我正在尝试通过SSH从Cisco 886VA连接到Juniper EX2200。在Cisco上,连接失败并显示以下消息: />
IOS版本:15.2(4)M5

JunOS版本:12.3R3.4

评论

还有其他解决方案吗?使用4096设置破坏了登录工具,并且需要进行开发,因为这被视为非标准设置。谢谢格雷厄姆

#1 楼

这绝对是您的DH密钥大小的问题。

请尝试以下操作:

cisco886va(config)#ip ssh dh min size 4096


评论


将dh min大小设置为4096即可工作。 2048还不够。谢谢!

–塞巴斯蒂安·维辛格
2014年1月17日,11:40

@Sebastian现在,我想知道2056来自哪里?这似乎是一个奇怪的密钥大小,但是,即使它需要4096个密钥大小,也是最安全的。

– Ryan Foley
2014年1月17日,11:49

不知道,这是启用了SSH的标准杜松盒。

–塞巴斯蒂安·维辛格
2014年1月18日,12:57

#2 楼

Junos的/ etc / ssh / primes文件有一个off by 8 bug。也就是说,该文件中的模数被广告为2048位,实际上是2056位。

Cisco SSH客户端在这方面非常严格,因此拒绝继续。解决方法是,从Junos设备中删除/ etc / ssh / primes文件。这将导致Junos使用Group14模。

感谢

评论


+1好信息,您可以添加Junos Bugid吗?

–迈克·彭宁顿
2014年2月5日在20:33

#3 楼

您需要在cisco上生成新的rsa密钥,并为该密钥指定更大的模数

评论


这是Diffie-Hellman参数,而不是RSA密钥的模数。我们确实在思科上创建了2048位RSA密钥。

–塞巴斯蒂安·维辛格
2014年1月17日上午10:05

可能是,您应该尝试生成模数大小为4096的密钥。这对我有用,我有相同的错误(%SSH-3-INV_MOD),但杜松子不行。 cisco.com/en/US/docs/ios-xml/ios/security/a1/…

– pyatka
2014年1月17日10:25