Atraso antes que o prompt de senha seja exibido enquanto você faz login via SSH/Telnet

Opções de download

  • PDF     (84.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (86.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (73.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:4 de setembro de 2017
ID do documento:211983

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve o atraso antes que o prompt de senha apareça enquanto você faz login via SSH/Telnet.

    Esse problema é geralmente observado quando você tenta fazer login via SSH ou Telnet para a interface mgmt0 em um Nexus 5K/6K.

     Depois que você digitar a ID de usuário, este texto é exibido e há um atraso maior como esperado, antes que o prompt de senha seja exibido.

    login as: admin
<delay for several seconds before below text is appears>
Nexus 5000 Switch
Using keyboard-interactive authentication.
Password:
 

    Problema: Atraso antes que o prompt de senha seja exibido enquanto você faz login via SSH/Telnet

    O problema ocorre devido à pesquisa de DNS reverso.

    Por padrão, ip domain-lookup é ativado no Nexus e se uma lista de servidores DNS (ip name-server) for configurada no Gerenciamento de VRF, o switch executará uma pesquisa de DNS reversa do endereço IP origem do usuário sempre que se conectar à porta mgmt0 via SSH ou Telnet.

    Uma pesquisa de DNS reversa é destinada para fins de segurança, para verificar se o endereço IP de origem é legítimo e para evitar falsificação de IP.

    Aqui está um exemplo onde usamos um servidor DNS 10.67.84.45

    O servidor DNS nesse caso não tem uma entrada para o endereço IP origem do cliente e não fornece uma resposta. Isso faz com que o switch Nexus execute várias consultas, pois o servidor não retorna um resultado, portanto isso causa o atraso.

    ip domain-lookup
 
vrf context management
  ip name-server 10.67.84.45

    A partir dessa saída de show hosts, você pode ver que há um servidor DNS configurado para o Gerenciamento de VRF e que a pesquisa de domínio IP está habilitada.

    N5548P-2# show hosts
DNS lookup enabled
 
Name servers for vrf:management is  10.67.84.45
 
Host                    Address
 

    Essas capturas do Ethanalzyer foram feitas depois que o nome de usuário foi inserido e você espera a exibição do prompt de senha.

    Ele mostra que o switch Nexus executa duas pesquisas de DNS reverso em relação ao endereço IP origem do usuário, 62.84.137.10

    SSH para a interface N5K mgmt0

    Username: admin
<delay for several seconds>
 
N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:11:44.105674  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2015-05-09 22:11:49.102673  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
 
N5548P-2# 2 packets captured
The password prompt is then displayed for the user
Nexus 5000 Switch
Using keyboard-interactive authentication.
Password

    :

    Da mesma forma, quando você faz login via Telnet, o switch executa primeiro a pesquisa de DNS reversa acima no endereço IP de origem do usuário e exibe o prompt de login.

    Telnet para a interface N5K mgmt0

    telnet to switch 10.67.84.56
N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:24:56.303878  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2015-05-09 22:25:01.302680  10.67.84.56 -> 10.67.84.45      DNS Standard query PTR 6
2.84.137.10.in-addr.arpa
2 packets captured

    O prompt de login é então exibido:

    Nexus 5000 Switch
login: admin
Password:
 

    Solução

    Solução 1. Modifique a lista de servidores DNS configurados no Nexus para que o servidor DNS responsivo seja consultado antes do servidor DNS não responsivo.

    Se o Nexus receber um registro DNS válido do servidor DNS local, ele não consultará o segundo servidor DNS na lista. Isso reduz o atraso.

    Exemplo:

    vrf context management
no ip name-server 10.67.84.45
ip name-server  10.67.84.48 10.67.84.45

    Você pode usar estes comandos para verificar a lista atual de servidores DNS onde o servidor local aparece primeiro na lista:

    N5548P-2# sh hosts
DNS lookup enabled
 
Name servers for vrf:management is  10.67.84.48 10.67.84.45
 
Host                    Address

    A partir dessa captura do Ethanalyzer, primeiro a pesquisa de IP para nome é executada e uma resposta é recebida.

    Isso é seguido por uma pesquisa de nome para endereço IP em que uma resposta é recebida.

    Nesse caso, não houve atraso notável ao fazer login via SSH ou Telnet.

    N5548P-2# ethanalyzer local interface mgmt display-filter dns
Capturing on eth0
2015-05-09 22:55:46.037079  10.67.84.56 -> 10.67.84.48 DNS Standard query PTR
 20.196.104.64.in-addr.arpa
2015-05-09 22:55:46.037444 10.67.84.48 -> 10.67.84.56  DNS Standard query res
ponse PTR no-sense-1.cisco.com
2015-05-09 22:55:46.041907  10.67.84.56 -> 10.67.84.48 DNS Standard query A n
o-sense-1.cisco.com
2015-05-09 22:55:46.042295 10.67.84.48 -> 10.67.84.56  DNS Standard query res
ponse A 64.104.196.20

    Solução 2. Remova a lista DNS do VRF de gerenciamento.

    Exemplo:

    vrf context management

    no ip name-server 10.67.84.48 10.67.84.45
    • Desativar pesquisa de domínio IP
    no ip domain-lookup

    Note: Há uma solicitação de aprimoramento aberta para desativar a pesquisa de DNS reverso para SSh/Telnet.

    CSCur27501 Desative a pesquisa r-DNS para SSH/Telnet

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Joe Underwood
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos