问

因为ssh密钥问题导致无法巡检

二层转发

1天前提问

0关注
0收藏，101浏览

zhiliao_GysCt0

zhiliao_GysCt0 零段

粉丝：0人关注：0人

问题描述：

客户这边所有设备都是只能通过ssh密钥的方式登入，标杆不支持，各位大佬有没有什么方法可以弄啊，设备太多了，不可能一台一台去巡检

3 个回答

按时间按赞数

有飞不起的鸟

有飞不起的鸟七段

粉丝：16人关注：0人

针对华三设备因SSH密钥问题无法实现自动化巡检的难题，核心在于解决算法兼容性并选择合适的自动化工具。下面的表格汇总了几种可行的解决方案，可以帮助你快速把握整体思路。

解决方向	核心方法	适用场景/工具
调整SSH算法兼容性	在华三设备上配置支持更广泛的密钥交换、加密和HMAC算法，以匹配巡检客户端（标杆）支持的算法。	适用于能登录设备修改配置的情况，是解决连接问题的根本方法之一。
配置SSH免密钥登录	通过生成密钥对，并将公钥分发到所有华三设备，实现巡检脚本或工具的免密认证登录。	自动化运维的基础，可与多种脚本或工具（如Ansible, Paramiko）结合。
选用适配的自动化工具	使用支持通过SSH密钥与网络设备交互的专业运维工具或Python库。	Ansible, Paramiko（Python库）, 自定义Shell脚本

🔧 方案实施指南

选择方案后，具体的操作实施可以参考以下步骤。

调整SSH算法配置：如果能登录设备，这是首选方案。具体操作是在华三设备上执行以下命令，启用一系列兼容性较好的算法。完成配置后，务必将配置保存。

# 配置加密算法 ssh server secure-algorithms cipher 3des aes128 aes256_cbc aes128_ctr aes256_ctr # 配置HMAC算法 ssh server secure-algorithms hmac md5 md5_96 sha1 sha2_256 sha1_96 sha2_256_96
部署SSH免密钥登录：这是实现自动化的关键一步。
- 生成密钥对：在执行巡检的服务器（标杆）上使用 ssh-keygen命令生成一对SSH密钥（如RSA密钥）。
- 分发公钥：将生成的公钥内容逐一添加到每一台华三设备对应用户的 authorized_keys文件中。如果设备数量庞大，你可能需要编写一个临时脚本，利用现有认证方式（如旧密码）批量完成初始分发。
利用自动化工具执行巡检：完成免密钥登录配置后，即可选择工具进行自动化巡检。
- 使用Ansible：Ansible无需在被管理设备上安装客户端，直接通过SSH进行通信。你需要编写一个清单文件（Inventory），列出所有华三设备的IP地址。然后，创建一个Playbook 来定义巡检任务，例如通过执行一系列show命令收集设备信息。
- 使用Python脚本：利用Paramiko库，你可以编写灵活的Python脚本，实现连接设备、执行命令并返回结果的功能。这种方式适合进行复杂的数据处理。
- 使用Shell脚本：对于简单的命令执行，可以编写一个Shell脚本，使用SSH命令遍历一个IP地址列表，依次登录设备并执行巡检命令，然后将输出重定向到本地文件进行分析。

💡 操作建议与注意事项

在实施过程中，还有一些细节需要你特别留意。

版本兼容性：首先在华三设备的测试环境中验证SSH算法调整或免密钥登录的效果，确认成功后再推广到生产网络。
安全性与权限：严格限制私钥的访问权限（如设置为600）。在Ansible清单或脚本中，可以考虑使用网络设备分组，对不同型号或位置的设备分批处理。为巡检账户分配最小必要权限，通常只读权限（如level 1或network-operator）即可满足巡检需求。
提升脚本健壮性：在脚本中加入异常处理逻辑，例如处理连接超时或命令执行失败的情况。对关键操作记录详细的执行日志，便于排错和审计。