如果忘记了Telnet登录密码，用户可以通过Console口登录交换机后设置新的Telnet登录密码。

注:以下涉及的命令行以V200R008C00版本的S7700交换机为例。

通过Console口登录设备。

将Console通信电缆的DB9（孔）插头插入PC机的串口（COM）中，再将RJ-45插头端插入设备的Console口中。
在PC上打开终端仿真软件，新建连接，设置连接的接口，配置通信参数如下：
波特率：9600
数据位：8
停止位：1
奇偶校验位：无
流控：无
单击“Connect”，根据提示输入或配置登录密码，完成登录。

以登录VTY0的验证方式为密码验证，密码为Huawei@123为例，配置如下。
system-view
[HUAWEI] user-interface vty 0
[HUAWEI-ui-vty0] protocol inbound telnet //V200R006及之前版本缺省使用的协议为Telnet协议，可以不配置该项；V200R007及之后版本缺省使用的协议为SSH协议，必须配置。
[HUAWEI-ui-vty0] authentication-mode password
[HUAWEI-ui-vty0] set authentication password cipher Huawei@123
[HUAWEI-ui-vty0] user privilege level 15
[HUAWEI-ui-vty0] return
save

以登录VTY0的验证方式为AAA授权验证，用户名为admin123，密码为Huawei@123为例，配置如下。
system-view
[HUAWEI] user-interface vty 0
[HUAWEI-ui-vty0] protocol inbound telnet //V200R006及之前版本缺省使用的协议为Telnet协议，可以不配置该项；V200R007及之后版本缺省使用的协议为SSH协议，必须配置。
[HUAWEI-ui-vty0] authentication-mode aaa
[HUAWEI-ui-vty0] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher Huawei@123
[HUAWEI-aaa] local-user admin123 service-type telnet
[HUAWEI-aaa] local-user admin123 privilege level 15
[HUAWEI-aaa] return
save

如果忘记了Console口登录密码，用户可以通过以下两种方式来设置新的Console口登录密码。

1、通过STelnet/Telnet登录交换机设置新的Console口登录密码
注：使用Telnet协议存在安全风险，建议用户使用STelnet V2登录设备。

这种方法的前提是：用户拥有STelnet/Telnet账号并且具有管理员的权限。以下涉及的命令行及回显信息以STelnet登录设备修改Console口密码为例。用户通过STelnet账号登录交换机后，请按照如下步骤进行配置。

以登录用户界面的认证方式为密码认证，密码为Huawei@123为例，配置如下。
system-view
[HUAWEI] user-interface console 0
[HUAWEI-ui-console0] authentication-mode password
[HUAWEI-ui-console0] set authentication password cipher Huawei@123
[HUAWEI-ui-console0] return
save

以登录用户界面的认证方式为AAA认证，用户名为admin123，密码为Huawei@123为例，配置如下。
system-view
[HUAWEI] user-interface console 0
[HUAWEI-ui-console0] authentication-mode aaa
[HUAWEI-ui-console0] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher Huawei@123
[HUAWEI-aaa] local-user admin123 service-type terminal
[HUAWEI-aaa] return
save

2、通过BootROM/BootLoad清除Console口登录密码
交换机的BootROM/BootLoad提供了清除Console口登录密码的功能，用户可以在交换机启动后修改Console口登录密码，然后保存配置。

注：如果交换机是双主控，则需要在执行以下操作前将备用主控板拔下，待执行完以下操作后，再插上备用主控板，执行save命令以保证主用主控板和备用主控板配置一致。

交换机的BootROM/BootLoad提供了清除Console口登录密码的功能，用户可以在交换机启动后修改Console口登录密码，然后保存配置。请按照如下步骤进行配置。

以BootROM菜单为例，请按照如下步骤进行配置。
1、通过Console口连接交换机，并重启交换机。当界面出现以下打印信息时，及时按下快捷键“Ctrl+B”并输入BootROM密码，进入BootROM主菜单。

框式交换机打印信息：
Press Ctrl+B to enter boot menu … 1
Password: //输入BootROM密码
盒式交换机打印信息：
Press Ctrl+B or Ctrl+E to enter BootROM menu … 2
password: //输入BootROM密码

注:
.盒式交换机的某些款型支持使用快捷键“Ctrl+E”进入BootROM主菜单，请根据设备的界面提示操作。
.盒式交换机在V100R006C03之前的版本，BootROM默认密码为huawei；在V100R006C03及之后的版本，默认密码为Admin@huawei.com。
.框式交换机在V100R006及之前的版本，BootROM默认密码为9300；在V100R006之后的版本，默认密码为Admin@huawei.com。
.不同版本和不同形态的设备回显有差异，请以实际设备显示为准。

2、在BootROM主菜单下选择“Clear password for console user”清除Console口登录密码。
根据交换机的提示，在BootROM主菜单下选择“Boot with default mode”启动设备。
注:此处不要选择“Reboot”选项，否则此次清除密码将失效。

3、完成系统启动后，通过Console口登录时不需要认证，登录后按照系统提示配置验证密码。（V200R009及之后版本，完成系统启动后，通过Console口登录时认证方式为None，系统启动后不会提示配置验证密码。）

4、登录交换机后，用户可以根据需要配置Console用户界面的认证方式及密码。具体配置与通过STelnet/Telnet登录交换机设置新的Console口登录密码类似，不再赘述。

Web网管方式登录交换机
攻击行为
1、拒绝服务式攻击
Web Server支持的用户数有限，在用户登录达到上限后，其他用户将无法登录。这个可能是正常使用造成，也可能是攻击者造成。
2、慢连接攻击
在HTTP的报文头中声明较大的content-length，也就是报文内容的长度。在提交了头以后，将后面的报文体部分卡住不发送，这时服务器在接受了长度以后，就会等待客户端发送剩余的内容，攻击者保持连接并且以10秒～100秒/字节的速度去发送大量报文，就达到了消耗资源的效果。
受到攻击后，会出现Web用户登录慢、用户掉线、频繁断连、无法登录等现象。

安全策略
针对以上攻击行为，可以在交换机上配置如下安全策略。
1、AAA认证
Web Server支持AAA认证，只有通过认证的用户才能登录交换机，进入控制页面。用户在进行登录时，要求输入用户名、密码和随机生成的验证码，减小了帐号被破解的概率。
2、关闭服务
当开启Web Server服务器时，交换机将开启Socket服务，易被攻击者扫描。当不使用Web Server时，可以关闭Web Server
3、变更端口号
缺省情况下，Web Server的端口号是80，端口号80属于知名端口号，易被扫描和攻击。可以修改Web Server的端口为私有端口，减小被扫描攻击的概率。
4、ACL
在系统视图可以配置Web Server的ACL过滤规则，通过ACL控制允许登录的客户端源IP和源端口号，其他用户不允许登录。
5、HTTP over SSL
提供安全的传输服务，防止传输的数据被窃听获取。HTTP存在安全风险，从V200R005版本开始，交换机仅支持通过安全HTTP（即HTTPS）登录Web网管，不支持通过HTTP登录Web网管。
V200R020C00之前版本，HTTPS服务器端缺省接收来自所有接口登录连接请求，存在安全风险，建议使用http server-source -i命令指定HTTPS服务器端的源接口。V200R020C00及之后版本，HTTPS服务器端缺省仅接收来自管理网口MEth0/0/1或VLANIF1登录连接的请求，当需要授权客户可以从其他接口登录服务器时，可以使用http server-source -i命令指定HTTPS服务器端的源接口，不建议配置http server-source all-interface命令配置HTTPS服务器的源接口为设备上所有配置了IPv4地址的接口。
成功指定HTTPS服务器端的源接口后，只允许用户通过指定的源接口下的地址登录设备，其它地址的访问将会被拒绝。已经登录到服务器的HTTPS IPv4用户会被强制下线，需要重新登录。

配置方法
配置AAA认证
配置认证方式配置为AAA认证，并在AAA视图下配置用户名client001和密码Helloworld@6789。
system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user client001 password irreversible-cipher Helloworld@6789
[HUAWEI-aaa] local-user client001 privilege level 15
[HUAWEI-aaa] local-user client001 service-type http

配置关闭HTTP服务功能
system-view
[HUAWEI] undo http server enable

变更服务器端口号为55535
system-view
[HUAWEI] http server port 55535

配置ACL 3000，HTTP引用ACL 3000，表示只允许源IP地址为10.10.10.1、源端口号为80的设备通过HTTP方式登录交换机
system-view
[HUAWEI] acl 3000
[HUAWEI-acl-adv-3000] rule 5 permit tcp source 10.10.10.1 0 source-port eq 80
[HUAWEI-acl-adv-3000] quit
[HUAWEI] http acl 3000

配置HTTP over SSL
system-view
[HUAWEI] ssl policy https_der
[HUAWEI-ssl-policy-https_der] certificate load pem-cert 1_servercert_pem_dsa.pem key-pair dsa key-file 1_serverkey_pem_dsa.pem auth-code cipher 123456
[HUAWEI-ssl-policy-https_der] quit
[HUAWEI] http secure-server ssl-policy https_der
[HUAWEI] http secure-server enable

SSH方式登录交换机
攻击行为
1、暴力破解密码
攻击者在侦听到SSH端口后，尝试进行连接，交换机提示认证，则会进行暴力破解尝试通过认证，获取访问权限。
2、拒绝服务式攻击
SSH Server支持的用户数有限，在用户登录达到上限后，其他用户将无法登录。这个可能是正常使用造成，也可能是攻击者造成。

安全策略
针对以上攻击行为，可以在交换机上配置如下安全策略。
1、密码认证和Public-Key认证
SSH Server支持密码认证和Public-Key认证，只有通过认证的用户才能登录交换机，进入命令行界面。
2、关闭服务
当开启SSH Server服务器时，交换机将开启Socket服务，易被攻击者扫描。当不使用SSH Server时，可以关闭SSH Server。
3、变更端口号
缺省情况下，SSH服务器的端口号为22。端口号22属于知名端口号，易被扫描和攻击。可以修改SSH Server的端口为私有端口，减小被扫描攻击的概率。
4、ACL
在用户界面视图（user-interface）可以配置各个VTY通道的ACL过滤规则，通过ACL控制允许登录的客户端IP。
5、配置SSH服务器源接口
V200R020C00之前版本，SSH服务器端缺省接收来自所有接口登录连接请求，存在安全风险，建议使用ssh server-source -i命令指定SSH服务器端的源接口。V200R020C00及之后版本，SSH服务器端缺省不接收来自任何接口登录连接的请求，需要通过ssh server-source -i命令指定SSH服务器端的源接口，不建议配置ssh server-source all-interface命令配置SSH服务器的源接口为设备上所有配置了IPv4地址的接口。
成功指定SSH服务器端的源接口后，系统只允许SSH用户通过指定的源接口登录服务器，通过其他接口登录的SSH用户都将被拒绝。但对于已登录到服务器的SSH用户不会产生影响，只限制后续登录的SSH用户。

配置方法
配置密码认证或者RSA认证
密码认证：配置用户testuser的认证方式为密码认证
system-view
[HUAWEI] ssh user testuser
[HUAWEI] ssh user testuser authentication-type password

RSA认证：配置用户testuser的认证方式为RSA认证（RSA要采用2048位及以上算法）system-view
[HUAWEI] ssh user testuser
[HUAWEI] ssh user testuser authentication-type rsa

关闭SSH服务
system-view
[HUAWEI] undo stelnet server enable

变更SSH服务器端口号为55535
system-view
[HUAWEI] ssh server port 55535

配置ACL 2000，允许源IP地址为10.1.1.1的用户登录到交换机
system-view
[HUAWEI] acl 2000
[HUAWEI-acl-basic-2000] rule permit source 10.1.1.1 0
[HUAWEI-acl-basic-2000] quit
[HUAWEI] user-interface vty 14
[HUAWEI-ui-vty14] acl 2000 inbound //当需要限制某个地址或地址段的用户登录到交换机时，使用inbound；当需要限制已经登录的用户登录到其它交换机时，使用outbound。
[HUAWEI-ui-vty14] quit

配置SSH服务器端的源接口为Loopback0
system-view
[HUAWEI] ssh server-source -i loopback 0 //执行本命令前，必须已经成功创建LoopBack接口，且接口下已配置IP地址。

Console口方式登录交换机

攻击行为
Console口（也称串口）属于物理接口，攻击者接触到Console口后，交换机将暴露给攻击者，交换机的安全无法保障。即使该攻击者没有破解用户名和密码，也能够对交换机造成损害。
在使用Console口登录的情况下，可能有潜在的攻击者通过网络连接尝试破解用户名和密码，获取交换机管理权限。

安全策略
针对以上攻击行为，可以在交换机上配置如下安全策略。当交换机第一次启用时，需要通过Console口进行第一次配置：
将Console通信电缆的DB9（孔）插头插入PC机的串口，在交换机启动过程中，按下“CTRL+B”或者“CTRL+E”快捷键。
V200R019及之前版本：利用缺省密码进入BootROM或BootLoad菜单，修改BootROM或BootLoad的密码。
V200R020及之后版本：BootROM或BootLoad菜单缺省无密码。首次登录时系统提示必须设置新密码。
交换机生成配置，此时必须修改Console口的登录密码，并记录所配置的登录密码。
V200R009及之前版本Console口默认无认证方式，无默认的用户名和密码，交换机允许用户登录并提示是否配置密码。为保证Console口安全，建议用户此时将Console用户界面的认证方式修改为AAA认证，并在AAA视图下配置用户名和密码。
V200R010至V200R019版本Console口默认为AAA认证，需要在AAA视图下配置用户名和密码。建议用户使用默认的认证方式。
V200R020及之后版本Console口默认为Password认证。首次登录时系统提示必须设置密码。

配置方法
修改BootROM或BootLoad密码
有的设备支持BootROM菜单，有的设备支持BootLoad菜单，不同版本、不同形态可能有差异，请您以设备为准。
修改BootROM密码
交换机启动过程中，出现以下提示信息时，表示交换机启动了BootROM程序。当出现“Press Ctrl+Bor Ctrl+E to enter BootROM menu :”时，及时（3秒内）按下快捷键Ctrl+B，进入BootROM主菜单。输入正确的BootROM密码，显示的BootROM主菜单如下：
框式交换机：

盒式交换机：

修改BootLoad密码
交换机启动过程中，出现以下提示信息时，表示设备启动了BootLoad程序。当出现“Press CTRL+B to enter BootLoad menu :”时，及时（3秒内）按下快捷键Ctrl+B，进入BootLoad菜单。
框式交换机：

盒式交换机：

配置AAA认证
将Console用户界面的认证方式配置为AAA认证，并在AAA视图下配置用户名admin1234和密码Helloworld@6789。

1、键盘默认消警命令：12341#。
2、键盘默认撤防命令：1234#；若是全局键盘，请先输入进入子系统31#。

一 、总线报警主机（DS-19A08-01BN）只能接LCD键盘，其他类型报警主机可接LCD或LED键盘
二、总线报警主机只接一个LCD键盘，可以不拨码，即是全局键盘。接多个键盘需要拨码。
三、接线D+ D- 12V GND 一一对应。
四、4200远程配置设置防区关联子系统，键盘关联子系统。
如果通过上述排查已经解决离线或空闲的问题，但仍然无法布撤防，则需要先按*3N#进入子系统，再通过键盘布撤防以及旁路还有消警测试。

检查对应的键盘拨码（多个键盘的话，地址需要区分开）
键盘拨码（需要拆开键盘进行拨码设置，二进制拨码对应表如下所示）

检查接线，将键盘的 D+、D-、+12V、GND 分别接到报警主机端口上

一、确认键盘端口位置，以DS-19A08-01BNG为例，如图所示

二、将键盘的D+、D-、+12V、GND分别接到主机端口上。如图所示

说明：
1、 键盘与主机采用485通讯，所以要用RVV4*X（X表示导线截面积）的铜芯线材（两根信号线，两根电源线），截面积一般不低于0.5mm²，最长距离不得大于1200m。
2、键盘D+、D-之间电压在5V左右。
3、一个主机接多个键盘时，最好采用手拉手的接线方式，所有键盘接线总和不得大于1200m。

三、键盘拨码
系统配用的每一个报警键盘都必须有一个地址，这些地址不能重复。当更换报警键盘的时候，须确保更换的报警键盘与前一个报警键盘地址相同。在系统上电前，通过键盘的拨码开关给键盘设置地址，拨码为0的键盘为全局键盘，非0的为子系统键盘（LCD键盘地址为1-31；LED键盘地址为1-7）。
四、说明：
1、总线报警主机最多支持32个键盘。
2、其它类型报警主机V2.1版本最多支持32个键盘，V2.1之前版本最多支持16个。
五、LCD键盘上电后32秒内没有收到主机注册，则连续发音提示键盘注册失败。
系统启动中，显示“HIKVISION”LOGO
LED键盘上电后20秒内没有收到主机注册，则连续发音提示键盘注册失败。键盘注册成功后，运行指示灯绿色常亮。
说明：总线报警主机只能配备LCD键盘，其它报警主机既可以配LCD键盘，也可以配LED键盘。