我的H3C企业路由 不小心关闭了后台端口

第一步：通过Console口连上设备（恢复访问权限）

想恢复访问，前提是得能连上设备的命令行，这只能靠Console口了。

• 连接准备：准备一根Console配置线，连接电脑和路由器的Console口。

• 终端设置：打开电脑的终端软件（比如PuTTY、SecureCRT），创建新连接，协议选Serial，端口选设备管理器里对应的COM口，并按以下参数配置：

  • 速率(Baud rate)：9600

  • 数据位(Data bits)：8

  • 停止位(Stop bits)：1

  • 奇偶校验(Parity)：None

  • 流控(Flow Control)：None

• 进入系统：连接成功后，终端里会显示登录提示。输入正确的用户名和密码登录。如果密码也忘了，可以参考文末的“密码忘了怎么办”部分。

 第二步：通过命令行恢复Web管理

连上设备后，就可以用命令来恢复Web管理访问了。这里有两种思路：一个是快速打开Web服务，另一个是用更安全的ACL方式。

方案一：快速开启Web服务（简单直接）

如果想快速恢复Web访问，可以在系统视图下执行以下命令，开启HTTP和HTTPS服务：

注意：这是最直接的方式，但为了安全，Web访问恢复后建议马上关闭HTTP服务，只用HTTPS。

方案二：配置ACL（访问控制列表）实现更细粒度的访问控制（更安全）

如果想更精确地控制谁能访问Web管理界面，可以结合ACL来配置：

• 命令说明：acl advanced 3000用于创建ACL，rule permit是定义放行规则，ip http acl则是将ACL应用到Web服务上。

 第三步：安全地关闭高危端口

建议通过配置安全策略来“关”掉端口，而不是直接在端口上执行 shutdown。

1. 关闭不必要的端口和服务

• 关闭端口：如果需要关闭一个具体的物理端口，可以这样操作：

  [H3C] interface gigabitethernet 1/0/1 # 进入要关闭的接口

  [H3C-GigabitEthernet1/0/1] shutdown

• 关闭服务：建议检查并关闭不安全的服务和端口。例如：

  • Telnet服务：如果不需要，最好关掉。

    [H3C] undo telnet server enable

  • HTTP服务：如果只使用HTTPS，可以关掉HTTP。

    [H3C] undo ip http enable

2. 使用ACL精准“屏蔽”高危端口（推荐）

用ACL“放行”需要的流量，其他流量默认拒绝，这是实现端口级访问控制的推荐做法。

1. 创建ACL规则：创建一个高级ACL，用来拒绝访问高危端口的流量。

   [H3C] acl advanced 3001

   [H3C-acl-ipv4-adv-3001] rule deny tcp destination-port eq 135 # 阻止访问135端口
   [H3C-acl-ipv4-adv-3001] rule deny tcp destination-port eq 445 # 阻止访问445端口
   [H3C-acl-ipv4-adv-3001] rule deny udp destination-port eq 137 # 阻止访问137端口
   [H3C-acl-ipv4-adv-3001] rule deny udp destination-port eq 138 # 阻止访问138端口
   [H3C-acl-ipv4-adv-3001] rule deny tcp destination-port eq 3389 # 阻止访问3389端口
   [H3C-acl-ipv4-adv-3001] quit

2. 应用ACL到接口：将这个ACL应用到连接“危险区域”的接口（比如WAN口），阻止外部访问。

   [H3C] interface GigabitEthernet 0/0 # 假设这是你的外网接口

   [H3C-GigabitEthernet0/0] packet-filter 3001 inbound # 对入站流量应用ACL

3. 验证配置：最后，务必保存配置，并通过display acl 3001命令检查ACL是否正确应用。

   [H3C] save force # 保存配置
   [H3C] display acl 3001

先救急：用Console 口本地登录（最稳），再恢复 Web 管理端口；同时给你安全加固命令，避免再次关错或被攻击。
一、紧急恢复：Console 口登录（必做）
准备工具
Console 线（RJ45 转 DB9）+ USB 转串口（笔记本用）
终端软件：PuTTY/SecureCRT/Windows 超级终端
连接与参数
PC 串口 → Console 线 DB9 → 设备 Console 口
终端参数：波特率 9600、数据位 8、停止位 1、校验无、流控无
上电后按回车，输入管理员账号密码进入命令行
二、恢复 Web 管理端口（复制粘贴）
bash
运行
# 1. 进入系统视图
system-view

# 2. 开启HTTP/HTTPS服务（Web管理核心）
ip http enable # 开启HTTP（默认80端口）
ip https enable # 开启HTTPS（默认443端口，更安全）{insert\_element\_5\_}

# 3. 确保管理账号支持Web权限（替换为你的账号）
local-user admin class manage
password simple Admin@123456 # 强密码
service-type http https # 允许HTTP/HTTPS登录
authorization-attribute user-role network-admin # 管理员权限
quit

# 4. 放行管理IP（关键：仅允许你所在网段访问）
acl basic 2000
rule permit source 192.168.1.0 0.0.0.255 # 替换为你的管理网段
rule deny source any # 拒绝其他IP
quit
ip http acl 2000 # 绑定ACL，仅允许指定IP段访问Web{insert\_element\_6\_}

# 5. 保存配置（断电不丢失）
save
三、安全加固（关闭高危端口）
bash
运行
# 1. 关闭不必要的管理服务（仅保留HTTPS）
undo ip telnet enable # 关闭Telnet（明文高危）
ip https ssl-version tls1.2 tls1.3 # 仅用安全TLS版本，禁用弱加密{insert\_element\_7\_}

# 2. 限制VTY远程登录（仅SSH+指定IP）
line vty 0 63
authentication-mode scheme # 强认证
user-role network-admin
quit
acl basic 2001
rule permit source 192.168.1.100 0 # 仅允许你的管理IPSSH登录
rule deny source any
quit
line vty 0 63
acl 2001 inbound
quit

# 3. 保存
save
四、Web 登录验证
浏览器访问：https://设备管理IP（优先 HTTPS）
若 HTTP 也需用：http://设备管理IP（生产环境建议仅用 HTTPS）
五、常见问题（遇错对照）
Console 连不上：换 USB 转串口、确认波特率 9600、检查线缆
Web 仍打不开：确认ip http/https enable生效、检查 ACL 是否放行
忘记 Console 密码：断电重启按Ctrl+B进 BootWare，选跳过当前配置启动恢复
一句话总结
先靠Console 口救回命令行，用上面的命令快速恢复 Web 并加固；核心是开 HTTPS + 锁 IP + 关 Telnet，既恢复管理又安全。