交換機登入認證失敗(20121204)—— 僅僅只是禁登了5分鐘的恐慌
今天登入s5720登入N次都失敗,換了幾臺電腦登入也是如此。我以為我的裝置被黑了,各種浮想聯翩。後面經過很久的折騰,發現並非如此。
首先詢問了一個華為售後工程師,他在翻閱了我大量的日誌以及交換機配置後(不容易),認為解決該問題要這樣做
telnet的問題可以調整下telnet的閾值,
telnet閥值調整:
[HUAWEI] cpu-defend policy test //建立防攻擊策略,策略名為test
[HUAWEI-cpu-defend-policy-test] car packet-type telnet cir 256 //配置協議報文限速
[HUAWEI-cpu-defend-policy-test] quit //返回系統檢視
[HUAWEI] cpu-defend-policy test global //應用防攻擊策略
後面又諮詢了,我信賴已久的66642.他一言指出,當你登入交換機能看到輸入賬號密碼的框框的時候,應該不是閥值的問題,閥值會導致你telnet後連輸入賬號密碼的框都看不到。而當我提出,會不會出掉包,66642表示,Telnet流量很少,一般不會掉包。
於是66642的看法是:有可能你再最初,接連輸入了三次錯誤的賬號密碼。交換機預設策略是鎖定huawei(賬號)這個賬號5分鐘,要麼你等5分鐘後再登入,要麼你用console登入交換機,解鎖這個賬號。
下面記錄一下,這次解決問題所用到的命令
display aaa online-fail-record all 用這個命令檢視登入失敗的詳細記錄,工程師發現我的全是認證失敗(他解釋,有些版本的交換機即便是鎖定了,後續出現的任然是認證失敗,而不會出現“鎖定”的字樣)
[Huawei]
aaa
[Huawei-aaa] local-user huawei state block
[Huawei-aaa] local-user huawei state active 上面三條命令是,當你的賬號被鎖定時,consloe進入交換機解鎖賬號(要輸入local-user huawei state block是由於他那邊的賬號原本沒鎖定,先要鎖定一下,才能演示解鎖命令,實際當要解鎖賬號時,直接local-user
huawei state actice就行了)。