支持通过Overlay对接NTP服务器。

配置结果

下发详细

支持查看租户各站点配置下发情况，包括下发状态、下发时间、下发详细结果。

网络业务配置

站点规划

隧道连接模式

Full-Mesh模型

站点间支持Full-Mesh组网，分支站点可以按需互联。

Hub-Spoke模型

站点间支持Hub-Spoke组网，分支站点互联必须通过HUB站点。

站点管理

站点管理

支持HUB、汇聚、分支三种类型站点的添加、修改、删除功能。

拓扑显示

可显示租户所有站点的逻辑拓扑。支持站点的拓扑呈现，显示站点之间的关系，及站点和链路的状态。

多级HUB

层次化组网

租户组网可设置成二层和三层结构。二层结构是HUB站点、分支站点，三层结构是HUB站点、汇聚站点、分支站点。对于网络规模较大的企业，可以选择层次化组网。汇聚节点对企业站点充当HUB角色，同时汇聚节点对Hub节点充当分支站点角色。

组网方式

单CPE单链路

支持一台CPE、一条WAN链路的部署场景。

单CPE双链路

支持一台CPE、2条WAN链路的部署场景，MPLS、Internet、LTE链路类型可以随意组合。

单CPE多链路

支持一台CPE、最多3条WAN链路的部署场景，MPLS、Internet、LTE链路类型可以随意组合。

双CPE双链路

支持2台CPE、每台2条WAN链路的部署场景，MPLS、Internet、LTE链路类型可以随意组合。

双CPE多链路

支持2台CPE、每台最多3条WAN链路的部署场景，MPLS、Internet、LTE链路类型可以随意组合。

单CPE扩双CPE

支持单网关平滑修改为双网关。

站点配置

全局DNS Server

支持配置CPE全局的DNS Server IP列表。

传输网络管理

提供传输网络创建、修改、删除与查询功能。

通用配置

802.1x接入认证

支持配置LAN侧L2端口802.1x接入认证，支持配置主备Radius服务器，支持有线接入认证，支持通过Underlay和Overlay连接Radius服务器

单站配置（AOC）

支持通过单站配置模板，下发WebSSH超时时间配置。 支持SNMPv2，SNMPv3，团体名关联ACL

AR lan侧支持Radius mac认证

使能针对A类或者AAAA类查询请求的DNS解析策略功能后，对指定的域名进行域名解析、禁止解析或欺骗应答

支持接口shutdown

单设备配置（GND）

支持WAN口设置报文DSCP、802.1P值

使能/去使能ICMP重定向报文发送

V600设备支持AAA、NTP、QOS、SNMP、Telnet、信息中心、基础ACL配置

模板管理

站点模板

支持分支站点配置模板创建、修改、删除与查询功能，支持对站点模板中的WAN和LAN侧网络参数配置。

邮件开局模板

支持邮件模板模板创建、修改、删除与查询功能。包括多个收件人邮箱地址、多个超送人邮箱地址、邮件主题、邮件内容等信息。

隧道管理

VPN隧道

VPN

分支可使用动态公网IP地址，灵活部署，支持配置站点间互联，建立隧道，节省建网成本。

支持传输网络管理功能，包含链路名称、链路组、Underlay承载网络、隧道加密模式。

Overlay 路由

支持基于Overlay VPN配置全局路由协议，网络拓扑变更无需手工更改路由配置。Overlay路由是指在VPN隧道上运行路由协议，用于企业站点LAN侧网络的路由交换。支持BGP、OSPF以及静态路由方式。

支持关闭双HUB LAN侧overlay路由向对端发布

Overlay隧道

隧道规格

对于HUB站点和分支站点，采用单CPE部署时，最多可支持3个WAN侧Overlay隧道。 对于汇聚站点，采用单CPE部署时，单个CPE上下行各支持3个WAN侧Overlay隧道，即总共6个WAN侧Overlay隧道。

对于HUB站点和分支站点，当采用双CPE部署时，每个CPE最多可支持3个WAN侧Overlay隧道。 对于汇聚站点，当采用双CPE部署时，单个CPE上下行各支持3个WAN侧Overlay隧道，即总共6个WAN侧Overlay隧道；两台CPE共计可达12个WAN侧Overlay隧道。

Overlay隧道支持Underlay IPv6，Overlay IPv4

基于指定站点角色开启动态隧道功能

Overlay/Underlay路由优选

支持设置链路不开启overlay隧道建立，同时设置内环路由和overlay wan路由优选

ipv6 overlay

Overlay采用IPv6网络：可以配置Overlay GRE隧道，通过静态路由等方式将LAN侧的IPv6流量引流至GRE隧道，实现总部和分支之间IPv6的互联。（V300 AR）

Overlay采用IPv6网络：支持Ipv6 Over SD-WAN underlay IPv4/Underlay IPV6隧道建立，支持SD-WAN类型的Tunnel口支持配置IPv6地址及IPv6的VPN，通过BGP发布Overlay的IPv6 LAN侧路由。 （V600 AR）

Underlay隧道

GRE隧道

支持v6 over v4与传统站点互通

IPSec隧道

1、控制器可编排与第三方云GW建立IPSec隧道 支持配置隧道源IP或绑定源接口（WAN接口（包括Dialer接口）和Loopback接口） 支持隧道接口绑定Underlay或Overlay VRF 支持配置FQDN作为认证凭证 2、支持Overlay静态路由引流入IPSec隧道：Overlay 静态路由支持出接口为IPSec Tunnel并支持Track NQA 3、通过表项查询方式支持IPsec隧道监控和显示

分支站点通过IPSec4隧道和公有云IPSec VPN GW对接

加密模式

IPSec

支持加密方式为不加密

站点间链路支持通过IPSec加密，支持配置隧道加密模式和加密密码，加密算法支持AES128和AES256。

连接管理

Site2Site

站点互联

支持站点直接互联和通过HUB互联两种方式。

Site2Internet

本地上网

本地访问Internet，支持配置站点本地接入Internet，流量无需从HUB节点绕行。

支持集中上网优先，本地上网逃生

集中上网

集中访问Internet，站点通过总部或其他分支站点访问Internet。

混合上网

全部流量本地上网+集中上网：默认所有上网流量从本地出局，当本地上网接口故障，上网流量绕行到集中网关出局。 集中上网+指定流量本地上网：默认上网流量通过集中上网站点出局，部分指定业务流量通过本地WAN侧链路直接上网。

指定流量集中上网+默认本地上网：默认上网流量通过本地上网站点出局，部分指定业务流量通过集中上网站点上网。

Site2传统MPLS站点

本地访问传统站点

支持配置Local Breakout实现站点本地直接访问传统MPLS站点。 支持配置IWG站点，实现企业租户的SD-WAN站点通过IWG站点访问传统MPLS站点。

集中访问传统站点

通过指定站点（一般为总部）实现和传统VPN站点的互通。具体为：SD-WAN站点通过Internet overlay连接到总部，总部Offload流量到MPLS链路，从而与传统站点互通。

单租户内隔离

单租户内隔离

企业内部存在多个部门，多个部门间需要按需隔离，且不同部门的业务应用策略差异大，在一个租户中，可通过划分不同VRF的方式，实现租户内不同部门间的隔离，最多可支持配置8个VRF: 1、部门间采用不同的VRF、不同的VPN隧道隔离； 2、智能选路的策略基于VRF隔离，不同部门相互独立； 3、网络链路，应用质量的检测基于VRF隔离，不同部门相互独立。 注：这里提到的“部门”对应到设备上的“VRF"，也就是VPN instance。

多云互联

多云互联

AR1000V自动化部署

AR1000V支持在华为云平台自动化部署

AR1000V支持在AWS云平台自动化部署

AR1000V手工部署

AR1000V支持在Azure、腾讯云、华为云平台、AWS、阿里云上可手工拉起，手工向控制器注册

AR1001V手工虚拟化部署

AR1000V支持在KVM，VMware虚拟化平台上可手工拉起，手工向控制器注册

AR6700V-L自动化部署

AR6700V-L支持在华为云平台自动化部署

AR6700V-L支持在AWS云平台自动化部署

AR6700V-L手工部署

AR6700V-L支持在华为云、阿里云上可手工拉起，手工向控制器注册

智能选路

应用管理

预置应用

系统预置应用类别1600余种。

自定义应用

支持基于三元组自定义应用。支持基于源端口、目的端口、协议类型自定义应用，并下发到设备。 说明：设备在匹配时，先按（目的端口号+目的IP地址+协议类型）进行匹配，如果匹配识别再按（源端口号+源IP地址+协议类型）进行匹配。

支持基于应用的关键字（比如：URL）自定义应用。

应用组

支持调整应用组中的应用。 支持基于树形结构显示应用组。 支持创建/修改/删除应用组。 限制： 同一应用组中只能添加一种类型的预定义应用； 同一租户中站点的应用库的支持能力不同时，只能使用低版本的应用库；

SA库升级

支持通过AC进行SA特征库更新，SA特征库地址：http://sec.huawei.com/sec/web/freesignature.do.（AC注册到华为升级服务器，自动下载SA特征库）

链路质量检测

IP FPM

通过随路检测技术IP FPM进行链路质量的检测，检测的精度更高。支持链路无业务流量时，自动发送报文触发IP FPM检测。IP FPM的配置由于AC控制器自动编排，无需用户参与，自动化程度更高，易用性更好。

应用质量检测

TCP FPM

支持基于TCP协议分析应用的质量，包括时延、丢包。只用于AQM值的统计。

IP FPM

通过随路检测技术IP FPM进行应用质量的检测，检测的精度更高。支持链路无业务流量时，自动发送报文触发IP FPM检测。同时还支持用户应用质量的诊断。

智能选路

选路策略

只能基于链路质量进行选路，不支持基于应用质量来选路。

支持基于源IP、目的IP、应用类别、站点、Virtual Network以及链路质量阀值进行选路，支持配置主备链路组。

当站点本地访问Internet或传统站点时，支持基于源IP、目的IP、应用类别、站点设置重定向策略，将Overlay数据报文定向到Underlay网络中，定向目标为“VPN（Underlay）”或“下一跳IP地址（Underlay IP）”。

选路策略支持模式：PF、LB、带宽（V600设备不支持带宽选路）

对称选路：SD-WAN网络根据一定原则选出主从关系，由主选路方进行选路，从方跟随主选路方的选路结果调度跟随。

选路锁定：流量仅会在选择的主、备传输网络中传输，如果主、备传输网络所有链路均故障，流量会被丢弃。

支持基于源IP、目的IP、应用类别、站点设置流量阻断策略，对目标应用在Overlay网络上路由阻断。

1、站点间TN不一致时，优先基于如下三个属性进行隧道染色：（可定义3个属性间的优先级） 1）TNP带宽：支持定义带宽小优先或带宽大优先，为TNP的出方向带宽 2）站点角色：支持定义HUB优先或非HUB优先 3）TN优先级：根据SPR选路中定义的主传输网络的优先级来定义 2、当上述三个属性一致时，则基于站点ID大小进行染色，默认站点ID小优先

高级特性

QoS配置

QoS配置

支持基于基于源IP、目的IP、应用类别、站点进行流量优先级、流量整形、流量监管配置。 优先级：当发生网络拥塞时，系统将优先保证高优先级的应用报文正常传输。 流量整形：对于应用流量不规整、需要削峰填谷以输出一条比较平整的流量设置适宜的带宽限制，可以合理利用带宽资源、防止网络拥塞。 流量监管：对于需要限速的非关键应用，设置较低的带宽限制。该应用的网络报文流量将被限制在“带宽”以内。 支持Overlay网络的数据报文打上DSCP优先级标记。

广域优化

FEC优化

支持单路FEC（Adaptive-fec Indicates adaptive Forward Error Correction），来提升应用质量。 支持单路FEC参数可配置，支持抗30%丢包，支持自适应FEC。 支持基于流分类模板对匹配的流进行优化。

包转发优化

支持多路包复制和逐包负载分担，PF模式支持设置多路包负载，LB模式支持设置基于包的负载均衡

TCP单边优化

支持支持TCP单边优化，支持BBR和HCC两种优化模式

数据压缩

支持数据压缩广域优化能力，针对指定流量配置数据压缩策略

重定向策略

重定向策略

支持通过流分类模板将指定的匹配流重定向到单个下一条IP地址。 支持通过NQA对特定IP进行检测，根据结果来决定是否激活重定向。

安全策略

ACL策略

通过配置ACL策略，对CPE的Underlay网络和Overlay网络进行LAN或WAN的应用或流分类访问控制。

URL策略

由于网络中的Web服务器存在容错机制，或者没有严格遵循HTTP协议的RFC标准进行设计，所以攻击者可能利用这一点绕过URL过滤。 支持给CPE配置URL黑白名单，URL过滤策略并下发到CPE设备上，使其能主动实施URL访问控制，在指定站点的所有接入终端上允许或禁止访问某些网络资源，达到规范上网行为的目的。 支持URL远程过滤。

IPS策略

支持分析网络流量检测出入侵行为。 支持IPS特征库升级。

AV

支持识别和处理病毒文件并阻断。 支持AV特征库升级。

站点配置

WAN侧配置管理

WAN侧路由

支持配置WAN侧网络Underlay路由，支持静态路由、OSPF路由和BGP路由。支持删除和修改路由。用于构建Underlay与运营商网络对接的网络能力。

应用识别

支持WAN侧网络应用质量监控。

应用质量监控

支持使能WAN侧网络应用识别和应用质量监控。

应用流量监控

支持使能WAN侧网络应用识别和应用流量监控，通过Netstream上报。

NAT配置

Overlay

支持Easy IP/PAT/No-PAT方式的动态NAT配置；支持静态NAT配置

双网关站点在主备场景配置Overlay-NAT

Underlay

支持Easy IP/PAT/No-PAT方式的动态NAT配置；支持静态NAT配置

虚拟网络

业务功能

企业内部多个部门业务有隔离要求，需要通过部门（即VPN）来构建多个SD-WAN的虚拟网络。

三层接口

配置站点设备的接口、子接口、DHCP、MTU、MSS值。

支持静态ARP

支持LAN侧口配置ntp disable

支持使能LAN转发定向广播报文和去使能攻击防范以进行LAN侧设备唤醒

VLAN

配置站点设备VLAN ID、VLAN模式、物理接口、IP地址、使能DHCP、MTU、MSS值。

支持配置Tag/Untag模式。

站点双CPE时，支持配置VLANIF的VRRP。

支持配置VLANIF接口，指定VLAN、IP地址、使能dhcp、接口加入安全域。

支持配置L2 LAN，在双CPE场景，L2 VLAN支持配置VLANIF的VRRP。

支持配置L3 LAN，在双CPE场景，需要单独给CPE配置VLAN。

支持静态ARP

LAN侧路由

支持配置LAN侧网络路由，支持静态路由、OSPF路由和BGP路由。支持删除和修改路由。

支持配置静态路由，包含VPN实例、目的地址、掩码、下一跳IP地址、出接口、下一跳VPN实例、优先级。

支持配置OSPF路由，包含区域、引入静态路由、直连路由、路由过滤以及是否发布默认路由。支持引入OSPF其它进程、静态路由和直连路由。

支持配置BGP路由，包括对端IP、对端AS、本地AS、启用路由发布和接收功能。支持直连路由和静态路由设置路由引入；支持基于前缀设置路由发布黑白名单。

WAN侧路由

Overlay iBGP路由的过滤模式和过滤地址。

WLAN

支持配置WLAN的相关信息，包括SSID、射频频率、加密方式、共享密钥、是否隐藏SSID、最大接入用户数、上下行流量。

通用配置

802.1x接入认证

支持L2端口802.1x接入认证配置，支持配置主备Radius服务器，支持有线接入认证，支持通过Underlay和Overlay连接Radius服务器

TACACS

支持配置设备TACACS服务器，支持通过Underlay或Overlay连接TACACS服务器，支持主备认证服务器和主备授权服务器，支持TACACS逃生配置

业务开放编程

单站配置

支持基于设备YANG模型提供配置界面，支持配置报文信息查看，支持配置报文下发前后差异对比

模板配置

支持设备Netconf配置模板管理，支持配置模板参数定义 支持设备应用Netconf配置模板下发配置

模板预置

支持WebSSH超时时间配置模板。 支持SNMPv2、SNMPv3配置模板

IPv6

Underlay配置

WAN接口

支持以太接口（GE/xGE/FE）配置IPv6，支持IPoE

WAN路由

支持IPv6静态路由，支持静态路由的优先级设置，支持静态路由Track功能

支持BGP4+，支持设置BGP外部路由优先级，支持路由汇聚，支持基于前缀设置路由发布黑白名单设置，支持基于前缀的路由引入黑白名单设置，支持配置认证方式：keychain，MD5

支持IPv6 GRE隧道

支持IPSec Profile模板管理，支持基于Underlay链路配置IPv6 over IPv4 GRE，支持IPSEC加密

LAN侧配置

LAN接口

L2/L3口支持IPv6地址配置，支持DHCPv6服务器，Relay配置 支持VRRP6配置、支持配置VRRP TRACK接口状态

LAN路由

支持IPv6静态路由，支持静态路由的优先级设置，支持静态路由的Track IP功能

支持OSPFv3配置，支持包含区域、引入静态路由、直连路由、路由过滤以及是否发布默认路由。支持引入OSPFv3其它进程、静态路由和直连路由。

可视化运维

监控运维

GIS管理

GIS设置

支持高德、Google在线地图。 说明： 1、国内支持高德、海外支持Google，其他的地图都不支持； 2、地图需要客户自行购买，华为不负责提供。

系统管理员可以设置GIS地图的url和中心点坐标，地图缩放级别等信息。

GIS显示

支持在GIS地图查看站点位置，显示不同站点状态，包括：正常、异常、离线；可查看站点相关性能数据：平均LQM、平均AQM、吞吐量、应用数、上下行带宽利用率。

支持在GIS地图上显示站点间的链路，可查看链路LQM、链路类型、上下行容量。

支持基于GIS地图设置站点的物理位置信息。

拓扑管理

站点监控

支持查看拓扑中各站点的平均LQM、平均AQM、吞吐量、应用数量、上行带宽利用率、下行带宽利用率。

支持站点拓扑中展示站点告警状态

链路监控

支持查看拓扑中各链路上的LQM、链路名称、链路类型、上行容量、下行容量信息。

设备监控

支持设备拓扑，支持查看拓扑中各设备的平均LQM、平均AQM、吞吐量、应用数量、上行带宽利用率、下行带宽利用率 支持设备拓扑中展示设备告警状态和在线状态

运维

基于站点视图提供站点配置信息查询入口 基于站点/设备视图提供运维诊断入口

DashBoard管理

管理员DashBoard

支持查看控制器服务器运行状态总览，可查看单个服务器的CPU利用率和内存利用率。

定制DashBoard

支持对首页DashBoard页面进行定制，参与定制的视图包括：当前告警信息、站点健康度、应用质量分布、最差链路质量分布、策略任务信息、站点签约信息。

• 支持查看15条当前告警信息，1分钟自动刷新。
• 支持查看15个站点健康度，5分钟自动刷新。
• 支持查看5条应用质量分布，5分钟自动刷新。
• 支持查看5条最差链路质量分布，5分钟自动刷新。
• 支持查看15条策略任务信息，5分钟自动刷新，只显示正在执行和等待执行的策略任务。
• 支持查看15个站点签约信息，5分钟自动刷新。

设备DashBoard

支持设备状态设备统计，设备状态分为：正常、故障、告警、离线、未注册。

支持异常设备状态的展示，设备异常状态包括：故障、告警、离线。

告警监控

设备状态显示

支持在设备列表中，显示故障状态。包含：灰色（离线）、白色（未注册）、红色（故障）、黄色（告警）、绿色（正常）。

敏捷报表

敏捷报表

用户可按需自定义报表格式，支持表格、折线图、饼图、柱状图等不同的展现形式，支持当前紧急告警统计报表、站点数量统计报表、设备数量统计报表、上/下行流量TOP10统计报表、站点链路质量最差TOP10统计报表、站点间最差延时（抖动、丢包）TOP10统计报表、设备CPU资源最高TOP10统计报表设备内存占用最高TOP10统计报表

WAN链路

WAN链路编排信息

支持查看和导出设备维度信息编排报表：站点、设备名称、站点ID、wan链路名称、接口名称、TNP ID V4、TNP ID V6、router-id、wan ipv4、wan ipv6，传输网络ID

WAN资源采集

WAN资源采集

支持设备链路VPN加密状态查询

支持设备连接资源查看，包括BGP邻居，SPR实例规格，隧道规格，路由规格，；支持定时任务采集

支持IPSec隧道信息查询（接口状态、ip地址）

支持会话规格，ACL规格，ARP规格，ND规格

流量统计

流量统计

支持通过部署设备（V300/V600版本）的流统策略，将设备的流统数据查询展示并QoS策略丢包数据进行统计

业务质量监控

阈值设置

AQM阈值设置

根据设备上报的延迟率和丢包率值，使用评估公式计算出AQM值。支持设置时延和丢包率的健康状态阈值。

LQM阈值设置

根据设备上报的延迟率、抖动时间和丢包率，使用评估公式计算出LQM值。支持设置延迟率、抖动时间和丢包率的健康状态阈值。

租户站点的监控

全网站点

查看全网站点健康分布情况与查看站点状态分布，并了解健康得分最差的站点。 查看全网Top吞吐量的站点、Top流量的站点和Top访问量的站点。 查看全网所有站点的健康得分、链路质量指标和上下行链路的容量和利用率。

单个站点

查看和该站点相关的拓扑。 查看到设备的角色、CPU利用率、内存利用率、硬盘利用率和温度。 通过设置时间段查看该站点平均AQM趋势、带宽利用率、吞吐量趋势、AQM最差的TOP5应用、吞吐量Top5应用趋势。 通过设置时间段可以查看该设备状态信息，可以查看CPU、内存、硬盘使用率趋势和温度趋势。 查看站点下源IP（终端用户），以及该用户的各应用流量统计

查看站点下目的IP，以及源+目的IP通信对维度进行数据展示，同时提供TOPN分析数据

单个站点的链路

通过设置时间段查看吞吐量趋势、上行带宽使用趋势、下行带宽使用趋势、LQM趋势。 通过设置时间段查看该站点各链路质量数据（LQM趋势、延迟变化趋势、抖动变化趋势和丢包率变化趋势）。

单个站点的应用

通过设置时间段查看该站点在该时间段内产生流量的应用质量数据。 通过设置时间段查看该应用的吞吐量趋势和AQM趋势。 查看站点应用访问流量TOP20的源IP

租户站点间的监控

全网站点间性能数据

查看LQM最差5个站点间的和站点间Top流量。 通过设置时间段查看站点之间链路类型、链路质量指标、吞吐量和流量等信息。

站点间性能数据

查看这两个站点间的网络拓扑。 通过设置时间段查看指定时间段的LQM趋势、吞吐量趋势、应用Top5流量、应用AQM分布和吞吐量Top5应用趋势统计数据。

站点间的链路

通过设置时间段查看指定时间段内这两个站点间通信的链路状态信息，包括吞吐量趋势、LQM趋势、时延、抖动和丢包率变化趋势。

站点间的应用

查看指定时间段内这两个站点间通信的应用详情。 通过设置时间段查看站点间该应用的吞吐量趋势，AQM趋势图，延迟、丢包率变化趋势等数据。

租户应用的监控

全网应用维度

查看全网范围内应用的AQM、AQM最差的Top5应。 通过设置时间段查看各应用TOP5流量、吞吐量趋势。 通过设置时间段查看所有应用的应用质量指标、流量、吞吐量、WAN时延、服务器时延、丢包率。

单应用维度

支持查看单个应用在一段时间范围内的质量趋势（时延，抖动，丢包率，AQM）。 支持查看单个应用在一段时间范围内的吞吐量趋势。

提供基于单应用或应用组的应用质量排名，并明确造成评分差的主要原因

租户全网访客

全网访客

支持查看一段时间范围内全网的访问量的趋势。 支持查看一段时间范围内全网流量TopN的访问者的IP。 支持查看一段时间范围内全网的访问者列表，包括访问者IP，使用的流量，以及流量TopN应用。

监控数据导出

站点流量数据导出

支持CSV导出站点流量数据

链路流量数据导出

支持CSV导出站点链路流量数据

应用的流量数据导出

支持CSV导出站点应用的流量数据

SPR统计

呈现SPR切换次数TOP10站点

支持呈现SPR切换次数TOP10站点

呈现SPR切换原因分布图

支持呈现SPR切换原因分布图

SPR切换时间列表

支持SPR切换时间列表，支持导出

设备监控

单设备监控

单设备详细信息

支持查看单设备的详细信息，包括设备名称、版本、型号、启动时间、IP地址、MAC地址、制造商、描述信息。

单设备接口列表

支持查看单设备接口信息列表，接口信息包括接口运行状态、名称、带宽、双工模式等。

单设备故障告警列表

支持查看单设备实时的告警列表，告警信息包括告警类别、告警名称、发生时间、定位信息。

设备日志管理

支持基于站点配置将CPE日志上报给第三方日志服务器，可以到日志服务器上查看设备日志，便于进行设备的管理和维护。

网络调优

SAAS SLA度量和选路

SLA选路策略制定

支持对SAAS应用进行实时数据探测，制定SLA选路策略，包含负载分担模式、丢包基线、时延基线。

SLA选路策略部署

支持基于站点内链路部署SAAS SLA选路策略，在不同VN内可应用探测选路技术。

SLA选路结果可视

支持选路结果及链路健康度QoE实时查看。