問題描述

OSN7500設備新發貨版本為：V200R015C30SPC300(5.21.34.85)，降級到V100R010C03SPC208(5.21.20.55)版本，在激活主用主控板是網元脫管，一直不恢復，激活失敗。

告警信息

NE_COMMU_BREAK、NE_NOT_LOGIN

處理過程

1、在系統-網元安全-網元登錄管理：在“網元登錄管理”中查看當前帳號為root,在“DC登錄用戶管理”中查看當前帳號為szhw,在系統-網元安全-網元用戶管理中查看root和szhw加密類型都為：PBKDF2，而降級是先激活備主控，備主控啟動后，激活主主控，激活主主控時會倒換到備主控，此時備主控版本為V100R010C03SPC208(5.21.20.55)，而在V100R010C03SPC208(5.21.20.55)版本只支持MD5加密算法，不支持PBKDF2，因此導致激活主主控時，倒換到備主控就脫管。

2、和工程師溝通，在降級前是按照降級指導書中，先配置用戶密碼加密摘要算法為MD5，并添加一個管理員用戶，在系統-網元安全-網元登錄管理中將當前帳號為root切換為降級前新添加的帳號后，網元恢復監控，同時再新建一個網元用戶：網元用戶標志：通用網元用戶，用戶級別：調試級別，并在系統-網元安全-網元登錄管理中將“DC登錄用戶管理”當前帳號szhw切換為新建的帳號，然后手工依次激活主用主控，備用交叉，主用交叉，線路和支路單板。

3、將szhw和root帳號刪除，然后重新創建，在系統-網元安全-網元登錄管理中將當前帳號切換為root,在系統-網元安全-網元登錄管理中將“DC登錄用戶管理”當前帳號切換為了szhw后，問題解決。

根因

降級前沒有將網元登錄帳號root與DC登錄帳號szhw切換為修改新建的帳號，導致降級V100R010C03SPC208(5.21.20.55)版本不支持PBKDF2加密算法，因此網元脫管，激活主主控失敗。

解決方案

網元登錄帳號root與DC登錄帳號szhw切換為修改新建的帳號，網元恢復監控后，手工依次激活主用主控，備用交叉，主用交叉，線路和支路單板。將szhw和root帳號刪除，然后重新創建，在系統-網元安全-網元登錄管理中將當前帳號切換為root,在系統-網元安全-網元登錄管理中將“DC登錄用戶管理”當前帳號切換為了szhw后。

建議與總結

1、降級指導書只寫降級前需要新建一個帳號，切換登錄帳號，存在問題。從V200R013C10及之后版本降級到之前版本操作步驟：

1）、在網元管理器-安全-網元用戶密碼加密類型管理中將加密類型修改為MD5。

2）在系統-網元安全-網元用戶管理：新建兩個帳號，用戶級別：調試級別，網元用戶標志：通用網元用戶。

2）、在系統-網元安全-網元登錄管理：在“網元登錄管理”中，將當前帳號切換為新建的帳號。

3）、在系統-網元安全-網元登錄管理：在“DC登錄用戶管理”中，將當前帳號切換為新建的帳號。

4)、按清庫指導書清庫。

5）、新建降級任務降級。

6）、降級完成，刪除root和szhw，以及其他之前在非MD5加密模式下創建的帳號，重新創建帳號。

2、V200R013C10版本將默認的用戶密碼摘要算法修改為SHA256，V200R013C30SPC100將默認的用戶密碼摘要算法修改為PBKDF2。V200R013C10之前的版本默認的用戶密碼摘要算法是MD5，V200R013C10到V200R013C30SPC100之前版本默認的用戶密碼摘要算法為SHA256，V200R013C30SPC100及其之后版本默認的用戶密碼摘要算法為PBKDF2。配置成更安全的摘要算法后，進行降級操作時，降級后的版本如果不支持該算法，會存在賬號無法登錄的問題。V200R12C01和V2R13C00支持MD5和SHA256，V200R12C00及以前的版本只支持MD5。