【经典案例】路由器SSH方式登录不上如何解决

发布时间：2024-06-12

点击量：7

一、故障现象

终端无法通过SSH的方式登录上RSR路由器。

二、组网拓扑

拓扑描述：

终端172.26.10.38通过中间网络环境使用SSH连接到RSR路由器172.26.4.247

三、可能原因

1、没有开启SSH服务
2、没有生成路由器公钥vty线路
3、没有放通SSH登录的方式
4、没有正确配置SSH账号密码登入流量
5、没有到路由器路由器ACL过滤路由器
6、没有回程路由路由器配置的vty线路满了

四、排查步骤

步骤一：检查是否没有开启SSH服务

在路由器上通过show service命令查看SSH服务是否开启

如图：
ssh-server是关闭状态，需要使用如下命令开启

Ruijie#conf

Ruijie(config)#enable service ssh-server

Ruijie(config)#end

Ruijie#wr

步骤二：检查是否没有生成路由器公钥

在路由器上使用show crypto key mypubkey dsa和show crypto key mypubkey rsa命令，看看是否生成了路由器的公钥（两个命令中有一个能显示公钥即可）

若如图rsa和dsa都是空的，需要创建dsa或者rsa的公钥

1）创建dsa公钥的方式

2）创建rsa公钥的方式

步骤三：检查是否vty线路没有放通SSH登录的方式

使用命令show run | be line v 查看输出中是否没有放通ssh

若未放通ssh，可以开启vty线路的ssh，命令如下图：

开启ssh后，line vty 0 4下将不会有transport的关键字显示

步骤四：检查是否正确配置了SSH账号密码

1）本地账号密码方式认证

使用命令show run | be line v 查看line vty的配置中是否配置login local，若为login local，需要使用show run | in rname和show run | in enable p分别检查账号密码和enable密码是否配置。
注意：SSH不推荐用单纯密码无账号的方式登录。

2）AAA账号密码方式认证

使用命令show run | in aaa检查是否开启了AAA的登录认证。如果开启了AAA的登录认证，默认将采用AAA服务器进行登录账号密码校验。

①若想要本地认证，需要检查是否配置了默认调用的default认证列表（若需非default认证列表，需要line vty 底下使用login authentication 认证列表名称来实现），使用local本地账号密码认证，并且需要检查是否正确配置了账号密码。

②若想要AAA认证，需使用命令show run | in tac检查是否配置登录认证使用tacacs+服务器，且是否定义了该tacacs+服务器。
若未定义，需修正配置

步骤五：检查是否SSH流量没有到路由器

通过流表查看是否收到远端SSH过来的流量

1）首先开启流表功能（任意接口开启nat即可）

R1(config)#interface loopback 0

R1(config-if-Loopback 0)#ip nat inside

R1(config-if-Loopback 0)#end

2）通过流表查看SSH端口是否过来

如图没有看到TCP 22端口的流量到路由器，需要使用show run | in ip fpm命令检查是否存在流过滤配置。
若不存在，需检查中间环境问题，流量没到路由器。
若存在，需要检查对应流过滤ACL中是否过滤了22端口或者是否没有放通22端口。
若过滤了TCP 22端口，需要放通该端口；
若TCP 22端口有被放通，没被过滤，则需要检查中间环境问题。

步骤六：检查是否路由器接口ACL过滤

路由器上通过show access-group命令查看是否存在对应ssh接口的ACL过滤，
若存在，则需要检查对应接口的ACL是否过滤了TCP22端口

如上图，没有TCP 22流量被过滤。
若被过滤，需要ACL中放行目的端口为TCP 22的流量。

步骤七：检查是否路由器没有回程路由

路由器上通过show ip route命令检查是否有去往对应SSH发起者IP的路由

如本例中SSH发起者的IP是172.26.10.38，路由器有默认路由回包。
若没有回包路由，需要加上相应的路由。

步骤八：检查是否vty线路满了

Line vty 0 4代表有0-4也就是5个ssh线路可以登录设备，若这些线路满了会出现无空闲线路可登录路由器的情况。通过show users命令可以查看有几个线路被占用

若发现线路被占满，需要踢用户下线，可以clear line vty [用户编号]，本例中为clear line vty 0

若发现线路不足日常使用，可以改为line vty 0 32，增加vty线路。

五、信息收集

信息收集命令参考

ter len 0

show ver

show slot

show ver slot

show run

show log

show cpu

show memory

show ip fpm count

show ip fpm st

show ip route

show ip ref route

show ip ref adj

show ip route summary

show arp

show ip int brief

show interface

show service

show crypto key mypubkey dsa

show crypto key mypubkey rsa

show run | be line v

show run | in rname

show run | in enable p

show run | in aaa

show run | in tac

show run | in ip fpm

show access-group

show ssh

show users

ter no len

六、总结与建议

  SSH登录不上的问题，需注意以下几点：

1.   没有开启SSH服务；
2.   没有生成路由器公钥；
3.   vty线路没有放通SSH登录的方式；
4.   没有正确配置SSH账号密码
5.   流量没有到路由器；
6.   路由器ACL过滤
7.   路由器没有回程路由
8.   vty线路满
   

如遇到故障情形以上方式无法解决可点击链接处理：售后闪电兔

• •【经典案例】路由器SSH方式登录不上如何解决

• •【故障案例】设备不断重启如何判断是否是硬件导致

• •【经典案例】WIS添加AC、AP上线异常

• •【故障案例】终端连接出现偶发掉线

• •【IPsec系列】IPsec建立成功，感兴趣流不通

• •WiFi7 一章了解

• •【常见问题】无线用户数限制

• •常见维护命令:无线AC对接SNC-WLAN

• •1张图+6个点—轻松掌握ipsec的关键配置和运作流程

• •【经典案例】路由器telnet登陆不上如何解决