97国际

97国际·(中国区)集团官方网站

中文

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

登录

97国际·(中国区)集团官方网站

产品

< 返回主菜单

产品

解决计划

< 返回主菜单

解决计划中心

行业

服务支持

合作伙伴

关于97国际

投资者关系

返回主菜单

选择区域/语言

97国际·(中国区)集团官方网站

首页 >服务与支持 >常见问题 >【经典案例】网关无法远程管理

【经典案例】网关无法远程管理

宣布时间：2024-06-07

点击量：307

无法通过CLI管理装备

一、征象形貌

装备有四种登录方法：SSH / TELNET / CONSOLE / WEB
泛起如下故障：
1、CONSOLE口无法登录
2、TELNET无法登录
3、SSH无法登录
4、WEB无法登录

二、组网拓扑

三、可能缘故原由

1、CRT软件设置参数问题，或者console线问题

2、control-plane榨取登录设置，ACL过滤限制，VTY线程占满

四、处置惩罚办法

征象1：CONSOLE无法登录

办法1、检查装备电源灯运行状态

1. 检查PWR灯状态

电源正常：绿色常亮

电源关闭或故障：不亮

备注：若是电源灯不亮，请检查电源是否正常加电，判断装备是否保存硬件问题导致无法加电

2. 检查SYS灯状态

上电初始化：绿色闪灼

初始化完成：绿色常亮

告警：红色常亮

备注：可以关注console输出日志举行判断软件是否保存异常

办法2、Console线参数设置

若是使用CRT软件，Console线登录需要选择准确的com口，以及波特率为9600，不可勾选流控位

97国际·(中国区)集团官方网站

端口可以通过电脑端的装备管理器审查
如下图所示

97国际·(中国区)集团官方网站

办法3、替换console线/装备测试

1、替换console线举行测试，判断下console线是否保存问题

2、若是没有多余console线，替换其他支持console登录的方法测试

若是console口仍然无法登录，窗口没有输入和输出，可能保存console保存硬件问题�？梢允褂闷渌椒ň傩械锹疾馐�。

征象2：TELNET无法登录

办法1、排查登录参数设置（地址、端口）

1、登录地址过失

a. console线登录可以审查接口地址，详细下令为show ip interface brief

97国际·(中国区)集团官方网站

如上现在2口为内网口，7口为外网口地址，可以通过这两个接口登录装备，外网用户只能通过外网口地址登录装备

b、想要确认外网口地址，也可以通过内网口先登录装备后，然后再审查对应的外网口地址，
路径：网络—接口设置—对应外网口

97国际·(中国区)集团官方网站

增补：telnet的端口默以为23，telnet 端口是无法修改的

办法2、排查装备上清静限制，榨取登录，ACL过滤

1. 外地防攻击设置榨取telnet登录操作，详细路径为清静—外地防攻击—榨取内网/外网登录装备

97国际·(中国区)集团官方网站

对应下令为：

control-plane

security deny lan-telnet-ssh-----榨取内网telnet和ssh登录装备

security deny wan-telnet-ssh-----榨取外网telnet和ssh登录设

2. 在接口挪用或ip session filter挪用的ACL没有放通对应的端口或IP

a. 接口会见列表下的挪用，需要检查ACL有没有放通对应的端口或IP

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

b. Ip session filter 流过滤操作，全局挪用，全局生效，需要检查ACL有没有放通对应的端口或IP

97国际·(中国区)集团官方网站

c. Line vty下挪用的ACL没有放通对应的网段会见装备，导致无法telnet

97国际·(中国区)集团官方网站

所挪用的ACL161需要放通登录装备的端口或IP地址
详细路径：清静—ACL会见列表

97国际·(中国区)集团官方网站

设置完，下令行对应下发的下令如下：

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

办法3、排查映射导致登录端口被占用

详细设置如下：内网服务器映射时映射到装备登录端口好比说23，或者是设置了整机映射映射到接口上，导致装备登录端口被占用，会导致装备无法登录，

a. 端口映射设置

97国际·(中国区)集团官方网站

对应下令如下：

ip nat inside source static tcp 192.168.1.10 23 172.18.161.111 23

b. 整机映射设置

97国际·(中国区)集团官方网站

对应下令如下：

ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

解决要领：将外网映射端口23映射为1023等端口，阻止端口占用问题。

办法4、排查多条外网线的情形下没有开启源进源出

多条外网线的情形下没有开启源进源出，导致外网会见到装备的数据流泛起从接口7进来可是从接口6出去了。以是在外网口需要开启源进源出
详细路径如下：网络—接口设置—对应接口下勾选源进源出

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

对应的下令如下：

97国际·(中国区)集团官方网站

办法5、排查服务是否启用或者是否保存web包

1、登录服务没有开启
详细下令：审查telnet是否开启——show service

97国际·(中国区)集团官方网站

2、审查端口是否正常监听

（1）Show tcp connect ，LISTEN代表监听状态属于正常状态
97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

办法6、VTY线程被占满

可以通过show users审查vty占用的线程是否满了，默认是5个线程�？梢酝ü�clear line vty 对应数值举行线程扫除，再实验登录。

97国际·(中国区)集团官方网站

征象3：SSH无法登录

办法1、排查登录参数设置（地址、端口）

1、登录地址过失

a. console线登录可以审查接口地址，详细下令为show ip interface brief

97国际·(中国区)集团官方网站

如上现在2口为内网口，7口为外网口地址，可以通过这两个接口登录装备，外网用户只能通过外网口地址登录装备

b、想要确认外网口地址，也可以通过内网口先登录装备后，然后再审查对应的外网口地址，路径：网络—接口设置—对应外网口

97国际·(中国区)集团官方网站

【增补】：SSH登录端口默以为22，SSH的端口是无法修改的

2、SSH服务需要开启

该功效目今只支持下令开启，不支持web开启

Ruijie(config)#enable service ssh-server //开启SSH服务

Ruijie(config)#crypto key generate dsa //加密方法有两种：DSA和RSA,可以随意选择

Choose the size of the key modulus in the range of 360 to 2048 for your

Signature Keys. Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]://直接敲回车

% Generating 512 bit DSA keys ...[ok]

办法2、排查装备上清静限制，榨取登录，ACL过滤

1、外地防攻击设置榨取ssh登录等操作，详细路径为清静—外地防攻击—榨取内网/外网登录装备

97国际·(中国区)集团官方网站

对应下令为：

control-plane

security deny lan-telnet-ssh-----榨取内网telnet和ssh登录装备

security deny wan-telnet-ssh-----榨取外网telnet和ssh登录装备

2、在接口挪用或ip session filter挪用的ACL没有放通对应的端口或IP

a. 接口会见列表下的挪用，需要检查ACL有没有放通对应的端口或IP

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

2、 Ip session filter 流过滤操作，全局挪用，全局生效，需要检查ACL有没有放通对应的端口或IP

97国际·(中国区)集团官方网站

3、 Line vty下挪用的ACL没有放通对应的网段会见装备，导致无法telnet
97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

所挪用的ACL161需要放通登录装备的端口或IP地址
详细路径：清静—ACL会见列表

97国际·(中国区)集团官方网站

设置完，下令行对应下发的下令如下：

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

办法3、排查映射导致登录端口被占用

详细设置：内网服务器映射时映射到装备登录端口好比说22，或者是设置了整机映射映射到接口上，导致装备登录端口被占用，会导致装备无法登录，

1、端口映射设置

97国际·(中国区)集团官方网站

对应下令如下：ip nat inside source static tcp 192.168.1.10 22 172.18.161.111 22

2. 整机映射设置

97国际·(中国区)集团官方网站

对应下令如下：ip nat inside source static 192.168.1.10 172.18.161.111 permit-inside

解决要领：将外网映射端口22映射为1022端口，阻止端口占用问题

办法4、排查多条外网线的情形下没有开启源进源出

多条外网线的情形下没有开启源进源出，导致外网会见到装备的数据流泛起从接口7进来可是从接口6出去了。

以是在外网口需要开启源进源出，
详细路径：网络—接口设置—对应接口下勾选源进源出

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

对应的下令如下：

97国际·(中国区)集团官方网站

办法5、排查服务是否启用或者是否保存web包

1、登录服务没有开启，
详细下令：审查telnet或SSH是否开启——show service

97国际·(中国区)集团官方网站

2、审查端口是否正常监听

show tcp connect ，LISTEN代表监听状态属于正常状态

97国际·(中国区)集团官方网站

办法6、VTY线程被占满

可以通过show users审查vty占用的线程是否满了，默认是5个线程�？梢酝ü齝lear line vty 对应数值举行线程扫除，再实验登录。

97国际·(中国区)集团官方网站

五、信息网络

注重：以下下令适用于telnet、ssh无法登录，但设置口可以登录的情形，若设置口也无法登录，请实时联系400工程师处置惩罚。

sh ver

sh run

sh service

sh users

sh int usage

sh tcp connect

sh memory

sh cpu | ex 0.00

sh log rev

show int usage

sh envir

sh ip fpm sta

debug su

execute diagnose-cmd fdisk

execute diagnose-cmd mount

exit

六、总结与建议

当电脑无法管理装备，建议优先检查SESSION FILTER挪用的ACL是否举行了限制。若是没有限制，可以通过show users和show ip fpm flow | in 测试电脑IP，来判断数据是否到抵达EG。
【增补】如未解决或需要相识更多详情，可点击售后闪电兔举行咨询

您可能还关注的问题

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

售前咨询
售后服务
意见反响

97国际·(中国区)集团官方网站

返回顶部

收起

97国际·(中国区)集团官方网站

文档评价

该资料是否解决了您的问题？

您对目今页面的知足度怎样？

不咋滴

很是好

您知足的缘故原由是（多�。�？

您不知足的缘故原由是（多�。�？

您是否尚有其他问题或建议？

为了快速解决并回复您的问题，您可以留下联系方法

邮箱

手机号

我已赞成并阅读隐私政策

谢谢您的反�。�

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

请选择服务项目

售前咨询

售后服务

意见反响

更多联系方法