Cisco ไม่สามารถเชื่อมต่อกับอุปกรณ์จูนิเปอร์ผ่าน SSH - ความยาวโมดูลัสไม่ถูกต้อง


9

ฉันพยายามเชื่อมต่อจาก Cisco 886VA กับ Juniper EX2200 ผ่าน SSH การเชื่อมต่อล้มเหลวด้วยข้อความต่อไปนี้บน Cisco:

*Jan 17 09:51:20.823: SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
*Jan 17 09:51:20.823: %SSH-3-INV_MOD: Invalid modulus length

มีวิธีใดบ้างที่จะทำงานนี้โดยการเปลี่ยนพารามิเตอร์บางอย่างบนอุปกรณ์ Juniper หรืออุปกรณ์ Cisco?

เวอร์ชั่น IOS: 15.2(4)M5

รุ่น JunOS: 12.3R3.4


มีวิธีแก้ไขปัญหาอื่น ๆ อีกไหม? การใช้การตั้งค่า 4096 ได้ทำลายเครื่องมือในการเข้าสู่ระบบและจะต้องมีการพัฒนาเนื่องจากนี่เป็นการตั้งค่าที่ไม่ได้มาตรฐาน ขอบคุณเกรแฮม
เกรแฮม

คำตอบ:


9

นี่เป็นปัญหากับขนาดคีย์ DH ของคุณอย่างแน่นอน

ลองสิ่งนี้:

cisco886va(config)#ip ssh dh min size 4096

การตั้งค่าขนาด dh ขั้นต่ำเป็น 4096 ทำงาน 2591 ไม่เพียงพอ ขอบคุณ!
เซบาสเตียน Wiesinger

@ เซบาสเตียนตอนนี้ฉันสงสัยว่า2056มาจากไหน? ดูเหมือนว่าจะเป็นขนาดแป้นที่แปลก แต่ไม่มีใครที่ปลอดภัยที่สุดถ้ามันต้องการ4096ขนาดของกุญแจ
Ryan Foley

ไม่มีความคิดมันเป็นกล่องจูนิเปอร์มาตรฐานที่เปิดใช้งาน SSH
Sebastian Wiesinger

8

ไฟล์ / etc / ssh / prion ของ Junos มีข้อผิดพลาด 8 ข้อ นั่นคือ moduli ในไฟล์ดังกล่าวที่โฆษณาเป็น 2048bits ในความเป็นจริงแล้ว 2,056 บิตยาว

ลูกค้า Cisco SSH เข้มงวดมากในเรื่องนี้และปฏิเสธที่จะดำเนินการต่อ วิธีแก้ไขให้ลบไฟล์ / etc / ssh / primes จากอุปกรณ์ Junos ของคุณ นี่จะทำให้ Junos ใช้โมดูเลของ Group14

ขอบคุณ


2
+1 ข้อมูลที่ดีคุณช่วยเพิ่มข้อผิดพลาด Junos ได้ไหม?
Mike Pennington

0

คุณต้องสร้างคีย์ rsa ใหม่บน cisco และระบุโมดูลัสขนาดใหญ่สำหรับคีย์


นี่คือพารามิเตอร์ Diffie-Hellman ไม่ใช่โมดูลัสจากคีย์ RSA เราได้สร้างคีย์ RSA 2048 บิตบน Cisco
Sebastian Wiesinger

อาจเป็นได้คุณควรพยายามสร้างคีย์ด้วยโมดูลัสขนาด 4096 สิ่งนี้ใช้ได้กับฉันฉันมีข้อผิดพลาดเดียวกัน (% SSH-3-INV_MOD) แต่ไม่ใช่สำหรับจูนิเปอร์ cisco.com/en/US/docs/ios-xml/ios/security/a1/…
pyatka
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.