HQY

×

WL-007:华为 S5700/S5735S 交换机 SSH 配置与 V600R024 实战避坑指南——解决 Permission denied 无法登录,全网通用解决指南

hqy hqy 发表于2026-07-01 11:05:46 浏览10 评论0

抢沙发发表评论

还在用 Telnet 吗?信息安全不允许!用SSH 连不上?一文读懂加密算法协商原理,从此打通华为/华三/Cisco,SSH 密钥交换(Kex)原理详解与全网通用解决指南


适用型号:S5735S-L24P4S-A3(V600R024C10SPC500)

核心价值:解决 Permission denied和 Connection refused顽疾。



图片
图片



一、前言:为什么你按教程配也连不上?

很多朋友反馈:照着教程敲命令,SSH 就是连不上,报错 

Authentication failPermission denied, please try again.   Authentication failed.或 Authentication failAuthentication failAuthentication fail    Connection closing...Socket close.

图片


图片


根本原因:华为 V600R024 版本(YunShan OS)增强了安全性,新增了强制绑定源接口服务类型校验,管理员密码首次登录修改密码等,老教程没提及,所以必败。


本文基于 S5735S-L24P4S-A3 真机整理,专治各种 SSH 连不上。


二、核心原理:SSH 登录的“三层结构”

把 SSH 登录想象成进一栋大楼,三层缺一不可:

层级

比喻

华为配置

不配的后果

第一层:门卫

决定访客从哪进

ssh server-source

找不到门(Refused)

第二层:大门

允许什么方式进

stelnet server enable

门是关着的

第三层:门禁

验证身份与权限

local-userssh user

有门也进不去(Denied)

李工大白话

local-user户口本(你是谁);

ssh user通行证(你能不能用 SSH)。

两者必须同时存在!


三、配置前的准备工作

2.1 确认管理 IP

首先确认你的交换机管理 IP 是什么。本文示例中,管理 IP 配置在 Vlanif99 上,地址为 10.10.10.20/24



display ip interface brief


找到你的管理 VLAN 接口,确认 IP 地址已配置且状态为 up


图片


2.2 确认软件版本



display version


如果输出中包含 V600R023C10 或 V600R024C10,本文完全适用。


图片


2.3 准备工具

  • Console 线:用于首次配置,这是最安全的方式

  • SSH 客户端:Xshell、PuTTY、或者 Linux/Mac 自带的 ssh 命令

  • 网线:将电脑连接到交换机所在网络

⚠️ 重要提醒:配置 SSH 之前,请确保你手边有一根 Console 线。如果 SSH 配置失败,Console 是唯一的“救生通道”。


图片
图片



四、详细配置步骤(复制即用)

假设管理 IP 在 Vlanif9910.10.10.20),用户名为 sshadmin



system-view
1. 生成本地密钥(回车默认3072位,SSH加密的基础)

rsa local-key-pair create
图片
2. 开 SSH 服务

stelnet server enable
图片
3. 【关键】⚠️ 指定 SSH 监听接口(最容易遗漏的一步)(V600R024 强制要求)


V600R024 版本出于安全考虑,默认不响应任何接口的 SSH 请求。你必须要明确告诉它:“从哪个接口接收 SSH 连接”。

如果你使用 Vlanif99 作为管理接口:



ssh server-source -i Vlanif99
图片


如果你想让 SSH 在所有接口上都响应(不推荐用于生产环境):



ssh server-source all-interface


⚠️ 警告:这一步如果不配置,无论其他配置多么完美,SSH 都连不上!这是 V600R024 版本与旧版本最大的区别。


4. 配置 VTY 通道允许 SSH 接入(登录通道)




user-interface vty 0 4 
authentication-mode aaa 
protocol inbound ssh   
# 只许 SSH,禁 Telnet 
quit
图片
5. 建户口本(AAA 本地用户)






aaa 
local-user sshadmin password irreversible-cipher Admin@2024 
local-user sshadmin service-type ssh   
# 【关键】绑定 SSH 权限 
local-user sshadmin privilege level 3  
# 3 是最高权限 
local-user sshadmin password-force-change disable 
# 关首次改密 quit
图片
6. 【关键】办通行证(SSH 用户)



ssh user sshadmin authentication-type password
ssh user sshadmin service-type shh
quit
图片
7. 配置算法兼容性(不一定你能遇到,遇到了就说明你是一个念旧,重感情的人,不接受反驳!?)
简单来说,客户端和刚才配置好的华为设备在“加密语言”上没对上号。
粉丝错提示:
图片
我用CRT老版本测试提示:
图片
图片
查看老CRT客户的支持的算法:
图片
华为交换机支持的算法:
图片
如果遇到也不慌:
方案一:推荐升级新版本(只要有对应算法支持即可)
方案二:更换其他支持的版本我开始测试的是Xshell8.0版本正常(本文开始就是用的Xshell8.0),能用的原因算法都有。
图片
方案三:华为设备开启兼容模式(临时救急)



[Huawei-PoE]ssh server key-exchange dh_group14_sha1 Warning: Insecure key exchange algorithm (dh_group14_sha1) is enabled. Disabling it is recommended.[Huawei-PoE]


添加后在测试就可以


图片



? 扩展阅读:为什么老版 SecureCRT 连不上新设备?(SSH 的“暗号”之争)

很多运维朋友会遇到一个诡异的现象:明明账号密码都对,Xshell 秒连,但老版本的 SecureCRT 却死活连不上,甚至直接报错。

其实,这是一场关于“加密暗号”的博弈。


图片


1. Server 与 Client:谁在跟谁对暗号?

在 SSH 连接里,两个角色分工明确:

  • ssh server(门卫大爷):管“别人怎么连进来”。当你的电脑(Xshell/CRT)去连交换机时,交换机就是 Server。门卫大爷手里有一张“允许通行的暗号清单”,只有对上清单里的暗号,才放你进去。

  • ssh client(外交官):管“这台设备怎么连出去”。当你在交换机上敲命令去连别的设备时,这台交换机才变成 Client。外交官手里也有一张“我习惯用的暗号清单”

划重点:你用电脑连交换机,只看 ssh server 的配置;ssh client 的配置根本不影响你连入设备。

2. 为什么 Xshell 行,老版 CRT 不行?

这就好比两代人聊天:

  • Xshell 是“年轻人”:它精通最新的加密语言(如 curve25519group16)。它去敲交换机的门说:“我们用最新的 SHA256 暗号聊吧?” 交换机一看清单,自己也支持,于是握手成功。

  • 老版 SecureCRT 是“老年人”:它的知识库停留在十年前,只懂老旧的加密语言(如 dh_group14_sha1)。它去敲门说:“我们用 group14聊吧?” 交换机(默认开启了高安全标准)一听:“不行,这暗号太老了,有安全风险,我不认识!” 于是直接拒之门外。

3. 如何解决?让门卫大爷“向下兼容”

既然老版 CRT 学不会新暗号,我们只好给交换机的“门卫大爷”(ssh server)的清单里,加上老暗号。

在华为设备命令行输入:




system-view
ssh server key-exchange dh_group14_sha1


这条命令的意思是:“如果有老古董客户端想用 group14连我,虽然不太安全,但也放行吧。”

配置好之后,老版 SecureCRT 再去敲门,双方终于“对上暗号”了,连接自然成功!


? 运维小贴士(安全建议):

虽然“向下兼容”能解决眼前的燃眉之急,但 dh_group14_sha1确实存在安全风险(易受 Logjam 攻击)。如果条件允许,强烈建议将 SecureCRT 升级到 8.0 以上版本,或者直接换用免费且强大的 MobaXterm,从根源上解决问题!




8. 保存(别忘记保存,没有保存重启这些配置全没有了)

save
图片


⚠️ 密码复杂度:V600R024 强制要求大小写+数字+特殊字符(如 Admin@2024)。

⚠️ 用户名长度:本地用户名必须 ≥ 6 位,admin不可用,请用 sshadmin。


五、验证配置(排错必看)

1. 看 SSH 服务状态



display ssh server status


重点看STELNET IPv4 server : Enable


图片


2. 看户口本(AuthMask 必须为 S)



display local-user


AuthMask

含义

能否登录

S

已绑定 SSH

✅ 能

-

未绑定服务

❌ 不能


图片


3. 看通行证



display ssh user-information sshadmin


重点看Service type : stelnet


图片
4.登录测试(成功):
图片




图片



六、常见问题排雷(速查表)

报错现象

核心原因

急救命令

Connection refused

没配 ssh server-source

ssh server-source -i Vlanif99

Permission denied

户口本缺 service-type ssh

local-user sshadmin service-type ssh

Permission denied

没办通行证

ssh user sshadmin service-type stelnet

连上秒断

用户名长度不够

改用 ≥6 位用户名

提示改密码

首次登录策略

local-user ... password-force-change disable

突然连不上

IP 被阻断

ssh server ip-block disable

排查顺序(黄金流程)


1. Ping:网络通不通?

图片

2. Sourcedisplay current | include ssh server-source

图片

3. AuthMaskdisplay local-user看是不是 S

图片

4. Passdisplay ssh user-information

图片

5. IP被阻断 :display ssh server ip-block list

图片
关闭后就没有阻塞了:(等时间完了自动取消,也可以关闭自行选择。)



[Huawei-PoE]ssh server ip-block disable 
Warning: It is not recommended to disable IP block feature. This operation may result in system becoming vulnerable to security threats.
[Huawei-PoE]display ssh server ip-block list



七、总结

关键点

一句话记住

新版本特性

V600R024 必须配 ssh server-source

两个账户

local-user(户口本)+ ssh user(通行证)。

权限绑定

户口本里必须包含 service-type ssh

密码策略

复杂度要高,用户名要长(≥6位)。


互动话题:


你们配华为 SSH,最常被哪一步卡住?

  • 忘了 ssh server-source

  • local-user没绑服务 

  • 密码不符合复杂度 

  • 用户名 admin不能用 

  • 首次必须更改密码


打赏

本文链接:https://kinber.cn/post/6684.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客