• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-安全配置指导

11-SSH配置

本章节下载 11-SSH配置  (690.99 KB)

11-SSH配置

  录

1 SSH

1.1 SSH简介

1.1.1 SSH工作过程

1.1.2 SSH认证方式

1.1.3 SSH支持Suite B

1.2 配置SSH服务器

1.2.1 SSH服务器配置任务简介

1.2.2 生成本地DSA、ECDSA或RSA密钥对

1.2.3 开启Stelnet服务器功能

1.2.4 开启SFTP服务器功能

1.2.5 开启SCP服务器功能

1.2.6 开启NETCONF over SSH服务器功能

1.2.7 配置SSH客户端登录时使用的用户线

1.2.8 配置客户端的公钥

1.2.9 配置SSH用户

1.2.10 配置SSH管理功能

1.2.11 配置SSH服务器所属的PKI域

1.2.12 配置SSH服务端口号

1.2.13 释放已建立的SSH连接

1.3 配置Stelnet客户端

1.3.1 Stelnet客户端配置任务简介

1.3.2 生成本地DSA、ECDSA或RSA密钥对

1.3.3 配置Stelnet客户端发送SSH报文使用的源IP地址

1.3.4 建立与Stelnet服务器的连接

1.3.5 Stelnet客户端删除保存在公钥文件中的服务器公

1.3.6 与远程的Stelnet服务器建立基于Suite B算法集的连接

1.4 配置SFTP客户端

1.4.1 SFTP客户端配置任务简介

1.4.2 生成本地DSA、ECDSA或RSA密钥对

1.4.3 配置SFTP客户端发送SFTP报文使用的源IP地址

1.4.4 建立与SFTP服务器的连接

1.4.5 SFTP客户端删除保存在公钥文件中的服务器公钥

1.4.6 与远程的SFTP服务器建立基于Suite B算法集的连接

1.4.7 SFTP目录操作

1.4.8 SFTP文件操作

1.4.9 显示帮助信息

1.4.10 终止与SFTP服务器的连接

1.5 配置SCP客户端

1.5.1 生成本地DSA或RSA密钥对

1.5.2 配置SCP客户端发送SCP报文使用的源IP地址

1.5.3 与远程SCP服务器传输文件

1.5.4 SCP客户端删除保存在公钥文件中的服务器公钥

1.5.5 与远程的SCP服务器建立基于Suite B算法集的连接

1.6 配置SSH2协议算法集

1.6.1 配置SSH2协议密钥交换算法优先列表

1.6.2 配置SSH2协议主机签名算法优先列表

1.6.3 配置SSH2协议加密算法优先列表

1.6.4 配置SSH2协议MAC算法优先列表

1.7 SSH显示和维护

1.8 Stelnet典型配置举例

1.8.1 设备作为Stelnet服务器配置举例(password认证

1.8.2 设备作为Stelnet服务器配置举例(publickey认证)

1.8.3 设备作为Stelnet客户端配置举例(password认证)

1.8.4 设备作为Stelnet客户端配置举例(publickey认证)

1.8.5 设备支持Stelnet Suite B配置举例(128-bit)

1.9 SFTP典型配置举例

1.9.1 设备作为SFTP服务器配置举例(password认证)

1.9.2 设备作为SFTP客户端配置举例(publickey认证)

1.9.3 设备支持SFTP Suite B配置举例(192-bit)

1.10 SCP典型配置举例

1.10.1 SCP文件传输配置举例(password认证)

1.10.2 设备支持SCP Suite B配置举例

1.11 NETCONF over SSH典型配置举例

1.11.1 NETCONF over SSH配置举例(password认证)

 


1 SSH

说明

设备运行于FIPS模式时,本特性的相关配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

 

1.1  SSH简介

SSH是Secure Shell(安全外壳)的简称,是一种在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输等业务的网络安全协议。

SSH协议采用了典型的客户端/服务器模式,并基于TCP协议协商建立用于保护数据传输的会话通道。SSH协议有两个版本,SSH1.x和SSH2.0(本文简称SSH1和SSH2),两者互不兼容。SSH2在性能和安全性方面比SSH1有所提高。

设备既可以支持SSH服务器功能,接受多个SSH客户端的连接,也可以支持SSH客户端功能,允许用户通过设备与远程SSH服务器建立SSH连接。

目前,设备支持以下几种SSH应用。

·     Secure Telnet:简称Stelnet,可提供安全可靠的网络终端访问服务,使得用户可以安全登录到远程设备,且能保护远程设备不受诸如IP地址欺诈、明文密码截取等攻击。设备可支持Stelnet服务器、Stelnet客户端功能。

·     Secure FTP:简称SFTP,基于SSH2,可提供安全可靠的网络文件传输服务,使得用户可以安全登录到远程设备上进行文件管理操作,且能保证文件传输的安全性。设备可支持SFTP服务器、SFTP客户端功能。

·     Secure Copy:简称SCP,基于SSH2,可提供安全的文件复制功能。设备可支持SCP服务器、SCP客户端功能。

·     NETCONF over SSH:基于SSH2,提供通过SSH连接给设备下发NETCONF指令的功能,使得用户可以安全登录到远程设备并直接进入到设备的NETCONF系统中进行配置和管理操作。设备仅支持作为NETCONF over SSH连接的服务器端。关于NETCONF系统的详细介绍,请参见“网络管理和监控配置指导”中的“NETCONF”。

目前,设备作为Stelnet服务器、SFTP服务器、SCP服务器时,非FIPS模式下支持SSH2和SSH1两个版本,FIPS模式下只支持SSH2版本;设备作为SSH客户端时,只支持SSH2版本;设备作为NETCONF over SSH服务器端时,只支持SSH2版本。

1.1.1  SSH工作过程

本小节以SSH2为例介绍SSH工作的过程,具体分为表1-1所述的几个阶段,关于各阶段的详细介绍,请参见“SSH技术白皮书”。

表1-1 SSH工作过程

阶段

说明

连接建立

SSH服务器在22号端口侦听客户端的连接请求,在客户端向服务器端发起连接请求后,双方建立一个TCP连接

版本协商

双方通过版本协商确定最终使用的SSH版本号

算法协商

SSH支持多种算法,双方根据本端和对端支持的算法,协商出最终用于产生会话密钥的密钥交换算法、用于数据信息加密的加密算法、用于进行数字签名和认证的公钥算法,以及用于数据完整性保护的HMAC算法

密钥交换

双方通过DH(Diffie-Hellman Exchange)交换,动态地生成用于保护数据传输的会话密钥和用来标识该SSH连接的会话ID,并完成客户端对服务器端的身份认证

用户认证

SSH客户端向服务器端发起认证请求,服务器端对客户端进行认证

会话请求

认证通过后,SSH客户端向服务器端发送会话请求,请求服务器提供某种类型的服务(目前支持Stelnet、SFTP、SCP、NETCONF),即请求与服务器建立相应的会话

会话交互

会话建立后,SSH服务器端和客户端在该会话上进行数据信息的交互

该阶段,用户在客户端可以通过粘贴文本内容的方式执行命令,但文本会话不能超过2000字节,且粘贴的命令最好是同一视图下的命令,否则服务器可能无法正确执行该命令。如果粘贴的文本会话超过2000字节,可以采用将配置文件通过SFTP方式上传到服务器,利用新的配置文件重新启动的方式执行这些命令

 

1.1.2  SSH认证方式

设备作为SSH服务器可提供以下四种对客户端的认证方式:

·     password认证:利用AAA(Authentication、Authorization、Accounting,认证、授权和计费)对客户端身份进行认证。客户端向服务器发出password认证请求,将用户名和密码加密后发送给服务器;服务器将认证请求解密后得到用户名和密码的明文,通过本地认证或远程认证验证用户名和密码的合法性,并返回认证成功或失败的消息。

·     publickey认证:采用数字签名的方式来认证客户端。目前,设备上可以利用DSA、ECDSA、RSA三种公钥算法实现数字签名。客户端发送包含用户名、公钥和公钥算法或者携带公钥信息的数字证书的publickey认证请求给服务器端。服务器对公钥进行合法性检查,如果合法,则发送消息请求客户端的数字签名;如果不合法,则直接发送失败消息;服务器收到客户端的数字签名之后,使用客户端的公钥对其进行解密,并根据计算结果返回认证成功或失败的消息。

·     password-publickey认证:对于SSH2版本的客户端,要求同时进行password和publickey两种方式的认证,且只有两种认证均通过的情况下,才认为客户端身份认证通过;对于SSH1版本的客户端,只要通过其中任意一种认证即可。

·     any认证:不指定客户端的认证方式,客户端可采用password认证或publickey认证,且只要通过其中任何一种认证即可。

关于AAA以及公钥相关内容的介绍请分别参考“安全配置指导”中的“AAA”和“公钥管理”。

说明

·     客户端进行password认证时,如果远程认证服务器要求用户进行二次密码认证,则会在发送给服务器端的认证回应消息中携带一个提示信息,该提示信息被服务器端透传给客户端,由客户端输出并要求用户再次输入一个指定类型的密码,当用户提交正确的密码并成功通过认证服务器的验证后,服务器端才会返回认证成功的消息。

·     SSH1版本的SSH客户端不支持AAA服务器发起的二次密码认证。

 

1.1.3  SSH支持Suite B

Suite B算法集是一种通用的加密和认证算法集,可满足高级别的安全标准要求。RFC6239(Suite B Cryptographic Suites for Secure Shell (SSH))中定义了SSH支持SuiteB的相关规范,以及SSH服务器和SSH客户端在身份认证时的算法要求、协商过程以及认证过程。SSH服务器和SSH客户端可基于X.509v3证书进行身份认证。

1.2  配置SSH服务器

1.2.1  SSH服务器配置任务简介

表1-2 SSH服务器配置任务简介

配置任务

说明

详细配置

生成本地DSA、ECDSA或RSA密钥对

必选

1.2.2 

开启Stelnet服务器功能

仅对于Stelnet服务器必选

1.2.3 

开启SFTP服务器功能

仅对于SFTP服务器必选

1.2.4 

开启SCP服务器功能

仅对于SCP服务器必选

1.2.5 

开启NETCONF over SSH服务器功能

仅对NETCONF over SSH服务器必选

1.2.6 

配置SSH客户端登录时使用的用户线

仅对Stelnet客户端和NETCONF over SSH客户端必选

1.2.7 

配置客户端的公钥

采用publickey、password-publickey或any认证方式时必选

1.2.8 

配置认证客户端证书的PKI域

采用publickey认证方式且客户端使用证书认证时必选

该PKI域中必须保存了用于认证客户端证书的CA证书

请参见“安全配置指导”中的“PKI配置”

配置SSH用户

采用publickey、password-publickey或any认证方式时必选

采用password认证方式时可选

1.2.9 

配置SSH管理功能

可选

1.2.10 

配置SSH服务器所属的PKI域

可选

1.2.11 

配置SSH服务端口号

可选

1.2.12 

释放已建立的SSH连接

可选

1.2.13 

 

1.2.2  生成本地DSA、ECDSA或RSA密钥对

说明

设备运行于FIPS模式时,服务器端仅支持ECDSA、RSA密钥对,因此请不要生成本地的DSA密钥对,否则会导致用户认证失败。

 

服务器端的DSA、ECDSA或RSA密钥对有两个用途,其一是用于在密钥交换阶段生成会话密钥和会话ID,另外一个是客户端用它来对连接的服务器进行认证。客户端验证服务器身份时,首先判断服务器发送的公钥与本地保存的服务器公钥是否一致,确认服务器公钥正确后,再使用该公钥对服务器发送的数字签名进行验证。

虽然一个客户端只会采用DSA、ECDSA或RSA公钥算法中的一种来认证服务器,但是由于不同客户端支持的公钥算法不同,为了确保客户端能够成功登录服务器,建议在服务器上同时生成DSA、ECDSA和RSA三种密钥对。

·     生成RSA密钥对时,将同时生成两个密钥对——服务器密钥对和主机密钥对。SSH1利用SSH服务器端的服务器公钥加密会话密钥,以保证会话密钥传输的安全;SSH2通过DH算法在SSH服务器和SSH客户端上生成会话密钥,不需要传输会话密钥,因此SSH2中没有利用服务器密钥对。

·     生成DSA密钥对时,只生成一个主机密钥对。SSH1不支持DSA算法。

·     生成ECDSA密钥对时,只生成一个主机密钥对。

服务器端生成本地DSA、ECDSA或RSA密钥对,需要注意的是:

·     SSH仅支持默认名称的本地DSA或RSA密钥对,不支持指定名称的本地DSA或RSA密钥对。关于密钥对生成命令的相关介绍请参见“安全命令参考”中的“公钥管理”。

·     生成DSA密钥对时,要求输入的密钥模数的长度必须小于2048比特。

·     SSH服务器支持secp256r1和secp384r1类型的ECDSA密钥对。

需要注意的是,如果服务器端不存在默认名称的本地RSA密钥对,则在服务器端执行SSH服务器相关命令行时(包括开启Stelnet/SFTP/SCP/NETCONF over SSH服务器、配置SSH用户、以及配置SSH服务器端的管理功能),系统会自动生成一个默认名称的本地RSA密钥对。

表1-3 生成本地DSA、ECDSA或RSA密钥对

操作

命令

说明

进入系统视图

system-view

-

生成本地DSA、ECDSA或RSA密钥对

public-key local create { dsa | ecdsa { secp256r1 | secp384r1 } | rsa }

缺省情况下,不存在任何DSA、ECDSA、RSA密钥对

 

1.2.3  开启Stelnet服务器功能

该配置任务用于开启设备上的Stelnet服务器功能,使客户端能采用Stelnet的方式登录到设备。

表1-4 开启Stelnet服务器功能

操作

命令

说明

进入系统视图

system-view

-

开启Stelnet服务器功能

ssh server enable

缺省情况下,Stelnet服务器功能处于关闭状态

 

1.2.4  开启SFTP服务器功能

该配置任务用于开启设备上的SFTP服务器功能,使客户端能采用SFTP的方式登录到设备。

设备作为SFTP服务器时,不支持SSH1版本的客户端发起的SFTP连接。

表1-5 开启SFTP服务器功能

操作

命令

说明

进入系统视图

system-view

-

开启SFTP服务器功能

sftp server enable

缺省情况下,SFTP服务器处于关闭状态

 

1.2.5  开启SCP服务器功能

该配置任务用于开启设备上的SCP服务器功能,使客户端能采用SCP的方式登录到设备。

设备作为SCP服务器时,不支持SSH1版本的客户端发起的SCP连接。

表1-6 开启SCP服务器功能

操作

命令

说明

进入系统视图

system-view

-

开启SCP服务器功能

scp server enable

缺省情况下,SCP服务器处于关闭状态

 

1.2.6  开启NETCONF over SSH服务器功能

该配置任务用于开启设备上的NETCONF over SSH服务器功能,使得客户端能够使用支持NETCONF over SSH连接的客户端配置工具给设备下发NETCONF指令来实现对设备的访问。

设备作为NETCONF over SSH服务器时,不支持SSH1版本的客户端发起的SSH连接。

表1-7 开启NETCONF over SSH服务器功能

操作

命令

说明

进入系统视图

system-view

-

开启NETCONF over SSH服务器功能

netconf ssh server enable

缺省情况下,NETCONF over SSH服务器处于关闭状态

关于NETCONF over SSH服务器相关命令的详细介绍,请见“网络管理和监控命令参考”中的“NETCONF”

 

1.2.7  配置SSH客户端登录时使用的用户线

设备支持的SSH客户端根据不同的应用可分为:Stelnet客户端、SFTP客户端、SCP客户端和NETCONF over SSH客户端。

·     Stelnet客户端和NETCONF over SSH客户端通过VTY(Virtual Type Terminal,虚拟类型终端)用户线访问设备。因此,需要配置客户端登录时采用的VTY用户线,使其支持SSH远程登录协议。配置将在客户端下次登录时生效

·     SFTP客户端和SCP客户端不通过用户线访问设备,不需要配置登录时采用的VTY用户线。

表1-8 配置SSH客户端登录时使用的用户线

操作

命令

说明

进入系统视图

system-view

-

进入VTY用户线视图

line vty number [ ending-number ]

-

配置登录用户线的认证方式为scheme方式

authentication-mode scheme

缺省情况下,用户线认证为password方式

该命令的详细介绍,请参见“基础配置命令参考”中的“登录设备”

 

1.2.8  配置客户端的公钥

服务器在采用publickey方式验证客户端身份时,首先比较客户端发送的SSH用户名、主机公钥是否与本地配置的SSH用户名以及相应的客户端主机公钥一致,在确认用户名和客户端主机公钥正确后,对客户端发送的数字签名进行验证,该签名是客户端利用主机公钥对应的私钥计算出的。因此,在采用publickey、password-publickey或any认证方式时,需要在服务器端配置客户端的DSA、ECDSA或RSA主机公钥,并在客户端为该SSH用户指定与主机公钥对应的DSA、ECDSA或RSA主机私钥(若设备作为客户端,则在向服务器发起连接时通过指定公钥算法来实现)。

服务器端可以通过手工配置和从公钥文件中导入两种方式来配置客户端的公钥:

·     手工配置:事先在客户端上通过显示命令或其它方式查看其公钥信息,并记录客户端主机公钥的内容,然后采用手工输入的方式将客户端的公钥配置到服务器上。手工输入远端主机公钥时,可以逐个字符输入,也可以一次拷贝粘贴多个字符。这种方式要求手工输入或拷贝粘贴的主机公钥必须是未经转换的DER(Distinguished Encoding Rules,特异编码规则)公钥编码格式。

·     从公钥文件中导入:事先将客户端的公钥文件保存到服务器上(例如,通过FTP或TFTP,以二进制方式将客户端的公钥文件保存到服务器),服务器从本地保存的该公钥文件中导入客户端的公钥。导入公钥时,系统会自动将客户端公钥文件转换为PKCS(Public Key Cryptography Standards,公共密钥加密标准)编码形式。

手工配置客户端的公钥时,输入的主机公钥必须满足一定的格式要求。通过display public-key local public命令显示的公钥可以作为输入的公钥内容;通过其他方式(如public-key local export命令)显示的公钥可能不满足格式要求,导致主机公钥保存失败。因此,建议选用从公钥文件导入的方式配置远端主机的公钥。

SSH服务器上配置的SSH客户端公钥数目建议不要超过20个。

表1-9 手工配置客户端的公钥

操作

命令

说明

进入系统视图

system-view

-

进入公钥视图

public-key peer keyname

-

配置客户端的公钥

逐个字符输入或拷贝粘贴公钥内容

在输入公钥内容时,字符之间可以有空格,也可以按回车键继续输入数据, 保存公钥数据时,将删除空格和回车符

具体介绍请参见“安全配置指导”中的“公钥管理”

退回系统视图

peer-public-key end

-

 

表1-10 从公钥文件中导入客户端的公钥

操作

命令

说明

进入系统视图

system-view

-

从公钥文件中导入远端客户端的公钥

public-key peer keyname import sshkey filename

-

 

1.2.9  配置SSH用户

本配置用于创建SSH用户,并指定SSH用户的服务类型、认证方式以及对应的客户端公钥或数字证书。SSH用户的配置与服务器端采用的认证方式有关,具体如下:

·     如果服务器采用了publickey认证,则必须在设备上创建相应的SSH用户,以及同名的本地用户(用于下发授权属性:工作目录、用户角色)。

·     如果服务器采用了password认证,则必须在设备上创建相应的本地用户(适用于本地认证),或在远程服务器(如RADIUS服务器,适用于远程认证)上创建相应的SSH用户。这种情况下,并不需要通过本配置创建相应的SSH用户,如果创建了SSH用户,则必须保证指定了正确的服务类型以及认证方式。

·     如果服务器采用了password-publickey或any认证,则必须在设备上创建相应的SSH用户,以及在设备上创建同名的本地用户(适用于本地认证)或者在远程认证服务器上创建同名的SSH用户(如RADIUS服务器,适用于远程认证)。

配置SSH用户时,需要注意:

·     SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关。通过publickey或password-publickey认证登录服务器的用户使用的工作目录均为对应的本地用户视图下为该用户设置的工作目录;通过password认证登录服务器的用户,使用的工作目录为通过AAA授权的工作目录。

·     通过publickey或password-publickey认证登录服务器的SSH用户将被授予对应的本地用户视图下指定的用户角色;通过password认证登录服务器的SSH用户将被授予远程AAA服务器或设备本地授权的用户角色。

·     对SSH用户配置的修改,不会影响已经登录的SSH用户,仅对新登录的用户生效。

·     除password认证方式外,其它认证方式下均需要指定客户端的公钥或证书。

¡     对于使用公钥认证的SSH用户,服务器端必须指定客户端的公钥,且指定的公钥必须已经存在,公钥内容的配置请参见“1.2.8  配置客户端的公钥”。

¡     对于使用证书认证的SSH用户,服务器端必须指定用于验证客户端证书的PKI域,PKI域的配置请参见“安全配置指导”中的“PKI域配置”。为保证SSH用户可以成功通过认证,通过ssh userssh server pki-domain命令指定的PKI域中必须存在用于验证客户端证书的CA证书。

·     FIPS模式下,设备作为SSH服务器不支持any认证和publickey认证方式。

关于本地用户以及远程认证的相关配置请参见“安全配置指导”中的“AAA”。

表1-11 配置SSH用户

操作

命令

说明

进入系统视图

system-view

-

创建SSH用户,并指定SSH用户的服务类型和认证方式

非FIPS模式下:

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | { any | password-publickey | publickey } [ assign { pki-domain domain-name | publickey keyname } ] }

FIPS模式下:

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | password-publickey [ assign { pki-domain domain-name | publickey keyname } ] }

SSH服务器上最多可以创建1024个SSH用户

 

1.2.10  配置SSH管理功能

通过配置服务器上的SSH管理功能,可提高SSH连接的安全性。SSH的管理功能包括:

·     设置SSH服务器是否兼容SSH1版本的客户端。

·     设置RSA服务器密钥对的最小更新间隔时间,此配置仅对SSH客户端版本为SSH1的用户有效,SSH的核心是密钥的协商和传输,因此密钥的管理是非常重要的,可灵活设置最小更新间隔时间。

·     设置SSH用户认证的超时时间。为了防止不法用户建立起TCP连接后,不进行接下来的认证,而是空占着进程,妨碍其它合法用户的正常登录,可以设置验证超时时间,如果在规定的时间内没有完成认证就拒绝该连接。

·     设置SSH用户请求连接的认证尝试最大次数,限制登录的重试次数,防止非法用户对用户名和密码进行恶意地猜测和破解。在any认证方式下,SSH客户端通过publickey和password两种方式进行认证尝试的次数总和,不能超过配置的SSH连接认证尝试次数。

·     设置对SSH客户端的访问控制,使用ACL过滤向SSH服务器发起连接的SSH客户端。

·     通过对SSH客户端的访问控制,可限制SSH客户端对设备的访问。此时,通过开启匹配ACL deny规则后打印日志信息功能,设备可以记录匹配deny规则的IP用户的登录日志,用户可以查看非法登录的地址信息。

·     设置SSH服务器向SSH客户端发送的报文的DSCP优先级。DSCP携带在IPv4报文中的ToS字段和IPv6报文中的Trafic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

·     设置SFTP用户连接的空闲超时时间。当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作。

·     设置同时在线的最大SSH用户连接数。系统资源有限,当前在线SSH用户数超过设定的最大值时,系统会拒绝新的SSH连接请求。

表1-12 配置SSH管理功能

操作

命令

说明

进入系统视图

system-view

-

设置SSH服务器兼容SSH1版本的客户端

ssh server compatible-ssh1x enable

缺省情况下,SSH服务器不兼容SSH1版本的客户端

FIPS模式下,不支持本命令

开启SSH算法重协商和密钥重交换功能

ssh server key-re-exchange enable [ interval interval ]

缺省情况下,SSH算法重协商和密钥重交换功能处于关闭状态

FIPS模式下,不支持本命令

本功能的开启和间隔时间变化不影响已存在的SSH连接

设置RSA服务器密钥对的最小更新间隔时间

ssh server rekey-interval interval

缺省情况下,系统不更新RSA服务器密钥对

FIPS模式下,不支持本命令

设置SSH用户的认证超时时间

ssh server authentication-timeout time-out-value

缺省情况下,SSH用户的认证超时时间为60秒

设置SSH认证尝试的最大次数

ssh server authentication-retries retries

缺省情况下,SSH连接认证尝试的最大次数为3次

设置对IPv4 SSH用户的访问控制

ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }

缺省情况下,允许所有IPv4 SSH用户向设备发起SSH访问

设置对IPv6 SSH用户的访问控制

ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }

缺省情况下,允许所有IPv6 SSH用户向设备发起SSH访问

开启匹配ACL deny规则后打印日志信息功能

ssh server acl-deny-log enable

缺省情况下,匹配ACL deny规则后打印日志信息功能处于关闭状态

设置Pv4 SSH服务器向SSH客户端发送的报文的DSCP优先级

ssh server dscp dscp-value

缺省情况下,IPv4 SSH报文的DSCP优先级为48

设置IPv6 SSH服务器向SSH客户端发送的报文的DSCP优先级

ssh server ipv6 dscp dscp-value

缺省情况下,IPv6 SSH报文的DSCP优先级为48

设置SFTP用户连接的空闲超时时间

sftp server idle-timeout time-out-value

缺省情况下,SFTP用户连接的空闲超时时间为10分钟

设置同时在线的最大SSH用户连接数

aaa session-limit ssh max-sessions

缺省的最大SSH用户连接数为32

该值的修改不会对已经在线的用户连接造成影响,只会对新的用户连接生效

关于该命令的详细介绍,请参见“安全命令参考”中的“AAA”

 

1.2.11  配置SSH服务器所属的PKI域

SSH服务器利用所属的PKI域在密钥交换阶段发送证书给客户端,并用它来对连接的客户端进行认证。

表1-13 配置SSH服务器所属的PKI域

操作

命令

说明

进入系统视图

system-view

-

配置SSH服务器所属的PKI域

ssh server pki-domain domain-name

缺省情况下,不存在SSH服务器所属的PKI域

 

1.2.12  配置SSH服务端口号

如果修改端口号前SSH服务是开启的,则修改端口号后系统会自动重启SSH服务,正在访问的用户将被断开,用户需要重新建立SSH连接后才可以继续访问。

如果使用1~1024之间的知名端口号,有可能会导致其他服务启动失败。

表1-14 配置SSH服务端口号

操作

命令

说明

进入系统视图

system-view

-

配置SSH服务端口号

ssh server port port-number

缺省情况下,SSH服务的端口号为22

 

1.2.13  释放已建立的SSH连接

1. 功能简介

系统支持多个SSH用户同时对设备进行配置,当管理员在维护设备时,其他在线SSH用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以强制断开该用户的连接。

2. 配置步骤

表1-15 释放已建立的SSH连接

操作

命令

说明

强制释放已建立的SSH连接

free ssh { username username | user-ip { ip-address | ipv6 ipv6-address } [ port port-number ] | user-pid pid-number }

该命令在用户视图下执行

 

1.3  配置Stelnet客户端

1.3.1  Stelnet客户端配置任务简介

表1-16 Stelnet客户端配置任务简介

配置任务

说明

详细配置

生成本地DSA、ECDSA或RSA密钥对

仅采用publickey、password-publickey或any认证方式时必选

1.3.2 

配置Stelnet客户端发送SSH报文使用的源IP地址

可选

1.3.3 

建立与Stelnet服务器端的连接

必选

1.3.4 

Stelnet客户端删除保存在公钥文件中的服务器公钥

可选

1.3.5 

与远程的Stelnet服务器建立基于Suite B算法集的连接

可选

1.3.6 

 

1.3.2  生成本地DSA、ECDSA或RSA密钥对

说明

设备运行于FIPS模式时,仅支持ECDSA、RSA密钥对。

 

客户端采用publickey、password-publickey或any认证方式时,需要生成本地密钥对。

客户端生成本地DSA、ECDSA或RSA密钥对,需要注意的是:

·     SSH仅支持默认名称的本地DSA或RSA密钥对,不支持指定名称的本地DSA、ECDSA或RSA密钥对。关于密钥对生成命令的相关介绍请参见“安全命令参考”中的“公钥管理”。

·     生成DSA密钥对时,要求输入的密钥模数的长度必须小于2048比特。

·     SSH客户端支持secp256r1和secp384r1类型的ECDSA密钥对。

表1-17 生成本地DSA、ECDSA或RSA密钥对

操作

命令

说明

进入系统视图

system-view

-

生成本地DSA、ECDSA或RSA密钥对

public-key local create { dsa | ecdsa { secp256r1 | secp384r1 } | rsa }

缺省情况下,不存在任何DSA、ECDSA、RSA密钥对

 

1.3.3  配置Stelnet客户端发送SSH报文使用的源IP地址

Stelnet客户端与Stelnet服务器通信时,缺省采用路由决定的源IP地址作为发送报文的源地址。如果使用本配置指定了源IP地址或源接口,则采用该地址与服务器进行通信。为保证Stelnet客户端与Stelnet服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口的IP地址作为源IP地址。

表1-18 配置Stelnet客户端发送SSH报文使用的源IP地址

操作

命令

说明

进入系统视图

system-view

-

配置Stelnet客户端发送SSH报文使用的源IP地址

配置Stelnet客户端发送SSH报文使用的源IPv4地址

ssh client source { interface interface-type interface-number | ip ip-address }

二者必选其一

缺省情况下,IPv4 Stelnet客户端采用设备路由指定的SSH报文出接口主IP地址作为源IP地址;IPv6 Stelnet客户端采用设备自动选择的IPv4地址作为源IP地址

配置Stelnet客户端发送SSH报文使用的源IPv6地址

ssh client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }

 

1.3.4  建立与Stelnet服务器的连接

该配置任务用来启动Stelnet客户端程序,与远程Stelnet服务器建立连接,并指定公钥算法、首选加密算法、首选HMAC算法和首选密钥交换算法等。

Stelnet客户端访问服务器时,需要通过本地保存的服务器端的主机公钥来验证服务器的身份。设备作为Stelnet客户端时,默认支持首次认证,即当Stelnet客户端首次访问服务器,而客户端没有配置服务器端的主机公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器。首次认证在比较安全的网络环境中可以简化客户端的配置,但由于该方式下客户端完全相信服务器公钥的正确性,因此存在一定的安全隐患。

表1-19 建立与Stelnet服务器的连接

操作

命令

说明

与Stelnet服务器端建立连接

与IPv4 Stelnet服务器端建立连接

非FIPS模式下:

ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

FIPS模式下:

ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

二者至少选其一

请在用户视图下执行本命令

与IPv6 Stelnet服务器端建立连接

非FIPS模式下:

ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

FIPS模式下:

ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipheraes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

 

1.3.5  Stelnet客户端删除保存在公钥文件中的服务器公钥

客户端切换到FIPS模式后,如果已经保存的服务器公钥不符合FIPS模式要求,则无法登录到服务器。如果客户端想要重新登录该服务器,则需要执行本配置删除本地文件中的指定服务器公钥,并保证服务器上已经生成了符合FIPS模式要求的公钥。

表1-20 Stelnet客户端删除保存在公钥文件中的服务器公钥

操作

命令

说明

进入系统视图

system-view

-

Stelnet客户端删除保存在公钥文件中的服务器公钥

delete ssh client server-public-key [ server-ip ip-address ]

-

 

1.3.6  与远程的Stelnet服务器建立基于Suite B算法集的连接

该配置任务用来与远程的Stelnet服务器建立基于Suite B算法集的连接。

表1-21 与远程的Stelnet服务器建立基于Suite B算法集的连接

操作

命令

说明

与远程的Stelnet服务器建立基于Suite B算法集的连接

与远程的ipv4 Stelnet服务器建立基于Suite B算法集的连接

ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ip ip-address } ] *

二者至少选其一

请在用户视图下执行本命令

与远程的ipv6 Stelnet服务器建立基于Suite B算法集的连接

ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

 

1.4  配置SFTP客户端

1.4.1  SFTP客户端配置任务简介

表1-22 SFTP客户端配置任务简介

配置任务

说明

详细配置

生成本地DSA、ECDSA或RSA密钥对

仅采用publickey、password-publickey或any认证方式时必选

1.4.2 

配置SFTP客户端发送SFTP报文使用的源IP地址

可选

1.4.3 

建立与SFTP服务器端的连接

必选

1.4.4 

SFTP客户端删除保存在公钥文件中的服务器公钥

可选

1.4.5 

与远程的SFTP服务器建立基于Suite B算法集的连接

可选

1.4.6 

SFTP目录操作

可选

1.4.7 

SFTP文件操作

可选

1.4.8 

显示帮助信息

可选

1.4.9 

终止与SFTP服务器端的连接

可选

1.4.10 

 

1.4.2  生成本地DSA、ECDSA或RSA密钥对

说明

设备运行于FIPS模式时,仅支持RSA、ECDSA密钥对。

 

客户端采用publickey、password-publickey或any认证方式时,需要生成本地密钥对。

客户端生成本地DSA、ECDSA或RSA密钥对,需要注意的是:

·     SSH仅支持默认名称的本地DSA、ECDSA或RSA密钥对,不支持指定名称的本地DSA、ECDSA或RSA密钥对。关于密钥对生成命令的相关介绍请参见“安全命令参考”中的“公钥管理”。

·     生成DSA密钥对时,要求输入的密钥模数的长度必须小于2048比特。

·     SSH客户端支持secp256r1和secp384r1类型的ECDSA密钥对。

表1-23 生成本地DSA、ECDSA或RSA密钥对

操作

命令

说明

进入系统视图

system-view

-

生成本地DSA、ECDSA或RSA密钥对

public-key local create { dsa | ecdsa { secp256r1 | secp384r1 } | rsa }

缺省情况下,不存在任何DSA、ECDSA和RSA密钥对

 

1.4.3  配置SFTP客户端发送SFTP报文使用的源IP地址

SFTP客户端与SFTP服务器通信时,缺省采用路由决定的源IP地址作为发送报文的源地址。如果使用本配置指定了源IP地址或源接口,则采用该地址与服务器进行通信。为保证SFTP客户端与SFTP服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口的IP地址作为源IP地址。

表1-24 配置SFTP客户端发送SFTP报文使用的源IP地址

操作

命令

说明

进入系统视图

system-view

-

配置SFTP客户端发送SFTP报文使用的源IP地址

配置SFTP客户端发送SFTP报文使用的源IPv4地址

sftp client source { ip ip-address | interface interface-type interface-number }

二者必选其一

缺省情况下,IPv4客户端采用设备路由指定的SFTP报文的出接口主iP地址作为源IP地址;IPv6客户端采用设备自动选择的iPv6地址作为源IP地址

配置SFTP客户端发送SFTP报文使用的源IPv6地址

sftp client ipv6 source { ipv6 ipv6-address | interface interface-type interface-number }

 

1.4.4  建立与SFTP服务器的连接

该配置任务用来启动SFTP客户端程序,与远程SFTP服务器建立连接,并指定公钥算法、首选加密算法、首选HMAC算法和首选密钥交换算法等。SFTP客户端与服务器成功建立连接之后,用户即可进入到服务器端上的SFTP客户端视图下进行目录、文件等操作。

SFTP客户端访问服务器时,需要通过本地保存的服务器端的主机公钥来验证服务器的身份。设备作为SFTP客户端时,默认支持首次认证,即当SFTP客户端首次访问服务器,而客户端没有配置服务器端的主机公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器。首次认证在比较安全的网络环境中可以简化客户端的配置,但由于该方式下客户端完全相信服务器公钥的正确性,因此存在一定的安全隐患。

表1-25 建立与SFTP服务器端的连接

操作

命令

说明

与SFTP服务器建立连接,并进入SFTP客户端视图

与IPv4 SFTP服务器建立连接,并进入SFTP客户端视图

非FIPS模式下:

sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-addres} ] *

FIPS模式下:

sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

二者至少选其一

请在用户视图下执行此命令

与IPv6 SFTP服务器建立连接,并进入SFTP客户端视图

非FIPS模式下:

sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-addres} ] *

FIPS模式下:

sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipheraes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-addres} ] *

 

1.4.5  SFTP客户端删除保存在公钥文件中的服务器公钥

客户端切换到FIPS模式后,如果已经保存的服务器公钥不符合FIPS模式要求,则无法登录到服务器。如果客户端想要重新登录该服务器,则需要执行本配置删除本地文件中的指定服务器公钥,并保证服务器上已经生成了符合FIPS模式要求的公钥。

表1-26 SFTP客户端删除保存在公钥文件中的服务器公钥

操作

命令

说明

进入系统视图

system-view

-

SFTP客户端删除保存在公钥文件中的服务器公钥

delete ssh client server-public-key [ server-ip ip-address ]

-

 

1.4.6  与远程的SFTP服务器建立基于Suite B算法集的连接

该配置任务用来与远程的SFTP服务器建立基于Suite B算法集的连接,并进行文件传输。

表1-27 与远程的SFTP服务器建立基于Suite B算法集的连接

操作

命令

说明

与远程的SFTP服务器建立基于Suite B算法集的连接

与远程的ipv4 SFTP服务器建立基于Suite B算法集的连接

sftp server [ port-number ] [ vpn-instance vpn-instance-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ip ip-address } ] *

二者至少选其一

请在用户视图下执行本命令

与远程的ipv6 SFTP服务器建立基于Suite B算法集的连接

sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

 

1.4.7  SFTP目录操作

SFTP目录操作包括:改变或显示当前的工作路径、显示指定目录下的文件或目录信息、改变服务器上指定的文件夹的名字、创建或删除目录等操作。

表1-28 SFTP目录操作

操作

命令

说明

进入SFTP客户端视图

具体命令请参考1.4.4 

-

改变远程SFTP服务器上的工作路径

cd [ remote-path ]

-

返回到上一级目录

cdup

-

显示远程SFTP服务器上的当前工作目录

pwd

-

显示指定目录下的文件列表

·     dir [ -a | -l ] [ remote-path ]

·     ls [ -a | -l ] [ remote-path ]

dirls两条命令的作用相同

改变SFTP服务器上指定的目录的名字

rename old-name new-name

-

在远程SFTP服务器上创建新的目录

mkdir remote-path

-

删除SFTP服务器上指定的目录

rmdir remote-path

-

 

1.4.8  SFTP文件操作

SFTP文件操作包括:改变文件名、下载文件、上传文件、显示文件列表和删除文件。

表1-29 SFTP文件操作

操作

命令

说明

进入SFTP客户端视图

具体命令请参考1.4.4 

-

改变SFTP服务器上指定的文件的名字

rename old-name new-name

-

从远程服务器上下载文件并存储在本地

get remote-file [ local-file ]

-

将本地的文件上传到远程SFTP服务器

put local-file [ remote-file ]

-

显示指定目录下的文件

·     dir [ -a | -l ] [ remote-path ]

·     ls [ -a | -l ] [ remote-path ]

dirls两条命令的作用相同

删除SFTP服务器上指定的文件

delete remote-file

deleteremove两条命令的功能相同

remove remote-file

 

1.4.9  显示帮助信息

本配置用于显示命令的帮助信息,如命令格式、参数配置等。

表1-30 显示客户端命令的帮助信息

操作

命令

说明

进入SFTP客户端视图

具体命令请参考1.4.4 

-

显示SFTP客户端命令的帮助信息

help

二者选其一

help和?的功能相同

 

1.4.10  终止与SFTP服务器的连接

表1-31 终止与SFTP服务器的连接

操作

命令

说明

进入SFTP客户端视图

具体命令请参考1.4.4 

-

终止与SFTP服务器的连接,并退回用户视图

bye

三者选其一

byeexitquit三条命令的功能相同

exit

quit

 

1.5  配置SCP客户端

1.5.1  生成本地DSA或RSA密钥对

说明

设备运行于FIPS模式时,仅支持ECDSA、RSA密钥对。

 

客户端采用publickey、password-publickey或any认证方式时,需要生成本地密钥对。

客户端生成本地DSA或RSA密钥对,需要注意的是:

·     SSH仅支持默认名称的本地DSA、ECDSA或RSA密钥对,不支持指定名称的本地DSA、ECDSA或RSA密钥对。关于密钥对生成命令的相关介绍请参见“安全命令参考”中的“公钥管理”。

·     生成DSA密钥对时,要求输入的密钥模数的长度必须小于2048比特。

·     SSH客户端支持secp256r1和secp384r1类型的ECDSA密钥对。

表1-32 生成本地DSA、ECDSA或RSA密钥对

操作

命令

说明

进入系统视图

system-view

-

生成本地DSA、ECDSA或RSA密钥对

public-key local create { dsa | ecdsa { secp256r1  | secp384r1 } | rsa }

缺省情况下,不存在任何DSA、ECDSA和RSA密钥对

 

1.5.2  配置SCP客户端发送SCP报文使用的源IP地址

1. 功能简介

SCP客户端与SCP服务器通信时,缺省采用路由决定的源IP地址作为发送报文的源地址。如果使用本配置指定了源IP地址或源接口,则采用该地址与服务器进行通信。

2. 配置限制和指导

为保证SCP客户端与SCP服务器通信链路的可达性,以及增加认证业务对SCP客户端的可管理性,通常建议指定Loopback接口的IP地址作为源IP地址。

3. 配置步骤

操作

命令

说明

进入系统视图

system-view

-

配置SCP客户端发送SCP报文使用的源IP地址

(IPv4网络)

scp client source { interface interface-type interface-number | ip ip-address }

(IPv6网络)

scp client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }

缺省情况下,未配置SCP客户端使用的源IPv4地址,SCP客户端发送SCP报文使用的源IPv4地址为设备路由指定的SCP报文出接口的主IP地址

缺省情况下,未配置SCP客户端使用的源IPv6地址,设备自动选择IPv6 SCP报文的源IPv6地址,具体选择原则请参见RFC 3484

 

1.5.3  与远程SCP服务器传输文件

该配置任务用来启动SCP客户端程序,与远程SCP服务器建立连接,并进行安全的文件传输操作。

SCP客户端访问服务器时,需要通过本地保存的服务器端的主机公钥来验证服务器的身份。设备作为SCP客户端时,默认支持首次认证,即当SCP客户端首次访问服务器,而客户端没有配置服务器端的主机公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器。首次认证在比较安全的网络环境中可以简化客户端的配置,但由于该方式下客户端完全相信服务器公钥的正确性,因此存在一定的安全隐患。

表1-33 与远程SCP服务器传输文件

操作

命令

说明

与远程SCP服务器建立连接,并进行文件传输

与远程IPv4 SCP服务器建立连接,并进行文件传输

非FIPS模式下:

scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] * [ user username [ password password ] ]

FIPS模式下:

scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] [ identity-key  { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 }] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] * [ user username [ password password ] ]

二者至少选其一

请在用户视图下执行此命令

与远程IPv6 SCP服务器建立连接,并进行文件传输

非FIPS模式下:

scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number  ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 }] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] * [ user username [ password password ] ]

FIPS模式下:

scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number  ] { put | get } source-file-name [ destination-file-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 }] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] * [ user username [ password password ] ]

 

1.5.4  SCP客户端删除保存在公钥文件中的服务器公钥

客户端切换到FIPS模式后,如果已经保存的服务器公钥不符合FIPS模式要求,则无法登录到服务器。如果客户端想要重新登录该服务器,则需要执行本配置删除本地文件中的指定服务器公钥,并保证服务器上已经生成了符合FIPS模式要求的公钥。

表1-34 SCP客户端删除保存在公钥文件中的服务器公钥

操作

命令

说明

进入系统视图

system-view

-

SCP客户端删除保存在公钥文件中的服务器公钥

delete ssh client server-public-key [ server-ip ip-address ]

-

 

1.5.5  与远程的SCP服务器建立基于Suite B算法集的连接

该配置任务用来与远程的SCP服务器建立基于Suite B算法集的连接,并进行文件传输。

表1-35 与远程的SCP服务器建立基于Suite B算法集的连接

操作

命令

说明

与远程的SCP服务器建立基于Suite B算法集的连接

与远程的ipv4 SCP服务器建立基于Suite B算法集的连接

scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ip ip-address } ] * [ user username [ password password ] ]

二者至少选其一

请在用户视图下执行本命令

与远程的ipv6 SCP服务器建立基于Suite B算法集的连接

scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] * [ user username [ password password ] ]

 

1.6  配置SSH2协议算法集

1.6.1  配置SSH2协议密钥交换算法优先列表

设备与对端建立Stelnet、SFTP、SCP会话过程中,将使用指定的密钥交换算法优先列表进行密钥交换协商。密钥交换协商过程中,客户端采用的算法匹配顺序为优先列表中各算法的配置顺序,服务器根据客户端的算法来匹配和协商。

表1-36 配置SSH2协议密钥交换算法优先列表

操作

命令

说明

进入系统视图

system-view

-

配置SSH2协议密钥交换算法优先列表

非FIPS模式下:

ssh2 algorithm key-exchange { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *

FIPS模式下:

ssh2 algorithm key-exchange { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *

非FIPS模式下:

缺省情况下, SSH2协议所采用的密钥交换算法优先列表为ecdh-sha2-nistp256ecdh-sha2-nistp384dh-group-exchange-sha1dh-group14-sha1dh-group1-sha1

FIPS模式下:

缺省情况下, SSH2协议所采用的密钥交换算法优先列表为ecdh-sha2-nistp256ecdh-sha2-nistp384dh-group14-sha1

 

1.6.2  配置SSH2协议主机签名算法优先列表

设备与对端建立Stelnet、SFTP、SCP会话过程中,将使用指定的主机签名算法优先列表进行主机签名算法协商。主机签名算法协商过程中,客户端采用的算法匹配顺序为优先列表中各算法的配置顺序,服务器根据客户端的算法来匹配和协商。

表1-37 配置SSH2协议主机签名算法优先列表

操作

命令

说明

进入系统视图

system-view

-

配置SSH2协议主机签名算法优先列表

非FIPS模式下:

ssh2 algorithm public-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } *

FIPS模式下:

ssh2 algorithm public-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } *

非FIPS模式下:

缺省情况下,SSH2协议所采用的主机签名算法优先列表为:x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384ecdsa-sha2-nistp256 ecdsa-sha2-nistp384rsadsa

FIPS模式下:

缺省情况下,SSH2协议所采用的主机签名算法优先列表为:x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384ecdsa-sha2-nistp256 ecdsa-sha2-nistp384rsa

 

1.6.3  配置SSH2协议加密算法优先列表

设备与对端建立Stelnet、SFTP、SCP会话过程中,将使用指定的加密算法优先列表进行加密算法协商。加密算法协商过程中,客户端采用的算法匹配顺序为优先列表中各算法的配置顺序,服务器根据客户端的算法来匹配和协商。

表1-38 配置SSH2协议加密算法优先列表

操作

命令

说明

进入系统视图

system-view

-

配置SSH2协议加密算法优先列表

非FIPS模式下:

ssh2 algorithm cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } *

FIPS模式下:

ssh2 algorithm cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } *

非FIPS模式下:

缺省情况下,SSH2协议所采用的加密算法优先列表为:aes128-ctraes192-ctraes256-ctraes128-gcmaes256-gcmaes128-cbc3des-cbcaes256-cbcdes-cbc

FIPS模式下:

缺省情况下,SSH2协议所采用的加密算法优先列表为:aes128-ctraes192-ctraes256-ctraes128-gcmaes256-gcmaes128-cbcaes256-cbc

 

1.6.4  配置SSH2协议MAC算法优先列表

设备与对端建立Stelnet、SFTP、SCP会话过程中,将使用指定的MAC算法优先列表进行MAC算法协商。MAC算法协商过程中,客户端采用的算法匹配顺序为优先列表中各算法的配置顺序,服务器根据客户端的算法来匹配和协商。

表1-39 配置SSH2协议MAC算法优先列表

操作

命令

说明

进入系统视图

system-view

-

配置SSH2协议MAC算法优先列表

非FIPS模式下:

ssh2 algorithm mac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } *

FIPS模式下:

ssh2 algorithm mac { sha1 | sha1-96 | sha2-256 | sha2-512 } *

非FIPS模式下:

缺省情况下,SSH2协议所采用的MAC算法优先列表为:sha2-256sha2-512sha1md5sha1-96md5-96

FIPS模式下:

缺省情况下,SSH2协议所采用的MAC算法优先列表为:sha2-256sha2-512sha1sha1-96

 

1.7  SSH显示和维护

在完成上述配置后,在任意视图下执行display命令,可以显示配置后SSH的运行情况,通过查看显示信息验证配置的效果。

表1-40 SSH显示和维护

操作

命令

显示SFTP客户端的源IP地址配置

display sftp client source

显示Stelnet客户端的源IP地址配置

display ssh client source

在SSH服务器端显示该服务器的状态信息或会话信息

display ssh server { session | status }

在SSH服务器端显示SSH用户信息

display ssh user-information [ username ]

显示本地密钥对中的公钥部分

display public-key local { dsa | ecdsa | rsa } public [ name publickey-name ]

显示SSH客户端公钥文件中的服务器公钥信息

display ssh client server-public-key [ server-ip ip-address ]

显示保存在本地的远端主机的公钥信息

display public-key peer [ brief | name publickey-name ]

显示SCP客户端的源IP地址配置

display scp client source

显示设备上配置的SSH2协议使用的算法优先列表

display ssh2 algorithm

 

说明

display public-key localdisplay public-key peer命令的详细介绍请参见“安全命令参考”中的“公钥管理”。

 

1.8  Stelnet典型配置举例

说明

·     举例中的设备运行于非FIPS模式下。

·     若设备运行于FIPS模式下,相关的配置和显示信息将有所变化,请以设备的实际情况为准。设备作为服务器仅支持ECDSA、RSA密钥对,请不要生成DSA密钥对。

 

1.8.1  设备作为Stelnet服务器配置举例(password认证)

1. 组网需求

·     用户可以通过Host上运行的Stelnet客户端软件(SSH2版本)安全地登录到Switch上,并被授予用户角色network-admin进行配置管理;

·     Switch采用password认证方式对Stelnet客户端进行认证,客户端的用户名和密码保存在本地。

2. 组网图

图1-1 设备作为Stelnet服务器配置组网图

 

3. 配置步骤

(1)     配置Stelnet服务器

# 生成RSA密钥对。

<Switch> system-view

[Switch] public-key local create rsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[Switch] public-key local create dsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+.

Create the key pair successfully.

# 生成ECDSA密钥对。

[Switch] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 开启Stelnet服务器功能。

[Switch] ssh server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器。

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.40 255.255.255.0

[Switch-Vlan-interface2] quit

# 设置Stelnet客户端登录用户线的认证方式为AAA认证。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 创建设备管理类本地用户client001,并设置密码为明文aabbcc,服务类型为SSH,用户角色为network-admin。

[Switch] local-user client001 class manage

[Switch-luser-manage-client001] password simple aabbcc

[Switch-luser-manage-client001] service-type ssh

[Switch-luser-manage-client001] authorization-attribute user-role network-admin

[Switch-luser-manage-client001] quit

# 配置SSH用户client001的服务类型为Stelnet,认证方式为password认证。(此步骤可以不配置)

[Switch] ssh user client001 service-type stelnet authentication-type password

(2)     Stelnet客户端建立与Stelnet服务器的连接

说明

Stelnet客户端软件有很多,例如PuTTY、OpenSSH等。本文中仅以客户端软件PuTTY0.58为例,说明Stelnet客户端的配置方法。

 

# 建立与Stelnet服务器端的连接。

打开PuTTY.exe程序,出现如图1-2所示的客户端配置界面。在“Host Name(or IP address)”文本框中输入Stelnet服务器的IP地址为192.168.1.40。

图1-2 Stelnet客户端配置界面

 

图1-2中,单击<Open>按钮。按提示输入用户名client001及密码aabbcc,即可进入Switch的配置界面。

1.8.2  设备作为Stelnet服务器配置举例(publickey认证)

1. 组网需求

·     用户可以通过Host上运行的Stelnet客户端软件(SSH2版本)安全地登录到Switch上,并被授予用户角色network-admin进行配置管理;

·     Switch采用publickey认证方式对Stelnet客户端进行认证,使用的公钥算法为RSA。

2. 组网图

图1-3 设备作为Stelnet服务器配置组网图

 

 

3. 配置步骤

说明

·     在服务器的配置过程中需要指定客户端的公钥信息,因此建议首先完成客户端密钥对的配置,再进行服务器的配置。

·     客户端软件有很多,例如PuTTY、OpenSSH等。本文中仅以客户端软件PuTTY0.58为例,说明Stelnet客户端的配置方法。

 

(1)     配置Stelnet客户端

# 生成RSA密钥对。

在客户端运行PuTTYGen.exe,在参数栏中选择“SSH-2 RSA”,点击<Generate>,产生客户端密钥对。

图1-4 生成客户端密钥(步骤1)

 

在产生密钥对的过程中需不停地移动鼠标,鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方,否则进程条的显示会不动,密钥对将停止产生,见图1-5

图1-5 生成客户端密钥(步骤2

 

密钥对产生后,点击<Save public key>,输入存储公钥的文件名key.pub,点击<保存>按钮。

图1-6 生成客户端密钥(步骤3)

 

点击<Save private key>存储私钥,弹出警告框,提醒是否保存没做任何保护措施的私钥,点击<Yes>,输入私钥文件名为private.ppk,点击保存。

图1-7 生成客户端密钥(步骤4)

 

客户端生成密钥对后,需要将保存的公钥文件key.pub通过FTP/TFTP方式上传到服务器,具体过程略。

(2)     配置Stelnet服务器

# 生成RSA密钥对。

<Switch> system-view

[Switch] public-key local create rsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[Switch] public-key local create dsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+

Create the key pair successfully.

# 生成ECDSA密钥对。

[Switch] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 开启Stelnet服务器功能。

[Switch] ssh server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器。

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.40 255.255.255.0

[Switch-Vlan-interface2] quit

# 设置Stelnet客户端登录用户线的认证方式为AAA认证。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 从文件key.pub中导入远端的公钥,并命名为switchkey。

[Switch] public-key peer switchkey import sshkey key.pub

# 设置SSH用户client002的认证方式为publickey,并指定公钥为switchkey。

[Switch] ssh user client002 service-type stelnet authentication-type publickey assign publickey switchkey

# 创建设备管理类本地用户client002,并设置服务类型为SSH,用户角色为network-admin。

[Switch] local-user client002 class manage

[Switch-luser-manage-client002] service-type ssh

[Switch-luser-manage-client002] authorization-attribute user-role network-admin

[Switch-luser-manage-client002] quit

(3)     Stelnet客户端建立与Stelnet服务器的连接

# 指定私钥文件,并建立与Stelnet服务器的连接。

打开PuTTY.exe程序,出现如图1-8所示的客户端配置界面。在“Host Name(or IP address)”文本框中输入Stelnet服务器的IP地址为192.168.1.40。

图1-8 Stelnet客户端配置界面

 

# 单击左侧导航栏“Connection->SSH”,出现如图1-9的界面。选择“Preferred SSH protocol version”为“2”。

图1-9 Stelnet客户端配置界面

 

单击左侧导航栏“Connection->SSH”下面的“Auth”(认证),出现如图1-10的界面。单击<Browse…>按钮,弹出文件选择窗口。选择与配置到服务器端的公钥对应的私钥文件private.ppk。

图1-10 Stelnet客户端配置界面

 

图1-10,单击<Open>按钮。按提示输入用户名client002,即可进入Switch的配置界面。

1.8.3  设备作为Stelnet客户端配置举例(password认证)

1. 组网需求

·     配置Switch A作为Stelnet客户端,用户能够通过Switch A安全地登录到Switch B上,并被授予用户角色network-admin进行配置管理。

·     Switch B作为Stelnet服务器采用password认证方式对Stelnet客户端进行认证,客户端的用户名和密码保存在Switch B上。

2. 组网图

图1-11 设备作为Stelnet客户端配置组网图

 

3. 配置步骤

(1)     配置Stelnet服务器

# 生成RSA密钥对。

<SwitchB> system-view

[SwitchB] public-key local create rsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[SwitchB] public-key local create dsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+

Create the key pair successfully.

# 生成ECDSA密钥对。

[SwitchB] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 开启Stelnet服务器功能。

[SwitchB] ssh server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器。

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ip address 192.168.1.40 255.255.255.0

[SwitchB-Vlan-interface2] quit

# 设置Stelnet客户端登录用户线的认证方式为AAA认证。

[SwitchB] line vty 0 63

[SwitchB-line-vty0-63] authentication-mode scheme

[SwitchB-line-vty0-63] quit

# 创建设备管理类本地用户client001,并设置密码为明文aabbcc,服务类型为SSH,用户角色为network-admin。

[SwitchB] local-user client001 class manage

[SwitchB-luser-manage-client001] password simple aabbcc

[SwitchB-luser-manage-client001] service-type ssh

[SwitchB-luser-manage-client001] authorization-attribute user-role network-admin

[SwitchB-luser-manage-client001] quit

# 配置SSH用户client001的服务类型为Stelnet,认证方式为password认证。(此步骤可以不配置)

[SwitchB] ssh user client001 service-type stelnet authentication-type password

(2)     Stelnet客户端建立与Stelnet服务器的连接

# 配置VLAN接口2的IP地址。

<SwitchA> system-view

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 192.168.1.56 255.255.255.0

[SwitchA-Vlan-interface2] quit

[SwitchA] quit

(3)     客户端本地没有服务器端的主机公钥,首次与服务器建立连接

# 建立到服务器192.168.1.40的SSH连接,选择在不认证服务器的情况下继续访问服务网,并在客户端保存服务器端的本地公钥。

<SwitchA> ssh2 192.168.1.40

Username: client001

Press CTRL+C to abort.

Connecting to 192.168.1.40 port 22.

The server is not authenticated. Continue? [Y/N]:y

Do you want to save the server public key? [Y/N]:y

client001@192.168.1.40's password:

 

Enter a character ~ and a dot to abort.

 

******************************************************************************

* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<SwitchB>

输入正确的密码之后,即可成功登录到Switch B上。由于选择在本地保存服务器端的主机公钥,下次用户登录Switch B时直接输入正确密码即可成功登录。

(4)     客户端配置服务器端的主机公钥后,与服务器建立连接

# 在客户端配置SSH服务器端的主机公钥。在公钥视图输入服务器端的主机公钥,即在服务器端通过display public-key local dsa public命令显示的公钥内容。

[SwitchA] public-key peer key1

Enter public key view. Return to system view with "peer-public-key end" command.

[SwitchA-pkey-public-key-key1]308201B73082012C06072A8648CE3804013082011F0281810

0D757262C4584C44C211F18BD96E5F0

[SwitchA-pkey-public-key-key1]61C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE

65BE6C265854889DC1EDBD13EC8B274

[SwitchA-pkey-public-key-key1]DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B0

6FD60FE01941DDD77FE6B12893DA76E

[SwitchA-pkey-public-key-key1]EBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B3

68950387811C7DA33021500C773218C

[SwitchA-pkey-public-key-key1]737EC8EE993B4F2DED30F48EDACE915F0281810082269009E

14EC474BAF2932E69D3B1F18517AD95

[SwitchA-pkey-public-key-key1]94184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD35D02

492B3959EC6499625BC4FA5082E22C5

[SwitchA-pkey-public-key-key1]B374E16DD00132CE71B020217091AC717B612391C76C1FB2E

88317C1BD8171D41ECB83E210C03CC9

[SwitchA-pkey-public-key-key1]B32E810561C21621C73D6DAAC028F4B1585DA7F42519718CC

9B09EEF0381840002818000AF995917

[SwitchA-pkey-public-key-key1]E1E570A3F6B1C2411948B3B4FFA256699B3BF871221CC9C5D

F257523777D033BEE77FC378145F2AD

[SwitchA-pkey-public-key-key1]D716D7DB9FCABB4ADBF6FB4FDB0CA25C761B308EF53009F71

01F7C62621216D5A572C379A32AC290

[SwitchA-pkey-public-key-key1]E55B394A217DA38B65B77F0185C8DB8095522D1EF044B465E

8716261214A5A3B493E866991113B2D

[SwitchA-pkey-public-key-key1]485348

[SwitchA-pkey-public-key-key1] peer-public-key end

[SwitchA] quit

# 建立到服务器192.168.1.40的SSH连接,并指定服务器端的主机公钥。

<SwitchA> ssh2 192.168.1.40 public-key key1

Username: client001

Press CTRL+C to abort.

Connecting to 192.168.1.40 port 22.

client001@192.168.1.40's password:

Enter a character ~ and a dot to abort.

 

******************************************************************************

* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<SwitchB>

输入正确的密码之后,即可成功登录到Switch B上。

(5)     客户端本地已有服务器端的主机公钥,直接与服务器建立连接

<SwitchA> ssh2 192.168.1.40

Username: client001

Press CTRL+C to abort.

Connecting to 192.168.1.40 port 22.

client001@192.168.1.40's password:

Enter a character ~ and a dot to abort.

 

******************************************************************************

* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<SwitchB>

输入正确的密码之后,即可成功登录到Switch B上。

1.8.4  设备作为Stelnet客户端配置举例(publickey认证)

1. 组网需求

·     配置Switch A作为Stelnet客户端,用户能够通过Switch A安全地登录到Switch B上,并被授予用户角色network-admin进行配置管理。

·     Switch B作为Stelnet服务器采用publickey认证方式对Stelnet客户端进行认证,使用的公钥算法为DSA。

2. 组网图

图1-12 设备作为Stelnet客户端配置组网图

 

3. 配置步骤

说明

在服务器的配置过程中需要指定客户端的公钥信息,因此需要首先完成客户端密钥对的配置,再进行服务器的配置。

 

(1)     配置Stelnet客户端

# 配置VLAN接口2的IP地址。

<SwitchA> system-view

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 192.168.1.56 255.255.255.0

[SwitchA-Vlan-interface2] quit

# 生成DSA密钥对。

[SwitchA] public-key local create dsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+

Create the key pair successfully.

# 将生成的DSA主机公钥导出到指定文件key.pub中。

[SwitchA] public-key local export dsa ssh2 key.pub

[SwitchA] quit

客户端生成密钥对后,需要将保存的公钥文件key.pub通过FTP/TFTP方式上传到服务器,具体过程略。

(2)     配置Stelnet服务器

# 生成RSA密钥对。

<SwitchB> system-view

[SwitchB] public-key local create rsa

The range of public key modulus is (512 ~ 2048)

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[SwitchB] public-key local create dsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+

Create the key pair successfully.

# 生成ECDSA密钥对。

[SwitchB] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 开启Stelnet服务器功能。

[SwitchB] ssh server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接SSH服务器。

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ip address 192.168.1.40 255.255.255.0

[SwitchB-Vlan-interface2] quit

# 设置Stelnet客户端登录用户线的认证方式为AAA认证。

[SwitchB] line vty 0 63

[SwitchB-line-vty0-63] authentication-mode scheme

[SwitchB-line-vty0-63] quit

# 从文件key.pub中导入远端的公钥,并命名为switchkey。

[SwitchB] public-key peer switchkey import sshkey key.pub

# 设置SSH用户client002的认证方式为publickey,并指定公钥为switchkey。

[SwitchB] ssh user client002 service-type stelnet authentication-type publickey assign publickey switchkey

# 创建设备管理类本地用户client002,并设置服务类型为SSH,用户角色为network-admin。

[SwitchB] local-user client002 class manage

[SwitchB-luser-manage-client002] service-type ssh

[SwitchB-luser-manage-client002] authorization-attribute user-role network-admin

[SwitchB-luser-manage-client002] quit

(3)     Stelnet客户端建立与Stelnet服务器的连接

# 建立到服务器192.168.1.40的SSH连接。

<SwitchA> ssh2 192.168.1.40 identity-key dsa

Username: client002

Press CTRL+C to abort.

Connecting to 192.168.1.40 port 22.

The server is not authenticated. Continue? [Y/N]:y

Do you want to save the server public key? [Y/N]:n

Enter a character ~ and a dot to abort.

 

******************************************************************************

* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<SwitchB>

由于本地未保存服务器端的主机公钥,因此在选择继续访问服务器之后,即可成功登录到Switch B上。

1.8.5  设备支持Stelnet Suite B配置举例(128-bit)

1. 组网需求

·     配置Switch A作为Stelnet Suite B客户端,用户能够通过Switch A安全地登录到Switch B上

·     SwitchB设备配置为suite-b服务器模式;

·     用户可以通过Switch A上运行的Stelnet Suite B客户端软件(SSH2版本)安全地登录到Switch B上,并被授予用户角色network-admin进行配置管理;

·     Switch B采用publickey认证方式对Stelnet Suite B客户端进行认证。

2. 组网图

图1-13 设备支持Stelnet Suite B组网图

 

3. 配置步骤

说明

·     在服务器的配置过程中需要指定服务器和客户端的证书信息,因此需要首先完成证书的配置,再进行Suite B相关的服务器配置。

·     客户端软件支持Suite B的较少,OpenSSH的pkix版本通过修改可以实现。本文中仅以我司设备客户端为例,说明Stelnet Suite B客户端的配置方法。

 

(1)     配置Stelnet Suite B客户端

# 客户端和服务器证书生成后,需要将保存的证书文件ssh-server-ecdsa256.p12和ssh-client-ecdsa256.p12通过FTP/TFTP方式上传到客户端设备,具体过程略。

# 配置验证服务器证书的PKI域。

<SwitchA> system-view

[SwitchA] pki domain server256

# 关闭CRL检查。

[SwitchA-pki-domain-server256] undo crl check enable

[SwitchA-pki-domain-server256] quit

# 导入CA证书。

[SwitchA] pki import domain server256 p12 local filename ssh-server-ecdsa256.p12

The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).

Please enter the key pair name[default name: server256]:

# 显示导入CA证书信息。

[SwitchA] display pki certificate domain server256 local

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 3 (0x3)

    Signature Algorithm: ecdsa-with-SHA256

        Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA

        Validity

            Not Before: Aug 21 08:39:51 2015 GMT

            Not After : Aug 20 08:39:51 2016 GMT

        Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=SSH Server secp256

        Subject Public Key Info:

            Public Key Algorithm: id-ecPublicKey

                Public-Key: (256 bit)

                pub:

                    04:a2:b4:b4:66:1e:3b:d5:50:50:0e:55:19:8d:52:

                    6d:47:8c:3d:3d:96:75:88:2f:9a:ba:a2:a7:f9:ef:

                    0a:a9:20:b7:b6:6a:90:0e:f8:c6:de:15:a2:23:81:

                    3c:9e:a2:b7:83:87:b9:ad:28:c8:2a:5e:58:11:8e:

                    c7:61:4a:52:51

                ASN1 OID: prime256v1

                NIST CURVE: P-256

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                08:C1:F1:AA:97:45:19:6A:DA:4A:F2:87:A1:1A:E8:30:BD:31:30:D7

            X509v3 Authority Key Identifier:

                keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22

 

    Signature Algorithm: ecdsa-with-SHA256

         30:65:02:31:00:a9:16:e9:c1:76:f0:32:fc:4b:f9:8f:b6:7f:

         31:a0:9f:de:a7:cc:33:29:27:2c:71:2e:f9:0d:74:cb:25:c9:

         00:d2:52:18:7f:58:3f:cc:7e:8b:d3:42:65:00:cb:63:f8:02:

         30:01:a2:f6:a1:51:04:1c:61:78:f6:6b:7e:f9:f9:42:8d:7c:

         a7:bb:47:7c:2a:85:67:0d:81:12:0b:02:98:bc:06:1f:c1:3c:

         9b:c2:1b:4c:44:38:5a:14:b2:48:63:02:2b

 

# 配置客户端向服务器发送证书所在的PKI域。

[SwitchA] pki domain client256

# 关闭CRL检查。

[SwitchA-pki-domain-client256] undo crl check enable

[SwitchA-pki-domain-client256] quit

# 导入CA证书。

[SwitchA] pki import domain client256 p12 local filename ssh-client-ecdsa256.p12

The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).

Please enter the key pair name[default name: client256]:

# 显示导入CA证书信息。

[SwitchA] display pki certificate domain client256 local

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 4 (0x4)

    Signature Algorithm: ecdsa-with-SHA256

        Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA

        Validity

            Not Before: Aug 21 08:41:09 2015 GMT

            Not After : Aug 20 08:41:09 2016 GMT

        Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=SSH Client secp256

        Subject Public Key Info:

            Public Key Algorithm: id-ecPublicKey

                Public-Key: (256 bit)

                pub:

                    04:da:e2:26:45:87:7a:63:20:e7:ca:7f:82:19:f5:

                    96:88:3e:25:46:f8:2f:9a:4c:70:61:35:db:e4:39:

                    b8:38:c4:60:4a:65:28:49:14:32:3c:cc:6d:cd:34:

                    29:83:84:74:a7:2d:0e:75:1c:c2:52:58:1e:22:16:

                    12:d0:b4:8a:92

                ASN1 OID: prime256v1

                NIST CURVE: P-256

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                1A:61:60:4D:76:40:B8:BA:5D:A1:3C:60:BC:57:98:35:20:79:80:FC

            X509v3 Authority Key Identifier:

                keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22

 

    Signature Algorithm: ecdsa-with-SHA256

         30:66:02:31:00:9a:6d:fd:7d:ab:ae:54:9a:81:71:e6:bb:ad:

         5a:2e:dc:1d:b3:8a:bf:ce:ee:71:4e:8f:d9:93:7f:a3:48:a1:

         5c:17:cb:22:fa:8f:b3:e5:76:89:06:9f:96:47:dc:34:87:02:

         31:00:e3:af:2a:8f:d6:8d:1f:3a:2b:ae:2f:97:b3:52:63:b6:

         18:67:70:2c:93:2a:41:c0:e7:fa:93:20:09:4d:f4:bf:d0:11:

         66:0f:48:56:01:1e:c3:be:37:4e:49:19:cf:c6

# 配置VLAN接口2的IP地址。

<SwitchA> system-view

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 192.168.1.56 255.255.255.0

[SwitchA-Vlan-interface2] quit

(2)     配置Stelnet Suite B服务器

# 服务器上配置证书的PKI域与客户端相同,具体过程略。

# 配置服务器suite-b算法集。

<SwitchB> system-view

[SwitchB] ssh2 algorithm key-exchange ecdh-sha2-nistp256

[SwitchB] ssh2 algorithm cipher aes128-gcm

[SwitchB] ssh2 algorithm public-key x509v3-ecdsa-sha2-nistp256 x509v3-ecdsa-sha2-nistp384

# 配置服务器证书所在的PKI域。

[SwitchB] ssh server pki-domain server256

# 开启Stelnet服务器功能。

[SwitchB] ssh server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器。

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ip address 192.168.1.40 255.255.255.0

[SwitchB-Vlan-interface2] quit

# 设置Stelnet客户端登录用户线的认证方式为AAA认证。

[SwitchB] line vty 0 15

[SwitchB-line-vty0-15] authentication-mode scheme

[SwitchB-line-vty0-15] quit

# 创建设备管理类本地用户client001,服务类型为SSH,用户角色为network-admin。

[SwitchB] local-user client001 class manage

[SwitchB-luser-manage-client001] service-type ssh

[SwitchB-luser-manage-client001] authorization-attribute user-role network-admin

[SwitchB-luser-manage-client001] quit

# 设置SSH用户client001的认证方式为publickey,并指定认证证书所在PKI域为client256。

[Switch] ssh user client001 service-type stelnet authentication-type publickey assign pki-domain client256

(3)     Stelnet Suite B客户端建立与Stelnet suite-b服务器的连接

# 建立到服务器192.168.1.40的SSH连接。

<SwitchA>  ssh2 192.168.1.40 suite-b 128-bit pki-domain client256 server-pki-domain server256

Username: client001

Press CTRL+C to abort.

Connecting to 192.168.1.40 port 22.

Enter a character ~ and a dot to abort.

 

******************************************************************************

* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<SwitchB>

1.9  SFTP典型配置举例

说明

·     举例中的设备运行于非FIPS模式下。

·     若设备运行于FIPS模式下,相关的配置和显示信息将有所变化,请以设备的实际情况为准。设备作为服务器仅支持ECDSA、RSA密钥对,请不要生成DSA密钥对。

 

1.9.1  设备作为SFTP服务器配置举例(password认证)

1. 组网需求

·     用户可以通过Host上运行的SFTP客户端软件安全地登录到Switch上,并被授予用户角色network-admin进行文件管理和文件传送等操作;

·     Switch采用password认证方式对SFTP客户端进行认证,客户端的用户名和密码保存在本地。

2. 组网图

图1-14 设备作为SFTP服务器配置组网图

 

3. 配置步骤

(1)     配置SFTP服务器

# 生成RSA密钥对。

<Switch> system-view

[Switch] public-key local create rsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[Switch] public-key local create dsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+

Create the key pair successfully.

# 生成ECDSA密钥对。

[Switch] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 启动SFTP服务器。

[Switch] sftp server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接SSH服务器。

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.45 255.255.255.0

[Switch-Vlan-interface2] quit

# 创建设备管理类本地用户client002,并设置密码为明文aabbcc,服务类型为SSH,用户角色为network-admin,工作目录为flash:/。

[Switch] local-user client002 class manage

[Switch-luser-manage-client002] password simple aabbcc

[Switch-luser-manage-client002] service-type ssh

[Switch-luser-manage-client002] authorization-attribute user-role network-admin work-directory flash:/

[Switch-luser-manage-client002] quit

# 配置SSH用户认证方式为password,服务类型为SFTP。(此步骤可以不配置)

[Switch] ssh user client002 service-type sftp authentication-type password

(2)     SFTP客户端建立与SFTP服务器的连接

说明

·     SFTP客户端软件有很多,本文中仅以客户端软件PuTTY0.58中的PSFTP为例,说明SFTP客户端的配置方法。

·     PSFTP只支持password认证,不支持publickey认证。

 

# 建立与SFTP服务器的连接。

打开psftp.exe程序,出现如图1-15所示的客户端配置界面。输入如下命令:

open 192.168.1.45

根据提示输入用户名client002,密码aabbcc,即可登录SFTP服务器。

图1-15 SFTP客户端登录界面

 

1.9.2  设备作为SFTP客户端配置举例(publickey认证)

1. 组网需求

·     配置Switch A作为SFTP客户端,用户能够通过Switch A安全地登录到Switch B上,并被授予用户角色network-admin进行文件管理和文件传送等操作。

·     Switch B作为SFTP服务器采用publickey认证方式对SFTP客户端进行认证,使用的公钥算法为RSA。

2. 组网图

图1-16 设备作为SFTP客户端配置组网图

 

3. 配置步骤

说明

在服务器的配置过程中需要指定客户端的公钥信息,因此建议首先完成客户端密钥对的配置,再进行服务器的配置。

 

(1)     配置SFTP客户端

# 配置VLAN接口2的IP地址。

<SwitchA> system-view

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 192.168.0.2 255.255.255.0

[SwitchA-Vlan-interface2] quit

# 生成RSA密钥对。

[SwitchA] public-key local create rsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 将生成的RSA主机公钥导出到指定文件pubkey中。

[SwitchA] public-key local export rsa ssh2 pubkey

[SwitchA] quit

客户端生成密钥对后,需要将保存的公钥文件pubkey通过FTP/TFTP方式上传到服务器,具体过程略。

(2)     配置SFTP服务器

# 生成RSA密钥对。

<SwitchB> system-view

[SwitchB] public-key local create rsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[SwitchB] public-key local create dsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+

Create the key pair successfully.

# 生成ECDSA密钥对。

[SwitchB] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 启动SFTP服务器。

[SwitchB] sftp server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接SSH服务器。

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ip address 192.168.0.1 255.255.255.0

[SwitchB-Vlan-interface2] quit

# 从文件pubkey中导入远端的公钥,并命名为switchkey。

[SwitchB] public-key peer switchkey import sshkey pubkey

# 设置SSH用户client001的服务类型为SFTP,认证方式为publickey,并指定公钥为switchkey。

[SwitchB] ssh user client001 service-type sftp authentication-type publickey assign publickey switchkey

# 创建设备管理类本地用户client001,并设置服务类型为SSH,用户角色为network-admin,工作目录为flash:/。

[SwitchB] local-user client001 class manage

[SwitchB-luser-manage-client001] service-type ssh

[SwitchB-luser-manage-client001] authorization-attribute user-role network-admin work-directory flash:/

[SwitchB-luser-manage-client001] quit

(3)     SFTP客户端建立与SFTP服务器端的连接

# 与远程SFTP服务器建立连接,进入SFTP客户端视图。

<SwitchA> sftp 192.168.0.1 identity-key rsa

Username: client001

Press CTRL+C to abort.

Connecting to 192.168.0.1 port 22.

The server is not authenticated. Continue? [Y/N]:y

Do you want to save the server public key? [Y/N]:n

sftp>

# 显示服务器的当前目录,删除文件z,并检查此文件是否删除成功。

sftp> dir -l

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

-rwxrwxrwx   1 noone    nogroup       225 Sep 01 06:55 pub

-rwxrwxrwx   1 noone    nogroup         0 Sep 01 08:00 z

sftp> delete z

Removing /z

sftp> dir -l

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

-rwxrwxrwx   1 noone    nogroup       225 Sep 01 06:55 pub

# 新增目录new1,并检查新目录是否创建成功。

sftp> mkdir new1

sftp> dir -l

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

-rwxrwxrwx   1 noone    nogroup       225 Sep 01 06:55 pub

drwxrwxrwx   1 noone    nogroup         0 Sep 02 06:30 new1

# 将目录名new1更名为new2,并查看是否更名成功。

sftp> rename new1 new2

sftp> dir -l

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

-rwxrwxrwx   1 noone    nogroup       225 Sep 01 06:55 pub

drwxrwxrwx   1 noone    nogroup         0 Sep 02 06:33 new2

# 从服务器上下载文件pubkey2到本地,并更名为public。

sftp> get pubkey2 public

Fetching / pubkey2 to public

/pubkey2                                  100% 225     1.4KB/s   00:00

# 将本地文件pu上传到服务器上,更名为puk,并查看上传是否成功。

sftp> put pu puk

Uploading pu to / puk

sftp> dir -l

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

drwxrwxrwx   1 noone    nogroup         0 Sep 02 06:33 new2

-rwxrwxrwx   1 noone    nogroup       283 Sep 02 06:35 pub

-rwxrwxrwx   1 noone    nogroup       283 Sep 02 06:36 puk

sftp>

# 退出SFTP客户端视图。

sftp> quit

<SwitchA>

1.9.3  设备支持SFTP Suite B配置举例(192-bit)

1. 组网需求

·     配置Switch A作为SFTP Suite B客户端,用户能够通过Switch A安全地登录到Switch B上

·     SwitchB设备配置为Suite B服务器模式;

·     用户可以通过Switch A上运行的SFTP Suite B客户端软件(SSH2版本)安全地登录到Switch B上,并被授予用户角色network-admin进行配置管理;

·     Switch B采用publickey认证方式对SFTP Suite B客户端进行认证。

2. 组网图

图1-17 设备支持SFTP Suite B配置组网图

 

3. 配置步骤

说明

·     在服务器的配置过程中需要指定服务器和客户端的证书信息,因此需要首先完成证书的配置,再进行Suite B相关的服务器配置。

·     客户端软件支持Suite B的较少,OpenSSH的pkix版本通过修改可以实现。本文中仅以我司设备客户端为例,说明SFTP Suite B客户端的配置方法。

 

(1)     配置SFTP Suite B客户端

# 客户端和服务器证书生成后,需要将保存的证书文件ssh-server-ecdsa384.p12和ssh-client-ecdsa384.p12通过FTP/TFTP方式上传到客户端设备,具体过程略。

# 配置验证服务器证书的PKI域。

<SwitchA> system-view

[SwitchA] pki domain server384

# 关闭CRL检查。

[SwitchA-pki-domain-server384] undo crl check enable

[SwitchA-pki-domain-server384] quit

# 导入CA证书。

[SwitchA] pki import domain server384 p12 local filename ssh-server-ecdsa384.p12

The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).

Please enter the key pair name[default name: server384]:

# 显示导入CA证书信息。

[SwitchA] display pki certificate domain server384 local

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 1 (0x1)

    Signature Algorithm: ecdsa-with-SHA384

        Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA

        Validity

            Not Before: Aug 20 10:08:41 2015 GMT

            Not After : Aug 19 10:08:41 2016 GMT

        Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=ssh server

        Subject Public Key Info:

            Public Key Algorithm: id-ecPublicKey

                Public-Key: (384 bit)

                pub:

                    04:4a:33:e5:99:8d:49:45:a7:a3:24:7b:32:6a:ed:

                    b6:36:e1:4d:cc:8c:05:22:f4:3a:7c:5d:b7:be:d1:

                    e6:9e:f0:ce:95:39:ca:fd:a0:86:cd:54:ab:49:60:

                    10:be:67:9f:90:3a:18:e2:7d:d9:5f:72:27:09:e7:

                    bf:7e:64:0a:59:bb:b3:7d:ae:88:14:94:45:b9:34:

                    d2:f3:93:e1:ba:b4:50:15:eb:e5:45:24:31:10:c7:

                    07:01:f9:dc:a5:6f:81

                ASN1 OID: secp384r1

                NIST CURVE: P-384

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                10:16:64:2C:DA:C1:D1:29:CD:C0:74:40:A9:70:BD:62:8A:BB:F4:D5

            X509v3 Authority Key Identifier:

                keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22

 

    Signature Algorithm: ecdsa-with-SHA384

         30:65:02:31:00:80:50:7a:4f:c5:cd:6a:c3:57:13:7f:e9:da:

         c1:72:7f:45:30:17:c2:a7:d3:ec:73:3d:5f:4d:e3:96:f6:a3:

         33:fb:e4:b9:ff:47:f1:af:9d:e3:03:d2:24:53:40:09:5b:02:

         30:45:d1:bf:51:fd:da:22:11:90:03:f9:d4:05:ec:d6:7c:41:

         fc:9d:a1:fd:5b:8c:73:f8:b6:4c:c3:41:f7:c6:7f:2f:05:2d:

         37:f8:52:52:26:99:28:97:ac:6e:f9:c7:01

 

# 配置客户端向服务器发送证书所在的PKI域。

[SwitchA] pki domain client384

#关闭CRL检查。

[SwitchA-pki-domain-client384] undo crl check enable

[SwitchA-pki-domain-client384] quit

#导入CA证书。

[SwitchA] pki import domain client384 p12 local filename ssh-client-ecdsa384.p12

The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).

Please enter the key pair name[default name: client384]:

# 显示导入CA证书信息。

[SwitchA]display pki certificate domain client384 local

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 2 (0x2)

    Signature Algorithm: ecdsa-with-SHA384

        Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA

        Validity

            Not Before: Aug 20 10:10:59 2015 GMT

            Not After : Aug 19 10:10:59 2016 GMT

        Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=ssh client

        Subject Public Key Info:

            Public Key Algorithm: id-ecPublicKey

                Public-Key: (384 bit)

                pub:

                    04:85:7c:8b:f4:7a:36:bf:74:f6:7c:72:f9:08:69:

                    d0:b9:ac:89:98:17:c9:fc:89:94:43:da:9a:a6:89:

                    41:d3:72:24:9b:9a:29:a8:d1:ba:b4:e5:77:ba:fc:

                    df:ae:c6:dd:46:72:ab:bc:d1:7f:18:7d:54:88:f6:

                    b4:06:54:7e:e7:4d:49:b4:07:dc:30:54:4b:b6:5b:

                    01:10:51:6b:0c:6d:a3:b1:4b:c9:d9:6c:d6:be:13:

                    91:70:31:2a:92:00:76

                ASN1 OID: secp384r1

                NIST CURVE: P-384

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                BD:5F:8E:4F:7B:FE:74:03:5A:D1:94:DB:CA:A7:82:D6:F7:78:A1:B0

            X509v3 Authority Key Identifier:

                keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22

 

    Signature Algorithm: ecdsa-with-SHA384

         30:66:02:31:00:d2:06:fa:2c:0b:0d:f0:81:90:01:c3:3d:bf:

         97:b3:79:d8:25:a0:e2:0e:ed:00:c9:48:3e:c9:71:43:c9:b4:

         2a:a6:0a:27:80:9e:d4:0f:f2:db:db:5b:40:b1:a9:0a:e4:02:

         31:00:ee:00:e1:07:c0:2f:12:3f:88:ea:fe:19:05:ef:56:ca:

         33:71:75:5e:11:c9:a6:51:4b:3e:7c:eb:2a:4d:87:2b:71:7c:

         30:64:fe:14:ce:06:d5:0a:e2:cf:9a:69:19:ff

# 配置VLAN接口2的IP地址。

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 192.168.0.2 255.255.255.0

[SwitchA-Vlan-interface2] quit

[SwitchA] quit

(2)     配置Stelnet Suite B服务器

# 服务器上配置证书的PKI域与客户端相同,具体过程略。

# 配置服务器Suite B算法集。

[SwitchB] ssh2 algorithm key-exchange ecdh-sha2-nistp384

[SwitchB] ssh2 algorithm cipher aes256-gcm

[SwitchB] ssh2 algorithm public-key x509v3-ecdsa-sha2-nistp384

# 配置服务器证书所在的PKI域。

[SwitchB] ssh server pki-domain server384

# 开启SFTP服务器功能。

[SwitchB] sftp server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接SFTP服务器。

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ip address 192.168.0.1 255.255.255.0

[SwitchB-Vlan-interface2] quit

# 设置SFTP客户端登录用户线的认证方式为AAA认证。

[SwitchB] line vty 0 15

[SwitchB-line-vty0-15] authentication-mode scheme

[SwitchB-line-vty0-15] quit

# 创建设备管理类本地用户client001,服务类型为SSH,用户角色为network-admin。

[SwitchB] local-user client001 class manage

[SwitchB-luser-manage-client001] service-type ssh

[SwitchB-luser-manage-client001] authorization-attribute user-role network-admin

[SwitchB-luser-manage-client001] quit

# 设置SSH用户client001的认证方式为publickey,并指定认证证书所在PKI域为client384。

[Switch] ssh user client001 service-type sftp authentication-type publickey assign pki-domain client384

(3)     SFTP Suite B客户端建立与SFTP Suite B服务器的连接

# 建立到服务器192.168.0.1的SSH连接。

<SwitchA> sftp 192.168.0.1 suite-b 192-bit pki-domain client384 server-pki-domain server384

Username: client001

Press CTRL+C to abort.

Connecting to 192.168.0.1 port 22.

sftp>

1.10  SCP典型配置举例

说明

·     举例中的设备运行于非FIPS模式下。

·     若设备运行于FIPS模式下,相关的配置和显示信息将有所变化,请以设备的实际情况为准。设备作为服务器仅支持ECDSA、RSA密钥对,请不要生成DSA密钥对。

 

1.10.1  SCP文件传输配置举例(password认证)

1. 组网需求

如下图所示,Switch A作为SCP客户端,Switch B作为SCP服务器。现有如下具体需求:

·     用户能够通过Switch A安全地安全地登录到Switch B上,并被授予用户角色network-admin与Switch B进行文件传输。

·     Switch B采用password认证对SCP客户端进行认证,客户端的用户名和密码保存在Switch B上。

2. 组网图

图1-18 SCP文件传输配置组网图

 

3. 配置步骤

(1)     配置SCP服务器

# 生成RSA密钥对。

<SwitchB> system-view

[SwitchB] public-key local create rsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[SwitchB] public-key local create dsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+.

Create the key pair successfully.

# 生成ECDSA密钥对。

[SwitchB] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 开启SCP服务器功能。

[SwitchB] scp server enable

# 配置接口VLAN接口2的IP地址,客户端将通过该地址连接SCP服务器。

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ip address 192.168.0.1 255.255.255.0

[SwitchB-Vlan-interface2] quit

# 创建设备管理类本地用户client001,并设置密码为明文aabbcc,服务类型为SSH。

[SwitchB] local-user client001 class manage

[SwitchB-luser-manage-client001] password simple aabbcc

[SwitchB-luser-manage-client001] service-type ssh

[SwitchB-luser-manage-client001] authorization-attribute user-role network-admin

[SwitchB-luser-manage-client001] quit

# 配置SSH用户client001的服务类型为scp,认证方式为password认证。(此步骤可以不配置)

[SwitchB] ssh user client001 service-type scp authentication-type password

(2)     配置SCP客户端

# 配置接口VLAN 2的IP地址。

<SwitchA> system-view

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 192.168.0.2 255.255.255.0

[SwitchA-Vlan-interface2] quit

[SwitchA] quit

(3)     SCP客户端从SCP服务器下载文件

# 与远程SCP服务器建立连接,并下载远端的remote.bin文件,下载到本地后更名为local.bin。

<SwitchA> scp 192.168.0.1 get remote.bin local.bin

Username: client001

Press CTRL+C to abort.

Connecting to 192.168.0.1 port 22.

The server is not authenticated. Continue? [Y/N]:y

Do you want to save the server public key? [Y/N]:n

client001@192.168.0.1’s password:

remote.bin                                       100% 2875     2.8KB/s   00:00

1.10.2  设备支持SCP Suite B配置举例

1. 组网需求

·     配置Switch A作为SCP Suite B客户端,用户能够通过Switch A安全地登录到Switch B上

·     SwitchB设备配置为Suite B服务器模式;

·     用户可以通过Switch A上运行的SCP Suite B客户端软件(SSH2版本)安全地登录到Switch B上,并被授予用户角色network-admin进行配置管理;

·     Switch B采用publickey认证方式对SCP Suite B客户端进行认证。

2. 组网图

图1-19 设备支持SCP Suite B配置组网图

 

3. 配置步骤

说明

·     在服务器的配置过程中需要指定服务器和客户端的证书信息,因此需要首先完成证书的配置,再进行Suite B相关的服务器配置。

·     客户端软件支持Suite B的较少,OpenSSH的pkix版本通过修改可以实现。本文中仅以我司设备客户端为例,说明SCP Suite B客户端的配置方法。

 

(1)     配置SCP Suite B客户端,导入两种证书

# 客户端和服务器证书生成后,需要将保存的证书文件ssh-server-ecdsa256.p12、ssh-client-ecdsa256.p12、ssh-server-ecdsa384.p12和ssh-client-ecdsa384.p12通过FTP/TFTP方式上传到客户端设备,具体过程略。

# 配置验证服务器ecdsa256证书的PKI域。

<SwitchA> system-view

[SwitchA] pki domain server256

# 关闭CRL检查。

[SwitchA-pki-domain-server256] undo crl check enable

[SwitchA-pki-domain-server256] quit

# 导入CA证书。

[SwitchA] pki import domain server256 p12 local filename ssh-server-ecdsa256.p12

The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).

Please enter the key pair name[default name: server256]:

# 显示导入CA证书信息。

[SwitchA] display pki certificate domain server256 local

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 3 (0x3)

    Signature Algorithm: ecdsa-with-SHA256

        Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA

        Validity

            Not Before: Aug 21 08:39:51 2015 GMT

            Not After : Aug 20 08:39:51 2016 GMT

        Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=SSH Server secp256

        Subject Public Key Info:

            Public Key Algorithm: id-ecPublicKey

                Public-Key: (256 bit)

                pub:

                    04:a2:b4:b4:66:1e:3b:d5:50:50:0e:55:19:8d:52:

                    6d:47:8c:3d:3d:96:75:88:2f:9a:ba:a2:a7:f9:ef:

                    0a:a9:20:b7:b6:6a:90:0e:f8:c6:de:15:a2:23:81:

                    3c:9e:a2:b7:83:87:b9:ad:28:c8:2a:5e:58:11:8e:

                    c7:61:4a:52:51

                ASN1 OID: prime256v1

                NIST CURVE: P-256

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                08:C1:F1:AA:97:45:19:6A:DA:4A:F2:87:A1:1A:E8:30:BD:31:30:D7

            X509v3 Authority Key Identifier:

                keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22

 

    Signature Algorithm: ecdsa-with-SHA256

         30:65:02:31:00:a9:16:e9:c1:76:f0:32:fc:4b:f9:8f:b6:7f:

         31:a0:9f:de:a7:cc:33:29:27:2c:71:2e:f9:0d:74:cb:25:c9:

         00:d2:52:18:7f:58:3f:cc:7e:8b:d3:42:65:00:cb:63:f8:02:

         30:01:a2:f6:a1:51:04:1c:61:78:f6:6b:7e:f9:f9:42:8d:7c:

         a7:bb:47:7c:2a:85:67:0d:81:12:0b:02:98:bc:06:1f:c1:3c:

         9b:c2:1b:4c:44:38:5a:14:b2:48:63:02:2b

 

# 配置客户端向服务器发送ecdsa256证书所在的PKI域。

[SwitchA] pki domain client256

# 关闭CRL检查。

[SwitchA-pki-domain-client256] undo crl check enable

[SwitchA-pki-domain-client256] quit

# 导入CA证书。

[SwitchA] pki import domain client256 p12 local filename ssh-client-ecdsa256.p12

The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).

Please enter the key pair name[default name: client256]:

# 显示导入CA证书信息。

[SwitchA] display pki certificate domain client256 local

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 4 (0x4)

    Signature Algorithm: ecdsa-with-SHA256

        Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA

        Validity

            Not Before: Aug 21 08:41:09 2015 GMT

            Not After : Aug 20 08:41:09 2016 GMT

        Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=SSH Client secp256

        Subject Public Key Info:

            Public Key Algorithm: id-ecPublicKey

                Public-Key: (256 bit)

                pub:

                    04:da:e2:26:45:87:7a:63:20:e7:ca:7f:82:19:f5:

                    96:88:3e:25:46:f8:2f:9a:4c:70:61:35:db:e4:39:

                    b8:38:c4:60:4a:65:28:49:14:32:3c:cc:6d:cd:34:

                    29:83:84:74:a7:2d:0e:75:1c:c2:52:58:1e:22:16:

                    12:d0:b4:8a:92

                ASN1 OID: prime256v1

                NIST CURVE: P-256

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                1A:61:60:4D:76:40:B8:BA:5D:A1:3C:60:BC:57:98:35:20:79:80:FC

            X509v3 Authority Key Identifier:

                keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22

 

    Signature Algorithm: ecdsa-with-SHA256

         30:66:02:31:00:9a:6d:fd:7d:ab:ae:54:9a:81:71:e6:bb:ad:

         5a:2e:dc:1d:b3:8a:bf:ce:ee:71:4e:8f:d9:93:7f:a3:48:a1:

         5c:17:cb:22:fa:8f:b3:e5:76:89:06:9f:96:47:dc:34:87:02:

         31:00:e3:af:2a:8f:d6:8d:1f:3a:2b:ae:2f:97:b3:52:63:b6:

         18:67:70:2c:93:2a:41:c0:e7:fa:93:20:09:4d:f4:bf:d0:11:

         66:0f:48:56:01:1e:c3:be:37:4e:49:19:cf:c6

# 配置验证服务器ecdsa384证书的PKI域。

[SwitchA] pki domain server384

# 关闭CRL检查。

[SwitchA-pki-domain-server384] undo crl check enable

[SwitchA-pki-domain-server384] quit

# 导入CA证书。

[SwitchA] pki import domain server384 p12 local filename ssh-server-ecdsa384.p12

The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).

Please enter the key pair name[default name: server384]:

# 显示导入CA证书信息。

[SwitchA] display pki certificate domain server384 local

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 1 (0x1)

    Signature Algorithm: ecdsa-with-SHA384

        Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA

        Validity

            Not Before: Aug 20 10:08:41 2015 GMT

            Not After : Aug 19 10:08:41 2016 GMT

        Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=ssh server

        Subject Public Key Info:

            Public Key Algorithm: id-ecPublicKey

                Public-Key: (384 bit)

                pub:

                    04:4a:33:e5:99:8d:49:45:a7:a3:24:7b:32:6a:ed:

                    b6:36:e1:4d:cc:8c:05:22:f4:3a:7c:5d:b7:be:d1:

                    e6:9e:f0:ce:95:39:ca:fd:a0:86:cd:54:ab:49:60:

                    10:be:67:9f:90:3a:18:e2:7d:d9:5f:72:27:09:e7:

                    bf:7e:64:0a:59:bb:b3:7d:ae:88:14:94:45:b9:34:

                    d2:f3:93:e1:ba:b4:50:15:eb:e5:45:24:31:10:c7:

                    07:01:f9:dc:a5:6f:81

                ASN1 OID: secp384r1

                NIST CURVE: P-384

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                10:16:64:2C:DA:C1:D1:29:CD:C0:74:40:A9:70:BD:62:8A:BB:F4:D5

            X509v3 Authority Key Identifier:

                keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22

 

    Signature Algorithm: ecdsa-with-SHA384

         30:65:02:31:00:80:50:7a:4f:c5:cd:6a:c3:57:13:7f:e9:da:

         c1:72:7f:45:30:17:c2:a7:d3:ec:73:3d:5f:4d:e3:96:f6:a3:

         33:fb:e4:b9:ff:47:f1:af:9d:e3:03:d2:24:53:40:09:5b:02:

         30:45:d1:bf:51:fd:da:22:11:90:03:f9:d4:05:ec:d6:7c:41:

         fc:9d:a1:fd:5b:8c:73:f8:b6:4c:c3:41:f7:c6:7f:2f:05:2d:

         37:f8:52:52:26:99:28:97:ac:6e:f9:c7:01

 

# 配置客户端向服务器发送ecdsa384证书所在的PKI域。

[SwitchA] pki domain client384

# 关闭CRL检查。

[SwitchA-pki-domain-client384] undo crl check enable

[SwitchA-pki-domain-client384] quit

# 导入CA证书。

[SwitchA] pki import domain client384 p12 local filename ssh-client-ecdsa384.p12

The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).

Please enter the key pair name[default name: client384]:

# 显示导入CA证书信息。

[SwitchA] display pki certificate domain client384 local

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 2 (0x2)

    Signature Algorithm: ecdsa-with-SHA384

        Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA

        Validity

            Not Before: Aug 20 10:10:59 2015 GMT

            Not After : Aug 19 10:10:59 2016 GMT

        Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=ssh client

        Subject Public Key Info:

            Public Key Algorithm: id-ecPublicKey

                Public-Key: (384 bit)

                pub:

                    04:85:7c:8b:f4:7a:36:bf:74:f6:7c:72:f9:08:69:

                    d0:b9:ac:89:98:17:c9:fc:89:94:43:da:9a:a6:89:

                    41:d3:72:24:9b:9a:29:a8:d1:ba:b4:e5:77:ba:fc:

                    df:ae:c6:dd:46:72:ab:bc:d1:7f:18:7d:54:88:f6:

                    b4:06:54:7e:e7:4d:49:b4:07:dc:30:54:4b:b6:5b:

                    01:10:51:6b:0c:6d:a3:b1:4b:c9:d9:6c:d6:be:13:

                    91:70:31:2a:92:00:76

                ASN1 OID: secp384r1

                NIST CURVE: P-384

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                BD:5F:8E:4F:7B:FE:74:03:5A:D1:94:DB:CA:A7:82:D6:F7:78:A1:B0

            X509v3 Authority Key Identifier:

                keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22

 

    Signature Algorithm: ecdsa-with-SHA384

         30:66:02:31:00:d2:06:fa:2c:0b:0d:f0:81:90:01:c3:3d:bf:

         97:b3:79:d8:25:a0:e2:0e:ed:00:c9:48:3e:c9:71:43:c9:b4:

         2a:a6:0a:27:80:9e:d4:0f:f2:db:db:5b:40:b1:a9:0a:e4:02:

         31:00:ee:00:e1:07:c0:2f:12:3f:88:ea:fe:19:05:ef:56:ca:

         33:71:75:5e:11:c9:a6:51:4b:3e:7c:eb:2a:4d:87:2b:71:7c:

         30:64:fe:14:ce:06:d5:0a:e2:cf:9a:69:19:ff

# 配置VLAN接口2的IP地址。

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 192.168.0.2 255.255.255.0

[SwitchA-Vlan-interface2] quit

(2)     配置SCP Suite B服务器,导入两种证书

# 服务器上配置证书的PKI域与客户端相同,具体过程略。

# 配置服务器Suite B算法集。

<SwitchB> system-view

[SwitchB] ssh2 algorithm key-exchange ecdh-sha2-nistp256 ecdh-sha2-nistp384

[SwitchB] ssh2 algorithm cipher aes128-gcm aes256-gcm

[SwitchB] ssh2 algorithm public-key x509v3-ecdsa-sha2-nistp256 x509v3-ecdsa-sha2-nistp384

# 开启SCP服务器功能。

[SwitchB] scp server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接SFTP服务器。

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ip address 192.168.0.1 255.255.255.0

[SwitchB-Vlan-interface2] quit

# 设置SCP客户端登录用户线的认证方式为AAA认证。

[SwitchB] line vty 0 15

[SwitchB-line-vty0-15] authentication-mode scheme

[SwitchB-line-vty0-15] quit

# 创建设备管理类本地用户client001,服务类型为SSH,用户角色为network-admin。

[SwitchB] local-user client001 class manage

[SwitchB-luser-manage-client001] service-type ssh

[SwitchB-luser-manage-client001] authorization-attribute user-role network-admin

[SwitchB-luser-manage-client001] quit

# 创建设备管理类本地用户client002,服务类型为SSH,用户角色为network-admin。

[SwitchB] local-user client002 class manage

[SwitchB-luser-manage-client002] service-type ssh

[SwitchB-luser-manage-client002] authorization-attribute user-role network-admin

[SwitchB-luser-manage-client002] quit

(3)     SCP Suite B客户端建立与SCP Suite B服务器的128-bit连接

# 配置服务器证书所在的PKI域。

[SwitchB]ssh server pki-domain server256

# 设置SSH用户client001的认证方式为publickey,并指定认证证书所在PKI域为client256。

[Switch] ssh user client001 service-type scp authentication-type publickey assign pki-domain client256

# 建立到服务器192.168.0.1的SSH连接。

<SwitchA> scp 192.168.0.1 get src.cfg suite-b 128-bit pki-domain client256 server-pki

-domain server256

Username: client001

Press CTRL+C to abort.

Connecting to 192.168.0.1 port 22.

src.cfg                                       100% 4814     4.7KB/s   00:00

<SwitchA>

(4)     SCP suite-b客户端建立与SCP suite-b服务器的192-bit连接

# 配置服务器证书所在的PKI域。

[SwitchB] ssh server pki-domain server384

# 设置SSH用户client002的认证方式为publickey,并指定认证证书所在PKI域为client384。

[Switch] ssh user client002 service-type scp authentication-type publickey assign pki-domain client384

# 建立到服务器192.168.0.1的SSH连接。

<SwitchA> scp 192.168.0.1 get src.cfg suite-b 192-bit pki-domain client384 server-pki

-domain server384

Username: client002

Press CTRL+C to abort.

Connecting to 192.168.0.1 port 22.

src.cfg                                       100% 4814     4.7KB/s   00:00

<SwitchA>

1.11  NETCONF over SSH典型配置举例

说明

·     举例中的设备运行于非FIPS模式下。

·     若设备运行于FIPS模式下,相关的配置和显示信息将有所变化,请以设备的实际情况为准。设备作为服务器仅支持ECDSA、RSA密钥对,请不要生成DSA密钥对。

 

1.11.1  NETCONF over SSH配置举例(password认证)

1. 组网需求

·     用户可以通过Host上运行的支持NETCONF over SSH连接的SSH客户端软件(SSH2版本)安全地登录到Switch上,并被授予用户角色network-admin进行配置管理;

·     Switch采用password认证方式对Stelnet客户端进行认证,客户端的用户名和密码保存在本地。

2. 组网图

图1-20 设备作为NETCONF over SSH服务器配置组网图

 

3. 配置步骤

# 生成RSA密钥对。

<Switch> system-view

[Switch] public-key local create rsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[Switch] public-key local create dsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+.

Create the key pair successfully.

# 生成ECDSA密钥对。

[Switch] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 开启NETCONF over SSH服务器功能。

[Switch] netconf ssh server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接NETCONF over SSH服务器。

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.40 255.255.255.0

[Switch-Vlan-interface2] quit

# 设置NETCONF over SSH客户端登录用户线的认证方式为AAA认证。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 创建设备管理类本地用户client001,并设置密码为明文aabbcc,服务类型为SSH,用户角色为network-admin。

[Switch] local-user client001 class manage

[Switch-luser-manage-client001] password simple aabbcc

[Switch-luser-manage-client001] service-type ssh

[Switch-luser-manage-client001] authorization-attribute user-role network-admin

[Switch-luser-manage-client001] quit

# 配置SSH用户client001的服务类型为NETCONF,认证方式为password认证。(此步骤可以不配置)

[Switch] ssh user client001 service-type netconf authentication-type password

4. 验证配置

用户通过支持NETCONF over SSH连接的客户端软件与Switch建立NETCONF over SSH连接之后,可直接进入Switch的NETCONF配置模式。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们