【经典案例】网关无法远程治理

宣布时间：2024-06-07

点击量：307

无法通过CLI治理装备

一、征象形貌

装备有四种登录方法：SSH / TELNET / CONSOLE / WEB
泛起如下故障：
1、CONSOLE口无法登录
2、TELNET无法登录
3、SSH无法登录
4、WEB无法登录

二、组网拓扑

三、可能缘故原由

1、CRT软件设置参数问题，或者console线问题

2、control-plane榨取登录设置，ACL过滤限制，VTY线程占满

四、处置惩罚办法

征象1：CONSOLE无法登录

办法1、检查装备电源灯运行状态

1. 检查PWR灯状态

电源正常：绿色常亮

电源关闭或故障：不亮

备注：若是电源灯不亮，请检查电源是否正常加电，判断装备是否保存硬件问题导致无法加电

2. 检查SYS灯状态

上电初始化：绿色闪灼

初始化完成：绿色常亮

告警：红色常亮

备注：可以关注console输出日志举行判断软件是否保存异常

办法2、Console线参数设置

若是使用CRT软件，Console线登录需要选择准确的com口，以及波特率为9600，不可勾选流控位

端口可以通过电脑端的装备治理器审查
如下图所示

办法3、替换console线/装备测试

1、替换console线举行测试，判断下console线是否保存问题

2、若是没有多余console线，替换其他支持console登录的方法测试

若是console口仍然无法登录，窗口没有输入和输出，可能保存console保存硬件问题？梢允褂闷渌椒ň傩械锹疾馐。

征象2：TELNET无法登录

办法1、排查登录参数设置（地点、端口）

1、登录地点过失

  a. console线登录可以审查接口地点，详细下令为show ip interface brief

如上现在2口为内网口，7口为外网口地点，可以通过这两个接口登录装备，外网用户只能通过外网口地点登录装备

  b、想要确认外网口地点，也可以通过内网口先登录装备后，然后再审查对应的外网口地点，
 路径：网络—接口设置—对应外网口

增补：telnet的端口默以为23，telnet 端口是无法修改的

办法2、排查装备上清静限制，榨取登录，ACL过滤

1. 外地防攻击设置榨取telnet登录操作，详细路径为清静—外地防攻击—榨取内网/外网登录装备

对应下令为：  

control-plane

security deny lan-telnet-ssh-----榨取内网telnet和ssh登录装备

security deny wan-telnet-ssh-----榨取外网telnet和ssh登录设

2. 在接口挪用或ip session filter挪用的ACL没有放通对应的端口或IP

  a. 接口会见列表下的挪用，需要检查ACL有没有放通对应的端口或IP

  b. Ip session filter 流过滤操作，全局挪用，全局生效，需要检查ACL有没有放通对应的端口或IP

  c. Line vty下挪用的ACL没有放通对应的网段会见装备，导致无法telnet

  所挪用的ACL161需要放通登录装备的端口或IP地点
  详细路径：清静—ACL会见列表

  设置完，下令行对应下发的下令如下：

办法3、排查映射导致登录端口被占用

详细设置如下：内网效劳器映射时映射到装备登录端口好比说23，或者是设置了整机映射映射到接口上，导致装备登录端口被占用，会导致装备无法登录，

a. 端口映射设置

对应下令如下：

ip nat inside source static tcp 192.168.1.10 23 172.18.161.111 23

b. 整机映射设置

对应下令如下：

ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

解决要领：将外网映射端口23映射为1023等端口，阻止端口占用问题。

办法4、排查多条外网线的情形下没有开启源进源出

多条外网线的情形下没有开启源进源出，导致外网会见到装备的数据流泛起从接口7进来可是从接口6出去了。以是在外网口需要开启源进源出
详细路径如下：网络—接口设置—对应接口下勾选源进源出

对应的下令如下：

办法5、排查效劳是否启用或者是否保存web包 

1、登录效劳没有开启
详细下令：审查telnet是否开启——show service

2、审查端口是否正常监听

（1）Show tcp connect ，LISTEN代表监听状态属于正常状态

办法6、VTY线程被占满

可以通过show users审查vty占用的线程是否满了，默认是5个线程？梢酝üclear line vty 对应数值举行线程扫除，再实验登录。

征象3：SSH无法登录

办法1、排查登录参数设置（地点、端口）

1、登录地点过失

  a. console线登录可以审查接口地点，详细下令为show ip interface brief

如上现在2口为内网口，7口为外网口地点，可以通过这两个接口登录装备，外网用户只能通过外网口地点登录装备

  b、想要确认外网口地点，也可以通过内网口先登录装备后，然后再审查对应的外网口地点，路径：网络—接口设置—对应外网口

【增补】：SSH登录端口默以为22，SSH的端口是无法修改的

2、SSH效劳需要开启

该功效目今只支持下令开启，不支持web开启

 Ruijie(config)#enable service ssh-server     //开启SSH效劳

 Ruijie(config)#crypto key generate dsa        //加密方法有两种：DSA和RSA,可以随意选择

            Choose the size of the key modulus in the range of 360 to 2048 for your

            Signature Keys. Choosing a key modulus greater than 512 may take  a few minutes.

            How many bits in the modulus [512]://直接敲回车

             % Generating 512 bit DSA keys ...[ok]

办法2、排查装备上清静限制，榨取登录，ACL过滤

1、外地防攻击设置榨取ssh登录等操作，详细路径为清静—外地防攻击—榨取内网/外网登录装备

对应下令为：  

control-plane

security deny lan-telnet-ssh-----榨取内网telnet和ssh登录装备

security deny wan-telnet-ssh-----榨取外网telnet和ssh登录装备

2、在接口挪用或ip session filter挪用的ACL没有放通对应的端口或IP

  a. 接口会见列表下的挪用，需要检查ACL有没有放通对应的端口或IP

  2、 Ip session filter 流过滤操作，全局挪用，全局生效，需要检查ACL有没有放通对应的端口或IP

  3、 Line vty下挪用的ACL没有放通对应的网段会见装备，导致无法telnet

 所挪用的ACL161需要放通登录装备的端口或IP地点
 详细路径：清静—ACL会见列表

  设置完，下令行对应下发的下令如下：

办法3、排查映射导致登录端口被占用

详细设置：内网效劳器映射时映射到装备登录端口好比说22，或者是设置了整机映射映射到接口上，导致装备登录端口被占用，会导致装备无法登录，

1、端口映射设置

对应下令如下：ip nat inside source static tcp 192.168.1.10 22 172.18.161.111 22

2. 整机映射设置

对应下令如下：ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

解决要领：将外网映射端口22映射为1022端口，阻止端口占用问题

办法4、排查多条外网线的情形下没有开启源进源出

多条外网线的情形下没有开启源进源出，导致外网会见到装备的数据流泛起从接口7进来可是从接口6出去了。

以是在外网口需要开启源进源出，
详细路径：网络—接口设置—对应接口下勾选源进源出

对应的下令如下：

办法5、排查效劳是否启用或者是否保存web包 

1、登录效劳没有开启，
详细下令：审查telnet或SSH是否开启——show service

2、审查端口是否正常监听

show tcp connect ，LISTEN代表监听状态属于正常状态

办法6、VTY线程被占满

可以通过show users审查vty占用的线程是否满了，默认是5个线程？梢酝ü齝lear line vty 对应数值举行线程扫除，再实验登录。

五、信息网络

注重：以下下令适用于telnet、ssh无法登录，但设置口可以登录的情形，若设置口也无法登录，请实时联系400工程师处置惩罚。

sh ver

sh run

sh service

sh users

sh int usage

sh tcp connect

sh memory

sh cpu | ex 0.00

sh log rev

show int usage

sh envir

sh ip fpm sta

debug su

execute diagnose-cmd fdisk

execute diagnose-cmd mount

exit

六、总结与建议

当电脑无法治理装备，建议优先检查SESSION FILTER挪用的ACL是否举行了限制。若是没有限制，可以通过show users和show ip fpm flow | in 测试电脑IP，来判断数据是否到抵达EG。
【增补】如未解决或需要相识更多详情，可点击售后闪电兔举行咨询

• ?【经典案例】域用户自动登录失败提醒用户名或密码过失

• ?【经典案例】域用户自动登录失败提醒用户名或密码过失

• ?【经典案例】VDI终端或软客户端上岸虚拟机后闪退

• ?【经典案例】VDI终端或软客户端上岸虚拟机后闪退

• ?【经典案例】8082平台提醒过失

• ?【经典案例】8082平台提醒过失

• ?域用户自动登录失败提醒：无法使用此凭证登录

• ?域用户自动登录失败提醒：无法使用此凭证登录

• ?【经典案例】云桌面闪屏问题排查

• ?【经典案例】云桌面闪屏问题排查