添加NETCONF/COAP协议纳管的云化设备

特性约束和限制

• 对于AP和LSW设备，“设备名称”会下发到设备作为主机名（sysname）。受设备的约束，为了防止主机名下发失败，“设备名称”只能包括：大小写字母、数字、特殊字符!"#$%&'()*+,-./:;<=>@[\]^_`{|}~和空格。
• 同一个站点下，云AP设备数量建议不超过款型推荐最大值。如需在站点中添加超出规格数量的AP，超出规格后站点内的AP设备将通过分布式调优进行无线调优。单站点最多支持添加1024个云AP设备。
• 添加设备时如果已经将该设备添加入站点，设备添加成功后，可以通过手工来修改设备所属的站点。在设备管理页面，勾选设备，单击“切换站点”，更改设备所属的站点或将设备从站点删除。若将Fit AP移出WAC站点，则Fit AP变成云AP。
• 云AP/中心AP正常上线后又从控制器上掉线，且掉线时间持续24小时、当前无在线用户时，会尝试重新启动进行恢复。
• 当设备状态变化时（例如删除设备后重新添加设备），等待大约60s之后，再进行准入认证，否则可能会认证失败。

• 防火墙和AP有两种工作模式：传统模式和云管理模式，它们需要切换到云管理模式才能被iMaster NCE-Campus纳管。

• iMaster NCE-Campus通过NETCONF协议纳管防火墙设备时，需要确保设备侧的AAA视图中存在huawei用户名的API账号，否则会导致认证失败。

• V200R019C00之前版本的交换机需要切换到云管理模式，V200R019C00及之后版本的交换机需要使能NETCONF功能，才能被iMaster NCE-Campus纳管。

前提条件

1. 设备与iMaster NCE-Campus路由可达，并配置NETCONF协议。
2. 通过COAP协议添加设备时，需要先配置证书。
3. 通过NETCONF协议添加交换机设备时，如果交换机设备版本为V200R008C00及之前版本，需要先替换设备证书。
4. 通过NETCONF协议纳管V600R022C10及以上版本的防火墙设备时，需要先配置对应防火墙设备的控制器接入向导，详细操作可以参考对应的设备款型的产品文档包（如 《 HiSecEngine USG6000F Version 产品文档 》 中的“控制器接入向导”章节）。

操作步骤

1. 在主菜单中选择“资源中心 > 设备管理”，单击“设备”页签。单击“添加设备”。
2. iMaster NCE-Campus支持“手动添加”、“批量导入”、“自动扫描”和“审批添加”四种方式来添加设备。
   • 选择“手动添加”的方式来添加云化设备。
     1. 选择已经存在的站点或不加入站点。
     2. 单击“添加设备 > 手动添加”。
     3. 选择“NETCONF/COAP协议”。
     4. 选择“设备型号”模式，单击“增加”，添加设备，需要分别设置类型、型号、数量和角色。然后单击“确定”。

        

        

        • 如果全局参数中RR源选择为MSP RR，则租户下不需要再添加设备角色为网关+路由反射器的设备。
        • 请根据站点的实际组网，配置各类型设备的角色，设备角色推荐如下：

          AP：AP;

          AR：网关、网关+核心、网关+路由反射器;

          FW：网关、边界防火墙、内部隔离防火墙、天关、网关+路由反射器;

          LSW：网关、核心、汇聚、区域汇聚、接入;

          WAC：WAC;

          若添加设备时，不配置设备角色，则系统默认将AP角色设置为AP，其他设备角色设置为接入。

        • 仅V600R023C10及以上版本FW款型设备支持设置“角色”为“网关”以及“网关+路由反射器”，详细支持款型请参考SASE解决方案手册中的“版本配套说明”章节。
     5. 录入设备ESN信息。
        

        1. 在邮件开局、U盘开局和云站点开局场景下，可以不录入设备的ESN信息。
        2. 如果租户发现ESN被占用导致无法添加设备，请联系系统管理员或者MSP管理员清除设备ESN。
     6. 单击“确定”。

        对已上线设备，可以通过单击对应的设备名称，查看设备上线后的状态信息，同时还可以“重启设备”、“命令行”、“配置锁定”等。

        

        • 不同设备，界面显示有差异。
        • “设备配置”功能支持打开设备的web网管，只支持FW、AR、WAC款型和随板AC款型的设备，iMaster NCE-Campus最大只支持同时打开20台设备的web网管功能。
        • 单个用户如果已经通过本功能打开了一个设备的web网管窗口，再打开另外一个时，因为不同设备使用同一个IP地址通过SSH服务进行会话转发，导致打开第二个设备的web网管时，第一个设备的会话信息被覆盖，web网管退出登录。如果确实需要同时打开两个设备的web网管，可以通过打开一个无痕页面或使用其他浏览器登录iMaster NCE-Campus，再执行设备web网管页面跳转。
   • 选择“批量导入”的方式来添加云化设备。
     1. 选择已经存在的站点或不加入站点。
     2. 单击“添加设备 > 批量导入”。
     3. 选择“NETCONF/COAP协议”。

     

     下载并填写模板，上传模板后，“结果”窗口内选择需要上传的设备，单击“确定”。

   • 选择“自动扫描”的方式批量自动添加设备，详细请参考通过NETCONF协议发现并添加设备。
   • 选择“审批添加”的方式审批添加设备，详细请参考DHCP Option开局配置（免ESN录入）。

3. 设备添加成功之后，可以在下方设备列表中查看设备信息。单击设备列表“操作”右侧的图标，可以自定义显示列表字段。
   

   

   • “公网IP地址”是设备与iMaster NCE-Campus建立NETCONF通道的IP。
   • Fit AP、分布式AP这种不直接与iMaster NCE-Campus建立NETCONF通道的级联设备没有公网IP。
   • “管理IP地址”是用户通过iMaster NCE-Campus管理设备时使用的IP地址。iMaster NCE-Campus支持配置交换机和AP设备的管理IP地址。
   • 在堆叠场景下，备从成员设备没有管理IP地址。

后续操作步骤

设备安装、接线、上电完成后，需要到iMaster NCE-Campus注册上线，实现被iMaster NCE-Campus纳管，再通过iMaster NCE-Campus进行业务部署、下发配置和设备监控。设备到iMaster NCE-Campus注册上线需要2个步骤：

1. 设备接入Internet。

2. 设备切换云管理模式，获取iMaster NCE-Campus的IP/URL地址和端口号，注册上线。

相关操作

• 设备的重启和恢复配置。

  选择已经添加的设备后，可以分别通过恢复出厂设置、恢复开局配置（仅支持AR设备）、重启功能，将设备的配置恢复成出厂值，恢复成局点默认配置或者重启设备。

  

  此部分操作为系统高危操作，且操作后不可回退，请先评估风险。

• 切换设备所属的站点。

  选择某个设备，然后单击“切换站点”，可以将某个设备切换到当前选择的站点中，或者将设备从当前站点中移除。选择站点时，可以根据组织进行过滤。

  

  1. 设备从旧站点切换新站点后，系统将按新站点的业务配置重新下发，旧站点的单设备配置（如子网，接口等配置）是否清除可自行选择。
  2. AP切换不同类型站点导致模式发生变化时，系统将强制清除原所有配置，按新站点的业务配置重新全量下发。
  3. 该操作原有业务会有重大影响，且耗时较长，请先评估风险。
• 查看组织中的站点。

  在“设备”页面单击“组织”的下拉列表，选择某一组织下的站点，可以查看该站点下的全部设备。还可以查看未分配组织的站点以及站点下的设备。

  

• 确认开局
  添加设备时，可选择是否开启“开局安全确认”。

  • 当“开局安全确认”使能时，设备上线后，iMaster NCE-Campus不能给设备下发配置，设备管理界面的“管理状态”列显示“待确认开局”。若需给设备下发配置，需在设备管理界面勾选相应设备，单击“确认开局”。
  • 当“开局安全确认”未使能时，设备首次上线后自动下发配置。