■ 北京 苏戈 刘畅 王义彤

编者按：最近笔者在培训交换机配置工作时，遇到忘记密码的问题，这在网管工作中是不应该出现的，在解决问题时却因设备和系统过于老旧而一波三折，这也提醒读者在运维工作中不能犯类似错误。

新年伊始，笔者按计划为两名新同事培训交换机的基本配置方法。正好所在办公楼有一小型办公局域网，使用一台华为S5700-24TP和两台华为S5700-48TP交换机实现路由器、服务器、计算机终端等的互联，作为教学环境非常合适。

其网络拓扑结构如图1所示，每一台S5700-48TP都通过4个千兆口和S5700-24TP互联，并配置成Eth-Trunk链路聚合。

故障现象

带着两名新同事来到机房，用笔记本连接到S5700-24TP的Console口，输入用户名和密码后，提示“Error:Failed to authenticate”。变换常用的几个用户名和密码组合，反复试了几次都失败。又通过Telnet登录，输入用户名和密码同样显示验证失败。

图1 网络拓扑图

当初对这几台交换机进行配置的时候，因为只做了链路聚合等简单配置，就随手从常用的用户名和密码中各挑了一个进行了设置，显然时间一长记不清楚了。这可如何是好？两名新同事眼巴巴地望着笔者，笔者轻松地说：“没关系，把console user password清除就行了。”

故障分析和解决

重新启动交换机，当出 现“Press Ctrl+B to enter BOOTROM menu...”时，同时点击键盘上的Ctrl键和B键，进入 BOOTROM MENU：

1.Boot with default mode

2.Enter serial submenu

3.Enter startup submenu

4.Enter ethernet submenu

5.Enter filesystem submenu

6.Modify BOOTROM password

7.Reboot

Enter your choice (1-7):

奇怪了，菜单里只有7个选项，而通常都是8个选项。对比之后发现，恰恰缺少了最关键的一项“Clear password for console user”。灵机一动，决定从启动文件着手，绕开密码验证。于是进入选项3：

Startup Configuration Submenu

1.Display startup configuration

2.Modify startup configuration

3.Return to main menu

Enter your choice(1-3):

选择选项2，修改启动配置，如图2所示。

前两项连续回车，当要求输入新的savedconfiguration file名 字时，有意改为“1.zip”，但系统提示文件不存在，要求再次输入。

看来这种方式是不可行了，于是另辟蹊径，不再修改启动文件名，而是退回到BOOTROM MENU，进入选项5：

FILESYSTEM SUBMENU

1.Erase Flash

2.Format flash

3.Delete file from Flash

4.Rename file from Flash

5.Display Flash files

6.Update EPLD file

7.Return to main menu

Enter your choice (1-7):

进入选项4，对文件重新命名：

BE CAREFUL!

This may cause your system fail to start!

Please choose the file you want to rename:vrpcfg.zip

Please Input the new filename: 1.zip

Rename file.....done

将配置文件vrpcfg.zip改名为1.zip。重新启动交换机，因为savedconfiguration file已经不存在，所以这次没有提示输入用户名、密码，就直接进入了模式。查看交换机的当前配置，只有一些初始的默认配置，用户、Eth-Trunk链路聚合等配置均为空白。绕开密码验证登录交换机的目的初步达到了。

虽然交换机的状态指示灯在正常闪烁，但两台交换机之间同时有4条链路相连，必然导致网络风暴。果然很快就陆续有同事申告服务器无法访问、网络连接中断。说明前述方法还存在很大弊端，还得从交换机配置入手解决问题。

因为另外两台S5700-48TP交换机的用户名、密码一时也无法确定，担心不参考其配置就重新配置S5700-24TP会产生新的问题，只能剑走偏锋了。

一方面断开每个链路聚合组中的三条线路，只保留一条，保证网络可以正常工作。另一方面利用TFTP软件将S5700-24TP的文件1.zip上传到笔记本上，打开后发现有如下语句：

local-user bg1 password cipher L\%MKKMa-SQ=^Q`MAF4<1!!

local-user bg1 privilege level 3

local-user bg1 service-type terminal

显然，bg1是笔者增加的用户，而密码经过系统加密，无法直接识读。随即远程登录到另外一台同型号、同批次的S5700-24TP交换机上，找到其密码的加密字符串“HJR5DIKPUJ7Q=^Q`MAF4<1!!”，用其替换“L\%MKKMa-SQ=^Q`MAF4<1!!”。

保存文件后，将1.zip改为vrpcfg.zip，重新回传到S5700-24TP。再次重新启动，熟悉的界面出现了。输入用户名和修改后的密码，成功登录到交换机。查看配置，用户、Eth-Trunk链路聚合等配置都已经恢复，办公网络也很快恢复了正常。

故障反思

经过这一番折腾，笔者终于记起了当初设置的用户名和密码，接着登录两台S5700-48TP，检查配置时却注意到一个之前忽视的现象：

local-user bg2 password cipher%$%$H1.[J}%~UVDr|W-=+0)'X+"v%$%$

local-user bg2 service-type terminal

local-user qxzx password cipher%$%$f(W4%cN>j+]MNUB)Qak#X`WN%$%$

local-user qxzx service-type telnet

local-user admin password cipher %$%$If1o Q'fdh2|uki+QkoX:Xof]%$%$

local-user admin service-type http

同一台S5700-48TP上的三个不同用户设置的是同一个密码，但加密后的字符串却各不相同，两台S5700-48TP上各三个用户共六个加密字符串均不一样。而S5700-24TP三个不同用户设置为同一个密码，其加密字符串是相同的。这样一来，通过替换加密字符串找回S5700-24TP密码的方法在S5700-48TP上不适用了。原因何在？仔细对比两种型号交换机的区别，发现S5700-24TP的生产日期较早，软件版本为Version 5.70 (S5700 V100R005C01SPC100)，而S5700-48TP的 生 产日期较晚，软件版本为Version 5.110 (S5700 V200R001C00SPC300)。 进入S5700-48TP的BOOTROM MENU，里面有8个选项：

1.Boot with default mode

2.Enter serial submenu

3.Enter startup submenu

4.Enter ethernet submenu

5.Enter filesystem submenu

6.Modify BOOTROM password

7.Clear password for console user

8.Reboot

这是我们常见的菜单项。看来，此次故障的导火索是忘记用户名、密码，而解决过程中的一波三折根源还在于交换机操作系统过于老化。如果是V200版本系统，直接在BOOTROM MENU中选择Clear password for console user，就能很快解决问题了，也不至于逼得笔者绞尽脑汁，最终还是影响了办公网络正常工作。

查询华为技术支持，V100版本的系统早已停止支持了，V200也已经更新到了R012版本，在密码加密方式、端口默认配置等方面都有了很大变化。这也再一次给还有大量老旧设备运行的用户提醒，网络设备系统软件的及时升级是一项必须引起重视的工作。