IOS-XR: SSH セッションがオープン状態で残ってしまいログインできなくなる

JapanTAC_CSC · ‎2024-07-26

2024年7月26日 (初版)

TAC SR Collection

主な問題

IOS XR が動作するルータにおいて、SSH セッションが自動的にクリアされずオープン状態で残ってしまい、設定された SSH セッション数の上限に達した場合に SSH 接続が失敗する事象が報告されています。この問題は、SSH 接続以外の通信やその他の機能への影響はありません。

＜SSH セッション数が上限に達した際のログの例＞

RP/0/RP0/CPU0:XR# show logging | include ssh
RP/0/RP0/CPU0:Jul 18 01:00:01.123 UTC: SSHD_[1236]: %SECURITY-SSHD-3-SESSION_LIMIT : CONN HANDLER: Incoming Session Limit exceeded, max=20, current=20 
...

※上記の "max=20" から SSH セッション数の上限が 20 に設定されていることが判ります。

これは SSH 接続中のバージョン情報の交換途中でクライアントが応答しなくなった際にサーバ側で SSH セッションがオープン状態のまま残ってしまう不具合が原因の可能性があります。

＜SSH セッションがオープン状態で残っている場合の例＞

RP/0/RP0/CPU0:XR# show ssh | begin id
id       chan pty     location        state           userid    host                  ver authentication connection type
-------------------------------------------------------------------------------------------------------------------------------
Incoming sessions
30009123  0   XXXXX   0/RP0/CPU0      OPEN                      192.0.2.12            v2
30009124  0   XXXXX   0/RP0/CPU0      OPEN                      192.0.2.12            v2
30009125  0   XXXXX   0/RP0/CPU0      OPEN                      192.0.2.12            v2
30009126  0   XXXXX   0/RP0/CPU0      OPEN                      192.0.2.12            v2
30009127  0   XXXXX   0/RP0/CPU0      OPEN                      192.0.2.12            v2
30009128  0   XXXXX   0/RP0/CPU0      OPEN                      192.0.2.12            v2
30009129  0   XXXXX   0/RP0/CPU0      OPEN                      192.0.2.12            v2
...

原因

この問題は CSCwd92312 として報告されています。
CSCwd92312: SSH sessions stuck in OPEN state on the server using IOS XR

解決策

この問題の解決には CSCwd92312 の修正されたバージョンを使用する必要があります。

なお、コンソールもしくは Telnet でルータへの接続が可能の場合は "clear ssh <sessions-id>" コマンドで SSH セッションをクリアすることにより復旧が可能です。
※"clear ssh all" コマンドですべての SSH セッションを一度にクリアすることも可能です。

＜SSH セッションをクリアする実行例＞

RP/0/RP0/CPU0:XR# show ssh | begin id
id       chan pty     location        state           userid    host                  ver authentication connection type
-------------------------------------------------------------------------------------------------------------------------------
Incoming sessions
30009123  0   XXXXX   0/RP0/CPU0      OPEN                      192.0.2.12            v2
30009124  0   XXXXX   0/RP0/CPU0      OPEN                      192.0.2.12            v2
30009125  0   XXXXX   0/RP0/CPU0      OPEN                      192.0.2.12            v2
...

Outgoing sessions
RP/0/RP0/CPU0:XR# clear ssh 30009123
[confirm] 

RP/0/RP0/CPU0:XR# show ssh | begin id
id       chan pty     location        state           userid    host                  ver authentication connection type
-------------------------------------------------------------------------------------------------------------------------------
Incoming sessions
30009124  0   XXXXX   0/RP0/CPU0      OPEN                      192.0.2.12            v2       <<<< 30009123 がクリアされている
30009125  0   XXXXX   0/RP0/CPU0      OPEN                      192.0.2.12            v2
...

Outgoing sessions
RP/0/RP0/CPU0:XR#

備考
本不具合は、Bug Search Tool でも確認できます。
各製品の TAC SR Collection の一覧は、よくある質問と解決方法 (TAC SR Collection) から確認できます。