所选语种没有对应资源,请选择:
菜单
技术支持 文档中心
eSight V300R010C00SPC200&300&500 单机系统软件安装指南 (EulerOS + GaussDB) 11
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置Web LMT代理(eLTE管理场景)

(可选)配置Web LMT代理(eLTE管理场景)

eSight使用Nginx服务器为eLTE设备提供Web LMT代理功能。

背景信息

只有安装了eLTE管理组件且需要使用Web LMT代理服务的时候,才需要配置Web LMT代理。

基本概念

介绍配置Web LMT代理的使用场景、默认配置、风险建议以及相关概念。

使用场景

  • eCNS610 V100R004C00之前的版本不支持Web LMT。
  • eAN3710 V100R002C00之前的版本不支持Web LMT。
  • Web LMT代理功能所支持的浏览器以设备Web LMT 所支持的浏览器为准。

当设备与用户不在同一个网络时,用户无法直接访问设备的Web LMT,此时,用户可通过Nginx提供的代理能力访问。

在通过eSight的代理能力访问访问设备的Web LMT前,必须参照操作流程,配置Web LMT代理规则。

默认配置

代理服务器默认不启动,默认无代理认证用户,默认源IP地址范围与目的IP地址范围为空,即不允许任何用户通过代理访问任何设备。

风险与建议

开启Web LMT代理功能后,源IP地址范围内的用户可以访问目的IP地址范围内的设备,具有一定的安全风险,建议谨慎配置允许的目的IP地址范围与源IP地址范围。

基本概念

  • 代理认证

    为了提高系统的安全性,用户在使用Nginx代理网元LMT功能时,需要验证代理用户的用户名与密码。

  • 源IP地址范围

    限制允许使用Web LMT代理的客户端IP地址范围,即用户浏览器所在机器的IP地址。

  • 目的IP地址范围

    限制允许通过Web LMT代理的设备IP地址范围。

操作流程

介绍配置Web LMT代理的操作流程。

Web LMT代理配置流程图如图8-4所示。

图8-4 Web LMT代理配置流程图

创建代理用户

介绍如何创建代理用户。

背景信息

系统支持通过代理方式访问网元,使用代理功能时需要输入代理用户的用户名和密码进行鉴权,提高系统的安全性。

系统缺省没有代理用户,首次使用时必须创建,否则无法使用代理功能。

注意事项

  • 密码由数字(0~9)、小写字母(a~z)、大写字母(A~Z)以及特殊字符(!"#$%&'()*+,-./:;<=>?@[\]^`{_|}~)组成。

    密码必须满足以下规则:

    • 密码不能包含用户名或者倒序的用户名。
    • 不能少于8个字符,或超过32个字符。
    • 至少包括一个大写字母、一个小写字母、一个数字字符以及一个特殊字符。
  • 创建代理用户后,不需要重启代理服务器,立即生效。
  • 建议定期修改密码提高代理的安全性。

操作步骤

  1. ossuser用户登录服务器。
  2. 执行如下命令切换目录。

    cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin

  3. 执行如下命令创建代理用户。

    ./htproxy.sh -au username

    New password: 
Re-type new password:
    • 如果没有回显信息,则说明代理用户创建成功。
    • username为待创建的代理用户名称,不能少于6个字符,或超过32个字符。
    • 可以多次执行以上命令,添加多个代理用户。

后续操作

  • 查看代理用户
    1. ossuser用户登录服务器。
    2. 执行如下命令切换目录。

      cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin

    3. 执行如下命令查看代理用户列表。

      ./htproxy.sh -lu

  • 修改代理用户密码
    1. ossuser用户登录服务器。
    2. 执行如下命令切换目录。

      cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin

    3. 执行如下命令修改密码。

      ./htproxy.sh -au username

      New password: 
Re-type new password:
      • 如果没有回显信息,则说明密码修改成功。
      • username为待修改密码的代理用户名称,如果该代理用户不存在,则将创建一个新的用户。
      • 修改代理用户密码后,不需要重启代理服务器,新密码立即生效。
  • 删除代理用户
    1. ossuser用户登录服务器。
    2. 执行如下命令切换目录。

      cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin

    3. 执行如下命令删除代理用户。

      ./htproxy.sh -ru username

      username为待删除的代理用户名称。

增加源IP地址范围

介绍如何增加允许的源IP地址范围,即用户浏览器所在机器的IP地址。

操作步骤

  1. ossuser用户登录服务器。
  2. 执行如下命令切换目录。

    cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin

  3. 执行如下示例命令设置源IP地址范围。

    ./htproxy.sh -as 192.168.1.104./htproxy.sh -as 10.1.1.0/24

    • 源IP地址范围格式为“完整IP地址”与“IP地址/掩码长度”的组合形式,可以根据需要多次添加。以“192.168.1.104” “10.1.1.0/24”这两个设置为例:
    • 192.168.1.104表示允许该IP地址访问代理服务器。
    • 10.1.1.0/24 表示允许该子网范围内所有IP地址访问代理服务器。
    • 若提示“success,restart nginx to take effect,please.”,则说明设置成功。

  4. 如果代理服务器当前已启动,则需执行如下命令重启代理服务器,使修改生效。

    ./restart.sh

后续操作

  • 查看源IP地址范围
    1. ossuser用户登录服务器。
    2. 执行如下命令切换目录。

      cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin

    3. 执行如下命令查看源IP地址范围。

      ./htproxy.sh -ls

  • 删除源IP地址范围
    1. ossuser用户登录服务器。
    2. 执行如下命令切换目录。

      cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin

    3. 执行如下示例命令设置源IP地址范围。

      ./htproxy.sh -rs 192.168.1.104./htproxy.sh -rs 10.1.1.0/24

      • 源IP地址范围格式与增加源IP地址范围的格式一致,且仅能删除已添加的源IP地址范围,可以根据需要多次删除。以“192.168.1.104” “10.1.1.0/24”这两个设置为例:
      • 192.168.1.104表示若已添加的源IP列表中存在该IP地址则删除。
      • 10.1.1.0/24 表示若已添加的源IP列表中存在该子网则删除。
      • 若提示“success,restart nginx to take effect,please.”,则说明设置成功。
    4. 如果代理服务器当前已启动,则需执行如下命令重启代理服务器,使修改生效。

      ./restart.sh

增加目的IP地址

介绍如何增加允许的目的IP地址。

操作步骤

  1. ossuser用户登录服务器。
  2. 执行如下命令切换目录。

    cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin

  3. 执行如下示例命令增加目的IP地址。

    ./htproxy.sh -ad 192.168.1.104 [端口号]

    • 若IP地址的端口号是默认的,不需要添加;若不是默认的,则需要添加对应IP端口号。
    • 以“192.168.1.104 83”为例,“192.168.1.104”表示允许该IP地址的Web LMT被代理,“83”表示对应IP端口号。
    • 若提示“success,restart nginx to take effect,please.”,则说明设置成功。

  4. 如果代理服务器当前已启动,则需执行如下命令重启代理服务器,使修改生效。

    ./restart.sh

后续操作

  • 查看目的IP地址
    1. ossuser用户登录服务器。
    2. 执行如下命令切换目录。

      cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin

    3. 执行如下命令查看目的IP地址。

      ./htproxy.sh -ld

  • 删除目的IP地址范围
    1. ossuser用户登录服务器。
    2. 执行如下命令切换目录。

      cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin

    3. 执行如下示例命令删除目的IP地址。

      ./htproxy.sh -rd 192.168.1.104

      • 以“192.168.1.104”为例,表示从已添加的目的IP列表中删除该IP地址。
      • 仅能删除已添加的目的IP地址,可以根据需要多次删除。
      • 若提示“success,restart nginx to take effect,please.”,则说明设置成功。
    4. 如果代理服务器未启动,则需执行如下命令启动代理服务器,使配置生效。

      ./startup.sh

    5. 如果代理服务器当前已启动,则需执行如下命令重启代理服务器,使修改生效。

      ./restart.sh

启动代理服务器

代理服务器默认不启动,配置完成后,需要启动代理服务器。

操作步骤

  1. ossuser用户登录服务器。
  2. 执行如下命令切换目录。

    cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin

  3. 执行如下命令启动代理服务器。

    如果代理服务器未启动,则需执行如下命令启动代理服务器,使配置生效。

    ./startup.sh

    如果代理服务器已启动,则需执行如下命令重启代理服务器,使修改生效。

    ./restart.sh

停止代理服务器

当不需要使用代理服务的时候,请停止代理服务器,以减低安全风险。

操作步骤

  1. ossuser用户登录服务器。
  2. 执行如下命令切换目录。

    cd eSight安装目录/AppBase/3rdparty/nginx_ewl/bin

  3. 执行如下命令停止代理服务器。

    ./shutdown.sh

代理验证

完成Web LMT代理配置后,用户可以启用Nginx代理登录网元LMT。

操作步骤

  1. 打开浏览器,输入“https://网管IP:32143/设备IP/login.html”格式的IP地址,例如:“https://10.135.39.26:32143/10.137.63.230/login.html”。

    若显示如下界面,则说明Web LMT代理启动成功。

  2. 单击“继续浏览此网站”。弹出认证窗口,输入用户名和密码。

    • 如果访问的客户端IP与设备IP都在允许的范围内,则Web LMT代理要求输入用户名与密码进行认证,请继续步骤3

    • 如果访问的客户端IP或设备IP不在允许的IP范围内,Web LMT代理将拒绝服务。

    • 如果提示502错误,请参考《eSight 操作指南》中的“如何修改网元Web LMT SSL配置“章节处理。

  3. 认证通过后即可登录网元的LMT。以基站为例,界面如下。

下载文档
更新时间:2021-07-20

文档编号:EDOC1100091058

浏览量:20540

下载量:235

平均得分:
本文档适用于这些产品

相关版本

相关文档

数字签名

数字签名验证工具
分享
上一页 下一页
华为企业业务APP

版权所有 © 华为技术有限公司 1998-2021。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: