usg9520 untrust区域登不上设备的ssh

发布时间:  2017-03-01 浏览次数:  112 下载次数:  0
问题描述
usg9520 untrust区域登不上设备的ssh
处理过程

1、勾选管理员权限

 

2、启用stelnet服务

 

 

3、启用访问控制,勾选ssh

 

 

4、放行untrust到local安全策略,依然ssh登录失败

 

 

5、防火墙上telnet本机地址,ssh还是无法登陆

 

 

6、配置命令ssh client first-time enable,使能SSH客户端首次认证,成功登陆ssh

根因

客户是首次登录设备的SSH,缺省情况,SSH客户端首次认证功能是关闭的。

使能SSH客户端首次认证功能的目的,是为了当STelnet/SFTP客户端第一次登录SSH服务器时,不对SSH服务器的RSA公钥进行有效性检查,因为此时STelnet/SFTP客户端还没有保存SSH服务器的RSA公钥。

如果没有使能SSH客户端首次认证功能,则STelnet/SFTP客户端第一次登录SSH服务器时,由于对SSH服务器的RSA公钥有效性检查失败,而导致登录服务器失败。

除了使能SSH客户端首次认证功能之外,如果STelnet或SFTP客户端想第一次就能成功登录SSH服务器,还可以通过事先在客户端为SSH服务器分配RSA公钥来实现

解决方案
全局下配置ssh client first-time enable使能SSH客户端首次认证,问题解决
建议与总结
如果遇到类似SSH无法登陆的问题,确认相关的安全策略已放行,设备stelnet已经使能,访问控制已经允许ssh的情况下,如果stelnet设备自己的ip地址都无法成功登陆,建议使能SSH客户端首次认证测试。

END