28
2024
09
00:34:57

S300, S500, S2700, S5700, S6700 V200R022C10 配置指南(Web网管)

https://support.huawei.com/enterprise/zh/doc/EDOC1100300859/79452f36


配置通过Web网管登录设备

Web网管方式通过图形化的操作界面,实现对设备直观方便地管理与维护。配置通过Web网管登录设备前,需要确保终端PC和设备之间路由可达。

V200R020C00版本开始,当需要授权客户从非管理接口登录服务器时,需要执行命令指定HTTP服务器端的源接口。

配置通过Web网管登录设备的常用功能

增加新的Web用户或者修改用户信息时,配置步骤如下:

  1. 开启HTTP服务。

  2. 创建Web用户及其登录密码。

  3. 配置Web用户的接入类型和用户级别。

操作步骤

  1. 开启HTTP服务。

    HTTP协议存在安全风险,建议您使用HTTPS安全协议

    <HUAWEI> system-view[HUAWEI] http server enable    //缺省情况下,设备的HTTP IPv4服务功能已开启,HTTP IPv6服务功能为关闭状态[HUAWEI] http server-source -i MEth0/0/1    //缺省情况下,设备默认将管理IP地址192.168.1.253配置在管理网口或VLANIF1接口下,并将该接口设置为HTTP服务器端的源接口,且设备默认未指定HTTP服务器端的IPv6源地址。Warning: The operation will reboot the HTTP server. Continue? [Y/N]:y                                                               Info: Succeeded in setting the source interface of the HTTP server to MEth0/0/1.                                                    
Info: Succeeded in starting the HTTP secure server.                                                                                 
Warning: HTTP is not a secure protocol, and it is recommended to use HTTPS.                                                         
Info: Succeeded in starting the HTTP server.                  
[HUAWEI] quit

  2. 创建Web用户及其登录密码。

    [HUAWEI] aaa[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206    //创建本地用户admin123,登录密码为YsHsjx_202206

  3. 配置Web用户的接入类型和用户级别。

    [HUAWEI-aaa] local-user admin123 privilege level 15    //配置本地用户admin123的级别为15Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y[HUAWEI-aaa] local-user admin123 service-type http    //配置本地用户admin123的接入类型为HTTP[HUAWEI-aaa] quit

  4. 查看HTTPS服务器信息。

    [HUAWEI] display http server
   HTTP Server Status              : enabled
   HTTP Server Port                : 80(80)
   HTTP Timeout Interval           : 20
   Current Online Users            : 3
   Maximum Users Allowed           : 5
   HTTP Secure-server Status       : enabled
   HTTP Secure-server Port         : 443(443)
   HTTP SSL Policy                 : ssl_server
   HTTP IPv6 Server Status         : disabled
   HTTP IPv6 Server Port           : 80(80)
   HTTP IPv6 Secure-server Status  : disabled
   HTTP IPv6 Secure-server Port    : 443(443)
   HTTP server source interface    : MEth0/0/1

    缺省情况下,HTTP采用随机生成的自签名证书支持HTTPS。由于自签名证书存在安全风险,因此建议用户替换为官方授信的数字证书,替换方法请参见加载数字证书文件和绑定SSL策略

  5. 通过Web登录设备。

    完成Web登录设备的常用功能配置后,在用户终端PC上打开浏览器,在地址栏中输入“https://IP address,按回车键后将进入Web网管登录界面。如图2-8所示,输入之前配置的Web用户名和密码,并选择Web网管系统的语言。

    图2-8 Web网管登录界面

    • 第一次登录Web网管的账号,在登录过程中会跳转到密码修改界面,必须修改密码。

    • 用户密码即将过期或者已经过期时,网管页面也会跳转到密码修改界面。此时用户必须修改密码,才能进入Web网管系统主页面。

    • 为提升密码安全性,密码至少同时包含小写字母、大写字母、数字、特殊符号(例如“!”、“$”、“#”和“%”等)这四种形式中的两种,并且不能包括问号、空格和单引号。

配置通过Web网管登录设备的其他功能

  • 加载Web网页文件

    设备的系统软件中已经集成了Web网页文件并完成了加载,一般不需要单独再操作。如果用户需要对Web网页文件进行升级,可以登录华为公司的官方网站下载独立的Web网页文件,上传到设备并进行加载。

    1. 上传Web网页文件到设备。

      Web网页文件获取路径:请先登录华为公司企业业务支持网站(http://support.huawei.com/enterprise)根据产品型号和版本名称,在“VR版本公共补丁”中点击某一补丁版本,下载所需的Web网页文件,名称为“产品-软件版本号.Web网管文件版本号.web.7z”。

      每个Web网页文件对应一个签名文件,签名文件和Web网页文件下载方法相同。

      上传必要文件到设备的配置方式,请参见文件管理

    2. 加载Web网页文件。

      <HUAWEI> system-view[HUAWEI] http server load web.7z

    3. 开启HTTPS服务。

      [HUAWEI] http secure-server enable    //缺省情况下,设备的HTTPS IPv4服务功能已开启,HTTPS IPv6服务功能为关闭状态

  • 加载数字证书文件和绑定SSL策略

    1. 上传服务器数字证书、私钥文件到设备。证书中的Subject: CN字段需要与登录设备的域名信息匹配。

      可通过SFTP等方式上传服务器数字证书文件和私钥文件,且要保存至security目录。如果设备上没有security目录,可以通过命令mkdir security创建。文件上传的具体操作过程请参见文件管理

      上传完成后,请在用户视图下执行命令dir,对比上传到设备的服务器数字证书文件和私钥文件大小是否与文件服务器上的一致。如果不一致,可能是在文件上传过程中出现异常,请重新上传。

    2. 创建SSL策略,并加载数字证书,此处以加载PEM格式证书为例。

      [HUAWEI] ssl policy http_server[HUAWEI-ssl-policy-http_server] certificate load pem-cert 1_servercert_pem_dsa.pem key-pair dsa key-file 1_serverkey_pem_dsa.pem auth-code cipher YsHsjx_202206[HTTPS-Server-ssl-policy-http_server] quit

    3. 绑定SSL策略并开启HTTPS服务。

      [HUAWEI] http secure-server ssl-policy http_server[HUAWEI] http secure-server enable

    4. 查看加载的数字证书详细信息。

      [HUAWEI] display ssl policy

       SSL Policy Name: http_server
     Policy Applicants: Config-Webs
         Key-pair Type: DSA
 Certificate File Type: PEM
      Certificate Type: certificate
  Certificate Filename: 1_servercert_pem_dsa.pem
     Key-file Filename: 1_serverkey_pem_dsa.pem
             Auth-code: ******
                   MAC:
              CRL File:
       Trusted-CA File:
           Issuer Name:
   Validity Not Before:
    Validity Not After:

命令行功能说明

详细的命令行功能说明请参见《命令参考》手册。

表2-6 常用功能命令

功能

配置命令

说明

新增AAA本地用户名和密码

local-user user-name password irreversible-cipher password

缺省情况下,没有创建本地用户。

配置AAA本地用户的接入类型

local-user user-name service-type http

缺省情况下,本地用户关闭所有的接入类型。

配置本地用户的级别

local-user user-name privilege level level

缺省情况下,本地用户的级别为0。

加载Web网页文件

http server load { file-name | default }

缺省情况下,设备已加载系统软件中集成的Web网页文件。

创建SSL策略并进入SSL策略视图

ssl policy policy-name

缺省为未创建SSL策略。

设备绑定SSL策略

http secure-server ssl-policy policy-name

缺省情况下,HTTP服务器已配置默认的SSL策略。

开启HTTPS服务

http [ ipv6 ] secure-server enable

缺省情况下,设备的HTTPS IPv4服务功能是开启的,HTTPS IPv6服务功能是关闭的。

指定HTTP服务器端的源接口或IPv6源地址

  • http server-source -i interface-type interface-number

  • http ipv6 server-source -a ipv6_address [ -vpn-instance vpn_name ]

缺省情况下,HTTP服务器端的源接口为管理网口或VLANIF1,未指定HTTP服务器端的IPv6源地址。

表2-7 其他功能命令

功能

配置命令

说明

对Web网页文件合法性进行校验

check file-integrity filename signature-filename

校验失败的文件不能作为系统软件、补丁软件、Web文件或mod文件使用。

HTTPS服务器的端口号

http [ ipv6 ] secure-server port port-number

缺省为443。

HTTPS会话的超时时间

http timeout timeout

缺省为20分钟。

创建SSL算法套定制策略

ssl cipher-suite-list customization-policy-name

缺省为安全算法。

设备也支持算法套定制功能,通过该命令定制算法套。

在SSL算法套定制策略视图定制策略中支持的算法套

set cipher-suite { tls12_ck_dss_aes_128_gcm_sha256 | tls12_ck_dss_aes_256_gcm_sha384 | tls12_ck_rsa_aes_128_gcm_sha256 | tls12_ck_rsa_aes_256_gcm_sha384 }

缺省为没有配置算法套。

系统软件中不包含tls12_ck_rsa_aes_256_cbc_sha256tls1_ck_dhe_dss_with_aes_128_shatls1_ck_dhe_dss_with_aes_256_shatls1_ck_dhe_rsa_with_aes_128_shatls1_ck_dhe_rsa_with_aes_256_shatls1_ck_rsa_with_aes_128_shatls1_ck_rsa_with_aes_256_sha参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议使用其它算法。WEAKEA插件安装方法请参见WEAKEA插件使用指南

设置SSL策略所采用的最低SSL版本

ssl minimum version { tls1.1 | tls1.2 | tls1.3 }

缺省为TLS1.2。

系统软件中不包含tls1.0参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议配置tls1.2参数。WEAKEA插件安装方法请参见WEAKEA插件使用指南

SSL策略中绑定指定的SSL算法套定制策略

binding cipher-suite-customization customization-policy-name

缺省为默认的算法套。

绑定的SSL算法套定制策略中如果仅有一种类型的算法(RSA或DSS),SSL策略需要加载对应类型的证书,确保SSL协商时能成功。

加载PEM格式的数字证书/证书链并指定私钥文件

  1. certificate load pem-cert cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code

  2. certificate load pem-chain cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code

一个SSL策略只能加载一个证书或者证书链(证书链是指从终端实体证书到根证书的一系列可信任证书构成的证书序列)。如果已经加载了证书或者证书链,加载新证书或者证书链之前必须先执行命令undo certificate load卸载旧证书或者证书链。请根据证书类型,选择相应的配置。

加载PEM格式的数字证书或证书链时,根据从CA处获取的是数字证书还是证书链,两条命令选择一条执行。

命令1为加载PEM格式的数字证书并指定私钥文件。

命令2为加载PEM格式的证书链并指定私钥文件。

加载ASN1格式的数字证书并指定私钥文件

certificate load asn1-cert cert-filename key-pair { dsa | rsa } key-file key-filename

加载PFX格式的数字证书并指定私钥文件

certificate load pfx-cert cert-filename key-pair { dsa | rsa } { mac cipher mac-code | key-file key-filename } auth-code cipher auth-code

强制指定的Web用户下线

free http user-id user-id

设备最多只支持5个Web用户同时在线。

设置Web网管欢迎语

web welcome-message message

_

查看当前在线Web用户信息

display http user [ username username ]

_




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/8087.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:Network | 浏览:13 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: