华为、迈普路由器交换机ssh登录失败解决方法

1、 华为路由器交换机
（一）可能原因
• SSH服务器端的SSH服务没有启动。
• VTY类型用户界面视图下允许接入的协议配置不正确。
• SSH服务器端没有配置RSA公钥。
• SSH服务器端上没有配置SSH用户。
• 登录SSH服务器端的用户数是否到达了上限。
• SSH服务器端上VTY类型用户界面配置了ACL限制。
• SSH客户端和服务器上SSH版本不兼容。
• 未使能SSH客户端首次认证功能。
• SSH客户端和服务器上的算法列表中没有相匹配的算法。
• 终端软件存在问题。
（二）故障处理步骤
1、查看SSH服务器端的SSH服务是否启动。
通过Console口或Telnet方式登录SSH服务器端，执行命令display ssh server status，查看SSH服务器端配置信息。如果STelnet没有使能，执行如下命令stelnet server enable，使能SSH服务器端的STelnet服务。
2、在SSH服务器端上查看VTY类型用户界面视图下允许接入的协议配置是否正确。
在SSH服务器端上执行命令user-interface vty进入用户界面视图，执行命令display this，查看VTY用户界面的protocol inbound是否为ssh或者all。如果不是，执行命令protocol inbound { ssh | all }修改配置，允许STelnet类型用户接入设备。
3、查看在SSH服务器端是否配置了RSA公钥。设备作为SSH服务器时，必须配置本地密钥对。
在SSH服务器端上执行命令display rsa local-key-pair public查看当前服务器端密钥对信息。如果显示信息为空，则表明没有配置服务器端密钥对，执行命令rsa local-key-pair create创建。为了保证更好的安全性，建议不要使用RSA认证方式。
4、查看SSH服务器端上是否配置了SSH用户。
执行命令display ssh user-information，查看SSH用户的配置信息。如果不存在配置信息，请在系统视图下执行命令ssh user authentication-type，新建SSH用户并配置SSH用户的认证方式。
5、查看登录SSH服务器端的用户数是否到达了上限。
从Console口登录到设备，执行命令display users，查看当前的VTY通道是否全部被占用。缺省情况下，VTY通道允许的最大用户数是5个，可以先执行命令display user-interface maximum-vty，查看当前VTY通道允许的最大用户数。如果当前的用户数已经达到上限，可以执行命令user-interface maximum-vty 15，将VTY通道允许的最大用户数扩展到15个。
6、查看SSH服务器端上VTY类型用户界面下是否绑定了ACL。
在SSH服务器端上执行命令user-interface vty进入SSH用户会使用的界面视图，执行命令display this，查看VTY用户界面是否配置了ACL限制，如果配置了ACL限制，请记录该ACL编号。
在SSH服务器端上执行命令display acl acl-number，查看该访问控制列表中是否deny了STelnet客户端的地址。如果deny客户端的IP地址，则在ACL视图下，执行命令undo rule rule-id，删除deny规则，再执行相应的命令修改访问控制列表，允许客户端的IP地址访问。
7、查看SSH客户端和服务器上SSH版本信息。
在SSH服务器上执行命令display ssh server status，查看SSH版本信息。如果使用SSHv1版本的客户端登录服务器，则执行命令ssh server compatible-ssh1x enable配置服务器端版本兼容使能。
8、查看SSH客户端是否使能了首次认证功能。
在SSH客户端的系统视图下执行命令display this，查看SSH客户端是否使能SSH客户端首次认证功能。
如果没有使能SSH客户端首次认证功能，则STelnet客户端第一次登录SSH服务器时，由于对SSH服务器的公钥有效性检查失败，而导致登录服务器失败。执行命令ssh client first-time enable使能SSH客户端首次认证功能。
9、查看SSH客户端和服务器上的算法列表中是否有匹配的算法。
在SSH服务器上执行命令display ssh server，查看SSH服务器支持的算法。如果SSH服务器上没有与SSH客户端相匹配的算法，则执行命令ssh server cipher { 3des_cbc | aes128_cbc | aes128_ctr | aes192_ctr | aes256_ctr | blowfish_cbc | des_cbc }，配置SSH服务器上的加密算法列表；执行命令ssh server hmac { md5 | md5_96 | sha1 | sha1_96 | sha2_256 | sha2_256_96 }，配置SSH服务器上的校验算法列表；执行命令ssh server key-exchange { dh_group_exchange_sha1 | dh_group1_sha1 | dh_group14_sha1 | dh_group14_sha256 | dh_group15_sha512 } *，配置SSH服务器上的密钥交换算法列表。
10、确认终端软件无误，可以考虑更换终端软件。
如果通过以上步骤仍然无法解决故障，请收集错误提示信息，并联系技术支持人员进行处理。
二、迈普路由器交换机
（一）常见原因
客户端与被登录设备之间IP网络不通。
l 被登录设备上SSH服务被关闭了。
l 接口配置下采用ACL对登录IP或端口号进行了限制。
l line vty配置下采用ACL对登录IP进行了限制。
l 已登录的用户数达到了限制上限。
l 被登录设备的login-secure服务拒绝了SSH连接。
l 本地用户没有对应的SSH权限

（二）故障处理思路
1、首先检查客户端与被登录设备之间IP网络是否不通或丢包。
2、其次检查被登录设备的接口下是否采用ACL对登录IP或SSH端口号进行了限制。
3、再次检查被登录设备的Telnet服务是否开启，login-secure服务是否拒绝了SSH连接。
4、再次检查登陆的用户名是否具备SSH权限。
（三）故障处理步骤
1、SSH客户端设备上执行ping ip-address命令，检查客户端与被登录设备之间IP网络是否不通。
l 如果客户端与被登录设备之间IP网络不通，请检查IP网络不通的原因。
l 如果客户端与被登录设备之间IP网络通，请执行步骤2。
2、在被登录设备上，执行show running-config命令，检查SSH服务是否被关闭了。
l 如果被登录设备上SSH服务被关闭了，请打开SSH服务（使用ip ssh server命令）。
l 如果被登录设备上SSH服务没有被关闭，请执行步骤3。
3、检查接口配置下是否采用ACL对登录IP或者端口号进行了限制。被登录设备上，执行show running-config命令，检查端口配置和相关的ACL配置。
l 如果接口配置下采用ACL对登录IP或者端口号进行了限制，请取消这个限制。
l 如果接口配置下没有采用ACL对登录IP或者端口号进行限制，请执行步骤4。
4、 被登录设备上，执行show running-config命令，检查line vty配置和相关的ACL配置
l 如果line vty配置下采用ACL对登录IP进行了限制，请取消这个限制;
l 如果line vty配置下没有采用ACL对登录IP进行限制，请执行步骤5。
5、 使用SSH客户端软件SSH登录设备失败时，检查是否有这样的信息：no support line vty 被登录设备上，执行who命令，检查已登录的用户数是否达到了限制上限。
l 如果已登录的用户数达到了限制上限，请等待其它已登录用户关闭SSH连接。
l 如果已登录的用户数没有达到限制上限，请执行步骤6。
6、检查被登录设备的login-secure服务是否拒绝了SSH连接。在被登陆设备的console窗口通过show login-secure quick-connect命令查看,
l 如果被登录设备的login-secure服务拒绝了SSH连接，请客户端等待一段时间再登录。
l 如果被登录设备的login-secure服务没有拒绝SSH连接，请执行步骤7。
7、被登录设备上，执行show running-config命令，检查local-user配置。检查登陆用户名在被登陆设备上本地用户配置中是否有SSH权限
l 如果被登录设备本地认证用户名没有对应SSH权限，需要在对应的本地用户配置中使用命令service-type ssh增加命令配置SSH权限。
l 如果登陆用户名有SSH权限并且密码匹配，请执行步骤8。
8、收集信息，联系迈普技术支持中心。
l 设备的配置文件（show running-config）、日志信息（show logging、show logging buffer）。
l 打开调试开关（debug ssh server、debug aaa authentication）后执行SSH登陆然后收集调试信息。