• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

s5500-52c-ei,电脑无法通过crt的ssh到,但是直接通过核心crt页面可以

2026-03-18提问
  • 0关注
  • 0收藏,222浏览
爱生活爱自己
爱生活爱自己 零段
粉丝:0人 关注:0人

问题描述:

拓扑大概就是上面这样子的,但是pc和sw2到核心不一定只有一台交换机,然后我按照这个上面重新配置了ssh,还是无法通过ssh到,pc也是可以ping通这个交换机,请问还有什么东西会挡住

中间没有acl和防火墙

最佳答案

刘浩存
刘浩存 七段
粉丝:8人 关注:1人

PC 能 ping 通 S5500,核心也能 SSH 登上去,但 PC 就是连不上——这说明网络是通的,问题大概率出在交换机本身的 SSH 配置细节,或者中间链路的特殊处理上。

既然你确认中间没有 ACL 和防火墙,建议按以下顺序逐一排查,尤其是第 1 步的 VTY 接口配置和第 3 步的 SSH 版本兼容性,这是最容易忽略的地方。

核心排查步骤

排查层面操作与验证命令关键点说明
1️⃣ 交换机配置核查登录 S5500 执行:
display current-configuration | include vty
display current-configuration | include local-user		必须确认两点
• VTY 接口下是否配置了 protocol inbound ssh?如果缺省或配成 telnet,SSH 连接会被拒绝。
• 认证模式是否为 authentication-mode scheme
2️⃣ 重建 RSA 密钥按顺序执行:
public-key local create rsa
ssh server enable		如果密钥文件损坏或算法不匹配,会导致连接被重置。建议强制重建并重新启用服务,这能解决很多奇怪的问题。
3️⃣ 客户端算法兼容性检查 SecureCRT 的会话选项:
找到 SSH2 下的 密钥交换加密 和 MAC 算法列表		S5500 是较老的 V5 设备,支持的算法有限。CRT 默认的算法可能不被支持。可以尝试降低 CRT 的算法优先级,或只勾选 aes128-cbchmac-md5 等老算法。
4️⃣ 路由路径检查在 PC 上执行:
tracert <S5500管理IP>
在核心上测试:telnet <S5500管理IP> 22		• 确认路径:tracert 结果是否符合预期?中间是否有非直连设备?
• 测试连通性:核心能 telnet 通 22 端口,说明 S5500 的 SSH 服务在网络上可达。

最关键的一步:开启 Debug 抓现场

如果上面都查过了还是不行,需要用最直接的方法——让设备告诉你它拒绝了什么。

在 S5500 上(最好通过核心的 SSH 或 console 线)开启 Debug 功能:

<H3C> debugging ssh server
<H3C> debugging ssh vty <H3C> terminal debugging <H3C> terminal monitor然后,让 PC 重新尝试 SSH 连接。此时交换机会实时打印出连接过程中的协商细节和拒绝原因(例如 Algorithm negotiation failed User authentication failed)。



第三步,crt改算法怎么改

爱生活爱自己 发表时间:2026-03-18 更多>>

可以的,因为核心的crt页面去ssh过去是没有问题的

爱生活爱自己 发表时间:2026-03-18

第三步,crt改算法怎么改

爱生活爱自己 发表时间:2026-03-18
5 个回答
按时间 按赞数
zhiliao_Gixe
zhiliao_Gixe 三段
粉丝:2人 关注:9人

您好! 针对您提到的S5500-52C-EI交换机无法通过CRT的SSH访问,但可以通过核心交换机的CRT页面访问的问题,您可以尝试以下排查步骤:

1. 检查SSH服务状态:
- 登录到交换机的特权模式,使用命令`display ssh`查看SSH服务是否已启动。
- 确保SSH版本和配置正确,例如`ip domain-name`和`crypto key generate rsa`等。

2. 验证接口配置:
- 确认用于SSH连接的接口(通常是VLAN接口或物理接口)已启用并配置了正确的IP地址。
- 使用`display interface brief`查看接口状态。

3. 检查用户权限:
- 确保用于SSH登录的用户具有正确的权限级别,并且密码设置正确。
- 使用`display local-user`查看用户配置。

4. 网络连通性测试:
- 从PC端尝试使用`telnet <交换机IP> 22`命令测试SSH端口是否开放。
- 确保没有其他设备(如中间交换机)阻止了SSH流量。

如有需要,请提供更多信息。

回复爱生活爱自己:

22通的?

zhiliao_Gixe 发表时间:2026-03-19 更多>>

可以,因为我通过核心ssh 交换机IP,是可以的

爱生活爱自己 发表时间:2026-03-18
回复爱生活爱自己:

22通的?

zhiliao_Gixe 发表时间:2026-03-19
zhiliao_v6hOyc
zhiliao_v6hOyc 九段
粉丝:43人 关注:1人

先测试22端口是否开通,再检查ssh配置的权限问题

回复zhiliao_v6hOyc:

配置了去核心的缺省路由

爱生活爱自己 发表时间:2026-03-19 更多>>

开通的,我通过核心ssh 交换机IP是可以直接过去的

爱生活爱自己 发表时间:2026-03-18
回复爱生活爱自己:

检查你的交换机到PC有没有路由可通,交换机上有没有配置缺省路由

zhiliao_v6hOyc 发表时间:2026-03-18
回复zhiliao_v6hOyc:

配置了去核心的缺省路由

爱生活爱自己 发表时间:2026-03-19
zhiliao_sEUyB
zhiliao_sEUyB 九段
粉丝:98人 关注:11人

检查下设备有没有开ssh服务

相关服务有没有限制源地址 

ssh相关的配置,发上来看看吧

zhiliao_sEUyB 发表时间:2026-03-18 更多>>

没有,当前电脑是最大权限

爱生活爱自己 发表时间:2026-03-18
回复爱生活爱自己:

ssh不通吗

zhiliao_sEUyB 发表时间:2026-03-18
回复zhiliao_sEUyB:

显示无法连到,核心通过crt 去ssh交换机Ip是没有问题的,

爱生活爱自己 发表时间:2026-03-18

ssh相关的配置,发上来看看吧

zhiliao_sEUyB 发表时间:2026-03-18
zhiliao_eE5Ptd
zhiliao_eE5Ptd 五段
粉丝:6人 关注:1人

核心能ssh到这台交换机,代表交换机ssh功能没问题,你pc ssh交换机不通,先确认PC能否ping通交换机IP吧,

可以的,没问题

爱生活爱自己 发表时间:2026-03-18 更多>>

可以的,没问题

爱生活爱自己 发表时间:2026-03-18
zhiliao_GeOM0O
zhiliao_GeOM0O 六段
粉丝:6人 关注:2人

PC 能 ping 通交换机 → 但 SSH 登不上
中间无 ACL、无防火墙
已经按教程配过 SSH 还是不行
这种现象在 H3C 交换机上99% 就这 4 个原因,我按最可能到最不可能给你排:

🔥 1、最常见:你只开了 SSH,但没开 VTY 下的 protocol inbound ssh

这是 90% 的人配完 SSH 登不上的原因!
cli
system-view user-interface vty 0 4 protocol inbound ssh
必须配!不配 SSH 永远登不上!

🔥 2、第二个最常见:本地用户没开 service-type ssh

你建了用户,但没给它 SSH 权限:
cli
local-user admin service-type ssh
不配这个 → 认证直接拒绝。

🔥 3、SSH 版本不匹配(PC 用的是高版本,交换机只开了 SSH1.x)

cli
ssh server version 2
必须开 V2,现在所有工具都只支持 V2。

🔥 4、交换机没开 SSH server

cli
ssh server enable
很多人只配密钥、配用户,忘了开这个。

✅ 你现在只需要复制下面这 8 行,直接粘贴到交换机,100% 能 SSH

cli
sys ssh server enable ssh server version 2 local-user admin password simple 你的密码 service-type ssh authorization-attribute level 3 user-interface vty 0 4 protocol inbound ssh
粘贴完,立刻就能 SSH

🧠 为什么 ping 得通,SSH 不通?

  • ping 走 ICMP,默认全开
  • SSH 走 TCP 22,默认关闭
  • 必须开:
    • ssh server enable
    • vty 下允许 ssh
    • 用户允许 ssh

我现在ssh的version是1.99,我查看了1.99是可以兼容2.0和ssh1.x

爱生活爱自己 发表时间:2026-03-18 更多>>

他现在确实是ssh1 版本,但是他ssh server 后面没法跟version

爱生活爱自己 发表时间:2026-03-18

我现在ssh的version是1.99,我查看了1.99是可以兼容2.0和ssh1.x

爱生活爱自己 发表时间:2026-03-18

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2026新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明