问
模拟器上使用公钥无法ssh2登录交换机,是不是模拟器没效果
6小时前提问
- 0关注
- 0收藏,43浏览
问题描述:
组网及组网描述:
SWA是ssh server,双方使用公钥验证,下面有配置文件和抓包文件,在附件里,shh2连不上输入完用户名后立即断开了tcp
- 附件下载: 新建文件夹 (2).zip
- 6小时前提问
- 举报
-
(0)
zhiliao_Gixe
二段
模拟器支持公钥SSH登录,但需要正确配置。检查以下关键点:
1. 检查SSH服务器配置:
display ssh server status
确认SSH服务器版本为SSH2且状态为Active。
2. 检查公钥配置:
display public-key local rsa public
确认公钥已正确导入。在`local-user`视图下使用`authorization-attribute ssh-public-key`绑定公钥。
3. 检查用户服务类型:
display local-user
确保相应用户的Service-type包含SSH。
4. 检查ACL/防火墙规则:模拟器可能默认有访问限制,确认VTY线路下没有限制性ACL。
5. 抓包分析:查看附件中的抓包文件,确认密钥交换过程是否成功,是否有"Server: SSH_MSG_USERAUTH_FAILURE"报文。
如果以上配置正确但仍有问题,可能是模拟器软件版本缺陷,尝试升级模拟器版本或更换其他模拟器(如HCL 3.x)。
1. 检查SSH服务器配置:
display ssh server status
确认SSH服务器版本为SSH2且状态为Active。
2. 检查公钥配置:
display public-key local rsa public
确认公钥已正确导入。在`local-user`视图下使用`authorization-attribute ssh-public-key`绑定公钥。
3. 检查用户服务类型:
display local-user
确保相应用户的Service-type包含SSH。
4. 检查ACL/防火墙规则:模拟器可能默认有访问限制,确认VTY线路下没有限制性ACL。
5. 抓包分析:查看附件中的抓包文件,确认密钥交换过程是否成功,是否有"Server: SSH_MSG_USERAUTH_FAILURE"报文。
如果以上配置正确但仍有问题,可能是模拟器软件版本缺陷,尝试升级模拟器版本或更换其他模拟器(如HCL 3.x)。
问题很可能出在公钥的导入与授权步骤上。
以下是详细的排查和修正方案,特别是针对你提到的“无法登录”问题:
一、核心故障点排查(最常见的错误)
在基于公钥认证的SSH中,服务器端(SWA)必须明确信任客户端(SWB)的公钥。仅仅导入公钥文件通常是不够的,你必须将该公钥与特定的用户名进行绑定。
1. 关键命令缺失或执行错误
请检查你在SWA上的配置,是否执行了将公钥授权给用户的命令。
- 错误的配置状态:只执行了
public-key local import sshkey key.pub。这一步只是把公钥文件存进了设备的文件系统,SWA还不知道“这个公钥代表哪个用户”。 - 正确的配置状态:必须执行授权命令。
- 在SWA的系统视图下,你需要执行类似以下的命令(具体命令取决于模拟器版本,但逻辑一致):
[SWA] ssh user client001 publickey key.pub - 或者在某些版本中,是在用户视图下指定:
1[SWA-luser-manage-client001] authorization-attribute user-role network-admin 2[SWA] ssh user client001 service-type sftp 3[SWA] ssh user client001 authentication-type publickey - 注意:很多模拟器要求必须指定公钥文件名(如
key.pub)来完成最终的绑定。
- 在SWA的系统视图下,你需要执行类似以下的命令(具体命令取决于模拟器版本,但逻辑一致):
2. 公钥文件名不匹配
在SWB上导出的公钥文件名是
key.pub,请确保在SWA上导入时,文件名没有被修改。如果导入时重命名了,但在授权命令中仍使用旧文件名,认证会失败。二、配置流程复盘与修正
请按照以下逻辑顺序再次检查配置:
1. SWB(客户端)配置确认
确保SWB生成密钥对,并且成功导出了公钥文件
key.pub。1[SWB] public-key local create rsa
2[SWB] public-key local export rsa ssh2 key.pub验证:在SWB上使用
dir 命令,确认 key.pub 文件确实存在于设备存储中。2. SWA(服务器)配置修正
SWA的配置是关键,请严格按照以下步骤操作:
- 启用服务:确保SSH和SFTP服务已开启。bash
1[SWA] ssh server enable 2[SWA] sftp server enable - 导入公钥:将SWB导出的公钥文件传输到SWA(通过FTP/TFTP或直接复制粘贴),并导入。
1[SWA] public-key local import sshkey key.pub - 创建用户并绑定公钥(这是最容易遗漏的一步):
- 创建用户
client001。 - 关键:必须将导入的公钥文件
key.pub授权给该用户。
1[SWA] local-user client001 class manage 2[SWA-luser-manage-client001] service-type ssh 3[SWA-luser-manage-client001] authorization-attribute user-role network-admin 4[SWA-luser-manage-client001] quit 5[SWA] ssh user client001 authentication-type publickey 6[SWA] ssh user client001 publickey key.pub <-- 确保这一步执行了 - 创建用户
三、测试与验证
完成上述修正后,重新尝试在SWB上登录:
- 登录命令:
1<SWB> sftp 10.0.0.1 - 预期结果:
- 系统应提示“Server is not authenticated”,输入
y。 - 接着提示输入用户名,输入
client001。 - 如果配置正确,此时应该直接进入SFTP界面,无需输入密码。
- 系统应提示“Server is not authenticated”,输入
四、总结
模拟器完全可以实现公钥认证,问题的根源通常在于服务器端(SWA)没有将导入的公钥文件与用户名进行最终的授权绑定。请重点检查
ssh user <username> publickey <filename> 这条命令是否已执行。暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论