11-SSH配置
本章节下载: 11-SSH配置 (577.94 KB)
1.7.1 设备作为Stelnet服务器配置举例(password认证)
1.7.2 设备作为Stelnet服务器配置举例(publickey认证)
1.7.3 设备作为Stelnet客户端配置举例(password认证)
1.7.4 设备作为Stelnet客户端配置举例(publickey认证)
SSH是Secure Shell(安全外壳)的简称,是一种在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输等业务的网络安全协议。
SSH协议采用了典型的客户端/服务器模式,并基于TCP协议协商建立用于保护数据传输的会话通道。设备既可以支持SSH服务器功能,接受多个SSH客户端的连接,也可以支持SSH客户端功能,允许用户通过设备与远程SSH服务器建立SSH连接。
目前,设备支持三种SSH应用:Stelnet、SFTP和SCP。
· Stelnet是Secure Telnet的简称,可提供安全可靠的网络终端访问服务,使得用户可以安全登录到远程设备,且能保护远程设备不受诸如IP地址欺诈、明文密码截取等攻击。设备可支持Stelnet服务器、Stelnet客户端功能。
· SFTP是Secure FTP的简称,基于SSH2,可提供安全可靠的网络文件传输服务,使得用户可以安全登录到远程设备上进行文件管理操作,且能保证文件传输的安全性。设备可支持SFTP服务器、SFTP客户端功能。
· SCP是Secure Copy的简称,基于SSH2,可提供安全的文件复制功能。设备可支持SCP服务器、SCP客户端功能。
SSH协议有两个版本,SSH1和SSH2,两者互不兼容,SSH2在性能和安全性方面比SSH1有所提高。
目前,设备作为SSH服务器时,在非FIPS模式下支持SSH2和SSH1两个版本,在FIPS模式下只支持SSH2版本;设备作为SSH客户端时,只支持SSH2版本。
本小节以SSH2为例介绍SSH工作的过程。
SSH服务器端与SSH客户端需要经历表1-1所述的几个阶段的交互,才能实现SSH的安全连接,关于各阶段的详细介绍,请参见“SSH技术白皮书”。
表1-1 SSH服务器端与客户端建立连接的几个阶段
SSH服务器在22号端口侦听客户端的连接请求,在客户端向服务器端发起连接请求后,双方建立一个TCP连接 |
|
SSH支持多种算法,双方根据本端和对端支持的算法,协商出最终用于产生会话密钥的密钥交换算法、用于数据信息加密的加密算法、用于进行数字签名和认证的公钥算法,以及用于数据完整性保护的HMAC算法 |
|
双方通过DH(Diffie-Hellman Exchange)交换,动态地生成用于保护数据传输的会话密钥和用来标识该SSH连接的会话ID,并完成客户端对服务器端的身份认证 |
|
SSH客户端向服务器端发起认证请求,服务器端对客户端进行认证 |
|
认证通过后,SSH客户端向服务器端发送会话请求,请求服务器提供某种类型的服务(Stelnet、SFTP或SCP),即请求与服务器建立相应的会话 |
|
会话建立后,SSH服务器端和客户端在该会话上进行数据信息的交互 |
· 交互会话阶段,用户在客户端可以通过粘贴文本会话的方式执行命令,但文本会话不能超过2000字节,且粘贴的命令最好是同一视图下的命令,否则服务器可能无法正确执行该命令。
· 如果粘贴的文本会话超过2000字节,可以采用将配置文件通过SFTP(Secure FTP,安全的FTP)方式上传到服务器,利用新的配置文件重新启动的方式执行这些命令。
设备作为SSH服务器可提供以下四种对客户端的认证方式:
利用AAA(Authentication、Authorization、Accounting,认证、授权和计费)对客户端身份进行认证。客户端向服务器发出password认证请求,将用户名和密码加密后发送给服务器;服务器将认证请求解密后得到用户名和密码的明文,通过本地认证或远程认证验证用户名和密码的合法性,并返回认证成功或失败的消息。
采用数字签名的方式来认证客户端。目前,设备上可以利用DSA和RSA公钥算法实现数字签名。客户端发送包含用户名、公钥和公钥算法(或者为携带公钥信息的数字证书)的publickey认证请求给服务器端。服务器对公钥进行合法性检查,如果不合法,则直接发送失败消息;否则,服务器利用数字签名对客户端进行认证,并返回认证成功或失败的消息。
· 公钥认证:客户端直接提供用户的公钥信息给服务器,服务器对用户公钥进行合法性检查。
· 证书认证:客户端通过数字证书向服务器提供用户的公钥信息,服务器对用户数字证书进行合法性检查。目前,设备作为客户端不支持此类认证。
对于SSH2版本的客户端,要求同时进行password和publickey两种方式的认证,且只有两种认证均通过的情况下,才认为客户端身份认证通过;对于SSH1版本的客户端,只要通过其中任意一种认证即可。
不指定客户端的认证方式,客户端可采用password认证或publickey认证,且只要通过其中任何一种认证即可。
· 为便于描述,下文中提到的publickey/password认证方式是指涉及该认证方式的所有认证方式(publickey/password、password-publickey和any)。
· 客户端进行password认证时,如果远程认证服务器要求用户进行二次密码认证,则会在发送给服务器端的认证回应消息中携带一个提示信息,该提示信息被服务器端透传给客户端,由客户端输出并要求用户再次输入一个指定类型的密码,当用户提交正确的密码并成功通过认证服务器的验证后,服务器端才会返回认证成功的消息。
· SSH1版本的SSH客户端不支持AAA服务器发起的二次密码认证。
通过执行以下配置任务,可配置设备作为Stelnet、SFTP或SCP服务器。由于Stelnet、SFTP和SCP服务器功能的配置基本相同,因此除非特殊说明,本小节中使用SSH服务器作为Stelnet、SFTP和SCP服务器的统称。
表1-2 SSH服务器配置任务简介
生成本地DSA或RSA密钥 |
||
使能SSH服务器功能 |
对于Stelnet、SFTP和SCP服务器均必选 |
|
使能SFTP服务器功能 |
仅对于SFTP服务器必选 |
|
配置SSH客户端登录时的用户界面 |
||
采用publickey认证方式且客户端使用公钥认证时必选 |
||
采用publickey认证方式且客户端使用证书认证时必选 该PKI域中必须保存了用于认证客户端证书的CA证书 |
||
配置SSH用户 |
采用publickey认证方式时必选 |
|
配置SSH管理功能 |
服务器端的DSA或RSA密钥对有两个用途,其一是用于在密钥交换阶段生成会话密钥和会话ID,另外一个是客户端用它来对连接的服务器进行认证。客户端验证服务器身份时,首先判断服务器发送的公钥与本地保存的服务器公钥是否一致,确认服务器公钥正确后,再对服务器发送的该公钥计算出的数字签名进行验证。
虽然一个客户端只会采用DSA和RSA公钥算法中的一种来认证服务器,但是由于不同客户端支持的公钥算法不同,为了确保客户端能够成功登录服务器,建议在服务器上同时生成DSA和RSA两种密钥对。
表1-3 生成本地DSA或RSA密钥对
生成本地DSA或RSA密钥对 |
缺省情况下,不存在任何DSA和RSA密钥对 |
· public-key local create命令的详细介绍请参见“安全命令参考”中的“公钥管理”。
· 通过public-key local create rsa命令生成RSA密钥对时,将同时生成两个密钥对——服务器密钥对和主机密钥对,二者都包括一个公钥和一个私钥。SSH1中利用SSH服务器端的服务器公钥加密会话密钥,以保证会话密钥传输的安全;SSH2中通过DH算法在SSH服务器和SSH客户端上生成会话密钥,不需要传输会话密钥,因此SSH2中没有利用服务器密钥对。
· 通过public-key local create dsa命令生成DSA密钥对时,只生成一个主机密钥对。
· SSH1中不支持DSA算法。
· 在FIPS模式下,设备不支持DSA算法。
该配置任务用于使能设备上的SSH服务器功能,使客户端能用SSH协议与服务器进行通信。
表1-4 使能SSH服务器功能
使能SSH服务器功能 |
缺省情况下,SSH服务器功能处于关闭状态 |
设备作为SCP服务器时,同一时间只允许有一个SCP用户访问SCP服务器。
该配置任务用于使能设备上的SFTP服务器功能,使客户端能用SFTP的方式登录到服务器。
表1-5 启动SFTP服务器功能
使能SFTP服务器功能 |
缺省情况下,SFTP服务器处于关闭状态 |
设备作为SFTP服务器时,同一时间只允许有一个用户访问SFTP服务器。
SSH客户端通过VTY用户界面访问设备。因此,需要配置SSH客户端登录时采用的VTY用户界面,使其支持SSH远程登录协议。配置将在客户端下次登录时生效。
表1-6 配置SSH客户端登录时使用的用户界面
进入VTY用户界面视图 |
user-interface vty number [ ending-number ] |
|
配置登录用户界面的认证方式为scheme方式 |
缺省情况下,用户界面认证为password方式 |
|
protocol inbound { all | ssh } |
缺省情况下,系统同时支持Telnet和SSH协议 |
· authentication-mode和protocol inbound命令的详细介绍,请参见“基础配置命令参考”中的“登录设备”。
· 配置用户界面支持SSH协议之前,必须首先配置登录用户界面的认证方式为scheme方式,否则protocol inbound命令会执行失败。
本配置仅适用于publickey认证方式且客户端使用公钥认证的情况。
服务器在采用公钥验证客户端身份时,首先比较客户端发送的SSH用户名、主机公钥是否与本地配置的SSH用户名以及相应的客户端主机公钥一致,在确认用户名和客户端主机公钥正确后,对客户端发送的数字签名进行验证,该签名是客户端利用主机公钥对应的私钥计算出的。因此,需要在服务器端配置客户端的DSA或RSA主机公钥,并在客户端为该SSH用户指定与主机公钥对应的DSA或RSA主机私钥(若设备作为客户端,则在向服务器发起连接时通过指定公钥算法来实现)。
服务器端可以通过手工配置和从公钥文件中导入两种方式来配置客户端的公钥:
· 手工配置:事先在客户端上查看并记录客户端主机公钥的内容,然后采用手工输入的方式将客户端的公钥配置到服务器上。手工输入远端主机公钥时,可以逐个字符输入,也可以一次拷贝粘贴多个字符。这种方式要求手工输入或拷贝粘贴的主机公钥必须是未经转换的DER(Distinguished Encoding Rules,特异编码规则)公钥编码格式。
· 从公钥文件中导入:事先将客户端的公钥文件保存到服务器上(例如,通过FTP或TFTP以二进制方式将客户端的公钥文件保存到服务器),服务器从本地保存的该公钥文件中导入客户端的公钥。导入公钥时,系统会自动将客户端公钥文件转换为PKCS(Public Key Cryptography Standards,公共密钥加密标准)编码形式。
· 手工配置客户端的公钥时,输入的主机公钥必须满足一定的格式要求。在设备作为客户端情况下,通过display public-key local rsa public命令显示的公钥可以作为输入的公钥内容。通过其他方式查看到的公钥可能不满足格式要求,导致主机公钥保存失败。因此,建议选用从公钥文件导入的方式配置远端主机的公钥。
· SSH服务器上最多可以配置20个SSH客户端的公钥。
public-key peer keyname |
||
从公钥文件中导入SSH用户的公钥 |
public-key peer keyname import sshkey filename |
· 如果服务器采用publickey方式认证客户端,则必须通过本配置在设备上创建相应的SSH用户。
· 如果服务器采用password方式认证客户端,则必须将SSH用户的账号信息配置在设备(适用于本地认证)或者远程认证服务器(如RADIUS服务器,适用于远程认证)上,而并不要求通过本配置创建相应的SSH用户。如果通过本配置创建了相应的SSH用户,则必须保证指定正确的服务类型以及认证方式。关于本地及远程认证的相关配置请参见“安全配置指导”中的“AAA”。
本配置用于创建SSH用户,并指定SSH用户的服务类型、认证方式以及客户端的公钥或数字证书。
除password认证方式外,其它认证方式下均需要指定客户端的公钥或证书。
· 对于使用公钥认证的SSH用户,服务器端必须指定客户端的公钥,且指定的公钥必须已经存在,公钥内容的配置请参见“1.2.6 配置客户端的公钥”。
· 对于使用证书认证的SSH用户,服务器端必须指定用于验证客户端证书的PKI域,PKI域的配置请参见“安全配置指导”中的“PKI”。为保证合法的SSH用户可以成功通过认证,通过本命令指定的PKI域中必须存在用于验证其证书的CA证书。
配置SSH用户 |
SSH用户的服务类型为stelnet |
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign { pki-domain pkiname | publickey keyname } } |
|
SSH用户的服务类型为all、scp或sftp |
ssh user username service-type { all | scp | sftp } authentication-type { password | { any | password-publickey | publickey } assign { pki-domain pkiname | publickey keyname } work-directory directory-name } |
· SSH服务器上最多可以创建1024个SSH用户。
· SSH1不支持服务类型sftp和scp,因此设备不支持SSH1版本的客户端发起的SFTP连接或SCP连接。
· SFTP用户登录时使用的工作目录与用户使用的认证方式有关。只要是采用publickey认证方式的用户,使用的工作目录均为通过ssh user命令为该用户设置的工作目录;仅采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录。
· 只要是使用publickey认证方式的用户登录服务器后,可以访问的命令级别均为在用户界面上通过user privilege level命令配置的级别。
· 仅使用password认证方式的用户登录服务器后,用户可以访问的命令级别由AAA来授权。
· 对SSH用户配置的修改,对于已经登录的SSH用户不会生效,只在SSH用户下次登录时生效。
通过配置服务器上的SSH管理功能,可提高SSH连接的安全性。SSH的管理功能包括:
· 设置SSH服务器是否兼容SSH1版本的客户端
· 设置RSA服务器密钥对的更新时间,此配置仅对SSH客户端版本为SSH1的用户有效,SSH的核心是密钥的协商和传输,因此密钥的管理是非常重要的,可灵活设置更新时间间隔。
· 设置SSH用户认证的超时时间。为了防止不法用户建立起TCP连接后,不进行接下来的认证,而是空占着进程,妨碍其它合法用户的正常登录,可以设置验证超时时间,如果在规定的时间内没有完成认证就拒绝该连接。
· 设置SSH用户请求连接的认证尝试最大次数,限制登录的重试次数,防止非法用户对用户名和密码进行恶意地猜测和破解。
· 设置SFTP用户连接的空闲超时时间。当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作。
表1-10 配置SSH管理功能
设置SSH服务器兼容SSH1版本的客户端 |
缺省情况下,SSH服务器兼容SSH1版本的客户端 |
|
设置RSA服务器密钥对的更新时间 |
缺省情况下,系统不更新RSA服务器密钥对 |
|
设置SSH用户的认证超时时间 |
ssh server authentication-timeout time-out-value |
缺省情况下,SSH用户的认证超时时间为60秒 |
设置SSH认证尝试的最大次数 |
缺省情况下,SSH连接认证尝试的最大次数为3次 |
|
设置SFTP用户连接的空闲超时时间 |
sftp server idle-timeout time-out-value |
缺省情况下,SFTP用户连接的空闲超时时间为10分钟 |
SSH客户端通过publickey和password两种方式进行认证尝试的次数总和,不能超过ssh server authentication-retries命令配置的SSH连接认证尝试次数。
表1-11 SSH客户端配置任务简介
为Stelnet客户端指定源IP地址或源接口 |
||
配置SSH客户端是否支持首次认证 |
||
建立与Stelnet服务器端的连接 |
Stelnet客户端与Stelnet服务器通信时,缺省采用路由决定的源IP地址作为发送报文的源地址。如果使用本配置指定了源IP地址或源接口,则采用该地址与服务器进行通信。为保证Stelnet客户端与Stelnet服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口或Dialer接口作为源接口。
表1-12 为Stelnet客户端指定源IP地址或源接口
为Stelnet客户端指定源IP地址或源接口 |
为Stelnet客户端指定源IPv4地址或源接口 |
ssh client source { interface interface-type interface-number | ip ip-address } |
|
为Stelnet客户端指定源IPv6地址或源接口 |
ssh client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address } |
设备作为SSH客户端和服务器端连接时,将根据是否支持首次认证决定,在本地没有配置服务器端的主机公钥时,是否仍然信任服务器并继续访问该服务器:
· 如果支持首次认证,则当SSH客户端首次访问服务器,而客户端没有配置服务器端的主机公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器。首次认证在比较安全的网络环境中可以简化客户端的配置,但由于该方式下客户端完全相信服务器公钥的正确性,因此存在一定的安全隐患。
表1-13 配置SSH客户端支持首次认证
设置SSH客户端支持首次认证 |
如果配置SSH客户端不支持首次认证,则需要在客户端配置服务器端的主机公钥,并为要连接的服务器指定主机公钥名称。
表1-14 配置SSH客户端不支持首次认证
设置SSH客户端不支持首次认证 |
||
ssh client authentication server server assign publickey keyname |
该配置任务用来启动Stelnet客户端程序,与远程Stelnet服务器建立连接,并指定公钥算法、首选加密算法、首选HMAC算法和首选密钥交换算法。
表1-15 建立与Stelnet服务器的连接
与Stelnet服务器端建立连接 |
与IPv4 Stelnet服务器端建立连接 |
· 在非FIPS模式下: ssh2 server [ port-number ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * · 在FIPS模式下: ssh2 server [ port-number ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * |
|
与IPv6 Stelnet服务器端建立连接 |
· 在非FIPS模式下: ssh2 ipv6 server [ port-number ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * · 在FIPS模式下: ssh2 ipv6 server [ port-number ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * |
表1-16 SFTP客户端配置任务简介
为SFTP客户端指定源IP地址或源接口 |
||
配置SSH客户端是否支持首次认证 |
||
建立与SFTP服务器端的连接 |
||
SFTP目录操作 |
||
SFTP文件操作 |
||
中止与SFTP服务器端的连接 |
SFTP客户端与SFTP服务器通信时,缺省采用路由决定的源IP地址作为发送报文的源地址。如果使用本配置指定了源IP地址或源接口,则采用该地址与服务器进行通信。为保证SFTP客户端与SFTP服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口或Dialer接口作为源接口。
表1-17 为SFTP客户端指定IP地址或源接口
为SFTP客户端指定源IP地址或源接口 |
为SFTP客户端指定源IPv4地址或源接口 |
sftp client source { interface interface-type interface-number | ip ip-address } |
|
为SFTP客户端指定源IPv6地址或源接口 |
sftp client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address } |
该配置任务用来启动SFTP客户端程序,与远程SFTP服务器建立连接,并指定公钥算法、首选加密算法、首选HMAC算法和首选密钥交换算法。SFTP客户端与服务器成功建立连接之后,用户即可进入到服务器端上的SFTP客户端视图下进行目录、文件等操作。
表1-18 建立与SFTP服务器端的连接
与SFTP服务器建立连接,并进入SFTP客户端视图 |
与IPv4 SFTP服务器建立连接,并进入SFTP客户端视图 |
· 在非FIPS模式下: sftp server [ port-number ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * · 在FIPS模式下: sftp server [ port-number ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * |
|
与IPv6 SFTP服务器建立连接,并进入SFTP客户端视图 |
· 在非FIPS模式下: sftp ipv6 server [ port-number ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * · 在FIPS模式下: sftp ipv6 server [ port-number ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * |
SFTP目录操作包括:改变或显示当前的工作路径、显示指定目录下的文件或目录信息、改变服务器上指定的文件夹的名字、创建或删除目录等操作。
表1-19 SFTP目录操作
进入SFTP客户端视图 |
||
改变远程SFTP服务器上的工作路径 |
||
显示远程SFTP服务器上的当前工作目录 |
||
dir和ls两条命令的作用相同 |
||
改变SFTP服务器上指定的目录的名字 |
||
在远程SFTP服务器上创建新的目录 |
||
删除SFTP服务器上指定的目录 |
rmdir remote-path&<1-10> |
SFTP文件操作包括:改变文件名、下载文件、上传文件、显示文件列表、删除文件。
表1-20 SFTP文件操作
进入SFTP客户端视图 |
||
改变SFTP服务器上指定的文件的名字 |
rename old-name new-name |
|
get remote-file [ local-file ] |
||
put local-file [ remote-file ] |
||
dir [ -a | -l ] [ remote-path ] |
dir和ls两条命令的作用相同 |
|
ls [ -a | -l ] [ remote-path ] |
||
删除SFTP服务器上指定的文件 |
delete remote-file&<1-10> |
delete和remove两条命令的功能相同 |
remove remote-file&<1-10> |
进入SFTP客户端视图 |
||
显示SFTP客户端命令的帮助信息 |
help [ all | command-name ] |
表1-22 终止与SFTP服务器的连接
进入SFTP客户端视图 |
||
终止与SFTP服务器的连接,并退回用户视图 |
bye,exit和quit三条命令的功能相同 |
|
表1-23 SCP客户端配置任务简介
配置SSH客户端是否支持首次认证 |
||
与远程SCP服务器传输文件 |
该配置任务用来启动SCP客户端程序,与远程SCP服务器建立连接,并进行安全的文件传输操作。
表1-24 与远程SCP服务器传输文件
与远程SCP服务器建立连接,并进行文件传输 |
向远程SCP服务器上传文件 |
· 非FIPS模式下: scp [ ipv6 ] server [ port-number ] put source-file-path [ destination-file-path ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * · FIPS模式下: scp [ ipv6 ] server [ port-number ] put source-file-path [ destination-file-path ] [ identity-key rsa | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * |
|
从远程SCP服务器下载文件 |
· 非FIPS模式下: scp [ ipv6 ] server [ port-number ] get source-file-path [ destination-file-path ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * · FIPS模式下: scp [ ipv6 ] server [ port-number ] get source-file-path [ destination-file-path ] [ identity-key rsa | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * |
在完成上述配置后,在任意视图下执行display命令,可以显示配置后SSH的运行情况,通过查看显示信息验证配置的效果。
表1-25 SSH显示和维护
显示当前为SFTP客户端设置的源IP地址或者源接口 |
display sftp client source [ | { begin | exclude | include } regular-expression ] |
显示当前为Stelnet客户端设置的源IP地址或者源接口 |
display ssh client source [ | { begin | exclude | include } regular-expression ] |
在SSH服务器端显示该服务器的状态信息或会话信息 |
display ssh server { status | session } [ | { begin | exclude | include } regular-expression ] |
在SSH客户端显示客户端保存的服务器端的主机公钥和服务器的对应关系 |
display ssh server-info [ | { begin | exclude | include } regular-expression ] |
在SSH服务器端显示SSH用户信息 |
display ssh user-information [ username ] [ | { begin | exclude | include } regular-expression ] |
display public-key local { dsa | rsa } public [ | { begin | exclude | include } regular-expression ] |
|
display public-key local和display public-key peer命令的详细介绍请参见“安全命令参考”中的“公钥管理”。
· 用户可以通过Client上运行的Stelnet客户端软件(SSH2版本)安全地登录到AC上进行配置管理;
· AC采用password认证方式对Stelnet客户端进行认证,客户端的用户名和密码保存在本地。
图1-1 设备作为Stelnet服务器配置组网图
# 生成RSA密钥对。
在客户端运行PuTTYGen.exe,在参数栏中选择“SSH-2 RSA”,点击<Generate>,产生客户端密钥对。
图1-2 生成客户端密钥(步骤1)
在产生密钥对的过程中需不停地移动鼠标,鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方,否则进程条的显示会不动,密钥对将停止产生,见图1-9。
图1-3 生成客户端密钥(步骤2)
密钥对产生后,点击<Save public key>,输入存储公钥的文件名key.pub,点击<保存>按钮。
图1-4 生成客户端密钥(步骤3)
点击<Save private key>存储私钥,弹出警告框,提醒是否保存没做任何保护措施的私钥,点击<Yes>,输入私钥文件名为private.ppk,点击保存。
图1-5 生成客户端密钥(步骤4)
客户端生成密钥对后,需要将保存的公钥文件key.pub通过FTP/TFTP方式上传到服务器,具体过程略。
(2) 配置Stelnet服务器AC
# 生成RSA密钥对。
[AC] public-key local create rsa
# 使能SSH服务器功能。
# 配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器。
[AC] interface vlan-interface 2
[AC-Vlan-interface2] ip address 192.168.1.40 255.255.255.0
[AC-Vlan-interface2] quit
# 设置Stelnet客户端登录用户界面的认证方式为AAA认证。
[AC-ui-vty0-4] authentication-mode scheme
# 设置AC上远程用户登录协议为SSH。
[AC-ui-vty0-4] protocol inbound ssh
[AC-ui-vty0-4] quit
# 创建本地用户client001,密码为aabbcc,用户级别为3级,服务类型为SSH。
[AC-luser-client001] password simple aabbcc
[AC-luser-client001] authorization-attribute level 3
[AC-luser-client001] service-type ssh
[AC-luser-client001] quit
# 配置SSH用户client001的服务类型为Stelnet,认证方式为password认证。(此步骤可以不配置)
[AC] ssh user client001 service-type stelnet authentication-type password
(3) Stelnet客户端建立与Stelnet服务器的连接
Stelnet客户端软件有很多,例如PuTTY、OpenSSH等。本文中仅以客户端软件PuTTY0.58为例,说明Stelnet客户端的配置方法。
# 建立与Stelnet服务器端的连接。
打开PuTTY.exe程序,出现如图1-6所示的客户端配置界面。在“Host Name(or IP address)”文本框中输入Stelnet服务器的IP地址为192.168.1.40。
图1-6 Stelnet客户端配置界面
在图1-6中,单击<Open>按钮,出现SSH客户端界面。按提示输入用户名client001及密码aabbcc,即可进入AC的配置界面。
· 用户可以通过Client上运行的Stelnet客户端软件(SSH2版本)安全地登录到AC上进行配置管理;
· AC采用publickey认证方式对Stelnet客户端进行认证,使用的公钥算法为RSA。
图1-7 设备作为Stelnet服务器配置组网图
· 在服务器的配置过程中需要指定客户端的公钥信息,因此建议首先完成客户端密钥对的配置,再进行服务器的配置。
· 客户端软件有很多,例如PuTTY、OpenSSH等。本文中仅以客户端软件PuTTY0.58为例,说明Stelnet客户端的配置方法。
(1) 配置Stelnet客户端Client
# 生成RSA密钥对。
在客户端运行PuTTYGen.exe,在参数栏中选择“SSH-2 RSA”,点击<Generate>,产生客户端密钥对。
在产生密钥对的过程中需不停地移动鼠标,鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方,否则进程条的显示会不动,密钥对将停止产生,见图1-9。
密钥对产生后,点击<Save public key>,输入存储公钥的文件名key.pub,点击<保存>按钮。
点击<Save private key>存储私钥,弹出警告框,提醒是否保存没做任何保护措施的私钥,点击<Yes>,输入私钥文件名为private.ppk,点击保存。
客户端生成密钥对后,需要将保存的公钥文件key.pub通过FTP/TFTP方式上传到服务器,具体过程略。
(2) 配置Stelnet服务器AC
# 生成RSA密钥对。
[AC] public-key local create rsa
# 使能SSH服务器功能。
# 配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器。
[AC] interface vlan-interface 2
[AC-Vlan-interface2] ip address 192.168.1.40 255.255.255.0
[AC-Vlan-interface2] quit
# 设置Stelnet客户端登录用户界面的认证方式为AAA认证。
[AC-ui-vty0-4] authentication-mode scheme
# 设置AC上远程用户登录协议为SSH。
[AC-ui-vty0-4] protocol inbound ssh
# 设置用户能访问的命令级别为3。
[AC-ui-vty0-4] user privilege level 3
[AC-ui-vty0-4] quit
# 从文件key.pub中导入远端的公钥,并命名为Key001。
[AC] public-key peer Key001 import sshkey key.pub
# 设置SSH用户client002的认证方式为publickey,并指定公钥为Key001。
[AC] ssh user client002 service-type stelnet authentication-type publickey assign publickey Key001
(3) Stelnet客户端建立与Stelnet服务器的连接
# 指定私钥文件,并建立与Stelnet服务器的连接。
打开PuTTY.exe程序,出现如图1-12所示的客户端配置界面。在“Host Name(or IP address)”文本框中输入Stelnet服务器的IP地址为192.168.1.40。
图1-12 Stelnet客户端配置界面
单击左侧导航栏“Connection->SSH”下面的“Auth”(认证),出现如图1-13的界面。单击<Browse…>按钮,弹出文件选择窗口。选择与配置到服务器端的公钥对应的私钥文件private。
图1-13 Stelnet客户端配置界面
如图1-13,单击<Open>按钮,出现SSH客户端界面。按提示输入用户名client002,即可进入AC的配置界面。
· 配置AC作为Stelnet客户端,用户能够通过AC安全地登录到Switch上进行配置管理。
· Switch作为Stelnet服务器采用password认证方式对Stelnet客户端进行认证,客户端的用户名和密码保存在Switch上。
图1-14 设备作为Stelnet客户端配置组网图
(1) 配置Stelnet服务器Switch
# 生成RSA密钥对。
[Switch] public-key local create rsa
# 使能SSH服务器功能。
# 配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.40 255.255.255.0
[Switch-Vlan-interface2] quit
# 设置Stelnet客户端登录用户界面的认证方式为AAA认证。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
# 设置Switch上远程用户登录协议为SSH。
[Switch-ui-vty0-4] protocol inbound ssh
[Switch-ui-vty0-4] quit
# 创建本地用户client001,密码为aabbcc,用户级别为3级,服务类型为SSH。
[Switch-luser-client001] password simple aabbcc
[Switch-luser-client001] authorization-attribute level 3
[Switch-luser-client001] service-type ssh
[Switch-luser-client001] quit
# 配置SSH用户client001的服务类型为Stelnet,认证方式为password认证。
[Switch] ssh user client001 service-type stelnet authentication-type password
(2) Stelnet客户端建立与Stelnet服务器的连接
# 配置VLAN接口2的IP地址。
[AC] interface vlan-interface 2
[AC-Vlan-interface2] ip address 192.168.1.56 255.255.255.0
[AC-Vlan-interface2] quit
[AC] quit
# 配置客户端对服务器不进行首次认证。
[AC] undo ssh client first-time
# 在客户端配置SSH服务器端的主机公钥。在公钥编辑视图输入服务器端的主机公钥。
[AC-pkey-public-key] public-key-code begin
[AC-pkey-key-code]308201B73082012C06072A8648CE3804013082011F0281810
0D757262C4584C44C211F18BD96E5F0
[AC-pkey-key-code]61C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE
65BE6C265854889DC1EDBD13EC8B274
[AC-pkey-key-code]DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B0
6FD60FE01941DDD77FE6B12893DA76E
[AC-pkey-key-code]EBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B3
68950387811C7DA33021500C773218C
[AC-pkey-key-code]737EC8EE993B4F2DED30F48EDACE915F0281810082269009E
14EC474BAF2932E69D3B1F18517AD95
[AC-pkey-key-code]94184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD35D02
492B3959EC6499625BC4FA5082E22C5
[AC-pkey-key-code]B374E16DD00132CE71B020217091AC717B612391C76C1FB2E
88317C1BD8171D41ECB83E210C03CC9
[AC-pkey-key-code]B32E810561C21621C73D6DAAC028F4B1585DA7F42519718CC
9B09EEF0381840002818000AF995917
[AC-pkey-key-code]E1E570A3F6B1C2411948B3B4FFA256699B3BF871221CC9C5D
F257523777D033BEE77FC378145F2AD
[AC-pkey-key-code]D716D7DB9FCABB4ADBF6FB4FDB0CA25C761B308EF53009F71
01F7C62621216D5A572C379A32AC290
[AC-pkey-key-code]E55B394A217DA38B65B77F0185C8DB8095522D1EF044B465E
8716261214A5A3B493E866991113B2D
[AC-pkey-key-code]485348
[AC-pkey-key-code] public-key-code end
[AC-pkey-public-key] peer-public-key end
# 指定服务器192.168.1.40对应的主机公钥名称为key1。
[AC] ssh client authentication server 192.168.1.40 assign publickey key1
[AC] quit
# 建立到服务器192.168.1.40的SSH连接。
Username: client001
Trying 192.168.1.40
Press CTRL+K to abort
Connected to 192.168.1.40...
Enter password:
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Switch>
· 配置AC作为Stelnet客户端,用户能够通过AC安全地登录到Switch上进行配置管理。
· Switch作为Stelnet服务器采用publickey认证方式对Stelnet客户端进行认证,使用的公钥算法为RSA。
图1-15 设备作为Stelnet客户端配置组网图
(1) 配置Stelnet客户端AC
# 配置VLAN接口2的IP地址。
[AC] interface vlan-interface 2
[AC-Vlan-interface2] ip address 192.168.1.56 255.255.255.0
[AC-Vlan-interface2] quit
# 生成RSA密钥对。
[AC] public-key local create rsa
# 将生成的RSA主机公钥导出到指定文件key.pub中。
[AC] public-key local export rsa ssh2 key.pub
[AC] quit
客户端生成密钥对后,需要将保存的公钥文件key.pub通过FTP/TFTP方式上传到服务器,具体过程略。
(2) 配置Stelnet服务器Switch(以H3C交换机为例)
# 生成RSA密钥对。
[Switch] public-key local create rsa
# 使能SSH服务器功能。
# 配置VLAN接口2的IP地址,客户端将通过该地址连接SSH服务器。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.40 255.255.255.0
[Switch-Vlan-interface2] quit
# 设置Stelnet客户端登录用户界面的认证方式为AAA认证。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
# 设置Switch上远程用户登录协议为SSH。
[Switch-ui-vty0-4] protocol inbound ssh
# 设置用户能访问的命令级别为3。
[Switch-ui-vty0-4] user privilege level 3
[Switch-ui-vty0-4] quit
# 从文件key.pub中导入远端的公钥,并命名为key001。
[Switch] public-key peer key001 import sshkey key.pub
# 设置SSH用户client002的认证方式为publickey,并指定公钥为key001。
(3) Stelnet客户端建立与Stelnet服务器的连接
# 建立到服务器192.168.1.40的SSH连接。
Username: client002
Trying 192.168.1.40 ...
Press CTRL+K to abort
Connected to 192.168.1.40 ...
The Server is not authenticated. Continue? [Y/N]:y
Do you want to save the server public key? [Y/N]:n
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Switch>
如下图所示,AC 1和AC 2之间建立SSH连接,AC 1作为SFTP客户端登录到AC 2,进行文件管理和文件传送等操作,用户名为client001,密码为aabbcc。
# 生成RSA密钥对,并启动SSH服务器。
[AC2] public-key local create rsa
[AC2] ssh server enable
# 配置VLAN接口2的IP地址,客户端将通过该地址连接SSH服务器。
[AC2] interface vlan-interface 2
[AC2-Vlan-interface2] ip address 192.168.0.1 255.255.255.0
[AC2-Vlan-interface2] quit
# 设置SSH客户端登录用户界面的认证方式为AAA认证。
[AC2-ui-vty0-4] authentication-mode scheme
# 设置AC 2上远程用户登录协议为SSH。
[AC2-ui-vty0-4] protocol inbound ssh
[AC2-ui-vty0-4] quit
# 创建本地用户client001。
[AC2-luser-client001] password simple aabbcc
[AC2-luser-client001]authorization-attribute level 3
[AC2-luser-client001] service-type ssh
[AC2-luser-client001] quit
# 配置SSH用户认证方式为password,服务类型为SFTP。
[AC2] ssh user client001 service-type sftp authentication-type password
如果配置SSH用户的认证方式为publickey,则需要配置AC 1的主机公钥。具体配置方法可以参见“1.7.2 设备作为Stelnet服务器配置举例(publickey认证)”。
# 启动SFTP服务器。
# 配置VLAN接口2的IP地址。
[AC1] interface vlan-interface 2
[AC1-Vlan-interface2] ip address 192.168.0.2 255.255.255.0
[AC1-Vlan-interface2] quit
[AC1] quit
# 与远程SFTP服务器建立连接,进入SFTP Client视图。
Input Username: client001
Trying 192.168.0.1 ...
Press CTRL+K to abort
Connected to 192.168.0.1 ...
The Server is not authenticated. Continue? [Y/N]:y
Do you want to save the server public key? [Y/N]:n
Enter password:
<sftp-client>
# 显示服务器的当前目录,删除文件z,并检查此目录是否删除成功。
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 startup.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
-rwxrwxrwx 1 noone nogroup 0 Sep 01 08:00 z
End of file
Success
<sftp-client> delete z
The following File will be deleted:
/z
Are you sure to delete it? [Y/N]:y
This operation may take a long time.Please wait...
Success
File successfully Removed
<sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 startup.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
End of file
Success
# 新增目录new1,并检查新目录是否创建成功。
Success
New directory created
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 startup.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:30 new1
End of file
Success
# 将目录名new1更名为new2,并查看是否更名成功。
<sftp-client> rename new1 new2
Success
File successfully renamed
<sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 startup.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:33 new2
End of file
Success
# 从服务器上下载文件pubkey2到本地,并更名为public。
<sftp-client> get pubkey2 public
Remote file:/pubkey2 ---> Local file: public
End of file
Success
Downloading file successfully ended
# 将本地文件pu上传到服务器上,更名为puk,并查看上传是否成功。
Local file:pu ---> Remote file: /puk
Success
Uploading file successfully ended
<sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 startup.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:33 new2
-rwxrwxrwx 1 noone nogroup 283 Sep 02 06:35 pub
-rwxrwxrwx 1 noone nogroup 283 Sep 02 06:36 puk
End of file
Success
<sftp-client>
# 退出SFTP。
Bye
<AC1>
如下图所示,AC 1作为SCP客户端,AC 2作为SCP服务器。现有如下具体需求:
· 用户能够通过AC 1安全地与AC 2进行文件传输。
· AC 2采用password认证对SCP客户端进行认证,客户端的用户名和密码保存在AC 2上。
图1-17 SCP文件传输配置组网图
(1) 配置SCP服务器AC 2
[AC2] public-key local create rsa
# 使能SSH服务器功能。
# 配置接口VLAN接口2的IP地址,客户端将通过该地址连接SCP服务器。
[AC2] interface vlan-interface 2
[AC2-Vlan-interface2] ip address 192.168.0.1 255.255.255.0
[AC2-Vlan-interface2] quit
# 设置Stelnet客户端登录用户界面的认证方式为AAA认证。
[AC2-ui-vty0-4] authentication-mode scheme
# 设置AC 2上远程用户登录协议为SSH。
[AC2-ui-vty0-4] protocol inbound ssh
[AC2-ui-vty0-4] quit
# 创建本地用户client001,密码为aabbcc,服务类型为SSH。
[AC2-luser-client001] password simple aabbcc
[AC2-luser-client001] service-type ssh
[AC2-luser-client001] quit
# 配置SSH用户client001的服务类型为scp,认证方式为password认证。(此步骤可以不配置)
[AC2] ssh user client001 service-type scp authentication-type password
(2) 配置SCP客户端AC 1
# 配置接口VLAN 2的IP地址。
[AC1] interface vlan-interface 2
[AC1-Vlan-interface2] ip address 192.168.0.2 255.255.255.0
[AC1-Vlan-interface2] quit
[AC1] quit
(3) SCP客户端从SCP服务器下载文件
# 与远程SCP服务器建立连接,并下载远端的remote.bin文件,下载到本地后更名为local.bin。
<AC1> scp 192.168.0.1 get remote.bin local.bin
Username: client001
Trying 192.168.0.1 ...
Press CTRL+K to abort
Connected to 192.168.0.1 ...
The Server is not authenticated. Continue? [Y/N]:y
Do you want to save the server public key? [Y/N]:n
Enter password:
18471 bytes transfered in 0.001 seconds.
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!