故障现象:
客户用HT超级终端ssh链接5720交换机,提示如图,无法成功。
故障分析:
从V200R019C10SPC500开始交换机默认不支持sha2_256_96、sha1、sha1_96、md5和md5_96等参数导致低版本的客户端登录失败。
解决方案:
安装WEAKEA插件
V200R019C10SPC500到v200R020版本需要登录华为官网申请下载WEAKEA插件再加载。
V200r021C00SPC100起系统软件已经包含插件但需要手动加载。
V200r021C00SPC100到V200r021C01SPC200版本执行如下命令:
load-module weakea
install-module weakea.mod
V200r021C10SPC500版本执行如下命令:
load-module weakea
插件安装结束后将算法恢复成默认配置,将指定的算法参数全部undo掉(不指定任何算法就是默认支持所有算法)
设备生成的指定秘钥算法配置等类似如下:
ssh server cipher aes256_ctr aes128_ctr
ssh server hmac sha2_256
ssh server key-exchange dh_group_exchange_sha1 dh_group14_sha1 dh_group1_sha1
ssh client cipher aes256_ctr aes128_ctr
ssh client hmac sha2_256
将上述算法全部undo掉
undo ssh server cipher
undo ssh server hmac
undo ssh server key-exchange
undo ssh client cipher
undo ssh client hmac
相关操作仅影响远程访问设备,不影响业务。
除上述操作方法外,更快速的解决办法即更换一个支持新版安全加密算法的终端登录工具,通常下载最新版本软件可以支持。
,