上网行为管理器

插0口默认ip192.168.0.1

设备无法远程登录，首先要恢复对它的控制权。最直接有效的方法是使用Console线缆进行本地物理连接和登录，这能让你绕过所有网络和Web服务的问题，直接进入设备的命令行界面（CLI）进行操作。

🔌 第一步：物理连接与本地登录 (Console)

1. 准备线缆：准备一根Console配置线（通常一端是RJ45水晶头，另一端是DB9串口或USB口）。如果你的电脑没有串口，需要额外准备一个 USB转RS232串口线。

2. 物理接线：将配置线的RJ45端连接到设备面板上标有 Console 的接口，另一端连接到电脑的串口或USB口。

3. 安装驱动：如果使用的是USB转串口线，需要安装其对应的驱动程序。

4. 配置终端软件：在电脑上打开终端软件（如 PuTTY、SecureCRT 或 Windows 自带的超级终端），新建一个串口连接。参数必须设置为：

   • 波特率：9600

   • 数据位：8

   • 校验位：None

   • 停止位：1

   • 流控：None

5. 连接设备：确认COM口编号后，在终端软件中打开会话。如果设备正在运行，按几次回车键应该能看到命令提示符（如 <H3C> 或 [H3C]）。

🔍 第二步：远程登录失效常见原因排查

能通过Console登录后，就可以从根源上排查远程登录的问题了。

1. 基础网络连通性

在Console命令行中，首先检查设备的管理IP地址配置是否正确，并用 ping 命令测试能否与你的管理电脑互通。

• 网线连接：确保电脑接入了正确的业务口或管理口（如 M-GigabitEthernet），而不是WAN口。

• IP地址：确认电脑的IP地址与设备管理IP处于同一网段。

2. 设备配置与服务状态

如果网络是通的，问题很可能出在设备的配置上。

• 检查远程登录服务是否开启：

  <H3C> display current-configuration | include telnet server enable

  <H3C> display current-configuration | include ip http enable <H3C> display current-configuration | include ip https enable 如果没有任何输出，说明服务未开启。可以在系统视图下开启：
  <H3C> system-view

  [H3C] telnet server enable # 开启Telnet服务[reference:5] [H3C] ip http enable # 开启HTTP服务 [H3C] ip https enable # 开启HTTPS服务 检查用户权限：确保用于远程登录的用户名（如
• admin）具备访问权限，特别是HTTP/HTTPS服务权限。

• 
  

• [H3C] display local-user admin 确认输出中 Service type 包含 http 或 https，User role 包含 network-admin 或权限级别为。如果缺少权限，可以重新配置：
  [H3C] local-user admin class manage

  [H3C-luser-manage-admin] service-type http https telnet # 授权服务类型 [H3C-luser-manage-admin] authorization-attribute user-role network-admin # 授权用户角色 检查访问控制（ACL）：查看是否有ACL限制了管理源的IP地址。
• [H3C] display current-configuration | include acl 如果发现 http acl、telnet acl 等配置，检查ACL的规则是否允许了你当前电脑的IP地址。

3. 常见软硬件故障

• 登录密码遗忘：如果忘记密码，可通过Console登录后，使用命令 local-user admin password simple <新密码> 进行重置。

• 浏览器兼容性：对于Web登录失败，可尝试使用 Chrome 57+ 或 Firefox 35+ 等较新版本的浏览器，并清除缓存后重试。

• 系统或防火墙拦截：检查管理电脑的Windows防火墙或第三方安全软件，是否拦截了 80、443、23（Telnet）等端口。可以尝试临时禁用防火墙进行测试。

• 设备硬件故障：检查设备面板上的系统指示灯（SYS）和电源指示灯，确认设备是否正常运行。

🔧 第三步：终极恢复方案

如果上述排查均无效，或你完全忘记了所有密码，可以通过重置设备来恢复。

1. 配置备份：如果还能通过Console登录，务必先备份配置。可以使用 display current-configuration 显示当前配置并复制保存，或通过FTP/TFTP服务器导出配置文件。

2. 恢复出厂设置：在CLI下执行 reset saved-configuration 命令，然后重启设备，即可将设备恢复到出厂设置。

3. 通过BootWare菜单重置密码：有些型号的ACG设备支持在启动时通过BootWare菜单重置密码。将终端软件连接到Console口，重启设备并立即按 Ctrl+B 中断启动过程。进入菜单后，根据提示选择相应的选项（例如“4”代表重置管理员密码）。

4. 导入备份配置：恢复访问后，可以通过FTP/TFTP等方式将之前备份的配置文件上传并恢复。

远程登录失效时，优先用 Console 口本地登录，这是最可靠的恢复方式；同时需按标准规范检查物理接线与管理口 IP。
一、标准物理接线（出厂 / 正常场景）
H3C 上网行为管理器（ACG/NS/ICG 系列）典型接线：
管理口（MGT/MGMT）：专用带外管理，默认 IP 常见为
192.168.0.1/24 或 192.168.0.100/24
电脑直连 MGT，电脑设同网段静态 IP（如 192.168.0.2）
业务口（GE1/GE2…）：接内网 / 外网，用于流量审计与管控
Console 口：设备前面板 RJ45 串口（应急本地管理）
二、远程登录失效：应急恢复（Console 口）
1. 硬件连接
Console 线（RJ45→DB9 或 USB→串口）一端插设备 Console，一端插电脑
电脑打开终端（PuTTY/Xshell/ 超级终端）
端口：对应电脑 COM 口
参数：波特率 9600、数据位 8、停止位 1、奇偶校验无、流控无
2. 登录与排错（命令行）
bash
运行
# 按回车出现登录提示
login: admin
Password: admin # 缺省或你修改的密码

# 1. 查看管理口 IP（MGT 通常为 M-GigabitEthernet0/0/0 或 Vlan-interface1）
display ip interface brief

# 2. 测试连通性（从设备 ping 电脑）
ping 192.168.0.2

# 3. 检查 HTTP/HTTPS/SSH 服务是否开启
display current-configuration | include http|https|ssh
# 未开启则启用：
http enable
https enable
ssh server enable

# 4. 检查是否有 ACL 限制登录
display current-configuration | include access-group|telnet|ssh
# 如有限制，临时删除或放行管理网段

# 5. 重启 HTTP/HTTPS 服务（可选）
undo https enable
https enable

# 6. 保存配置
save
三、Web / 远程登录通用排查（远程不通时）
物理层
确认网线插在 MGT 管理口（非业务口）
换线、换电脑网口、重启设备
网络层
电脑与 MGT 同网段、掩码一致
电脑关闭防火墙 / 杀毒软件
ping 管理IP：不通 → 优先用 Console 查 IP / 接口状态
服务与权限
浏览器清缓存、用无痕、换 Chrome/Firefox
确认 Web/HTTPS/SSH 已启用、无 ACL 限制
确认账号未锁定、IP 未被过滤
四、恢复出厂（最终手段）
Web 恢复：正常登录 → 系统管理 → 恢复出厂并重启
Console 恢复：
bash
运行
reset saved-configuration # 删除配置
reboot # 重启
# 重启后用缺省 IP/账号重新登录
五、快速恢复步骤总结
远程不通 → 立即用 Console 线本地登录（最稳）
Console 登录后：查管理口 IP → 启 HTTP/HTTPS/SSH → 去 ACL → 保存
恢复网络连通后，再用 Web / 远程管理