使用有线连接的Web方式登录设备前,需完成以下任务:
设备正常运行且设备的接入端口已配置IP地址。PC终端和设备网络互通,且PC终端已安装浏览器软件。
AirEngine 9700-M1、AirEngine 9700-M和AC6805出厂时在接口MEth0/0/1上配置了IP地址169.254.1.1。AC6800V、AC6508、AC6507S和AirEngine 9700S-S出厂时在接口VLANIF 1上配置了IP地址169.254.1.1。AC6508、AC6507S和AirEngine 9700S-S的所有GE接口缺省已加入VLAN 1,AC6800V的所有GE和XGE接口缺省已加入VLAN 1。设备在出厂时已经配置了STelnet服务,STelnet服务端口为22。设备在出厂时已经配置了HTTP服务和HTTPS服务,HTTP缺省服务端口号为80,HTTPS缺省服务端口号为443。您可以在《WLAN缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
Web网管的运行环境如图1所示,用户可以使用PC通过Web网管对设备进行管理和配置。
图1 Web网管使用环境
配置通过Web网管登录设备的常用功能
设备出厂状态下支持直接登录Web网管,请参见登录Web网管。如果修改了HTTP服务器配置或需要增加/修改Web用户信息时,配置步骤如下:
开启HTTPS服务。
[HUAWEI] http server enable //开启HTTP服务功能的同时,也会开启设备的HTTPS服务功能
[HUAWEI] http secure-server server-source -i MEth0/0/1 //缺省情况下,未指定HTTP和HTTPS服务的源接口。出厂配置文件中,有管理网口的设备指定源接口为管理网口MEth0/0/1;无管理网口的设备指定源接口为VLANIF 1
[HUAWEI] quit
创建Web用户及其登录密码。
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206 //创建本地用户admin123,登录密码为YsHsjx_202206
配置Web用户的接入类型和用户级别。
[HUAWEI-aaa] local-user admin123 privilege level 15 //配置本地用户admin123的级别为15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[HUAWEI-aaa] local-user admin123 service-type http //配置本地用户admin123的接入类型为HTTP
[HUAWEI-aaa] quit
查看HTTPS服务器信息。
[HUAWEI] display http server
HTTP server status : Enabled (default: enable)
HTTP server port : 80 (default: 80)
HTTP timeout interval : 10 (default: 10 minutes)
Current online users : 0
Maximum users allowed : 5
HTTPS server status : Enabled (default: enable)
HTTPS server port : 443 (default: 443)
HTTPS SSL Policy :
Web package : web.7z (default)
HTTP server permit interface :
HTTPS server source interface: MEth0/0/1
缺省情况下,HTTP采用随机生成的自签名证书支持HTTPS。由于自签名证书存在安全风险,因此建议用户替换为官方授信的数字证书,替换方法请参见(可选)加载数字证书文件和绑定SSL策略。
登录Web网管通过Web登录设备。
在用户终端PC上打开浏览器,在地址栏中输入“http://169.254.1.1”或“https://169.254.1.1”(169.254.1.1为示例,请以实际配置的接入端口IP地址为准),按下回车键,显示Web网管的登录页面。
通过HTTP方式登录都会强制跳转到HTTPS的登录页面。如果当前HTTPS服务不可用(如HTTPS服务未开启,HTTPS服务已开启但未绑定SSL策略等),会跳转到错误页面。
输入登录信息。
选择语言。
目前支持中文和英文,默认根据浏览器的语言自动选择。
输入用户名和密码。
首次登录Web网管时,需要设置用户名和密码,用于Web网管和STelnet登录。该用户名和密码还会下发给为所管理的FIT AP,用于登录FIT AP。该密码还会设置为串口登录的登录密码。该密码还会设置为AP的离线管理VAP的密钥,用于无线连接AP的离线管理SSID。
单击“登录”,进入操作页面。
登录失败时,会同时提示四种可能失败的原因:
“用户名或密码错误!”,表示输入的用户名或密码不正确。请单击“确定”,核实用户名和密码然后重新输入。“用户没有权限登录或已过期!”,表示当前登录用户没有权限登录网管,请联系网络管理员。“可登录用户数已满!”,表示当前通过Web方式登录的用户已达到上限。设备默认Web用户数目的上限为5。“输入错误密码次数达到上限,用户被锁定! ”,表示当前登录用户已经被锁定,并且账号在5分钟后会自动解锁。
退出当前登录,单击页面右上角的“注销”,重新返回到登录页面。用户登录成功后,在固定时间内未进行任何操作(缺省超时时间为10分钟),系统自动注销当前登录。单击“确定”后,重新返回到登录页面。
(可选)加载Web网页文件
设备的系统软件中已经集成了Web网页文件并完成了加载,一般不需要单独再操作。如果用户需要对Web网页文件进行升级,可以登录官方网站下载独立的Web网页文件,上传到设备并进行加载。
上传Web网页文件到设备。
Web网页文件获取路径:请先登录华为公司企业业务支持网站(http://support.huawei.com/enterprise),根据产品型号和版本名称,在“版本及补丁软件”中下载所需的Web网页文件,名称为“产品_软件版本号.Web网管文件版本号.web.7z”。
每个Web网页文件对应一个签名文件,签名文件和Web网页文件下载方法相同。
加载Web网页文件。
[HUAWEI] http server load web.7z
开启HTTPS服务。[HUAWEI] http secure-server enable //缺省情况下,设备的HTTPS服务功能已开启
(可选)加载数字证书文件和绑定SSL策略
设备默认已经加载数字证书文件,如果浏览器会提示存在安全风险,或因证书问题导致WEB页面访问失败时,则需要更新数字证书文件。
上传服务器数字证书、私钥文件到设备。 已申请获取到本地证书、CA证书和RSA密钥分别为abc_local.pem、abc_ca.pem、privatekey.pem,并已将这些都上传到设备的存储介质中。如果申请到多个CA证书,请执行相同的操作加载到设备内存中。生成privatekey.pem时的密钥为YsHsjx_202206。
加载证书和RSA密钥对。[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] quit
[HUAWEI] pki import-certificate local realm abc pem filename abc_local.pem
[HUAWEI] pki import-certificate ca realm abc pem filename abc_ca.pem
[HUAWEI] pki import rsa-key-pair key1 pem privatekey.pem password YsHsjx_202206
创建SSL策略,并加载数字证书。[HUAWEI] ssl policy sslserver type server
[HUAWEI-ssl-policy-sslserver] pki-realm abc
[HUAWEI-ssl-policy-sslserver] version tls1.2
[HUAWEI-ssl-policy-sslserver] quit
绑定SSL策略并开启HTTPS服务。[HUAWEI] http secure-server ssl-policy sslserver
[HUAWEI] http secure-server enable
查看加载的数字证书详细信息。[HUAWEI] display ssl policy sslserver
------------------------------------------------------------------------------
Policy name : sslserver
Policy ID : 2
Policy type : Server
Cipher suite : ecdhe_rsa_aes128_gcm_sha256
ecdhe_rsa_aes256_gcm_sha384
PKI realm : abc
Version : tls1.2
Cache number : 128
Time out(second) : 3600
Server certificate load status : loaded
CA certificate chain load status : loaded
SSL renegotiation status : enable
Bind number : 1
SSL connection number : 0
------------------------------------------------------------------------------