问题描述:
实验验证拓扑图:
SR6608和华为设备直连可以ping通,现在SR6608作为SSH的客户端登录华为设备无法登录上去。从配置看SR6608上也配置了公钥RSA,华为设备也支持并配置了RSA。
无
原因分析:
看了下抓包,秘钥协商阶段,华为设备发送的公钥类型是:ssh-dss, ssh-rsa, 华为发送功算法协商报文如下图。然而SR6608的设备上发送报文也是设备支持RSA和DSA的算法,由于华为设备的DSA比RSA更优先,所以两端协商为使用DSA的公钥,但是SR6608上并未配置DSA,配置的是RSA导致认证失败。
解决办法:
1. 在SR6608上配置DSA公钥
2. 在SR6608上<SR6608>ssh2 1.1.1.1 identity-key rsa 登录
3. 强制华为设备RSA优先于DSA。
客户端发送支持的公钥算法时,不需要判断本地是否有公钥,只有设备作为服务器端才需要判断。所以就算客户端没有配置DSA,也会发送给SSH服务器,客户端支持DSA和RSA,并且服务器的DSA和RSA有优先级的情况下就会出现配置了RSA公钥,但是服务器仍然选用DSA去认证的情况
配置的公钥认证算法是优先级较低的,就需要登陆的时候指定自己的公钥类型,通过ssh2 1.1.1.75 identity-key rsa 或者在服务器上指定公钥算法为rsa(如果服务器支持)
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作