Troubleshooting SSH Compatibility pada Cisco Catalyst 3750 IOS Lawas

-

 

Mengatasi Error SSH “No Matching …” & Host Key Mismatch di Cisco Catalyst 3750 (IOS Lawas)

📌 Latar Belakang

Banyak perangkat jaringan lawas, termasuk Cisco Catalyst 3750 dengan IOS 12.2(55)SE7, hanya mendukung algoritma SSH generasi lama.

Sementara itu, OpenSSH modern (Windows 11, Linux terbaru) secara default menonaktifkan algoritma lama demi keamanan.

Akibatnya, koneksi SSH gagal meskipun IP reachable dan kredensial benar.

🔍 Gejala Masalah

1. Error KEX (Key Exchange)

ssh <username>@<ip-address>

Unable to negotiate with <ip-address> port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

2. Error MAC

(Setelah KEX diperbaiki)

Unable to negotiate with <ip-address> port 22: no matching MAC found. Their offer: hmac-sha1,hmac-sha1-96,hmac-md5,hmac-md5-96

3. Host Key Mismatch (setelah regenerasi key)

WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

Host key verification failed.

🧩 Analisis

Proses negosiasi SSH terdiri dari tiga tahap utama:

  • KEX (Key Exchange) → tukar kunci awal.
  • Cipher → enkripsi data.
  • MAC (Message Authentication Code) → verifikasi integritas data.

🔒 Cisco 3750 IOS 12.2(55)SE7 hanya mendukung algoritma lama:

  • KEX → diffie-hellman-group1-sha1
  • Cipher → aes128-cbc, 3des-cbc
  • MAC → hmac-sha1, hmac-sha1-96, hmac-md5, hmac-md5-96

⚠️ OpenSSH modern menolak algoritma ini secara default → negosiasi gagal.

⚡ Solusi Cepat (Client-side)

🔹 Windows CMD / PowerShell

Gunakan opsi tambahan agar OpenSSH mau pakai algoritma lama:

ssh -v `

  -oKexAlgorithms=+diffie-hellman-group1-sha1 `

  -oHostKeyAlgorithms=+ssh-rsa `

  -oCiphers=+aes128-cbc `

  -oMACs=+hmac-sha1,hmac-sha1-96,hmac-md5,hmac-md5-96 `

  <username>@<ip-address>

🔹 PuTTY

  • Kex: aktifkan & geser diffie-hellman-group1-sha1 ke atas.
  • Cipher: aktifkan AES(128) atau 3DES.
  • MAC: aktifkan semua opsi lawas (SHA1, MD5).

🛠 Solusi Permanen (Device-side)

Catatan: Regenerasi RSA key tidak menambah algoritma baru. IOS lama memang terbatas.

Pilihan solusi:

  • 🔼 Upgrade IOS → ke versi 15.x yang mendukung algoritma modern.
  • 🖥️ Gunakan jump host → VM/host dengan OpenSSH versi lama.
  • 🔒 Batasi akses SSH → hanya dari jaringan aman (misalnya management VLAN).

🆕 Mengatasi Host Key Mismatch

Masalah ini muncul setelah regenerasi RSA key di switch. OpenSSH akan menolak koneksi jika fingerprint host key berubah.

Solusi 1 — via ssh-keygen

ssh-keygen -R <ip-address>

Solusi 2 — manual edit

Hapus baris <ip-address> di file:

  • Windows → C:\Users\<user>\.ssh\known_hosts
  • Linux/macOS → ~/.ssh/known_hosts

Kemudian coba SSH ulang dan konfirmasi fingerprint baru dengan ketik yes.

❗ Mitos vs Fakta

Mitos

Fakta

Regenerasi RSA key akan memperbarui algoritma SSH

Salah – algoritma bergantung pada versi IOS

OpenSSH modern bisa langsung connect ke IOS lawas

❌ Salah – perlu enable algoritma lama di sisi client

Error “REMOTE HOST IDENTIFICATION HAS CHANGED” berarti ada hacker

Tidak selalu – seringkali hanya host key berubah setelah regenerasi/reset

Satu-satunya solusi adalah upgrade IOS

❌ Bisa juga pakai workaround client-side atau jump host

📚 Kesimpulan

  • Masalah terjadi karena mismatch algoritma antara client modern dan device lawas.
  • Solusi cepat → aktifkan algoritma lama di sisi client.
  • Solusi permanen → upgrade IOS atau gunakan jump host yang kompatibel.
  • Host key mismatch → hapus entry lama di known_hosts lalu terima fingerprint baru.

Dengan trik ini, perangkat Cisco 3750 lawas tetap bisa dikelola tanpa harus langsung upgrade, sambil menjaga jalur migrasi jangka panjang.

 

Komentar

Posting Komentar

Postingan populer dari blog ini

PROXY-ARP DALAM PRAKTIK: APA, MENGAPA, DAN BAGAIMANA

-
Gambar
  PROXY-ARP DALAM PRAKTIK: APA, MENGAPA, DAN BAGAIMANA (STUDI KASUS R-PE – R-CE – R-DIS) Ringkasan Proxy-ARP membuat router menjawab ARP request atas nama IP yang sebenarnya berada di belakangnya. Pada topologi R-PE – R-CE – R-DIS, fitur ini memungkinkan perangkat ISP (R-PE) mencapai IP di downstream (R-DIS) tanpa ISP menambahkan route khusus, meskipun prefix di kedua sisi tidak seragam . Topologi dan Alokasi IP (sesuai lab) Catatan penting: Di R-PE , interface ke CE memakai /29 sehingga alamat 103.0.0.6 dianggap “sejaringan” dan akan di-ARP. Di R-CE , uplink ke PE memakai /30 . Ketidaksamaan prefix inilah yang membuat Proxy-ARP di R-CE menjadi kunci.     Mekanisme Kerja (alur paket nyata di lab) R-PE butuh mengirim paket ke 103.0.0.6 (R-DIS). Karena interface e0/0 bertopeng /29 , R-PE mengira 103.0.0.6 ada di segmen yang sama => kirim ARP request : “Siapa 103.0.0.6?” R-CE (e0/0, uplink) ...
Baca selengkapnya

Upgrade Cisco AP C9105AXI-F dari CAPWAP ke EWC (Cisco Embedded Wireless Controller)

-
Upgrade Cisco AP C9105AXI-F dari CAPWAP ke EWC (Cisco Embedded Wireless Controller) Diterbitkan oleh: Dimas Kurniawan Tanggal: 24/07/2025 Pendahuluan Dalam beberapa deployment, kita sering menjumpai Access Point (AP) Cisco seri C9105AXI-F yang secara default berjalan dalam mode CAPWAP Lightweight dengan image versi 8.x, alias firmware lawas. Di versi ini, AP biasanya terkoneksi ke Mobility Express WLC , yang notabene sudah deprecated dan tidak lagi dikembangkan Cisco sejak diperkenalkannya platform Cisco Embedded Wireless Controller (EWC) di versi IOS-XE 17.x. Nah, pada tulisan ini, gue mau bagiin pengalaman pribadi dalam proses: Upgrade image AP dari versi 8 ke 17 Migrasi dari mode CAPWAP ke mode EWC Mengatasi error curl: (23) Error transfer command failed (Error 23) Yuk langsung ke teknisnya!
Baca selengkapnya

CARA INSTALL PNETLAB

-
Bismillah... pada tulisan kali ini sesuai judul kita akan menginstall pnetlab, nah sebelumnya kita bahas dahulu apa itu pnetlab. Jadi Pnetlab ini adalah salah satu aplikasi simulator jaringan, buat temen-temen yang ingin belajar jaringan gak perlu pake real device, jadi cukup pakai aplikasi simulator aja nih.... nah salah satunya itu adalah pnetlab. Pnetlab base on Ubuntu jadi kita untuk mendeploynya harus menggunakan aplikasi hypervisor seperti Virtual Box atau VMware. oke langsung aja ke langkah-langkah cara install PNetLab: Download File Pnetlab di  https://pnetlab.com/pages/download Download dan install VMware Deploy Pnetlab di VMware Ikuti saja stepnya dan initial confignya dan kita harus update reponya di /etc/apt/sources.list tambahkan repo berikut :  deb [trusted=yes] https://pnetlab.labhub.eu.org ./ install ishare2, caranya ketik wget -O /usr/sbin/ishare2 https://raw.githubusercontent.com/ishare2-org/ishare2-cli/main/ishare2 && chmod +x /usr/sbin/ishare2 ...
Baca selengkapnya