Безопасность и VPN : Secure Shell (SSH)

Неудача идентификации SSH из-за низких условий памяти

17 октября 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Когда Безопасный Shell (SSH) к маршрутизатору иногда терпит неудачу с пользовательской неудачей идентификации, о которой сообщают, в отладках SSH, этот документ описывает проблему о маршрутизаторе Cisco IOS®. Эта проблема происходит даже при том, что пользовательские введенные верительные грамоты правильны, и те же самые верительные грамоты работают правильно на TELNET.

Примечание: ошибка ID CSCum19502 Cisco была подана для создания поведения между SSH и TELNET последовательным.

Внесенный Атри Базу и Вэнь Чжаном, Cisco инженеры TAC.

Проблема

Заметьте в этих отладках, что даже при том, что "отладка aaa идентификация" позволена, нет никакой Идентификации, Разрешения, и Считающий (AAA) отладки, напечатанные, чтобы показать, что AAA фактически призван и возвращает неудачу.

Router#show debug
General OS:
AAA Authentication debugging is on
SSH:
Incoming SSH debugging is on
ssh detail messages debugging is on
Router#
*Sep 30 20:28:57.172: SSH2 2: MAC compared for #8 :ok
*Sep 30 20:28:57.172: SSH2 2: input: padlength 15 bytes
*Sep 30 20:28:57.172: SSH2 2: Using method =
keyboard-interactive
*Sep 30 20:28:57.172: SSH2: password authentication failed
for cisco

*Sep 30 20:28:59.172: SSH2 2: send:packet of length 64
(length also includes padlen of 14)
*Sep 30 20:28:59.172: SSH2 2: computed MAC for sequence
no.#8 type 51
*Sep 30 20:29:01.751: SSH2 2: ssh_receive: 144 bytes received
*Sep 30 20:29:01.751: SSH2 2: input: total packet length of
128 bytes
*Sep 30 20:29:01.751: SSH2 2: partial packet length(block size)
16 bytes,needed 112 bytes,

Иногда syslog, показанный здесь, также наблюдается, когда SSH предпринят, но это не становится печатным последовательно:

*Sep 30 20:23:27.598: %AAA-3-ACCT_LOW_MEM_UID_FAIL: AAA unable to create UID for incoming 
calls due to insufficient processor memory

Первопричиной проблемы являются низкие условия памяти на маршрутизаторе. Когда AAA не ассигнует память для создания Уникального ID (UID) для поступающей сессии SSH, это сообщает о той же самой неудаче как неудачу идентификации AAA даже при том, что не предпринят AAA. Это условие происходит, когда процессор, бесплатная память падает ниже AAA "Порог низкой памяти идентификации", который по умолчанию установлен к 3% полной памяти и может быть согласован с шоу aaa команда памяти. Эта проблема часто замечается на Маршрутизаторе Aggregation Services (ASR) 1001 платформа, где существует ограниченная память на маршрутизаторе, который может быть исчерпан с тяжелым использованием самолета контроля, таким как полный стол Протокола ворот границы (BGP). На ASR 1001 существует 4 ГБ установленного DRAM, но после того, как вся другая Cisco ботинка процессоров CPUs и Linux IOS перенесла 1.1 ГБ. Как только память исчерпана до такой степени, что AAA больше не может ассигновать память для UID, SSH не работает.

Рассмотрите эти данные о памяти от двух ASRs:

SSH Not Working:
----------------
ASR1#show memory summary
Head Total(b) Used(b) Free(b) Lowest(b) Largest(b)
Processor 7FE150387010 1160982064 1146067400 14914664 14225352 13918620
lsmpi_io 7FE14FB7E1A8 6295128 6294304 824 824 412

SSH Working:
------------
ASR2#show memory summary
Head Total(b) Used(b) Free(b) Lowest(b) Largest(b)
Processor 7FFB6ACB0010 1160982064 1120122056 40860008 29163912 24132068
lsmpi_io 7FFB6A4A71A8 6295128 6294304 824 824 412

От простого вычисления на нерабочем ASR процент бесплатной памяти составляет 1.28% (14914664 / 1160982064 * 100) полной доступной памяти. На работе ASR это - 3.51% (40860008 / 1160982064 * 100), который является чуть выше порога низкой памяти идентификации.

Эту проблему трудно определить, потому что %AAA-3-ACCT_LOW_MEM_UID_FAIL сообщение часто не становится печатным, когда эта ошибка происходит из-за низкого условия памяти. Кроме того, способ, которым AAA вычисляет порог памяти, не зависит от сырой суммы памяти процессора, доступной на процессоре маршрута (RP), а скорее проценте полной памяти. Поэтому, могло бы все еще быть по-видимому много памяти процессора, показанной как свободное в выставочной продукции команды резюме памяти, когда это происходит без malloc неудач, сообщил.

Примечаниеошибка ID CSCuj50368 Cisco была подана для создания сообщений об ошибках SSH более явными о настоящей причине для неудачи идентификации.

Один путь к проверить, является ли это действительно проблемой, состоит в том, чтобы смотреть на статистику памяти AAA:

Router#show aaa memory
Allocator-Name In-use/Allocated Count
----------------------------------------------------------------------------
AAA AttrL Hdr : 0/65888 ( 0%) [ 0] Chunk
AAA AttrL Sub : 0/65888 ( 0%) [ 0] Chunk
AAA DB Elt Chun : 544/65888 ( 0%) [ 4] Chunk
AAA Unique Id Hash Table : 8196/8288 ( 98%) [ 1]
AAA chunk : 0/16936 ( 0%) [ 0] Chunk
AAA chunk : 0/16936 ( 0%) [ 0] Chunk
AAA Interface Struct : 1600/1968 ( 81%) [ 4]

Total allocated: 0.230 Mb, 236 Kb, 241792 bytes


AAA Low Memory Statistics:
__________________________
Authentication low-memory threshold : 3%
Accounting low-memory threshold : 2%



AAA Unique ID Failure : 96
Local server Packet dropped : 0
CoA Packet dropped : 0
PoD Packet dropped :

. если "AAA этим низким условием памяти, Уникальные приращения количества" Неудачи ID с каждым подвели попытку SSH, проблема вызван 

Для поиска неисправностей этой проблемы стандартные шаги поиска неисправностей памяти ASR 1000 должны быть сделаны для изоляции причины. Для получения дополнительной информации о том, как расследовать проблемы памяти о ASR, см. Обзор Использования Памяти.

Решение

Для поиска неисправностей этой проблемы стандартные шаги поиска неисправностей памяти маршрутизатора должны быть сделаны. Шаги изолируют, является ли проблема из-за нормального использования, когда могла бы быть гарантирована модернизация платформы/памяти; или память просачивается, где могли бы требоваться дополнительный контроль памяти и поиск неисправностей. Посмотрите Датчик Утечки Памяти и общие методы поиска неисправностей памяти для получения дополнительной информации.

Для версий, которые не имеют фиксации от ошибки ID CSCum19502 Cisco, самая очевидная работа должна позволить TELNET или доступ пульта к маршрутизатору, так как только SSH затронут этим порогом. 

Наконечник: aaa пороговая команда памяти позволяет вам уменьшать пороговые значения до минимума 1%. Однако, в то время как это обеспечивает временный путь к SSH к маршрутизатору, он может привести к другим значениям, таким как пособие использования памяти процессора для понижения действительно низко, прежде чем admins будут приведены в готовность. Это могло бы вызвать более важные процессы, такие как BGP, который израсходовал большие объемы памяти, чтобы больше не работать. Следовательно это - что-то, что должно использоваться с осторожностью.

Как объяснено ранее, абсолютно вероятно, что маршрутизатор не пропускает память, но просто превышен для активированных опций. В этом случае модернизация платформы/памяти могла бы быть гарантирована.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 116649