Сбой SSH при переходе с маршрутизаторов Cisco на коммутаторы Dell

Столкнулся с двумя отдельными, но, вероятно, схожими проблемами.

Первая проблема -

У меня есть два маршрутизатора Cisco 2900 Series на прошивке v15.2(4)M4, которые пытаются войти в стек Dell 5548P на прошивке v4.1.0.8. Все попытки мгновенно терпят неудачу с -

router#ssh 1.2.3.4
[Connection to 1.2.3.4 aborted: error status 0]

Журнал буфера показывает -

SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
%SSH-3-INV_MOD: Invalid modulus length

Если я попытаюсь изменить длину ключа DH на маршрутизаторе, попытки все равно не увенчаются успехом, а журнал буфера покажет - {{{{784784}}}}.

SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
%SSH-3-INV_MOD: Invalid modulus length  
%SSH-3-DH_RANGE_FAIL: Client DH key range mismatch with maximum configured DH key on server

Конфигурация SSH на маршрутизаторе -

SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded):
ssh-rsa keystringgoeshere

Конфигурация SSH на стеке 5548P - {{5887878}}

SSH Server enabled. Port: 22
RSA key was generated.
DSA(DSS) key was generated.
SSH Public Key Authentication is disabled.

Похоже, что здесь нет никаких глубоких настроек, связанных с ssh-сервером, которые я мог бы изменить.

--

Вторая проблема -

У меня есть еще два маршрутизатора Cisco 2900 Series на другом сайте на прошивке v15.4(3)M3, которые пытаются войти в стек Dell N1548P на прошивке v6.3.0.6. Все попытки заканчиваются неудачей с -

router#ssh 5.6.7.8
Password:
[Connection to 5.6.7.8 aborted: error status 0]

Журнал буфера показывает -

SSH2 CLIENT 0:  Channel open failed, reason = 1752134516

Конфигурация SSH на маршрутизаторе -

SSH Enabled - version 2.0
Authentication methods:publickey,keyboard-interactive,password
Encryption Algorithms:aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
MAC Algorithms:hmac-sha1,hmac-sha1-96
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded):
ssh-rsa keystringgoeshere

Конфигурация SSH на стеке N1548P - {{{777}}}

SSH Server enabled.  Port: 22
Protocol Levels: Versions 1 and 2.
SSH Connections Currently in Use: ............. 1
Maximum number of SSH Sessions Allowed: ....... 5
SSH Session Timeout: .......................... 600
RSA key was generated.
DSA key was generated.
SSH Public Key Authentication is disabled.

В данном конкретном сценарии, если я модифицирую маршрутизатор для использования SSH v1, он сможет подключиться. При использовании v2 - нет. Конечно, мы не хотим использовать v1. Я не смог понять, что означает причина "1752134516".

--

Обратите внимание, что я могу напрямую подключиться по SSH к обоим стекам коммутаторов. Только маршрутизаторы не могут подключиться.

Спасибо за любую помощь.

Инженерные Сети
ssh cisco dell
28-го апреля 2016 в 2:54
134 просмотров

пожалуйста, попробуйте изменить размер с помощью этой команды

ip ssh dh min size 2048

в противном случае 2048 может быть изменен на необходимую вам длину модулей

Комментарии (0)

Что касается стека Dell N1548P на прошивке v6.3.0.6 и

SSH2 CLIENT 0:  Channel open failed, reason = 1752134516

Убедитесь, что на нем не используется OpenSSH v6.9. Существует проблема с Cisco и OpenSSH 6.9 [описана здесь] (https://lists.mindrot.org/pipermail/openssh-unix-dev/2015-July/034239.html).

Оказалось, что проблема заключается в новом расширении протокола для отправки хост-ключей клиенту. ключей клиенту после аутентификации пользователя (раздел 2.5 протокола документа PROTOCOLS). Закомментировав вызов notify_hostkeys() в файле sshd.c устраняет проблемы с Cisco scp. Возможно, новый флаг совместимости с ошибками флаг в порядке добавления к строке "Cisco-1.*" клиента, которая была добавлена в версии 6.9?

которая была исправлена в OpenSSH v7.0.

Комментарии (0)