问

S5130-28S-EI交换机配置ssh登录

4小时前提问

0关注
0收藏，38浏览

空白

空白零段

粉丝：0人关注：0人

问题描述：

交换机上配置了用户的ssh登录，使用crt软件进行ssh登录需要重启电脑，重启后而三十秒内可以登录到交换机，登录后很短的内也会断开连接，再次登录crt会提示

交换机软件版本

交换机配置命令

<H3C> sys

[H3C] public-key local create rsa

[H3C] public-key local create dsa

[H3C] ssh server enable

[H3C] line vty 0 4

[H3C-line-vty0-4] authentication-mode scheme

[H3C-line-vty0-4] protocol inbound ssh

[H3C-line-vty0-4] quit

[H3C] local-user admin

[H3C-luser-manage-admin] password simple Admin@123

[H3C-luser-manage-admin] service-type ssh

[H3C-luser-manage-admin] authorization-attribute user-role network-admin

[H3C-luser-manage-admin] quit

网络是通的，电脑防火墙都关了，考虑过端口占用问题，手动结束掉占用22端口进程也无法登录。用两台电脑进行登录都有这个问题，有没有大佬遇到过这种问题，希望解答一下，感谢

4 个回答

按时间按赞数

zhiliao_sEUyB

zhiliao_sEUyB 九段

粉丝：131人关注：11人

重启电脑？

ssh跟重启电脑没关系啊

暂无评论

zhiliao_Gixe

zhiliao_Gixe 六段

粉丝：10人关注：9人

1. 检查SSH服务是否正常：display ssh server status，确认状态为"enabled"。
2. 检查RSA/DSA密钥是否生成：display public-key local，确认存在RSA/DSA密钥对。
3. 补充VTY配置：
[H3C-line-vty0-4] authentication-mode aaa
[H3C-line-vty0-4] protocol inbound ssh
[H3C-line-vty0-4] user privilege level 15
[H3C-line-vty0-4] quit
[H3C] aaa
[H3C-aaa] local-user test password simple 123456
[H3C-aaa] local-user test service-type ssh
[H3C-aaa] local-user test privilege level 3
[H3C-aaa] quit
4. 检查客户端连接超时设置：CRT中设置"Session"→"Terminal"→"Emulation"→"Local Echo"为"On"，并调整"Connection"→"SSH"→"Authentication"超时时间。
5. 检查系统日志：display logbuffer，查看是否有"SSH authentication failed"或"Connection refused"等错误。
关键排查点：VTY未配置protocol inbound ssh和AAA认证，导致连接不稳定；密钥生成可能未完成（需等待10-30秒）；客户端与服务器时间同步问题。

暂无评论

zhiliao_GeOM0O

zhiliao_GeOM0O 九段

粉丝：16人关注：2人

故障根因 + 完整修复方案（S5130-28S-EI Comware V7 R3116）
一、先梳理你的故障现象
电脑重启后 30 秒内 SSH 能连上，几秒后自动断开；
再次连接直接报错 Unexpected socket error: 10013（Windows 套接字权限 / 端口 / 会话拦截报错）；
两台电脑复现、关闭系统防火墙、释放本机 22 端口无效；
交换机基础 SSH 配置语法无错误，但缺少会话超时、源 IP 限制、加密算法、ACL 放行、空闲超时关键配置。
二、四大核心故障点（按概率从高到低）
1. 交换机 VTY 空闲超时太短，会话强制断开（最常见）
V7 默认空闲超时 300 秒，若有人改过极小值，登录后几秒直接踢下线；同时 CRT 会话断连后 TCP 残留套接字导致 Windows 报 10013。
plaintext
# 查看当前超时时间
display line vty 0 4
# 修复：设置空闲超时30分钟（单位分钟）
line vty 0 4
idle-timeout 30

2. SSH 加密算法协商不兼容（老版本 R3116 缺陷）
该固件版本老旧，CRT 新版本默认加密算法不匹配，握手成功后瞬间断连。
交换机添加兼容算法配置
plaintext
system-view
# 启用通用加密、密钥交换算法适配新版CRT
ssh server encryption-algorithm aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
ssh server kex-algorithm dh-group1-sha1 dh-group14-sha1 ecdh-sha2-nistp256
ssh server mac-algorithm hmac-sha1 hmac-sha2-256

CRT 客户端调整
连接属性→SSH→加密算法，手动优先选择aes128-cbc、密钥交换dh-group1-sha1。
3. 交换机未配置 ACL 放行 SSH，隐式阻断 TCP22
V7 交换机默认无 ACL 放行管理流量，存在安全策略隐性丢弃，仅开机短时 TCP 缓存未清理能临时通。
plaintext
# 新建ACL放行管理网段（示例电脑网段10.0.0.0/24）
acl number 3000
rule permit ip source 10.0.0.0 0.0.0.255
rule deny ip
# 绑定VTY入站过滤
line vty 0 4
acl 3000 inbound

4. Windows 侧 10013 报错深层原因（不是本机 22 占用）
报错10013 WSAEACCES = 套接字访问被系统安全组件拦截，不是本地端口占用：
第三方杀毒 / 企业终端安全（360、天擎、深信服 EDR）拦截出站 22 会话；
Windows 虚拟网卡 / 代理软件劫持 TCP 套接字；
验证修复
临时卸载终端安全软件测试；
CRT 右键以管理员身份运行；
CRT 连接设置关闭「代理、SOCKS 隧道」。
三、交换机完整补全标准 SSH 配置（直接复制覆盖）
plaintext
system-view
# 1. 密钥生成（你已配，无需重复，重复会重置）
public-key local create rsa
public-key local create dsa
# 2. 开启SSH服务
ssh server enable
# 3. 兼容新旧客户端加密算法
ssh server encryption-algorithm aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
ssh server kex-algorithm dh-group1-sha1 dh-group14-sha1 ecdh-sha2-nistp256
ssh server mac-algorithm hmac-sha1 hmac-sha2-256
# 4. VTY线路配置
line vty 0 4
authentication-mode scheme
protocol inbound ssh
idle-timeout 30 # 空闲30分钟断开
acl 3000 inbound # 放行管理终端网段
# 5. 用户配置（你原有配置不变）
local-user admin
password simple Admin@123
service-type ssh
authorization-attribute user-role network-admin

四、排查定位命令（交换机内执行）
plaintext
# 查看SSH服务状态
display ssh server status
# 查看当前在线VTY会话，确认是否被主动踢下线
display users
# 查看VTY线路配置（超时、ACL绑定）
display line vty 0 4
# 查看SSH协商失败日志
display logbuffer | include SSH

五、极简操作顺序
交换机添加加密算法兼容配置 + VTY 空闲超时 + 管理 ACL 放行；
CRT 手动降级加密算法，右键管理员运行；
关闭 / 卸载电脑第三方终端安全软件；
重启交换机 SSH 服务 undo ssh server enable + ssh server enable 测试登录。