有没有试过三更半夜被喊去机房改配置？明明开个远程就能解决的事，非得跑断腿！跟你说，现在连乡镇小机房都开始用SSH登录交换机了。但为啥你的华为S5720死活连不上？今天带你看破这层窗户纸。

传统telnet就像用明信片传密码，随便哪个电工都能截获。SSH则是把信件装进保险箱，再包三层防弹钢板。举个实在的例子：去年某物流公司的管理员用telnet改配置，结果被黑客篡改路由表，7小时损失26万票订单！

关键配置两步走：
​​step1: 开启SSH服务​​

markdown复制
[Huawei] stelnet server enable  
[Huawei] rsa local-key-pair create  

（这步相当于给交换机办身份证）

​​step2: 给账号配钥匙​​

markdown复制
[Huawei] ssh user admin authentication-type password  
[Huawei] user-interface vty 0 4  
[Huawei-ui-vty0-4] protocol inbound ssh  

（VTY通道不开谁都别想进）

碰到最多的情况是：输入IP直接显示connection refused。先看这份检查清单：

1. 网线插的是管理口还是业务口？有些交换机带独立MGMT接口
2. 防火墙拦着了吧？试试临时关Windows Defender
3. 版本太老要升级！V200R003之前的系统不支持SHA2加密
4. 没开通VTY通道？查看protocol inbound有没有ssh字样
5. ACL访问控制列表搞事情，默认放行规则加一条
6. 管理员开了登录限制？dis cu | in auth看看认证方式

去年碰到个经典案例：客户用Putty死活连不上，结果是本地电脑的IPv6设置冲突。关掉IPv6协议栈后秒连，你说气不气人？

拿S5720-28X-LI举例，配置步骤打包给你：

1. 进系统视图敲​​sysname SSH-SWITCH​​改个名
2. ​​interface Vlanif 1​​配管理地址，比如192.168.1.254/24
3. ​​ssh client first-time enable​​允许首次连接
4. ​​display rsa local-key-pair public​​查看公钥指纹
5. Win10打开PowerShell输入​​ssh admin@192.168.1.254​​

记住几个救命指令：

• ​​reset ssh server counters​​ 清除登录统计
• ​​display ssh user-information​​ 查看在线用户
• ​​undo ssh server port​​ 恢复默认22端口

碰到报错"SSH server is not running"？八成是没执行stelnet server enable。这跟开餐馆一个道理——得先挂牌营业才能接客啊！

小编观点：新手最常栽在防火墙和VTY配置这两关。建议开启SSH的同时改默认端口，把22改成50022能挡掉90%的扫描攻击。真怕麻烦的可以上云管理平台，不过说到底，手敲命令的功夫还是别偷懒，毕竟谁也不想大冷天跑机房对吧？

微信二维码 微信公众号