Oxidized项目中使用SSH连接Cisco IOS XE设备的问题分析与解决

问题背景

在Oxidized项目中，用户报告了一个关于无法通过SSH连接Cisco IOS XE设备(版本17.12.03)的问题。Oxidized是一个网络设备配置备份工具，它通过SSH或Telnet等协议连接到网络设备并获取配置信息。

问题现象

用户在使用Oxidized时遇到了以下错误：

1. 手动SSH连接设备正常
2. Oxidized连接失败，日志显示"could not settle on hmac_client algorithm"错误
3. 设备端日志显示HMAC算法不匹配

根本原因分析

这个问题主要源于SSH协议中HMAC(哈希消息认证码)算法的兼容性问题：

1. Net::SSH版本过旧：用户最初使用的Docker镜像中Net::SSH版本为5.2.0，这个版本不支持较新的HMAC算法
2. 算法协商失败：Cisco IOS XE设备默认使用较新的HMAC算法(如hmac-sha2-256-etm@openssh.com)，而旧版Net::SSH不支持这些算法
3. Docker镜像缓存问题：用户可能使用了过时的Docker镜像缓存，导致无法获取最新修复

解决方案

1. 升级Oxidized Docker镜像

确保使用最新版本的Oxidized Docker镜像，其中包含更新的Net::SSH库(7.x版本)：

docker pull docker.io/oxidized/oxidized:latest
# 或者指定稳定版本
docker pull docker.io/oxidized/oxidized:0.31.0

2. 验证Net::SSH版本

升级后，确认Net::SSH版本应为7.x：

docker exec -it <container_id> gem list | grep net-ssh

3. 配置SSH算法(可选)

如果升级后仍有问题，可以在Oxidized配置文件中显式指定SSH算法：

vars:
  ssh_hmac: hmac-sha2-256
  ssh_encryption: aes128-ctr

4. 设备端配置(可选)

在Cisco设备上可以配置兼容性更强的SSH算法：

ip ssh server algorithm mac hmac-sha2-256
ip ssh server algorithm encryption aes128-ctr

技术细节

HMAC算法的重要性

HMAC算法在SSH协议中用于数据完整性验证，确保传输的数据未被篡改。现代SSH实现倾向于使用更安全的算法如SHA-2系列。

Net::SSH的演进

Net::SSH是Ruby的SSH实现库，随着版本更新增加了对新算法的支持：

• 5.x版本：支持基本算法
• 7.x版本：支持SHA-2系列和更现代的加密算法

容器化部署的注意事项

使用Docker部署Oxidized时需要注意：

1. 定期更新镜像以获取安全修复
2. 明确指定版本而非总是使用latest标签
3. 验证容器内关键依赖的版本

总结

Oxidized项目与Cisco IOS XE设备的SSH连接问题通常可以通过升级Net::SSH版本来解决。对于容器化部署，确保使用最新的Docker镜像至关重要。理解SSH协议中算法协商的机制有助于快速定位和解决类似问题。

对于网络运维团队，建议建立定期更新Oxidized实例的机制，并保持对SSH安全最佳实践的关注，以确保配置备份工作的可靠性和安全性。