现象描述
终端通过Web网管方式登录设备失败。
可能原因
- PC和设备网络不通
- WEB包和主机软件版本不匹配
- http或https服务未开启
- 浏览器版本不在支持范围内
- 账号权限类型等不满足要求
- 在线用户数达到上限
- 配置了用户访问限制
- 本地认证配置了计费
- (V200R019C10及之后版本)配置了HTTP/HTTPS服务器源接口
操作步骤
1、检查PC和设备之间是否可以ping通
通过在PC命令行界面执行ping命令,可以检查PC与设备网络是否互通。
设备在出厂时配置了IP地址169.254.1.1。
配置PC的IP必须在169.254.1.0/24网段(169.254.1.1除外,建议使用169.254.1.100)。
a、进入Windows的命令行提示符,执行命令ping,查看PC与设备地址之间是否可达。
C:\Users\Huawei> ping 169.254.1.1 Ping 169.254.1.1 with 32 bytes of data: request timed out. request timed out. request timed out. Ping statistics for 169.254.1.1: Packets:sent = 4,Received = 0, Lost = 4(100% loss)
当系统显示“Request time out”时,表示目标设备不可达。
b、在接口视图下执行命令display this,查看配置的IP地址是否正确。
c、如果不正确,则需要在接口视图下执行命令ip address ip-address { mask | mask-length } [ sub ],重新配置设备的IP地址。
d、重新打开Web网管,确保浏览器地址栏中输入的“https://ip-address”中的地址与设备上配置的一致。
2、检查Web包和设备软件版本是否匹配
一般情况下Web包是包含在软件包中发布,所以如果设备加载的是软件包,可以忽略此步骤。
维护版本会单独发布Web包,所以如果设备直接加载Web包,需要查看Web包和软件版本是否一致。
a、查看设备版本信息
display version Huawei Versatile Routing Platform Software VRP (R) software, Version 5.160 (AP5030DN FIT V200R006C10SPC800) ......
FIT AP不支持Web网管功能。
b、查看设备当前生效的Web包版本
display current-configuration | include http http server load AC6605V200R006C10SP200.001.web.zip
当Web包版本和设备当前的系统软件版本不同时,表明Web包和设备软件版本不匹配。请从http://support.huawei.com/enterprise上下载对应版本的web包。上传到设备上后,进入系统视图,执行命令http server load file-name,加载web包。
3、检查http/https server是否正常开启
display http server HTTP server status : Enabled (default: disable) HTTP server port : 80 (default: 80) HTTP timeout interval : 10 (default: 10 minutes) Current online users : 0 Maximum users allowed : 5 HTTPS server status : Enabled (default: enable) HTTPS server port : 443 (default: 443) HTTPS SSL Policy : default_policy
- 在通过HTTP方式登录设备时,设备会强制跳转到HTTPS的方式。因此,需要确保HTTPS server是正常开启的,否则设备无法跳转到HTTPS的方式,会导致登录失败。
- 如果HTTP server status为disable,设备无法通过HTTP方式登录设备,请在系统视图下执行命令http server enable开启HTTP服务,或者通过HTTPS的方式登录设备,即通过在浏览器地址栏输入“https://ip-address”的方式来登录设备。
- 如果HTTPS server status为disable,设备将无法通过Web网管方式登录,请在系统视图下执行命令http secure-server enable开启HTTPS服务。
- 如果地址栏中输入的IP address带的端口号与服务器端口号不一致时,在系统视图下执行命令http server port和http secure-server port可配置服务器端口号。
4、检查在线Web用户是否已经达到上限
FAT AP最多支持1个用户,AC最多支持5个用户同时登录Web,如果当前Web用户数已达上限,其他用户无法登录。
Web账号短时间内过度频繁操作会被识别为攻击,客户端IP地址将被加入黑名单,需退出本IP登录的所有Web账户,无任何操作2小时候后才会被移出黑名单,可通过更换客户端IP地址快速解决。
display http server HTTP server status : Enabled (default: disable) HTTP server port : 80 (default: 80) HTTP timeout interval : 10 (default: 10 minutes) Current online users : 0 Maximum users allowed : 5 HTTPS server status : Enabled (default: enable) HTTPS server port : 443 (default: 443) HTTPS SSL Policy : default_policy
当Current online users的值与Maximum users allowed的值相同时,当前Web用户数已达上限,其他用户无法登录。
5、检查当前使用的浏览器是否在对应支持范围内
Web系统支持多浏览器,不同版本支持的浏览器版本范围不一样,以V200R010版本为例,登录Web网管要求浏览器为IE 10.0、IE 11.0、Firefox 50.0~Firefox 54.0或Chrome 49.0~Chrome 58.0。如果浏览器版本过低,可能会出现Web页面显示异常。
- 使用IE浏览器时,安全级别不能设置为“高”,否则Web界面将无法显示。若使用Web代理方式访问Web系统,请在浏览器菜单栏中选择“工具 > Internet选项 > 高级”,勾选“通过代理连接使用HTTP 1.1”,选择“工具 > Internet选项 > 安全”,单击“自定义级别”,选中“对标记为可安全执行脚本的ActiveX控件执行脚本*”、“运行ActiveX控件和插件”和“活动脚本”的“启用”,否则Web界面将无法显示。以上选项位置以IE 10.0为例说明。
- 如果上传文件时IE浏览器提示“浏览器安全级别设置过高,请参照帮助设置后再试”的信息,需要对IE浏览器进行设置,具体设置步骤如下:
- 依次单击“工具 > Internet选项 > 安全 > 自定义级别”。
- 在列表中“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”选择“启用”或“提示”。如果用户选择了“启用”,用户可以直接上传文件。如果用户选择了“提示”,则IE会弹出是否启用此页面的ActiveX交互的提示信息,用户在选择“是”后,可以上传文件。
- 在列表中“将文件上载到服务器时包含本地目录路径”选择“启用”。
- 当设备的软件版本变化后(例如软件版本的升级或者回退操作),或者修改了HTTP/HTTPS的端口号后,建议清除浏览器缓存后再使用Web网管,否则可能页面显示异常。
-
- 使用IE浏览器时,请在浏览器菜单栏中选择“工具 > Internet选项 > 常规”,单击“删除”,勾选“临时 Internet 文件和网站文件”和“Cookie 和网站数据”,单击“删除”,清除浏览器缓存。以上选项位置以IE 10.0为例说明。
- 使用Firefox浏览器时,请在浏览器菜单栏中选择“选项 > 隐私”,单击“清空近期历史记录”,勾选“Cookie”和“缓存”,单击“立即清除”,清除浏览器缓存。以上选项位置以Firefox 50.0为例说明。
- 使用Chrome浏览器时,请在浏览器菜单栏中选择“历史记录”,单击“清除浏览数据”,勾选“Cookie及其他网站和插件数据”和“缓存的图片和文件”,单击“清除浏览数据”,清除浏览器缓存。以上选项位置以Chrome 50.0为例说明。
- 以IE浏览器为例,打开浏览器,单击“帮助”,选择“关于Internet Explorer”可以查看浏览器版本信息。
- 当浏览器版本不在Web系统支持范围内,请更换Web系统支持的浏览器登录。
-
6、检查账号状态是否符合要求
a、查看本地用户admin的属性信息。
display local-user username admin The contents of local user(s): Password : **************** State : active Service-type-mask : TSH Privilege level : 15 Ftp-directory : - Access-limit : - Accessed-num : 0 Idle-timeout : - User-group : - Original-password : Yes Password-set-time : 2016-04-11 09:36:11+08:00 Password-expired : No Password-expire-time : -
账号状态需为active,且支持的service type包含http协议。如果账号状态为block,可使用命令local-user user-name state active激活。
b、如果本地用户状态为Block,密码已过期,用户级别为0或者未配置用户级别的用户或本地用户的服务类型不包含http协议中时,表明登录账号不符合要求。
c、登录设备,在AAA视图下执行命令local-user配置本地登录账号的各项参数。
- 执行local-user user-name state active,激活账号。
- 执行local-user user-name privilege level level,配置用户级别。
- 执行local-user user-name service-type http,增加http协议支持。
- 执行local-user user-name password { cipher | irreversible-cipher } password,设置密码。
7、检查是否配置HTTP服务器的访问控制列表
a、在任意视图下执行命令display current-configuration | include http acl,查看是否有http acl acl-number的配置。
display current-configuration | include http acl http acl 2000
如果有,请记录该acl-number。
b、在任意视图下执行命令display acl acl-number,查看该访问控制列表中是否拒绝了Web用户客户端的IP地址。
如果是,则在ACL视图下执行命令undo rule rule-id,删除拒绝规则,再执行相应的命令修改访问控制列表,允许Web用户客户端的IP地址通过。
8、检查是否配置了认证计费功能
a、检查设备上是否配置了计费功能。
display accounting-scheme default Accounting-scheme-name : default Accounting-method : RADIUS ...
如果Accounting-method显示为RADIUS,表示配置了计费功能。
- 当计费服务器无法访问时,web无法登录。
- 当计费服务器存在,计费失败时,web登录后会立刻退出。
处理建议:删除计费功能的配置。
system-view [Huawei] aaa [Huawei-aaa] accounting-scheme default [Huawei-aaa-accounting-default] accounting-mode none
b、检查default认证模板下是否配置了Radius认证模式。
display authentication-scheme default Authentication-scheme-name : default Authentication-method : RADIUS
- 当网络中无Radius认证服务器时,如果在认证模板下配置了Radius认证模式,会导致使用正确的用户名和密码也无法登录设备的情况。
处理建议:将认证模板下的认证模式修改为本地认证。
system-view [Huawei] aaa [Huawei-aaa] authentication-scheme default [Huawei-aaa-authen-default] authentication-mode local
- 当网络中有Radius认证服务器时,如果Radius服务器未下发用户级别,会导致Web网管用户登录失败。
有如下两种处理建议:- Radius服务器下发管理用户级别(1-15),对应的属性为HW-Exec-Privilege。
- 在设备上修改配置,在service-scheme下配置管理员用户级别(1-15),然后在domain下绑定service-scheme。
system-view [AC] aaa [AC-aaa] service-scheme svcscheme1 [AC-aaa-service-svcscheme1] admin-user privilege level 15 //配置管理员用户级别 [AC-aaa-service-srvscheme1] quit [AC-aaa] domain huawei [AC-aaa-domain-huawei] service-scheme srvscheme1 //在domain下绑定service-scheme
9、检查是否由于多次输入密码错误导致账户锁定
在任意视图下执行命令display aaa online-fail-record username username,查看账户是否被锁定。
[AC] display aaa online-fail-record username admin ------------------------------------------------------------------------------ User name : admin Domain name : default_admin User MAC : - User access type : HTTP User IP address : 10.174.1.129 User IPV6 address : - User ID : 6 User login time : 2018/11/06 10:07:29 User online fail reason : Local Authentication user block Authen reply message : Authentication fail ------------------------------------------------------------------------------
密码多次输入错误导致账户锁定后,5分钟后再次尝试登录,否则锁定时间内即使输入正确的密码也会被拒绝登录。
10、检查是否配置了管理面隔离功能
- 对于具有管理网口的设备,如AC6605、ACU2和AC6805,需要检查是否开启了管理面隔离功能,如果开启了,则系统会禁止通过业务口访问设备管理面,也就是说用户通过非管理口登录设备时会登录失败。
a、检查配置是否开启了管理面隔离功能
缺省情况下,设备是开启了管理面隔离功能的,如果希望通过业务口登录设备,可以执行命令mgmt isolate disable关闭管理面隔离功能。
b、执行命令display mgmt interface查看当前设备的管理网卡,检查用户是否是通过非管理口登录设备
# 查看设备的管理网口。
display mgmt interface --------------------------------------------------------------------------------- Interface name --------------------------------------------------------------------------------- MEth0/0/1 --------------------------------------------------------------------------------- Count:1
- 对于没有管理网口的设备,如AC6005,需要检查是否在Vlanif接口下配置了management-interface功能,该功能会将Vlanif接口配置为管理口,一旦该接口被配置为管理口,其他接口将无法再管理设备。如果确认该配置是必要的,则需要通过该Vlanif接口管理设备;如果该配置非必要,则可以通过在Vlanif接口下执行命令undo management-interface删除该配置。
11、(V200R019C10及之后版本)检查是否配置了HTTP/HTTPS服务器源接口
V200R019C10及之后版本,对于AC设备,如果指定了源接口,那么用户就只能通过指定的接口登录设备。
缺省情况下,未指定源接口。出厂配置文件中,有管理网口的设备,源接口为管理网口;无管理网口的设备,源接口为VLANIF 1。
如果指定的接口不合理,可以通过执行命令http secure-server server-source -i { interface-type interface-number | all },重新配置HTTP/HTTPS服务器源接口,或者将某源接口设置为management-interface并且该源接口下必须配置IP地址(V200R021C00版本)
- 指定interface-type interface-number后,会断开通过非指定接口登录设备的连接。
- 指定all后,用户可通过任意接口登录设备,安全性较低,不建议配置。
12、故障信息采集
信息类别 |
命令视图 |
命令 |
---|---|---|
版本信息 |
诊断视图 |
vrbd |
补丁信息 |
所有视图 |
display patch-information |
http server信息 |
所有视图 |
display http server |
配置信息 |
所有视图 |
display current-configuration |
账号信息 |
所有视图 |
display local-user username user-name |
日志信息 |
诊断视图 |
display logfile buffer display diag-logfile buffer |
导出日志文件:使用FTP方式或通过Web网管将flash:/logfile目录下包含问题发生时间的所有日志文件(.dblg/.log/.dblg.zip/.log.zip)导出。
本文由 @孔明 发布于弱电智能网 。
题图来自Unsplash,基于CC0协议
内容观点仅代表作者本人,弱电智能网平台仅提供信息存储空间服务。
如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
文章名称:《华为无线AP,AC通过Web方式登录不了什么问题?》
文章链接:https://www.ruodian360.com/tech/networking/35120.html
添加微信ydian188免费入群,记得备注“弱电智能网”。