华为s3900 在web里怎么找到华为账号 远程登录录
点击联系发帖人
时间:2017-10-14 03:04
Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务目 录目 录第 1 章 SSH 终端服务 .............................................................................................................1-11.1 SSH 终端服务 .................................................................................................................... 1-1 1.1.1 SSH 简介 ................................................................................................................. 1-1 1.1.2 SSH Server 配置 ..................................................................................................... 1-3 1.1.3 配置 SSH 客户端 ................................................................................................... 1-10 1.1.4 配置设备作为 SSH 客户端..................................................................................... 1-17 1.1.5 SSH 配置显示........................................................................................................ 1-19 1.1.6 SSH Server 配置举例 ............................................................................................ 1-20 1.1.7 设备作为 SSH 客户端配置举例 ............................................................................. 1-22第 2 章 SFTP 服务...................................................................................................................2-12.1 SFTP 服务.......................................................................................................................... 2-1 2.1.1 SFTP 简介 ............................................................................................................... 2-1 2.1.2 SFTP Server 配置.................................................................................................... 2-1 2.1.3 SFTP Client 配置 ..................................................................................................... 2-2 2.1.4 SFTP 配置举例 ........................................................................................................ 2-5i
Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务第1章 SSH 终端服务1.1 SSH 终端服务1.1.1 SSH 简介SSH 是 Secure Shell(安全外壳)的简称.当用户通过一个不能保证安全的网络 环境远程登录到交换机时,SSH 特性可以提供安全的信息保障和强大的认证功能, 以保护交换机不受诸如 IP 地址欺诈,明文密码截取等攻击. 交换机作为 SSH Server,可以接受多个 SSH 客户的连接.SSH 客户端的功能是 允许用户与支持 SSH Server 的交换机,UNIX 主机等建立 SSH 连接. 下面的图 1-1和图 1-2,分别表示了客户端与服务器端建立 SSH 通道的两种方式: 通过本地局域网连接Switch SSH-Server Workstation 100BASE-TX EthernetLaptop Server PC SSH-Client图1-1 在局域网内建立 SSH 通道通过广域网连接1-1
Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务Workstation Local Switch Local EthernetLaptop Server PC SSH-Client WANWorkstationRemote Switch SSH-ServerRemote EthernetLaptop PC Server图1-2 通过广域网建立 SSH 通道注意: 目前设备支持 SSH2 和 SSH1 两个版本, 如无特殊说明, 文中的 SSH 均指 SSH2.在整个通讯过程中,为实现 SSH 认证的安全连接,服务器端与客户端要经历如下 五个阶段: (1) 版本号协商阶段.具体步骤如下: 客户端向服务器端发送 TCP 连接请求. TCP 连接建立后,服务器端和客户端进行版本号协商. 如果协商成功,则进入密钥算法协商阶段,否则服务器端断开 TCP 连接. (2) 密钥和算法协商阶段.具体步骤如下: 服务器端和客户端分别发送算法协商报文给对端,报文中包含自己支持的服 务器端公钥算法列表, 加密算法列表, MAC (Message Authentication Code, 消息验证码)算法列表,压缩算法列表等. 服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法. 利用 DH 交换(Diffie-Hellman Exchange)算法,主机密钥对等参数,生成 会话密钥和会话 ID. 通过以上步骤,服务器端和客户端就取得了相同的会话密钥和会话 ID.对于后续 传输的数据,两端都会使用会话密钥进行加密和解密,保证了数据传送的安全.在 认证阶段,两端会使用会话 ID 用于认证过程.1-2
Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务(3)认证方法协商阶段: 客户端向服务器端发送自己的用户名信息. 服务器端启动对该用户的认证.如果服务器端配置了该用户不需要认证,则 直接进入会话请求阶段. 客户端采用某种认证方法向服务器端进行认证,直到认证通过或服务器由于 超时而断开连接. 说明:SSH 提供两种认证方法:口令认证和 RSA 认证. (1) 口令认证过程如下: 客户端将认证用户名和口令发送给服务器端; 服务器端对客户端发送过来的用户名及口令与本地配置信息进行比较,如果两 者完全匹配,则通过认证. (2) RSA 认证过程如下: 服务器端进行客户端的 RSA 公钥配置; 客户端向服务器端发送自己 RSA 公钥的成员模数; 服务器端对此成员模数进行有效性认证,认证通过后产生一个随机数,使用客 户端的 RSA 公钥加密后回送给客户端; 服务器端和客户端均以此随机数和会话号作为参数计算出用于认证的数据; 客户端将自己计算出来的认证数据发送给服务器端; 服务器端将客户端发送过来的认证数据与本地计算出的认证数据进行比较,如 果两者相同,则认证通过.(4)会话请求阶段:认证通过后,客户端将向服务器端发送会话请求.服务器端 成功处理请求后,SSH 进入交互会话阶段.(5)交互会话阶段:客户端和服务器端进行数据交互,直到会话结束.1.1.2 SSH Server 配置SSH 服务器端的配置命令包括:表1-1 SSH2.0 的配置 配置项 设置所在用户界面支持的协议 生成本地 RSA 密钥对 销毁本地 RSA 密钥对 创建一个 SSH 用户 命令关键字 protocol inbound rsa local-key-pair create rsa local-key-pair destroy ssh user username 说明 请参见&配置所在用户界 面支持的协议& 请参见 &生成或销毁 RSA 密钥& 请参见&创建一个 SSH 用户&1-3
Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务 配置项 为 SSH 用户指定一种缺省的认证 方式 为 SSH 用户配置认证方式 设置 SSH 认证超时时间 设置 SSH 认证重试次数 设置服务器密钥的更新时间 设定服务器端兼容 SSH1.x 版本的 客户端 为 SSH 用户分配公钥 命令关键字 ssh authentication-type default ssh user username authentication-type ssh server timeout ssh server authentication-retries ssh server rekey-interval ssh server compatible-ssh1x enable ssh user username assign rsa-key keyname第 1 章 SSH 终端服务 说明请参见&指定用户的认证 方式&请参见&配置服务器上的 SSH 管理功能&请参见&为客户端分配公 共密钥&1. 配置所在用户界面支持的协议 该配置任务用来指定所在的用户界面支持的协议.表1-2 设置所在用户界面支持的协议 操作 进入系统视图 进入单一或多个用户界面视图 命令 system-view user-interface [ type-keyword ] number [ ending-number ] authentication-mode scheme [ command-authorization ] 必选 说明配置登录用户界面的认证方式必选 可选配置所在用户界面支持的协议protocol inbound { all |ssh | telnet }缺省情况下, 系统支持所 有的协议, 即支持 Telnet 和 SSH注意: 如果在该用户界面上配置支持的协议是 SSH,为确保登录成功,请务必配置登 录用户界面的认证方式为 authentication-mode scheme(采用 AAA 认证). 如 果 用 户 配 置 了 认 证 方 式 为 authentication-mode password 或 authentication-mode none,则无法配置 反之,如 果 配 置 了 protocol inbound ssh , 则 认 证 方 式 无 法 配 置 为 authentication-mode password 或 authentication-mode none.1-4
Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务2. 生成或销毁 RSA 密钥对 该配置任务用来生成或销毁服务器端的 RSA 密钥对. RSA 密钥的命名方式为交换 机名称加上&_Host&和交换机名称加上&_Server&,如:Quidway_Host 和 Quidway_Server. 输入 rsa local-key-pair create 命令后,系统会提示您输入密钥的长度: 在 SSH1.x 中,密钥的长度范围为 512~2048 位; 在 SSH2.0 中,密钥的长度范围为
位.为了兼容 SSH1.x,允许 客户端使用长度为 512~2048 位的密钥;但在服务器端生成的密钥长度必须 大于或等于 1024 位,否则客户端无法进行认证.表1-3 生成或销毁 RSA 密钥 操作 进入系统视图 产生本地 RSA 密钥 销毁本地 RSA 密钥 system-view rsa local-key-pair create rsa local-key-pair destroy 命令 必选 可选 说明注意: 生成服务器端的 RSA 密钥对是完成 SSH 登录的首要操作. 此命令只需执行一遍,交换机重启后不必再次执行. 如果密钥对在配置前已经存在,则系统会提示是否进行替换. 对于由多台设备堆叠形成的 Fabric,用户需要先手工配置 rsa local-key-pair create 命令,以保证 Fabric 中的所有堆叠设备具有相同的 RSA 本地密钥对.说明: 配置 rsa local-key-pair create 命令后: 当交换机工作在兼容 SSH1.x 模式下时,使用 display rsa local-key-pair public 命令时会显示两个公钥,包括 Quidway_Host 和 Quidway_S 当交换机工作在 SSH2.0 模式时, 使用 display rsa local-key-pair public 命令 只显示一个公钥,即 Quidway_Host.3. 创建一个 SSH 用户 该配置任务用来创建一个 SSH 用户.1-5 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务 表1-4 创建一个 SSH 用户 操作 进入系统视图 创建一个 SSH 用户 system-view ssh user username 命令第 1 章 SSH 终端服务说明 必选需 要 注 意 的 是 : 通 过 该 方 式 创 建 的 SSH 用 户 , 若 没 有 通 过 ssh user authentication-type 命令单独为这个用户指定认证方式,则该用户采用缺省认证 方式.反之,如果不配置 SSH 的缺省认证方式,则必须单独为这个用户指定认证 方式. 4. 指定用户的认证方式 该配置任务用来为 SSH 用户指定认证方式.对于新用户,必须指定其认证方式, 否则将无法登录.表1-5 指定 SSH 用户的认证方式 操作 进入系统视图 为 SSH 用户指定一种缺省 的认证方式 system-view ssh authentication-type default { password | rsa | password-publickey | all } ssh user username authentication-type { password | password-publickey | rsa| all } 命令 二者必选其一 缺省情况下,系统没有指 定用户登录时可以选用的 认证方式, SSH 用户无 即 法登录 说明为 SSH 用户配置认证方式需要注意的是: ssh authentication-type default 命令用来为所有用户配置缺省的认证方 式. ssh user username authentication-type 命令用来为某一用户指定认证方 式 当两条命令同时配置, 且认证方式不同时, 用户 username 的认证方式以 ssh user username authentication-type 命令的配置为准.1-6 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务注意: 如果配置为 RSA 认证方式,则必须在设备上配置客户端用户的 RSA 公钥. 缺省情况下,如果不指定用户的登录认证方式,则用户无法登录. 对于 password-publickey 指定的认证方式:客户端版本为 SSH V1 的用户只 要通过其中一种认证即可登录;客户端版本为 SSH V2 的用户必须两种认证都 通过才能登录. 配置 password 认证时,username 应与 AAA 中定义的有效用户名一致;配置 RSA 认证时,username 就是 SSH 本地用户名,不需要在 AAA 中配置本地用 户. 如果用户配置的缺省认证方式为 password,并且采用 AAA 本地认证,则还需 要使用 local-user 命令在本地数据库中添加用户名和密码.在这种情况下,可 以直接使用 local-user 命令配置的用户名和密码(配置 service-type 为 ssh) 登录 SSH 服务器,省略掉 ssh user 命令的配置. 如果用户配置的缺省认证方式为 password,并且采用远程认证,如 RADIUS 认证,则可以直接使用远程服务器上的用户名和密码登陆 SSH 服务器,省略掉 ssh user 命令的配置. 使用 ssh user username authentication-type 命令为 SSH 用户指定认证方式 时,如果该 SSH 用户不存在,则系统会自动创建一个 SSH 用户. 如果配置为 RSA 认证方式,则 SSH 用户登录服务器后可以访问的命令级别可 通过 user privilege level 命令来配置,且所有使用 RSA 认证方式的用户可访 问的命令级别相同. 如果配置为 password 认证方式,则 SSH 用户登录服务器后可以访问的命令级 别由 AAA 来授权,使用 password 认证方式的不同用户,能够访问的命令级别 可以不同.5. 配置服务器上的 SSH 管理功能 SSH 管理功能包括设置认证超时时间,验证重试次数,服务器密钥的更新时间和 SSH 兼容方式.设置完成后,可以防止恶意猜测密码等非法行为,更大限度地保 证用户 SSH 连接的安全性.表1-6 配置服务器上的 SSH 管理功能 操作 进入系统视图 命令 system-view 可选 设置 SSH 认证超时时间 ssh server timeout seconds 缺省情况下,认证超时时间为 60 秒 可选 缺省情况下,times 值为 3 说明设置 SSH 验证重试次数ssh server authentication-retries times1-7 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务 操作 命令 可选 设置服务器密钥的更新时间 ssh server rekey-interval hours第 1 章 SSH 终端服务 说明缺省情况下,系统不更新服务 器密钥 可选设定服务器端兼容 SSH1.x 版 本的客户端ssh server compatible-ssh1x enable缺省情况下,服务器端兼容 SSH1.x 版本的客户端6. 为客户端分配公共密钥 说明: 本配置适用于对 SSH 用户采用 RSA 认证的情况.如果设备上对 SSH 用户配置的 认证方式为口令认证,则不必进行本配置.本配置任务用来在服务器端对客户端的公钥进行配置. 配置客户端公钥有如下两种 方式. (1) 手工配置公钥客户端的操作: 在支持 SSH1.5/2.0 的客户端软件上,随机生成 RSA 密钥对; 用 SSHKEY.EXE 软件将 RSA 密钥对的公钥部分转换为 PKCS 标准编码形 式. 服务器端的操作:表1-7 配置客户端用户的 RSA 公钥 操作 进入系统视图 进入公共密钥视图 进入公共密钥编辑视图 命令 system-view rsa peer-public-key keyname public-key-code begin 必选 必选 配置客户端的公钥 直接输入公钥内容 在输入公钥内容时,字符之间 可以有空格,也可以按回车键 继续输入数据,所配置的公钥 必须是按公钥格式编码的十 六进制字符串 退出视图时,保存输入的公钥 数据 说明退出公共密钥编辑视图,退回 到公共密钥视图public-key-code end1-8 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务 操作 退出公共密钥视图,退回到系 统视图 命令 peer-public-key end 必选 为 SSH 用户分配公共密钥 ssh user username assign rsa-key keyname第 1 章 SSH 终端服务 说明keyname 为已经存在的公共 密钥名称.使用该命令为用户 分配公钥时,如果此用户已经 被分配了公钥,那么,以最后 一次分配的公钥为准说明: 以上方式需要用户在客户端使用软件对公钥进行格式转换,然后在服务器端对 转换后的公钥进行手工配置,使用起来相对复杂一些. 使用 ssh user username assign rsa-key 命令为 SSH 用户分配公共密钥时, 如果该 SSH 用户不存在,则系统会自动创建一个 SSH 用户. 手工配置客户端的公钥时,可将客户端的本地主机公钥数据以拷贝粘贴方式配 置到服务器端.(2)通过命令实现系统自动配置公钥客户端的操作: 在支持 SSH1.5/2.0 的客户端软件上,随机生成 RSA 密钥对; 通过 FTP/TFTP 方式,将公钥文件传送到服务器的 Flash 中. 服务器端的操作:表1-8 通过命令实现系统自动配置公钥 操作 进入系统视图 实现公钥格式的转换及公 钥的自动配置 system-view rsa peer-public-key keyname import sshkey filename 命令 密钥文件名 filename 必须和 传送到 Flash 中的公钥文件 名一致 说明说明: 以上方式不需要用户手工配置公钥,相对比较简单,建议用户采用.1-9 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务7. 指定业务报文源 IP 用户可以通过以下配置,对 SSH Server 指定源 IP 地址或者源接口,增加了业务 的可管理性.表1-9 指定业务报文源 IP 操作 进入系统视图 为 SSH Server 指定源 IP 地址 为 SSH Server 指定源接口 system-view ssh-server source-ip ip-address ssh-server source-interface interface-type interface-number 命令 可选 可选 说明1.1.3 配置 SSH 客户端SSH 客户端软件有很多,例如 PuTTY,OpenSSH 等.SSH 客户端要与服务器建 立连接,需要做如下基本配置: 指定服务器 IP 地址. 选择远程连接协议为 SSH.通常客户端可以支持多种远程连接协议,如 Telnet, Rlogin, SSH 等. 要建立 SSH 连接, 必须选择远程连接协议为 SSH. 选择 SSH 版本.由于设备目前支持的版本是 SSH 服务器 2.0 版本,客户端 可以选择 2.0 或 2.0 以下版本. 指定 RSA 私钥文件. 如果在服务器端配置了 SSH 用户采用 RSA 认证, 并为 SSH 用户指定了 RSA 公钥, 就必须在客户端指定与该 RSA 公钥对应的 RSA 私钥文件.RSA 密钥对是由客户端软件附带的工具生成的. 下面以客户端软件 PuTTY,PuTTYGen 和 SSHKEY 为例,说明 SSH 客户端的配 置方法. 1. 生成客户端密钥 运行 PuTTYGen.exe,参数栏使用&SSH2(RSA)&,点击&Generate&,产生客户 端密钥对.1-10 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务图1-3 生成客户端密钥(1)在产生密钥对的过程中需不停的移动鼠标, 鼠标移动仅限于下图蓝色框中除绿色标 记进程条外的地方,否则进程条的显示会不动,密钥对将停止产生,见图 1-4.图1-4 生成客户端密钥(2)1-11 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务密钥对产生后, 点击&save public key&, 输入存储公钥的文件名 public, 点击保存.图1-5 生成客户端密钥(3)同理,点击&save private key&存储私钥,弹出警告框,提醒是否保存没做任何保 护措施的私钥,点击&Yes&,输入私钥文件名即可,此处为 private,点击保存.图1-6 生成客户端密钥(4)运行 SSHKEY.exe,点击&Browse&,选择公钥文件 public.然后点击&Convert&, 即可生成 PKCS 编码格式的 RSA 公钥数据.1-12 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务图1-7 生成客户端密钥(5)2. 指定服务器 IP 地址 打开 PuTTY.exe 程序,出现如下客户端配置界面.1-13 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务图1-8 SSH 客户端配置界面(1)在&Host Name(or IP address)&文本框中输入 SSH 服务器的 IP 地址(要求 SSH 服务器的 IP 地址与 SSH 客户端主机的路由可达). 3. 选择远程连接协议为 SSH 如图 1-8,在&Protocol&选择栏中选择&SSH&. 4. 选择 SSH 版本 单击 SSH 客户端配置界面左边目录树&Category&中的连接协议&Connection& ( ) ( ) 中的&SSH&,出现如图 1-9的界面.1-14 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务图1-9 SSH 客户端配置界面(2)在&Protocol options&区域中,选择&Preferred SSH protocol version&参数的值 为 2. 说明: 对于有些 SSH 客户端软件,例如 Tectia client 客户端软件,只有在选择 ssh1 版本 才支持 DES 算法,选择 ssh2 版本则不支持 DES 算法.PuTTY 客户端软件在选择 了 DES 后,可以在 ssh2 版本中支持 DES 算法协商.5. 以 RSA 方式打开 SSH 连接 如果用户需要 RSA 认证,就必须指定 RSA 私钥文件.如果用户只需要 password 认证,则不需要指定 RSA 私钥文件. 如图 1-9,单击&SSH&下面的&Auth&(认证),出现如图 1-10的界面.1-15 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务图1-10 SSH 客户端配置界面(3)单击&Browse…&按钮,弹出文件选择窗口.选择私钥文件,并确定即可. 6. 以口令方式打开 SSH 连接 (1) 在图 1-10中,单击&Open&按钮,出现如图 1-11所示的 SSH 客户端界面,如 果连接正常则会提示用户输入用户名及密码.1-16 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务图1-11 SSH 客户端界面(2) (3)输入正确的用户名和密码,即可成功进行 SSH 登录连接. 退出登录,执行命令 quit 即可.1.1.4 配置设备作为 SSH 客户端当设备作为 SSH 客户端和服务器端连接时,可以设置 SSH 客户端对访问的 SSH 服务器是否进行首次认证. 所谓首次认证,是指当 SSH 客户端首次访问服务器,而客户端没有配置服务 器端的主机公钥时,用户可以选择继续访问该服务器,并在客户端保存该主 机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器. 如果不支持首次认证,则当客户端没有配置服务器端的主机公钥时,客户端 将拒绝访问该服务器.用户必须事先将要访问的服务器端的主机公钥配置在 本地,同时指定要连接的服务器端的主机公钥名称,以便客户端对连接的服 务器进行认证. 此外,客户端可以配置用指定源 IP 地址或者源接口访问 SSH 服务器.1-17 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务1. 配置支持首次认证的 SSH 客户端表1-10 配置支持首次认证的 SSH 客户端 操作 进入系统视图 设置对 ssh 服务器进行 首次认证 system-view 命令 可选 ssh client first-time enable 缺省情况下,客户端进行 首次认证 必选 该配置用来启动 SSH 客 户端和服务器端建立连 接,并指定客户端和服务 器的首选密钥交换算法, 首选加密算法和首选 HMAC 算法 说明建立 SSH 客户端和服务 器端的连接ssh2 { host-ip | host-name } [ port-num ] [ prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher { des | aes128 } | prefer_stoc_cipher { des | aes128 } | prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] *2. 配置不支持首次认证的 SSH 客户端表1-11 配置不支持首次认证的 SSH 客户端 操作 进入系统视图 设置 SSH 客户端对访问的 SSH 服务器不进行首次认证 进入公共密钥视图 进入公共密钥编辑视图 system-view 命令 必选 undo ssh client first-time 缺省情况下,客户端进行 首次认证 可选 在输入公钥内容时,字符 之间可以有空格,也可以 按回车键继续输入数据, 所配置的公钥必须是按公 钥格式编码的十六进制字 符串 退回公共密钥视图 public-key-code end 退出视图时,保存输入的 公钥数据 必选 说明rsa peer-public-key keyname public-key-code begin配置服务器端的公钥直接输入公钥内容退回系统视图 在客户端上指定要连接的服 务器端的主机公钥名称peer-public-key end ssh client { server-ip | server-name } assign rsa-key keyname1-18 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务 操作 命令 ssh2 { host-ip | host-name } [ port-num ] [ prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher { des | aes128 } | prefer_stoc_cipher { des | aes128 } | prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] *第 1 章 SSH 终端服务 说明建立 SSH 客户端和服务器端 的连接,并指定客户端和服 务器的首选密钥交换算法, 首选加密算法和首选 HMAC 算法必选3. 指定业务报文源 IP 用户可以通过以下配置,对 SSH2 Client 指定源 IP 地址或者源接口,增加了业务 的可管理性.表1-12 指定业务报文源 IP 操作 进入系统视图 为 SSH2 Client 指定源 IP 地址 为 SSH2 Client 指定源接口 system-view ssh2 source-ip ip-address ssh2 source-interface interface-type interface-number 命令 可选 可选 说明1.1.5 SSH 配置显示完成上述配置后,在任意视图下执行 display 命令,可以显示配置 SSH 后的运行 情况.通过查看显示信息,用户可以验证配置的效果.1-19 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务 表1-13 SSH 配置显示 操作 显示服务器端主机密钥对和服 务器密钥对的公钥部分 显示客户端 RSA 密钥对的公钥 部分 显示 SSH 状态信息和会话信息 显示 SSH 用户信息 显示当前为 SSH Server 设置的 源 IP 地址 显示客户端保存的服务器端的 主机公钥和服务器的对应关系 显示当前为 SSH2 Client 设置 的源 IP 地址 命令 display rsa local-key-pair public display rsa peer-public-key [ brief | name keyname ] display ssh server { status | session } display ssh user-information [ username ] display ssh-server source-ip第 1 章 SSH 终端服务说明display 命令可以在 任意视图下执行display ssh server-infodisplay ssh2 source-ip1.1.6 SSH Server 配置举例1. 组网需求 如图 1-12所示,PC 终端(SSH Client)上运行支持 SSH2.0 的客户端软件,与交 换机(SSH Server)建立本地连接,更大限度地保证数据信息交换的安全. 2. 组网图192.168.0.2/24 Vlan-interface1 192.168.0.1/24SSH ClientSwitch图1-12 SSH Server 配置组网图3. 配置步骤 以下将根据登录认证方式的不同分别介绍配置步骤, 但开始任何一种配置之前, 首 先要生成 RSA 主机密钥对和服务器密钥对.&Quidway& system-view [Quidway] rsa local-key-pair create其次,必须在交换机上创建 VLAN 接口,并为其分配 IP 地址,作为客户端连接的 SSH 服务器地址.[Quidway] interface vlan-interface 1 [Quidway-Vlan-interface1] ip address 192.168.0.1 255.255.255.01-20 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务[Quidway-Vlan-interface1] quit第 1 章 SSH 终端服务最后, 客户端主机的 IP 地址必须同交换机上的 VLAN 接口的 IP 地址位于同一个网 段,这里设置为&192.168.0.2&. (1) 设置用户登录认证方式.下面按照两种认证方式分别进行配置. 第一种方式:password 认证. # 设置用户接口上的认证模式为 AAA 认证.[Quidway] user-interface vty 0 4 [Quidway-ui-vty0-4] authentication-mode scheme# 设置用户接口上支持 SSH 协议.[Quidway-ui-vty0-4] protocol inbound ssh [Quidway-ui-vty0-4] quit# 指定用户 client001 的登录协议为 SSH,能访问的命令级别为 3,密码为 abc.[Quidway] local-user client001 [Quidway-luser-client001] password simple abc [Quidway-luser-client001] service-type ssh level 3 [Quidway-luser-client001] quit [Quidway] ssh user client001 authentication-type password说明: SSH 的认证超时时间,重试次数可以采用系统默认值.完成以上配置后,用户就 可以在与交换机连接的终端上,运行支持 SSH2.0 的客户端软件,以用户名 client001,密码 abc,访问交换机了.第二种方式:RSA 公钥认证. # 设置用户接口上的认证模式为 AAA 认证.[Quidway] user-interface vty 0 4 [Quidway-ui-vty0-4] authentication-mode scheme# 设置用户接口上支持 SSH 协议.[Quidway-ui-vty0-4] protocol inbound ssh# 设置用户能访问的命令级别为 3.[Quidway-ui-vty0-4] user privilege level 3 [Quidway-ui-vty0-4] quit# 指定用户 client001 的认证方式为 RSA.[Quidway] ssh user client001 authentication-type rsa1-21 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务# 在支持 SSH2.0 的客户端软件上,随机产生 RSA 密钥对,并按如下方式将 RSA 公钥(此处的 RSA 公钥是指用 SSHKEY.EXE 软件进行 PKCS 编码后的 16 进制 字符串)配置到 SSH 服务器上指定的 rsa peer-public-key 中. # 在服务器端配置客户端的公钥,指定公钥名称为 Switch001.[Quidway] rsa peer-public-key Switch001 [Quidway-rsa-public-key] public-key-code begin [Quidway-rsa-key-code] 739A291ABDA704F5D93DC8FDF84C427463 [Quidway-rsa-key-code] DF178C55FAD47D913 [Quidway-rsa-key-code] D7EDF9CED2B30BD1F52D045DE4 [Quidway-rsa-key-code] E135523CCD74CAC61F8E58C452B2F3F2DA0DC [Quidway-rsa-key-code] C48E7BDDB69F3CBB0A [Quidway-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB [Quidway-rsa-key-code] public-key-code end [Quidway-rsa-public-key] peer-public-key end# 如果服务器端是以文件形式存放客户端的公钥,文件名为 Switch001,则可以直 接从文件中导入.[Quidway] rsa peer-public-key Switch001 import sshkey Switch001# 为用户 client001 指定公钥 Switch001.[Quidway] ssh user client001 assign rsa-key Switch001对于 RSA 认证,不仅需要在客户端上配置 SSH 服务器的 IP 地址,协议类型,版 本,还需要指定 RSA 私钥文件(由客户端软件随机产生).打开 SSH 连接后按提 示输入用户名即可进入交换机的配置界面.1.1.7 设备作为 SSH 客户端配置举例1. 组网需求 如图 1-13所示: 交换机 Switch A 作为 SSH 客户端,用户名 client001; 交换机 Switch B 作为 SSH 服务器,IP 地址为 10.165.87.136. 2. 组网图SwitchB SSH Server Vlan-interface1 10.165.87.136/24图1-13 SSH Client 配置组网图SwitchA Vlan-interface1 SSH Client 10.165.87.137/241-22 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务3. 配置步骤 (1) 配置 SwitchB# 要生成 RSA 主机密钥对和服务器密钥对&Quidway& system-view [Quidway] rsa local-key-pair create# 在交换机上创建 VLAN 接口,并为其分配 IP 地址,作为客户端连接的 SSH 服务 器地址.[Quidway] interface vlan-interface 1 [Quidway-Vlan-interface1] ip address 10.165.87.136 255.255.255.0 [Quidway-Vlan-interface1] quit# 设置 SSH 客户端登录用户界面的认证方式为 AAA 认证.[Quidway] user-interface vty 0 4 [Quidway-ui-vty0-4] authentication-mode scheme# 设置交换机上远程用户登录协议为 SSH.[Quidway-ui-vty0-4] protocol inbound ssh [Quidway-ui-vty0-4] quit# 指定用户 client001 的登录协议为 SSH,能访问的命令级别为 3,密码为 abc.[Quidway] local-user client001 [Quidway-luser-client001] password simple abc [Quidway-luser-client001] service-type ssh level 3 [Quidway-luser-client001] quit# 配置 SSH 用户认证方式为 password.SSH 的认证超时时间,尝试次数以及服 务器密钥更新时间可以采取系统缺省值.[Quidway] ssh user client001 authentication-type password说明: 如果配置 SSH 用户的认证方式为 RSA,则需要配置 SwitchA 的主机公钥.具体配 置方法可以参见&1.1.6 SSH Server 配置举例&中的配置 SSH 用户认证方式为 RSA.(2)配置 SwitchA# SwitchA 上的 VLAN 接口的 IP 地址必须同 SwitchB 上的 VLAN 接口的 IP 地址位 于同一个网段,这里设置为&10.165.87.137&.&Quidway& system-view [Quidway] interface vlan-interface 1 [Quidway-Vlan-interface1] ip address 10.165.87.137 255.255.255.01-23 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务[Quidway-Vlan-interface1] quit第 1 章 SSH 终端服务# 建立到服务器 10.165.87.136 的 SSH 连接.[Quidway] ssh2 10.165.87.136 Username: client001 Trying 10.165.87.136 ... Press CTRL+K to abort Connected to 10.165.87.136 ...The Server is not authenticated. Do you continue to access it?(Y/N):y Do you want to save the server's public key?(Y/N):n Enter password:************************************************************************* * Copyright(c)
Huawei Technologies Co., Ltd. All rights reserved. * Without the owner's prior written consent, * no decompiling or reverse-engineering shall be allowed. * **************************************************************************&Quidway&1-24 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 2 章 SFTP 服务第2章 SFTP 服务2.1 SFTP 服务2.1.1 SFTP 简介SFTP 是 Secure FTP 的简称,是 SSH2.0 中新增的功能. SFTP 建立在 SSH 连接的基础之上, 它使得远程用户可以安全地登录交换机设备, 进行文件管理和文件传送等操作(如进行系统升级),为数据传输提供了更高的安 全保障.同时,由于提供了客户端功能,用户可以从本地设备安全登录到远程设备 上,进行文件的安全传输.2.1.2 SFTP Server 配置SFTP 服务器端配置包括: 配置用户使用的服务类型; 启动 SFTP 服务器; 设置用户连接的空闲超时时间 1. 配置用户使用的服务类型 该配置任务用于设定用户可以使用的 SSH 服务类型.表2-1 配置用户可以使用的服务类型 操作 进入系统视图 命令 system-view ssh user username service-type { stelnet | sftp | all } 可选 缺省情况下,用户可以使用的 的服务类型为 stelnet 说明配置用户可以使用的服务类型注意: 使用 ssh user username service-type 命令配置用户可以使用的 SSH 服务类型 时,如果该用户不存在,则系统会自动创建一个 SSH 用户.2-1 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 2 章 SFTP 服务2. 启动 SFTP 服务器表2-2 启动 SFTP 服务器 操作 进入系统视图 启动 SFTP 服务器 命令 system-view sftp server enable 必选 缺省情况下,SFTP 服务器处于关闭状态 说明3. 设置用户连接的空闲超时时间 当 SFTP 用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接.表2-3 设置用户连接的空闲超时时间 操作 进入系统视图 设置 SFTP 用户连接的空闲超 时时间 命令 system-view 必选 sftp timeout time-out-value 缺省情况下,SFTP 用户连接 的空闲超时时间为 10 分钟 说明2.1.3 SFTP Client 配置SFTP 客户端的配置包括:表2-4 SFTP 客户端配置 操作 启动 SFTP 客户端 命令关键字 sftp bye 关闭 SFTP 客户端 exit quit 改变用户的当前工作目录 返回上一级目录 显示当前工作目录 SFTP 目 录操作 cd cdup pwd dir ls 创建新目录 删除目录 mkdir rmdir SFTP 客户端视图 可选 SFTP 客户端视图 可选 视图 系统视图 说明 必选显示指定目录下的文件列表2-2 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务 操作 改变服务器上指定的文件的名字 下载远程服务器上的文件 上传本地文件到远程服务器 SFTP 文 件操作 显示指定目录下的文件列表 命令关键字 rename get put dir ls 删除服务器上文件 客户端命令帮助 delete remove help第 2 章 SFTP 服务 视图 说明SFTP 客户端视图可选SFTP 客户端视图可选1. 启动 SFTP 客户端 该配置任务用来启动 SFTP 客户端程序, 与远程 SFTP 服务器建立连接, 并进入到 SFTP client 视图.表2-5 启动 SFTP 客户端 操作 进入系统视图 system-view sftp { host-ip | host-name } [ port-num ] [ prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher { des | aes128 } | prefer_stoc_cipher { des | aes128 } | prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] * 命令 说明启动 SFTP 客户端必选2. 关闭 SFTP 客户端 该配置任务用来关闭 SFTP 客户端程序.表2-6 关闭 SFTP 客户端 操作 进入系统视图 进入 SFTP 客户端视图 system-view sftp { host-ip | host-name } bye 关闭 SFTP 客户端 exit quit bye,exit 和 quit 三 条命令的功能相同 命令 说明2-3 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 2 章 SFTP 服务3. SFTP 目录操作 SFTP 目录操作包括:改变或显示当前的工作目录,创建或删除目录,显示指定目 录下的文件或目录信息.表2-7 SFTP 目录操作 操作 进入系统视图 进入 SFTP 客户端视图 改变用户的当前工作目录 返回上一级目录 显示用户的当前工作目录 命令 system-view sftp { host-ip | host-name } cd remote-path cdup pwd dir [ -a | -l ] [ remote-path ] 显示指定目录下的文件列表 ls [ -a | -l ] [ remote-path ] 在服务器上创建新的目录 删除服务器上的目录 mkdir remote-path 可选 rmdir remote-path&&1-10& 可选 dir 和 ls 两条命令的作 用相同 可选 说明4. SFTP 文件操作 SFTP 文件操作包括:改变文件名,下载文件,上传文件,显示文件列表,删除文 件.表2-8 SFTP 文件操作 操作 进入系统视图 进入 SFTP 客户端视图 改变服务器上指定的文件的名字 下载远程服务器上的文件 上传本地文件到远程服务器 命令 system-view sftp { host-ip | host-name } rename old-name new-name get remote-file [ local-file ] put local-file [ remote-file ] dir [ -a | -l ] [ remote-path ] 显示指定目录下的文件列表 ls [ -a | -l ] [ remote-path ] delete remote-file&&1-10& 删除服务器上文件 remove remote-file&&1-10& 可选 dir 和 ls 两条命令的作 用相同 可选 delete 和 remove 两条 命令的功能相同 可选 说明2-4 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 2 章 SFTP 服务5. 显示帮助信息 本配置用于显示相关命令的帮助信息,如命令格式,参数配置等.表2-9 显示客户端命令的帮助信息 操作 进入系统视图 进入 SFTP 客户端视图 显示客户端命令的帮助信息 命令 system-view sftp { host-ip | host-name } help [ all | command-name ] 可选 说明6. 指定业务报文源 IP 用户可以通过以下配置,对 SFTP Client 指定源 IP 地址或者源接口,增加了业务 的可管理性.表2-10 指定业务报文源 IP 操作 进入系统视图 为 sftp client 指定源 IP 地址 为 sftp client 指定源接口 显示当前为 SFTP Client 设 置的源 IP 地址 system-view sftp source-ip ip-address sftp source-interface interface-type interface-number display sftp source-ip 命令 可选 可选 可选 可以在任意视图下执行 说明2.1.4 SFTP 配置举例1. 组网需求 如图 2-1,SwitchA 和 SwitchB 之间建立 SSH 连接,SwitchA 作为 SFTP 客户端登 录到 SwitchB, 进行文件管理和文件传送等操作, 用户名为 client001, 密码为 abc. 2. 组网图SwitchB SFTP Server Vlan-interface1 192.168.0.1/24图2-1 SFTP 配置组网图SwitchA Vlan-interface1 SFTP Client 192.168.0.2/242-5 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 2 章 SFTP 服务3. 配置步骤 (1) 配置服务器端 Switch B.&Quidway&system-view [Quidway] rsa local-key-pair create# 在交换机上创建 VLAN 接口,并为其分配 IP 地址,作为客户端连接的 SSH 服务 器地址.[Quidway] interface vlan-interface 1 [Quidway-Vlan-interface1] ip address 192.168.0.1 255.255.255.0 [Quidway-Vlan-interface1] quit# 设置 SSH 客户端登录用户界面的认证方式为 AAA 认证.[Quidway] user-interface vty 0 4 [Quidway-ui-vty0-4] authentication-mode scheme# 设置交换机上远程用户登录协议为 SSH.[Quidway-ui-vty0-4] protocol inbound ssh [Quidway-ui-vty0-4] quit# 创建本地用户 client001.[Quidway] local-user client001 [Quidway-luser-client001] password simple abc [Quidway-luser-client001] service-type ssh [Quidway-luser-client001] quit# 配置 SSH 用户认证方式为 password.SSH 的认证超时时间,尝试次数以及服 务器密钥更新时间可以采取系统默认值.[Quidway] ssh user client001 authentication-type password说明: 如果配置 SSH 用户的认证方式为 RSA,则需要配置 SwitchA 的主机公钥.具体配 置方法可以参见&1.1.6 SSH Server 配置举例&中的配置 SSH 用户认证方式为 RSA.# 指定用户的服务类型为 SFTP.[Quidway] ssh user client001 service-type sftp# 启动 SFTP 服务器.[Quidway] sftp server enable(2)配置客户端 Switch A.# SwitchA 上的 VLAN 接口的 IP 地址必须同 SwitchB 上的 VLAN 接口的 IP 地址位 于同一个网段,这里设置为&192.168.0.2&.2-6 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务&Quidway& system-view [Quidway] interface vlan-interface 1第 2 章 SFTP 服务[Quidway-Vlan-interface1] ip address 192.168.0.2 255.255.255.0 [Quidway-Vlan-interface1] quit# 与远程 SFTP 服务器建立连接,进入 SFTP client 视图.[Quidway] sftp 192.168.0.1 Input Username: client001 Trying 192.168.0.1 ... Press CTRL+K to abort Connected to 192.168.0.1 ...The Server is not authenticated. Do you continue access it? [Y/N]:y Do you want to save the server's public key? [Y/N]:n Enter password:sftp-client&# 显示服务器的当前目录,删除文件 z,并检查此目录是否删除成功.sftp-client& dir -rwxrwxrwx -rwxrwxrwx -rwxrwxrwx drwxrwxrwx -rwxrwxrwx -rwxrwxrwx 1 noone 1 noone 1 noone 1 noone 1 noone 1 noone nogroup nogroup nogroup nogroup nogroup nogroup 1759 Aug 23 06:52 vrpcfg.cfg 225 Aug 24 08:01 pubkey2 283 Aug 24 07:39 pubkey1 0 Sep 01 06:22 new 225 Sep 01 06:55 pub 0 Sep 01 08:00 zsftp-client& delete z The following files will be deleted: flash:/z Are you sure to delete it?(Y/N):y This operation may take a long time.Please wait...File successfully Removed sftp-client& dir -rwxrwxrwx -rwxrwxrwx -rwxrwxrwx drwxrwxrwx -rwxrwxrwx 1 noone 1 noone 1 noone 1 noone 1 noone nogroup nogroup nogroup nogroup nogroup 1759 Aug 23 06:52 vrpcfg.cfg 225 Aug 24 08:01 pubkey2 283 Aug 24 07:39 pubkey1 0 Sep 01 06:22 new 225 Sep 01 06:55 pub# 新增目录 new1,并检查新目录是否创建成功.sftp-client& mkdir new1 New directory created sftp-client& dir2-7 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务-rwxrwxrwx -rwxrwxrwx -rwxrwxrwx drwxrwxrwx -rwxrwxrwx drwxrwxrwx 1 noone 1 noone 1 noone 1 noone 1 noone 1 noone nogroup nogroup nogroup nogroup nogroup nogroup第 2 章 SFTP 服务1759 Aug 23 06:52 vrpcfg.cfg 225 Aug 24 08:01 pubkey2 283 Aug 24 07:39 pubkey1 0 Sep 01 06:22 new 225 Sep 01 06:55 pub 0 Sep 02 06:30 new1# 将目录名 new1 更名为 new2,并查看是否更名成功.sftp-client& rename new1 new2 File successfully renamed sftp-client& dir -rwxrwxrwx -rwxrwxrwx -rwxrwxrwx drwxrwxrwx -rwxrwxrwx drwxrwxrwx 1 noone 1 noone 1 noone 1 noone 1 noone 1 noone nogroup nogroup nogroup nogroup nogroup nogroup 1759 Aug 23 06:52 vrpcfg.cfg 225 Aug 24 08:01 pubkey2 283 Aug 24 07:39 pubkey1 0 Sep 01 06:22 new 225 Sep 01 06:55 pub 0 Sep 02 06:33 new2# 从服务器上下载文件 pubkey2 到本地,并更名为 public.sftp-client& get pubkey2 public This operation may take a long time, please wait...Remotefile:flash:/pubkey2 ---&Local file: public..Downloading file successfully ended# 将本地文件 pu 上传到服务器上,更名为 puk,并查看上传是否成功.sftp-client& put pu puk This operation may take a long time, please wait... Local file: pu ---& Remote file: flash:/pukUploading file successfully ended sftp-client& dir -rwxrwxrwx -rwxrwxrwx -rwxrwxrwx drwxrwxrwx drwxrwxrwx -rwxrwxrwx -rwxrwxrwx sftp-client& 1 noone 1 noone 1 noone 1 noone 1 noone 1 noone 1 noone nogroup nogroup nogroup nogroup nogroup nogroup nogroup 1759 Aug 23 06:52 vrpcfg.cfg 225 Aug 24 08:01 pubkey2 283 Aug 24 07:39 pubkey1 0 Sep 01 06:22 new 0 Sep 02 06:33 new2 283 Sep 02 06:35 pub 283 Sep 02 06:36 puk# 退出 SFTP.sftp-client& quit Bye2-8 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务[Quidway]第 2 章 SFTP 服务2-9
赞助商链接}
位.为了兼容 SSH1.x,允许 客户端使用长度为 512~2048 位的密钥;但在服务器端生成的密钥长度必须 大于或等于 1024 位,否则客户端无法进行认证.表1-3 生成或销毁 RSA 密钥 操作 进入系统视图 产生本地 RSA 密钥 销毁本地 RSA 密钥 system-view rsa local-key-pair create rsa local-key-pair destroy 命令 必选 可选 说明注意: 生成服务器端的 RSA 密钥对是完成 SSH 登录的首要操作. 此命令只需执行一遍,交换机重启后不必再次执行. 如果密钥对在配置前已经存在,则系统会提示是否进行替换. 对于由多台设备堆叠形成的 Fabric,用户需要先手工配置 rsa local-key-pair create 命令,以保证 Fabric 中的所有堆叠设备具有相同的 RSA 本地密钥对.说明: 配置 rsa local-key-pair create 命令后: 当交换机工作在兼容 SSH1.x 模式下时,使用 display rsa local-key-pair public 命令时会显示两个公钥,包括 Quidway_Host 和 Quidway_S 当交换机工作在 SSH2.0 模式时, 使用 display rsa local-key-pair public 命令 只显示一个公钥,即 Quidway_Host.3. 创建一个 SSH 用户 该配置任务用来创建一个 SSH 用户.1-5 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务 表1-4 创建一个 SSH 用户 操作 进入系统视图 创建一个 SSH 用户 system-view ssh user username 命令第 1 章 SSH 终端服务说明 必选需 要 注 意 的 是 : 通 过 该 方 式 创 建 的 SSH 用 户 , 若 没 有 通 过 ssh user authentication-type 命令单独为这个用户指定认证方式,则该用户采用缺省认证 方式.反之,如果不配置 SSH 的缺省认证方式,则必须单独为这个用户指定认证 方式. 4. 指定用户的认证方式 该配置任务用来为 SSH 用户指定认证方式.对于新用户,必须指定其认证方式, 否则将无法登录.表1-5 指定 SSH 用户的认证方式 操作 进入系统视图 为 SSH 用户指定一种缺省 的认证方式 system-view ssh authentication-type default { password | rsa | password-publickey | all } ssh user username authentication-type { password | password-publickey | rsa| all } 命令 二者必选其一 缺省情况下,系统没有指 定用户登录时可以选用的 认证方式, SSH 用户无 即 法登录 说明为 SSH 用户配置认证方式需要注意的是: ssh authentication-type default 命令用来为所有用户配置缺省的认证方 式. ssh user username authentication-type 命令用来为某一用户指定认证方 式 当两条命令同时配置, 且认证方式不同时, 用户 username 的认证方式以 ssh user username authentication-type 命令的配置为准.1-6 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务注意: 如果配置为 RSA 认证方式,则必须在设备上配置客户端用户的 RSA 公钥. 缺省情况下,如果不指定用户的登录认证方式,则用户无法登录. 对于 password-publickey 指定的认证方式:客户端版本为 SSH V1 的用户只 要通过其中一种认证即可登录;客户端版本为 SSH V2 的用户必须两种认证都 通过才能登录. 配置 password 认证时,username 应与 AAA 中定义的有效用户名一致;配置 RSA 认证时,username 就是 SSH 本地用户名,不需要在 AAA 中配置本地用 户. 如果用户配置的缺省认证方式为 password,并且采用 AAA 本地认证,则还需 要使用 local-user 命令在本地数据库中添加用户名和密码.在这种情况下,可 以直接使用 local-user 命令配置的用户名和密码(配置 service-type 为 ssh) 登录 SSH 服务器,省略掉 ssh user 命令的配置. 如果用户配置的缺省认证方式为 password,并且采用远程认证,如 RADIUS 认证,则可以直接使用远程服务器上的用户名和密码登陆 SSH 服务器,省略掉 ssh user 命令的配置. 使用 ssh user username authentication-type 命令为 SSH 用户指定认证方式 时,如果该 SSH 用户不存在,则系统会自动创建一个 SSH 用户. 如果配置为 RSA 认证方式,则 SSH 用户登录服务器后可以访问的命令级别可 通过 user privilege level 命令来配置,且所有使用 RSA 认证方式的用户可访 问的命令级别相同. 如果配置为 password 认证方式,则 SSH 用户登录服务器后可以访问的命令级 别由 AAA 来授权,使用 password 认证方式的不同用户,能够访问的命令级别 可以不同.5. 配置服务器上的 SSH 管理功能 SSH 管理功能包括设置认证超时时间,验证重试次数,服务器密钥的更新时间和 SSH 兼容方式.设置完成后,可以防止恶意猜测密码等非法行为,更大限度地保 证用户 SSH 连接的安全性.表1-6 配置服务器上的 SSH 管理功能 操作 进入系统视图 命令 system-view 可选 设置 SSH 认证超时时间 ssh server timeout seconds 缺省情况下,认证超时时间为 60 秒 可选 缺省情况下,times 值为 3 说明设置 SSH 验证重试次数ssh server authentication-retries times1-7 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务 操作 命令 可选 设置服务器密钥的更新时间 ssh server rekey-interval hours第 1 章 SSH 终端服务 说明缺省情况下,系统不更新服务 器密钥 可选设定服务器端兼容 SSH1.x 版 本的客户端ssh server compatible-ssh1x enable缺省情况下,服务器端兼容 SSH1.x 版本的客户端6. 为客户端分配公共密钥 说明: 本配置适用于对 SSH 用户采用 RSA 认证的情况.如果设备上对 SSH 用户配置的 认证方式为口令认证,则不必进行本配置.本配置任务用来在服务器端对客户端的公钥进行配置. 配置客户端公钥有如下两种 方式. (1) 手工配置公钥客户端的操作: 在支持 SSH1.5/2.0 的客户端软件上,随机生成 RSA 密钥对; 用 SSHKEY.EXE 软件将 RSA 密钥对的公钥部分转换为 PKCS 标准编码形 式. 服务器端的操作:表1-7 配置客户端用户的 RSA 公钥 操作 进入系统视图 进入公共密钥视图 进入公共密钥编辑视图 命令 system-view rsa peer-public-key keyname public-key-code begin 必选 必选 配置客户端的公钥 直接输入公钥内容 在输入公钥内容时,字符之间 可以有空格,也可以按回车键 继续输入数据,所配置的公钥 必须是按公钥格式编码的十 六进制字符串 退出视图时,保存输入的公钥 数据 说明退出公共密钥编辑视图,退回 到公共密钥视图public-key-code end1-8 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务 操作 退出公共密钥视图,退回到系 统视图 命令 peer-public-key end 必选 为 SSH 用户分配公共密钥 ssh user username assign rsa-key keyname第 1 章 SSH 终端服务 说明keyname 为已经存在的公共 密钥名称.使用该命令为用户 分配公钥时,如果此用户已经 被分配了公钥,那么,以最后 一次分配的公钥为准说明: 以上方式需要用户在客户端使用软件对公钥进行格式转换,然后在服务器端对 转换后的公钥进行手工配置,使用起来相对复杂一些. 使用 ssh user username assign rsa-key 命令为 SSH 用户分配公共密钥时, 如果该 SSH 用户不存在,则系统会自动创建一个 SSH 用户. 手工配置客户端的公钥时,可将客户端的本地主机公钥数据以拷贝粘贴方式配 置到服务器端.(2)通过命令实现系统自动配置公钥客户端的操作: 在支持 SSH1.5/2.0 的客户端软件上,随机生成 RSA 密钥对; 通过 FTP/TFTP 方式,将公钥文件传送到服务器的 Flash 中. 服务器端的操作:表1-8 通过命令实现系统自动配置公钥 操作 进入系统视图 实现公钥格式的转换及公 钥的自动配置 system-view rsa peer-public-key keyname import sshkey filename 命令 密钥文件名 filename 必须和 传送到 Flash 中的公钥文件 名一致 说明说明: 以上方式不需要用户手工配置公钥,相对比较简单,建议用户采用.1-9 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务7. 指定业务报文源 IP 用户可以通过以下配置,对 SSH Server 指定源 IP 地址或者源接口,增加了业务 的可管理性.表1-9 指定业务报文源 IP 操作 进入系统视图 为 SSH Server 指定源 IP 地址 为 SSH Server 指定源接口 system-view ssh-server source-ip ip-address ssh-server source-interface interface-type interface-number 命令 可选 可选 说明1.1.3 配置 SSH 客户端SSH 客户端软件有很多,例如 PuTTY,OpenSSH 等.SSH 客户端要与服务器建 立连接,需要做如下基本配置: 指定服务器 IP 地址. 选择远程连接协议为 SSH.通常客户端可以支持多种远程连接协议,如 Telnet, Rlogin, SSH 等. 要建立 SSH 连接, 必须选择远程连接协议为 SSH. 选择 SSH 版本.由于设备目前支持的版本是 SSH 服务器 2.0 版本,客户端 可以选择 2.0 或 2.0 以下版本. 指定 RSA 私钥文件. 如果在服务器端配置了 SSH 用户采用 RSA 认证, 并为 SSH 用户指定了 RSA 公钥, 就必须在客户端指定与该 RSA 公钥对应的 RSA 私钥文件.RSA 密钥对是由客户端软件附带的工具生成的. 下面以客户端软件 PuTTY,PuTTYGen 和 SSHKEY 为例,说明 SSH 客户端的配 置方法. 1. 生成客户端密钥 运行 PuTTYGen.exe,参数栏使用&SSH2(RSA)&,点击&Generate&,产生客户 端密钥对.1-10 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务图1-3 生成客户端密钥(1)在产生密钥对的过程中需不停的移动鼠标, 鼠标移动仅限于下图蓝色框中除绿色标 记进程条外的地方,否则进程条的显示会不动,密钥对将停止产生,见图 1-4.图1-4 生成客户端密钥(2)1-11 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务密钥对产生后, 点击&save public key&, 输入存储公钥的文件名 public, 点击保存.图1-5 生成客户端密钥(3)同理,点击&save private key&存储私钥,弹出警告框,提醒是否保存没做任何保 护措施的私钥,点击&Yes&,输入私钥文件名即可,此处为 private,点击保存.图1-6 生成客户端密钥(4)运行 SSHKEY.exe,点击&Browse&,选择公钥文件 public.然后点击&Convert&, 即可生成 PKCS 编码格式的 RSA 公钥数据.1-12 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务图1-7 生成客户端密钥(5)2. 指定服务器 IP 地址 打开 PuTTY.exe 程序,出现如下客户端配置界面.1-13 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务图1-8 SSH 客户端配置界面(1)在&Host Name(or IP address)&文本框中输入 SSH 服务器的 IP 地址(要求 SSH 服务器的 IP 地址与 SSH 客户端主机的路由可达). 3. 选择远程连接协议为 SSH 如图 1-8,在&Protocol&选择栏中选择&SSH&. 4. 选择 SSH 版本 单击 SSH 客户端配置界面左边目录树&Category&中的连接协议&Connection& ( ) ( ) 中的&SSH&,出现如图 1-9的界面.1-14 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务图1-9 SSH 客户端配置界面(2)在&Protocol options&区域中,选择&Preferred SSH protocol version&参数的值 为 2. 说明: 对于有些 SSH 客户端软件,例如 Tectia client 客户端软件,只有在选择 ssh1 版本 才支持 DES 算法,选择 ssh2 版本则不支持 DES 算法.PuTTY 客户端软件在选择 了 DES 后,可以在 ssh2 版本中支持 DES 算法协商.5. 以 RSA 方式打开 SSH 连接 如果用户需要 RSA 认证,就必须指定 RSA 私钥文件.如果用户只需要 password 认证,则不需要指定 RSA 私钥文件. 如图 1-9,单击&SSH&下面的&Auth&(认证),出现如图 1-10的界面.1-15 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务图1-10 SSH 客户端配置界面(3)单击&Browse…&按钮,弹出文件选择窗口.选择私钥文件,并确定即可. 6. 以口令方式打开 SSH 连接 (1) 在图 1-10中,单击&Open&按钮,出现如图 1-11所示的 SSH 客户端界面,如 果连接正常则会提示用户输入用户名及密码.1-16 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务图1-11 SSH 客户端界面(2) (3)输入正确的用户名和密码,即可成功进行 SSH 登录连接. 退出登录,执行命令 quit 即可.1.1.4 配置设备作为 SSH 客户端当设备作为 SSH 客户端和服务器端连接时,可以设置 SSH 客户端对访问的 SSH 服务器是否进行首次认证. 所谓首次认证,是指当 SSH 客户端首次访问服务器,而客户端没有配置服务 器端的主机公钥时,用户可以选择继续访问该服务器,并在客户端保存该主 机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器. 如果不支持首次认证,则当客户端没有配置服务器端的主机公钥时,客户端 将拒绝访问该服务器.用户必须事先将要访问的服务器端的主机公钥配置在 本地,同时指定要连接的服务器端的主机公钥名称,以便客户端对连接的服 务器进行认证. 此外,客户端可以配置用指定源 IP 地址或者源接口访问 SSH 服务器.1-17 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务1. 配置支持首次认证的 SSH 客户端表1-10 配置支持首次认证的 SSH 客户端 操作 进入系统视图 设置对 ssh 服务器进行 首次认证 system-view 命令 可选 ssh client first-time enable 缺省情况下,客户端进行 首次认证 必选 该配置用来启动 SSH 客 户端和服务器端建立连 接,并指定客户端和服务 器的首选密钥交换算法, 首选加密算法和首选 HMAC 算法 说明建立 SSH 客户端和服务 器端的连接ssh2 { host-ip | host-name } [ port-num ] [ prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher { des | aes128 } | prefer_stoc_cipher { des | aes128 } | prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] *2. 配置不支持首次认证的 SSH 客户端表1-11 配置不支持首次认证的 SSH 客户端 操作 进入系统视图 设置 SSH 客户端对访问的 SSH 服务器不进行首次认证 进入公共密钥视图 进入公共密钥编辑视图 system-view 命令 必选 undo ssh client first-time 缺省情况下,客户端进行 首次认证 可选 在输入公钥内容时,字符 之间可以有空格,也可以 按回车键继续输入数据, 所配置的公钥必须是按公 钥格式编码的十六进制字 符串 退回公共密钥视图 public-key-code end 退出视图时,保存输入的 公钥数据 必选 说明rsa peer-public-key keyname public-key-code begin配置服务器端的公钥直接输入公钥内容退回系统视图 在客户端上指定要连接的服 务器端的主机公钥名称peer-public-key end ssh client { server-ip | server-name } assign rsa-key keyname1-18 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务 操作 命令 ssh2 { host-ip | host-name } [ port-num ] [ prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher { des | aes128 } | prefer_stoc_cipher { des | aes128 } | prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] *第 1 章 SSH 终端服务 说明建立 SSH 客户端和服务器端 的连接,并指定客户端和服 务器的首选密钥交换算法, 首选加密算法和首选 HMAC 算法必选3. 指定业务报文源 IP 用户可以通过以下配置,对 SSH2 Client 指定源 IP 地址或者源接口,增加了业务 的可管理性.表1-12 指定业务报文源 IP 操作 进入系统视图 为 SSH2 Client 指定源 IP 地址 为 SSH2 Client 指定源接口 system-view ssh2 source-ip ip-address ssh2 source-interface interface-type interface-number 命令 可选 可选 说明1.1.5 SSH 配置显示完成上述配置后,在任意视图下执行 display 命令,可以显示配置 SSH 后的运行 情况.通过查看显示信息,用户可以验证配置的效果.1-19 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务 表1-13 SSH 配置显示 操作 显示服务器端主机密钥对和服 务器密钥对的公钥部分 显示客户端 RSA 密钥对的公钥 部分 显示 SSH 状态信息和会话信息 显示 SSH 用户信息 显示当前为 SSH Server 设置的 源 IP 地址 显示客户端保存的服务器端的 主机公钥和服务器的对应关系 显示当前为 SSH2 Client 设置 的源 IP 地址 命令 display rsa local-key-pair public display rsa peer-public-key [ brief | name keyname ] display ssh server { status | session } display ssh user-information [ username ] display ssh-server source-ip第 1 章 SSH 终端服务说明display 命令可以在 任意视图下执行display ssh server-infodisplay ssh2 source-ip1.1.6 SSH Server 配置举例1. 组网需求 如图 1-12所示,PC 终端(SSH Client)上运行支持 SSH2.0 的客户端软件,与交 换机(SSH Server)建立本地连接,更大限度地保证数据信息交换的安全. 2. 组网图192.168.0.2/24 Vlan-interface1 192.168.0.1/24SSH ClientSwitch图1-12 SSH Server 配置组网图3. 配置步骤 以下将根据登录认证方式的不同分别介绍配置步骤, 但开始任何一种配置之前, 首 先要生成 RSA 主机密钥对和服务器密钥对.&Quidway& system-view [Quidway] rsa local-key-pair create其次,必须在交换机上创建 VLAN 接口,并为其分配 IP 地址,作为客户端连接的 SSH 服务器地址.[Quidway] interface vlan-interface 1 [Quidway-Vlan-interface1] ip address 192.168.0.1 255.255.255.01-20 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务[Quidway-Vlan-interface1] quit第 1 章 SSH 终端服务最后, 客户端主机的 IP 地址必须同交换机上的 VLAN 接口的 IP 地址位于同一个网 段,这里设置为&192.168.0.2&. (1) 设置用户登录认证方式.下面按照两种认证方式分别进行配置. 第一种方式:password 认证. # 设置用户接口上的认证模式为 AAA 认证.[Quidway] user-interface vty 0 4 [Quidway-ui-vty0-4] authentication-mode scheme# 设置用户接口上支持 SSH 协议.[Quidway-ui-vty0-4] protocol inbound ssh [Quidway-ui-vty0-4] quit# 指定用户 client001 的登录协议为 SSH,能访问的命令级别为 3,密码为 abc.[Quidway] local-user client001 [Quidway-luser-client001] password simple abc [Quidway-luser-client001] service-type ssh level 3 [Quidway-luser-client001] quit [Quidway] ssh user client001 authentication-type password说明: SSH 的认证超时时间,重试次数可以采用系统默认值.完成以上配置后,用户就 可以在与交换机连接的终端上,运行支持 SSH2.0 的客户端软件,以用户名 client001,密码 abc,访问交换机了.第二种方式:RSA 公钥认证. # 设置用户接口上的认证模式为 AAA 认证.[Quidway] user-interface vty 0 4 [Quidway-ui-vty0-4] authentication-mode scheme# 设置用户接口上支持 SSH 协议.[Quidway-ui-vty0-4] protocol inbound ssh# 设置用户能访问的命令级别为 3.[Quidway-ui-vty0-4] user privilege level 3 [Quidway-ui-vty0-4] quit# 指定用户 client001 的认证方式为 RSA.[Quidway] ssh user client001 authentication-type rsa1-21 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务# 在支持 SSH2.0 的客户端软件上,随机产生 RSA 密钥对,并按如下方式将 RSA 公钥(此处的 RSA 公钥是指用 SSHKEY.EXE 软件进行 PKCS 编码后的 16 进制 字符串)配置到 SSH 服务器上指定的 rsa peer-public-key 中. # 在服务器端配置客户端的公钥,指定公钥名称为 Switch001.[Quidway] rsa peer-public-key Switch001 [Quidway-rsa-public-key] public-key-code begin [Quidway-rsa-key-code] 739A291ABDA704F5D93DC8FDF84C427463 [Quidway-rsa-key-code] DF178C55FAD47D913 [Quidway-rsa-key-code] D7EDF9CED2B30BD1F52D045DE4 [Quidway-rsa-key-code] E135523CCD74CAC61F8E58C452B2F3F2DA0DC [Quidway-rsa-key-code] C48E7BDDB69F3CBB0A [Quidway-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB [Quidway-rsa-key-code] public-key-code end [Quidway-rsa-public-key] peer-public-key end# 如果服务器端是以文件形式存放客户端的公钥,文件名为 Switch001,则可以直 接从文件中导入.[Quidway] rsa peer-public-key Switch001 import sshkey Switch001# 为用户 client001 指定公钥 Switch001.[Quidway] ssh user client001 assign rsa-key Switch001对于 RSA 认证,不仅需要在客户端上配置 SSH 服务器的 IP 地址,协议类型,版 本,还需要指定 RSA 私钥文件(由客户端软件随机产生).打开 SSH 连接后按提 示输入用户名即可进入交换机的配置界面.1.1.7 设备作为 SSH 客户端配置举例1. 组网需求 如图 1-13所示: 交换机 Switch A 作为 SSH 客户端,用户名 client001; 交换机 Switch B 作为 SSH 服务器,IP 地址为 10.165.87.136. 2. 组网图SwitchB SSH Server Vlan-interface1 10.165.87.136/24图1-13 SSH Client 配置组网图SwitchA Vlan-interface1 SSH Client 10.165.87.137/241-22 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 1 章 SSH 终端服务3. 配置步骤 (1) 配置 SwitchB# 要生成 RSA 主机密钥对和服务器密钥对&Quidway& system-view [Quidway] rsa local-key-pair create# 在交换机上创建 VLAN 接口,并为其分配 IP 地址,作为客户端连接的 SSH 服务 器地址.[Quidway] interface vlan-interface 1 [Quidway-Vlan-interface1] ip address 10.165.87.136 255.255.255.0 [Quidway-Vlan-interface1] quit# 设置 SSH 客户端登录用户界面的认证方式为 AAA 认证.[Quidway] user-interface vty 0 4 [Quidway-ui-vty0-4] authentication-mode scheme# 设置交换机上远程用户登录协议为 SSH.[Quidway-ui-vty0-4] protocol inbound ssh [Quidway-ui-vty0-4] quit# 指定用户 client001 的登录协议为 SSH,能访问的命令级别为 3,密码为 abc.[Quidway] local-user client001 [Quidway-luser-client001] password simple abc [Quidway-luser-client001] service-type ssh level 3 [Quidway-luser-client001] quit# 配置 SSH 用户认证方式为 password.SSH 的认证超时时间,尝试次数以及服 务器密钥更新时间可以采取系统缺省值.[Quidway] ssh user client001 authentication-type password说明: 如果配置 SSH 用户的认证方式为 RSA,则需要配置 SwitchA 的主机公钥.具体配 置方法可以参见&1.1.6 SSH Server 配置举例&中的配置 SSH 用户认证方式为 RSA.(2)配置 SwitchA# SwitchA 上的 VLAN 接口的 IP 地址必须同 SwitchB 上的 VLAN 接口的 IP 地址位 于同一个网段,这里设置为&10.165.87.137&.&Quidway& system-view [Quidway] interface vlan-interface 1 [Quidway-Vlan-interface1] ip address 10.165.87.137 255.255.255.01-23 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务[Quidway-Vlan-interface1] quit第 1 章 SSH 终端服务# 建立到服务器 10.165.87.136 的 SSH 连接.[Quidway] ssh2 10.165.87.136 Username: client001 Trying 10.165.87.136 ... Press CTRL+K to abort Connected to 10.165.87.136 ...The Server is not authenticated. Do you continue to access it?(Y/N):y Do you want to save the server's public key?(Y/N):n Enter password:************************************************************************* * Copyright(c)
Huawei Technologies Co., Ltd. All rights reserved. * Without the owner's prior written consent, * no decompiling or reverse-engineering shall be allowed. * **************************************************************************&Quidway&1-24 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 2 章 SFTP 服务第2章 SFTP 服务2.1 SFTP 服务2.1.1 SFTP 简介SFTP 是 Secure FTP 的简称,是 SSH2.0 中新增的功能. SFTP 建立在 SSH 连接的基础之上, 它使得远程用户可以安全地登录交换机设备, 进行文件管理和文件传送等操作(如进行系统升级),为数据传输提供了更高的安 全保障.同时,由于提供了客户端功能,用户可以从本地设备安全登录到远程设备 上,进行文件的安全传输.2.1.2 SFTP Server 配置SFTP 服务器端配置包括: 配置用户使用的服务类型; 启动 SFTP 服务器; 设置用户连接的空闲超时时间 1. 配置用户使用的服务类型 该配置任务用于设定用户可以使用的 SSH 服务类型.表2-1 配置用户可以使用的服务类型 操作 进入系统视图 命令 system-view ssh user username service-type { stelnet | sftp | all } 可选 缺省情况下,用户可以使用的 的服务类型为 stelnet 说明配置用户可以使用的服务类型注意: 使用 ssh user username service-type 命令配置用户可以使用的 SSH 服务类型 时,如果该用户不存在,则系统会自动创建一个 SSH 用户.2-1 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 2 章 SFTP 服务2. 启动 SFTP 服务器表2-2 启动 SFTP 服务器 操作 进入系统视图 启动 SFTP 服务器 命令 system-view sftp server enable 必选 缺省情况下,SFTP 服务器处于关闭状态 说明3. 设置用户连接的空闲超时时间 当 SFTP 用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接.表2-3 设置用户连接的空闲超时时间 操作 进入系统视图 设置 SFTP 用户连接的空闲超 时时间 命令 system-view 必选 sftp timeout time-out-value 缺省情况下,SFTP 用户连接 的空闲超时时间为 10 分钟 说明2.1.3 SFTP Client 配置SFTP 客户端的配置包括:表2-4 SFTP 客户端配置 操作 启动 SFTP 客户端 命令关键字 sftp bye 关闭 SFTP 客户端 exit quit 改变用户的当前工作目录 返回上一级目录 显示当前工作目录 SFTP 目 录操作 cd cdup pwd dir ls 创建新目录 删除目录 mkdir rmdir SFTP 客户端视图 可选 SFTP 客户端视图 可选 视图 系统视图 说明 必选显示指定目录下的文件列表2-2 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务 操作 改变服务器上指定的文件的名字 下载远程服务器上的文件 上传本地文件到远程服务器 SFTP 文 件操作 显示指定目录下的文件列表 命令关键字 rename get put dir ls 删除服务器上文件 客户端命令帮助 delete remove help第 2 章 SFTP 服务 视图 说明SFTP 客户端视图可选SFTP 客户端视图可选1. 启动 SFTP 客户端 该配置任务用来启动 SFTP 客户端程序, 与远程 SFTP 服务器建立连接, 并进入到 SFTP client 视图.表2-5 启动 SFTP 客户端 操作 进入系统视图 system-view sftp { host-ip | host-name } [ port-num ] [ prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher { des | aes128 } | prefer_stoc_cipher { des | aes128 } | prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] * 命令 说明启动 SFTP 客户端必选2. 关闭 SFTP 客户端 该配置任务用来关闭 SFTP 客户端程序.表2-6 关闭 SFTP 客户端 操作 进入系统视图 进入 SFTP 客户端视图 system-view sftp { host-ip | host-name } bye 关闭 SFTP 客户端 exit quit bye,exit 和 quit 三 条命令的功能相同 命令 说明2-3 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 2 章 SFTP 服务3. SFTP 目录操作 SFTP 目录操作包括:改变或显示当前的工作目录,创建或删除目录,显示指定目 录下的文件或目录信息.表2-7 SFTP 目录操作 操作 进入系统视图 进入 SFTP 客户端视图 改变用户的当前工作目录 返回上一级目录 显示用户的当前工作目录 命令 system-view sftp { host-ip | host-name } cd remote-path cdup pwd dir [ -a | -l ] [ remote-path ] 显示指定目录下的文件列表 ls [ -a | -l ] [ remote-path ] 在服务器上创建新的目录 删除服务器上的目录 mkdir remote-path 可选 rmdir remote-path&&1-10& 可选 dir 和 ls 两条命令的作 用相同 可选 说明4. SFTP 文件操作 SFTP 文件操作包括:改变文件名,下载文件,上传文件,显示文件列表,删除文 件.表2-8 SFTP 文件操作 操作 进入系统视图 进入 SFTP 客户端视图 改变服务器上指定的文件的名字 下载远程服务器上的文件 上传本地文件到远程服务器 命令 system-view sftp { host-ip | host-name } rename old-name new-name get remote-file [ local-file ] put local-file [ remote-file ] dir [ -a | -l ] [ remote-path ] 显示指定目录下的文件列表 ls [ -a | -l ] [ remote-path ] delete remote-file&&1-10& 删除服务器上文件 remove remote-file&&1-10& 可选 dir 和 ls 两条命令的作 用相同 可选 delete 和 remove 两条 命令的功能相同 可选 说明2-4 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 2 章 SFTP 服务5. 显示帮助信息 本配置用于显示相关命令的帮助信息,如命令格式,参数配置等.表2-9 显示客户端命令的帮助信息 操作 进入系统视图 进入 SFTP 客户端视图 显示客户端命令的帮助信息 命令 system-view sftp { host-ip | host-name } help [ all | command-name ] 可选 说明6. 指定业务报文源 IP 用户可以通过以下配置,对 SFTP Client 指定源 IP 地址或者源接口,增加了业务 的可管理性.表2-10 指定业务报文源 IP 操作 进入系统视图 为 sftp client 指定源 IP 地址 为 sftp client 指定源接口 显示当前为 SFTP Client 设 置的源 IP 地址 system-view sftp source-ip ip-address sftp source-interface interface-type interface-number display sftp source-ip 命令 可选 可选 可选 可以在任意视图下执行 说明2.1.4 SFTP 配置举例1. 组网需求 如图 2-1,SwitchA 和 SwitchB 之间建立 SSH 连接,SwitchA 作为 SFTP 客户端登 录到 SwitchB, 进行文件管理和文件传送等操作, 用户名为 client001, 密码为 abc. 2. 组网图SwitchB SFTP Server Vlan-interface1 192.168.0.1/24图2-1 SFTP 配置组网图SwitchA Vlan-interface1 SFTP Client 192.168.0.2/242-5 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务第 2 章 SFTP 服务3. 配置步骤 (1) 配置服务器端 Switch B.&Quidway&system-view [Quidway] rsa local-key-pair create# 在交换机上创建 VLAN 接口,并为其分配 IP 地址,作为客户端连接的 SSH 服务 器地址.[Quidway] interface vlan-interface 1 [Quidway-Vlan-interface1] ip address 192.168.0.1 255.255.255.0 [Quidway-Vlan-interface1] quit# 设置 SSH 客户端登录用户界面的认证方式为 AAA 认证.[Quidway] user-interface vty 0 4 [Quidway-ui-vty0-4] authentication-mode scheme# 设置交换机上远程用户登录协议为 SSH.[Quidway-ui-vty0-4] protocol inbound ssh [Quidway-ui-vty0-4] quit# 创建本地用户 client001.[Quidway] local-user client001 [Quidway-luser-client001] password simple abc [Quidway-luser-client001] service-type ssh [Quidway-luser-client001] quit# 配置 SSH 用户认证方式为 password.SSH 的认证超时时间,尝试次数以及服 务器密钥更新时间可以采取系统默认值.[Quidway] ssh user client001 authentication-type password说明: 如果配置 SSH 用户的认证方式为 RSA,则需要配置 SwitchA 的主机公钥.具体配 置方法可以参见&1.1.6 SSH Server 配置举例&中的配置 SSH 用户认证方式为 RSA.# 指定用户的服务类型为 SFTP.[Quidway] ssh user client001 service-type sftp# 启动 SFTP 服务器.[Quidway] sftp server enable(2)配置客户端 Switch A.# SwitchA 上的 VLAN 接口的 IP 地址必须同 SwitchB 上的 VLAN 接口的 IP 地址位 于同一个网段,这里设置为&192.168.0.2&.2-6 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务&Quidway& system-view [Quidway] interface vlan-interface 1第 2 章 SFTP 服务[Quidway-Vlan-interface1] ip address 192.168.0.2 255.255.255.0 [Quidway-Vlan-interface1] quit# 与远程 SFTP 服务器建立连接,进入 SFTP client 视图.[Quidway] sftp 192.168.0.1 Input Username: client001 Trying 192.168.0.1 ... Press CTRL+K to abort Connected to 192.168.0.1 ...The Server is not authenticated. Do you continue access it? [Y/N]:y Do you want to save the server's public key? [Y/N]:n Enter password:sftp-client&# 显示服务器的当前目录,删除文件 z,并检查此目录是否删除成功.sftp-client& dir -rwxrwxrwx -rwxrwxrwx -rwxrwxrwx drwxrwxrwx -rwxrwxrwx -rwxrwxrwx 1 noone 1 noone 1 noone 1 noone 1 noone 1 noone nogroup nogroup nogroup nogroup nogroup nogroup 1759 Aug 23 06:52 vrpcfg.cfg 225 Aug 24 08:01 pubkey2 283 Aug 24 07:39 pubkey1 0 Sep 01 06:22 new 225 Sep 01 06:55 pub 0 Sep 01 08:00 zsftp-client& delete z The following files will be deleted: flash:/z Are you sure to delete it?(Y/N):y This operation may take a long time.Please wait...File successfully Removed sftp-client& dir -rwxrwxrwx -rwxrwxrwx -rwxrwxrwx drwxrwxrwx -rwxrwxrwx 1 noone 1 noone 1 noone 1 noone 1 noone nogroup nogroup nogroup nogroup nogroup 1759 Aug 23 06:52 vrpcfg.cfg 225 Aug 24 08:01 pubkey2 283 Aug 24 07:39 pubkey1 0 Sep 01 06:22 new 225 Sep 01 06:55 pub# 新增目录 new1,并检查新目录是否创建成功.sftp-client& mkdir new1 New directory created sftp-client& dir2-7 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务-rwxrwxrwx -rwxrwxrwx -rwxrwxrwx drwxrwxrwx -rwxrwxrwx drwxrwxrwx 1 noone 1 noone 1 noone 1 noone 1 noone 1 noone nogroup nogroup nogroup nogroup nogroup nogroup第 2 章 SFTP 服务1759 Aug 23 06:52 vrpcfg.cfg 225 Aug 24 08:01 pubkey2 283 Aug 24 07:39 pubkey1 0 Sep 01 06:22 new 225 Sep 01 06:55 pub 0 Sep 02 06:30 new1# 将目录名 new1 更名为 new2,并查看是否更名成功.sftp-client& rename new1 new2 File successfully renamed sftp-client& dir -rwxrwxrwx -rwxrwxrwx -rwxrwxrwx drwxrwxrwx -rwxrwxrwx drwxrwxrwx 1 noone 1 noone 1 noone 1 noone 1 noone 1 noone nogroup nogroup nogroup nogroup nogroup nogroup 1759 Aug 23 06:52 vrpcfg.cfg 225 Aug 24 08:01 pubkey2 283 Aug 24 07:39 pubkey1 0 Sep 01 06:22 new 225 Sep 01 06:55 pub 0 Sep 02 06:33 new2# 从服务器上下载文件 pubkey2 到本地,并更名为 public.sftp-client& get pubkey2 public This operation may take a long time, please wait...Remotefile:flash:/pubkey2 ---&Local file: public..Downloading file successfully ended# 将本地文件 pu 上传到服务器上,更名为 puk,并查看上传是否成功.sftp-client& put pu puk This operation may take a long time, please wait... Local file: pu ---& Remote file: flash:/pukUploading file successfully ended sftp-client& dir -rwxrwxrwx -rwxrwxrwx -rwxrwxrwx drwxrwxrwx drwxrwxrwx -rwxrwxrwx -rwxrwxrwx sftp-client& 1 noone 1 noone 1 noone 1 noone 1 noone 1 noone 1 noone nogroup nogroup nogroup nogroup nogroup nogroup nogroup 1759 Aug 23 06:52 vrpcfg.cfg 225 Aug 24 08:01 pubkey2 283 Aug 24 07:39 pubkey1 0 Sep 01 06:22 new 0 Sep 02 06:33 new2 283 Sep 02 06:35 pub 283 Sep 02 06:36 puk# 退出 SFTP.sftp-client& quit Bye2-8 Quidway S3900 系列以太网交换机 操作手册-Release 1510 SSH 终端服务[Quidway]第 2 章 SFTP 服务2-9
赞助商链接}
我要回帖
更多关于 h3c f100 web远程登录 的文章
更多推荐
- ·灰喜鹊一年繁殖几窝为什么会攻击人类?
- ·Gbps等于网速多少算正常mbpsMB/ s?
- ·雾天行车注意事项有哪些安全行车技巧分享有哪些
- ·怎样使稀硫酸变为98%浓硫酸酸?
- ·亚硫代硫酸钠怎样变成硫代硫酸钠,可以直接和氧气反应成为硫代硫酸钠吗?
- ·苹果手机反锁了怎么办6反锁怎么打开
- ·华为mate8处理器参数10用的是什么处理器?
- ·联通已开通业务查询205这个数字是查询什么业务的
- ·我得笔记本安装了安装虚拟机需要什么,他提示需要在bios里边设置什么,请问怎么设置
- ·超频三凌冻双擎的凌冻双擎风水冷混合散热器好安装吗?
- ·三星s7edge换后盖教程电池怎么拆
- ·王者荣耀体验服专区下一期在什么时候
- ·你好,请问下,为什么网上申请微信 还光大信用卡卡填写微信号总是显示错误,我的微信号用的是手机号,谢谢
- ·水风冷散热器哪个最好的降温能力和风冷的相比,哪个更好?求推荐!
- ·RT1072与BISS0001手机存储芯片替换可以替换吗?
- ·宏基笔记本快速启动电脑怎么从U盘启动
- ·opencl的kernel 内存管理可以动态分配内存么
- ·有没有那种最好的风冷散热器和水冷混合的散热器?预算2000以内。
- ·中国现在还没有技术能破解美国苹果手机解锁多少钱ID吗?
- ·华为s3900 在web里怎么找到华为账号 远程登录录
- ·闸刀闸刀 保险丝没有过载和充电器玻璃闸刀 保险丝没有过载(如图)仅是电流安数不同,但短路电流很大,是否可以忽略,替换
- ·求大神告知,怎么绝地求生读取人物界面SEEP/W模块计算后的浸润线信息
- ·lg洗衣机和西门子海尔和lg洗衣机哪个好好
- ·fs6975dn 怎么设置p3205dn双面打印印
- ·960m的i54590配什么显卡最好打LOL卡 CPUi54200m
- ·哪位大佬有女神异闻录安卓主题5的安卓手机主题?
- ·锐龙1700超频主板哪些可以超频
- ·有没有一款性价比最高的水冷高的水冷推荐?预算400以内。
- ·花呗10号还款算逾期吗用了几百,还款逾期的话会怎么样
- ·珠宝租赁为什么失败还能租赁?
- ·在正常情况下<广东11选5稳赚技巧>如何开立账户????
- ·美国原装进口万艾可可多少价格价位多少钱 卖方
- ·用什么软件可以查找现在最低点的股票最低买多少股?
- ·全国有叫金高银新剧望的人吗
