学海无涯 走一路学一路

用户可以通过如下方式修改自己的用户级别。

1、管理员配置用户提升用户级别为15级时的密码。

2、普通用户通过Telnet登录设备后在线修改自己的用户级别。

 

此功能显示空调出现故障或者自检故障的类型。
故障代码显示在室内机和有线遥控器的显示屏上，并在室外机控制板七段数码显示管上显示。
如果同时出现两个错误，数值低的故障代码先显示故障发生后，如果故障排除了，七段数码显示管上的故障代码也会同时消失。
七段数码显示管上的第一二三位显示的错误代码，第四位显示机组编号。
如下图：

跳线端子Vout1-Cout1，打到Cout1档位，F6.25=2

接在多功能继电器输出上(例:RDI67的TA、TB、TC端子)，此端子为无源端子,需要另接电源。

用万表黑表笔接变频器”+“端子,红表笔分别测试R、S、T和U、V、W ,应显示二极管特性;
再用红表笔接变频器”-”端子，黑表笔分别测试R、S、 T和U、V、W ,应显示二极管特性。

背景信息
如下图所示，当设备向802.1X客户端发送了EAP-Request/MD5 Challenge请求报文后，设备启动802.1X客户端认证超时定时器。若在该定时器设置的时长内，设备没有收到客户端的响应报文，设备将重传请求报文。若设备重传请求报文的次数达到配置的最大值后，仍然没有收到客户端的响应报文，则停止重传，并向客户端发送认证失败报文。

设备重传EAP-Request/MD5 Challenge报文的时间间隔由命令client-timeout client-timeout-value配置，次数由命令dot1x retry max-retry-value配置。EAP-Request/MD5 Challenge请求超时计算公式为：Timeout = (max-retry-value +1) * client-timeout-value。

故障现象
Trace诊断信息显示如下：终端没有回应EAP-Request/MD5 Challenge报文，超过重传次数后设备发送了Failure报文。

处理步骤
情况一：

终端不响应EAP-Request/MD5 Challenge报文的情况可能和终端操作系统中802.1X认证功能依赖的某些服务存在关系。

例如：某些终端在802.1X认证成功之前不能获取到IP地址时，此时需要在系统视图下执行命令undo authentication pre-authen-access enable，关闭预连接功能以限制终端获取IP地址的权限。

情况二：

还有某些终端，尤其涉及到证书相关内容时，回应Request Challenge请求比较慢，有时长达1分多钟。而设备的超时重传等待时间默认只有15秒，超时后设备发送Failure报文，之后又收到终端的回应报文。此时就需要通过分析报文来计算终端大致的回应时间。

如下图所示，第1327报文是设备发给终端的Request Challenge，第1425和1447报文是重传，重传结束后发送第1471个认证失败报文。直到第1518报文终端才回应了Response Challenge，中间间隔了28秒，所以需要调整设备超时重传等待时间大于28秒。

传统模式下，需要在系统视图下执行命令dot1x timer client-timeout 30、dot1x retry 2。
统一模式下，需要在802.1X接入模板视图下执行命令dot1x timer client-timeout 30、dot1x retry 2。

背景信息
在802.1X认证中，设备会向客户端发送EAP-Request/Identity报文请求用户名，请求报文的重传次数和时间间隔由命令行控制。

如下图所示，设备发送EAP-Request/Identity请求报文超时后，向客户端发送认证失败报文。

设备重传EAP-Request/Identity请求报文的时间间隔由命令dot1x timer tx-period tx-period配置、次数由命令dot1x retry max-retry-value配置。EAP-Request/Identity请求超时计算公式为：Timeout = (max-retry-value +1) * tx-period-value

故障现象
Trace诊断信息显示为No response of request identity from user。可以看到设备发出Request Identity报文没有收到回应，超时后设备进行了重传。

处理步骤
1、检查终端和接入交换机之间是否存在其它设备。
由于802.1X报文是组播协议报文，目的MAC地址是01-80-C2-00-00-03，交换机收到后默认不转发。如果终端和认证交换机之间还存在其它设备（二层交换机、路由器等），则需要中间设备能够透传802.1X报文。
如果存在，请执行步骤2。
如果不存在，请执行步骤4。
2、请检查中间设备是否支持透传802.1X报文。
如果不支持，请将这些设备更换为支持透传802.1X报文的设备，或者更换接入认证方式。
如果支持，请执行步骤3。
3、请检查中间设备是否已配置802.1X报文透传功能。
如果已配置，请执行步骤4。
如果未配置，请执行命令l2protocol-tunnel user-defined-protocol配置透传功能

4、检查终端是否有802.1X客户端。
如果有，请执行步骤5。
如果没有，请安装802.1X客户端。
5、检查终端是否已开启802.1X功能。
如果已开启，请执行步骤6。
如果未开启，请开启该功能，以Windows 7为例。
单击本地连接，选择“属性 > 身份验证”。选中“启用IEEE802.1X身份验证”。但是部分网卡属性中没有身份验证的选项卡，这是由于“控制面板 > 管理工具 > 服务”中没有开启Wired AutoConfig。

6、检查终端多次802.1X认证失败后是否进入静默状态。
如果未进入静默状态，请执行华为技术支持
如果进入静默状态，请执行命令display aaa online-fail-record，根据User online fail reason字段检查其他上线失败原因来定位问题。用户可以通过禁用启用网卡或插拔网线快速恢复，或者调整终端的静默时间，以Windows 7系统为例，默认的静默时间是20分钟，可以通过CMD窗口执行命令netsh lan set blockperiod value调小静默时间，以加快认证接入网络速度。

背景信息
为了保证用户账号和密码安全，设备提供账号锁定功能。在重试时间间隔内，如果某用户连续输入账号或密码错误并达到了限制次数，该账号将被锁定，经过锁定时间后账号才会解锁。

本地认证用户的账号锁定功能：默认已开启，用户在5分钟内连续3次输入的密码错误，该用户的帐号会被锁定5分钟。默认配置可以在AAA视图下通过命令local-aaa-user wrong-password retry-interval retry-interval retry-timeretry-time block-time block-time修改。
V200R019C00版本之前，服务器认证用户的账号锁定功能：默认已开启，用户在5分钟内连续30次输入的密码错误，该用户的帐号会被锁定5分钟。默认配置可以在AAA视图下通过命令remote-aaa-user authen-fail retry-interval retry-interval retry-time retry-time block-time block-time修改。
V200R019C00版本之后，服务器认证用户的账号锁定功能区分接入用户和管理员用户。
服务器认证的接入用户的账号锁定功能：默认关闭，可以在AAA视图下通过命令access-user remote authen-fail retry-interval retry-interval retry-time retry-time block-time block-time修改。

服务器认证的管理员用户的账号锁定功能：默认已开启，用户在5分钟内连续30次输入的密码错误，该用户的帐号会被锁定5分钟。默认配置可以在AAA视图下通过命令administrator remote authen-fail retry-interval retry-interval retry-time retry-time block-time block-time修改。

故障现象
执行命令display aaa online-fail-record all，发现User online fail reason字段显示为Remote user is blocked，表示远端认证用户账号被锁定；显示为Local Authentication user block，表示本地认证用户账号被锁定。

处理步骤
以下处理步骤以本地认证用户账号被锁定为例，远端认证用户账号被锁定的处理步骤与之类似。
执行命令display local-user state block，查看被锁定的本地账号和剩余锁定时长。


2、根据剩余锁定时长Block-time-left，确认被锁定的账号是否需要立即激活。
如果需要，请在AAA视图下执行命令local-user name state active激活该用户。激活后需要使用正确的用户名密码登录，否则失败次数达到条件后仍会被锁定。
如果不需要，请在剩余锁定时长后，使用正确的用户名密码登录，否则失败次数达到条件后仍会被锁定。
注：如果一个账号被多个终端使用，该账号被锁定后，使用该账号的所有终端认证时都会认证失败。

背景信息
如下图所示，若某一用户在60秒内认证失败的次数超过命令dot1x quiet-times fail-times规定的值，则设备会将该用户静默一段时间，该时间由命令dot1x timer quiet-period quiet-period-value指定，在静默时间内，设备会丢弃该用户的802.1X认证请求，从而避免用户在短时间内频繁认证失败对系统造成冲击。

故障现象
Trace诊断信息显示:User is still in quiet status。

处理步骤
执行命令display dot1x quiet-user all，查看802.1X用户处于静默状态的剩余静默时间

对应MAC地址的802.1X用户需要等待静默时间结束后，再重新尝试认证。也可以在系统视图下执行命令dot1x timer quiet-period quiet-period-times调小802.1X用户被静默的时间。

背景信息
用户认证过程中，设备会发送认证请求报文到RADIUS服务器。为避免由于网络故障、时延等原因导致设备无法收到服务器的回应报文，设备在发送认证请求报文到服务器时具有超时重传超时机制，重传次数和重传间隔通过定时器进行控制。如下图所示，在重传停止后，如果设备仍没有收到RADIUS服务器的回应报文，则会将RADIUS服务器的状态标记为Down状态或者无响应。

故障现象
RADIUS服务器无响应时，查看命令display aaa online-fail-record all和Trace诊断信息的显示如下：

执行命令display aaa online-fail-record all，发现User online fail reason字段显示为The radius server is up but has no reply或者The radius server is not reachable。

Trace诊断信息显示AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(73)。

处理方法
情况一：RADIUS服务器上配置的shared-key与设备上配置的不一致

在设备上，RADIUS服务器模板视图下，执行命令radius-server shared-key cipherkey-string重新配置共享密钥；在RADIUS服务器上，重新配置共享密钥，保证与设备上配置的一致。

情况二：RADIUS服务器没有添加设备的IP地址或者添加的IP地址不正确

RADIUS服务器上添加的设备IP地址必须是设备发送认证请求报文的源IP地址。源IP地址可以在RADIUS服务器模板下通过命令配置；如果未配置，则使用缺省值，即发送认证请求报文出接口的IP地址作为源IP地址。确认源IP地址的步骤如下：
通过命令display radius-server configuration template name，可以确认是否通过命令配置了源IP地址。回显中字段Source IP表示源IP地址：
有显示，则表示通过命令配置了源IP地址，RADIUS服务器上的配置必须与显示的值保持一致；
1、无显示，则表示源IP地址使用的是默认值，需要通过第2步确认具体值。

2、源IP地址使用的是默认值（即发送认证请求报文出接口的IP地址）时，需要通过查路由确认源IP地址。以简单的直连路由场景为例，RADIUS服务器的IP地址是192.168.1.1，通过查询路由可以看到NextHop是192.168.1.101，这个地址即作为认证请求报文的源IP，RADIUS服务器上的设置需要与该值保持一致。

情况三：防火墙未放通RADIUS服务器的端口号

如果RADIUS服务器上设置的设备IP地址没有问题，需要进一步在设备和服务器侧同时进行报文分析确认中间链路是否存在问题。常见的链路问题有网络中存在防火墙，防火墙未放通RADIUS服务器的端口号（默认认证端口：1812，计费端口：1813）。

情况四：RADIUS服务器或者中间网络出现异常

如果大量用户无法认证，并且设备上有日志RDAUTHDOWN（表示RADIUS服务器Down），大概率是RADIUS服务器或中间网络出现异常，需要逐一排查。