网络设备通常通过SSH服务进行管理。有时,这些设备通过以下方式失去了SSH访问权限:
”  远程系统拒绝了连接。” 
SSH客户端(例如SecureCRT)上显示的错误消息。 无论您是从内部还是外部接口进行尝试,它始终是相同的。是否有任何配置错误?如果是,为什么最后一次起作用?

症状: 

通过控制台端口,有一些有趣的事情:

路由器1#显示连接 

ID   Name            Segment 1              Segment 2                  State    
================================================== =============================

Router1#show用户
    Line       用户      Host(s)              Idle       Location
*  1 aux 0     user2       idle                 00:00:00   
 132 中国体育彩票开奖 0     用户1  100.9.1.1               48w0d 10.9.200.28
 133 中国体育彩票开奖 1     用户1  100.9.1.1               48w0d 10.9.200.28
 134 中国体育彩票开奖 2     用户1  100.9.1.1               48w0d 10.9.200.28
 135 中国体育彩票开奖 3     用户1  100.9.1.1               48w0d 10.9.200.28
 136 中国体育彩票开奖 4     用户1  100.9.1.1               47w6d 10.9.200.28
 137 中国体育彩票开奖 5     用户1  100.9.1.1               47w6d 10.9.200.28
 138 中国体育彩票开奖 6     用户1  100.9.1.1               47w6d 10.9.200.28
 139 中国体育彩票开奖 7     用户1  100.9.1.1               47w1d 10.9.200.28
 140 中国体育彩票开奖 8     用户1  100.9.1.1               47w1d 10.9.200.28
 141 中国体育彩票开奖 9     用户1  100.9.1.1               46w5d 10.9.200.28
 142 中国体育彩票开奖 10    user1   100.9.1.1               43w5d 10.9.200.28
 143 中国体育彩票开奖 11    user1   100.9.1.1               43w4d 10.9.200.28
 144 中国体育彩票开奖 12    user1   100.9.1.1               41w6d 10.9.200.28
 145 中国体育彩票开奖 13    user1   100.9.1.1               41w6d 10.9.200.28
 146 中国体育彩票开奖 14    user1   100.9.1.1               41w6d 10.9.200.28
 147 中国体育彩票开奖 15    user1   100.9.1.1               41w6d 10.9.200.28

  整数erface    User               Mode         闲    Peer Address
路由器1#显示ssh 
连接版本模式加密 Hmac         州                Username
0          2.0     IN   aes256-cbc hmac-sha1    Session started       user1
0          2.0     OUT  aes256-cbc  hmac-sha1    Session started       user1
1          2.0     IN   aes256-cbc hmac-sha1    Session started       user1
1          2.0     OUT  aes256-cbc  hmac-sha1    Session started       user1
2          2.0     IN   aes256-cbc hmac-sha1    Session started       user1
2          2.0     OUT  aes256-cbc  hmac-sha1    Session started       user1
3          2.0     IN   aes256-cbc hmac-sha1    Session started       user2
3          2.0     OUT  aes256-cbc  hmac-sha1    Session started       user2
4          2.0     IN   aes256-cbc hmac-sha1    Session started       user2
4          2.0     OUT  aes256-cbc  hmac-sha1    Session started       user2
5          2.0     IN   aes256-cbc hmac-sha1    Session started       user1
5          2.0     OUT  aes256-cbc  hmac-sha1    Session started       user1
6          2.0     IN   aes256-cbc hmac-sha1    Session started       user1
6          2.0     OUT  aes256-cbc  hmac-sha1    Session started       user1
7          2.0     IN   aes256-cbc hmac-sha1    Session started       user1
7          2.0     OUT  aes256-cbc  hmac-sha1    Session started       user1
8          2.0     IN   aes256-cbc hmac-sha1    Session started       user1
8          2.0     OUT  aes256-cbc  hmac-sha1    Session started       user1
9          2.0     IN   aes256-cbc hmac-sha1    Session started       user1
9          2.0     OUT  aes256-cbc  hmac-sha1    Session started       user1
10         2.0    IN   aes256-cbc hmac-sha1    Session started       user1
10         2.0    OUT  aes256-cbc  hmac-sha1    Session started       user1
11         2.0    IN   aes256-cbc hmac-sha1    Session started       user1
11         2.0    OUT  aes256-cbc  hmac-sha1    Session started       user1
12         2.0    IN   aes256-cbc hmac-sha1    Session started       user1
12         2.0    OUT  aes256-cbc  hmac-sha1    Session started       user1
13         2.0    IN   aes256-cbc hmac-sha1    Session started       user1
13         2.0    OUT  aes256-cbc  hmac-sha1    Session started       user1
14         2.0    IN   aes256-cbc hmac-sha1    Session started       user1
14         2.0    OUT  aes256-cbc  hmac-sha1    Session started       user1
15         2.0    IN   aes256-cbc hmac-sha1    Session started       user1
15         2.0    OUT  aes256-cbc  hmac-sha1    Session started       user1
%无SSHv1服务器连接正在运行。
路由器1#显示线
   Tty Line Typ     Tx/Rx    A Modem  Roty AccO AccI  Uses  Noise Overruns  Int
*     0    0 CTY              –    –      –    –    –     2      1    0/0      –
      1    1 AUX   9600/9600  –    –      –    –    –     0      0    0/0      –
      2    2 TTY   9600/9600  –    –      –    –    –     9      0    0/0      –
*   132  132 VTY              –    –      –    –  101    14      0    0/0      –
*   133  133 VTY              –    –      –    –  101    10      0    0/0      –
*   134  134 VTY              –    –      –    –  101     5      0    0/0      –
*   135  135 VTY              –    –      –    –  101     4      0    0/0      –
*   136  136 VTY              –    –      –    –  101     2      0    0/0      –
*   137  137 VTY              –    –      –    –  101     8      0    0/0      –
*   138  138 VTY              –    –      –    –  101    14      0    0/0      –
*   139  139 VTY              –    –      –    –  101     5      0    0/0      –
*   140  140 VTY              –    –      –    –  101     4      0    0/0      –
*   141  141 VTY              –    –      –    –  101     2      0    0/0      –
*   142  142 VTY              –    –      –    –  101     4      0    0/0      –
*   143  143 VTY              –    –      –    –  101     2      0    0/0      –
*   144  144 VTY              –    –      –    –  101     2      0    0/0      –
*   145  145 VTY              –    –      –    –  101     2      0    0/0      –
*   146  146 VTY              –    –      –    –  101     2      0    0/0      –
*   147  147 VTY              –    –      –    –  101    10      0    0/0      –

线路不在异步模式下-或者-不支持硬件: 
3-131
路由器1#显示tcp简要|我.22_
319FCE3C 100.9.1.5.22                10.9.200.28.1903           ESTAB
2901D1E8 100.9.1.2.22                10.9.200.28.2526           FINWAIT1
301631E4 100.9.1.2.22                10.9.200.28.2486           ESTAB
29353A80 100.9.1.5.22                10.9.200.28.2735           ESTAB
28F53880 100.9.1.5.22                10.9.200.28.4035           ESTAB
293533DC 100.9.1.5.22                10.9.200.28.2293           ESTAB
28F408FC 100.9.1.2.22                10.9.200.28.3871           ESTAB
2933B460 100.9.1.2.22                10.9.200.14.8725           ESTAB
28F60DC8 100.9.1.5.22                10.9.200.28.2365           ESTAB
315D3BC0 100.9.1.5.22                10.9.200.28.2819           ESTAB
2934BD88 100.9.1.2.22                10.9.200.28.3128           ESTAB
31904740 100.9.1.2.22                10.9.200.14.8692           ESTAB
2901C298 100.9.1.5.22                10.9.200.28.3874           ESTAB
315D4264 100.9.1.5.22                10.9.200.28.3629           ESTAB
3151B7A4 100.9.1.2.22                10.9.200.28.2639           FINWAIT1
似乎所有的VTY线路都已使用,尽管设置了exec-timeout,但由于某种原因系统并未结束那些空闲的会话。

解: 

1.清晰的线条 

路由器2#清除线中国体育彩票开奖 0
[确认]
 [OK]

2.设置ssh超时

ip ssh超时30

3.设置绝对超时

行中国体育彩票开奖 0 15
绝对超时15

4. 使用服务tcp-keepalives避免挂起Telnet会话

http://www.cisco.com/en/US/tech/tk801/tk36/technologies_tech_note09186a00801365f3.shtml
tcpkeepalive.gif
但是,如果由于任何原因重新加载了路由器2,则终端将无法重新进入服务器。尝试激活连接后,用户将看到“远程主机拒绝连接”消息。出现此消息是因为服务器认为先前的telnet会话仍处于连接状态,从而阻止了新会话。

路由器1# config term
Router1(config)# service tcp-keepalives-in
Router1(config)# service tcp-keepalives-out
Router1(config)# end

通过 约翰

关于“为什么思科设备拒绝SSH连接”的一种思考

发表评论