防火墙通过注册查询中心方式上线

背景信息

防火墙支持通过注册查询中心实现即插即用上线。华为乾坤云平台添加了设备信息后，会向华为注册查询中心同步，包括自身的地址和端口号。防火墙在获取管理IP地址后，可以主动向华为注册查询中心发起HTTP2.0连接请求，然后获取华为乾坤云平台的地址和端口号，最终完成上线。

操作步骤

防火墙云管模式纳管，二层口配置上线，VlANIF和静态路由配置会被清除，导致设备离线，需要在站点进行预先配置才能正常上线。

防火墙与华为乾坤云平台建立连接以及被平台纳管的过程如图 防火墙与平台建立连接和纳管过程所示。

图1 防火墙与平台建立连接和纳管过程

1. 防火墙向注册查询中心查询华为乾坤云平台的域名和端口信息。

   1. 防火墙连接上Internet以后，自动向注册查询中心（默认域名register.naas.huawei.com）发送HTTP2.0通道建立请求。

      在空配置条件下，防火墙将以传统模式启动。启动过程中，防火墙会把接口状态为UP的业务口的DHCP Client和DNS Client功能打开，并将此接口加入安全区域，然后开放安全策略，以使自己可以成功连接上Internet。

      

      防火墙在传统运行模式下时，管理员不可以登录防火墙，否则会造成后续防火墙无法自动切换到云管理模式，造成连接云平台失败。如果管理员已经误登录，请恢复防火墙空配置这个初始条件后重启设备，以便防火墙能自动连接到云平台。

   2. 注册查询中心向防火墙返回HTTP2.0通道连接响应消息。

      建成的HTTP2.0通道用来传送后续的域名查询请求。

   3. 防火墙向注册查询中心发送域名查询请求。

      此消息用来查找防火墙所要连接的华为乾坤云平台域名和端口。

   4. 注册查询中心向防火墙返回查询结果。

      注册查询中心会从云管理平台同步防火墙的SN、设备类型、平台域名和端口等信息，然后将此信息返回给防火墙。

      防火墙收到平台域名和端口信息后，会自动把运行模式切换成云管理模式。

      

      防火墙切换为云管理模式时，会触发一次设备重启，该重启属于正常现象。

      如果防火墙查询无果，系统将不进行云管理模式切换，而是以传统模式完成启动。系统启动完成后，之前为业务口开放的DHCP Client功能会关闭、接口与安全区域的绑定关系取消，并恢复缺省的安全策略。

2. 防火墙连接和纳入华为乾坤云平台。

   1. 防火墙向平台发送NETCONF通道连接请求。

      连接请求中携带了防火墙的设备证书，此证书供平台验证防火墙的身份。

   2. 平台向防火墙返回NETCONF通道连接响应消息。

      建成的NETCONF通道用来传送后续的查询请求、业务配置等消息。

   3. 防火墙和平台彼此向对方发送Hello报文，检测NETCONF通道连接状态。

   4. 平台向防火墙发送设备信息查询请求。

   5. 防火墙将自己的设备信息返回给平台。

   6. 平台根据上一步获得的防火墙信息，向该设备下发业务配置。

   7. 防火墙向平台返回配置结果。

   华为乾坤云平台可以向防火墙正常下发业务配置，这就表示防火墙已经纳入了平台的管理。纳入平台管理的防火墙会主动上报NETCONF Notification告警。

后续操作

用户可登录华为乾坤工作台，检查防火墙状态。如果状态为“正常”，说明防火墙已成功注册上线。