Huawei ssh invalid argument

Datacom маршрутизаторы и свитчи Huawei (NE40, SW9300, CX70) могут некорректно работать с некоторыми ssh клиентами, при попытке подключиться ssh клиент выдает совсем необнозначный ответ:

ssh_dispatch_run_fatal: Connection to X.X.X.X port 22: invalid argument.

это связанно с длиной сгенерированных на оборудовании RSA ключей, попробуйте выполнить команду:

rsa local-key-pair create

с дефолтными параметрами и переподключиться преняв новые ключи.

Сброс конфигурации активного оборудования Huawei (NE40, SW, SecGW, FW, etc)

Если статья оказалась полезной для вас, пожалуйста подпишитесь на мой телеграм канал:

https://t.me/shell_podcast

На данной странице будет собираться информация о процедуре сброса конфигурации активного сетевого оборудования Huawei, такого как маршрутизаторы (NE40, CX600), коммутаторы (Switch 9300), брандмауэр (Firewall eudemon, Security GW).

1. Необходим консольный кабель Huawei (схема распайки - huawei console cable pinuout). При отсутствии COM порта, необходимо использовать USB-to-COM переходник (USB-RS232 Serial Converter). Убедитесь, что драйвер переходника корректно загрузился. В linux системах это можно увидеть в выводе dmesg (в новых реализациях используйте ключ -wH, для динамического вывода информации), в windows данную информацию можно увидеть в панели управления устройствами.

2. Подключаемся к консольному порту оборудования, в современных реализациях он выглядит как обычный 8P8C (в народе RJ45) порт, внимательно смотрите на маркировку - Console.

3. Для работы с устройством через консольное соединение можно использовать такую программу как putty (Windows, unix) или minicom (unix). Я предпочитаю minicom. Выбираем в программе устройство, т.е. интерфейс к которому подключен наш консольный провод в компьютере например мой переходник USB2COM определился как /dev/ttyUSB0 в linux системе или COM6 порт в windows.

4. При успешном соединении к устройству на экран выводится баннер устройства или сразу запрос авторизации на устройстве. Если на данном этапе не один из имеющихся паролей не подходит, можно приступать к процедуре сброса конфигурации (Factory reset) в результате которой мы потеряем имеющуюся конфигурацию, но при этом и пароль администратора станет заводским.
Не отключая консольного кабеля перезагружаем устройство по питанию и наблюдаем вывод в консоли.

5. Во время загрузки Boot-loader, нажимаем Ctrl+B для доступа в меню загрузчика, устройство запросит пароль:

     ****************************************************
     *                                                  *
     *          Ethernet Switch BootLoad                *
     *                                                  *
     ****************************************************

    Copyright (C) 2000-2015 HUAWEI TECH CO., LTD
    Version : 122 Compiled at Dec  4 2013, 10:39:37

    PCB Version     : LE02SRUA VER.D
    CPU L2 Cache    : 128KB
    CPU Clock Speed : 700MHz
    BUS Clock Speed : 133MHz
    Memory Type     : DDR2 SDRAM
    Memory Size     : 1024MB
    Memory Speed    : 667MHz


cfcard:/  - Volume is OK

Initializing CFcard ....................................................... done
Description data is vaild in nvram area
Press Ctrl+B to enter boot menu ...  1 

Password:       //Enter the BootROM password.

Здесь представлены различные варианты паролей для boot-loader huawei, которые различаются в зависимости от версии загрузчика. Помните, при трехкратном неверном вводе пароля устройство уйдет в перезагрузку и нужно будет повторить вход в boot-loader меню нажатием Ctrl+B.

6. Boot-loader Huawei passwords:
WWW@HUAWEI
Admin@huawei.com


7. После успешного ввода пароля попадаем в boot-loader меню:

             MAIN  MENU

     1. Boot with default mode
     2. Boot from Flash
     3. Boot from CFCard
     4. Enter serial submenu
     5. Enter ethernet submenu
     6. Enter file system submenu
     7. Enter test submenu
     8. Modify BootROM password
     9. Modify Flash description area
    10. Clear password for console user
    11. Reboot

Enter your choice(1-11): 

8. Выбираем Enter ethernet submenu, в данной версии это пункт 5, внимательней читайте меню своего устройства, т.к. номер может отличаться.

 Enter your choice(1-11): 5

            ETHERNET  SUBMENU

    1. Download file to SDRAM through ethernet interface and boot
    2. Download file to Flash through ethernet interface
    3. Download file to CFCard through ethernet interface
    4. Upload Configuration file to Ftp through ethernet interface
    5. Modify ethernet interface parameter
    6. Return to main menu

Be sure to modify parameter before downloading
Enter your choice(1-6):

9. Здесь выбираем Modify ethernet interface parameter, для изменения настроек менеджмент интерфейса.

Be sure to modify parameter before downloading!
Enter your choice(1-6):5    

Note: Two protocols for download, tftp & ftp.
      The file max-length for tftp is 32M.
      You can modify the flags following the menu.
      tftp--0x80, ftp--0x0.

'.' = clear field;  '-' = go to previous field;  ^D = quit

boot device          : eth1 
processor number     : 0 
host name            : host 
file name            : vrpcfg.zip 
inet on ethernet (e) : 192.168.1.235:ffffff00
inet on backplane (b): 192.168.1.1:ffffff00 
host inet (h)        : 192.168.1.3 
gateway inet (g)     :  
user (u)             : huawei 
ftp password (pw) (blank = use rsh):         
flags (f)            : 0x0 
target name (tn)     : octeon 
startup script (s)   :  
other (o)            :  

основное:

boot device - порт устройства к которому будут применены данные изменения

file name - файл старой конфигурации в которой указан правильный пароль или пустая конфигурация на вашем локальном ftp сервере(на компьютере с которого вы работаете консолью или другом компьютере в сетевой доступности необходим ftp сервер).

inet on ethernet - ip адрес который будет присвоен boot device.

host inet - адрес ftp сервера

user и ftp password - пользователь и пароль вашего ftp сервера

можно попробовать вместо vrpcfg.zip подгрузить просто пустой vrpcfg.txt

10. Подключаем сетевой кабель к интерфейсу который мы указали в качестве boot device(обычно это менеджмент интерфейс оборудования huawei), который подключен к ftp серверу. Обычно я для всей этой процедуры использую ноутбук, консольным кабелем подключен в с console порт оборудования, а сетевая карта ноутбука используется для подключения к boot device интерфейсу устройства, на ноутбуке поднят ftp-server.

11. Сохраняем изменения и в предыдущем меню выберем загрузку файла конфигурации на CFCard Download file to CFCard through ethernet interface.

            ETHERNET  SUBMENU

    1. Download file to SDRAM through ethernet interface and boot
    2. Download file to Flash through ethernet interface
    3. Download file to CFCard through ethernet interface
    4. Upload Configuration file to Ftp through ethernet interface
    5. Modify ethernet interface parameter
    6. Return to main menu

Be sure to modify parameter before downloading
Enter your choice(1-6): 3

Если все подключено и настроено верно, то устройство huawei используя встроенный в boot-loader ftp-клиент загрузит на флешку(заменит конфигурацию) указанный нами файл с нашего ftp.
Следует заметить, что интерфейс активируется только в момент когда мы выбираем Download file... - до этого пинговать или еще как-то проверять активность интерфейса не получится.  

12. После перезагрузки используйте пароль из загруженной конфигурации или в случае загрузки на устройство пустого файла конфигурации используйте заводской логин и пароль.

Если вам известны другие пароли boot-loader huawei прошу сообщить о них в комментарии.

JunOS — полезные команды

Если статья оказалась полезной для вас, пожалуйста подпишитесь на мой телеграм канал:

https://t.me/shell_podcast

root@juniper% — это сам shell OS FreeBSD
после ввода команды cli мы попадаем в
root@juniper> — операционный режим, после ввода команды edit попадаем в
root@juniper# — конфигурационный режим

Команды мониторинга и устранения неисправностей:
root@juniper> clear — очистка чего-либо
root@juniper> monitor — просмотр чего либо в реальном времени
root@juniper> ping — проверка доступности узлов ICMP-пакетами
root@juniper> show — просмотр конфигурации
root@juniper> test — тестирование сохраненных конфигураций и интерфейсов
root@juniper> traceroute — трассировка маршрута

Отображение состояния интерфейсов
root@juniper> show interface description
root@juniper> show interface terse {кратко о состоянии интерфейсов}
root@juniper> show interface detail {полная информация о интерфейсах}

Сохранение резервной конфигурации
root@juniper> request system configuration rescue save

Чтобы возвратиться к спасательной конфигурации, загрузите её следующей командой:
root@juniper# rollback rescue

Удаляет не примененные команды
root@juniper> clear system commit

Показывает CPU, Mem and Temperature
root@juniper> show chassis routing-engine

Показывает статистику на интерфейсе в реальном времени
root@juniper> monitor traffic interface ge-0/0/1 {какие пакеты и куда идут на интерфейсе}
root@juniper> monitor interface traffic {трафик на всех интерфейсах}

Рестарт процесса
root@juniper> restart {process} gracefully

Перегрузка оборудования
root@juniper> request system reboot

Удаление ненужных файлов
root@juniper> request system storage cleanup

Отключение ветки конфигурации
root@juniper# deactivate {interfaces ge-0/0/10}

Загрузка заводской конфигурации
root@juniper# load factory-default

Установка пароля на root-пользователя
root@juniper# set system root-authentication plain-text-password

Установка нового пользователя
root@juniper# set system login user {имя пользователя} class {тип пользователя: operator, read-only, super-user} authentication plain-text-password

Настройка WEB-интерфейса
root@srx# set system services web-management http interface {vlan.0} {включение интерфейсов}

Включение ssh-доступ к роутеру
root@srx# set system services ssh

Переключение с одного порта на другой
(порт на который переключаешься не должен быть активен)
root@juniper# rename interfaces ge-0/0/0 to ge-0/0/1

Возвращение портов — обратная операция
root@juniper# rename interfaces ge-0/0/1 to ge-0/0/0

Что бы не удалять IP-адрес с интерфейса и присваивать другой используй команду rename
[edit interfaces]
root@juniper# rename ge-0/0/1 unit 0 family inet address 192.168.0.1/28 to address 192.168.0.2/28

Копирование части конфигурации на другую ветку
(ветка на которую копируется не должна быть создана)
root@juniper# copy interfaces ge-0/0/0 to ge-0/0/1

Возвращение на верхний уровень иерархии конфигурационного режима [edit]
[edit interfaces ge-0/0/1]
root@juniper# top

Ввод операционных команд из конфигурационного режима
root@juniper# run {show route} {любая операционная команда}

Проверка конфигурации на ошибки до коммита
root@juniper# commit check

Применение конфигурации по времени
root@juniper# commit at 12:00 {по системному времени}

Чтобы отменить операцию по времени
root@juniper> clear system commit

Применение конфигурации с откатом по времени
root@juniper# commit confitmed 100 {время в минутах}

Откат конфигураций
root@juniper# rollback {откат на последнюю конфигурацию}
root@juniper# rollback? {просмотр откатов конфигурации}

Просмотр изменений в конфигурации до ее применения
root@juniper# show | compare

Сделать нужные порты членами одной виртуальной локальной сети (VLAN).
root@juniper# set interfaces interface-range interfaces-trust member-range ge-0/0/1 to ge-0/0/7

Этой командой мы сказали, что интерфейсы являются портами коммутатора и принадлежат к одному VLAN под названием vlan-trust.
root@juniper# set interfaces interface-range interfaces-trust unit 0 family ethernet-switching vlan members vlan-trust

Далее создаем собственно сам vlan-trust и говорим, что данный VLAN терминируется и имеет IP-адрес
root@juniper# set vlans vlan-trust vlan-id 3
root@juniper# set vlans vlan-trust l3-interface vlan.0
root@juniper# set interfaces vlan unit 0 family inet address 192.168.0.1/24

Разрешаем все сервисы в зоне trust
root@juniper# set security zones security-zone trust host-inbound-traffic system-services all

Разрешаем все протоколы в зоне trust
root@juniper# set security zones security-zone trust host-inbound-traffic protocols all

Добавляем интерфейсы в зону trust
root@juniper# set security zones security-zone trust interfaces vlan.0
root@juniper# set security zones security-zone trust interfaces lo0.0
root@juniper# set security zones security-zone trust interfaces ge-0/0/1.0

Создаем переход от зоны trust к зоне trust {в этих политиках мы разрешаем всё}
root@juniper# set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any
root@juniper# set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any
root@juniper# set security policies from-zone trust to-zone trust policy trust-to-trust match application any
root@juniper# set security policies from-zone trust to-zone trust policy trust-to-trust then permit