1、全局下要开启ssh,配置ssh用户认证类型和服务类型
stelnet server enable
ssh server timeout 120
ssh server authentication-retries 5
ssh user super authentication-type password
ssh user super service-type stelnet
2、aaa下要配置用户名、密码、权限和服务类型
local-user super password irreversible-cipher 密码
local-user super service-type ssh
local-user super pri level 15
3、vty 0 4 下要配置认证模型aaa和protocol inbound ssh
user-interface vty 0 4
idle-timeout 10 0
authentication-mode aaa
protocol inbound ssh
4、也可能做了ACL限制
ssh server enable
ssh server acl 3000
5、新版本默认关闭远程接入请求
V200R020C00之前版本,缺省情况下SSH服务器端(包括telnet)接收来自所有接口登录请求,系统安全性较低。
V200R020C00及之后版本,缺省情况下SSH服务器端不接收来自任何接口登录连接的请求。
当需要授权客户端可以登录服务器时,需要执行如下任一命令指定SSH服务器端的源接口。
ssh server-source all-interface #允许所有接口接入SSH
或者
ssh server-source -i interface-type interface-number,#允许指定的接口接入SSH
6、客户端软件不支持交换机新版的默认验证算法
默认算法如图:
连接时报错如下:
Couldn't agree a host key algorithm (available: rsa-sha2-512,rsa-sha2-256,)
解决办法,把交换机公钥验证算法改成如下就行:
ssh server publickey rsa
7、可以查看ssh状态查看原因
dis ssh server status
SSH version :2.0
SSH connection timeout :120 seconds
SSH server key generating interval :0 hours
SSH authentication retries :5 times
SFTP IPv4 server :Disable
SFTP IPv6 server :Disable
STELNET IPv4 server :Enable
STELNET IPv6 server :Enable
SCP IPv4 server :Disable
SCP IPv6 server :Disable
SSH server source interface :
ACL4 number :0
ACL6 number :0
8、SSH版本不匹配
SSH1(版本号1.XX)和SSH2(版本号2.00),是两个完全不同互不兼容的协议。
如果远端设备的SSH是1.xx版本,可以改用Putty登录,一般设备都不支持SSH1了。
ssh -v username@192.168.56.101 #排查本地和远端的ssh建立失败的原因,可以看到SSH版本。
