问题描述
OSN7500设备新发货版本为:V200R015C30SPC300(5.21.34.85),降级到V100R010C03SPC208(5.21.20.55)版本,在激活主用主控板是网元脱管,一直不恢复,激活失败。
告警信息
NE_COMMU_BREAK、NE_NOT_LOGIN
处理过程
1、在系统-网元安全-网元登录管理:在“网元登录管理”中查看当前帐号为root,在“DC登录用户管理”中查看当前帐号为szhw,在系统-网元安全-网元用户管理中查看root和szhw加密类型都为:PBKDF2,而降级是先激活备主控,备主控启动后,激活主主控,激活主主控时会倒换到备主控,此时备主控版本为V100R010C03SPC208(5.21.20.55),而在V100R010C03SPC208(5.21.20.55)版本只支持MD5加密算法,不支持PBKDF2,因此导致激活主主控时,倒换到备主控就脱管。
2、和工程师沟通,在降级前是按照降级指导书中,先配置用户密码加密摘要算法为MD5,并添加一个管理员用户,在系统-网元安全-网元登录管理中将当前帐号为root切换为降级前新添加的帐号后,网元恢复监控,同时再新建一个网元用户:网元用户标志:通用网元用户,用户级别:调试级别,并在系统-网元安全-网元登录管理中将“DC登录用户管理”当前帐号szhw切换为新建的帐号,然后手工依次激活主用主控,备用交叉,主用交叉,线路和支路单板。
3、将szhw和root帐号删除,然后重新创建,在系统-网元安全-网元登录管理中将当前帐号切换为root,在系统-网元安全-网元登录管理中将“DC登录用户管理”当前帐号切换为了szhw后,问题解决。
根因
降级前没有将网元登录帐号root与DC登录帐号szhw切换为修改新建的帐号,导致降级V100R010C03SPC208(5.21.20.55)版本不支持PBKDF2加密算法,因此网元脱管,激活主主控失败。
解决方案
网元登录帐号root与DC登录帐号szhw切换为修改新建的帐号,网元恢复监控后,手工依次激活主用主控,备用交叉,主用交叉,线路和支路单板。将szhw和root帐号删除,然后重新创建,在系统-网元安全-网元登录管理中将当前帐号切换为root,在系统-网元安全-网元登录管理中将“DC登录用户管理”当前帐号切换为了szhw后。
建议与总结
1、降级指导书只写降级前需要新建一个帐号,切换登录帐号,存在问题。从V200R013C10及之后版本降级到之前版本操作步骤:
1)、在网元管理器-安全-网元用户密码加密类型管理中将加密类型修改为MD5。
2)在系统-网元安全-网元用户管理:新建两个帐号,用户级别:调试级别,网元用户标志:通用网元用户。
2)、在系统-网元安全-网元登录管理:在“网元登录管理”中,将当前帐号切换为新建的帐号。
3)、在系统-网元安全-网元登录管理:在“DC登录用户管理”中,将当前帐号切换为新建的帐号。
4)、按清库指导书清库。
5)、新建降级任务降级。
6)、降级完成,删除root和szhw,以及其他之前在非MD5加密模式下创建的帐号,重新创建帐号。
2、V200R013C10版本将默认的用户密码摘要算法修改为SHA256,V200R013C30SPC100将默认的用户密码摘要算法修改为PBKDF2。V200R013C10之前的版本默认的用户密码摘要算法是MD5,V200R013C10到V200R013C30SPC100之前版本默认的用户密码摘要算法为SHA256,V200R013C30SPC100及其之后版本默认的用户密码摘要算法为PBKDF2。配置成更安全的摘要算法后,进行降级操作时,降级后的版本如果不支持该算法,会存在账号无法登录的问题。V200R12C01和V2R13C00支持MD5和SHA256,V200R12C00及以前的版本只支持MD5。