暂无评论
H3C S5500-28C-EI V5.20 分两点完整解答
一、核心结论先说明
设备原生防爆破(密码登录防暴力)没有按时间段自动开关的功能
password-control 密码防爆破是全局永久生效,不会 11 点开启、14 点自动关闭;你 14 点扫不到弱口令,不是自带时间段防爆破,只有两种可能性:
可能性 A:配置了时间段 ACL 限制 VTY/SSH/Telnet 管理访问,14 点后阻断扫描设备的 IP 登录交换机;
可能性 B:防爆破锁定黑名单,11 点扫描多次输错密码把扫描 IP / 账号加入黑名单,锁定时长覆盖到 14 点后,导致扫描无法发起认证。
设备确实有防爆破功能(登录失败锁定),可手动开启 / 关闭,无定时自动启停。
二、第一部分:原生密码防爆破功能(password-control)操作
1、查看当前防爆破配置
plaintext
<H3C>system-view
[H3C]display password-control
# 查看失败锁定黑名单(扫描IP被锁会在这里)
[H3C]display password-control blacklist
输出关键字段说明:
password-control enable:代表防爆破已开启;
login-attempt 3 exceed lock-time 1:默认输错 3 次锁定 1 分钟;
blacklist 里会记录扫描 IP,锁定期间该 IP 无法发起登录认证,漏扫工具直接失败。
2、关闭防爆破(测试场景,临时关闭)
plaintext
system-view
# 完全关闭整套密码防爆破
undo password-control enable
# 恢复登录失败次数默认无锁定限制
undo password-control login-attempt
# 清空黑名单,立刻释放被锁定的扫描IP
reset password-control blacklist
save
3、开启防爆破(等保标准配置)
plaintext
system-view
password-control enable
# 输错5次锁定30分钟
password-control login-attempt 5 exceed lock-time 30
三、第二部分:14 点后无法扫描的头号诱因 —— 时间段 ACL 限制管理登录
原理:V5 交换机 ACL 支持 time-range 时间段,绑定 VTY 访问控制,14 点后拒绝扫描 IP 登录,漏扫工具无法发起密码探测。
1、排查是否存在时间段 ACL 管控远程登录
plaintext
# 查看所有ACL
display acl all
# 查看VTY调用的ACL
display current-configuration | include user-interface vty
display current-configuration | include acl
# 查看时间段配置
display time-range all
典型异常配置示例:
plaintext
# 定义时间段14:00~23:59
time-range no-scan 14:00 to 23:59 daily
# ACL规则14点后拒绝扫描服务器IP
acl number 3000
rule deny source 192.168.1.100 0 time-range no-scan
rule permit
# VTY远程登录绑定ACL,14点后阻断扫描IP
user-interface vty 0 15
acl 3000 inbound
2、取消时间段限制(测试可全天扫描)
plaintext
system-view
# 进入VTY视图删除ACL绑定
user-interface vty 0 15
undo acl inbound
quit
# 删除时间段ACL(按需)
undo acl number 3000
undo time-range no-scan
save
四、SSH/Telnet 单独防爆破补充(独立重试限制)
V5 还支持 SSH 单独登录重试限制,也会导致扫描失败,排查关闭:
plaintext
# 查看SSH防护
display ssh server configuration
# 关闭SSH登录失败重试限制
undo ssh server authentication-retries
undo ssh server block-time
# Telnet同理
undo telnet server authentication-retries
五、分步排查定位你的问题(按顺序操作)
执行 display password-control blacklist,看是否存在漏扫设备 IP 被锁定;有则执行reset password-control blacklist清空,再测试 14 点扫描。
检查 VTY 是否绑定带 time-range 时间段的 ACL,有则删除 ACL 绑定,全天放开扫描 IP 访问。
临时关闭全局 password-control 防爆破,再次测试弱口令扫描。
确认 SSH/Telnet 独立重试限制是否开启,一并关闭。
极简总结
这台 S5500-28C-EI没有自带定时启停防爆破的功能,不会到 14 点自动关闭防护;
14 点扫不到弱口令两种原因:①扫描 IP 多次输错密码被防爆破黑名单锁定;②配置了时间段 ACL,14 点后禁止扫描设备远程登录;
防爆破开关在password-control enable/undo;时间段登录限制在 VTY 调用的 ACL,删除 acl inbound 即可全天放开扫描。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论