2.3.1 本装置に対してSSHで接続できない
他装置のSSHクライアントから本装置に対してSSH(ssh,scp,およびsftp)で接続できない場合は,次に示す手順で確認してください。
- 〈この項の構成〉
(1) リモート接続経路の確立を確認する
本装置と運用端末間の通信経路が確立できていない可能性があります。pingコマンドを使用して,通信経路を確認してください。
(2) SSHサーバのコンフィグレーションを確認する
SSHサーバに関するコンフィグレーションが未設定の場合は,本装置に対してSSHで接続できません。また,本装置のSSHサーバの設定と他装置のSSHクライアント側の設定で,認証方式などが一致しない場合は接続できません。
コンフィグレーションに,SSHサーバの情報が正しく設定されているか確認してください。リモートアクセス制御でアクセスリストを指定している場合は,許可されたアドレスの端末から接続しているかを確認してください。
(3) 本装置に登録したユーザ公開鍵が正しいか確認する
本装置に公開鍵認証でログインする場合は,本装置のコンフィグレーションに登録したユーザ公開鍵が正しい鍵かどうか,もう一度確認してください。
(config)# show ip ssh ip ssh ip ssh authkey staff1 key1 "xxxxxx" <-1 ! (config)# |
-
正しいユーザ名で,正しい公開鍵が登録されているかどうかを確認します。
(4) ログインアカウントのパスワードが設定済みか確認する
SSHでは,認証時にパスワードを省略すると,ログインできません。アカウントにはパスワードを設定してください。
(5) ログインユーザ数を確認する
本装置にログインできる最大ユーザ数を超えてログインしようとして,メッセージ種別:ACCESS,メッセージ識別子:06000003のシステムメッセージが出力されていないかを,show loggingコマンドで確認してください。
(6) 本装置に対して不正なアクセスがないか確認する
本装置のSSHサーバ機能では不正アクセスを防止するために,ログインユーザ数の制限のほかに,ログインするまでの認証途中の段階でのアクセス数や,ログイン完了までの時間(2分間)を制限しています。したがって,show sessionsコマンドで表示する本装置上のログインユーザ数が少ないのにSSHで接続できない場合は,接続していてもログインしていないセッションが残っていることが考えられます。次の点を確認してください。
-
本装置でshow ssh loggingコマンドを実行して,SSHサーバのトレースログを確認します。
SSHサーバへ接続中のセッションが多いために接続が拒否された例を次の図に示します。この例は,接続していてもログインしていないセッションがある場合などに表示されます。
図2‒3 SSHサーバへ接続中のセッションが多いために接続が拒否された例 > show ssh logging 20XX/04/14 18:50:04 sshd[662] A fatal error occurred. Login was rejected because there are too many SSH sessions. 20XX/04/14 18:49:50 sshd[638] A fatal error occurred. Login was rejected because there are too many SSH sessions. 20XX/04/14 18:49:00 sshd[670] A fatal error occurred. Login was rejected because there are too many SSH sessions.
-
接続していてもログインしていない不正なセッションの接続元を調査して,リモートアクセスを制限するなどの対応をしてください。
なお,接続していてもログインしていない不正なセッションは2分後には解放されて,再度SSHでログインできるようになります。急ぎの場合は,clear tcpコマンドで強制的にTCPセッションを切断して解放することもできます。