我之前也碰到过完全一样的情况，Mac High Sierra自带的OpenSSH版本默认禁用了很多老旧、安全性较弱的加密/密钥交换算法，而老款交换机往往只支持这些算法。咱们一步步来搞定：

一、临时连接方案（单次生效） #

如果只是偶尔连某台交换机，可以直接在SSH命令里补全所有需要启用的旧参数：

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1,diffie-hellman-group14-sha1 \
    -c aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc \
    -oHostKeyAlgorithms=+ssh-dss,ssh-rsa \
    user@192.168.x.x

拆解下参数作用：

• KexAlgorithms：启用旧密钥交换算法，其中diffie-hellman-group14-sha1是2048位的，比1024位的group1-sha1更安全，优先用这个
• Ciphers：指定交换机支持的CBC模式加密算法，覆盖系统默认的禁用列表
• HostKeyAlgorithms：启用老旧的DSA（ssh-dss）和RSA主机密钥算法——这就是你碰到「Invalid key length」错误的核心原因：交换机用了短密钥的DSA算法，被系统默认拦截了

二、永久配置方案（一劳永逸） #

如果经常连这类旧交换机，建议修改SSH配置文件，不用每次输长命令：

1. 打开终端，编辑SSH配置文件：

nano ~/.ssh/config

2. 输入以下配置（可根据你的网段、用户名修改）：

Host old-network-switches
    HostName 192.168.x.*
    User your-default-username
    KexAlgorithms +diffie-hellman-group1-sha1,diffie-hellman-group14-sha1
    Ciphers +aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
    HostKeyAlgorithms +ssh-dss,ssh-rsa

3. 保存退出：按Ctrl+O回车确认保存，再按Ctrl+X退出nano
4. 确保配置文件权限正确（否则SSH会拒绝读取）：

chmod 600 ~/.ssh/config

之后你只需要输入ssh old-network-switches就能匹配网段内所有交换机，或者指定具体IP：ssh old-network-switches 192.168.x.y

三、重要提醒 #

这些旧算法的安全性都比较低，属于被淘汰的标准。如果条件允许，强烈建议升级交换机的固件版本，让它支持现代加密算法（比如aes256-gcm@openssh.com、chacha20-poly1305@openssh.com）和密钥交换算法（比如ecdh-sha2-nistp256、diffie-hellman-group-exchange-sha256），既保证连接安全，也不用再折腾这些旧参数。

内容的提问来源于stack exchange，提问作者Julian Berter