华为交换机配置SSH登录后无法连接怎么排查

华为交换机配置SSH后无法连接，根本原因通常是高版本VRP系统默认禁用所有接口的SSH远程接入权限。这一设计出于安全加固考量，并非配置失效或设备异常——当执行`display ssh server status`确认服务已启用、VTY线路协议明确指定`protocol inbound ssh`、本地用户具备SSH服务类型且AAA认证就绪后，若仍提示“Connection refused”，极大概率是系统隐式执行了`undo ssh server-source all-interface`指令。此时需手动运行`ssh server-source all-interface`开放全接口SSH响应能力，或精准指定管理VLAN接口（如`ssh server-source -i Vlanif100`），确保客户端访问路径与授权接口IP可达性严格匹配。

一、确认管理接口IP配置与连通性基础

必须确保交换机已正确配置管理VLAN接口的IPv4地址，且该地址处于客户端可路由可达状态。例如执行[Huawei]interface Vlanif 100、[Huawei-Vlanif100]ip address 192.168.10.1 255.255.255.0后，需在客户端使用ping命令验证三层可达性；若使用Trunk或Hybrid端口承载管理VLAN，还需检查对应物理端口是否允许该VLAN通过，并确认交换机与网关之间无ARP抑制或ICMP限速策略干扰。同时应避免将管理IP配置在Loopback接口却未在路由表中宣告，导致SSH SYN包无法完成三次握手。

二、逐级验证SSH服务运行链路

首先执行[Huawei]display ssh server status，确认输出中“SSH Server State”为Enabled、“Authentication Timeout”与“Server Key Exchange”字段均正常；其次运行[Huawei]display user-interface vty，核查vty 0–4线路的“Protocol”列显示为ssh而非telnet，且“Current State”为Idle或Active；再通过[Huawei]display local-user admin查看用户状态，确保service-type字段包含ssh、level为3或以上，并处于Active状态；最后用[Huawei]display firewall session table verbose protocol tcp dst-port 22确认系统未启用防火墙会话拦截，排除ACL或安全策略隐式丢包可能。

三、精准执行接口源授权指令

在确认前述环节无误后，立即执行[Huawei]ssh server-source all-interface开放全接口响应能力；若出于安全审计要求需限制接入范围，则须指定实际承载管理流量的三层接口，如[Huawei]ssh server-source -i Vlanif100，此时客户端必须使用该接口IP（如192.168.10.1）发起连接，且中间网络设备不得对该IP做NAT或策略路由重定向。该命令无需保存配置即可即时生效，但建议随后执行save命令固化。

四、客户端侧关键校验点

使用标准OpenSSH客户端（如PuTTY或Windows Terminal）连接时，协议版本应设为SSH-2，密钥交换算法优先选择ecdh-sha2-nistp256；禁用“Attempt GSSAPI authentication”选项以规避Kerberos兼容性问题；连接前关闭本地杀毒软件的网络行为监控模块，防止其劫持22端口连接请求。若仍失败，可在交换机侧开启调试：[Huawei]debugging ssh event、[Huawei]terminal monitor，实时观察SSH握手阶段的报文交互日志。

综上，SSH连接失败本质是权限路径未显式打通，而非功能缺失，按接口授权→服务状态→用户链路→客户端参数四步闭环排查，即可高效定位并解决。