分别在SSH客户端和服务器上使用ping命令查看网络连接情况。如果不能ping通，则SSH连接也将失败。

检查网络中是否有不稳定连接，如报文丢失、登录时断时好的情况。请参见Ping不通问题继续定位，使SSH客户端和服务器端之间的网络有稳定连接。

通过Telnet方式登录SSH服务器端，执行命令display ssh server status，查看SSH服务器端配置信息。这里以SFTP服务为例。

可以看到，SFTP没有使能。只有当系统启动了SSH服务，用户才能登录。执行如下命令，使能SSH服务器。

命令protocol inbound { all | ssh | telnet }用来配置允许登录接入用户类型的协议。protocol inbound telnet为缺省配置。如果配置为protocol inbound telnet，使用SSH将无法登录；如果配置为protocol inbound ssh或protocol inbound all，则使用SSH都可以登录。

设备作为SSH服务器时，必须配置本地密钥对。

在SSH服务器端上执行命令display rsa local-key-pair public查看当前服务器端密钥对信息。如果显示信息为空，则表明没有配置服务器端密钥对，执行命令rsa local-key-pair create创建。

V300R019C11之前版本：服务器密钥对和主机密钥对的最小长度均为512位，最大长度均为2048位。缺省情况下，密钥对的长度为2048位。

V300R019C11及之后版本：服务器密钥对和主机密钥对的最小长度均为2048位，最大长度均为4096位。缺省情况下，密钥对的长度为2048位。

SSH服务器端上应该正确配置了SSH用户。执行命令display ssh user-information，查看SSH用户的配置信息。如果不存在配置信息，请在AAA视图下分别执行命令local-user user-name password irreversible-cipher password和local-user service-type ssh，新建SSH用户。

对于SFTP服务，还需在AAA视图下执行命令local-user user-name ftp-directory directory ，配置SSH用户的SFTP服务授权目录。

创建SSH用户。

SSH用户的认证方式缺省为password认证，可以执行ssh user authentication-type命令修改SSH用户的认证方式。

对于STelnet与Telnet服务，STelnet用户与Telnet用户使用的均是VTY通道，VTY通道是有限资源，最大可配置范围为5～15个。当登录用户数超过15个时，设备不再接受新的用户连接。

从Console口登录到SSH服务器端，执行命令display users，查看当前的VTY通道是否全部被占用。缺省情况下，VTY通道允许的最大用户数是5个。

如果当前的用户数已经达到上限，可以执行命令user-interface maximum-vty vty-number，将VTY通道允许的最大用户数扩展到15个。

在SSH服务器端上执行命令user-interface进入SSH用户会使用的界面视图，执行命令display this，查看VTY用户界面是否配置了ACL限制，如果配置了ACL限制，请记录该ACL编号。

在SSH服务器端上执行命令display acl，查看该访问控制列表中是否deny了SSH Client的地址。如果VTY下绑定了ACL，但ACL规则中未指定deny客户端的IP地址，则使用STelnet或SFTP登录设备时将被默认拒绝而导致失败。即，如果需要使用某IP地址通过STelnet或SFTP登录到设备，必须在user-interface vty下绑定的ACL规则中配置允许该IP地址。

在SSH服务器上执行命令display ssh server status，查看SSH版本信息。

如果使用SSHv1版本的客户端登录服务器，则服务器端版本兼容配置需要设置为使能。

在SSH客户端的系统视图下执行命令display this，查看SSH客户端是否配置了命令ssh client first-time enable。

使能SSH客户端首次认证功能的目的，是为了当SFTP客户端第一次登录SSH服务器时，不对SSH服务器的RSA公钥进行有效性检查，因为此时SFTP客户端还没有保存SSH服务器的RSA公钥。

如果没有使能SSH客户端首次认证功能，则SFTP客户端第一次登录SSH服务器时，由于对SSH服务器的RSA公钥有效性检查失败，而导致登录服务器失败。