使用ssh方式登入不上AP2050dn设备问题

发布时间:  2017-05-03 浏览次数:  695 下载次数:  0
问题描述

在AP2050dn设备加电情况下,pc与AP2050设备直连;在pc上,利用仿真终端secureCRT,Xshell,使用ssh方式登陆AP2050dn报错

告警信息

在pc终端上使用secureCRT登入时,报如下错误:

使用ssh1登入时报错:

  
使用ssh2登入报错:

 

 

 

 


 



    
  
  
  
  
  
  
  
  
  
  
  
 

 
 


处理过程

1,Pc与AP在同一网段,并pc上可以正常ping通AP设备; 当前V2R7版本才有AP2050dn设备。

2,根据终端报错信息,判断AP2050dn设备需使用ssh2登入;

   终端使用ssh2登入错误信息,怀疑当前SecureCRT设备不支持aes256-ctr或是aes128-ctr加密码方式,和兼容的MAC:hmac-sha2-256

3,使用wireshark在pc上抓取尝试登入AP的数据包,最终确认终端仿真终端不支持AP当前版本的加密码和MAC方式

从pc侧向服务器的协商报文:

 

    从服务器回复pc报文:

4,将仿真终端软件更新至最新之后问题解决。

 

 

 

根因

根据安全加密算法要求:AP必须使用安全加密算法

V200R007C10SPC300以后,关闭默认不安全加密算法。



解决方案

使用相关工具ssh登入AC(V2R7版本)或者AP(V2R7版本)设备时,建议先安装最新的仿真终端软件工具再尝试登入设备;如仍然无法ssh登录,开启以下的相关算法以支持老的安全加密码算法:
       ssh server secure-algorithms cipher
       aes256_ctr aes128_ctr aes256_cbc aes128 3des

ssh server secure-algorithms hmac
sha2_256 sha2_256_96 sha1 sha1_96 md5 md5_96

ssh server key-exchange
dh_group_exchange_sha1 dh_group14_sha1 dh_group1_sha1


ssh client secure-algorithms cipher
aes256_ctr aes128_ctr aes256_cbc aes128 3des

ssh client secure-algorithms hmac
sha2_256 sha2_256_96 sha1 sha1_96 md5 md5_96

ssh client key-exchange dh_group_exchange_sha1
dh_group14_sha1 dh_group1_sha1


注:使用SecureCRT 7.2.5及以上版本时无需关闭算法。

V200R007C10SPC300 ACAP必须配套使用,否则可能出现ssh登陆不上情况。 保证AC SSH AP的简单原则:保持AC&AP版本至V2R7C10最新即可。

 

建议与总结

使用相关工具ssh登入AC(V2R7版本)或者AP(V2R7版本)设备时,如无法ssh,建议先安装最新的仿真终端软件工具再尝试登入设备;如仍然无法ssh登录,开启以下的相关算法以支持老的安全加密码算法:
       ssh server secure-algorithms cipher
       aes256_ctr aes128_ctr aes256_cbc aes128 3des

ssh server secure-algorithms hmac
sha2_256 sha2_256_96 sha1 sha1_96 md5 md5_96

ssh server key-exchange
dh_group_exchange_sha1 dh_group14_sha1 dh_group1_sha1


ssh client secure-algorithms cipher
aes256_ctr aes128_ctr aes256_cbc aes128 3des

ssh client secure-algorithms hmac
sha2_256 sha2_256_96 sha1 sha1_96 md5 md5_96

ssh client key-exchange dh_group_exchange_sha1
dh_group14_sha1 dh_group1_sha1


注:使用SecureCRT 7.2.5及以上版本时无需关闭算法。

V200R007C10SPC300 ACAP必须配套使用,否则可能出现ssh登陆不上情况。 保证AC SSH AP的简单原则:保持AC&AP版本至V2R7C10最新即可。

END