SSH连接交换机慢的原因&优化方案

阿祥深知作为网络工程师，有些时候用SSH运维网络设备的时候，连接访问出奇的慢，今天阿祥就将核心原因主要分设备侧配置、网络链路、认证、DNS、会话参数五类，一 一的给出排查和调优方法，均可直接解决问题。

一、最常见原因：SSH开启了DNS反向解析（首选优化）

交换机收到SSH连接请求后，会反向解析客户端IP对应的域名，解析超时就会卡顿数秒~十几秒，这是绝大多数场景的根因。

优化命令（主流厂商）

1. 华三/H3C

system-view
undo ip domain lookup

部分版本额外关闭SSH域名解析：

ssh server disable dns-resolve

1. 华为

system-view
undo dns resolve

1. 思科

configure terminal
no ip domain-lookup

二、SSH版本/加密算法协商耗时

客户端和交换机算法、密钥交换套件不匹配，双方不断重试协商，导致连接慢。

优化方式

1. 交换机端指定优先使用通用、高效的算法（避免老旧弱算法、小众算法） 以华三为例：

ssh server encryption-algorithm aes128-cbc aes128-ctr
ssh server kex-algorithm diffie-hellman-group-exchange-sha1
ssh server mac-algorithm hmac-sha1

1. 客户端（Xshell、SecureCRT、FinalShell）手动强制指定加密算法，和设备对齐。

三、认证环节拖慢：AAA/本地认证、密码策略、服务器超时

1. 远端AAA认证（Radius/Tacacs+）慢

如果账号不在本地，走远端认证服务器，网络延迟、服务器负载都会导致卡顿。

• 临时测试：新建本地账号登录，若速度恢复，就是AAA服务器问题。
• 优化：检查认证服务器连通性、延迟；缩短AAA超时时间，或高频运维设备改用本地账号。

2. 登录前Banner/消息提示

设备配置了超大标题、每日提示、法律声明，SSH会话会先加载完文本再弹出登录框。

• 查看：display current-configuration | include header
• 优化：精简/关闭登录横幅 华三：undo header shell 华为：undo header login

四、网络链路&设备资源问题

1. 链路丢包/延迟高 直连、同网段测试：ping 交换机IP -t，看是否丢包、延迟波动。跨网段、跨防火墙、NAT环境更容易卡顿，检查防火墙是否对SSH端口(22)做了限流、会话检测。
2. 交换机CPU/内存高 设备负载满时，处理SSH请求优先级低，响应变慢。 查看负载：
   • 华三/华为：display cpu-usage、display memory-usage 优化：清理无用会话、关闭闲置服务（HTTP、Telnet、SNMP无用版本等）。
3. TCP会话超时、防火墙会话老化 中间防火墙/网关对空闲TCP会话老化时间过短，新建连接需要重建会话。 调整防火墙：延长TCP会话老化时间（针对22端口）。

五、SSH服务本身参数调优

1. 调整SSH监听、超时参数（减少等待） 华三参考：

# 缩短SSH连接握手超时
ssh server timeout 10
# 限制最大并发SSH会话，避免资源耗尽
ssh server max-sessions 10

1. 关闭闲置不安全服务 Telnet、WEB、冗余服务会抢占资源，不需要则关闭：

undo telnet server enable
undo http server enable

六、快速排查步骤（按顺序做，效率最高）

1. 先执行 关闭DNS反向解析（90%问题解决）；
2. 用本地账号登录，排除AAA服务器问题；
3. ping设备，确认网络无丢包高延迟；
4. 精简登录横幅、关闭无用服务；
5. 对齐客户端与设备的SSH加密算法；
6. 查看设备CPU/内存，处理高负载。

补充：交换机SSH互联（设备连设备）慢

除以上点外，额外检查：

• 互联接口是否存在CRC错包、震荡：display interface 接口名 查看错包计数；
• 两台设备VLAN、三层路由是否存在路由递归、静态路由冗余；
• 设备间是否有ACL策略对22端口做了限速/拦截。