本次涉及设备的型号以及版本:SR8808-X Version 7.1.075, Release 7951P11
客户有4台SR8808-X设备,发现将SR8808-X作为SSH客户端时无法登录到SSH服务端;在SSH登陆时,可以输入账号,但之后就停留在连接状态下,无法继续进行输入密码。故障现象如下:
<YN-YJE09-HXLY-SR8808-A>ssh2 21.112.252.2
Username: admin
Press CTRL+C to abort.
Connecting to 21.112.252.2 port 22.
1、检测连通性。用SSH客户端发送SSH报文的源地址PING SSH服务端的地址可以PING通。
2、检测SSH服务端的SSH服务是否正常。采用其他的设备作为SSH客户端登陆SSH服务端正常,说明SSH服务正常。
3、检查SSH服务端是否对于SSH登录的客户端进行了限制。如下,限制SSH登录的ACL仅配置了一条PERMIT规则。
ssh server acl 2010
acl basic 2010
description Manager_IP
rule 5 permit
4、检查SSH客户端和服务器间的报文交互。SR8808-A作为客户端,SR8808-B作为服务器端;让现场SSH客户端和服务器均开启如下DEBUG开关后,SSH客户端测试登录SSH服务器,收集下SSH报文的交互过程。
<SR8808-A>debugging ssh client all
<SR8808-A>ter mon
<SR8808-A>ter debugging
开启DEBUG开关测试登录后发现客户端无debug输出,服务器端显示Received packet type 94。
<SR8808-B>*Feb 24 03:14:14:737 2021 SR8808-B SSHS/7/MESSAGE: -MDC=1; Received packet type 94.
服务器端type 94是SSH数据报文,不一定是登录不上的SSH交互打印的。于是怀疑这个问题是TCP没建起来导致的,所以DEBUG没有看到SSH报文的交互。
5、在客户端上发起SSH请求后,查看服务器TCP连接。结果如下,没有看到SR8808-A对应的TCP连接。
6、检查TCP相关配置。发现有如下TCP配置。防攻击命令会导致设备丢弃从对端回来的SSH的TCP报文,所以SSH不通。
tcp syn-COOKIE enable
tcp anti-naptha enable
tcp anti-syn-flood flow-based enable
tcp anti-syn-flood interface-based enable
去掉tcp
anti-syn-flood flow-based enable问题解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作