Vertraging voor wachtwoord verschijnt tijdens inloggen via SSH/telnet

Downloadopties

  • PDF     (116.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (84.7 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (71.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:4 september 2017
Document-id:211983

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de vertraging voordat de wachtwoord wordt gevraagd terwijl u inlogt via SSH/telnet.

    Dit probleem wordt vaak waargenomen wanneer u probeert om via SSH of telnet in te loggen op de GMT0-interface op een Nexus 5K/6K.

     Nadat u de gebruiker-ID hebt ingevoerd, wordt deze tekst weergegeven en is er een langere vertraging zoals verwacht voordat de wachtwoordmelding wordt weergegeven.

    login as: admin
<delay for several seconds before below text is appears>
Nexus 5000 Switch
Using keyboard-interactive authentication.
Password:
 

    Probleem: Vertraging voor Wachtwoord direct weergegeven tijdens inloggen via SSH/telnet

    Het probleem bestaat uit omgekeerde DNS-invoeging.

    Standaard wordt ip-domein-lookup ingeschakeld op de Nexus en als een DNS-serverlijst (ip-naam-server) is ingesteld onder VRF-beheer, dan voert de switch een omgekeerde DNS-raadpleging van het IP-adres van de gebruiker uit wanneer ze via SSH of telnet een verbinding maken met de GMT0-poort.

    Een omgekeerde DNS raadpleging is bedoeld voor veiligheidsdoeleinden om te controleren of het IP-adres van de bron legitiem is en om IP-spoofing te voorkomen.

    Hier is een voorbeeld waar we een DNS-server 10.67.84.45 hebben gebruikt

    De DNS-server in dit geval heeft geen ingangssignaal voor het IP-bronadres van de client en geeft geen antwoord. Dit resulteert in de Nexus-schakelaar die meerdere vragen uitvoert, aangezien de server geen resultaat teruggeeft, veroorzaakt dit de vertraging.

    ip domain-lookup
 
vrf context management
  ip name-server 10.67.84.45

    Van deze output van show hosts, kunt u zien dat er een DNS-server is die is ingesteld voor VRF-beheer en dat de IP-domeinraadpleging is ingeschakeld.

    N5548P-2# show hosts
DNS lookup enabled
 
Name servers for vrf:management is  10.67.84.45
 
Host                    Address
 

    Deze Ethanalzyer-opnamen zijn genomen nadat de gebruikersnaam is ingevoerd en u wacht tot de wachtwoordmelding wordt weergegeven.

    Het laat zien dat de Nexus-switch twee omgekeerde DNS-lookups uitvoert tegen het IP-adres van de bron van de gebruiker, 62.84.137.10

    SSH naar de N5K0-interface

    Username: admin
<delay for several seconds>
 
N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:11:44.105674  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2015-05-09 22:11:49.102673  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
 
N5548P-2# 2 packets captured
The password prompt is then displayed for the user
Nexus 5000 Switch
Using keyboard-interactive authentication.
Password

    :

    Op dezelfde manier voert de schakelaar eerst de bovenstaande omgekeerde DNS raadpleging op het bron-IP-adres van de gebruiker uit wanneer u via telnet inlogt en geeft u vervolgens de inlogmelding weer.

    Telnet-interface naar N5K0

    telnet to switch 10.67.84.56
N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:24:56.303878  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2015-05-09 22:25:01.302680  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2 packets captured

    De loginmelding wordt dan weergegeven:

    Nexus 5000 Switch
login: admin
Password:
 

    Oplossing

    Oplossing 1. Wijzig de lijst van DNS-servers die op de Nexus zijn geconfigureerd, zodat de DNS-server wordt geraadpleegd voordat de DNS-server niet reageert.

    Als de Nexus een geldige DNS-record van de lokale DNS-server ontvangt, wordt de tweede DNS-server in de lijst niet geraadpleegd. Dit vermindert de vertraging.

    Voorbeeld:

    vrf context management
no ip name-server 10.67.84.45
ip name-server  10.67.84.48 10.67.84.45

    U kunt deze opdracht gebruiken om de huidige lijst met DNS-servers te controleren wanneer de lokale server als eerste in de lijst verschijnt:

    N5548P-2# sh hosts
DNS lookup enabled
 
Name servers for vrf:management is  10.67.84.48 10.67.84.45
 
Host                    Address

    Uit deze Ethanalyzer-opname wordt eerst het IP om de raadpleging te noemen uitgevoerd en er wordt een reactie ontvangen.

    Dit wordt gevolgd door een naam-aan-IP adresraadpleging waar een antwoord wordt ontvangen.

    In dit geval werd er geen merkbare vertraging waargenomen bij het inloggen via SSH of telnet.

    N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:55:46.037079  10.67.84.56 -> 10.67.84.48 DNS Standard query PTR
 20.196.104.64.in-addr.arpa
2015-05-09 22:55:46.037444 10.67.84.48 -> 10.67.84.56  DNS Standard query res
ponse PTR no-sense-1.cisco.com
2015-05-09 22:55:46.041907  10.67.84.56 -> 10.67.84.48 DNS Standard query A n
o-sense-1.cisco.com
2015-05-09 22:55:46.042295 10.67.84.48 -> 10.67.84.56  DNS Standard query res
ponse A 64.104.196.20

    Oplossing 2. Verwijder de DNS-lijst van het beheer VRF.

    Voorbeeld:

    vrf - contextbeheer

    no ip name-server 10.67.84.48 10.67.84.45
    • Uitschakelen van IP-domein
    no ip domain-lookup

    Opmerking: Er is een verbeteringsverzoek geopend voor woekering DNS-raadpleging voor NetH/Telnet uitschakelen.

    CSCur27501 raadpleging voor SSH/telnet uitschakelen met r-DNS

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Joe Underwood
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten