日常工作中常常听到有小伙伴抱怨网络设备配置了系统远程登录的,为啥总会出现各种故障呢,这里我就给大家讲讲常见的系统远程登录故障现象,故障产生的缘由以及遇到此类故障该如何排除故障。觉得文章对你有所协助的小伙伴点赞加关注。
常见的系统远程登录故障无外乎三种现象:1.Telnet登录设备失败;2.SSH登录设备失败;3.Telnet/SSH成功登录设备后,操作命令有明显停顿感。针对这三种故障现象我们来分析下故障缘由并给出相应的排障思路和步骤。
Telnet登录设备失败
故障缘由:
⑴客户端与被登录设备之间IP网络不通。
⑵客户端与被登录设备之间IP网络丢包。
⑶客户端与被登录设备之间Telnet端口号被防火墙等设备限制。
⑷被登录设备上关闭了Telnet服务。
⑸接口上配置的ACL对登录IP进行了限制。
⑹接口上配置的ACL对Telnet端口号进行了限制。
⑺line vty上配置的ACL对登录IP进行了限制。
⑻已登录的用户总数达到了上限。
排障思路:
⑴检查客户端与被登录设备之间IP网络是否不通或丢包。
⑵检查客户端与被登录设备之间Telnet端口号是否被防火墙等设备限制。
⑶检查被登录设备的接口上是否配置了ACL对登录IP或Telnet端口号进行了限制。
⑷检查被登录设备的Telnet相关配置。
排障步骤:
⑴检查客户端与被登录设备之间IP网络是否不通。Telnet客户端上执行ping ip-address命令,检查客户端与被登录设备之间IP网络是否不通。
Hostname>ping 130.255.209.1
Pinging 130.255.209.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 130.255.209.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
上述信息说明,客户端与被登录设备之间IP网络不通。
如果客户端与被登录设备之间IP网络不通,请检查IP网络不通的缘由。如果客户端与被登录设备之间IP网络通,请执行步骤2。
⑶检查客户端与被登录设备之间IP网络是否丢包。Telnet客户端上执行ping ip-address -t命令,检查客户端与被登录设备之间IP网络是否丢包。
Hostname#ping 130.255.209.1 -t
Pinging 130.255.209.1 with 32 bytes of data:
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Request timed out.
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Request timed out.
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Request timed out.
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Ping statistics for 130.255.209.1:
Packets: Sent = 19, Received = 12, Lost = 7 (36% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
上述信息说明,客户端与被登录设备之间IP网络丢包。
如果客户端与被登录设备之间IP网络丢包,请检查IP网络丢包的缘由。如果客户端与被登录设备之间IP网络不丢包,请执行步骤3。
⑶检查客户端与被登录设备之间Telnet端口号是否被防火墙等设备限制。若客户端与被登录设备之间有防火墙等设备,请检查防火墙等设备的配置。
如果客户端与被登录设备之间Telnet端口号被防火墙等设备限制,请在防火墙等设备上检查Telnet端口号被限制的缘由。如果客户端与被登录设备之间Telnet端口号没有被防火墙等设备限制,请执行步骤4。
⑷检查被登录设备上是否关闭了Telnet服务。在被登录设备上,执行show running-config命令,检查Telnet服务是否被关闭了。
Hostname#show running-config
telnet server disable
上述信息说明,被登录设备上关闭了Telnet服务。
如果被登录设备上关闭了Telnet服务,请开启Telnet服务。如果被登录设备上没有关闭Telnet服务,请执行步骤5。
⑸检查接口是否配置了ACL对登录IP进行限制。执行show running-config命令,检查VLAN接口配置和相关的ACL配置。
Hostname#show running-config
ip access-list standard acl_deny_host
10 deny host 130.255.210.1
20 permit any
interface vlan2
ip address 130.255.209.1 255.255.0.0
ip access-group acl_deny_host in
上述信息说明,VLAN2接口的入方向配置了一个名为acl_deny_host的ACL,该ACL限制了源IP地址为130.255.210.1的报文。
如果接口配置了ACL对登录IP进行限制,请修改配置。如果接口没有配置ACL对登录IP进行限制,请执行步骤6。
⑹检查接口是否配置了ACL对Telnet端口号进行限制。执行show running-config命令,检查VLAN接口配置和相关的ACL配置。
Hostname#show running-config
ip access-list extended acl_deny_telnet_port
10 deny tcp any any eq telnet
20 permit ip any any
interface vlan2
ip address 130.255.209.1 255.255.0.0
ip access-group acl_deny_telnet_port in
上述信息说明,VLAN2接口的入方向配置了一个名为acl_deny_telnet_port的ACL,该ACL对Telnet端口号进行了限制。
如果接口配置了ACL对Telnet端口号进行限制,请修改配置;如果接口没有配置ACL对Telnet端口号进行限制,请执行步骤7。
⑺检查line vty是否配置了ACL对登录IP进行限制。执行show running-config命令,检查line vty配置和相关的ACL配置。
Hostname#show running-config
ip access-list standard acl_deny_host
10 deny host 130.255.210.1
20 permit any
line vty 0 15
access-class acl_deny_host in
exec-timeout 0 0
no login
exit
上述信息说明,line vty下配置了一个名为acl_deny_host的ACL,该ACL对IP地址130.255.210.1进行了限制。
如果line vty配置了ACL对登录IP进行限制,请修改配置;如果line vty没有配置ACL对登录IP进行限制,请执行步骤8。
⑻检查已登录的用户总数是否达到上限。执行show running-config命令,检查line vty配置。
Hostname#show running-config
line vty 0 7
exec-timeout 0 0
no login
上述信息说明,登录用户数的上限为8,如果没有line vty的配置,默认上限是16。
使用Telnet客户端软件Telnet登录设备失败时,检查是否有如下信息:
Too many clients or invalid access
如果有上述信息,说明Telnet失败的缘由是已登录的用户总数达到了上限。
执行who命令,检查已登录用户总数。
Hostname#who
LINE USER HOST IDLE-TIME IDLE-TIMEOUT TOTAL-TIME
———- ———- ————— ———- ————— —————
* vty7 – 130.255.210.29 00:01:38 no time out 00:01:38
vty6 – 130.255.210.25 00:01:42 no time out 00:01:42
vty5 – 130.255.210.21 00:01:46 no time out 00:01:46
vty4 – 130.255.210.17 00:01:49 no time out 00:01:49
vty3 – 130.255.210.13 00:01:53 no time out 00:01:53
vty2 – 130.255.210.9 00:01:57 no time out 00:01:57
vty1 – 130.255.210.5 00:02:03 no time out 00:02:03
vty0 – 130.255.210.1 00:02:08 no time out 00:02:08
tty0 – – 00:02:14 no time out 01:52:26
上述信息说明,已登录用户总数为8,已经达到了上限。
如果已登录的用户总数达到了上限,请修改配置;如果已登录的用户总数没有达到上限,请执行步骤9。
⑼请收集如下信息,联系技术支持中心。
①上述步骤的执行结果。
②网络拓扑。
③设备的配置文件(show running-config)、日志信息(show logging、show logging buffer)。
④打开调试开关(debug telnet detail)收集2分钟以上的debug信息。
SSH登录设备失败
故障缘由:
⑴客户端与被登录设备之间IP网络不通。
⑵客户端与被登录设备之间IP网络丢包。
⑶客户端与被登录设备之间SSH端口号被防火墙等设备限制。
⑷设备上未启动SSH服务。
⑸接口上配置的ACL对登录IP进行了限制。
⑹接口上配置的ACL对SSH端口号进行了限制。
⑺line vty上配置的ACL对登录IP进行了限制。
⑻已登录的用户总数达到了上限。
⑼登录用户名、密码输入错误。
排障思路:
⑴检查客户端与被登录设备之间IP网络是否不通或丢包。
⑵检查客户端与被登录设备之间SSH端口号是否被防火墙等设备限制。
⑶检查被登录设备的接口上是否配置了ACL对登录IP或SSH端口号进行了限制。
⑷检查被登录设备的SSH相关配置。
排障步骤:
⑴检查客户端与被登录设备之间IP网络是否不通。
SSH客户端设备上执行ping ip-address命令,检查客户端与被登录设备之间IP网络是否不通。
Hostname>ping 130.255.209.1
Pinging 130.255.209.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 130.255.209.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
上述信息说明,客户端与被登录设备之间IP网络不通。
如果客户端与被登录设备之间IP网络不通,请检查IP网络不通的缘由;如果客户端与被登录设备之间IP网络通,请执行步骤2。
⑵检查客户端与被登录设备之间IP网络是否丢包。SSH客户端设备上执行ping ip-address -t命令,检查客户端与被登录设备之间IP网络是否丢包。
Hostname#ping 130.255.209.1 -t
Pinging 130.255.209.1 with 32 bytes of data:
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Request timed out.
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Request timed out.
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Request timed out.
Request timed out.
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Ping statistics for 130.255.209.1:
Packets: Sent = 19, Received = 12, Lost = 7 (36% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
上述信息说明,客户端与被登录设备之间IP网络丢包。
如果客户端与被登录设备之间IP网络丢包,请检查IP网络丢包的缘由。如果客户端与被登录设备之间IP网络不丢包,请执行步骤3。
⑶检查客户端与被登录设备之间SSH端口号是否被防火墙等设备限制。若客户端与被登录设备之间有防火墙等设备,请检查防火墙等设备的配置。
如果客户端与被登录设备之间SSH端口号被防火墙等设备限制,请在防火墙等设备上检查SSH端口号被限制的缘由;如果客户端与被登录设备之间SSH端口号没有被防火墙等设备限制,请执行步骤4。
⑷检查被登录设备上是否开启了SSH服务。在被登录设备上,执行show running-config命令,检查是否开启了SSH服务。
Hostname#show running-config
ip ssh server
如果被登录设备上未开启SSH服务,请修改配置;如果被登录设备上开启了SSH服务,请执行步骤5。
⑸检查接口是否配置了ACL对登录IP进行了限制。执行show running-config命令,检查VLAN接口配置和相关的ACL配置。
Hostname#show running-config
ip access-list standard acl_deny_host
10 deny host 130.255.210.1
20 permit any
interface vlan2
ip address 130.255.209.1 255.255.0.0
ip access-group acl_deny_host in
exit
上述信息说明,VLAN2接口的入方向配置了一个名为acl_deny_host的ACL,该ACL限制了源IP地址为130.255.210.1的报文。
如果接口配置了ACL对登录IP进行限制,请修改配置;如果接口配置没有配置ACL对登录IP进行限制,请执行步骤6。
⑹检查接口是否配置了ACL对SSH端口号进行限制。执行show running-config命令,检查VLAN接口配置和相关的ACL配置
Hostname#show running-config
ip access-list extended acl_deny_ssh_port
10 deny tcp any any eq 22
20 permit ip any any
interface vlan2
ip address 130.255.203.109 255.255.0.0
ip access-group acl_deny_ssh_port in
上述信息说明,VLAN2接口的入方向配置了一个名为acl_deny_ssh_port的ACL,该ACL对SSH端口号进行了限制。如果接口配置了ACL对SSH端口号进行限制,请修改配置。如果接口没有配置ACL对SSH端口号进行限制,请执行步骤7。
⑺检查line vty是否配置了ACL对登录IP进行了限制。执行show running-config命令,检查line vty配置和相关的ACL配置。
Hostname#show running-config
ip access-list standard acl_deny_host
10 deny host 130.255.210.1
20 permit any
line vty 0 15
access-class acl_deny_host in
exec-timeout 0 0
no login
exit
上述信息说明,line vty下配置了一个名为acl_deny_host的ACL,该ACL对IP地址130.255.210.1进行了限制。如果line vty配置了ACL对登录IP进行限制,请修改配置;如果line vty没有配置ACL对登录IP进行限制,请执行步骤8。
⑻检查已登录的用户总数是否达到了限制上限。执行show running-config命令,检查line vty配置。
Hostname#show running-config
line vty 0 7
exec-timeout 0 0
no login
exit
上述信息说明,登录用户数的上限为8,如果没有line vty的配置,默认上限是16。
执行who命令,检查已登录用户总数。
Hostname#who
LINE USER HOST IDLE-TIME IDLE-TIMEOUT TOTAL-TIME
———- ———- ————— ———- ————— —————
* vty7 a 130.255.210.29 00:01:38 no time out 00:01:38
vty6 a 130.255.210.25 00:01:42 no time out 00:01:42
vty5 a 130.255.210.21 00:01:46 no time out 00:01:46
vty4 a 130.255.210.17 00:01:49 no time out 00:01:49
vty3 a 130.255.210.13 00:01:53 no time out 00:01:53
vty2 a 130.255.210.9 00:01:57 no time out 00:01:57
vty1 a 130.255.210.5 00:02:03 no time out 00:02:03
vty0 a 130.255.210.1 00:02:08 no time out 00:02:08
tty0 – – 00:02:14 no time out 01:52:26
上述信息说明,已登录用户总数为8,已经达到了上限。如果已登录的用户总数达到了限制上限,请修改配置;如果已登录的用户数没有达到限制上限,请执行步骤9。
⑼检查登录用户名、密码是否正确。
当SSH客户端输入用户名和密码后,检查SSH客户端上是否有类似这样的提示信息:与SSH服务器口令认证失败,请检查用户名和密码是否正确。如果登录用户名、密码错误,请重新输入正确的用户名和密码。如果登录用户名、密码正确,请执行步骤10。
⑽请收集如下信息,联系技术支持中心。
① 上述步骤的执行结果。
②网络拓扑。
③设备的配置文件(show running-config)、日志信息(show logging、show logging buffer)。
④打开调试开关(debug ssh server)收集2分钟以上的debug信息。
Telnet/SSH成功登录设备后,操作命令有明显停顿感
故障缘由:
⑴客户端与被登录设备之间IP网络丢包。
⑵启用了历史命令保存功能,但flash剩余空间极小。
⑶设备CPU利用率高。
排障思路:
⑴检查客户端与被登录设备之间IP网络是否丢包。
⑵检查是否启用了历史命令保存功能,flash剩余空间是否极小。
⑶检查设备CPU利用率是否过高。
排障步骤:
⑴检查客户端与被登录设备之间IP网络是否丢包。Telnet/SSH客户端上执行ping ip-address -t命令,检查客户端与被登录设备之间IP网络是否丢包。
Hostnameping 130.255.209.1 -t
Pinging 130.255.209.1 with 32 bytes of data:
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Request timed out.
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Request timed out.
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Request timed out.
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Request timed out.
Request timed out.
Reply from 130.255.209.1: bytes=32 time<1ms TTL=255
Request timed out.
Ping statistics for 130.255.209.1:
Packets: Sent = 19, Received = 12, Lost = 7 (36% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
上述信息说明,客户端与被登录设备之间IP网络有丢包。如果客户端与被登录设备之间IP网络有丢包,请检查IP网络丢包的缘由。如果客户端与被登录设备之间IP网络没有丢包,请执行步骤2。
⑵检查是否启用了历史命令保存功能,且flash剩余空间很小;执行show running-config命令,检查是否启用了历史命令保存功能。
Hostname#show running-config
no service password-encrypt
no service new-encrypt
service login-secure
service shell-history
上述信息说明,设备启用了历史命令保存功能。
文件系统模式下,执行volume命令,检查flash剩余空间。
Hostname(config-fs)#volume
volume descriptor ptr (pVolDesc): 0x7f820bd0
cache block I/O descriptor ptr (cbio): 0x7f71bf10
auto disk check on mount: DOS_CHK_REPAIR | DOS_CHK_VERB_2
max # of simultaneously open files: 22
file descriptors in use: 0
# of different files in use: 0
# of descriptors for deleted files: 0
# of obsolete descriptors: 0
current volume configuration:
– volume label: NO LABEL ; (in boot sector: )
– volume Id: 0x98
– total number of sectors: 126,968
– bytes per sector: 512
– # of sectors per cluster: 4
– # of reserved sectors: 1
– FAT entry size: FAT16
– # of sectors per FAT copy: 124
– # of FAT table copies: 2
– # of hidden sectors: 8
– first cluster is in sector # 264
– Update last access date for open-read-close = FALSE
– directory structure: VFAT
– root dir start sector: 249
– # of sectors per root: 15
– max # of entries in root: 240
FAT handler information:
————————
– allocation group size: 4 clusters
– free space on volume: 206,848 bytes(0.20 MB)
上述信息说明,flash剩余空间为200k左右。
启用了历史命令保存功能且flash剩余空间极小,操作命令就会有明显停顿感。如果启用了历史命令保存功能且flash剩余空间极小,请删除flash中不必要的文件。如果启用了历史命令保存功能且flash剩余空间足够,或没有启用历史命令保存功能,请执行步骤3。
⑶检查设备CPU利用率是否过高。执行show cpu monitor命令,检查CPU利用率。
Hostname#show cpu monitor
CPU utilization for five seconds: 100%; one minute: 100%; five minutes: 100%
CPU utilization per second in the past 60 seconds:
100% 100% 100% 100% 100% 100% 100% 100% 100% 100%
100% 100% 100% 100% 100% 100% 100% 100% 100% 100%
100% 100% 100% 100% 100% 100% 100% 100% 100% 100%
100% 100% 100% 100% 100% 100% 100% 100% 100% 100%
100% 100% 100% 100% 100% 100% 100% 100% 100% 100%
100% 100% 100% 100% 100% 100% 100% 100% 100% 100%
CPU utilization per minute in the past 60 minutes:
100% 100% 100% 100% 100% 100% 100% 100% 100% 100%
39% 17% 10% 12% 12% 60% 13% 27% 63% 78%
73% 77% 82% 80% 81% 67% 40% 32% 40% 36%
41% 38% 45% 20% 30% 22% 31% 12% 14% 18%
31% 37% 13% 16% 35% 16% 10% 10% 8% 6%
5% 6% 6% 8% 13% 22% 17% 5% 26% 26%
CPU utilization per quarter in the past 96 quarters:
48% 32% 15% 24% 12% 10% 11% 10%
11% 10% 12% 10% 12% 14% – –
上述信息说明,CPU利用率过高。如果设备CPU利用率过高,请检查CPU利用率过高的缘由。如果设备CPU利用率不高,请执行步骤4。
⑷请收集如下信息,联系技术支持中心。
①上述步骤的执行结果。
②网络拓扑。
③设备的配置文件(show running-config)、日志信息(show logging、show logging buffer)。
④收集系统信息(show cpu、show cpu monitor、show memory、show pool、show ip sockets)。
- 最新
- 最热
只看作者