1 基础配置类故障处理

1.1  登录设备类故障处理

1.1.1  Console口密码遗忘

1. 故障描述

Console口采用Password认证或AAA本地认证的情况下，管理员通过Console口登录设备时，因密码不正确而无法成功登录。

2. 常见原因

本类故障的常见原因主要包括：

·     管理员遗忘了Console口的登录密码或输入错误的密码。

·     Console口的登录账户已过期。

3. 故障分析

本类故障的诊断流程如图1-1所示。

图1-1 Console口密码遗忘故障诊断流程图

 

4. 处理步骤

(1)     确认是否能过通过Telnet/Stelnet方式登录设备。

如果管理员拥有Telnet/Stelnet账号，并且该账号拥有network-admin/level-15用户角色，则可以通过Telnet/Stelnet方式登录到设备后修改Console口登录相关配置。具体的处理步骤如下：

a.     使用Telnet/Stelnet账号登录设备，执行display line命令查看Console口所在用户线的认证方式。

<Sysname> display line

  Idx  Type     Tx/Rx      Modem Auth  Int          Location

  0    CON 0    9600       -     P     -            0/0

+ 81   VTY 0               -     N     -            0/0

...

以上显示信息中，“Auth”字段取值为P表示采用密码认证方式，取值为A表示采用AAA认证方式。

b.     确认当前登录的Telnet/Stelnet用户是否具有network-admin/level-15用户角色。

对于采用none或者password认证方式登录的用户，可在当前登录的用户线视图下查看用户角色配置是否为network-admin/level-15；对于采用scheme认证方式登录的用户，用户角色由AAA授权，需要查看对应的本地账号或远程账号的授权用户角色属性。

<Sysname> system-view

[Sysname-line-vty0] display this

#

line con 0

 authentication-mode password

 user-role network-admin

#

line vty 0 63

 authentication-mode none

 user-role network-admin

#

return

如果用户角色不是network-admin/level-15，则当前登录的账户没有更改Console口相关配置的权限，请执行步骤（2）；如果用户角色为network-admin/level-15，请根据Console口的认证方式采用不同的处理步骤。

c.     Console口采用密码认证方式的情况下，修改Console口认证密码。

进入Console口所在的用户线，设置新的密码（下例中为1234567890!）。同时，建议将用户角色设置为network-admin/level-15，避免Console口登录后用户权限过低。

[Sysname] line console 0

[Sysname-line-console0] set authentication password simple 1234567890!

[Sysname-line-console0] user-role network-admin

d.     Console口采用AAA本地认证方式的情况下，修改Console口的本地用户密码。

进入Console口登录所使用账户的本地用户视图，修改本地用户的密码（下例中用户名为admin，用户密码为1234567890!）。同时，建议将用户角色设置为network-admin/level-15，避免Console口登录后用户权限过低。

[Sysname] local-user admin class manage

[Sysname-luser-manage-admin] password simple 1234567890!

[Sysname-luser-manage-admin] authorization-attribute user-role network-admin

e.     Console口采用AAA远程认证方式的情况下，请联系AAA服务器管理员获取登录密码。

f.     为了防止重启后配置丢失，请执行save命令保存当前配置。

(2)     通过Console口连接设备后，断电重启设备，进入BootWare菜单。

 

系统启动后，如果未及时选择进入基本段，则会直接运行BootWare扩展段程序。当显示信息出现“Press Ctrl+B to access EXTENDED-BOOTWARE MENU...”时，键入<Ctrl+B>，系统会首先给出密码恢复功能是否开启的提示信息：

Password recovery capability is enabled.

Password recovery capability is disabled.

¡     密码恢复功能处于开启状态时，可以选择跳过Console口认证选项，或者跳过当前配置选项。具体操作过程请分别参见步骤（3）、（4）。

¡     密码恢复功能处于关闭状态时，可以选择恢复出厂配置选项。具体操作过程请执行步骤（5）。

(3)     通过BootWare扩展段菜单跳过Console口认证，登录后修改Console口密码。

直接回车，进入BootWare扩展段主菜单后，请按照系统提示选择相应的菜单选项跳过Console口认证（不同产品跳过Console口认证的菜单选项不同，请以实际情况为准）。系统启动后，不需要管理员输入Console口密码，会正常完成所有配置的加载。

a.     启动后，请尽快根据Console口采用的认证方式修改密码。

-     Console口采用密码认证方式的情况下，修改Console口认证密码。

进入Console口所在的用户线，设置新的密码（下例中为1234567890!）。同时，建议将用户角色设置为network-admin/level-15，避免Console口登录后用户权限过低。

<Sysname> system-view

[Sysname] line console 0

[Sysname-line-console0] set authentication password simple 1234567890!

[Sysname-line-console0] user-role network-admin

-     Console口采用AAA本地认证方式的情况下，修改Console口的本地用户密码。

进入Console口登录所使用账户的本地用户视图，修改本地用户的密码（下例中用户名为admin，用户密码为1234567890!）。同时，建议将用户角色设置为network-admin/level-15，避免Console口登录后用户权限过低。

<Sysname> system-view

[Sysname] local-user admin class manage

[Sysname-luser-manage-admin] password simple 1234567890!

[Sysname-luser-manage-admin] authorization-attribute user-role network-admin

b.     为了防止重启后配置丢失，请执行save命令保存当前配置。

(4)     通过BootWare扩展段菜单跳过当前配置，登录后配置新的Console口密码。

直接回车，进入BootWare扩展段主菜单后，请按照系统提示选择相应的菜单选项跳过当前配置（不同产品跳过当前配置的菜单选项不同，请以实际情况为准）。系统启动时，将忽略配置文件中的所有配置以空配置进行启动（该选项每次设置后仅生效一次）。系统启动后，不需要管理员输入Console口密码。

a.     启动后，请尽快将原配置文件导出。在此操作过程中不要对设备进行断电。

-     方式一：通过FTP/TFTP方式将原配置文件导出到本地。

-     方式二：在用户视图下执行more命令查看原配置文件内容，将显示的所有原配置文件内容直接复制粘贴到本地文件中。

b.     手动修改本地配置文件中关于Console口登录的配置，将修改后的配置文件上传至设备存储介质的根目录下。

c.     配置下次启动时的配置文件为修改后的配置文件（假设修改后的配置文件为startup.cfg）。

<Sysname> startup saved-configuration startup.cfg

d.     重启设备。

(5)     通过BootWare扩展段菜单恢复出厂配置，登录后配置新的Console口密码。

 

直接回车，进入BootWare扩展段主菜单后，请按照系统提示选择相应的子菜单恢复出厂配置（不同产品恢复出厂配置的菜单选项不同，请以实际情况为准）。系统启动后，不需要管理员输入Console口密码。

a.     启动后，请根据实际需要配置Console口的登录认证方式，以及相关的登录密码或登录账户。

-     认证方式为none

<Sysname> system-view

[Sysname] line console 0

[Sysname-line-console0] authentication-mode none

[Sysname-line-console0] user-role network-admin

该方式下，用户不需要输入用户名和密码，就可以使用该用户线登录设备，存在安全隐患，请谨慎配置。

-     认证方式为密码认证

<Sysname> system-view

[Sysname] line console 0

[Sysname-line-console0] authentication-mode password

[Sysname-line-console0] set authentication password simple 1234567890!

[Sysname-line-console0] user-role network-admin

-     认证方式为本地AAA认证

<Sysname> system-view

[Sysname] line console 0

[Sysname-line-console0] authentication-mode scheme

[Sysname-line-console0] quit

[Sysname] local-user admin class manage

[Sysname-luser-manage-admin] service-type terminal

[Sysname-luser-manage-admin] password simple 1234567890!

[Sysname-luser-manage-admin] authorization-attribute user-role network-admin

-     认证方式为远程AAA认证

<Sysname> system-view

[Sysname] line console 0

[Sysname-line-console0] authentication-mode scheme

[Sysname-line-console0] quit

除此之外，还需要配置Login用户的认证域，以及RADIUS、HWTACACS或LDAP方案。相关配置的详细介绍请参见“安全配置指导”中的“AAA”。

b.     为了防止重启后配置丢失，请执行save命令保存当前配置。

(6)     如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

5. 告警与日志

相关告警

无

相关日志

无

1.1.2  Telnet登录密码遗忘

1. 故障描述

设备对Telnet登录用户采用Password认证或AAA本地认证的情况下，管理员遗忘Telnet账户密码无法登录设备。

2. 常见原因

本类故障的常见原因主要包括：

·     管理员遗忘了Telnet口的登录密码或输入错误的密码。

·     Telnet登录账户已过期。

3. 故障分析

本类故障的诊断流程如图1-2所示。

图1-2 Telnet登录密码遗忘故障诊断流程图

 

4. 处理步骤

(1)     确认是否有其它方式可以登录设备。

如果Telnet登录密码丢失，可以通过其他方式（例如Console口）登录设备后重新进行配置。

a.     使用其它方式登录设备，执行display line命令查看VTY口所在用户线的认证方式。

<Sysname> display line

  Idx  Type     Tx/Rx      Modem Auth  Int          Location

+ 0    CON 0    9600       -     P     -            0/0

  81   VTY 0               -     P     -            0/0

...

以上显示信息中，“Auth”字段取值为P表示采用密码认证方式，取值为A表示采用AAA认证方式。

b.     根据VTY口的认证方式，采用不同的处理步骤重新设置新的登录密码。

-     采用密码认证

设置VTY登录用户的认证方式为密码认证，假设登录密码为1234567890!，用户角色为network-admin。

<Sysname> system-view

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode password

[Sysname-line-vty0-63] set authentication password simple 1234567890!

[Sysname-line-vty0-63] user-role network-admin

-     采用AAA本地认证

设置VTY登录用户的认证方式为AAA认证，假设登录使用的本地账户名为admin，使用的本地密码为1234567890!，用户角色为network-admin。

<Sysname> system-view

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

[Sysname-line-vty0-63] quit

[Sysname] local-user admin class manage

[Sysname-luser-manage-admin] service-type telnet

[Sysname-luser-manage-admin] password simple 1234567890!

[Sysname-luser-manage-admin] authorization-attribute user-role network-admin

如果忘记原有登录账户名，可参考以上步骤创建新的本地账户。

-     采用AAA远程认证

该认证方式下，请联系AAA服务器管理员获取登录密码。

(2)     如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

5. 告警与日志

相关告警

无

相关日志

无

1.1.3  Telnet登录失败

1. 故障描述

设备作为Telnet服务器时，用户通过Telnet客户端登录设备失败。

2. 常见原因

本类故障的常见原因主要包括：

·     Telnet客户端和设备间网络不畅通。

·     Telnet客户端未启用Telnet相关功能。

·     设备未开启Telnet服务。

·     VTY用户线下未配置支持Telnet协议。

·     登录用户名、密码不正确。

·     登录设备的用户数达到了上限。

·     设备上配置了对Telnet用户的访问控制，Telnet客户端不在所引用ACL的规则中permit的用户范围之内。

·     认证方式配置不正确。

·     当Telnet客户端和Telnet服务器均为我司设备时，用户未从Telnet客户端上指定的发送Telnet报文的源地址或源接口登录Telnet服务器。

3. 故障分析

本类故障的诊断流程如图1-3所示。

图1-3 Telnet登录失败的故障诊断流程图

 

4. 处理步骤

(1)     ‍检查客户端能否Ping通设备。

用户在Telnet客户端上执行ping命令查看Telnet客户端和设备之间网络连接情况。

如果不能Ping通设备的IP地址，表示Telnet客户端和设备无法建立Telnet连接，则Telnet客户端登录将失败。无法Ping通设备，也可能是终端设备禁Ping导致。请参见“Ping和Tracert故障处理手册”继续定位，确保Telnet客户端与设备之间的网络畅通。

(2)     检查客户端上是否启用Telnet相关功能。

通常，在PC机上新建Telnet连接前，需要在PC上的“打开或关闭Windows功能”中启用“Telnet客户端”功能。

移动端等其他类型的设备作为Telnet客户端时，开启Telnet相关功能的详细介绍和使用方法请参见该设备的使用指导。

(3)     检查设备侧是否开启Telnet服务。

缺省情况下，Telnet服务处于关闭状态。如果系统视图下执行display this命令后，没有显示telnet server enable的配置信息，表示Telnet服务处于关闭状态。请先执行telnet server enable命令开启Telnet服务，确保设备允许客户端通过Telnet登录。

(4)     查看VTY用户线支持的协议是否包含Telnet协议。

在VTY用户线或VTY用户线类视图下执行display this命令，

¡     如果显示配置信息中不包含protocol inbound telnet或protocol inbound all，表示用户线下不支持Telnet协议。

¡     非FIPS模式下，由于系统默认支持所有协议，如果显示配置信息中包含undo protocol inbound，或者不包含protocol inbound相关配置，表示系统支持所有协议。

若用户线下不支持Telnet协议，请配置protocol inbound telnet或protocol inbound all命令来允许Telnet协议类型的登录用户接入。

<Sysname> system-view

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

[Sysname-line-vty0-63] protocol inbound all

需要注意的是，修改protocol inbound的配置将在用户下次使用该用户线登录时生效。

(5)     检查客户端登录设备的用户名和密码是否正确。

当用户向设备发起Telnet连接，在Telnet客户端按照提示输入登录设备的用户名和密码后，若系统提示认证失败，则建议重新输入用户名和密码，再次尝试登录设备。如果依旧登录失败，可以查看LOGIN/5/LOGIN_INVALID_USERNAME_PWD日志，若日志中显示类似如下内容时表示用户输入无效的用户名或密码：

LOGIN/5/LOGIN_INVALID_USERNAME_PWD: Invalid username or password from vty0.

如果忘记正确的登录用户名或密码，请修改认证方式为不认证，或重置密码，并通知用户再次尝试登录设备。

¡     在用户线视图或用户线类视图下执行authentication-mode none命令，设置用户登录设备时的认证方式为不认证，用户不需要输入用户名和密码，就可以使用该用户线登录设备，但这种方式存在安全隐患，请谨慎配置。

<Sysname> system-view

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode none

¡     如果登录用户的认证方式为密码认证，在用户线视图或用户线类视图下执行set authentication password命令来重新设置认证密码。

<Sysname> system-view

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode password

[Sysname-line-vty0-63] set authentication password simple hello12345&！

¡     如果登录用户的认证方式为AAA认证，请参见“AAA故障处理手册”和“Password Control故障处理手册”重置密码。

(6)     检查登录设备的用户数是否达到了上限。

从Console口登录到设备，在任意视图下执行display users命令查看当前的Telnet用户数。缺省情况下，同时在线的Telnet用户数上限为32个。

可以查看TELNETD/6/TELNETD_REACH_SESSION_LIMIT日志，若日志中显示类似如下内容，表示Telnet登录用户达到上限：

TELNETD/6/TELNETD_REACH_SESSION_LIMIT: Telnet client 1.1.1.1 failed to log in. The current number of Telnet sessions is 10. The maximum number allowed is (10).

如果登录设备的用户数已经达到了上限，可以先断开其他空闲Telnet用户的连接，或者执行aaa session-limit telnet命令增加允许同时在线的最大用户连接数，然后再向设备发起Telnet连接。

(7)     查看设备上是否引用了ACL对Telnet用户的访问进行控制。

在系统视图下执行display this命令，如果显示telnet server acl、telnet server ipv6 acl相关配置信息，表示引用了ACL对访问设备的Telnet的用户进行控制。

¡     确认所引用的ACL规则中允许了Telnet客户端的IP地址、端口号、协议号等。可以查看TELNETD_ACL_DENY日志，若日志中显示类似如下内容，表示Telnet ACL规则限制登录IP地址：

TELNETD/5/TELNETD_ACL_DENY: The Telnet Connection 1.2.3.4(vpn1) request was denied according to ACL rules.

¡     执行undo telnet server acl或undo telnet server ipv6 acl命令来取消ACL对Telnet用户的访问限制。

(8)     检查设备上认证方式配置是否正确。

在任意视图下执行display line命令查看用户线下用户登录设备时的认证方式，其中“Auth”字段表示使用该用户线登录的用户的认证方式，取值为“A”表示使用AAA认证方式，取值为“N”表示无需认证，取值为“P”表示使用当前用户线的密码进行认证。

¡     如果使用命令authentication-mode password配置了VTY用户线下的登录认证方式为密码认证，还需要确保设置了认证密码。

¡     如果使用命令authentication-mode scheme设置认证方式为AAA，则必须确保已经创建了AAA认证用户。具体请参见“AAA&PasswordControl故障处理手册”。

(9)     当Telnet客户端和Telnet服务器均为我司设备时，检查Telnet客户端上是否配置了发送Telnet报文的源地址或源接口。

在系统视图下执行display this命令，如果显示中包含telnet client source的相关配置信息，表示Telnet客户端上指定了发送Telnet报文的源IPv4地址和源接口，请确保用户从Telnet客户端上指定的源IPv4地址或源接口登录Telnet服务器。若登录失败，请选择以下配置后重新尝试登录：

¡     执行telnet client source命令重新配置发送Telnet报文的源IPv4地址或源接口。

¡     执行undo telnet client source命令来恢复缺省情况，即不指定发送Telnet报文的源IPv4地址和源接口，使用报文路由出接口的主IPv4地址作为Telnet报文的源地址。

需要注意的是，

¡     在用户视图下执行telnet命令也可以指定Telnet报文的源接口或源IPv4地址，若同时使用telnet client source命令和telnet命令指定源IPv4地址或源接口，则以telnet命令指定的源IP地址或源接口为准。

¡     在IPv6组网环境下，可以通过用户视图下的telnet ipv6命令来指定Telnet报文的源接口或源IPv6地址。

(10)     如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

5. 告警与日志

相关告警

无

相关日志

·     LOGIN/5/LOGIN_FAILED

·     LOGIN/5/LOGIN_INVALID_USERNAME_PWD

·     TELNETD/5/TELNETD_ACL_DENY

·     TELNETD/6/TELNETD_REACH_SESSION_LIMIT