- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
27-云平台连接配置
本章节下载: 27-云平台连接配置 (247.91 KB)
目 录
云平台连接是指设备与云平台服务器建立的远程管理通道。通过云平台连接,网络管理员可以在没有直接接入到设备所在网络的情况下,通过云平台服务器对分布在不同位置的设备进行管理和维护。
设备与云平台服务器建立的云平台连接为主连接,设备上不同的业务模块可以与云平台服务器上对应的微服务建立云平台子连接,各个子连接之间互不影响。云平台的多连接机制可以为不同业务的数据提供不同的通信通道,避免多业务间的干扰。
如图1-1所示,设备与云平台服务器建立云平台连接的过程如下:
(1) 设备向云平台服务器发送认证请求报文。
(2) 云平台服务器收到认证请求报文后,检查服务器上是否已添加认证请求报文中携带的设备序列号,如果已添加则回应认证成功响应报文,否则回应认证失败响应报文。
(3) 设备收到认证成功响应报文后,向云平台服务器发送注册请求报文。
(4) 云平台向设备返回注册响应报文并携带云平台主连接的微服务URL。
(5) 设备收到注册响应报文后,向主连接微服务URL发送握手交互(从HTTP协议切换为WebSocket协议)请求。
(6) 云平台服务器回复握手交互响应报文。
(7) 通过以上报文交互,完成建立主连接。
(8) 主连接建立完成后,根据不同的业务需要,设备自动通过主连接获取子连接URL,而后与云平台服务器建立多个子连接。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
系列 |
型号 |
说明 |
|
F50X0系列 |
F5010、F5020、F5020-GM、F5030-6GW、F5030-6GW-G、F5040、F5000-A、F5000-C、F5000-S、F5000-M |
不支持 |
|
F5030、F5060、F5080 |
支持 |
|
|
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI系列 |
F5000-AI-15 |
支持 |
|
F5000-AI-20、F5000-AI-40 |
不支持 |
|
|
F5000-V系列 |
F5000-V30 |
不支持 |
|
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-25、F1000-AI-35、F1000-AI-65、F1000-AI-75 |
支持 |
|
F1000-AI-20、F1000-AI-30、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-70、F1000-AI-80、F1000-AI-90 |
不支持 |
|
|
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1010-L |
不支持 |
|
F1005-L |
支持 |
|
|
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
不支持 |
|
F1020 |
支持 |
|
|
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
不支持 |
|
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK系列 |
F1000-AK110、F1000-AK120、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK710、F1000-AK1110、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK130、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9109、F1000-AK9120 |
不支持 |
|
F1000-AK108、F1000-AK109、F1000-AK115、F1000-AK125、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1115、F1000-AK1125、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1215、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9110、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
在云平台服务器上添加待管理设备的序列号,在建立连接时,云平台服务器将根据设备的序列号,回复认证响应报文。
通过指定云平台服务器域名,可以使网络管理员在远程PC端通过域名登入云平台服务器对设备进行管理。
设备与云平台服务器建立连接后,会通过两种方式进行保活:
· 设备会周期性地向服务器发送Keepalive报文进行保活。如果设备在连续3个Keepalive报文的发送周期内没有收到云平台服务器的响应,设备会重新向平台服务器发送注册请求,与其重新建立连接。
· 设备会周期性地向服务器发送Ping报文进行保活,为了防止NAT表项老化,导致设备无法发送报文。
最多可以指定8个备服务器域名,设备会按照配置顺序去连接主备服务器,且同一时刻只能与一个服务器建立连接。可以通过display cloud-management state命令查看设备当前连接的服务器。
主备服务器不支持抢占方式,即同时配置了主备服务器,且当前连接的是主服务器,如果此时主服务器发生故障,设备会去连接备服务器,但当主服务器故障恢复后,设备不会断开与当前备服务器的连接而优先去连接主服务器。
当网络状况不好或者设备NAT表项老化时间较短时,可以适当减小Ping报文的发送时间间隔。
当建立云平台连接使用的是ADWAN服务器时,需要配置建立云平台连接时使用的ADWAN服务器的校验密码,否则云平台连接会建立失败。
配置云平台服务器域名时,请确认网络中已经配置了能够解析该域名的DNS服务器。
(1) 进入系统视图。
system-view
(2) 配置云平台服务器域名。
cloud-management server domain domain-name [ vpn-instance vpn-instance-name ] [ source-ip ipv4-address ]
· 出厂配置启动时,可通过display default-configuration | includ cloud-management命令查看主用云平台服务器域名。
· 空配置启动时,未指定主用云平台服务器域名。
有关出厂配置和空配置的详细介绍,请参见“基础配置指导”中的“配置文件管理”。
(3) (可选)配置云平台备服务器域名。
cloud-management backup-server domain domain-name [ vpn-instance vpn-instance-name ] [ source-ip ipv4-address ]
缺省情况下,未指定云平台备服务器域名。
(4) (可选)配置向云平台服务器发送Keepalive报文的时间间隔。
cloud-management keepalive interval
缺省情况下,设备向云平台服务器发送Keepalive报文的时间间隔为180秒。
(5) (可选)配置向云平台服务器发送Ping报文的时间间隔。
cloud-management ping interval
缺省情况下,设备向云平台服务器发送Ping报文的时间间隔为60秒。
(6) (可选)配置建立云平台连接时使用的TCP端口号。
cloud-management server port port-number
缺省情况下,设备建立云平台连接时使用的TCP端口号为19443。
(7) (可选)配置建立云平台连接时使用的ADWAN服务器校验密码。
cloud-management server password { cipher | simple } string
缺省情况下,未配置建立云平台连接时使用的服务器校验密码。
当设备已被他人在云平台上注册时,用户将无法完成注册。需要首先在云平台上提申诉,获取解绑定验证码,然后在设备上将这个解绑定验证码发往云平台,解除绑定。
(1) 进入系统视图。
system-view
(2) 向云平台发送解绑定验证码。
cloud-management unbinding-code code
在完成上述配置后,在任意视图下执行display命令,可以显示配置后云平台连接的运行情况,通过查看显示信息,来验证配置的效果。
|
操作 |
命令 |
|
显示设备授权状态信息 |
display cloud-management device authorization information |
|
显示云平台连接的状态 |
display cloud-management state |
配置Device与云运维管理平台之间建立云平台连接,使网络管理员可以在远程PC端通过登入云运维管理平台对Device进行管理。
图1-2 建立云平台连接配置组网图
· 确保DNS服务器能够完成云运维管理平台的域名解析。
· 需要在Device和云运维管理平台之间设置安全策略规则,以实现local和untrust域之间的互通。
(1) 配置各接口的IP地址、路由、安全域及安全策略保证网络可达,具体配置过程略。
(2) 配置云运维管理平台
在云运维管理平台上添加待管理设备的序列号。云运维管理平台的IP地址为10.1.1.1/24,域名为secops.h3c.com。
(3) 配置Device
# 指定云运维管理平台的域名为secops.h3c.com。
<Device> system-view
[Device] cloud-management server domain secops.h3c.com
# 查看云平台连接信息,可以看到Device与云运维管理平台之间已经建立了云平台连接并进入Established状态。
[Device] display cloud-management state
Cloud connection state : Established
Device state : Request_success
Cloud server address : 10.1.1.1
Cloud server domain name : secops.h3c.com
Cloud connection mode : Https
Cloud server port : 19443
Connected at : Wed Jan 27 14:18:40 2018
Duration : 00d 00h 02m 01s
Process state : Message received
Failure reason : N/A
Last down reason : socket connection error (Details:N/A)
Last down at : Wed Jan 27 13:18:40 2018
Last report failure reason : N/A
Last report failure at : N/A
Dropped packets after reaching buffer limit : 0
Total dropped packets : 1
Last report incomplete reason : N/A
Last report incomplete at : N/A
Buffer full count : 0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
