【经典案例】网关无法远程管理

发布时间：2024-06-07

点击量：307

无法通过CLI管理设备

一、现象描述

设备有四种登录方式：SSH / TELNET / CONSOLE / WEB
出现如下故障：
1、CONSOLE口无法登录
2、TELNET无法登录
3、SSH无法登录
4、WEB无法登录

二、组网拓扑

三、可能原因

1、CRT软件设置参数问题，或者console线问题

2、control-plane禁止登录设置，ACL过滤限制，VTY线程占满

四、处理步骤

现象1：CONSOLE无法登录

步骤1、检查设备电源灯运行状态

1. 检查PWR灯状态

电源正常：绿色常亮

电源关闭或故障：不亮

备注：如果电源灯不亮，请检查电源是否正常加电，判断设备是否存在硬件问题导致无法加电

2. 检查SYS灯状态

上电初始化：绿色闪烁

初始化完成：绿色常亮

告警：红色常亮

备注：可以关注console输出日志进行判断软件是否存在异常

步骤2、Console线参数设置

如果使用CRT软件，Console线登录需要选择正确的com口，以及波特率为9600，不能勾选流控位

端口可以通过电脑端的设备管理器查看
如下图所示

步骤3、替换console线/设备测试

1、替换console线进行测试，判断下console线是否存在问题

2、如果没有多余console线，替换其他支持console登录的方式测试

如果console口仍然无法登录，窗口没有输入和输出，可能存在console存在硬件问题。可以使用其他方式进行登录测试。

现象2：TELNET无法登录

步骤1、排查登录参数设置（地址、端口）

1、登录地址错误

a. console线登录可以查看接口地址，具体命令为show ip interface brief

如上目前2口为内网口，7口为外网口地址，可以通过这两个接口登录设备，外网用户只能通过外网口地址登录设备

b、想要确认外网口地址，也可以通过内网口先登录设备后，然后再查看对应的外网口地址，
路径：网络—接口配置—对应外网口

补充：telnet的端口默认为23，telnet 端口是无法修改的

步骤2、排查设备上安全限制，禁止登录，ACL过滤

1. 本地防攻击设置禁止telnet登录操作，具体路径为安全—本地防攻击—禁止内网/外网登录设备

对应命令为：

control-plane

security deny lan-telnet-ssh-----禁止内网telnet和ssh登录设备

security deny wan-telnet-ssh-----禁止外网telnet和ssh登录设

2. 在接口调用或ip session filter调用的ACL没有放通对应的端口或IP

a. 接口访问列表下的调用，需要检查ACL有没有放通对应的端口或IP

b. Ip session filter 流过滤操作，全局调用，全局生效，需要检查ACL有没有放通对应的端口或IP

c. Line vty下调用的ACL没有放通对应的网段访问设备，导致无法telnet

所调用的ACL161需要放通登录设备的端口或IP地址
具体路径：安全—ACL访问列表

配置完，命令行对应下发的命令如下：

步骤3、排查映射导致登录端口被占用

具体配置如下：内网服务器映射时映射到设备登录端口比如说23，或者是配置了整机映射映射到接口上，导致设备登录端口被占用，会导致设备无法登录，

a. 端口映射配置

对应命令如下：

ip nat inside source static tcp 192.168.1.10 23 172.18.161.111 23

b. 整机映射配置

对应命令如下：

ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

解决方法：将外网映射端口23映射为1023等端口，避免端口占用问题。

步骤4、排查多条外网线的情况下没有开启源进源出

多条外网线的情况下没有开启源进源出，导致外网访问到设备的数据流出现从接口7进来但是从接口6出去了。所以在外网口需要开启源进源出
具体路径如下：网络—接口配置—对应接口下勾选源进源出

对应的命令如下：

步骤5、排查服务是否启用或者是否存在web包

1、登录服务没有开启
具体命令：查看telnet是否开启——show service

2、查看端口是否正常监听

（1）Show tcp connect ，LISTEN代表监听状态属于正常状态

步骤6、VTY线程被占满

可以通过show users查看vty占用的线程是否满了，默认是5个线程。可以通过clear line vty 对应数值进行线程清除，再尝试登录。

现象3：SSH无法登录

步骤1、排查登录参数设置（地址、端口）

1、登录地址错误

a. console线登录可以查看接口地址，具体命令为show ip interface brief

如上目前2口为内网口，7口为外网口地址，可以通过这两个接口登录设备，外网用户只能通过外网口地址登录设备

b、想要确认外网口地址，也可以通过内网口先登录设备后，然后再查看对应的外网口地址，路径：网络—接口配置—对应外网口

【补充】：SSH登录端口默认为22，SSH的端口是无法修改的

2、SSH服务需要开启

该功能当前只支持命令开启，不支持web开启

Ruijie(config)#enable service ssh-server //开启SSH服务

Ruijie(config)#crypto key generate dsa //加密方式有两种：DSA和RSA,可以随意选择

Choose the size of the key modulus in the range of 360 to 2048 for your

Signature Keys. Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]://直接敲回车

% Generating 512 bit DSA keys ...[ok]

步骤2、排查设备上安全限制，禁止登录，ACL过滤

1、本地防攻击设置禁止ssh登录等操作，具体路径为安全—本地防攻击—禁止内网/外网登录设备

对应命令为：

control-plane

security deny lan-telnet-ssh-----禁止内网telnet和ssh登录设备

security deny wan-telnet-ssh-----禁止外网telnet和ssh登录设备

2、在接口调用或ip session filter调用的ACL没有放通对应的端口或IP

a. 接口访问列表下的调用，需要检查ACL有没有放通对应的端口或IP

2、 Ip session filter 流过滤操作，全局调用，全局生效，需要检查ACL有没有放通对应的端口或IP

3、 Line vty下调用的ACL没有放通对应的网段访问设备，导致无法telnet

所调用的ACL161需要放通登录设备的端口或IP地址
具体路径：安全—ACL访问列表

配置完，命令行对应下发的命令如下：

步骤3、排查映射导致登录端口被占用

具体配置：内网服务器映射时映射到设备登录端口比如说22，或者是配置了整机映射映射到接口上，导致设备登录端口被占用，会导致设备无法登录，

1、端口映射配置

对应命令如下：ip nat inside source static tcp 192.168.1.10 22 172.18.161.111 22

2. 整机映射配置

对应命令如下：ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

解决方法：将外网映射端口22映射为1022端口，避免端口占用问题

步骤4、排查多条外网线的情况下没有开启源进源出

多条外网线的情况下没有开启源进源出，导致外网访问到设备的数据流出现从接口7进来但是从接口6出去了。

所以在外网口需要开启源进源出，
具体路径：网络—接口配置—对应接口下勾选源进源出

对应的命令如下：

步骤5、排查服务是否启用或者是否存在web包

1、登录服务没有开启，
具体命令：查看telnet或SSH是否开启——show service

2、查看端口是否正常监听

show tcp connect ，LISTEN代表监听状态属于正常状态

步骤6、VTY线程被占满

可以通过show users查看vty占用的线程是否满了，默认是5个线程。可以通过clear line vty 对应数值进行线程清除，再尝试登录。

五、信息收集

注意：以下命令适用于telnet、ssh无法登录，但配置口可以登录的情况，若配置口也无法登录，请及时联系400工程师处理。

sh ver

sh run

sh service

sh users

sh int usage

sh tcp connect

sh memory

sh cpu | ex 0.00

sh log rev

show int usage

sh envir

sh ip fpm sta

debug su

execute diagnose-cmd fdisk

execute diagnose-cmd mount

exit

六、总结与建议

当电脑无法管理设备，建议优先检查SESSION FILTER调用的ACL是否进行了限制。如果没有限制，可以通过show users和show ip fpm flow | in 测试电脑IP，来判断数据是否到到达EG。
【补充】如未解决或需要了解更多详情，可点击售后闪电兔进行咨询

您可能还关注的问题

公海彩船·6600(中国游)官方网站

【经典案例】网关无法远程管理

无法通过CLI管理设备

一、现象描述

二、组网拓扑

三、可能原因