3.5  通過Web網管登錄設備典型配置舉例

3.5.1  使用HTTP方式登錄設備典型配置舉例

1. 組網需求

PC與設備通過以太網相連，設備的IP地址為192.168.0.58/24。

2. 組網圖

圖3-1 配置HTTP方式登錄組網圖

3. 配置步驟

(1)     配置Device

# 創建VLAN 999，用作遠程登錄，並將Device上與PC相連的接口GigabitEthernet 1/0/1加入VLAN 999。

<Sysname> system-view

[Sysname] vlan 999

[Sysname-vlan999] port GigabitEthernet 1/0/1

[Sysname-vlan999] quit

# 配置VLAN 999接口的IP地址為192.168.0.58，子網掩碼為255.255.255.0。

[Sysname] interface vlan-interface 999

[Sysname-VLAN-interface999] ip address 192.168.0.58 255.255.255.0

[Sysname-VLAN-interface999] quit

# 配置Web網管用戶名為admin，認證密碼為admin，用戶級別為3級。

[Sysname] local-user admin

[Sysname-luser-admin] service-type web

[Sysname-luser-admin] authorization-attribute level 3

[Sysname-luser-admin] password simple admin

(2)     配置PC

# 在PC的瀏覽器地址欄內輸入設備的IP地址並回車，瀏覽器將顯示Web網管的登錄頁麵，如圖3-2所示：

圖3-2 通過Web登錄設備

# 在“Web網管用戶登錄”對話框中輸入用戶名、密碼及驗證碼，並選擇登錄使用的語言，點擊<登錄>按鈕後即可登錄，顯示Web網管初始頁麵。成功登錄後，您可以在配置區對設備進行各種配置。

3.5.2  使用HTTPS方式登錄設備典型配置舉例

1. 組網需求

用戶可以通過Web頁麵訪問和控製設備。為了防止非法用戶訪問和控製設備，提高設備管理的安全性，設備要求用戶以HTTPS的方式登錄Web頁麵，利用SSL協議實現用戶身份驗證，並保證傳輸的數據不被竊聽和篡改。

為了滿足上述需求，需要進行如下配置：

·     配置Device作為HTTPS服務器，並為Device申請證書。

·     為HTTPS客戶端Host申請證書，以便Device驗證其身份。

其中，負責為Device和Host頒發證書的CA（Certificate Authority，認證頒發機構）名稱為new-ca。

2. 組網圖

圖3-3 HTTPS配置組網圖

3. 配置步驟

(1)     配置HTTPS服務器Device

# 配置PKI實體en，指定實體的通用名為http-server1、FQDN為ssl.security.com。

<Device> system-view

[Device] pki entity en

[Device-pki-entity-en] common-name http-server1

[Device-pki-entity-en] fqdn ssl.security.com

[Device-pki-entity-en] quit

# 配置PKI域1，指定信任的CA名稱為new-ca、注冊服務器的URL為http://10.1.2.2/certsrv/mscep/mscep.dll、證書申請的注冊受理機構為RA、實體名稱為en。

[Device] pki domain 1

[Device-pki-domain-1] ca identifier new-ca

[Device-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll

[Device-pki-domain-1] certificate request from ra

[Device-pki-domain-1] certificate request entity en

[Device-pki-domain-1] quit

# 生成本地的RSA密鑰對。

[Device] public-key loc   al create rsa

# 獲取CA的證書。

[Device] pki retrieval-certificate ca domain 1

# 為Device申請證書。

[Device] pki request-certificate domain 1

# 創建SSL服務器端策略myssl，指定該策略使用PKI域1，並配置服務器端需要驗證客戶端身份。

[Device] ssl server-policy myssl

[Device-ssl-server-policy-myssl] pki-domain 1

[Device-ssl-server-policy-myssl] client-verify enable

[Device-ssl-server-policy-myssl] quit

# 創建證書屬性組mygroup1，並配置證書屬性規則，該規則規定證書頒發者的DN（Distinguished Name，識別名）中包含new-ca。

[Device] pki certificate attribute-group mygroup1

[Device-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca

[Device-pki-cert-attribute-group-mygroup1] quit

# 創建證書訪問控製策略myacp，並建立控製規則，該規則規定隻有由new-ca頒發的證書可以通過證書訪問控製策略的檢測。

[Device] pki certificate access-control-policy myacp

[Device-pki-cert-acp-myacp] rule 1 permit mygroup1

[Device-pki-cert-acp-myacp] quit

# 配置HTTPS服務與SSL服務器端策略myssl關聯。

[Device] ip https ssl-server-policy myssl

# 配置HTTPS服務與證書屬性訪問控製策略myacp關聯，確保隻有從new-ca獲取證書的HTTPS客戶端可以訪問HTTPS服務器。

[Device] ip https certificate access-control-policy myacp

# 使能HTTPS服務。

[Device] ip https enable

# 創建本地用戶usera，密碼為123，服務類型為web，級別為3（最高級別，具有該級別的用戶登錄後能夠執行設備支持的所有操作）。

[Device] local-user usera

[Device-luser-usera] password simple 123

[Device-luser-usera] service-type web

[Device-luser-usera] authorization-attribute level 3

(2)     配置HTTPS客戶端Host

在Host上打開IE瀏覽器，輸入網址http://10.1.2.2/certsrv，根據提示為Host申請證書。

(3)     驗證配置結果

在Host上打開IE瀏覽器，輸入網址https://10.1.1.1，選擇new-ca為Host頒發的證書，即可打開Device的Web登錄頁麵。在登錄頁麵，輸入用戶名usera，密碼123，則可進入Device的Web配置頁麵，實現對Device的訪問和控製。

4 配置通過NMS登錄設備

4.1  通過NMS登錄設備簡介

用戶可通過NMS（Network Management Station，網絡管理係統）登錄到設備上，通過設備上的Agent模塊對設備進行管理、配置。設備支持多種NMS軟件。

缺省情況下，用戶不能通過NMS登錄到設備上，如果要使用NMS登錄設備，您首先需要通過Console口登錄到設備上，在設備上進行相關配置。配置完成後，您即可使用NMS網管的方式登錄設備。

表4-1 通過NMS登錄設備需要具備的條件