12-SSH2.0命令
本章节下载: 12-SSH2.0命令 (298.49 KB)
1.1.2 display ssh user-information
1.1.3 ssh server authentication-retries
1.1.4 ssh server authentication-timeout
1.1.5 ssh server compatible-ssh1x
1.1.11 ssh server rekey-interval
1.2.1 display ssh client source
1.2.3 ssh client authentication server
2.1.2 sftp server idle-timeout
2.2.6 display sftp client source
2.2.21 sftp client ipv6 source
设备运行于FIPS模式时,本特性的部分配置命令相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
【命令】
display ssh server { session | status } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
session:显示SSH服务器的会话信息。
status:显示SSH服务器的状态信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ssh server命令用来在SSH服务器端显示该服务器的状态信息或会话信息。
相关配置可参考命令ssh server authentication-retries、ssh server rekey-interval、ssh server authentication-timeout、ssh server enable 和ssh server compatible-ssh1x enable。
【举例】
# 在SSH服务器端显示该服务器的状态信息。
<Sysname> display ssh server status
SSH server: Disable
SSH version : 1.99
SSH authentication-timeout : 60 second(s)
SSH server key generating interval : 0 hour(s)
SSH authentication retries : 3 time(s)
SFTP server: Disable
SFTP server Idle-Timeout: 10 minute(s)
表1-1 display ssh server status命令显示信息描述表
字段 |
描述 |
SSH server |
SSH服务器功能的状态 |
SSH version |
SSH协议版本 SSH服务器兼容SSH1时,协议版本为1.99;SSH服务器不兼容SSH1时,协议版本为2.0 |
SSH authentication-timeout |
认证超时时间 |
SSH server key generating interval |
服务器密钥对更新时间 |
SSH authentication retries |
SSH用户认证尝试的最大次数 |
SFTP server |
SFTP服务器功能的状态 |
SFTP server Idle-Timeout |
SFTP用户连接的空闲超时时间 |
# 在SSH服务器端显示该服务器的会话信息。
<Sysname> display ssh server session
Conn Ver Encry State Retry SerType Username
VTY 0 2.0 DES Established 0 SFTP client001
表1-2 display ssh server session显示信息描述表
字段 |
描述 |
Conn |
用户登录使用的VTY界面的编号 |
Ver |
SSH服务器的协议版本 |
Encry |
SSH使用的加密算法 |
State |
会话状态,包括: Init:初始化状态 Ver-exchange:版本协商 Keys-exchange:密钥交换 Auth-request:用户认证 Serv-request:服务请求 Established:连接已经建立 Disconnected:断开连接 |
Retry |
认证失败的次数 |
SerType |
服务类型,包括SCP、SFTP和Stelnet类型 |
Username |
客户端登录服务器时采用的用户名 |
【命令】
display ssh user-information [ username ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
username:显示指定SSH用户的信息。username表示SSH用户名,为1~80个字符的字符串。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ssh user-information命令用来在SSH服务器端显示SSH用户的信息。
需要注意的是:
· 本命令仅用来显示SSH服务器端通过ssh user命令配置的SSH用户信息。
· 如果没有指定参数username,则显示所有SSH用户的信息。
相关配置可参考命令ssh user。
【举例】
# 显示所有SSH用户的信息。
<Sysname> display ssh user-information
Total ssh users : 2
Username Authentication-type User-public-key-name Service-type
yemx password null all
test publickey pubkey sftp
表1-3 display ssh user-information显示信息描述表
字段 |
描述 |
Total ssh users |
SSH用户的总数 |
Username |
用户名 |
Authentication-type |
认证类型,如果认证类型为password,则用户公钥名称显示为null |
User-public-key-name |
用户公钥名称 |
Service-type |
服务类型,包括stelnet、sftp、scp以及all,其中all表示支持所有认证类型 |
【命令】
ssh server authentication-retries times
undo ssh server authentication-retries
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
times:指定每个SSH用户认证尝试的最大次数,取值范围为1~5。
【描述】
ssh server authentication-retries命令用来设置允许SSH用户连接认证尝试的最大次数。undo ssh server authentication-retries命令用来恢复缺省情况。
缺省情况下,允许SSH用户连接认证尝试的最大次数为3次。
通过本命令可以限制用户登录的重试次数,防止非法用户对用户名和密码进行恶意地猜测和破解。
需要注意的是:
· 本配置对新登录的用户生效。
· SSH客户端通过publickey和password两种方式进行认证尝试的次数总和,不能超过ssh server authentication-retries命令配置的SSH连接认证尝试的最大次数。
· 对于password-publickey认证方式,设备首先对SSH用户进行publickey认证,然后进行password认证,这个过程称为一次认证尝试,而不是两次认证尝试。
相关配置可参考命令display ssh server。
【举例】
# 指定允许SSH用户认证尝试的最大次数为4次。
<Sysname> system-view
[Sysname] ssh server authentication-retries 4
【命令】
ssh server authentication-timeout time-out-value
undo ssh server authentication-timeout
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
time-out-value:认证超时时间,取值范围为1~120,单位为秒。
【描述】
ssh server authentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间,如果用户在规定的时间内没有完成认证就拒绝该连接。undo ssh server authentication-timeout命令用来恢复缺省情况。
缺省情况下,SSH用户的认证超时时间为60秒。
为了防止不法用户建立起TCP连接后,不进行接下来的认证,而是空占着进程,妨碍其它合法用户的正常登录,可以适当调小SSH用户认证超时时间。
相关配置可参考命令display ssh server。
【举例】
# 设置SSH用户认证超时时间为10秒。
<Sysname> system-view
[Sysname] ssh server authentication-timeout 10
【命令】
ssh server compatible-ssh1x [ enable ]
undo ssh server compatible-ssh1x
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
enable:使能SSH服务器兼容SSH1版本的客户端。如果不指定该参数,也可以使能SSH服务器兼容SSH1版本的客户端。
【描述】
ssh server compatible-ssh1x命令用来设置SSH服务器兼容SSH1版本的客户端。undo ssh server compatible-ssh1x命令用来设置SSH服务器不兼容SSH1版本的客户端。
缺省情况下,SSH服务器兼容SSH1版本的客户端。
该配置对新登录的用户生效。
FIPS模式下,不支持本命令。
相关配置可参考命令display ssh server。
【举例】
# 配置服务器兼容SSH1版本的客户端。
<Sysname> system-view
[Sysname] ssh server compatible-ssh1x enable
【命令】
ssh server acl acl-number
undo ssh server acl
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
acl-number:指定ACL的编号,取值范围为2000~3999。
【描述】
ssh server acl命令用来设置对IPv4 SSH用户的访问控制。
undo ssh server acl命令用来恢复缺省情况。
缺省情况下,允许所有IPv4 SSH用户向设备发起SSH访问。
通过本命令可以过滤IPv4 SSH用户发起的SSH请求报文,具体实现如下:
· 若指定的ACL非空,则只允许匹配ACL permit规则的用户访问设备。
· 若指定的ACL不存在,或者ACL中无任何规则,则允许SSH用户发起SSH访问。
该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接。
多次执行本配置后,最新的配置生效。
【举例】
# 只允许IPv4地址为1.1.1.1的SSH用户向设备发起SSH访问。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-basic-2001] quit
[Sysname] ssh server acl 2001
【命令】
ssh server dscp dscp-value
undo ssh server dscp
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
dscp-value:报文的DSCP优先级,取值范围为0~63。
【描述】
ssh server dscp命令用来配置SSH服务器发送IPv4报文的DSCP优先级。undo ssh server dscp命令用来恢复缺省情况。
缺省情况下,SSH服务器发送IPv4报文的DSCP优先级为16。
【举例】
# 配置SSH服务器发送IPv4报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] ssh server dscp 30
【命令】
ssh server enable
undo ssh server enable
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
无
【描述】
ssh server enable命令用来使能SSH服务器功能,使客户端能用SSH协议与服务器进行通信。undo ssh server enable命令用来关闭SSH服务器功能。
缺省情况下,SSH服务器功能处于关闭状态。
相关配置可参考命令display ssh server。
【举例】
# 使能SSH服务器功能。
<Sysname> system-view
[Sysname] ssh server enable
【命令】
ssh server ipv6 acl ipv6 acl-number
undo ssh server ipv6 acl
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ipv6:指定IPv6 ACL的编号。
acl-number:指定ACL的编号,取值范围为2000~3999。
【使用指导】
ssh server ipv6 acl命令用来设置对IPv6 SSH用户的访问控制。
undo ssh server ipv6 acl命令用来恢复缺省情况。
缺省情况下,允许所有IPv6 SSH用户向设备发起SSH访问。
通过本命令可以过滤IPv6 SSH用户发起的SSH请求报文,具体实现如下:
· 若指定的ACL非空,则只允许匹配ACL permit规则的用户访问设备。
· 若指定的ACL不存在,或者ACL中无任何规则,则允许SSH用户发起SSH访问。
该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接。
多次执行本配置后,最新的配置生效。
【举例】
# 只允许1::1/64网段内的SSH用户向设备发起SSH访问。
<Sysname> system-view
[Sysname] acl ipv6 number 2001
[Sysname-acl6-basic-2001] rule permit source 1::1 64
[Sysname-acl6-basic-2001] quit
[Sysname] ssh server ipv6 acl ipv6 2001
【命令】
ssh server ipv6 dscp dscp-value
undo ssh server ipv6 dscp
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
dscp-value:报文的DSCP优先级,取值范围为0~63。
【描述】
ssh server ipv6 dscp命令用来配置SSH服务器发送IPv6报文的DSCP优先级。undo ssh server ipv6 dscp命令用来恢复缺省情况。
缺省情况下,SSH服务器发送IPv6报文的DSCP优先级为0。
【举例】
# 配置SSH服务器发送IPv6报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] ssh server ipv6 dscp 30
【命令】
ssh server rekey-interval hours
undo ssh server rekey-interval
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
hours:服务器密钥的更新周期,取值范围为1~24,单位为小时。
【描述】
ssh server rekey-interval命令用来设置RSA服务器密钥的更新时间。undo ssh server rekey-interval命令用来恢复缺省情况。
缺省情况下,RSA服务器密钥的更新时间为0,表示系统不更新RSA服务器密钥。
SSH的核心是密钥的协商和传输,因此密钥的管理是非常重要的。通过定时更新服务器密钥,可以防止对密钥的恶意猜测和破解,从而提高了SSH连接的安全性。
相关配置可参考命令display ssh server。
· 此命令仅对SSH客户端版本为SSH1的用户有效。FIPS模式下,不支持本命令。
· 系统不会定期更新DSA密钥对。
【举例】
# 设置每3小时更新一次RSA服务器密钥。
<Sysname> system-view
[Sysname] ssh server rekey-interval 3
【命令】
非FIPS模式下:
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname&<1-6> }
ssh user username service-type { all | scp | sftp } authentication-type { password | { any | password-publickey | publickey } assign publickey keyname&<1-6> work-directory directory-name }
undo ssh user username
FIPS模式下:
ssh user username service-type stelnet authentication-type { password | password-publickey assign publickey keyname&<1-6> }
ssh user username service-type { all | scp | sftp } authentication-type { password | password-publickey assign publickey keyname&<1-6> work-directory directory-name }
undo ssh user username
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
username:SSH用户名,为1~80个字符的字符串,区分大小写。
service-type:SSH用户的服务类型。包括:
all:包括scp、stelnet和sftp服务类型。
scp:服务类型为安全的文件复制。
sftp:服务类型为安全的FTP。
stelnet:服务类型为安全的Telnet。
authentication-type:SSH用户的认证方式。包括:
· password:强制用户使用密码认证。该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication, Authorization, Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击。
· any:不指定用户的认证方式,用户既可以采用password认证,也可以采用publickey认证。
· password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可。
· publickey:强制用户使用公钥认证。该认证方式的加密速度相对较慢,但认证强度高,不易受到“暴力猜测”等攻击方式的影响,而且具有较高的易用性。一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码。
assign publickey keyname&<1-6>:为SSH用户分配的公钥。keyname表示已经配置的客户端公钥名,为1~64个字符的字符串。&<1-6>表示keyname最多可以输入6次。即:SSH用户最多可以设置6个公钥。认证时,将根据第一个匹配的公钥完成认证过程。
work-directory directory-name:为SCP或SFTP用户设置工作目录。directory-name表示SFTP用户的工作目录,为1~135个字符的字符串。
【描述】
ssh user命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式。undo ssh user命令用来删除SSH用户。
需要注意的是:
· 对于使用publickey认证方式的用户,必须在设备上配置相应的用户及其公钥。对于使用password认证方式的用户,用户的账号信息可以配置在设备或者远程认证服务器(如RADIUS认证服务器)上。
· 使用该命令为用户分配公钥时,如果此用户已经被分配了公钥,则以最后一次分配的公钥为准。
· 新配置的认证方式和用户公钥,对于已经登录的SSH用户不会生效,只在SSH用户下次登录时生效。
· 如果为SCP或SFTP用户指定了公钥,则必须同时为该用户设置工作目录。
· SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关。只采用publickey认证方式的用户,使用的工作目录为通过ssh user命令为该用户设置的工作目录;只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录;同时采用publickey和password两种认证方式的用户,使用的工作目录为通过ssh user命令为该用户设置的工作目录。
相关配置可参考命令display ssh user-information。
【举例】
# 创建SSH用户user1,配置user1的服务类型为sftp,认证方式为publickey,并指定用户公钥为key1,SFTP服务器工作目录为flash:/。
<Sysname> system-view
[Sysname] ssh user user1 service-type sftp authentication-type publickey assign publickey key1 work-directory flash:/
【命令】
display ssh client source [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ssh client source命令用来显示当前为SSH客户端设置的源IP地址或者源接口。
如果没有为SSH客户端指定源地址和源接口,则提示尚未指定。
相关配置可参考命令ssh client source。
【举例】
# 显示SSH客户端的源IP地址或者源接口。
<Sysname> display ssh client source
The source IP address you specified is 192.168.0.1
【命令】
display ssh server-info [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ssh server-info命令用来在SSH客户端显示客户端保存的服务器端的主机公钥和服务器的对应关系。
SSH客户端需要认证服务器时,以本地保存的服务器端的主机公钥对连接的服务器进行认证。如果认证不成功,可以通过display ssh server-info命令查看服务器是否与正确的公钥对应。
相关配置可参考命令ssh client authentication server。
该命令也可在SFTP客户端使用。
【举例】
# 显示客户端保存的服务器端的主机公钥和服务器的对应关系。
<Sysname> display ssh server-info
Server Name(IP) Server public key name
______________________________________________________
192.168.0.1 abc_key01
192.168.0.2 abc_key02
表1-4 display ssh server-info显示信息描述表
字段 |
描述 |
Server Name(IP) |
服务器名称或者IP地址 |
Server public key name |
服务器端的主机公钥名称 |
【命令】
ssh client authentication server server assign publickey keyname
undo ssh client authentication server server assign publickey
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
server:服务器的IP地址或名称,为1~80个字符的字符串。
assign publickey keyname:指定服务器端的主机公钥。keyname表示主机公钥名称,为1~64个字符的字符串。
【描述】
ssh client authentication server命令用来在客户端上指定要连接的服务器端的主机公钥名称,以便客户端判断认证连接的服务器是否为可信赖的服务器。undo ssh client authentication server命令用来取消在客户端上指定要连接的服务器端的主机公钥。
缺省情况下,客户端不指定要连接的服务器端的主机公钥名称,而是在客户端登录服务器的时候使用登录服务器时所用的IP地址或主机名作其对应的公钥名称。
如果客户端不支持首次认证,客户端将拒绝访问未经认证的服务器。此时,需要在客户端配置服务器端的公钥,并指定该公钥与服务器端的对应关系,以便在客户端对连接的服务器端进行认证时,能够根据该对应关系使用正确的公钥对服务器端进行认证。
需要注意的是,指定的服务器端的主机公钥必须已经存在。
相关配置可参考命令ssh client first-time enable。
【举例】
# 服务器的IP地址为192.168.0.1,在客户端指定该服务器的公钥名称为key1。
<Sysname> system-view
[Sysname] ssh client authentication server 192.168.0.1 assign publickey key1
【命令】
ssh client dscp dscp-value
undo ssh client dscp
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
dscp-value:报文的DSCP优先级,取值范围为0~63。
【描述】
ssh client dscp命令用来配置SSH客户端发送IPv4报文的DSCP优先级。undo ssh client dscp命令用来恢复缺省情况。
缺省情况下,SSH客户端发送IPv4报文的DSCP优先级为16。
【举例】
# 配置SSH客户端发送IPv4报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] ssh client dscp 30
【命令】
ssh client first-time [ enable ]
undo ssh client first-time
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
enable:使能SSH客户端对访问的SSH服务器进行首次认证。如果不指定该参数,也可以使能SSH客户端对访问的SSH服务器进行首次认证。
【描述】
ssh client first-time命令用来设置SSH客户端对访问的SSH服务器进行首次认证。undo ssh client first-time命令用来取消SSH客户端对访问的SSH服务器进行首次认证。
缺省情况下,客户端进行首次认证。
所谓首次认证,是指当SSH客户端首次访问服务器,而客户端没有配置服务器端的公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器。
如果不支持首次认证,则当客户端没有配置服务器端的公钥时,客户端将被拒绝访问该服务器。用户必须事先通过其它途径将要访问的服务器端的主机公钥配置在本地,同时指定要连接的服务器端的主机公钥名称,以便客户端认证连接的服务器是否为可信赖的服务器。
需要注意的是,由于服务器端可能会定期更新密钥对,为保证服务器认证成功,客户端需要及时获取最新的服务器主机公钥。
【举例】
# 设置SSH客户端对访问的SSH服务器进行首次认证。
<Sysname> system-view
[Sysname] ssh client first-time enable
【命令】
ssh client ipv6 dscp dscp-value
undo ssh client ipv6 dscp
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
dscp-value:报文的DSCP优先级,取值范围为0~63。
【描述】
ssh client ipv6 dscp命令用来配置SSH客户端发送IPv6报文的DSCP优先级。undo ssh client ipv6 dscp命令用来恢复缺省情况。
缺省情况下,SSH客户端发送IPv6报文的DSCP优先级为0。
【举例】
# 配置SSH客户端发送IPv6报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] ssh client ipv6 dscp 30
【命令】
ssh client ipv6 source { ipv6 ipv6-address | interface interface-type interface-number }
undo ssh client ipv6 source
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
ipv6 ipv6-address:源IPv6地址。
interface interface-type interface-number:源接口类型与源接口编号。
【描述】
ssh client ipv6 source命令用来为SSH客户端指定源IPv6地址或源接口。undo ssh client ipv6 source命令用来清除指定的源IPv6地址或源接口。
缺省情况下,客户端用设备路由指定的接口地址访问SSH服务器。
为保证SSH客户端与SSH服务器通信链路的可达性,以及增加认证业务对SSH客户端的可管理性,通常建议指定Loopback接口作为源接口。
相关配置可参考命令display ssh client source。
【举例】
# 指定SSH客户端的源IPv6地址为2:2::2:2。
<Sysname> system-view
[Sysname] ssh client ipv6 source ipv6 2:2::2:2
【命令】
ssh client source { ip ip-address | interface interface-type interface-number }
undo ssh client source
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
ip ip-address:源IPv4地址。
interface interface-type interface-number:源接口类型与源接口编号。
【描述】
ssh client source命令用来为SSH客户端指定源IPv4地址或源接口。undo ssh client source命令用来清除指定的源IPv4地址或源接口。
缺省情况下,客户端用设备路由指定的接口地址访问SSH服务器。
为保证SSH客户端与SSH服务器通信链路的可达性,以及增加认证业务对SSH客户端的可管理性,通常建议指定Loopback接口作为源接口。
相关配置可参考命令display ssh client source。
【举例】
# 指定SSH客户端的源IPv4地址为192.168.0.1。
<Sysname> system-view
[Sysname] ssh client source ip 192.168.0.1
【命令】
非FIPS模式下:
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
FIPS模式下:
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa | rsa } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
【视图】
用户视图
【缺省级别】
0:访问级
【参数】
server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为0~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果服务器位于公网中,则无需指定本参数。
identity-key:publickey认证采用的公钥算法,缺省算法为dsa。
dsa:公钥算法为DSA。
ecdsa:公钥算法为ECDSA。
rsa:公钥算法为RSA。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
3des:3des-cbc加密算法。
aes128:aes128-cbc加密算法。
aes256:aes256-cbc加密算法。
des:des-cbc加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
md5:HMAC算法hmac-md5。
md5-96:HMAC算法hmac-md5-96。
sha1:HMAC算法hmac-sha1。
sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,非FIPS模式下,缺省算法为dh-group-exchange;FIPS模式下,缺省算法为dh-group14。
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。
dh-group1:密钥交换算法diffie-hellman-group1-sha1。
dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
【描述】
ssh2命令用来建立SSH客户端和IPv4服务器端的连接,并指定公钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法。
需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用RSA、DSA或ECDSA加密算法,所以需要用identity-key关键字指定客户端采用的加密算法,才能得到正确的本地私钥数据。
【举例】
# 登录地址为10.214.50.51的远程SSH2服务器,采用如下连接策略:
· 首选密钥交换算法为dh-group1;
· 服务器到客户端的首选加密算法为aes128;
· 客户端到服务器的首选HMAC算法为md5;
· 服务器到客户端的HMAC算法为sha1-96。
<Sysname> ssh2 10.214.50.51 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96
【命令】
非FIPS模式下:
ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
FIPS模式下:
ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa | rsa } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
【视图】
用户视图
【缺省级别】
0:访问级
【参数】
server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。
port-number:服务器的端口号,取值范围为0~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果服务器位于公网中,则无需指定本参数。
identity-key:publickey认证采用的公钥算法,缺省算法为dsa。
dsa:公钥算法为DSA。
ecdsa:公钥算法为ECDSA。
rsa:公钥算法为RSA。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
3des:3des-cbc加密算法。
aes128:aes128-cbc加密算法。
aes256:aes256-cbc加密算法。
des:des-cbc加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
md5:HMAC算法hmac-md5。
md5-96:HMAC算法hmac-md5-96。
sha1:HMAC算法hmac-sha1。
sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,非FIPS模式下,缺省算法为dh-group-exchange;FIPS模式下,缺省算法为dh-group14。
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。
dh-group1:密钥交换算法diffie-hellman-group1-sha1。
dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
【描述】
ssh2 ipv6命令用来建立SSH客户端和IPv6服务器端的连接,并指定公钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法。
需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用RSA、DSA或ECDSA加密算法,所以需要用identity-key关键字指定客户端采用的加密算法,才能得到正确的本地私钥数据。
【举例】
# 登录地址为2000::1的远程SSH2服务器,具体加密算法配置如下:
· 首选密钥交换算法为dh-group1;
· 服务器到客户端的首选加密算法为aes128;
· 客户端到服务器的首选HMAC算法为md5;
· 服务器到客户端的HMAC算法为sha1-96。
<Sysname> ssh2 ipv6 2000::1 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96
设备运行于FIPS模式时,本特性的部分配置命令相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
【命令】
sftp server enable
undo sftp server enable
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
无
【描述】
sftp server enable命令用来启动SFTP服务器。undo sftp server enable命令用来关闭SFTP服务器。
缺省情况下,SFTP服务器处于关闭状态。
相关配置可参考命令display ssh server。
【举例】
# 启动SFTP服务器。
<Sysname> system-view
[Sysname] sftp server enable
【命令】
sftp server idle-timeout time-out-value
undo sftp server idle-timeout
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
time-out-value:超时时间,取值范围为1~35791,单位为分钟。
【描述】
sftp server idle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间。undo sftp server idle-timeout命令用来恢复缺省情况。
缺省情况下,SFTP用户连接的空闲超时时间为10分钟。
当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作。若同一时间内并发的SFTP连接数较多,可适当减小该值,及时释放系统资源给新用户接入。
相关配置可参考命令display ssh server。
【举例】
# 设置SFTP用户连接的空闲超时时间为500分钟。
<Sysname> system-view
[Sysname] sftp server idle-timeout 500
【命令】
bye
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
无
【描述】
bye命令用来终止与远程SFTP服务器的连接,并退回到用户视图。
该命令功能与exit,quit相同。
【举例】
# 终止与远程SFTP服务器的连接。
sftp-client> bye
Bye
Connection closed.
<Sysname>
【命令】
cd [ remote-path ]
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
remote-path:服务器上的路径名。
【描述】
cd命令用来改变远程SFTP服务器上的工作路径。
如果没有指定remote-path,则显示当前工作路径。
· 命令“cd ..”用来返回到上一级目录。
· 命令“cd /”用来返回到系统的根目录。
【举例】
# 改变工作路径到new1。
sftp-client> cd new1
Current Directory is:
/new1
【命令】
cdup
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
无
【描述】
cdup命令用来返回到上一级目录。
【举例】
# 从当前工作目录/new1返回到上一级目录。
sftp-client> cdup
Current Directory is:
/
【命令】
delete remote-file&<1-10>
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
remote-file&<1-10>:服务器上的文件名。&<1-10>表示最多可以输入10个文件名,每个文件名之间用空格分隔。
【描述】
delete命令用来删除SFTP服务器上指定的文件。
该命令和remove功能相同。
【举例】
# 删除服务器上的文件temp.c。
sftp-client> delete temp.c
The following files will be deleted:
/temp.c
Are you sure to delete it? [Y/N]:y
This operation may take a long time.Please wait...
File successfully Removed
【命令】
dir [ -a | -l ] [ remote-path ]
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
-a:显示指定目录下文件及文件夹的名称。
-l:以列表的形式显示指定目录下文件及文件夹的详细信息。
remote-path:查询的目录名。
【描述】
dir命令用来显示指定目录下文件及文件夹的信息。
如果没有指定-a和-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息。
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。
该命令功能与ls相同。
【举例】
# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:28 pub1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:24 new1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:18 new2
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:30 pub2
【命令】
display sftp client source [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display sftp client source命令用来显示当前为SFTP客户端设置的源IP地址或者源接口。
如果没有为SFTP客户端指定源地址和源接口,则提示尚未指定。
相关配置可参考命令sftp client source。
【举例】
# 显示SFTP客户端的源IP地址。
<Sysname> display sftp client source
The source IP address you specified is 192.168.0.1
【命令】
exit
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
无
【描述】
exit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。
该命令功能与bye,quit相同。
【举例】
# 终止与远程SFTP服务器的连接。
sftp-client> exit
Bye
Connection closed.
<Sysname>
【命令】
get remote-file [ local-file ]
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
remote-file:远程SFTP服务器上的文件名。
local-file:本地文件名。
【描述】
get命令用来从远程服务器上下载文件并存储在本地。
如果没有指定本地文件名,则认为本地文件与远程SFTP服务器上的文件同名。
【举例】
# 下载远程服务器上的temp1.c文件,并以文件名temp.c在本地保存。
sftp-client> get temp1.c temp.c
Remote file:/temp1.c ---> Local file: temp.c
Downloading file successfully ended
【命令】
help [ all | command-name ]
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
all:显示所有命令的名字。
command-name:命令名。
【描述】
help命令用来显示SFTP客户端命令的帮助信息。
如果没有指定参数,系统将显示所有命令的名字。
【举例】
# 查看命令get的帮助信息。
sftp-client> help get
get remote-path [local-path] Download file.Default local-path is the same
as remote-path
【命令】
ls [ -a | -l ] [ remote-path ]
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
-a:显示指定目录下文件及文件夹的名称。
-l:以列表的形式显示指定目录下文件及文件夹的详细信息。
remote-path:查询的目录名。
【描述】
ls命令用来显示指定目录下文件及文件夹的信息。
如果没有指定-a和-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息。
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。
该命令功能与dir相同。
【举例】
# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。
sftp-client> ls
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:28 pub1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:24 new1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:18 new2
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:30 pub2
【命令】
mkdir remote-path
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
remote-path:远程SFTP服务器上的目录名。
【描述】
mkdir命令用来在远程SFTP服务器上创建新的目录。
【举例】
# 在远程SFTP服务器上建立目录test。
sftp-client> mkdir test
New directory created
【命令】
put local-file [ remote-file ]
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
local-file:本地的文件名。
remote-file:远程SFTP服务器上的文件名。
【描述】
put命令用来将本地的文件上传到远程SFTP服务器。
如果没有指定远程服务器上的文件名,则认为服务器上的文件与本地文件同名。
【举例】
# 将本地temp.c文件上传到远程SFTP服务器,并以temp1.c文件名保存。
sftp-client> put temp.c temp1.c
Local file:temp.c ---> Remote file: /temp1.c
Uploading file successfully ended
【命令】
pwd
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
无
【描述】
pwd命令用来显示远程SFTP服务器上的当前工作目录。
【举例】
# 显示远程SFTP服务器上的当前工作目录。
sftp-client> pwd
/
【命令】
quit
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
无
【描述】
quit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。
该命令功能与bye,exit相同。
【举例】
# 终止与远程SFTP服务器的连接。
sftp-client> quit
Bye
Connection closed.
<Sysname>
【命令】
remove remote-file&<1-10>
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
remote-file&<1-10>:服务器上的文件名。&<1-10>表示最多可以输入10个文件名,每个文件名之间用空格分隔。
【描述】
remove命令用来删除SFTP服务器上指定的文件。
该命令和delete功能相同。
【举例】
# 删除服务器上的文件temp.c。
sftp-client> remove temp.c
The following files will be deleted:
/temp.c
Are you sure to delete it? [Y/N]:y
This operation may take a long time.Please wait...
File successfully Removed
【命令】
rename oldname newname
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
oldname:原文件名或者目录名。
newname:新文件名或者目录名。
【描述】
rename命令用来改变SFTP服务器上指定的文件或者目录的名字。
【举例】
# 将SFTP服务器上的文件temp1.c改名为temp2.c。
sftp-client> rename temp1.c temp2.c
File successfully renamed
【命令】
rmdir remote-path&<1-10>
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
remote-path&<1-10>:远程SFTP服务器上的目录名。&<1-10>表示最多可以输入10个目录名,每个文件名之间用空格分隔。
【描述】
rmdir命令用来删除SFTP服务器上指定的目录。
【举例】
# 删除SFTP服务器上当前工作目录下的temp1目录。
sftp-client> rmdir temp1
Directory successfully removed
【命令】
非FIPS模式下:
sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
FIPS模式下:
sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa | rsa } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
【视图】
用户视图
【缺省级别】
3:管理级
【参数】
server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为0~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果服务器位于公网中,则无需指定本参数。
identity-key:publickey认证采用的公钥算法,缺省算法为dsa。
dsa:公钥算法为DSA。
ecdsa:公钥算法为ECDSA。
rsa:公钥算法为RSA。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
3des:3des-cbc加密算法。
aes128:aes128-cbc加密算法。
aes256:aes256-cbc加密算法。
des:des-cbc加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
md5:HMAC算法hmac-md5。
md5-96:HMAC算法hmac-md5-96。
sha1:HMAC算法hmac-sha1。
sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,非FIPS模式下,缺省算法为dh-group-exchange;FIPS模式下,缺省算法为dh-group14。
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。
dh-group1:密钥交换算法diffie-hellman-group1-sha1。
dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
【描述】
sftp命令用来与远程IPv4 SFTP服务器建立连接,并进入SFTP客户端视图。
需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用RSA、DSA或ECDSA加密算法,所以需要用identity-key关键字指定客户端采用的加密算法,才能得到正确的本地私钥数据。
【举例】
# 连接IP地址为10.1.1.2的SFTP服务器,采用如下连接策略:
首选密钥交换算法为dh-group1;
服务器到客户端的首选加密算法为aes128;
客户端到服务器的首选HMAC算法为md5;
服务器到客户端的HMAC算法为sha1-96。
<Sysname> sftp 10.1.1.2 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96
Input Username:
【命令】
sftp client dscp dscp-value
undo sftp client dscp
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
dscp-value:报文的DSCP优先级,取值范围为0~63。
【描述】
sftp client dscp命令用来配置SFTP客户端发送IPv4报文的DSCP优先级。undo sftp client dscp命令用来恢复缺省情况。
缺省情况下,SFTP客户端发送IPv4报文的DSCP优先级为16。
【举例】
# 配置SFTP客户端发送IPv4报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] sftp client dscp 30
【命令】
sftp client ipv6 dscp dscp-value
undo sftp client ipv6 dscp
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
dscp-value:报文的DSCP优先级,取值范围为0~63。
【描述】
sftp client ipv6 dscp命令用来配置SFTP客户端发送IPv6报文的DSCP优先级。undo sftp client ipv6 dscp命令用来恢复缺省情况。
缺省情况下,SFTP客户端发送IPv6报文的DSCP优先级为8。
【举例】
# 配置SFTP客户端发送IPv6报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] sftp client ipv6 dscp 30
【命令】
sftp client ipv6 source { ipv6 ipv6-address | interface interface-type interface-number }
undo sftp client ipv6 source
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
ipv6 ipv6-address:源IPv6地址。
interface interface-type interface-number:源接口类型与源接口编号。
【描述】
sftp client ipv6 source命令用来为SFTP客户端指定源IPv6地址或源接口。undo sftp client ipv6 source命令用来取消指定的源IPv6地址或源接口。
缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器。
为保证SFTP客户端与SFTP服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口作为源接口
相关配置可参考命令display sftp client source。
【举例】
# 指定SFTP客户端的源IPv6地址为2:2::2:2。
<Sysname> system-view
[Sysname] sftp client ipv6 source ipv6 2:2::2:2
【命令】
sftp client source { ip ip-address | interface interface-type interface-number }
undo sftp client source
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
ip ip-address:源IPv4地址。
interface interface-type interface-number:源接口类型与源接口编号。
【描述】
sftp client source命令用来为SFTP客户端指定源IPv4地址或源接口。undo sftp client source命令用来取消指定的源IPv4地址或源接口。
缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器。
为保证SFTP客户端与SFTP服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口作为源接口。
相关配置可参考命令display sftp client source。
【举例】
# 指定SFTP客户端的源IP地址为192.168.0.1。
<Sysname> system-view
[Sysname] sftp client source ip 192.168.0.1
【命令】
非FIPS模式下:
sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
FIPS模式下:
sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa | rsa } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
【视图】
用户视图
【缺省级别】
3:管理级
【参数】
server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。
port-number:服务器的端口号,取值范围为0~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果服务器位于公网中,则无需指定本参数。
identity-key:publickey认证采用的公钥算法,缺省算法为dsa。
dsa:公钥算法为DSA。
ecdsa:公钥算法为ECDSA。
rsa:公钥算法为RSA。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
3des:3des-cbc加密算法。
aes128:aes128-cbc加密算法。
aes256:aes256-cbc加密算法。
des:des-cbc加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
md5:HMAC算法hmac-md5。
md5-96:HMAC算法hmac-md5-96。
sha1:HMAC算法hmac-sha1。
sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,非FIPS模式下,缺省算法为dh-group-exchange;FIPS模式下,缺省算法为dh-group14。
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。
dh-group1:密钥交换算法diffie-hellman-group1-sha1。
dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
【描述】
sftp ipv6命令用来与远程IPv6 SFTP服务器建立连接,并进入SFTP客户端视图。
需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用RSA、DSA或ECDSA加密算法,所以需要用identity-key关键字指定客户端采用的加密算法,才能得到正确的本地私钥数据。
【举例】
# 连接IPv6地址为2:5::8:9的SFTP服务器,采用如下连接策略:
首选密钥交换算法为dh-group1;
服务器到客户端的首选加密算法为aes128;
客户端到服务器的首选HMAC算法为md5;
服务器到客户端的HMAC算法为sha1-96。
<Sysname> sftp ipv6 2:5::8:9 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96
Input Username:
设备运行于FIPS模式时,本特性的配置命令相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
【命令】
非FIPS模式下:
scp [ ipv6 ] server [ port-number ] { get | put } source-file-path [ destination-file-path ] [ identity-key { dsa | ecdsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } | username username password password ] *
FIPS模式下:
scp [ ipv6 ] server [ port-number ] { get | put } source-file-path [ destination-file-path ] [ identity-key { ecdsa | rsa } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } | username username password password ] *
【视图】
用户视图
【缺省级别】
3:管理级
【参数】
ipv6:指定为IPv6服务器。若不指定该参数,则为IPv4服务器。
server:服务器的IP地址或主机名称。指定为IPv4服务器时,server为1~20个字符的字符串,不区分大小写;指定为IPv6服务器时,server为1~46个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为0~65535,缺省值为22。
identity-key:publickey认证采用的公钥算法,缺省算法为dsa。
dsa:公钥算法为DSA。
ecdsa:公钥算法为ECDSA。
rsa:公钥算法为RSA。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
3des:3des-cbc加密算法。
aes128:aes128-cbc加密算法。
aes256:aes256-cbc加密算法。
des:des-cbc加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
md5:HMAC算法hmac-md5。
md5-96:HMAC算法hmac-md5-96。
sha1:HMAC算法hmac-sha1。
sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,非FIPS模式下,缺省算法为dh-group-exchange;FIPS模式下,缺省算法为dh-group14。
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。
dh-group1:密钥交换算法diffie-hellman-group1-sha1。
dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
username username password password:指定SCP客户端的登录用户名和密码,其中username为用户名,取值为1~80个字符的字符串,区分大小写;password为明文密码,取值为1~63个字符的字符串。
【描述】
scp命令用来与远程SCP服务器进行文件传输。
需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用RSA、DSA或ECDSA加密算法,所以需要用identity-key关键字指定客户端采用的加密算法,才能得到正确的本地私钥数据。
【举例】
# 与IP地址为192.168.0.1的远程SCP服务器建立连接,并下载远端的remote.bin文件,下载到本地后更名为local.bin。
<Sysname> scp 192.168.0.1 get remote.bin local.bin
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!