华为交换机SSH配置失败常见原因？

华为交换机SSH配置失败，核心原因在于服务启用、协议兼容、密钥交换、用户权限与网络策略五大环节中任一环节配置缺位或参数不匹配。具体而言，设备若未全局启用STelnet服务、未在AAA域中正确绑定用户权限与认证方式、未于VTY线路下指定SSH为唯一入站协议，或未配置服务器端源接口（尤其V200R020C00及之后版本默认禁用所有接口接入），均会导致连接中断；同时，客户端与交换机在SSH协议版本（如v1/v2）、密钥交换算法（如curve25519-sha256与dh_group14_sha1）、主机公钥类型（rsa-sha2-256与rsa）之间的协商失败，亦是“Key exchange failed”等报错的直接诱因。每一项配置均有明确的命令路径与缺省状态依据，需严格对照官方文档逐项验证。

一、服务启用与基础协议配置必须完整闭环

首先确认STelnet服务是否全局启用，执行命令“stelnet server enable”为必要前提；其次检查SSH服务器超时与重试次数是否合理，推荐配置“ssh server timeout 120”和“ssh server authentication-retries 5”，避免因会话中断或输错密码导致连接终止。同时需验证VTY线路配置——进入“user-interface vty 0 4”，必须明确设置“protocol inbound ssh”并启用AAA认证模式，缺省状态下若仅配置“authentication-mode aaa”而未限定协议类型，系统可能默认允许Telnet接入，从而拒绝SSH协商请求。

二、用户权限体系需严格匹配三层逻辑

AAA域内用户配置不可简化：本地用户须通过“local-user username password irreversible-cipher”设定强加密密码；服务类型必须双指定——既在SSH用户视图下执行“ssh user username service-type stelnet”，又在AAA视图中执行“local-user username service-type ssh”；权限等级则需显式赋予“local-user username pri level 15”，否则即使认证通过，也会因权限不足被静默拦截。三者缺一不可，任一环节缺失均表现为“Authentication failed”或无响应。

三、密钥交换与公钥算法必须双向对齐

当出现“Key exchange failed”报错时，优先在交换机执行“display current-configuration | include ssh”查看当前启用的KEX算法。若客户端（如Xshell）仅支持dh_group14_sha1，而设备默认启用curve25519-sha256，则需在系统视图下执行“ssh server key-exchange dh_group14_sha1”强制加载兼容算法；同理，若报错提示“Couldn’t agree a host key algorithm”，应执行“ssh server publickey rsa”将主机密钥类型降级为传统RSA，避免因客户端不支持rsa-sha2-256引发协商失败。

四、网络策略层面需解除接口与ACL限制

V200R020C00及以上版本默认禁止所有接口接收SSH连接，必须显式执行“ssh server-source all-interface”开放接入；若已部署ACL，则需核查ACL规则编号是否与“ssh server acl XXXX”指令一致，且规则中必须包含permit语句放行源IP段与目标端口22。此外，建议通过“display ssh server status”确认STELNET IPv4服务状态为Enable，并核对ACL4 number非零值，确保策略已生效。

综上，华为交换机SSH连通性问题本质是配置链路的完整性校验，需按服务层、用户层、协议层、网络层四级顺序逐项排查，每步均有可验证的命令输出与明确的缺省状态参照。