Хорошо

NE40 неожиданно стал недоступен для доступа по SSH

Последний ответ июн 26, 2022 13:29:43 129 1 6 0 0

Интересный случай был недавно расследован.

NE40 в течение около 20 минут был недоступен по SSH. Все попытки подключиться с разных учетных данных возвращали такие ошибки как:


VTY not available for Stelnet connection

User public key authentication failed

The authentication server has no response



SSH

Поскольку был включен ssh server ip-block,то попытки аутентифицироваться с неверным именем пользователя привели к блокировке IP адреса-источника.


SSH


Как заметил клиент, войти удалось только через NCE, где смогли только разблокировать пользователя, на которого получилось зайти только с другого маршрутизатора напрямую SSH-клиентом этим же пользователем. Доступ из сети управления был получен только после настройки белого листа на cpu-defend policy по пропуску трафика сети управления.


Объяснение такого странного поведения дал анализ логов со всеми операциями и эффект, который они производили:


more log.log


OPS (Open Programmability System) сама логинилась на устройство периодически, занимая VTY линии, чтобы отработать настроенные алгоритмы.


SSH

Несмотря на то, что на устройстве было настроен 21 возможный пользователь для логирования:


SSH

SSH линий для логирования было настроено только 5:


SSH


Чтобы исправить это, нужно внести изменения в конфигурацию:


SSH


В подобном случае также можно порекомендовать при возникновении необъяснимого (на первый взгляд) фэйла лонирования на устройство по SSH, и получении ошибки о недоступности VTY линий, прекратить попытки логирования, подождать 10-20 минут, не предпринимая никаких действий. А после обновить конфигурацию до необходимой.


  • x

mrppa
MVE Author Опубликовано 2022-6-26 13:29:43
спасибо
Развернуть
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.
О защите информации
Благодарим за использование Huawei ICT Club! Мы хотим рассказать вам о том, как мы собираем, используем и храним ваши данные. Пожалуйста, внимательно ознакомьтесь с Политикой конфиденциальности и Пользовательским соглашением.