所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300X V200R010C00 配置指南(Web网管)

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置通过Web网管登录设备(简便登录方式)

配置通过Web网管登录设备(简便登录方式)

通过Web网管登录设备(简便登录方式)配置简单,无需用户上传数字证书及手动配置SSL策略,但是存在安全隐患,仅适用于对安全性要求不高的场景。

前置任务

说明:

在设备空配置启动时,HTTP采用随机生成的自签名证书支持HTTPS。由于自签名证书存在安全风险,因此建议用户替换为官方授信的数字证书,替换方法请参见配置通过Web网管登录设备(安全登录方式)

配置通过Web网管登录设备(简便登录方式)之前,需完成以下任务:

用户终端与设备之间路由可达。

配置流程

以下配置任务为顺序关系。

上传及加载Web网页文件

背景信息

设备的系统软件中已经集成了Web网页文件并完成了加载。如果用户选择使用系统软件中集成的Web网页文件,则无需进行以下的配置。如果用户需要对Web网页文件进行升级,可以登录华为公司的官方网站下载独立的Web网页文件,上传到设备并进行加载。

说明:

Web网页文件获取路径:请登录华为公司技术支持网站(http://support.huawei.com/carrier),根据产品型号和版本名称,在“版本或补丁号”中点击某一补丁版本,下载所需的Web网页文件,名称为“产品-软件版本号.Web网管文件版本号.web.7z”。

下载完成后,请对比下载的Web网页文件大小是否与网站上一致。如果不一致,可能是在文件下载过程中出现异常,请重新下载。

每个Web网页文件对应一个签名文件,签名文件和Web网页文件下载方法相同。

操作步骤

  1. 上传Web网页文件

    可通过SFTP等方式上传Web网页文件,具体操作过程请参见管理本地文件。

    说明:

    上传完成后,请在用户视图下执行命令dir,对比上传到设备的Web网页文件大小是否与文件服务器上的一致。如果不一致,可能是在文件上传过程中出现异常,请重新上传。

  2. (可选)执行命令check file-integrity filename signature-filename对Web网页文件合法性进行校验。
  3. 加载Web网页文件
    1. 执行命令system-view,进入系统视图。
    2. 执行命令http server load { file-name | default },加载Web网页文件。

      缺省情况下,设备已加载系统软件中集成的Web网页文件。

      选择default参数加载系统软件中的Web网页文件;选择file-name参数加载指定的独立Web网页文件。

      说明:

      当设备从V200R006及之前版本升级到V200R007及之后版本时,如果升级的目标软件版本与设备下次启动使用的配置文件版本不一致,设备升级后,会将老版本中关于加载Web网页文件的配置取消,默认加载新版本系统软件中集成的Web网页文件。

开启HTTPS服务

背景信息

开启HTTPS服务后,用户才能够登录到Web网管。用户还可以通过修改HTTPS服务器的端口号有效地防止攻击者通过HTTPS服务标准端口号攻击设备,从而进一步增加设备的安全性。同时,用户也可以根据需要调整HTTPS会话的超时时间,避免长时间无操作却占用Web通道资源。

缺省情况下,设备的HTTPS IPv4服务功能是开启的,HTTPS IPv6服务功能是关闭的。HTTPS服务器的端口号为443,HTTPS会话的超时时间为20分钟,接收来自所有接口的登录连接请求。如果用户使用的是HTTPS IPv4服务,使用缺省的HTTPS服务器端口号和超时时间,且接收来自所有接口的登录连接请求,则无需进行下面的配置;如果用户使用的是HTTPS IPv6服务,则需要先开启HTTPS IPv6服务功能。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令http [ ipv6 ] secure-server enable,开启HTTPS服务。

    缺省情况下,设备的HTTPS IPv4服务功能是开启的,HTTPS IPv6服务功能是关闭的。

  3. 执行命令http [ ipv6 ] secure-server port port-number,配置HTTPS服务器的端口号。

    缺省情况下,HTTPS服务器的端口号为443。

  4. 执行命令http server-source -i loopback interface-number,指定HTTPS服务器端的源接口。

    指定HTTPS服务器端的源接口前,必须已经成功创建LoopBack接口,否则会导致本配置无法成功执行。

  5. 执行命令http timeout timeout,配置HTTPS会话的超时时间。

    缺省情况下,HTTPS会话的超时时间为20分钟。

配置Web用户并进入Web网管界面

背景信息

用户需要输入用户名和密码才可以登录到Web网管。网络管理员可以根据以下配置创建新的Web用户,包括Web用户的用户名、密码、级别和接入类型。Web用户配置完成后,用户便可以进入Web网管界面。

说明:

用户上传下载目录默认为根目录,可在AAA视图下通过命令来修改用户的上传下载目录。

操作步骤

  1. 配置Web用户。
    1. 执行命令system-view,进入系统视图。
    2. 执行命令aaa,进入AAA视图。
    3. 执行命令local-user user-name password irreversible-cipher password,配置本地用户名和密码。

      缺省情况下,系统中存在一个用户名为admin的本地用户,该用户的密码为admin@huawei.com

    4. 执行命令local-user user-name service-type http,配置本地用户的接入类型为HTTP。

      缺省情况下,本地用户关闭所有的接入类型。

    5. 执行命令local-user user-name privilege level level,配置本地用户的级别。

      缺省情况下,本地用户admin的级别为15,为管理用户。

      当用户级别配置在3级或3级以上,具有管理级权限,为管理用户。3级以下的用户为监控用户。管理用户有所有Web页面的操作权限,监控用户只有ping和tracert的操作权限。

      监控用户登录Web网管后,会收到来自网页的消息,提示用户当前用户级别及提升级别的方法。对于经典版Web网管和易维版Web网管,该网页消息分别如图1-2图1-3所示。

      图1-2  监控级用户登录经典版Web网管收到的网页消息
      图1-3  监控级用户登录易维版Web网管收到的网页消息

  2. 进入Web网管界面。
    1. 在用户终端PC上打开浏览器,在地址栏中输入“https://IP address,按回车键后将进入Web网管登录界面。如图1-4所示,输入之前配置的Web用户名和密码,并选择Web网管系统的语言。

      以上IP address为设备的管理地址,既可以是IPv4地址,也可以是IPv6地址,由用户选择的HTTPS服务类型(HTTPS IPv4或HTTPS IPv6)决定。

      为了保持兼容性,如果用户用HTTP登录,在地址栏中输入“http://IP address,页面会自动跳转到“https://IP address

      图1-4  Web网管登录界面
      说明:
      • 登录Web网管要求操作系统为Windows7.0、Windows8.0、Windows8.1、Windows10.0或IOS操作系统。其中IOS操作系统仅支持登录易维版Web网管,并且不支持文件上传和文件下载。
      • 登录易维版Web网管要求浏览器为Microsoft Edge、IE11.0、火狐39.0~火狐49.0或谷歌39.0~谷歌54.0。登录经典版Web网管要求浏览器为IE11.0或火狐39.0~火狐49.0。如果浏览器版本或浏览器补丁版本不在上述范围内,可能会出现Web页面显示异常,请及时更新浏览器和浏览器补丁。同时,登录Web网管要求浏览器支持Javascript。
      • 在使用IE浏览器登录Web网管时,请确保没有禁用IE浏览器安全选项中活动脚本,否则Web网管登录可能会出现异常。
      • 登录Web网管的显示器最佳分辨率为1316px,分辨率小于1280px时,系统会给出提示信息。
      • 设备的SSL策略默认采用的最低SSL版本为TLS1.1。在通过Web网管登录时,请确保当前浏览器支持的SSL版本与设备当前支持的SSL版本一致,否则Web网管登录可能会出现异常。建议根据弹出页面提示升级浏览器,或者修改SSL的设置。以IE浏览器为例,用户可在“Internet选项”中选择“高级”页签,查看并选择SSL版本。
      • Windows XP用户在使用IE8.0版本浏览器登录Web网管时,需要执行命令set cipher-suite { tls1_ck_rsa_with_aes_256_sha | tls1_ck_rsa_with_aes_128_sha | tls1_ck_rsa_rc4_128_sha | tls1_ck_dhe_rsa_with_aes_256_sha | tls1_ck_dhe_dss_with_aes_256_sha | tls1_ck_dhe_rsa_with_aes_128_sha | tls1_ck_dhe_dss_with_aes_128_sha | tls12_ck_rsa_aes_256_cbc_sha256 },配置SSL算法套定制策略中支持RC4算法,否则无法成功登录Web网管。
      • Web网管是根据设备电子标签中的Item值来识别单板信息的,而设备硬件驱动通过判断BarCode值来选择是否启动设备。由于BarCode字段值与Item值无法保证一致,所以可能会出现Web网管无法读取并显示单板信息的情况。
      • Web系统不支持浏览器自带的后退、前进、刷新等按钮,使用这些按钮可能会导致Web页面直接回退到登录界面。
      • 用同一个浏览器的多个窗口登录同一个IP地址的网管时,只保留最后一次登录的会话。如果IP地址和端口号均相同,即同一个Web网管,所有窗口刷新后,先登录的网管使用的账号均会变为最后一次登录时使用的账号;如果IP地址相同,端口号不同,所有窗口刷新后,先登录的网管会提示超时。
      • 当设备的软件版本发生变化(例如对软件版本进行了升级或者回退操作),使用Web网管前,建议清除浏览器缓存,否则可能出现Web页面显示异常。
      • 您可以单击“Open Source software Notice”查看开源软件声明的详细信息。

    2. 选择Web网管的版面。

      Web网管支持易维版和经典版两种版面。易维版采用丰富的图形和更人性化的UI,为用户提供了最常用的监控、配置、维护和网络功能;经典版承接华为交换机一贯的Web网管页面风格,提供了全面的配置管理功能。

      缺省情况下,设备采用易维版登录Web网管。

    3. 进入Web网管密码修改界面。

      在Web网管登录界面中,单击“GO”或直接按回车键进入密码修改界面,如图1-5所示。请根据提示修改密码,并在Web网管界面中根据提示重新登录。登录到Web网管后,可以对设备进行管理和维护。

      图1-5  Web网管密码修改界面
      说明:
      • 仅第一次登录Web网管的账号,在登录过程中会跳转到密码修改界面。
      • 用户密码即将过期或者已经过期时,网管页面也会跳转到密码修改界面。此时用户必须修改密码,才能进入Web网管系统主页面。
      • 为提升密码安全性,密码至少同时包含小写字母、大写字母、数字、特殊符号(例如“!”、“$”、“#”和“%”等)这四种形式中的两种,并且不能包括空格和单引号。

    4. (可选)修改Web网管默认用户。

      如果登录的Web用户为管理用户,不论其使用什么用户名和密码登录Web网管,只要系统中存在默认的本地用户(用户名为admin,密码为admin@huawei.com),系统都会提示修改该默认用户,如图1-6所示。单击“确定”,进入用户管理界面,可以修改默认用户的密码。为了保证安全性,建议对该默认用户进行修改。

      图1-6  修改默认用户提示界面
      说明:
      • 只有管理级的Web用户(3级或3级以上)登录时,才会出现以上界面。

      • 为提升密码安全性,密码至少同时包含小写字母、大写字母、数字、特殊符号(例如“!”、“$”、“#”和“%”等)这四种形式中的两种,并且不能包括空格和单引号。

配置通过Web网管登录设备的检查配置结果

背景信息

配置完成后,在命令行界面任意视图下执行下面的命令,可以查看当前在线Web用户信息和当前HTTPS服务器信息。

操作步骤

  • 执行命令display http user [ username username ],查看当前在线Web用户信息。
  • 执行命令display http server,查看当前HTTPS服务器信息。
翻译
下载文档
更新时间:2019-08-21

文档编号:EDOC1000123894

浏览量:8162

下载量:572

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页