"通过 ssh 将配置捆绑包导出失败<host-name or IP>.没有 ECDSA 主机密钥以<host-name or IP>....主机密钥验证失败...失去连接"
54078
Created On 12/15/20 20:21 PM - Last Modified 05/18/21 04:16 AM
Symptom
下面显示系统日志:
"Failed exporting config bundle via ssh to <host-name or IP>. No ECDSA host key is known for <host-name or IP> ....Host key verification failed....lost connection"
Environment
- 任何 Panorama 设备
- PAN-OS 8.1及以上
Cause
- 在配置"计划配置导出"后, Panorama 启动与服务器的连接。
- 服务器提供其公共主机密钥的副本,并将 panorama 主机密钥附加到 IP 服务器的地址,并将其保存在其本地主机密钥存储数据库中。
- 如果服务器在后续连接中呈现的主机密钥与其本地主机密钥数据库不匹配: Panorama 生成此系统日志,计划配置导出失败。
Resolution
- Panorama使用以下命令从"密钥存储"中删除主机密钥。 请注意,此命令将删除存储在设备中的所有主机密钥, Panorama 因此将步骤 2 和步骤 3 应用于配置用于配置导出的所有服务器。
> delete user-file ssh-known-hosts
- 要获取新主机密钥的副本,可以通过 CLI 。(预计测试连接将失败)。作为安全预防措施,请验证系统管理员的主机密钥的有效性,然后再继续操作。
> test scp-server-connection initiate port <port number> hostname <host-name> username <user-name> password <password>
- 记下步骤 2 中的关键值并安装密钥
> test scp-server-connection confirm hostname <IP or hostname> key "<Ip or hostname> ssh-rsa <rsa key from above>"