华为CE交换机telnet登录失败故障的排查方法

检查网络状态

操作步骤

1、执行命令pingxxx.xxx.xxx.xxx(目的IP网段)

根据报文是否丢包确认是否可以访问该设备，网络不通请检查组网及网络地址、静态路由等相关配置。

检查VTY通道是否已占满？

操作步骤

1、在任意视图下，执行命令display users，检查当前用户登录数量。

display users
NOTE:
User-Intf: The absolute number and the relative number of user interface
Authen: Whether the authentication passes
Author: Command line authorization flag
--------------------------------------------------------------------------------
User-Intf Delay Type Network Address Authen Author Username
--------------------------------------------------------------------------------
34 VTY 0 00:11:51 TEL 10.10.31.28 pass yes Unspecified
35 VTY 1 00:10:17 TEL 10.10.34.161 pass yes Unspecified
* 36 VTY 2 00:00:00 TEL 10.10.193.10 pass yes Unspecified

2、在任意视图下，执行命令display current-configuration configuration user-interface include-default，检查登录用户的最大数目。缺省情况下，Telnet、SSH（STelnet）用户最大数目共为5个。

display current-configuration configuration user-interface include-default
#
~undo user-interface vty security-policy disable
~user-interface maximum-vty 5
#

3、如果当前用户登录数量等于系统设置的登录用户最大数量，可以通过以下两种方式修改：

• 调整登录用户的最大数目。操作方法：系统视图下，执行命令user-interface maximum-vtynumber，number取值范围是0～21。
• 在保证业务不中断的前提下，断开部分用户的连接。操作方法：用户视图下，执行命令kill user-interface{ ui-number | ui-type ui-number1 }

推荐使用第一种方式。

检查SSH服务器状态

操作步骤

1、在任意视图下，执行命令display ssh server status，检查SSH服务器状态。

display ssh server status
SSH Version : 2.0
SSH authentication timeout (Seconds) : 60
SSH authentication retries (Times) : 3
SSH server key generating interval (Hours) : 0
SSH version 1.x compatibility : Disable
SSH server keepalive : Enable
SFTP server : Disable
STelnet server : Disable
SNETCONF server : Enable
SNETCONF server port(830) : Disable
SCP server : Disable
SSH server DES : Enable
SSH server port : 22
SSH server source address : 0.0.0.0
ACL name : --
ACL number : --
ACL6 name : --
ACL6 number : --

• 根据STelnet server项查看是否使能了SSH服务器功能，缺省情况下，SSH服务器功能未使能。如果显示“Disable”，表示未使能SSH服务器功能，则客户端无法登录服务器，需要在系统视图下，执行命令stelnet server enable命令使能SSH服务器功能。
• 根据SSH version 1.x compatibility项查看是否配置服务器兼容低版本功能，缺省情况下，未使能兼容低版本功能。

SSH有两种不兼容的版本：1.x和2.0，缺省情况下，服务器SSH版本是2.0。当服务器的SSH版本高于客户端的SSH版本时，需要在系统视图下，执行命令ssh server compatible-ssh1x enable，使能SSH服务器兼容低版本功能，来解决由版本不匹配带来的登录失败故障。

SSH2.0协议相比SSH1.x协议来说，在结构上做了扩展，可以支持更多的认证方法和密钥交换方法，安全性更高（可以规避SSH1.X存在的安全风险），推荐用户使用SSH2.0。

• 根据ACL nameACL number、或者ACL6 nameACL6 number项查看是否配置ACL访问控制列表，如果显示“--”，表示没有配置访问列表控制项；如果显示具体名，则说明配置了ACL规则，控制了SSH客户端的访问权限，请参考“检查是否有ACL绑定”。

检查是否有ACL绑定

操作步骤

1、查看用户界面视图下是否绑定ACL规则。

system-view
[~HUAWEI] user-interface vty 0
[~HUAWEI-ui-vty0] display this
#
user-interface con 0
authentication-mode password
set authentication password cipher $1a$7`mtJ5Q7#D$^Je8#
user-interface vty 0 14
acl 2000 inbound
authentication-mode password
user privilege level 3
set authentication password cipher $1a$r;iO"UhF_/$"6COidle-timeout 120 0
#
return

由上述回显可以看出，当前配置绑定了ACL 2000。

2、如果绑定了ACL规则，则需要查看ACL规则的内容，判断是否配置了允许或者阻止登录的用户访问控制列表。

查看ACL 2000配置。
system-view
[~HUAWEI] acl 2000
[~HUAWEI-acl4-basic-2000] display this
#
acl number 2000
rule 1 permit source 10.135.182.70 0
rule 2 deny
#

确认客户端IP是否在permit的IP范围之内，如果不在，则需要在当前ACL视图下，执行命令rule[ rule-id ]permit sourcesource-ip-address，配置允许该IP登录。

检查VTY界面是否配置了SSH协议？

操作步骤

1、在任意视图下，执行命令display current-configuration | section include protocol inbound，检查VTY用户界面支持的协议类型。缺省情况下，V100R003C00版本系统支持Telnet协议类型；V100R003C10及以后版本系统支持所有协议类型。

display current-configuration | section include protocol inbound
#
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
idle-timeout 120 0
protocol inbound telnet
#

2、如果protocol inbound配置的为all或者ssh，说明允许SSH通过，如果配置不是上述配置，则需要在user-interface视图下增加protocol inbound{all|ssh}，配置方法如下所示。

system-view
[~HUAWEI] user-interface vty 0 4
[~HUAWEI-ui-vty0-4] protocol inbound all
[*HUAWEI-ui-vty0-4] commit

检查服务器端是否存在该用户？

操作步骤

1、任意视图下，执行命令display ssh user-information，查看本地用户配置信息。

display ssh user-information
--------------------------------------------------------------------------------
User Name : client
Authentication type : password
User public key name :
User public key type : --
Sftp directory :
Service type : stelnet | sftp | snetconf
--------------------------------------------------------------------------------
Total 1, 1 printed

User Name表示SSH用户名，根据这项内容判断是否存在当前登录的用户。如果没有当前登录的用户，可以参考如下步骤配置该用户：

• 执行命令system-view，进入系统视图。
• 执行命令ssh useruser-name，创建用户名。
• 执行命令ssh authentication-type default password，配置SSH用户缺省采用密码认证。

用户也可以通过执行命令ssh useruser-nameauthentication-typepassword配置SSH用户 认证方式为密码认证。

• 执行命令ssh useruser-nameservice-typestelnetall}，配置SSH用户的服务方式。缺省情况下，服务方式为空。
• 执行命令commit，提交配置。

检查AAA配置

操作步骤

1、执行命令display current-configuration configuration aaa，确认待登录用户为本地用户，还是远端认证用户。

display current-configuration configuration aaa
#
aaa
local-user root password irreversible-cipher $1a$YY[HGyQE`$$G&xK-PO)U/MrQCPO9E&2s3yc&Rp=XWlH/j>5}!<($
local-user root service-type ftp telnet ssh
local-user root level 15
#

local-user表示root为本地用户，本地用户需要支持ssh服务。如果显示不是local-user，则表示为远端认证用户，远端认证用户需要检查远端认证服务器设置，主要检查用户分组、账号密码、权限级别等。

收集信息并寻求技术支持

操作步骤

1、收集上述步骤的操作结果，并记录到文件中。

2、一键式收集设备的所有诊断信息并导出文件。

a.在用户视图下，执行display diagnostic-informationfile-name命令，采集设备诊断信息并保存为文件。

display diagnostic-information dia-info.txt
Now saving the diagnostic information to the device
100%
Info: The diagnostic information was saved to the device successfully.

生成的文本文件的缺省保存路径为flash:/，您可以在用户视图下使用dir命令可以确认文件是否正确生成。

b.当诊断信息文件生成之后，您可以通过FTP、SFTP、SCP等方式将其从设备上导出，详细操作可参考“管理本地文件”。

您也可以直接执行display diagnostic-information命令，并通过终端日志存盘方式获取设备诊断信息文件，详细操作可参见“设备诊断信息文件获取指导”。

3、收集设备的日志和告警信息并导出文件。

a.执行以下命令，将缓冲区的日志和告警信息保存为文件。

save logfile //收集普通用户日志
system-view
[~HUAWEI] diagnose
[~HUAWEI-diagnose] save logfile diagnose-log //收集诊断日志
[~HUAWEI-diagnose] collect diagnostic information //收集操作系统诊断信息

b.当日志信息文件生成之后，您可以通过FTP、SFTP、SCP等方式将其从设备上导出，详细操作可参考“管理本地文件”。

您也可以直接执行display logbuffer和display trapbuffer命令查看设备的日志和告警信息，并通过终端日志存盘方式获取日志和告警信息文件，操作方法与设备诊断信息文件的获取方式相同，可参见“设备诊断信息文件获取指导”。

1. 寻求技术支持

请您参考如下网页链接信息http://e.huawei.com/cn/how-to-buy/contact-us，寻求技术支持。

在技术支持过程中，请按技术支持人员的指导，将收集的所有信息和文件完整提交，方便技术支持人员进行问题定位。