- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-SSH命令
本章节下载: 07-SSH命令 (379.33 KB)
1.1.2 display ssh user-information
1.1.5 sftp server idle-timeout
1.1.7 ssh server authentication-retries
1.1.8 ssh server authentication-timeout
1.1.9 ssh server compatible-ssh1x enable
1.1.15 ssh server rekey-interval
1.2.6 display sftp client source
1.2.7 display ssh client source
1.2.24 sftp client ipv6 source
1.3.3 ssh2 algorithm key-exchange
1.3.5 ssh2 algorithm public-key
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
display ssh server命令用来在SSH服务器端显示该服务器的状态信息或会话信息。
display ssh server { session | status }
mdc-admin
mdc-operator
session:显示SSH服务器的会话信息。
status:显示SSH服务器的状态信息。
# 在SSH服务器端显示该服务器的状态信息。
<Sysname> display ssh server status
Stelnet server: Disable
SSH version : 1.99
SSH authentication-timeout : 60 second(s)
SSH server key generating interval : 0 hour(s)
SSH authentication retries : 3 time(s)
SFTP server: Disable
SFTP server Idle-Timeout: 10 minute(s)
NETCONF server: Disable
SCP server: Disable
表1-1 display ssh server status命令显示信息描述表
|
Stelnet服务器功能的状态 |
|
|
SSH协议版本 SSH服务器兼容SSH1时,协议版本为1.99;SSH服务器不兼容SSH1时,协议版本为2.0 |
|
|
SSH用户认证尝试的最大次数 |
|
|
SFTP服务器功能的状态 |
|
|
SFTP用户连接的空闲超时时间 |
|
|
NETCONF server |
NETCONF over SSH服务器功能的状态 |
|
SCP服务器功能的状态 |
# 在SSH服务器端显示该服务器的会话信息。
<Sysname> display ssh server session
UserPid SessID Ver Encrypt State Retries Serv Username
184 0 2.0 aes128-cbc Established 1 Stelnet abc@123
表1-2 display ssh server session显示信息描述表
|
SSH服务器的协议版本 |
|
|
SSH服务器本端使用的加密算法 |
|
|
· Init:初始化状态 · Ver-exchange:版本协商 · Keys-exchange:密钥交换 · Auth-request:用户认证 · Serv-request:服务请求 · Established:会话已经建立 · Disconnected:断开会话 |
|
|
服务类型,包括SCP、SFTP、Stelnet、NETCONF |
|
display ssh user-information命令用来在SSH服务器端显示SSH用户的信息。
display ssh user-information [ username ]
mdc-admin
mdc-operator
username:SSH用户名,为1~80个字符的字符串,区分大小写。如果没有指定本参数,则显示所有SSH用户的信息。
本命令仅用来显示SSH服务器端通过ssh user命令配置的SSH用户信息。
# 显示所有SSH用户的信息。
<Sysname> display ssh user-information
Total ssh users:2
Username Authentication-type User-public-key-name Service-type
yemx password null Stelnet
test publickey pubkey SFTP
表1-3 display ssh user-information显示信息描述表
|
SSH用户的总数 |
|
|
认证类型,取值包括password、publickey、password-publickey和any |
|
|
如果认证类型为password,则用户公钥名称显示为null |
|
|
服务类型,取值包括SCP、SFTP、Stelnet、NETCONF或all |
scp server enable命令用来使能SCP服务器功能。
undo scp server enable命令用来关闭SCP服务器功能。
SCP服务器功能处于关闭状态。
mdc-admin
# 使能SCP服务器功能。
[Sysname] scp server enable
sftp server enable命令用来使能SFTP服务器功能。
undo sftp server enable命令用来关闭SFTP服务器功能。
SFTP服务器功能处于关闭状态。
mdc-admin
# 使能SFTP服务器功能。
[Sysname] sftp server enable
sftp server idle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间。
undo sftp server idle-timeout命令用来恢复缺省情况。
sftp server idle-timeout time-out-value
SFTP用户连接的空闲超时时间为10分钟。
mdc-admin
time-out-value:超时时间,取值范围为1~35791,单位为分钟。
当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作。若同一时间内并发的SFTP连接数较多,可适当减小该值,及时释放系统资源给新用户接入。
# 设置SFTP用户连接的空闲超时时间为500分钟。
[Sysname] sftp server idle-timeout 500
ssh server acl命令用来设置对IPv4 SSH客户端的访问控制。
undo ssh server acl命令用来恢复缺省情况。
undo ssh server acl
允许所有IPv4 SSH客户端向设备发起SSH访问。
mdc-admin
acl-number:指定ACL的编号,取值范围为2000~4999。
通过本命令可以过滤IPv4 SSH客户端发起的SSH请求报文,具体实现如下:
· 若指定的ACL非空,则只允许匹配ACL permit规则的客户端访问设备。
· 若指定的ACL不存在,或者ACL中无任何规则,则允许SSH客户端发起SSH访问。
该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接。
# 只允许IPv4地址为1.1.1.1的SSH客户端向设备发起SSH访问。
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-basic-2001] quit
[Sysname] ssh server acl 2001
ssh server authentication-retries命令用来设置允许SSH用户认证尝试的最大次数。
undo ssh server authentication-retries命令用来恢复缺省情况。
ssh server authentication-retries times
undo ssh server authentication-retries
允许SSH用户认证尝试的最大次数为3次。
mdc-admin
times:指定每个SSH用户认证尝试的最大次数,取值范围为1~5。
通过本命令可以限制用户尝试登录的次数,防止非法用户对用户名和密码进行恶意地猜测和破解。
· 该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效。
· 在any认证方式下,SSH客户端通过publickey和password两种方式进行认证尝试的次数总和(可通过命令display ssh server session查看),不能超过ssh server authentication-retries命令配置的SSH连接认证尝试的最大次数。
· 对于password-publickey认证方式,设备首先对SSH用户进行publickey认证,然后进行password认证,这个过程为一次认证尝试,而不是两次认证尝试。
# 指定允许SSH用户认证尝试的最大次数为4。
[Sysname] ssh server authentication-retries 4
ssh server authentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间。
undo ssh server authentication-timeout命令用来恢复缺省情况。
ssh server authentication-timeout time-out-value
undo ssh server authentication-timeout
SSH用户的认证超时时间为60秒。
mdc-admin
time-out-value:认证超时时间,取值范围为1~120,单位为秒。
如果SSH用户在设置的认证超时时间内没有完成认证,SSH服务器就拒绝该用户的连接。
为了防止不法用户建立起TCP连接后,不进行接下来的认证,而占用系统资源,妨碍其它合法用户的正常登录,可以适当调小SSH用户认证超时时间。
# 设置SSH用户认证超时时间为10秒。
[Sysname] ssh server authentication-timeout 10
ssh server compatible-ssh1x enable命令用来设置SSH服务器兼容SSH1版本的客户端。
undo ssh server compatible-ssh1x [ enable ]命令用来设置SSH服务器不兼容SSH1版本的客户端。
ssh server compatible-ssh1x enable
undo ssh server compatible-ssh1x [ enable ]
缺省情况下,SSH服务器兼容SSH1版本的客户端。
mdc-admin
mdc-operator
FIPS模式下,不支持本命令。
该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效。
# 配置服务器兼容SSH1版本的客户端。
[Sysname] ssh server compatible-ssh1x enable
ssh server dscp命令用来设置IPv4 SSH服务器向SSH客户端发送的报文的DSCP优先级。
undo ssh server dscp命令用来恢复缺省情况。
IPv4 SSH报文的DSCP优先级为48。
mdc-admin
dscp-value:IPv4 SSH报文的DSCP优先级,取值范围为0~63。取值越大,优先级越高。
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。通过本命令可以指定服务器发送的IPv4 SSH报文中携带的DSCP优先级的取值。
# 配置IPv4 SSH服务器向SSH客户端发送的报文的DSCP优先级为30。
[Sysname] ssh server dscp 30
ssh server enable命令用来使能Stelnet服务器功能。
undo ssh server enable命令用来关闭Stelnet服务器功能。
Stelnet服务器功能处于关闭状态。
mdc-admin
# 使能Stelnet服务器功能。
[Sysname] ssh server enable
ssh server ipv6 acl命令用来设置对IPv6 SSH客户端的访问控制。
undo ssh server ipv6 acl命令用来恢复缺省情况。
ssh server ipv6 acl [ ipv6 ] acl-number
undo ssh server ipv6 acl
允许所有IPv6 SSH客户端向设备发起SSH访问。
mdc-admin
ipv6:指定IPv6 ACL的编号。若不指定该参数,则表示指定二层ACL。
acl-number:指定ACL的编号。
· 指定ipv6关键字时,取值范围为2000~3999。
· 不指定ipv6关键字时,取值范围为4000~4999。
通过本命令可以过滤IPv6 SSH客户端发起的SSH请求报文,具体实现如下:
· 若指定的ACL非空,则只允许匹配ACL permit规则的客户端访问设备。
· 若指定的ACL不存在,或者ACL中无任何规则,则允许SSH客户端发起SSH访问。
该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接。
# 只允许1::1/64网段内的SSH客户端向设备发起SSH访问。
[Sysname] acl ipv6 number 2001
[Sysname-acl6-basic-2001] rule permit source 1::1 64
[Sysname-acl6-basic-2001] quit
[Sysname] ssh server ipv6 acl ipv6 2001
ssh server ipv6 dscp命令用来设置IPv6 SSH服务器向SSH客户端发送的报文的DSCP优先级。
undo ssh server ipv6 dscp命令用来恢复缺省情况。
ssh server ipv6 dscp dscp-value
IPv6 SSH报文的DSCP优先级为48。
mdc-admin
dscp-value:IPv6 SSH报文的DSCP优先级,取值范围为0~63。取值越大,优先级越高。
DSCP携带在IPv6报文中的Trafic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。通过本命令可以指定服务器发送的SSH报文中携带的DSCP优先级的取值。
# 配置IPv6 SSH服务器向SSH客户端发送的报文的DSCP优先级为30。
[Sysname] ssh server ipv6 dscp 30
ssh server pki-domain命令用来配置服务器所属的PKI域。
undo ssh server pki-domain命令用来删除服务器所属的PKI域。
【命令】
ssh server pki-domain domain-name
undo ssh server pki-domain
【缺省情况】
未配置服务器所属的PKI域。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain-name:验证服务端的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【举例】
# 配置SSH服务器所属的PKI域为serverpkidomain。
<Sysname> system-view
[Sysname] ssh server pki-domain serverpkidomain
ssh server rekey-interval命令用来设置RSA服务器密钥对的更新时间。
undo ssh server rekey-interval命令用来恢复缺省情况。
ssh server rekey-interval hours
undo ssh server rekey-interval
RSA服务器密钥对的更新时间为0,表示系统不更新RSA服务器密钥对。
mdc-admin
hours:服务器密钥对的更新周期,取值范围为1~24,单位为小时。
SSH的核心是密钥对的协商和传输,因此密钥对的管理是非常重要的。通过定时更新服务器密钥对,可以防止对密钥对的恶意猜测和破解,从而提高了SSH连接的安全性。
需要注意的是,本配置仅对SSH客户端版本为SSH1的用户有效。
FIPS模式下,不支持本命令。
# 设置每3小时更新一次RSA服务器密钥对。
[Sysname] ssh server rekey-interval 3
ssh user命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式。
undo ssh user命令用来删除SSH用户。
非FIPS模式下:
ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | { any | password-publickey | publickey } [ assign { pki-domain domain-name | publickey keyname } ] }
FIPS模式下:
ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | password-publickey [ assign { pki-domain domain-name | publickey keyname } ] }
不存在任何SSH用户。
mdc-admin
username:SSH用户名,为1~80个字符的字符串,区分大小写。若用户名中携带ISP域名,则其形式为pureusername@domain,其中,pureusername为1~55个字符的字符串,domain为1~24个字符的字符串。
service-type:SSH用户的服务类型。包括:
· all:包括scp、sftp、stelnet和netconf。
· scp:服务类型为SCP(Secure Copy的简称)。
· sftp:服务类型为SFTP(Secure FTP的简称)。
· stelnet:服务类型为Stelnet(Secure Telnet的简称)。
· netconf:服务类型为NETCONF over SSH。
authentication-type:SSH用户的认证方式。包括:
· password:强制指定该用户的认证方式为password。该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication, Authorization, Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击。
· any:不指定用户的认证方式,用户既可以采用password认证,也可以采用publickey认证。
· password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可。
· publickey:强制指定该用户的认证方式为publickey。该认证方式的加密速度相对较慢,但认证强度高,不易受到暴力猜测密码等攻击方式的影响,而且具有较高的易用性。一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码。
assign:指定用于验证客户端的参数。
· pki-domain domain-name:指定验证客户端证书的PKI域。domain-name表示PKI域的名称,为1~31个字符的字符串,不区分大小写。服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查,无需提前保存客户端的公钥,能够灵活满足大数量客户端的认证需求。
· publickey keyname:为SSH客户端的公钥。keyname表示已经配置的客户端公钥名称,为1~64个字符的字符串,不区分大小写。服务器端使用提前保存在本地的用户公钥对用户进行合法性检查,如果客户端密钥文件改变,服务器端需要及时更新本地配置。
如果服务器采用publickey方式认证客户端,则必须通过本配置在设备上创建相应的SSH用户,并需要创建同名的本地用户,用于对SSH用户进行本地授权,包括授权用户角色、工作目录;如果服务器采用password方式认证客户端,则必须将SSH用户的账号信息配置在设备(适用于本地认证)或者远程认证服务器(如RADIUS服务器,适用于远程认证)上,而并不要求通过本配置创建相应的SSH用户。
使用该命令为用户指定公钥或PKI域时,以最后一次指定的公钥或PKI域为准。若不指定pki-domain和publickey,则表示该用户采用证书认证方式登录,服务器使用其PKI域验证客户端的证书。
新配置的服务类型、认证方式和用户公钥或PKI域,不会影响已经登录的SSH用户,仅对新登录的用户生效。
SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关:
· 采用publickey或password-publickey认证方式的用户,使用的工作目录为对应的本地用户视图下通过authorization-attribute命令设置的工作目录。
· 只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录。
SSH用户登录时拥有的用户角色与用户使用的认证方式有关:
· 采用publickey或password-publickey认证方式的用户,用户角色为对应的本地用户视图下通过authorization-attribute命令设置的用户角色。
· 采用password认证方式的用户,用户角色为通过AAA授权的用户角色。
# 创建SSH用户user1,配置user1的服务类型为SFTP,认证方式为password-publickey,并指定客户端公钥为key1。
[Sysname] ssh user user1 service-type sftp authentication-type password-publickey assign publickey key1
# 创建SSH用户user1,配置user1的服务器类型为SFTP,认证方式为password-publickey。
<Sysname> system-view
[Sysname] ssh user user1 service-type sftp authentication-type password-publickey
# 创建设备管理类本地用户user1,配置用户密码为明文123456TESTplat&!, 服务类型为SSH,授权工作目录为flash:,授权用户角色为network-admin。
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
[Sysname-luser-manage-user1] service-type ssh
[Sysname-luser-manage-user1] authorization-attribute work-directory flash: user-role network-admin
· authorization-attribute(安全命令参考/AAA)
· display ssh user-information
· local-user(安全命令参考/AAA)
· pki domain(安全命令参考/PKI)
bye命令用来终止与远程SFTP服务器的连接,并退回到用户视图。
SFTP客户端视图
mdc-admin
该命令功能与exit、quit相同。
# 终止与远程SFTP服务器的连接。
<Sysname>
cd命令用来改变远程SFTP服务器上的工作路径。
SFTP客户端视图
mdc-admin
remote-path:目的工作路径的名称。
命令“cd ..”用来返回到上一级目录。
命令“cd /”用来返回到系统的根目录。
# 改变工作路径到new1。
Current Directory is:/new1
sftp> pwd
Remote working directory: /new1
sftp>
cdup命令用来返回到上一级目录。
SFTP客户端视图
mdc-admin
# 从当前工作目录/test1返回到上一级目录。
Current Directory is:/test1
sftp> pwd
Remote working directory: /test1
sftp> cdup
Current Directory is:/
sftp> pwd
Remote working directory: /
sftp>
delete命令用来删除SFTP服务器上指定的文件。
SFTP客户端视图
mdc-admin
remote-file:要删除的文件的名称。
该命令和remove功能相同。
# 删除服务器上的文件temp.c。
Removing /temp.c
dir命令用来显示指定目录下文件及文件夹的信息。
dir [ -a | -l ] [ remote-path ]
SFTP客户端视图
mdc-admin
-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以“.”开头的文件及文件夹的详细信息。
-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以“.”开头的文件及文件夹的详细信息。
remote-path:查询的目录名。
如果没有指定-a和-l参数,则显示指定目录下文件及文件夹的名称。
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。
该命令功能与ls相同。
# 以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以“.”开头的文件及文件夹的详细信息。
drwxrwxrwx 2 1 1 512 Dec 18 14:12 .
drwxrwxrwx 2 1 1 512 Dec 18 14:12 ..
-rwxrwxrwx 1 1 1 301 Dec 18 14:11 010.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 011.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 012.pub
# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。
-rwxrwxrwx 1 1 1 301 Dec 18 14:11 010.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 011.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 012.pu
display sftp client source命令用来显示当前为SFTP客户端设置的源IP地址或者源接口。
mdc-admin
mdc-operator
# 显示设置的SFTP客户端的源IP地址或者源接口。
<Sysname> display sftp client source
The source IP address of the SFTP client is 192.168.0.1.
The source IPv6 address of the SFTP client is 2:2::2:2.
display ssh client source命令用来显示Stelnet客户端的源IP地址。
mdc-admin
mdc-operator
# 显示Stelnet客户端的源IP地址。
<Sysname> display ssh client source
The source IP address of the SSH client is 192.168.0.1.
The source IPv6 address of the SSH client is 2:2::2:2.
exit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。
SFTP客户端视图
mdc-admin
该命令功能与bye,quit相同。
# 终止与远程SFTP服务器的连接。
<Sysname>
get命令用来从远程SFTP服务器上下载文件并存储在本地。
get remote-file [ local-file ]
SFTP客户端视图
mdc-admin
remote-file:远程SFTP服务器上的文件名。
local-file:本地文件名。
如果没有指定本地文件名,则认为本地保存文件的文件名与服务器上的文件名相同。
# 下载远程服务器上的temp1.c文件,并以文件名temp.c在本地保存。
Fetching /temp1.c to temp.c
/temp.c 100% 1424 1.4KB/s 00:00
help命令用来显示SFTP客户端命令的帮助信息。
SFTP客户端视图
mdc-admin
键入?和执行help命令的功能相同。
# 查看帮助信息。
Available commands:
bye Quit sftp
cd [path] Change remote directory to 'path'
cdup Change remote directory to the parent directory
delete path Delete remote file
dir [-a|-l][path] Display remote directory listing
-a List all filenames
-l List filename including the specific
information of the file
exit Quit sftp
get remote-path [local-path] Download file
help Display this help text
ls [-a|-l][path] Display remote directory
-a List all filenames
-l List filename including the specific
information of the file
mkdir path Create remote directory
put local-path [remote-path] Upload file
pwd Display remote working directory
quit Quit sftp
rename oldpath newpath Rename remote file
remove path Delete remote file
rmdir path Delete remote empty directory
? Synonym for help
ls命令用来显示指定目录下文件及文件夹的信息。
ls [ -a | -l ] [ remote-path ]
SFTP客户端视图
mdc-admin
-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以“.”开头的文件及文件夹的详细信息。
-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以“.”开头的文件及文件夹的详细信息。
remote-path:查询的目录名。
如果没有指定-a和-l参数,则显示指定目录下文件及文件夹的名称。
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。
该命令功能与dir相同。
# 以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以“.”开头的文件及文件夹的详细信息。
drwxrwxrwx 2 1 1 512 Dec 18 14:12 .
drwxrwxrwx 2 1 1 512 Dec 18 14:12 ..
-rwxrwxrwx 1 1 1 301 Dec 18 14:11 010.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 011.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 012.pub
# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。
-rwxrwxrwx 1 1 1 301 Dec 18 14:11 010.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 011.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 012.pub
mkdir命令用来在远程SFTP服务器上创建新的目录。
SFTP客户端视图
mdc-admin
remote-path:远程SFTP服务器上的目录名。
# 在远程SFTP服务器上建立目录test。
put命令用来将本地的文件上传到远程SFTP服务器。
put local-file [ remote-file ]
SFTP客户端视图
mdc-admin
local-file:本地的文件名。
remote-file:远程SFTP服务器上的文件名。
如果没有指定远程服务器上的文件名,则认为服务器上保存文件的文件名与本地的文件名相同。
# 将本地startup.bak文件上传到远程SFTP服务器,并以startup01.bak文件名保存。
sftp> put startup.bak startup01.bak
Uploading startup.bak to /startup01.bak
startup01.bak 100% 1424 1.4KB/s 00:00
pwd命令用来显示远程SFTP服务器上的当前工作目录。
SFTP客户端视图
mdc-admin
# 显示远程SFTP服务器上的当前工作目录。
Remote working directory: /
quit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。
SFTP客户端视图
mdc-admin
该命令功能与bye,exit相同。
# 终止与远程SFTP服务器的连接。
<Sysname>
remove命令用来删除远程SFTP服务器上指定的文件。
remove remote-file
SFTP客户端视图
mdc-admin
remote-file:要删除的文件的名称。
该命令和delete命令相同。
# 删除远程SFTP服务器上的文件temp.c。
Removing /temp.c
rename命令用来改变远程SFTP服务器上指定的文件或者文件夹的名字。
SFTP客户端视图
mdc-admin
old-name:原文件名或者文件夹名。
new-name:新文件名或者文件夹名。
# 将远程SFTP服务器上的文件temp1.c改名为temp2.c。
aa.pub temp1.c
sftp> rename temp1.c temp2.c
sftp> dir
aa.pub temp2.c
rmdir命令用来删除远程SFTP服务器上指定的目录。
SFTP客户端视图
mdc-admin
remote-path:远程SFTP服务器上的目录名。
# 删除SFTP服务器上当前工作目录下的temp1目录。
scp命令用来与远程的SCP服务器建立连接,并进行文件传输。
非FIPS模式下:
FIPS模式下:
mdc-admin
server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为1~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
get:指定下载文件操作。
put:指定上传文件操作。
source-file-name:源文件名称。
destination-file-name:目的文件名称。不指定该参数时,表示使用源文件名称作为目的文件名称。
identity-key:客户端采用的公钥算法。非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。该参数仅当服务器端采用publickey认证时才需要指定。
· dsa:公钥算法为DSA。
· ecdsa:公钥算法为ECDSA。
· rsa:公钥算法为RSA。
· x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法。
· x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。
pki-domain domain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。
zlib:压缩算法ZLIB。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr。des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增。
· 3des-cbc:3DES-CBC加密算法。
· aes128-cbc:128位的AES-CBC加密算法。
· aes256-cbc:256位的AES-CBC加密算法。
· des-cbc:DES-CBC加密算法。
· aes128-ctr:128位AES-CTR加密算法。
· aes192-ctr:192位AES-CTR加密算法。
· aes256-ctr:256位AES-CTR加密算法。
· aes256-gcm:256位AES-GCM加密算法。
· aes128-gcm:128位AES-GCM加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256。md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
· sha2-256:HMAC算法HMAC-SHA2-256。
· sha2-512:HMAC算法HMAC-SHA2-512。
prefer-kex:密钥交换首选算法。缺省算法为ecdh-sha2-nistp256。dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。
· dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。
· dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。
· dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。
· ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。
· ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256。
publickey keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。
server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。
source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。
· interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。
· ip ip-address:指定源IPv4地址。
当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。
# SCP客户端采用publickey认证方式,登录地址为200.1.1.1的远程SCP服务器,下载名为abc.txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:
· 首选密钥交换算法为dh-group14-sha1;
· 服务器到客户端的首选加密算法为aes128-cbc;
· 客户端到服务器的首选HMAC算法为sha1;
· 服务器到客户端的HMAC算法为sha1-96;
· 服务器与客户端之间的首选压缩算法为zlib;
<Sysname> scp 200.1.1.1 get abc.txt prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey
scp ipv6命令用来与远程的IPv6 SCP服务器建立连接,并进行文件传输。
非FIPS模式下:
FIPS模式下:
mdc-admin
server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为1~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
-i interface-type interface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号。此参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必需具有链路本地地址。
get:指定下载文件操作。
put:指定上传文件操作。
source-file-name:源文件名称。
destination-file-name:目的文件名称。不指定该参数时,表示使用源文件名称作为目的文件名称。
identity-key:客户端采用的公钥算法。非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。该参数仅当服务器端采用publickey认证时才需要指定。
· dsa:公钥算法为DSA。
· ecdsa:公钥算法为ECDSA。
· rsa:公钥算法为RSA。
· x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法。
· x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。
pki-domain domain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。
zlib:压缩算法ZLIB。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr。des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增。
· 3des-cbc:3DES-CBC加密算法。
· aes128-cbc:128位的AES-CBC加密算法。
· aes256-cbc:256位的AES-CBC加密算法。
· des-cbc:DES-CBC加密算法。
· aes128-ctr:128位AES-CTR加密算法。
· aes192-ctr:192位AES-CTR加密算法。
· aes256-ctr:256位AES-CTR加密算法。
· aes256-gcm:256位AES-GCM加密算法。
· aes128-gcm:128位AES-GCM加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256。md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
· sha2-256:HMAC算法HMAC-SHA2-256。
· sha2-512:HMAC算法HMAC-SHA2-512。
prefer-kex:密钥交换首选算法。缺省算法为ecdh-sha2-nistp256。dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。
· dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。
· dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。
· dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。
· ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。
· ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256。
publickey keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。
server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。
source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IP地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。
· interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IP地址。
· ipv6 ipv6-address:指定源IPv6地址。
当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。
# SCP客户端采用publickey认证方式,登录地址为2000::1的远程SCP服务器,下载名为abc.txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:
· 首选密钥交换算法为dh-group14-sha1;
· 服务器到客户端的首选加密算法为aes128-cbc;
· 客户端到服务器的首选HMAC算法为sha1;
· 服务器到客户端的HMAC算法为sha1-96;
· 服务器与客户端之间的首选压缩算法为zlib;
<Sysname> scp ipv6 2000::1 get abc.txt prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey
scp ipv6 suite-b命令用来与远程的IPv6 SCP服务器建立基于Suite B算法集的连接,并进行文件传输。
【命令】
scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [-i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] *
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为1~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
-i interface-type interface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号。本参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必须具有链路本地地址。
get:指定下载文件操作。
put:指定上传文件操作。
source-file-name:源文件名称。
destination-file-name:目的文件名称。若未指定本参数,则表示使用源文件名称作为目的文件名称。
suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。
128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。
192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。
pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。
zlib:压缩算法ZLIB。
source:指定与服务器通信的源IPv6地址或者源接口。缺省情况下,设备根据RFC 3484的规则自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IPv6地址。
Ipv6 ipv6-address:指定源IPv6地址。
【使用指导】
当客户端采用安全级别为128-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp256;
· 服务器到客户端的加密算法为AEAD_AES_128_GCM;
· 客户端到服务器的加密算法为AEAD_AES_128_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
当客户端采用安全级别为192-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp384;
· 服务器到客户端的加密算法为AEAD_AES_256_GCM;
· 客户端到服务器的加密算法为AEAD_AES_256_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_256_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_256_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp384。
当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;
· 服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。
【举例】
# SCP客户端采用安全级别为192-bit的Suite B算法集,与登录地址为2000::1的远程SCP服务器建立连接,下载名为abc.txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。
<Sysname> scp ipv6 2000::1 get abc.txt suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain
scp suite-b命令用来与远程的SCP服务器建立基于Suite B算法集的连接,并进行文件传输。
【命令】
scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ip ip-address } ] *
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为1~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
get:指定下载文件操作。
put:指定上传文件操作。
source-file-name:源文件名称。
destination-file-name:目的文件名称。若未指定本参数,则表示使用源文件名称作为目的文件名称。
suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。
128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。
192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。
pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。
zlib:压缩算法ZLIB。
source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。
ip ip-address:指定源IPv4地址。
【使用指导】
当客户端采用安全级别为128-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp256;
· 服务器到客户端的加密算法为AEAD_AES_128_GCM;
· 客户端到服务器的加密算法为AEAD_AES_128_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
当客户端采用安全级别为192-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp384;
· 服务器到客户端的加密算法为AEAD_AES_256_GCM;
· 客户端到服务器的加密算法为AEAD_AES_256_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_256_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_256_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp384。
当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;
· 服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。
【举例】
# SCP客户端采用安全级别为128-bit的Suite B算法集,与登录地址为200.1.1.1的远程SCP服务器建立连接,下载名为abc.txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。
<Sysname> scp 200.1.1.1 get abc.txt suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain
sftp命令用来与远程IPv4 SFTP服务器建立连接,并进入SFTP客户端视图。
非FIPS模式下:
FIPS模式下:
mdc-admin
server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为1~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
identity-key:客户端采用的公钥算法。非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。该参数仅当服务器端采用publickey认证时才需要指定。
· dsa:公钥算法为DSA。
· ecdsa:公钥算法为ECDSA。
· rsa:公钥算法为RSA。
· x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法。
· x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。
pki-domain domain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。
zlib:压缩算法ZLIB。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr。des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增。
· 3des-cbc:3DES-CBC加密算法。
· aes128-cbc:128位的AES-CBC加密算法。
· aes256-cbc:256位的AES-CBC加密算法。
· des-cbc:DES-CBC加密算法。
· aes128-ctr:128位AES-CTR加密算法。
· aes192-ctr:192位AES-CTR加密算法。
· aes256-ctr:256位AES-CTR加密算法。
· aes256-gcm:256位AES-GCM加密算法。
· aes128-gcm:128位AES-GCM加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256。md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
· sha2-256:HMAC算法HMAC-SHA2-256。
· sha2-512:HMAC算法HMAC-SHA2-512。
prefer-kex:密钥交换首选算法。缺省算法为ecdh-sha2-nistp256。 dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。
· dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。
· dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。
· dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。
· ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。
· ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256。
dscp dscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
publickey keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。
server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。
source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IP地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。
· interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将采用该接口的主IPv4地址作为发送报文的源IP地址。
· ip ip-address:指定源IPv4地址。
当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。
# SFTP客户端采用publickey认证方式,连接IP地址为10.1.1.2的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:
· 服务器到客户端的首选加密算法为aes128-cbc;
· 客户端到服务器的首选HMAC算法为sha1;
· 服务器到客户端的HMAC算法为sha1-96;
· 服务器与客户端之间的首选压缩算法为zlib。
sftp client ipv6 source命令用来为配置SFTP客户端发送SFTP报文使用的源IPv6地址。
undo sftp client ipv6 source命令用来恢复缺省情况。
sftp client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }
未配置SFTP客户端使用的源IPv6地址,SFTP客户端发送SFTP报文使用的源IPv6地址为设备路由指定的SFTP报文出接口的IP地址。
mdc-admin
interface interface-type interface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。
ipv6 ipv6-address:指定源IPv6地址。
· 使用该命令指定了源地址后,若SFTP用户使用sftp ipv6命令登录时又指定了源地址,则采用sftp ipv6命令中指定的源地址。
· sftp client ipv6 source命令指定的源地址对所有的SFTP连接有效,sftp ipv6命令指定的源地址只对当前的SFTP连接有效。
# 指定SFTP客户端发送SFTP报文使用的源IPv6地址为2:2::2:2。
[Sysname] sftp client ipv6 source ipv6 2:2::2:2
sftp client source命令用来配置SFTP客户端发送SFTP报文使用的源IPv4地址。
undo sftp client source命令用来恢复缺省情况。
sftp client source { interface interface-type interface-number | ip ip-address }
SFTP客户端使用设备路由指定的接口地址访问SFTP服务器。
mdc-admin
interface interface-type interface-number:指定接口的主IP地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。
ip ip-address:指定源IP地址。
· 使用该命令指定了源地址后,若SFTP用户使用sftp命令登录时又指定了源地址,则采用sftp命令中指定的源地址。
· sftp client source命令指定的源地址对所有的SFTP连接有效,sftp命令指定的源地址只对当前的SFTP连接有效。
# 指定SFTP客户端发送SFTP报文使用的源IP地址为192.168.0.1。
[Sysname] sftp client source ip 192.168.0.1
sftp ipv6命令用来建立SFTP客户端和与远程IPv6 SFTP服务器建立连接,并进入SFTP客户端视图。
非FIPS模式下:
FIPS模式下:
mdc-admin
server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为1~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
-i interface-type interface-number:客户端连接服务器时使用的出接口。其中,interface-type interface-number表示接口类型和接口编号。本参数仅在客户端所连接的服务器的地址是链路本地地址时使用。指定的出接口必须具有链路本地地址。
identity-key:客户端采用的公钥算法。非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。该参数仅当服务器端采用publickey认证时才需要指定。
· dsa:公钥算法为DSA。
· ecdsa:公钥算法为ECDSA。
· rsa:公钥算法为RSA。
· x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法。
· x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。
pki-domain domain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。
zlib:压缩算法ZLIB。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr。des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增。
· 3des-cbc:3DES-CBC加密算法。
· aes128-cbc:128位的AES-CBC加密算法。
· aes256-cbc:256位的AES-CBC加密算法。
· des-cbc:DES-CBC加密算法。
· aes128-ctr:128位AES-CTR加密算法。
· aes192-ctr:192位AES-CTR加密算法。
· aes256-ctr:256位AES-CTR加密算法。
· aes256-gcm:256位AES-GCM加密算法。
· aes128-gcm:128位AES-GCM加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256。md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
· sha2-256:HMAC算法HMAC-SHA2-256。
· sha2-512:HMAC算法HMAC-SHA2-512。
prefer-kex:密钥交换首选算法。缺省算法为ecdh-sha2-nistp256。 dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。
· dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。
· dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。
· dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。
· ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。
· ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256。
dscp dscp-value:指定客户端发送的IPv6 SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Trafic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
publickey keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。
server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。
source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。
· interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IP地址。
· ipv6 ipv6-address:指定源IPv6地址。
当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。
# SFTP客户端采用publickey认证方式,连接IPv6地址为2000::1的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:
· 服务器到客户端的首选加密算法为aes128-cbc;
· 客户端到服务器的首选HMAC算法为sha1;
· 服务器到客户端的HMAC算法为sha1-96;
· 服务器与客户端之间的首选压缩算法为zlib。
Username:
sftp ipv6 suite-b命令用来与远程的IPv6 SFTP服务器建立基于Suite B算法集的连接,并进入SFTP客户端视图。
【命令】
sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [-i interface-type interface-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ipv6 ipv6-address } ] *
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为1~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
-i interface-type interface-number:客户端连接服务器时使用的出接口。其中,interface-type interface-number表示接口类型和接口编号。本参数仅在客户端所连接的服务器的地址是链路本地地址时使用。指定的出接口必须具有链路本地地址。
suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。
128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。
192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。
pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。
zlib:压缩算法ZLIB。
dscp dscp-value:指定客户端发送的IPv6 SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
source:指定与服务器通信的源IPv6地址或者源接口。缺省情况下,设备根据RFC 3484的规则自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IPv6地址。
Ipv6 ipv6-address:指定源IPv6地址。
【使用指导】
当客户端采用安全级别为128-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp256;
· 服务器到客户端的加密算法为AEAD_AES_128_GCM;
· 客户端到服务器的加密算法为AEAD_AES_128_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
当客户端采用安全级别为192-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp384;
· 服务器到客户端的加密算法为AEAD_AES_256_GCM;
· 客户端到服务器的加密算法为AEAD_AES_256_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_256_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_256_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp384。
当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;
· 服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。
【举例】
# SFTP客户端采用安全级别为192-bit的Suite B算法集,与登录地址为2000::1的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。
<Sysname> sftp ipv6 2000::1 suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain
sftp suite-b命令用来与远程的IPv4 SFTP服务器建立基于Suite B算法集的连接,并进入SFTP客户端视图。
【命令】
sftp server [ port-number ] [ vpn-instance vpn-instance-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ip ip-address } ] *
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为1~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。
128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。
192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。
pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。
zlib:压缩算法ZLIB。
dscp dscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。
ip ip-address:指定源IPv4地址。
【使用指导】
当客户端采用安全级别为128-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp256;
· 服务器到客户端的加密算法为AEAD_AES_128_GCM;
· 客户端到服务器的加密算法为AEAD_AES_128_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
当客户端采用安全级别为192-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp384;
· 服务器到客户端的加密算法为AEAD_AES_256_GCM;
· 客户端到服务器的加密算法为AEAD_AES_256_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_256_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_256_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp384。
当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;
· 服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。
【举例】
# SFTP客户端采用安全级别为128-bit的Suite B算法集,与登录地址为10.1.1.2的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。
<Sysname> sftp 10.1.1.2 suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain
ssh client ipv6 source命令用来配置Stelnet客户端发送SSH报文使用的源IPv6地址。
undo ssh client ipv6 source命令用来恢复缺省情况。
ssh client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }
Stelnet客户端发送SSH报文使用的源IPv6地址为设备自动选择IPv6 SSH报文的源IPv6地址,具体选择原则请参见RFC 3484。
mdc-admin
interface interface-type interface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。
ipv6 ipv6-address:指定源IPv6地址。
· 使用该命令指定了源地址后,若SSH用户使用ssh2 ipv6命令登录时又指定了源地址,则采用ssh2 ipv6命令中指定的源地址。
· ssh client ipv6 source命令指定的源地址对所有的IPv6 Stelnet连接有效,ssh2 ipv6命令指定的源地址只对当前的Stelnet连接有效。
# 指定Stelnet客户端发送SSH报文使用的源IPv6地址为2:2::2:2。
[Sysname] ssh client ipv6 source ipv6 2:2::2:2
ssh client source命令用来配置Stelnet客户端发送SSH报文使用的源IPv4地址。
undo ssh client source命令用来恢复缺省情况。
ssh client source { interface interface-type interface-number | ip ip-address }
Stelnet客户端发送SSH报文使用的源IPv4地址为设备路由指定的SSH报文出接口的主IP地址。
mdc-admin
interface interface-type interface-number:指定接口的主IP地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。
ip ip-address:指定源IPv4地址。
· 使用该命令指定了源地址后,若SSH用户使用ssh2命令登录时又指定了源地址,则采用ssh2命令中指定的源地址。
· ssh client source命令指定的源地址对所有的Stelnet连接有效,ssh2命令指定的源地址只对当前的Stelnet连接有效。
# 指定Stelnet客户端发送SSH报文使用的源IPv4地址为192.168.0.1。
[Sysname] ssh client source ip 192.168.0.1
ssh2命令用来建立Stelnet客户端和IPv4 Stelnet服务器端的连接。
非FIPS模式下:
FIPS模式下:
mdc-admin
server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为1~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
identity-key:客户端采用的公钥算法。非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。该参数仅当服务器端采用publickey认证时才需要指定。
· dsa:公钥算法为DSA。
· ecdsa:公钥算法为ECDSA。
· rsa:公钥算法为RSA。
· x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法。
· x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。
pki-domain domain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。
zlib:压缩算法ZLIB。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr。des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增。
· 3des-cbc:3DES-CBC加密算法。
· aes128-cbc:128位的AES-CBC加密算法。
· aes256-cbc:256位的AES-CBC加密算法。
· des-cbc:DES-CBC加密算法。
· aes128-ctr:128位AES-CTR加密算法。
· aes192-ctr:192位AES-CTR加密算法。
· aes256-ctr:256位AES-CTR加密算法。
· aes256-gcm:256位AES-GCM加密算法。
· aes128-gcm:128位AES-GCM加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256。md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
· sha2-256:HMAC算法HMAC-SHA2-256。
· sha2-512:HMAC算法HMAC-SHA2-512。
prefer-kex:密钥交换首选算法。缺省算法为ecdh-sha2-nistp256。 dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。
· dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。
· dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。
· dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。
· ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。
· ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256。
dscp dscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
escape character:指定一个退出字符,该退出字符与字符“.”配合使用可以强制断开客户端与服务器的连接。缺省情况下,输入“~.”可以强制断开与服务端的连接。
publickey keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。
server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。
source:指定与服务器通信的源IP地址或者源接口。缺省情况下,报文源IP地址为根据路由查找的发送报文的出接口的主IP地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。
· interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将采用该接口的主IPv4地址作为发送报文的源IP地址。
· ip ip-address:指定源IPv4地址。
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。
当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。
当客户端登录到服务器端后,可以通过输入退出字符加字符“.”的方式快速断开当前连接(这种方式通常用于在服务器重启或发生异常的情况下,快速中断当前连接)。退出字符默认为“~”,可以通过escape参数修改。
· 必须在一行中首先输入退出字符加字符“.”,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。
· 一般情况下,建议使用缺省退出字符,避免将登录用户名中的字符指定为退出字符。
# Stelnet客户端采用publickey认证方式,登录地址为3.3.3.3的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:
· 服务器到客户端的首选加密算法为aes128-cbc;
· 客户端到服务器的首选HMAC算法为sha1;
· 服务器到客户端的HMAC算法为sha1-96;
· 服务器与客户端之间的首选压缩算法为zlib;
· 输入“$.”时强制断开客户端和服务端的连接。
ssh2 ipv6命令用来建立Stelnet客户端和IPv6 Stelnet服务器端的连接。
非FIPS模式下:
FIPS模式下:
mdc-admin
server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为1~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
-i interface-type interface-number:客户端连接服务器时使用的出接口。其中,interface-type interface-number表示接口类型和接口编号。本参数仅在客户端所连接的服务器的地址是链路本地地址时使用。指定的出接口必须具有链路本地地址。
identity-key:客户端采用的公钥算法。非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。该参数仅当服务器端采用publickey认证时才需要指定。
· dsa:公钥算法为DSA。
· ecdsa:公钥算法为ECDSA。
· rsa:公钥算法为RSA。
· x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法。
· x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。
pki-domain domain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。
zlib:压缩算法ZLIB。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr。des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增。
· 3des-cbc:3DES-CBC加密算法。
· aes128-cbc:128位的AES-CBC加密算法。
· aes256-cbc:256位的AES-CBC加密算法。
· des-cbc:DES-CBC加密算法。
· aes128-ctr:128位AES-CTR加密算法。
· aes192-ctr:192位AES-CTR加密算法。
· aes256-ctr:256位AES-CTR加密算法。
· aes256-gcm:256位AES-GCM加密算法。
· aes128-gcm:128位AES-GCM加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256。md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
· sha2-256:HMAC算法HMAC-SHA2-256。
· sha2-512:HMAC算法HMAC-SHA2-512。
prefer-kex:密钥交换首选算法。缺省算法为ecdh-sha2-nistp256。 dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。
· dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。
· dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。
· dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。
· ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。
· ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256。
dscp dscp-value:指定客户端发送的IPv6 SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Trafic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
escape character:指定一个退出字符,该退出字符与字符“.”配合使用可以强制断开客户端与服务器的连接。缺省情况下,输入“~.”可以强制断开与服务端的连接。
publickey keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。
server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。
source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。
· interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IP地址。
· ipv6 ipv6-address:指定源IPv6地址。
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。
当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。
当客户端登录到服务器端后,可以通过输入退出字符加字符“.”的方式快速断开当前连接(这种方式通常用于在服务器重启或发生异常的情况下,快速中断当前连接)。退出字符默认为“~”,可以通过escape参数修改。
· 必须在一行中首先输入退出字符加字符“.”,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。
· 一般情况下,建议使用缺省退出字符,避免将登录用户名中的字符指定为退出字符。
# SSH客户端采用publickey认证方式,登录地址为2000::1的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:
· 首选密钥交换算法为dh-group14-sha1;
· 服务器到客户端的首选加密算法为aes128-cbc;
· 客户端到服务器的首选HMAC算法为sha1;
· 服务器到客户端的HMAC算法为sha1-96;
· 服务器与客户端之间的首选压缩算法为zlib;
· 输入“$.”时强制断开客户端和服务端的连接。
<Sysname> ssh2 ipv6 2000::1 prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey escape $
ssh2 ipv6 suite-b命令用来与远程的IPv6 Stelnet服务器建立基于Suite B算法集的连接。
【命令】
ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ipv6 ipv6-address } ] *
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为1~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
-i interface-type interface-number:客户端连接服务器时使用的出接口。其中,interface-type interface-number表示接口类型和接口编号。本参数仅在客户端所连接的服务器的地址是链路本地地址时使用。指定的出接口必须具有链路本地地址。
suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。
128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。
192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。
pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。
zlib:压缩算法ZLIB。
dscp dscp-value:指定客户端发送的IPv6 SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
escape character:指定退出字符,该退出字符与字符.配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接)。character为一个字符,区分大小写,缺省为~,即输入~.可以强制断开与服务端的连接。
source:指定与服务器通信的源IPv6地址或者源接口。缺省情况下,设备根据RFC 3484的规则自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IPv6地址。
Ipv6 ipv6-address:指定源IPv6地址。
关于退出字符的使用,需要注意的是:
· 必须在一行中首先输入退出字符和.,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。
· 一般情况下,建议使用缺省退出字符,避免退出字符和.的组合与登录用户名相同。
【使用指导】
当客户端采用安全级别为128-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp256;
· 服务器到客户端的加密算法为AEAD_AES_128_GCM;
· 客户端到服务器的加密算法为AEAD_AES_128_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
当客户端采用安全级别为192-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp384;
· 服务器到客户端的加密算法为AEAD_AES_256_GCM;
· 客户端到服务器的加密算法为AEAD_AES_256_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_256_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_256_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp384。
当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;
· 服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。
【举例】
# SSH客户端采用安全级别为192-bit的Suite B算法集,与登录地址为2000::1的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。
<Sysname> ssh2 ipv6 2000::1 suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain
ssh2 suite-b命令用来与远程的IPv4 Stelnet服务器建立基于Suite B算法集的连接。
【命令】
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ip ip-address } ] *
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为1~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。
128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。
192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。
pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。
zlib:压缩算法ZLIB。
dscp dscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
escape character:指定退出字符,该退出字符与字符.配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接)。character为一个字符,区分大小写,缺省为~,即输入~.可以强制断开与服务端的连接。
source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。
ip ip-address:指定源IPv4地址。
【使用指导】
当客户端采用安全级别为128-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp256;
· 服务器到客户端的加密算法为AEAD_AES_128_GCM;
· 客户端到服务器的加密算法为AEAD_AES_128_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
当客户端采用安全级别为192-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp384;
· 服务器到客户端的加密算法为AEAD_AES_256_GCM;
· 客户端到服务器的加密算法为AEAD_AES_256_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_256_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_256_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp384。
当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:
· 密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;
· 服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;
· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。
关于退出字符的使用,需要注意的是:
· 必须在一行中首先输入退出字符和.,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。
· 一般情况下,建议使用缺省退出字符,避免退出字符和.的组合与登录用户名相同。
【举例】
# Stelnet客户端采用128-bit的Suite B算法集,与登录地址为3.3.3.3的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。
<Sysname> ssh2 3.3.3.3 suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain
display ssh2 algorithm命令用来显示设备上配置的SSH2协议使用的算法优先列表。
【命令】
display ssh2 algorithm
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【举例】
# 显示设备上配置的SSH2协议使用的算法优先列表。
<Sysname> display ssh2 algorithm
Key exchange algorithms: dh-group-exchange-sha1 dh-group14-sha1 dh-group1-sha1
Public key algorithms: dsa rsa ecdsa
Encryption algorithms: aes128-cbc 3des-cbc des-cbc aes256-cbc
MAC algorithms: sha1 md5 md5-96 sha1-96
表1-4 display ssh2 algorithm命令显示信息描述表
|
字段 |
描述 |
|
按优先级前后顺序显示当前使用的密钥交换算法列表 |
|
|
按优先级前后顺序显示当前使用的主机算法列表 |
|
|
按优先级前后顺序显示当前使用的加密算法列表 |
|
|
按优先级前后顺序显示当前使用的MAC算法列表 |
【相关命令】
· ssh2 algorithm key-exchange
· ssh2 algorithm public-key
· ssh2 algorithm cipher
· ssh2 algorithm mac
ssh2 algorithm cipher命令用来配置SSH2协议使用的加密算法列表。
undo ssh2 algorithm cipher命令用来恢复缺省情况。
【命令】
非FIPS模式下:
ssh2 algorithm cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } *
undo ssh2 algorithm cipher
FIPS模式下:
ssh2 algorithm cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } *
undo ssh2 algorithm cipher
【缺省情况】
SSH2协议采用的缺省加密算法从高到底的优先级列表为aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、3des-cbc、aes256-cbc和des-cbc。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
3des-cbc:3DES-CBC加密算法。
aes128-cbc:128位AES-CBC加密算法。
aes256-cbc:256位AES-CBC加密算法。
des-cbc:DES-CBC加密算法。
aes128-ctr:128位AES-CTR加密算法。
aes192-ctr:192位AES-CTR加密算法。
aes256-ctr:256位AES-CTR加密算法。
aes256-gcm:256位AES-GCM加密算法。
aes128-gcm:128位AES-GCM加密算法。
【使用指导】
当设备运行环境要求SSH2只能采用特定加密算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的加密算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。
【举例】
# 配置SSH2协议所使用的加密算法为3des-cbc。
<Sysname> system-view
[Sysname] ssh2 algorithm cipher 3des-cbc
【相关命令】
· display ssh2 algorithm
· ssh2 algorithm key-exchange
· ssh2 algorithm mac
· ssh2 algorithm public-key
ssh2 algorithm key-exchange命令用来配置SSH2协议使用的密钥交换算法列表。
undo ssh2 algorithm key-exchange命令用来恢复缺省情况。
【命令】
非FIPS模式下:
ssh2 algorithm key-exchange { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *
undo ssh2 algorithm key-exchange
FIPS模式下:
ssh2 algorithm key-exchange { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *
undo ssh2 algorithm key-exchange
【缺省情况】
SSH2协议采用的缺省密钥交换算法从高到底的优先级列表为ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group-exchange-sha1、dh-group14-sha1、dh-group1-sha1。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。
【使用指导】
当设备运行环境要求SSH2只能采用特定密钥交换算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的密钥交换算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。
【举例】
# 配置SSH2协议所使用的密钥交换算法为dh-group1-sha1。
<Sysname> system-view
[Sysname] ssh2 algorithm key-exchange dh-group1-sha1
【相关命令】
· display ssh2 algorithm
· ssh2 algorithm cipher
· ssh2 algorithm mac
· ssh2 algorithm public-key
ssh2 algorithm mac命令用来配置SSH2协议使用的MAC算法列表。
undo ssh2 algorithm mac命令用来恢复缺省情况。
【命令】
非FIPS模式下:
ssh2 algorithm mac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } *
undo ssh2 algorithm mac
FIPS模式下:
ssh2 algorithm mac { sha1 | sha1-96 | sha2-256 | sha2-512 } *
undo ssh2 algorithm mac
【缺省情况】
SSH2协议使用的缺省MAC算法从高到底的优先级列表为sha2-256、sha2-512、sha1、md5、sha1-96和md5-96。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
md5:HMAC算法HMAC-MD5。
md5-96:HMAC算法HMAC-MD5-96。
sha1:HMAC算法HMAC-SHA1。
sha1-96:HMAC算法HMAC-SHA1-96。
sha2-256:HMAC算法HMAC-SHA2-256。
sha2-512:HMAC算法HMAC-SHA2-512。
【使用指导】
当设备运行环境要求SSH2只能采用特定MAC算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的MAC算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。
【举例】
# 配置SSH2协议所使用的MAC算法为md5。
<Sysname> system-view
[Sysname] ssh2 algorithm mac md5
【相关命令】
· display ssh2 algorithm
· ssh2 algorithm cipher
· ssh2 algorithm key-exchange
· ssh2 algorithm public-key
ssh2 algorithm public-key命令用来配置SSH2协议使用的主机签名算法列表。
undo ssh2 algorithm public-key命令用来恢复缺省情况。
【命令】
非FIPS模式下:
ssh2 algorithm public-key { dsa | ecdsa | rsa | x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } *
undo ssh2 algorithm public-key
FIPS模式下:
ssh2 algorithm public-key { ecdsa | rsa | x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } *
undo ssh2 algorithm public-key
【缺省情况】
SSH2协议使用的缺省主机签名算法从高到底的优先级列表为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa、rsa和dsa。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
dsa:公钥算法为DSA。
ecdsa:公钥算法为ECDSA。
rsa:公钥算法为RSA。
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256证书算法。
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384证书算法。
【使用指导】
当设备运行环境要求SSH2只能采用特定主机签名算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的主机签名算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。
【举例】
# 配置SSH2协议所使用的主机签名算法为dsa。
<Sysname> system-view
[Sysname] ssh2 algorithm public-key dsa
【相关命令】
· display ssh2 algorithm
· ssh2 algorithm cipher
· ssh2 algorithm key-exchange
· ssh2 algorithm mac
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
