问

F1000-905-AI ssh登录出错

其他

5小时前提问

0关注
0收藏，41浏览

zhiliao_ntVVCz

zhiliao_ntVVCz 零段

粉丝：0人关注：0人

问题描述：

我的F1000-905-AI启动了ssh登录，设置端口55555，但是当我试图连接的时候，出现如下错误，如何处理；是否可以重新配置ssh再登录，我现在可以使用admin再web portal登录

ssh -p 55555 admin@192.168.2.2

Unable to negotiate with 192.168.2.2 port 55555: no matching host key type found. Their offer: ssh-rsa

6 个回答

按时间按赞数

已采纳

什么都不会的网络工程师

什么都不会的网络工程师七段

粉丝：11人关注：0人

你现在使用的是不是cmd ssh登录的？

使用工具登录看一下，算法不行

暂无评论

Xcheng

Xcheng 九段

粉丝：136人关注：3人

看样子像windows自带ssh工具密钥集问题

使用xshell等工具尝试

还不行就console接防火墙看日志输出ba

暂无评论

zhiliao_Gixe

zhiliao_Gixe 六段

粉丝：10人关注：9人

1. 设备端排查：进入系统视图，执行display ssh server status，确认SSH版本（需为2）、主机密钥算法是否含ssh-rsa。
2. 设备端配置（若缺省）：执行ssh server version 2，再执行ssh server host-key rsa enable，重启SSH服务（ssh server enable若已开可忽略）。
3. 客户端临时解决：Linux/Windows OpenSSH执行ssh -p 55555 -o HostKeyAlgorithms=+ssh-rsa admin@192.168.2.2，允许ssh-rsa算法协商即可登录。

暂无评论

zhiliao_GeOM0O

zhiliao_GeOM0O 九段

粉丝：14人关注：2人

一、先直接能用：临时加参数登录（最快）
在你电脑上把命令改成下面这条，强制客户端接受 ssh-rsa：
bash
运行
ssh -p 55555 -o HostKeyAlgorithms=+ssh-rsa -o PubkeyAcceptedKeyTypes=+ssh-rsa admin@192.168.2.2
适用：Windows（Git-Bash/WSL）、macOS、Linux
原因：F1000 只生成了 RSA 主机密钥，新 OpenSSH 默认不认旧 RSA-SHA1。
二、永久解决：客户端配置文件（以后不用敲长命令）
1）macOS / Linux
编辑 ~/.ssh/config（没有就新建）：
bash
运行
nano ~/.ssh/config
加入：
plaintext
Host 192.168.2.2
HostKeyAlgorithms +ssh-rsa
PubkeyAcceptedKeyTypes +ssh-rsa
保存退出（nano：Ctrl+O→回车→Ctrl+X），之后直接用：
bash
运行
ssh -p 55555 admin@192.168.2.2
2）Windows（Git-Bash 或 WSL）
路径：C:\Users\你的用户名\.ssh\config，内容同上。
三、防火墙侧：Web 界面重新生成 SSH 密钥（治本）
你现在能 Web 登录（admin），可以删掉旧密钥、生成新 RSA/ECDSA 密钥，以后不用客户端迁就：
登录 F1000-905-AI Web → 系统 → 服务 → SSH 服务器
先禁用 SSH 服务器，提交
找到 “主机密钥管理”，删除所有旧 RSA/DSA 密钥
重新生成 RSA 密钥（模数 2048），有选项就勾选 ECDSA
启用 SSH 服务器，端口保持 55555，提交保存
四、命令行方式（如果以后要敲命令）
bash
运行
# 进入系统视图
<H3C> system-view

# 删掉旧密钥（可选，干净）
[H3C] public-key local destroy rsa

# 生成新 RSA 密钥
[H3C] public-key local create rsa
# 提示时选 Y，模数默认 1024 或选 2048

# 开启 SSH 服务器，端口 55555
[H3C] ssh server enable
[H3C] ssh server port 55555

# 保存
[H3C] save
五、常见误区
❌ 不是端口问题：55555 通不通和算法协商失败无关；
❌ 不是账号密码错：报错是密钥算法不匹配，还没到验证密码那一步；
✅ 核心：新版 OpenSSH 默认拒绝 ssh-rsa（SHA-1），F1000 默认只给这个。

暂无评论

刘浩存

刘浩存九段

粉丝：17人关注：1人

这个错误提示 no matching host key type found. Their offer: ssh-rsa 表明，你当前使用的 SSH 客户端（通常是 OpenSSH 8.8 或更高版本）出于安全考虑，默认禁用了较旧的 ssh-rsa 算法；而你的 H3C F1000-905-AI 防火墙目前仅支持并提供 ssh-rsa 这一种主机密钥类型。两者在加密算法上无法协商一致，因此导致连接失败。

既然你现在可以通过 Web Portal 正常登录设备，说明设备的 SSH 服务本身是正常的，问题完全出在本地客户端的安全策略限制上。以下是几种解决办法：

方法一：临时指定算法连接（最快解决）

如果你只是偶尔需要登录这台设备，可以在执行 SSH 命令时，通过 -o 参数临时允许使用 ssh-rsa 算法：

1ssh -p 55555 -o HostKeyAlgorithms=+ssh-rsa -o PubkeyAcceptedAlgorithms=+ssh-rsa admin@192.168.2.2

加上这两个参数后，即可绕过本地客户端的默认限制完成连接。

方法二：修改本地 SSH 配置文件（推荐长期使用）

如果你需要频繁通过命令行管理这台防火墙，建议将上述参数写入本地的 SSH 配置文件中，这样以后每次直接输入基础命令就能自动生效。

Windows 系统：编辑 C:\Users\你的用户名\.ssh\config 文件（如果没有 config 文件可以新建一个）。
Linux / macOS 系统：编辑 ~/.ssh/config 文件。

在文件中添加以下配置内容：

1Host 192.168.2.2
2    HostName 192.168.2.2
3    Port 55555
4    User admin
5    HostKeyAlgorithms +ssh-rsa
6    PubkeyAcceptedAlgorithms +ssh-rsa

保存退出后，你只需输入 ssh 192.168.2.2，系统就会自动应用这些兼容参数进行连接。

补充说明与安全建议

无需重置设备 SSH：由于这是新版 SSH 客户端与老旧硬件之间的兼容性问题，不需要在防火墙上重新配置或生成新的 SSH 密钥。
安全考量：ssh-rsa 使用的是 SHA-1 哈希算法，已被业界证明存在碰撞攻击风险，因此被新版 OpenSSH 弃用。但考虑到很多传统的网络设备（如 H3C 防火墙、路由器等）短期内无法升级固件以支持更现代的算法（如 rsa-sha2-256 或 ed25519），采用方法二针对特定 IP 单独放宽限制是目前最安全且兼顾效率的做法，不会影响你对其他现代服务器的 SSH 连接安全性。