故障现象

使用admin账号telnet远程登录H3C交换机时，出现如下的报错信息；Failed to login because the idle timer expired.

故障原因

交换机启用Password Control（密码管理）功能，admin账号闲置已超时，该账号已失效，用户将无法正常登录设备。

Tips：Password Control（密码管理）是设备提供的密码安全管理功能，它根据管理员定义的安全策略，对本地用户登录密码、super密码的设置、老化、更新等方面进行管理，并对用户的登录状态进行控制。

故障解决思路

方案1：若设备配置snmp服务并启用了 写权限团字体字段 ，利用”MIB Browser”工具，通过SNMP协议修改设备的时钟使登录账号处于未失效的状态。

Tips：免费版MIB Browser工具本仅支持snmp v1和v2c。

方案2：上述条件无法满足，远程将无法处置，需要现场处置。

下面，将通过一个模拟的组网实践案例来验证方案1。

模拟组网拓扑图

SW分配IP：192.168.56.11/24；

配置telnet服务器，登录用户名/密码：admin/admin,

配置snmp服务（启用v2c，写团字体是admin）；

配置password-control功能（采用全局密码最小长度是5，用户帐号的闲置时间为1天（默认是90天））；

PC分配IP：192.168.56.10/24

Host_1分配IP：192.168.56.1/24

模拟组网设备配置

[H3C]sysname sw

[sw]interface Vlan-interface1

[sw-Vlan-interface1] ip address 192.168.56.11 255.255.255.0

[sw-Vlan-interface1]quit

[sw]

[sw] snmp-agent

[sw] snmp-agent community write admin

[sw] snmp-agent sys-info version v2c

[sw]

[sw]local-user admin class manage

[sw-luser-manage-admin]password simple admin

[sw-luser-manage-admin] service-type telnet terminal

[sw-luser-manage-admin] authorization-attribute user-role level-15

[sw-luser-manage-admin]quit

[sw]

[sw] password-control enable

[sw] password-control length 5

[sw] password-control login idle-time 1

[sw]

[sw] telnet server enable

[sw]

[sw]line vty 0 4

[sw-line-vty0-4] authentication-mode scheme

[sw-line-vty0-4] user-role network-operator

[sw-line-vty0-4]quit

[sw]

故障现象复现

Console方式登录交换机查看当前时钟和密码管理策略，如下图所示；

此时，pc可telnet登录该设备，但是首次登录需要修改账号的密码，如下图所示；

Console方式登录交换机修改交换机的时钟，如下图所示；

[sw]clock protocol none

<sw>clock datetime 00:00:00 2023/11/30

<sw>display clock

00:00:09 UTC Thu 11/30/2023

<sw>

Tips：

none（ 对应snmp的数值是1 ）：表示通过本地时钟源获取系统时间。配置该参数后，用户可通过clock datetime、clock timezone、clock summer-time命令修改系统时间。

ntp（ 对应snmp的数值是2 ）：表示通过NTP（Network Time Protocol，网络时间协议）协议获取系统时间。配置该参数后， 用户不能通过命令行修改系统时间 ，需要配置NTP的相关参数才能获取到时钟。

ptp（ 对应snmp的数值是3 ）：表示通过PTP（Precision Time Protocol，精确时间协议）协议获取系统时间。配置该参数后，用户不能通过命令行修改系统时间，需要配置PTP的相关参数才能获取到时钟。

手动修改交换机时钟后，pc将无法telnet登录该设备并出现报错信息，如下图所示；

snmp方式修改设备时钟

*载下**并安装MIB browser工具，*载下**方式如下图所示；

软件安装完毕并打开后，配置snmp参数，主要包含Address、读团体字、写团体字和snmp版本，如下图所示；

Snmp方式获取设备当前时钟和设备获取系统时间的方式，如下图所示；

Tips：

#获取设备当前时钟

OID：.1.3.6.1.4.1.25506.2.3.1.1.3.0

#获取设备获取系统时间的方式

OID：.1.3.6.1.4.1.25506.2.3.1.1.4.1.0

Snmp方式修改设备当前的时钟，如下图所示；

Snmp方式修改设备时钟后，pc可正常telnet登录该设备并显示上次成功登录的时间，如下图所示；

总结

设备启用密码管理策略固然可提供网络的安全性，然而带来的是不便，这也就要求我们要定期进行必要的登录巡检，否则账号一旦过期，还是比较麻烦了。特别是设备没有配置snmp写权限的团体字（仅具备读权限的团体字，通过snmp方式修改设备时钟，将发生报错“No Access”，如下图所示），那么必须就要现场处置了。

以上分享，希望各位小伙伴有所收获，欢迎各位点赞、收藏和指正。