还在用 Telnet 吗?信息安全不允许!用SSH 连不上?一文读懂加密算法协商原理,从此打通华为/华三/Cisco,SSH 密钥交换(Kex)原理详解与全网通用解决指南
适用型号:S5735S-L24P4S-A3(V600R024C10SPC500)
核心价值:解决
Permission denied和Connection refused顽疾。


一、前言:为什么你按教程配也连不上?
很多朋友反馈:照着教程敲命令,SSH 就是连不上,报错
Authentication failPermission denied, please try again. Authentication failed.或 Authentication failAuthentication failAuthentication fail Connection closing...Socket close.


根本原因:华为 V600R024 版本(YunShan OS)增强了安全性,新增了强制绑定源接口和服务类型校验,管理员密码首次登录修改密码等,老教程没提及,所以必败。
本文基于 S5735S-L24P4S-A3 真机整理,专治各种 SSH 连不上。
二、核心原理:SSH 登录的“三层结构”
把 SSH 登录想象成进一栋大楼,三层缺一不可:
层级 | 比喻 | 华为配置 | 不配的后果 |
|---|---|---|---|
第一层:门卫 | 决定访客从哪进 |
| 找不到门(Refused) |
第二层:大门 | 允许什么方式进 |
| 门是关着的 |
第三层:门禁 | 验证身份与权限 |
| 有门也进不去(Denied) |
? 李工大白话:
local-user是户口本(你是谁);
ssh user是通行证(你能不能用 SSH)。两者必须同时存在!
三、配置前的准备工作
2.1 确认管理 IP
首先确认你的交换机管理 IP 是什么。本文示例中,管理 IP 配置在 Vlanif99 上,地址为 10.10.10.20/24。
display ip interface brief
找到你的管理 VLAN 接口,确认 IP 地址已配置且状态为 up。

2.2 确认软件版本
display version
如果输出中包含 V600R023C10 或 V600R024C10,本文完全适用。

2.3 准备工具
Console 线:用于首次配置,这是最安全的方式
SSH 客户端:Xshell、PuTTY、或者 Linux/Mac 自带的
ssh命令网线:将电脑连接到交换机所在网络
⚠️ 重要提醒:配置 SSH 之前,请确保你手边有一根 Console 线。如果 SSH 配置失败,Console 是唯一的“救生通道”。


四、详细配置步骤(复制即用)
假设管理 IP 在 Vlanif99(10.10.10.20),用户名为 sshadmin。
system-view
rsa local-key-pair create

2. 开 SSH 服务stelnet server enable

3. 【关键】⚠️ 指定 SSH 监听接口(最容易遗漏的一步)(V600R024 强制要求)V600R024 版本出于安全考虑,默认不响应任何接口的 SSH 请求。你必须要明确告诉它:“从哪个接口接收 SSH 连接”。
如果你使用 Vlanif99 作为管理接口:
ssh server-source -i Vlanif99

如果你想让 SSH 在所有接口上都响应(不推荐用于生产环境):
ssh server-source all-interface
⚠️ 警告:这一步如果不配置,无论其他配置多么完美,SSH 都连不上!这是 V600R024 版本与旧版本最大的区别。
4. 配置 VTY 通道允许 SSH 接入(登录通道)user-interface vty 0 4 authentication-mode aaa protocol inbound ssh # 只许 SSH,禁 Telnet quit

5. 建户口本(AAA 本地用户)aaa local-user sshadmin password irreversible-cipher Admin@2024 local-user sshadmin service-type ssh # 【关键】绑定 SSH 权限 local-user sshadmin privilege level 3 # 3 是最高权限 local-user sshadmin password-force-change disable # 关首次改密 quit

6. 【关键】办通行证(SSH 用户)ssh user sshadmin authentication-type password ssh user sshadmin service-type shh quit

7. 配置算法兼容性(不一定你能遇到,遇到了就说明你是一个念旧,重感情的人,不接受反驳!?)简单来说,客户端和刚才配置好的华为设备在“加密语言”上没对上号。
我用CRT老版本测试提示:




[Huawei-PoE]ssh server key-exchange dh_group14_sha1 Warning: Insecure key exchange algorithm (dh_group14_sha1) is enabled. Disabling it is recommended.[Huawei-PoE]
添加后在测试就可以

? 扩展阅读:为什么老版 SecureCRT 连不上新设备?(SSH 的“暗号”之争)
很多运维朋友会遇到一个诡异的现象:明明账号密码都对,Xshell 秒连,但老版本的 SecureCRT 却死活连不上,甚至直接报错。
其实,这是一场关于“加密暗号”的博弈。

1. Server 与 Client:谁在跟谁对暗号?
在 SSH 连接里,两个角色分工明确:
ssh server(门卫大爷):管“别人怎么连进来”。当你的电脑(Xshell/CRT)去连交换机时,交换机就是 Server。门卫大爷手里有一张“允许通行的暗号清单”,只有对上清单里的暗号,才放你进去。
ssh client(外交官):管“这台设备怎么连出去”。当你在交换机上敲命令去连别的设备时,这台交换机才变成 Client。外交官手里也有一张“我习惯用的暗号清单”。
划重点:你用电脑连交换机,只看 ssh server 的配置;ssh client 的配置根本不影响你连入设备。
2. 为什么 Xshell 行,老版 CRT 不行?
这就好比两代人聊天:
Xshell 是“年轻人”:它精通最新的加密语言(如
curve25519、group16)。它去敲交换机的门说:“我们用最新的 SHA256 暗号聊吧?” 交换机一看清单,自己也支持,于是握手成功。老版 SecureCRT 是“老年人”:它的知识库停留在十年前,只懂老旧的加密语言(如
dh_group14_sha1)。它去敲门说:“我们用group14聊吧?” 交换机(默认开启了高安全标准)一听:“不行,这暗号太老了,有安全风险,我不认识!” 于是直接拒之门外。
3. 如何解决?让门卫大爷“向下兼容”
既然老版 CRT 学不会新暗号,我们只好给交换机的“门卫大爷”(ssh server)的清单里,加上老暗号。
在华为设备命令行输入:
system-view ssh server key-exchange dh_group14_sha1
这条命令的意思是:“如果有老古董客户端想用 group14连我,虽然不太安全,但也放行吧。”
配置好之后,老版 SecureCRT 再去敲门,双方终于“对上暗号”了,连接自然成功!
? 运维小贴士(安全建议):
虽然“向下兼容”能解决眼前的燃眉之急,但 dh_group14_sha1确实存在安全风险(易受 Logjam 攻击)。如果条件允许,强烈建议将 SecureCRT 升级到 8.0 以上版本,或者直接换用免费且强大的 MobaXterm,从根源上解决问题!
8. 保存(别忘记保存,没有保存重启这些配置全没有了)save

⚠️ 密码复杂度:V600R024 强制要求大小写+数字+特殊字符(如 Admin@2024)。
⚠️ 用户名长度:本地用户名必须 ≥ 6 位,admin不可用,请用 sshadmin。
五、验证配置(排错必看)
1. 看 SSH 服务状态
display ssh server status
重点看:STELNET IPv4 server : Enable

2. 看户口本(AuthMask 必须为 S)
display local-user
AuthMask | 含义 | 能否登录 |
|---|---|---|
S | 已绑定 SSH | ✅ 能 |
- | 未绑定服务 | ❌ 不能 |

3. 看通行证
display ssh user-information sshadmin
重点看:Service type : stelnet



六、常见问题排雷(速查表)
报错现象 | 核心原因 | 急救命令 |
|---|---|---|
| 没配 |
|
| 户口本缺 |
|
| 没办通行证 |
|
连上秒断 | 用户名长度不够 | 改用 ≥6 位用户名 |
提示改密码 | 首次登录策略 |
|
突然连不上 | IP 被阻断 |
|
排查顺序(黄金流程)
1. Ping:网络通不通?

2. Source:display current | include ssh server-source

3. AuthMask:display local-user看是不是 S

4. Pass:display ssh user-information

5. IP被阻断 :display ssh server ip-block list

[Huawei-PoE]ssh server ip-block disable Warning: It is not recommended to disable IP block feature. This operation may result in system becoming vulnerable to security threats. [Huawei-PoE]display ssh server ip-block list
七、总结
关键点 | 一句话记住 |
|---|---|
新版本特性 | V600R024 必须配 |
两个账户 |
|
权限绑定 | 户口本里必须包含 |
密码策略 | 复杂度要高,用户名要长(≥6位)。 |
互动话题:
你们配华为 SSH,最常被哪一步卡住?
忘了
ssh server-sourcelocal-user没绑服务密码不符合复杂度
用户名
admin不能用首次必须更改密码
本文链接:https://www.kinber.cn/post/6684.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:

支付宝微信扫一扫,打赏作者吧~
