控制器的管理

使用控制器界面

您可以在以下两种方法中使用控制器接口：

使用控制器 GUI

每个控制器中都内置了一个基于浏览器的 GUI。
它最多允许五个用户同时浏览控制器 HTTP 或 HTTPS (HTTP + SSL) 管理页面，以配置参数并监控控制器及其相关接入点的运行状态。
有关控制器 GUI 的详细说明，请参阅联机帮助。 要访问联机帮助，请单击控制器 GUI 上的帮助。

笔记
我们建议您启用 HTTPS 接口并禁用 HTTP 接口以确保更强大的安全性。

以下支持控制器 GUI web 浏览器：

• Microsoft Internet Explorer 11 或更高版本 (Windows)
• Mozilla Firefox，版本 32 或更高版本（Windows、Mac）
• Apple Safari，版本 7 或更高版本 (Mac)

笔记
我们建议您在加载了以下内容的浏览器上使用控制器 GUI web管理员证书（第三方证书）。 我们还建议您不要在加载了自签名证书的浏览器上使用控制器 GUI。 在使用自签名证书的 Google Chrome（73.0.3675.0 或更高版本）上观察到一些呈现问题。 有关详细信息，请参阅 CSCvp80151。

使用控制器 GUI 的准则和限制
使用控制器 GUI 时请遵循以下准则：

• 到 view 8.1.102.0 版中引入的 Main Dashboard，您必须在 web 瀏覽器。

笔记
确保屏幕分辨率设置为 1280×800 或更高。 不支持较低的分辨率。

• 您可以使用服务端口接口或管理接口来访问 GUI。
• 使用服务端口接口时，您可以同时使用 HTTP 和 HTTPS。 默认启用 HTTPS，也可以启用 HTTP。
• 单击 GUI 中任何页面顶部的帮助以访问联机帮助。 您可能必须禁用浏览器的弹出窗口阻止程序才能 view 在线帮助。

登录到 GUI

笔记
当控制器设置为使用本地身份验证时，请勿配置 TACACS+ 身份验证。

程序
步骤 1
在浏览器的地址栏中输入控制器 IP 地址。 对于安全连接，请输入 https://ip-address. 对于安全性较低的连接，请输入 https://ip-address.

步骤 2
出现提示时，输入有效的用户名和密码，然后单击“确定”。
这 概括 页面显示。
笔记 您在配置向导中创建的管理用户名和密码区分大小写。
注销 GUI
程序

步骤 1
点击 登出 在页面的右上角。

步骤 2
单击关闭以完成注销过程并防止未经授权的用户访问控制器 GUI。

步骤 3
当系统提示您确认您的决定时，单击是。

使用控制器 CLI
思科无线解决方案命令行界面 (CLI) 内置于每个控制器中。 CLI 使您能够使用 VT-100 终端仿真程序在本地或远程配置、监视和控制各个控制器及其关联的轻量级接入点。 CLI 是一个简单的基于文本的树结构界面，最多允许五个用户使用支持 Telnet 的终端仿真程序访问控制器。

笔记
我们建议您不要同时运行两个 CLI 操作，因为这可能会导致 CLI 的行为不正确或输出不正确。

笔记
有关特定命令的更多信息，请参阅相关版本的思科无线控制器命令参考，网址为： https://www.cisco.com/c/en/us/support/wireless/wireless-lan-controller-software/products-command-reference-list.html

登录控制器 CLI
您可以使用以下任一方法访问控制器 CLI：

• 与控制器控制台端口的直接串行连接
• 通过预配置的服务端口或分发系统端口使用 Telnet 或 SSH 通过网络进行远程会话

有关控制器上的端口和控制台连接选项的更多信息，请参阅相关控制器型号的安装指南。

使用本地串行连接
开始之前
您需要这些项目才能连接到串行端口：

• 运行终端仿真程序（例如 Putty、SecureCRT 或类似程序）的计算机
• 带有 RJ45 连接器的标准 Cisco 控制台串行电缆

通过串口登录控制器CLI，请按照以下步骤操作：
程序

步骤 1
连接控制台电缆； 将带有 RJ45 连接器的标准 Cisco 控制台串行电缆的一端连接到控制器的控制台端口，将另一端连接到 PC 的串行端口。

步骤 2
使用默认设置配置终端仿真器程序：

• 9600 波特
• 8 个数据位
• 1 个停止位
• 无奇偶校验
• 没有硬件流控制

笔记
控制器串行端口设置为 9600 波特率和短超时。 如果您想更改这些值中的任何一个，请运行配置串行波特率值和配置串行超时值以进行更改。 如果将串行超时值设置为 0，串行会话永远不会超时。 如果您将控制台速度更改为 9600 以外的值，则控制器在引导期间使用的控制台速度将为 9600，并且只会在引导过程完成后更改。 因此，我们建议您不要更改控制台速度，除非是根据需要采取的临时措施。

步骤 3
登录到 CLI – 出现提示时，输入有效的用户名和密码以登录到控制器。 您在配置向导中创建的管理用户名和密码区分大小写。 注意 默认用户名是admin，默认密码是admin。 CLI 显示根级系统提示：
（思科控制器）>

笔记
系统提示可以是最多 31 个字符的任何字母数字字符串。 您可以通过输入配置提示命令来更改它。

使用远程 Telnet 或 SSH 连接

开始之前
您需要这些项目才能远程连接到控制器：

• 与管理 IP 地址、服务端口地址或在相关控制器的动态接口上启用管理的网络连接的 PC
• 控制器的IP地址
• 用于 Telnet 会话的 VT-100 终端仿真程序或 DOS shell

笔记
默认情况下，控制器会阻止 Telnet 会话。 您必须使用到串行端口的本地连接才能启用 Telnet 会话。

笔记
控制器不支持 aes-cbc 密码。 用于登录控制器的 SSH 客户端应至少具有非 aes-cbc 密码。

程序
步骤 1
确认您的 VT-100 终端仿真程序或 DOS shell 接口配置了以下参数：

• 以太网地址
• 端口 23

步骤 2
使用控制器 IP 地址 Telnet 到 CLI。

步骤 3
出现提示时，输入有效的用户名和密码以登录控制器。

笔记
您在配置向导中创建的管理用户名和密码区分大小写。 注意 默认用户名是admin，默认密码是admin。
CLI 显示根级系统提示符。

笔记
系统提示可以是最多 31 个字符的任何字母数字字符串。 您可以通过输入配置提示命令来更改它。

注销 CLI
使用完 CLI 后，导航到根级别并输入注销命令。 系统会提示您保存对易失性 RAM 所做的任何更改。

笔记
在 5 分钟不活动后，CLI 会自动将您注销而不保存任何更改。 您可以使用 config serial timeout 命令将自动注销设置为 0（从不注销）到 160 分钟。 为防止 SSH 或 Telnet 会话超时，请运行 config sessions timeout 0 命令。

浏览 CLI

• 当您登录到 CLI 时，您处于根级别。 从根级别，您可以输入任何完整命令，而无需先导航到正确的命令级别。
• 如果您不带参数输入顶级关键字（例如 config、debug 等），您将进入相应关键字的子模式。
• Ctrl + Z 或输入 exit 将 CLI 提示返回到默认或根级别。
• 导航到 CLI 时，输入 ? 查看当前级别的任何给定命令可用的其他选项。
• 如果没有歧义，您还可以输入空格或制表键来完成当前关键字。
• 在根级别输入帮助以查看可用的命令行编辑选项。

下表列出了用于导航 CLI 和执行常见任务的命令。

表 1：CLI 导航和常见任务的命令

命令	行动
帮助	在根级别， view 系统范围的导航命令
?	View 当前级别可用的命令
命令 ？	View 特定命令的参数
出口	下移一层
Ctrl + Z	从任意层级返回到根层级
保存配置	在根级别，将配置更改从活动工作 RAM 保存到非易失性 RAM (NVRAM)，以便它们在重启后保留
重置系统	在根级别，在不注销的情况下重置控制器
登出	将您从 CLI 中注销

启用 Web 和安全 Web 模式

本节提供了启用分发系统端口作为 web 端口（使用 HTTP）或作为安全 web 端口（使用 HTTPS）。 您可以通过启用 HTTPS 来保护与 GUI 的通信。 HTTPS 使用安全套接字层 (SSL) 协议保护 HTTP 浏览器会话。 启用 HTTPS 时，控制器会生成自己的本地 web 管理 SSL 证书并自动将其应用于 GUI。 您还可以选择下载外部生成的证书。

您可以配置 web 并确保 web 使用控制器 GUI 或 CLI 模式。

笔记
由于 RFC-6797 中对 HTTP 严格传输安全 (HSTS) 的限制，当使用管理 IP 地址访问控制器的 GUI 时，HSTS 不被认可并且无法在浏览器中从 HTTP 重定向到 HTTPS 协议。 如果先前使用 HTTPS 协议访问控制器的 GUI，则重定向失败。 有关详细信息，请参阅 RFC-6797 文档。

本节包含以下小节：

启用 Web 和安全 Web 模式（图形用户界面）

程序

步骤 1
选择 管理 > HTTP-HTTPS。
这 HTTP-HTTPS 配置 页面显示。

步骤 2
启用 web 模式，允许用户使用“http://ip-address，“ 选择 已启用 从 HTTP 访问 下拉列表。 否则，选择禁用。 默认值为 已禁用。 Web 模式不是安全连接。

步骤 3
启用安全 web 模式，允许用户使用“https://ip-address，“ 选择 已启用 从 HTTPS 访问 下拉列表。 否则，选择 已禁用。 默认值为已启用。 安全的 web 模式是安全连接。

步骤 4
在 Web 会议 暂停 字段，输入时间量，以分钟为单位，在 web 会话因不活动而超时。 您可以输入 10 到 160 分钟（含）之间的值。 默认值为 30 分钟。

步骤 5
点击 申请。

步骤 6
如果您启用了安全 web 模式在步骤 3 中，控制器生成一个本地 web 管理 SSL 证书并自动将其应用于 GUI。 当前证书的详细信息出现在 HTTP-HTTPS 配置 页。

笔记
如果需要，您可以通过单击删除证书来删除当前证书，并通过单击重新生成证书让控制器生成新证书。 您可以选择使用可以下载到控制器的服务器端 SSL 证书。 如果您使用的是 HTTPS，则可以使用 SSC 或 MIC 证书。

步骤 7
选择 控制器 > 通用 打开常规页面。
从以下选项中选择一个 Web 颜色主题下拉列表：

• 默认-配置 默认值 web 控制器 GUI 的颜色主题。
• 红色——配置 这 web 控制器 GUI 的颜色主题为红色。

步骤 8
点击 申请。

步骤 9
点击 保存配置。

启用 Web 和安全 Web 模式 (CLI)
程序

步骤 1
启用或禁用 web 通过输入此命令模式： 配置网络 web模式{启用| 禁用}
此命令允许用户使用“http://ip-address” 默认值是禁用的。 Web 模式不是安全连接。

步骤 2
配置 web 通过输入以下命令为控制器 GUI 设置颜色主题： 配置网络 web颜色{默认 | 红色的}
控制器 GUI 的默认颜色主题已启用。 您可以使用红色选项将默认配色方案更改为红色。 如果您从控制器 CLI 更改颜色主题，则需要重新加载控制器 GUI 屏幕以应用您的更改。

步骤 3
启用或禁用安全 web 通过输入此命令模式： 配置网络安全web {启用 | 禁用}
此命令允许用户使用“https://ip-address” 默认值是启用的。 安全的 web 模式是安全连接。

步骤 4
启用或禁用安全 web 通过输入以下命令提高安全性模式： 配置网络安全web 密码选项高 {启用 | 禁用}
此命令允许用户使用“https://ip-address”，但仅限于支持 128 位（或更大）密码的浏览器。 在 8.10 版中，此命令默认处于启用状态。 启用高密码后，将继续列出 SHA1、SHA256、SHA384 密钥并禁用 TLSv1.0。 这适用于 web授权和 webadmin 但不适用于 NMSP。

步骤 5
启用或禁用 SSLv3 web 通过输入以下命令进行管理： 配置网络安全web sslv3 {启用 | 禁用}

步骤 6
通过输入以下命令为 SSH 会话启用 256 位密码： 配置网络 ssh 密码选项高 {启用 | 禁用}

步骤 7
[可选] 通过输入以下命令禁用 telnet： 配置网络 telnet{启用 | 禁用}

步骤 8
启用或禁用 RC4-SHA（Rivest Cipher 4-Secure Hash Algorithm）密码套件（优于 CBC 密码套件）的首选项 web 身份验证和 web 通过输入以下命令进行管理： 配置网络安全web 密码选项 rc4-preference {启用 | 禁用}

步骤 9
通过输入以下命令验证控制器是否已生成证书： 显示证书摘要
出现类似如下信息：
Web 管理证书………………..本地生成
Web 认证证书………………..本地生成
证书兼容模式：………………。 离开

步骤 10
（可选）通过输入以下命令生成新证书： 配置证书生成 web行政
几秒钟后，控制器验证证书是否已生成。

步骤 11
保存 SSL 证书、密钥和安全 web 非易失性 RAM (NVRAM) 的密码，以便通过输入以下命令在重新启动后保留您的更改： 保存配置

步骤 12
通过输入以下命令重新启动控制器： 重置系统

Telnet 和安全 Shell 会话

Telnet 是一种网络协议，用于提供对控制器 CLI 的访问。 Secure Shell (SSH) 是更安全的 Telnet 版本，它使用数据加密和安全通道进行数据传输。 您可以使用控制器 GUI 或 CLI 来配置 Telnet 和 SSH 会话。 在版本 8.10.130.0 中，Cisco Wave 2 AP 支持以下密码套件：

• HMAC：hmac-sha2-256，hmac-sha2-512
• KEX: diffie-hellman-group18-sha512,diffie-hellman-group14-sha1,ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521
• 主机密钥：ecdsa-sha2-nistp256、ssh-rsa
• 密码： aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr

本节包含以下小节：

Telnet 和安全 Shell 会话的准则和限制

• 当控制器的配置分页被禁用并且运行 OpenSSH_8.1p1 OpenSSL 1.1.1 库的客户端连接到控制器时，您可能会遇到输出显示冻结的情况。 您可以按任意键解冻显示。 我们建议您使用以下方法之一来避免这种情况： · 使用不同版本的 OpenSSH 和 Open SSL 库进行连接
• 使用腻子
• 使用远程登录
• 当工具 Putty 用作 SSH 客户端以连接到运行 8.6 及更高版本的控制器时，当请求大量输出并禁用分页时，您可能会观察到与 Putty 断开连接。 当控制器具有许多配置并且具有大量 AP 和客户端时，或者在任何一种情况下，都会观察到这种情况。 我们建议您在这种情况下使用备用 SSH 客户端。
• 在 8.6 版中，控制器从 OpenSSH 迁移到 libssh，而 libssh 不支持这些密钥交换 (KEX) 算法：ecdh-sha2-nistp384 和 ecdh-sha2-nistp521。 仅支持 ecdh-sha2-nistp256。
• 在版本 8.10.130.0 及更高版本中，控制器不再支持传统密码套件、弱密码、MAC 和 KEX。

配置 Telnet 和 SSH 会话 (GUI)
程序

步骤 1 选择 管理 > Telnet-SSH 打开 Telnet-SSH 配置 页。
步骤 2 在 空闲超时（分钟） 字段，输入允许 Telnet 会话在终止前保持非活动状态的分钟数。 有效范围为 0 到 160 分钟。 值 0 表示没有超时。
步骤 3 从 最大会话数 下拉列表中，选择允许的并发 Telnet 或 SSH 会话数。 有效范围为 0 到 5 个会话（含），默认值为 5 个会话。 零值表示不允许 Telnet 或 SSH 会话。
步骤 4 要强制关闭当前登录会话，请选择 管理 > 用户会话 然后从 CLI 会话下拉列表中选择关闭。
步骤 5 从 允许新建 Telnet 会话下拉列表，选择是或否以允许或禁止控制器上的新 Telnet 会话。 默认值为否。
步骤 6 从 允许新建 SSH 会话 下拉列表，选择是或否以允许或禁止新建 SSH 控制器上的会话。 默认值为 是的。
步骤 7 保存您的配置。

下一步做什么
要查看 Telnet 配置设置的摘要，请选择管理 > 摘要。 显示的摘要页面显示允许其他 Telnet 和 SSH 会话。

配置 Telnet 和 SSH 会话 (CLI)
程序

步骤 1 
通过输入以下命令允许或禁止控制器上的新 Telnet 会话： 配置网络 telnet {启用 | 禁用}
默认值是禁用的。

步骤 2
通过输入以下命令允许或禁止控制器上的新 SSH 会话： 配置网络 ssh {启用 | 禁用}
默认值是启用的。

笔记
使用配置网络 ssh cipher-option high {enable | disable}命令启用sha2
在控制器中受支持。

步骤 3
（可选）通过输入以下命令指定允许 Telnet 会话在终止之前保持非活动状态的分钟数： 配置会话超时超时
超时的有效范围是 0 到 160 分钟，默认值为 5 分钟。 值 0 表示没有超时。

步骤 4
（可选）通过输入以下命令指定允许的同时 Telnet 或 SSH 会话数： 配置会话 maxsessions session_num
session_num 的有效范围为 0 到 5，默认值为 5 个会话。 零值表示不允许 Telnet 或 SSH 会话。

步骤 5
通过输入以下命令保存您的更改： 保存配置

步骤 6
您可以通过输入以下命令关闭所有 Telnet 或 SSH 会话： 配置登录会话关闭{会话ID | 全部}
会话 ID 可以从 show login-session 命令中获取。

管理和监控远程 Telnet 和 SSH 会话
程序

步骤 1
通过输入以下命令查看 Telnet 和 SSH 配置设置： 显示网络摘要

回显类似如下信息：
射频网络名称………………………….. TestNetwork1
Web 模式………………………………启用安全
Web 模式…………………………..启用
安全的 Web 模式密码选项高…………。 停用
安全的 Web Mode Cipher-Option SSLv2…………禁用
安全外壳（ssh）……………………..启用
Telnet………………………………..禁用……

步骤 2
通过输入以下命令查看 Telnet 会话配置设置： 显示会议
回显类似如下信息：
CLI 登录超时（分钟）………… 5
CLI 会话的最大数量……。 5个

步骤 3
通过输入以下命令查看所有活动的 Telnet 会话： 显示登录会话
回显类似如下信息：

ID 用户名 连接空闲时间 会话时间
—— —————— —————— ———— ————
00 admin EIA-232 00:00:00 00:19:04

步骤 4
通过输入以下命令清除 Telnet 或 SSH 会话： 清除会话会话 ID
您可以使用 show 来识别会话 ID 登录会话 命令。

为选定的管理用户 (GUI) 配置 Telnet 权限
使用控制器，您可以为选定的管理用户配置 Telnet 权限。 为此，您必须在全局级别启用 Telnet 权限。 默认情况下，所有管理用户都启用了 Telnet 权限。

笔记
SSH 会话不受此功能的影响。

程序

步骤 1 选择 管理 > 本地管理用户。
步骤 2 在 本地管理用户页面, 勾选或取消勾选 远程登录能力 管理用户的复选框。
步骤 3 保存配置。

为选定的管理用户 (CLI) 配置 Telnet 权限
程序

• 通过输入以下命令为选定的管理用户配置 Telnet 权限： 配置 mgmtuser telnet 用户名 {enable | 禁用}

无线管理

无线管理功能允许您使用无线客户端监控和配置本地控制器。 除了上传到控制器和从控制器下载（传输到控制器和从控制器传输）之外，所有管理任务都支持此功能。 此功能可阻止对无线客户端设备当前关联的同一控制器的无线管理访问。 它不会完全阻止与另一个控制器关联的无线客户端的管理访问。 要完全阻止对基于 VLAN 等的无线客户端的管理访问，我们建议您使用访问控制列表 (ACL) 或类似机制。

无线管理的限制

• 仅当客户端处于中央交换时，才能禁用无线管理。
• FlexConnect 本地交换客户端不支持无线管理。 然而，无线管理适用于非web 身份验证客户端，如果您有从 FlexConnect 站点到控制器的路由。

本节包含以下小节：
启用无线管理 (GUI)
程序

步骤 1 选择 管理 > 管理 通过无线打开 通过无线管理 页。
步骤 2 检查 使控制器管理可从无线客户端检查访问 框以启用 WLAN 的无线管理，或取消选中它以禁用此功能。 默认情况下，它处于禁用状态。
步骤 3 保存配置。

启用无线管理 (CLI)
程序

步骤 1
通过输入以下命令验证无线接口管理是启用还是禁用： 显示网络摘要

• 如果禁用：通过输入以下命令启用无线管理：config network mgmt-via-wireless enable
• 否则，使用无线客户端与连接到您要管理的控制器的接入点相关联。

步骤 2
通过输入以下命令登录到 CLI 以验证您是否可以使用无线客户端管理 WLAN： telnet wlc-ip-addr CLI 命令

控制器管理 13

使用动态界面 (CLI) 配置管理

默认情况下动态接口是禁用的，如果需要也可以启用大多数或所有管理功能。 一旦启用，所有动态接口都可用于对控制器的管理访问。 您可以根据需要使用访问控制列表 (ACL) 来限制此访问。

程序

• 通过输入以下命令启用或禁用使用动态接口的管理： 配置网络 mgmt-via-dynamic-interface {启用 | 禁用}

文件/资源

思科无线控制器配置指南 [pdf] 用户指南 无线控制器配置指南，控制器配置指南，无线配置指南，配置指南，配置

参考

• 用户手册