忘記密碼引起交換機配置問題

■ 北京 蘇戈 劉暢 王義彤

編者按：最近筆者在培訓交換機配置工作時，遇到忘記密碼的問題，這在網管工作中是不應該出現的，在解決問題時卻因設備和系統過于老舊而一波三折，這也提醒讀者在運維工作中不能犯類似錯誤。

新年伊始，筆者按計劃為兩名新同事培訓交換機的基本配置方法。正好所在辦公樓有一小型辦公局域網，使用一臺華為S5700-24TP和兩臺華為S5700-48TP交換機實現路由器、服務器、計算機終端等的互聯，作為教學環境非常合適。

其網絡拓撲結構如圖1所示，每一臺S5700-48TP都通過4個千兆口和S5700-24TP互聯，并配置成Eth-Trunk鏈路聚合。

故障現象

帶著兩名新同事來到機房，用筆記本連接到S5700-24TP的Console口，輸入用戶名和密碼后，提示“Error:Failed to authenticate”。變換常用的幾個用戶名和密碼組合，反復試了幾次都失敗。又通過Telnet登錄，輸入用戶名和密碼同樣顯示驗證失敗。

圖1 網絡拓撲圖

當初對這幾臺交換機進行配置的時候，因為只做了鏈路聚合等簡單配置，就隨手從常用的用戶名和密碼中各挑了一個進行了設置，顯然時間一長記不清楚了。這可如何是好？兩名新同事眼巴巴地望著筆者，筆者輕松地說：“沒關系，把console user password清除就行了。”

故障分析和解決

重新啟動交換機，當出 現“Press Ctrl+B to enter BOOTROM menu...”時，同時點擊鍵盤上的Ctrl鍵和B鍵，進入 BOOTROM MENU：

1.Boot with default mode

2.Enter serial submenu

3.Enter startup submenu

4.Enter ethernet submenu

5.Enter filesystem submenu

6.Modify BOOTROM password

7.Reboot

Enter your choice (1-7):

奇怪了，菜單里只有7個選項，而通常都是8個選項。對比之后發現，恰恰缺少了最關鍵的一項“Clear password for console user”。靈機一動，決定從啟動文件著手，繞開密碼驗證。于是進入選項3：

Startup Configuration Submenu

1.Display startup configuration

2.Modify startup configuration

3.Return to main menu

Enter your choice(1-3):

選擇選項2，修改啟動配置，如圖2所示。

前兩項連續回車，當要求輸入新的savedconfiguration file名 字時，有意改為“1.zip”，但系統提示文件不存在，要求再次輸入。

看來這種方式是不可行了，于是另辟蹊徑，不再修改啟動文件名，而是退回到BOOTROM MENU，進入選項5：

FILESYSTEM SUBMENU

1.Erase Flash

2.Format flash

3.Delete file from Flash

4.Rename file from Flash

5.Display Flash files

6.Update EPLD file

7.Return to main menu

Enter your choice (1-7):

進入選項4，對文件重新命名：

BE CAREFUL!

This may cause your system fail to start!

Please choose the file you want to rename:vrpcfg.zip

Please Input the new filename: 1.zip

Rename file.....done

將配置文件vrpcfg.zip改名為1.zip。重新啟動交換機，因為savedconfiguration file已經不存在，所以這次沒有提示輸入用戶名、密碼，就直接進入了模式。查看交換機的當前配置，只有一些初始的默認配置，用戶、Eth-Trunk鏈路聚合等配置均為空白。繞開密碼驗證登錄交換機的目的初步達到了。

雖然交換機的狀態指示燈在正常閃爍，但兩臺交換機之間同時有4條鏈路相連，必然導致網絡風暴。果然很快就陸續有同事申告服務器無法訪問、網絡連接中斷。說明前述方法還存在很大弊端，還得從交換機配置入手解決問題。

因為另外兩臺S5700-48TP交換機的用戶名、密碼一時也無法確定，擔心不參考其配置就重新配置S5700-24TP會產生新的問題，只能劍走偏鋒了。

一方面斷開每個鏈路聚合組中的三條線路，只保留一條，保證網絡可以正常工作。另一方面利用TFTP軟件將S5700-24TP的文件1.zip上傳到筆記本上，打開后發現有如下語句：

local-user bg1 password cipher L\%MKKMa-SQ=^Q`MAF4<1!!

local-user bg1 privilege level 3

local-user bg1 service-type terminal

顯然，bg1是筆者增加的用戶，而密碼經過系統加密，無法直接識讀。隨即遠程登錄到另外一臺同型號、同批次的S5700-24TP交換機上，找到其密碼的加密字符串“HJR5DIKPUJ7Q=^Q`MAF4<1!!”，用其替換“L\%MKKMa-SQ=^Q`MAF4<1!!”。

保存文件后，將1.zip改為vrpcfg.zip，重新回傳到S5700-24TP。再次重新啟動，熟悉的界面出現了。輸入用戶名和修改后的密碼，成功登錄到交換機。查看配置，用戶、Eth-Trunk鏈路聚合等配置都已經恢復，辦公網絡也很快恢復了正常。

故障反思

經過這一番折騰，筆者終于記起了當初設置的用戶名和密碼，接著登錄兩臺S5700-48TP，檢查配置時卻注意到一個之前忽視的現象：

local-user bg2 password cipher%$%$H1.[J}%~UVDr|W-=+0)'X+"v%$%$

local-user bg2 service-type terminal

local-user qxzx password cipher%$%$f(W4%cN>j+]MNUB)Qak#X`WN%$%$

local-user qxzx service-type telnet

local-user admin password cipher %$%$If1o Q'fdh2|uki+QkoX:Xof]%$%$

local-user admin service-type http

同一臺S5700-48TP上的三個不同用戶設置的是同一個密碼，但加密后的字符串卻各不相同，兩臺S5700-48TP上各三個用戶共六個加密字符串均不一樣。而S5700-24TP三個不同用戶設置為同一個密碼，其加密字符串是相同的。這樣一來，通過替換加密字符串找回S5700-24TP密碼的方法在S5700-48TP上不適用了。原因何在？仔細對比兩種型號交換機的區別，發現S5700-24TP的生產日期較早，軟件版本為Version 5.70 (S5700 V100R005C01SPC100)，而S5700-48TP的 生 產日期較晚，軟件版本為Version 5.110 (S5700 V200R001C00SPC300)。 進入S5700-48TP的BOOTROM MENU，里面有8個選項：

1.Boot with default mode

2.Enter serial submenu

3.Enter startup submenu

4.Enter ethernet submenu

5.Enter filesystem submenu

6.Modify BOOTROM password

7.Clear password for console user

8.Reboot

這是我們常見的菜單項。看來，此次故障的導火索是忘記用戶名、密碼，而解決過程中的一波三折根源還在于交換機操作系統過于老化。如果是V200版本系統，直接在BOOTROM MENU中選擇Clear password for console user，就能很快解決問題了，也不至于逼得筆者絞盡腦汁，最終還是影響了辦公網絡正常工作。

查詢華為技術支持，V100版本的系統早已停止支持了，V200也已經更新到了R012版本，在密碼加密方式、端口默認配置等方面都有了很大變化。這也再一次給還有大量老舊設備運行的用戶提醒，網絡設備系統軟件的及時升級是一項必須引起重視的工作。