【经典案例】网关无法远程治理

颁布功夫：2024-06-07

点击量：307

无法通过CLI治理设备

一、景象描述

设备有四种登录方式：SSH / TELNET / CONSOLE / WEB
出现如下故障：
1、CONSOLE口无法登录
2、TELNET无法登录
3、SSH无法登录
4、WEB无法登录

二、组网拓扑

三、可能原因

1、CRT软件设置参数问题，，，，，，或者console线问题

2、control-plane不容登录设置，，，，，，ACL过滤限度，，，，，，VTY线程占满

四、处置步骤

景象1：CONSOLE无法登录

步骤1、查抄设备电源灯运行状态

1. 查抄PWR灯状态

电源正常：绿色常亮

电源关关或故障：不亮

备注：若是电源灯不亮，，，，，，请查抄电源是否正常加电，，，，，，判断设备是否存在硬件问题导致无法加电

2. 查抄SYS灯状态

上电初始化：绿色闪动

初始化实现：绿色常亮

告警：红色常亮

备注：能够关注console输出日志进行判断软件是否存在异常

步骤2、Console线参数设置

若是使用CRT软件，，，，，，Console线登录必要选择正确的com口，，，，，，以及波特率为9600，，，，，，不能勾选流控位

端口能够通过电脑端的设备治理器查看
如下图所示

步骤3、代替console线/设备测试

1、代替console线进行测试，，，，，，判断下console线是否存在问题

2、若是没有有余console线，，，，，，代替其他支持console登录的方式测试

若是console口依然无法登录，，，，，，窗口没有输入和输出，，，，，，可能存在console存在硬件问题。。。。？？？？？？？Ｄ芄皇褂闷渌绞浇械锹疾馐。。。。。

景象2：TELNET无法登录

步骤1、排查登录参数设置（地址、端口）

1、登录地址谬误

  a. console线登录能够查看接口地址，，，，，，具体号令为show ip interface brief

如上目前2口为内网口，，，，，，7口为表网口地址，，，，，，能够通过这两个接口登录设备，，，，，，表网用户只能通过表网口地址登录设备

  b、想要确认表网口地址，，，，，，也能够通过内网口先登录设备后，，，，，，而后再查看对应的表网口地址，，，，，，
 蹊径：网络—接口配置—对应表网口

补充：telnet的端口默以为23，，，，，，telnet 端口是无法批改的

步骤2、排查设备上安全限度，，，，，，不容登录，，，，，，ACL过滤

1. 本地防攻击设置不容telnet登录操作，，，，，，具体蹊径为安全—本地防攻击—不容内网/表网登录设备

对报号令为：  

control-plane

security deny lan-telnet-ssh-----不容内网telnet和ssh登录设备

security deny wan-telnet-ssh-----不容表网telnet和ssh登录设

2. 在接口挪用或ip session filter挪用的ACL没有放通对应的端口或IP

  a. 接口接见列表下的挪用，，，，，，必要查抄ACL有没有放通对应的端口或IP

  b. Ip session filter 流过滤操作，，，，，，全局挪用，，，，，，全局生效，，，，，，必要查抄ACL有没有放通对应的端口或IP

  c. Line vty下挪用的ACL没有放通对应的网段接见设备，，，，，，导致无法telnet

  所挪用的ACL161必要放通登录设备的端口或IP地址
  具体蹊径：安全—ACL接见列表

  配置完，，，，，，号令行对应下发的号令如下：

步骤3、排查映射导致登录端口被占用

具体配置如下：内网服务器映射时映射到设备登录端口好比说23，，，，，，或者是配置了整机映射映射到接口上，，，，，，导致设备登录端口被占用，，，，，，会导致设备无法登录，，，，，，

a. 端口映射配置

对报号令如下：

ip nat inside source static tcp 192.168.1.10 23 172.18.161.111 23

b. 整机映射配置

对报号令如下：

ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

解决步骤：将表网映射端口23映射为1023等端口，，，，，，预防端口占用问题。。。。。

步骤4、排查多条表网线的情况下没有开启源进源出

多条表网线的情况下没有开启源进源出，，，，，，导致表网接见到设备的数据流出现从接口7进来但是从接口6出去了。。。。。所以在表网口必要开启源进源出
具体蹊径如下：网络—接口配置—对应接口下勾选源进源出

对应的号令如下：

步骤5、排查服务是否启用或者是否存在web包 

1、登录服务没有开启
具体号令：查看telnet是否开启——show service

2、查看端口是否正常监听

（1）Show tcp connect ，，，，，，LISTEN代表监听状态属于正常状态

步骤6、VTY线程被占满

能够通过show users查看vty占用的线程是否满了，，，，，，默认是5个线程。。。。？？？？？？？Ｄ芄煌üclear line vty 对应数值进行线程断根，，，，，，再尝试登录。。。。。

景象3：SSH无法登录

步骤1、排查登录参数设置（地址、端口）

1、登录地址谬误

  a. console线登录能够查看接口地址，，，，，，具体号令为show ip interface brief

如上目前2口为内网口，，，，，，7口为表网口地址，，，，，，能够通过这两个接口登录设备，，，，，，表网用户只能通过表网口地址登录设备

  b、想要确认表网口地址，，，，，，也能够通过内网口先登录设备后，，，，，，而后再查看对应的表网口地址，，，，，，蹊径：网络—接口配置—对应表网口

【补充】：SSH登录端口默以为22，，，，，，SSH的端口是无法批改的

2、SSH服务必要开启

该职能当前只支持号令开启，，，，，，不支持web开启

 Ruijie(config)#enable service ssh-server     //开启SSH服务

 Ruijie(config)#crypto key generate dsa        //加密方式有两种：DSA和RSA,能够轻易选择

            Choose the size of the key modulus in the range of 360 to 2048 for your

            Signature Keys. Choosing a key modulus greater than 512 may take  a few minutes.

            How many bits in the modulus [512]://直接敲回车

             % Generating 512 bit DSA keys ...[ok]

步骤2、排查设备上安全限度，，，，，，不容登录，，，，，，ACL过滤

1、本地防攻击设置不容ssh登录等操作，，，，，，具体蹊径为安全—本地防攻击—不容内网/表网登录设备

对报号令为：  

control-plane

security deny lan-telnet-ssh-----不容内网telnet和ssh登录设备

security deny wan-telnet-ssh-----不容表网telnet和ssh登录设备

2、在接口挪用或ip session filter挪用的ACL没有放通对应的端口或IP

  a. 接口接见列表下的挪用，，，，，，必要查抄ACL有没有放通对应的端口或IP

  2、 Ip session filter 流过滤操作，，，，，，全局挪用，，，，，，全局生效，，，，，，必要查抄ACL有没有放通对应的端口或IP

  3、 Line vty下挪用的ACL没有放通对应的网段接见设备，，，，，，导致无法telnet

 所挪用的ACL161必要放通登录设备的端口或IP地址
 具体蹊径：安全—ACL接见列表

  配置完，，，，，，号令行对应下发的号令如下：

步骤3、排查映射导致登录端口被占用

具体配置：内网服务器映射时映射到设备登录端口好比说22，，，，，，或者是配置了整机映射映射到接口上，，，，，，导致设备登录端口被占用，，，，，，会导致设备无法登录，，，，，，

1、端口映射配置

对报号令如下：ip nat inside source static tcp 192.168.1.10 22 172.18.161.111 22

2. 整机映射配置

对报号令如下：ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

解决步骤：将表网映射端口22映射为1022端口，，，，，，预防端口占用问题

步骤4、排查多条表网线的情况下没有开启源进源出

多条表网线的情况下没有开启源进源出，，，，，，导致表网接见到设备的数据流出现从接口7进来但是从接口6出去了。。。。。

所以在表网口必要开启源进源出，，，，，，
具体蹊径：网络—接口配置—对应接口下勾选源进源出

对应的号令如下：

步骤5、排查服务是否启用或者是否存在web包 

1、登录服务没有开启，，，，，，
具体号令：查看telnet或SSH是否开启——show service

2、查看端口是否正常监听

show tcp connect ，，，，，，LISTEN代表监听状态属于正常状态

步骤6、VTY线程被占满

能够通过show users查看vty占用的线程是否满了，，，，，，默认是5个线程。。。。？？？？？？？Ｄ芄煌ü齝lear line vty 对应数值进行线程断根，，，，，，再尝试登录。。。。。

五、信息网络

把稳：以下号令合用于telnet、ssh无法登录，，，，，，但配置口能够登录的情况，，，，，，若配置口也无法登录，，，，，，请实时联系400工程师处置。。。。。

sh ver

sh run

sh service

sh users

sh int usage

sh tcp connect

sh memory

sh cpu | ex 0.00

sh log rev

show int usage

sh envir

sh ip fpm sta

debug su

execute diagnose-cmd fdisk

execute diagnose-cmd mount

exit

六、总结与建议

当电脑无法治理设备，，，，，，建议优先查抄SESSION FILTER挪用的ACL是否进行了限度。。。。。若是没有限度，，，，，，能够通过show users和show ip fpm flow | in 测试电脑IP，，，，，，来判断数据是否到达到EG。。。。。
【补充】如未解决或必要相识更多详情，，，，，，可点击售后闪电兔进行征询

• ?【经典案例】域用户自动登录失败提醒用户名或密码谬误

• ?【经典案例】域用户自动登录失败提醒用户名或密码谬误

• ?【经典案例】VDI终端或软客户端登陆虚构机后闪退

• ?【经典案例】VDI终端或软客户端登陆虚构机后闪退

• ?【经典案例】8082平台提醒谬误

• ?【经典案例】8082平台提醒谬误

• ?域用户自动登录失败提醒：无法使用此痛处登录

• ?域用户自动登录失败提醒：无法使用此痛处登录

• ?【经典案例】云桌面闪屏问题排查

• ?【经典案例】云桌面闪屏问题排查