1、全局下要开启ssh,配置ssh用户认证类型和服务类型

stelnet server enable ssh server timeout 120 ssh server authentication-retries 5 ssh user super authentication-type password ssh user super service-type stelnet

2、aaa下要配置用户名、密码、权限和服务类型

local-user super password irreversible-cipher 密码 local-user super service-type ssh local-user super pri level 15

3、vty 0 4 下要配置认证模型aaa和protocol inbound ssh

user-interface vty 0 4 idle-timeout 10 0 authentication-mode aaa protocol inbound ssh

4、也可能做了ACL限制

ssh server enable ssh server acl 3000

5、新版本默认关闭远程接入请求

V200R020C00之前版本，缺省情况下SSH服务器端(包括telnet)接收来自所有接口登录请求，系统安全性较低。

V200R020C00及之后版本，缺省情况下SSH服务器端不接收来自任何接口登录连接的请求。

当需要授权客户端可以登录服务器时，需要执行如下任一命令指定SSH服务器端的源接口。

ssh server-source all-interface #允许所有接口接入SSH 或者 ssh server-source -i interface-type interface-number，#允许指定的接口接入SSH

6、客户端软件不支持交换机新版的默认验证算法

默认算法如图：

连接时报错如下：

Couldn't agree a host key algorithm (available: rsa-sha2-512,rsa-sha2-256,)

解决办法，把交换机公钥验证算法改成如下就行：

ssh server publickey rsa

7、可以查看ssh状态查看原因

dis ssh server status SSH version :2.0 SSH connection timeout :120 seconds SSH server key generating interval :0 hours SSH authentication retries :5 times SFTP IPv4 server :Disable SFTP IPv6 server :Disable STELNET IPv4 server :Enable STELNET IPv6 server :Enable SCP IPv4 server :Disable SCP IPv6 server :Disable SSH server source interface : ACL4 number :0 ACL6 number :0

8、SSH版本不匹配

SSH1(版本号1.XX)和SSH2(版本号2.00)，是两个完全不同互不兼容的协议。

如果远端设备的SSH是1.xx版本，可以改用Putty登录，一般设备都不支持SSH1了。

ssh -v username@192.168.56.101 #排查本地和远端的ssh建立失败的原因，可以看到SSH版本。