- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-SSH配置
本章節下載: 11-SSH配置 (1.13 MB)
目 錄
1.3.3 配置Stelnet客戶端發送SSH報文使用的源IP地址
1.3.5 Stelnet客戶端刪除保存在公鑰文件中的服務器公鑰
1.3.6 與遠程的Stelnet服務器建立基於Suite B算法集的連接
1.4.3 配置SFTP客戶端發送SFTP報文使用的源IP地址
1.4.6 與遠程的SFTP服務器建立基於Suite B算法集的連接
1.5.5 與遠程的SCP服務器建立基於Suite B算法集的連接
1.8.1 設備作為Stelnet服務器配置舉例(password認證)
1.8.2 設備作為Stelnet服務器配置舉例(publickey認證)
1.8.3 設備作為Stelnet客戶端配置舉例(password認證)
1.8.4 設備作為Stelnet客戶端配置舉例(publickey認證)
1.8.5 設備支持Stelnet Suite B配置舉例(128-bit)
1.9.1 設備作為SFTP服務器配置舉例(password認證)
1.9.2 設備作為SFTP客戶端配置舉例(publickey認證)
1.9.3 設備支持SFTP Suite B配置舉例(192-bit)
1.10.1 SCP文件傳輸配置舉例(password認證)
1.10.2 SCP文件傳輸配置舉例(SCP客戶端為Linux係統)
1.11.1 NETCONF over SSH配置舉例(password認證)
設備運行於FIPS模式時,本特性的相關配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
SSH是Secure Shell(安全外殼)的簡稱,是一種在不安全的網絡環境中,通過加密機製和認證機製,實現安全的遠程訪問以及文件傳輸等業務的網絡安全協議。
SSH協議采用了典型的客戶端/服務器模式,並基於TCP協議協商建立用於保護數據傳輸的會話通道。SSH協議有兩個版本,SSH1.x和SSH2.0(本文簡稱SSH1和SSH2),兩者互不兼容。SSH2在性能和安全性方麵比SSH1有所提高。
設備既可以支持SSH服務器功能,接受多個SSH客戶端的連接,也可以支持SSH客戶端功能,允許用戶通過設備與遠程SSH服務器建立SSH連接。
目前,設備支持以下幾種SSH應用。
· Secure Telnet:簡稱Stelnet,可提供安全可靠的網絡終端訪問服務,使得用戶可以安全登錄到遠程設備,且能保護遠程設備不受諸如IP地址欺詐、明文密碼截取等攻擊。設備可支持Stelnet服務器、Stelnet客戶端功能。
· Secure FTP:簡稱SFTP,基於SSH2,可提供安全可靠的網絡文件傳輸服務,使得用戶可以安全登錄到遠程設備上進行文件管理操作,且能保證文件傳輸的安全性。設備可支持SFTP服務器、SFTP客戶端功能。
· Secure Copy:簡稱SCP,基於SSH2,可提供安全的文件複製功能。設備可支持SCP服務器、SCP客戶端功能。
· NETCONF over SSH:基於SSH2,提供通過SSH連接給設備下發NETCONF指令的功能,使得用戶可以安全登錄到遠程設備並直接進入到設備的NETCONF係統中進行配置和管理操作。設備僅支持作為NETCONF over SSH連接的服務器端。關於NETCONF係統的詳細介紹,請參見“網絡管理和監控配置指導”中的“NETCONF”。
目前,設備作為Stelnet服務器、SFTP服務器、SCP服務器時,非FIPS模式下支持SSH2和SSH1兩個版本,FIPS模式下隻支持SSH2版本;設備作為SSH客戶端時,隻支持SSH2版本;設備作為NETCONF over SSH服務器端時,隻支持SSH2版本。
本小節以SSH2為例介紹SSH工作的過程,具體分為表1-1所述的幾個階段,關於各階段的詳細介紹,請參見“SSH技術白皮書”。
表1-1 SSH工作過程
|
階段 |
說明 |
|
連接建立 |
SSH服務器在22號端口偵聽客戶端的連接請求,在客戶端向服務器端發起連接請求後,雙方建立一個TCP連接 |
|
版本協商 |
雙方通過版本協商確定最終使用的SSH版本號 |
|
算法協商 |
SSH支持多種算法,雙方根據本端和對端支持的算法,協商出最終用於產生會話密鑰的密鑰交換算法、用於數據信息加密的加密算法、用於進行數字簽名和認證的公鑰算法,以及用於數據完整性保護的HMAC算法 |
|
密鑰交換 |
雙方通過DH(Diffie-Hellman Exchange)交換,動態地生成用於保護數據傳輸的會話密鑰和用來標識該SSH連接的會話ID,並完成客戶端對服務器端的身份認證 |
|
用戶認證 |
SSH客戶端向服務器端發起認證請求,服務器端對客戶端進行認證 |
|
會話請求 |
認證通過後,SSH客戶端向服務器端發送會話請求,請求服務器提供某種類型的服務(目前支持Stelnet、SFTP、SCP、NETCONF),即請求與服務器建立相應的會話 |
|
會話交互 |
會話建立後,SSH服務器端和客戶端在該會話上進行數據信息的交互 該階段,用戶在客戶端可以通過粘貼文本內容的方式執行命令,但文本會話不能超過2000字節,且粘貼的命令最好是同一視圖下的命令,否則服務器可能無法正確執行該命令。如果粘貼的文本會話超過2000字節,可以采用將配置文件通過SFTP方式上傳到服務器,利用新的配置文件重新啟動的方式執行這些命令 |
設備作為SSH服務器可提供以下幾種對客戶端的認證方式:
· password認證:利用AAA(Authentication、Authorization、Accounting,認證、授權和計費)對客戶端身份進行認證。客戶端向服務器發出password認證請求,將用戶名和密碼加密後發送給服務器;服務器將認證請求解密後得到用戶名和密碼的明文,通過本地認證或遠程認證驗證用戶名和密碼的合法性,並返回認證成功或失敗的消息。
· keyboard-interactive認證:該認證方式與password認證方式類似,相較於password認證,該認證方式提供了可變的交互信息。客戶端進行keyboard-interactive認證時,如果遠程認證服務器要求用戶進行交互認證,則遠程認證服務器會在發送給服務器端的認證回應消息中攜帶一個提示信息,該提示信息被服務器端透傳給客戶端,在客戶端終端上顯示並要求用戶輸入指定的信息。當用戶提交正確的信息後,若遠程認證服務器繼續要求用戶輸入其它的信息,則重複以上過程,直到用戶輸入了所有遠程認證服務器要求的信息後,遠程認證服務器才會返回認證成功的消息。
· publickey認證:采用數字簽名的方式來認證客戶端。目前,設備上可以利用DSA、ECDSA、RSA三種公鑰算法實現數字簽名。客戶端發送包含用戶名、公鑰和公鑰算法或者攜帶公鑰信息的數字證書的publickey認證請求給服務器端。服務器對公鑰進行合法性檢查,如果合法,則發送消息請求客戶端的數字簽名;如果不合法,則直接發送失敗消息;服務器收到客戶端的數字簽名之後,使用客戶端的公鑰對其進行解密,並根據計算結果返回認證成功或失敗的消息。
· password-publickey認證:對於SSH2版本的客戶端,要求同時進行password和publickey兩種方式的認證,且隻有兩種認證均通過的情況下,才認為客戶端身份認證通過;對於SSH1版本的客戶端,隻要通過其中任意一種認證即可。
· any認證:不指定客戶端的認證方式,客戶端可采用keyboard-interactive認證、password認證或publickey認證,且隻要通過其中任何一種認證即可。
關於AAA以及公鑰相關內容的介紹請分別參考“安全配置指導”中的“AAA”和“公鑰管理”。
· 客戶端進行password認證時,如果遠程認證服務器要求用戶進行二次密碼認證,則會在發送給服務器端的認證回應消息中攜帶一個提示信息,該提示信息被服務器端透傳給客戶端,由客戶端輸出並要求用戶再次輸入一個指定類型的密碼,當用戶提交正確的密碼並成功通過認證服務器的驗證後,服務器端才會返回認證成功的消息。
· SSH1版本的SSH客戶端不支持AAA服務器發起的二次密碼認證。
Suite B算法集是一種通用的加密和認證算法集,可滿足高級別的安全標準要求。RFC6239(Suite B Cryptographic Suites for Secure Shell (SSH))中定義了SSH支持SuiteB的相關規範,以及SSH服務器和SSH客戶端在身份認證時的算法要求、協商過程以及認證過程。SSH服務器和SSH客戶端可基於X.509v3證書進行身份認證。
不同安全級別的Suite B算法集中包含的算法不同,具體如表1-2所示。
表1-2 Suite B算法集
|
安全級別 |
密鑰交換算法 |
加密算法 |
HMAC算法 |
主機公鑰算法 |
|
128-bit |
ecdh-sha2-nistp256 |
aes128-gcm |
aes128-gcm |
x509v3-ecdsa-sha2-nistp256 |
|
192-bit |
ecdh-sha2-nistp384 |
aes256-gcm |
aes256-gcm |
x509v3-ecdsa-sha2-nistp384 |
|
同時采用128-bit和192-bit算法集 |
ecdh-sha2-nistp256、ecdh-sha2-nistp384 |
aes128-gcm、aes256-gcm |
aes128-gcm、aes256-gcm |
x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384 |
表1-3 SSH服務器配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
生成本地DSA、ECDSA或RSA密鑰對 |
必選 |
|
|
開啟Stelnet服務器功能 |
僅對於Stelnet服務器必選 |
|
|
開啟SFTP服務器功能 |
僅對於SFTP服務器必選 |
|
|
開啟SCP服務器功能 |
僅對於SCP服務器必選 |
|
|
開啟NETCONF over SSH服務器功能 |
僅對NETCONF over SSH服務器必選 |
|
|
配置SSH客戶端登錄時使用的用戶線 |
僅對Stelnet客戶端和NETCONF over SSH客戶端必選 |
|
|
配置客戶端的公鑰 |
采用publickey、password-publickey或any認證方式時必選 |
|
|
配置認證客戶端證書的PKI域 |
采用publickey認證方式且客戶端使用證書認證時必選 該PKI域中必須保存了用於認證客戶端證書的CA證書 |
請參見“安全配置指導”中的“PKI配置” |
|
配置SSH用戶 |
采用keyboard-interactive、publickey、password-publickey或any認證方式時必選 采用password認證方式時可選 |
|
|
配置SSH管理功能 |
可選 |
|
|
配置SSH服務器所屬的PKI域 |
可選 |
|
|
配置SSH服務端口號 |
可選 |
|
|
釋放已建立的SSH連接 |
可選 |
設備運行於FIPS模式時,服務器端僅支持ECDSA、RSA密鑰對,因此請不要生成本地的DSA密鑰對,否則會導致用戶認證失敗。
服務器端的DSA、ECDSA或RSA密鑰對有兩個用途,其一是用於在密鑰交換階段生成會話密鑰和會話ID,另外一個是客戶端用它來對連接的服務器進行認證。客戶端驗證服務器身份時,首先判斷服務器發送的公鑰與本地保存的服務器公鑰是否一致,確認服務器公鑰正確後,再使用該公鑰對服務器發送的數字簽名進行驗證。
雖然一個客戶端隻會采用DSA、ECDSA或RSA公鑰算法中的一種來認證服務器,但是由於不同客戶端支持的公鑰算法不同,為了確保客戶端能夠成功登錄服務器,建議在服務器上同時生成DSA、ECDSA和RSA三種密鑰對。
· 生成RSA密鑰對時,將同時生成兩個密鑰對——服務器密鑰對和主機密鑰對。SSH1利用SSH服務器端的服務器公鑰加密會話密鑰,以保證會話密鑰傳輸的安全;SSH2通過DH算法在SSH服務器和SSH客戶端上生成會話密鑰,不需要傳輸會話密鑰,因此SSH2中沒有利用服務器密鑰對。
· 生成DSA密鑰對時,隻生成一個主機密鑰對。SSH1不支持DSA算法。
· 生成ECDSA密鑰對時,隻生成一個主機密鑰對。
服務器端生成本地DSA、ECDSA或RSA密鑰對,需要注意的是:
· SSH僅支持默認名稱的本地DSA或RSA密鑰對,不支持指定名稱的本地DSA或RSA密鑰對。關於密鑰對生成命令的相關介紹請參見“安全命令參考”中的“公鑰管理”。
· 生成DSA密鑰對時,要求輸入的密鑰模數的長度必須小於2048比特。
· SSH服務器支持secp256r1和secp384r1類型的ECDSA密鑰對。
需要注意的是,如果服務器端不存在默認名稱的本地RSA密鑰對,則在服務器端執行SSH服務器相關命令行時(包括開啟Stelnet/SFTP/SCP/NETCONF over SSH服務器、配置SSH用戶、以及配置SSH服務器端的管理功能),係統會自動生成一個默認名稱的本地RSA密鑰對。
表1-4 生成本地DSA、ECDSA或RSA密鑰對
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
生成本地DSA、ECDSA或RSA密鑰對 |
public-key local create { dsa | ecdsa { secp256r1 | secp384r1 } | rsa } |
缺省情況下,不存在任何DSA、ECDSA、RSA密鑰對 |
該配置任務用於開啟設備上的Stelnet服務器功能,使客戶端能采用Stelnet的方式登錄到設備。
表1-5 開啟Stelnet服務器功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟Stelnet服務器功能 |
ssh server enable |
缺省情況下,Stelnet服務器功能處於關閉狀態 |
該配置任務用於開啟設備上的SFTP服務器功能,使客戶端能采用SFTP的方式登錄到設備。
設備作為SFTP服務器時,不支持SSH1版本的客戶端發起的SFTP連接。
表1-6 開啟SFTP服務器功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟SFTP服務器功能 |
sftp server enable |
缺省情況下,SFTP服務器處於關閉狀態 |
該配置任務用於開啟設備上的SCP服務器功能,使客戶端能采用SCP的方式登錄到設備。
設備作為SCP服務器時,不支持SSH1版本的客戶端發起的SCP連接。
表1-7 開啟SCP服務器功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟SCP服務器功能 |
scp server enable |
缺省情況下,SCP服務器處於關閉狀態 |
該配置任務用於開啟設備上的NETCONF over SSH服務器功能,使得客戶端能夠使用支持NETCONF over SSH連接的客戶端配置工具給設備下發NETCONF指令來實現對設備的訪問。
設備作為NETCONF over SSH服務器時,不支持SSH1版本的客戶端發起的SSH連接。
表1-8 開啟NETCONF over SSH服務器功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟NETCONF over SSH服務器功能 |
netconf ssh server enable |
缺省情況下,NETCONF over SSH服務器處於關閉狀態 關於NETCONF over SSH服務器相關命令的詳細介紹,請見“網絡管理和監控命令參考”中的“NETCONF” |
設備支持的SSH客戶端根據不同的應用可分為:Stelnet客戶端、SFTP客戶端、SCP客戶端和NETCONF over SSH客戶端。
· Stelnet客戶端和NETCONF over SSH客戶端通過VTY(Virtual Type Terminal,虛擬類型終端)用戶線訪問設備。因此,需要配置客戶端登錄時采用的VTY用戶線,使其支持SSH遠程登錄協議。配置將在客戶端下次登錄時生效。
· SFTP客戶端和SCP客戶端不通過用戶線訪問設備,不需要配置登錄時采用的VTY用戶線。
表1-9 配置SSH客戶端登錄時使用的用戶線
|
該命令的詳細介紹,請參見“基礎配置命令參考”中的“登錄設備” |
服務器在采用publickey方式驗證客戶端身份時,首先比較客戶端發送的SSH用戶名、主機公鑰是否與本地配置的SSH用戶名以及相應的客戶端主機公鑰一致,在確認用戶名和客戶端主機公鑰正確後,對客戶端發送的數字簽名進行驗證,該簽名是客戶端利用主機公鑰對應的私鑰計算出的。因此,在采用publickey、password-publickey或any認證方式時,需要在服務器端配置客戶端的DSA、ECDSA或RSA主機公鑰,並在客戶端為該SSH用戶指定與主機公鑰對應的DSA、ECDSA或RSA主機私鑰(若設備作為客戶端,則在向服務器發起連接時通過指定公鑰算法來實現)。
服務器端可以通過手工配置和從公鑰文件中導入兩種方式來配置客戶端的公鑰:
· 手工配置:事先在客戶端上通過顯示命令或其它方式查看其公鑰信息,並記錄客戶端主機公鑰的內容,然後采用手工輸入的方式將客戶端的公鑰配置到服務器上。手工輸入遠端主機公鑰時,可以逐個字符輸入,也可以一次拷貝粘貼多個字符。這種方式要求手工輸入或拷貝粘貼的主機公鑰必須是未經轉換的DER(Distinguished Encoding Rules,特異編碼規則)公鑰編碼格式。
· 從公鑰文件中導入:事先將客戶端的公鑰文件保存到服務器上(例如,通過FTP或TFTP,以二進製方式將客戶端的公鑰文件保存到服務器),服務器從本地保存的該公鑰文件中導入客戶端的公鑰。導入公鑰時,係統會自動將客戶端公鑰文件轉換為PKCS(Public Key Cryptography Standards,公共密鑰加密標準)編碼形式。
手工配置客戶端的公鑰時,輸入的主機公鑰必須滿足一定的格式要求。通過display public-key local public命令顯示的公鑰可以作為輸入的公鑰內容;通過其他方式(如public-key local export命令)顯示的公鑰可能不滿足格式要求,導致主機公鑰保存失敗。因此,建議選用從公鑰文件導入的方式配置遠端主機的公鑰。
SSH服務器上配置的SSH客戶端公鑰數目建議不要超過20個。
表1-10 手工配置客戶端的公鑰
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入公鑰視圖 |
public-key peer keyname |
- |
|
配置客戶端的公鑰 |
逐個字符輸入或拷貝粘貼公鑰內容 |
在輸入公鑰內容時,字符之間可以有空格,也可以按回車鍵繼續輸入數據, 保存公鑰數據時,將刪除空格和回車符 具體介紹請參見“安全配置指導”中的“公鑰管理” |
|
退回係統視圖 |
peer-public-key end |
- |
表1-11 從公鑰文件中導入客戶端的公鑰
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
從公鑰文件中導入遠端客戶端的公鑰 |
public-key peer keyname import sshkey filename |
- |
本配置用於創建SSH用戶,並指定SSH用戶的服務類型、認證方式以及對應的客戶端公鑰或數字證書。SSH用戶的配置與服務器端采用的認證方式有關,具體如下:
· 如果服務器采用了publickey認證,則必須在設備上創建相應的SSH用戶,以及同名的本地用戶(用於下發授權屬性:工作目錄、用戶角色)。
· 如果服務器采用了password認證,則必須在設備上創建相應的本地用戶(適用於本地認證),或在遠程服務器(如RADIUS服務器,適用於遠程認證)上創建相應的SSH用戶。這種情況下,並不需要通過本配置創建相應的SSH用戶,如果創建了SSH用戶,則必須保證指定了正確的服務類型以及認證方式。
· 如果服務器采用了keyboard-interactive、password-publickey或any認證,則必須在設備上創建相應的SSH用戶,以及在設備上創建同名的本地用戶(適用於本地認證)或者在遠程認證服務器上創建同名的SSH用戶(如RADIUS服務器,適用於遠程認證)。
配置SSH用戶時,需要注意:
· SCP或SFTP用戶登錄時使用的工作目錄與用戶使用的認證方式有關。通過publickey或password-publickey認證登錄服務器的用戶使用的工作目錄均為對應的本地用戶視圖下為該用戶設置的工作目錄;通過keyboard-interactive或password認證登錄服務器的用戶,使用的工作目錄為通過AAA授權的工作目錄。
· 通過publickey或password-publickey認證登錄服務器的SSH用戶將被授予對應的本地用戶視圖下指定的用戶角色;通過keyboard-interactive或password認證登錄服務器的SSH用戶將被授予遠程AAA服務器或設備本地授權的用戶角色。
· 對SSH用戶配置的修改,不會影響已經登錄的SSH用戶,僅對新登錄的用戶生效。
· 除keyboard-interactive和password認證方式外,其它認證方式下均需要指定客戶端的公鑰或證書。
¡ 對於使用公鑰認證的SSH用戶,服務器端必須指定客戶端的公鑰,且指定的公鑰必須已經存在,公鑰內容的配置請參見“1.2.8 配置客戶端的公鑰”。
¡ 對於使用證書認證的SSH用戶,服務器端必須指定用於驗證客戶端證書的PKI域,PKI域的配置請參見“安全配置指導”中的“PKI域配置”。為保證SSH用戶可以成功通過認證,通過ssh user或ssh server pki-domain命令指定的PKI域中必須存在用於驗證客戶端證書的CA證書。
· FIPS模式下,設備作為SSH服務器不支持any認證和publickey認證方式。
關於本地用戶以及遠程認證的相關配置請參見“安全配置指導”中的“AAA”。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建SSH用戶,並指定SSH用戶的服務類型和認證方式 |
非FIPS模式下: ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { keyboard-interactive | password | { any | password-publickey | publickey } [ assign { pki-domain domain-name | publickey keyname } ] } FIPS模式下: ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { keyboard-interactive | password | password-publickey [ assign { pki-domain domain-name | publickey keyname } ] } |
SSH服務器上最多可以創建1024個SSH用戶 |
通過配置服務器上的SSH管理功能,可提高SSH連接的安全性。SSH的管理功能包括:
· 設置SSH服務器是否兼容SSH1版本的客戶端。
· 設置RSA服務器密鑰對的最小更新間隔時間,此配置僅對SSH客戶端版本為SSH1的用戶有效,SSH的核心是密鑰的協商和傳輸,因此密鑰的管理是非常重要的,可靈活設置最小更新間隔時間。
· 設置SSH用戶認證的超時時間。為了防止不法用戶建立起TCP連接後,不進行接下來的認證,而是空占著進程,妨礙其它合法用戶的正常登錄,可以設置驗證超時時間,如果在規定的時間內沒有完成認證就拒絕該連接。
· 設置SSH用戶請求連接的認證嚐試最大次數,限製登錄的重試次數,防止非法用戶對用戶名和密碼進行惡意地猜測和破解。在any認證方式下,SSH客戶端通過publickey和password兩種方式進行認證嚐試的次數總和,不能超過配置的SSH連接認證嚐試次數。
· 設置對SSH客戶端的訪問控製,使用ACL過濾向SSH服務器發起連接的SSH客戶端。具體情況如下:
¡ 當引用的ACL不存在或者引用的ACL為空時,不允許SSH客戶端訪問設備。
¡ 當引用的ACL非空時,則隻有匹配ACL中permit規則的SSH客戶端可以訪問設備,其他客戶端不可以訪問設備。
配置生效後,隻會過濾新建立的SSH連接,不會影響已建立的SSH連接。
· 通過對SSH客戶端的訪問控製,可限製SSH客戶端對設備的訪問。此時,通過開啟匹配ACL deny規則後打印日誌信息功能,設備可以記錄匹配deny規則的IP用戶的登錄日誌,用戶可以查看非法登錄的地址信息。
· 設置SSH服務器向SSH客戶端發送的報文的DSCP優先級。DSCP攜帶在IPv4報文中的ToS字段和IPv6報文中的Trafic class字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
· 設置SFTP用戶連接的空閑超時時間。當SFTP用戶連接的空閑時間超過設定的閾值後,係統會自動斷開此用戶的連接,從而有效避免用戶長期占用連接而不進行任何操作。
· 設置同時在線的最大SSH用戶連接數。係統資源有限,當前在線SSH用戶數超過設定的最大值時,係統會拒絕新的SSH連接請求。
表1-13 配置SSH管理功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置SSH服務器兼容SSH1版本的客戶端 |
ssh server compatible-ssh1x enable |
缺省情況下,SSH服務器不兼容SSH1版本的客戶端 FIPS模式下,不支持本命令 |
|
開啟SSH算法重協商和密鑰重交換功能 |
非FIPS模式: ssh server key-re-exchange enable [ interval interval ] FIPS模式: ssh server key-re-exchange enable [ interval-minutes interval ] |
缺省情況下,SSH算法重協商和密鑰重交換功能處於關閉狀態 FIPS模式下,不支持本命令 本功能的開啟和間隔時間變化不影響已存在的SSH連接 |
|
設置RSA服務器密鑰對的最小更新間隔時間 |
ssh server rekey-interval interval |
缺省情況下,係統不更新RSA服務器密鑰對 FIPS模式下,不支持本命令 |
|
設置SSH用戶的認證超時時間 |
ssh server authentication-timeout time-out-value |
缺省情況下,SSH用戶的認證超時時間為60秒 |
|
設置SSH認證嚐試的最大次數 |
ssh server authentication-retries retries |
缺省情況下,SSH連接認證嚐試的最大次數為3次 |
|
設置對IPv4 SSH用戶的訪問控製 |
ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number } |
缺省情況下,允許所有IPv4 SSH用戶向設備發起SSH訪問 |
|
設置對IPv6 SSH用戶的訪問控製 |
ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number } |
缺省情況下,允許所有IPv6 SSH用戶向設備發起SSH訪問 |
|
開啟匹配ACL deny規則後打印日誌信息功能 |
ssh server acl-deny-log enable |
缺省情況下,匹配ACL deny規則後打印日誌信息功能處於關閉狀態 |
|
設置Pv4 SSH服務器向SSH客戶端發送的報文的DSCP優先級 |
ssh server dscp dscp-value |
缺省情況下,IPv4 SSH報文的DSCP優先級為48 |
|
設置IPv6 SSH服務器向SSH客戶端發送的報文的DSCP優先級 |
ssh server ipv6 dscp dscp-value |
缺省情況下,IPv6 SSH報文的DSCP優先級為48 |
|
設置SFTP用戶連接的空閑超時時間 |
sftp server idle-timeout time-out-value |
缺省情況下,SFTP用戶連接的空閑超時時間為10分鍾 |
|
設置同時在線的最大SSH用戶連接數 |
aaa session-limit ssh max-sessions |
缺省的最大SSH用戶連接數為32 該值的修改不會對已經在線的用戶連接造成影響,隻會對新的用戶連接生效 關於該命令的詳細介紹,請參見“安全命令參考”中的“AAA” |
|
配置設備可存儲的SSH用戶登錄異常原因最大條數 |
ssh exception-record max-number max-number |
缺省情況下,設備可存儲的SSH用戶登錄異常原因最大條數為10 當管理員需要獲取更多的SSH用戶登錄異常記錄時,可通過配置本命令將設備可存儲的SSH用戶登錄異常原因條數調大 |
|
設置指定統計時間內SSH用戶登錄失敗的告警閾值 |
ssh server login-failed threshold-alarm upper-limit report-time lower-limit resume-time period period-time |
缺省情況下,統計時間為5分鍾,SSH用戶失敗的告警上報和取消閾值分別為30和20 配置本命令後,在指定的統計時間內,當SSH用戶登錄失敗的次數大於等於告警上限閾值,或者從超過上限回落到小於下限閾值時,將產生對應的告警信息,以便管理及時了解SSH用戶登錄的實時情況 |
SSH服務器利用所屬的PKI域在密鑰交換階段發送證書給客戶端,並用它來對連接的客戶端進行認證。
表1-14 配置SSH服務器所屬的PKI域
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置SSH服務器所屬的PKI域 |
ssh server pki-domain domain-name |
缺省情況下,不存在SSH服務器所屬的PKI域 |
表1-15 配置SSH服務端口號
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置SSH服務端口號 |
ssh server port port-number |
缺省情況下,SSH服務的端口號為22 |
· 如果修改端口號前SSH服務是開啟的,則修改端口號後係統會自動重啟SSH服務,正在訪問的用戶將被斷開,用戶需要重新建立SSH連接後才可以繼續訪問。
· 如果使用1~1024之間的知名端口號,有可能會導致其他服務啟動失敗。
係統支持多個SSH用戶同時對設備進行配置,當管理員在維護設備時,其他在線SSH用戶的配置影響到管理員的操作,或者管理員正在進行一些重要配置不想被其他用戶幹擾時,可以強製斷開該用戶的連接。
表1-16 釋放已建立的SSH連接
|
操作 |
命令 |
說明 |
|
強製釋放已建立的SSH連接 |
free ssh { username username | user-ip { ip-address | ipv6 ipv6-address } [ port port-number ] | user-pid pid-number } |
該命令在用戶視圖下執行 |
表1-17 Stelnet客戶端配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
生成本地DSA、ECDSA或RSA密鑰對 |
僅采用publickey、password-publickey或any認證方式時必選 |
|
|
配置Stelnet客戶端發送SSH報文使用的源IP地址 |
可選 |
|
|
建立與Stelnet服務器端的連接 |
必選 |
|
|
Stelnet客戶端刪除保存在公鑰文件中的服務器公鑰 |
可選 |
|
|
與遠程的Stelnet服務器建立基於Suite B算法集的連接 |
可選 |
設備運行於FIPS模式時,僅支持ECDSA、RSA密鑰對。
客戶端采用publickey、password-publickey或any認證方式時,需要生成本地密鑰對。
客戶端生成本地DSA、ECDSA或RSA密鑰對,需要注意的是:
· SSH僅支持默認名稱的本地DSA或RSA密鑰對,不支持指定名稱的本地DSA、ECDSA或RSA密鑰對。關於密鑰對生成命令的相關介紹請參見“安全命令參考”中的“公鑰管理”。
· 生成DSA密鑰對時,要求輸入的密鑰模數的長度必須小於2048比特。
· SSH客戶端支持secp256r1和secp384r1類型的ECDSA密鑰對。
表1-18 生成本地DSA、ECDSA或RSA密鑰對
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
生成本地DSA、ECDSA或RSA密鑰對 |
public-key local create { dsa | ecdsa { secp256r1 | secp384r1 } | rsa } |
缺省情況下,不存在任何DSA、ECDSA、RSA密鑰對 |
Stelnet客戶端與Stelnet服務器通信時,缺省采用路由決定的源IP地址作為發送報文的源地址。如果使用本配置指定了源IP地址或源接口,則采用該地址與服務器進行通信。為保證Stelnet客戶端與Stelnet服務器通信鏈路的可達性,以及增加認證業務對SFTP客戶端的可管理性,通常建議指定Loopback接口的IP地址作為源IP地址。
表1-19 配置Stelnet客戶端發送SSH報文使用的源IP地址
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
配置Stelnet客戶端發送SSH報文使用的源IP地址 |
配置Stelnet客戶端發送SSH報文使用的源IPv4地址 |
ssh client source { interface interface-type interface-number | ip ip-address } |
二者必選其一 缺省情況下,IPv4 Stelnet客戶端采用設備路由指定的SSH報文出接口主IP地址作為源IP地址;IPv6 Stelnet客戶端采用設備自動選擇的IPv4地址作為源IP地址 |
|
配置Stelnet客戶端發送SSH報文使用的源IPv6地址 |
ssh client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address } |
||
該配置任務用來啟動Stelnet客戶端程序,與遠程Stelnet服務器建立連接,並指定公鑰算法、首選加密算法、首選HMAC算法和首選密鑰交換算法等。
Stelnet客戶端訪問服務器時,需要通過本地保存的服務器端的主機公鑰來驗證服務器的身份。設備作為Stelnet客戶端時,默認支持首次認證,即當Stelnet客戶端首次訪問服務器,而客戶端沒有配置服務器端的主機公鑰時,用戶可以選擇繼續訪問該服務器,並在客戶端保存該主機公鑰;當用戶下次訪問該服務器時,就以保存的主機公鑰來認證該服務器。首次認證在比較安全的網絡環境中可以簡化客戶端的配置,但由於該方式下客戶端完全相信服務器公鑰的正確性,因此存在一定的安全隱患。
表1-20 建立與Stelnet服務器的連接
|
操作 |
命令 |
說明 |
|
|
與Stelnet服務器端建立連接 |
與IPv4 Stelnet服務器端建立連接 |
非FIPS模式下: ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] * FIPS模式下: ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] * |
二者至少選其一 請在用戶視圖下執行本命令 |
|
與IPv6 Stelnet服務器端建立連接 |
非FIPS模式下: ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] * FIPS模式下: ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] * |
||
客戶端切換到FIPS模式後,如果已經保存的服務器公鑰不符合FIPS模式要求,則無法登錄到服務器。如果客戶端想要重新登錄該服務器,則需要執行本配置刪除本地文件中的指定服務器公鑰,並保證服務器上已經生成了符合FIPS模式要求的公鑰。
表1-21 Stelnet客戶端刪除保存在公鑰文件中的服務器公鑰
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
Stelnet客戶端刪除保存在公鑰文件中的服務器公鑰 |
delete ssh client server-public-key [ server-ip ip-address ] |
- |
該配置任務用來與遠程的Stelnet服務器建立基於Suite B算法集的連接。
表1-22 與遠程的Stelnet服務器建立基於Suite B算法集的連接
|
操作 |
命令 |
說明 |
|
|
與遠程的Stelnet服務器建立基於Suite B算法集的連接 |
與遠程的ipv4 Stelnet服務器建立基於Suite B算法集的連接 |
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ip ip-address } ] * |
二者至少選其一 請在用戶視圖下執行本命令 |
|
與遠程的ipv6 Stelnet服務器建立基於Suite B算法集的連接 |
ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ipv6 ipv6-address } ] * |
||
表1-23 SFTP客戶端配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
生成本地DSA、ECDSA或RSA密鑰對 |
僅采用publickey、password-publickey或any認證方式時必選 |
|
|
配置SFTP客戶端發送SFTP報文使用的源IP地址 |
可選 |
|
|
建立與SFTP服務器端的連接 |
必選 |
|
|
SFTP客戶端刪除保存在公鑰文件中的服務器公鑰 |
可選 |
|
|
與遠程的SFTP服務器建立基於Suite B算法集的連接 |
可選 |
|
|
SFTP目錄操作 |
可選 |
|
|
SFTP文件操作 |
可選 |
|
|
顯示幫助信息 |
可選 |
|
|
終止與SFTP服務器端的連接 |
可選 |
設備運行於FIPS模式時,僅支持RSA、ECDSA密鑰對。
客戶端采用publickey、password-publickey或any認證方式時,需要生成本地密鑰對。
客戶端生成本地DSA、ECDSA或RSA密鑰對,需要注意的是:
· SSH僅支持默認名稱的本地DSA、ECDSA或RSA密鑰對,不支持指定名稱的本地DSA、ECDSA或RSA密鑰對。關於密鑰對生成命令的相關介紹請參見“安全命令參考”中的“公鑰管理”。
· 生成DSA密鑰對時,要求輸入的密鑰模數的長度必須小於2048比特。
· SSH客戶端支持secp256r1和secp384r1類型的ECDSA密鑰對。
表1-24 生成本地DSA、ECDSA或RSA密鑰對
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
生成本地DSA、ECDSA或RSA密鑰對 |
public-key local create { dsa | ecdsa { secp256r1 | secp384r1 } | rsa } |
缺省情況下,不存在任何DSA、ECDSA和RSA密鑰對 |
SFTP客戶端與SFTP服務器通信時,缺省采用路由決定的源IP地址作為發送報文的源地址。如果使用本配置指定了源IP地址或源接口,則采用該地址與服務器進行通信。為保證SFTP客戶端與SFTP服務器通信鏈路的可達性,以及增加認證業務對SFTP客戶端的可管理性,通常建議指定Loopback接口的IP地址作為源IP地址。
表1-25 配置SFTP客戶端發送SFTP報文使用的源IP地址
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
配置SFTP客戶端發送SFTP報文使用的源IP地址 |
配置SFTP客戶端發送SFTP報文使用的源IPv4地址 |
sftp client source { ip ip-address | interface interface-type interface-number } |
二者必選其一 缺省情況下,IPv4客戶端采用設備路由指定的SFTP報文的出接口主iP地址作為源IP地址;IPv6客戶端采用設備自動選擇的iPv6地址作為源IP地址 |
|
配置SFTP客戶端發送SFTP報文使用的源IPv6地址 |
sftp client ipv6 source { ipv6 ipv6-address | interface interface-type interface-number } |
||
該配置任務用來啟動SFTP客戶端程序,與遠程SFTP服務器建立連接,並指定公鑰算法、首選加密算法、首選HMAC算法和首選密鑰交換算法等。SFTP客戶端與服務器成功建立連接之後,用戶即可進入到服務器端上的SFTP客戶端視圖下進行目錄、文件等操作。
SFTP客戶端訪問服務器時,需要通過本地保存的服務器端的主機公鑰來驗證服務器的身份。設備作為SFTP客戶端時,默認支持首次認證,即當SFTP客戶端首次訪問服務器,而客戶端沒有配置服務器端的主機公鑰時,用戶可以選擇繼續訪問該服務器,並在客戶端保存該主機公鑰;當用戶下次訪問該服務器時,就以保存的主機公鑰來認證該服務器。首次認證在比較安全的網絡環境中可以簡化客戶端的配置,但由於該方式下客戶端完全相信服務器公鑰的正確性,因此存在一定的安全隱患。
表1-26 建立與SFTP服務器端的連接
|
操作 |
命令 |
說明 |
|
|
與SFTP服務器建立連接,並進入SFTP客戶端視圖 |
與IPv4 SFTP服務器建立連接,並進入SFTP客戶端視圖 |
非FIPS模式下: sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-addres} ] * FIPS模式下: sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] * |
二者至少選其一 請在用戶視圖下執行此命令 |
|
與IPv6 SFTP服務器建立連接,並進入SFTP客戶端視圖 |
非FIPS模式下: sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-addres} ] * FIPS模式下: sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-addres} ] * |
||
客戶端切換到FIPS模式後,如果已經保存的服務器公鑰不符合FIPS模式要求,則無法登錄到服務器。如果客戶端想要重新登錄該服務器,則需要執行本配置刪除本地文件中的指定服務器公鑰,並保證服務器上已經生成了符合FIPS模式要求的公鑰。
表1-27 SFTP客戶端刪除保存在公鑰文件中的服務器公鑰
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
SFTP客戶端刪除保存在公鑰文件中的服務器公鑰 |
delete ssh client server-public-key [ server-ip ip-address ] |
- |
該配置任務用來與遠程的SFTP服務器建立基於Suite B算法集的連接,並進行文件傳輸。
表1-28 與遠程的SFTP服務器建立基於Suite B算法集的連接
|
操作 |
命令 |
說明 |
|
|
與遠程的SFTP服務器建立基於Suite B算法集的連接 |
與遠程的ipv4 SFTP服務器建立基於Suite B算法集的連接 |
sftp server [ port-number ] [ vpn-instance vpn-instance-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ip ip-address } ] * |
二者至少選其一 請在用戶視圖下執行本命令 |
|
與遠程的ipv6 SFTP服務器建立基於Suite B算法集的連接 |
sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ipv6 ipv6-address } ] * |
||
SFTP目錄操作包括:改變或顯示當前的工作路徑、顯示指定目錄下的文件或目錄信息、改變服務器上指定的文件夾的名字、創建或刪除目錄等操作。
表1-29 SFTP目錄操作
|
操作 |
命令 |
說明 |
|
進入SFTP客戶端視圖 |
具體命令請參考1.4.4 |
- |
|
改變遠程SFTP服務器上的工作路徑 |
cd [ remote-path ] |
- |
|
返回到上一級目錄 |
cdup |
- |
|
顯示遠程SFTP服務器上的當前工作目錄 |
pwd |
- |
|
顯示指定目錄下的文件列表 |
· dir [ -a | -l ] [ remote-path ] · ls [ -a | -l ] [ remote-path ] |
dir和ls兩條命令的作用相同 |
|
改變SFTP服務器上指定的目錄的名字 |
rename old-name new-name |
- |
|
在遠程SFTP服務器上創建新的目錄 |
mkdir remote-path |
- |
|
刪除SFTP服務器上指定的目錄 |
rmdir remote-path |
- |
SFTP文件操作包括:改變文件名、下載文件、上傳文件、顯示文件列表和刪除文件。
表1-30 SFTP文件操作
|
操作 |
命令 |
說明 |
|
進入SFTP客戶端視圖 |
具體命令請參考1.4.4 |
- |
|
改變SFTP服務器上指定的文件的名字 |
rename old-name new-name |
- |
|
從遠程服務器上下載文件並存儲在本地 |
get remote-file [ local-file ] |
- |
|
將本地的文件上傳到遠程SFTP服務器 |
put local-file [ remote-file ] |
- |
|
顯示指定目錄下的文件 |
· dir [ -a | -l ] [ remote-path ] · ls [ -a | -l ] [ remote-path ] |
dir和ls兩條命令的作用相同 |
|
刪除SFTP服務器上指定的文件 |
delete remote-file |
delete和remove兩條命令的功能相同 |
|
remove remote-file |
本配置用於顯示命令的幫助信息,如命令格式、參數配置等。
|
操作 |
命令 |
說明 |
|
進入SFTP客戶端視圖 |
具體命令請參考1.4.4 |
- |
|
顯示SFTP客戶端命令的幫助信息 |
help |
二者選其一 help和?的功能相同 |
|
? |
表1-32 終止與SFTP服務器的連接
|
操作 |
命令 |
說明 |
|
進入SFTP客戶端視圖 |
具體命令請參考1.4.4 |
- |
|
終止與SFTP服務器的連接,並退回用戶視圖 |
bye |
三者選其一 bye,exit和quit三條命令的功能相同 |
|
exit |
||
|
quit |
設備運行於FIPS模式時,僅支持ECDSA、RSA密鑰對。
客戶端采用publickey、password-publickey或any認證方式時,需要生成本地密鑰對。
客戶端生成本地DSA或RSA密鑰對,需要注意的是:
· SSH僅支持默認名稱的本地DSA、ECDSA或RSA密鑰對,不支持指定名稱的本地DSA、ECDSA或RSA密鑰對。關於密鑰對生成命令的相關介紹請參見“安全命令參考”中的“公鑰管理”。
· 生成DSA密鑰對時,要求輸入的密鑰模數的長度必須小於2048比特。
· SSH客戶端支持secp256r1和secp384r1類型的ECDSA密鑰對。
表1-33 生成本地DSA、ECDSA或RSA密鑰對
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
生成本地DSA、ECDSA或RSA密鑰對 |
public-key local create { dsa | ecdsa { secp256r1 | secp384r1 } | rsa } |
缺省情況下,不存在任何DSA、ECDSA和RSA密鑰對 |
SCP客戶端與SCP服務器通信時,缺省采用路由決定的源IP地址作為發送報文的源地址。如果使用本配置指定了源IP地址或源接口,則采用該地址與服務器進行通信。
為保證SCP客戶端與SCP服務器通信鏈路的可達性,以及增加認證業務對SCP客戶端的可管理性,通常建議指定Loopback接口的IP地址作為源IP地址。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置SCP客戶端發送SCP報文使用的源IP地址 |
(IPv4網絡) scp client source { interface interface-type interface-number | ip ip-address } (IPv6網絡) scp client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address } |
缺省情況下,未配置SCP客戶端使用的源IPv4地址,SCP客戶端發送SCP報文使用的源IPv4地址為設備路由指定的SCP報文出接口的主IP地址 缺省情況下,未配置SCP客戶端使用的源IPv6地址,設備自動選擇IPv6 SCP報文的源IPv6地址,具體選擇原則請參見RFC 3484 |
該配置任務用來啟動SCP客戶端程序,與遠程SCP服務器建立連接,並進行安全的文件傳輸操作。
SCP客戶端訪問服務器時,需要通過本地保存的服務器端的主機公鑰來驗證服務器的身份。設備作為SCP客戶端時,默認支持首次認證,即當SCP客戶端首次訪問服務器,而客戶端沒有配置服務器端的主機公鑰時,用戶可以選擇繼續訪問該服務器,並在客戶端保存該主機公鑰;當用戶下次訪問該服務器時,就以保存的主機公鑰來認證該服務器。首次認證在比較安全的網絡環境中可以簡化客戶端的配置,但由於該方式下客戶端完全相信服務器公鑰的正確性,因此存在一定的安全隱患。
表1-34 與遠程SCP服務器傳輸文件
|
操作 |
命令 |
說明 |
|
|
與遠程SCP服務器建立連接,並進行文件傳輸 |
與遠程IPv4 SCP服務器建立連接,並進行文件傳輸 |
非FIPS模式下: scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] * [ user username [ password password [ no-more-input ] ] ] FIPS模式下: scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 }] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] * [ user username [ password password [ no-more-input ] ] ] |
二者至少選其一 請在用戶視圖下執行此命令 |
|
與遠程IPv6 SCP服務器建立連接,並進行文件傳輸 |
非FIPS模式下: scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 }] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] * [ user username [ password password [ no-more-input ] ] ] FIPS模式下: scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 }] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] * [ user username [ password password [ no-more-input ] ] ] |
||
客戶端切換到FIPS模式後,如果已經保存的服務器公鑰不符合FIPS模式要求,則無法登錄到服務器。如果客戶端想要重新登錄該服務器,則需要執行本配置刪除本地文件中的指定服務器公鑰,並保證服務器上已經生成了符合FIPS模式要求的公鑰。
表1-35 SCP客戶端刪除保存在公鑰文件中的服務器公鑰
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
SCP客戶端刪除保存在公鑰文件中的服務器公鑰 |
delete ssh client server-public-key [ server-ip ip-address ] |
- |
該配置任務用來與遠程的SCP服務器建立基於Suite B算法集的連接,並進行文件傳輸。
表1-36 與遠程的SCP服務器建立基於Suite B算法集的連接
|
操作 |
命令 |
說明 |
|
|
與遠程的SCP服務器建立基於Suite B算法集的連接 |
與遠程的ipv4 SCP服務器建立基於Suite B算法集的連接 |
scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ip ip-address } ] * [ user username [ password password [ no-more-input ] ] ] |
二者至少選其一 請在用戶視圖下執行本命令 |
|
與遠程的ipv6 SCP服務器建立基於Suite B算法集的連接 |
scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] * [ user username [ password password [ no-more-input ] ] ] |
||
設備與對端建立Stelnet、SFTP、SCP會話過程中,將使用指定的密鑰交換算法優先列表進行密鑰交換協商。密鑰交換協商過程中,客戶端采用的算法匹配順序為優先列表中各算法的配置順序,服務器根據客戶端的算法來匹配和協商。
表1-37 配置SSH2協議密鑰交換算法優先列表
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置SSH2協議密鑰交換算法優先列表 |
非FIPS模式下: ssh2 algorithm key-exchange { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } * FIPS模式下: ssh2 algorithm key-exchange { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } * |
非FIPS模式下: 缺省情況下, SSH2協議所采用的密鑰交換算法優先列表為ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group-exchange-sha1、dh-group14-sha1、dh-group1-sha1 FIPS模式下: 缺省情況下, SSH2協議所采用的密鑰交換算法優先列表為ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group14-sha1 |
設備與對端建立Stelnet、SFTP、SCP會話過程中,將使用指定的主機簽名算法優先列表進行主機簽名算法協商。主機簽名算法協商過程中,客戶端采用的算法匹配順序為優先列表中各算法的配置順序,服務器根據客戶端的算法來匹配和協商。
表1-38 配置SSH2協議主機簽名算法優先列表
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置SSH2協議主機簽名算法優先列表 |
非FIPS模式下: ssh2 algorithm public-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } * FIPS模式下: ssh2 algorithm public-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } * |
非FIPS模式下: 缺省情況下,SSH2協議所采用的主機簽名算法優先列表為:x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa-sha2-nistp256、 ecdsa-sha2-nistp384、rsa、dsa FIPS模式下: 缺省情況下,SSH2協議所采用的主機簽名算法優先列表為:x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa-sha2-nistp256、 ecdsa-sha2-nistp384、rsa |
設備與對端建立Stelnet、SFTP、SCP會話過程中,將使用指定的加密算法優先列表進行加密算法協商。加密算法協商過程中,客戶端采用的算法匹配順序為優先列表中各算法的配置順序,服務器根據客戶端的算法來匹配和協商。
表1-39 配置SSH2協議加密算法優先列表
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置SSH2協議加密算法優先列表 |
非FIPS模式下: ssh2 algorithm cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } * FIPS模式下: ssh2 algorithm cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes256-cbc | aes256-ctr | aes256-gcm } * |
非FIPS模式下: 缺省情況下,SSH2協議所采用的加密算法優先列表為:aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、3des-cbc、aes256-cbc、des-cbc FIPS模式下: 缺省情況下,SSH2協議所采用的加密算法優先列表為:aes128-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、aes256-cbc |
設備與對端建立Stelnet、SFTP、SCP會話過程中,將使用指定的MAC算法優先列表進行MAC算法協商。MAC算法協商過程中,客戶端采用的算法匹配順序為優先列表中各算法的配置順序,服務器根據客戶端的算法來匹配和協商。
表1-40 配置SSH2協議MAC算法優先列表
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置SSH2協議MAC算法優先列表 |
非FIPS模式下: ssh2 algorithm mac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } * FIPS模式下: ssh2 algorithm mac { sha1 | sha1-96 | sha2-256 | sha2-512 } * |
非FIPS模式下: 缺省情況下,SSH2協議所采用的MAC算法優先列表為:sha2-256、sha2-512、sha1、md5、sha1-96、md5-96 FIPS模式下: 缺省情況下,SSH2協議所采用的MAC算法優先列表為:sha2-256、sha2-512、sha1、sha1-96 |
在完成上述配置後,在任意視圖下執行display命令,可以顯示配置後SSH的運行情況,通過查看顯示信息驗證配置的效果。
表1-41 SSH顯示和維護
|
操作 |
命令 |
|
顯示SFTP客戶端的源IP地址配置 |
display sftp client source |
|
顯示Stelnet客戶端的源IP地址配置 |
display ssh client source |
|
在SSH服務器端顯示該服務器的狀態信息或會話信息 |
display ssh server { session | status } |
|
在SSH服務器端顯示SSH用戶信息 |
display ssh user-information [ username ] |
|
顯示本地密鑰對中的公鑰部分 |
display public-key local { dsa | ecdsa | rsa } public [ name publickey-name ] |
|
顯示SSH客戶端公鑰文件中的服務器公鑰信息 |
display ssh client server-public-key [ server-ip ip-address ] |
|
顯示保存在本地的遠端主機的公鑰信息 |
display public-key peer [ brief | name publickey-name ] |
|
顯示SCP客戶端的源IP地址配置 |
display scp client source |
|
顯示設備上配置的SSH2協議使用的算法優先列表 |
display ssh2 algorithm |
|
顯示SSH用戶登錄異常記錄的詳細信息 |
display ssh exception-record |
display public-key local和display public-key peer命令的詳細介紹請參見“安全命令參考”中的“公鑰管理”。
· 舉例中的設備運行於非FIPS模式下。
· 若設備運行於FIPS模式下,相關的配置和顯示信息將有所變化,請以設備的實際情況為準。設備作為服務器僅支持ECDSA、RSA密鑰對,請不要生成DSA密鑰對。
· 用戶可以通過Host上運行的Stelnet客戶端軟件(SSH2版本)安全地登錄到Switch上,並被授予用戶角色network-admin進行配置管理;
· Switch采用password認證方式對Stelnet客戶端進行認證,客戶端的用戶名和密碼保存在本地。
圖1-1 設備作為Stelnet服務器配置組網圖
(1) 配置Stelnet服務器
# 生成RSA密鑰對。
<Switch> system-view
[Switch] public-key local create rsa
The range of public key modulus is (512 ~ 4096).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
# 生成DSA密鑰對。
[Switch] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+
...+.................+..........+...+.
Create the key pair successfully.
# 生成ECDSA密鑰對。
[Switch] public-key local create ecdsa secp256r1
Generating Keys...
.
Create the key pair successfully.
# 開啟Stelnet服務器功能。
[Switch] ssh server enable
# 配置VLAN接口2的IP地址,客戶端將通過該地址連接Stelnet服務器。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.40 255.255.255.0
[Switch-Vlan-interface2] quit
# 設置Stelnet客戶端登錄用戶線的認證方式為AAA認證。
[Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit
# 創建設備管理類本地用戶client001,設置密碼,服務類型為SSH,用戶角色為network-admin。
[Switch] local-user client001 class manage
[Switch-luser-manage-client001] password simple 123456TESTplat&!
[Switch-luser-manage-client001] service-type ssh
[Switch-luser-manage-client001] authorization-attribute user-role network-admin
[Switch-luser-manage-client001] quit
# 配置SSH用戶client001的服務類型為Stelnet,認證方式為password認證。(此步驟可以不配置)
[Switch] ssh user client001 service-type stelnet authentication-type password
(2) Stelnet客戶端建立與Stelnet服務器的連接
Stelnet客戶端軟件有很多,例如PuTTY、OpenSSH等。本文中僅以客戶端軟件PuTTY0.58為例,說明Stelnet客戶端的配置方法。
# 建立與Stelnet服務器端的連接。
打開PuTTY.exe程序,出現如圖1-2所示的客戶端配置界麵。在“Host Name(or IP address)”文本框中輸入Stelnet服務器的IP地址為192.168.1.40。
圖1-2 Stelnet客戶端配置界麵
在圖1-2中,單擊<Open>按鈕。按提示輸入用戶名client001及密碼123456TESTplat&!,即可進入Switch的配置界麵。
· 用戶可以通過Host上運行的Stelnet客戶端軟件(SSH2版本)安全地登錄到Switch上,並被授予用戶角色network-admin進行配置管理;
· Switch采用publickey認證方式對Stelnet客戶端進行認證,使用的公鑰算法為RSA。
圖1-3 設備作為Stelnet服務器配置組網圖
· 在服務器的配置過程中需要指定客戶端的公鑰信息,因此建議首先完成客戶端密鑰對的配置,再進行服務器的配置。
· 客戶端軟件有很多,例如PuTTY、OpenSSH等。本文中僅以客戶端軟件PuTTY0.58為例,說明Stelnet客戶端的配置方法。
(1) 配置Stelnet客戶端
# 生成RSA密鑰對。
在客戶端運行PuTTYGen.exe,在參數欄中選擇“SSH-2 RSA”,點擊<Generate>,產生客戶端密鑰對。
圖1-4 生成客戶端密鑰(步驟1)
在產生密鑰對的過程中需不停地移動鼠標,鼠標移動僅限於下圖藍色框中除綠色標記進程條外的地方,否則進程條的顯示會不動,密鑰對將停止產生,見圖1-5。
密鑰對產生後,點擊<Save public key>,輸入存儲公鑰的文件名key.pub,點擊<保存>按鈕。
圖1-6 生成客戶端密鑰(步驟3)
點擊<Save private key>存儲私鑰,彈出警告框,提醒是否保存沒做任何保護措施的私鑰,點擊<Yes>,輸入私鑰文件名為private.ppk,點擊保存。
圖1-7 生成客戶端密鑰(步驟4)
客戶端生成密鑰對後,需要將保存的公鑰文件key.pub通過FTP/TFTP方式上傳到服務器,具體過程略。
(2) 配置Stelnet服務器
# 生成RSA密鑰對。
<Switch> system-view
[Switch] public-key local create rsa
The range of public key modulus is (512 ~ 4096).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
# 生成DSA密鑰對。
[Switch] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+
...+.................+..........+...+
Create the key pair successfully.
# 生成ECDSA密鑰對。
[Switch] public-key local create ecdsa secp256r1
Generating Keys...
.
Create the key pair successfully.
# 開啟Stelnet服務器功能。
[Switch] ssh server enable
# 配置VLAN接口2的IP地址,客戶端將通過該地址連接Stelnet服務器。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.40 255.255.255.0
[Switch-Vlan-interface2] quit
# 設置Stelnet客戶端登錄用戶線的認證方式為AAA認證。
[Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit
# 從文件key.pub中導入遠端的公鑰,並命名為switchkey。
[Switch] public-key peer switchkey import sshkey key.pub
# 設置SSH用戶client002的認證方式為publickey,並指定公鑰為switchkey。
[Switch] ssh user client002 service-type stelnet authentication-type publickey assign publickey switchkey
# 創建設備管理類本地用戶client002,並設置服務類型為SSH,用戶角色為network-admin。
[Switch] local-user client002 class manage
[Switch-luser-manage-client002] service-type ssh
[Switch-luser-manage-client002] authorization-attribute user-role network-admin
[Switch-luser-manage-client002] quit
(3) Stelnet客戶端建立與Stelnet服務器的連接
# 指定私鑰文件,並建立與Stelnet服務器的連接。
打開PuTTY.exe程序,出現如圖1-8所示的客戶端配置界麵。在“Host Name(or IP address)”文本框中輸入Stelnet服務器的IP地址為192.168.1.40。
圖1-8 Stelnet客戶端配置界麵
# 單擊左側導航欄“Connection->SSH”,出現如圖1-9的界麵。選擇“Preferred SSH protocol version”為“2”。
圖1-9 Stelnet客戶端配置界麵
單擊左側導航欄“Connection->SSH”下麵的“Auth”(認證),出現如圖1-10的界麵。單擊<Browse…>按鈕,彈出文件選擇窗口。選擇與配置到服務器端的公鑰對應的私鑰文件private.ppk。
圖1-10 Stelnet客戶端配置界麵
如圖1-10,單擊<Open>按鈕。按提示輸入用戶名client002,即可進入Switch的配置界麵。
· 配置Switch A作為Stelnet客戶端,用戶能夠通過Switch A安全地登錄到Switch B上,並被授予用戶角色network-admin進行配置管理。
· Switch B作為Stelnet服務器采用password認證方式對Stelnet客戶端進行認證,客戶端的用戶名和密碼保存在Switch B上。
圖1-11 設備作為Stelnet客戶端配置組網圖
(1) 配置Stelnet服務器
# 生成RSA密鑰對。
<SwitchB> system-view
[SwitchB] public-key local create rsa
The range of public key modulus is (512 ~ 4096).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
# 生成DSA密鑰對。
[SwitchB] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+
...+.................+..........+...+
Create the key pair successfully.
# 生成ECDSA密鑰對。
[SwitchB] public-key local create ecdsa secp256r1
Generating Keys...
.
Create the key pair successfully.
# 開啟Stelnet服務器功能。
[SwitchB] ssh server enable
# 配置VLAN接口2的IP地址,客戶端將通過該地址連接Stelnet服務器。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 192.168.1.40 255.255.255.0
[SwitchB-Vlan-interface2] quit
# 設置Stelnet客戶端登錄用戶線的認證方式為AAA認證。
[SwitchB] line vty 0 63
[SwitchB-line-vty0-63] authentication-mode scheme
[SwitchB-line-vty0-63] quit
# 創建設備管理類本地用戶client001,設置密碼,服務類型為SSH,用戶角色為network-admin。
[SwitchB] local-user client001 class manage
[SwitchB-luser-manage-client001] password simple 123456TESTplat&!
[SwitchB-luser-manage-client001] service-type ssh
[SwitchB-luser-manage-client001] authorization-attribute user-role network-admin
[SwitchB-luser-manage-client001] quit
# 配置SSH用戶client001的服務類型為Stelnet,認證方式為password認證。(此步驟可以不配置)
[SwitchB] ssh user client001 service-type stelnet authentication-type password
# 配置SSH2協議所使用的主機簽名算法為dsa。
[SwitchB] ssh2 algorithm public-key dsa
(2) Stelnet客戶端建立與Stelnet服務器的連接
# 配置VLAN接口2的IP地址。
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 192.168.1.56 255.255.255.0
[SwitchA-Vlan-interface2] quit
[SwitchA] quit
(3) 客戶端本地沒有服務器端的主機公鑰,首次與服務器建立連接
# 建立到服務器192.168.1.40的SSH連接,選擇在不認證服務器的情況下繼續訪問服務網,並在客戶端保存服務器端的本地公鑰。
<SwitchA> ssh2 192.168.1.40
Username: client001
Press CTRL+C to abort.
Connecting to 192.168.1.40 port 22.
The server is not authenticated. Continue? [Y/N]:y
Do you want to save the server public key? [Y/N]:y
client001@192.168.1.40's password:
Enter a character ~ and a dot to abort.
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<SwitchB>
輸入正確的密碼之後,即可成功登錄到Switch B上。由於選擇在本地保存服務器端的主機公鑰,下次用戶登錄Switch B時直接輸入正確密碼即可成功登錄。
(4) 客戶端配置服務器端的主機公鑰後,與服務器建立連接
# 在客戶端配置SSH服務器端的主機公鑰。在公鑰視圖輸入服務器端的主機公鑰,即在服務器端通過display public-key local dsa public命令顯示的公鑰內容。
[SwitchA] public-key peer key1
Enter public key view. Return to system view with "peer-public-key end" command.
[SwitchA-pkey-public-key-key1]308201B73082012C06072A8648CE3804013082011F0281810
0D757262C4584C44C211F18BD96E5F0
[SwitchA-pkey-public-key-key1]61C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE
65BE6C265854889DC1EDBD13EC8B274
[SwitchA-pkey-public-key-key1]DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B0
6FD60FE01941DDD77FE6B12893DA76E
[SwitchA-pkey-public-key-key1]EBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B3
68950387811C7DA33021500C773218C
[SwitchA-pkey-public-key-key1]737EC8EE993B4F2DED30F48EDACE915F0281810082269009E
14EC474BAF2932E69D3B1F18517AD95
[SwitchA-pkey-public-key-key1]94184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD35D02
492B3959EC6499625BC4FA5082E22C5
[SwitchA-pkey-public-key-key1]B374E16DD00132CE71B020217091AC717B612391C76C1FB2E
88317C1BD8171D41ECB83E210C03CC9
[SwitchA-pkey-public-key-key1]B32E810561C21621C73D6DAAC028F4B1585DA7F42519718CC
9B09EEF0381840002818000AF995917
[SwitchA-pkey-public-key-key1]E1E570A3F6B1C2411948B3B4FFA256699B3BF871221CC9C5D
F257523777D033BEE77FC378145F2AD
[SwitchA-pkey-public-key-key1]D716D7DB9FCABB4ADBF6FB4FDB0CA25C761B308EF53009F71
01F7C62621216D5A572C379A32AC290
[SwitchA-pkey-public-key-key1]E55B394A217DA38B65B77F0185C8DB8095522D1EF044B465E
8716261214A5A3B493E866991113B2D
[SwitchA-pkey-public-key-key1]485348
[SwitchA-pkey-public-key-key1] peer-public-key end
# 配置SSH2協議所使用的主機簽名算法為dsa。
[SwitchA] ssh2 algorithm public-key dsa
[SwitchA] quit
# 建立到服務器192.168.1.40的SSH連接,並指定服務器端的主機公鑰。
<SwitchA> ssh2 192.168.1.40 public-key key1
Username: client001
Press CTRL+C to abort.
Connecting to 192.168.1.40 port 22.
client001@192.168.1.40's password:
Enter a character ~ and a dot to abort.
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<SwitchB>
輸入正確的密碼之後,即可成功登錄到Switch B上。
(5) 客戶端本地已有服務器端的主機公鑰,直接與服務器建立連接
<SwitchA> ssh2 192.168.1.40
Username: client001
Press CTRL+C to abort.
Connecting to 192.168.1.40 port 22.
client001@192.168.1.40's password:
Enter a character ~ and a dot to abort.
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<SwitchB>
輸入正確的密碼之後,即可成功登錄到Switch B上。
· 配置Switch A作為Stelnet客戶端,用戶能夠通過Switch A安全地登錄到Switch B上,並被授予用戶角色network-admin進行配置管理。
· Switch B作為Stelnet服務器采用publickey認證方式對Stelnet客戶端進行認證,使用的公鑰算法為DSA。
圖1-12 設備作為Stelnet客戶端配置組網圖
在服務器的配置過程中需要指定客戶端的公鑰信息,因此需要首先完成客戶端密鑰對的配置,再進行服務器的配置。
(1) 配置Stelnet客戶端
# 配置VLAN接口2的IP地址。
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 192.168.1.56 255.255.255.0
[SwitchA-Vlan-interface2] quit
# 生成DSA密鑰對。
[SwitchA] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+
...+.................+..........+...+
Create the key pair successfully.
# 將生成的DSA主機公鑰導出到指定文件key.pub中。
[SwitchA] public-key local export dsa ssh2 key.pub
[SwitchA] quit
客戶端生成密鑰對後,需要將保存的公鑰文件key.pub通過FTP/TFTP方式上傳到服務器,具體過程略。
(2) 配置Stelnet服務器
# 生成RSA密鑰對。
<SwitchB> system-view
[SwitchB] public-key local create rsa
The range of public key modulus is (512 ~ 4096)
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
# 生成DSA密鑰對。
[SwitchB] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+
...+.................+..........+...+
Create the key pair successfully.
# 生成ECDSA密鑰對。
[SwitchB] public-key local create ecdsa secp256r1
Generating Keys...
.
Create the key pair successfully.
# 開啟Stelnet服務器功能。
[SwitchB] ssh server enable
# 配置VLAN接口2的IP地址,客戶端將通過該地址連接SSH服務器。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 192.168.1.40 255.255.255.0
[SwitchB-Vlan-interface2] quit
# 設置Stelnet客戶端登錄用戶線的認證方式為AAA認證。
[SwitchB] line vty 0 63
[SwitchB-line-vty0-63] authentication-mode scheme
[SwitchB-line-vty0-63] quit
# 從文件key.pub中導入遠端的公鑰,並命名為switchkey。
[SwitchB] public-key peer switchkey import sshkey key.pub
# 設置SSH用戶client002的認證方式為publickey,並指定公鑰為switchkey。
[SwitchB] ssh user client002 service-type stelnet authentication-type publickey assign publickey switchkey
# 創建設備管理類本地用戶client002,並設置服務類型為SSH,用戶角色為network-admin。
[SwitchB] local-user client002 class manage
[SwitchB-luser-manage-client002] service-type ssh
[SwitchB-luser-manage-client002] authorization-attribute user-role network-admin
[SwitchB-luser-manage-client002] quit
(3) Stelnet客戶端建立與Stelnet服務器的連接
# 建立到服務器192.168.1.40的SSH連接。
<SwitchA> ssh2 192.168.1.40 identity-key dsa
Username: client002
Press CTRL+C to abort.
Connecting to 192.168.1.40 port 22.
The server is not authenticated. Continue? [Y/N]:y
Do you want to save the server public key? [Y/N]:n
Enter a character ~ and a dot to abort.
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<SwitchB>
由於本地未保存服務器端的主機公鑰,因此在選擇繼續訪問服務器之後,即可成功登錄到Switch B上。
· 配置Switch A作為Stelnet Suite B客戶端,用戶能夠通過Switch A安全地登錄到Switch B上
· SwitchB設備配置為suite-b服務器模式;
· 用戶可以通過Switch A上運行的Stelnet Suite B客戶端軟件(SSH2版本)安全地登錄到Switch B上,並被授予用戶角色network-admin進行配置管理;
· Switch B采用publickey認證方式對Stelnet Suite B客戶端進行認證。
圖1-13 設備支持Stelnet Suite B組網圖
· 在服務器的配置過程中需要指定服務器和客戶端的證書信息,因此需要首先完成證書的配置,再進行Suite B相關的服務器配置。
· 客戶端軟件支持Suite B的較少,OpenSSH的pkix版本通過修改可以實現。本文中僅以我司設備客戶端為例,說明Stelnet Suite B客戶端的配置方法。
(1) 配置Stelnet Suite B客戶端
# 客戶端和服務器證書生成後,需要將保存的證書文件ssh-server-ecdsa256.p12和ssh-client-ecdsa256.p12通過FTP/TFTP方式上傳到客戶端設備,具體過程略。
# 配置驗證服務器證書的PKI域。
<SwitchA> system-view
[SwitchA] pki domain server256
# 關閉CRL檢查。
[SwitchA-pki-domain-server256] undo crl check enable
[SwitchA-pki-domain-server256] quit
# 導入CA證書。
[SwitchA] pki import domain server256 p12 local filename ssh-server-ecdsa256.p12
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name[default name: server256]:
# 顯示導入CA證書信息。
[SwitchA] display pki certificate domain server256 local
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 3 (0x3)
Signature Algorithm: ecdsa-with-SHA256
Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA
Validity
Not Before: Aug 21 08:39:51 2015 GMT
Not After : Aug 20 08:39:51 2016 GMT
Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=SSH Server secp256
Subject Public Key Info:
Public Key Algorithm: id-ecPublicKey
Public-Key: (256 bit)
pub:
04:a2:b4:b4:66:1e:3b:d5:50:50:0e:55:19:8d:52:
6d:47:8c:3d:3d:96:75:88:2f:9a:ba:a2:a7:f9:ef:
0a:a9:20:b7:b6:6a:90:0e:f8:c6:de:15:a2:23:81:
3c:9e:a2:b7:83:87:b9:ad:28:c8:2a:5e:58:11:8e:
c7:61:4a:52:51
ASN1 OID: prime256v1
NIST CURVE: P-256
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
08:C1:F1:AA:97:45:19:6A:DA:4A:F2:87:A1:1A:E8:30:BD:31:30:D7
X509v3 Authority Key Identifier:
keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22
Signature Algorithm: ecdsa-with-SHA256
30:65:02:31:00:a9:16:e9:c1:76:f0:32:fc:4b:f9:8f:b6:7f:
31:a0:9f:de:a7:cc:33:29:27:2c:71:2e:f9:0d:74:cb:25:c9:
00:d2:52:18:7f:58:3f:cc:7e:8b:d3:42:65:00:cb:63:f8:02:
30:01:a2:f6:a1:51:04:1c:61:78:f6:6b:7e:f9:f9:42:8d:7c:
a7:bb:47:7c:2a:85:67:0d:81:12:0b:02:98:bc:06:1f:c1:3c:
9b:c2:1b:4c:44:38:5a:14:b2:48:63:02:2b
# 配置客戶端向服務器發送證書所在的PKI域。
[SwitchA] pki domain client256
# 關閉CRL檢查。
[SwitchA-pki-domain-client256] undo crl check enable
[SwitchA-pki-domain-client256] quit
# 導入CA證書。
[SwitchA] pki import domain client256 p12 local filename ssh-client-ecdsa256.p12
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name[default name: client256]:
# 顯示導入CA證書信息。
[SwitchA] display pki certificate domain client256 local
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 4 (0x4)
Signature Algorithm: ecdsa-with-SHA256
Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA
Validity
Not Before: Aug 21 08:41:09 2015 GMT
Not After : Aug 20 08:41:09 2016 GMT
Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=SSH Client secp256
Subject Public Key Info:
Public Key Algorithm: id-ecPublicKey
Public-Key: (256 bit)
pub:
04:da:e2:26:45:87:7a:63:20:e7:ca:7f:82:19:f5:
96:88:3e:25:46:f8:2f:9a:4c:70:61:35:db:e4:39:
b8:38:c4:60:4a:65:28:49:14:32:3c:cc:6d:cd:34:
29:83:84:74:a7:2d:0e:75:1c:c2:52:58:1e:22:16:
12:d0:b4:8a:92
ASN1 OID: prime256v1
NIST CURVE: P-256
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
1A:61:60:4D:76:40:B8:BA:5D:A1:3C:60:BC:57:98:35:20:79:80:FC
X509v3 Authority Key Identifier:
keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22
Signature Algorithm: ecdsa-with-SHA256
30:66:02:31:00:9a:6d:fd:7d:ab:ae:54:9a:81:71:e6:bb:ad:
5a:2e:dc:1d:b3:8a:bf:ce:ee:71:4e:8f:d9:93:7f:a3:48:a1:
5c:17:cb:22:fa:8f:b3:e5:76:89:06:9f:96:47:dc:34:87:02:
31:00:e3:af:2a:8f:d6:8d:1f:3a:2b:ae:2f:97:b3:52:63:b6:
18:67:70:2c:93:2a:41:c0:e7:fa:93:20:09:4d:f4:bf:d0:11:
66:0f:48:56:01:1e:c3:be:37:4e:49:19:cf:c6
# 配置VLAN接口2的IP地址。
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 192.168.1.56 255.255.255.0
[SwitchA-Vlan-interface2] quit
(2) 配置Stelnet Suite B服務器
# 服務器上配置證書的PKI域與客戶端相同,具體過程略。
# 配置服務器suite-b算法集。
<SwitchB> system-view
[SwitchB] ssh2 algorithm key-exchange ecdh-sha2-nistp256
[SwitchB] ssh2 algorithm cipher aes128-gcm
[SwitchB] ssh2 algorithm public-key x509v3-ecdsa-sha2-nistp256 x509v3-ecdsa-sha2-nistp384
# 配置服務器證書所在的PKI域。
[SwitchB] ssh server pki-domain server256
# 開啟Stelnet服務器功能。
[SwitchB] ssh server enable
# 配置VLAN接口2的IP地址,客戶端將通過該地址連接Stelnet服務器。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 192.168.1.40 255.255.255.0
[SwitchB-Vlan-interface2] quit
# 設置Stelnet客戶端登錄用戶線的認證方式為AAA認證。
[SwitchB] line vty 0 15
[SwitchB-line-vty0-15] authentication-mode scheme
[SwitchB-line-vty0-15] quit
# 創建設備管理類本地用戶client001,服務類型為SSH,用戶角色為network-admin。
[SwitchB] local-user client001 class manage
[SwitchB-luser-manage-client001] service-type ssh
[SwitchB-luser-manage-client001] authorization-attribute user-role network-admin
[SwitchB-luser-manage-client001] quit
# 設置SSH用戶client001的認證方式為publickey,並指定認證證書所在PKI域為client256。
[Switch] ssh user client001 service-type stelnet authentication-type publickey assign pki-domain client256
(3) Stelnet Suite B客戶端建立與Stelnet suite-b服務器的連接
# 建立到服務器192.168.1.40的SSH連接。
<SwitchA> ssh2 192.168.1.40 suite-b 128-bit pki-domain client256 server-pki-domain server256
Username: client001
Press CTRL+C to abort.
Connecting to 192.168.1.40 port 22.
Enter a character ~ and a dot to abort.
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<SwitchB>
· 舉例中的設備運行於非FIPS模式下。
· 若設備運行於FIPS模式下,相關的配置和顯示信息將有所變化,請以設備的實際情況為準。設備作為服務器僅支持ECDSA、RSA密鑰對,請不要生成DSA密鑰對。
· 用戶可以通過Host上運行的SFTP客戶端軟件安全地登錄到Switch上,並被授予用戶角色network-admin進行文件管理和文件傳送等操作;
· Switch采用password認證方式對SFTP客戶端進行認證,客戶端的用戶名和密碼保存在本地。
圖1-14 設備作為SFTP服務器配置組網圖
(1) 配置SFTP服務器
# 生成RSA密鑰對。
<Switch> system-view
[Switch] public-key local create rsa
The range of public key modulus is (512 ~ 4096).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
# 生成DSA密鑰對。
[Switch] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+
...+.................+..........+...+
Create the key pair successfully.
# 生成ECDSA密鑰對。
[Switch] public-key local create ecdsa secp256r1
Generating Keys...
.
Create the key pair successfully.
# 啟動SFTP服務器。
[Switch] sftp server enable
# 配置VLAN接口2的IP地址,客戶端將通過該地址連接SSH服務器。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.45 255.255.255.0
[Switch-Vlan-interface2] quit
# 創建設備管理類本地用戶client002,設置密碼,服務類型為SSH,用戶角色為network-admin,工作目錄為flash:/。
[Switch] local-user client002 class manage
[Switch-luser-manage-client002] password simple 123456TESTplat&!
[Switch-luser-manage-client002] service-type ssh
[Switch-luser-manage-client002] authorization-attribute user-role network-admin work-directory flash:/
[Switch-luser-manage-client002] quit
# 配置SSH用戶認證方式為password,服務類型為SFTP。(此步驟可以不配置)
[Switch] ssh user client002 service-type sftp authentication-type password
(2) SFTP客戶端建立與SFTP服務器的連接
· SFTP客戶端軟件有很多,本文中僅以客戶端軟件PuTTY0.58中的PSFTP為例,說明SFTP客戶端的配置方法。
· PSFTP隻支持password認證,不支持publickey認證。
# 建立與SFTP服務器的連接。
打開psftp.exe程序,出現如圖1-15所示的客戶端配置界麵。輸入如下命令:
open 192.168.1.45
根據提示輸入用戶名client002,密碼123456TESTplat&!,即可登錄SFTP服務器。
圖1-15 SFTP客戶端登錄界麵
· 配置Switch A作為SFTP客戶端,用戶能夠通過Switch A安全地登錄到Switch B上,並被授予用戶角色network-admin進行文件管理和文件傳送等操作。
· Switch B作為SFTP服務器采用publickey認證方式對SFTP客戶端進行認證,使用的公鑰算法為RSA。
圖1-16 設備作為SFTP客戶端配置組網圖
在服務器的配置過程中需要指定客戶端的公鑰信息,因此建議首先完成客戶端密鑰對的配置,再進行服務器的配置。
(1) 配置SFTP客戶端
# 配置VLAN接口2的IP地址。
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 192.168.0.2 255.255.255.0
[SwitchA-Vlan-interface2] quit
# 生成RSA密鑰對。
[SwitchA] public-key local create rsa
The range of public key modulus is (512 ~ 4096).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
# 將生成的RSA主機公鑰導出到指定文件pubkey中。
[SwitchA] public-key local export rsa ssh2 pubkey
[SwitchA] quit
客戶端生成密鑰對後,需要將保存的公鑰文件pubkey通過FTP/TFTP方式上傳到服務器,具體過程略。
(2) 配置SFTP服務器
# 生成RSA密鑰對。
<SwitchB> system-view
[SwitchB] public-key local create rsa
The range of public key modulus is (512 ~ 4096).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
# 生成DSA密鑰對。
[SwitchB] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+
...+.................+..........+...+
Create the key pair successfully.
# 生成ECDSA密鑰對。
[SwitchB] public-key local create ecdsa secp256r1
Generating Keys...
.
Create the key pair successfully.
# 啟動SFTP服務器。
[SwitchB] sftp server enable
# 配置VLAN接口2的IP地址,客戶端將通過該地址連接SSH服務器。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 192.168.0.1 255.255.255.0
[SwitchB-Vlan-interface2] quit
# 從文件pubkey中導入遠端的公鑰,並命名為switchkey。
[SwitchB] public-key peer switchkey import sshkey pubkey
# 設置SSH用戶client001的服務類型為SFTP,認證方式為publickey,並指定公鑰為switchkey。
[SwitchB] ssh user client001 service-type sftp authentication-type publickey assign publickey switchkey
# 創建設備管理類本地用戶client001,並設置服務類型為SSH,用戶角色為network-admin,工作目錄為flash:/。
[SwitchB] local-user client001 class manage
[SwitchB-luser-manage-client001] service-type ssh
[SwitchB-luser-manage-client001] authorization-attribute user-role network-admin work-directory flash:/
[SwitchB-luser-manage-client001] quit
(3) SFTP客戶端建立與SFTP服務器端的連接
# 與遠程SFTP服務器建立連接,進入SFTP客戶端視圖。
<SwitchA> sftp 192.168.0.1 identity-key rsa
Username: client001
Press CTRL+C to abort.
Connecting to 192.168.0.1 port 22.
The server is not authenticated. Continue? [Y/N]:y
Do you want to save the server public key? [Y/N]:n
sftp>
# 顯示服務器的當前目錄,刪除文件z,並檢查此文件是否刪除成功。
sftp> dir -l
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
-rwxrwxrwx 1 noone nogroup 0 Sep 01 08:00 z
sftp> delete z
Removing /z
sftp> dir -l
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
# 新增目錄new1,並檢查新目錄是否創建成功。
sftp> mkdir new1
sftp> dir -l
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:30 new1
# 將目錄名new1更名為new2,並查看是否更名成功。
sftp> rename new1 new2
sftp> dir -l
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:33 new2
# 從服務器上下載文件pubkey2到本地,並更名為public。
sftp> get pubkey2 public
Fetching / pubkey2 to public
/pubkey2 100% 225 1.4KB/s 00:00
# 將本地文件pu上傳到服務器上,更名為puk,並查看上傳是否成功。
sftp> put pu puk
Uploading pu to / puk
sftp> dir -l
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:33 new2
-rwxrwxrwx 1 noone nogroup 283 Sep 02 06:35 pub
-rwxrwxrwx 1 noone nogroup 283 Sep 02 06:36 puk
sftp>
# 退出SFTP客戶端視圖。
sftp> quit
<SwitchA>
· 配置Switch A作為SFTP Suite B客戶端,用戶能夠通過Switch A安全地登錄到Switch B上
· SwitchB設備配置為Suite B服務器模式;
· 用戶可以通過Switch A上運行的SFTP Suite B客戶端軟件(SSH2版本)安全地登錄到Switch B上,並被授予用戶角色network-admin進行配置管理;
· Switch B采用publickey認證方式對SFTP Suite B客戶端進行認證。
圖1-17 設備支持SFTP Suite B配置組網圖
· 在服務器的配置過程中需要指定服務器和客戶端的證書信息,因此需要首先完成證書的配置,再進行Suite B相關的服務器配置。
· 客戶端軟件支持Suite B的較少,OpenSSH的pkix版本通過修改可以實現。本文中僅以我司設備客戶端為例,說明SFTP Suite B客戶端的配置方法。
(1) 配置SFTP Suite B客戶端
# 客戶端和服務器證書生成後,需要將保存的證書文件ssh-server-ecdsa384.p12和ssh-client-ecdsa384.p12通過FTP/TFTP方式上傳到客戶端設備,具體過程略。
# 配置驗證服務器證書的PKI域。
<SwitchA> system-view
[SwitchA] pki domain server384
# 關閉CRL檢查。
[SwitchA-pki-domain-server384] undo crl check enable
[SwitchA-pki-domain-server384] quit
# 導入CA證書。
[SwitchA] pki import domain server384 p12 local filename ssh-server-ecdsa384.p12
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name[default name: server384]:
# 顯示導入CA證書信息。
[SwitchA] display pki certificate domain server384 local
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: ecdsa-with-SHA384
Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA
Validity
Not Before: Aug 20 10:08:41 2015 GMT
Not After : Aug 19 10:08:41 2016 GMT
Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=ssh server
Subject Public Key Info:
Public Key Algorithm: id-ecPublicKey
Public-Key: (384 bit)
pub:
04:4a:33:e5:99:8d:49:45:a7:a3:24:7b:32:6a:ed:
b6:36:e1:4d:cc:8c:05:22:f4:3a:7c:5d:b7:be:d1:
e6:9e:f0:ce:95:39:ca:fd:a0:86:cd:54:ab:49:60:
10:be:67:9f:90:3a:18:e2:7d:d9:5f:72:27:09:e7:
bf:7e:64:0a:59:bb:b3:7d:ae:88:14:94:45:b9:34:
d2:f3:93:e1:ba:b4:50:15:eb:e5:45:24:31:10:c7:
07:01:f9:dc:a5:6f:81
ASN1 OID: secp384r1
NIST CURVE: P-384
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
10:16:64:2C:DA:C1:D1:29:CD:C0:74:40:A9:70:BD:62:8A:BB:F4:D5
X509v3 Authority Key Identifier:
keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22
Signature Algorithm: ecdsa-with-SHA384
30:65:02:31:00:80:50:7a:4f:c5:cd:6a:c3:57:13:7f:e9:da:
c1:72:7f:45:30:17:c2:a7:d3:ec:73:3d:5f:4d:e3:96:f6:a3:
33:fb:e4:b9:ff:47:f1:af:9d:e3:03:d2:24:53:40:09:5b:02:
30:45:d1:bf:51:fd:da:22:11:90:03:f9:d4:05:ec:d6:7c:41:
fc:9d:a1:fd:5b:8c:73:f8:b6:4c:c3:41:f7:c6:7f:2f:05:2d:
37:f8:52:52:26:99:28:97:ac:6e:f9:c7:01
# 配置客戶端向服務器發送證書所在的PKI域。
[SwitchA] pki domain client384
#關閉CRL檢查。
[SwitchA-pki-domain-client384] undo crl check enable
[SwitchA-pki-domain-client384] quit
#導入CA證書。
[SwitchA] pki import domain client384 p12 local filename ssh-client-ecdsa384.p12
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name[default name: client384]:
# 顯示導入CA證書信息。
[SwitchA]display pki certificate domain client384 local
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 2 (0x2)
Signature Algorithm: ecdsa-with-SHA384
Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA
Validity
Not Before: Aug 20 10:10:59 2015 GMT
Not After : Aug 19 10:10:59 2016 GMT
Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=ssh client
Subject Public Key Info:
Public Key Algorithm: id-ecPublicKey
Public-Key: (384 bit)
pub:
04:85:7c:8b:f4:7a:36:bf:74:f6:7c:72:f9:08:69:
d0:b9:ac:89:98:17:c9:fc:89:94:43:da:9a:a6:89:
41:d3:72:24:9b:9a:29:a8:d1:ba:b4:e5:77:ba:fc:
df:ae:c6:dd:46:72:ab:bc:d1:7f:18:7d:54:88:f6:
b4:06:54:7e:e7:4d:49:b4:07:dc:30:54:4b:b6:5b:
01:10:51:6b:0c:6d:a3:b1:4b:c9:d9:6c:d6:be:13:
91:70:31:2a:92:00:76
ASN1 OID: secp384r1
NIST CURVE: P-384
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
BD:5F:8E:4F:7B:FE:74:03:5A:D1:94:DB:CA:A7:82:D6:F7:78:A1:B0
X509v3 Authority Key Identifier:
keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22
Signature Algorithm: ecdsa-with-SHA384
30:66:02:31:00:d2:06:fa:2c:0b:0d:f0:81:90:01:c3:3d:bf:
97:b3:79:d8:25:a0:e2:0e:ed:00:c9:48:3e:c9:71:43:c9:b4:
2a:a6:0a:27:80:9e:d4:0f:f2:db:db:5b:40:b1:a9:0a:e4:02:
31:00:ee:00:e1:07:c0:2f:12:3f:88:ea:fe:19:05:ef:56:ca:
33:71:75:5e:11:c9:a6:51:4b:3e:7c:eb:2a:4d:87:2b:71:7c:
30:64:fe:14:ce:06:d5:0a:e2:cf:9a:69:19:ff
# 配置VLAN接口2的IP地址。
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 192.168.0.2 255.255.255.0
[SwitchA-Vlan-interface2] quit
[SwitchA] quit
(2) 配置Stelnet Suite B服務器
# 服務器上配置證書的PKI域與客戶端相同,具體過程略。
# 配置服務器Suite B算法集。
[SwitchB] ssh2 algorithm key-exchange ecdh-sha2-nistp384
[SwitchB] ssh2 algorithm cipher aes256-gcm
[SwitchB] ssh2 algorithm public-key x509v3-ecdsa-sha2-nistp384
# 配置服務器證書所在的PKI域。
[SwitchB] ssh server pki-domain server384
# 開啟SFTP服務器功能。
[SwitchB] sftp server enable
# 配置VLAN接口2的IP地址,客戶端將通過該地址連接SFTP服務器。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 192.168.0.1 255.255.255.0
[SwitchB-Vlan-interface2] quit
# 設置SFTP客戶端登錄用戶線的認證方式為AAA認證。
[SwitchB] line vty 0 15
[SwitchB-line-vty0-15] authentication-mode scheme
[SwitchB-line-vty0-15] quit
# 創建設備管理類本地用戶client001,服務類型為SSH,用戶角色為network-admin。
[SwitchB] local-user client001 class manage
[SwitchB-luser-manage-client001] service-type ssh
[SwitchB-luser-manage-client001] authorization-attribute user-role network-admin
[SwitchB-luser-manage-client001] quit
# 設置SSH用戶client001的認證方式為publickey,並指定認證證書所在PKI域為client384。
[Switch] ssh user client001 service-type sftp authentication-type publickey assign pki-domain client384
(3) SFTP Suite B客戶端建立與SFTP Suite B服務器的連接
# 建立到服務器192.168.0.1的SSH連接。
<SwitchA> sftp 192.168.0.1 suite-b 192-bit pki-domain client384 server-pki-domain server384
Username: client001
Press CTRL+C to abort.
Connecting to 192.168.0.1 port 22.
sftp>
· 舉例中的設備運行於非FIPS模式下。
· 若設備運行於FIPS模式下,相關的配置和顯示信息將有所變化,請以設備的實際情況為準。設備作為服務器僅支持ECDSA、RSA密鑰對,請不要生成DSA密鑰對。
如下圖所示,Switch A作為SCP客戶端,Switch B作為SCP服務器。現有如下具體需求:
· 用戶能夠通過Switch A安全地安全地登錄到Switch B上,並被授予用戶角色network-admin與Switch B進行文件傳輸。
· Switch B采用password認證對SCP客戶端進行認證,客戶端的用戶名和密碼保存在Switch B上。
圖1-18 SCP文件傳輸配置組網圖
(1) 配置SCP服務器
# 生成RSA密鑰對。
<SwitchB> system-view
[SwitchB] public-key local create rsa
The range of public key modulus is (512 ~ 4096).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
# 生成DSA密鑰對。
[SwitchB] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+
...+.................+..........+...+.
Create the key pair successfully.
# 生成ECDSA密鑰對。
[SwitchB] public-key local create ecdsa secp256r1
Generating Keys...
.
Create the key pair successfully.
# 開啟SCP服務器功能。
[SwitchB] scp server enable
# 配置接口VLAN接口2的IP地址,客戶端將通過該地址連接SCP服務器。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 192.168.0.1 255.255.255.0
[SwitchB-Vlan-interface2] quit
# 創建設備管理類本地用戶client001,設置密碼,服務類型為SSH。
[SwitchB] local-user client001 class manage
[SwitchB-luser-manage-client001] password simple 123456TESTplat&!
[SwitchB-luser-manage-client001] service-type ssh
[SwitchB-luser-manage-client001] authorization-attribute user-role network-admin
[SwitchB-luser-manage-client001] quit
# 配置SSH用戶client001的服務類型為scp,認證方式為password認證。(此步驟可以不配置)
[SwitchB] ssh user client001 service-type scp authentication-type password
(2) 配置SCP客戶端
# 配置接口VLAN 2的IP地址。
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 192.168.0.2 255.255.255.0
[SwitchA-Vlan-interface2] quit
[SwitchA] quit
(3) SCP客戶端從SCP服務器下載文件
# 與遠程SCP服務器建立連接,並下載遠端的remote.bin文件,下載到本地後更名為local.bin。
<SwitchA> scp 192.168.0.1 get remote.bin local.bin
Username: client001
Press CTRL+C to abort.
Connecting to 192.168.0.1 port 22.
The server is not authenticated. Continue? [Y/N]:y
Do you want to save the server public key? [Y/N]:n
client001@192.168.0.1’s password:
remote.bin 100% 2875 2.8KB/s 00:00
如下圖所示,Device作為SCP客戶端,Switch作為SCP服務器。現有如下具體需求:
· 用戶能夠通過Device安全地登錄到Switch上,並被授予用戶角色network-admin與Switch 進行文件傳輸。
· Switch采用password認證對SCP客戶端進行認證,客戶端的用戶名和密碼保存在Switch上。
圖1-19 SCP文件傳輸配置組網圖
(1) 配置SCP服務器
# 生成RSA密鑰對。
<Switch> system-view
[Switch] public-key local create rsa
The range of public key modulus is (512 ~ 4096).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
# 生成DSA密鑰對。
[Switch] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+
...+.................+..........+...+.
Create the key pair successfully.
# 生成ECDSA密鑰對。
[Switch] public-key local create ecdsa secp256r1
Generating Keys...
.
Create the key pair successfully.
# 開啟SCP服務器功能。
[Switch] scp server enable
# 配置接口VLAN接口2的IP地址,客戶端將通過該地址連接SCP服務器。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.0.1 255.255.255.0
[Switch-Vlan-interface2] quit
# 創建設備管理類本地用戶client001,設置密碼,服務類型為SSH,用戶角色為network-admin,工作目錄為flash:/。
[Switch] local-user client001 class manage
[Switch-luser-manage-client001] password simple 123456TESTplat&!
[Switch-luser-manage-client001] service-type ssh
[Switch-luser-manage-client001] authorization-attribute user-role network-admin work-directory flash:/
[Switch-luser-manage-client001] quit
# 配置SSH用戶client001的服務類型為scp,認證方式為password認證。(此步驟可以不配置)
[Switch] ssh user client001 service-type scp authentication-type password
(2) 配置SCP客戶端
下麵以Linux係統的SCP客戶端為例,進行介紹說明。
# 與遠程SCP服務器建立連接,並下載遠端的remote.bin文件,下載到本地後更名為local.bin。
admin@device:~# scp client001@192.168.0.1:remote.bin local.bin
client001@192.168.0.1's password:
remote.bin 100% 15
0.0KB/s 00:00
· 配置Switch A作為SCP Suite B客戶端,用戶能夠通過Switch A安全地登錄到Switch B上
· SwitchB設備配置為Suite B服務器模式;
· 用戶可以通過Switch A上運行的SCP Suite B客戶端軟件(SSH2版本)安全地登錄到Switch B上,並被授予用戶角色network-admin進行配置管理;
· Switch B采用publickey認證方式對SCP Suite B客戶端進行認證。
圖1-20 設備支持SCP Suite B配置組網圖
· 在服務器的配置過程中需要指定服務器和客戶端的證書信息,因此需要首先完成證書的配置,再進行Suite B相關的服務器配置。
· 客戶端軟件支持Suite B的較少,OpenSSH的pkix版本通過修改可以實現。本文中僅以我司設備客戶端為例,說明SCP Suite B客戶端的配置方法。
(1) 配置SCP Suite B客戶端,導入兩種證書
# 客戶端和服務器證書生成後,需要將保存的證書文件ssh-server-ecdsa256.p12、ssh-client-ecdsa256.p12、ssh-server-ecdsa384.p12和ssh-client-ecdsa384.p12通過FTP/TFTP方式上傳到客戶端設備,具體過程略。
# 配置驗證服務器ecdsa256證書的PKI域。
<SwitchA> system-view
[SwitchA] pki domain server256
# 關閉CRL檢查。
[SwitchA-pki-domain-server256] undo crl check enable
[SwitchA-pki-domain-server256] quit
# 導入CA證書。
[SwitchA] pki import domain server256 p12 local filename ssh-server-ecdsa256.p12
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name[default name: server256]:
# 顯示導入CA證書信息。
[SwitchA] display pki certificate domain server256 local
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 3 (0x3)
Signature Algorithm: ecdsa-with-SHA256
Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA
Validity
Not Before: Aug 21 08:39:51 2015 GMT
Not After : Aug 20 08:39:51 2016 GMT
Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=SSH Server secp256
Subject Public Key Info:
Public Key Algorithm: id-ecPublicKey
Public-Key: (256 bit)
pub:
04:a2:b4:b4:66:1e:3b:d5:50:50:0e:55:19:8d:52:
6d:47:8c:3d:3d:96:75:88:2f:9a:ba:a2:a7:f9:ef:
0a:a9:20:b7:b6:6a:90:0e:f8:c6:de:15:a2:23:81:
3c:9e:a2:b7:83:87:b9:ad:28:c8:2a:5e:58:11:8e:
c7:61:4a:52:51
ASN1 OID: prime256v1
NIST CURVE: P-256
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
08:C1:F1:AA:97:45:19:6A:DA:4A:F2:87:A1:1A:E8:30:BD:31:30:D7
X509v3 Authority Key Identifier:
keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22
Signature Algorithm: ecdsa-with-SHA256
30:65:02:31:00:a9:16:e9:c1:76:f0:32:fc:4b:f9:8f:b6:7f:
31:a0:9f:de:a7:cc:33:29:27:2c:71:2e:f9:0d:74:cb:25:c9:
00:d2:52:18:7f:58:3f:cc:7e:8b:d3:42:65:00:cb:63:f8:02:
30:01:a2:f6:a1:51:04:1c:61:78:f6:6b:7e:f9:f9:42:8d:7c:
a7:bb:47:7c:2a:85:67:0d:81:12:0b:02:98:bc:06:1f:c1:3c:
9b:c2:1b:4c:44:38:5a:14:b2:48:63:02:2b
# 配置客戶端向服務器發送ecdsa256證書所在的PKI域。
[SwitchA] pki domain client256
# 關閉CRL檢查。
[SwitchA-pki-domain-client256] undo crl check enable
[SwitchA-pki-domain-client256] quit
# 導入CA證書。
[SwitchA] pki import domain client256 p12 local filename ssh-client-ecdsa256.p12
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name[default name: client256]:
# 顯示導入CA證書信息。
[SwitchA] display pki certificate domain client256 local
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 4 (0x4)
Signature Algorithm: ecdsa-with-SHA256
Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA
Validity
Not Before: Aug 21 08:41:09 2015 GMT
Not After : Aug 20 08:41:09 2016 GMT
Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=SSH Client secp256
Subject Public Key Info:
Public Key Algorithm: id-ecPublicKey
Public-Key: (256 bit)
pub:
04:da:e2:26:45:87:7a:63:20:e7:ca:7f:82:19:f5:
96:88:3e:25:46:f8:2f:9a:4c:70:61:35:db:e4:39:
b8:38:c4:60:4a:65:28:49:14:32:3c:cc:6d:cd:34:
29:83:84:74:a7:2d:0e:75:1c:c2:52:58:1e:22:16:
12:d0:b4:8a:92
ASN1 OID: prime256v1
NIST CURVE: P-256
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
1A:61:60:4D:76:40:B8:BA:5D:A1:3C:60:BC:57:98:35:20:79:80:FC
X509v3 Authority Key Identifier:
keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22
Signature Algorithm: ecdsa-with-SHA256
30:66:02:31:00:9a:6d:fd:7d:ab:ae:54:9a:81:71:e6:bb:ad:
5a:2e:dc:1d:b3:8a:bf:ce:ee:71:4e:8f:d9:93:7f:a3:48:a1:
5c:17:cb:22:fa:8f:b3:e5:76:89:06:9f:96:47:dc:34:87:02:
31:00:e3:af:2a:8f:d6:8d:1f:3a:2b:ae:2f:97:b3:52:63:b6:
18:67:70:2c:93:2a:41:c0:e7:fa:93:20:09:4d:f4:bf:d0:11:
66:0f:48:56:01:1e:c3:be:37:4e:49:19:cf:c6
# 配置驗證服務器ecdsa384證書的PKI域。
[SwitchA] pki domain server384
# 關閉CRL檢查。
[SwitchA-pki-domain-server384] undo crl check enable
[SwitchA-pki-domain-server384] quit
# 導入CA證書。
[SwitchA] pki import domain server384 p12 local filename ssh-server-ecdsa384.p12
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name[default name: server384]:
# 顯示導入CA證書信息。
[SwitchA] display pki certificate domain server384 local
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: ecdsa-with-SHA384
Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA
Validity
Not Before: Aug 20 10:08:41 2015 GMT
Not After : Aug 19 10:08:41 2016 GMT
Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=ssh server
Subject Public Key Info:
Public Key Algorithm: id-ecPublicKey
Public-Key: (384 bit)
pub:
04:4a:33:e5:99:8d:49:45:a7:a3:24:7b:32:6a:ed:
b6:36:e1:4d:cc:8c:05:22:f4:3a:7c:5d:b7:be:d1:
e6:9e:f0:ce:95:39:ca:fd:a0:86:cd:54:ab:49:60:
10:be:67:9f:90:3a:18:e2:7d:d9:5f:72:27:09:e7:
bf:7e:64:0a:59:bb:b3:7d:ae:88:14:94:45:b9:34:
d2:f3:93:e1:ba:b4:50:15:eb:e5:45:24:31:10:c7:
07:01:f9:dc:a5:6f:81
ASN1 OID: secp384r1
NIST CURVE: P-384
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
10:16:64:2C:DA:C1:D1:29:CD:C0:74:40:A9:70:BD:62:8A:BB:F4:D5
X509v3 Authority Key Identifier:
keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22
Signature Algorithm: ecdsa-with-SHA384
30:65:02:31:00:80:50:7a:4f:c5:cd:6a:c3:57:13:7f:e9:da:
c1:72:7f:45:30:17:c2:a7:d3:ec:73:3d:5f:4d:e3:96:f6:a3:
33:fb:e4:b9:ff:47:f1:af:9d:e3:03:d2:24:53:40:09:5b:02:
30:45:d1:bf:51:fd:da:22:11:90:03:f9:d4:05:ec:d6:7c:41:
fc:9d:a1:fd:5b:8c:73:f8:b6:4c:c3:41:f7:c6:7f:2f:05:2d:
37:f8:52:52:26:99:28:97:ac:6e:f9:c7:01
# 配置客戶端向服務器發送ecdsa384證書所在的PKI域。
[SwitchA] pki domain client384
# 關閉CRL檢查。
[SwitchA-pki-domain-client384] undo crl check enable
[SwitchA-pki-domain-client384] quit
# 導入CA證書。
[SwitchA] pki import domain client384 p12 local filename ssh-client-ecdsa384.p12
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name[default name: client384]:
# 顯示導入CA證書信息。
[SwitchA] display pki certificate domain client384 local
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 2 (0x2)
Signature Algorithm: ecdsa-with-SHA384
Issuer: C=CN, ST=Beijing, L=Beijing, O=H3C, OU=Software, CN=SuiteB CA
Validity
Not Before: Aug 20 10:10:59 2015 GMT
Not After : Aug 19 10:10:59 2016 GMT
Subject: C=CN, ST=Beijing, O=H3C, OU=Software, CN=ssh client
Subject Public Key Info:
Public Key Algorithm: id-ecPublicKey
Public-Key: (384 bit)
pub:
04:85:7c:8b:f4:7a:36:bf:74:f6:7c:72:f9:08:69:
d0:b9:ac:89:98:17:c9:fc:89:94:43:da:9a:a6:89:
41:d3:72:24:9b:9a:29:a8:d1:ba:b4:e5:77:ba:fc:
df:ae:c6:dd:46:72:ab:bc:d1:7f:18:7d:54:88:f6:
b4:06:54:7e:e7:4d:49:b4:07:dc:30:54:4b:b6:5b:
01:10:51:6b:0c:6d:a3:b1:4b:c9:d9:6c:d6:be:13:
91:70:31:2a:92:00:76
ASN1 OID: secp384r1
NIST CURVE: P-384
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
BD:5F:8E:4F:7B:FE:74:03:5A:D1:94:DB:CA:A7:82:D6:F7:78:A1:B0
X509v3 Authority Key Identifier:
keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22
Signature Algorithm: ecdsa-with-SHA384
30:66:02:31:00:d2:06:fa:2c:0b:0d:f0:81:90:01:c3:3d:bf:
97:b3:79:d8:25:a0:e2:0e:ed:00:c9:48:3e:c9:71:43:c9:b4:
2a:a6:0a:27:80:9e:d4:0f:f2:db:db:5b:40:b1:a9:0a:e4:02:
31:00:ee:00:e1:07:c0:2f:12:3f:88:ea:fe:19:05:ef:56:ca:
33:71:75:5e:11:c9:a6:51:4b:3e:7c:eb:2a:4d:87:2b:71:7c:
30:64:fe:14:ce:06:d5:0a:e2:cf:9a:69:19:ff
# 配置VLAN接口2的IP地址。
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 192.168.0.2 255.255.255.0
[SwitchA-Vlan-interface2] quit
(2) 配置SCP Suite B服務器,導入兩種證書
# 服務器上配置證書的PKI域與客戶端相同,具體過程略。
# 配置服務器Suite B算法集。
<SwitchB> system-view
[SwitchB] ssh2 algorithm key-exchange ecdh-sha2-nistp256 ecdh-sha2-nistp384
[SwitchB] ssh2 algorithm cipher aes128-gcm aes256-gcm
[SwitchB] ssh2 algorithm public-key x509v3-ecdsa-sha2-nistp256 x509v3-ecdsa-sha2-nistp384
# 開啟SCP服務器功能。
[SwitchB] scp server enable
# 配置VLAN接口2的IP地址,客戶端將通過該地址連接SFTP服務器。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 192.168.0.1 255.255.255.0
[SwitchB-Vlan-interface2] quit
# 設置SCP客戶端登錄用戶線的認證方式為AAA認證。
[SwitchB] line vty 0 15
[SwitchB-line-vty0-15] authentication-mode scheme
[SwitchB-line-vty0-15] quit
# 創建設備管理類本地用戶client001,服務類型為SSH,用戶角色為network-admin。
[SwitchB] local-user client001 class manage
[SwitchB-luser-manage-client001] service-type ssh
[SwitchB-luser-manage-client001] authorization-attribute user-role network-admin
[SwitchB-luser-manage-client001] quit
# 創建設備管理類本地用戶client002,服務類型為SSH,用戶角色為network-admin。
[SwitchB] local-user client002 class manage
[SwitchB-luser-manage-client002] service-type ssh
[SwitchB-luser-manage-client002] authorization-attribute user-role network-admin
[SwitchB-luser-manage-client002] quit
(3) SCP Suite B客戶端建立與SCP Suite B服務器的128-bit連接
# 配置服務器證書所在的PKI域。
[SwitchB]ssh server pki-domain server256
# 設置SSH用戶client001的認證方式為publickey,並指定認證證書所在PKI域為client256。
[Switch] ssh user client001 service-type scp authentication-type publickey assign pki-domain client256
# 建立到服務器192.168.0.1的SSH連接。
<SwitchA> scp 192.168.0.1 get src.cfg suite-b 128-bit pki-domain client256 server-pki
-domain server256
Username: client001
Press CTRL+C to abort.
Connecting to 192.168.0.1 port 22.
src.cfg 100% 4814 4.7KB/s 00:00
<SwitchA>
(4) SCP suite-b客戶端建立與SCP suite-b服務器的192-bit連接
# 配置服務器證書所在的PKI域。
[SwitchB] ssh server pki-domain server384
# 設置SSH用戶client002的認證方式為publickey,並指定認證證書所在PKI域為client384。
[Switch] ssh user client002 service-type scp authentication-type publickey assign pki-domain client384
# 建立到服務器192.168.0.1的SSH連接。
<SwitchA> scp 192.168.0.1 get src.cfg suite-b 192-bit pki-domain client384 server-pki
-domain server384
Username: client002
Press CTRL+C to abort.
Connecting to 192.168.0.1 port 22.
src.cfg 100% 4814 4.7KB/s 00:00
<SwitchA>
· 舉例中的設備運行於非FIPS模式下。
· 若設備運行於FIPS模式下,相關的配置和顯示信息將有所變化,請以設備的實際情況為準。設備作為服務器僅支持ECDSA、RSA密鑰對,請不要生成DSA密鑰對。
· 用戶可以通過Host上運行的支持NETCONF over SSH連接的SSH客戶端軟件(SSH2版本)安全地登錄到Switch上,並被授予用戶角色network-admin進行配置管理;
· Switch采用password認證方式對SSH客戶端進行認證,客戶端的用戶名和密碼保存在本地。
圖1-21 設備作為NETCONF over SSH服務器配置組網圖
# 生成RSA密鑰對。
<Switch> system-view
[Switch] public-key local create rsa
The range of public key modulus is (512 ~ 4096).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
# 生成DSA密鑰對。
[Switch] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+
...+.................+..........+...+.
Create the key pair successfully.
# 生成ECDSA密鑰對。
[Switch] public-key local create ecdsa secp256r1
Generating Keys...
.
Create the key pair successfully.
# 開啟NETCONF over SSH服務器功能。
[Switch] netconf ssh server enable
# 配置VLAN接口2的IP地址,客戶端將通過該地址連接NETCONF over SSH服務器。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.40 255.255.255.0
[Switch-Vlan-interface2] quit
# 設置NETCONF over SSH客戶端登錄用戶線的認證方式為AAA認證。
[Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit
# 創建設備管理類本地用戶client001,設置密碼,服務類型為SSH,用戶角色為network-admin。
[Switch] local-user client001 class manage
[Switch-luser-manage-client001] password simple 123456TESTplat&!
[Switch-luser-manage-client001] service-type ssh
[Switch-luser-manage-client001] authorization-attribute user-role network-admin
[Switch-luser-manage-client001] quit
# 配置SSH用戶client001的服務類型為NETCONF,認證方式為password認證。(此步驟可以不配置)
[Switch] ssh user client001 service-type netconf authentication-type password
用戶通過支持NETCONF over SSH連接的客戶端軟件與Switch建立NETCONF over SSH連接之後,可直接進入Switch的NETCONF配置模式。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
