简介
您是否有过忘记交换机密码的经历?忘记密码,登录不上交换机该怎么办?
本⽂档主要介绍,在遗忘S系列交换机的Console⼝登录密码、STelnet/Telnet登录密码、BootROM/BootLoad菜单密码或Web⽹管登录密码时,如何清除⽼密码或者设置新的密码,确保可以正常登录交换机。
登录交换机的⽅式请参考。
前提条件
本⽂档以V200R020C00版本的S系列交换机为例介绍如何清除⽼密码或者设置新密码。具体操作可能因设备型号和版本存在差异,请参考相应的产品⽂档。
本⽂档基于特定实验室环境中的设备编写。如果您的设备在现⽹中运⾏,请确保您已经了解所有命令的潜在影响。
场景⼀:修改了所有默认密码,还忘记了所有密码
如果您忘记了Console⼝登录密码、所有的STelnet/Telnet账号及密码、BootROM/BootLoad菜单密码,并且所有密码都做了修改,不是缺省密码:
对于⽀持PNP键的交换机,您可通过长按(6秒以上)PNP键,使交换机恢复出⼚配置并⾃动重新启动。PNP键如下图所⽰。
对于不⽀持PNP键的交换机,则需返⼚维修。
图1-1 PNP键⽰意图
恢复出⼚配置后的必要配置,请参考。
在恢复出⼚配置后,⽤户所有的配置数据将被删除,⽆法恢复。请谨慎使⽤。
场景⼆:忘记了默认密码
对于V200R020及之后版本的S系列交换机,由于未设置任何缺省账号密码,⽤户登录交换机时必须设置新密码,所以不存在场景⼆的情形。
但是,对于V200R020之前版本的S系列交换机,除STelnet/Telnet登录没有缺省密码以外,设备对Cons
ole⼝登录、BootROM/BootLoad菜单、Web⽹管登录均设置了缺省密码,且不同版本的缺省密码可能不同。
如果您⼀直使⽤的是设备缺省密码,未曾改过密码,您可以在《S系列交换机缺省帐号与密码》(、)⽂档中获取各种缺省帐号与密码信息。该⽂档的权限为C级(客户⽀持级),如需升级权限,请查看⽹站帮助。
为保证设备安全,建议不要使⽤缺省密码,并定期修改密码。
场景三:忘记了Console⼝登录密码
设备提供如下⽅法恢复Console⼝密码。
⽅法⼀:
⽅法⼆:
请优先使⽤⽅法⼀,如果STelnet/Telnet密码也忘记了再使⽤⽅法⼆。使⽤Telnet协议存在安全风险,建议使⽤STelnet(建议使⽤STelnet V2协议)登录设备。
⽅法⼀:通过STelnet/Telnet登录设备修改Console⼝密码
如果您拥有STelnet/Telnet账号并且具有管理员的权限,则可以通过STelnet/Telnet登录设备后,修改Console⼝登录密码,然后保存配置。
下⾯以STelnet登录设备后修改Console⼝登录密码为例。
1. 使⽤STelnet账号登录设备后,确认当前账号权限为3级或3级以上。
使⽤display users命令查看当前设备所有登录⽤户。其中带“+”标记⾏表⽰为当前⽤户,记录对应的编号VTY1。
<HUAWEI> display users
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag
129 VTY 0 00:23:36 TEL 10.135.18.67 pass no Username : Unspecified
+ 130 VTY 1 01:20:36 SSH 10.135.18.91 pass no Username : Unspecified
131 VTY 2 00:00:00 TEL 10.135.18.54 pass no Username : Unspecified
使⽤display user-interface命令可以显⽰所有⽤户的权限,确定VTY1对应的等级为15,有权限修改Cons
ole⼝登录密码。
<HUAWEI> display user-interface
Idx Type Tx/Rx Modem Privi ActualPrivi Auth Int
0 CON 0 9600 - 15 - P -
+ 129 VTY 0 - 15 15 P -
+ 130 VTY 1 - 15 15 P -
+ 131 VTY 2 - 15 - P -
132 VTY 3 - 15 15 P -
......
2. 修改Console⼝登录的密码。
以修改为密码认证,密码为test@123为例。 <HUAWEI> system-view [HUAWEI] user-interface console
0 [HUAWEI-ui-console0] authentication-mode password [HUAWEI-ui-console0] set authentication password cipher test@123 [HUAWEI-ui-console0] return
以修改为AAA认证,⽤户名为admin123,密码为test@123为例。 <HUAWEI> system-view [HUAWEI] user-interface console 0 [HUAWEI-ui-console0]
authentication-mode aaa [HUAWEI-ui-console0] quit [HUAWEI] aaa [HUAWEI-aaa] local-user admin123 password irreversible-cipher test@123 [HUAWEI-aaa] local-user admin123 service-type terminal [HUAWEI-aaa] return
3. 为了防⽌重启后配置丢失,保存配置。
<HUAWEI> save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0.
Save the configuration successfully.
⽅法⼆:在BootROM/BootLoad下配置清除Console⼝密码启动后,修改Console⼝密码
如果您记得BootROM/BootLoad菜单密码,能正常进⼊BootROM/BootLoad菜单,则可以通过BootROM/BootLoad菜单清除Console⼝登录密码,并在交换机重新启动后设置新
的Console⼝登录密码,然后保存配置。
要进⼊到BootROM/BootLoad菜单需要重启设备(可以通过将设备先下电再上电的⽅式进⾏重启),会导致业务中断,可能会导致配置、数据丢失。请尽量选择业务量较少的时间操作。设备启动过程中不要对设备进⾏下电操作。
对于双主控板的框式交换机,需要在重启交换机之前将备主控板拔下,待执⾏完以下操作后,再将备主控板插上,执⾏save命令以保证主⽤主控板和备⽤主控板配置⼀致。
多台设备堆叠情况下,先将成员交换机下电,在主交换机上完成以下操作后,执⾏save命令,以保证启动其他成员设备后能同步主交换机上的配置。
如果维护终端(PC端)上没有COM⼝(DB9串⼝),可单独购买⼀根DB9串⼝转USB的转接线,将USB⼝连接到维护终端。
请按照如下步骤进⾏配置。
1. 通过Console⼝连接交换机。将Console通信电缆的DB9(孔)插头插⼊PC机的COM⼝中,再将RJ-45插头端插⼊设备的Console⼝中,如所⽰。
图1-2 通过Console⼝链接设备
2. 在PC上打开终端仿真软件,新建连接,设置连接的接⼝,配置通信参数如下:
波特率:9600
数据位:8
停⽌位:1
奇偶校验位:⽆
流控:⽆
3. 重启交换机。当界⾯出现以下打印信息时,及时按下快捷键“Ctrl+B”或者“Ctrl+E”并输⼊BootROM/BootLoad密码,进⼊BootROM/BootLoad主菜单。
Press Ctrl+B or Ctrl+E to enter BootROM/BootLoad menu (2)
password: //输⼊BootROM/BootLoad密码
不同版本和不同形态的设备回显有差异,请以实际设备显⽰为准。
如果您未曾改过BootROM/BootLoad缺省密码,则可以输⼊缺省密码进⼊BootROM/BootLoad主菜单。您可以在《S系列交换机缺省帐号与密码》(、)⽂档中获取各种缺省帐号与密码信息。该⽂档的权限为C级(客户⽀持级),如需升级权限,请查看⽹站帮助。
4. 在BootROM/BootLoad主菜单下选择“Clear password for console user”清除Console⼝登录密码。
5. 根据交换机的提⽰,在BootROM/BootLoad主菜单下选择“Boot with default mode”启动设备。
此处不要选择“Reboot”选项,否则此次清除密码将失效。
6. 完成系统启动后,通过Console⼝登录时不需要认证,登录后按照系统提⽰配置验证密码。(V200R009及之后版本,完成系统启动后,通过Console⼝登录时认证⽅式为
None,系统启动后不会提⽰配置验证密码。)
7. 登录交换机后,您可以根据需要修改Console⽤户界⾯的认证⽅式及密码。修改Console⼝登录的密码请参考⽅法⼀的。
8. 为了防⽌重启后配置丢失,保存配置。
<HUAWEI> save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0.
Save the configuration successfully.
场景四:忘记了STelnet/Telnet登录密码
如果您只是忘记了某⼀个STelnet/Telnet账号的登录密码,可以通过其他有管理员权限的STelnet/Telnet账号登录,重新配置密码,请参考。
如果您忘记了所有STelnet/Telnet账号的登录密码,但可以通过Console⼝登录,请参考。
⽅法⼀:通过其他有管理员权限的STelnet/Telnet账号登录,重新配置密码
1. 通过有管理员权限的STelnet/Telnet账号登录交换机。
2. 修改STelnet/Telnet登录密码。以修改VTY0~4的STelnet/Telnet登录密码为例。
表1-1 修改STelnet/Telnet登录密码
修改密码场
景
配置⽅法
配置Telnet登录的认证⽅式为Password认证,Telnet登录密码为test@123,同时配置⽤户级别为15级。<HUAWEI> system-view
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] protocol inbound telnet //V200R006及之前版本缺省使⽤的协议为Telnet协议,可以不配置该项;V200R007及之后版本缺省使⽤的协议为SSH协议,必须配置。[HUAWEI-ui-vty0-4] authentication-mode password
[HUAWEI-ui-vty0-4] set authentication password cipher test@123
[HUAWEI-ui-vty0-4] user privilege level 15
[HUAWEI-ui-vty0-4] return
<HUAWEI> save
配置Telnet登录的认证⽅式为AAA认证,⽤户名为testuser,密码为
test@123,同时配置⽤户级别为15级。
此⽤户名可以是原登录使⽤的⽤户名,相当于对原登录账号的密码进⾏重置;也可以是新配置的⼀个⽤户名,相当于新配置⼀个Telnet登录账号。两种情形的配置⽅法相同。<HUAWEI> system-view
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] protocol inbound telnet //V200R006及之前版本缺省使⽤的协议为Telnet协议,可以不配置该项;V200R007及之后版本缺省使⽤的协议为SSH协议,必须配置。[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user testuser password irreversible-cipher test@123
[HUAWEI-aaa] local-user huawei service-type telnet
[HUAWEI-aaa] local-user huawei privilege level 15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[HUAWEI-aaa] return
<HUAWEI> save
配置STelnet 登录的认证⽅式为Password认证,SSH⽤<HUAWEI> system-view
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] protocol inbound ssh //V200R006及之前版本缺省使⽤的协议为Telnet协议,必须配置该项;V200R007及之后版本缺省使⽤的协议为SSH协议,可以不配置配置该项。[HUAWEI-ui-vty0-
4] authentication-mode aaa
[HUAWEI-ui-vty0-4] user privilege level 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] ssh user admin123
户名为admin123,密码为abcd@123,同时配置⽤户级别为15级。
此⽤户名可以是原登录使⽤的⽤户名,相当于对原登录账号的密码进⾏重置;也可以是新配置的⼀个⽤户名,相当于新配置⼀个STelnet登录账号。两种情形的配置⽅法相同。[HUAWEI] ssh user admin123 service-type stelnet
[HUAWEI] ssh user admin123 authentication-type password
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher abcd@123
[HUAWEI-aaa] local-user admin123 privilege level 15
[HUAWEI-aaa] local-user admin123 service-type ssh
[HUAWEI-aaa] quit
[HUAWEI] ecc local-key-pair create
Info: The key name will be: HUAWEI_Host_ECC. Info: The key modulus can be any one of the following: 256, 384, 521. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [ Info:
Info: Succeeded in creating the ECC host keys.
[HUAWEI] return
<HUAWEI> save
配置STelnet 登录的认证⽅式为ECC 认证(RSA、DSA认证类似,不再赘述),SSH ⽤户名为admin123,密码为abcd@123,同时配置⽤户级别为15级。
此⽤户名可以是原登录使⽤的⽤户名,相当于对原登录账号的密码进⾏重置;也可以是新配置的⼀个⽤户名,相当于新配置⼀个STelnet登录账号。两种情形的配置⽅法相同。
使⽤ECC认证⽅式时,需要在SSH 服务器上输⼊SSH客户端⽣成的密钥中的公钥部分。这样当客户端登录服务器时,⾃⼰的私钥如果与输⼊的公钥匹配成功,则认证通过。客户端公钥的⽣成请参见相应的SSH客户端软件的帮助⽂档。<HUAWEI> system-view
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] protocol inbound ssh //V200R006及之前版本缺省使⽤的协议为Telnet协议,必须配置该项;V200R007及之后版本缺省使⽤的协议为SSH协议,可以不配置配置该项。
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] user privilege level 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] ssh user admin123
[HUAWEI] ssh user admin123 service-type stelnet
[HUAWEI] ssh user admin123 authentication-type ecc
[HUAWEI] ecc peer-public-key key01 encoding-type pem
Enter "ECC public key" view, return system view with "peer-public-key end".
[HUAWEI-ecc-public-key] public-key-code begin //进⼊公共密钥编辑视图
Enter "ECC key code" view, return last view with "public-key-code end".
[HUAWEI-dsa-key-code] 308188 //拷贝复制客户端的公钥,为⼗六进制字符串
[HUAWEI-dsa-key-code] 028180
[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
密码修改[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[HUAWEI-ecc-key-code] 171896FB 1FFC38CD
[HUAWEI-ecc-key-code] 0203
[HUAWEI-ecc-key-code] 010001
[HUAWEI-ecc-key-code] public-key-code end //退回到公共密钥视图
[HUAWEI-ecc-public-key] peer-public-key end //退回到系统视图
[HUAWEI] ssh user admin123 assign ecc-key key01 //为⽤户admin123分配⼀个已经存在的公钥key01
[HUAWEI] ecc local-key-pair create
Info: The key name will be: HUAWEI_Host_ECC. Info: The key modulus can be any one of the following: 256, 384, 521. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [ Info:
Info: Succeeded in creating the ECC host keys.
[HUAWEI] return
<HUAWEI> save
修改密码场
景
配置⽅法
⽅法⼆:通过Console⼝登录后,设置新的Stelnet/Telnet登录密码
如果忘记了STelnet/Telnet登录密码,但记得Console⼝登录密码,则可以通过Console⼝登录交换机后设置新的Stelnet/Telnet登录密码。
使⽤Telnet协议存在安全风险,建议使⽤STelnet(建议使⽤STelnet V2协议)登录设备。
1. 通过Console⼝连接交换机。将Console通信电缆的DB9(孔)插头插⼊PC机的COM⼝中,再将RJ-45插头端插⼊设备的Console⼝中,如所⽰。
图1-3 通过Console⼝链接设备
2. 在PC上打开终端仿真软件,新建连接,设置连接的接⼝,配置通信参数如下:
波特率:9600
数据位:8
停⽌位:1
奇偶校验位:⽆
流控:⽆
3. 单击“Connect”,根据提⽰输⼊或配置登录密码,完成Console⼝登录。
4. 修改STelnet/Telnet登录密码。请参考⽅法⼀的。
场景五:忘记了BootROM/BootLoad菜单密码,但可以通过Console⼝/STelnet/Telnet登录
如果您可以通过Console⼝、STelnet或Telnet登录交换机,登录后执⾏以下操作,可以恢复BootROM/B
ootLoad密码为缺省值。您可以在《S系列交换机缺省帐号与密码》(、)⽂档中获取各种缺省帐号与密码信息。该⽂档的权限为C级(客户⽀持级),如需升级权限,请查看⽹站帮助。
<HUAWEI> reset boot password
The password used to enter the boot menu by clicking Ctrl+B will be restored to the default password, continue? [Y/N] y
为保证设备安全,建议不要使⽤缺省密码,并定期修改密码。
修改BootROM密码
修改BootROM密码需要重启设备,进⼊BootROM主菜单进⾏修改。
1. 重启设备
<HUAWEI> reboot
Info: The system is now comparing the configuration,
Warning: The configuration has been modified, and it will be saved to the next s
tartup saved-configuration file flash:/204.cfg. Continue? [Y/N]:y
Info: If want to reboot with saving diagnostic information, input 'N' and then e
xecute 'reboot save diagnostic-information'.
System will reboot! Continue?[Y/N]:y
2. 当出现“Press Ctrl+B or Ctrl+E to enter BootROM menu:”时,及时(3秒内)按下快捷键Ctrl+B或Ctrl+E,输⼊缺省密码后进⼊BootROM菜单。
在BootROM主菜单下,选择6,进⼊密码⼦菜单。
BootROM MENU
1. Boot with default mode
2. Enter serial submenu
3. Enter startup submenu
4. Enter ethernet submenu
5. Enter filesystem submenu
6. Enter password submenu
7. Clear password for console user
8. Reboot
(Press Ctrl+E to enter diag menu)
Enter your choice(1-8):6
PASSWORD SUBMENU
1. Modify bootload password
2. Reset bootload password
3. Return to main menu
Enter your choice(1-3):
3. 在密码⼦菜单下,选择1,进⼊BootROM密码修改界⾯。
PASSWORD SUBMENU
1. Modify BootROM password
2. Reset BootROM password
3. Return to main menu
Enter your choice(1-3): 1
Old password://输⼊原密码
New password://输⼊新密码
Verify://再次输⼊新密码
修改BootLoad密码
修改BootLoad密码需要重启设备,进⼊BootLoad主菜单进⾏修改。
1. 重启设备
<HUAWEI> reboot
Info: The system is now comparing the configuration,
Warning: The configuration has been modified, and it will be saved to the next s
tartup saved-configuration file flash:/204.cfg. Continue? [Y/N]:y
Info: If want to reboot with saving diagnostic information, input 'N' and then e
xecute 'reboot save diagnostic-information'.
System will reboot! Continue?[Y/N]:y
2. 当出现“Press Ctrl+B or Ctrl+E to enter BootLoad menu:”时,及时(3秒内)按下快捷键Ctrl+B或Ctrl+E,输⼊缺省密码后进⼊BootLoad菜单。
在BootLoad主菜单下,选择5,进⼊密码⼦菜单。
BootLoad Menu
1. Boot with default mode
2. Enter startup submenu
3. Enter ethernet submenu
4. Enter filesystem submenu
5. Enter password submenu
6. Clear password for console user
7. Reboot
(Press Ctrl+E to enter diag menu)
Enter your choice(1-7):5
PASSWORD SUBMENU
1. Modify bootload password
2. Reset bootload password
3. Return to main menu
Enter your choice(1-3):
3. 在密码⼦菜单下,选择1,进⼊BootLoad密码修改界⾯。
PASSWORD SUBMENU
1. Modify bootload password
2. Reset bootload password
3. Return to main menu
Enter your choice(1-3): 1
Old password: //输⼊原密码
New password: //输⼊新密码
Verify: //再次输⼊新密码
场景六:忘记了Web登录密码,但可以通过Console⼝/STelnet/Telnet登录
如果您可以通过Console⼝、STelnet或Telnet登录交换机,登录后执⾏以下操作,设置新的Web登录密码。以Web登录⽤户名为admin123,密码为test@123为例。<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher test@123
[HUAWEI-aaa] local-user admin123 service-type http
[HUAWEI-aaa] local-user admin123 privilege level 15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[HUAWEI-aaa] return
<HUAWEI> save
发布评论