在 Debian 上使用 SecureCRT 进行网络诊断
一、前提与定位
- SecureCRT 是终端仿真客户端,本身不提供抓包或端口扫描等“深度网络诊断”工具;常见做法是通过 SecureCRT 登录到 Debian 后,在远端执行 ping、traceroute、mtr 等命令,并结合会话日志进行留痕与复盘。若需要抓包等更底层分析,可在远端使用 tcpdump 并将结果文件拷回本地分析。
二、快速连接与日志配置
- 新建会话:打开 SecureCRT → File → Quick Connect,协议选 SSH,填写目标 IP/主机名 与端口 22,选择认证方式(密码或私钥)。
- 会话日志:Options → Session Options → Log,勾选 Start Log Upon Connect,设置 Log Path(如:%Y-%m-%d–%H-%M-%S__%S(%H).txt),便于事后分析。
- 连接并验证:双击会话登录,确认能稳定执行基础命令(如 uname -a、date)。
三、连通性与路由诊断步骤
- 基础连通性
- 目标主机可达性:ping 目标域名或 IP(例如:ping 8.8.8.8)。
- 出口与 DNS:ping 一个公共域名(例如:ping www.debian.org),验证 DNS 解析与默认路由是否正常。
- 路由路径与抖动
- 路径跟踪:traceroute 目标地址(例如:traceroute 1.1.1.1),观察每一跳的延迟与丢包。
- 持续监测:mtr --report --report-cycles 100 目标地址,获取逐跳丢包与时延分布,定位不稳定节点。
- 结果记录
- 将上述命令输出保存到会话日志,必要时在本地归档,便于对比与汇报。
四、端口与服务可达性验证
- SSH 端口连通性
- 本机到远端:nc -vz 目标IP 22,确认 TCP 22 是否可达(成功会显示 succeeded)。
- 远端回环自检:在 Debian 上执行 nc -vz 127.0.0.1 22,确认 sshd 正在本机监听。
- 服务与防火墙
- 检查监听:ss -lntp | grep :22,确认 sshd 处于监听状态。
- 防火墙放行(若启用 UFW):sudo ufw allow ssh;如使用 firewalld:sudo firewall-cmd --add-service=ssh --permanent && sudo firewall-cmd --reload。
- 跨主机连通性
- 从第三方主机测试:nc -vz 目标IP 22,排除“仅本机能连”的错觉。
- 排错提示
- 若端口不通,回到 Debian 检查 sshd 状态(sudo systemctl status ssh)、系统日志(/var/log/auth.log 中的 sshd 记录)、以及云安全组/边界防火墙策略。
五、常见报错与修复要点
- Key exchange failed(密钥交换失败)
- 现象:握手阶段中断。
- 处置:在 Debian 的 /etc/ssh/sshd_config 中调整或补充密钥交换算法(如 KexAlgorithms 增加 curve25519-sha256@libssh.org、ecdh-sha2-nistp256、diffie-hellman-group14-sha1 等),保存后重启 sshd(sudo systemctl restart ssh),并在 SecureCRT 的 Session Options → SSH → Key Exchange 中勾选对应算法后重试。
- Permission denied(publickey,password)
- 现象:认证被拒。
- 处置:确认用户名正确;检查 /var/log/auth.log 的 sshd 日志;确保 PubkeyAuthentication yes 与 PasswordAuthentication yes(测试阶段)配置合理;必要时用 ssh-keygen 生成密钥并用 ssh-copy-id 分发公钥。
- Connection refused / No route to host
- 现象:连接被拒绝或无路由。
- 处置:确认 sshd 已启动(sudo systemctl start ssh),端口 22 在监听(ss -lntp | grep :22),以及 UFW/firewalld/云安全组已放行;若远端在 NAT/私网,确认端口映射或跳板机配置正确。
