Linux SecureCRT如何进行网络故障排查

Linux 环境下用 SecureCRT 做网络故障排查的实用流程

一、快速定位思路

• 明确症状：是SSH 连不上、连接老断、还是速度很慢，对应的排查路径不同。
• 分层检查：按链路层 → 网络层 → 传输层 → 应用层逐级验证，先易后难，先远端后本端。
• 证据留存：开启会话日志与Trace Options，便于回溯与对比。
• 复现与对比：换网线/网段/客户端复现，或用PuTTY/Xshell对比，快速判断是否为客户端问题。

二、SecureCRT 内置功能与高效操作

• 会话与日志
  • 开启日志：File → Log Session；需要更细的协议层信息启用Trace Options。日志有助于定位握手、认证、断开原因。
• 快速连接与重连
  • 新建/复用会话：File → Quick Connect；会话异常可Reconnect恢复。
  • 稳定性优化：在会话设置中启用自动重连，网络抖动时可自动恢复会话。
• 传输与验证
  • 文件传输：SSH 会话可打开Connect SFTP Tab做文件拉取/推送，验证链路与应用可用性；必要时用Xmodem/Ymodem/Zmodem做应急传输验证。
• 仿真与显示
  • 终端仿真：在Options → Session Options → Terminal → Emulation选择合适的终端类型（如 xterm），并适当增大Scrollback便于回溯输出。

三、连接失败的排查步骤

• 链路与地址可达
  • 在本地或跳板机执行：ping <目标IP或域名>，确认ICMP 可达；必要时 traceroute/mtr 观察路径与丢包。
• 端口与服务状态
  • 确认远端 SSH 端口在监听：ss -lntp | grep :22 或 netstat -lntp | grep :22。
  • 确认服务运行：systemctl status sshd；若未运行：systemctl start sshd 并设置开机自启：systemctl enable sshd。
• 防火墙与安全组
  • 本机/服务器防火墙：firewall-cmd --list-ports 或 firewall-cmd --list-all；放行端口：firewall-cmd --add-port=22/tcp --permanent && firewall-cmd --reload。
  • 云环境同步检查安全组/NACL是否放行 TCP 22。
• 监听地址与端口
  • 若 ss -lntp 仅显示 127.0.0.1:22，需修改 /etc/ssh/sshd_config 的 ListenAddress 为 0.0.0.0（或指定服务器内网 IP），然后重启 sshd。
• 客户端侧验证
  • 先用 ssh -v user@host -p 22 观察握手过程；再换 PuTTY/Xshell 对比，排除 SecureCRT 配置问题。
• 认证与密钥
  • 若报密钥相关错误，清理旧指纹：ssh-keygen -R <host_or_IP>；必要时重新分发公钥到 ~/.ssh/authorized_keys。
  • 若提示主机密钥缺失，可在服务器重新生成缺失的 host key（如 ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key），再重启 sshd。
• 虚拟机/容器场景
  • 核对 VMnet8/NAT/桥接网络配置与虚拟网卡状态；确保虚拟机与宿主机在同一网段，网关/DNS 正确。

四、连接不稳定或易断开的优化

• 会话与网络
  • 启用自动重连；在网络抖动时切换到有线或更稳定的出口；必要时对比不同网络环境复现。
• 服务器侧
  • 检查系统资源（top/vmstat/sar）、连接数限制（ulimit -n、/etc/security/limits.conf）、以及日志（/var/log/secure、/var/log/messages）是否有异常断开记录。
• 客户端侧
  • 升级到最新版本 SecureCRT，必要时重装；对比 PuTTY/Xshell 判断是否为客户端兼容性问题。
• 日志取证
  • 打开会话日志/Trace Options，抓取断开瞬间的协议与输出，定位是网络闪断、认证超时还是服务端主动关闭。

五、常用命令清单与一键排查示例

• 常用命令
  • 连通性：ping <host>、traceroute <host>、mtr <host>
  • 端口/服务：ss -lntp | grep :22、netstat -lntp | grep :22、systemctl status sshd
  • 防火墙：firewall-cmd --list-all、firewall-cmd --add-port=22/tcp --permanent && firewall-cmd --reload
  • 认证与密钥：ssh-keygen -R <host_or_IP>、ssh user@host -v -p 22
  • 抓包（服务器端）：tcpdump -ni any port 22 -w ssh.pcap
• 一键排查示例脚本（在跳板机或近端 Linux 上执行）
  • for h in 10.0.0.10 10.0.0.11; do echo "=== $h ==="; ping -c 4 $h &>/dev/null && echo "Ping OK" || echo "Ping FAIL"; nc -vz -w 3 $h 22; done
  • 将输出与 SecureCRT 的会话日志对照，可快速定位是链路、端口还是服务问题。