首先,我们需要了解无法登录交换机的几种常见故障现象:通过Telnet方式登录设备失败,通过STelnet方式登录设备失败,设备与客户端之间可以ping通但Web网管无法登录。针对这些故障现象,我们将分别进行排查。
当使用Telnet方式登录交换机失败时,可以按照以下步骤进行排查:
1. 检查路由是否畅通,使用ping命令测试网络连接。如果无法ping通,则需检查路由设置是否正确,确保设备之间能够正常通信。
2. 查看交换机上是否指定了Telnet服务器端的源接口。登录设备,执行display telnet server status命令查看Telnet服务器的状态和配置信息。若未指定源接口,需使用telnet server-source命令指定接口为Telnet服务器端的源接口。
3. 检查登录设备的用户数是否达到上限。执行display users命令,查看当前VTY通道是否全部被占用。如果用户数已达到上限,可以执行user-interface maximum-vty命令扩展VTY通道允许的最大用户数。
4. 查看VTY用户界面视图下是否允许接入Telnet协议。执行display this命令,查看VTY用户界面是否配置了protocol inbound telnet或者protocol inbound all。若未配置,需使用protocol inbound命令修改配置,允许Telnet类型用户接入设备。
5. 检查设备上VTY用户界面视图下是否配置了ACL。执行display this命令,查看VTY用户界面是否配置了ACL限制。如果配置了ACL限制,需检查访问控制列表中是否deny了管理员PC的地址。如果是,需删除deny规则,修改访问控制列表,允许管理员PC的ip地址访问。
6. 查看用户界面视图下是否设置了登录认证。执行display this命令查看登录认证方式。如果配置了password认证方式,需使用set authentication password cipher命令配置登录密码;如果配置了aaa认证方式,则需使用local-user命令创建AAA本地用户。
7. 检查设备是否存在环路或其他问题导致Telnet协议丢包。执行display stp brief命令查看生成树的状态和统计信息摘要。如果端口状态为DISCARDING,说明环境中存在环路,需进一步排查和处理。
如果通过STelnet方式登录交换机失败,可以按照以下步骤进行排查:
1. 检查路由是否畅通,使用ping命令测试网络连接。
2. 查看交换机上SSH服务及源接口是否启动。执行display ssh server status命令查看SSH服务器端配置信息。若未启动,需使用stelnet命令使能SSH服务器端的STelnet服务。
3. 查看VTY用户界面视图下是否允许接入SSH协议。执行display this命令,查看VTY用户界面是否配置了protocol inbound ssh或者protocol inbound all。若未配置,需使用protocol inbound命令修改配置,允许STelnet类型用户接入设备。
4. 检查设备上是否配置了RSA、DSA或ECC公钥。执行display rsa local-key-pair public、display dsa local-key-pair public或display ecc local-key-pair public命令查看当前服务器端密钥对信息。如果未配置,需使用rsa local-key-pair create、dsa local-key-pair create或ecc local-key-pair create命令创建。
5. 查看设备上是否配置了SSH用户。执行display ssh user-information命令,查看SSH用户的配置信息。如果不存在配置信息,需使用ssh user、ssh user authentication-type和ssh user service-type命令新建SSH用户并配置SSH用户的认证方式和SSH用户的服务方式。
6. 检查登录SSH服务器端的用户数是否达到上限。执行display users命令,查看当前VTY通道是否全部被占用。如果用户数已达到上限,可以执行user-interface maximum-vty命令扩展VTY通道允许的最大用户数。
7. 查看SSH服务器端上VTY用户界面下是否绑定了ACL。执行display this命令,查看VTY用户界面是否配置了ACL限制。如果配置了ACL限制,需检查访问控制列表中是否deny了管理员PC的地址。如果是,需删除deny规则,修改访问控制列表,允许管理员PC的IP地址访问。
8. 检查SSH客户端和服务器上SSH版本信息。执行display ssh server status命令,查看SSH版本信息。如果使用SSHv1版本的客户端登录服务器,需执行ssh server compatible-ssh1x enable命令配置服务器端版本兼容使能。
9. 检查SSH客户端是否使能了首次认证功能。执行display this命令,查看是否
简介
本文档主要介绍无法登录S交换机的故障排查方式,故障现象包括:通过Telnet方式登录设备失败,通过STelnet方式登录设备失败,设备与客户端之间可以ping通但是Web网管无法登录。
前提条件
本文以V200R021C00版本的华为S5700系列交换机为例进行介绍,具体的原理和配置可能因设备型号和软件版本而异,具体操作时请参考对应的产品文档。
假设用于登录设备的交换机接口为VLANIF 10,其IP地址为192.168.1.45;管理员PC的地址为192.168.2.242。
通过Telnet为什么不能登录设备
使用Telnet方式,管理员可以简单方便地远程管理交换机。使用Telnet协议存在安全风险,因此Telnet登录一般应用在对安全性要求不高的网络。当通过Telnet登录设备失败时,可以通过如下步骤进行排查。
操作步骤
- 查看是否因为路由不通,导致无法建立TCP连接。可使用ping命令查看路由是否正常。
进入管理员PC的Windows的命令行提示符,执行ping命令:
C:\Documents and Settings\Administrator> ping 192.168.1.45
如果ping通,则执行步骤2;如果ping不通,则进行以下检查:
- 检查路由是否正确。
通过串口登录设备,在设备上执行命令行display ip routing-table 192.168.2.242检查有无到管理员PC的路由。
display ip routing-table 192.168.2.242 Route Flags: R - relay, D - download to fib, T - to vpn-instance ------------------------------------------------------------------------------ Routing Table : Public Summary Count : 1 Destination/Mask Proto Pre Cost Flags NextHop Interface 192.168.3.0/8 Static 60 0 RD 192.168.1.1 Vlanif10 上面的例子中,没有到达管理员PC的路由,因此需要执行命令ip route-static 192.168.2.0 255.255.255.0 192.168.1.1(192.168.1.1为管理地址的网关)。
system-view [SwitchA] ip route-static 192.168.2.0 255.255.255.0 192.168.1.1 - 检查ARP学习是否正确。
执行display arp all命令,检查直连地址的ARP是否学习正常。
下述回显信息中,如果MAC ADDRESS字段显示的是MAC地址,则代表ARP学习正确;如果显示的是Incomplete,表示当前表项为临时ARP表项,尚未学习到ARP。
display arp all IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE VLAN ------------------------------------------------------------------------------ 192.168.1.45 00e0-fc74-1ca5 I - Vlanif10 192.168.1.1 00e0-fc74-ef40 19 D-0 GE1/0/1 10/- ------------------------------------------------------------------------------ Total:2 Dynamic:1 Static:0 Interface:1 如果已经学习到ARP表项,通过display mac-address mac-address命令查看MAC表项,确认MAC地址的出接口和ARP的物理出接口是否一致。若不一致,请排查是否存在环路或MAC冲突。
display mac-address 00e0-fc74-9640 ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- 00e0-fc74-9640 10/- GE1/0/1 dynamic //本例中,交换机通过GE1/0/1接口接入网络,与MAC表项中的出接口一致,因此不存在环路和MAC冲突。 ------------------------------------------------------------------------------- Total items displayed = 1 - 查看是否指定Telnet服务器端的源接口。可使用串口登录到设备,执行display telnet server status命令查看Telnet服务器的状态和配置信息。若TELNET server source interface项为空或者为其他接口,需要通过telnet server-source -i interface-type interface-number命令指定接口为Telnet服务器端的源接口。
[SwitchA] display telnet server status TELNET IPv4 server :Enable TELNET IPv6 server :Enable TELNET server port :23 TELNET server source interface : //当前“TELNET server source interface”缺少回显信息。 ACL4 number :0 ACL6 number :0 [SwitchA] telnet server-source -i vlanif 10 //本例中,用于登录设备的交换机接口为VLANIF 10。 Warning: Telnet server source configuration will take effect in the next login. Continue? [Y/N]:y Info: Succeeded in setting the source interface of the Telnet server to Vlanif10.
- 查看登录设备的用户数是否到达了上限。从Console口登录到设备,执行命令display users,查看当前的VTY通道是否全部被占用。缺省情况下,VTY通道允许的最大用户数是5个。可以先执行命令display user-interface maximum-vty,查看当前VTY通道允许的最大用户数。
如果当前的用户数已经达到上限,可以执行命令user-interface maximum-vty 15,将VTY通道允许的最大用户数扩展到15个。然后在扩展后的VTY用户界面配置支持的协议类型、认证方式和用户级别。
display users User-Intf Delay Type network Address AuthenStatus AuthorcmdFlag 34 VTY 0 00:00:14 TEL 192.168.2.34 no Username : Unspecified 35 VTY 1 00:00:03 TEL 192.168.3.181 pass no Username : Unspecified 36 VTY 2 00:00:08 TEL 192.168.3.215 pass no Username : Unspecified 37 VTY 3 00:00:06 TEL 192.168.3.242 pass no Username : Unspecified + 38 VTY 4 00:00:00 TEL 192.168.2.241 pass no Username : Unspecified display user-interface maximum-vty Maximum of VTY user:5 system-view [SwitchA] user-interface maximum-vty 15 - 查看VTY类型用户界面视图下允许接入的协议配置是否正确。Console口登录到设备上执行命令user-interface vty进入用户界面视图,执行命令display this,查看VTY用户界面是否配置protocol inbound telnet或者protocol inbound all(缺省情况下,系统支持协议SSH)。如果不是,执行命令protocol inbound { telnet | all }修改配置,允许Telnet类型用户接入设备。
system-view [SwitchA] user-interface vty 0 4 [SwitchA-ui-vty0-4] display this # user-interface con 0 authentication-mode aaa idle-timeout 0 0 user-interface vty 0 4 authentication-mode none user privilege level 15 idle-timeout 0 0 protocol inbound ssh # return [SwitchA-ui-vty0-4] protocol inbound telnet - 查看设备上VTY类型用户界面视图下是否配置了ACL。(以Telnet IPv4为例)Console口登录到设备上执行命令user-interface vty进入用户界面视图,执行命令display this,查看VTY用户界面是否配置了ACL限制,如果配置了ACL限制,请记录该ACL编号。
设备上执行命令display acl acl-number,查看该访问控制列表中是否deny了管理员PC的地址。如果deny管理员PC的IP地址,则在ACL视图下,执行命令undo rule rule-id,删除deny规则,再执行相应的命令修改访问控制列表,允许管理员PC的IP地址访问。
system-view [SwitchA] user-interface vty 0 4 [SwitchA-ui-vty0-4] display this # user-interface maximum-vty 15 user-interface con 0 authentication-mode aaa user privilege level 3 idle-timeout 0 0 user-interface vty 0 4 acl 2015 inbound //设备配置了ACL 2015。 authentication-mode none user privilege level 15 idle-timeout 0 0 protocol inbound telnet # return [SwitchA-ui-vty0-4] quit [SwitchA] display acl 2015 BASIC ACL 2015, 3 rules Acl's step is 5 rule 5 permit source 10.0.0.0 0.255.255.255 rule 10 permit source 172.16.0.0 0.0.255.255 rule 15 deny source 1.1.0.0 0.0.255.255 rule 20 deny source 192.168.2.0 0.0.0.255 //该rule规则,导致设备丢弃PC发送的报文。 [SwitchA] acl 2015 [SwitchA-acl-basic-2015] undo rule 20 [SwitchA-acl-basic-2015] rule 20 permit source 192.168.2.0 0.0.0.255 - 查看用户界面视图下是否设置登录认证。
在VTY用户界面视图执行display this查看登录认证方式。- 如果使用命令authentication-mode password配置了VTY通道下的登录认证方式为password,必须通过set authentication password cipher命令配置登录密码,登录时输入此密码。
system-view [SwitchA] user-interface vty 0 4 [SwitchA-ui-vty0-4] display this # user-interface maximum-vty 15 user-interface con 0 user privilege level 3 idle-timeout 0 0 user-interface vty 0 4 acl 2015 inbound authentication-mode password user privilege level 15 idle-timeout 0 0 protocol inbound telnet # return [SwitchA-ui-vty0-4] set authentication password cipher test@123 - 如果使用命令authentication-mode aaa设置认证方式为aaa,则必须使用命令local-user创建AAA本地用户。
system-view [SwitchA] user-interface vty 0 4 [SwitchA-ui-vty0-4] display this # user-interface maximum-vty 15 user-interface con 0 user privilege level 3 idle-timeout 0 0 user-interface vty 0 4 acl 2015 inbound authentication-mode aaa user privilege level 15 idle-timeout 0 0 protocol inbound telnet # return [SwitchA-ui-vty0-4] quit [SwitchA] aaa [SwitchA-aaa] local-user test password irreversible-cipher test@123 [SwitchA-aaa] local-user test privilege level 15 [SwitchA-aaa] local-user test service-type telnet [SwitchA-aaa] quit
- 如果使用命令authentication-mode password配置了VTY通道下的登录认证方式为password,必须通过set authentication password cipher命令配置登录密码,登录时输入此密码。
- 如果设备中存在环路或者由于其他原因导致Telnet协议丢包,也会间歇性地导致无法Telnet到设备上。如下,display stp brief查看生成树的状态和统计信息摘要,如果未使能STP,通过stp enable使能后再次查看生成树的状态和统计信息摘要,如果端口的STP State字段是DISCARDING,说明环境中存在环路,端口被保护了。更多的环路问题处理请查看《华为S系列园区交换机维护宝典》中的“故障处理:二层环路”章节。
system-view [SwitchA] display stp brief Protocol Status :Disabled //当前,设备未使能STP。 Protocol Standard :IEEE 802.1s Version :2 CIST Bridge Priority :32768 MAC address :000b-0969-3100 Max age(s) :20 Forward delay(s) :15 Hello time(s) :2 Max hops :20 Share region-configuration :Enabled [SwitchA] stp enable //执行命令,使能STP功能。 Warning: The global STP state will be changed. Continue?[Y/N]:y Info: This operation may take a few seconds. Please wait for a moment...done. [SwitchA] display stp brief MSTID Port Role STP State Protection 0 GigabitEthernet1/0/1 DESI FORWARDING NONE 0 GigabitEthernet1/0/4 DESI DISCARDING LOOPBACK 0 GigabitEthernet1/0/5 DESI DISCARDING LOOPBACK 0 GigabitEthernet1/0/36 DESI DISCARDING NONE 0 XGigabitEthernet1/0/2 DESI DISCARDING NONE 0 XGigabitEthernet1/0/4 DESI DISCARDING NONE 0 Eth-Trunk4 DESI DISCARDING NONE
- 如果以上步骤还不能解决问题,请收集日志信息、告警信息和配置信息,并联系技术支持人员。设备诊断信息可以通过display diagnostic-information命令收集。
通过Stelnet为什么不能登录设备
Telnet协议存在安全风险,推荐使用STelnet登录设备。通过STelnet方式登录设备失败时,可以按照如下排查步骤检查:
操作步骤
- 查看是否因为路由不通,导致无法建立TCP连接。可使用ping命令查看路由是否正常。
进入管理员PC的Windows的命令行提示符,执行ping命令:
C:\Documents and Settings\Administrator> ping 192.168.1.45
如果ping通,则执行步骤2;如果ping不通,则进行以下检查:
- 检查路由是否正确。
通过串口登录设备,在设备上执行命令行display ip routing-table 192.168.2.242检查有无到管理员PC的路由。
display ip routing-table 192.168.2.242 Route Flags: R - relay, D - download to fib, T - to vpn-instance ------------------------------------------------------------------------------ Routing Table : Public Summary Count : 1 Destination/Mask Proto Pre Cost Flags NextHop Interface 192.168.3.0/8 Static 60 0 RD 192.168.1.1 Vlanif10 上面的例子中,没有到达管理员PC的路由,因此需要执行命令ip route-static 192.168.2.0 255.255.255.0 192.168.1.1(192.168.1.1为管理地址的网关)。
system-view [SwitchA] ip route-static 192.168.2.0 255.255.255.0 192.168.1.1 - 检查ARP学习是否正确。
执行display arp all命令,检查直连地址的ARP是否学习正常。
下述回显信息中,如果MAC ADDRESS字段显示的是MAC地址,则代表ARP学习正确;如果显示的是Incomplete,表示当前表项为临时ARP表项,尚未学习到ARP。
display arp all IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE VLAN ------------------------------------------------------------------------------ 192.168.1.45 00e0-fc74-1ca5 I - Vlanif10 192.168.1.1 00e0-fc74-ef40 19 D-0 GE1/0/1 10/- ------------------------------------------------------------------------------ Total:2 Dynamic:1 Static:0 Interface:1 如果已经学习到ARP表项,通过display mac-address mac-address命令查看MAC表项,确认MAC地址的出接口和ARP的物理出接口是否一致。若不一致,请排查是否存在环路或MAC冲突。
display mac-address 00e0-fc74-9640 ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- 00e0-fc74-9640 10/- GE1/0/1 dynamic //本例中,交换机通过GE1/0/1接口接入网络,与MAC表项中的出接口一致,因此不存在环路和MAC冲突。 ------------------------------------------------------------------------------- Total items displayed = 1 - 查看设备的SSH服务及源接口是否启动。通过Console口或Telnet方式登录设备,执行命令display ssh server status,查看SSH服务器端配置信息。
system-view [SwitchA] display ssh server status SSH version :2.0 SSH connection timeout :60 seconds SSH server key generating interval :0 hours SSH authentication retries :3 times SFTP IPv4 server :Enable SFTP IPv6 server :Enable STELNET IPv4 server :Disable STELNET IPv6 server :Disable SCP IPv4 server :Disable SCP IPv6 server :Disable SSH server source interface : ACL4 number :0 ACL6 number :0 如果STelnet没有使能,执行如下命令stelnet [ ipv4 | ipv6 ] server enable,使能SSH服务器端的STelnet服务。
[SwitchA] stelnet ipv4 server enable
执行display ssh server status命令,查看是否指定了SSH服务器端的源地址。回显中SSH server source interface项为空或者为其他接口(本例的源接口为VLANIF 10),则没有指定SSH服务器端的源接口或者源接口不对,需要执行ssh server-source -i interface-type interface-number,配置指定接口为SSH服务器端的源接口。
[SwitchA] ssh server-source -i vlanif 10 Warning: SSH server source configuration will take effect in the next login. Continue? [Y/N]:y Info: Succeeded in setting the source interface of the SSH server to Vlanif10.
- 查看VTY类型用户界面视图下允许接入的协议配置及认证方式是否正确。Console口或Telnet方式登录到设备上执行命令user-interface vty进入用户界面视图,执行命令display this,查看VTY用户界面的protocol inbound是否为ssh或者all,authentication-mode是否为aaa。如果不是,执行命令protocol inbound { ssh | all }和authentication-mode aaa修改配置,允许STelnet类型用户接入设备。
system-view [SwitchA] user-interface vty 0 4 [SwitchA-ui-vty0-4] display this # user-interface con 0 authentication-mode aaa idle-timeout 0 0 user-interface vty 0 4 authentication-mode none user privilege level 15 idle-timeout 0 0 protocol inbound telnet # return [SwitchA-ui-vty0-4] protocol inbound all [SwitchA-ui-vty0-4] authentication-mode aaa - 查看设备上是否配置了RSA、DSA或ECC公钥。设备作为SSH服务器时,必须配置本地密钥对。
在设备上执行命令display rsa local-key-pair public、display dsa local-key-pair public或display ecc local-key-pair public查看当前服务器端密钥对信息。如果显示信息为空,则表明没有配置服务器端密钥对,执行命令rsa local-key-pair create、dsa local-key-pair create或ecc local-key-pair create创建。
- 查看设备上是否配置了SSH用户。执行命令display ssh user-information,查看SSH用户的配置信息。如果不存在配置信息,请在系统视图下执行命令ssh user、ssh user authentication-type和ssh user service-type,新建SSH用户并配置SSH用户的认证方式和SSH用户的服务方式。使用Password认证方式时,需要在AAA视图下配置与SSH用户同名的本地用户。
display ssh user-information Info: No SSH user exists. system-view [SwitchA] ssh user admin123 Info: Succeeded in adding a new SSH user. [SwitchA] ssh user admin123 service-type stelnet [SwitchA] ssh user admin123 authentication-type password [SwitchA-aaa] local-user admin123 password irreversible-cipher abcd@123 [SwitchA-aaa] local-user admin123 privilege level 15 [SwitchA-aaa] local-user admin123 service-type ssh [SwitchA-aaa] quit - 查看登录SSH服务器端的用户数是否到达了上限。从Console口登录到设备,执行命令display users,查看当前的VTY通道是否全部被占用。缺省情况下,VTY通道允许的最大用户数是5个,可以先执行命令display user-interface maximum-vty,查看当前VTY通道允许的最大用户数。
如果当前的用户数已经达到上限,可以执行命令user-interface maximum-vty 15,将VTY通道允许的最大用户数扩展到15个。
[SwitchA] display users User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag 34 VTY 0 00:00:14 TEL 192.168.2.34 pass no Username : Unspecified 35 VTY 1 00:00:03 TEL 192.168.3.181 pass no Username : Unspecified 36 VTY 2 00:00:08 TEL 192.168.3.215 pass no Username : Unspecified 37 VTY 3 00:00:06 TEL 192.168.3.242 pass no Username : Unspecified + 38 VTY 4 00:00:00 TEL 192.168.2.241 pass no Username : Unspecified 89 WEB 0 00:00:14 192.168.2.178 pass Username : web [SwitchA] display user-interface maximum-vty Maximum of VTY user:5 [SwitchA] user-interface maximum-vty 15 Info: VTY0-14 VTYs are available, and VTY 16 to VTY 20 are reserved for the NMS.
- 查看SSH服务器端上VTY类型用户界面下是否绑定了ACL。设备上系统视图下执行命令user-interface vty进入SSH用户会使用的界面视图,执行命令display this,查看VTY用户界面是否配置了ACL限制,如果配置了ACL限制,请记录该ACL编号。
执行命令display acl acl-number,查看该访问控制列表中是否deny了STelnet管理员PC的地址。如果deny管理员PC的IP地址,则在ACL视图下,执行命令undo rule rule-id,删除deny规则,再执行相应的命令修改访问控制列表,允许管理员PC的IP地址访问。
[SwitchA] user-interface vty 0 4 [SwitchA-ui-vty0-14]display this # user-interface maximum-vty 15 user-interface con 0 authentication-mode aaa user privilege level 3 idle-timeout 0 0 user-interface vty 0 4 acl 2015 inbound authentication-mode none user privilege level 15 idle-timeout 0 0 protocol inbound all # return [SwitchA-ui-vty0-4] quit [SwitchA] display acl 2015 Basic ACL 2015, 3 rules Acl's step is 5 rule 5 permit source 10.0.0.0 0.255.255.255 rule 10 permit source 172.16.0.0 0.0.255.255 rule 15 deny source 1.1.0.0 0.0.255.255 rule 20 deny source 192.168.2.0 0.0.0.255 //该rule规则,导致设备丢弃PC发送的报文。 [SwitchA] acl 2015 [SwitchA-acl-basic-2015] undo rule 20 [SwitchA-acl-basic-2015] rule 20 permit source 192.168.2.0 0.0.0.255
- 查看SSH客户端和服务器上SSH版本信息。在SSH服务器上执行命令display ssh server status,查看SSH版本信息。如果使用SSHv1版本的客户端登录服务器,则执行命令ssh server compatible-ssh1x enable配置服务器端版本兼容使能。
- 查看SSH客户端是否使能了首次认证功能。在系统视图下执行命令display this,查看是否使能SSH客户端首次认证功能的的配置ssh Client first-time enable。
如果没有使能SSH客户端首次认证功能,则STelnet客户端第一次登录SSH服务器时,由于对SSH服务器的公钥有效性检查失败,而导致登录服务器失败。执行命令ssh client first-time enable使能SSH客户端首次认证功能。
system-view [SwitchA] display this | include ssh ssh user admin123 ssh user admin123 authentication-type password ssh user admin123 service-type stelnet ssh server-source -i Vlanif10 ssh server cipher aes256_ctr aes128_ctr ssh server hmac sha2_256 ssh client cipher aes256_ctr aes128_ctr ssh client hmac sha2_256 ssh server dh-exchange min-len 2048 ssh server publickey ecc dsa rsa [SwitchA] ssh client first-time enable - 查看SSH服务器上是否配置了攻击溯源。在SSH服务器上执行命令display auto-defend configuration,查看攻击溯源的配置信息。
缺省情况下,SSH服务器上已开启攻击溯源功能。如果指定攻击溯源的惩罚措施为丢弃,端口收到的可防范协议报文的速率超过端口防攻击检查阈值时,可能导致用户登录异常。可执行命令undo auto-defend enable关闭攻击溯源功能,或者执行命令undo auto-defend action关闭攻击溯源的惩罚功能。
system-view [SwitchA] display auto-defend configuration ---------------------------------------------------------------------------- Name : test Related slot : <0> auto-defend : enable auto-defend attack-packet sample : 5 auto-defend threshold : 60 (pps) auto-defend trace-type : source-mac source-ip auto-defend protocol : arp icmp dhcp igmp tcp telnet 8021x nd dhcpv6 mld icmpv6 tcpv6 ---------------------------------------------------------------------------- [SwitchA]cpu-defend policy test [SwitchA-cpu-defend-policy-test] undo auto-defend enable - 如果以上步骤还不能解决问题,请收集日志信息、告警信息和配置信息,并联系技术支持人员。设备诊断信息可以通过display diagnostic-information命令收集。
通过Web为什么不能登录设备
Web网管是一种对设备的管理方式,它利用设备内置的Web服务器,为用户提供图形化的操作界面。用户需要从终端通过HTTPS登录到设备,才能利用Web网管对设备进行管理和维护。通过web界面登录设备失败时,可以按照下面的步骤排查:
操作步骤
- 检查HTTPS服务是否开启。
- 对于HTTPS IPv4缺省情况下HTTPS IPv4服务功能是开启的。Console口或Telnet方式登录设备,在系统视图下执行命令display this,查看是否有undo http secure-server enable的配置。如果有,说明HTTPS IPv4服务被人为关闭。用户可以在系统视图下执行命令http secure-server enable,开启HTTPS IPv4服务。
system-view [SwitchA] display this | include http undo http server enable undo http secure-server enable http server-source -i Vlanif4000 portal https-redirect tls1.1 enable portal web-authen-server http [SwitchA] http secure-server enable [SwitchA] http server enable
- 对于HTTPS IPv6缺省情况下,HTTPS IPv6服务功能是关闭的。用户可以在系统视图下执行命令http ipv6 secure-server enable,开启HTTPS IPv6服务。
system-view [SwitchA] display this | include http http server-source -i Vlanif4000 portal https-redirect tls1.1 enable portal web-authen-server http [SwitchA] http ipv6 secure-server enable [SwitchA] http ipv6 server enable
- 对于HTTPS IPv4缺省情况下HTTPS IPv4服务功能是开启的。Console口或Telnet方式登录设备,在系统视图下执行命令display this,查看是否有undo http secure-server enable的配置。如果有,说明HTTPS IPv4服务被人为关闭。用户可以在系统视图下执行命令http secure-server enable,开启HTTPS IPv4服务。
- 检查设备上是否配置了HTTP/HTTPS服务器端的源接口或IPv6源地址。通过Console口或Telnet、Stelnet方式登录设备,执行命令display http server,查看HTTPS服务器配置信息。若HTTP server source interface项为空或者为其他接口(本例子是Vlanif 10),需要通过http server-source -i interface-type interface-number命令指定接口为HTTP/HTTPS服务器端的源接口。
[SwitchA] display http server HTTP Server Status : enabled HTTP Server Port : 80(80) HTTP Timeout Interval : 20 Current Online Users : 0 Maximum Users Allowed : 5 HTTP Secure-server Status : enabled HTTP Secure-server Port : 443(443) HTTP SSL Policy : Default HTTP IPv6 Server Status : disabled HTTP IPv6 Server Port : 80(80) HTTP IPv6 Secure-server Status : disabled HTTP IPv6 Secure-server Port : 443(443) HTTP server source interface :Vlanif4000 //本例中,使用接口VLANIF10登录设备,因此需要执行命令,修改为VLANIF10。 [SwitchA] http server-source -i Vlanif 10
- 检查在线Web用户是否已经达到上限。在设备上执行命令display http user,查看当前在线的Web用户是否已经达到5个。
目前,设备只支持5个Web用户同时在线。如果长时间无操作的用户占用了Web通道资源,可能导致其它用户无法登录。管理员可以执行命令free http user-id user-id,强制长时间无操作的Web用户下线。
system-view [SwitchA] display users User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag + 35 VTY 1 00:00:00 TEL 192.168.2.34 pass no Username : Unspecified 89 WEB 0 00:00:14 192.168.2.201 pass Username : web 90 WEB 1 00:00:33 192.168.2.121 pass Username : admin123 92 WEB 2 00:00:36 192.168.2.221 pass Username : admin 93 WEB 3 00:00:09 192.168.3.171 pass Username : test 94 WEB 4 00:00:56 192.168.3.166 pass Username : lsw [SwitchA] display http user Total online users: 5 ------------------------------------------------------------------- User Name IP Address Login Date ------------------------------------------------------------------- web 192.168.2.201 2021-10-30 15:50:43+00:00 admin123 192.168.2.121 2021-10-30 15:54:22+00:00 admin 192.168.2.221 2021-10-30 15:55:30+00:00 test 192.168.3.171 2021-10-30 15:57:10+00:00 lsw 192.168.3.166 2021-10-30 15:58:12+00:00 [SwitchA] free http user-id 89 - 检查设备是否对Web用户进行访问控制。
- 对于HTTPS IPv4在系统视图下执行命令display this,查看是否有http acl acl-number的配置。如果有,请记录该acl-number。
在任意视图下执行命令display acl acl-number,查看该访问控制列表中是否deny了Web用户客户端的IPv4地址。如果是,则在ACL视图下执行命令undo rule rule-id,删除deny规则,再执行相应的命令修改访问控制列表,允许Web用户客户端的IPv4地址通过。
system-view [SwitchA] display this | include http acl http acl 2015 [SwitchA] display acl 2015 Basic ACL 2015, 4 rules Acl's step is 5 rule 5 permit source 10.0.0.0 0.255.255.255 rule 10 permit source 172.16.0.0 0.0.255.255 rule 15 deny source 1.1.0.0 0.0.255.255 rule 20 deny source 192.168.2.0 0.0.0.255 [SwitchA] acl 2015 [SwitchA-acl-basic-2015] undo rule 20 [SwitchA-acl-basic-2015] rule 20 permit source 192.168.2.0 0.0.0.255
- 对于HTTPS IPv6在系统视图下执行命令display this,查看是否有http ipv6 acl acl6-number的配置。如果有,请记录该acl6-number。
在任意视图下执行命令display acl ipv6 acl6-number,查看该访问控制列表中是否deny了Web用户客户端的IPv6地址。如果是,则在ACL6视图下执行命令undo rule rule-id,删除deny规则,再执行相应的命令修改访问控制列表,允许Web用户客户端的IPv6地址通过。
system-view [SwitchA] display this | include http ipv6 acl http ipv6 acl 2015 [SwitchA] display acl ipv6 2015 Basic IPv6 ACL 2015, 3 rules rule 5 deny rule 10 permit source 1::/64 rule 15 permit source 192::/64 rule 20 deny source 172::/64 [SwitchA] acl ipv6 2015 [SwitchA-acl6-basic-2015] undo rule 20 [SwitchA-acl6-basic-2015] quit
- 对于HTTPS IPv4在系统视图下执行命令display this,查看是否有http acl acl-number的配置。如果有,请记录该acl-number。
- 检查Web用户的接入类型是否正确。在AAA视图下执行命令display this,查看Web用户的接入类型是否为HTTP。如果配置中存在local-user user-name service-type http,则说明用户名为user-name的用户接入类型为HTTP;如果没有该配置,请在AAA视图下执行命令local-user user-name service-type http,配置Web用户的接入类型为HTTP。
[SwitchA] aaa [SwitchA-aaa] local-user test password irreversible-cipher test@123 [SwitchA-aaa] local-user test privilege level 15 [SwitchA-aaa] local-user test service-type http
- 如果以上步骤还不能解决问题,请收集日志信息、告警信息和配置信息,并联系技术支持人员。设备诊断信息可以通过display diagnostic-information命令收集。
本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。
汇鑫科服隶属于北京通忆汇鑫科技有限公司, 成立于2007年,是一家互联网+、物联网、人工智能、大数据技术应用公司,专注于楼宇提供智能化产品与服务。致力服务写字楼内发展中的中小企业 ,2009年首创楼宇通信BOO模式,以驻地网运营模式为楼宇提供配套运营服务;汇鑫科服始终以客户管理效率为导向,一站式 ICT服务平台,提升写字楼办公场景的办公效率和体验;
