簡介
您是否有過忘記交換機密碼的經歷?忘記密碼,登錄不上交換機該怎么辦?
本文檔主要介紹,在遺忘S系列交換機的Console口登錄密碼、STelnet/Telnet登錄密碼、BootROM/BootLoad菜單密碼或Web網管登錄密碼時,如何清除老密碼或者設置新的密碼,確保可以正常登錄交換機。
登錄交換機的方式請參考交換機登錄的典型配置。
前提條件
本文檔以V200R020C00版本的S系列交換機為例介紹如何清除老密碼或者設置新密碼。具體操作可能因設備型號和版本存在差異,請參考相應的產品文檔。
本文檔基於特定實驗室環境中的設備編寫。如果您的設備在現網中運行,請確保您已經了解所有命令的潛在影響。
場景一:修改了所有默認密碼,還忘記了所有密碼
如果您忘記了Console口登錄密碼、所有的STelnet/Telnet賬號及密碼、BootROM/BootLoad菜單密碼,並且所有密碼都做了修改,不是缺省密碼:
- 對於支持PNP鍵的交換機,您可通過長按(6秒以上)PNP鍵,使交換機恢復出廠配置並自動重新啟動。PNP鍵如下圖所示。
- 對於不支持PNP鍵的交換機,則需返廠維修。
圖1-1 PNP鍵示意圖
恢復出廠配置后的必要配置,請參考《S5700 系列交換機恢復出廠配置》。
在恢復出廠配置后,用戶所有的配置數據將被刪除,無法恢復。請謹慎使用。
場景二:忘記了默認密碼
對於V200R020及之后版本的S系列交換機,由於未設置任何缺省賬號密碼,用戶登錄交換機時必須設置新密碼,所以不存在場景二的情形。
但是,對於V200R020之前版本的S系列交換機,除STelnet/Telnet登錄沒有缺省密碼以外,設備對Console口登錄、BootROM/BootLoad菜單、Web網管登錄均設置了缺省密碼,且不同版本的缺省密碼可能不同。
如果您一直使用的是設備缺省密碼,未曾改過密碼,您可以在《S系列交換機缺省帳號與密碼》(企業網、運營商)文檔中獲取各種缺省帳號與密碼信息。該文檔的權限為C級(客戶支持級),如需升級權限,請查看網站幫助。
為保證設備安全,建議不要使用缺省密碼,並定期修改密碼。
場景三:忘記了Console口登錄密碼
設備提供如下方法恢復Console口密碼。
請優先使用方法一,如果STelnet/Telnet密碼也忘記了再使用方法二。使用Telnet協議存在安全風險,建議使用STelnet(建議使用STelnet V2協議)登錄設備。
方法一:通過STelnet/Telnet登錄設備修改Console口密碼
如果您擁有STelnet/Telnet賬號並且具有管理員的權限,則可以通過STelnet/Telnet登錄設備后,修改Console口登錄密碼,然后保存配置。
下面以STelnet登錄設備后修改Console口登錄密碼為例。
- 使用STelnet賬號登錄設備后,確認當前賬號權限為3級或3級以上。
使用display users命令查看當前設備所有登錄用戶。其中帶“+”標記行表示為當前用戶,記錄對應的編號VTY1。
<HUAWEI> display users User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag 129 VTY 0 00:23:36 TEL 10.135.18.67 pass no Username : Unspecified + 130 VTY 1 01:20:36 SSH 10.135.18.91 pass no Username : Unspecified 131 VTY 2 00:00:00 TEL 10.135.18.54 pass no Username : Unspecified
使用display user-interface命令可以顯示所有用戶的權限,確定VTY1對應的等級為15,有權限修改Console口登錄密碼。
<HUAWEI> display user-interface Idx Type Tx/Rx Modem Privi ActualPrivi Auth Int 0 CON 0 9600 - 15 - P - + 129 VTY 0 - 15 15 P - + 130 VTY 1 - 15 15 P - + 131 VTY 2 - 15 - P - 132 VTY 3 - 15 15 P - ......
- 修改Console口登錄的密碼。
- 以修改為密碼認證,密碼為test@123為例。
<HUAWEI> system-view [HUAWEI] user-interface console 0 [HUAWEI-ui-console0] authentication-mode password [HUAWEI-ui-console0] set authentication password cipher test@123 [HUAWEI-ui-console0] return
- 以修改為AAA認證,用戶名為admin123,密碼為test@123為例。
<HUAWEI> system-view [HUAWEI] user-interface console 0 [HUAWEI-ui-console0] authentication-mode aaa [HUAWEI-ui-console0] quit [HUAWEI] aaa [HUAWEI-aaa] local-user admin123 password irreversible-cipher test@123 [HUAWEI-aaa] local-user admin123 service-type terminal [HUAWEI-aaa] return
- 以修改為密碼認證,密碼為test@123為例。
- 為了防止重啟后配置丟失,保存配置。
<HUAWEI> save The current configuration will be written to the device. Are you sure to continue?[Y/N]y Now saving the current configuration to the slot 0. Save the configuration successfully.
方法二:在BootROM/BootLoad下配置清除Console口密碼啟動后,修改Console口密碼
如果您記得BootROM/BootLoad菜單密碼,能正常進入BootROM/BootLoad菜單,則可以通過BootROM/BootLoad菜單清除Console口登錄密碼,並在交換機重新啟動后設置新的Console口登錄密碼,然后保存配置。
-
要進入到BootROM/BootLoad菜單需要重啟設備(可以通過將設備先下電再上電的方式進行重啟),會導致業務中斷,可能會導致配置、數據丟失。請盡量選擇業務量較少的時間操作。設備啟動過程中不要對設備進行下電操作。
-
對於雙主控板的框式交換機,需要在重啟交換機之前將備主控板拔下,待執行完以下操作后,再將備主控板插上,執行save命令以保證主用主控板和備用主控板配置一致。
- 多台設備堆疊情況下,先將成員交換機下電,在主交換機上完成以下操作后,執行save命令,以保證啟動其他成員設備后能同步主交換機上的配置。
-
如果維護終端(PC端)上沒有COM口(DB9串口),可單獨購買一根DB9串口轉USB的轉接線,將USB口連接到維護終端。
請按照如下步驟進行配置。
- 通過Console口連接交換機。將Console通信電纜的DB9(孔)插頭插入PC機的COM口中,再將RJ-45插頭端插入設備的Console口中,如圖1-2所示。
- 在PC上打開終端仿真軟件,新建連接,設置連接的接口,配置通信參數如下:
- 波特率:9600
- 數據位:8
- 停止位:1
- 奇偶校驗位:無
- 流控:無
- 重啟交換機。當界面出現以下打印信息時,及時按下快捷鍵“Ctrl+B”或者“Ctrl+E”並輸入BootROM/BootLoad密碼,進入BootROM/BootLoad主菜單。
Press Ctrl+B or Ctrl+E to enter BootROM/BootLoad menu ... 2 password: //輸入BootROM/BootLoad密碼 - 在BootROM/BootLoad主菜單下選擇“Clear password for console user”清除Console口登錄密碼。
- 根據交換機的提示,在BootROM/BootLoad主菜單下選擇“Boot with default mode”啟動設備。
此處不要選擇“Reboot”選項,否則此次清除密碼將失效。
- 完成系統啟動后,通過Console口登錄時不需要認證,登錄后按照系統提示配置驗證密碼。(V200R009及之后版本,完成系統啟動后,通過Console口登錄時認證方式為None,系統啟動后不會提示配置驗證密碼。)
- 登錄交換機后,您可以根據需要修改Console用戶界面的認證方式及密碼。修改Console口登錄的密碼請參考方法一的步驟2。
- 為了防止重啟后配置丟失,保存配置。
<HUAWEI> save The current configuration will be written to the device. Are you sure to continue?[Y/N]y Now saving the current configuration to the slot 0. Save the configuration successfully.
場景四:忘記了STelnet/Telnet登錄密碼
- 如果您只是忘記了某一個STelnet/Telnet賬號的登錄密碼,可以通過其他有管理員權限的STelnet/Telnet賬號登錄,重新配置密碼,請參考方法一。
- 如果您忘記了所有STelnet/Telnet賬號的登錄密碼,但可以通過Console口登錄,請參考方法二。
方法一:通過其他有管理員權限的STelnet/Telnet賬號登錄,重新配置密碼
- 通過有管理員權限的STelnet/Telnet賬號登錄交換機。
- 修改STelnet/Telnet登錄密碼。以修改VTY0~4的STelnet/Telnet登錄密碼為例。
表1-1 修改STelnet/Telnet登錄密碼
修改密碼場景
配置方法
配置Telnet登錄的認證方式為Password認證,Telnet登錄密碼為test@123,同時配置用戶級別為15級。
<HUAWEI> system-view [HUAWEI] user-interface vty 0 4 [HUAWEI-ui-vty0-4] protocol inbound telnet //V200R006及之前版本缺省使用的協議為Telnet協議,可以不配置該項;V200R007及之后版本缺省使用的協議為SSH協議,必須配置。 [HUAWEI-ui-vty0-4] authentication-mode password [HUAWEI-ui-vty0-4] set authentication password cipher test@123 [HUAWEI-ui-vty0-4] user privilege level 15 [HUAWEI-ui-vty0-4] return <HUAWEI> save配置Telnet登錄的認證方式為AAA認證,用戶名為testuser,密碼為test@123,同時配置用戶級別為15級。
此用戶名可以是原登錄使用的用戶名,相當於對原登錄賬號的密碼進行重置;也可以是新配置的一個用戶名,相當於新配置一個Telnet登錄賬號。兩種情形的配置方法相同。
<HUAWEI> system-view [HUAWEI] user-interface vty 0 4 [HUAWEI-ui-vty0-4] protocol inbound telnet //V200R006及之前版本缺省使用的協議為Telnet協議,可以不配置該項;V200R007及之后版本缺省使用的協議為SSH協議,必須配置。 [HUAWEI-ui-vty0-4] authentication-mode aaa [HUAWEI-ui-vty0-4] quit [HUAWEI] aaa [HUAWEI-aaa] local-user testuser password irreversible-cipher test@123 [HUAWEI-aaa] local-user huawei service-type telnet [HUAWEI-aaa] local-user huawei privilege level 15 Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y [HUAWEI-aaa] return <HUAWEI> save配置STelnet登錄的認證方式為Password認證,SSH用戶名為admin123,密碼為abcd@123,同時配置用戶級別為15級。
此用戶名可以是原登錄使用的用戶名,相當於對原登錄賬號的密碼進行重置;也可以是新配置的一個用戶名,相當於新配置一個STelnet登錄賬號。兩種情形的配置方法相同。
<HUAWEI> system-view [HUAWEI] user-interface vty 0 4 [HUAWEI-ui-vty0-4] protocol inbound ssh //V200R006及之前版本缺省使用的協議為Telnet協議,必須配置該項;V200R007及之后版本缺省使用的協議為SSH協議,可以不配置配置該項。 [HUAWEI-ui-vty0-4] authentication-mode aaa [HUAWEI-ui-vty0-4] user privilege level 15 [HUAWEI-ui-vty0-4] quit [HUAWEI] ssh user admin123 [HUAWEI] ssh user admin123 service-type stelnet [HUAWEI] ssh user admin123 authentication-type password [HUAWEI] aaa [HUAWEI-aaa] local-user admin123 password irreversible-cipher abcd@123 [HUAWEI-aaa] local-user admin123 privilege level 15 [HUAWEI-aaa] local-user admin123 service-type ssh [HUAWEI-aaa] quit [HUAWEI] ecc local-key-pair create Info: The key name will be: HUAWEI_Host_ECC. Info: The key modulus can be any one of the following: 256, 384, 521. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=521]:521 Info: Generating keys.......... Info: Succeeded in creating the ECC host keys. [HUAWEI] return <HUAWEI> save配置STelnet登錄的認證方式為ECC認證(RSA、DSA認證類似,不再贅述),SSH用戶名為admin123,密碼為abcd@123,同時配置用戶級別為15級。
此用戶名可以是原登錄使用的用戶名,相當於對原登錄賬號的密碼進行重置;也可以是新配置的一個用戶名,相當於新配置一個STelnet登錄賬號。兩種情形的配置方法相同。
使用ECC認證方式時,需要在SSH服務器上輸入SSH客戶端生成的密鑰中的公鑰部分。這樣當客戶端登錄服務器時,自己的私鑰如果與輸入的公鑰匹配成功,則認證通過。客戶端公鑰的生成請參見相應的SSH客戶端軟件的幫助文檔。
<HUAWEI> system-view [HUAWEI] user-interface vty 0 4 [HUAWEI-ui-vty0-4] protocol inbound ssh //V200R006及之前版本缺省使用的協議為Telnet協議,必須配置該項;V200R007及之后版本缺省使用的協議為SSH協議,可以不配置配置該項。 [HUAWEI-ui-vty0-4] authentication-mode aaa [HUAWEI-ui-vty0-4] user privilege level 15 [HUAWEI-ui-vty0-4] quit [HUAWEI] ssh user admin123 [HUAWEI] ssh user admin123 service-type stelnet [HUAWEI] ssh user admin123 authentication-type ecc [HUAWEI] ecc peer-public-key key01 encoding-type pem Enter "ECC public key" view, return system view with "peer-public-key end". [HUAWEI-ecc-public-key] public-key-code begin //進入公共密鑰編輯視圖 Enter "ECC key code" view, return last view with "public-key-code end". [HUAWEI-dsa-key-code] 308188 //拷貝復制客戶端的公鑰,為十六進制字符串 [HUAWEI-dsa-key-code] 028180 [HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB [HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F [HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B [HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5 [HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931 [HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2 [HUAWEI-ecc-key-code] 171896FB 1FFC38CD [HUAWEI-ecc-key-code] 0203 [HUAWEI-ecc-key-code] 010001 [HUAWEI-ecc-key-code] public-key-code end //退回到公共密鑰視圖 [HUAWEI-ecc-public-key] peer-public-key end //退回到系統視圖 [HUAWEI] ssh user admin123 assign ecc-key key01 //為用戶admin123分配一個已經存在的公鑰key01 [HUAWEI] ecc local-key-pair create Info: The key name will be: HUAWEI_Host_ECC. Info: The key modulus can be any one of the following: 256, 384, 521. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=521]:521 Info: Generating keys.......... Info: Succeeded in creating the ECC host keys. [HUAWEI] return <HUAWEI> save
場景五:忘記了BootROM/BootLoad菜單密碼,但可以通過Console口/STelnet/Telnet登錄
如果您可以通過Console口、STelnet或Telnet登錄交換機,登錄后執行以下操作,可以恢復BootROM/BootLoad密碼為缺省值。您可以在《S系列交換機缺省帳號與密碼》(企業網、運營商)文檔中獲取各種缺省帳號與密碼信息。該文檔的權限為C級(客戶支持級),如需升級權限,請查看網站幫助。
<HUAWEI> reset boot password The password used to enter the boot menu by clicking Ctrl+B will be restored to the default password, continue? [Y/N] y
為保證設備安全,建議不要使用缺省密碼,並定期修改密碼。
修改BootROM密碼
修改BootROM密碼需要重啟設備,進入BootROM主菜單進行修改。
- 重啟設備
<HUAWEI> reboot Info: The system is now comparing the configuration, please wait........ Warning: The configuration has been modified, and it will be saved to the next s tartup saved-configuration file flash:/204.cfg. Continue? [Y/N]:y Info: If want to reboot with saving diagnostic information, input 'N' and then e xecute 'reboot save diagnostic-information'. System will reboot! Continue?[Y/N]:y
- 當出現“Press Ctrl+B or Ctrl+E to enter BootROM menu:”時,及時(3秒內)按下快捷鍵Ctrl+B或Ctrl+E,輸入缺省密碼后進入BootROM菜單。
在BootROM主菜單下,選擇6,進入密碼子菜單。
BootROM MENU 1. Boot with default mode 2. Enter serial submenu 3. Enter startup submenu 4. Enter ethernet submenu 5. Enter filesystem submenu 6. Enter password submenu 7. Clear password for console user 8. Reboot (Press Ctrl+E to enter diag menu) Enter your choice(1-8):6 PASSWORD SUBMENU 1. Modify bootload password 2. Reset bootload password 3. Return to main menu Enter your choice(1-3): - 在密碼子菜單下,選擇1,進入BootROM密碼修改界面。
PASSWORD SUBMENU 1. Modify BootROM password 2. Reset BootROM password 3. Return to main menu Enter your choice(1-3): 1 Old password://輸入原密碼 New password://輸入新密碼 Verify://再次輸入新密碼
修改BootLoad密碼
修改BootLoad密碼需要重啟設備,進入BootLoad主菜單進行修改。
- 重啟設備
<HUAWEI> reboot Info: The system is now comparing the configuration, please wait........ Warning: The configuration has been modified, and it will be saved to the next s tartup saved-configuration file flash:/204.cfg. Continue? [Y/N]:y Info: If want to reboot with saving diagnostic information, input 'N' and then e xecute 'reboot save diagnostic-information'. System will reboot! Continue?[Y/N]:y
- 當出現“Press Ctrl+B or Ctrl+E to enter BootLoad menu:”時,及時(3秒內)按下快捷鍵Ctrl+B或Ctrl+E,輸入缺省密碼后進入BootLoad菜單。
在BootLoad主菜單下,選擇5,進入密碼子菜單。
BootLoad Menu 1. Boot with default mode 2. Enter startup submenu 3. Enter ethernet submenu 4. Enter filesystem submenu 5. Enter password submenu 6. Clear password for console user 7. Reboot (Press Ctrl+E to enter diag menu) Enter your choice(1-7):5 PASSWORD SUBMENU 1. Modify bootload password 2. Reset bootload password 3. Return to main menu Enter your choice(1-3): - 在密碼子菜單下,選擇1,進入BootLoad密碼修改界面。
PASSWORD SUBMENU 1. Modify bootload password 2. Reset bootload password 3. Return to main menu Enter your choice(1-3): 1 Old password: //輸入原密碼 New password: //輸入新密碼 Verify: //再次輸入新密碼
場景六:忘記了Web登錄密碼,但可以通過Console口/STelnet/Telnet登錄
如果您可以通過Console口、STelnet或Telnet登錄交換機,登錄后執行以下操作,設置新的Web登錄密碼。 以Web登錄用戶名為admin123,密碼為test@123為例。
<HUAWEI> system-view [HUAWEI] aaa [HUAWEI-aaa] local-user admin123 password irreversible-cipher test@123 [HUAWEI-aaa] local-user admin123 service-type http [HUAWEI-aaa] local-user admin123 privilege level 15 Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y [HUAWEI-aaa] return <HUAWEI> save