【经典案例】网关无法远程治理

宣布时间：2024-06-07

点击量：307

无法通过CLI治理装备

一、征象形貌

装备有四种登录方法：SSH / TELNET / CONSOLE / WEB
泛起如下故障：
1、CONSOLE口无法登录
2、TELNET无法登录
3、SSH无法登录
4、WEB无法登录

二、组网拓扑

三、可能缘故原由

1、CRT软件设置参数问题，，，，，，，，或者console线问题

2、control-plane榨取登录设置，，，，，，，，ACL过滤限制，，，，，，，，VTY线程占满

四、处置惩罚办法

征象1：CONSOLE无法登录

办法1、检查装备电源灯运行状态

1. 检查PWR灯状态

电源正常：绿色常亮

电源关闭或故障：不亮

备注：若是电源灯不亮，，，，，，，，请检查电源是否正常加电，，，，，，，，判断装备是否保存硬件问题导致无法加电

2. 检查SYS灯状态

上电初始化：绿色闪灼

初始化完成：绿色常亮

告警：红色常亮

备注：可以关注console输出日志举行判断软件是否保存异常

办法2、Console线参数设置

若是使用CRT软件，，，，，，，，Console线登录需要选择准确的com口，，，，，，，，以及波特率为9600，，，，，，，，不可勾选流控位

端口可以通过电脑端的装备治理器审查
如下图所示

办法3、替换console线/装备测试

1、替换console线举行测试，，，，，，，，判断下console线是否保存问题

2、若是没有多余console线，，，，，，，，替换其他支持console登录的方法测试

若是console口仍然无法登录，，，，，，，，窗口没有输入和输出，，，，，，，，可能保存console保存硬件问题。。。。�？？？？？？梢允褂闷渌椒ň傩械锹疾馐浴�。。。。

征象2：TELNET无法登录

办法1、排查登录参数设置（地点、端口）

1、登录地点过失

a. console线登录可以审查接口地点，，，，，，，，详细下令为show ip interface brief

如上现在2口为内网口，，，，，，，，7口为外网口地点，，，，，，，，可以通过这两个接口登录装备，，，，，，，，外网用户只能通过外网口地点登录装备

b、想要确认外网口地点，，，，，，，，也可以通过内网口先登录装备后，，，，，，，，然后再审查对应的外网口地点，，，，，，，，
路径：网络—接口设置—对应外网口

增补：telnet的端口默以为23，，，，，，，，telnet 端口是无法修改的

办法2、排查装备上清静限制，，，，，，，，榨取登录，，，，，，，，ACL过滤

1. 外地防攻击设置榨取telnet登录操作，，，，，，，，详细路径为清静—外地防攻击—榨取内网/外网登录装备

对应下令为：

control-plane

security deny lan-telnet-ssh-----榨取内网telnet和ssh登录装备

security deny wan-telnet-ssh-----榨取外网telnet和ssh登录设

2. 在接口挪用或ip session filter挪用的ACL没有放通对应的端口或IP

a. 接口会见列表下的挪用，，，，，，，，需要检查ACL有没有放通对应的端口或IP

b. Ip session filter 流过滤操作，，，，，，，，全局挪用，，，，，，，，全局生效，，，，，，，，需要检查ACL有没有放通对应的端口或IP

c. Line vty下挪用的ACL没有放通对应的网段会见装备，，，，，，，，导致无法telnet

所挪用的ACL161需要放通登录装备的端口或IP地点
详细路径：清静—ACL会见列表

设置完，，，，，，，，下令行对应下发的下令如下：

办法3、排查映射导致登录端口被占用

详细设置如下：内网服务器映射时映射到装备登录端口好比说23，，，，，，，，或者是设置了整机映射映射到接口上，，，，，，，，导致装备登录端口被占用，，，，，，，，会导致装备无法登录，，，，，，，，

a. 端口映射设置

对应下令如下：

ip nat inside source static tcp 192.168.1.10 23 172.18.161.111 23

b. 整机映射设置

对应下令如下：

ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

解决要领：将外网映射端口23映射为1023等端口，，，，，，，，阻止端口占用问题。。。。。

办法4、排查多条外网线的情形下没有开启源进源出

多条外网线的情形下没有开启源进源出，，，，，，，，导致外网会见到装备的数据流泛起从接口7进来可是从接口6出去了。。。。。以是在外网口需要开启源进源出
详细路径如下：网络—接口设置—对应接口下勾选源进源出

对应的下令如下：

办法5、排查服务是否启用或者是否保存web包

1、登录服务没有开启
详细下令：审查telnet是否开启——show service

2、审查端口是否正常监听

（1）Show tcp connect ，，，，，，，，LISTEN代表监听状态属于正常状态
AGGAME·(中国区)集团官方网站

办法6、VTY线程被占满

可以通过show users审查vty占用的线程是否满了，，，，，，，，默认是5个线程。。。。�？？？？？？梢酝ü�clear line vty 对应数值举行线程扫除，，，，，，，，再实验登录。。。。。

征象3：SSH无法登录

办法1、排查登录参数设置（地点、端口）

1、登录地点过失

a. console线登录可以审查接口地点，，，，，，，，详细下令为show ip interface brief

b、想要确认外网口地点，，，，，，，，也可以通过内网口先登录装备后，，，，，，，，然后再审查对应的外网口地点，，，，，，，，路径：网络—接口设置—对应外网口

【增补】：SSH登录端口默以为22，，，，，，，，SSH的端口是无法修改的

2、SSH服务需要开启

该功效目今只支持下令开启，，，，，，，，不支持web开启

Ruijie(config)#enable service ssh-server //开启SSH服务

Ruijie(config)#crypto key generate dsa //加密方法有两种：DSA和RSA,可以随意选择

Choose the size of the key modulus in the range of 360 to 2048 for your

Signature Keys. Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]://直接敲回车

% Generating 512 bit DSA keys ...[ok]

办法2、排查装备上清静限制，，，，，，，，榨取登录，，，，，，，，ACL过滤

1、外地防攻击设置榨取ssh登录等操作，，，，，，，，详细路径为清静—外地防攻击—榨取内网/外网登录装备

对应下令为：

control-plane

security deny lan-telnet-ssh-----榨取内网telnet和ssh登录装备

security deny wan-telnet-ssh-----榨取外网telnet和ssh登录装备

2、在接口挪用或ip session filter挪用的ACL没有放通对应的端口或IP

a. 接口会见列表下的挪用，，，，，，，，需要检查ACL有没有放通对应的端口或IP

2、 Ip session filter 流过滤操作，，，，，，，，全局挪用，，，，，，，，全局生效，，，，，，，，需要检查ACL有没有放通对应的端口或IP

3、 Line vty下挪用的ACL没有放通对应的网段会见装备，，，，，，，，导致无法telnet
AGGAME·(中国区)集团官方网站

所挪用的ACL161需要放通登录装备的端口或IP地点
详细路径：清静—ACL会见列表

设置完，，，，，，，，下令行对应下发的下令如下：

办法3、排查映射导致登录端口被占用

详细设置：内网服务器映射时映射到装备登录端口好比说22，，，，，，，，或者是设置了整机映射映射到接口上，，，，，，，，导致装备登录端口被占用，，，，，，，，会导致装备无法登录，，，，，，，，

1、端口映射设置

对应下令如下：ip nat inside source static tcp 192.168.1.10 22 172.18.161.111 22

2. 整机映射设置

对应下令如下：ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

解决要领：将外网映射端口22映射为1022端口，，，，，，，，阻止端口占用问题

办法4、排查多条外网线的情形下没有开启源进源出

多条外网线的情形下没有开启源进源出，，，，，，，，导致外网会见到装备的数据流泛起从接口7进来可是从接口6出去了。。。。。

以是在外网口需要开启源进源出，，，，，，，，
详细路径：网络—接口设置—对应接口下勾选源进源出

对应的下令如下：

办法5、排查服务是否启用或者是否保存web包

1、登录服务没有开启，，，，，，，，
详细下令：审查telnet或SSH是否开启——show service

2、审查端口是否正常监听

show tcp connect ，，，，，，，，LISTEN代表监听状态属于正常状态

办法6、VTY线程被占满

可以通过show users审查vty占用的线程是否满了，，，，，，，，默认是5个线程。。。。�？？？？？？梢酝ü齝lear line vty 对应数值举行线程扫除，，，，，，，，再实验登录。。。。。

五、信息网络

注重：以下下令适用于telnet、ssh无法登录，，，，，，，，但设置口可以登录的情形，，，，，，，，若设置口也无法登录，，，，，，，，请实时联系400工程师处置惩罚。。。。。

sh ver

sh run

sh service

sh users

sh int usage

sh tcp connect

sh memory

sh cpu | ex 0.00

sh log rev

show int usage

sh envir

sh ip fpm sta

debug su

execute diagnose-cmd fdisk

execute diagnose-cmd mount

exit

六、总结与建议

当电脑无法治理装备，，，，，，，，建议优先检查SESSION FILTER挪用的ACL是否举行了限制。。。。。若是没有限制，，，，，，，，可以通过show users和show ip fpm flow | in 测试电脑IP，，，，，，，，来判断数据是否到抵达EG。。。。。
【增补】如未解决或需要相识更多详情，，，，，，，，可点击售后闪电兔举行咨询

您可能还关注的问题

aggame官网

【经典案例】网关无法远程治理

无法通过CLI治理装备

一、征象形貌

二、组网拓扑

三、可能缘故原由