网络运维 --- 牛头 高节网关配置
这个设备本质上就是 pc+AI算力板卡+网络板卡。是本地K8S+Docker+应用镜像。
在高级PC上安装了K8S本地Docker集群,通过飞严平台下方应用实现类似deepsek,防火墙,OA等各种个性化功能。其中内置了一个安全大闹防火墙docker服务
大闹应用,融合网关应用都是可选的,包括线
问题解决:同步时间后在检测远程控制地址,搜索使用设备MAC
一、 核心硬件设备清单 (Hardware)
| 硬件名称 | 型号/描述 | 关键信息/用途 | 来源 |
|---|---|---|---|
| 高阶网关 | 华为版(本次交付指引手册针对的设备) | 核心设备,集成了网络和应用功能,用于客户侧组网。设备已完成集采,各省/市/区分公司在“翼商城”下单采购。 | |
| 算力卡/算力板 | 提到华为 Atlas 300v pro | 高阶网关的内部组件,用于承载如 DeepSeek 14B 等对算力有要求的应用。 | |
| 配件 | 电源线、钥匙、合格证、说明书 | 包含在高阶网关一套设备中,需在现场核对完整。 | |
| OLT | 10G PON OLT | 如果选择 PON 上行组网方案,客户的光纤上行设备必须是 10G PON。 | |
| 光纤 | 黄色光纤 | 用于 PON 上行接入。 | |
| 装维工具 | 笔记本电脑、网线、水晶头、网线钳、螺丝刀、线标机、机箱上架工具(若需要) | 装维工程师现场安装配置所需的工具。 |
二、 核心软件/应用清单 (Software/Applications)
| 软件/应用名称 | 版本/类型 | 关键信息/用途 | 来源 |
|---|---|---|---|
| 安全大脑 (虚拟版) | 版本:1.2.0(新版安全大脑) | 核心应用,对标防护板功能。需进行初始化配置,包括系统网桥接管和特征库更新。 | |
| 视联网 | - | 可下发的应用之一,用于视频汇聚和 AI 分析。与 DeepSeek 应用目前冲突(二选一)。 | |
| DeepSeek | 7B/14B | 可下发的应用之一,根据算力卡型号加载不同模型。DeepSeek-14B 要求算力卡为华为 Atlas 300v pro。 | |
| 企业网盘 | 基础版/旗舰版 | 可下发的应用之一。 | |
| 致远 OA | - | 可下发的应用之一,本地访问链接 192.168.133.2:30003。 | |
| 翼企办公 | - | 可下发的应用之一,提供考勤、门禁功能。 | |
| awifi | - | 可下发的应用之一,支持增强版和高阶版。 | |
| 安全猫 | - | 可下发的应用之一。 | |
| k3s-ip-change.sh 脚本 | - | 用于在算力板上修改 k3s IP 地址的脚本。 | |
| netconfig-eni. 脚本 | - | 用于在 LAN 上行未获取到 IP 地址时,登录算力卡执行的物理网卡名称跳变修复脚本。 |
三、 平台与管理工具清单 (Platforms and Management Tools)
| 平台/工具名称 | 类型/描述 | 关键信息/用途 | 来源 |
|---|---|---|---|
| 【飞雁运营管理平台】 | 电信内部运营管理平台 | 用于高阶网关纳管、应用下发、应用下发权限管理。 | |
| 智慧综维 APP/系统 | 装维工程师使用的移动/管理系统 | 用于接收装维工单(高阶网关和应用)、获取安全大脑逻辑 ID、设备绑定、回填 SN 以及进行竣工测试。 | |
| 翼智企小程序 | 客户/装维使用的企业管理小程序 | 用于开通客户企业信息、员工加入企业,装维工程师用于绑定高阶网关、客户用于查看网关纳管和应用功能。 | |
| 融合网关本地服务平台 | 本地配置平台 | 重要更新: 用于配置安全大脑,取代了手动执行脚本的方式。 | |
| FTTR-B web 页面 | 高阶网关本地管理界面 | 地址通常为 192.168.133.1,用于更改省份、配置 MAC/IP 绑定、修改用户侧地址段等网络设置。 |
|
| ITMS+ | 电信管理系统 | 用于 PON 上行时,注册进度条 100% 后,自动下发 VLAN 等网络配置。 | |
| 安全大脑本地平台 | 安全大脑本地 Web 页面 | 地址为 https://192.168.133.2:31443,用于登录、检查系统版本、配置设备逻辑 ID 和云连接引擎。 |
|
| 安全大脑的统一运营平台 | 安全大脑管理平台 | “样板间”期间,用于填写意向单开通测试工单。 |
根据您提供的来源,高阶网关省内自主交付的整体流程可以总结为三大阶段:实施前准备(在电信侧)、现场实施(客户现场)以及交付后收尾与验证。
以下是流程的详细总结:
阶段一:实施前准备(在电信侧)
此阶段主要在装维工程师到达客户现场之前,在电信内部完成,涉及支撑团队、工单确认和平台配置。
| 序号 | 流程项 | 关键操作/指引 | 来源 |
|---|---|---|---|
| 1 | 装维工单确认 | 确认已收到高阶网关及所有关联应用(如安全大脑、视联网等)的装维工单,并核对工单中的信息,包括 LOID、账密(PON 上行需要)和安全大脑逻辑 ID。 | |
| 2 | 拉支撑群 | 装维工程师创建或加入交付支撑群,成员包括本地客户经理、CTO、标准ICT运营团队成员、应用方等,用于同步进度和问题处理。 | |
| 3 | 确认设备到货 | 在支撑群核对高阶网关库存,确认品牌、型号、数量与装维工单一致。 | |
| 4 | 【飞雁运营管理平台】账号开通 | 确认本地市平台管理人员具备所需权限,如有需求需联系智网标准ICT运营中心开通。 | |
| 5 | 开通客户企业信息 | 通过翼智企小程序自助开通或由客户经理收集信息统一提报省公司开通。 | |
| 6 | 制定网络接入方案 | 装维工程师在客户现场施工前,需检查线路质量和设备布放环境。与客户确认当前网络拓扑、出口带宽、IP 规划等信息。基于现场情况,与客户确认 PON 上行或 LAN 上行方案,并确保 PON 上行 OLT 为 10G PON。CTO 需组织团队制定方案并取得客户同意和通过评审。 | |
| 7 | 高阶网关初始化配置(电信侧预配置) | 装维工程师将高阶网关临时上电、联网,以便【飞雁运营管理平台】纳管设备。地市平台管理人员根据订单需求,从【飞雁运营管理平台】选定设备并下发相关应用(如【新版安全大脑】版本 1.2.0),确保应用状态变为 running。 |
阶段二:现场实施(客户现场)
此阶段是装维工程师在客户现场进行的安装、配置、绑定和基础测试。
| 序号 | 流程项 | 关键操作/指引 | 来源 |
|---|---|---|---|
| 1 | 工具准备及客户知情 | 准备安装工具(笔记本电脑、网线等),并确认客户经理已告知客户高阶网关接入计划及风险。 | |
| 2 | 检查设备及安装确认 | 在客户现场确认设备数量、配件完整且无机械损伤,并确认安装位置(如是否上机柜、取电位置)。 | |
| 3 | 高阶网关网络接入 | 根据已制定的接入方案,安装设备、上电、接线并进行网络配置(包括 PON 或 LAN 上行的具体设置)。 | |
| 4 | 安全大脑初始化配置(本地) | 在已下发安全大脑应用的前提下,执行以下操作: | |
| 4.1 | 系统网桥接管 | 修改高阶网关系统网桥由安全大脑接管(最新指引是通过融合网关本地服务平台配置,无需手动脚本)。 | |
| 4.2 | 登录和版本检查 | 登录本地安全大脑平台(https://192.168.133.2:31443)并检查系统版本是否为最新。 | |
| 4.3 | 设备绑定与注册 | 在智慧综维 APP 上获取逻辑 ID 并配置到安全大脑本地页面。启动安全大脑云连接引擎,填写逻辑 ID 和云地址 (suep.ctsgw.damddos.com:50443),并保存配置。 |
|
| 4.4 | 特征库更新 | 在安全大脑已授权的前提下,进行升级策略配置,确保特征库已升级到最新库并完成定期升级配置。 | |
| 5 | 竣工测试 | 登录智慧综维系统进行竣工测试,确保安全大脑云平台纳管完成(注册状态为“注册成功”,云连接状态为“已连接”)。 | |
| 6 | 翼智企小程序绑定 | 装维工程师使用客户手机号登录翼智企,通过扫码或输入 MAC 地址的方式绑定高阶网关。 |
阶段三:交付后收尾与验证
此阶段确保交付物齐全、工单回单,并最终确认功能正常。
| 序号 | 流程项 | 关键操作/指引 | 来源 |
|---|---|---|---|
| 1 | 装维工单回单 | 客户现场签署《天翼安全大脑交付确认单》。登录智慧综维 APP 回单,此时订单状态为待报竣。 | |
| 2 | 协调报竣 | 在支撑群内协调安全大脑支撑人员将工单报竣,并确认翼智企小程序安全大脑账号与订单手机号一致。 | |
| 3 | 交付前功能验证 | 进行网络测试(客户原有设备和应用访问正常)和翼智企小程序测试(网关纳管和应用功能)。 | |
| 4 | 客户交付物 | 指导客户使用翼智企小程序。 | |
| 5 | 安全大脑功能演示 | 装维工程师给客户演示安全大脑阻断功能。 |
这份总结概述了高阶网关(华为-研扬版FTTR-B)在网络连接、应用下发、配置及常见问题排查方面的关键信息和操作流程,主要基于《高阶网关(网络+应用)配置极简教程&常见问题.pdf》的摘录内容。
一、 整体流程与关键平台
高阶网关的配置和增值业务交付遵循一系列标准化流程,涉及多个平台。
1. 主要步骤
高阶网关交付的环节包括工单信息确认、组网勘察设计、领料与验机、全光组网交付、增值业务交付和竣工回单。
增值业务(应用或插件)的部署流程通常要求先完成高阶网关的上电连网(PON或LAN上行),并通过翼智企小程序绑定网关。所有应用或插件首先需要从飞雁平台下发。
2. 核心管理平台
- 飞雁平台(飞雁运营管理平台): 用于对高阶网关进行应用和算法的下发、查找网关和查看应用状态。销售品流程打通后,飞雁平台支持自动下发。平台地址:
https://mict.mec189.cn/。 - 融合网关服务平台: 用于高阶网关的高阶设置和网桥配置,是配置安全大脑等应用的关键界面。本地访问链接:
http://192.168.133.2:31338/index.html。- 登录方式推荐使用翼智企账号(手机号+验证码,需访问外网)。本地账号为:
telecomroot-admin,密码:mQ6gB%7s(首次登录需修改)。
- 登录方式推荐使用翼智企账号(手机号+验证码,需访问外网)。本地账号为:
- 高阶网关FTTR-B管理页面: 默认访问地址为
192.168.133.1。- 登录账号为
telecomadmin,密码为nE7jA%5m。
- 登录账号为
二、 高阶网关网络连接与配置
高阶网关支持PON上行组网(商宽、互专等黄色光纤上行)和LAN(以太)上行组网(通过网线连互联网)。
1. 前置条件
如果需要部署安全大脑应用、爱WIFI插件或SDWAN插件中的任一种,需要先确认高阶网关FTTR-B版本是否为 V5R024C11S200。
2. 基本配置步骤
- 配置省份: 在FTTR-B管理页面,点击【设备注册】,选择对应的省份,验证密码为
nE7jA%5m。 - 配置用户侧地址: 默认IP地址为
192.168.133.1,子网掩码255.255.255.0。 - IP/MAC绑定: 需将算力板(默认IP
192.168.133.2)的MAC地址进行绑定。 - 检查远程纳管地址: 远程管理平台地址应检查是否为
gict.mec189.cn。
3. 常见网络问题排查
装维笔记本访问不到高阶网关管理页面(192.168.133.1)的排查方法包括:检查笔记本是否连接到高阶网关的【内网一】或【内网二】口(黄色口)、配置笔记本IP地址确保与网关在同一网段(默认为192.168.133.0/24)、尝试Ping通网关。
三、 增值业务(应用)配置详解
1. 安全大脑(审计版/防护版)
安全大脑的交付要求高阶网关已上电联网,网关在飞雁平台显示在线且为高阶版,并且【融合网关服务平台】已下发且版本为1.6.0及以上。
- 流量接管配置: 需要通过【融合网关服务平台】配置算力板网桥,在【应用列表】中选择安全大脑的【高级配置】,设置“流量是否经过安全大脑”为【是】。
- 旁挂配置: 需在FTTR-B配置页面的【应用】-【旁挂设备】页面开启【使能用户侧旁挂设备端口】,指定LAN侧旁路口(LAN1)和WAN侧旁路口(LAN2)。
- 删除注意: 在从飞雁平台删除安全大脑之前,必须先通过【融合网关服务平台】将“流量是否经过安全大脑”恢复选择【否】,否则可能出现断网或网关离线问题。
2. DeepSeek/Dify(大语言模型)
该业务需要分别下发**【DeepSeek-7B-HUAWEI】(版本1.0.2)和【Dify应用平台】**(版本1.0.1)。
- 本地访问: Dify本地网址为
http://192.168.133.2:31334/。 - 模型配置错误排查: 如果配置LLM模型时报错“Internal Server Error”,需要将【OpenAI-API-compatible】插件版本从默认的0.0.20降级到0.0.19。
- 模型配置时,LLM模型名称为
deepseek-qwen,API endpoint URL为http://192.168.133.2:1040/v1。
3. 视联网(视频监控平台/AI分析平台)
视联网平台和AI分析平台可以分开下发。如果只用于收编监控,只需下发**【视联网视频监控平台】**即可。
- 平台访问: 视频监控平台本地网址:
http://192.168.133.2:18080/。 - IP地址更改和公网收编: 如果高阶网关算力板的133网段地址更改或需要公网收编,视联网应用需要执行特定的配置脚本来更改配置。
- 算法下发: AI算法(包括10个标准版算法和26个增强版依图算法)需作为“算法舱”从飞雁平台按需下发。
- 存储空间: 视联网视频存储空间不足时,需要通过脚本和
kubectl命令手动扩容存储空间(PVC)。
4. 本地网盘(50人版)
- 本地访问: 网址为
http://192.168.133.2:32080/netdisk/。 - 登录账密: 账号:
superUser,密码:Super!@123User。 - 如果网盘2T空间不够用,可通过参考《企业网盘应用PVC扩容操作手册.pdf》进行扩容。
5. 翼企办公
部署翼企办公后,需使用翼智企小程序绑定考勤机(如D20魔点考勤机),考勤机通过网线接入高阶网关LAN口(任一黄色口)即可连公网。
四、 账户与手册信息
| 应用名称 | 应用网页登录账密 | 应用访问链接 |
|---|---|---|
| 融合网关服务平台 | 方式二:账号:telecomroot-admin,密码:mQ6gB%7s |
http://192.168.133.2:31338/index.html |
| 安全大脑(审计版) | 账号:admin,密码:CTSGW@admin |
https://192.168.133.2:32443 |
| 安全大脑(防护版) | 账号:admin,密码:Admin@7788 |
https://192.168.133.2:31443 |
| 本地网盘(50人版) | 账号:superUser,密码:Super!@123User |
http://192.168.133.2:32080/netdisk/ |
| Dify应用平台 | 首次登录自行创建超级管理员账户 | http://192.168.133.2:31334/ |
| 视联网-视频监控平台 | 账号:admin |
http://192.168.133.2:18080/ |
装维工程师通过智慧综维APP收到高阶网关与应用(安全大脑、视联网等应用)的装维工单后,与客户经理确认该客户的高阶网关及应用工单受理信息是否正确,且该客户高阶网关关联的所有应用工单已全部接收。且工单中包含LOID与账密(PON上行需要)。确认是否已收到安全大脑装维工单,且工单中包含安全大脑逻辑ID。
预配置
1.PON或者LAN接入网关到网络
高阶网关FTTR-B开局配置指南(总结版)
一、 开局前准备
-
设备上电:确保高阶网关已通电。
-
版本确认(关键!):如果需要部署安全大脑、爱WiFi 或 SD-WAN 任一增值业务,必须先确认设备固件版本为
V5R024C11S200。-
如何操作:联系所在省份的华为接口人刷写指定固件。
-
-
入网测试确认:如果采用PON上行方式(被ITMS纳管),需确认所在省份已完成入网准入测试。
二、 配置流程总览
下图清晰地展示了开局配置的核心步骤与逻辑关系:
三、 详细配置步骤
第1步:连接设备与电脑
-
操作:用网线连接笔记本和高阶网关的 【内网一】 或 【内网二】 (黄色网口)。
-
配置:将笔记本IP设为
192.168.133.0/24网段(如192.168.133.10),但不能是.1或.2。 -
验证:在笔记本上
ping 192.168.133.1,并尝试在浏览器打开该地址,应能访问管理页面。
第2步:配置省份
-
入口:打开
192.168.133.1-> 【设备注册】。 -
操作:点击“选择地区”,选择对应省份。
-
密码:输入验证密码
nE7jA%5m,点击确定等待完成。 -
注意:成功后管理IP会变为
192.168.1.1。
第3步:配置用户侧地址
-
入口:用新地址
192.168.1.1登录 (账号:telecomadmin, 密码:nE7jA%5m) -> 【网络】->【用户侧管理】->【IPv4设置】。 -
推荐配置(如无特殊需求,请按此设置):
-
IP地址:
192.168.133.1 -
子网掩码:
255.255.255.0 -
启用DHCP Server:
勾选 -
初始IP:
192.168.133.2 -
终止IP:
192.168.133.254
-
第4步:IP/MAC绑定(绑定算力板)
-
获取MAC:【状态】->【状态总览】-> 查看 【网口5】 的MAC地址。
-
绑定:【网络】->【用户侧管理】->【IPv4设置】->【配置Mac/IP绑定】->【新建】。
-
MAC地址: 填入刚复制的地址
-
IP地址:
192.168.133.2(与DHCP起始地址一致) -
VLAN:
0
-
第5步:连接上行网络
-
操作:将PON光纤插入高阶网关的 【上行光】 口。
-
检查:【管理】->【接入模式配置】,确认上行口为 【XGPON】 (根据实际环境调整)。
第6步:配置WAN连接(设备注册)
-
操作:在管理页面点击 【设备注册】 ,输入运营商提供的 【宽带识别码(LOID)】 ,点击确定。
第7步:检查网络状态
-
检查点:【状态】->【网络侧信息】->【IP连接信息】,查看连接状态应为 【已连接】。
第8步:检查时间同步
-
检查点:【网络】->【时间管理】->【时间服务器】,核对系统时间与北京时间是否一致。
-
若不一致,修改:
-
时间同步通道:
管理通道 -
一级SNTP服务器:
clock.nyc.he.net -
二级SNTP服务器:
time.windows.com -
点击 【保存/应用】。
-
第9步:检查远程纳管地址
-
检查点:【网络】->【远程管理】->【智能远程管理配置】。
-
确认:管理平台地址应为
gict.mec189.cn。 -
若不对,修改:
-
使能插件管理:
勾选 -
管理平台地址:
gict.mec189.cn -
出口wan类型:
INTERNET -
点击 【保存/应用】 或 【重连】。
-
第10步:检查网络连通性
-
操作:【诊断】->【网络诊断】->【Ping测试】。
-
配置:
-
网络连接:
x_Internet_x -
目的地址:
www.baidu.com或223.5.5.5
-
-
验证:点击【开始测试】,应显示 Ping 成功。
四、 常见问题排查(FAQ)
Q1: 无法访问管理页面(192.168.133.1)怎么办?
-
检查物理连接:确认网线插在 【内网一】 或 【内网二】 口。
-
检查IP配置:确认笔记本IP在
192.168.133.0/24网段,且不是.1或.2。 -
更换网线/网口:排除网线或网口故障。
-
尝试DHCP:将笔记本设为自动获取IP,然后访问获取到的网关地址。
-
更换设备:若以上均无效,可能是设备故障,联系厂家更换。
Q2: 更改IP地址段需要注意什么?
如果默认的 192.168.133.0/24 网段与客户网络冲突需要修改,必须同步完成以下操作:
-
在 第3步 中修改FTTR-B的用户侧IP地址和DHCP地址池。
-
在 第4步 中,将算力板的绑定IP修改为新的起始地址(如
192.168.100.2)。 -
手动执行更改算力板IP的脚本,脚本地址:https://cloud.189.cn/t/RzI3UbJzmMBr (访问码:
3fyb)。 -
如果涉及视联网应用,还需执行对应的视联网配置脚本。
总结
此配置流程的核心逻辑是:先完成本地基础网络配置(省份、内网地址、算力板绑定),然后 连接上行网络并完成WAN侧注册,最后 进行各项业务与连通性检查。严格按照步骤操作,并注意版本、IP绑定等关键点,能有效提高开局成功率。
2.登录纳管平台 https://mict.mec189.cn/,通过网关设备MAC查询是否自动注册
3.下发安全大脑防护版应用
配置大脑docker
配置大闹docker的旁挂接入方式开始流量检测,注意这里所谓的旁挂是pc内部的大闹docok以旁挂的模式连接fttrb这是内部的模式,不是说这个网关的是旁挂模式。
电脑接入内网二口 http://192.168.133.1,进入FTTR-B的配置页面;
点击 【应用】-【旁挂设备】页面
开启【使能用户侧旁挂设备端口】
LAN侧旁路口:LAN1
WAN侧旁路口 :LAN2
点击【应用】,等待FTTR-B进行设备重启。
连接大脑docker
算力板卡和pc和大闹docker内部是联通的可以理解为一台AI服务器和网络防火墙
配置算力板卡与网络板卡外部联通性
通过网线,将高阶网关FTTR-B的内网一口与算力板pcie eni3口相连接。这个线用于流量上传到上行口
配置算力板卡与网络板卡内部联通性
1)装维笔记本连在内网二(lan3口),使用本地账号登录【融合网关服务平台】;
2)通过 融合网关服务平台 配置算力板网桥,使安全大脑接管流量。 融合网关服务平台配置: 点击【应用管理】-【应用列表】,选择安全大脑的【高级配置】 流量是否经过安全大脑选择【是】 选择【我已阅读以上说明】,然后点击【应用配置】
配置完成后流量都会流经安全大闹在出去。
激活大脑docker
登录大脑 https://192.168.133.2:31443
- 账号:admin
- 密码:Admin@7788
(首次登录需要修改密码)
获取大脑设备SN
【省内装维工单app】回填设备SN
检查激活成功
检查网络联通性
同时在下行端口中接入的终端测在cmd命令行终端中ping www.baidu.com 进行验证
融合网关服务平台 天翼安全网关区别
https://docs.qq.com/sheet/DQVp6WGNBT3BMRENn?tab=6hjgdq&nlc=1
创建问题处理
1.光猫ping通133.1,但是ping不同.2,现场测试可能是因为ITSM下发上网注册信息时下了个一个iptv和内网1,2口绑定的策略导致的,要删除iptv绑定策略
浙公网安备 33010602011771号