阿祥深知作为网络工程师,有些时候用SSH运维网络设备的时候,连接访问出奇的慢,今天阿祥就将核心原因主要分设备侧配置、网络链路、认证、DNS、会话参数 五类,一 一的给出排查和调优方法,均可直接解决问题。
一、最常见原因:SSH开启了DNS反向解析(首选优化)
交换机收到SSH连接请求后,会反向解析客户端IP对应的域名,解析超时就会卡顿数秒~十几秒,这是绝大多数场景的根因。
优化命令(主流厂商)
-
华三/H3C
system-view
undo ip domain lookup
部分版本额外关闭SSH域名解析:
ssh server disable dns-resolve-
华为
system-view
undo dns resolve -
思科
configure terminal
no ip domain-lookup
二、SSH版本/加密算法协商耗时
客户端和交换机算法、密钥交换套件不匹配,双方不断重试协商,导致连接慢。
优化方式
-
交换机端指定优先使用通用、高效 的算法(避免老旧弱算法、小众算法)
以华三为例:ssh server encryption-algorithm aes128-cbc aes128-ctr
ssh server kex-algorithm diffie-hellman-group-exchange-sha1
ssh server mac-algorithm hmac-sha1 -
客户端(Xshell、SecureCRT、FinalShell)手动强制指定加密算法,和设备对齐。
三、认证环节拖慢:AAA/本地认证、密码策略、服务器超时
1. 远端AAA认证(Radius/Tacacs+)慢
如果账号不在本地,走远端认证服务器,网络延迟、服务器负载都会导致卡顿。
- 临时测试:新建本地账号登录,若速度恢复,就是AAA服务器问题。
- 优化:检查认证服务器连通性、延迟;缩短AAA超时时间,或高频运维设备改用本地账号。
2. 登录前Banner/消息提示
设备配置了超大标题、每日提示、法律声明,SSH会话会先加载完文本再弹出登录框。
- 查看:
display current-configuration | include header - 优化:精简/关闭登录横幅
华三:undo header shell
华为:undo header login
四、网络链路&设备资源问题
-
链路丢包/延迟高
直连、同网段测试:
ping 交换机IP -t,看是否丢包、延迟波动。跨网段、跨防火墙、NAT环境更容易卡顿,检查防火墙是否对SSH端口(22)做了限流、会话检测。 -
交换机CPU/内存高
设备负载满时,处理SSH请求优先级低,响应变慢。
查看负载:
- 华三/华为:
display cpu-usage、display memory-usage
优化:清理无用会话、关闭闲置服务(HTTP、Telnet、SNMP无用版本等)。
- 华三/华为:
-
TCP会话超时、防火墙会话老化
中间防火墙/网关对空闲TCP会话 老化时间过短,新建连接需要重建会话。
调整防火墙:延长TCP会话老化时间(针对22端口)。
五、SSH服务本身参数调优
-
调整SSH监听、超时参数(减少等待)
华三参考:缩短SSH连接握手超时
ssh server timeout 10
限制最大并发SSH会话,避免资源耗尽
ssh server max-sessions 10
-
关闭闲置不安全服务
Telnet、WEB、冗余服务会抢占资源,不需要则关闭:undo telnet server enable
undo http server enable
六、快速排查步骤(按顺序做,效率最高)
- 先执行 关闭DNS反向解析(90%问题解决);
- 用本地账号登录,排除AAA服务器问题;
- ping设备,确认网络无丢包高延迟;
- 精简登录横幅、关闭无用服务;
- 对齐客户端与设备的SSH加密算法;
- 查看设备CPU/内存,处理高负载。
补充:交换机SSH互联(设备连设备)慢
除以上点外,额外检查:
- 互联接口是否存在CRC错包、震荡 :
display interface 接口名查看错包计数; - 两台设备VLAN、三层路由是否存在路由递归、静态路由冗余;
- 设备间是否有ACL策略对22端口做了限速/拦截。