由於在編寫《主機房網路延伸實施方案》,除錯h3c s5120s-28p-ei交換機時,發現交換機設定成現在的時間後,導致本地使用者通過ssh或者console口不能登入,只能通過重啟機器才能再次登入。而交換機重啟之後,交換機的時間統一重寫寫入系統時間為2023年。該時間肯定跟我們目前的時間不一致,不利於以後排查問題。
failed to log in because the login idle timer expired
通過分析報錯造成的原因是由於交換機啟用了以下策略
password-control enable
password-control aging 365
password-control composition type-number 3 type-length 1
password-control history 2
password-control login-attempt 10 exceed lock-time 1
password-control complexity user-name check
###以上策略是為了交換機登入安全所設定
由於設定密碼有效期為365天(此時間為可設定的最長有效時間),如果使用者是2023年建立的,突然把系統設定成2023年,就導致該使用者不能登入了。經過測試,在系統時間為2023年時新建使用者,是可以登入的。但是,如果交換機重啟之後,系統時間被重寫成2023年時,該使用者登入過一次,在把系統設定成2023年時,該使用者也不能登入。這樣會導致以後如果更新系統時間為當前時間,跟使用者建立時間之間超過365天時,導致使用者不可登入,只能通過重啟交換機解決。(考慮到交換機在機房,且交換機不可能隨便重啟,固存在較大安全隱患)
如果undo password-control enable
本地使用者就可以登入,但是如果這樣的話,交換機在登入方面的安全策略都被取消了,存在安全隱患。不建議這樣做。
跟h3c售後技術支援溝通之後,h3c所有中低端交換機(包括我們現在所用h3c s5500-28c-ei和我目前測試的h3c s5120s-28p-ei)都不具備儲存系統時間的功能,及交換機重啟之後,時間統一被設定2023年某月某日,該時間溝通過,不能重新設定。溝通過,h3c交換機只有少許的某些高階交換機才有儲存系統時間功能。
如果不採用同步目前的時間的做法,跟售後技術支援溝通後,得出不影響交換機的使用,不影響生成樹協議的使用
取消該項策略,使用者可以登入,存在安全隱患,不建議使用。
該做法時間時鐘跟目前的真實時間不一致,不利用debug排查後來問題,勉強能用。
採購能夠儲存系統時間的高階交換機,就不存在上述問題,缺點,可能費用要比現在要高。
經測試配置好ntp伺服器後,在以下幾個條件滿足的情況下,可以成功登陸
①-交換機重啟之後,通過配置的ntp伺服器同步到當前時間(意味著ntp伺服器是好的,且能同步到當前時間)
②-在交換機重啟之後,時間未同步到當前時間,不能通過console登陸,以免造成該使用者最後登陸成功登陸時間為2023年
③-登陸的使用者最近的一次成功登陸的時間必須不能提前於當前時間的365天(交換機重啟前,使用者最後成功登陸交換機的時間不得早於當前時間的365天)
綜上所述,為避免ssh 登陸不上交換機,必須保證以下幾個條件
①-必須保證建立的使用者為當前或者不得早於當前時間365天。
②-重啟交換機之前必須有使用者在365天內登陸成功的記錄。
③-在交換機為完成或者不能完成時間同步的條件下,不得用console連線交換機,防止該使用者在交換機同步完時間後,遠端ssh登陸不進系統。
h3c交換機筆記
一 埠配置 sysint g0 1 combo enable copper fiber 切換網口和光口 description text duplex full half auto 設定雙工模式 speed 10 100 1000 10000 auto mtu 1430 設定mtu值 port li...
h3c交換機配置遠端管理 H3C交換機配置遠端登入
普通設定telnet密碼 user inte ce aux 0 user inte ce vty 0 4 authentication mode scheme user privilege level 3 set authentication password cipher 52 protocol ...
H3C交換機修改時間
首先學習 ntp network time protocol 網路時間協議 utc 世界協調時間 檢視時鐘設定 dis clock 為已經配置好的時鐘 有兩種時鐘獲取方式 1.開取ntp 由網路時鐘伺服器獲取時間 clock protocol ntp mdcmdc id 2.不置時鐘伺服器,cloc...