作者： wangruiwen2019

一、删除生效时间段
删除生效时间段前，需要先删除关联生效时间段的ACL规则或者整个ACL。
例如，在ACL 2001中配置了rule 5，该规则关联了时间段time1。
#
time-range time1 from 00:00 2014/1/1 to 23:59 2014/12/31
#
acl number 2001
rule 5 permit time-range time1
#

如果需要删除时间段time1，则需先删除rule 5或者先删除ACL 2001：
先删除rule 5，再删除time1。
<HUAWEI>system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] undo rule 5
[HUAWEI-acl-basic-2001] quit
[HUAWEI] undo time-range time1

先删除ACL 2001，再删除time1。
<HUAWE>Isystem-view
[HUAWEI] undo acl 2001
[HUAWEI] undo time-range time1

二、删除ACL和ACL6
系统视图下执行命令undo acl { [ number ] acl-number | all }或undo acl name acl-name，可以直接删除ACL，不受引用ACL的业务模块影响，即无需先删除引用ACL的业务配置。

系统视图下执行命令undo acl ipv6 { all | [ number ] acl6-number }或undo acl ipv6 name acl6-name，可以直接删除ACL6，不受引用ACL6的业务模块影响，即无需先删除引用ACL6的业务配置。

三、配置基于时间的ACL规则
创建时间段working-time（周一到周五每天8:00到18:00），并在名称为work-acl的ACL中配置规则，在working-time限定的时间范围内，拒绝源IP地址是192.168.1.0/24网段地址的报文通过。
<HUAWE>system-view
[HUAWEI] time-range working-time 8:00 to 18:00 working-day
[HUAWEI] acl name work-acl basic
[HUAWEI-acl-basic-work-acl] rule deny source 192.168.1.0 0.0.0.255 time-range working-time

四、配置基于源IP地址（主机地址）过滤报文的规则
在ACL 2001中配置规则，允许源IP地址是192.168.1.3主机地址的报文通过。
<HUAWE>system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule permit source 192.168.1.3 0

五、配置基于源IP地址（网段地址）过滤报文的规则
在ACL 2001中配置规则，仅允许源IP地址是192.168.1.3主机地址的报文通过，拒绝源IP地址是192.168.1.0/24网段其他地址的报文通过，并配置ACL描述信息为Permit only 192.168.1.3 through。
<HUAWE>system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule permit source 192.168.1.3 0
[HUAWEI-acl-basic-2001] rule deny source 192.168.1.0 0.0.0.255
[HUAWEI-acl-basic-2001] description Permit only 192.168.1.3 through

六、配置基于IP分片信息、源IP地址（网段地址）过滤报文的规则
在ACL 2001中配置规则，拒绝源IP地址是192.168.1.0/24网段地址的非首片分片报文通过。
<HUAWE>system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule deny source 192.168.1.0 0.0.0.255 fragment

七、配置基于ICMP协议类型、源IP地址（主机地址）和目的IP地址（网段地址）过滤报文的规则
在ACL 3001中配置规则，允许源IP地址是192.168.1.3主机地址且目的IP地址是192.168.2.0/24网段地址的ICMP报文通过。
<HUAWE>system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule permit icmp source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255

八、配置基于TCP协议类型、TCP目的端口号、源IP地址（主机地址）和目的IP地址（网段地址）过滤报文的规则
在名称为deny-telnet的高级ACL中配置规则，拒绝IP地址是192.168.1.3的主机与192.168.2.0/24网段的主机建立Telnet连接。
<HUAWE>system-view
[HUAWEI] acl name deny-telnet
[HUAWEI-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
在名称为no-web的高级ACL中配置规则，禁止192.168.1.3和192.168.1.4两台主机访问Web网页（HTTP协议用于网页浏览，对应TCP端口号是80），并配置ACL描述信息为Web access restrictions。
<HUAWE>system-view
[HUAWEI] acl name no-web
[HUAWEI-acl-adv-no-web] description Web access restrictions
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.3 0
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.4 0

九、配置基于TCP协议类型、源IP地址（网段地址）和TCP标志信息过滤报文的规则
在ACL 3002中配置规则，拒绝192.168.2.0/24网段的主机主动发起的TCP握手报文通过，允许该网段主机被动响应TCP握手的报文通过，实现192.168.2.0/24网段地址的单向访问控制。同时，配置ACL规则描述信息分别为Allow the ACK TCP packets through、Allow the RST TCP packets through和Do not Allow the other TCP packet through。

完成以上配置，必须先配置两条permit规则，允许192.168.2.0/24网段的ACK=1或RST=1的报文通过，再配置一条deny规则，拒绝该网段的其他TCP报文通过。
<HUAWE>system-view
[HUAWEI] acl 3002
[HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
[HUAWEI-acl-adv-3002] display this //如果配置规则时未指定规则编号，则可以通过此步骤查看到系统为该规则分配的编号，然后根据该编号，为该规则配置描述信息。

acl number 3002
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack //系统分配的规则编号是5

return
[HUAWEI-acl-adv-3002] rule 5 description Allow the ACK TCP packets through
[HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst
[HUAWEI-acl-adv-3002] display this

acl number 3002
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
rule 5 description Allow the ACK TCP packets through
rule 10 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst //系统分配的规则编号是10

return
[HUAWEI-acl-adv-3002] rule 10 description Allow the RST TCP packets through
[HUAWEI-acl-adv-3002] rule deny tcp source 192.168.2.0 0.0.0.255
[HUAWEI-acl-adv-3002] display this

acl number 3002
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
rule 5 description Allow the ACK TCP packets through
rule 10 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst
rule 10 description Allow the RST TCP packets through
rule 15 deny tcp source 192.168.2.0 0.0.0.255 //系统分配的规则编号是15

return
[HUAWEI-acl-adv-3002] rule 15 description Do not Allow the other TCP packet through
也可以通过配置established参数，允许192.168.2.0/24网段的ACK=1或RST=1的报文通过，再配置一条deny规则，拒绝该网段的其他TCP报文通过。
<HUAWE>system-view
[HUAWEI] acl 3002
[HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag established
[HUAWEI-acl-adv-3002] rule 5 description Allow the Established TCP packets through
[HUAWEI-acl-adv-3002] rule deny tcp source 192.168.2.0 0.0.0.255
[HUAWEI-acl-adv-3002] rule 10 description Do not Allow the other TCP packet through
[HUAWEI-acl-adv-3002] display this

acl number 3002
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag established
rule 5 description Allow the Established TCP packets through
rule 10 deny tcp source 192.168.2.0 0.0.0.255
rule 10 description Do not Allow the other TCP packet through

return

十、配置基于源MAC地址（单个MAC地址）、目的MAC地址（单个MAC地址）和二层协议类型过滤报文的规则
在ACL 4001中配置规则，允许目的MAC地址是0000-0000-0001、源MAC地址是0000-0000-0002的ARP报文（二层协议类型值为0x0806）通过。
<HUAWE>system-view
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule permit destination-mac 0000-0000-0001 source-mac 0000-0000-0002 l2-protocol 0x0806
在ACL 4001中配置规则，拒绝PPPoE报文（二层协议类型值为0x8863）通过。
<HUAWE>system-view
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule deny l2-protocol 0x8863

十一、配置基于源MAC地址（MAC地址段）和内层VLAN过滤报文的规则
在名称为deny-vlan10-mac的二层ACL中配置规则，拒绝来自VLAN10且源MAC地址在00e0-fc01-0000～00e0-fc01-ffff范围内的报文通过。
<HUAWE>system-view
[HUAWEI] acl name deny-vlan10-mac link
[HUAWEI-acl-L2-deny-vlan10-mac] rule deny vlan-id 10 source-mac 00e0-fc01-0000 ffff-ffff-0000

十二、配置基于报文的二层头、偏移位置、字符串掩码和用户自定义字符串过滤报文的规则
在ACL 5001中配置规则，拒绝源IP地址为192.168.0.2的ARP报文通过。

以下规则中的0x00000806是ARP帧类型，0x0000ffff是字符串掩码，10是设备内部处理不含VLAN信息的ARP报文中的协议类型字段的偏移量，c0a80002是192.168.0.2的十六进制形式，26和30分别是设备内部处理不含VLAN信息的ARP报文中源IP地址字段高两个字节和低两个字节的偏移量（ARP报文的源IP地址字段从二层头第28个字节开始占4个字节，受到用户自定义ACL规定二层头偏移位置只能是“4n+2”（n是整数）的限制，因此针对源IP地址，需要拆分成两段进行匹配，即偏移量为4×6+2=26的位置开始往后匹配4个字节的低两个字节以及偏移量为4×7+2=30的位置开始往后匹配4个字节的高两个字节）。如果要对携带VLAN信息的ARP报文进行过滤，则要将以下规则中的三个偏移量值再分别加上4。
ARP报文源IP地址字段在二层头中的偏移量示意图

<HUAWE>system-view
[HUAWEI] acl 5001
[HUAWEI-acl-user-5001] rule deny l2-head 0x00000806 0x0000ffff 10 0x0000c0a8 0x0000ffff 26 0x00020000 0xffff0000 30
说明：
S1720GFR、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S2750EI、S5700EI、S5700LI、S5700S-LI、S5700SI、S5710-C-LI、S5710-X-LI、S5720I-SI、S5720LI、S5720S-LI、S5720S-SI、S5720SI、S5730S-EI、S5730SI、S6720LI、S6720S-LI、S6720S-SI和S6720SI的用户自定义ACL不支持上述配置，仅支持指定一个匹配字符串。

在名称为deny-tcp的用户自定义ACL中配置规则，拒绝所有TCP报文通过。

以下规则中的0x00060000是TCP协议号，8是设备内部处理IP报文中协议字段的偏移量（由于IP报文中的协议字段从IPv4头第10个字节开始占1个字节，并且受到用户自定义ACL规定IPv4头偏移位置只能是“4n”（n是整数）的限制，因此针对协议字段，需要从IPv4头偏移量为8的位置开始往后匹配4个字节的第二个高位字节）。
system-view
[HUAWEI] acl name deny-tcp user
[HUAWEI-acl-user-deny-tcp] rule 5 deny ipv4-head 0x00060000 0x00ff0000 8
TCP协议字段在IPv4头中的偏移量示意图

请执行以下步骤设置热备盘。
1、通过CTRL+N切换到PD Mgmt。
2、要创建热备份盘的状态应为Ready，将光标移到要配置为热备份的磁盘后按下F2键后选择”Make Global HS”。

3、热备盘创建完成，热备盘的状态为Hotspare。

请执行以下步骤将物理磁盘转变为支持RAID：
1、按(Ctrl)(N)组合键访问PD Mgmt（物理磁盘管理）屏幕。随即会显示一个物理磁盘列表。每个磁盘的状态将显示在State（状态）下。
2、按向下箭头键高亮度显示物理磁盘。
3、按键显示可用操作的菜单。
4、按向下箭头键高亮度显示Convert to RAID Capable（转变为支持RAID的磁盘）。
5、按<Enter>键。

请执行以下步骤将物理磁盘转变为非RAID：
1、按(Ctrl)(N)组合键 访问PD Mgmt（物理磁盘管理）屏幕。随即会显示一个物理磁盘列表。每个磁盘的状态将显示在State（状态）下。
2、按向下箭头键高亮度显示物理磁盘。
3、按键显示可用操作的菜单。
4、按向下箭头键高亮度显示Convert to Non-RAID（转变为非RAID）。
5、按<ENTER>键。

要初始化虚拟磁盘。请执行以下步骤。
1、在VD Mgmt（虚拟磁盘管理）屏幕上，选择Virtual Disk #（虚拟磁盘#），然后按键显示可用操作的菜单。
2、选择Initialization（初始化），然后按向下箭头键以显示Initialization（初始化）子菜单选项。

3、选择Start Init.（开始初始化）开始常规初始化，或选择Fast Init.（快速初始化）开始快速初始化。
4、此时将显示弹出窗口，表明虚拟磁盘已初始化。
5、重复此部分中的过程可配置另一个虚拟磁盘。

注：PERC 7 和 8 可以在启动过程中使用快捷方式 CRTL-R 进行配置。H740 和 H840 等 PERC 10 系列的配置方法是，必须在启动过程中按 F2，然后使用“System Setup”（系统设置）菜单完成。
创建虚拟磁盘
1、在主机系统引导过程中，当显示BIOS标志时，按<Ctrl><R>组合键。
将显示Virtual Disk Management（虚拟磁盘管理）屏幕。如果有多个控制器，将显示主菜单屏幕。选择一个控制器，然后按<Enter>键。显示选定控制器的Virtual Disk Management（虚拟磁盘管理）屏幕。
2、使用箭头键高亮度显示Controller #（控制器#）或Disk Group #（磁盘组#）。
3、按<F2>键显示可以执行的操作。

4、选择Create New VD（创建新虚拟磁盘），然后按键（图1[仅英文]）。显示Create New VD（创建新虚拟磁盘）屏幕。光标此时位于RAID Levels（RAID 级别）选项上。将虚拟磁盘添加至磁盘组时，将显示Add VD in Disk Group（添加虚拟磁盘至磁盘组）屏幕。跳至步骤10可更改虚拟磁盘的基本设置
5、根据可用的物理磁盘，按键显示可能的RAID级别。

6、按向下箭头键选择RAID级别，然后按键。
7、当创建跨接式虚拟磁盘（RAID 10、50或60）时，请在PD per Span（每个跨度的物理磁盘）字段中输入每个跨度的物理磁盘数目（图3[仅英文]），然后按键。
8、按键将光标移动到物理磁盘列表。

9、使用箭头键高亮度显示物理磁盘，然后按<空格键>、键或键选择磁盘。
10、如果需要，可选择其他磁盘。
11、按<TAB>键将光标移动到Basic Settings（基本设置）框。
12、在 VD Size（虚拟磁盘大小）字段中设置虚拟磁盘大小。虚拟磁盘大小以GB格式显示。
13、按<TAB>键访问 VD Size（虚拟磁盘大小）字段，然后键入虚拟磁盘名称。
14、按<TAB>键将光标移动到Advanced Settings（高级设置）。
15、按<空格键>激活设置以便进行更改。
Advanced Settings（高级设置）旁边显示一个X。设置有磁条元素大小、读取策略和写入策略。您也可以选择高级选项，例如强制将高速缓存策略设置为Write-Back（回写式），初始化虚拟磁盘和配置专用热备用。
显示该窗口时，将显示这些参数的默认值。您可以接受或更改默认值。

16、要选择虚拟磁盘参数，请执行以下步骤：
(1)按<TAB>键将光标移动到希望更改的参数。
(2)按向下箭头键打开参数并向下滚动设置列表。
(3)要更改磁条元素大小，可以按键高亮度显示Stripe Element Size（磁条元素大小）。
(4)按<Enter>键显示磁条元素大小列表（8 KB、16 KB、32 KB、64 KB、128 KB、256 KB、512 KB和1024 KB）。按下
向下箭头键高亮度显示所需选项，然后按键。
注意：默认为64 KB。
(5)如果需要更改读取策略，请按键将光标移动到Read Policy（读取策略）。
(6)按<Enter>键显示选项（No Read Ahead（不预读）、Read Ahead（预读）或Adaptive Read Ahead（自适应预读））。按向下箭头键高亮度显示所需选项，然后按键。
(7)如果需要更改写入策略，请按键将光标移动到Write Policy（写入策略）。
(8)按<Enter>键可显示选项（Write-Through（直写式）、Write Back（回写式））。按向下箭头键高亮度显示所需选项，然后按键。
(9)按 <Tab>键将光标移动到Force WB with no battery（在无电池的情况下强制使用回写式），然后按键。如果选择了Write-Through（直写式）作为写入策略，则此选项不可用。
(10)按<Tab>键将光标移动到Configure HotSpare（配置热备用）并按键。
(11)如果在前面的步骤中已选择创建热备份，则将显示弹出窗口，其中显示适当大小的驱动器。按<空格键>选择驱动器大小。
(12)选择驱动器大小后，单击OK（确定）完成选择，或者单击Cancel（取消）取消选择。(13)选择OK（确定）接受设置并按键退出此窗口，或者如果不希望更改任何虚拟磁盘参数，则选择Cancel（取消），然后按键退出。

开机自检期间出现RAID控制器错误信息
检测到内存/电池故障。The adapter has recovered but cache data may be lost.（检测到内存/电池问题。适配器已恢复，但缓存数据丢失。）Press any key to continue.

此消息通常在出现以下情况之一时出现。对关联事件进行故障诊断也能阻止此消息出现。1、操作系统指示异常关机。
2、操作系统指示出现错误（Windows出现蓝屏）。
3、自行断电情况。

故障诊断：
1.重新引导至操作系统
如果操作系统引导成功，则再次重新引导应该不会再显示消息。

2.清除控制器高速缓存
1、SCSI控制器（PERC 3、PERC 4）：按CTRL-M。
2、SAS/SATA控制器（PERC 5、PERC 6和更新的控制器）：按CTRL-R。
3、等待5分钟以清除缓存内容。
4、重新引导至控制器BIOS。

注意：如果错误仍然存在，则硬件错误的可能性很大。
如果错误消除，则引导至操作系统。
如果操作系统引导仍然不成功和/或错误仍然存在，这可能表明是操作系统问题。

3.检查物理PERC控制器
1、检查DIMM和DIMM插槽是否损坏。
关机并拔下电源线。
等待 30秒钟，让系统释放弱电。
卸下PERC控制器。有关卸下和更换此系统中的部件的详细说明，请参阅戴尔支持站点上的“User’s Guide”（用户指南）。
卸下RAID内存电池。请记住，插入DIMM后再重新安装内存电池。
从控制器中取出内存DIMM（如果适用）。
检查DIMM插槽的针脚是否弯曲或有其它损坏。检查内存DIMM的边缘连接器是否有任何损坏。
2、如果控制器具有嵌入式内存或内存插槽已损坏，将需要更换PERC控制器。
3、如果内存已损坏，则需要更换控制器内存。
4、如果没有损坏，则更换内存DIMM，然后重新安装控制器。
5、将控制器内存与已知良好的内存交换（如果可能）。
已知良好的内存没有发生错误：更换内存。
已知良好的内存仍然出现错误：更换PERC控制器。

3、其它信息
此错误消息在开机自检时显示，表示控制器高速缓存未包含所有应有的信息，或者包含要写入到硬盘但无法写入或尚未写入的数据。出现此错误最常见的原因有：

服务器没有执行正常的关机过程 – 断电和/或自行重新启动可导致不完整或损坏的数据保留在高速缓存中，无法写入硬盘。
高速缓存内存故障 – 有故障的高速缓存内存会导致数据损坏。这会引起操作系统相关问题和自行重新启动。
关闭服务器时电池断电 – 服务器未开机时，不使用NVCACHE（非易失性高速缓存）内存的控制器利用可以保留高速缓存内容一段时间（24-72个小时）的电池。一旦电池耗尽，整个高速缓存的内容将丢失，控制器会发现高速缓存内存没有包含所有应有的信息。使用NVCache（一些H700/H800控制器和较新的控制器，如H710、H710P、H810）的控制器不太可能出现此问题，因为大多数情况下，电池仅需要保持通电30秒或更短时间。

注：
1.PERC电池维护
对于怀疑出现故障或在OpenManage Server Administrator (OMSA)中显示了警告符号的PERC电池，应手动执行学习周期。 学习周期导致电池放电和充电，并会将电池还原到完全正常工作状态。在某些情况下，可能需要多个学习周期步骤才能将电池还原至有效充电状态。要执行手动学习周期，请在OMSA中的Battery Tasks（“电池任务”）下拉列表中选择Start Learn Cycle（“启动学习周期”）。

2.高速缓存使用
硬件RAID控制器使用高速缓存（一个临时的信息库）进行正常操作。正常操作高速缓存由DRAM内存（与系统内存类似）构成，仅在开机时保留数据。
较新控制器使用NVCache，在服务器关闭时使用。NVCache内存同时包含DRAM内存（用于正常操作）和闪存（非易失）。断电时，控制器电池（如果正常）为DRAM内存供电，因此，内容可以复制到闪存中进行无限期存储。

高速缓存的内容基本上可以分为三个部分：
RAID配置和元数据 – 有关RAID阵列的信息，包括配置信息、磁盘成员、磁盘角色等。
控制器日志 – RAID控制器保留着多个日志文件。戴尔技术人员依赖TTY日志作为对各种RAID和硬盘问题进行故障诊断的主要日志。
RAID数据 – 这是要写入各个硬盘的实际数据。数据以直写和回写高速缓存政策模式写入控制器的高速缓存。

1、关闭服务器电源。
2、断开服务器与所有电源线、网线的连接。
3、连续按住电源按钮至少 10 秒钟。
4、将电源线和网线重新插入系统。
5、等待大约 2 分钟，在打开服务器电源，以便让 iDRAC 有时间进行初始化。
6、开机。

如果设备上配置了Password Control功能，本地用户密码的配置不会在配置文件中显示，这种情况下请先关闭Password Control功能，再进行下面的操作。

WEB网管登录密码的恢复方式比较简单，只需要您通过控制台或Telnet登录到设备，查看或修改WEB网管登录的相关配置即可。

(1) WEB网管使用设备上创建的本地用户的用户名和密码进行认证，因此您可以通过display current-configuration命令查看当前设备上的本地用户配置。

<H3C>display current-configuration | begin local-user

local-user abc

password simple 123

service-type telnet

local-user admin

password cipher 7-CZB#/YX]KQ=^Q`MAF4<1!!

service-type terminal telnet

……(略)

注：
根据之前的配置，密码有可能显示为明文或密文，当显示为明文时，您可以选择修改密码或继续使用密码；如果显示为密文，建议您重新配置登录密码。

如果设备创建有多个本地用户，请查看服务类型为Telnet用户的用户配置，即具有“service-type telnet”或“service-type terminal telnet”配置的用户。

(2) 修改指定用户的密码，此处以修改用户“admin”的密码为“new”为例。

<H3C> system-view

[H3C] local-user admin

[H3C-luser-admin] password simple new

保存配置之后，再次通过WEB网管登录设备，使用用户名“admin”和密码“new”，即可通过WEB网管进行登录。

在实施以下操作之前，请确认您没有在BootRom菜单下关闭BootRom password recovery功能（菜单选项8），缺省情况下，该功能是开启的。如果您已经关闭了该功能，请与代理商联系恢复密码。

如果您设置的BootRom登录密码丢失，需要您通过技术支持热线联系H3C客户服务人员解决，请您按以下步骤操作：

(1) 请您选择以下三种方式之一来获取设备的MAC地址。

通过display device manuinfo命令查看设备的MAC地址。

重新启动设备，在自检信息中查看设备的MAC地址。

查看机箱上的MAC地址标签。

(2) 记录下设备的MAC地址后，请您拨打800-810-0504或400-810-0504联系H3C客户服务人员，并告知设备MAC地址。客服人员将提供给您一个BootRom超级密码。

(3) 您可以通过该密码进入BootRom菜单，并通过菜单5重新修改BootRom登录密码。

BOOT MENU

1. Download application file to flash
2. Select application file to boot
3. Display all files in flash
4. Delete file from flash
5. Modify bootrom password
6. Enter bootrom upgrade menu
7. Skip current configuration file
8. Set bootrom password recovery
9. Set switch startup mode
10. Reboot

Enter your choice(0-9):5

Old password: （此处输入超级密码）

New password: （输入新密码）

Confirm password: （再次输入新密码）

Current password has been changed successfully!

如果设备上配置了Password Control功能，用户级别切换密码的配置不会在配置文件中显示，这种情况下请先关闭Password Control功能，再进行下面的操作。

(1) 通过编辑配置文件恢复用户级别切换密码的步骤与恢复控制台登录密码类似，首先要使设备跳过配置文件启动，具体配置方法请参见2.1 中的介绍。

(2) 在完成跳过配置文件启动后，可以通过查看启动配置文件内容来查看用户级别切换的配置内容。

如果用户级别切换认证方式是本地方式，请关注配置文件中的以下部分，即配置用户级别切换密码的命令。

配置密码为明文方式的显示效果：
#
super password level 2 simple 123
super password level 3 simple 123

配置密码为密文方式的显示效果：
#
super password level 2 cipher 7-CZB#/YX]KQ=^Q`MAF4<1!!
super password level 3 cipher AN$TBB7’VF3Q=^Q`MAF4<1!!

如果您设置的登录密码为明文，则密码将直接显示在“super password ”一行的末尾，您可以选择修改用户级别切换密码或继续使用原有密码；如果您设置的用户级别切换密码为密文，则密码将显示为转换后的密文字符，此时建议您修改密码。

如果认证方式是Scheme方式，建议您联系服务器管理员，为您修改一个新用户级别切换密码。

(3) 通过copy命令对启动配置文件进行备份，以便在修改登录密码时保留原有启动配置文件。在本例中，我们将备份文件命名为“startup_bak.cfg”。

<H3C>copy startup.cfg startup_bak.cfg

Copy flash:/startup.cfg to flash:/startup_bak.cfg?[Y/N]:y

…….

%Copy file flash:/startup.cfg to flash:/startup_bak.cfg…Done.

(4) 您可以使用FTP或TFTP将启动配置文件发送到PC上，使用文本编辑软件（例如Windows系统的“记事本”或“写字板”软件）对配置文件进行编辑，请根据情况采取以下修改方案：

修改“super password”行后面的密码显示方式为明文（simple），并重新写入新的密码。（Password方式适用）

删除“super authentication-mode scheme”行，即将级别切换认证方式改为本地认证，同时增加super password行，写入新的密码。（Scheme方式，不推荐使用）

(5) 将配置文件上传到交换机上覆盖原配置文件。重新启动后，交换机将使用更新后的配置文件，您可以根据修改后的密码来切换用户级别，同时其他原有配置不会丢失。