华为配置HTTPS服务器实验

知孤云出岫2024-03-20 8:40

配置HTTPS服务器示例

组网图形

图1 配置HTTPS服务器组网图

  • 组网需求
  • 配置思路
  • 配置注意事项
  • 操作步骤
  • 配置文件
组网需求

图1所示,用户通过Web方式访问网关设备AP。

为了防止传输的数据不被窃听和篡改,实现对设备的安全管理,网络管理员要求用户以HTTPS的方式安全访问设备。

配置思路

采用如下思路在AP上进行配置:

  1. 创建VLAN、VLANIF,并配置各接口,使企业用户能够访问设备。
  2. 配置服务器型SSL策略并配置缺省的PKI域作为该策略使用的PKI域,无需安装独立的CA服务器。
  3. 配置HTTPS服务器功能,保证用户与AP之间数据传输的私密性与完整性。
配置注意事项

纯组播报文由于协议要求在无线空口没有ACK机制保障,且无线空口链路不稳定,为了纯组播报文能够稳定发送,通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入,则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击,建议在直连AP的交换机接口上配置组播报文抑制功能。配置前请确认是否有组播业务,如果有,请谨慎配置限速值。

操作步骤

  1. 创建VLAN并配置各接口

    javascript 复制代码 
    # 在AP上创建VLAN 11。

<HUAWEI> system-view
[HUAWEI] vlan batch 11
# 配置AP连接用户的接口GE0/0/1加入VLAN11。

[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type access
[HUAWEI-GigabitEthernet0/0/1] port default vlan 11
[HUAWEI-GigabitEthernet0/0/1] quit
# 创建VLANIF11,并为VLANIF11配置IP地址10.1.1.1/24。

[HUAWEI] interface vlanif11
[HUAWEI-Vlanif11] ip address 10.1.1.1 24
[HUAWEI-Vlanif11] quit

  2. 配置服务器型SSL策略

    javascript 复制代码 
    # 配置SSL策略使用PKI缺省域default。

[HUAWEI] ssl policy userserver type server
[HUAWEI-ssl-policy-userserver] pki-realm default
# 配置保存会话的最大数目和最大时长。

[HUAWEI-ssl-policy-userserver] session cachesize 20 timeout 7200
[HUAWEI-ssl-policy-userserver] quit

  3. 配置HTTPS服务器

    javascript 复制代码 
    # 配置HTTPS服务器关联的SSL策略为userserver。

[HUAWEI] http secure-server ssl-policy userserver
# 配置HTTPS服务的端口号。

[HUAWEI] http secure-server port 1278
# 使能AP的HTTPS服务器功能。

[HUAWEI] http secure-server enable
  This operation will take several minutes, please wait...
Info:HTTPS server has been started
[HUAWEI] quit

  4. 检查配置结果

    javascript 复制代码 
    # 执行命令display ssl policy policy-name,查看SSL策略userserver的配置信息。

<HUAWEI> display ssl policy userserver
 ------------------------------------------------------------------------------
  Policy name                     :   userserver
  Policy ID                       :   0
  Policy type                     :   Server 
  Cache number                    :   20
  Time out(second)                :   7200
  Server certificate load status  :   loaded
  CA certificate chain load status:   loaded
  Bind number                     :   1
  SSL connection number           :   0
  -----------------------------------------------------------------------------
# 当用户在主机user上打开浏览器,输入网址"https://10.1.1.1:1278"后,主机user将以HTTPS的方式访问Web网管页面,用户后续可以利用Web网管页面安全访问和管理AP。
配置文件
javascript 复制代码 
AP的配置文件

#
 http server enable
 http secure-server port 1278
 http secure-server ssl-policy userserver
 #
vlan batch 11
#
pki realm default
 enrollment self-signed
#
ssl policy userserver type server
 pki-realm default
 session cachesize 20 timeout 7200
#
interface Vlanif11
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 11
# 
return
相关推荐
北方的流星8 小时前
华三路由器NAT配置
运维·网络·华三
数据法师9 小时前
开源情报收集工具GhostTrack深度测评:IP、手机号、用户名的合规信息查询方案
网络·网络协议·tcp/ip
丑八怪大丑10 小时前
Java网络编程
linux·服务器·网络
想成为优秀工程师的爸爸10 小时前
第三十篇技术笔记:郭大侠学UDS - 人有生老三千疾,望闻问切良方医
网络·笔记·网络协议·tcp/ip·信息与通信
数智工坊11 小时前
【SAM-DETR论文阅读】:基于语义对齐匹配的DETR极速收敛检测框架
网络·论文阅读·人工智能·深度学习·transformer
时空自由民.12 小时前
蓝牙协议之GAP协议
linux·服务器·网络
灰子学技术13 小时前
Envoy HTTP Connection Manager (HCM) 技术文档
网络·网络协议·http
byoass13 小时前
企业云盘与设计软件深度集成:AutoCAD/Revit/SolidWorks插件开发与API集成实战
服务器·网络·数据库·安全·oracle·云计算
智慧光迅AINOPOL13 小时前
全光网设备厂家选型参考:评估要点与技术标准说明
网络·全光网解决方案·全光网·酒店全光解决方案·泛住宿全光网解决方案
qq_三哥啊14 小时前
【mitmproxy】提取 OpenCode 的 API 接口
网络·代理模式
热门推荐
01要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法02GitHub 镜像站点03裂开!ChatGPT 居然开始要手机号验证,附详细解决方法04Codex 接入 DeepSeek API 完整配置文档05【AI】2026 年具身智能模型和世界模型总结06零基础教你claude code 接入 deepseek V407在Windows 11上安装Docker的踩坑记录08实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲09CC-Switch & Claude 基于 Linux 服务器安装使用指南102026年4月AI大事件深度解读:大模型竞争进入“深水区“