华为配置HTTPS服务器实验

配置HTTPS服务器示例

组网图形

图1 配置HTTPS服务器组网图

  • 组网需求
  • 配置思路
  • 配置注意事项
  • 操作步骤
  • 配置文件
组网需求

图1所示,用户通过Web方式访问网关设备AP。

为了防止传输的数据不被窃听和篡改,实现对设备的安全管理,网络管理员要求用户以HTTPS的方式安全访问设备。

配置思路

采用如下思路在AP上进行配置:

  1. 创建VLAN、VLANIF,并配置各接口,使企业用户能够访问设备。
  2. 配置服务器型SSL策略并配置缺省的PKI域作为该策略使用的PKI域,无需安装独立的CA服务器。
  3. 配置HTTPS服务器功能,保证用户与AP之间数据传输的私密性与完整性。
配置注意事项

纯组播报文由于协议要求在无线空口没有ACK机制保障,且无线空口链路不稳定,为了纯组播报文能够稳定发送,通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入,则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击,建议在直连AP的交换机接口上配置组播报文抑制功能。配置前请确认是否有组播业务,如果有,请谨慎配置限速值。

操作步骤
  1. 创建VLAN并配置各接口

    javascript 复制代码
    # 在AP上创建VLAN 11。
    
    <HUAWEI> system-view
    [HUAWEI] vlan batch 11
    # 配置AP连接用户的接口GE0/0/1加入VLAN11。
    
    [HUAWEI] interface gigabitethernet 0/0/1
    [HUAWEI-GigabitEthernet0/0/1] port link-type access
    [HUAWEI-GigabitEthernet0/0/1] port default vlan 11
    [HUAWEI-GigabitEthernet0/0/1] quit
    # 创建VLANIF11,并为VLANIF11配置IP地址10.1.1.1/24。
    
    [HUAWEI] interface vlanif11
    [HUAWEI-Vlanif11] ip address 10.1.1.1 24
    [HUAWEI-Vlanif11] quit
  2. 配置服务器型SSL策略

    javascript 复制代码
    # 配置SSL策略使用PKI缺省域default。
    
    [HUAWEI] ssl policy userserver type server
    [HUAWEI-ssl-policy-userserver] pki-realm default
    # 配置保存会话的最大数目和最大时长。
    
    [HUAWEI-ssl-policy-userserver] session cachesize 20 timeout 7200
    [HUAWEI-ssl-policy-userserver] quit
  3. 配置HTTPS服务器

    javascript 复制代码
    # 配置HTTPS服务器关联的SSL策略为userserver。
    
    [HUAWEI] http secure-server ssl-policy userserver
    # 配置HTTPS服务的端口号。
    
    [HUAWEI] http secure-server port 1278
    # 使能AP的HTTPS服务器功能。
    
    [HUAWEI] http secure-server enable
      This operation will take several minutes, please wait...
    Info:HTTPS server has been started
    [HUAWEI] quit
  4. 检查配置结果

    javascript 复制代码
    # 执行命令display ssl policy policy-name,查看SSL策略userserver的配置信息。
    
    <HUAWEI> display ssl policy userserver
     ------------------------------------------------------------------------------
      Policy name                     :   userserver
      Policy ID                       :   0
      Policy type                     :   Server 
      Cache number                    :   20
      Time out(second)                :   7200
      Server certificate load status  :   loaded
      CA certificate chain load status:   loaded
      Bind number                     :   1
      SSL connection number           :   0
      -----------------------------------------------------------------------------
    # 当用户在主机user上打开浏览器,输入网址"https://10.1.1.1:1278"后,主机user将以HTTPS的方式访问Web网管页面,用户后续可以利用Web网管页面安全访问和管理AP。
配置文件
javascript 复制代码
AP的配置文件

#
 http server enable
 http secure-server port 1278
 http secure-server ssl-policy userserver
 #
vlan batch 11
#
pki realm default
 enrollment self-signed
#
ssl policy userserver type server
 pki-realm default
 session cachesize 20 timeout 7200
#
interface Vlanif11
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 11
# 
return
相关推荐
sone1213816 分钟前
计算机网络(第8版)第四章 网络层(4.7.1~4.7.3)
服务器·网络·计算机网络
0zxm1 小时前
06 - Django 视图view
网络·后端·python·django
轩辰~2 小时前
网络协议入门
linux·服务器·开发语言·网络·arm开发·c++·网络协议
燕雀安知鸿鹄之志哉.2 小时前
攻防世界 web ics-06
网络·经验分享·安全·web安全·网络安全
ProcessOn官方账号3 小时前
如何绘制网络拓扑图?附详细分类解说和用户案例!
网络·职场和发展·流程图·拓扑学
Ven%4 小时前
如何在防火墙上指定ip访问服务器上任何端口呢
linux·服务器·网络·深度学习·tcp/ip
神的孩子都在歌唱4 小时前
TCP/IP 模型中,网络层对 IP 地址的分配与路由选择
网络·tcp/ip·智能路由器
阿雄不会写代码4 小时前
ubuntu安装nginx
linux·服务器·网络
starstarzz4 小时前
计算机网络实验四:Cisco交换机配置VLAN
网络·计算机网络·智能路由器·vlan·虚拟局域网
网安墨雨6 小时前
常用网络协议
网络·网络协议