Le port du réseau de gestion n'est pas accessible via SSH

24 0 0 0

Topologie du réseau physique

Figure 1-1 Réseau où le port réseau de gestion n'est pas accessible via SSH

171554rbq1t3u739qpobup.png


Description du défaut

Les utilisateurs souhaitent se connecter à l'appareil de manière sécurisée. Comme Telnet ne dispose pas d'une méthode d'authentification sécurisée, les utilisateurs peuvent se connecter au périphérique via STelnet. Comme le montre la figure 1, le périphérique fonctionne comme un serveur SSH et est accessible au terminal PC. 10.137.217.203 est l'adresse IP de l'interface de gestion du serveur SSH. Sur le serveur SSH, configurez un utilisateur de connexion comme client. Le PC utilise l'utilisateur client pour se connecter au serveur SSH via l'authentification RSA.

Erreur "Clé d'hôte RSA modifiée" lors de l'accès au serveur SSH sur le client:

dz196-slot2:~/openssh-6.1p1 # ssh -l ssh 10.137.217.203
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
a0:13:8a:32:fb:71:94:10:18:89:27:96:9d:a6:7c:5f.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hoststo get rid of this message.
Offending RSA key in /root/.ssh/known_hosts:5
RSA host key for 10.137.217.203 has changed and you have requested strict checking.

Fichiers de configuration

l   CE12800

#
sysname SSH Server
#
rsa peer-public-key rsakey001
public-key-code begin
30820108
 02820101
   00DD8904 1A5E30AA 976F384B 5DB366A7 048C0E79 06EC6B08 8BB9567D 75914B5B
   4EA7B2E5 1938D118 4B863A38 BA7E0F0D BE5C5AE4 CA55B192 B531AC48 B07D21E3
   62E3F2A5 8C04C443 CF51CF51 136B5B9E 812AB1B7 1250EB24 A4AE5083 A1DB18EC
   E2395C9B B806E8F0 0BE24FB5 16958784 403B617F 8AAAB1F8 C6DE8C3C F09E4D23
   7D1C17BF 4AAF09C4 74C083AF 17CD3075 3396B322 32C57FF0 B1991971 02F1033B
   81AA6D47 44520F23 685FAF72 04BA4B6E 615EF224 14E64E2A 331EEB7F 188D9805
   96DBFD30 0C947A5A BA879DC4 F848B769 513C35CD B52B2917 02B77693 F79910EE
   5287F252 977F985E 5F186C94 93F26780 4E7F5F9D 5287350A 0A4F4988 1BF6AB7C
   1B
 0201
   25
public-key-code end
peer-public-key end
#
aaa
local-user client001 password irreversible-cipher $1a$v!=.5/:(q-$xL=\K+if"'S}>k7vGP5$_ox0B@ys7.'DBHL~3*aN$  
local-user client001 service-type ssh
local-user client001 level 3
#
stelnet ipv4 server enable
stelnet ipv6 server enable
ssh user client001
ssh user client001 authentication-type password
ssh user client001 service-type stelnet
ssh user client002
ssh user client002 authentication-type rsa
ssh user client002 assign rsa-key rsakey001
ssh user client002 service-type stelnet
#
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
#
return

1.1.2 Emplacement de dépannage

P***édure de dépannage

Lors de la gestion de ce type de cas, nous pouvons résoudre ce problème comme suit:

l   Cas de requête par code d'erreur

Figure 1-2 train de pensée

171555ammuqqla5eawzqzq.png


l   Vérifiez selon les idées de positionnement normales

Figure 1-3 train de pensée

171556tkocoukocp3qitcz.png


                              Étape 1     Vérifiez côté client si le lien est correct.

< HUAWEI > ping 10.137.217.203

                              Étape 2     Vérifiez l'état du service sur le serveur SSH.

Préparation: connectez - vous à l'appareil à l'aide de telnet ou de la console.

Vérifiez l'état du service ssh pour confirmer que les informations suivantes sont correctes:

(1) Le numéro de version du protocole SSH (1.99 prend en charge à la fois v1 et v2);

(2) Le service Stelnet est-il activé?

(3) si le port de service est modifié;

(4) Indique s'il faut lier l'adresse IP source.

                              Étape 3     Vérifiez s'il existe des canaux gratuits sur le serveur SSH.

Préparation : connectez-vous à l'appareil à l'aide de telnet ou de la console.

(1) Vérifiez la configuration de l'interface utilisateur et confirmez que vous pouvez vous connecter au canal ssh VTY. Les canaux VTY qui peuvent être SSH doivent satisfaire à deux conditions: 1) lier le protocole ssh et 2) utiliser le mode d'authentification aaa.

Les VTY0, VTY1 et VTY2 suivants peuvent être une connexion ssh.

[hauwei]user-interface vty 0 4
[huawei-ui-vty0-4]dis this
#
user-interface con 0
user-interface aux 0
user-interface vty 0 2
authentication-mode aaa
user privilege level 15
protocol inbound all
user-interface vty 3 4
authentication-mode aaa
user privilege level 15
protocol inbound telnet
user-interface vty 16 20
#

(2) Vérifiez l'état en ligne de l'utilisateur.

Les utilisateurs de VTY0, VTY1 et VTY2 sont déjà en ligne. Par conséquent, les utilisateurs SSH ne peuvent pas se connecter.

<huawei> display users
 User-Intf    Delay    Type   Network Address     AuthenStatus   AuthorcmdFlag
 34  VTY 0   00:04:11  TEL   10.137.211.108                           no        Username : Unspecified
+35  VTY 1   00:00:00  TEL   10.137.211.108                           no        Username : Unspecifie
 36  VTY 2   00:37:19  TEL   10.135.41.122                           no        Username : Unspecified
 37  VTY 3   00:31:06  TEL   10.135.32.199                          no       Username : Unspecified
 38  VTY 4   02:14:06  TEL   10.135.22.124                           no        Username : Unspecified

                              Étape 4     Vérifiez si la configuration utilisateur SSH est normale sur le serveur SSH.

Préparation : connectez-vous à l'appareil à l'aide de telnet ou de la console.

l   Vérifiez la configuration de l'utilisateur ssh et confirmez les informations suivantes:

l   Existe-t-il une configuration utilisateur SSH pour le compte de connexion et la configuration est terminée?

l   Si le compte de connexion n'utilise pas la configuration utilisateur ssh, la configuration de mot de passe par défaut de type authentification ssh existe.

<huawei> display current-configuration | inc ssh
ssh authentication-type default password
ssh user client001
ssh user client001 authentication-type password
ssh user client001 service-type all

Remarque: Le compte utilisé pour la connexion ssh doit utiliser la commande "ssh user" pour configurer les attributs. Si vous ne configurez pas (comme l'utilisation d'un compte Tacacs), vous devez configurer le "mot de passe par défaut de type authentification ssh". Sinon, le compte ne peut pas être utilisé.

                              Étape 5     Vérifiez côté serveur le filtrage ACL.

Préparation : connectez-vous à l'appareil à l'aide de telnet ou de la console.

(1) Vérifiez la configuration de l'interface utilisateur pour confirmer qu'il existe une liaison ACL.

[hauwei]user-interface vty 0 4
[huawei-ui-vty0-4]dis this
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
acl 3999 inbound           <--band ACL 3999
authentication-mode aaa
user privilege level 15
protocol inbound all
user-interface vty 16 20
#

(2) Vérifiez la configuration ACL pour confirmer si l'IP client peut passer.

[huawei]acl 3999
[huawei-acl-adv-3999]dis this
#
acl number 3999
rule 1 permit tcp source 2.2.2.2 0 0
rule 2 permit tcp source 3.3.3.3 0 0
rule 3 permit tcp source 4.4.4.4 0 0
rule 4 permit tcp source 5.5.5.5 0 0
rule 15 deny ip
#

Remarque: l'adresse IP VPN doit être spécifiée dans la règle ACL.

#
acl number 2222
rule permit source 219.133.0.3 0 vpn-instance vrf3-JD  ß The ACL rule requires VPN configuration.
#

                              Étape 6     Vérifiez le lien pour les problèmes.

Première méthode : utilisez la commande debug

Préparation : connectez-vous à l'appareil à l'aide de telnet ou de la console.

(1) Du côté du serveur Stelnet lui-même, vérifiez si la connexion peut être établie normalement.

La connexion suivante peut être normale, indiquant que le service SSH est normal et qu'il y a un problème avec la liaison.

[huawei]ssh client first-time enable    <-- Confirm the configuration of ssh client first-time enable before Stelnet  
[huawei]stelnet 10.137.131.164      <-- Stelnet itself, pay attention to whether the ACL can pass.
Please input the username:ssh
Trying 10.137.131.164 ...
Press CTRL+K to abort
Connected to 10.137.131.164 ...
Enter password:                     <-- connection succeeded
Info: The max number of VTY users is 20, and the number
     of current VTY users on line is 7.
     The current login time is 2013-12-15 20:44+00:00.
<164>

(2) Ouvrez le commutateur de débogage suivant côté serveur.

< HUAWEI >debugging tcp packet dest-port 22  
Info: Filter added!
< HUAWEI >debugging tcp packet src-port 22
Info: Filter added!
< HUAWEI >t m
Info: Current terminal monitor is on.
< HUAWEI >t d
Info: Current terminal debugging is on.

(3) Connectez à nouveau le Stelnet distant pour analyser la sortie des informations de débogage côté serveur.Si les informations de débogage suivantes (sortie SYN 3 fois) apparaissent, cela prouve que la connexion TCP ne peut pas être établie.

Sep 10 2013 09:49:50.650.1+01:01 181 SOCKET/7/TCP PACKET:
TCP debug packet information:
1378806590: Output: task = VT3 (215), socketid = 1,  
(State:Syn_Sent,src = 10.137.131.181:54600,dst = 10.137.131.162:22,VrfIndex = 0,seq = 2916144432,
ack = 0,datalen = 0,optlen = 4,flag =  SYN,window = 8192,ttl = 255,tos = 192,MSS = 512)

Sep 10 2013 09:49:56.240.1+01:01 181 SOCKET/7/TCP PACKET:
TCP debug packet information:
1378806596: Output: task = VT3 (215), socketid = 1,  
(State:Syn_Sent,src = 10.137.131.181:54600,dst = 10.137.131.162:22,VrfIndex = 0,seq = 2916144432,
ack = 0,datalen = 0,optlen = 4,flag =  SYN,window = 8192,ttl = 255,tos = 192,MSS = 512)

Sep 10 2013 09:50:20.240.1+01:01 181 SOCKET/7/TCP PACKET:
TCP debug packet information:
1378806620: Output: task = VT3 (215), socketid = 1,  
(State:Syn_Sent,src = 10.137.131.181:54600,dst = 10.137.131.162:22,VrfIndex = 0,seq = 2916144432,
ack = 0,datalen = 0,optlen = 4,flag =  SYN,window = 8192,ttl = 255,tos = 192,MSS = 512)

Méthode 2: le client confirme la capture de paquets.

L'analyse de capture de paquets côté client est la suivante:

(1) TCP établit une connexion normalement.

171557o66ewgqzzobe9zgg.png

(2) Aucune réponse à la demande de connexion TCP.

171558wjxfjmw1s9m91xmf.png

(3) La demande de connexion TCP a été rejetée.

171559lu5qfzwyju83zlyk.png

Cause première

Le client n'accède pas au serveur SSH pour la première fois. Il a précédemment accédé au serveur SSH du serveur. Cependant, sur le périphérique serveur SSH, la clé RSA a changé, mais l'ancienne clé RSA est toujours sur le client et l'ancien secret est toujours utilisé. La clé est d'accéder au serveur, ce qui entraîne un accès infructueux.




  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier