密码策略 登录控制超时

要看console口策略了，如果也是账号认证就难搞了。

1）规则本身（你描述的那条）
plaintext
password-control login idle-time X
含义：
该账号无论什么方式（VTY/SSH/Web/Console），只要超过 X 天没成功登录，账号直接失效，所有方式都不让登。
官方文档明确：
“若用户自从最后一次成功登录之后，在配置的闲置时间内再未成功登录过，那么该闲置时间到达之后此用户账号立即失效，系统不再允许使用该账号的用户登录。”
这条是全局账号级禁用，不是只针对远程。
2）Console 口会不会被拦？（实践过的结论）
会被拦。
案例：有人配了 password-control login idle-time 90，admin 90 天没登录，之后：
SSH/Telnet：提示
Failed to login because the idle timer expired.
Console 口用同一个账号登录：同样报这个错，登录失败
只有两种情况 Console 能进：
Console 口认证方式不是 scheme（比如 none 或 password），不走 AAA 账号校验，此时不受 password-control 限制；
用另一个没过期的账号登 Console。
3）容易混淆的两个 “超时”（很多人搞混）
账号闲置超时（password-control login idle-time）
作用：账号长期不用被禁用（90 天 / 30 天）。
范围：所有登录方式（含 Console，只要用 AAA 账号）。
线路空闲超时（line con 0 /idle-timeout）
作用：登录后长时间不操作自动踢下线（10 分钟）。
范围：只对 “已经登录之后” 的会话生效，不影响账号是否能登录。
4）一句话总结（最关键）
你说的这种 “最后一次登录后闲置超时 → 账号失效”：
只要 Console 口用的是 scheme 认证（走 AAA 账号），就会被拦住，登不进去。
只有 Console 不配 AAA、或换个有效账号，才能进。

1. 情况一：Console 口未设置密码或未使用该失效账号

2. 情况二：Console 口同样使用了该失效账号（最常见的坑）

• 解法 A：利用 SNMP 修改系统时间（无需重启）
  如果设备开启了 SNMP 功能并具有 set 权限，您可以通过网管平台修改设备的系统时间。将时间回退到用户最后一次成功登录之前的时间点，随后立即使用原账号登录，并马上修正系统时间、调整闲置策略。
• 解法 B：掉电重启利用时间差（无需重启）
  如果没有 SNMP 条件，可以将设备断电重启。由于设备在掉电后系统时间会暂时回退到出厂时间（如 2000 年），早于当前时间，您可以趁此时间窗口迅速使用 Console 登录，然后修改配置解决。
• 解法 C：进入 BootWare 跳过配置启动（最彻底、适用性最广）
  用 Console 线连接设备，重启并在启动瞬间按下 Ctrl+B 进入 BootWare 菜单。选择 “Skip current configuration file”（跳过当前配置文件启动），设备将以出厂空配置启动。此时您可以免密进入系统，导入原有备份配置，删除或修改导致锁定的 password-control login idle-time 相关策略后重新保存。