故障現象

某運營商V5 ZXUN xGW掃描出一些ssh弱算法的漏洞，執行安全加固以后，與R50s網管斷鏈，需要分析原因并解決。

故障分析

獲取ZXUN xGW和R50s之間的報文進行分析，發現ssh協商在密鑰交換之后，雙方釋放了TCP連接，如圖1所示。

查看R50s發送給ZXUN xGW的“Client: Key Exchange Init”消息，支持的密鑰交換算法為：ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521, diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1，如圖2所示。

查看ZXUN xGW發給R50s的“Server: Key Exchange Init”消息，支持的密鑰交換算法為：diffie-hellman-group14-sha256，如圖3所示。

4.根據ZXUN xGW和R50s發送的密鑰交換算法，發現沒有雙方都支持的Key Exchange算法，導致協商失敗。

故障處理

1.ZXUN xGW執行以下命令，再次打開弱算法diffie-hellman-group1-sha1。

vGW(config)#ssh server diffie-hellman group1-sha1 enable

2.重新測試發現ZXUN xGW和R50s之間還是斷鏈，繼續抓包分析，發現部分ssh連接已經建立成功，部分ssh連接依然失敗。

3.繼續分析失敗的ssh連接，客戶端的協議為SSH-2.0-Ganymed_262，與之前不同，如圖4所示。

4.繼續分析客戶端和服務端的Key Exchange Init消息，發現沒有雙方都支持的MAC算法，如圖5所示。

5.ZXUN xGW執行以下命令，再次打開弱算法hmac sha1。

vGW(config)#ssh server hmac sha1 enable

6.重新測試，ZXUN xGW和R50s之間鏈路恢復正常。

7.建議與總結：ZXUN xGW在進行安全加固時，需要考慮對接的網管的能力，確認網管能支持安全加固后剩余的算法。