检查网络状态
操作步骤
1、执行命令ping xxx.xxx.xxx.xxx(目的IP网段)
根据报文是否丢包确认是否可以访问该设备,网络不通请检查组网及网络地址、静态路由等相关配置。
检查VTY通道是否已占满?
操作步骤
1、在任意视图下,执行命令display users,检查当前用户登录数量。
<HUAWEI> display users
NOTE:
User-Intf: The absolute number and the relative number of user interface
Authen: Whether the authentication passes
Author: Command line authorization flag
--------------------------------------------------------------------------------
User-Intf Delay Type Network Address Authen Author Username--------------------------------------------------------------------------------34 VTY 0 00:11:51 TEL 10.10.31.28 pass yes Unspecified 35 VTY 1 00:10:17 TEL 10.10.34.161 pass yes Unspecified
* 36 VTY 2 00:00:00 TEL 10.10.193.10 pass yes Unspecified
2、在任意视图下,执行命令display current-configuration configuration user-interface include-default,检查登录用户的最大数目。缺省情况下,Telnet、SSH(STelnet)用户最大数目共为5个。
<HUAWEI> display current-configuration configuration user-interface include-default
#
~undo user-interface vty security-policy disable
~user-interface maximum-vty 5
#
3、如果当前用户登录数量等于系统设置的登录用户最大数量,可以通过以下两种方式修改:
调整登录用户的最大数目。操作方法:系统视图下,执行命令user-interface maximum-vty number,number取值范围是0~21。
在保证业务不中断的前提下,断开部分用户的连接。操作方法:用户视图下,执行命令kill user-interface { ui-number | ui-type ui-number1 }
推荐使用第一种方式。
检查SSH服务器状态
操作步骤
1、在任意视图下,执行命令display ssh server status,检查SSH服务器状态。
<HUAWEI> display ssh server status
SSH Version : 2.0
SSH authentication timeout (Seconds) : 60
SSH authentication retries (Times) : 3
SSH server key generating interval (Hours) : 0
SSH version 1.x compatibility : Disable
SSH server keepalive : Enable
SFTP server : Disable
STelnet server : Disable
SNETCONF server : Enable
SNETCONF server port(830) : Disable
SCP server : Disable
SSH server DES : Enable
SSH server port : 22
SSH server source address : 0.0.0.0
ACL name : --
ACL number : --
ACL6 name : --
ACL6 number : --
根据STelnet server项查看是否使能了SSH服务器功能,缺省情况下,SSH服务器功能未使能。如果显示“Disable”,表示未使能SSH服务器功能,则客户端无法登录服务器,需要在系统视图下,执行命令stelnet server enable命令使能SSH服务器功能。
根据SSH version 1.x compatibility项查看是否配置服务器兼容低版本功能,缺省情况下,未使能兼容低版本功能。
SSH有两种不兼容的版本:1.x和2.0,缺省情况下,服务器SSH版本是2.0。当服务器的SSH版本高于客户端的SSH版本时,需要在系统视图下,执行命令ssh server compatible-ssh1x enable,使能SSH服务器兼容低版本功能,来解决由版本不匹配带来的登录失败故障。
说明:
SSH2.0协议相比SSH1.x协议来说,在结构上做了扩展,可以支持更多的认证方法和密钥交换方法,安全性更高(可以规避SSH1.X存在的安全风险),推荐用户使用SSH2.0。
根据ACL name和ACL number、或者ACL6 name和ACL6 number项查看是否配置ACL访问控制列表,如果显示“–”,表示没有配置访问列表控制项;如果显示具体名,则说明配置了ACL规则,控制了SSH客户端的访问权限,请参考“检查是否有ACL绑定”。
检查是否有ACL绑定
操作步骤
1、查看用户界面视图下是否绑定ACL规则。
system-view [~HUAWEI] user-interface vty 0
[~HUAWEI-ui-vty0] display thisuser-interface con 0 authentication-mode password set authentication password cipher
$1aKaTeX parse error: Expected 'EOF', got '#' at position 9: 7`mtJ5Q7#̲D^Je8<I6[VDV]a4CBeoz=1O#Q8!5NH<yUfr3&<w*D$
user-interface vty 0 14 acl 2000 inbound authentication-mode password user privilege level 3 set authentication password cipher
1 a 1a 1ar;iO"UhF_/ " 6 C O < K @ S i 89 E O n H j p 0 ′ x A P 574 A Y 1 K d V S . z G ∗ − 4 "6CO<K@Si89EOnHj\:p0'xAP574AY1KdVS.zG*-4 "6CO<K@Si89EOnHjp0′xAP574AY1KdVS.zG∗−4 idle-timeout
120 0return
由上述回显可以看出,当前配置绑定了ACL 2000。
2、如果绑定了ACL规则,则需要查看ACL规则的内容,判断是否配置了允许或者阻止登录的用户访问控制列表。
查看ACL 2000配置。
<HUAWEI> system-view
[~HUAWEI] acl 2000
[~HUAWEI-acl4-basic-2000] display this
#
acl number 2000
rule 1 permit source 10.135.182.70 0
rule 2 deny
#
确认客户端IP是否在permit的IP范围之内,如果不在,则需要在当前ACL视图下,执行命令rule [ rule-id ] permit source source-ip-address,配置允许该IP登录。
检查VTY界面是否配置了SSH协议?
操作步骤
1、在任意视图下,执行命令display current-configuration | section include protocol inbound,检查VTY用户界面支持的协议类型。缺省情况下,V100R003C00版本系统支持Telnet协议类型;V100R003C10及以后版本系统支持所有协议类型。
<HUAWEI> display current-configuration | section include protocol inbound
#
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
idle-timeout 120 0
protocol inbound telnet
#
2、如果protocol inbound配置的为all或者ssh,说明允许SSH通过,如果配置不是上述配置,则需要在user-interface视图下增加protocol inbound { all | ssh },配置方法如下所示。
<HUAWEI> system-view
[~HUAWEI] user-interface vty 0 4
[~HUAWEI-ui-vty0-4] protocol inbound all
[*HUAWEI-ui-vty0-4] commit
检查服务器端是否存在该用户?
操作步骤
1、任意视图下,执行命令display ssh user-information,查看本地用户配置信息。
<SSH Server> display ssh user-information
--------------------------------------------------------------------------------
User Name : client
Authentication type : password
User public key name :
User public key type : --
Sftp directory :
Service type : stelnet | sftp | snetconf
--------------------------------------------------------------------------------
Total 1, 1 printed
User Name表示SSH用户名,根据这项内容判断是否存在当前登录的用户。如果没有当前登录的用户,可以参考如下步骤配置该用户:
执行命令system-view,进入系统视图。
执行命令ssh user user-name,创建用户名。
执行命令ssh authentication-type default password,配置SSH用户缺省采用密码认证。
用户也可以通过执行命令ssh user user-name authentication-type password配置SSH用户 认证方式为密码认证。
执行命令ssh user user-name service-type { stelnet | all },配置SSH用户的服务方式。缺省情况下,服务方式为空。
执行命令commit,提交配置。
检查AAA配置
操作步骤
1、执行命令display current-configuration configuration aaa,确认待登录用户为本地用户,还是远端认证用户。
<HUAWEI> display current-configuration configuration aaa
#
aaa
local-user root password irreversible-cipher $1a$YY[HGyQE`$$G&xK-PO)U/MrQCPO9E&2s3yc&Rp=XWlH/j>5}!<($
local-user root service-type ftp telnet ssh
local-user root level 15#
local-user表示root为本地用户,本地用户需要支持ssh服务。如果显示不是local-user,则表示为远端认证用户,远端认证用户需要检查远端认证服务器设置,主要检查用户分组、账号密码、权限级别等。
收集信息并寻求技术支持
操作步骤
1、收集上述步骤的操作结果,并记录到文件中。
2、一键式收集设备的所有诊断信息并导出文件。
a.在用户视图下,执行display diagnostic-information file-name命令,采集设备诊断信息并保存为文件。
<HUAWEI> display diagnostic-information dia-info.txt
Now saving the diagnostic information to the device
100%
Info: The diagnostic information was saved to the device successfully.
说明:
生成的文本文件的缺省保存路径为flash:/,您可以在用户视图下使用dir命令可以确认文件是否正确生成。
b.当诊断信息文件生成之后,您可以通过FTP、SFTP、SCP等方式将其从设备上导出,详细操作可参考“管理本地文件”。
说明:
您也可以直接执行display diagnostic-information命令,并通过终端日志存盘方式获取设备诊断信息文件,详细操作可参见“设备诊断信息文件获取指导”。
3、收集设备的日志和告警信息并导出文件。
a.执行以下命令,将缓冲区的日志和告警信息保存为文件。
<HUAWEI> save logfile //收集普通用户日志
<HUAWEI> system-view
[~HUAWEI] diagnose
[~HUAWEI-diagnose] save logfile diagnose-log //收集诊断日志
[~HUAWEI-diagnose] collect diagnostic information //收集操作系统诊断信息
b.当日志信息文件生成之后,您可以通过FTP、SFTP、SCP等方式将其从设备上导出,详细操作可参考“管理本地文件”。
说明:
您也可以直接执行display logbuffer和display trapbuffer命令查看设备的日志和告警信息,并通过终端日志存盘方式获取日志和告警信息文件,操作方法与设备诊断信息文件的获取方式相同,可参见“设备诊断信息文件获取指导”。
寻求技术支持
请您参考如下网页链接信息http://e.huawei.com/cn/how-to-buy/contact-us,寻求技术支持。
说明:
在技术支持过程中,请按技术支持人员的指导,将收集的所有信息和文件完整提交,方便技术支持人员进行问题定位。