当前位置:首页>弱电技术>网络通信>华为无线AP,AC通过Web方式登录不了什么问题?

华为无线AP,AC通过Web方式登录不了什么问题?

现象描述

终端通过Web网管方式登录设备失败。

可能原因

  • PC和设备网络不通
  • WEB包和主机软件版本不匹配
  • http或https服务未开启
  • 浏览器版本不在支持范围内
  • 账号权限类型等不满足要求
  • 在线用户数达到上限
  • 配置了用户访问限制
  • 本地认证配置了计费
  • (V200R019C10及之后版本)配置了HTTP/HTTPS服务器源接口

操作步骤

华为无线AP,AC通过Web方式登录不了什么问题?

1、检查PC和设备之间是否可以ping通

通过在PC命令行界面执行ping命令,可以检查PC与设备网络是否互通。

设备在出厂时配置了IP地址169.254.1.1。

配置PC的IP必须在169.254.1.0/24网段(169.254.1.1除外,建议使用169.254.1.100)。

a、进入Windows的命令行提示符,执行命令ping,查看PC与设备地址之间是否可达。

C:\Users\Huawei> ping 169.254.1.1

Ping 169.254.1.1 with 32 bytes of data:
request timed out.
request timed out.
request timed out.

Ping statistics for 169.254.1.1:
Packets:sent = 4,Received = 0, Lost = 4(100% loss)

当系统显示“Request time out”时,表示目标设备不可达。

b、在接口视图下执行命令display this,查看配置的IP地址是否正确。

c、如果不正确,则需要在接口视图下执行命令ip address ip-address { mask | mask-length } [ sub ],重新配置设备的IP地址。

d、重新打开Web网管,确保浏览器地址栏中输入的“https://ip-address”中的地址与设备上配置的一致。

2、检查Web包和设备软件版本是否匹配

一般情况下Web包是包含在软件包中发布,所以如果设备加载的是软件包,可以忽略此步骤。

维护版本会单独发布Web包,所以如果设备直接加载Web包,需要查看Web包和软件版本是否一致。

a、查看设备版本信息

 display version
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.160 (AP5030DN FIT V200R006C10SPC800)
......

FIT AP不支持Web网管功能。

b、查看设备当前生效的Web包版本

 display current-configuration | include http
  http server load AC6605V200R006C10SP200.001.web.zip

当Web包版本和设备当前的系统软件版本不同时,表明Web包和设备软件版本不匹配。请从http://support.huawei.com/enterprise上下载对应版本的web包。上传到设备上后,进入系统视图,执行命令http server load file-name,加载web包。

3、检查http/https server是否正常开启

 display http server
  HTTP server status    : Enabled        (default: disable)
  HTTP server port      : 80             (default: 80)
  HTTP timeout interval : 10             (default: 10 minutes)
  Current online users  : 0
  Maximum users allowed : 5
  HTTPS server status   : Enabled        (default: enable)
  HTTPS server port     : 443            (default: 443)
  HTTPS SSL Policy      : default_policy
  • 在通过HTTP方式登录设备时,设备会强制跳转到HTTPS的方式。因此,需要确保HTTPS server是正常开启的,否则设备无法跳转到HTTPS的方式,会导致登录失败。
  • 如果HTTP server status为disable,设备无法通过HTTP方式登录设备,请在系统视图下执行命令http server enable开启HTTP服务,或者通过HTTPS的方式登录设备,即通过在浏览器地址栏输入“https://ip-address”的方式来登录设备。
  • 如果HTTPS server status为disable,设备将无法通过Web网管方式登录,请在系统视图下执行命令http secure-server enable开启HTTPS服务。
  • 如果地址栏中输入的IP address带的端口号与服务器端口号不一致时,在系统视图下执行命令http server port和http secure-server port可配置服务器端口号。

4、检查在线Web用户是否已经达到上限

FAT AP最多支持1个用户,AC最多支持5个用户同时登录Web,如果当前Web用户数已达上限,其他用户无法登录。

Web账号短时间内过度频繁操作会被识别为攻击,客户端IP地址将被加入黑名单,需退出本IP登录的所有Web账户,无任何操作2小时候后才会被移出黑名单,可通过更换客户端IP地址快速解决。

 display http server
  HTTP server status    : Enabled        (default: disable)
  HTTP server port      : 80             (default: 80)
  HTTP timeout interval : 10             (default: 10 minutes)
  Current online users  : 0
  Maximum users allowed : 5
  HTTPS server status   : Enabled        (default: enable)
  HTTPS server port     : 443            (default: 443)
  HTTPS SSL Policy      : default_policy

当Current online users的值与Maximum users allowed的值相同时,当前Web用户数已达上限,其他用户无法登录。

5、检查当前使用的浏览器是否在对应支持范围内

Web系统支持多浏览器,不同版本支持的浏览器版本范围不一样,以V200R010版本为例,登录Web网管要求浏览器为IE 10.0、IE 11.0、Firefox 50.0~Firefox 54.0或Chrome 49.0~Chrome 58.0。如果浏览器版本过低,可能会出现Web页面显示异常。

  • 使用IE浏览器时,安全级别不能设置为“高”,否则Web界面将无法显示。若使用Web代理方式访问Web系统,请在浏览器菜单栏中选择“工具 > Internet选项 > 高级”,勾选“通过代理连接使用HTTP 1.1”,选择“工具 > Internet选项 > 安全”,单击“自定义级别”,选中“对标记为可安全执行脚本的ActiveX控件执行脚本*”、“运行ActiveX控件和插件”和“活动脚本”的“启用”,否则Web界面将无法显示。以上选项位置以IE 10.0为例说明。
  • 如果上传文件时IE浏览器提示“浏览器安全级别设置过高,请参照帮助设置后再试”的信息,需要对IE浏览器进行设置,具体设置步骤如下:
    • 依次单击“工具 > Internet选项 > 安全 > 自定义级别”。
    • 在列表中“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”选择“启用”或“提示”。如果用户选择了“启用”,用户可以直接上传文件。如果用户选择了“提示”,则IE会弹出是否启用此页面的ActiveX交互的提示信息,用户在选择“是”后,可以上传文件。
    • 在列表中“将文件上载到服务器时包含本地目录路径”选择“启用”。
  • 当设备的软件版本变化后(例如软件版本的升级或者回退操作),或者修改了HTTP/HTTPS的端口号后,建议清除浏览器缓存后再使用Web网管,否则可能页面显示异常。
      • 使用IE浏览器时,请在浏览器菜单栏中选择“工具 > Internet选项 > 常规”,单击“删除”,勾选“临时 Internet 文件和网站文件”和“Cookie 和网站数据”,单击“删除”,清除浏览器缓存。以上选项位置以IE 10.0为例说明。
      • 使用Firefox浏览器时,请在浏览器菜单栏中选择“选项 > 隐私”,单击“清空近期历史记录”,勾选“Cookie”和“缓存”,单击“立即清除”,清除浏览器缓存。以上选项位置以Firefox 50.0为例说明。
      • 使用Chrome浏览器时,请在浏览器菜单栏中选择“历史记录”,单击“清除浏览数据”,勾选“Cookie及其他网站和插件数据”和“缓存的图片和文件”,单击“清除浏览数据”,清除浏览器缓存。以上选项位置以Chrome 50.0为例说明。
    • 以IE浏览器为例,打开浏览器,单击“帮助”,选择“关于Internet Explorer”可以查看浏览器版本信息。
    • 当浏览器版本不在Web系统支持范围内,请更换Web系统支持的浏览器登录。

6、检查账号状态是否符合要求

a、查看本地用户admin的属性信息。

 display local-user username admin 
  The contents of local user(s): 
  Password             : **************** 
  State                : active 
  Service-type-mask    : TSH 
  Privilege level      : 15 
  Ftp-directory        : - 
  Access-limit         : - 
  Accessed-num         : 0 
  Idle-timeout         : - 
  User-group           : - 
  Original-password    : Yes 
  Password-set-time    : 2016-04-11 09:36:11+08:00 
  Password-expired     : No 
  Password-expire-time : -

账号状态需为active,且支持的service type包含http协议。如果账号状态为block,可使用命令local-user user-name state active激活。

b、如果本地用户状态为Block,密码已过期,用户级别为0或者未配置用户级别的用户或本地用户的服务类型不包含http协议中时,表明登录账号不符合要求。

c、登录设备,在AAA视图下执行命令local-user配置本地登录账号的各项参数。

  • 执行local-user user-name state active,激活账号。
  • 执行local-user user-name privilege level level,配置用户级别。
  • 执行local-user user-name service-type http,增加http协议支持。
  • 执行local-user user-name password { cipher | irreversible-cipher } password,设置密码。

7、检查是否配置HTTP服务器的访问控制列表

a、在任意视图下执行命令display current-configuration | include http acl,查看是否有http acl acl-number的配置。

 display current-configuration | include http acl
 http acl 2000

如果有,请记录该acl-number。

b、在任意视图下执行命令display acl acl-number,查看该访问控制列表中是否拒绝了Web用户客户端的IP地址。
如果是,则在ACL视图下执行命令undo rule rule-id,删除拒绝规则,再执行相应的命令修改访问控制列表,允许Web用户客户端的IP地址通过。

8、检查是否配置了认证计费功能

a、检查设备上是否配置了计费功能。

 display accounting-scheme default 
  Accounting-scheme-name                : default
  Accounting-method                     : RADIUS
  ...

如果Accounting-method显示为RADIUS,表示配置了计费功能。

  • 当计费服务器无法访问时,web无法登录。
  • 当计费服务器存在,计费失败时,web登录后会立刻退出。

处理建议:删除计费功能的配置。

 system-view
[Huawei] aaa
[Huawei-aaa] accounting-scheme default
[Huawei-aaa-accounting-default] accounting-mode none

b、检查default认证模板下是否配置了Radius认证模式。

 display authentication-scheme default 
  Authentication-scheme-name          : default
  Authentication-method               : RADIUS
  • 当网络中无Radius认证服务器时,如果在认证模板下配置了Radius认证模式,会导致使用正确的用户名和密码也无法登录设备的情况。
    处理建议:将认证模板下的认证模式修改为本地认证。
 system-view
[Huawei] aaa
[Huawei-aaa] authentication-scheme default
[Huawei-aaa-authen-default] authentication-mode local
  • 当网络中有Radius认证服务器时,如果Radius服务器未下发用户级别,会导致Web网管用户登录失败。
    有如下两种处理建议:
    • Radius服务器下发管理用户级别(1-15),对应的属性为HW-Exec-Privilege。
    • 在设备上修改配置,在service-scheme下配置管理员用户级别(1-15),然后在domain下绑定service-scheme。
 system-view
[AC] aaa
[AC-aaa] service-scheme svcscheme1
[AC-aaa-service-svcscheme1] admin-user privilege level 15  //配置管理员用户级别
[AC-aaa-service-srvscheme1] quit
[AC-aaa] domain huawei
[AC-aaa-domain-huawei] service-scheme srvscheme1  //在domain下绑定service-scheme

9、检查是否由于多次输入密码错误导致账户锁定

在任意视图下执行命令display aaa online-fail-record username username,查看账户是否被锁定。

[AC] display aaa online-fail-record username admin
  ------------------------------------------------------------------------------
  User name               : admin
  Domain name             : default_admin
  User MAC                : -
  User access type        : HTTP
  User IP address         : 10.174.1.129
  User IPV6 address       : -
  User ID                 : 6
  User login time         : 2018/11/06 10:07:29
  User online fail reason : Local Authentication user block
  Authen reply message    : Authentication fail
  ------------------------------------------------------------------------------

密码多次输入错误导致账户锁定后,5分钟后再次尝试登录,否则锁定时间内即使输入正确的密码也会被拒绝登录。

10、检查是否配置了管理面隔离功能

  • 对于具有管理网口的设备,如AC6605、ACU2和AC6805,需要检查是否开启了管理面隔离功能,如果开启了,则系统会禁止通过业务口访问设备管理面,也就是说用户通过非管理口登录设备时会登录失败。

a、检查配置是否开启了管理面隔离功能

缺省情况下,设备是开启了管理面隔离功能的,如果希望通过业务口登录设备,可以执行命令mgmt isolate disable关闭管理面隔离功能。

b、执行命令display mgmt interface查看当前设备的管理网卡,检查用户是否是通过非管理口登录设备

# 查看设备的管理网口。

 display mgmt interface 
--------------------------------------------------------------------------------- 
Interface name 
--------------------------------------------------------------------------------- 
MEth0/0/1 
--------------------------------------------------------------------------------- 
Count:1
  • 对于没有管理网口的设备,如AC6005,需要检查是否在Vlanif接口下配置了management-interface功能,该功能会将Vlanif接口配置为管理口,一旦该接口被配置为管理口,其他接口将无法再管理设备。如果确认该配置是必要的,则需要通过该Vlanif接口管理设备;如果该配置非必要,则可以通过在Vlanif接口下执行命令undo management-interface删除该配置。

11、(V200R019C10及之后版本)检查是否配置了HTTP/HTTPS服务器源接口

V200R019C10及之后版本,对于AC设备,如果指定了源接口,那么用户就只能通过指定的接口登录设备。

缺省情况下,未指定源接口。出厂配置文件中,有管理网口的设备,源接口为管理网口;无管理网口的设备,源接口为VLANIF 1。

如果指定的接口不合理,可以通过执行命令http secure-server server-source -i { interface-type interface-number | all },重新配置HTTP/HTTPS服务器源接口,或者将某源接口设置为management-interface并且该源接口下必须配置IP地址(V200R021C00版本)

  • 指定interface-type interface-number后,会断开通过非指定接口登录设备的连接。
  • 指定all后,用户可通过任意接口登录设备,安全性较低,不建议配置。

12、故障信息采集

信息类别

命令视图

命令

版本信息

诊断视图

vrbd

补丁信息

所有视图

display patch-information

http server信息

所有视图

display http server

配置信息

所有视图

display current-configuration

账号信息

所有视图

display local-user username user-name

日志信息

诊断视图

display logfile buffer

display diag-logfile buffer

导出日志文件:使用FTP方式或通过Web网管将flash:/logfile目录下包含问题发生时间的所有日志文件(.dblg/.log/.dblg.zip/.log.zip)导出。

本文由 @孔明 发布于弱电智能网 。

题图来自Unsplash,基于CC0协议

内容观点仅代表作者本人,弱电智能网平台仅提供信息存储空间服务。

如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

添加微信ydian188免费入群,记得备注“弱电智能网”。

给TA打赏
共{{data.count}}人
人已打赏
网络通信

网络规划方案怎么写?

2022-10-24 18:20:00

网络通信

收藏学习这123 张图,网络系统的常见名词你就都明白了

2022-11-2 3:06:49

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
搜索