- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-SSH命令
本章節下載: 11-SSH命令 (271.42 KB)
1.1.2 display ssh user-information
1.1.4 sftp server idle-timeout
1.1.5 ssh server authentication-retries
1.1.6 ssh server authentication-timeout
1.1.7 ssh server compatible-ssh1x enable
1.1.9 ssh server rekey-interval
1.2.6 display sftp client source
1.2.7 display ssh client source
1.2.22 sftp client ipv6 source
1.2.25 ssh client authentication server
1.2.26 ssh client first-time enable
【命令】
display ssh server { session | status } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
session:顯示SSH服務器的會話信息。
status:顯示SSH服務器的狀態信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ssh server命令用來在SSH服務器端顯示該服務器的狀態信息或會話信息。
相關配置可參考命令ssh server authentication-retries、ssh server rekey-interval、ssh server authentication-timeout、ssh server enable 和ssh server compatible-ssh1x enable。
【舉例】
# 在SSH服務器端顯示該服務器的狀態信息。
<Sysname> display ssh server status
SSH server: Disable
SSH version : 1.99
SSH authentication-timeout : 60 second(s)
SSH server key generating interval : 0 hour(s)
SSH authentication retries : 3 time(s)
SFTP server: Disable
SFTP server Idle-Timeout: 10 minute(s)
表1-1 display ssh server status命令顯示信息描述表
|
字段 |
描述 |
|
SSH server |
SSH服務器功能的狀態 |
|
SSH version |
SSH協議版本 SSH服務器兼容SSH1時,協議版本為1.99;SSH服務器不兼容SSH1時,協議版本為2.0 |
|
SSH authentication-timeout |
認證超時時間 |
|
SSH server key generating interval |
服務器密鑰對更新時間 |
|
SSH authentication retries |
認證嚐試的最大次數 |
|
SFTP server |
SFTP服務器功能的狀態 |
|
SFTP server Idle-Timeout |
SFTP用戶連接的空閑超時時間 |
# 在SSH服務器端顯示該服務器的會話信息。
<Sysname> display ssh server session
Conn Ver Encry State Retry SerType Username
VTY 0 2.0 DES Established 0 SFTP client001
表1-2 display ssh server session顯示信息描述表
|
字段 |
描述 |
|
Conn |
用戶登錄使用的VTY界麵的編號 |
|
Ver |
SSH服務器的協議版本 |
|
Encry |
SSH使用的加密算法 |
|
State |
會話狀態,包括: · Init:初始化狀態 · Ver-exchange:版本協商 · Keys-exchange:密鑰交換 · Auth-request:用戶認證 · Serv-request:服務請求 · Established:連接已經建立 · Disconnected:斷開連接 |
|
Retry |
認證失敗的次數 |
|
SerType |
服務類型,包括SCP、SFTP和Stelnet三種類型 |
|
Username |
客戶端登錄服務器時采用的用戶名 |
【命令】
display ssh user-information [ username ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
username:顯示指定SSH用戶的信息。username表示SSH用戶名,為1~80個字符的字符串。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ssh user-information命令用來在SSH服務器端顯示SSH用戶的信息。
需要注意的是:
· 本命令僅用來顯示SSH服務器端通過ssh user命令配置的SSH用戶信息。
· 如果沒有指定參數username,則顯示所有SSH用戶的信息。
相關配置可參考命令ssh user。
【舉例】
# 顯示所有SSH用戶的信息。
<Sysname> display ssh user-information
Total ssh users : 2
Username Authentication-type User-public-key-name Service-type
yemx password null stelnet
test publickey pubkey sftp
表1-3 display ssh user-information顯示信息描述表
|
字段 |
描述 |
|
Total ssh users |
SSH用戶的總數 |
|
Username |
用戶名 |
|
Authentication-type |
認證類型,如果認證類型為password,則用戶公鑰名稱顯示為null |
|
User-public-key-name |
用戶公鑰名稱或認證客戶端證書的PKI域名 |
|
Service-type |
服務類型,包括stelnet、sftp、scp以及all,其中all表示支持所有認證類型 |
【命令】
sftp server enable
undo sftp server enable
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
sftp server enable命令用來啟動SFTP服務器。undo sftp server enable命令用來關閉SFTP服務器。
缺省情況下,SFTP服務器處於關閉狀態。
可以使用display ssh server命令來查看SFTP服務器端的相關狀態信息或會話信息。
相關配置可參考命令display ssh server。
【舉例】
# 啟動SFTP服務器。
<Sysname> system-view
[Sysname] sftp server enable
【命令】
sftp server idle-timeout time-out-value
undo sftp server idle-timeout
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
time-out-value:超時時間,取值範圍為1~35791,單位為分鍾。
【描述】
sftp server idle-timeout命令用來在SFTP服務器端設置SFTP用戶連接的空閑超時時間。undo sftp server idle-timeout命令用來恢複缺省情況。
缺省情況下,SFTP用戶連接的空閑超時時間為10分鍾。
當SFTP用戶連接的空閑時間超過設定的閾值後,係統會自動斷開此用戶的連接,從而有效避免用戶長期占用連接而不進行任何操作。若同一時間內並發的SFTP連接數較多,可適當減小該值,及時釋放係統資源給新用戶接入。
相關配置可參考命令display ssh server。
【舉例】
# 設置SFTP用戶連接的空閑超時時間為500分鍾。
<Sysname> system-view
[Sysname] sftp server idle-timeout 500
【命令】
ssh server authentication-retries times
undo ssh server authentication-retries
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
times:指定認證嚐試的最大次數,取值範圍為1~5。
【描述】
ssh server authentication-retries命令用來設置SSH連接認證嚐試的最大次數。undo ssh server authentication-retries命令用來恢複缺省情況。
缺省情況下,SSH連接認證嚐試的最大次數為3次。
通過本命令可以限製用戶登錄的重試次數,防止非法用戶對用戶名和密碼進行惡意地猜測和破解。
需要注意的是:
· 本配置對新登錄的用戶生效。
· SSH客戶端通過publickey和password兩種方式進行認證嚐試的次數總和,不能超過ssh server authentication-retries命令配置的SSH連接認證嚐試的最大次數。
· 對於password-publickey認證方式,設備首先對SSH用戶進行publickey認證,然後進行password認證,這個過程稱為一次認證嚐試,而不是兩次認證嚐試。
相關配置可參考命令display ssh server。
【舉例】
# 指定登錄認證嚐試的最大次數為4次。
<Sysname> system-view
[Sysname] ssh server authentication-retries 4
【命令】
ssh server authentication-timeout time-out-value
undo ssh server authentication-timeout
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
time-out-value:認證超時時間,取值範圍為1~120,單位為秒。
【描述】
ssh server authentication-timeout命令用來在SSH服務器端設置SSH用戶的認證超時時間,如果用戶在規定的時間內沒有完成認證就拒絕該連接。
undo ssh server authentication-timeout命令用來恢複缺省情況。
缺省情況下,SSH用戶的認證超時時間為60秒。
為了防止不法用戶建立起TCP連接後,不進行接下來的認證,而是空占著進程,妨礙其它合法用戶的正常登錄,可以適當調小SSH用戶認證超時時間。
相關配置可參考命令display ssh server。
【舉例】
# 設置SSH用戶認證超時時間為10秒。
<Sysname> system-view
[Sysname] ssh server authentication-timeout 10
【命令】
ssh server compatible-ssh1x enable
undo ssh server compatible-ssh1x
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
ssh server compatible-ssh1x enable命令用來設置SSH服務器兼容SSH1版本的客戶端。undo ssh server compatible-ssh1x命令用來設置SSH服務器不兼容SSH1版本的客戶端。
缺省情況下,SSH服務器兼容SSH1版本的客戶端。
該配置對新登錄的用戶生效。
相關配置可參考命令display ssh server。
【舉例】
# 配置服務器兼容SSH1版本的客戶端。
<Sysname> system-view
[Sysname] ssh server compatible-ssh1x enable
【命令】
ssh server enable
undo ssh server enable
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
ssh server enable命令用來使能SSH服務器功能,使客戶端能用SSH協議與服務器進行通信。undo ssh server enable命令用來關閉SSH服務器功能。
缺省情況下,SSH服務器功能處於關閉狀態。
相關配置可參考命令display ssh server。
【舉例】
# 使能SSH服務器功能。
<Sysname> system-view
[Sysname] ssh server enable
【命令】
ssh server rekey-interval hours
undo ssh server rekey-interval
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
hours:服務器密鑰的更新周期,取值範圍為1~24,單位為小時。
【描述】
ssh server rekey-interval命令用來設置RSA服務器密鑰的更新時間。undo ssh server rekey-interval命令用來恢複缺省情況。
缺省情況下,RSA服務器密鑰的更新時間為0,表示係統不更新RSA服務器密鑰。
SSH的核心是密鑰的協商和傳輸,因此密鑰的管理是非常重要的。通過定時更新服務器密鑰,可以防止對密鑰的惡意猜測和破解,從而提高了SSH連接的安全性。
相關配置可參考命令display ssh server。
· 此命令僅對SSH客戶端版本為SSH1的用戶有效。
· 係統不會定期更新DSA密鑰對。
【舉例】
# 設置每3小時更新一次RSA服務器密鑰。
<Sysname> system-view
[Sysname] ssh server rekey-interval 3
【命令】
在非FIPS模式下:
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign { pki-domain pkiname | publickey keyname } }
ssh user username service-type { all | scp | sftp } authentication-type { password | { any | password-publickey | publickey } assign { pki-domain pkiname | publickey keyname } work-directory directory-name }
undo ssh user username
在FIPS模式下:
ssh user username service-type stelnet authentication-type { password | password-publickey assign publickey keyname }
ssh user username service-type { all | sftp } authentication-type { password | password-publickey assign publickey keyname work-directory directory-name }
undo ssh user username
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
username:SSH用戶名,為1~80個字符的字符串,區分大小寫。
service-type:SSH用戶的服務類型。包括:
· all:包括scp、sftp和stelnet三種服務類型。
· scp:服務類型為SCP(Secure Copy的簡稱)。
· sftp:服務類型為安全的文件傳輸。
· stelnet:服務類型為Stelnet(Secure Telnet的簡稱)。
authentication-type:SSH用戶的認證方式,在FIPS模式下,設備不支持any和publickey認證方式。包括:
· password:強製用戶使用密碼認證。該認證方式的加密機製簡單,加密速度快,可結合AAA(Authentication, Authorization, Accounting,認證、授權、計費)實現對用戶認證、授權和計費,但容易受到攻擊。
· any:不指定用戶的認證方式,用戶既可以采用password認證,也可以采用publickey認證。
· password-publickey:指定客戶端版本為SSH2的用戶認證方式為必須同時進行password和publickey兩種認證,安全性更高;客戶端版本為SSH1的用戶認證方式為隻要進行其中一種認證即可。
· publickey:強製用戶使用公鑰認證。該認證方式的加密速度相對較慢,但認證強度高,不易受到“暴力猜測”等攻擊方式的影響,而且具有較高的易用性。一次配置成功後,後續認證過程自動完成,不需要用戶記憶和輸入密碼。
assign:指定用於驗證客戶端的參數。
· pki-domain pkiname:指定驗證客戶端證書的PKI域。pkiname表示PKI域的名稱,為1~15個字符的字符串,不區分大小寫。服務器端使用保存在該PKI域中的CA證書對客戶端證書進行合法性檢查,無需提前保存客戶端的公鑰,能夠靈活滿足大數量客戶端的認證需求。
· publickey keyname:指定SSH用戶的公鑰。keyname表示已經配置的客戶端公鑰名稱,為1~64個字符的字符串,區分大小寫。服務器端使用提前保存在本地的用戶公鑰對用戶進行合法性檢查,如果客戶端密鑰文件改變,服務器端需要及時更新本地配置。
work-directory directory-name:為SFTP用戶設置工作目錄。directory-name表示SFTP用戶的工作目錄,為1~135個字符的字符串。
【描述】
ssh user命令用來創建SSH用戶,並指定SSH用戶的服務類型和認證方式。undo ssh user命令用來刪除SSH用戶。
需要注意的是:
· 如果服務器采用publickey方式認證客戶端,則必須通過本配置在設備上創建相應的SSH用戶;如果服務器采用password方式認證客戶端,則必須將SSH用戶的賬號信息配置在設備(適用於本地認證)或者遠程認證服務器(如RADIUS服務器,適用於遠程認證)上,而並不要求通過本配置創建相應的SSH用戶。
· 使用該命令指定公鑰或PKI域時,則以最後一次指定的參數為準。
· 對於已經登錄的SSH用戶的參數修改,僅在該用戶重新登錄後生效。
· 如果為SCP或SFTP用戶指定了公鑰或PKI域,則必須同時為該用戶設置工作目錄。
· SCP或SFTP用戶登錄時使用的工作目錄與用戶使用的認證方式有關。采用publickey或password-publickey認證方式的用戶,使用的工作目錄為通過ssh user命令為該用戶設置的工作目錄;隻采用password認證方式的用戶,使用的工作目錄為通過AAA授權的工作目錄。
相關配置可參考命令display ssh user-information和“安全命令參考/PKI”中的pki domain。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 創建SSH用戶user1,配置user1的服務類型為SFTP,認證方式為publickey,並指定客戶端公鑰為key1,SFTP服務器工作目錄為flash:。
<Sysname> system-view
[Sysname] ssh user user1 service-type sftp authentication-type publickey assign publickey key1 work-directory flash:
【命令】
bye
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
bye命令用來終止與遠程SFTP服務器的連接,並退回到用戶視圖。
該命令功能與exit,quit相同。
【舉例】
# 終止與遠程SFTP服務器的連接。
sftp-client> bye
Bye
Connection closed.
<Sysname>
【命令】
cd [ remote-path ]
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
remote-path:服務器上的路徑名。
【描述】
cd命令用來改變遠程SFTP服務器上的工作路徑。
如果沒有指定remote-path,則顯示當前工作路徑。
· 命令“cd ..”用來返回到上一級目錄。
· 命令“cd /”用來返回到係統的根目錄。
【舉例】
# 改變工作路徑到new1。
sftp-client> cd new1
Current Directory is:
/new1
【命令】
cdup
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
cdup命令用來返回到上一級目錄。
【舉例】
# 從當前工作目錄/new1返回到上一級目錄。
sftp-client> cdup
Current Directory is:
/
【命令】
delete remote-file&<1-10>
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
remote-file&<1-10>:服務器上的文件名。&<1-10>表示最多可以輸入10個文件名,每個文件名之間用空格分隔。
【描述】
delete命令用來刪除SFTP服務器上指定的文件。
該命令和remove功能相同。
【舉例】
# 刪除服務器上的文件temp.c。
sftp-client> delete temp.c
The following files will be deleted:
/temp.c
Are you sure to delete it? [Y/N]:y
This operation may take a long time.Please wait...
File successfully Removed
【命令】
dir [ -a | -l ] [ remote-path ]
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
-a:顯示指定目錄下文件及文件夾的名稱。
-l:以列表的形式顯示指定目錄下文件及文件夾的詳細信息。
remote-path:查詢的目錄名。
【描述】
dir命令用來顯示指定目錄下文件及文件夾的信息。
如果沒有指定-a和-l參數,則以列表的形式顯示指定目錄下文件及文件夾的詳細信息。
如果沒有指定remote-path,則顯示當前工作目錄下文件及文件夾的信息。
該命令功能與ls相同。
【舉例】
# 以列表的形式顯示當前工作目錄下文件及文件夾的詳細信息。
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:28 pub1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:24 new1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:18 new2
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:30 pub2
【命令】
display sftp client source [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display sftp client source命令用來顯示當前為SFTP客戶端設置的源IP地址或者源接口。
如果沒有為SFTP客戶端指定源地址和源接口,則提示尚未指定。
相關配置可參考命令sftp client source。
【舉例】
# 顯示SFTP客戶端的源IP地址。
<Sysname> display sftp client source
The source IP address you specified is 192.168.0.1
【命令】
display ssh client source [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ssh client source命令用來顯示當前為Stelnet客戶端設置的源IP地址或者源接口。
如果沒有為Stelnet客戶端指定源地址和源接口,則提示尚未指定。
相關配置可參考命令ssh client source。
【舉例】
# 顯示Stelnet客戶端的源IP地址或者源接口。
<Sysname> display ssh client source
The source IP address you specified is 192.168.0.1
【命令】
display ssh server-info [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ssh server-info命令用來在SSH客戶端顯示客戶端保存的服務器端的主機公鑰和服務器的對應關係。
SSH客戶端需要認證服務器時,以本地保存的服務器端的主機公鑰對連接的服務器進行認證。如果認證不成功,可以通過display ssh server-info命令查看服務器是否與正確的公鑰對應。
相關配置可參考命令ssh client authentication server。
【舉例】
# 顯示客戶端保存的服務器端的主機公鑰和服務器的對應關係。
<Sysname> display ssh server-info
Server Name(IP) Server public key name
______________________________________________________
192.168.0.1 abc_key01
192.168.0.2 abc_key02
表1-4 display ssh server-info顯示信息描述表
|
字段 |
描述 |
|
Server Name(IP) |
服務器名稱或者IP地址 |
|
Server public key name |
服務器端的主機公鑰名稱 |
【命令】
exit
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
exit命令用來終止與遠程SFTP服務器的連接,並退回到用戶視圖。
該命令功能與bye,quit相同。
【舉例】
# 終止與遠程SFTP服務器的連接。
sftp-client> exit
Bye
Connection closed.
<Sysname>
【命令】
get remote-file [ local-file ]
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
remote-file:遠程SFTP服務器上的文件名。
local-file:本地文件名。
【描述】
get命令用來從遠程服務器上下載文件並存儲在本地。
如果沒有指定本地文件名,則認為本地文件與遠程SFTP服務器上的文件同名。
【舉例】
# 下載遠程服務器上的temp1.c文件,並以文件名temp.c在本地保存。
sftp-client> get temp1.c temp.c
Remote file:/temp1.c ---> Local file: temp.c
Downloading file successfully ended
【命令】
help [ all | command-name ]
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
all:顯示所有命令的名字。
command-name:命令名。
【描述】
help命令用來顯示SFTP客戶端命令的幫助信息。
如果沒有指定參數,係統將顯示所有命令的名字。
【舉例】
# 查看命令get的幫助信息。
sftp-client> help get
get remote-path [local-path] Download file.Default local-path is the same
as remote-path
【命令】
ls [ -a | -l ] [ remote-path ]
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
-a:顯示指定目錄下文件及文件夾的名稱。
-l:以列表的形式顯示指定目錄下文件及文件夾的詳細信息。
remote-path:查詢的目錄名。
【描述】
ls命令用來顯示指定目錄下文件及文件夾的信息。
如果沒有指定-a和-l參數,則以列表的形式顯示指定目錄下文件及文件夾的詳細信息。
如果沒有指定remote-path,則顯示當前工作目錄下文件及文件夾的信息。
該命令功能與dir相同。
【舉例】
# 以列表的形式顯示當前工作目錄下文件及文件夾的詳細信息。
sftp-client> ls
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:28 pub1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:24 new1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:18 new2
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:30 pub2
【命令】
mkdir remote-path
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
remote-path:遠程SFTP服務器上的目錄名。
【描述】
mkdir命令用來在遠程SFTP服務器上創建新的目錄。
【舉例】
# 在遠程SFTP服務器上建立目錄test。
sftp-client> mkdir test
New directory created
【命令】
put local-file [ remote-file ]
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
local-file:本地的文件名。
remote-file:遠程SFTP服務器上的文件名。
【描述】
put命令用來將本地的文件上傳到遠程SFTP服務器。
如果沒有指定遠程服務器上的文件名,則認為服務器上的文件與本地文件同名。
【舉例】
# 將本地temp.c文件上傳到遠程SFTP服務器,並以temp1.c文件名保存。
sftp-client> put temp.c temp1.c
Local file:temp.c ---> Remote file: /temp1.c
Uploading file successfully ended
【命令】
pwd
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
pwd命令用來顯示遠程SFTP服務器上的當前工作目錄。
【舉例】
# 顯示遠程SFTP服務器上的當前工作目錄。
sftp-client> pwd
/
【命令】
quit
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
quit命令用來終止與遠程SFTP服務器的連接,並退回到用戶視圖。
該命令功能與bye,exit相同。
【舉例】
# 終止與遠程SFTP服務器的連接。
sftp-client> quit
Bye
Connection closed.
<Sysname>
【命令】
remove remote-file&<1-10>
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
remote-file&<1-10>:服務器上的文件名。&<1-10>表示最多可以輸入10個文件名,每個文件名之間用空格分隔。
【描述】
remove命令用來刪除SFTP服務器上指定的文件。
該命令和delete功能相同。
【舉例】
# 刪除服務器上的文件temp.c。
sftp-client> remove temp.c
The following files will be deleted:
/temp.c
Are you sure to delete it? [Y/N]:y
This operation may take a long time.Please wait...
File successfully Removed
【命令】
rename oldname newname
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
oldname:原文件名或者目錄名。
newname:新文件名或者目錄名。
【描述】
rename命令用來改變SFTP服務器上指定的文件或者目錄的名字。
【舉例】
# 將SFTP服務器上的文件temp1.c改名為temp2.c。
sftp-client> rename temp1.c temp2.c
File successfully renamed
【命令】
rmdir remote-path&<1-10>
【視圖】
SFTP客戶端視圖
【缺省級別】
3:管理級
【參數】
remote-path&<1-10>:遠程SFTP服務器上的目錄名。&<1-10>表示最多可以輸入10個目錄名,每個文件名之間用空格分隔。
【描述】
rmdir命令用來刪除SFTP服務器上指定的目錄。
【舉例】
# 刪除SFTP服務器上當前工作目錄下的temp1目錄。
sftp-client> rmdir temp1
Directory successfully removed
【命令】
在非FIPS模式下:
scp [ ipv6 ] server [ port-number ] { get | put } source-file-path [ destination-file-path ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
在FIPS模式下:
scp [ ipv6 ] server [ port-number ] { get | put } source-file-path [ destination-file-path ] [ identity-key rsa | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
【視圖】
用戶視圖
【缺省級別】
3:管理級
【參數】
ipv6:指定IPv6服務器。若不指定該參數,則表示指定IPv4服務器。
server:服務器的IP地址或主機名稱。指定為IPv4服務器時,server為1~20個字符的字符串,不區分大小寫;指定為IPv6服務器時,server為1~46個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為0~65535,缺省值為22。
get:指定下載文件操作。
put:指定上傳文件操作。
source-file-path:源文件路徑。
destination-file-path:目的文件路徑。不指定該參數時,表示使用源文件路徑作為目的文件名稱。
identity-key:publickey認證采用的公鑰算法,在非FIPS模式下,可以選擇DSA或RSA任意一種;在FIPS模式下隻支持RSA算法。
· dsa:公鑰算法為DSA。
· rsa:公鑰算法為RSA。
prefer-compress:首選壓縮算法,缺省為無壓縮。
· zlib:ZLIB壓縮算法。
· zlib-openssh:[email protected]壓縮算法。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 3des:3des-cbc加密算法,FIPS模式下不支持該參數。
· aes128:aes128-cbc加密算法。
· aes256:aes256-cbc加密算法,僅FIPS模式下支持該參數。
· des:des-cbc加密算法,FIPS模式下不支持該參數。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· md5:HMAC算法hmac-md5,FIPS模式下不支持該參數。
· md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持該參數。
· sha1:HMAC算法hmac-sha1。
· sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密鑰交換首選算法,缺省算法為dh-group-exchange。
· dh-group-exchange:密鑰交換算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持該參數。
· dh-group1:密鑰交換算法diffie-hellman-group1-sha1,FIPS模式下不支持該參數。
· dh-group14:密鑰交換算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96
【描述】
scp命令用來與遠程SCP服務器建立連接,並進行文件傳輸。
需要注意的是,當服務器端指定客戶端的認證方式為publickey認證時,客戶端需要讀取本地的私鑰進行數字簽名。在非FIPS模式下,由於publickey認證可以采用RSA和DSA兩種公鑰算法,所以需要通過identity-key關鍵字指定客戶端采用的公鑰算法,才能得到正確的本地私鑰數據。
在非FIPS模式下,缺省的算法如下:
· 公鑰缺省算法為dsa。
· 客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· 密鑰交換首選算法,缺省算法為dh-group-exchange。
· 服務器端到客戶端的首選加密算法,缺省算法為aes128。
· 服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96。
在FIPS模式下,缺省的算法如下:
· 公鑰缺省算法為rsa。
· 客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· 密鑰交換首選算法,缺省算法為dh-group14。
· 服務器端到客戶端的首選加密算法,缺省算法為aes128。
· 服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96。
MSR係列路由器各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
型號 |
特性 |
描述 |
|
MSR800 |
FIPS配置命令 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 與IP地址為192.168.0.1的遠程SCP服務器建立連接,並下載遠端的remote.bin文件,下載到本地後更名為local.bin。
<Sysname> scp 192.168.0.1 get remote.bin local.bin
【命令】
在非FIPS模式下:
sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
在FIPS模式下:
sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
【視圖】
用戶視圖
【缺省級別】
3:管理級
【參數】
server:服務器IPv4地址或主機名稱,為1~20個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為0~65535,缺省值為22。
vpn-instance vpn-instance-name:服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果服務器位於公網中,則無需指定本參數。
identity-key:publickey認證采用的公鑰算法,在非FIPS模式下,可以選擇DSA或RSA任意一種;在FIPS模式下隻支持RSA算法。
· dsa:公鑰算法為DSA。
· rsa:公鑰算法為RSA。
prefer-compress:首選壓縮算法,缺省為無壓縮。
· zlib:ZLIB壓縮算法。
· zlib-openssh:[email protected]壓縮算法。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 3des:3des-cbc加密算法,FIPS模式下不支持該參數。
· aes128:aes128-cbc加密算法。
· aes256:aes256-cbc加密算法,僅FIPS模式下支持該參數。
· des:des-cbc加密算法,FIPS模式下不支持該參數。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· md5:HMAC算法hmac-md5,FIPS模式下不支持該參數。
· md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持該參數。
· sha1:HMAC算法hmac-sha1。
· sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密鑰交換首選算法,在非FIPS模式下,缺省算法為dh-group-exchange;在FIPS模式下缺省算法為dh-group14。
· dh-group-exchange:密鑰交換算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持該參數。
· dh-group1:密鑰交換算法diffie-hellman-group1-sha1,FIPS模式下不支持該參數。
· dh-group14:密鑰交換算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96。
【描述】
sftp命令用來與遠程IPv4 SFTP服務器建立連接,並進入SFTP客戶端視圖。
需要注意的是,當服務器端指定客戶端的認證方式為publickey認證時,客戶端需要讀取本地的私鑰進行數字簽名。在非FIPS模式下,由於publickey認證可以采用RSA和DSA兩種公鑰算法,所以需要通過identity-key關鍵字指定客戶端采用的公鑰算法,才能得到正確的本地私鑰數據。
在非FIPS模式下,缺省的算法如下:
· 公鑰缺省算法為dsa。
· 客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· 密鑰交換首選算法,缺省算法為dh-group-exchange。
· 服務器端到客戶端的首選加密算法,缺省算法為aes128。
· 服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96。
在FIPS模式下,缺省的算法如下:
· 公鑰缺省算法為rsa。
· 客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· 密鑰交換首選算法,缺省算法為dh-group14。
· 服務器端到客戶端的首選加密算法,缺省算法為aes128。
· 服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 連接IP地址為10.1.1.2的SFTP服務器,采用如下連接策略:
· 首選密鑰交換算法為dh-group1;
· 服務器到客戶端的首選加密算法為aes128;
· 客戶端到服務器的首選HMAC算法為md5;
· 服務器到客戶端的HMAC算法為sha1-96。
<Sysname> sftp 10.1.1.2 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96
Input Username:
【命令】
sftp client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }
undo sftp client ipv6 source
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
interface interface-type interface-number:源接口類型與源接口編號。
ipv6 ipv6-address:源IPv6地址。
【描述】
sftp client ipv6 source命令用來為SFTP客戶端指定源IPv6地址或源接口。undo sftp client ipv6 source命令用來取消指定的源IPv6地址或源接口。
缺省情況下,客戶端用設備路由指定的接口地址訪問SFTP服務器。
為保證SFTP客戶端與SFTP服務器通信鏈路的可達性,以及增加認證業務對SFTP客戶端的可管理性,通常建議指定Loopback接口或Dialer接口作為源接口。
相關配置可參考命令display sftp client source。
【舉例】
# 指定SFTP客戶端的源IPv6地址為2:2::2:2。
<Sysname> system-view
[Sysname] sftp client ipv6 source ipv6 2:2::2:2
【命令】
sftp client source { interface interface-type interface-number | ip ip-address }
undo sftp client source
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
interface interface-type interface-number:源接口類型與源接口編號。
ip ip-address:源IPv4地址。
【描述】
sftp client source命令用來為SFTP客戶端指定源IPv4地址或源接口。undo sftp client source命令用來取消指定的源IPv4地址或源接口。
缺省情況下,客戶端用設備路由指定的接口地址訪問SFTP服務器。
為保證SFTP客戶端與SFTP服務器通信鏈路的可達性,以及增加認證業務對SFTP客戶端的可管理性,通常建議指定Loopback接口或Dialer接口作為源接口。
相關配置可參考命令display sftp client source。
【舉例】
# 指定SFTP客戶端的源IP地址為192.168.0.1。
<Sysname> system-view
[Sysname] sftp client source ip 192.168.0.1
【命令】
在非FIPS模式下:
sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
在FIPS模式下:
sftp ipv6 server [ port-number ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
【視圖】
用戶視圖
【缺省級別】
3:管理級
【參數】
server:服務器的IPv6地址或主機名稱,為1~46個字符的字符串,不區分大小寫。
port-number:服務器的端口號,取值範圍為0~65535,缺省值為22。
vpn-instance vpn-instance-name:服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果服務器位於公網中,則無需指定本參數。
identity-key:publickey認證采用的公鑰算法,在非FIPS模式下,可以選擇DSA或RSA任意一種;在FIPS模式下隻支持RSA算法。
· dsa:公鑰算法為DSA。
· rsa:公鑰算法為RSA。
prefer-compress:首選壓縮算法,缺省為無壓縮。
· zlib:ZLIB壓縮算法。
· zlib-openssh:[email protected]壓縮算法。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 3des:3des-cbc加密算法,FIPS模式下不支持該參數。
· aes128:aes128-cbc加密算法。
· aes256:aes256-cbc加密算法,僅FIPS模式下支持該參數。
· des:des-cbc加密算法,FIPS模式下不支持該參數。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· md5:HMAC算法hmac-md5,FIPS模式下不支持該參數。
· md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持該參數。
· sha1:HMAC算法hmac-sha1。
· sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密鑰交換首選算法,在非FIPS模式下,缺省算法為dh-group-exchange;在FIPS模式下缺省算法為dh-group14。
· dh-group-exchange:密鑰交換算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持該參數。
· dh-group1:密鑰交換算法diffie-hellman-group1-sha1,FIPS模式下不支持該參數。
· dh-group14:密鑰交換算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96。
【描述】
sftp ipv6命令用來與遠程IPv6 SFTP服務器建立連接,並進入SFTP客戶端視圖。
需要注意的是,當服務器端指定客戶端的認證方式為publickey認證時,客戶端需要讀取本地的私鑰進行數字簽名。在非FIPS模式下,由於publickey認證可以采用RSA和DSA兩種公鑰算法,所以需要通過identity-key關鍵字指定客戶端采用的公鑰算法,才能得到正確的本地私鑰數據。
在非FIPS模式下,缺省的算法如下:
· 公鑰缺省算法為dsa。
· 客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· 密鑰交換首選算法,缺省算法為dh-group-exchange。
· 服務器端到客戶端的首選加密算法,缺省算法為aes128。
· 服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96。
在FIPS模式下,缺省的算法如下:
· 公鑰缺省算法為rsa。
· 客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· 密鑰交換首選算法,缺省算法為dh-group14。
· 服務器端到客戶端的首選加密算法,缺省算法為aes128。
· 服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 連接IPv6地址為2:5::8:9的SFTP服務器,采用如下連接策略:
· 首選密鑰交換算法為dh-group1;
· 服務器到客戶端的首選加密算法為aes128;
· 客戶端到服務器的首選HMAC算法為md5;
· 服務器到客戶端的HMAC算法為sha1-96。
<Sysname> sftp ipv6 2:5::8:9 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96
Input Username:
【命令】
ssh client authentication server server assign publickey keyname
undo ssh client authentication server server assign publickey
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
server:服務器的IP地址或名稱,為1~80個字符的字符串。
assign publickey keyname:指定服務器端的主機公鑰。keyname表示主機公鑰名稱,為1~64個字符的字符串。
【描述】
ssh client authentication server命令用來在客戶端上指定要連接的服務器端的主機公鑰名稱,以便客戶端判斷認證連接的服務器是否為可信賴的服務器。undo ssh client authentication server命令用來取消在客戶端上指定要連接的服務器端的主機公鑰。
缺省情況下,客戶端不指定要連接的服務器端的主機公鑰名稱,而是在客戶端登錄服務器的時候使用登錄服務器時所用的IP地址或主機名作其對應的公鑰名稱。
如果客戶端不支持首次認證,客戶端將拒絕訪問未經認證的服務器。此時,需要在客戶端配置服務器端的公鑰,並指定該公鑰與服務器端的對應關係,以便在客戶端對連接的服務器端進行認證時,能夠根據該對應關係使用正確的公鑰對服務器端進行認證。
需要注意的是,指定的服務器端的主機公鑰必須已經存在。
相關配置可參考命令ssh client first-time enable。
【舉例】
# 服務器的IP地址為192.168.0.1,在客戶端指定該服務器的公鑰名稱為key1。
<Sysname> system-view
[Sysname] ssh client authentication server 192.168.0.1 assign publickey key1
【命令】
ssh client first-time enable
undo ssh client first-time
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ssh client first-time enable命令用來設置SSH客戶端支持首次認證。undo ssh client first-time命令用來取消SSH客戶端對首次認證的支持。
缺省情況下,SSH客戶端支持首次認證。
所謂支持首次認證,是指當SSH客戶端首次訪問服務器,而客戶端沒有配置服務器端的公鑰時,用戶可以選擇繼續訪問該服務器,並在客戶端保存該主機公鑰;當用戶下次訪問該服務器時,就以保存的主機公鑰來認證該服務器。
如果不支持首次認證,則當客戶端沒有配置服務器端的公鑰時,客戶端將被拒絕訪問該服務器。用戶必須事先通過其它途徑將要訪問的服務器端的主機公鑰配置在本地,同時指定要連接的服務器端的主機公鑰名稱,以便客戶端認證連接的服務器是否為可信賴的服務器。
需要注意的是,由於服務器端可能會定期更新密鑰對,為保證服務器認證成功,客戶端需要及時獲取最新的服務器主機公鑰。
【舉例】
# 設置SSH客戶端對訪問的SSH服務器支持首次認證。
<Sysname> system-view
[Sysname] ssh client first-time enable
【命令】
ssh client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }
undo ssh client ipv6 source
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
interface interface-type interface-number:源接口類型與源接口編號。
ipv6 ipv6-address:源IPv6地址。
【描述】
ssh client ipv6 source命令用來為Stelnet客戶端指定源IPv6地址或源接口。undo ssh client ipv6 source命令用來清除指定的源IPv6地址或源接口。
缺省情況下,客戶端用設備路由指定的接口地址訪問Stelnet服務器。
為保證Stelnet客戶端與Stelnet服務器通信鏈路的可達性,以及增加認證業務對Stelnet客戶端的可管理性,通常建議指定Loopback接口或Dialer接口作為源接口。
相關配置可參考命令display ssh client source。
【舉例】
# 指定Stelnet客戶端的源IPv6地址為2:2::2:2。
<Sysname> system-view
[Sysname] ssh client ipv6 source ipv6 2:2::2:2
【命令】
ssh client source { interface interface-type interface-number | ip ip-address }
undo ssh client source
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
interface interface-type interface-number:源接口類型與源接口編號。
ip ip-address:源IPv4地址。
【描述】
ssh client source命令用來為Stelnet客戶端指定源IPv4地址或源接口。undo ssh client source命令用來清除指定的源IPv4地址或源接口。
缺省情況下,客戶端用設備路由指定的接口地址訪問Stelnet服務器。
為保證Stelnet客戶端與Stelnet服務器通信鏈路的可達性,以及增加認證業務對Stelnet客戶端的可管理性,通常建議指定Loopback接口或Dialer接口作為源接口。
相關配置可參考命令display ssh client source。
【舉例】
# 指定Stelnet客戶端的源IPv4地址為192.168.0.1。
<Sysname> system-view
[Sysname] ssh client source ip 192.168.0.1
【命令】
在非FIPS模式下:
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
在FIPS模式下:
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
【視圖】
用戶視圖
【缺省級別】
0:訪問級
【參數】
server:服務器IPv4地址或主機名稱,為1~20個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為0~65535,缺省值為22。
vpn-instance vpn-instance-name:服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果服務器位於公網中,則無需指定本參數。
identity-key:publickey認證采用的公鑰算法,在非FIPS模式下,可以選擇DSA或RSA任意一種;在FIPS模式下隻支持RSA算法。
· dsa:公鑰算法為DSA。
· rsa:公鑰算法為RSA。
prefer-compress:首選壓縮算法,缺省為無壓縮。
· zlib:ZLIB壓縮算法。
· zlib-openssh:[email protected]壓縮算法。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 3des:3des-cbc加密算法,FIPS模式下不支持該參數。
· aes128:aes128-cbc加密算法。
· aes256:aes256-cbc加密算法,僅FIPS模式下支持該參數。
· des:des-cbc加密算法,FIPS模式下不支持該參數。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· md5:HMAC算法hmac-md5,FIPS模式下不支持該參數。
· md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持該參數。
· sha1:HMAC算法hmac-sha1。
· sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密鑰交換首選算法,在非FIPS模式下,缺省算法為dh-group-exchange;在FIPS模式下缺省算法為dh-group14。
· dh-group-exchange:密鑰交換算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持該參數。
· dh-group1:密鑰交換算法diffie-hellman-group1-sha1,FIPS模式下不支持該參數。
· dh-group14:密鑰交換算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96。
【描述】
ssh2命令用來建立Stelnet客戶端和IPv4 Stelnet服務器端的連接,並指定公鑰算法、客戶端和服務器的首選加密算法、首選HMAC算法和首選密鑰交換算法。
需要注意的是,當服務器端指定對客戶端的認證方式為publickey認證時,客戶端需要讀取本地的私鑰進行數字簽名。在FIPS模式下,由於publickey認證可以采用RSA和DSA兩種公鑰算法,所以需要通過identity-key關鍵字指定客戶端采用的公鑰算法,才能得到正確的本地私鑰數據。
在非FIPS模式下,缺省的算法如下:
· 公鑰缺省算法為dsa。
· 客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· 密鑰交換首選算法,缺省算法為dh-group-exchange。
· 服務器端到客戶端的首選加密算法,缺省算法為aes128。
· 服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96。
在FIPS模式下,缺省的算法如下:
· 公鑰缺省算法為rsa。
· 客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· 密鑰交換首選算法,缺省算法為dh-group14。
· 服務器端到客戶端的首選加密算法,缺省算法為aes128。
· 服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 登錄地址為10.214.50.51的遠程Stelnet服務器,采用如下連接策略:
· 首選密鑰交換算法為dh-group1;
· 服務器到客戶端的首選加密算法為aes128;
· 客戶端到服務器的首選HMAC算法為md5;
· 服務器到客戶端的HMAC算法為sha1-96。
<Sysname> ssh2 10.214.50.51 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96
【命令】
在非FIPS模式下:
ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
在FIPS模式下:
ssh2 ipv6 server [ port-number ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
【視圖】
用戶視圖
【缺省級別】
0:訪問級
【參數】
server:服務器的IPv6地址或主機名稱,為1~46個字符的字符串,不區分大小寫。
port-number:服務器的端口號,取值範圍為0~65535,缺省值為22。
vpn-instance vpn-instance-name:服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果服務器位於公網中,則無需指定本參數。
identity-key:publickey認證采用的公鑰算法,在非FIPS模式下,可以選擇DSA或RSA任意一種;在FIPS模式下隻支持RSA算法。
· dsa:公鑰算法為DSA。
· rsa:公鑰算法為RSA。
prefer-compress:首選壓縮算法,缺省為無壓縮。
· zlib:ZLIB壓縮算法。
· zlib-openssh:[email protected]壓縮算法。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 3des:3des-cbc加密算法,FIPS模式下不支持該參數。
· aes128:aes128-cbc加密算法。
· aes256:aes256-cbc加密算法,僅FIPS模式下支持該參數。
· des:des-cbc加密算法,FIPS模式下不支持該參數。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· md5:HMAC算法hmac-md5,FIPS模式下不支持該參數。
· md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持該參數。
· sha1:HMAC算法hmac-sha1。
· sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密鑰交換首選算法,在非FIPS模式下,缺省算法為dh-group-exchange;在FIPS模式下缺省算法為dh-group14。
· dh-group-exchange:密鑰交換算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持該參數。
· dh-group1:密鑰交換算法diffie-hellman-group1-sha1,FIPS模式下不支持該參數。
· dh-group14:密鑰交換算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96
【描述】
ssh2 ipv6命令用來建立Stelnet客戶端和IPv6 Stelnet服務器端的連接,並指定公鑰算法、客戶端和服務器的首選加密算法、首選HMAC算法和首選密鑰交換算法。
需要注意的是,當服務器端指定對客戶端的認證方式為publickey認證時,客戶端需要讀取本地的私鑰進行數字簽名。在非FIPS模式下,由於publickey認證可以采用RSA和DSA兩種公鑰算法,所以需要通過identity-key關鍵字指定客戶端采用的公鑰算法,才能得到正確的本地私鑰數據。
在非FIPS模式下,缺省的算法如下:
· 公鑰缺省算法為dsa。
· 客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· 密鑰交換首選算法,缺省算法為dh-group-exchange。
· 服務器端到客戶端的首選加密算法,缺省算法為aes128。
· 服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96。
在FIPS模式下,缺省的算法如下:
· 公鑰缺省算法為rsa。
· 客戶端到服務器端的首選加密算法,缺省算法為aes128。
· 客戶端到服務器端的首選HMAC算法,缺省算法為sha1-96。
· 密鑰交換首選算法,缺省算法為dh-group14。
· 服務器端到客戶端的首選加密算法,缺省算法為aes128。
· 服務器端到客戶端的首選HMAC算法,缺省算法為sha1-96。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 登錄地址為2000::1的遠程Stelnet服務器,采用如下連接策略:
· 首選密鑰交換算法為dh-group1;
· 服務器到客戶端的首選加密算法為aes128;
· 客戶端到服務器的首選HMAC算法為md5;
· 服務器到客戶端的HMAC算法為sha1-96。
<Sysname> ssh2 ipv6 2000::1 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
