金彩汇

金彩汇 - 首页

中文

金彩汇 - 首页

金彩汇 - 首页

登录

金彩汇 - 首页

产品

< 返回主菜单

产品

解决规划

< 返回主菜单

解决规划中心

行业

服务支持

合作同伴

关于金彩汇

投资者关系

返回主菜单

选择区域/说话

金彩汇 - 首页

首页 >服务与支持 >常见问题 >【经典案例】网关无法远程治理

【经典案例】网关无法远程治理

颁布功夫：2024-06-07

点击量：307

无法通过CLI治理设备

一、景象描述

设备有四种登录方式：SSH / TELNET / CONSOLE / WEB
出现如下故障：
1、CONSOLE口无法登录
2、TELNET无法登录
3、SSH无法登录
4、WEB无法登录

二、组网拓扑

三、可能原因

1、CRT软件设置参数问题，或者console线问题

2、control-plane不容登录设置，ACL过滤限度，VTY线程占满

四、处置步骤

景象1：CONSOLE无法登录

步骤1、查抄设备电源灯运行状态

1. 查抄PWR灯状态

电源正常：绿色常亮

电源关关或故障：不亮

备注：若是电源灯不亮，请查抄电源是否正常加电，判断设备是否存在硬件问题导致无法加电

2. 查抄SYS灯状态

上电初始化：绿色闪动

初始化实现：绿色常亮

告警：红色常亮

备注：能够关注console输出日志进行判断软件是否存在异常

步骤2、Console线参数设置

若是使用CRT软件，Console线登录必要选择正确的com口，以及波特率为9600，不能勾选流控位

金彩汇 - 首页

端口能够通过电脑端的设备治理器查看
如下图所示

金彩汇 - 首页

步骤3、代替console线/设备测试

1、代替console线进行测试，判断下console线是否存在问题

2、若是没有有余console线，代替其他支持console登录的方式测试

若是console口依然无法登录，窗口没有输入和输出，可能存在console存在硬件问题�Ｄ芄皇褂闷渌绞浇械锹疾馐�。

景象2：TELNET无法登录

步骤1、排查登录参数设置（地址、端口）

1、登录地址谬误

a. console线登录能够查看接口地址，具体号令为show ip interface brief

金彩汇 - 首页

如上目前2口为内网口，7口为表网口地址，能够通过这两个接口登录设备，表网用户只能通过表网口地址登录设备

b、想要确认表网口地址，也能够通过内网口先登录设备后，而后再查看对应的表网口地址，
蹊径：网络—接口配置—对应表网口

金彩汇 - 首页

补充：telnet的端口默以为23，telnet 端口是无法批改的

步骤2、排查设备上安全限度，不容登录，ACL过滤

1. 本地防攻击设置不容telnet登录操作，具体蹊径为安全—本地防攻击—不容内网/表网登录设备

金彩汇 - 首页

对报号令为：

control-plane

security deny lan-telnet-ssh-----不容内网telnet和ssh登录设备

security deny wan-telnet-ssh-----不容表网telnet和ssh登录设

2. 在接口挪用或ip session filter挪用的ACL没有放通对应的端口或IP

a. 接口接见列表下的挪用，必要查抄ACL有没有放通对应的端口或IP

金彩汇 - 首页

金彩汇 - 首页

b. Ip session filter 流过滤操作，全局挪用，全局生效，必要查抄ACL有没有放通对应的端口或IP

金彩汇 - 首页

c. Line vty下挪用的ACL没有放通对应的网段接见设备，导致无法telnet

金彩汇 - 首页

所挪用的ACL161必要放通登录设备的端口或IP地址
具体蹊径：安全—ACL接见列表

金彩汇 - 首页

配置完，号令行对应下发的号令如下：

金彩汇 - 首页

金彩汇 - 首页

步骤3、排查映射导致登录端口被占用

具体配置如下：内网服务器映射时映射到设备登录端口好比说23，或者是配置了整机映射映射到接口上，导致设备登录端口被占用，会导致设备无法登录，

a. 端口映射配置

金彩汇 - 首页

对报号令如下：

ip nat inside source static tcp 192.168.1.10 23 172.18.161.111 23

b. 整机映射配置

金彩汇 - 首页

对报号令如下：

ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

解决步骤：将表网映射端口23映射为1023等端口，预防端口占用问题。

步骤4、排查多条表网线的情况下没有开启源进源出

多条表网线的情况下没有开启源进源出，导致表网接见到设备的数据流出现从接口7进来但是从接口6出去了。所以在表网口必要开启源进源出
具体蹊径如下：网络—接口配置—对应接口下勾选源进源出

金彩汇 - 首页

金彩汇 - 首页

对应的号令如下：

金彩汇 - 首页

步骤5、排查服务是否启用或者是否存在web包

1、登录服务没有开启
具体号令：查看telnet是否开启——show service

金彩汇 - 首页

2、查看端口是否正常监听

（1）Show tcp connect ，LISTEN代表监听状态属于正常状态
金彩汇 - 首页

金彩汇 - 首页

步骤6、VTY线程被占满

能够通过show users查看vty占用的线程是否满了，默认是5个线程�Ｄ芄煌ü�clear line vty 对应数值进行线程断根，再尝试登录。

金彩汇 - 首页

景象3：SSH无法登录

步骤1、排查登录参数设置（地址、端口）

1、登录地址谬误

a. console线登录能够查看接口地址，具体号令为show ip interface brief

金彩汇 - 首页

如上目前2口为内网口，7口为表网口地址，能够通过这两个接口登录设备，表网用户只能通过表网口地址登录设备

b、想要确认表网口地址，也能够通过内网口先登录设备后，而后再查看对应的表网口地址，蹊径：网络—接口配置—对应表网口

金彩汇 - 首页

【补充】：SSH登录端口默以为22，SSH的端口是无法批改的

2、SSH服务必要开启

该职能当前只支持号令开启，不支持web开启

Ruijie(config)#enable service ssh-server //开启SSH服务

Ruijie(config)#crypto key generate dsa //加密方式有两种：DSA和RSA,能够轻易选择

Choose the size of the key modulus in the range of 360 to 2048 for your

Signature Keys. Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]://直接敲回车

% Generating 512 bit DSA keys ...[ok]

步骤2、排查设备上安全限度，不容登录，ACL过滤

1、本地防攻击设置不容ssh登录等操作，具体蹊径为安全—本地防攻击—不容内网/表网登录设备

金彩汇 - 首页

对报号令为：

control-plane

security deny lan-telnet-ssh-----不容内网telnet和ssh登录设备

security deny wan-telnet-ssh-----不容表网telnet和ssh登录设备

2、在接口挪用或ip session filter挪用的ACL没有放通对应的端口或IP

a. 接口接见列表下的挪用，必要查抄ACL有没有放通对应的端口或IP

金彩汇 - 首页

金彩汇 - 首页

2、 Ip session filter 流过滤操作，全局挪用，全局生效，必要查抄ACL有没有放通对应的端口或IP

金彩汇 - 首页

3、 Line vty下挪用的ACL没有放通对应的网段接见设备，导致无法telnet
金彩汇 - 首页

金彩汇 - 首页

所挪用的ACL161必要放通登录设备的端口或IP地址
具体蹊径：安全—ACL接见列表

金彩汇 - 首页

配置完，号令行对应下发的号令如下：

金彩汇 - 首页

金彩汇 - 首页

步骤3、排查映射导致登录端口被占用

具体配置：内网服务器映射时映射到设备登录端口好比说22，或者是配置了整机映射映射到接口上，导致设备登录端口被占用，会导致设备无法登录，

1、端口映射配置

金彩汇 - 首页

对报号令如下：ip nat inside source static tcp 192.168.1.10 22 172.18.161.111 22

2. 整机映射配置

金彩汇 - 首页

对报号令如下：ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

解决步骤：将表网映射端口22映射为1022端口，预防端口占用问题

步骤4、排查多条表网线的情况下没有开启源进源出

多条表网线的情况下没有开启源进源出，导致表网接见到设备的数据流出现从接口7进来但是从接口6出去了。

所以在表网口必要开启源进源出，
具体蹊径：网络—接口配置—对应接口下勾选源进源出

金彩汇 - 首页

金彩汇 - 首页

对应的号令如下：

金彩汇 - 首页

步骤5、排查服务是否启用或者是否存在web包

1、登录服务没有开启，
具体号令：查看telnet或SSH是否开启——show service

金彩汇 - 首页

2、查看端口是否正常监听

show tcp connect ，LISTEN代表监听状态属于正常状态

金彩汇 - 首页

步骤6、VTY线程被占满

能够通过show users查看vty占用的线程是否满了，默认是5个线程�Ｄ芄煌ü齝lear line vty 对应数值进行线程断根，再尝试登录。

金彩汇 - 首页

五、信息网络

把稳：以下号令合用于telnet、ssh无法登录，但配置口能够登录的情况，若配置口也无法登录，请实时联系400工程师处置。

sh ver

sh run

sh service

sh users

sh int usage

sh tcp connect

sh memory

sh cpu | ex 0.00

sh log rev

show int usage

sh envir

sh ip fpm sta

debug su

execute diagnose-cmd fdisk

execute diagnose-cmd mount

exit

六、总结与建议

当电脑无法治理设备，建议优先查抄SESSION FILTER挪用的ACL是否进行了限度。若是没有限度，能够通过show users和show ip fpm flow | in 测试电脑IP，来判断数据是否到达到EG。
【补充】如未解决或必要相识更多详情，可点击售后闪电兔进行征询

您可能还关注的问题

售前征询
售后服务
定见反馈

金彩汇 - 首页

返回顶部

收起

文档AI副手

文档评价

该资料是否解决了您的问题？

您对当前页面的中意度若何？

不咋滴

极度好

您中意的原因是（多�。�？

您对文档是否还有其它的问题或建议？

为尽快解决问题，请您留下联系方式以便回复

邮箱

手机号

ev-bg

感激您的反�。�

金彩汇 - 首页

金彩汇 - 首页

金彩汇 - 首页

请选择服务项目

售前征询

售后服务

定见反馈

更多联系方式

【网站地图】