前言

Web网管利用设备内置的Web服务器，为用户提供图形化的操作界面。用户通过Web网管，可以在图形界面下非常直观地管理和维护设备。

用户需要从终端通过HTTPS登录到设备，才能利用Web网管对设备进行管理和维护。

01Web登录失败可能的原因及处理步骤

1.1 常见原因

• PC和路由器之间没有物理连线。
• IP地址输入错误。
• 浏览器问题。
• HTTPS服务未开启。
• 设备IP地址配置错误。
• 未配置Web用户账号或Web用户配置错误，例如用户类型错误。
• 端口号冲突。
• 设备上配置了允许访问Web的接口。
• 登录设备的Web账号个数已经达到上限。
• 设备上配置了对Web用户进行访问控制。

1.2 故障处理步骤

1. 检查设备与客户端之间是否能Ping通。
2. 进入Windows的命令行提示符，执行命令ping，查看PC端与设备地址之间是否可达。当系统显示“Request time out”时，表示目标设备不可达。
3. 此时需要检查物理端口是否存在阻塞现象，确认Ping业务经过的物理端口是否被阻塞。如果物理接口没有堵塞的话，则需要检查终端设备上是否配置了正确的网关地址，且设备与PC端是否处于同一网段，如果不处于同一网段的话则需要在接口视图下执行命令ip addressip-address { mask | mask-length }重新配置设备在目标网段的管理IP地址。
4. 检查登录地址是否正确。
5. 查看浏览器中输入的网址“https://IP address:port”中的IP address是否正确。如果不正确，请重新输入正确的IP地址登录。
6. 检查浏览器是否符合要求。
7. 请参见使用Web网管的注意事项配置浏览器，再重新登录Web网管
8. 可以在其他浏览器进行Web页面的登录，查看是否是IE浏览器限制了Web的登录。
9. 检查HTTPS服务是否开启。
10. 在系统视图下执行命令display this，查看是否有http secure-server enable的配置。如果没有，说明HTTPS服务未开启，用户需要在系统视图下执行命令http secure-server enable，开启HTTPS服务。
11. 检查IP地址是否配置正确。
12. 在接口视图下执行命令display this，查看配置的IP地址是否正确。如果不正确，则需要在接口视图下执行命令ip addressip-address { mask | mask-length }重新配置设备的管理IP地址。
13. 检查Web用户是否配置正确。
14. 在AAA视图下执行命令display this，查看是否正确配置了Web用户。

• 如果配置中存在local-user user-name password irreversible-cipher password，说明配置了一个用户名为user-name的aaa用户。
• 如果配置中存在local-user user-name privilege level level，说明用户user-name的级别为level。
• 如果配置中存在local-user user-name service-type http，说明用户user-name的接入方式为http。

1. 如果缺少任何一项配置，请在AAA视图下执行如下命令：

• 执行命令local-user user-name password irreversible-cipher password，配置Web用户名和密码。
• 执行命令local-user user-name privilege level level，配置Web用户级别。
• 执行命令local-user user-name service-type http，配置Web用户的接入类型为HTTP。

1. 修改端口号，以免冲突。
2. 很多时候，无法远程登录Web但是本地登录正常情况下，很有可能运营商侧设备过滤了http访问的80端口，导致登录Web页面失败。此时在系统视图下执行命令http server port port修改端口号，建议改成3000或以上较少用的端口号。
3. 检查设备上是否配置了允许访问Web的接口。
4. 在任意试图下执行命令display this查看Web用户配置，是否有配置http server permit interface port。如果有此配置，需要在系统视图下执行命令undo http server permit interface取消此配置，确保允许设备上所有物理接口登录Web网管。
5. 检查在线Web用户是否已经达到上限。
6. 在任意视图下执行命令display http server，查看HTTP服务器允许访问的最大用户数。在任意视图下执行命令display http user，查看当前在线的Web用户。如果当前在线的Web用户数已经达到HTTP服务器允许访问的最大用户数，则需要等待其他用户下线之后才可以登录。
7. 检查设备上是否配置了对Web用户进行访问控制。
8. 在系统视图下执行命令display this，查看是否有http aclacl-number的配置。如果有，请记录该acl-number。
9. 在任意视图下执行命令display aclacl-number，查看该访问控制列表中是否拒绝了Web用户客户端的IP地址。如果是，则在ACL视图下执行命令undo rulerule-id，删除拒绝规则，再执行相应的命令修改访问控制列表，允许Web用户客户端的IP地址通过。

如果通过以上步骤仍然无法解决故障，请收集错误提示信息，并联系技术支持人员进行处理。

02Web登录失败典型故障案例

2.1 Web登录时总是提示密码错误（用户类型错误导致）

问题描述

设置了用户名和密码后登录Web始终提示密码错误，用户直接将密码更改后也一样提示密码不对，确定不是密码错误导致的问题。

处理过程

【1】执行命令display this查看Web用户配置。

#
aaa  
local-user admin password cipher FN!42&5^N3,,OEA!!  
local-user admin service-type web telnet  
local-user admin level 3  
authentication-scheme default
#

发现用户类型只配置了web、telnet，没有配置http。Web用户类型配置错误导致。

【2】配置Web用户类型。

 system-view
[Huawei] aaa
[Huawei-aaa] local-user admin service-type http 

建议与总结

很多人会将service-type web理解为Web页面登录，实际上service-type web表示认证类型为Portal认证用户。Web登录的用户类型为http用户，所以更改为service-type http后正常。

2.2 无法远程登录Web，本地登录正常（运营商对端口做了过滤导致）

问题描述

本地可以正常登录Web页面，也可以远程通过公网SSH到此路由器上，但是无法远程登录Web页面，进行Web管理。

处理过程

【1】系统视图下执行命令http server port 修改端口号，问题解决。

 system-view
[Huawei] http server port 3000

本地可以正常登录Web页面表示Web的配置无问题，通过SSH可以远程访问设备，表示路由可达。由于跨越公网，可能是由于运营商侧设备过滤了http访问的80端口，导致登录Web页面失败。此时建议修改http访问的端口号，建议改成3000或以上较少用的端口号。

建议与总结

无法远程登录设备，而本地登录正常，一般可能的原因有两个：

• 配置了受限接口访问Web
• 运营商侧对端口做了限制

2.3 无法远程登录Web，本地登录正常（配置了受限接口访问）

问题描述

本地可以正常登录Web页面，也可以远程通过公网SSH到此路由器上，但是无法远程登录Web页面，进行Web管理。

处理过程

【1】执行命令display this查看Web用户配置。

# 
 http server port 80 
 http secure-server ssl-policy default_policy 
 http server enable 
 http secure-server enable 
 http server permit interface GigabitEthernet0/0/9
#

发现配置中只允许了GigabitEthernet0/0/9口登录Web网管，导致其他接口无法登录Web。

【2】删除该配置，允许设备上所有物理接口登录Web网管。远程登录Web成功。

 system-view
[Huawei] undo http server permit interface

建议与总结

无法远程登录设备，而本地登录正常，一般可能的原因有两个：

• 配置了受限接口访问Web
• 运营商侧对端口做了限制

2.4 修改IP地址后出现无法登录Web（浏览器认为是不受信任站点）

问题描述

设备配置Web功能后，使用192.168.1.1可以打开设备的Web管理页面。修改设备接口的IP地址为192.168.2.1，修改PC的IP地址为192.168.2.2后，PC不能打开Web页面，提示：网页打开错误。

处理过程

【1】在PC上ping 192.168.2.1，能ping通。PC地址和路由器接口地址在同一个网段，连通性无问题。

【2】在系统视图下执行命令display this，查看无http acl acl-number的相关配置，表示设备上没有配置对Web用户进行访问控制。

【3】将192.168.2.1地址加入到浏览器的“受信任站点”，再次测试可以打开设备的eb页面。

建议与总结

修改http端口号时需注意不要与已使用的端口号冲突即可，对设备的其他业务没有影响。

推荐↓↓↓