Einführung
Dieses Dokument beschreibt die Verzögerung, bevor die Kennwortaufforderung angezeigt wird, während Sie sich über SSH/Telnet anmelden.
Dieses Problem wird häufig beobachtet, wenn Sie sich über SSH oder Telnet bei der mgmt0-Schnittstelle auf einem Nexus 5K/6K anmelden.
Nachdem Sie die Benutzer-ID eingegeben haben, wird dieser Text angezeigt, und es wird eine längere Verzögerung angezeigt, bevor die Kennwortaufforderung angezeigt wird.
login as: admin
<delay for several seconds before below text is appears>
Nexus 5000 Switch
Using keyboard-interactive authentication.
Password:
Problem: Verzögerung, bevor die Kennwortaufforderung angezeigt wird, während Sie sich über SSH/Telnet anmelden
Das Problem tritt aufgrund der Umkehrung der DNS-Suche auf.
Standardmäßig ist die IP-Domänensuche auf dem Nexus aktiviert, und wenn eine DNS-Serverliste (IP-Name-Server) unter VRF-Management konfiguriert ist, führt der Switch bei jeder Verbindung über SSH oder Telnet mit dem mgmt0-Port eine umgekehrte DNS-Suche der Quell-IP-Adresse des Benutzers durch.
Eine umgekehrte DNS-Suche dient Sicherheitszwecken, um zu überprüfen, ob die Quell-IP-Adresse korrekt ist, und um IP-Spoofing zu verhindern.
Im folgenden Beispiel wurde ein DNS-Server 10.67.84.45 verwendet:
Der DNS-Server verfügt in diesem Fall nicht über einen Eintrag für die Quell-IP-Adresse des Clients und gibt keine Antwort aus. Dies führt dazu, dass der Nexus-Switch mehrere Abfragen ausführt, da der Server kein Ergebnis zurückgibt, was die Verzögerung verursacht.
ip domain-lookup
vrf context management
ip name-server 10.67.84.45
In dieser Ausgabe von Hosts können Sie sehen, dass ein DNS-Server für die VRF-Verwaltung konfiguriert ist und dass die IP-Domänensuche aktiviert ist.
N5548P-2# show hosts
DNS lookup enabled
Name servers for vrf:management is 10.67.84.45
Host Address
Diese Ethanalzyer-Aufnahmen wurden durchgeführt, nachdem der Benutzername eingegeben wurde und Sie warten, bis die Kennwortaufforderung angezeigt wird.
Es zeigt, dass der Nexus-Switch zwei umgekehrte DNS-Suchvorgänge für die Quell-IP-Adresse des Benutzers durchführt, 62.84.137.10.
SSH an die Nexus 5000 mgmt0-Schnittstelle
Username: admin
<delay for several seconds>
N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:11:44.105674 10.67.84.56 -> 10.67.84.45 DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2015-05-09 22:11:49.102673 10.67.84.56 -> 10.67.84.45 DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
N5548P-2# 2 packets captured
The password prompt is then displayed for the user
Nexus 5000 Switch
Using keyboard-interactive authentication.
Password
:
Wenn Sie sich über Telnet anmelden, führt der Switch zunächst die obige umgekehrte DNS-Suche auf der Quell-IP-Adresse des Benutzers durch und zeigt dann die Anmeldeaufforderung an.
Telnet zur Nexus 5000 mgmt0-Schnittstelle
telnet to switch 10.67.84.56
N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:24:56.303878 10.67.84.56 -> 10.67.84.45 DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2015-05-09 22:25:01.302680 10.67.84.56 -> 10.67.84.45 DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2 packets captured
Die Anmeldungsaufforderung wird angezeigt:
Nexus 5000 Switch
login: admin
Password:
Lösung
Lösung 1. Ändern Sie die Liste der auf dem Nexus konfigurierten DNS-Server, sodass der reagierende DNS-Server konsultiert wird, bevor der nicht reagierende DNS-Server erscheint.
Wenn der Nexus vom lokalen DNS-Server einen gültigen DNS-Datensatz empfängt, wird der zweite DNS-Server in der Liste nicht abgerufen. Dadurch wird die Verzögerung verringert.
Beispiel:
vrf context management
no ip name-server 10.67.84.45
ip name-server 10.67.84.48 10.67.84.45
Mit diesem Befehl können Sie die aktuelle Liste der DNS-Server überprüfen, bei denen der lokale Server zuerst in der Liste angezeigt wird:
N5548P-2# sh hosts
DNS lookup enabled
Name servers for vrf:management is 10.67.84.48 10.67.84.45
Host Address
Bei dieser Ethanalyzer-Erfassung wird zunächst die Namenssuche für die IP-Adresse durchgeführt, und es wird eine Antwort empfangen.
Darauf folgt eine Namens-zu-IP-Adresssuche, bei der eine Antwort empfangen wird.
In diesem Fall wurde bei der Anmeldung über SSH oder Telnet keine spürbare Verzögerung beobachtet.
N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:55:46.037079 10.67.84.56 -> 10.67.84.48 DNS Standard query PTR
20.196.104.64.in-addr.arpa
2015-05-09 22:55:46.037444 10.67.84.48 -> 10.67.84.56 DNS Standard query res
ponse PTR no-sense-1.cisco.com
2015-05-09 22:55:46.041907 10.67.84.56 -> 10.67.84.48 DNS Standard query A n
o-sense-1.cisco.com
2015-05-09 22:55:46.042295 10.67.84.48 -> 10.67.84.56 DNS Standard query res
ponse A 64.104.196.20
Lösung 2. Entfernen Sie die DNS-Liste aus der Management-VRF.
Beispiel:
VRF-Kontextmanagement
no ip name-server 10.67.84.48 10.67.84.45
- IP-Domänensuche deaktivieren
no ip domain-lookup
Hinweis: Es ist eine Verbesserungsanfrage verfügbar, um die umgekehrte DNS-Suche für SSh/Telnet zu deaktivieren.
CSCur27501 r-DNS-Suche für SSH/Telnet deaktivieren