【经典案例】路由器SSH方法登录不上怎样解决

宣布时间：2024-06-12

点击量：2119

一、故障征象

终端无法通过SSH的方法登录上RSR路由器。

二、组网拓扑

拓扑形貌：

终端172.26.10.38通过中心网络情形使用SSH毗连到RSR路由器172.26.4.247

三、可能缘故原由

1、没有开启SSH服务
2、没有天生路由器公钥vty线路
3、没有放通SSH登录的方法
4、没有准确设置SSH账号密码登入流量
5、没有到路由器路由器ACL过滤路由器
6、没有回程路由路由器设置的vty线路满了

四、排查办法

办法一：检查是否没有开启SSH服务

在路由器上通过show service下令审查SSH服务是否开启

如图：
ssh-server是关闭状态，需要使用如下下令开启

Ruijie#conf

Ruijie(config)#enable service ssh-server

Ruijie(config)#end

Ruijie#wr

办法二：检查是否没有天生路由器公钥

在路由器上使用show crypto key mypubkey dsa和show crypto key mypubkey rsa下令，看看是否天生了路由器的公钥（两个下令中有一个能显示公钥即可）

若如图rsa和dsa都是空的，需要建设dsa或者rsa的公钥

1）建设dsa公钥的方法

2）建设rsa公钥的方法

办法三：检查是否vty线路没有放通SSH登录的方法

使用下令show run | be line v 审查输出中是否没有放通ssh

若未放通ssh，可以开启vty线路的ssh，下令如下图：

开启ssh后，line vty 0 4下将不会有transport的要害字显示

办法四：检查是否准确设置了SSH账号密码

1）外地账号密码方法认证

使用下令show run | be line v 审查line vty的设置中是否设置login local，若为login local，需要使用show run | in rname和show run | in enable p划分检查账号密码和enable密码是否设置。
注重：SSH不推荐用纯粹密码无账号的方法登录。

2）AAA账号密码方法认证

使用下令show run | in aaa检查是否开启了AAA的登录认证。若是开启了AAA的登录认证，默认将接纳AAA服务器举行登录账号密码校验。

①若想要外地认证，需要检查是否设置了默认挪用的default认证列表（若需非default认证列表，需要line vty 底下使用login authentication 认证列表名称来实现），使用local外地账号密码认证，并且需要检查是否准确设置了账号密码。

②若想要AAA认证，需使用下令show run | in tac检查是否设置登录认证使用tacacs+服务器，且是否界说了该tacacs+服务器。
若未界说，需修正设置

办法五：检查是否SSH流量没有到路由器

通过流表审查是否收到远端SSH过来的流量

1）首先开启流表功效（恣意接口开启nat即可）

R1(config)#interface loopback 0

R1(config-if-Loopback 0)#ip nat inside

R1(config-if-Loopback 0)#end

2）通过流表审查SSH端口是否过来

如图没有看到TCP 22端口的流量到路由器，需要使用show run | in ip fpm下令检查是否保存流过滤设置。
若不保存，需检查中心情形问题，流量没到路由器。
若保存，需要检核对应流过滤ACL中是否过滤了22端口或者是否没有放通22端口。
若过滤了TCP 22端口，需要放通该端口；
若TCP 22端口有被放通，没被过滤，则需要检查中心情形问题。