はじめに
C9800やEWCの一部の機種において、17.10以降のバージョンにアップデートしたら、SSHが使用できなくなる事象が発生しています。
本ドキュメントでは、該当事象が発生する原因や解決方法について説明します。
事象の発生原因
Cisco IOS XE Dublin 17.10.xシリーズから、下記のKey Exchange及びMAC algorithms はデフォルトで無効になりました。
- diffie-hellman-group14-sha1
- hmac-sha1
- hmac-sha2-256
- hmac-sha2-512
この変更に伴い、上記のKey Exchange及びMAC algorithmsのみをサポートするクライアントはWLCにSSHを使用できなくなります。
解決方法
diffie-hellman-group14-sha1、hmac-sha1、hmac-sha2-256、及びhmac-sha2-512を下記のコマンドで有効にすることができます。
WLC(config)#ip ssh server algorithm mac hmac-sha2-256-etm@openssh.com hmac-sha2-512-etm@openssh.com hmac-sha1 hmac-sha2-256 hmac-sha2-512
WLC(config)#ip ssh server algorithm kex curve25519-sha256 curve25519-sha256@libssh.org ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521 diffie-hellman-group14-sha256 diffie-hellman-group16-sha512 diffie-hellman-group14-sha1
※上記の例ではDefaultのKey Exchange およびMAC algorithmsにdiffie-hellman-group14-sha1、hmac-sha1、hmac-sha2-256、およびhmac-sha2-512を追加します。
参考情報
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-12/release-notes/rn-17-12-9800.html
https://www.cisco.com/c/en/us/td/docs/routers/ios/config/17-x/sec-vpn/b-security-vpn/m_sec-secure-shell-algorithm-ccc.html
