控制器的管理

使用控制器界面

您可以在以下兩種方法中使用控制器接口：

使用控制器 GUI

每個控制器中都內置了一個基於瀏覽器的 GUI。
它最多允許五個用戶同時瀏覽控制器 HTTP 或 HTTPS (HTTP + SSL) 管理頁面，以配置參數並監控控制器及其相關接入點的運行狀態。
有關控制器 GUI 的詳細說明，請參閱聯機幫助。 要訪問聯機幫助，請單擊控制器 GUI 上的幫助。

筆記
我們建議您啟用 HTTPS 接口並禁用 HTTP 接口以確保更強大的安全性。

以下支持控制器 GUI web 瀏覽器：

• Microsoft Internet Explorer 11 或更高版本 (Windows)
• Mozilla Firefox，版本 32 或更高版本（Windows、Mac）
• Apple Safari，版本 7 或更高版本 (Mac)

筆記
我們建議您在加載了以下內容的瀏覽器上使用控制器 GUI web管理員證書（第三方證書）。 我們還建議您不要在加載了自簽名證書的瀏覽器上使用控制器 GUI。 在使用自簽名證書的 Google Chrome（73.0.3675.0 或更高版本）上觀察到一些呈現問題。 有關詳細信息，請參閱 CSCvp80151。

使用控制器 GUI 的準則和限制
使用控制器 GUI 時請遵循以下準則：

• 到 view 8.1.102.0 版中引入的 Main Dashboard，您必須在 web 瀏覽器。

筆記
確保屏幕分辨率設置為 1280×800 或更高。 不支持較低的分辨率。

• 您可以使用服務端口接口或管理接口來訪問 GUI。
• 使用服務端口接口時，您可以同時使用 HTTP 和 HTTPS。 默認啟用 HTTPS，也可以啟用 HTTP。
• 單擊 GUI 中任何頁面頂部的幫助以訪問聯機幫助。 您可能必須禁用瀏覽器的彈出窗口阻止程序才能 view 聯機幫助。

登錄到 GUI

筆記
當控制器設置為使用本地身份驗證時，請勿配置 TACACS+ 身份驗證。

程式
步驟1
在瀏覽器的地址欄中輸入控制器 IP 地址。 對於安全連接，請輸入 https://ip-address. 對於安全性較低的連接，請輸入 https://ip-address.

步驟2
出現提示時，輸入有效的用戶名和密碼，然後單擊“確定”。
這 概括 顯示頁面。
筆記 您在配置嚮導中創建的管理用戶名和密碼區分大小寫。
註銷 GUI
程式

步驟1
點選 退出 在頁面的右上角。

步驟2
單擊關閉以完成註銷過程並防止未經授權的用戶訪問控制器 GUI。

步驟3
當系統提示您確認您的決定時，單擊是。

使用控制器 CLI
思科無線解決方案命令行界面 (CLI) 內置於每個控制器中。 CLI 使您能夠使用 VT-100 終端仿真程序在本地或遠程配置、監視和控制各個控制器及其關聯的輕量級接入點。 CLI 是一個簡單的基於文本的樹結構界面，最多允許五個用戶使用支持 Telnet 的終端仿真程序訪問控制器。

筆記
我們建議您不要同時運行兩個 CLI 操作，因為這可能會導致 CLI 的行為不正確或輸出不正確。

筆記
有關特定命令的更多信息，請參閱相關版本的思科無線控制器命令參考，網址為： https://www.cisco.com/c/en/us/support/wireless/wireless-lan-controller-software/products-command-reference-list.html

登錄控制器 CLI
您可以使用以下任一方法訪問控制器 CLI：

• 與控制器控制台端口的直接串行連接
• 通過預配置的服務端口或分發系統端口使用 Telnet 或 SSH 通過網絡進行遠程會話

有關控制器上的端口和控制台連接選項的更多信息，請參閱相關控制器型號的安裝指南。

使用本地串行連接
開始之前
您需要這些項目才能連接到串行端口：

• 運行終端仿真程序（例如 Putty、SecureCRT 或類似程序）的計算機
• 帶有 RJ45 連接器的標準 Cisco 控制台串行電纜

通過串口登錄控制器CLI，請按照以下步驟操作：
程式

步驟1
連接控制台電纜； 將帶有 RJ45 連接器的標準 Cisco 控制台串行電纜的一端連接到控制器的控制台端口，將另一端連接到 PC 的串行端口。

步驟2
使用默認設置配置終端仿真器程序：

• 9600 波特
• 8 個資料位
• 1個停止位
• 無奇偶校驗
• 無硬件流控制

筆記
控制器串行端口設置為 9600 波特率和短超時。 如果您想更改這些值中的任何一個，請運行配置串行波特率值和配置串行超時值以進行更改。 如果將串行超時值設置為 0，串行會話永遠不會超時。 如果您將控制台速度更改為 9600 以外的值，則控制器在引導期間使用的控制台速度將為 9600，並且只會在引導過程完成後更改。 因此，我們建議您不要更改控制台速度，除非是根據需要採取的臨時措施。

步驟3
登錄到 CLI – 出現提示時，輸入有效的用戶名和密碼以登錄到控制器。 您在配置嚮導中創建的管理用戶名和密碼區分大小寫。 注意 默認用戶名是admin，默認密碼是admin。 CLI 顯示根級系統提示：
（思科控制器）>

筆記
系統提示可以是最多 31 個字符的任何字母數字字符串。 您可以通過輸入配置提示命令來更改它。

使用遠程 Telnet 或 SSH 連接

開始之前
您需要這些項目才能遠程連接到控制器：

• 與管理 IP 地址、服務端口地址或在相關控制器的動態接口上啟用管理的網絡連接的 PC
• 控制器的IP地址
• 用於 Telnet 會話的 VT-100 終端仿真程序或 DOS shell

筆記
默認情況下，控制器會阻止 Telnet 會話。 您必須使用到串行端口的本地連接才能啟用 Telnet 會話。

筆記
控制器不支持 aes-cbc 密碼。 用於登錄控制器的 SSH 客戶端應至少具有非 aes-cbc 密碼。

程式
步驟1
確認您的 VT-100 終端仿真程序或 DOS shell 接口配置了以下參數：

• 以太網地址
• 端口23

步驟2
使用控制器 IP 地址 Telnet 到 CLI。

步驟3
出現提示時，輸入有效的用戶名和密碼以登錄控制器。

筆記
您在配置嚮導中創建的管理用戶名和密碼區分大小寫。 注意 默認用戶名是admin，默認密碼是admin。
CLI 顯示根級系統提示符。

筆記
系統提示可以是最多 31 個字符的任何字母數字字符串。 您可以通過輸入配置提示命令來更改它。

註銷 CLI
使用完 CLI 後，導航到根級別並輸入註銷命令。 系統會提示您保存對易失性 RAM 所做的任何更改。

筆記
在 5 分鐘不活動後，CLI 會自動將您註銷而不保存任何更改。 您可以使用 config serial timeout 命令將自動註銷設置為 0（從不註銷）到 160 分鐘。 為防止 SSH 或 Telnet 會話超時，請運行 config sessions timeout 0 命令。

瀏覽 CLI

• 當您登錄到 CLI 時，您處於根級別。 從根級別，您可以輸入任何完整命令，而無需先導航到正確的命令級別。
• 如果您不帶參數輸入頂級關鍵字（例如 config、debug 等），您將進入相應關鍵字的子模式。
• Ctrl + Z 或輸入 exit 將 CLI 提示返回到默認或根級別。
• 導航到 CLI 時，輸入 ? 查看當前級別的任何給定命令可用的其他選項。
• 如果沒有歧義，您還可以輸入空格或製表鍵來完成當前關鍵字。
• 在根級別輸入幫助以查看可用的命令行編輯選項。

下表列出了用於導航 CLI 和執行常見任務的命令。

表 1：CLI 導航和常見任務的命令

命令	行動
幫助	在根級別， view 系統範圍的導航命令
?	View 當前級別可用的命令
命令 ？	View 特定命令的參數
出口	下移一層
Ctrl+Z	從任意層級返回到根層級
保存配置	在根級別，將配置更改從活動工作 RAM 保存到非易失性 RAM (NVRAM)，以便它們在重啟後保留
重置系統	在根級別，在不註銷的情況下重置控制器
註銷	將您從 CLI 中註銷

啟用 Web 和安全 Web 模式

本節提供了啟用分發系統端口作為 web 端口（使用 HTTP）或作為安全 web 端口（使用 HTTPS）。 您可以通過啟用 HTTPS 來保護與 GUI 的通信。 HTTPS 使用安全套接字層 (SSL) 協議保護 HTTP 瀏覽器會話。 啟用 HTTPS 時，控制器會生成自己的本地 web 管理 SSL 證書並自動將其應用於 GUI。 您還可以選擇下載外部生成的證書。

您可以配置 web 和安全 web 使用控制器 GUI 或 CLI 模式。

筆記
由於 RFC-6797 中對 HTTP 嚴格傳輸安全 (HSTS) 的限制，當使用管理 IP 地址訪問控制器的 GUI 時，HSTS 不被認可並且無法在瀏覽器中從 HTTP 重定向到 HTTPS 協議。 如果先前使用 HTTPS 協議訪問控制器的 GUI，則重定向失敗。 有關詳細信息，請參閱 RFC-6797 文檔。

本節包含以下小節：

啟用 Web 和安全 Web 模式（圖形用戶界面）

程式

步驟1
選擇 管理 > HTTP-HTTPS。
這 HTTP-HTTPS 配置 顯示頁面。

步驟2
啟用 web 模式，允許用戶使用“http://ip-address，” 選擇 啟用 從 HTTP 訪問 下拉列表。 否則，選擇禁用。 默認值為 殘疾人士。 Web 模式不是安全連接。

步驟3
啟用安全 web 模式，允許用戶使用“https://ip-address，” 選擇 啟用 從 HTTPS 訪問 下拉列表。 否則，選擇 殘疾人士。 默認值為已啟用。 安全的 web 模式是安全連接。

步驟4
在 Web 會議 暫停 字段，輸入時間量，以分鐘為單位，在 web 會話因不活動而超時。 您可以輸入 10 到 160 分鐘（含）之間的值。 默認值為 30 分鐘。

步驟5
點選 申請。

步驟6
如果您啟用了安全 web 在步驟 3 模式下，控制器生成一個本地 web 管理 SSL 證書並自動將其應用於 GUI。 當前證書的詳細信息出現在 HTTP-HTTPS 配置 頁。

筆記
如果需要，您可以通過單擊刪除證書來刪除當前證書，並通過單擊重新生成證書讓控制器生成新證書。 您可以選擇使用可以下載到控制器的服務器端 SSL 證書。 如果您使用的是 HTTPS，則可以使用 SSC 或 MIC 證書。

步驟7
選擇 控制器 > 通用 打開常規頁面。
從以下選項中選擇一個 Web 顏色主題下拉列表：

• 默認-配置 默認值 web 控制器 GUI 的顏色主題。
• 紅色——配置 這 web 控制器 GUI 的顏色主題為紅色。

步驟8
點選 申請。

步驟9
點選 保存配置。

啟用 Web 和安全 Web 模式 (CLI)
程式

步驟1
啟用或停用 web 通過輸入此命令模式： 配置網絡 web模式{啟用| 禁用}
此命令允許用戶使用“http://ip-address” 默認值是禁用的。 Web 模式不是安全連接。

步驟2
配置 web 通過輸入以下命令為控制器 GUI 設置顏色主題： 配置網絡 web顏色{默認| 紅色的}
控制器 GUI 的默認顏色主題已啟用。 您可以使用紅色選項將默認配色方案更改為紅色。 如果您從控制器 CLI 更改顏色主題，則需要重新加載控制器 GUI 屏幕以應用您的更改。

步驟3
啟用或禁用安全 web 通過輸入此命令模式： 配置網絡安全web {啟用 | 禁用}
此命令允許用戶使用“https://ip-address” 默認值是啟用的。 安全的 web 模式是安全連接。

步驟4
啟用或禁用安全 web 通過輸入以下命令提高安全性模式： 配置網絡安全web 密碼選項高 {啟用 | 禁用}
此命令允許用戶使用“https://ip-address”，但僅限於支持 128 位（或更大）密碼的瀏覽器。 在 8.10 版中，此命令默認處於啟用狀態。 啟用高密碼後，將繼續列出 SHA1、SHA256、SHA384 密鑰並禁用 TLSv1.0。 這適用於 web授權和 webadmin 但不適用於 NMSP。

步驟5
啟用或禁用 SSLv3 web 通過輸入以下命令進行管理： 配置網絡安全web sslv3 {啟用 | 禁用}

步驟6
通過輸入以下命令為 SSH 會話啟用 256 位密碼： 配置網絡 ssh 密碼選項高 {啟用 | 禁用}

步驟7
[可選] 通過輸入以下命令禁用 telnet： 配置網絡 telnet{啟用 | 禁用}

步驟8
啟用或禁用 RC4-SHA（Rivest Cipher 4-Secure Hash Algorithm）密碼套件（優於 CBC 密碼套件）的首選項 web 身份驗證和 web 通過輸入以下命令進行管理： 配置網絡安全web 密碼選項 rc4-preference {啟用 | 禁用}

步驟9
通過輸入以下命令驗證控制器是否已生成證書： 顯示證書摘要
出現類似如下信息：
Web 管理證書………………..本地生成
Web 認證證書………………..本地生成
證書兼容模式：………………。 離開

步驟10
（可選）通過輸入以下命令生成新證書： 配置證書生成 web行政
幾秒鐘後，控制器驗證證書是否已生成。

步驟11
保存 SSL 證書、密鑰和安全 web 非易失性 RAM (NVRAM) 的密碼，以便通過輸入以下命令在重新啟動後保留您的更改： 保存配置

步驟12
通過輸入以下命令重新啟動控制器： 重置系統

Telnet 和安全 Shell 會話

Telnet 是一種網絡協議，用於提供對控制器 CLI 的訪問。 Secure Shell (SSH) 是更安全的 Telnet 版本，它使用數據加密和安全通道進行數據傳輸。 您可以使用控制器 GUI 或 CLI 來配置 Telnet 和 SSH 會話。 在版本 8.10.130.0 中，Cisco Wave 2 AP 支持以下密碼套件：

• HMAC：hmac-sha2-256，hmac-sha2-512
• KEX: diffie-hellman-group18-sha512,diffie-hellman-group14-sha1,ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521
• 主機密鑰：ecdsa-sha2-nistp256、ssh-rsa
• 密碼： aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr

本節包含以下小節：

Telnet 和安全 Shell 會話的準則和限制

• 當控制器的配置分頁被禁用並且運行 OpenSSH_8.1p1 OpenSSL 1.1.1 庫的客戶端連接到控制器時，您可能會遇到輸出顯示凍結的情況。 您可以按任意鍵解凍顯示。 我們建議您使用以下方法之一來避免這種情況： · 使用不同版本的 OpenSSH 和 Open SSL 庫進行連接
• 使用膩子
• 使用遠程登錄
• 當工具 Putty 用作 SSH 客戶端以連接到運行 8.6 及更高版本的控制器時，當請求大量輸出並禁用分頁時，您可能會觀察到與 Putty 斷開連接。 當控制器具有許多配置並且具有大量 AP 和客戶端時，或者在任何一種情況下，都會觀察到這種情況。 我們建議您在這種情況下使用備用 SSH 客戶端。
• 在 8.6 版中，控制器從 OpenSSH 遷移到 libssh，而 libssh 不支持這些密鑰交換 (KEX) 算法：ecdh-sha2-nistp384 和 ecdh-sha2-nistp521。 僅支持 ecdh-sha2-nistp256。
• 在版本 8.10.130.0 及更高版本中，控制器不再支持傳統密碼套件、弱密碼、MAC 和 KEX。

配置 Telnet 和 SSH 會話 (GUI)
程式

步驟1 選擇 管理 > Telnet-SSH 打開 Telnet-SSH 配置 頁。
步驟2 在 空閒超時（分鐘） 字段，輸入允許 Telnet 會話在終止前保持非活動狀態的分鐘數。 有效範圍為 0 到 160 分鐘。 值 0 表示沒有超時。
步驟3 從 最大會話數 下拉列表中，選擇允許的並發 Telnet 或 SSH 會話數。 有效範圍為 0 到 5 個會話（含），默認值為 5 個會話。 零值表示不允許 Telnet 或 SSH 會話。
步驟4 要強制關閉當前登錄會話，請選擇 管理 > 用戶會話 然後從 CLI 會話​​下拉列表中選擇關閉。
步驟5 從 允許新建 Telnet 會話下拉列表，選擇是或否以允許或禁止控制器上的新 Telnet 會話。 默認值為否。
步驟6 從 允許新建 SSH 會話 下拉列表，選擇是或否以允許或禁止新建 SSH 控制器上的會話。 默認值為 是的。
步驟7 儲存您的配置。

接下來做什麼
要查看 Telnet 配置設置的摘要，請選擇管理 > 摘要。 顯示的摘要頁面顯示允許其他 Telnet 和 SSH 會話。

配置 Telnet 和 SSH 會話 (CLI)
程式

步驟1 
通過輸入以下命令允許或禁止控制器上的新 Telnet 會話： 配置網絡 telnet {啟用 | 禁用}
默認值是禁用的。

步驟2
通過輸入以下命令允許或禁止控制器上的新 SSH 會話： 配置網絡 ssh {啟用 | 禁用}
默認值是啟用的。

筆記
使用配置網絡 ssh cipher-option high {enable | disable}命令啟用sha2
在控制器中受支持。

步驟3
（可選）通過輸入以下命令指定允許 Telnet 會話在終止之前保持非活動狀態的分鐘數： 配置會話超時超時
超時的有效範圍是 0 到 160 分鐘，默認值為 5 分鐘。 值 0 表示沒有超時。

步驟4
（可選）通過輸入以下命令指定允許的同時 Telnet 或 SSH 會話數： 配置會話 maxsessions session_num
session_num 的有效範圍為 0 到 5，默認值為 5 個會話。 零值表示不允許 Telnet 或 SSH 會話。

步驟5
通過輸入以下命令保存您的更改： 保存配置

步驟6
您可以通過輸入以下命令關閉所有 Telnet 或 SSH 會話： 配置登錄會話關閉{會話ID | 全部}
會話 ID 可以從 show login-session 命令中獲取。

管理和監控遠程 Telnet 和 SSH 會話
程式

步驟1
通過輸入以下命令查看 Telnet 和 SSH 配置設置： 顯示網絡摘要

顯示類似如下資訊：
射頻網絡名稱………………………….. TestNetwork1
Web 模式………………………………啟用安全
Web 模式…………………………..啟用
安全的 Web 模式密碼選項高…………。 停用
安全的 Web Mode Cipher-Option SSLv2…………禁用
安全外殼（ssh）……………………..啟用
Telnet………………………………..禁用……

步驟2
通過輸入以下命令查看 Telnet 會話配置設置： 顯示會話
顯示類似如下資訊：
CLI 登錄超時（分鐘）………… 5
CLI 會話​​的最大數量……。 5個

步驟3
通過輸入以下命令查看所有活動的 Telnet 會話： 顯示登錄會話
顯示類似如下資訊：

ID 用戶名 連接空閒時間 會話時間
—— —————— —————— ———— ————
00 admin EIA-232 00:00:00 00:19:04

步驟4
通過輸入以下命令清除 Telnet 或 SSH 會話： 清除會話會話 ID
您可以使用 show 來識別會話 ID 登錄會話 命令。

為選定的管理用戶 (GUI) 配置 Telnet 權限
使用控制器，您可以為選定的管理用戶配置 Telnet 權限。 為此，您必須在全局級別啟用 Telnet 權限。 默認情況下，所有管理用戶都啟用了 Telnet 權限。

筆記
SSH 會話不受此功能的影響。

程式

步驟1 選擇 管理 > 本地管理用戶。
步驟2 上 本地管理用戶頁面, 勾選或取消勾選 遠程登錄能力 管理用戶的複選框。
步驟3 儲存配置。

為選定的管理用戶 (CLI) 配置 Telnet 權限
程式

• 通過輸入以下命令為選定的管理用戶配置 Telnet 權限： 配置 mgmtuser telnet 用戶名 {enable | 禁用}

無線管理

無線管理功能允許您使用無線客戶端監控和配置本地控制器。 除了上傳到控制器和從控制器下載（傳輸到控制器和從控制器傳輸）之外，所有管理任務都支持此功能。 此功能可阻止對無線客戶端設備當前關聯的同一控制器的無線管理訪問。 它不會完全阻止與另一個控制器關聯的無線客戶端的管理訪問。 要完全阻止對基於 VLAN 等的無線客戶端的管理訪問，我們建議您使用訪問控制列表 (ACL) 或類似機制。

無線管理的限制

• 僅當客戶端處於中央交換時，才能禁用無線管理。
• FlexConnect 本地交換客戶端不支持無線管理。 然而，無線管理適用於非web 身份驗證客戶端，如果您有從 FlexConnect 站點到控制器的路由。

本節包含以下小節：
啟用無線管理 (GUI)
程式

步驟1 選擇 管理 > 管理 通過無線打開 通過無線管理 頁。
步驟2 檢查 使控制器管理可從無線客戶端檢查訪問 框以啟用 WLAN 的無線管理，或取消選中它以禁用此功能。 默認情況下，它處於禁用狀態。
步驟3 儲存配置。

啟用無線管理 (CLI)
程式

步驟1
通過輸入以下命令驗證無線接口管理是啟用還是禁用： 顯示網絡摘要

• 如果禁用：通過輸入以下命令啟用無線管理：config network mgmt-via-wireless enable
• 否則，使用無線客戶端與連接到您要管理的控制器的接入點相關聯。

步驟2
通過輸入以下命令登錄到 CLI 以驗證您是否可以使用無線客戶端管理 WLAN： telnet wlc-ip-addr CLI 命令

控制器管理 13

使用動態界面 (CLI) 配置管理

默認情況下動態接口是禁用的，如果需要也可以啟用大多數或所有管理功能。 一旦啟用，所有動態接口都可用於對控制器的管理訪問。 您可以根據需要使用訪問控制列表 (ACL) 來限制此訪問。

程式

• 通過輸入以下命令啟用或禁用使用動態接口的管理： 配置網絡 mgmt-via-dynamic-interface {啟用 | 禁用}

文件/資源

思科無線控制器配置指南 [pdf] 使用者指南 無線控制器配置指南，控制器配置指南，無線配置指南，配置指南，配置

參考

• 使用者手冊