• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点S5130-HI ssh登录不上经验案例

2023-04-26 发表
  • 0关注
  • 0收藏 1144浏览
王子腾
王子腾 五段
粉丝:4人 关注:10人

组网及说明

不涉及

问题描述

组网内有几十台S5130-HI,版本为R1120,重启后发现有两台交换机ssh无法登录,使用正确密码登录后,直接断开链接,没有任何提示,或者在多次尝试登录后,会提示:The server has disconnected with an error. server message reads: A protocol error occurred. Too many authentication failures for xxx(登录使用的账号)。尝试console也无法登录。

过程分析

1、跟现场确认重启前做过的操作,重启前10天做过如下配置:

password-control enable(改配置之前就开启过此功能)

因开启password-control功能,全局下默认会有一些值,对全局下的值进行修改,该配置做在全局下-------------------------

sys

password-control aging 90 密码过期时间为90

password-control composition type-number 4

password-control length 8

用户组下配置-----------------------------------------

password-control expired-user-login delay 10 times 5 密码过期10天内,允许登录5

password-control alert-before-expire 7 密码过期7天前用户登录设备会有提醒

password-control login-attempt  5  exceed  lock-time  5 用户登录设备密码错误5次账号锁定5分钟


2、现场通过日志服务器查看设备日志后,配置没有问题,NTP时间在配置password-control前后也都是同步的。  日志中有报错是密码错误,多次登录后被加黑名单了。跟现场确认报错可能是尝试不同密码登录时报的错。用正确密码登录时依旧登录不上。

syslog.20230328:Mar 28 09:41:25 11.200.199.103 2023 CQB-P-EXF-SW01 %%10PWDCTL/6/ADDBLACKLIST: -DevIP=17.200.128.103;  cnaps was added to the blacklist for failed login attempts.

syslog.20230328:Mar 28 09:41:25 11.200.199.103 2023 CQB-P-EXF-SW01 %%10SSHS/6/SSHS_LOG: -DevIP=17.200.128.103; Authentication failed for cnaps from 17.200.157.20 port 46000 because of invalid username or wrong password  ssh2. 


3、经验证发现,使能password-control,设备重启后,设备启动时间是2013年,用户登录设备,会记录当前的登录时间是2013年,NTP时间同步之后,设备时间是2023年,用户退出再登录时,会判断距离上一次登录的时间,如果超过90天的闲置时间,就不让用户登录设备了,打印Failed to login because the idle timer expired.    新版本有优化,建议是升级到R3507P08。 当前版本用SNMP删不掉NTP,所以需要重启跳过配置启动。

[H3C-radius-rad]display password-control

Global password control configurations:

Password control:                    Enabled (device management users)

                                      Disabled (network access users)

Password aging:                      Enabled (90 days)

Password length:                     Enabled (10 characters)

Password composition:                Enabled (2 types, 1 characters per type)

Password history:                    Enabled (max history records:4)

Early notice on password expiration: 7 days

User authentication timeout:         600 seconds

Maximum login attempts:              3

Action for exceeding login attempts: Lock user for 1 minutes

Minimum interval between two updates:24 hours

User account idle time:              90 days



解决方法

重启交换机,进bootware菜单选择跳过配置启动 ,进入后导出原来配置,重新刷下配置保存,不要配置password-control 。

然后升级版本到R3507P08 

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
知了APP下载
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作