一、“通过Console口登录设备失败”处理办法
核对通信参数,确认是否配置正确。(此处使用第三方软件MobaXterm为例进行介绍)确认设置的连接端口是否正确。有些PC上会有多个串口,每个串口都有对应的编号,在设置连接端口时,需要选择连接的端口对应的编号。
确认PC的串口物理属性是否与设备的Console口属性保持一致,如图6-6所示。在设备Console口属性没有改变的情况下,属性参数为:
波特率:9600
数据位:8
奇偶校验位:无
停止位:1
流控:无
图1 设置连接的接口以及通信参数
2、确认串口线缆连接是否牢固且能正常使用。可以考虑更换一根确定之前使用没有问题的串口线缆。
3、如果能登录到认证界面,但输入正确的用户名和密码后提示认证失败,此时可能是Console用户界面的认证方式配置有误。请通过其他方式登录设备(例如Telnet),确认在AAA视图下是否执行了local-user user-name service-type terminal命令为Console登录的用户配置接入类型;如果Telnet等远程方式无法登录,则需要通过BootLoad清除Console口的登录信息,具体操作方式请参见“BootLoad菜单操作”中的“清除Console登录密码”。
二、“通过telnet登录设备失败”处理办法
1、查看登录设备的用户数是否到达了上限。
从Console口登录到设备,执行命令display users,查看当前的VTY通道是否全部被占用。缺省情况下,VTY通道允许的最大用户数是5个,可以先执行命令display user-interface maximum-vty,查看当前VTY通道允许的最大用户数。如果当前的用户数已经达到上限,可以执行命令user-interface maximum-vty 15,将VTY通道允许的最大用户数扩展到15个。然后在扩展后的VTY用户界面配置支持的协议类型、认证方式和用户级别。2、查看设备上VTY类型用户界面视图下是否配置了ACL。(以Telnet IPv4为例)
在Telnet服务器端上执行命令user-interface vty进入用户界面视图,执行命令display this,查看VTY用户界面是否配置了ACL限制,如果配置了ACL限制,请记录该ACL编号。在Telnet服务器端上执行命令display acl acl-number,查看该访问控制列表中是否deny了Telnet客户端的地址。如果deny客户端的IP地址,则在ACL视图下,执行命令undo rule rule-id,删除deny规则,再执行相应的命令修改访问控制列表,允许客户端的IP地址访问。3、查看VTY类型用户界面视图下允许接入的协议配置是否正确。
在Telnet服务器端上执行命令user-interface vty进入用户界面视图,执行命令display this,查看VTY用户界面的protocol inbound是否为telnet或者all(缺省情况下,系统支持协议SSH)。如果不是,执行命令protocol inbound { telnet | all }修改配置,允许telnet类型用户接入设备。4、查看用户界面视图下是否设置登录认证。
在VTY用户界面视图执行display this查看登录认证方式。如果使用命令authentication-mode password配置了VTY通道下的登录认证方式为password,则必须在登录时输入此密码。如果使用命令authentication-mode aaa设置认证方式为aaa,则必须使用命令local-user创建AAA本地用户。三、“通过STelnet登录设备失败”处理办法
1、查看设备的SSH服务是否启动。
通过Console口或Telnet方式登录SSH服务器端,执行命令display ssh server status,查看SSH服务器端配置信息。
如果STelnet没有使能,执行如下命令stelnet [ ipv4 | ipv6 ] server enable,使能SSH服务器端的STelnet服务。
2、在SSH服务器端上查看VTY类型用户界面视图下允许接入的协议配置是否正确。
在SSH服务器端上执行命令user-interface vty进入用户界面视图,执行命令display this,查看VTY用户界面的protocol inbound是否为ssh或者all。如果不是,执行命令protocol inbound { ssh | all }修改配置,允许STelnet类型用户接入设备。
3、查看在SSH服务器端是否配置了RSA、DSA或ECC公钥。
设备作为SSH服务器时,必须配置本地密钥对。
在SSH服务器端上执行命令display rsa local-key-pair public、display dsa local-key-pair public或display ecc local-key-pair public查看当前服务器端密钥对信息。如果显示信息为空,则表明没有配置服务器端密钥对,执行命令rsa local-key-pair create、dsa local-key-pair create或ecc local-key-pair create创建。
4、查看SSH服务器端上是否配置了SSH用户。
执行命令display ssh user-information,查看SSH用户的配置信息。如果不存在配置信息,请在系统视图下执行命令ssh user、ssh user authentication-type和ssh user service-type,新建SSH用户并配置SSH用户的认证方式和SSH用户的服务方式。
5、查看登录SSH服务器端的用户数是否到达了上限。
从Console口登录到设备,执行命令display users,查看当前的VTY通道是否全部被占用。缺省情况下,VTY通道允许的最大用户数是5个,可以先执行命令display user-interface maximum-vty,查看当前VTY通道允许的最大用户数。
如果当前的用户数已经达到上限,可以执行命令user-interface maximum-vty 15,将VTY通道允许的最大用户数扩展到15个。
6、查看SSH服务器端上VTY类型用户界面下是否绑定了ACL。
在SSH服务器端上执行命令user-interface vty进入SSH用户会使用的界面视图,执行命令display this,查看VTY用户界面是否配置了ACL限制,如果配置了ACL限制,请记录该ACL编号。
在SSH服务器端上执行命令display acl acl-number,查看该访问控制列表中是否deny了STelnet客户端的地址。如果deny客户端的IP地址,则在ACL视图下,执行命令undo rule rule-id,删除deny规则,再执行相应的命令修改访问控制列表,允许客户端的IP地址访问。
7、查看SSH客户端和服务器上SSH版本信息。
在SSH服务器上执行命令display ssh server status,查看SSH版本信息。
8、查看SSH客户端是否使能了首次认证功能。
在系统视图下执行命令display this,查看是否使能SSH客户端首次认证功能。
如果没有使能SSH客户端首次认证功能,则STelnet客户端第一次登录SSH服务器时,由于对SSH服务器的公钥有效性检查失败,而导致登录服务器失败。执行命令ssh client first-time enable使能SSH客户端首次认证功能。
9、查看SSH服务器上是否配置了攻击溯源。
在SSH服务器上执行命令display auto-defend configuration,查看攻击溯源的配置信息。
缺省情况下,SSH服务器上使能了攻击溯源功能。如果指定攻击溯源的惩罚措施为丢弃,端口收到的可防范协议报文的速率超过端口防攻击检查阈值时,可能导致用户登录异常。可执行命令undo auto-defend enable去使能攻击溯源功能,或者执行命令undo auto-defend action去使能攻击溯源的惩罚功能。
