• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08-安全命令参考

目录

12-SSH2.0命令

本章节下载 12-SSH2.0命令  (298.49 KB)

12-SSH2.0命令


1 SSH2.0配置命令

说明

设备运行于FIPS模式时,本特性的部分配置命令相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

 

1.1  SSH2.0服务器端配置命令

1.1.1  display ssh server

【命令】

display ssh server { session | status } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

session:显示SSH服务器的会话信息。

status:显示SSH服务器的状态信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ssh server命令用来在SSH服务器端显示该服务器的状态信息或会话信息。

相关配置可参考命令ssh server authentication-retriesssh server rekey-intervalssh server authentication-timeoutssh server enablessh server compatible-ssh1x enable

【举例】

# 在SSH服务器端显示该服务器的状态信息。

<Sysname> display ssh server status

 SSH server: Disable

 SSH version : 1.99

 SSH authentication-timeout : 60 second(s)

 SSH server key generating interval : 0 hour(s)

 SSH authentication retries : 3 time(s)

 SFTP server: Disable

 SFTP server Idle-Timeout: 10 minute(s)

表1-1 display ssh server status命令显示信息描述表

字段

描述

SSH server

SSH服务器功能的状态

SSH version

SSH协议版本

SSH服务器兼容SSH1时,协议版本为1.99;SSH服务器不兼容SSH1时,协议版本为2.0

SSH authentication-timeout

认证超时时间

SSH server key generating interval

服务器密钥对更新时间

SSH authentication retries

SSH用户认证尝试的最大次数

SFTP server

SFTP服务器功能的状态

SFTP server Idle-Timeout

SFTP用户连接的空闲超时时间

 

# 在SSH服务器端显示该服务器的会话信息。

<Sysname> display ssh server session

 Conn   Ver   Encry    State         Retry    SerType  Username

 VTY 0  2.0   DES      Established   0        SFTP     client001

表1-2 display ssh server session显示信息描述表

字段

描述

Conn

用户登录使用的VTY界面的编号

Ver

SSH服务器的协议版本

Encry

SSH使用的加密算法

State

会话状态,包括:

Init:初始化状态

Ver-exchange:版本协商

Keys-exchange:密钥交换

Auth-request:用户认证

Serv-request:服务请求

Established:连接已经建立

Disconnected:断开连接

Retry

认证失败的次数

SerType

服务类型,包括SCP、SFTP和Stelnet类型

Username

客户端登录服务器时采用的用户名

 

1.1.2  display ssh user-information

【命令】

display ssh user-information [ username ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

username:显示指定SSH用户的信息。username表示SSH用户名,为1~80个字符的字符串。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ssh user-information命令用来在SSH服务器端显示SSH用户的信息。

需要注意的是:

·     本命令仅用来显示SSH服务器端通过ssh user命令配置的SSH用户信息。

·     如果没有指定参数username,则显示所有SSH用户的信息。

相关配置可参考命令ssh user

【举例】

# 显示所有SSH用户的信息。

<Sysname> display ssh user-information

 Total ssh users : 2

 Username    Authentication-type   User-public-key-name     Service-type

 yemx        password              null                     all

 test        publickey             pubkey                   sftp

表1-3 display ssh user-information显示信息描述表

字段

描述

Total ssh users

SSH用户的总数

Username

用户名

Authentication-type

认证类型,如果认证类型为password,则用户公钥名称显示为null

User-public-key-name

用户公钥名称

Service-type

服务类型,包括stelnet、sftp、scp以及all,其中all表示支持所有认证类型

 

1.1.3  ssh server authentication-retries

【命令】

ssh server authentication-retries times

undo ssh server authentication-retries

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

times:指定每个SSH用户认证尝试的最大次数,取值范围为1~5。

【描述】

ssh server authentication-retries命令用来设置允许SSH用户连接认证尝试的最大次数。undo ssh server authentication-retries命令用来恢复缺省情况。

缺省情况下,允许SSH用户连接认证尝试的最大次数为3次。

通过本命令可以限制用户登录的重试次数,防止非法用户对用户名和密码进行恶意地猜测和破解。

需要注意的是:

·     本配置对新登录的用户生效。

·     SSH客户端通过publickey和password两种方式进行认证尝试的次数总和,不能超过ssh server authentication-retries命令配置的SSH连接认证尝试的最大次数。

·     对于password-publickey认证方式,设备首先对SSH用户进行publickey认证,然后进行password认证,这个过程称为一次认证尝试,而不是两次认证尝试。

相关配置可参考命令display ssh server

【举例】

# 指定允许SSH用户认证尝试的最大次数为4次。

<Sysname> system-view

[Sysname] ssh server authentication-retries 4

1.1.4  ssh server authentication-timeout

【命令】

ssh server authentication-timeout time-out-value

undo ssh server authentication-timeout

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

time-out-value:认证超时时间,取值范围为1~120,单位为秒。

【描述】

ssh server authentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间,如果用户在规定的时间内没有完成认证就拒绝该连接。undo ssh server authentication-timeout命令用来恢复缺省情况。

缺省情况下,SSH用户的认证超时时间为60秒。

为了防止不法用户建立起TCP连接后,不进行接下来的认证,而是空占着进程,妨碍其它合法用户的正常登录,可以适当调小SSH用户认证超时时间。

相关配置可参考命令display ssh server

【举例】

# 设置SSH用户认证超时时间为10秒。

<Sysname> system-view

[Sysname] ssh server authentication-timeout 10

1.1.5  ssh server compatible-ssh1x

【命令】

ssh server compatible-ssh1x [ enable ]

undo ssh server compatible-ssh1x

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

enable:使能SSH服务器兼容SSH1版本的客户端。如果不指定该参数,也可以使能SSH服务器兼容SSH1版本的客户端。

【描述】

ssh server compatible-ssh1x命令用来设置SSH服务器兼容SSH1版本的客户端。undo ssh server compatible-ssh1x命令用来设置SSH服务器不兼容SSH1版本的客户端。

缺省情况下,SSH服务器兼容SSH1版本的客户端。

该配置对新登录的用户生效。

说明

FIPS模式下,不支持本命令。

 

相关配置可参考命令display ssh server

【举例】

# 配置服务器兼容SSH1版本的客户端。

<Sysname> system-view

[Sysname] ssh server compatible-ssh1x enable

1.1.6  ssh server acl

【命令】

ssh server acl acl-number

undo ssh server acl

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

acl-number:指定ACL的编号,取值范围为2000~3999。

【描述】

ssh server acl命令用来设置对IPv4 SSH用户的访问控制。

undo ssh server acl命令用来恢复缺省情况。

缺省情况下,允许所有IPv4 SSH用户向设备发起SSH访问。

通过本命令可以过滤IPv4 SSH用户发起的SSH请求报文,具体实现如下:

·     若指定的ACL非空,则只允许匹配ACL permit规则的用户访问设备。

·     若指定的ACL不存在,或者ACL中无任何规则,则允许SSH用户发起SSH访问。

该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接。

多次执行本配置后,最新的配置生效。

【举例】

# 只允许IPv4地址为1.1.1.1的SSH用户向设备发起SSH访问。

<Sysname> system-view

[Sysname] acl number 2001

[Sysname-acl-basic-2001] rule permit source 1.1.1.1 0

[Sysname-acl-basic-2001] quit

[Sysname] ssh server acl 2001

1.1.7  ssh server dscp

【命令】

ssh server dscp dscp-value

undo ssh server dscp

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dscp-value:报文的DSCP优先级,取值范围为0~63。

【描述】

ssh server dscp命令用来配置SSH服务器发送IPv4报文的DSCP优先级。undo ssh server dscp命令用来恢复缺省情况。

缺省情况下,SSH服务器发送IPv4报文的DSCP优先级为16。

【举例】

# 配置SSH服务器发送IPv4报文的DSCP优先级为30。

<Sysname> system-view

[Sysname] ssh server dscp 30

1.1.8  ssh server enable

【命令】

ssh server enable

undo ssh server enable

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

【描述】

ssh server enable命令用来使能SSH服务器功能,使客户端能用SSH协议与服务器进行通信。undo ssh server enable命令用来关闭SSH服务器功能。

缺省情况下,SSH服务器功能处于关闭状态。

相关配置可参考命令display ssh server

【举例】

# 使能SSH服务器功能。

<Sysname> system-view

[Sysname] ssh server enable

1.1.9  ssh server ipv6 acl

【命令】

ssh server ipv6 acl ipv6 acl-number

undo ssh server ipv6 acl

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ipv6:指定IPv6 ACL的编号。

acl-number:指定ACL的编号,取值范围为2000~3999。

【使用指导】

ssh server ipv6 acl命令用来设置对IPv6 SSH用户的访问控制。

undo ssh server ipv6 acl命令用来恢复缺省情况。

缺省情况下,允许所有IPv6 SSH用户向设备发起SSH访问。

通过本命令可以过滤IPv6 SSH用户发起的SSH请求报文,具体实现如下:

·     若指定的ACL非空,则只允许匹配ACL permit规则的用户访问设备。

·     若指定的ACL不存在,或者ACL中无任何规则,则允许SSH用户发起SSH访问。

该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接。

多次执行本配置后,最新的配置生效。

【举例】

# 只允许1::1/64网段内的SSH用户向设备发起SSH访问。

<Sysname> system-view

[Sysname] acl ipv6 number 2001

[Sysname-acl6-basic-2001] rule permit source 1::1 64

[Sysname-acl6-basic-2001] quit

[Sysname] ssh server ipv6 acl ipv6 2001

1.1.10  ssh server ipv6 dscp

【命令】

ssh server ipv6 dscp dscp-value

undo ssh server ipv6 dscp

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dscp-value:报文的DSCP优先级,取值范围为0~63。

【描述】

ssh server ipv6 dscp命令用来配置SSH服务器发送IPv6报文的DSCP优先级。undo ssh server ipv6 dscp命令用来恢复缺省情况。

缺省情况下,SSH服务器发送IPv6报文的DSCP优先级为0。

【举例】

# 配置SSH服务器发送IPv6报文的DSCP优先级为30。

<Sysname> system-view

[Sysname] ssh server ipv6 dscp 30

1.1.11  ssh server rekey-interval

【命令】

ssh server rekey-interval hours

undo ssh server rekey-interval

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

hours:服务器密钥的更新周期,取值范围为1~24,单位为小时。

【描述】

ssh server rekey-interval命令用来设置RSA服务器密钥的更新时间。undo ssh server rekey-interval命令用来恢复缺省情况。

缺省情况下,RSA服务器密钥的更新时间为0,表示系统不更新RSA服务器密钥。

SSH的核心是密钥的协商和传输,因此密钥的管理是非常重要的。通过定时更新服务器密钥,可以防止对密钥的恶意猜测和破解,从而提高了SSH连接的安全性。

相关配置可参考命令display ssh server

注意

·     此命令仅对SSH客户端版本为SSH1的用户有效。FIPS模式下,不支持本命令。

·     系统不会定期更新DSA密钥对。

 

【举例】

# 设置每3小时更新一次RSA服务器密钥。

<Sysname> system-view

[Sysname] ssh server rekey-interval 3

1.1.12  ssh user

【命令】

非FIPS模式下:

ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname&<1-6> }

ssh user username service-type { all | scp | sftp } authentication-type { password | { any | password-publickey | publickey } assign publickey keyname&<1-6> work-directory directory-name }

undo ssh user username

FIPS模式下:

ssh user username service-type stelnet authentication-type { password | password-publickey assign publickey keyname&<1-6> }

ssh user username service-type { all | scp | sftp } authentication-type { password | password-publickey assign publickey keyname&<1-6> work-directory directory-name }

undo ssh user username

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

username:SSH用户名,为1~80个字符的字符串,区分大小写。

service-type:SSH用户的服务类型。包括:

all:包括scp、stelnetsftp服务类型。

scp:服务类型为安全的文件复制。

sftp:服务类型为安全的FTP。

stelnet:服务类型为安全的Telnet。

authentication-type:SSH用户的认证方式。包括:

·     password:强制用户使用密码认证。该认证方式的加密机制简单,加密速度快,可结合AAAAuthentication, Authorization, Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击。

·     any:不指定用户的认证方式,用户既可以采用password认证,也可以采用publickey认证。

·     password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可。

·     publickey:强制用户使用公钥认证。该认证方式的加密速度相对较慢,但认证强度高,不易受到“暴力猜测”等攻击方式的影响,而且具有较高的易用性。一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码。

assign publickey keyname&<1-6>:为SSH用户分配的公钥。keyname表示已经配置的客户端公钥名,为1~64个字符的字符串。&<1-6>表示keyname最多可以输入6次。即:SSH用户最多可以设置6个公钥。认证时,将根据第一个匹配的公钥完成认证过程。

work-directory directory-name:为SCP或SFTP用户设置工作目录。directory-name表示SFTP用户的工作目录,为1~135个字符的字符串。

【描述】

ssh user命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式。undo ssh user命令用来删除SSH用户。

需要注意的是:

·     对于使用publickey认证方式的用户,必须在设备上配置相应的用户及其公钥。对于使用password认证方式的用户,用户的账号信息可以配置在设备或者远程认证服务器(如RADIUS认证服务器)上。

·     使用该命令为用户分配公钥时,如果此用户已经被分配了公钥,则以最后一次分配的公钥为准。

·     新配置的认证方式和用户公钥,对于已经登录的SSH用户不会生效,只在SSH用户下次登录时生效。

·     如果为SCP或SFTP用户指定了公钥,则必须同时为该用户设置工作目录。

·     SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关。只采用publickey认证方式的用户,使用的工作目录为通过ssh user命令为该用户设置的工作目录;只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录;同时采用publickey和password两种认证方式的用户,使用的工作目录为通过ssh user命令为该用户设置的工作目录。

相关配置可参考命令display ssh user-information

【举例】

# 创建SSH用户user1,配置user1的服务类型为sftp,认证方式为publickey,并指定用户公钥为key1,SFTP服务器工作目录为flash:/。

<Sysname> system-view

[Sysname] ssh user user1 service-type sftp authentication-type publickey assign publickey key1 work-directory flash:/

1.2  SSH2.0客户端配置命令

1.2.1  display ssh client source

【命令】

display ssh client source [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ssh client source命令用来显示当前为SSH客户端设置的源IP地址或者源接口。

如果没有为SSH客户端指定源地址和源接口,则提示尚未指定。

相关配置可参考命令ssh client source

【举例】

# 显示SSH客户端的源IP地址或者源接口。

<Sysname> display ssh client source

The source IP address you specified is 192.168.0.1

1.2.2  display ssh server-info

【命令】

display ssh server-info [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ssh server-info命令用来在SSH客户端显示客户端保存的服务器端的主机公钥和服务器的对应关系。

SSH客户端需要认证服务器时,以本地保存的服务器端的主机公钥对连接的服务器进行认证。如果认证不成功,可以通过display ssh server-info命令查看服务器是否与正确的公钥对应。

相关配置可参考命令ssh client authentication server

说明

该命令也可在SFTP客户端使用。

 

【举例】

# 显示客户端保存的服务器端的主机公钥和服务器的对应关系。

<Sysname> display ssh server-info

Server Name(IP)                 Server public key name

______________________________________________________

192.168.0.1                      abc_key01

192.168.0.2                      abc_key02

表1-4 display ssh server-info显示信息描述表

字段

描述

Server Name(IP)

服务器名称或者IP地址

Server public key name

服务器端的主机公钥名称

 

1.2.3  ssh client authentication server

【命令】

ssh client authentication server server assign publickey keyname

undo ssh client authentication server server assign publickey

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

server:服务器的IP地址或名称,为1~80个字符的字符串。

assign publickey keyname:指定服务器端的主机公钥。keyname表示主机公钥名称,为1~64个字符的字符串。

【描述】

ssh client authentication server命令用来在客户端上指定要连接的服务器端的主机公钥名称,以便客户端判断认证连接的服务器是否为可信赖的服务器。undo ssh client authentication server命令用来取消在客户端上指定要连接的服务器端的主机公钥。

缺省情况下,客户端不指定要连接的服务器端的主机公钥名称,而是在客户端登录服务器的时候使用登录服务器时所用的IP地址或主机名作其对应的公钥名称。

如果客户端不支持首次认证,客户端将拒绝访问未经认证的服务器。此时,需要在客户端配置服务器端的公钥,并指定该公钥与服务器端的对应关系,以便在客户端对连接的服务器端进行认证时,能够根据该对应关系使用正确的公钥对服务器端进行认证。

需要注意的是,指定的服务器端的主机公钥必须已经存在。

相关配置可参考命令ssh client first-time enable

【举例】

# 服务器的IP地址为192.168.0.1,在客户端指定该服务器的公钥名称为key1。

<Sysname> system-view

[Sysname] ssh client authentication server 192.168.0.1 assign publickey key1

1.2.4  ssh client dscp

【命令】

ssh client dscp dscp-value

undo ssh client dscp

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dscp-value:报文的DSCP优先级,取值范围为0~63。

【描述】

ssh client dscp命令用来配置SSH客户端发送IPv4报文的DSCP优先级。undo ssh client dscp命令用来恢复缺省情况。

缺省情况下,SSH客户端发送IPv4报文的DSCP优先级为16。

【举例】

# 配置SSH客户端发送IPv4报文的DSCP优先级为30。

<Sysname> system-view

[Sysname] ssh client dscp 30

1.2.5  ssh client first-time

【命令】

ssh client first-time [ enable ]

undo ssh client first-time

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

enable:使能SSH客户端对访问的SSH服务器进行首次认证。如果不指定该参数,也可以使能SSH客户端对访问的SSH服务器进行首次认证。

【描述】

ssh client first-time命令用来设置SSH客户端对访问的SSH服务器进行首次认证。undo ssh client first-time命令用来取消SSH客户端对访问的SSH服务器进行首次认证。

缺省情况下,客户端进行首次认证。

所谓首次认证,是指当SSH客户端首次访问服务器,而客户端没有配置服务器端的公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器。

如果不支持首次认证,则当客户端没有配置服务器端的公钥时,客户端将被拒绝访问该服务器。用户必须事先通过其它途径将要访问的服务器端的主机公钥配置在本地,同时指定要连接的服务器端的主机公钥名称,以便客户端认证连接的服务器是否为可信赖的服务器。

需要注意的是,由于服务器端可能会定期更新密钥对,为保证服务器认证成功,客户端需要及时获取最新的服务器主机公钥。

【举例】

# 设置SSH客户端对访问的SSH服务器进行首次认证。

<Sysname> system-view

[Sysname] ssh client first-time enable

1.2.6  ssh client ipv6 dscp

【命令】

ssh client ipv6 dscp dscp-value

undo ssh client ipv6 dscp

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dscp-value:报文的DSCP优先级,取值范围为0~63。

【描述】

ssh client ipv6 dscp命令用来配置SSH客户端发送IPv6报文的DSCP优先级。undo ssh client ipv6 dscp命令用来恢复缺省情况。

缺省情况下,SSH客户端发送IPv6报文的DSCP优先级为0。

【举例】

# 配置SSH客户端发送IPv6报文的DSCP优先级为30。

<Sysname> system-view

[Sysname] ssh client ipv6 dscp 30

1.2.7  ssh client ipv6 source

【命令】

ssh client ipv6 source { ipv6 ipv6-address | interface interface-type interface-number }

undo ssh client ipv6 source

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

ipv6 ipv6-address:源IPv6地址。

interface interface-type interface-number:源接口类型与源接口编号。

【描述】

ssh client ipv6 source命令用来为SSH客户端指定源IPv6地址或源接口。undo ssh client ipv6 source命令用来清除指定的源IPv6地址或源接口。

缺省情况下,客户端用设备路由指定的接口地址访问SSH服务器。

为保证SSH客户端与SSH服务器通信链路的可达性,以及增加认证业务对SSH客户端的可管理性,通常建议指定Loopback接口作为源接口。

相关配置可参考命令display ssh client source

【举例】

# 指定SSH客户端的源IPv6地址为2:2::2:2。

<Sysname> system-view

[Sysname] ssh client ipv6 source ipv6 2:2::2:2

1.2.8  ssh client source

【命令】

ssh client source { ip ip-address | interface interface-type interface-number }

undo ssh client source

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

ip ip-address:源IPv4地址。

interface interface-type interface-number:源接口类型与源接口编号。

【描述】

ssh client source命令用来为SSH客户端指定源IPv4地址或源接口。undo ssh client source命令用来清除指定的源IPv4地址或源接口。

缺省情况下,客户端用设备路由指定的接口地址访问SSH服务器。

为保证SSH客户端与SSH服务器通信链路的可达性,以及增加认证业务对SSH客户端的可管理性,通常建议指定Loopback接口作为源接口。

相关配置可参考命令display ssh client source

【举例】

# 指定SSH客户端的源IPv4地址为192.168.0.1。

<Sysname> system-view

[Sysname] ssh client source ip 192.168.0.1

1.2.9  ssh2

【命令】

非FIPS模式下:

ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *

FIPS模式下:

ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa | rsa } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14  | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *

【视图】

用户视图

【缺省级别】

0:访问级

【参数】

server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为0~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果服务器位于公网中,则无需指定本参数。

identity-key:publickey认证采用的公钥算法,缺省算法为dsa

dsa:公钥算法为DSA。

ecdsa:公钥算法为ECDSA。

rsa:公钥算法为RSA。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128

3des:3des-cbc加密算法。

aes128:aes128-cbc加密算法。

aes256:aes256-cbc加密算法。

des:des-cbc加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96

md5:HMAC算法hmac-md5。

md5-96:HMAC算法hmac-md5-96。

sha1:HMAC算法hmac-sha1。

sha1-96:HMAC算法hmac-sha1-96。

prefer-kex:密钥交换首选算法,非FIPS模式下,缺省算法为dh-group-exchange;FIPS模式下,缺省算法为dh-group14

dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。

dh-group1:密钥交换算法diffie-hellman-group1-sha1。

dh-group14:密钥交换算法diffie-hellman-group14-sha1。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96

【描述】

ssh2命令用来建立SSH客户端和IPv4服务器端的连接,并指定公钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法。

需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用RSA、DSA或ECDSA加密算法,所以需要用identity-key关键字指定客户端采用的加密算法,才能得到正确的本地私钥数据。

【举例】

# 登录地址为10.214.50.51的远程SSH2服务器,采用如下连接策略:

·     首选密钥交换算法为dh-group1

·     服务器到客户端的首选加密算法为aes128

·     客户端到服务器的首选HMAC算法为md5

·     服务器到客户端的HMAC算法为sha1-96

<Sysname> ssh2 10.214.50.51 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96

1.2.10  ssh2 ipv6

【命令】

非FIPS模式下:

ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *

FIPS模式下:

ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa | rsa } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14  | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *

【视图】

用户视图

【缺省级别】

0:访问级

【参数】

server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。

port-number:服务器的端口号,取值范围为0~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果服务器位于公网中,则无需指定本参数。

identity-key:publickey认证采用的公钥算法,缺省算法为dsa

dsa:公钥算法为DSA。

ecdsa:公钥算法为ECDSA。

rsa:公钥算法为RSA。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128

3des:3des-cbc加密算法。

aes128:aes128-cbc加密算法。

aes256:aes256-cbc加密算法。

des:des-cbc加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96

md5:HMAC算法hmac-md5。

md5-96:HMAC算法hmac-md5-96。

sha1:HMAC算法hmac-sha1。

sha1-96:HMAC算法hmac-sha1-96。

prefer-kex:密钥交换首选算法,非FIPS模式下,缺省算法为dh-group-exchange;FIPS模式下,缺省算法为dh-group14

dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。

dh-group1:密钥交换算法diffie-hellman-group1-sha1。

dh-group14:密钥交换算法diffie-hellman-group14-sha1。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96

【描述】

ssh2 ipv6命令用来建立SSH客户端和IPv6服务器端的连接,并指定公钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法。

需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用RSA、DSA或ECDSA加密算法,所以需要用identity-key关键字指定客户端采用的加密算法,才能得到正确的本地私钥数据。

【举例】

# 登录地址为2000::1的远程SSH2服务器,具体加密算法配置如下:

·     首选密钥交换算法为dh-group1

·     服务器到客户端的首选加密算法为aes128

·     客户端到服务器的首选HMAC算法为md5

·     服务器到客户端的HMAC算法为sha1-96

<Sysname> ssh2 ipv6 2000::1 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96


2 SFTP配置命令

说明

设备运行于FIPS模式时,本特性的部分配置命令相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

 

2.1  SFTP服务器端配置命令

2.1.1  sftp server enable

【命令】

sftp server enable

undo sftp server enable

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

【描述】

sftp server enable命令用来启动SFTP服务器。undo sftp server enable命令用来关闭SFTP服务器。

缺省情况下,SFTP服务器处于关闭状态。

相关配置可参考命令display ssh server

【举例】

# 启动SFTP服务器。

<Sysname> system-view

[Sysname] sftp server enable

2.1.2  sftp server idle-timeout

【命令】

sftp server idle-timeout time-out-value

undo sftp server idle-timeout

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

time-out-value:超时时间,取值范围为1~35791,单位为分钟。

【描述】

sftp server idle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间。undo sftp server idle-timeout命令用来恢复缺省情况。

缺省情况下,SFTP用户连接的空闲超时时间为10分钟。

当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作。若同一时间内并发的SFTP连接数较多,可适当减小该值,及时释放系统资源给新用户接入。

相关配置可参考命令display ssh server

【举例】

# 设置SFTP用户连接的空闲超时时间为500分钟。

<Sysname> system-view

[Sysname] sftp server idle-timeout 500

2.2  SFTP客户端配置命令

2.2.1  bye

【命令】

bye

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

【描述】

bye命令用来终止与远程SFTP服务器的连接,并退回到用户视图。

该命令功能与exitquit相同。

【举例】

# 终止与远程SFTP服务器的连接。

sftp-client> bye

Bye

Connection closed.

<Sysname>

2.2.2  cd

【命令】

cd [ remote-path ]

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

remote-path:服务器上的路径名。

【描述】

cd命令用来改变远程SFTP服务器上的工作路径。

如果没有指定remote-path,则显示当前工作路径。

说明

·     命令“cd ..”用来返回到上一级目录。

·     命令“cd /”用来返回到系统的根目录。

 

【举例】

# 改变工作路径到new1。

sftp-client> cd new1

Current Directory is:

/new1

2.2.3  cdup

【命令】

cdup

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

【描述】

cdup命令用来返回到上一级目录。

【举例】

# 从当前工作目录/new1返回到上一级目录。

sftp-client> cdup

Current Directory is:

/

2.2.4  delete

【命令】

delete remote-file&<1-10>

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

remote-file&<1-10>:服务器上的文件名。&<1-10>表示最多可以输入10个文件名,每个文件名之间用空格分隔。

【描述】

delete命令用来删除SFTP服务器上指定的文件。

该命令和remove功能相同。

【举例】

# 删除服务器上的文件temp.c。

sftp-client> delete temp.c

The following files will be deleted:

/temp.c

Are you sure to delete it? [Y/N]:y

This operation may take a long time.Please wait...

 

File successfully Removed

2.2.5  dir

【命令】

dir [ -a | -l ] [ remote-path ]

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

-a:显示指定目录下文件及文件夹的名称。

-l:以列表的形式显示指定目录下文件及文件夹的详细信息。

remote-path:查询的目录名。

【描述】

dir命令用来显示指定目录下文件及文件夹的信息。

如果没有指定-a-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息。

如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。

该命令功能与ls相同。

【举例】

# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。

sftp-client> dir

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey1

-rwxrwxrwx   1 noone    nogroup       225 Sep 28 08:28 pub1

drwxrwxrwx   1 noone    nogroup         0 Sep 28 08:24 new1

drwxrwxrwx   1 noone    nogroup         0 Sep 28 08:18 new2

-rwxrwxrwx   1 noone    nogroup       225 Sep 28 08:30 pub2

2.2.6  display sftp client source

【命令】

display sftp client source [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display sftp client source命令用来显示当前为SFTP客户端设置的源IP地址或者源接口。

如果没有为SFTP客户端指定源地址和源接口,则提示尚未指定。

相关配置可参考命令sftp client source

【举例】

# 显示SFTP客户端的源IP地址。

<Sysname> display sftp client source

The source IP address you specified is 192.168.0.1

2.2.7  exit

【命令】

exit

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

【描述】

exit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。

该命令功能与byequit相同。

【举例】

# 终止与远程SFTP服务器的连接。

sftp-client> exit

Bye

Connection closed.

<Sysname>

2.2.8  get

【命令】

get remote-file [ local-file ]

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

remote-file:远程SFTP服务器上的文件名。

local-file:本地文件名。

【描述】

get命令用来从远程服务器上下载文件并存储在本地。

如果没有指定本地文件名,则认为本地文件与远程SFTP服务器上的文件同名。

【举例】

# 下载远程服务器上的temp1.c文件,并以文件名temp.c在本地保存。

sftp-client> get temp1.c temp.c

Remote  file:/temp1.c --->  Local file: temp.c

Downloading file successfully ended

2.2.9  help

【命令】

help [ all | command-name ]

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

all:显示所有命令的名字。

command-name:命令名。

【描述】

help命令用来显示SFTP客户端命令的帮助信息。

如果没有指定参数,系统将显示所有命令的名字。

【举例】

# 查看命令get的帮助信息。

sftp-client> help get

get remote-path [local-path]  Download file.Default local-path is the same

                              as remote-path

2.2.10  ls

【命令】

ls [ -a | -l ] [ remote-path ]

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

-a:显示指定目录下文件及文件夹的名称。

-l:以列表的形式显示指定目录下文件及文件夹的详细信息。

remote-path:查询的目录名。

【描述】

ls命令用来显示指定目录下文件及文件夹的信息。

如果没有指定-a-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息。

如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。

该命令功能与dir相同。

【举例】

# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。

sftp-client> ls

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey1

-rwxrwxrwx   1 noone    nogroup       225 Sep 28 08:28 pub1

drwxrwxrwx   1 noone    nogroup         0 Sep 28 08:24 new1

drwxrwxrwx   1 noone    nogroup         0 Sep 28 08:18 new2

-rwxrwxrwx   1 noone    nogroup       225 Sep 28 08:30 pub2

2.2.11  mkdir

【命令】

mkdir remote-path

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

remote-path:远程SFTP服务器上的目录名。

【描述】

mkdir命令用来在远程SFTP服务器上创建新的目录。

【举例】

# 在远程SFTP服务器上建立目录test。

sftp-client> mkdir test

New directory created

2.2.12  put

【命令】

put local-file [ remote-file ]

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

local-file:本地的文件名。

remote-file:远程SFTP服务器上的文件名。

【描述】

put命令用来将本地的文件上传到远程SFTP服务器。

如果没有指定远程服务器上的文件名,则认为服务器上的文件与本地文件同名。

【举例】

# 将本地temp.c文件上传到远程SFTP服务器,并以temp1.c文件名保存。

sftp-client> put temp.c temp1.c

Local file:temp.c --->  Remote file: /temp1.c

Uploading file successfully ended

2.2.13  pwd

【命令】

pwd

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

【描述】

pwd命令用来显示远程SFTP服务器上的当前工作目录。

【举例】

# 显示远程SFTP服务器上的当前工作目录。

sftp-client> pwd

/

2.2.14  quit

【命令】

quit

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

【描述】

quit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。

该命令功能与byeexit相同。

【举例】

# 终止与远程SFTP服务器的连接。

sftp-client> quit

Bye

Connection closed.

<Sysname>

2.2.15  remove

【命令】

remove remote-file&<1-10>

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

remote-file&<1-10>:服务器上的文件名。&<1-10>表示最多可以输入10个文件名,每个文件名之间用空格分隔。

【描述】

remove命令用来删除SFTP服务器上指定的文件。

该命令和delete功能相同。

【举例】

# 删除服务器上的文件temp.c。

sftp-client> remove temp.c

The following files will be deleted:

/temp.c

Are you sure to delete it? [Y/N]:y

This operation may take a long time.Please wait...

 

File successfully Removed

2.2.16  rename

【命令】

rename oldname newname

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

oldname:原文件名或者目录名。

newname:新文件名或者目录名。

【描述】

rename命令用来改变SFTP服务器上指定的文件或者目录的名字。

【举例】

# 将SFTP服务器上的文件temp1.c改名为temp2.c。

sftp-client> rename temp1.c temp2.c

File successfully renamed

2.2.17  rmdir

【命令】

rmdir remote-path&<1-10>

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

remote-path&<1-10>:远程SFTP服务器上的目录名。&<1-10>表示最多可以输入10个目录名,每个文件名之间用空格分隔。

【描述】

rmdir命令用来删除SFTP服务器上指定的目录。

【举例】

# 删除SFTP服务器上当前工作目录下的temp1目录。

sftp-client> rmdir temp1

Directory successfully removed

2.2.18  sftp

【命令】

非FIPS模式下:

sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *

FIPS模式下:

sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa | rsa } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14  | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *

【视图】

用户视图

【缺省级别】

3:管理级

【参数】

server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为0~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果服务器位于公网中,则无需指定本参数。

identity-key:publickey认证采用的公钥算法,缺省算法为dsa

dsa:公钥算法为DSA。

ecdsa:公钥算法为ECDSA。

rsa:公钥算法为RSA。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128

3des:3des-cbc加密算法。

aes128:aes128-cbc加密算法。

aes256:aes256-cbc加密算法。

des:des-cbc加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96

md5:HMAC算法hmac-md5。

md5-96:HMAC算法hmac-md5-96。

sha1:HMAC算法hmac-sha1。

sha1-96:HMAC算法hmac-sha1-96。

prefer-kex:密钥交换首选算法,非FIPS模式下,缺省算法为dh-group-exchange;FIPS模式下,缺省算法为dh-group14

dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。

dh-group1:密钥交换算法diffie-hellman-group1-sha1。

dh-group14:密钥交换算法diffie-hellman-group14-sha1。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96

【描述】

sftp命令用来与远程IPv4 SFTP服务器建立连接,并进入SFTP客户端视图。

需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用RSA、DSA或ECDSA加密算法,所以需要用identity-key关键字指定客户端采用的加密算法,才能得到正确的本地私钥数据。

【举例】

# 连接IP地址为10.1.1.2的SFTP服务器,采用如下连接策略:

首选密钥交换算法为dh-group1

服务器到客户端的首选加密算法为aes128

客户端到服务器的首选HMAC算法为md5

服务器到客户端的HMAC算法为sha1-96

<Sysname> sftp 10.1.1.2 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96

Input Username:

2.2.19  sftp client dscp

【命令】

sftp client dscp dscp-value

undo sftp client dscp

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dscp-value:报文的DSCP优先级,取值范围为0~63。

【描述】

sftp client dscp命令用来配置SFTP客户端发送IPv4报文的DSCP优先级。undo sftp client dscp命令用来恢复缺省情况。

缺省情况下,SFTP客户端发送IPv4报文的DSCP优先级为16。

【举例】

# 配置SFTP客户端发送IPv4报文的DSCP优先级为30。

<Sysname> system-view

[Sysname] sftp client dscp 30

2.2.20  sftp client ipv6 dscp

【命令】

sftp client ipv6 dscp dscp-value

undo sftp client ipv6 dscp

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dscp-value:报文的DSCP优先级,取值范围为0~63。

【描述】

sftp client ipv6 dscp命令用来配置SFTP客户端发送IPv6报文的DSCP优先级。undo sftp client ipv6 dscp命令用来恢复缺省情况。

缺省情况下,SFTP客户端发送IPv6报文的DSCP优先级为8。

【举例】

# 配置SFTP客户端发送IPv6报文的DSCP优先级为30。

<Sysname> system-view

[Sysname] sftp client ipv6 dscp 30

2.2.21  sftp client ipv6 source

【命令】

sftp client ipv6 source { ipv6 ipv6-address | interface interface-type interface-number }

undo sftp client ipv6 source

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

ipv6 ipv6-address:源IPv6地址。

interface interface-type interface-number:源接口类型与源接口编号。

【描述】

sftp client ipv6 source命令用来为SFTP客户端指定源IPv6地址或源接口。undo sftp client ipv6 source命令用来取消指定的源IPv6地址或源接口。

缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器。

为保证SFTP客户端与SFTP服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口作为源接口

相关配置可参考命令display sftp client source

【举例】

# 指定SFTP客户端的源IPv6地址为2:2::2:2。

<Sysname> system-view

[Sysname] sftp client ipv6 source ipv6 2:2::2:2

2.2.22  sftp client source

【命令】

sftp client source { ip ip-address | interface interface-type interface-number }

undo sftp client source

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

ip ip-address:源IPv4地址。

interface interface-type interface-number:源接口类型与源接口编号。

【描述】

sftp client source命令用来为SFTP客户端指定源IPv4地址或源接口。undo sftp client source命令用来取消指定的源IPv4地址或源接口。

缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器。

为保证SFTP客户端与SFTP服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口作为源接口。

相关配置可参考命令display sftp client source

【举例】

# 指定SFTP客户端的源IP地址为192.168.0.1。

<Sysname> system-view

[Sysname] sftp client source ip 192.168.0.1

2.2.23  sftp ipv6

【命令】

非FIPS模式下:

sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *

FIPS模式下:

sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa | rsa } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14  | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *

【视图】

用户视图

【缺省级别】

3:管理级

【参数】

server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。

port-number:服务器的端口号,取值范围为0~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果服务器位于公网中,则无需指定本参数。

identity-key:publickey认证采用的公钥算法,缺省算法为dsa

dsa:公钥算法为DSA。

ecdsa:公钥算法为ECDSA。

rsa:公钥算法为RSA。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128

3des:3des-cbc加密算法。

aes128:aes128-cbc加密算法。

aes256:aes256-cbc加密算法。

des:des-cbc加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96

md5:HMAC算法hmac-md5。

md5-96:HMAC算法hmac-md5-96。

sha1:HMAC算法hmac-sha1。

sha1-96:HMAC算法hmac-sha1-96。

prefer-kex:密钥交换首选算法,非FIPS模式下,缺省算法为dh-group-exchange;FIPS模式下,缺省算法为dh-group14

dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。

dh-group1:密钥交换算法diffie-hellman-group1-sha1。

dh-group14:密钥交换算法diffie-hellman-group14-sha1。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96

【描述】

sftp ipv6命令用来与远程IPv6 SFTP服务器建立连接,并进入SFTP客户端视图。

需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用RSA、DSA或ECDSA加密算法,所以需要用identity-key关键字指定客户端采用的加密算法,才能得到正确的本地私钥数据。

【举例】

# 连接IPv6地址为2:5::8:9的SFTP服务器,采用如下连接策略:

首选密钥交换算法为dh-group1

服务器到客户端的首选加密算法为aes128

客户端到服务器的首选HMAC算法为md5

服务器到客户端的HMAC算法为sha1-96

<Sysname> sftp ipv6 2:5::8:9 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96

Input Username:


3 SCP配置命令

说明

设备运行于FIPS模式时,本特性的配置命令相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

 

3.1  SCP客户端配置命令

3.1.1  scp

【命令】

非FIPS模式下:

scp [ ipv6 ] server [ port-number ] { get | put } source-file-path [ destination-file-path ]  [ identity-key { dsa | ecdsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } | username username password password ] *

FIPS模式下:

scp [ ipv6 ] server [ port-number ] { get | put } source-file-path [ destination-file-path ]  [ identity-key { ecdsa | rsa } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } | username username password password ] *

【视图】

用户视图

【缺省级别】

3:管理级

【参数】

ipv6:指定为IPv6服务器。若不指定该参数,则为IPv4服务器。

server:服务器的IP地址或主机名称。指定为IPv4服务器时,server为1~20个字符的字符串,不区分大小写;指定为IPv6服务器时,server为1~46个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为0~65535,缺省值为22。

identity-key:publickey认证采用的公钥算法,缺省算法为dsa

dsa:公钥算法为DSA。

ecdsa:公钥算法为ECDSA。

rsa:公钥算法为RSA。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128

3des:3des-cbc加密算法。

aes128:aes128-cbc加密算法。

aes256:aes256-cbc加密算法。

des:des-cbc加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96

md5:HMAC算法hmac-md5。

md5-96:HMAC算法hmac-md5-96。

sha1:HMAC算法hmac-sha1。

sha1-96:HMAC算法hmac-sha1-96。

prefer-kex:密钥交换首选算法,非FIPS模式下,缺省算法为dh-group-exchange;FIPS模式下,缺省算法为dh-group14

dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。

dh-group1:密钥交换算法diffie-hellman-group1-sha1。

dh-group14:密钥交换算法diffie-hellman-group14-sha1。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96

username username password password:指定SCP客户端的登录用户名和密码,其中username为用户名,取值为1~80个字符的字符串,区分大小写;password为明文密码,取值为1~63个字符的字符串。

【描述】

scp命令用来与远程SCP服务器进行文件传输。

需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用RSA、DSA或ECDSA加密算法,所以需要用identity-key关键字指定客户端采用的加密算法,才能得到正确的本地私钥数据。

【举例】

# 与IP地址为192.168.0.1的远程SCP服务器建立连接,并下载远端的remote.bin文件,下载到本地后更名为local.bin。

<Sysname> scp 192.168.0.1 get remote.bin local.bin

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们