تظهر مطالبة التأخير قبل كلمة المرور أثناء تسجيل الدخول عبر SSH/Telnet

خيارات التنزيل

  • PDF     (238.7 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (82.0 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (68.7 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٤ سبتمبر ٢٠١٧
معرّف المستند:211983

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند التأخير قبل ظهور مطالبة كلمة المرور أثناء تسجيل الدخول عبر SSH/Telnet.

    تتم ملاحظة هذه المشكلة بشكل عام عند محاولة تسجيل الدخول عبر SSH أو Telnet إلى واجهة mgmt0 على Nexus 5K/6K.

     بعد أن تقوم بإدخال معرف المستخدم، يظهر هذا النص وهناك تأخير أطول كما هو متوقع، قبل أن تظهر مطالبة كلمة المرور.

    login as: admin
<delay for several seconds before below text is appears>
Nexus 5000 Switch
Using keyboard-interactive authentication.
Password:
 

    مشكلة: يظهر موجه أمر التأخير قبل كلمة المرور أثناء تسجيل الدخول عبر SSH/Telnet

    تحدث المشكلة بسبب البحث العكسي في DNS.

    بشكل افتراضي، يتم تمكين ip domain-lookup على Nexus وإذا تم تكوين قائمة خادم DNS (ip name-server) تحت إدارة VRF، سيقوم المحول بإجراء بحث DNS عكسي على عنوان IP لمصدر المستخدم كلما اتصل بمنفذ mgmt0 عبر SSH أو Telnet.

    تم تصميم بحث DNS العكسي لأغراض الأمان للتحقق من شرعية عنوان IP المصدر ومنع انتحال عناوين IP.

    هنا مثال حيث إستخدمنا خادم DNS 10.67.84.45

    لا يحتوي خادم DNS في هذه الحالة على إدخال لعنوان IP المصدر الخاص بالعميل ولا يوفر إستجابة. وهذا يؤدي إلى قيام محول Nexus بإجراء استعلامات متعددة، حيث إن الخادم لا يرجع نتيجة وبالتالي فإن هذا يتسبب في التأخير.

    ip domain-lookup
 
vrf context management
  ip name-server 10.67.84.45

    من هذا الإخراج الخاص ب show host، يمكنك أن ترى أنه يوجد خادم DNS تم تكوينه لإدارة VRF وأنه تم تمكين البحث عن مجال IP.

    N5548P-2# show hosts
DNS lookup enabled
 
Name servers for vrf:management is  10.67.84.45
 
Host                    Address
 

    تم التقاط الإيثاناليزر بعد إدخال اسم المستخدم وتنتظر ظهور مطالبة كلمة المرور.

    هو يظهر أن Nexus switch ينجز إثنان عكسي DNS عملية بحث مقابل مصدر المستعمل عنوان، 62.84.137.10

    SSH إلى واجهة N5K mgmt0

    Username: admin
<delay for several seconds>
 
N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:11:44.105674  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2015-05-09 22:11:49.102673  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
 
N5548P-2# 2 packets captured
The password prompt is then displayed for the user
Nexus 5000 Switch
Using keyboard-interactive authentication.
Password

    :

    بالمثل، عندما تقوم بتسجيل الدخول عبر Telnet، يقوم المحول أولا بتنفيذ البحث العكسي DNS أعلاه على عنوان IP لمصدر المستخدم ثم يعرض مطالبة تسجيل الدخول.

    Telnet إلى واجهة N5K mgmt0

    telnet to switch 10.67.84.56
N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:24:56.303878  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2015-05-09 22:25:01.302680  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2 packets captured

    يتم بعد ذلك عرض مطالبة تسجيل الدخول:

    Nexus 5000 Switch
login: admin
Password:
 

    الحل

    الحل 1. قم بتعديل قائمة خوادم DNS التي تم تكوينها على Nexus، بحيث يتم الرجوع إلى خادم DNS المستجيب قبل خادم DNS غير المستجيب.

    إذا استلم Nexus سجل DNS صالحا من خادم DNS المحلي فلن يستشير خادم DNS الثاني في القائمة. وهذا يقلل من التأخير.

    مثال:

    vrf context management
no ip name-server 10.67.84.45
ip name-server  10.67.84.48 10.67.84.45

    يمكنك إستخدام هذا الأمر للتحقق من القائمة الحالية لخوادم DNS حيث يظهر الخادم المحلي أولا في القائمة:

    N5548P-2# sh hosts
DNS lookup enabled
 
Name servers for vrf:management is  10.67.84.48 10.67.84.45
 
Host                    Address

    من خلال التقاط الإيثاناليزر هذا، يتم أولا إجراء البحث عن اسم IP ويتم تلقي إستجابة.

    ويتبع ذلك بحث عن عنوان من اسم إلى عنوان IP حيث يتم تلقي إستجابة.

    في هذه الحالة، لم يتم ملاحظة أي تأخير ملحوظ عند تسجيل الدخول عبر SSH أو Telnet.

    N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:55:46.037079  10.67.84.56 -> 10.67.84.48 DNS Standard query PTR
 20.196.104.64.in-addr.arpa
2015-05-09 22:55:46.037444 10.67.84.48 -> 10.67.84.56  DNS Standard query res
ponse PTR no-sense-1.cisco.com
2015-05-09 22:55:46.041907  10.67.84.56 -> 10.67.84.48 DNS Standard query A n
o-sense-1.cisco.com
2015-05-09 22:55:46.042295 10.67.84.48 -> 10.67.84.56  DNS Standard query res
ponse A 64.104.196.20

    الحل 2. أزلت ال DNS قائمة من الإدارة VRF.

    مثال:

    إدارة سياق vrf

    no ip name-server 10.67.84.48 10.67.84.45
    • تعطيل البحث عن مجال IP
    no ip domain-lookup

    ملاحظة: هناك طلب تحسين مفتوح لتعطيل بحث DNS العكسي ل SSh/Telnet.

    CSCur27501 تعطيل البحث عن DNS ل SSH/Telnet

    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Joe Underwood
      مهندس TAC من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات