1. 检查用户账户状态
执行 display account-lock,确认 admin 用户是否被锁定。若锁定,执行 undo account-lock admin 解锁。
2. 确认本地用户配置
若使用本地认证,执行 display local-user admin,检查密码是否正确、用户状态是否正常(如 state: available)。
3. 查看AAA认证方案
执行 display aaa authentication,确认认证方案是否正确指向 local 或 radius,检查服务器 IP/共享密钥是否匹配。
4. 测试与AAA服务器连通性
若为RADIUS/TACACS+认证,执行 ping
执行 display radius-server(或 display tacacs-server),确认服务器IP、共享密钥及端口配置无误。
5. 检查网络防火墙
确认AC与AAA服务器间的RADIUS端口(1812/UDP)未被防火墙阻断。
6. 临时切换认证方式测试
若本地认证失败,临时配置 aaa authentication default local 改为本地认证,验证是否恢复登录。
关键命令:display account-lock、display local-user admin、display aaa authentication、display radius-server、ping
display account-lock就执行不了这个命令
display account-lock就执行不了这个命令
WEB/5/LOGIN_FAILED … AAA 认证失败,说明不是浏览器 / 网络不通,是AC 本地 AAA 把 admin 账号拒了。你说 “突然不行、密码改过”,大概率是:账号被锁 / 过期、service-type 不对、认证方案被改、或 ACL 拦了。下面按 “先快速恢复→再查根因” 给你一套可直接敲的命令行方案(需要能 console/ssh 进 AC)。
一、先快速恢复(命令行登录后直接敲)
1)解锁 + 重置 admin 账号(最常见)
bash
运行
# 1. 看账号状态(是否lock/expire)
display local-user admin
# 2. 解锁+启用+改密
local-user admin
state active # 启用账号
undo lock # 解锁
password simple 新密码 # 设简单密码(或cipher)
service-type http https # 必须开web服务!
authorization-attribute user-role level-3 # 权限≥3级
2)确认 AAA 认证方案没被改
bash
运行
# 看默认认证方案
display authentication-scheme default
# 正常应该是local;如果是radius/ldap,改回本地
authentication-scheme default
authentication-method local
3)检查是否有 ACL 拦了管理 IP
bash
运行
display acl all
display ip http access-class # 看http/https是否绑定ACL
# 若有ACL且拒绝192.168.0.5,删掉或放行
undo ip http access-class
4)重启 web 服务(临时僵死)
bash
运行
undo ip http server disable
undo ip https server disable
ip http enable
ip https enable
二、为什么突然不行(对应日志 + 场景)
密码输错多次→账号被锁(日志直接报 AAA 失败)
改密前输错几次,直接锁;改密后没解锁也不行。
service-type 被改 / 丢了 http/https
之前正常,可能有人改配置把 web 服务删了。
AAA 默认认证方案被改成 RADIUS
本地 admin 就会被拒,因为去查 RADIUS 了。
管理 IP 被 ACL 拉黑
突然加了 ACL,只允许某些 IP 登录。
系统时间乱了→证书 / 认证异常
时间跳变导致本地认证校验失败。
三、浏览器侧也做 2 步(排除前端)
清缓存 / 换浏览器(Chrome→Edge / 火狐),用隐私模式登录。
直接输完整地址:https://AC_IP/view/loginSimple.html,不要只输 IP。
四、现场直接操作顺序(最快解决)
Console/SSH 进 AC,敲:display local-user admin → 看是否 lock/expire。
执行上面 “一、1)” 的解锁 + 改密 + 开 service-type。
敲:display authentication-scheme default → 确保是 local。
敲:undo ip http access-class → 临时取消 ACL 限制。
重启 web 服务,浏览器隐私模式登录。
又是一个一堆命令敲不了的
又是一个一堆命令敲不了的
%Jun 13 01:25:30:632 2026 H3C-AC-WX2510X NETCONF/6/SOAP_XML_LOGIN: admin from 127.0.0.1 login failed.
%Jun 13 01:25:40:632 2026 H3C-AC-WX2510X NETCONF/6/SOAP_XML_LOGIN: admin from 127.0.0.1 login failed.
%Jun 13 01:25:50:632 2026 H3C-AC-WX2510X NETCONF/6/SOAP_XML_LOGIN: admin from 127.0.0.1 login failed.
WEB/5/LOGIN_FAILED: admin ▒▒ 192.168.0.5 ▒▒¼ʧ▒▒, AAA▒▒֤ʧ▒▒.,虽然存在乱码,但可以明确识别出核心错误信息为 “AAA认证失败”。这说明网络连通性和浏览器层面没有问题,设备已经收到了您的登录请求,但在验证账号密码或权限时出现了异常。一、 检查账号状态与权限配置
- 密码区分大小写:AC设备的Web管理密码是严格区分大小写的,请确保输入的新密码(如
Admin@123和admin@123)与实际设置完全一致。 - 账号是否被锁定:如果之前因为输错密码次数过多,可能触发了防暴力破解机制导致账号被临时锁定。可以尝试等待一段时间后再试,或通过命令行查看账号锁定状态。
- 服务类型与权限丢失:确认该管理员账号的 Service Type 中是否依然包含
http和https权限。如果权限不足或被意外修改,也会导致认证失败。可通过命令display local-user admin查看账号当前的服务类型和级别(通常需要 level-3 及以上权限)。
二、 排查外部认证服务器联动问题
- 服务器连通性:检查 AC 到 RADIUS/LDAP 服务器的网络是否中断或延迟过高。
- 用户组属性同步:如果近期在 AD/LDAP 服务器上调整过用户所属的组,或者策略中引用的组名发生了变更(注意大小写),会导致 AC 侧匹配不到对应的授权策略从而拒绝登录。
三、 检查系统时间与证书状态
- 系统时间偏移:设备的系统时间如果不准确,可能会导致会话令牌(Token)或 SSL 证书校验失效,进而引发认证失败。可通过命令检查并校准 NTP 时间。
- HTTPS 证书异常:如果使用了自签名证书且证书已过期或被篡改,可能导致 HTTPS 握手阶段的认证失败。必要时可尝试重置 PKI 证书。
四、 通过 Console 口或 SSH 介入排查
- 查看详细日志:登录后执行
display logbuffer命令,寻找更多关于%AAA-6-USER_LOGIN或%WEB-5-LOGIN_FAIL的详细事件记录,以获取确切的拒绝原因。 - 重置密码或解锁:如果确认是密码遗忘或账号死锁,可以直接在命令行下重新配置密码或解除锁定状态。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
检查下配置吧,配置没问题 升级下最新版本或者重启下