Bei der Anmeldung über SSH/Telnet wird die Aufforderung "Delay Before Password" (Verzögerung vor Kennworteingabe) angezeigt.

Download-Optionen

  • PDF     (117.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (92.2 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (79.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:4. September 2017
Dokument-ID:211983

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einführung

    Dieses Dokument beschreibt die Verzögerung, bevor die Kennwortaufforderung angezeigt wird, während Sie sich über SSH/Telnet anmelden.

    Dieses Problem wird häufig beobachtet, wenn Sie sich über SSH oder Telnet bei der mgmt0-Schnittstelle auf einem Nexus 5K/6K anmelden.

     Nachdem Sie die Benutzer-ID eingegeben haben, wird dieser Text angezeigt, und es wird eine längere Verzögerung angezeigt, bevor die Kennwortaufforderung angezeigt wird.

    login as: admin
<delay for several seconds before below text is appears>
Nexus 5000 Switch
Using keyboard-interactive authentication.
Password:
 

    Problem: Verzögerung, bevor die Kennwortaufforderung angezeigt wird, während Sie sich über SSH/Telnet anmelden

    Das Problem tritt aufgrund der Umkehrung der DNS-Suche auf.

    Standardmäßig ist die IP-Domänensuche auf dem Nexus aktiviert, und wenn eine DNS-Serverliste (IP-Name-Server) unter VRF-Management konfiguriert ist, führt der Switch bei jeder Verbindung über SSH oder Telnet mit dem mgmt0-Port eine umgekehrte DNS-Suche der Quell-IP-Adresse des Benutzers durch.

    Eine umgekehrte DNS-Suche dient Sicherheitszwecken, um zu überprüfen, ob die Quell-IP-Adresse korrekt ist, und um IP-Spoofing zu verhindern.

    Im folgenden Beispiel wurde ein DNS-Server 10.67.84.45 verwendet:

    Der DNS-Server verfügt in diesem Fall nicht über einen Eintrag für die Quell-IP-Adresse des Clients und gibt keine Antwort aus. Dies führt dazu, dass der Nexus-Switch mehrere Abfragen ausführt, da der Server kein Ergebnis zurückgibt, was die Verzögerung verursacht.

    ip domain-lookup
 
vrf context management
  ip name-server 10.67.84.45

    In dieser Ausgabe von Hosts können Sie sehen, dass ein DNS-Server für die VRF-Verwaltung konfiguriert ist und dass die IP-Domänensuche aktiviert ist.

    N5548P-2# show hosts
DNS lookup enabled
 
Name servers for vrf:management is  10.67.84.45
 
Host                    Address
 

    Diese Ethanalzyer-Aufnahmen wurden durchgeführt, nachdem der Benutzername eingegeben wurde und Sie warten, bis die Kennwortaufforderung angezeigt wird.

    Es zeigt, dass der Nexus-Switch zwei umgekehrte DNS-Suchvorgänge für die Quell-IP-Adresse des Benutzers durchführt, 62.84.137.10.

    SSH an die Nexus 5000 mgmt0-Schnittstelle

    Username: admin
<delay for several seconds>
 
N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:11:44.105674  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2015-05-09 22:11:49.102673  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
 
N5548P-2# 2 packets captured
The password prompt is then displayed for the user
Nexus 5000 Switch
Using keyboard-interactive authentication.
Password

    :

    Wenn Sie sich über Telnet anmelden, führt der Switch zunächst die obige umgekehrte DNS-Suche auf der Quell-IP-Adresse des Benutzers durch und zeigt dann die Anmeldeaufforderung an.

    Telnet zur Nexus 5000 mgmt0-Schnittstelle

    telnet to switch 10.67.84.56
N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:24:56.303878  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2015-05-09 22:25:01.302680  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2 packets captured

    Die Anmeldungsaufforderung wird angezeigt:

    Nexus 5000 Switch
login: admin
Password:
 

    Lösung

    Lösung 1. Ändern Sie die Liste der auf dem Nexus konfigurierten DNS-Server, sodass der reagierende DNS-Server konsultiert wird, bevor der nicht reagierende DNS-Server erscheint.

    Wenn der Nexus vom lokalen DNS-Server einen gültigen DNS-Datensatz empfängt, wird der zweite DNS-Server in der Liste nicht abgerufen. Dadurch wird die Verzögerung verringert.

    Beispiel:

    vrf context management
no ip name-server 10.67.84.45
ip name-server  10.67.84.48 10.67.84.45

    Mit diesem Befehl können Sie die aktuelle Liste der DNS-Server überprüfen, bei denen der lokale Server zuerst in der Liste angezeigt wird:

    N5548P-2# sh hosts
DNS lookup enabled
 
Name servers for vrf:management is  10.67.84.48 10.67.84.45
 
Host                    Address

    Bei dieser Ethanalyzer-Erfassung wird zunächst die Namenssuche für die IP-Adresse durchgeführt, und es wird eine Antwort empfangen.

    Darauf folgt eine Namens-zu-IP-Adresssuche, bei der eine Antwort empfangen wird.

    In diesem Fall wurde bei der Anmeldung über SSH oder Telnet keine spürbare Verzögerung beobachtet.

    N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:55:46.037079  10.67.84.56 -> 10.67.84.48 DNS Standard query PTR
 20.196.104.64.in-addr.arpa
2015-05-09 22:55:46.037444 10.67.84.48 -> 10.67.84.56  DNS Standard query res
ponse PTR no-sense-1.cisco.com
2015-05-09 22:55:46.041907  10.67.84.56 -> 10.67.84.48 DNS Standard query A n
o-sense-1.cisco.com
2015-05-09 22:55:46.042295 10.67.84.48 -> 10.67.84.56  DNS Standard query res
ponse A 64.104.196.20

    Lösung 2. Entfernen Sie die DNS-Liste aus der Management-VRF.

    Beispiel:

    VRF-Kontextmanagement

    no ip name-server 10.67.84.48 10.67.84.45
    • IP-Domänensuche deaktivieren
    no ip domain-lookup

    Hinweis: Es ist eine Verbesserungsanfrage verfügbar, um die umgekehrte DNS-Suche für SSh/Telnet zu deaktivieren.

    CSCur27501 r-DNS-Suche für SSH/Telnet deaktivieren

    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Joe Underwood
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.