关于路由器Web登录失败故障处理的那些事
关于路由器Web登录失败故障处理的那些事
前言
Web网管利用设备内置的Web服务器,为用户提供图形化的操作界面。用户通过Web网管,可以在图形界面下非常直观地管理和维护设备。
用户需要从终端通过HTTPS登录到设备,才能利用Web网管对设备进行管理和维护。
01Web登录失败可能的原因及处理步骤
1.1 常见原因
- PC和路由器之间没有物理连线。
- IP地址输入错误。
- 浏览器问题。
- HTTPS服务未开启。
- 设备IP地址配置错误。
- 未配置Web用户账号或Web用户配置错误,例如用户类型错误。
- 端口号冲突。
- 设备上配置了允许访问Web的接口。
- 登录设备的Web账号个数已经达到上限。
- 设备上配置了对Web用户进行访问控制。
1.2 故障处理步骤
- 检查设备与客户端之间是否能Ping通。
- 进入Windows的命令行提示符,执行命令ping,查看PC端与设备地址之间是否可达。当系统显示“Request time out”时,表示目标设备不可达。
- 此时需要检查物理端口是否存在阻塞现象,确认Ping业务经过的物理端口是否被阻塞。如果物理接口没有堵塞的话,则需要检查终端设备上是否配置了正确的网关地址,且设备与PC端是否处于同一网段,如果不处于同一网段的话则需要在接口视图下执行命令ip addressip-address { mask | mask-length }重新配置设备在目标网段的管理IP地址。
- 检查登录地址是否正确。
- 查看浏览器中输入的网址“https://IP address:port”中的IP address是否正确。如果不正确,请重新输入正确的IP地址登录。
- 检查浏览器是否符合要求。
- 请参见使用Web网管的注意事项配置浏览器,再重新登录Web网管
- 可以在其他浏览器进行Web页面的登录,查看是否是IE浏览器限制了Web的登录。
- 检查HTTPS服务是否开启。
- 在系统视图下执行命令display this,查看是否有http secure-server enable的配置。如果没有,说明HTTPS服务未开启,用户需要在系统视图下执行命令http secure-server enable,开启HTTPS服务。
- 检查IP地址是否配置正确。
- 在接口视图下执行命令display this,查看配置的IP地址是否正确。如果不正确,则需要在接口视图下执行命令ip addressip-address { mask | mask-length }重新配置设备的管理IP地址。
- 检查Web用户是否配置正确。
- 在AAA视图下执行命令display this,查看是否正确配置了Web用户。
- 如果配置中存在local-user user-name password irreversible-cipher password,说明配置了一个用户名为user-name的aaa用户。
- 如果配置中存在local-user user-name privilege level level,说明用户user-name的级别为level。
- 如果配置中存在local-user user-name service-type http,说明用户user-name的接入方式为http。
- 如果缺少任何一项配置,请在AAA视图下执行如下命令:
- 执行命令local-user user-name password irreversible-cipher password,配置Web用户名和密码。
- 执行命令local-user user-name privilege level level,配置Web用户级别。
- 执行命令local-user user-name service-type http,配置Web用户的接入类型为HTTP。
- 修改端口号,以免冲突。
- 很多时候,无法远程登录Web但是本地登录正常情况下,很有可能运营商侧设备过滤了http访问的80端口,导致登录Web页面失败。此时在系统视图下执行命令http server port port修改端口号,建议改成3000或以上较少用的端口号。
- 检查设备上是否配置了允许访问Web的接口。
- 在任意试图下执行命令display this查看Web用户配置,是否有配置http server permit interface port。如果有此配置,需要在系统视图下执行命令undo http server permit interface取消此配置,确保允许设备上所有物理接口登录Web网管。
- 检查在线Web用户是否已经达到上限。
- 在任意视图下执行命令display http server,查看HTTP服务器允许访问的最大用户数。在任意视图下执行命令display http user,查看当前在线的Web用户。如果当前在线的Web用户数已经达到HTTP服务器允许访问的最大用户数,则需要等待其他用户下线之后才可以登录。
- 检查设备上是否配置了对Web用户进行访问控制。
- 在系统视图下执行命令display this,查看是否有http aclacl-number的配置。如果有,请记录该acl-number。
- 在任意视图下执行命令display aclacl-number,查看该访问控制列表中是否拒绝了Web用户客户端的IP地址。如果是,则在ACL视图下执行命令undo rulerule-id,删除拒绝规则,再执行相应的命令修改访问控制列表,允许Web用户客户端的IP地址通过。
如果通过以上步骤仍然无法解决故障,请收集错误提示信息,并联系技术支持人员进行处理。
02Web登录失败典型故障案例
2.1 Web登录时总是提示密码错误(用户类型错误导致)
问题描述
设置了用户名和密码后登录Web始终提示密码错误,用户直接将密码更改后也一样提示密码不对,确定不是密码错误导致的问题。
处理过程
【1】执行命令display this查看Web用户配置。
# aaa local-user admin password cipher FN!42&5^N3,,OEA!! local-user admin service-type web telnet local-user admin level 3 authentication-scheme default #
发现用户类型只配置了web、telnet,没有配置http。Web用户类型配置错误导致。
【2】配置Web用户类型。
system-view [Huawei] aaa [Huawei-aaa] local-user admin service-type http
建议与总结
很多人会将service-type web理解为Web页面登录,实际上service-type web表示认证类型为Portal认证用户。Web登录的用户类型为http用户,所以更改为service-type http后正常。
2.2 无法远程登录Web,本地登录正常(运营商对端口做了过滤导致)
问题描述
本地可以正常登录Web页面,也可以远程通过公网SSH到此路由器上,但是无法远程登录Web页面,进行Web管理。
处理过程
【1】系统视图下执行命令http server port 修改端口号,问题解决。
system-view [Huawei] http server port 3000
本地可以正常登录Web页面表示Web的配置无问题,通过SSH可以远程访问设备,表示路由可达。由于跨越公网,可能是由于运营商侧设备过滤了http访问的80端口,导致登录Web页面失败。此时建议修改http访问的端口号,建议改成3000或以上较少用的端口号。
建议与总结
无法远程登录设备,而本地登录正常,一般可能的原因有两个:
- 配置了受限接口访问Web
- 运营商侧对端口做了限制
2.3 无法远程登录Web,本地登录正常(配置了受限接口访问)
问题描述
本地可以正常登录Web页面,也可以远程通过公网SSH到此路由器上,但是无法远程登录Web页面,进行Web管理。
处理过程
【1】执行命令display this查看Web用户配置。
# http server port 80 http secure-server ssl-policy default_policy http server enable http secure-server enable http server permit interface GigabitEthernet0/0/9 #
发现配置中只允许了GigabitEthernet0/0/9口登录Web网管,导致其他接口无法登录Web。
【2】删除该配置,允许设备上所有物理接口登录Web网管。远程登录Web成功。
system-view [Huawei] undo http server permit interface
建议与总结
无法远程登录设备,而本地登录正常,一般可能的原因有两个:
- 配置了受限接口访问Web
- 运营商侧对端口做了限制
2.4 修改IP地址后出现无法登录Web(浏览器认为是不受信任站点)
问题描述
设备配置Web功能后,使用192.168.1.1可以打开设备的Web管理页面。修改设备接口的IP地址为192.168.2.1,修改PC的IP地址为192.168.2.2后,PC不能打开Web页面,提示:网页打开错误。
处理过程
【1】在PC上ping 192.168.2.1,能ping通。PC地址和路由器接口地址在同一个网段,连通性无问题。
【2】在系统视图下执行命令display this,查看无http acl acl-number的相关配置,表示设备上没有配置对Web用户进行访问控制。
【3】将192.168.2.1地址加入到浏览器的“受信任站点”,再次测试可以打开设备的eb页面。
建议与总结
修改http端口号时需注意不要与已使用的端口号冲突即可,对设备的其他业务没有影响。
推荐↓↓↓