问
交换机远程SSH登录异常
2小时前提问
- 0关注
- 0收藏,40浏览
robin_lany
二段
在输入正确的账号密码后,SSH 连接立刻断开并提示
Remote side unexpectedly closed network connection,这是华三(H3C)交换机非常经典的一个配置问题。这通常是因为交换机端的 VTY 线路缺少必要的交互配置,或者 本地用户缺少 SSH 服务类型授权导致的。由于你目前无法通过 SSH 登录,需要通过 Console 线 或者 Telnet(如果开启了的话)登录到交换机后台进行排查和修复。
请按照以下顺序检查并补全配置:
1. 核心排查:检查并补全 VTY 线路配置(最常见原因)
华三交换机的 VTY(虚拟终端)线路必须明确允许 SSH 协议、开启认证模式,并且(在较新的 Comware V7/V9 系统中)必须赋予登录用户默认角色,否则系统不知道给登录用户分配什么权限,就会直接踢出。
通过 Console 登录交换机,执行以下命令进行修复:
1system-view
2user-interface vty 0 4
3 authentication-mode scheme # 开启用户名密码认证
4 protocol inbound ssh # 明确允许 SSH 协议接入(关键!)
5 user-role network-admin # 赋予最高管理权限(关键!缺失会导致秒退)
6 quit2. 检查本地用户的服务类型与角色
即使 VTY 配置正确,如果
admin 用户本身没有开启 SSH 服务类型,或者没有绑定管理员角色,也会导致认证通过后被强制断开。继续执行以下命令检查并修复用户配置:
1local-user admin class manage
2 service-type ssh # 必须包含 ssh,如果只配了 telnet 会被拒绝
3 authorization-attribute user-role network-admin # 确保用户拥有管理员角色
4 quit3. 检查 SSH 服务与密钥对是否开启
如果以上配置都没问题,还需要确保交换机的 SSH 服务已经全局开启,并且已经生成了本地的 RSA 密钥对(没有密钥对会导致 SSH 握手失败)。
1# 全局开启 SSH 服务
2ssh server enable
3
4# 检查是否已生成 RSA 密钥对,如果没有则生成
5display public-key local rsa
6# 如果提示没有密钥,执行以下命令生成(长度建议 2048 以上)
7public-key local create rsa
SSH 输完密码登入瞬间被设备主动断开:Remote side unexpectedly closed network connection 排查(H3C V7 交换机)
一、高频 5 类原因 & 整改
1、设备空闲超时配置过小,刚连上立刻老化踢出(最常见)
plaintext
display user-interface
vty 视图闲置超时单位:分钟,
idle-timeout 0永不超时;默认小于 1 分钟极易秒断plaintext
system-view
user-interface vty 0 63
idle-timeout 15 #闲置15分钟断开,改成15
2、SSH 版本 / 加密算法不兼容(新版交换机关闭弱算法,Xshell、CRT 客户端算法老旧)
交换机放开兼容算法
plaintext
system-view
ssh server enable
# 开启通用加密、密钥交换算法
ssh server algorithm kex diffie-hellman-group-exchange-sha256 diffie-hellman-group1-sha1
ssh server algorithm encryption aes128-cbc aes192-cbc aes256-cbc aes128-ctr
ssh server algorithm hmac sha1 md5
客户端:Xshell 连接属性→安全→勾选全部加密算法重试。
3、ACL 限制 VTY/SSH,密码校验通过但后续报文被 ACL 拦截
plaintext
display acl all | include vty
display user-interface vty 0 63
若 vty 下绑定 acl,放开本机 PC 源 IP:
plaintext
acl number 3000
rule permit ip source 客户端IP 0
user-interface vty 0 63
access-class 3000 inbound
4、账号权限 / 在线会话超限、设备会话占满
- 查看在线用户:
display users,多余会话踢出
plaintext
free user-line XXX
- vty 线路数量不足:
user-interface vty 0 63扩充线路范围
5、交换机 CPU 高、资源不足,SSH 进程被系统切断
plaintext
display cpu-usage
CPU 长期 > 95%:排查环路、广播风暴、异常报文,先解决环路。
二、快速定位调试命令(设备侧开 debug 看断开原因)
plaintext
terminal monitor
terminal debugging
debugging ssh all
重新 SSH 登录,控制台会打印断开具体原因(算法 / ACL / 超时),调试完关闭:
plaintext
undo debugging all
undo terminal debugging
三、临时替代测试
改用 Telnet 登录,能正常登入 = 问题在 SSH 配置 / 算法;Telnet 也秒断 = ACL / 空闲超时 / 设备资源问题。
精简快速处置顺序
- vty idle-timeout 改成 15 分钟;
- 交换机补充 SSH 兼容算法;
- 检查 vty 绑定 ACL 放行客户端 IP;
- 查看在线用户清空异常占用会话。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论