【经典案例】路由器SSH方式登录不上若何解决

颁布功夫：2024-06-12

点击量：2119

一、故障景象

终端无法通过SSH的方式登录上RSR路由器。

二、组网拓扑

拓扑描述：

终端172.26.10.38通过中央网络环境使用SSH衔接到RSR路由器172.26.4.247

三、可能原因

1、没有开启SSH服务
2、没有天生路由器公钥vty线路
3、没有放通SSH登录的方式
4、没有正确配置SSH账号密码登入流量
5、没有到路由器路由器ACL过滤路由器
6、没有回程路由路由器配置的vty线路满了

四、排查步骤

步骤一：查抄是否没有开启SSH服务

在路由器上通过show service号令查看SSH服务是否开启

如图：
ssh-server是关关状态，必要使用如下号令开启

Ruijie#conf

Ruijie(config)#enable service ssh-server

Ruijie(config)#end

Ruijie#wr

步骤二：查抄是否没有天生路由器公钥

在路由器上使用show crypto key mypubkey dsa和show crypto key mypubkey rsa号令，看看是否天生了路由器的公钥（两个号令中有一个能显示公钥即可）

若如图rsa和dsa都是空的，必要创建dsa或者rsa的公钥

1）创建dsa公钥的方式

2）创建rsa公钥的方式

步骤三：查抄是否vty线路没有放通SSH登录的方式

使用号令show run | be line v 查看输出中是否没有放通ssh

若未放通ssh，能够开启vty线路的ssh，号令如下图：

开启ssh后，line vty 0 4下将不会有transport的关键字显示

步骤四：查抄是否正确配置了SSH账号密码

1）本地账号密码方式认证

使用号令show run | be line v 查看line vty的配置中是否配置login local，若为login local，必要使用show run | in rname和show run | in enable p别离查抄账号密码和enable密码是否配置。
把稳：SSH不推荐用单纯密码无账号的方式登录。

2）AAA账号密码方式认证

使用号令show run | in aaa查抄是否开启了AAA的登录认证。若是开启了AAA的登录认证，默认将选取AAA服务器进行登录账号密码校验。

①若想要本地认证，必要查抄是否配置了默认挪用的default认证列表（若需非default认证列表，必要line vty 底下使用login authentication 认证列表名称来实现），使用local本地账号密码认证，并且必要查抄是否正确配置了账号密码。

②若想要AAA认证，需使用号令show run | in tac查抄是否配置登录认证使用tacacs+服务器，且是否界说了该tacacs+服务器。
若未界说，需建改配置

步骤五：查抄是否SSH流量没有到路由器

通过流表查看是否收到远端SSH过来的流量

1）首先开启流表职能（肆意接口开启nat即可）

R1(config)#interface loopback 0

R1(config-if-Loopback 0)#ip nat inside

R1(config-if-Loopback 0)#end

2）通过流表查看SSH端口是否过来

如图没有看到TCP 22端口的流量到路由器，必要使用show run | in ip fpm号令查抄是否存在流过滤配置。
若不存在，需查抄中央环境问题，流量没到路由器。
若存在，必要查抄对应流过滤ACL中是否过滤了22端口或者是否没有放通22端口。
若过滤了TCP 22端口，必要放通该端口；
若TCP 22端口有被放通，没被过滤，则必要查抄中央环境问题。