前言
您是否有过忘记交换机密码的经历?忘记密码,登录不上交换机该怎么办?
我们以S5700交换机为例,介绍在遗忘S5700交换机的Console口登录密码、STelnet/Telnet登录密码、BootROM/BootLoad菜单密码或Web网管登录密码时,如何清除老密码或者设置新的密码,确保可以正常登录交换机。
如果忘记了所有STelnet/Telnet账号的登录密码,可以通过采用下述方法。
01
方法一:通过其他有管理员权限的STelnet/Telnet账号登录,重新配置密码
【1】通过有管理员权限的STelnet/Telnet账号登录交换机。
【2】修改STelnet/Telnet登录密码。以修改VTY0~4的STelnet/Telnet登录密码为例。
A、配置Telnet登录的认证方式为Password认证,Telnet登录密码为test@123,同时配置用户级别为15级。
<HUAWEI> system-view
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] protocol inbound telnet //V200R006及之前版本缺省使用的协议为Telnet协议,可以不配置该项;V200R007及之后版本缺省使用的协议为SSH协议,必须配置。
[HUAWEI-ui-vty0-4] authentication-mode password
[HUAWEI-ui-vty0-4] set authentication password cipher test@123
[HUAWEI-ui-vty0-4] user privilege level 15
[HUAWEI-ui-vty0-4] return
<HUAWEI> save
左右滑动查看完整配置
B、配置Telnet登录的认证方式为AAA认证,用户名为testuser,密码为test@123,同时配置用户级别为15级。
此用户名可以是原登录使用的用户名,相当于对原登录账号的密码进行重置;也可以是新配置的一个用户名,相当于新配置一个Telnet登录账号。两种情形的配置方法相同。
<HUAWEI> system-view
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] protocol inbound telnet //V200R006及之前版本缺省使用的协议为Telnet协议,可以不配置该项;V200R007及之后版本缺省使用的协议为SSH协议,必须配置。
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user testuser password irreversible-cipher test@123
[HUAWEI-aaa] local-user huawei service-type telnet
[HUAWEI-aaa] local-user huawei privilege level 15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[HUAWEI-aaa] return
<HUAWEI> save
左右滑动查看完整配置
C、配置STelnet登录的认证方式为Password认证,SSH用户名为admin123,密码为abcd@123,同时配置用户级别为15级。
此用户名可以是原登录使用的用户名,相当于对原登录账号的密码进行重置;也可以是新配置的一个用户名,相当于新配置一个STelnet登录账号。两种情形的配置方法相同。
<HUAWEI> system-view
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] protocol inbound ssh //V200R006及之前版本缺省使用的协议为Telnet协议,必须配置该项;V200R007及之后版本缺省使用的协议为SSH协议,可以不配置配置该项。
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] user privilege level 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] ssh user admin123
[HUAWEI] ssh user admin123 service-type stelnet
[HUAWEI] ssh user admin123 authentication-type password
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher abcd@123
[HUAWEI-aaa] local-user admin123 privilege level 15
[HUAWEI-aaa] local-user admin123 service-type ssh
[HUAWEI-aaa] quit
[HUAWEI] ecc local-key-pair create
Info: The key name will be: HUAWEI_Host_ECC. Info: The key modulus can be any one of the following: 256, 384, 521. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=521]:521
Info: Generating keys..........
Info: Succeeded in creating the ECC host keys.
[HUAWEI] return
<HUAWEI> save
左右滑动查看完整配置
D、配置STelnet登录的认证方式为ECC认证(RSA、DSA认证类似,不再赘述),SSH用户名为admin123,密码为abcd@123,同时配置用户级别为15级。
使用ECC认证方式时,需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时,自己的私钥如果与输入的公钥匹配成功,则认证通过。客户端公钥的生成请参见相应的SSH客户端软件的帮助文档。
<HUAWEI> system-view
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] protocol inbound ssh //V200R006及之前版本缺省使用的协议为Telnet协议,必须配置该项;V200R007及之后版本缺省使用的协议为SSH协议,可以不配置配置该项。
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] user privilege level 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] ssh user admin123
[HUAWEI] ssh user admin123 service-type stelnet
[HUAWEI] ssh user admin123 authentication-type ecc
[HUAWEI] ecc peer-public-key key01 encoding-type pem
Enter 'ECC public key' view, return system view with 'peer-public-key end'.
[HUAWEI-ecc-public-key] public-key-code begin //进入公共密钥编辑视图
Enter 'ECC key code' view, return last view with 'public-key-code end'.
[HUAWEI-dsa-key-code] 308188 //拷贝复制客户端的公钥,为十六进制字符串
[HUAWEI-dsa-key-code] 028180
[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[HUAWEI-ecc-key-code] 171896FB 1FFC38CD
[HUAWEI-ecc-key-code] 0203
[HUAWEI-ecc-key-code] 010001
[HUAWEI-ecc-key-code] public-key-code end //退回到公共密钥视图
[HUAWEI-ecc-public-key] peer-public-key end //退回到系统视图
[HUAWEI] ssh user admin123 assign ecc-key key01 //为用户admin123分配一个已经存在的公钥key01
[HUAWEI] ecc local-key-pair create
Info: The key name will be: HUAWEI_Host_ECC. Info: The key modulus can be any one of the following: 256, 384, 521. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=521]:521
Info: Generating keys..........
Info: Succeeded in creating the ECC host keys.
[HUAWEI] return
<HUAWEI> save
左右滑动查看完整配置
02
方法二:通过Console口登录后,设置新的Stelnet/Telnet登录密码
如果忘记了STelnet/Telnet登录密码,但记得Console口登录密码,则可以通过Console口登录交换机后设置新的Stelnet/Telnet登录密码。
【1】通过Console口连接交换机。将Console通信电缆的DB9(孔)插头插入PC机的COM口中,再将RJ-45插头端插入设备的Console口中,如图1-2所示。
图1-2 通过Console口链接设备
【2】在PC上打开终端仿真软件,新建连接,设置连接的接口,配置通信参数如下:
数据位:8
停止位:1
奇偶校验位:无
流控:无
【3】单击“Connect”,根据提示输入或配置登录密码,完成Console口登录。
【4】修改STelnet/Telnet登录密码。可参考方法一的步骤2。
下面介绍忘记了Console口登录密码的解决方法。
01
忘记Console口登录密码的解决方法
忘记了Console口登录密码,设备提供如下方法恢复Console口密码。
方法一:通过STelnet/Telnet登录设备修改Console口密码
方法二:在BootROM/BootLoad下配置清除Console口密码启动后,修改Console口密码
特别提醒!
请优先使用方法一,如果STelnet/Telnet密码也忘记了再使用方法二。使用Telnet协议存在安全风险,建议使用STelnet(建议使用STelnet V2协议)登录设备。
02
方法一:通过STelnet/Telnet登录设备修改Console口密码
如果您拥有STelnet/Telnet账号并且具有管理员的权限,则可以通过STelnet/Telnet登录设备后,修改Console口登录密码,然后保存配置。
下面以STelnet登录设备后修改Console口登录密码为例。
【1】使用STelnet账号登录设备后,确认当前账号权限为3级或3级以上。
A、使用display users命令查看当前设备所有登录用户。其中带“+”标记行表示为当前用户,记录对应的编号VTY1。
<HUAWEI> display users
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag
129 VTY 0 00:23:36 TEL 10.135.18.67 pass no Username : Unspecified
+ 130 VTY 1 01:20:36 SSH 10.135.18.91 pass no Username : Unspecified
131 VTY 2 00:00:00 TEL 10.135.18.54 pass no Username : Unspecified
B、使用display user-interface命令可以显示所有用户的权限,确定VTY1对应的等级为15,有权限修改Console口登录密码。
<HUAWEI> display user-interface
Idx Type Tx/Rx Modem Privi ActualPrivi Auth Int
0 CON 0 9600 - 15 - P -
+ 129 VTY 0 - 15 15 P -
+ 130 VTY 1 - 15 15 P -
+ 131 VTY 2 - 15 - P -
132 VTY 3 - 15 15 P -
......
【2】修改Console口登录的密码。
A、以修改为密码认证,密码为test@123为例。
<HUAWEI> system-view
[HUAWEI] user-interface console 0
[HUAWEI-ui-console0] authentication-mode password
[HUAWEI-ui-console0] set authentication password cipher test@123
[HUAWEI-ui-console0] return
<HUAWEI> system-view
[HUAWEI] user-interface console 0
[HUAWEI-ui-console0] authentication-mode aaa
[HUAWEI-ui-console0] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher test@123
[HUAWEI-aaa] local-user admin123 service-type terminal
[HUAWEI-aaa] return
【3】为了防止重启后配置丢失,保存配置。
<HUAWEI> save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0.
Save the configuration successfully.
03
方法二:在BootROM/BootLoad下配置清除Console口密码启动后,修改Console口密码
如果您记得BootROM/BootLoad菜单密码,能正常进入BootROM/BootLoad菜单,则可以通过BootROM/BootLoad菜单清除Console口登录密码,并在交换机重新启动后设置新的Console口登录密码,然后保存配置。
要进入到BootROM/BootLoad菜单需要重启设备(可以通过将设备先下电再上电的方式进行重启),会导致业务中断,可能会导致配置、数据丢失。请尽量选择业务量较少的时间操作。设备启动过程中不要对设备进行下电操作。
对于双主控板的框式交换机,需要在重启交换机之前将备主控板拔下,待执行完以下操作后,再将备主控板插上,执行save命令以保证主用主控板和备用主控板配置一致。
多台设备堆叠情况下,先将成员交换机下电,在主交换机上完成以下操作后,执行save命令,以保证启动其他成员设备后能同步主交换机上的配置。
如果维护终端(PC端)上没有COM口(DB9串口),可单独购买一根DB9串口转USB的转接线,将USB口连接到维护终端。
请按照如下步骤进行配置。
图1-2 通过Console口链接设备
【2】在PC上打开终端仿真软件,新建连接,设置连接的接口,配置通信参数如下:
波特率:9600
数据位:8
停止位:1
奇偶校验位:无
流控:无
【3】重启交换机。当界面出现以下打印信息时,及时按下快捷键“Ctrl+B”或者“Ctrl+E”并输入BootROM/BootLoad密码,进入BootROM/BootLoad主菜单。
Press Ctrl+B or Ctrl+E to enter BootROM/BootLoad menu ... 2
password: //输入BootROM/BootLoad密码
不同版本和不同形态的设备回显有差异,请以实际设备显示为准。
如果您未曾改过BootROM/BootLoad缺省密码,则可以输入缺省密码进入BootROM/BootLoad主菜单。(不知到缺省密码可去官网查询获得)
【4】在BootROM/BootLoad主菜单下选择“Clear password for console user”清除Console口登录密码。
【5】根据交换机的提示,在BootROM/BootLoad主菜单下选择“Boot with default mode”启动设备。
此处不要选择“Reboot”选项,否则此次清除密码将失效。
【6】完成系统启动后,通过Console口登录时不需要认证,登录后按照系统提示配置验证密码。
【7】登录交换机后,您可以根据需要修改Console用户界面的认证方式及密码。修改Console口登录的密码请参考方法一的步骤2。
【8】为了防止重启后配置丢失,保存配置。
<HUAWEI> save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0.
Save the configuration successfully.
联系客服