(可选)配置Web LMT代理(eLTE管理场景)
eSight使用Nginx服务器为eLTE设备提供Web LMT代理功能。
背景信息
只有安装了eLTE管理组件且需要使用Web LMT代理服务的时候,才需要配置Web LMT代理。
基本概念
介绍配置Web LMT代理的使用场景、默认配置、风险建议以及相关概念。
使用场景
- eCNS610 V100R004C00之前的版本不支持Web LMT。
- eAN3710 V100R002C00之前的版本不支持Web LMT。
- Web LMT代理功能所支持的浏览器以设备Web LMT 所支持的浏览器为准。
当设备与用户不在同一个网络时,用户无法直接访问设备的Web LMT,此时,用户可通过Nginx提供的代理能力访问。
在通过eSight的代理能力访问访问设备的Web LMT前,必须参照操作流程,配置Web LMT代理规则。
默认配置
代理服务器默认不启动,默认无代理认证用户,默认源IP地址范围与目的IP地址范围为空,即不允许任何用户通过代理访问任何设备。
风险与建议
开启Web LMT代理功能后,源IP地址范围内的用户可以访问目的IP地址范围内的设备,具有一定的安全风险,建议谨慎配置允许的目的IP地址范围与源IP地址范围。
基本概念
- 代理认证
为了提高系统的安全性,用户在使用Nginx代理网元LMT功能时,需要验证代理用户的用户名与密码。
- 源IP地址范围
限制允许使用Web LMT代理的客户端IP地址范围,即用户浏览器所在机器的IP地址。
- 目的IP地址范围
限制允许通过Web LMT代理的设备IP地址范围。
创建代理用户
介绍如何创建代理用户。
背景信息
系统支持通过代理方式访问网元,使用代理功能时需要输入代理用户的用户名和密码进行鉴权,提高系统的安全性。
系统缺省没有代理用户,首次使用时必须创建,否则无法使用代理功能。
注意事项
- 密码由数字(0~9)、小写字母(a~z)、大写字母(A~Z)以及特殊字符(!"#$%&'()*+,-./:;<=>?@[\]^`{_|}~)组成。
密码必须满足以下规则:
- 密码不能包含用户名或者倒序的用户名。
- 不能少于8个字符,或超过32个字符。
- 至少包括一个大写字母、一个小写字母、一个数字字符以及一个特殊字符。
- 创建代理用户后,不需要重启代理服务器,立即生效。
- 建议定期修改密码提高代理的安全性。
操作步骤
- 以ossuser用户登录服务器。
- 执行如下命令切换目录。
cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin
- 执行如下命令创建代理用户。
./htproxy.sh -au username
New password: Re-type new password:
- 如果没有回显信息,则说明代理用户创建成功。
- username为待创建的代理用户名称,不能少于6个字符,或超过32个字符。
- 可以多次执行以上命令,添加多个代理用户。
后续操作
- 查看代理用户
- 以ossuser用户登录服务器。
- 执行如下命令切换目录。
cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin
- 执行如下命令查看代理用户列表。
./htproxy.sh -lu
- 修改代理用户密码
- 以ossuser用户登录服务器。
- 执行如下命令切换目录。
cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin
- 执行如下命令修改密码。
./htproxy.sh -au username
New password: Re-type new password:
- 如果没有回显信息,则说明密码修改成功。
- username为待修改密码的代理用户名称,如果该代理用户不存在,则将创建一个新的用户。
- 修改代理用户密码后,不需要重启代理服务器,新密码立即生效。
- 删除代理用户
- 以ossuser用户登录服务器。
- 执行如下命令切换目录。
cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin
- 执行如下命令删除代理用户。
./htproxy.sh -ru username
username为待删除的代理用户名称。
增加源IP地址范围
介绍如何增加允许的源IP地址范围,即用户浏览器所在机器的IP地址。
操作步骤
- 以ossuser用户登录服务器。
- 执行如下命令切换目录。
cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin
- 执行如下示例命令设置源IP地址范围。
./htproxy.sh -as 192.168.1.104 或 ./htproxy.sh -as 10.1.1.0/24
- 源IP地址范围格式为“完整IP地址”与“IP地址/掩码长度”的组合形式,可以根据需要多次添加。以“192.168.1.104” “10.1.1.0/24”这两个设置为例:
- 192.168.1.104表示允许该IP地址访问代理服务器。
- 10.1.1.0/24 表示允许该子网范围内所有IP地址访问代理服务器。
- 若提示“success,restart nginx to take effect,please.”,则说明设置成功。
- 如果代理服务器当前已启动,则需执行如下命令重启代理服务器,使修改生效。
./restart.sh
后续操作
- 查看源IP地址范围
- 以ossuser用户登录服务器。
- 执行如下命令切换目录。
cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin
- 执行如下命令查看源IP地址范围。
./htproxy.sh -ls
- 删除源IP地址范围
- 以ossuser用户登录服务器。
- 执行如下命令切换目录。
cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin
- 执行如下示例命令设置源IP地址范围。
./htproxy.sh -rs 192.168.1.104 或 ./htproxy.sh -rs 10.1.1.0/24
- 源IP地址范围格式与增加源IP地址范围的格式一致,且仅能删除已添加的源IP地址范围,可以根据需要多次删除。以“192.168.1.104” “10.1.1.0/24”这两个设置为例:
- 192.168.1.104表示若已添加的源IP列表中存在该IP地址则删除。
- 10.1.1.0/24 表示若已添加的源IP列表中存在该子网则删除。
- 若提示“success,restart nginx to take effect,please.”,则说明设置成功。
- 如果代理服务器当前已启动,则需执行如下命令重启代理服务器,使修改生效。
./restart.sh
增加目的IP地址
介绍如何增加允许的目的IP地址。
操作步骤
- 以ossuser用户登录服务器。
- 执行如下命令切换目录。
cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin
- 执行如下示例命令增加目的IP地址。
./htproxy.sh -ad 192.168.1.104 [端口号]
- 若IP地址的端口号是默认的,不需要添加;若不是默认的,则需要添加对应IP端口号。
- 以“192.168.1.104 83”为例,“192.168.1.104”表示允许该IP地址的Web LMT被代理,“83”表示对应IP端口号。
- 若提示“success,restart nginx to take effect,please.”,则说明设置成功。
- 如果代理服务器当前已启动,则需执行如下命令重启代理服务器,使修改生效。
./restart.sh
后续操作
- 查看目的IP地址
- 以ossuser用户登录服务器。
- 执行如下命令切换目录。
cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin
- 执行如下命令查看目的IP地址。
./htproxy.sh -ld
- 删除目的IP地址范围
- 以ossuser用户登录服务器。
- 执行如下命令切换目录。
cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin
- 执行如下示例命令删除目的IP地址。
./htproxy.sh -rd 192.168.1.104
- 以“192.168.1.104”为例,表示从已添加的目的IP列表中删除该IP地址。
- 仅能删除已添加的目的IP地址,可以根据需要多次删除。
- 若提示“success,restart nginx to take effect,please.”,则说明设置成功。
- 如果代理服务器未启动,则需执行如下命令启动代理服务器,使配置生效。
./startup.sh
- 如果代理服务器当前已启动,则需执行如下命令重启代理服务器,使修改生效。
./restart.sh
启动代理服务器
代理服务器默认不启动,配置完成后,需要启动代理服务器。
操作步骤
- 以ossuser用户登录服务器。
- 执行如下命令切换目录。
cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin
- 执行如下命令启动代理服务器。
如果代理服务器未启动,则需执行如下命令启动代理服务器,使配置生效。
./startup.sh
如果代理服务器已启动,则需执行如下命令重启代理服务器,使修改生效。
./restart.sh
停止代理服务器
当不需要使用代理服务的时候,请停止代理服务器,以减低安全风险。
操作步骤
- 以ossuser用户登录服务器。
- 执行如下命令切换目录。
cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin
- 执行如下命令停止代理服务器。
./shutdown.sh
代理验证
完成Web LMT代理配置后,用户可以启用Nginx代理登录网元LMT。
操作步骤
- 打开浏览器,输入“https://网管IP:32143/设备IP/login.html”格式的IP地址,例如:“https://10.135.39.26:32143/10.137.63.230/login.html”。
若显示如下界面,则说明Web LMT代理启动成功。
- 单击“继续浏览此网站”。弹出认证窗口,输入用户名和密码。
- 如果访问的客户端IP与设备IP都在允许的范围内,则Web LMT代理要求输入用户名与密码进行认证,请继续步骤3。
- 如果访问的客户端IP或设备IP不在允许的IP范围内,Web LMT代理将拒绝服务。
- 如果提示502错误,请参考《eSight 操作指南》中的“如何修改网元Web LMT SSL配置“章节处理。
- 认证通过后即可登录网元的LMT。以基站为例,界面如下。