命令级别与用户级别相对应,用户登录设备后只能执行命令级别等于或低于自己用户级别的命令,如用户级别为2的用户只能执行命令级别为0,1和2的命令。
缺省情况下,命令级别按0~3级进行注册,用户级别按0~15级进行注册。管理员可以根据用户需要重新调整命令级别,以实现不同级别用户与可操作命令灵活对应。
当管理员用户的用户级别为15级时,可以执行以下命令提升命令级别。
1、执行命令command-privilege level level view view-name command-key,设置视图view-name内命令command-key的级别。
2、执行命令command-privilege level rearrange,批量提升命令的级别。
对于没有通过命令command-privilege level level view view-name command-key单独调整过级别的命令,批量提升级别后,设备上所有2级和3级命令分别批量提升到10级和15级,0级和1级的命令不受影响,级别保持不变。
如果需要恢复出厂配置,请按照下面命令行操作。
<Quidway> reset saved-configuration //清除当前配置
Warning: The action will delete the saved configuration in the device.
The configuration will be erased to reconfigure. Continue? [Y/N]:y
Warning: Now clearing the configuration in the device.
Info: Succeeded in clearing the configuration in the device.
<Quidway> reboot //重启设备
Info: The system is now comparing the configuration, please wait.
Warning: The configuration has been modified, and it will be saved to the next startup saved-configuration file . Continue? [Y/N]:N //选择N,不保存配置
Info: If want to reboot with saving diagnostic information, input ‘N’ and then execute ‘reboot save diagnostic-information’.
System will reboot! Continue?[Y/N]:y //提示是否重启,选择Y重启
整机重启后,配置就可以恢复到出厂默认配置了,可以按照新的业务配置设备。
注:
清空重启后,再配置交换机,或者新开局第一次配置交换机,在保存配置时,一定要根据回显提示,输入两次y,才能保存成功。回显如下:
<Quidway> save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:
flash:/vrpcfg.zip exists, overwrite?[Y/N]:y
Now saving the current configuration to the slot 0.
Save the configuration successfully.
用户可以通过如下方式修改自己的用户级别。
1、管理员配置用户提升用户级别为15级时的密码。
2、普通用户通过Telnet登录设备后在线修改自己的用户级别。
此功能显示空调出现故障或者自检故障的类型。
故障代码显示在室内机和有线遥控器的显示屏上,并在室外机控制板七段数码显示管上显示。
如果同时出现两个错误,数值低的故障代码先显示故障发生后,如果故障排除了,七段数码显示管上的故障代码也会同时消失。
七段数码显示管上的第一二三位显示的错误代码,第四位显示机组编号。
如下图:
跳线端子Vout1-Cout1,打到Cout1档位,F6.25=2
接在多功能继电器输出上(例:RDI67的TA、TB、TC端子),此端子为无源端子,需要另接电源。
用万表黑表笔接变频器”+“端子,红表笔分别测试R、S、T和U、V、W ,应显示二极管特性;
再用红表笔接变频器”-”端子,黑表笔分别测试R、S、 T和U、V、W ,应显示二极管特性。
背景信息
如下图所示,当设备向802.1X客户端发送了EAP-Request/MD5 Challenge请求报文后,设备启动802.1X客户端认证超时定时器。若在该定时器设置的时长内,设备没有收到客户端的响应报文,设备将重传请求报文。若设备重传请求报文的次数达到配置的最大值后,仍然没有收到客户端的响应报文,则停止重传,并向客户端发送认证失败报文。
设备重传EAP-Request/MD5 Challenge报文的时间间隔由命令client-timeout client-timeout-value配置,次数由命令dot1x retry max-retry-value配置。EAP-Request/MD5 Challenge请求超时计算公式为:Timeout = (max-retry-value +1) * client-timeout-value。
故障现象
Trace诊断信息显示如下:终端没有回应EAP-Request/MD5 Challenge报文,超过重传次数后设备发送了Failure报文。
处理步骤
情况一:
终端不响应EAP-Request/MD5 Challenge报文的情况可能和终端操作系统中802.1X认证功能依赖的某些服务存在关系。
例如:某些终端在802.1X认证成功之前不能获取到IP地址时,此时需要在系统视图下执行命令undo authentication pre-authen-access enable,关闭预连接功能以限制终端获取IP地址的权限。
情况二:
还有某些终端,尤其涉及到证书相关内容时,回应Request Challenge请求比较慢,有时长达1分多钟。而设备的超时重传等待时间默认只有15秒,超时后设备发送Failure报文,之后又收到终端的回应报文。此时就需要通过分析报文来计算终端大致的回应时间。
如下图所示,第1327报文是设备发给终端的Request Challenge,第1425和1447报文是重传,重传结束后发送第1471个认证失败报文。直到第1518报文终端才回应了Response Challenge,中间间隔了28秒,所以需要调整设备超时重传等待时间大于28秒。
传统模式下,需要在系统视图下执行命令dot1x timer client-timeout 30、dot1x retry 2。
统一模式下,需要在802.1X接入模板视图下执行命令dot1x timer client-timeout 30、dot1x retry 2。
背景信息
在802.1X认证中,设备会向客户端发送EAP-Request/Identity报文请求用户名,请求报文的重传次数和时间间隔由命令行控制。
如下图所示,设备发送EAP-Request/Identity请求报文超时后,向客户端发送认证失败报文。
设备重传EAP-Request/Identity请求报文的时间间隔由命令dot1x timer tx-period tx-period配置、次数由命令dot1x retry max-retry-value配置。EAP-Request/Identity请求超时计算公式为:Timeout = (max-retry-value +1) * tx-period-value
故障现象
Trace诊断信息显示为No response of request identity from user。可以看到设备发出Request Identity报文没有收到回应,超时后设备进行了重传。
处理步骤
1、检查终端和接入交换机之间是否存在其它设备。
由于802.1X报文是组播协议报文,目的MAC地址是01-80-C2-00-00-03,交换机收到后默认不转发。如果终端和认证交换机之间还存在其它设备(二层交换机、路由器等),则需要中间设备能够透传802.1X报文。
如果存在,请执行步骤2。
如果不存在,请执行步骤4。
2、请检查中间设备是否支持透传802.1X报文。
如果不支持,请将这些设备更换为支持透传802.1X报文的设备,或者更换接入认证方式。
如果支持,请执行步骤3。
3、请检查中间设备是否已配置802.1X报文透传功能。
如果已配置,请执行步骤4。
如果未配置,请执行命令l2protocol-tunnel user-defined-protocol配置透传功能
4、检查终端是否有802.1X客户端。
如果有,请执行步骤5。
如果没有,请安装802.1X客户端。
5、检查终端是否已开启802.1X功能。
如果已开启,请执行步骤6。
如果未开启,请开启该功能,以Windows 7为例。
单击本地连接,选择“属性 > 身份验证”。选中“启用IEEE802.1X身份验证”。但是部分网卡属性中没有身份验证的选项卡,这是由于“控制面板 > 管理工具 > 服务”中没有开启Wired AutoConfig。
6、检查终端多次802.1X认证失败后是否进入静默状态。
如果未进入静默状态,请执行华为技术支持
如果进入静默状态,请执行命令display aaa online-fail-record,根据User online fail reason字段检查其他上线失败原因来定位问题。用户可以通过禁用启用网卡或插拔网线快速恢复,或者调整终端的静默时间,以Windows 7系统为例,默认的静默时间是20分钟,可以通过CMD窗口执行命令netsh lan set blockperiod value调小静默时间,以加快认证接入网络速度。
背景信息
为了保证用户账号和密码安全,设备提供账号锁定功能。在重试时间间隔内,如果某用户连续输入账号或密码错误并达到了限制次数,该账号将被锁定,经过锁定时间后账号才会解锁。
本地认证用户的账号锁定功能:默认已开启,用户在5分钟内连续3次输入的密码错误,该用户的帐号会被锁定5分钟。默认配置可以在AAA视图下通过命令local-aaa-user wrong-password retry-interval retry-interval retry-timeretry-time block-time block-time修改。
V200R019C00版本之前,服务器认证用户的账号锁定功能:默认已开启,用户在5分钟内连续30次输入的密码错误,该用户的帐号会被锁定5分钟。默认配置可以在AAA视图下通过命令remote-aaa-user authen-fail retry-interval retry-interval retry-time retry-time block-time block-time修改。
V200R019C00版本之后,服务器认证用户的账号锁定功能区分接入用户和管理员用户。
服务器认证的接入用户的账号锁定功能:默认关闭,可以在AAA视图下通过命令access-user remote authen-fail retry-interval retry-interval retry-time retry-time block-time block-time修改。
服务器认证的管理员用户的账号锁定功能:默认已开启,用户在5分钟内连续30次输入的密码错误,该用户的帐号会被锁定5分钟。默认配置可以在AAA视图下通过命令administrator remote authen-fail retry-interval retry-interval retry-time retry-time block-time block-time修改。
故障现象
执行命令display aaa online-fail-record all,发现User online fail reason字段显示为Remote user is blocked,表示远端认证用户账号被锁定;显示为Local Authentication user block,表示本地认证用户账号被锁定。
处理步骤
以下处理步骤以本地认证用户账号被锁定为例,远端认证用户账号被锁定的处理步骤与之类似。
执行命令display local-user state block,查看被锁定的本地账号和剩余锁定时长。
2、根据剩余锁定时长Block-time-left,确认被锁定的账号是否需要立即激活。
如果需要,请在AAA视图下执行命令local-user name state active激活该用户。激活后需要使用正确的用户名密码登录,否则失败次数达到条件后仍会被锁定。
如果不需要,请在剩余锁定时长后,使用正确的用户名密码登录,否则失败次数达到条件后仍会被锁定。
注:如果一个账号被多个终端使用,该账号被锁定后,使用该账号的所有终端认证时都会认证失败。