NGFW module恢復密碼操作方法

一、 前言
NGFW module Web管理、SSH、console都忘記密碼無法登陸的情況下，并且防火墻是主備的模式下才使用此方法恢復密碼。
我的系統版本為：V100R001C30SPC300

二、 操作前準備
1、 操作時間
盡量選擇業務空閑的時間進行此操作，本次計劃于本周二（2018.7.3）下午進行操作。
2、 準備工具
操作前準備工具
工具 數量 用途
電腦 2臺 其中一臺用于常ping IP地址，另外二臺用于具體操作
console線 2條 用于連接console口操作
網線 1條 用于連接MGMT口操作
兩臺電腦，其中一臺分別常ping三個地址，分別為：10.10.5.254、10.10.5.252、10.10.5.253，查看主備是否進行了切換；另外兩臺通過console線進行恢復密碼操作。
3、 準備重啟方法
在交換機S12712上敲入power off slot 2/5,等待10秒后再敲入power on slot 2/5命令。
4、 了解主備防火墻與交換機的接口
主防火墻與交換機的接口：Eth-trunk103
備防火墻與交換機的接口：Eth-trunk102
5、 Admin@1234的密文%@%@XY[V+I/m;9YhJuNl4g-8J(|sg!28cCc\Q.+LgKHVQE-0.%}%@%@
br/>%@%@XY[V+I/m;9YhJuNl4g-8J(|sg!28cCc\Q.+LgKHVQE-0.%}%@%@
NGFW主備如果配置正確，主備切換過程基本秒切，中間只丟3~5包左右，但是本次操作采用的是手工切換，同樣基本上是秒切。
7、 操作機器順序
拔出心跳線-> 關閉備墻的業務口（Eth-trunk102）-> 選擇在NGFW備上恢復密碼 ->使備防火墻也成為主-> 打開備墻業務口-> 關閉主墻業務口（Eth-trunk103）-> 選擇在NGFW主上恢復密碼

============================================================
Enter your choice(0-6): 2 //此處選擇2,進入設置啟動文件和配置文件的子菜單。

Current boot application software: <hda1:/sup.bin>
Current boot configuration: <hda1:/vrpcfg.zip>
<1> Modify setting
<0> Quit
Enter your choice (0-1): 1 //此處選擇1，進入修改配置子菜單。

File(s) in hda1:

1:hda1:/sup.bin 139720443 bytes
2:hda1:/vrpcfg.zip 17142 bytes
Total size: 1201569792 bytes.
Free size: 1061832207 bytes.

File(s) in hda2:

1:hda2:/keylog/log_1389968546.txt 442185 bytes
Total size: 640745472 bytes.
Free size: 640253952 bytes.
Input the name of application software(eg: hda1:/sup.bin):

Input the name of configuration or '.' to clear setting(eg: hda1:/vrpcfg.zip):. //此處輸入“.”來將下次啟動配置改為空配置。

Modifed configuration successful.
Next boot configuration: NULL

============================================================ ****
Enter your choice(0-6): 1 //此處選擇1引導系統啟動。
3、參照通過HTTPS登錄Web界面，登錄Web界面。
1）將管理員PC網口與設備的MGMT接口（GigabitEthernet 0/0/0）通過網線相連。2）將管理員PC的網絡連接的IP地址設置為在192.168.0.2～192.168.0.254范圍內的IP地址。
3）在管理員PC中打開網絡瀏覽器，訪問需要登錄設備的MGMT接口缺省IP地址https://192.168.0.1:8443，缺省賬號“admin”和密碼“Admin@123”
br/>2）將管理員PC的網絡連接的IP地址設置為在192.168.0.2～192.168.0.254范圍內的IP地址。
3）在管理員PC中打開網絡瀏覽器，訪問需要登錄設備的MGMT接口缺省IP地址https://192.168.0.1:8443，缺省賬號“admin”和密碼“Admin@123”

5、在PC上解壓縮該文件，得到vrpcfg.cfg，使用文本編輯工具修改配置文件中的管理員密碼。修改管理員admin的密碼為Admin@1234（用明文的方式試過不生效）。 Admin@1234的密文：%@%@XY[V+I/m;9YhJuNl4g-8J(|sg!28*cCc\Q.+LgKHVQE-0.%}%@%@
br/>Admin@1234的密文：%@%@XY[V+I/m;9YhJuNl4g-8J(|sg!28*cCc\Q.+LgKHVQE-0.%}%@%@

7、選擇“系統 > 配置 > 系統重啟”，單擊“重啟”，重啟設備。8、設備完成啟動后，就可以使用新的用戶名admin和密碼Admin@1234登錄（console和web兩種方式同時登陸），且配置也恢復為最近保存的配置。
br/>8、設備完成啟動后，就可以使用新的用戶名admin和密碼Admin@1234登錄（console和web兩種方式同時登陸），且配置也恢復為最近保存的配置。
int Eth-trunk102 //打開備墻業務口
undo shutdown
10、迅速在交換機上關閉主墻的業務口（Eth-trunk103），使主墻不參與轉發數據包。
int Eth-trunk103 //關閉主墻業務口
shutdown
11、查看ping結果，如果業務正常切到備墻上，繼續以下操作
12、用以上同樣的方法修改主墻上admin的密碼，修改好重啟完成后嘗試新密碼登陸，如果可以繼續以下操作
13、插上心跳線，同時迅速打開主墻的業務口Eth-trunk103（這個操作最好由兩個人來完成）。
int Eth-trunk103 //打開主墻業務口
undo shutdown
14、此時會進行主墻會把主重新搶占回來，查看常ping網關的電腦是否有丟包，按實際操作并且動作快的話只會丟一個包，到此恢復密碼完成，測試業務是否正常。****

四、 操作后測試
1、通過新密碼登錄到防火墻web、ssh進行測試是否可登錄。
2、通過另外一臺常ping電腦檢查重啟的NGFW是否已經啟來。
3、查看監控是否有未恢復的報警。