所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
菜单
技术支持 文档中心

S7700, S7900, S9700 V200R012(C00&C10) 配置指南(Web网管)

本文档介绍了如何通过Web网管客户端配置和维护设备,主要包括设备状态统计、SVF配置、接口配置、以太网交换配置、IP业务配置、IP路由配置、安全配置、ACL管理、AAA配置、系统管理配置、QoS管理、WLAN配置、诊断业务配置、EasyDeploy配置等。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置用户通过Web网管登录设备(安全登录方式)示例

配置用户通过Web网管登录设备(安全登录方式)示例

组网需求

图2-10所示,设备作为HTTPS服务器(以HTTPS IPv4服务器为例),与用户PC之间路由可达。HTTPS服务器的管理IP地址为192.168.0.1/24。

用户希望通过Web网管对设备进行管理与维护且对安全性要求较高,并且用户已经从CA处获得了服务器数字证书(1_servercert_pem_dsa.pem)和私钥文件(1_serverkey_pem_dsa.pem)。

图2-10  配置通过Web网管登录设备(安全登录方式)组网图

配置思路

说明:

此处以加载独立的Web网页文件举例。

采用如下思路进行配置:

  1. 为了实现此需求,需要先将必要的文件上传至服务器。这些文件包括:Web网页文件、服务器数字证书、私钥文件。为保证安全性,采用SFTP的方式上传文件。

  2. 加载Web网页文件及数字证书文件。

  3. 绑定SSL策略并开启HTTPS服务。

  4. 配置Web用户并进入Web网管登录界面。

操作步骤

  1. 通过SFTP上传文件至设备

    # 在服务器端生成本地密钥对,并使能SFTP服务器功能。

    <HUAWEI> system-view
[HUAWEI] sysname HTTPS-Server
[HTTPS-Server] dsa local-key-pair create
Info: The key name will be: HTTPS-Server_Host_DSA.
Info: The key modulus can be any one of the following : 1024, 2048.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=2048]:2048
Info: Generating keys...
Info: Succeeded in creating the DSA host keys. 
[HTTPS-Server] sftp server enable

    # 在服务器端配置VTY用户界面。

    [HTTPS-Server] user-interface vty 0 4
[HTTPS-Server-ui-vty0-4] authentication-mode aaa
[HTTPS-Server-ui-vty0-4] protocol inbound ssh
[HTTPS-Server-ui-vty0-4] quit

    # 配置SSH用户,包括认证方式、服务类型、授权目录以及密码、级别和接入类型。

    [HTTPS-Server] ssh user client001 authentication-type password
[HTTPS-Server] ssh user client001 service-type sftp
[HTTPS-Server] ssh user client001 sftp-directory cfcard:
[HTTPS-Server] aaa
[HTTPS-Server-aaa] local-user client001 password irreversible-cipher Helloworld@6789
[HTTPS-Server-aaa] local-user client001 privilege level 15
[HTTPS-Server-aaa] local-user client001 service-type ssh
[HTTPS-Server-aaa] quit
[HTTPS-Server] quit

    # 从终端通过SFTP访问HTTPS服务器并将数字证书和Web网页文件上传到服务器。

    从终端通过SFTP访问设备,需要在终端上安装SSH客户端软件。此处以使用第三方软件OpenSSH和Windows命令行提示符为例进行配置。

    说明:
    • 请使用与当前终端操作系统相匹配的OpenSSH版本,否则可能会导致通过SFTP方式访问交换机失败。

    • OpenSSH软件的安装请参考该软件的安装说明。

    • 使用OpenSSH软件从终端访问设备时,需要使用OpenSSH的命令,命令的使用可以参见该软件的帮助文档。

    • 只有安装了OpenSSH软件后,Windows命令行提示符才能识别OpenSSH相关命令。

    进入Windows的命令行提示符,执行命令sftp client001@192.168.0.1,此时用户进入了SFTP服务器的工作目录,可以通过SFTP方式访问设备。(以下显示信息仅为示意)

    C:\Documents and Settings\Administrator> sftp client001@192.168.0.1
Connecting to 192.168.0.1...
The authenticity of host '192.168.0.1 (192.168.0.1)' can't be established.
DSA key fingerprint is 46:b2:8a:52:88:42:41:d4:af:8f:4a:41:d9:b8:4f:ee.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.0.1' (DSA) to the list of known hosts.
User Authentication
Password:
sftp>

    在用户终端将数字证书和Web网页文件上传到服务器上。

    sftp> put web.7z
Uploading web.7z to /web.7z 
web.7z                              100%   1308478   4.6KB/s   00:11
    sftp> put 1_servercert_pem_dsa.pem
Uploading 1_servercert_pem_dsa.pem to /1_servercert_pem_dsa.pem 
1_servercert_pem_dsa.pem            100%   1302      4.6KB/s   00:02

    sftp> put 1_serverkey_pem_dsa.pem
Uploading 1_serverkey_pem_dsa.pem to /1_serverkey_pem_dsa.pem 
1_serverkey_pem_dsa.pem             100%   951       4.6KB/s   00:01
    # 在设备上执行命令dir,可查看当前存储目录下是否存在数字证书和Web网页文件。
    说明:

    如果设备存储目录下的数字证书和Web网页文件与服务器上的大小不一致,可能是在传输过程中出现异常,请重新传输。

    # 在服务器上创建security子目录,并将数字证书文件及密钥文件拷贝到security子目录。

    <HTTPS-Server> mkdir security
<HTTPS-Server> copy 1_servercert_pem_dsa.pem security
<HTTPS-Server> copy 1_serverkey_pem_dsa.pem security

    # 上述步骤成功执行后,在security子目录下执行命令dir,可看到拷贝成功的数字证书。

    <HTTPS-Server> cd security
<HTTPS-Server> dir
Directory of cfcard:/security/

  Idx  Attr     Size(Byte)  Date        Time       FileName
    0  -rw-          1,302  Apr 13 2011 14:29:31   1_servercert_pem_dsa.pem
    1  -rw-            951  Apr 13 2011 14:29:49   1_serverkey_pem_dsa.pem

509,256 KB total (52,750 KB free)

  2. 加载Web网页文件及数字证书文件

    # 加载Web网页文件。

    <HTTPS-Server> system-view
[HTTPS-Server] http server load web.7z

    # 创建SSL策略,并加载PEM格式的数字证书。

    [HTTPS-Server] ssl policy http_server
[HTTPS-Server-ssl-policy-http_server] certificate load pem-cert 1_servercert_pem_dsa.pem key-pair dsa key-file 1_serverkey_pem_dsa.pem auth-code cipher 123456
[HTTPS-Server-ssl-policy-http_server] quit

    # 上述步骤成功配置后,在HTTPS服务器上执行命令display ssl policy,可以看到加载的数字证书详细信息。

    [HTTPS-Server] display ssl policy

       SSL Policy Name: http_server
     Policy Applicants: Config-Webs
         Key-pair Type: DSA
 Certificate File Type: PEM
      Certificate Type: certificate
  Certificate Filename: 1_servercert_pem_dsa.pem
     Key-file Filename: 1_serverkey_pem_dsa.pem
             Auth-code: ******
                   MAC:
              CRL File:
       Trusted-CA File:
           Issuer Name:
   Validity Not Before:
    Validity Not After:

  3. 绑定SSL策略并开启HTTPS服务

    # 绑定SSL策略。

    [HTTPS-Server] http secure-server ssl-policy http_server

    # 开启HTTPS服务。

    [HTTPS-Server] http secure-server enable

  4. 配置Web用户并进入Web网管界面

    # 配置Web用户。

    [HTTPS-Server] aaa
[HTTPS-Server-aaa] local-user admin password irreversible-cipher Helloworld@6789
[HTTPS-Server-aaa] local-user admin privilege level 15
[HTTPS-Server-aaa] local-user admin service-type http
[HTTPS-Server-aaa] quit
    说明:

    配置Web用户之前,用户可以在aaa视图下执行命令display this查看本地用户的用户名。配置Web用户时请注意不要与已存在的本地用户名冲突,否则新的Web用户会覆盖已经存在的本地用户。

    # 进入Web网管登录界面。

    在PC上打开浏览器,在地址栏中输入“https://192.168.0.1”,进入Web网管登录界面,如图2-11所示。

    输入Web用户名和密码,单击GO或直接按回车键即可进入Web网管系统主页面。

    图2-11  Web网管登录界面示意图

  5. 检查配置结果

    配置完成后,用户可以通过Web网管成功登录到设备。

    在设备上执行命令display http server,可以看到SSL策略名称、HTTPS服务器的状态。

    [HTTPS-Server] display http server
   HTTP Server Status              : enabled
   HTTP Server Port                : 80(80)
   HTTP Timeout Interval           : 20
   Current Online Users            : 1
   Maximum Users Allowed           : 5
   HTTP Secure-server Status       : enabled
   HTTP Secure-server Port         : 443(443)
   HTTP SSL Policy                 : http_server
   HTTP IPv6 Server Status         : disabled
   HTTP IPv6 Server Port           : 80(80)
   HTTP IPv6 Secure-server Status  : disabled
   HTTP IPv6 Secure-server Port    : 443(443)
   HTTP server source address      : 0.0.0.0

配置文件

HTTPS-Server的配置文件

#
sysname HTTPS-Server
#
http server load web.7z
http secure-server ssl-policy http_server
#
aaa
 local-user admin password irreversible-cipher $1a$#R!d3>ji-.u1+N2gSK>3&2P1AM6jfU:"x/3g[5U,lvqP+sf=70+%^E7,,SF7$
 local-user admin privilege level 15
 local-user admin service-type http
 local-user client001 password irreversible-cipher $1a$L@[C7B11%"H&\fS;qETS`zGI#RyJ%+A2KzP'.k[0tQ{=Cq5s43s&f^L\In6K$
 local-user client001 privilege level 15
 local-user client001 service-type ssh
#
sftp server enable
ssh user client001
ssh user client001 authentication-type password
ssh user client001 service-type sftp
ssh user client001 sftp-directory cfcard:
#
user-interface vty 0 4
 authentication-mode aaa
#
ssl policy http_server
 certificate load pem-cert 1_servercert_pem_dsa.pem key-pair dsa key-file 1_serverkey_pem_dsa.pem auth-code cipher %^%#0|:yF=]P~Afis516)rO,3Yu<@/3e]
KFg.q@LG50%%^%# 
#
return

相关信息

技术论坛

视频

翻译
English
下载文档
更新时间:2018-09-04

文档编号:EDOC1100038911

浏览量:5294

下载量:502

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页
华为企业业务APP

版权所有 © 华为技术有限公司 1998-2019。 保留一切权利。粤A2-20044005号