三层交换机 Web 无法登录完整排查(分 H3C V7 交换机通用流程)
一、先区分 2 种基础现象
电脑能 ping 通管理 IP,但打不开 Web;
ping 管理 IP 都不通(先解决三层互通,再处理 Web)
第一部分:ping 不通管理 IP(前置链路问题)
电脑与交换机管理 IP 不在同一网段,无回程路由
电脑配同网段静态 IP 测试;跨网段设备添加静态路由指向交换机管理 VLAN
交换机接口 shutdown、access/trunk 放行 VLAN 错误
plaintext
display ip interface brief
display port trunk allowed-vlan GigabitEthernet 0/X
全局 ACL 包过滤拦截 ICMP,无法 ping 通
plaintext
display packet-filter all
第二部分:能 ping 通 IP,但 HTTP/HTTPS 网页打不开(高频场景)
1. 交换机 Web 服务未开启(最常见)
plaintext
# 查看web状态
display ip http status
display ip https status
未启用则开启:
plaintext
system-view
ip http enable
ip https enable
save force
2. 接口未开放 Web 访问权限(V7 三层交换机接口放行控制)
plaintext
interface Vlan-interface X
allow access http
allow access https
allow access ping
只配置全局 web enable 不够,三层虚接口必须放行访问协议。
3. 登录账号权限不足
Web 登录账号必须配置service-type http https、管理权限:
plaintext
local-user admin class manage
service-type http https telnet ssh
authorization-attribute user-role network-admin
4. 浏览器兼容 / 证书拦截(HTTPS 打不开、HTTP 能打开)
新版 Chrome/Edge 拦截老旧自签证书
地址栏输入 thisisunsafe 跳过风险;改用 Firefox/IE11 兼容浏览器
无痕窗口登录,关闭广告拦截、VPN 插件
清除浏览器缓存、COOKIE
5. 安全策略 / ACL 拦截 TCP 80/443
交换机全局 ACL、包过滤阻断电脑访问 80、443 端口:
plaintext
acl number 3000
rule permit tcp source any destination any eq 80
rule permit tcp source any destination any eq 443
packet-filter 3000 inbound interface Vlan-interface X
6. Web 端口被修改,非默认 80/443
plaintext
display ip http server configuration
display ip https server configuration
如果自定义端口,访问格式:https://IP:端口号
恢复默认:
plaintext
ip http port 80
ip https port 443
7. Flash 文件损坏、Web 进程卡死
重启 Web 服务:
plaintext
undo ip http enable
ip http enable
undo ip https enable
ip https enable
整机重启交换机修复后台卡死
第三部分:极简排查顺序(一步步定位)
电脑静态 IP 同网段,ping 交换机管理 IP,判断三层通不通;
Console 登录,确认ip http/https enable全局开启;
进入管理 Vlanif,确认allow access http https;
检查本地用户是否开放 http/https 服务、管理员权限;
无痕浏览器访问,区分证书 / 插件问题;
查看 ACL 包过滤是否拦截 80、443;
重启 web 服务或整机测试。
补充:防火墙 / ACG 类设备额外坑
如果是安全设备(不是纯三层交换机),多一层域间安全策略:
需要配置源域→Local 域放行 http/https,仅接口 allow access 不够。
暂无评论
2.1 配置步骤
# 进入系统视图,并开启web服务。
<H3C> system-view
[H3C] ip http enable
或者[H3C] ip https enable
# 给交换机配置管理vlan1配置ip地址
[H3C] interface vlan-interface 1
[H3C-VLAN-interface1] ip address 192.168.0.58 255.255.255.0
[H3C-VLAN-interface1] quit
# 创建本地账号abc,密码为123456,权限级别为Level3。
[H3C] local-user abc
[H3C-luser-abc] password simple 123456
[H3C-luser-abc] service-type web
[H3C-luser-abc] authorization-attribute level 3
[H3C-luser-abc] quit
# 保存配置。
[H3C] save force
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论