配置通过Web网管登录设备
配置通过Web网管登录设备的常用功能
- 创建Web用户及其登录密码。
- 配置Web用户的接入类型和用户级别。
操作步骤
- 创建Web用户及其登录密码。
<HUAWEI> system-view [HUAWEI] aaa [HUAWEI-aaa] local-user admin123 password irreversible-cipher abcd@123 //创建本地用户admin123,登录密码为abcd@123
- 配置Web用户的接入类型和用户级别。
[HUAWEI-aaa] local-user admin123 privilege level 15 //配置本地用户admin123的级别为15 Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y [HUAWEI-aaa] local-user admin123 service-type http //配置本地用户admin123的接入类型为HTTP [HUAWEI-aaa] quit
- 查看HTTPS服务器信息。
[HUAWEI] display http server HTTP Server Status : enabled HTTP Server Port : 80(80) HTTP Timeout Interval : 20 Current Online Users : 3 Maximum Users Allowed : 5 HTTP Secure-server Status : enabled HTTP Secure-server Port : 443(443) HTTP SSL Policy : ssl_server HTTP IPv6 Server Status : disabled HTTP IPv6 Server Port : 80(80) HTTP IPv6 Secure-server Status : disabled HTTP IPv6 Secure-server Port : 443(443) HTTP server source address : 0.0.0.0
通过Web登录设备。
完成Web登录设备的常用功能配置后,在用户终端PC上打开浏览器,在地址栏中输入“https://IP address”,按回车键后将进入Web网管登录界面。如图2-2所示,输入之前配置的Web用户名和密码,并选择Web网管系统的语言。
- 第一次登录Web网管的账号,在登录过程中会跳转到密码修改界面,必须修改密码。
- 用户密码即将过期或者已经过期时,网管页面也会跳转到密码修改界面。此时用户必须修改密码,才能进入Web网管系统主页面。
- 为提升密码安全性,密码至少同时包含小写字母、大写字母、数字、特殊符号(例如“!”、“$”、“#”和“%”等)这四种形式中的两种,并且不能包括空格和单引号。
- 如果登录的Web用户为管理级用户,不论其使用什么用户名和密码登录Web网管,只要系统中存在默认的本地用户,系统都会提示修改该默认用户。
您可以在《S系列交换机缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
配置通过Web网管登录设备的其他功能
加载Web网页文件
设备的系统软件中已经集成了Web网页文件并完成了加载,一般不需要单独再操作。如果用户需要对Web网页文件进行升级,可以登录华为公司的官方网站下载独立的Web网页文件,上传到设备并进行加载。
上传Web网页文件到设备。
Web网页文件获取路径:请先登录华为公司企业业务支持网站(http://support.huawei.com/enterprise)根据产品型号和版本名称,在“VR版本公共补丁”中点击某一补丁版本,下载所需的Web网页文件,名称为“产品-软件版本号.Web网管文件版本号.web.7z”。
每个Web网页文件对应一个签名文件,签名文件和Web网页文件下载方法相同。
上传必要文件到设备的配置方式,请参见文件管理。
- 加载Web网页文件。
<HUAWEI> system-view [HUAWEI] http server load web.7z
- 开启HTTPS服务。
[HUAWEI] http secure-server enable //缺省情况下,设备的HTTPS IPv4服务功能已开启,HTTPS IPv6服务功能为关闭状态
-
- 上传服务器数字证书、私钥文件到设备。证书中的Subject: CN字段需要与登录设备的域名信息匹配。
可通过SFTP等方式上传服务器数字证书文件和私钥文件,且要保存至security目录。如果设备上没有security目录,可以通过命令mkdir security创建。文件上传的具体操作过程请参见文件管理。
上传完成后,请在用户视图下执行命令dir,对比上传到设备的服务器数字证书文件和私钥文件大小是否与文件服务器上的一致。如果不一致,可能是在文件上传过程中出现异常,请重新上传。
- 创建SSL策略,并加载数字证书,此处以加载PEM格式证书为例。
[HUAWEI] ssl policy http_server [HUAWEI-ssl-policy-http_server] certificate load pem-cert 1_servercert_pem_dsa.pem key-pair dsa key-file 1_serverkey_pem_dsa.pem auth-code cipher 123456 [HTTPS-Server-ssl-policy-http_server] quit
- 绑定SSL策略并开启HTTPS服务。
[HUAWEI] http secure-server ssl-policy http_server [HUAWEI] http secure-server enable
- 查看加载的数字证书详细信息。
[HUAWEI] display ssl policy SSL Policy Name: http_server Policy Applicants: Config-Webs Key-pair Type: DSA Certificate File Type: PEM Certificate Type: certificate Certificate Filename: 1_servercert_pem_dsa.pem Key-file Filename: 1_serverkey_pem_dsa.pem Auth-code: ****** MAC: CRL File: Trusted-CA File: Issuer Name: Validity Not Before: Validity Not After:
- 上传服务器数字证书、私钥文件到设备。证书中的Subject: CN字段需要与登录设备的域名信息匹配。
命令行功能说明
详细的命令行功能说明请参见《命令参考》手册。
功能 |
配置命令 |
说明 |
---|---|---|
新增AAA本地用户名和密码 |
local-user user-name password irreversible-cipher password |
您可以在《S系列交换机缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。 说明:
如果用户通过CLI方式登录过设备,修改了缺省用户的密码,请以修改后的密码为准。 |
配置AAA本地用户的接入类型 |
local-user user-name service-type http |
缺省情况下,本地用户关闭所有的接入类型。 |
配置本地用户的级别 |
local-user user-name privilege level level |
缺省情况下,本地用户的级别为15,管理用户。 |
加载Web网页文件 |
http server load { file-name | default } |
缺省情况下,设备已加载系统软件中集成的Web网页文件。 |
创建SSL策略并进入SSL策略视图 |
ssl policy policy-name |
缺省为未创建SSL策略。 |
设备绑定SSL策略 |
http secure-server ssl-policy policy-name |
缺省情况下,HTTP服务器已配置默认的SSL策略。 |
开启HTTPS服务 |
http [ ipv6 ] secure-server enable |
缺省情况下,设备的HTTPS IPv4服务功能是开启的,HTTPS IPv6服务功能是关闭的。 |
功能 |
配置命令 |
说明 |
---|---|---|
对Web网页文件合法性进行校验 |
check file-integrity filename signature-filename |
校验失败的文件不能作为系统软件、补丁软件、Web文件或mod文件使用。 |
HTTPS服务器的端口号 |
http [ ipv6 ] secure-server port port-number |
缺省为443。 |
指定HTTPS服务器端的源接口 |
http server-source -i loopback interface-number |
指定HTTPS服务器端的源接口前,必须已经成功创建LoopBack接口,否则会导致本配置无法成功执行。 |
HTTPS会话的超时时间 |
http timeout timeout |
缺省为20分钟。 |
创建SSL算法套定制策略 |
ssl cipher-suite-list customization-policy-name |
缺省为安全算法。 设备也支持算法套定制功能,通过该命令定制算法套。 |
在SSL算法套定制策略视图定制策略中支持的算法套 |
set cipher-suite { tls12_ck_dss_aes_128_gcm_sha256 | tls12_ck_dss_aes_256_gcm_sha384 | tls12_ck_rsa_aes_128_gcm_sha256 | tls12_ck_rsa_aes_256_gcm_sha384 } |
缺省为没有配置算法套。 系统软件中不包含tls12_ck_rsa_aes_256_cbc_sha256、tls1_ck_dhe_dss_with_aes_128_sha、tls1_ck_dhe_dss_with_aes_256_sha、tls1_ck_dhe_rsa_with_aes_128_sha、tls1_ck_dhe_rsa_with_aes_256_sha、tls1_ck_rsa_with_aes_128_sha和tls1_ck_rsa_with_aes_256_sha参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议使用其它算法。 您可以通过华为官网(企业、运营商)搜索“插件使用指南”,请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限,请联系技术支持人员。 |
设置SSL策略所采用的最低SSL版本 |
ssl minimum version { tls1.1 | tls1.2 } |
缺省为TLS1.2。 系统软件中不包含tls1.0参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议配置tls1.2参数。 您可以通过华为官网(企业、运营商)搜索“插件使用指南”,请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限,请联系技术支持人员。 |
SSL策略中绑定指定的SSL算法套定制策略 |
binding cipher-suite-customization customization-policy-name |
缺省为默认的算法套。 绑定的SSL算法套定制策略中如果仅有一种类型的算法(RSA或DSS),SSL策略需要加载对应类型的证书,确保SSL协商时能成功。 |
加载PEM格式的数字证书/证书链并指定私钥文件 |
|
一个SSL策略只能加载一个证书或者证书链(证书链是指从终端实体证书到根证书的一系列可信任证书构成的证书序列)。如果已经加载了证书或者证书链,加载新证书或者证书链之前必须先执行命令undo certificate load卸载旧证书或者证书链。请根据证书类型,选择相应的配置。 加载PEM格式的数字证书或证书链时,根据从CA处获取的是数字证书还是证书链,两条命令选择一条执行。 命令1为加载PEM格式的数字证书并指定私钥文件。 命令2为加载PEM格式的证书链并指定私钥文件。 |
加载ASN1格式的数字证书并指定私钥文件 |
certificate load asn1-cert cert-filename key-pair { dsa | rsa } key-file key-filename |
|
加载PFX格式的数字证书并指定私钥文件 |
certificate load pfx-cert cert-filename key-pair { dsa | rsa } { mac cipher mac-code | key-file key-filename } auth-code cipher auth-code |
|
强制指定的Web用户下线 |
free http user-id user-id |
设备最多只支持5个Web用户同时在线。 |
设置Web网管欢迎语 |
web welcome-message message |
_ |
查看当前在线Web用户信息 |
display http user [ username username ] |
_ |