5660路由器设置了conson口登录认证用户名密码无法登录

通过Console口访问命令行

1. 1

   1、本地PC连到交换机配置口

           要连接到交换机，你只需要在PC上装好需要的超级终端软件（SecureCRT或Xshell等），然后通过一条串口转USB的线将PC连接到交换机的Console口上，然后设置好接口属性即可建立连接，进入命令行后可以进行相关Telnet配置。

2. 2

   1）、连线

          首先将PC连通过Console线连到交换机上，如下图所示，Console线一端接PC的串口或USB，另一端接交换机的Console口（RJ45的居多），我这里用的是USB转RJ45的线。

   
3. 3

   2）、建立连接

          在PC上通过终端软件（如Xshell、SecureCRT等，这里用的是Xshell）建立连接。

          首先打开Xshell，新建会话，选择连接类型为串口（Serial）：

   
4. 4

          然后点击左边Serial连接属性，选择使用端口号COM3（如果不知道自己使用的是哪个端口，可以在PC上打开设备管理器在端口中即可看到，一般均使用COM3），设置波特率为9600（大多数设备都是这个值），如下图所示，都设置好后，点击确定：

   

   
5. 5

          确认好连接属性后，会弹出会话框，在会话框里选择你刚刚新建的会话，然后点击连接即可。

   
6. 6

          如果设置没问题的话，一般就可以直接进入交换机的操作系统如下，默认没有认证密码，可以直接进入命令行进行管理和配置，如果没有进入命令行就要自己回头检查一下之前的配置有没有问题或者交换机之前有没有做过什么访问限制（必要的话可以重置交换机，如有些时候之前交换机命令行设置了密码，现在已经无从考证，只要简单的重置就可以恢复默认状态，进入时就不需要密码了）。

   
   END

步骤3、配置Console口登录认证

1. 1

          进入命令行后就可以进行相关配置了，Console口登录认证配置方法和Telnet登录认证配置类似，只不过是在Console口配置视图下进行，一共有三种认证方式：none、password、scheme，即无认证、密码认证、用户名名+密码认证三种方式。下面我们就分别来了解以下这三种方式的配置流程。（华三的操作系统为Comware，V表示设备的操作系统版本，目前主要的版本为V3、V5、V7三个，不同版本命令有所变动，注意区分）。

2. 2

   1、无认证方式（none）

          因为设备Console口登录认证方式默认就是 none，所以不需要专门去配置，只作为了解就好，当然如果你想更改none登录认证下的用户权限，可以再进行修改，具体配置流程如下：

3. 3

   1）、进入Console口配置界面视图（系统视图）

            V3/V5/V7：user-interface aux <line-id>

          首先进入 Console 口配置视图，华三交换机的AUX口配置视图即为 Console 口配置视图，user-interface为用户界面视图的关键词，aux 表示进入Console 配置视图下，line-id 表示终端用户接入的Console线路端口号。V3版本中可以提供0-7共8个Console终端线路端口接入，V5版本中可以提供0-3共个4个Console终端线路端口接入V7版本中可以提供0-9共10个Console线路端口接入。一般只有一台交换机的话默认Console终端接入端口号为0，若几台交换机堆叠成一台逻辑设备，则会自动为每台交换机的Console口分配不同的线路端口号。

4. 4

   2）、配置Console口登录认证方式（Console口配置视图）

            V3/V5/V7：authentication-mode <none|password|scheme>

          接着要设置登录认证方式，authentication-mode 为设置认证方式的关键词，后边可选参数 none|password|scheme，分别对应无认证、密码认证和用户名+密码组合认证三种认证方式，根据需要选取即可。

   
5. 5

   3）、配置Console口登录用户权限（Console口配置视图）

            V3/V5：user privilege level <0-3>

            V7：user-role <0-15>

         最后要设置认证用户的权限等级，不同权限可进行的操作不同，V3/V5中权限等级为0-3共四个等级，最高为3；V7中设置了0-15共16个权限等级，最高为15；一般给管理员设置的账户，设成为最高即可，如有其他要求可再细分。

6. 6

   4）、其他可选配置（Console口配置视图）

            配置用户超时登录时间（minute）：

            V3/V5/V7：idle-timeout <0-35791>          

            配置终端屏幕显示行数，即在终端屏幕上最多显示的信息行数：

            V3/V5/V7：screen-length <0-512>            

            配置终端历史命令缓存区大小，即缓存区存储的历史命令行数：

            V3/V5/V7：history-command max-size <0-256>      

            

7. 7

   2、密码认证方式（password）

          如果你要配置密码登录认证，则要在Console口配置视图下选择认证方式为password，并设置一个密码作为登录时的密码，具体配置流程如下：

8. 8

   1）、进入Console口配置界面视图

            V3/V5/V7：user-interface aux <line-id>

9. 9

   2）、配置Console口登录认证方式（Console口配置视图）

            V3/V5/V7：authentication-mode password

10. 10

    3）、配置Cosole口登录密码（Console口配置视图）

             V3：set authentication password <cipher|simple> <password>

             V5：set authentication password <cipher|hash|simple> <password>

             V7：set authentication password <hash|simple> <password>

           使用 set authentication password 设置密码在配置文件中的显示格式，V3/V5中提供了 simple 和 cipher 两种加密类型，simple为以明文表示，不推荐，cipher为用密文表示，安全性较高；V7中则提供了 simple 和 hash 两种表示方法，也是一种明文表示，一种加密表示，只是算法不同，hash的安全性更高，但hash密码还不知道怎么配，正在研究中。

11. 11

    4）、配置Console口登录用户权限（Console口配置视图）

             V3/V5：user privilege level <0-3>

             V7：user-role <0-15>

12. 12

    5）、其他可选配置（Console口配置视图）

             配置用户超时登录时间（minute）：

             V3/V5/V7：idle-timeout <0-35791>          

             配置终端屏幕显示行数，即在终端屏幕上最多显示的信息行数：

             V3/V5/V7：screen-length <0-512>            

             配置终端历史命令缓存区大小，即缓存区存储的历史命令行数：

             V3/V5/V7：history-command max-size <0-256>   

13. 13

    3、用户名+密码组合认证方式（scheme）

           最后如果你选择了schme认证方式，则需要创建至少一个本地用户，并设置密码和权限，具体配置可参考以下命令：

14. 14

    1)、配置认证方式

    ①、进入Console口配置界面视图（系统视图）

           V3/V5/V7：user-interface aux <line-id>

    ② 、配置Console口登录认证方式（Console口配置视图）

            V3/V5/V7：authentication-mode scheme

    ③ 、配置Cosole口登录密码（Console口配置视图）

            V3：set authentication password <cipher|simple> <password>

            V5：set authentication password <cipher|hash|simple> <password>

            V7：set authentication password <hash|simple> <password>

    ④、配置Console口登录用户权限（Console口配置视图）

           V3/V5：user privilege level <0-3>

           V7：user-role <0-15>

    ⑤、其他可选配置（Console口配置视图）

           配置用户超时登录时间（minute）：

           V3/V5/V7：idle-timeout <0-35791>          

           配置终端屏幕显示行数，即在终端屏幕上最多显示的信息行数：

           V3/V5/V7：screen-length <0-512>            

           配置终端历史命令缓存区大小，即缓存区存储的历史命令行数：

           V3/V5/V7：history-command max-size <0-256>   

15. 15

    2）、创建本地用户

    ①、创建本地用户（系统视图下）

           V3/V5/V7：local-user <username>

    ②、为本地用户设置密码并选择加密类型（本地用户视图下）

           V3：password [cipher|simple] <password>

           V5：password [cipher|hash|simple] <password>

           V7：password [hash|simple] <password>

    ③、选择本地用户可以使用的服务（[ ] 内为可选项）（本地用户视图下）

           V3/V5/V7：service-type terminal  

    ④、设置超时登录时间（本地用户视图下）

           V3：attribute idle-cut <60-7200>   （second）

           V5/V7:：authorization-attribute idle-cut <1-120>     （minute）

    ⑤、设置用户的权限等级（本地用户视图下）

           V3：level <0-3>   

           V5：authorization-attribute level 3 <0-3>

           V7：authorization-attribute user-role level-<0-15>

    END

步骤4、配置演示

1. 1

         下面就以一台H3C 5120（V5）对不同的认证方式做演示，以便大家熟悉一下实际的配置：

2. 2

   1、无密码认证（none）

          交换机默认就是none验证方法，直接用Console线把PC连到交换机Console口上，在Xshell新建串口连接，不需要密码即可直接进入交换机，登录到CLI命令行进行管理和配置，如下图所示：

   
3. 2、密码认证（password）

          如果选择了密码认证，则要配置一个登录密码，并选择密码加密方式，一般推荐密文加密 cipher，新版本还提供了 hash 算法等加密类型，可以提供相对较高的安全性。然后再配一下通过用户界面登录后的用户级别即可。具体配置流程如下：

         [H3C 5120]user-interface aux 0

         [H3C 5120-ui-aux0]authentication-mode password

         [H3C 5120-ui-aux0]set authentication password cipher admin

         [H3C 5120-ui-aux0]user privilege level 3

         [H3C 5120-ui-aux0]idle-timeout 60

         [H3C 5120-ui-ui-aux0]quit         

   
4.        配置好之后退出用户视图，或重新通过Console口连接，这时会发现需要先输入预设的密码才可进入交换机CLI命令行，如下图所示：

   
5. 注：这里输入的密码默认不会显示出来。

   注：配置了明文密码，在配置文件中的的密码配置信息会以明文形式显示；若配置了密文密码，配置文件中的密码配置信息会以密文形式显示，若同时配置了明文密码和密文密码，只有密文密码会生效。

6. 3、用户名+密码组合认证（scheme）

          如果你选择了scheme认证方法，则系统会默认采用本地用户数据库中的用户信息进行验证，因此需要配置一个本地用户，并设置其用户名，登录密码和用户级别，然后为本地用户选择服务类型Terminal，即允许该用户通过终端Console口访问交换机，这样就可以通过Console口用本地用户名和密码登录到交换机命令行上。具体配置流程如下：

         [H3C 5120]user-interface aux 0

         [H3C 5120-ui-aux0]authentication-mode scheme

         [H3C 5120-ui-aux0]set authentication password cipher admin

         [H3C 5120-ui-aux0]user privilege level 3

         [H3C 5120-ui-aux0]idle-timeout 60

         [H3C 5120-ui-ui-aux0]quit     

         [H3C 5120]local-user abc

         [H3C 5120-luser-admin]password cipher abc

         [H3C 5120-luser-admin]service-type terminal    

         [H3C 5120-luser-admin]authorization-attribute level 3

         [H3C 5120-luser-admin]authorization-attribute idle-cut <1-120>

         [H3C 5120-luser-admin]quit

   
7.        配置好之后退出用户视图，或重新通过Console口建立连接，可以看到这时需要输入本地用户名和密码，才能进入命令行，如下图所示：

   
8. 注：当配置scheme认证后，相应的登录密码和用户权限及超时时间等参数优先以本地用户配置视图下的相应参数为主，而Console口配置视图下的密码和用户权限等参数不会生效。如这里输入的密码为本地用户视图下配置的密码abc，而不是Console口配置视图下的admin。

   END

其他注意事项

1. 1、简单回顾一下配置Console口登录认证的流程（V5为例）

   1）、通过Console线连接到交换机，进入命令行。

   2）、进入交换机Console口配置视图（系统视图下）

            V3/V5/V7：user-interface aux <0-4>

   3）、设置登录认证方式（Console口配置视图下）

            V3/V5/V7：authentication-mode <none|password|scheme>

   4）、设置登录密码（Console口配置视图下）

            V3/V5/V7：

            set authentication password <cipher|simple|hash> <password>

   5）、设置登录权限（Console口配置视图下）

            V3/V5：user privilege level 3

            V7：user-role <0-15>

   6）、其他可选配置（Console口配置视图下）

            用户超时登录时间

            V3/V5/V7：idle-timeout <0-35791>       （minute）

            配置终端屏幕显示行数

            V3/V5/V7：screen-length <0-512>        

            配置终端历史命令缓存区大小

            V3/V5/V7：history-command max-size <0-256>                  

   7）、创建本地用户（仅scheme认证方式需要）

            创建用户并进入本地用户配置视图：

            V3/V5/V7：local-user <username>

            为本地用户设置密码并选择加密类型（本地用户视图下）：

            V3：password [cipher|simple] <password>

            V5：password [cipher|hash|simple] <password>

            V7：password [hash|simple] <password>

            选择本地用户可以使用的服务（本地用户视图下）：

            V3/V5/V7：service-type terminal  

            设置超时登录时间（本地用户视图下）：

            V3：attribute idle-cut <60-7200>   （second）

            V5/V7：authorization-attribute idle-cut <1-120>    （minute）

            设置用户的权限等级（本地用户视图下）：

            V3：level <0-3>   

            V5：authorization-attribute level 3 <0-3>

            V7：authorization-attribute user-role level-<0-15>

2. 2、如果几台交换机堆叠在一起，配置Console口时要配置足够的线路数，如4台5120交换机堆叠，虽然逻辑上是一个整体，但每台交换机Console口线路号仍是则不同的，交换机会自动把线路终端端口号0-3分别分配给4台交换机，如1号交换机Console口分配到aux0，2号交换机Console口分配到aux1，3号交换机Console口分配到aux2，4号交换机Console口分配到aux3，当你连接到交换机Console口时，也会提醒你它的线路端口号，如下图所示说明你连到的是3号口：

   
3.        如果只选择了一个线路号，则配置只对堆叠设备中的一台生效，其他设备还是可以通过Console不经过认证登录到交换机上。所以配置Console口时，要将4个线路端口都选中，如下：

          user-interface aux 0 3

          就表示对0-3共4个线路终端端口进行登录认证配置。