央国企始终是我国国民经济的顶梁柱和压舱石。当前，央国企数字化转型已逐步迈入深水区，从最初的资源上云到应用上云，现已衍生出越来越多深度用云服务赋能千行万业，加速中国式创新，形成支撑数字中国战略的强大合力。  塑造大国脊梁，既要有支柱产业攻关，也要有关键技术“揭榜挂帅”。多年来，华为云基于自身数字化转型经验和服务行业的丰富实践，携手央国企迈向深度用云，搭建起一座座通往中国式现代化的数字桥梁，激荡数字生产力新气象。  守护山东能源矿井作业的“安全卫士”  智慧矿山是我国能源行业转型升级的重要方向。山东能源集团（以下简称“山东能源”）携手华为云Stack，冲破煤炭行业智能升级重重桎梏，让矿山人工智能开发模式从“作坊式”向“工业化”升级迭代，率先实现煤炭行业“模”力蜕变。  2022年，山东能源与华为公司成立联合创新中心，构建了中心训练、边缘推理、云边协同、边用边学、持续优化的人工智能运行体系，成功搭建了煤炭行业全球首个矿山大模型“盘古矿山大模型”，并已在煤矿领域9个专业40多个场景应用实践。  在井下作业场景中，接近地下1000米处是井下风险最大的区域之一。为防止地壳压力导致矿洞岩层被破坏甚至坍塌的风险，山东能源基于盘古视觉大模型，对地下钻孔施工情况进行实时监测，能够对钻孔深度自动核验、孔深不足及时提醒，避免漏检、迟检，使能人工核检效率提升80%，更保障了现场的施工安全。  在传统的洗选煤环节中，密度值主要依靠人工判断，导致生产出的产品质量参差。为改善这一状况，山东能源运用盘古矿山大模型，进行了重介选煤分选密度智能控制系统的建模，能够根据自动监测到的悬浮液密度参数，实时调整生产参数。应用后，精煤生产力提升了0.2%，为洗煤厂带来大幅度的效益提升。  当前，山东能源已在兴隆庄煤矿、李楼煤业、济二煤矿、鑫泰能源等26个单位开发和实施首批人工智能应用。华为盘古矿山大模型也从最初的3个验证场景发展至21个，应用场景已开发40余个，持续赋能矿山行业升级，为煤矿生产的安全、高效、少人无人发挥重要作用。  携手中国海油共建油田“智慧岛”  作为中国海上最重要能源基地之一，中国海洋石油集团有限公司（以下简称“中国海油”）自2020年起便开启海上智能油田建设，并率先在秦皇岛32-6油田进行试点，依托华为云平台打造智能油田的“大脑”和“中枢”，探索“智能、安全、绿色、高效”的新型海上油气开采运营模式。  在过去，油田的信息系统烟囱林立，数据难统一、运维难度大。随着智能化的不断推进，中国海油依托华为云平台，通过为各个采油树安装传感器，源源不断地采集不同系统、设备和环境的参数，再汇集到中央控制系统，让整个平台变得“透明”。运维人员只需通过中央控制系统上的智能油田管理系统，就能够及时合理地监测、规划油田的生产作业。  如果说中央控制系统是海上平台的“大脑”，那么油田陆地操控中心就是整个智能油田的“中枢”，它能够对传感器采集到的数据进行分析、指导生产决策；而面对遍布平台、数以万计的传感器回传的数据，华为云Stack云平台也能够高效承载、存储，并保障数据安全，让油田作业全流程更加“丝滑”“智慧”。  面对油田系统管理，中国海油此前在代码研发环节中缺乏统一的管理工具、规范和标准，极大影响着功能与产品迭代效率。而今通过引入华为云Stack提供的软件开发生产线CodeArts，研发工时节省了30%，智能油田管理系统集成、调试、部署时间从1周缩短为1天，助力产能跃升。  如今，秦皇岛32-6智能油田的初步建成已呈现出明显的标杆效应。从智能油田开发系统，到管理系统的智能研发，中国海油携手华为云共同建立起了一座“油田智慧岛”，推动我国海洋石油工业实现高水平科技自立自强。  探索新能源发电的云上“兰考模式”  新能源发电是我国着力探索的重要电力供应方式之一，如今越来越多地区持续推进新能源、电网等重大能源项目建设，普惠人民生产生活。在河南兰考县奥吉特蘑菇厂里，一排排新鲜娇嫩的小蘑菇，在监测终端电力设施的“培育”下，正在为全县的脱贫工作“蓬勃奋进”。  2020年起，兰考县供电公司、国网河南电力联合华为云，共同打造了可监测、可预测、可调控的能源互联网平台，借助数据中台、物联网、智能数据湖助力电力负荷数据秒级入湖，建立更精细的负荷预测模型，精确预测清洁能源发电量，突破性实现5*24小时不间断新能源供电，新能源就地消纳率快速提升。  在兰考县能源互联网平台上，为了更直观地观测、记录县域内发电用电数据，需要对电网路径上的发电端、电网、负荷、储能等设备实现互联。而在这个环节，最具挑战的就是分布式新能源发电设备的数据采集。  为解决这一问题，兰考县采用了华为云Stack提供的数据中台物联网等能力，实现了感知层、平台层、应用层的数据共享；智能数据湖，可以做到电力复合数据的秒级入湖，秒级实时分析，建立更精确的复合预测的一个模型，从而精确预测清洁能源的发电量。  如今，兰考全县可再生能源发电装机达128.9万千瓦，比2016年增长了31倍。随着兰考能源互联网平台的落成，全县可再生能源发电量，占全社会用电量比重也从21%提高到了97.7%。通过与华为云携手，兰考县让大规模应用新能源发电成为了可能，同时也为产业创新探索出了一条高效可行的“兰考模式”，成为中国能源发展历程上浓墨重彩的一笔。  护航一汽解放一路畅通  一汽解放作为中国汽车工业的“长子”，近年来开启了数字化、智能化的转型升级。针对车辆货运的安全、效率、成本问题，一汽解放通过智能网联技术，构建全自主车、端、管、云，车联网云脑平台系统，实现车与人、路、后台等智能信息共享互通。  驾驶安全无小事。于物流行业而言，油耗异常提醒、车辆运行情况、司机不良驾驶行为等存在安全隐患的问题一直是需要关注的重点。如今在汽车产业数字化转型下，这类问题都得到了较好的改善。  一汽解放通过安装在车辆上的各种监控摄像头、显示屏和T-BOX数据处理一体机，车辆、道路、驾驶员的实时数据信息被实时采集、传输到一汽解放的智能网联平台上；通过反馈而来的影像和数据，平台不仅可以提升人员、车辆的安全和效率，还能通过对数据的整合分析，衍生出更多数字化的服务。  同时，借助华为云Stack提供的智能数据湖服务，一汽解放的智能网联平台实现了海量数据的秒级汇入，资源利用率提升了30%；全链路的数据传输加密、端到端的存储加密，以及容器安全、以及数据安全等系列安全服务，都在为一汽解放的数据安全层层加码。  智能网联平台自上线以来，帮助客户实现降低油耗5%，故障处理及时率提升30%，柴油折扣金额约2900多万元，月度减少二氧化碳排放7.2万吨，并通过智能设备加安全的服务，降低25%以上的车队事故率，保障了人员和资产，护航道路运输安全。  山河日月镌刻璀璨初心，数载春秋写就大国华章。如今，数字中国建设如火如荼，央国企在数字大地的孕育下，成为国家科技创新的骨干和中坚力量，其资源已遍布国计民生各个领域。可以预见，未来央国企所有的数字化、智能化篇章都将基于云计算、人工智能来开展，在一笔一画中书写壮丽的东方史诗。  未来，华为云也将持续夯实自身数字能力，不断拓宽千行万业场景化解决方案边界，与各领域央国企厚植创新沃土，于数字化浪潮奔腾中开辟新航线，携手登高揽胜景，百舸争流创新绩。 

[德国，慕尼黑，2023年10月26日]华为数据通信创新峰会2023（HNS 2023）欧洲站在德国慕尼黑召开，这是全球通信领域备受瞩目的盛会之一。华为高度重视与MSP（Managed Service Providers，托管服务供应商）合作伙伴的商业发展，本次峰会特设了主题为“华为携手MSP拥抱创新”的分论坛，超80个MSP伙伴现场与会，会上发布了全新的MSP offering，以及iMaster NCE-Campus平台的能力升级。“华为携手MSP拥抱创新”分论坛现场华为欧洲地区部企业Marketing与解决方案销售部总裁 孙涛在开场致辞中表示，千行万业的数字化转型对网络建设和维护提出了新要求和新挑战。特别是，欧洲范围内中小企业的数字化转型为欧洲MSP带来了全新商机。近年来，华为已经携手100多家MSP合作伙伴，为教育、医疗、政府等多种行业客户提供了专业的网络管理服务，我们将秉承“从MSP需求出发，与MSP合作伙伴携手共进”的理念，共享数字化转型带来的商业红利。华为欧洲地区部企业Marketing与解决方案销售部总裁 孙涛华为欧洲地区部企业Marketing与解决方案销售部副总裁 石坚正式发布一系列面向欧洲的MSP offering，包括解决方案offering、营销offering和服务offering。其中，点卡新商业模式offering旨在促进伙伴易销售，层次化模板offering则促进伙伴易交付，自动化AI节能offering有助于降低伙伴的能耗成本，网络数字地图解决方案则助力伙伴简化运维。石坚强调，这些创新offering将为企业数字化转型提供坚实的网络底座，同步助力欧洲MSP合作伙伴提质、降本、节能、增效。华为欧洲地区部企业Marketing与解决方案销售部副总裁 石坚华为数据通信产品线NCE数据通信领域副总裁 王成表示，创新永不止步，华为与MSP合作伙伴紧密合作，共同推动创新。未来，华为将继续加大研发投入，为MSP合作伙伴提供更多“4易”能力——易于销售、易于交付、易于维护、易于增长。华为数据通信产品线NCE数据通信领域副总裁 王成会上，来自欧洲各国的MSP合作伙伴分享了他们的成功商业实践。荷兰MSP合作伙伴Wentzo营销总监 Mathieu Haak表示，我们与华为在荷兰教育市场合作得非常愉快。因其强大的创新能力如全新的点卡商业模式以及绿色节能特性，我们选择了华为CloudCampus解决方案来搭建标准的Wi-Fi服务。这一创新解决方案帮助我们显著降低了CTO、更好地拥抱绿色网络。荷兰MSP合作伙伴Wentzo营销总监 Mathieu Haak德国MSP合作伙伴The Cloud销售副总裁 Jerome Storm表示，我们与华为紧密协作，借助iMaster NCE-Campus提供的极简网络管理运维能力，无缝地为客户提供全生命周期的优质网络解决方案。德国MSP合作伙伴The Cloud销售副总裁 Jerome Storm在会议期间，华为举行了MSP优秀合作伙伴颁奖，以表彰在多个领域取得卓越成就的合作伙伴，华为全球企业网络Marketing与解决方案销售部总裁 刘建宁到场颁奖。奖项包括：绿色节能、网络服务自动化、用户体验保障、医疗物联网、托管广域网、托管局域网、全生命周期托管服务和一站式网络服务等。MSP优秀合作伙伴颁奖荷兰Wentzo、德国The Cloud、法国Wifirst、荷兰lumiad、瑞士Swisscom、意大利Fastweb、芬兰Decens和瑞典Qlosr共八家合作伙伴获得了这些殊荣。最后，华为数据通信产品线NCE数据通信领域总裁 王辉正式宣布成立华为数据通信欧洲MSP联合创新中心。他表示，华为高度重视欧洲MSP合作伙伴需求，我们将继续在商业模式和解决方案技术领域不断创新，同时为MSP合作伙伴提供培训支持、技术支持、营销支持、免费试用、商机分享和生态开放等六大专属服务。我们致力于不断优化欧洲MSP合作伙伴的全流程在线体验，从订购、业务开通到运维和优化，为欧洲企业数字化转型注入新动力，推动新增长。华为数据通信产品线NCE数据通信领域总裁 王辉华为数据通信欧洲MSP联合创新中心正式成立

HNS 2023 | MSP分论坛精彩回顾

一      检查云管理侧1、检查ESN检查设备的ESN和型号，和真实的设备的ESN和型号一致。2、检查注册查询中心同步如果是通过注册查询中心上线，需要检查设备的ESN是否同步到注册查询中心，如果不是通过注册查询中心上线，请不用检查。通过搜索框检查对应的ESN，看下是否有未勾选同步的错误详情，如果有的话，就需要勾选对应的设备，然后点击再同步按钮。注意：设备的ESN需要加入站点，才能同步到注册查询中心。3、检查设备上下线日志进入监控-设备上下线日志页面：过滤对应ESN的日志，然后查看失败/离线原因列，如果没有搜索到对应的记录，说明设备的注册请求尚未到达云管理控制器：二   检查云AP侧如果控制器上面未看到上下线日志，则需要看下设备侧。可以通过管理口，stelnet或者串口等方式，登陆到设备进行排查。1、检查云AP的网络首先，需要看下云AP侧的网络是否通。如果telnet网络不通，需要客户排查下网络，需要打通网络。乾坤云地址：cid:link_0南向ip 139.9.137.139 device.qiankun-saas.huawei.com文件服务器：121.36.7.20如下，这种是DNS有问题，或者未配置。这种情况下，可以通过命令行指定通过IP地址注册上线。乾坤云商用环境，可以按这个配置：cloud-mng controller ip-address 139.9.137.139 port 10020执行命令display cloud-mng info，查看当前设备配置云管理平台的相关信息。2、常用的诊断命令如下：display cloud-mng online-fail-record命令用来查看云AP最近5次上线失败记录信息。display cloud-mng offline-record命令用来查看云AP最近10次下线记录信息。3、查看设备的ESN4、查看设备的型号和版本

操作步骤配置SSH用户。<HUAWEI> system-view[HUAWEI] sysname DeviceA[DeviceA] ssh user huawei [DeviceA] ssh user huawei authentication-type x509v3-rsa[DeviceA] ssh user huawei assign pki default [DeviceA] ssh user huawei service-type snetconf 配置SSH服务器。[DeviceA] ssh server-source all-interface Warning: SSH server source configuration will take effect in the next login. Do you want to continue? [Y/N]:YWarning: It expandes the range of accessed IP.[DeviceA] ssh server assign pki default [DeviceA] ssh authorization-type default root [DeviceA] ssh server publickey x509v3-ssh-rsa 使能NETCONF功能。[DeviceA] snetconf server enable配置设备与网管建立NETCONF连接。[DeviceA] netconf[DeviceA-netconf] callhome default-callhome[DeviceA-netconf-callhome-default-callhome] endpoint Vlanif1_139.9.137.139[DeviceA-netconf-callhome-default-callhome-endpoint-Vlanif1_139.9.137.139] peer-ip 139.9.137.139 port 10020[DeviceA-netconf-callhome-default-callhome-endpoint-Vlanif1_139.9.137.139] return检查配置结果在系统视图下执行命令display controller connect-status来查看设备上线控制器的状态信息。<DeviceA>display controller connect-status Management VLAN : - Device sitecode : - Controller IP address : 139.9.137.139 Controller port : 10020 Upstream port : 10GE3/0/1 Register phase : Registered Last registration failure reason : -常用命令：# Check the timedisplay clock# View certificatedisplay pki certificate ca realm defaultdisplay  pki certificate local realm defaultIf the certificate does not exist, load the default certificate.[DeviceA]pki import-certificate default_ca realm default[DeviceA]pki import-certificate default_local realm defaultIf encounter a user lock situation：Error: The configuration is locked by other user. (UserName = huawei)# unlockundo configuration exclusive by-user-name huawei# Display device registration failure records.[HUAWEI] display controller register-fail-record--------------------------------------------------------------------------------                                                    Time                     Error Info                                                                                                 --------------------------------------------------------------------------------                                                    2022-10-29 09:56:42      The reported device model is inconsistent with that on the controller# Display the reason why a registered device goes offline from the controller.[HUAWEI] display controller offline-record--------------------------------------------------------------------------------                                                    Time                     Error Info                                                                                                 --------------------------------------------------------------------------------                                                    2022-10-29 10:00:52      The IP address of the controller is deleted# Display information about the NETCONF Client session.<HUAWEI> display netconfc session--------------------------------------------------------------Peer ID             : 2147483648NETCONFC Session ID : 2Dest IP             : 127.0.0.1Dest Port           : 830Connection Name     : MyTest-1User Name           :Session Type        : CFGSession State       : READYUp Time             : 2021-12-01 03:28:48PID                 : 26674213display current-configuration | in sshdisplay tcp statusOption 148 field to configure DHCP Server(Please don't forget the last semicolon):dhcp server option 148 ascii agilemanage-domain=139.9.137.139;agilemanage-port=10020;

4       回退方案4.1       将独立AC切换到传统模式 如果存在表项错乱，可以通过将FitAP认证上线配置成unauth快速上线解决，或者加载之前备份的配置文件，然后重启来恢复。4.2      将性能数据上报相关配置删除1、删除wac的性能数据上报：2、删除FitAP的性能数据上报：Wmi模板选择为none，然后点击应用：配置完成，请记得保存配置。

8      回退方案8.1      将交换机上的netconf命令删除即可Undo以下命令：8.2      删除配置的性能数据上报（云管理）1、删除wac的性能数据上报：2、删除FitAP的性能数据上报并保存配置：Wmi模板选择为none，然后点击应用：配置完成，请记得保存配置。

随着我国城市人口的快速增长，环境恶化、资源短缺、交通拥堵等“城市病”日益严重，智慧城市是解决城市发展难题的有效手段。建设智慧城市在实现城市可持续发展、引领信息技术应用、提升城市综合竞争力等方面具有重要意义。智慧城市的建设在国内外许多地区已经展开，并取得了一系列成果，国内的如智慧上海、智慧双流；国外如新加坡的“智慧国计划”、韩国的“U-City计划”等。 众所周知，水是城市基础性的自然资源和战略性的经济资源，是城市生态与环境的重要控制性要素；城市水务不仅是首都农业的命脉，更是城市经济社会发展的命脉。也是实现城市可持续发展的重要途径。作为智慧城市建设的重要环节，发展智慧水务具有重要的现实意义。什么是智慧水务？智慧水务是智慧城市的一部分，是水务部门一直在提的一个概念。智慧水务通过数采仪、无线网络、水质水压表等在线监测设备实时感知城市供排水系统的运行状态，并采用可视化的方式有机整合水务管理部门与供排水设施，形成“城市水务物联网”，并可将海量水务信息进行及时分析与处理，并做出相应的处理结果辅助决策建议，以更加精细和动态的方式管理水务系统的整个生产、管理和服务流程，从而达到“智慧”的状态。如何更好地建设智慧水务？1.加强智慧水务总体规划，保障智慧水务建设有效落实首先，通过科学的统筹、有效的设计，明确建设方向，确定智慧水务建设的总体框架和推进策略，准确规划建设任务和建设的范围，并通过层层分解降低建设的复杂性；其次，通过规范引导、标准先行，把握建设重点，避免重复建设，详细规划建设任务与实施路径；最后，还需要把总体规划上升到决策高度，保证总体规划的落实，这是智慧水务应用建设成功的必要保障。2.紧扣企业核心业务需求，循序渐进推动智慧水务建设首先要集中力量完善网络系统和监测系统建设，开发直接面向客户、经济和社会效益明显、利用率高的业务管理系统，建成智能水服务。第二步，要以统一的信息应用平台建设为核心，建立打通水源监控调度与供水、排水、污水等管理与应用、数据信息可共享、业务流程可协同的智慧水运营体系；第三步，明确外部信息共享的交换机制，统一设定合理的水务信息数据标准，通过智慧水务综合信息平台，使各业务管理主体与信息可以交换和共享，并可支撑管理决策的需求。3.健全智慧水务组织建设，确保智慧水务建设稳步推进作为企业智慧水务建设的领导层组织，必须充分发挥它的责权。组织建立的好坏，组织人员的配备、协调直接关系到企业智慧水务建设的成败。企业在智慧水务建设过程中应加强对智慧水务工作的组织领导，进一步建立健全智慧水务建设部门机构，进一步明确部门人员岗位职责，确保智慧水务工作正常、稳步推进。4.加大智慧水务资金投入，拓宽智慧水务建设融资渠道为确保运营机构业务经费和服务工作任务到位，在智慧水务建设过程中，水务公司要建立长效的资金渠道，将一部分智慧水务运维费用纳入公司预算，更为重要的是需要保证后期运营有足够的资金投入，可采用政府财政支持和市场化运作相结合的方式，以保障智慧水务能持久稳定的发挥管理与服务作用。5.实施智慧水务人才战略，奠定智慧水务建设人才基础一方面水务管理业务与用户的需求处于不断发展过程中，要求相关信息化系统不断改善、升级，以满足业务发展的需要，并且新一代信息技术日新月异，需要积累与跟踪。另一方面，未来一段时间内，水务企业信息化建设的共同特点是规模较大、项目内容较复杂，跨平台整合成为重点。智慧水务的建设和持续、健康的运行不仅迫切需要水司自身技术团队、业务团队具备充足的知识和技能，还需要与专业的第三方科技服务机构开展全面合作，包括咨询机构、监测部门、评测部门、标准研究组织等。因此要进一步扩大智慧水务人才队伍的培训，改善人才构成结构。通过人才培养、引进和储备，建设一支觉悟高，服务意识好、业务能力强、技术过硬、相对稳定的技术队伍。

AR产品文档：https://support.huawei.com/hedex/hdx.do?docid=EDOC1100087046&id=ZH-CN_TASK_0177879008&lang=zh1、agile controller命令用来指定控制器的IP/域名地址和端口号。undo agile controller命令用来删除已指定的控制器的IP/域名地址和端口号。缺省情况下，没有指定控制器的IP/域名地址和端口号。# 配置控制器的IP地址为139.9.137.139，端口号为10020。system-view[Huawei] agile controller host  139.9.137.139 port 10020 Info: This operation will take server minutes, please wait. Info: Ensure that the system time is accurate. # 配置控制器的域名地址为device.qiankun-saas.huawei.com，端口号为10020。system-view[Huawei] agile controller host device.qiankun-saas.huawei.com port 10020 Info: This operation will take server minutes, please wait. Info: Ensure that the system time is accurate. 2、display agile-controller status命令用来查看设备与控制器的连接状态。# 查看设备与控制器的连接状态，设备与控制器连接正常。 display agile-controller status*********************************************************************************                       Register to AC status information                      *********************************************************************************AC Host                       www.www.controller.com                                                                                                            AC Port                       5                                                                                                                                 VPN Instance                  underlay_1Register Result               Success# 查看设备与控制器的连接状态，设备与控制器连接失败。display agile-controller status*********************************************************************************                       Register to AC status information                      *********************************************************************************AC Host                       10.120.33.170                                                                                                                     AC Port                       10020                                                                                                                             VPN Instance                  underlay_1Register Result               Failure                                                                                                                           Last Register Fail Reason     the device is not added to the controllerLast Register Fail Reason：表示最近一次设备与控制器连接失败的原因：an internal error of the controller, for example, the controller start failure, failure to obtain controller's deployment scenario, and thread pool error：控制器内部错误，包括控制器还未启动，无法获取控制器部署场景，线程池异常等。 the controller does not obtain basic device information in the specified period or the device does not reply：控制器获取设备基本信息报文超时或设备返回应答报文失败。the structure of obtained basic device information is invalid：控制器获取到的设备基本信息报文结构不合法。the device is not added to the controller：设备未添加到控制器中。the license is unauthorized or expires：License未授权或过期。controller node allocation fails：分配控制器节点失败。 the device does not report the model：设备未上报设备款型。the model reported by the device does not match the ESN：设备上报的设备款型与ESN不匹配。the device does not report the MAC address：设备未上报MAC地址。the format of MAC address reported by the device is invalid：设备上报的MAC地址格式错误。lack of certificate document at default path：默认路径下缺少证书文件。the channel can not be established：和控制器之间的通道无法建立。verification code error：证书匹配错误。3、display netconf certification命令用来查看AR设备与控制器对接时使用的证书信息。# 查看AR设备与控制器对接时使用的证书信息。system-view[Huawei] diagnose[Huawei-diagnose] display netconf certificationYou are using temporary certification. 4、display subscribed yang-model information命令用来查看设备订阅的YANG模型节点执行失败和成功的记录信息。# 查看设备上NetStream YANG模型指定节点执行成功和失败的记录信息。system-view[Huawei] diagnose[Huawei-diagnose] display subscribed yang-model huawei-netstream netstream-policy information-------------------------------------------------------------------------------                                                     Path        : /huawei-netstream:netstream-policy                                                                                    Priority    : 105                                                                                                                  Type        : Config                                                                                                                Correct-Num : 0                                                                                                                     Error-Num   : 0                                                                                                                     ------------------------------------------------------------------------------- reset subscribed yang-model命令用来清除设备订阅的YANG模型节点执行失败和成功的记录信息。# 清除设备上NetStream YANG模型“netstream-policy”节点执行的记录信息。system-view[Huawei] diagnose[Huawei-diagnose] reset subscribed yang-model huawei-netstream netstream-policy information# 清除设备上NetStream YANG模型所有节点执行的记录信息。system-view[Huawei] diagnose[Huawei-diagnose] reset subscribed yang-model huawei-netstream all==========一种上线失败的场景 1）设备上看到的情况2）控制器netconf日志显示 “callhome step3: ssh auth failed”排查后发现，AR上时间为2017年，修改设备时间后，上线成功

         本方案在不改变原来组网和功能的情况下，交换机切换到netconf模式，通过netconf注册到云管理控制器，并上报设备的状态信息、性能数据等到云管理平台及CI，原有的配置功能，仍然保留在交换机上面配置； CampusInsight对交换机上报的数据进行智能分析，为客户提供增值服务。1、本方案优点是交换机设备的状态信息、性能数据等可以上报到云管理平台及CI，CampusInsight对交换机上报的数据进行智能分析，为客户提供增值服务。2、本方案的限制：会下发默认的配置到交换机设备，如snmp、串口ssh，http的密码，去使能telnet功能，会下发时钟同步，会在接口下默认使能trustdscp，会生成一个默认的meth0/0/1口用于和控制器通信交互接口等；此外，存量场景请不要在云管理上面配置交换机的配置，避免交换机本地的配置被覆盖。即云管理对交换机设备下发配置，如果在云管理和设备本地都进行配置，可能会造成配置冲突或者由于冲突导致配置丢失及配置下发失败。现网采集信息常用命令：display devicedisplay current-configuration alldisplay saved-configurationdisplay versiondisplay esnping 139.9.137.139ping device.qiankun-saas.huawei.comdisplay clockdisplay pki certificate ca realm defaultdisplay pki certificate local realm defaultdisplay licensedisplay ip interface briefdisplay diagnostic-informationdisplay stackdisplay css status类型具体条件材料链接设备型号交换机的型号需要支持netconf模式，同时该型号云管理支持纳管。cid:link_0设备版本交换机的版本至少是V200R019C10SPC500及之后的版本AP:V200R019C00SPC906网络交换机可以访问Internet，如果不通的话，需要提前打通网络。1、检查交换机的网络情况检查交换机是否可以通外网，如果不通的话，需要提前打通网络。需要放通如下IP地址：云管理南向ip：139.9.137.139 CI南向：124.71.230.158打通网络后，在交换机上面长ping 外网IP，如139.9.137.139，来确保出口网络稳定。如果出现丢包或者不稳定，请排查网络，确保网络稳定后，再上云。注意：请不要采用管理口当做业务口，进行上网使用。采用管理口的话，即使网络能通，但是还是无法上线的。2      导出备份原有配置文件及设备版本文件登陆交换机普通视图，进行配置备份操作并记得导出save beforecloudmode_20220XXX.cfg3       交换机上云操作步骤3.1       在乾坤云管理上面创建站点注意：站点配置模式选择默认。3.2       在云管理上面添加设备的ESN注意1：一个站点只能导入1000台设备，为了便于分析不同地方的网络情况，请按照楼栋或者地理位置信息分成不同的站点，进行导入。选择批量导入，并下载模板。填写设备ESN及站点信息等（站点名称和之前创建的要一致）到模板，如下图，建议设备名称和安装位置相关，便于后期维护：3.3       将交换机切换到云模式并注册到云管理平台乾坤云的北向地址：https://qiankun-saas.huawei.com乾坤云的南向地址（设备注册地址）：139.9.137.139     device.qiankun-saas.huawei.com注意：切换成云模式前，备份配置文件，如save    beforecloudmode.cfg；如下方式，根据需要选择一种即可，一般用方式一。方式一：交换机管理vlan上云配置登陆S7706设备的普通视图，按照如下操作进行上云配置切换系统视图：< HUAWEI >system-view使能netconf，并修改核心交换机的设备管理vlan为vlan100（vlan100为对应的管理vlan）[HUAWEI]netconf[HUAWEI -netconf] management-vlan 100配置乾坤云管理控制器的南向地址：[HUAWEI -netconf] controller ip-address 139.9.137.139 port 10020退到系统视图，查看随板AC的上线情况：[HUAWEI] display netconf connect-status方式二：交换机固定IP上云配置登陆S12700E设备的普通视图，按照如下操作进行上云配置切换系统视图：< HUAWEI >system-view使能netconf，指定交换机上线IP[HUAWEI]netconf[HUAWEI -netconf] source ip XXX.XXX.XXX.XXX配置callhome进程及乾坤云管理控制器的南向地址：[HUAWEI -netconf] callhome cloud[HUAWEI -netconf] ip-address 139.9.137.139 port 10020退到系统视图，查看随板AC的上线情况：[HUAWEI] display netconf connect-status登录云管理平台，可以看到，设备均已经上线成功。==============交换机上线常用命令=====================1、display netconf configuration命令用来查看设备配置的iMaster NCE-Campus信息。# 查看当前设备配置的iMaster NCE-Campus信息。 display netconf configuration--------------- Configuration begin--------------- controller ip-address 10.1.1.1 port 10020 controller ip-address 192.168.2.2 port 10020 (redirected) --------------- Configuration end-----------------复制2、display netconf connect-status命令用来查看交换机上的NETCONF配置。3、display netconf offline-record命令用来查看交换机下线原因。4、display netconf register-fail-record命令用来查看设备向iMaster NCE-Campus注册失败的记录。# 查看设备向iMaster NCE-Campus注册失败的记录。 display netconf register-fail-record------------------------------------------------------------------------------   Time                        Error Info ------------------------------------------------------------------------------   2019/11/09 22:21:02         Failed to apply IP address 2019/11/09 23:12:13         Failed to create TCP link to controller (192.168.1.1)5、display work-mode命令用来查看当前设备的工作模式。# 查看当前设备的工作模式。 display work-modeCurrent work-mode       : NETCONF Work-mode before upgrade: Cloud-mng

         本方案在不改变原来组网和功能的情况下，交换机切换到netconf模式，通过netconf注册到云管理控制器，并上报设备的状态信息等到云管理平台及CI，原有的配置功能，仍然保留在交换机上面配置。（注意：配置文件模式下，主要监控设备的状态，不能监控交换机的性能数据，如CPU、内存等，CI增值服务可以通过手工配置支持；优点是云管理不会对交换机下发任何配置，适用于存量场景）现网采集信息常用命令：display devicedisplay current-configuration alldisplay saved-configurationdisplay versiondisplay esnping 139.9.137.139ping device.qiankun-saas.huawei.comdisplay clockdisplay pki certificate ca realm defaultdisplay pki certificate local realm defaultdisplay licensedisplay ip interface briefdisplay diagnostic-informationdisplay stackdisplay css status类型具体条件材料链接设备型号交换机的型号需要支持netconf模式，同时该型号云管理支持纳管。cid:link_0设备版本交换机的版本至少是V200R019C10SPC500及之后的版本AP:V200R019C00SPC906网络交换机可以访问Internet，如果不通的话，需要提前打通网络。乾坤云管理侧操作https://bbs.huaweicloud.com/forum/edit?fid=1413&tid=0216985921576500006&pid=03169859215765000301、检查交换机的网络情况检查交换机是否可以通外网，如果不通的话，需要提前打通网络。需要放通如下IP地址：云管理南向ip：139.9.137.139 CI南向：124.71.230.158打通网络后，在交换机上面长ping 外网IP，如139.9.137.139，来确保出口网络稳定。如果出现丢包或者不稳定，请排查网络，确保网络稳定后，再上云。注意：请不要采用管理口当做业务口，进行上网使用。采用管理口的话，即使网络能通，但是还是无法上线的。2      导出备份原有配置文件及设备版本文件登陆交换机普通视图，进行配置备份操作并记得导出save beforecloudmode_20220XXX.cfg3       交换机监控上云操作步骤3.1       在乾坤云管理上面创建站点注意：站点配置模式选择配置文件。3.2       在云管理上面添加设备的ESN注意1：一个站点只能导入1000台设备，为了便于分析不同地方的网络情况，请按照楼栋或者地理位置信息分成不同的站点，进行导入。选择批量导入，并下载模板。填写设备ESN及站点信息等（站点名称和之前创建的要一致）到模板，如下图，建议设备名称和安装位置相关，便于后期维护：3.3       将交换机切换到云模式并注册到云管理平台乾坤云的北向地址：https://qiankun-saas.huawei.com乾坤云的南向地址（设备注册地址）：139.9.137.139     device.qiankun-saas.huawei.com注意：切换成云模式前，备份配置文件，如save    beforecloudmode.cfg；如下方式，根据需要选择一种即可，一般用方式一。方式一：交换机管理vlan上云配置登陆S7706设备的普通视图，按照如下操作进行上云配置切换系统视图：< HUAWEI >system-view使能netconf，并修改核心交换机的设备管理vlan为vlan100（vlan100为对应的管理vlan）[HUAWEI]netconf[HUAWEI -netconf] management-vlan 100配置乾坤云管理控制器的南向地址：[HUAWEI -netconf] controller ip-address 139.9.137.139 port 10020退到系统视图，查看随板AC的上线情况：[HUAWEI] display netconf connect-status方式二：交换机固定IP上云配置登陆S12700E设备的普通视图，按照如下操作进行上云配置切换系统视图：< HUAWEI >system-view使能netconf，指定交换机上线IP[HUAWEI]netconf[HUAWEI -netconf] source ip XXX.XXX.XXX.XXX配置callhome进程及乾坤云管理控制器的南向地址：[HUAWEI -netconf] callhome cloud[HUAWEI -netconf] ip-address 139.9.137.139 port 10020退到系统视图，查看随板AC的上线情况：[HUAWEI] display netconf connect-status登录云管理平台，可以看到，设备均已经上线成功。==============交换机上线常用命令=====================1、display netconf configuration命令用来查看设备配置的iMaster NCE-Campus信息。# 查看当前设备配置的iMaster NCE-Campus信息。 display netconf configuration--------------- Configuration begin--------------- controller ip-address 10.1.1.1 port 10020 controller ip-address 192.168.2.2 port 10020 (redirected) --------------- Configuration end-----------------复制2、display netconf connect-status命令用来查看交换机上的NETCONF配置。3、display netconf offline-record命令用来查看交换机下线原因。4、display netconf register-fail-record命令用来查看设备向iMaster NCE-Campus注册失败的记录。# 查看设备向iMaster NCE-Campus注册失败的记录。 display netconf register-fail-record------------------------------------------------------------------------------   Time                        Error Info ------------------------------------------------------------------------------   2019/11/09 22:21:02         Failed to apply IP address 2019/11/09 23:12:13         Failed to create TCP link to controller (192.168.1.1)5、display work-mode命令用来查看当前设备的工作模式。# 查看当前设备的工作模式。 display work-modeCurrent work-mode       : NETCONF Work-mode before upgrade: Cloud-mng复制

一、概述2022年8月28日，华为乾坤云服务监测到某财务软件存在远程命令执行漏洞，攻击者利用该漏洞无需身份认证即可远程上传任意文件，获取服务器控制权限！华为乾坤云服务目前已支持勒索软件查杀和该漏洞攻击行为拦截，为避免资产损失，建议您尽快安装补丁。二、漏洞信息标题内容漏洞编号CNVD-2022-60632华为乾坤评级高危漏洞名称某财务软件任意文件上传漏洞类型任意文件上传漏洞利用条件和危害未经身份认证的远程攻击者，可以通过特定接口上传恶意文件，导致任意代码执行。远程利用是攻击复杂度低PoC/EXP未知在野利用已发现在野利用影响范围某财务软件单机版<=17.0且使用IIS10.0以下版本三、事件回溯近日，华为乾坤云服务检测到出现大量勒索病毒攻击事件，用户计算机文件被.locked后缀的勒索病毒加密。从病毒留下的勒索提示信息内容分析，该病毒与之前流行的TellYouThePass勒索病毒为关联家族，病毒会向受害者索要0.2比特币赎金（约27439元人民币）。四、华为乾坤全面防护华为乾坤安全研究人员持续关注相关信息，复现漏洞PoC，并对病毒样本展开逆向分析！研究表明，华为乾坤云服务可支持对相关勒索软件的查杀和针对该漏洞攻击行为的拦截，共有如下解决方案1、针对该漏洞已增加威胁事件签名库，天关设备联网即可自动升级，无需人工操作所有恶意流量均已拦截；2、华为乾坤终端防护与响应服务可实现对病毒落地后恶意样本的检测和自动隔离，阻止恶意文件的落地和执行；华为乾坤发现恶意文件华为乾坤云端回溯处置结果3、华为乾坤终端防护与响应服务—威胁情报分析能力，支持对相关恶意样本进行检测：恶意样本详细信息4、对于后续该勒索病毒变种，华为乾坤终端防护与响应服务通过轻量级诱捕、网端云协同的四层防御架构在勒索加密前阻断威胁，保证数据零损失。五、漏洞修复建议目前，官方已紧急发布漏洞补丁，华为乾坤建议受影响的单位和用户立即升级至最新版本：https://www.chanjetvip.com/product/goods同时，请受漏洞影响的单位和用户立即按照以下步骤开展自查和修复工作： 1、用户自查步骤： 查询本地是否存在website/bin/load.aspx.cdcab7d2.compiled、website/bin/App_Web_load.aspx.cdcab7d2.dll、tplus/Load.aspx文件，如存在说明已经中毒，须重装系统，并安装产品补丁。 2、未中毒用户请： 1）更新最新产品补丁；2）安装杀毒软件，并及时升级病毒库；3）升级IIS和Nginx低版本至IIS10.0和Windows 2016；4）本地安装客户需尽快确认备份文件是否完整，以及做了异地备份。云上客户请及时开启镜像功能；5）未能及时更新补丁的用户，可联系官方技术支持，采取删除文件等临时防范措施。 3、已中毒用户请： 1）检查服务器是否有做定期快照或备份，如有可通过快照或备份恢复数据。 2）联系官方技术支持，确认是否具备从备份文件恢复数据的条件及操作方法。

更多行业案例，请关注本系列合集~

更多行业案例，请关注本系列合集~

更多行业案例，请关注本系列合集~