H3C路由器登录策略专题讲解

password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]

undo password-control login-attempt

【参数】

login-times：用户登录尝试次数，取值范围为2～10。

exceed：用户登录尝试失败后的行为。

lock：表示永久禁止该用户登录。

lock-time time：表示禁止该用户一段时间后，再允许该用户重新登录。其中，time为禁止该用户的时间，取值范围为1～360，单位为分钟。

unlock：表示不禁止该用户，允许其继续登录。

【描述】

password-control login-attempt命令用来配置用户登录尝试次数以及登录尝试失败后的行为。

undo password-control命令用来恢复缺省情况。

缺省情况下，用户登录尝试次数为3次；如果用户登录失败，则1分钟后再允许该用户重新登录。

需要注意的是：

对于被永久禁止登录的用户，只有管理员把该用户从黑名单中删除后，该用户才能重新登录。

对于被禁止一段时间内登录的用户，当配置的禁止时间超时或者管理员将其从黑名单中删除，该用户才可以重新登录。

对于不禁止登录的用户，只要用户登录成功或者黑名单的老化时间（系统规定为1分钟）超时后，该用户就会从黑名单中被删除。

相关配置可参考命令  display password-control、display password-control blacklist和reset password-control blacklist。

【举例】

# 管理员设定用户登录尝试次数为4次，并且永久禁止该用户登录。

system-view

[Sysname] password-control enable

[Sysname] password-control login-attempt 4 exceed lock

若有用户连续尝试认证的失败累加次数达到4次，管理员可通过命令查看到被加入黑名单中的用户锁定状态由之前的unlock切换为lock，且该用户无法再次成功登录。

[Sysname] display password-control blacklist

Username: test

IP: 192.168.44.1 Login failed times: 4 Lock flag: lock

Total 1 blacklist item(s) matched.

管理员设定用户登录尝试次数为2次，并且禁止该用户3分钟后，再允许该用户重新登录。

system-view

[Sysname] password-control enable

[Sysname] password-control login-attempt 2 exceed lock-time 3

若有用户连续尝试认证的失败累加次数达到2次，管理员可通过命令查看到被加入黑名单中的用户锁定状态由之前的unlock切换为lock。

[Sysname] display password-control blacklist

Username: test

IP: 192.168.44.1 Login failed times: 2 Lock flag: lock

Total 1 blacklist item(s) matched.

用户被禁止登录3分钟后，将被从黑名单中删除，且可以重新登录。

configure-user count 5 设置允许同时配置路由器的用户数