無法通過CLI管理設備
一、現象描述
設備有四種登錄方式:SSH / TELNET / CONSOLE / WEB
出現如下故障:
1、CONSOLE口無法登錄
2、TELNET無法登錄
3、SSH無法登錄
4、WEB無法登錄
二、組網拓撲
三、可能原因
1、CRT軟件設置參數問題,或者console線問題
2、control-plane禁止登錄設置,ACL過濾限制,VTY線程占滿
四、處理步驟
現象1:CONSOLE無法登錄
步驟1、檢查設備電源燈運行狀態
1. 檢查PWR燈狀態
電源正常:綠色常亮
電源關閉或故障:不亮
備注:如果電源燈不亮,請檢查電源是否正常加電,判斷設備是否存在硬件問題導致無法加電
2. 檢查SYS燈狀態
上電初始化:綠色閃爍
初始化完成:綠色常亮
告警:紅色常亮
備注:可以關注console輸出日志進行判斷軟件是否存在異常
步驟2、Console線參數設置
如果使用CRT軟件,Console線登錄需要選擇正確的com口,以及波特率為9600,不能勾選流控位
端口可以通過電腦端的設備管理器查看
如下圖所示
步驟3、替換console線/設備測試
1、替換console線進行測試,判斷下console線是否存在問題
2、如果沒有多余console線,替換其他支持console登錄的方式測試
如果console口仍然無法登錄,窗口沒有輸入和輸出,可能存在console存在硬件問題。可以使用其他方式進行登錄測試。
現象2:TELNET無法登錄
步驟1、排查登錄參數設置(地址、端口)
1、登錄地址錯誤
a. console線登錄可以查看接口地址,具體命令為show ip interface brief
如上目前2口為內網口,7口為外網口地址,可以通過這兩個接口登錄設備,外網用戶只能通過外網口地址登錄設備
b、想要確認外網口地址,也可以通過內網口先登錄設備后,然后再查看對應的外網口地址,
路徑:網絡—接口配置—對應外網口
補充:telnet的端口默認為23,telnet 端口是無法修改的
步驟2、排查設備上安全限制,禁止登錄,ACL過濾
1. 本地防攻擊設置禁止telnet登錄操作,具體路徑為安全—本地防攻擊—禁止內網/外網登錄設備
對應命令為:
control-plane
security deny lan-telnet-ssh-----禁止內網telnet和ssh登錄設備
security deny wan-telnet-ssh-----禁止外網telnet和ssh登錄設
2. 在接口調用或ip session filter調用的ACL沒有放通對應的端口或IP
a. 接口訪問列表下的調用,需要檢查ACL有沒有放通對應的端口或IP
b. Ip session filter 流過濾操作,全局調用,全局生效,需要檢查ACL有沒有放通對應的端口或IP
c. Line vty下調用的ACL沒有放通對應的網段訪問設備,導致無法telnet
所調用的ACL161需要放通登錄設備的端口或IP地址
具體路徑:安全—ACL訪問列表
配置完,命令行對應下發的命令如下:
步驟3、排查映射導致登錄端口被占用
具體配置如下:內網服務器映射時映射到設備登錄端口比如說23,或者是配置了整機映射映射到接口上,導致設備登錄端口被占用,會導致設備無法登錄,
a. 端口映射配置
對應命令如下:
ip nat inside source static tcp 192.168.1.10 23 172.18.161.111 23
b. 整機映射配置
對應命令如下:
ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside
解決方法:將外網映射端口23映射為1023等端口,避免端口占用問題。
步驟4、排查多條外網線的情況下沒有開啟源進源出
多條外網線的情況下沒有開啟源進源出,導致外網訪問到設備的數據流出現從接口7進來但是從接口6出去了。所以在外網口需要開啟源進源出
具體路徑如下:網絡—接口配置—對應接口下勾選源進源出
對應的命令如下:
步驟5、排查服務是否啟用或者是否存在web包
1、登錄服務沒有開啟
具體命令:查看telnet是否開啟——show service
2、查看端口是否正常監聽
(1)Show tcp connect ,LISTEN代表監聽狀態屬于正常狀態
步驟6、VTY線程被占滿
可以通過show users查看vty占用的線程是否滿了,默認是5個線程。可以通過clear line vty 對應數值進行線程清除,再嘗試登錄。
現象3:SSH無法登錄
步驟1、排查登錄參數設置(地址、端口)
1、登錄地址錯誤
a. console線登錄可以查看接口地址,具體命令為show ip interface brief
如上目前2口為內網口,7口為外網口地址,可以通過這兩個接口登錄設備,外網用戶只能通過外網口地址登錄設備
b、想要確認外網口地址,也可以通過內網口先登錄設備后,然后再查看對應的外網口地址,路徑:網絡—接口配置—對應外網口
【補充】:SSH登錄端口默認為22,SSH的端口是無法修改的
2、SSH服務需要開啟
該功能當前只支持命令開啟,不支持web開啟
Ruijie(config)#enable service ssh-server //開啟SSH服務
Ruijie(config)#crypto key generate dsa //加密方式有兩種:DSA和RSA,可以隨意選擇
Choose the size of the key modulus in the range of 360 to 2048 for your
Signature Keys. Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]://直接敲回車
% Generating 512 bit DSA keys ...[ok]
步驟2、排查設備上安全限制,禁止登錄,ACL過濾
1、本地防攻擊設置禁止ssh登錄等操作,具體路徑為安全—本地防攻擊—禁止內網/外網登錄設備
對應命令為:
control-plane
security deny lan-telnet-ssh-----禁止內網telnet和ssh登錄設備
security deny wan-telnet-ssh-----禁止外網telnet和ssh登錄設備
2、在接口調用或ip session filter調用的ACL沒有放通對應的端口或IP
a. 接口訪問列表下的調用,需要檢查ACL有沒有放通對應的端口或IP
2、 Ip session filter 流過濾操作,全局調用,全局生效,需要檢查ACL有沒有放通對應的端口或IP
3、 Line vty下調用的ACL沒有放通對應的網段訪問設備,導致無法telnet
所調用的ACL161需要放通登錄設備的端口或IP地址
具體路徑:安全—ACL訪問列表
配置完,命令行對應下發的命令如下:
步驟3、排查映射導致登錄端口被占用
具體配置:內網服務器映射時映射到設備登錄端口比如說22,或者是配置了整機映射映射到接口上,導致設備登錄端口被占用,會導致設備無法登錄,
1、端口映射配置
對應命令如下:ip nat inside source static tcp 192.168.1.10 22 172.18.161.111 22
2. 整機映射配置
對應命令如下:ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside
解決方法:將外網映射端口22映射為1022端口,避免端口占用問題
步驟4、排查多條外網線的情況下沒有開啟源進源出
多條外網線的情況下沒有開啟源進源出,導致外網訪問到設備的數據流出現從接口7進來但是從接口6出去了。
所以在外網口需要開啟源進源出,
具體路徑:網絡—接口配置—對應接口下勾選源進源出
對應的命令如下:
步驟5、排查服務是否啟用或者是否存在web包
1、登錄服務沒有開啟,
具體命令:查看telnet或SSH是否開啟——show service
2、查看端口是否正常監聽
show tcp connect ,LISTEN代表監聽狀態屬于正常狀態
步驟6、VTY線程被占滿
可以通過show users查看vty占用的線程是否滿了,默認是5個線程。可以通過clear line vty 對應數值進行線程清除,再嘗試登錄。
五、信息收集
注意:以下命令適用于telnet、ssh無法登錄,但配置口可以登錄的情況,若配置口也無法登錄,請及時聯系400工程師處理。
sh ver
sh run
sh service
sh users
sh int usage
sh tcp connect
sh memory
sh cpu | ex 0.00
sh log rev
show int usage
sh envir
sh ip fpm sta
debug su
execute diagnose-cmd fdisk
execute diagnose-cmd mount
exit
六、總結與建議
當電腦無法管理設備,建議優先檢查SESSION FILTER調用的ACL是否進行了限制。如果沒有限制,可以通過show users和show ip fpm flow | in 測試電腦IP,來判斷數據是否到到達EG。
【補充】如未解決或需要了解更多詳情,可點擊售后閃電兔進行咨詢
發布時間:2024-06-07
點擊量:307
文檔評價
