- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-SSH命令
本章節下載: 08-SSH命令 (593.04 KB)
目 錄
1.1.2 display ssh user-information
1.1.5 sftp server idle-timeout
1.1.7 ssh server acl-deny-log enable
1.1.8 ssh server authentication-retries
1.1.9 ssh server authentication-timeout
1.1.10 ssh server compatible-ssh1x enable
1.1.17 ssh server rekey-interval
1.2.6 display sftp client source
1.2.7 display ssh client source
1.2.24 sftp client ipv6 source
1.3.3 ssh2 algorithm key-exchange
1.3.5 ssh2 algorithm public-key
display ssh server命令用來在SSH服務器端顯示該服務器的狀態信息或會話信息。
【命令】
display ssh server { session | status }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
session:顯示SSH服務器的會話信息。
status:顯示SSH服務器的狀態信息。
【舉例】
# 在SSH服務器端顯示該服務器的狀態信息。
<Sysname> display ssh server status
Stelnet server: Disable
SSH version : 2.0
SSH authentication-timeout : 60 second(s)
SSH server key generating interval : 0 hour(s)
SSH authentication retries : 3 time(s)
SFTP server: Disable
SFTP server Idle-Timeout: 10 minute(s)
NETCONF server: Disable
SCP server: Disable
SSH Server PKI domain name: aaa
表1-1 display ssh server status命令顯示信息描述表
|
字段 |
描述 |
|
Stelnet server |
Stelnet服務器功能的狀態 |
|
SSH version |
SSH協議版本 SSH服務器兼容SSH1時,協議版本為1.99;SSH服務器不兼容SSH1時,協議版本為2.0 |
|
SSH authentication-timeout |
認證超時時間 |
|
SSH server key generating interval |
RSA服務器密鑰對的最小更新間隔時間 |
|
SSH authentication retries |
SSH用戶認證嚐試的最大次數 |
|
SFTP server |
SFTP服務器功能的狀態 |
|
SFTP server Idle-Timeout |
SFTP用戶連接的空閑超時時間 |
|
NETCONF server |
NETCONF over SSH服務器功能的狀態 |
|
SCP server |
SCP服務器功能的狀態 |
|
SSH Server PKI domain name |
SSH服務器PKI域配置 |
# 在SSH服務器端顯示該服務器的會話信息。
<Sysname> display ssh server session
UserPid SessID Ver Encrypt State Retries Serv Username Idx
184 0 2.0 aes128-cbc Established 1 Stelnet abc@123
表1-2 display ssh server session顯示信息描述表
|
字段 |
描述 |
|
UserPid |
用戶進程PID |
|
SessID |
會話ID |
|
Ver |
SSH客戶端的協議版本 |
|
Encrypt |
SSH服務器本端使用的加密算法 |
|
State |
會話狀態,包括: · Init:初始化狀態 · Ver-exchange:版本協商 · Keys-exchange:密鑰交換 · Auth-request:用戶認證 · Serv-request:服務請求 · Established:會話已經建立 · Disconnected:斷開會話 |
|
Retries |
認證失敗的次數 |
|
Serv |
服務類型,包括SCP、SFTP、Stelnet和NETCONF |
|
Username |
客戶端登錄服務器時采用的用戶名 |
|
Idx |
客戶端登錄服務器時采用的用戶線的絕對編號,當未進行重定向連接時,顯示為空 |
display ssh user-information命令用來在SSH服務器端顯示SSH用戶的信息。
【命令】
display ssh user-information [ username ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
username:SSH用戶名,為1~80個字符的字符串,區分大小寫。如果沒有指定本參數,則顯示所有SSH用戶的信息。
【使用指導】
本命令僅用來顯示SSH服務器端通過ssh user命令配置的SSH用戶信息。
【舉例】
# 顯示所有SSH用戶的信息。
<Sysname> display ssh user-information
Total ssh users:2
Username Authentication-type User-public-key-name Service-type
yemx password Stelnet
test publickey pubkey SFTP
表1-3 display ssh user-information顯示信息描述表
|
字段 |
描述 |
|
Total ssh users |
SSH用戶的總數 |
|
Username |
用戶名 |
|
Authentication-type |
認證類型,取值包括password、publickey、password-publickey和any |
|
User-public-key-name |
用戶公鑰名稱 如果認證類型為password,則該字段顯示為空 |
|
Service-type |
服務類型,取值包括all、SCP、SFTP、Stelnet和NETCONF |
【相關命令】
· ssh user
scp server enable命令用來開啟SCP服務器功能。
undo scp server enable命令用來關閉SCP服務器功能。
【命令】
scp server enable
undo scp server enable
【缺省情況】
SCP服務器功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【舉例】
# 開啟SCP服務器功能。
<Sysname> system-view
[Sysname] scp server enable
【相關命令】
· display ssh server
sftp server enable命令用來開啟SFTP服務器功能。
undo sftp server enable命令用來關閉SFTP服務器功能。
【命令】
sftp server enable
undo sftp server enable
【缺省情況】
SFTP服務器功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【舉例】
# 開啟SFTP服務器功能。
<Sysname> system-view
[Sysname] sftp server enable
【相關命令】
· display ssh server
sftp server idle-timeout命令用來在SFTP服務器端設置SFTP用戶連接的空閑超時時間。
undo sftp server idle-timeout命令用來恢複缺省情況。
【命令】
sftp server idle-timeout time-out-value
undo sftp server idle-timeout
【缺省情況】
SFTP用戶連接的空閑超時時間為10分鍾。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-out-value:超時時間,取值範圍為1~35791,單位為分鍾。
【使用指導】
當SFTP用戶連接的空閑時間超過設定的閾值後,係統會自動斷開此用戶的連接,從而有效避免用戶長期占用連接而不進行任何操作。若同一時間內並發的SFTP連接數較多,可適當減小該值,及時釋放係統資源給新用戶接入。
【舉例】
# 設置SFTP用戶連接的空閑超時時間為500分鍾。
<Sysname> system-view
[Sysname] sftp server idle-timeout 500
【相關命令】
· display ssh server
ssh server acl命令用來設置對IPv4 SSH客戶端的訪問控製。
undo ssh server acl命令用來恢複缺省情況。
【命令】
ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }
undo ssh server acl
【缺省情況】
允許所有IPv4 SSH客戶端向設備發起SSH訪問。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
advanced-acl-number:指定IPv4高級ACL,取值範圍為3000~3999。
basic-acl-number:指定IPv4基本ACL,取值範圍為2000~2999。
mac acl-number:指定二層ACL。acl-number是二層ACL的編號,取值範圍為4000~4999。
【使用指導】
對IPv4 SSH客戶端的訪問控製通過引用ACL來實現,具體情況如下:
· 當引用的ACL不存在或者引用的ACL為空時,不允許IPv4 SSH客戶端訪問設備。
· 當引用的ACL非空時,則隻有匹配ACL中permit規則的IPv4 SSH客戶端可以訪問設備,其他客戶端不可以訪問設備。
該配置生效後,隻會過濾新建立的SSH連接,不會影響已建立的SSH連接。
對於IPv4 SSH客戶端,本命令不能設置對NETCONF over SSH客戶端的訪問控製。如果用戶需要設置對NETCONF over SSH客戶端的訪問控製,請使用netconf ssh acl命令設置訪問控製。有關netconf ssh acl命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“NETCONF”。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 隻允許IPv4地址為1.1.1.1的SSH客戶端向設備發起SSH訪問。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] ssh server acl 2001
【相關命令】
· display ssh server
ssh server acl-deny-log enable命令用來開啟匹配ACL deny規則後打印日誌信息功能。
undo ssh server acl-deny-log enable命令用來關閉匹配ACL deny規則後打印日誌信息功能。
【命令】
ssh server acl-deny-log enable
undo ssh server acl-deny-log enable
【缺省情況】
匹配ACL deny規則後打印日誌信息功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
通過配置ssh server acl和ssh server ipv6 acl命令,可限製SSH客戶端對設備的訪問。此時,通過配置ssh server acl-deny-log enable命令,設備可以記錄匹配deny規則的IP用戶的登錄日誌,用戶可以查看非法登錄的地址信息。
執行本配置後,SSH客戶端匹配ACL deny規則時,將產生日誌信息。生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。
【舉例】
# 開啟匹配ACL deny規則後打印日誌信息功能。
<Sysname> system-view
[Sysname] ssh server acl-deny-log enable
【相關命令】
· ssh server acl
· ssh server ipv6 acl
ssh server authentication-retries命令用來設置允許SSH用戶認證嚐試的最大次數。
undo ssh server authentication-retries命令用來恢複缺省情況。
【命令】
ssh server authentication-retries retries
undo ssh server authentication-retries
【缺省情況】
允許SSH用戶認證嚐試的最大次數為3次。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
retries:指定每個SSH用戶認證嚐試的最大次數,取值範圍為1~5。
【使用指導】
通過本命令可以限製用戶嚐試登錄的次數,防止非法用戶對用戶名和密碼進行惡意地猜測和破解。
如果用戶的認證次數超過了最大認證次數,還未認證成功,則不再允許認證。不同認證方式的認證次數統計方式有所不同,具體統計方式請參考如下:
· 在any認證方式下,認證次數是指SSH客戶端通過publickey和password兩種方式進行認證嚐試的次數總和。
· 對於password-publickey認證方式,設備首先對SSH用戶進行publickey認證,然後進行password認證,這個過程為一次認證嚐試,而不是兩次認證嚐試。
該配置不會影響已經登錄的SSH用戶,僅對新登錄的SSH用戶生效。
【舉例】
# 指定允許SSH用戶認證嚐試的最大次數為4。
<Sysname> system-view
[Sysname] ssh server authentication-retries 4
【相關命令】
· display ssh server
ssh server authentication-timeout命令用來在SSH服務器端設置SSH用戶的認證超時時間。
undo ssh server authentication-timeout命令用來恢複缺省情況。
【命令】
ssh server authentication-timeout time-out-value
undo ssh server authentication-timeout
【缺省情況】
SSH用戶的認證超時時間為60秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-out-value:認證超時時間,取值範圍為1~120,單位為秒。
【使用指導】
如果SSH用戶在設置的認證超時時間內沒有完成認證,SSH服務器就拒絕該用戶的連接。
為了防止不法用戶建立起TCP連接後,不進行接下來的認證,而占用係統資源,妨礙其它合法用戶的正常登錄,可以適當調小SSH用戶認證超時時間。
【舉例】
# 設置SSH用戶認證超時時間為10秒。
<Sysname> system-view
[Sysname] ssh server authentication-timeout 10
【相關命令】
· display ssh server
ssh server compatible-ssh1x enable命令用來設置SSH服務器兼容SSH1版本的客戶端。
undo ssh server compatible-ssh1x [ enable ]命令用來恢複缺省情況。
【命令】
ssh server compatible-ssh1x enable
undo ssh server compatible-ssh1x [ enable ]
【缺省情況】
SSH服務器不兼容SSH1版本的客戶端。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
該配置不會影響已經登錄的SSH用戶,僅對新登錄的SSH用戶生效。
執行undo命令時,指定enable和不指定enable均表示恢複缺省情況。
【舉例】
# 配置服務器兼容SSH1版本的客戶端。
<Sysname> system-view
[Sysname] ssh server compatible-ssh1x enable
【相關命令】
· display ssh server
ssh server dscp命令用來設置IPv4 SSH服務器向SSH客戶端發送的報文的DSCP優先級。
undo ssh server dscp命令用來恢複缺省情況。
【命令】
ssh server dscp dscp-value
undo ssh server dscp
【缺省情況】
IPv4 SSH報文的DSCP優先級為48。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
dscp-value:IPv4 SSH報文的DSCP優先級,取值範圍為0~63。取值越大,優先級越高。
【使用指導】
DSCP攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
【舉例】
# 配置IPv4 SSH服務器向SSH客戶端發送的報文的DSCP優先級為30。
<Sysname> system-view
[Sysname] ssh server dscp 30
ssh server enable命令用來開啟Stelnet服務器功能。
undo ssh server enable命令用來關閉Stelnet服務器功能。
【命令】
ssh server enable
undo ssh server enable
【缺省情況】
Stelnet服務器功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【舉例】
# 開啟Stelnet服務器功能。
<Sysname> system-view
[Sysname] ssh server enable
【相關命令】
· display ssh server
ssh server ipv6 acl命令用來設置對IPv6 SSH客戶端的訪問控製。
undo ssh server ipv6 acl命令用來恢複缺省情況。
【命令】
ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }
undo ssh server ipv6 acl
【缺省情況】
允許所有IPv6 SSH客戶端向設備發起SSH訪問。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:指定IPv6 ACL。
advanced-acl-number:指定IPv6高級ACL,取值範圍為3000~3999。
basic-acl-number:指定IPv6基本ACL,取值範圍為2000~2999。
mac acl-number:指定二層ACL。acl-number是二層ACL的編號,取值範圍為4000~4999。
【使用指導】
對IPv6 SSH客戶端的訪問控製通過引用ACL來實現,具體情況如下:
· 當引用的ACL不存在、或者引用的ACL為空時,不允許IPv6 SSH客戶端訪問設備。
· 當引用的ACL非空時,則隻有匹配ACL中permit規則的IPv6 SSH客戶端可以訪問設備,其他客戶端不可以訪問設備。
該配置生效後,隻會過濾新建立的SSH連接,不會影響已建立的SSH連接。
對於IPv6 SSH客戶端,本命令不能設置對NETCONF over SSH客戶端的訪問控製。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 隻允許1::1/64網段內的SSH客戶端向設備發起SSH訪問。
<Sysname> system-view
[Sysname] acl ipv6 basic 2001
[Sysname-acl-ipv6-basic-2001] rule permit source 1::1 64
[Sysname-acl-ipv6-basic-2001] quit
[Sysname] ssh server ipv6 acl ipv6 2001
【相關命令】
· display ssh server
ssh server ipv6 dscp命令用來設置IPv6 SSH服務器向SSH客戶端發送的報文的DSCP優先級。
undo ssh server ipv6 dscp命令用來恢複缺省情況。
【命令】
ssh server ipv6 dscp dscp-value
undo ssh server ipv6 dscp
【缺省情況】
IPv6 SSH報文的DSCP優先級為48。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
dscp-value:IPv6 SSH報文的DSCP優先級,取值範圍為0~63。取值越大,優先級越高。
【使用指導】
DSCP攜帶在IPv6報文中的Trafic class字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
【舉例】
# 配置IPv6 SSH服務器向SSH客戶端發送的報文的DSCP優先級為30。
<Sysname> system-view
[Sysname] ssh server ipv6 dscp 30
ssh server pki-domain命令用來配置服務器所屬的PKI域。
undo ssh server pki-domain命令用來恢複缺省情況。
【命令】
ssh server pki-domain domain-name
undo ssh server pki-domain
【缺省情況】
未配置服務器所屬的PKI域。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:驗證服務端的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【舉例】
# 配置SSH服務器所屬的PKI域為serverpkidomain。
<Sysname> system-view
[Sysname] ssh server pki-domain serverpkidomain
ssh server port命令用來配置SSH服務的端口號。
undo ssh server port命令用來恢複缺省情況。
【命令】
ssh server port port-number
undo ssh server port
【缺省情況】
SSH服務的端口號為22。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
port-number:SSH服務的端口號,取值範圍為1~65535。
【使用指導】
· 如果修改端口號前SSH服務是開啟的,則修改端口號後係統會自動重啟SSH服務,正在訪問的用戶將被斷開,用戶需要重新建立SSH連接後才可以繼續訪問。
· 如果使用1~1024之間的知名端口號,有可能會導致其他服務啟動失敗。
【舉例】
# 配置SSH服務的端口號為1025。
<Sysname> system-view
[Sysname] ssh server port 1025
ssh server rekey-interval命令用來設置RSA服務器密鑰對的最小更新間隔時間。
undo ssh server rekey-interval命令用來恢複缺省情況。
【命令】
ssh server rekey-interval interval
undo ssh server rekey-interval
【缺省情況】
RSA服務器密鑰對的最小更新間隔時間為0,表示係統不更新RSA服務器密鑰對。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interval:服務器密鑰對的最小更新間隔時間,取值範圍為1~24,單位為小時。
【使用指導】
通過定時更新服務器密鑰對,可以防止對密鑰對的惡意猜測和破解,從而提高了SSH連接的安全性。
配置該命令後,從首個SSH1用戶登錄開始,SSH服務器需要等待後續有新的SSH1用戶登錄,才會更新當前的RSA服務器密鑰對,然後使用新的RSA服務器密鑰對與新登錄的這個SSH1用戶進行密鑰對的協商,其中等待的最小時長就為此處配置的最小更新間隔時間。之後,重複此過程,直到下一個新的SSH1用戶登錄才會再次觸發RSA服務器密鑰的更新。
本配置僅對SSH客戶端版本為SSH1的用戶有效。
【舉例】
# 設置RSA服務器密鑰對的最小更新間隔時間為3小時。
<Sysname> system-view
[Sysname] ssh server rekey-interval 3
【相關命令】
· display ssh server
ssh user命令用來創建SSH用戶,並指定SSH用戶的服務類型和認證方式。
undo ssh user命令用來刪除SSH用戶。
【命令】
ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | { any | password-publickey | publickey } [ assign { pki-domain domain-name | publickey keyname } ] }
undo ssh user username
【缺省情況】
不存在SSH用戶。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
username:SSH用戶名,為1~80個字符的字符串,區分大小寫。用戶名不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為“a”、“al”、“all”。其中,“@”、“\”和“/”僅用於作為用戶名的ISP域名分隔符,具體使用形式為:pureusername@domain、pureusername/domain、domain\pureusername。當創建SCP服務類型的用戶時,用戶名中請不要包含短橫杠-,否則使用此用戶名進行SCP登錄會失敗。
service-type:SSH用戶的服務類型。包括:
· all:包括scp、sftp、stelnet和netconf四種服務類型。
· scp:服務類型為SCP(Secure Copy的簡稱)。
· sftp:服務類型為SFTP(Secure FTP的簡稱)。
· stelnet:服務類型為Stelnet(Secure Telnet的簡稱)。
· netconf:服務類型為NETCONF。
authentication-type:SSH用戶的認證方式。包括:
· password:強製指定該用戶的認證方式為password。該認證方式的加密機製簡單,加密速度快,可結合AAA(Authentication, Authorization, Accounting,認證、授權、計費)實現對用戶認證、授權和計費,但容易受到攻擊。
· any:不指定用戶的認證方式,用戶既可以采用password認證,也可以采用publickey認證。
· password-publickey:指定客戶端版本為SSH2的用戶認證方式為必須同時進行password和publickey兩種認證,安全性更高;客戶端版本為SSH1的用戶認證方式為隻要進行其中一種認證即可。
· publickey:強製指定該用戶的認證方式為publickey。該認證方式的加密速度相對較慢,但認證強度高,不易受到暴力猜測密碼等攻擊方式的影響,而且具有較高的易用性。一次配置成功後,後續認證過程自動完成,不需要用戶記憶和輸入密碼。
assign:指定用於驗證客戶端的參數。
· pki-domain domain-name:指定驗證客戶端證書的PKI域。domain-name表示PKI域的名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。服務器端使用保存在該PKI域中的CA證書對客戶端證書進行合法性檢查,無需提前保存客戶端的公鑰,能夠靈活滿足大數量客戶端的認證需求。
· publickey keyname:指定SSH客戶端的公鑰。keyname表示已經配置的客戶端公鑰名稱,為1~64個字符的字符串,不區分大小寫。服務器端使用提前保存在本地的用戶公鑰對用戶進行合法性檢查,如果客戶端密鑰文件改變,服務器端需要及時更新本地配置。
【使用指導】
SSH用戶的配置與服務器端采用的認證方式有關,具體如下:
· 如果服務器采用了publickey認證,則必須在設備上創建相應的SSH用戶,以及同名的本地用戶(用於下發授權屬性:工作目錄、用戶角色)。
· 如果服務器采用了password認證,則必須在設備上創建相應的本地用戶(適用於本地認證),或在遠程服務器(如RADIUS服務器,適用於遠程認證)上創建相應的SSH用戶。這種情況下,並不需要通過本配置創建相應的SSH用戶,如果創建了SSH用戶,則必須保證指定了正確的服務類型以及認證方式。
· 如果服務器采用了password-publickey或any認證,則必須在設備上創建相應的SSH用戶,以及在設備上創建同名的本地用戶(適用於本地認證)或者在遠程認證服務器上創建同名的SSH用戶(如RADIUS服務器,適用於遠程認證)。
SCP或SFTP用戶登錄時使用的工作目錄與用戶使用的認證方式有關:
· 采用publickey或password-publickey認證方式的用戶,使用的工作目錄為對應的本地用戶視圖下通過authorization-attribute命令設置的工作目錄。
· 隻采用password認證方式的用戶,使用的工作目錄為通過AAA授權的工作目錄。
SSH用戶登錄時擁有的用戶角色與用戶使用的認證方式有關:
· 采用publickey或password-publickey認證方式的用戶,用戶角色為對應的本地用戶視圖下通過authorization-attribute命令設置的用戶角色。
· 采用password認證方式的用戶,用戶角色為通過AAA授權的用戶角色。
使用該命令為用戶指定公鑰或PKI域時,以最後一次指定的公鑰或PKI域為準。若不指定pki-domain和publickey,則表示該用戶采用證書認證方式登錄,服務器使用其所屬的PKI域來驗證客戶端的證書。
對SSH用戶配置的修改,不會影響已經登錄的SSH用戶,僅對新登錄的用戶生效。
【舉例】
# 創建SSH用戶user1,配置user1的服務類型為SFTP,認證方式為password-publickey,並指定客戶端公鑰為key1。
<Sysname> system-view
[Sysname] ssh user user1 service-type sftp authentication-type password-publickey assign publickey key1
# 創建設備管理類本地用戶user1,配置用戶密碼為明文123456TESTplat&!,服務類型為SSH,授權工作目錄為flash:,授權用戶角色為network-admin。
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
[Sysname-luser-manage-user1] service-type ssh
[Sysname-luser-manage-user1] authorization-attribute work-directory flash: user-role network-admin
【相關命令】
· authorization-attribute(用戶接入與認證命令參考/AAA)
· display ssh user-information
· local-user(用戶接入與認證命令參考/AAA)
· pki domain(安全命令參考/PKI)
bye命令用來終止與遠程SFTP服務器的連接,並退回到用戶視圖。
【命令】
bye
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【使用指導】
該命令功能與exit、quit相同。
【舉例】
# 終止與遠程SFTP服務器的連接。
sftp> bye
<Sysname>
cd命令用來改變遠程SFTP服務器上的工作路徑。
【命令】
cd [ remote-path ]
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
remote-path:目的工作路徑的名稱。
【使用指導】
命令“cd ..”用來返回到上一級目錄。
命令“cd /”用來返回到係統的根目錄。
【舉例】
# 改變工作路徑到new1。
sftp> cd new1
Current Directory is:/new1
sftp> pwd
Remote working directory: /new1
sftp>
cdup命令用來返回到上一級目錄。
【命令】
cdup
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【舉例】
# 從當前工作目錄/test1返回到上一級目錄。
sftp> cd test1
Current Directory is:/test1
sftp> pwd
Remote working directory: /test1
sftp> cdup
Current Directory is:/
sftp> pwd
Remote working directory: /
sftp>
delete命令用來刪除SFTP服務器上指定的文件。
【命令】
delete remote-file
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
remote-file:要刪除的文件的名稱。
【使用指導】
該命令和remove功能相同。
【舉例】
# 刪除服務器上的文件temp.c。
sftp> delete temp.c
Removing /temp.c
dir命令用來顯示指定目錄下文件及文件夾的信息。
【命令】
dir [ -a | -l ] [ remote-path ]
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
-a:以列表的形式顯示指定目錄下文件及文件夾的詳細信息,其中包括以“.”開頭的文件及文件夾的詳細信息。
-l:以列表的形式顯示指定目錄下文件及文件夾的詳細信息,但不包括以“.”開頭的文件及文件夾的詳細信息。
remote-path:查詢的目錄名。如果沒有指定remote-path,則顯示當前工作目錄下文件及文件夾的信息。
【使用指導】
如果沒有指定-a和-l參數,則顯示指定目錄下文件及文件夾的名稱。
該命令功能與ls相同。
【舉例】
# 以列表的形式顯示當前工作目錄下文件及文件夾的詳細信息,其中包括以“.”開頭的文件及文件夾的詳細信息。
sftp> dir -a
drwxrwxrwx 2 1 1 512 Dec 18 14:12 .
drwxrwxrwx 2 1 1 512 Dec 18 14:12 ..
-rwxrwxrwx 1 1 1 301 Dec 18 14:11 010.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 011.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 012.pub
# 以列表的形式顯示當前工作目錄下文件及文件夾的詳細信息,但不包括以“.”開頭的文件及文件夾的詳細信息。
sftp> dir -l
-rwxrwxrwx 1 1 1 301 Dec 18 14:11 010.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 011.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 012.pub
display sftp client source命令用來顯示SFTP客戶端的源IP地址配置。
【命令】
display sftp client source
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示SFTP客戶端的源IP地址配置。
<Sysname> display sftp client source
The source IP address of the SFTP client is 192.168.0.1.
The source IPv6 address of the SFTP client is 2:2::2:2.
【相關命令】
· sftp client ipv6 source
· sftp client source
display ssh client source命令用來顯示STelnet客戶端的源IP地址配置。
【命令】
display ssh client source
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示STelnet客戶端的源IP地址配置。
<Sysname> display ssh client source
The source IP address of the SSH client is 192.168.0.1.
The source IPv6 address of the SSH client is 2:2::2:2.
【相關命令】
· ssh client ipv6 source
· ssh client source
exit命令用來終止與遠程SFTP服務器的連接,並退回到用戶視圖。
【命令】
exit
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
該命令功能與bye、quit相同。
【舉例】
# 終止與遠程SFTP服務器的連接。
sftp> exit
<Sysname>
get命令用來從遠程SFTP服務器上下載文件並存儲在本地。
【命令】
get remote-file [ local-file ]
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
remote-file:遠程SFTP服務器上的文件名。
local-file:本地文件名。如果沒有指定本地文件名,則認為本地保存文件的文件名與服務器上的文件名相同。
【舉例】
# 下載遠程服務器上的temp1.c文件,並以文件名temp.c在本地保存。
sftp> get temp1.c temp.c
Fetching /temp1.c to temp.c
/temp.c 100% 1424 1.4KB/s 00:00
help命令用來顯示SFTP客戶端命令的幫助信息。
【命令】
help
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【使用指導】
鍵入?和執行help命令的功能相同。
【舉例】
# 查看幫助信息。
sftp> help
Available commands:
bye Quit sftp
cd [path] Change remote directory to 'path'
cdup Change remote directory to the parent directory
delete path Delete remote file
dir [-a|-l][path] Display remote directory listing
-a List all filenames
-l List filename including the specific
information of the file
exit Quit sftp
get remote-path [local-path] Download file
help Display this help text
ls [-a|-l][path] Display remote directory
-a List all filenames
-l List filename including the specific
information of the file
mkdir path Create remote directory
put local-path [remote-path] Upload file
pwd Display remote working directory
quit Quit sftp
rename oldpath newpath Rename remote file
remove path Delete remote file
rmdir path Delete remote empty directory
? Synonym for help
ls命令用來顯示指定目錄下文件及文件夾的信息。
【命令】
ls [ -a | -l ] [ remote-path ]
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
-a:以列表的形式顯示指定目錄下文件及文件夾的詳細信息,其中包括以“.”開頭的文件及文件夾的詳細信息。
-l:以列表的形式顯示指定目錄下文件及文件夾的詳細信息,但不包括以“.”開頭的文件及文件夾的詳細信息。
remote-path:查詢的目錄名。如果沒有指定remote-path,則顯示當前工作目錄下文件及文件夾的信息。
【使用指導】
如果沒有指定-a和-l參數,則顯示指定目錄下文件及文件夾的名稱。
該命令功能與dir相同。
【舉例】
# 以列表的形式顯示當前工作目錄下文件及文件夾的詳細信息,其中包括以“.”開頭的文件及文件夾的詳細信息。
sftp> ls -a
drwxrwxrwx 2 1 1 512 Dec 18 14:12 .
drwxrwxrwx 2 1 1 512 Dec 18 14:12 ..
-rwxrwxrwx 1 1 1 301 Dec 18 14:11 010.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 011.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 012.pub
# 以列表的形式顯示當前工作目錄下文件及文件夾的詳細信息,但不包括以“.”開頭的文件及文件夾的詳細信息。
sftp> ls -l
-rwxrwxrwx 1 1 1 301 Dec 18 14:11 010.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 011.pub
-rwxrwxrwx 1 1 1 301 Dec 18 14:12 012.pub
mkdir命令用來在遠程SFTP服務器上創建新的目錄。
【命令】
mkdir remote-path
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
remote-path:遠程SFTP服務器上的目錄名。
【舉例】
# 在遠程SFTP服務器上建立目錄test。
sftp> mkdir test
put命令用來將本地的文件上傳到遠程SFTP服務器。
【命令】
put local-file [ remote-file ]
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
local-file:本地的文件名。
remote-file:遠程SFTP服務器上的文件名。如果沒有指定遠程服務器上的文件名,則認為服務器上保存文件的文件名與本地的文件名相同。
【舉例】
# 將本地startup.bak文件上傳到遠程SFTP服務器,並以startup01.bak文件名保存。
sftp> put startup.bak startup01.bak
Uploading startup.bak to /startup01.bak
startup01.bak 100% 1424 1.4KB/s 00:00
pwd命令用來顯示遠程SFTP服務器上的當前工作目錄。
【命令】
pwd
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【舉例】
# 顯示遠程SFTP服務器上的當前工作目錄。
sftp> pwd
Remote working directory: /
以上顯示信息表示當前的工作目錄為根目錄。
quit命令用來終止與遠程SFTP服務器的連接,並退回到用戶視圖。
【命令】
quit
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【使用指導】
該命令功能與bye、exit相同。
【舉例】
# 終止與遠程SFTP服務器的連接。
sftp> quit
<Sysname>
remove命令用來刪除遠程SFTP服務器上指定的文件。
【命令】
remove remote-file
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
remote-file:要刪除的文件的名稱。
【使用指導】
該命令和delete命令相同。
【舉例】
# 刪除遠程SFTP服務器上的文件temp.c。
sftp> remove temp.c
Removing /temp.c
rename命令用來改變遠程SFTP服務器上指定的文件或者文件夾的名字。
【命令】
rename old-name new-name
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
old-name:原文件名或者文件夾名。
new-name:新文件名或者文件夾名。
【舉例】
# 將遠程SFTP服務器上的文件temp1.c改名為temp2.c。
sftp> dir
aa.pub temp1.c
sftp> rename temp1.c temp2.c
sftp> dir
aa.pub temp2.c
rmdir命令用來刪除遠程SFTP服務器上指定的目錄。
【命令】
rmdir remote-path
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
remote-path:遠程SFTP服務器上的目錄名。
【舉例】
# 刪除SFTP服務器上當前工作目錄下的temp1目錄。
sftp> rmdir temp1
scp命令用來與遠程的SCP服務器建立連接,並進行文件傳輸。
【命令】
scp server [ port-number ] { get | put } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv4地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
get:指定下載文件操作。
put:指定上傳文件操作。
source-file-name:源文件名稱,為1~255個字符的字符串,區分大小寫。
destination-file-name:目的文件名稱,為1~255個字符的字符串,區分大小寫。若未指定該參數,則表示使用源文件的名稱作為目的文件名稱。
identity-key:客戶端publickey認證時采用的公鑰算法,缺省算法為dsa。如果服務器采用publickey認證,必須指定該參數。客戶端使用指定算法的本地私鑰生成數字簽名或證書。
· dsa:公鑰算法為DSA。
· ecdsa-sha2-nistp256:指定公鑰長度為256的ECDSA算法。
· ecdsa-sha2-nistp384:指定公鑰長度為384的ECDSA算法。
· rsa:公鑰算法為RSA。
· x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公鑰算法。
· x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公鑰算法。
· pki-domain domain-name:指定客戶端證書的PKI域,為1~31個字符的字符串,不區分大小寫,公鑰算法為x509v3時,指定客戶端證書所在PKI域名稱,才能得到正確的本地證書。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省不支持壓縮。
zlib:壓縮算法ZLIB。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128-ctr。des-cbc、3des-cbc、aes128-cbc、aes128-ctr、aes128-gcm、aes192-ctr、aes256-cbc、aes256-ctr、aes256-gcm算法的安全強度和運算花費時間依次遞增。
· 3des-cbc:3DES-CBC加密算法。
· aes128-cbc:128位的AES-CBC加密算法。
· aes128-ctr:128位AES-CTR加密算法。
· aes128-gcm:128位AES-GCM加密算法。
· aes192-ctr:192位AES-CTR加密算法。
· aes256-cbc:256位的AES-CBC加密算法。
· aes256-ctr:256位AES-CTR加密算法。
· aes256-gcm:256位AES-GCM加密算法。
· des-cbc:DES-CBC加密算法。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha2-256。md5、md5-96、sha1、sha1-96、sha2-256、sha2-512算法的安全強度和運算花費時間依次遞增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
· sha2-256:HMAC算法HMAC-SHA2-256。
· sha2-512:HMAC算法HMAC-SHA2-512。
prefer-kex:密鑰交換首選算法,缺省算法為ecdh-sha2-nistp256。dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全強度和運算花費時間依次遞增。
· dh-group-exchange-sha1:密鑰交換算法diffie-hellman-group-exchange-sha1。
· dh-group1-sha1:密鑰交換算法diffie-hellman-group1-sha1。
· dh-group14-sha1:密鑰交換算法diffie-hellman-group14-sha1。
· ecdh-sha2-nistp256:密鑰交換算法ecdh-sha2-nistp256。
· ecdh-sha2-nistp384:密鑰交換算法ecdh-sha2-nistp384。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128-ctr。支持的加密算法與客戶端到服務器端的首選加密算法相同。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha2-256。支持的加密算法與客戶端到服務器端的首選HMAC算法相同。
public-key keyname:指定服務器端的主機公鑰,用於驗證服務器端的身份。其中,keyname表示已經配置的主機公鑰名稱,為1~64個字符的字符串,不區分大小寫。
server-pki-domain domain-name:指定驗證服務端證書的PKI域。其中,domain-name表示驗證服務端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
source:指定與服務器通信的源IPv4地址或者源接口。缺省情況下,報文源IPv4地址為根據路由表項查找的發送此報文的出接口的主IPv4地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者Loopback接口、Dialer接口的IPv4地址作為源IPv4地址。
interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv4地址作為發送報文的源IP地址。
ip ip-address:指定源IPv4地址。
當客戶端采用證書認證時,需要校驗服務端證書是否正確,就需要通過server-pki-domain指定服務端證書所在的PKI域名稱,這樣才能獲取正確驗證服務器證書。客戶端使用保存在該PKI域中的CA證書對服務器證書進行合法性檢查,無需提前保存服務器的公鑰。如果客戶端沒有指定驗證服務端證書所在的PKI域,則缺省使用客戶端證書所在的PKI域進行驗證。
當設備作為SCP服務器,SCP客戶端在指定destination-file-name參數時,支持以下兩種方式指定目標文件名稱:
· 指定destination-file-name為目標文件名稱且不攜帶文件路徑,此時源文件將從服務器下載至客戶端的當前工作目錄或從客戶端上傳至服務器的當前工作目錄。比如,需要將服務器上的remote.bin文件下載到客戶端的當前工作目錄並改名為local.bin,可以將destination-file-name直接指定為local.bin。
· 指定destination-file-name為目標文件名稱並攜帶文件路徑,此時源文件將從服務器下載至客戶端的指定文件路徑或從客戶端上傳至服務器的指定文件路徑,同時將文件名稱改為目標文件名稱。比如,需要將服務器上的remote.bin文件下載到客戶端的指定路徑flash:/logfile下,並將文件名稱修改為local.bin。可以將destination-file-name指定為flash:/logfile/local.bin或者logfile/local.bin。
【舉例】
# SCP客戶端采用publickey認證方式,登錄地址為200.1.1.1的遠程SCP服務器,下載名為abc.txt的文件,采用如下連接策略,並指定服務器端的公鑰名稱為svkey:
· 首選密鑰交換算法為dh-group14-sha1;
· 服務器到客戶端的首選加密算法為aes128-cbc;
· 客戶端到服務器的首選HMAC算法為sha1;
· 服務器到客戶端的HMAC算法為sha1-96;
· 服務器與客戶端之間的首選壓縮算法為zlib。
<Sysname> scp 200.1.1.1 get abc.txt prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey
scp ipv6命令用來與遠程的IPv6 SCP服務器建立連接,並進行文件傳輸。
【命令】
scp ipv6 server [ port-number ] [ -i interface-type interface-number ] { get | put } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv6地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
-i interface-type interface-number:當前SCP客戶端連接所使用的出接口的接口類型和接口編號。此參數用於SCP服務器的地址是鏈路本地地址的情況,而且指定的出接口必需具有鏈路本地地址。
get:指定下載文件操作。
put:指定上傳文件操作。
source-file-name:源文件名稱,為1~255個字符的字符串,區分大小寫。
destination-file-name:目的文件名稱,為1~255個字符的字符串,區分大小寫。不指定該參數時,表示使用源文件的名稱作為目的文件名稱。
identity-key:客戶端publickey認證時采用的公鑰算法,缺省算法為dsa。如果服務器采用publickey認證,必須指定該參數。客戶端使用指定算法的本地私鑰生成數字簽名或證書。
· dsa:公鑰算法為DSA。
· ecdsa-sha2-nistp256:指定公鑰長度為256的ECDSA算法。
· ecdsa-sha2-nistp384:指定公鑰長度為384的ECDSA算法。
· rsa:公鑰算法為RSA。
· x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公鑰算法。
· x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公鑰算法。
· pki-domain domain-name:指定客戶端證書的PKI域,為1~31個字符的字符串,不區分大小寫,公鑰算法為x509v3時,指定客戶端證書所在PKI域名稱,才能得到正確的本地證書。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省不支持壓縮。
zlib:壓縮算法ZLIB。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128-ctr。des-cbc、3des-cbc、aes128-cbc、aes128-ctr、aes128-gcm、aes192-ctr、aes256-cbc、aes256-ctr、aes256-gcm算法的安全強度和運算花費時間依次遞增。
· 3des-cbc:3DES-CBC加密算法。
· aes128-cbc:128位的AES-CBC加密算法。
· aes128-ctr:128位AES-CTR加密算法。
· aes128-gcm:128位AES-GCM加密算法。
· aes192-ctr:192位AES-CTR加密算法。
· aes256-cbc:256位的AES-CBC加密算法。
· aes256-ctr:256位AES-CTR加密算法。
· aes256-gcm:256位AES-GCM加密算法。
· des-cbc:DES-CBC加密算法。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha2-256。md5、md5-96、sha1、sha1-96、sha2-256、sha2-512算法的安全強度和運算花費時間依次遞增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
· sha2-256:HMAC算法HMAC-SHA2-256。
· sha2-512:HMAC算法HMAC-SHA2-512。
prefer-kex:密鑰交換首選算法,缺省算法為ecdh-sha2-nistp256。dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全強度和運算花費時間依次遞增。
· dh-group-exchange-sha1:密鑰交換算法diffie-hellman-group-exchange-sha1。
· dh-group1-sha1:密鑰交換算法diffie-hellman-group1-sha1。
· dh-group14-sha1:密鑰交換算法diffie-hellman-group14-sha1。
· ecdh-sha2-nistp256:密鑰交換算法ecdh-sha2-nistp256。
· ecdh-sha2-nistp384:密鑰交換算法ecdh-sha2-nistp384。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128-ctr。支持的加密算法與客戶端到服務器端的首選加密算法相同。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha2-256。支持的加密算法與客戶端到服務器端的首選HMAC算法相同。
public-key keyname:指定服務器端的主機公鑰,用於驗證服務器端的身份。其中,keyname表示已經配置的主機公鑰名稱,為1~64個字符的字符串,不區分大小寫。
server-pki-domain domain-name:指定驗證服務端證書的PKI域。其中,domain-name表示驗證服務端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
source:指定與服務器通信的源IPv6地址或者源接口。缺省情況下,設備根據RFC 3484的規則自動選擇一個源IPv6地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者Loopback接口、Dialer接口的IPv6地址作為源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv6地址作為發送報文的源IP地址。
ipv6 ipv6-address:指定源IPv6地址。
【使用指導】
當客戶端采用證書認證時,需要校驗服務端證書是否正確,就需要通過server-pki-domain指定服務端證書所在的PKI域名稱,這樣才能獲取正確驗證服務器證書。客戶端使用保存在該PKI域中的CA證書對服務器證書進行合法性檢查,無需提前保存服務器的公鑰。如果客戶端沒有指定驗證服務端證書所在的PKI域,則缺省使用客戶端證書所在的PKI域進行驗證。
當設備作為IPv6 SCP服務器,SCP客戶端在指定destination-file-name參數時,支持以下兩種方式指定目標文件名稱:
· 指定destination-file-name為目標文件名稱且不攜帶文件路徑,此時源文件將從服務器下載至客戶端的當前工作目錄或從客戶端上傳至服務器的當前工作目錄。比如,需要將服務器上的remote.bin文件下載到客戶端的當前工作目錄並改名為local.bin,可以將destination-file-name直接指定為local.bin。
· 指定destination-file-name為目標文件名稱並攜帶文件路徑,此時源文件將從服務器下載至客戶端的指定文件路徑或從客戶端上傳至服務器的指定文件路徑,同時將文件名稱改為目標文件名稱。比如,需要將服務器上的remote.bin文件下載到客戶端的指定路徑flash:/logfile下,並將文件名稱修改為local.bin。可以將destination-file-name指定為flash:/logfile/local.bin或者logfile/local.bin。
【舉例】
# SCP客戶端采用publickey認證方式,登錄地址為2000::1的遠程SCP服務器,下載名為abc.txt的文件,采用如下連接策略,並指定服務器端的公鑰名稱為svkey:
· 首選密鑰交換算法為dh-group14-sha1;
· 服務器到客戶端的首選加密算法為aes128-cbc;
· 客戶端到服務器的首選HMAC算法為sha1;
· 服務器到客戶端的HMAC算法為sha1-96;
· 服務器與客戶端之間的首選壓縮算法為zlib。
<Sysname> scp ipv6 2000::1 get abc.txt prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey
scp ipv6 suite-b命令用來與遠程的ipv6 SCP服務器建立基於Suite B算法集的連接,並進行文件傳輸。
【命令】
scp ipv6 server [ port-number ] [ -i interface-type interface-number ] { get | put } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv6地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
-i interface-type interface-number:當前SCP客戶端連接所使用的出接口的接口類型和接口編號。本參數用於SCP服務器的地址是鏈路本地地址的情況,而且指定的出接口必須具有鏈路本地地址。
get:指定下載文件操作。
put:指定上傳文件操作。
source-file-name:源文件名稱,為1~255個字符的字符串,區分大小寫。
destination-file-name:目的文件名稱,為1~255個字符的字符串,區分大小寫。若未指定本參數,則表示使用源文件名稱作為目的文件名稱。
suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit參數,則表示同時采用128-bit和192-bit的算法集。
128-bit:指定客戶端采用安全級別為128-bit的Suite B算法集。
192-bit:指定客戶端采用安全級別為192-bit的Suite B算法集。
pki-domain domain-name:配置客戶端證書的PKI域。domain-name為客戶端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
server-pki-domain domain-name:配置驗證服務端證書的PKI域。domain-name為驗證服務端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客戶端沒有指定驗證服務端證書所在的PKI域,則缺省使用客戶端證書所在的PKI域進行驗證。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省情況下,不支持壓縮。
zlib:壓縮算法ZLIB。
source:指定與服務器通信的源IPv6地址或者源接口。缺省情況下,設備根據RFC 3484的規則自動選擇一個源IPv6地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者Loopback接口、Dialer接口的IPv6地址作為源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv6地址作為發送報文的源IPv6地址。
ipv6 ipv6-address:指定源IPv6地址。
【使用指導】
當客戶端采用安全級別為128-bit的Suite B算法集與遠程的SCP服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp256;
· 服務器到客戶端的加密算法為aes128-gcm;
· 客戶端到服務器的加密算法為aes128-gcm;
· 服務器到客戶端的HMAC算法為aes128-gcm;
· 客戶端到服務器的HMAC算法為aes128-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp256。
當客戶端采用安全級別為192-bit的Suite B算法集與遠程的SCP服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp384;
· 服務器到客戶端的加密算法為aes256-gcm;
· 客戶端到服務器的加密算法為aes256-gcm;
· 服務器到客戶端的HMAC算法為aes256-gcm;
· 客戶端到服務器的HMAC算法為aes256-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp384。
當客戶端未采用安全級別為128-bit和192-bit的Suite B算法集與遠程的SCP服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp256、ecdh-sha2-nistp384;
· 服務器到客戶端的加密算法為aes128-gcm、aes256-gcm;
· 客戶端到服務器的加密算法為aes128-gcm、aes256-gcm;
· 服務器到客戶端的HMAC算法為aes128-gcm、aes256-gcm;
· 客戶端到服務器的HMAC算法為aes128-gcm、aes256-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
【舉例】
# SCP客戶端采用安全級別為192-bit的Suite B算法集,與登錄地址為2000::1的遠程SCP服務器建立連接,下載名為abc.txt的文件,采用如下連接策略:指定客戶端證書的PKI域名稱為clientpkidomain,指定驗證服務端證書的PKI域名稱為serverpkidomain。
<Sysname> scp ipv6 2000::1 get abc.txt suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain
Username:
scp suite-b命令用來與遠程的SCP服務器建立基於Suite B算法集的連接,並進行文件傳輸。
【命令】
scp server [ port-number ] { get | put } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ip ip-address } ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv4地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
get:指定下載文件操作。
put:指定上傳文件操作。
source-file-name:源文件名稱,為1~255個字符的字符串,區分大小寫。
destination-file-name:目的文件名稱,為1~255個字符的字符串,區分大小寫。若未指定本參數,則表示使用源文件名稱作為目的文件名稱。
suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit參數,則表示同時采用128-bit和192-bit的算法集。
128-bit:指定客戶端采用安全級別為128-bit的Suite B算法集。
192-bit:指定客戶端采用安全級別為192-bit的Suite B算法集。
pki-domain domain-name:配置客戶端證書的PKI域。domain-name為客戶端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
server-pki-domain domain-name:配置驗證服務端證書的PKI域。domain-name為驗證服務端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客戶端沒有指定驗證服務端證書所在的PKI域,則缺省使用客戶端證書所在的PKI域進行驗證。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省情況下,不支持壓縮。
zlib:壓縮算法ZLIB。
source:指定與服務器通信的源IP地址或者源接口。缺省情況下,設備根據路由表項自動選擇一個源IPv4地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者Loopback接口、Dialer接口的IP地址作為源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv4地址作為發送報文的源IP地址。
ip ip-address:指定源IPv4地址。
【使用指導】
當客戶端采用安全級別為128-bit的Suite B算法集與遠程的SCP服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp256;
· 服務器到客戶端的加密算法為aes128-gcm;
· 客戶端到服務器的加密算法為aes128-gcm;
· 服務器到客戶端的HMAC算法為aes128-gcm;
· 客戶端到服務器的HMAC算法為aes128-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp256。
當客戶端采用安全級別為192-bit的Suite B算法集與遠程的SCP服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp384;
· 服務器到客戶端的加密算法為aes256-gcm;
· 客戶端到服務器的加密算法為aes256-gcm;
· 服務器到客戶端的HMAC算法為aes256-gcm;
· 客戶端到服務器的HMAC算法為aes256-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp384。
當客戶端未采用安全級別為128-bit和192-bit的Suite B算法集與遠程的SCP服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp256、ecdh-sha2-nistp384;
· 服務器到客戶端的加密算法為aes128-gcm、aes256-gcm;
· 客戶端到服務器的加密算法為aes128-gcm、aes256-gcm;
· 服務器到客戶端的HMAC算法為aes128-gcm、aes256-gcm;
· 客戶端到服務器的HMAC算法為aes128-gcm、aes256-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
【舉例】
# SCP客戶端采用安全級別為128-bit的Suite B算法集,與登錄地址為200.1.1.1的遠程SCP服務器建立連接,下載名為abc.txt的文件,采用如下連接策略:指定客戶端證書的PKI域名稱為clientpkidomain,指定驗證服務端證書的PKI域名稱為serverpkidomain。
<Sysname> scp 200.1.1.1 get abc.txt suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain
Username:
sftp命令用來與遠程IPv4 SFTP服務器建立連接,並進入SFTP客戶端視圖。
【命令】
sftp server [ port-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器IPv4地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
identity-key:客戶端publickey認證時采用的公鑰算法,缺省算法為dsa。如果服務器采用publickey認證,必須指定該參數。客戶端使用指定算法的本地私鑰生成數字簽名或證書。
· dsa:公鑰算法為DSA。
· ecdsa-sha2-nistp256:指定公鑰長度為256的ECDSA算法。
· ecdsa-sha2-nistp384:指定公鑰長度為384的ECDSA算法。
· rsa:公鑰算法為RSA。
· x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公鑰算法。
· x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公鑰算法。
· pki-domain domain-name:指定客戶端證書的PKI域,為1~31個字符的字符串,不區分大小寫,公鑰算法為x509v3時,指定客戶端證書所在PKI域名稱,才能得到正確的本地證書。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省不支持壓縮。
zlib:壓縮算法ZLIB。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128-ctr。des-cbc、3des-cbc、aes128-cbc、aes128-ctr、aes128-gcm、aes192-ctr、aes256-cbc、aes256-ctr、aes256-gcm算法的安全強度和運算花費時間依次遞增。
· 3des-cbc:3DES-CBC加密算法。
· aes128-cbc:128位的AES-CBC加密算法。
· aes128-ctr:128位AES-CTR加密算法。
· aes128-gcm:128位AES-GCM加密算法。
· aes192-ctr:192位AES-CTR加密算法。
· aes256-cbc:256位的AES-CBC加密算法。
· aes256-ctr:256位AES-CTR加密算法。
· aes256-gcm:256位AES-GCM加密算法。
· des-cbc:DES-CBC加密算法。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha2-256。md5、md5-96、sha1、sha1-96、sha2-256、sha2-512算法的安全強度和運算花費時間依次遞增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
· sha2-256:HMAC算法HMAC-SHA2-256。
· sha2-512:HMAC算法HMAC-SHA2-512。
prefer-kex:密鑰交換首選算法,缺省算法為ecdh-sha2-nistp256。dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全強度和運算花費時間依次遞增。
· dh-group-exchange-sha1:密鑰交換算法diffie-hellman-group-exchange-sha1。
· dh-group1-sha1:密鑰交換算法diffie-hellman-group1-sha1。
· dh-group14-sha1:密鑰交換算法diffie-hellman-group14-sha1。
· ecdh-sha2-nistp256:密鑰交換算法ecdh-sha2-nistp256。
· ecdh-sha2-nistp384:密鑰交換算法ecdh-sha2-nistp384。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128-ctr。支持的加密算法與客戶端到服務器端的首選加密算法相同。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha2-256。支持的加密算法與客戶端到服務器端的首選HMAC算法相同。
dscp dscp-value:指定客戶端發送的SFTP報文中攜帶的DSCP優先級,取值範圍為0~63,缺省值為48。DSCP攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
public-key keyname:指定服務器端的主機公鑰,用於驗證服務器端的身份。其中,keyname表示已經配置的主機公鑰名稱,為1~64個字符的字符串,不區分大小寫。
server-pki-domain domain-name:指定驗證服務端證書的PKI域。其中,domain-name表示驗證服務端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
source:指定與服務器通信的源IPv4地址或者源接口。缺省情況下,報文源IPv4地址為根據路由表項查找的發送此報文的出接口的主IPv4地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者Loopback接口、Dialer接口的IPv4地址作為源IPv4地址。
interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將采用該接口的主IPv4地址作為發送報文的源IP地址。
ip ip-address:指定源IPv4地址。
【使用指導】
當客戶端采用證書認證時,需要校驗服務端證書是否正確,就需要通過server-pki-domain指定服務端證書所在的PKI域名稱,這樣才能獲取正確驗證服務器證書。客戶端使用保存在該PKI域中的CA證書對服務器證書進行合法性檢查,無需提前保存服務器的公鑰。如果客戶端沒有指定驗證服務端證書所在的PKI域,則缺省使用客戶端證書所在的PKI域進行驗證。
【舉例】
# SFTP客戶端采用publickey認證方式,連接IP地址為10.1.1.2的SFTP服務器,采用如下連接策略,並指定服務器端的公鑰名稱為svkey:
· 首選密鑰交換算法為dh-group14-sha1;
· 服務器到客戶端的首選加密算法為aes128-cbc;
· 客戶端到服務器的首選HMAC算法為sha1;
· 服務器到客戶端的HMAC算法為sha1-96;
· 服務器與客戶端之間的首選壓縮算法為zlib。
<Sysname> sftp 10.1.1.2 prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey
sftp client ipv6 source命令用來配置SFTP客戶端發送SFTP報文使用的源IPv6地址。
undo sftp client ipv6 source命令用來恢複缺省情況。
【命令】
sftp client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }
undo sftp client ipv6 source
【缺省情況】
未配置SFTP客戶端使用的源IPv6地址,設備自動選擇IPv6 SFTP報文的源IPv6地址,具體選擇原則請參見RFC 3484。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:指定接口下與報文目的地址最匹配的IPv6地址作為源地址。interface-type interface-number表示源接口類型與源接口編號。
ipv6 ipv6-address:指定源IPv6地址。
【使用指導】
sftp client ipv6 source命令指定的源地址對所有的SFTP連接有效,sftp ipv6命令指定的源地址隻對當前的SFTP連接有效。
使用該命令指定了源地址後,若SFTP用戶使用sftp ipv6命令登錄時又指定了源地址,則采用sftp ipv6命令中指定的源地址。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 指定SFTP客戶端發送SFTP報文使用的源IPv6地址為2:2::2:2。
<Sysname> system-view
[Sysname] sftp client ipv6 source ipv6 2:2::2:2
【相關命令】
· display sftp client source
sftp client source命令用來配置SFTP客戶端發送SFTP報文使用的源IPv4地址。
undo sftp client source命令用來恢複缺省情況。
【命令】
sftp client source { interface interface-type interface-number | ip ip-address }
undo sftp client source
【缺省情況】
未配置SFTP客戶端使用的源IPv4地址,SFTP客戶端發送SFTP報文使用的源IPv4地址為根據路由表項查找的發送此報文的出接口的主IP地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:指定接口的主IP地址作為源地址。interface-type interface-number表示源接口類型與源接口編號。
ip ip-address:指定源IP地址。
【使用指導】
sftp client source命令指定的源地址對所有的SFTP連接有效,sftp命令指定的源地址隻對當前的SFTP連接有效。
使用該命令指定了源地址後,若SFTP用戶使用sftp命令登錄時又指定了源地址,則采用sftp命令中指定的源地址。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 指定SFTP客戶端發送SFTP報文使用的源IP地址為192.168.0.1。
<Sysname> system-view
[Sysname] sftp client source ip 192.168.0.1
【相關命令】
· display sftp client source
sftp ipv6命令用來建立SFTP客戶端和與遠程IPv6 SFTP服務器建立連接,並進入SFTP客戶端視圖。
【命令】
sftp ipv6 server [ port-number ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv6地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
-i interface-type interface-number:客戶端連接服務器時使用的出接口。其中,interface-type interface-number表示接口類型和接口編號。本參數僅在客戶端所連接的服務器的地址是鏈路本地地址時使用。指定的出接口必須具有鏈路本地地址。
identity-key:客戶端publickey認證時采用的公鑰算法,缺省算法為dsa。如果服務器采用publickey認證,必須指定該參數。客戶端使用指定算法的本地私鑰生成數字簽名或證書。
· dsa:公鑰算法為DSA。
· ecdsa-sha2-nistp256:指定公鑰長度為256的ECDSA算法。
· ecdsa-sha2-nistp384:指定公鑰長度為384的ECDSA算法。
· rsa:公鑰算法為RSA。
· x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公鑰算法。
· x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公鑰算法。
· pki-domain domain-name:指定客戶端證書的PKI域,為1~31個字符的字符串,不區分大小寫,公鑰算法為x509v3時,指定客戶端證書所在PKI域名稱,才能得到正確的本地證書。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省不支持壓縮。
zlib:壓縮算法ZLIB。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128-ctr。des-cbc、3des-cbc、aes128-cbc、aes128-ctr、aes128-gcm、aes192-ctr、aes256-cbc、aes256-ctr、aes256-gcm算法的安全強度和運算花費時間依次遞增。
· 3des-cbc:3DES-CBC加密算法。
· aes128-cbc:128位的AES-CBC加密算法。
· aes128-ctr:128位AES-CTR加密算法。
· aes128-gcm:128位AES-GCM加密算法。
· aes192-ctr:192位AES-CTR加密算法。
· aes256-cbc:256位的AES-CBC加密算法。
· aes256-ctr:256位AES-CTR加密算法。
· aes256-gcm:256位AES-GCM加密算法。
· des-cbc:DES-CBC加密算法。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha2-256。md5、md5-96、sha1、sha1-96、sha2-256、sha2-512算法的安全強度和運算花費時間依次遞增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
· sha2-256:HMAC算法HMAC-SHA2-256。
· sha2-512:HMAC算法HMAC-SHA2-512。
prefer-kex:密鑰交換首選算法,缺省算法為ecdh-sha2-nistp256。dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全強度和運算花費時間依次遞增。
· dh-group-exchange-sha1:密鑰交換算法diffie-hellman-group-exchange-sha1。
· dh-group1-sha1:密鑰交換算法diffie-hellman-group1-sha1。
· dh-group14-sha1:密鑰交換算法diffie-hellman-group14-sha1。
· ecdh-sha2-nistp256:密鑰交換算法ecdh-sha2-nistp256。
· ecdh-sha2-nistp384:密鑰交換算法ecdh-sha2-nistp384。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128-ctr。支持的加密算法與客戶端到服務器端的首選加密算法相同。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha2-256。支持的加密算法與客戶端到服務器端的首選HMAC算法相同。
dscp dscp-value:指定客戶端發送的IPv6 SFTP報文中攜帶的DSCP優先級,取值範圍為0~63,缺省值為48。DSCP攜帶在IPv6報文中的Trafic class字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
public-key keyname:指定服務器端的主機公鑰,用於驗證服務器端的身份。其中,keyname表示已經配置的主機公鑰名稱,為1~64個字符的字符串,不區分大小寫。
server-pki-domain domain-name:指定驗證服務端證書的PKI域。其中,domain-name表示驗證服務端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
source:指定與服務器通信的源IPv6地址或者源接口。缺省情況下,設備根據RFC 3484的規則自動選擇一個源IPv6地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者Loopback接口、Dialer接口的IPv6地址作為源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv6地址作為發送報文的源IP地址。
ipv6 ipv6-address:指定源IPv6地址。
【使用指導】
當客戶端采用證書認證時,需要校驗服務端證書是否正確,就需要通過server-pki-domain指定服務端證書所在的PKI域名稱,這樣才能獲取正確驗證服務器證書。客戶端使用保存在該PKI域中的CA證書對服務器證書進行合法性檢查,無需提前保存服務器的公鑰。如果客戶端沒有指定驗證服務端證書所在的PKI域,則缺省使用客戶端證書所在的PKI域進行驗證。
【舉例】
# SFTP客戶端采用publickey認證方式,連接IPv6地址為2000::1的SFTP服務器,采用如下連接策略,並指定服務器端的公鑰名稱為svkey:
· 首選密鑰交換算法為dh-group14-sha1;
· 服務器到客戶端的首選加密算法為aes128-cbc;
· 客戶端到服務器的首選HMAC算法為sha1;
· 服務器到客戶端的HMAC算法為sha1-96;
· 服務器與客戶端之間的首選壓縮算法為zlib。
<Sysname> sftp ipv6 2000::1 prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey
Username:
sftp ipv6 suite-b命令用來與遠程的IPv6 SFTP服務器建立基於Suite B算法集的連接,並進入SFTP客戶端視圖。
【命令】
sftp ipv6 server [ port-number ] [ -i interface-type interface-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ipv6 ipv6-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv6地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
-i interface-type interface-number:客戶端連接服務器時使用的出接口。其中,interface-type interface-number表示接口類型和接口編號。本參數僅在客戶端所連接的服務器的地址是鏈路本地地址時使用。指定的出接口必須具有鏈路本地地址。
suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit參數,則表示同時采用128-bit和192-bit的算法集。
128-bit:指定客戶端采用安全級別為128-bit的Suite B算法集。
192-bit:指定客戶端采用安全級別為192-bit的Suite B算法集。
pki-domain domain-name:配置客戶端證書的PKI域。domain-name為客戶端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
server-pki-domain domain-name:配置驗證服務端證書的PKI域。domain-name為驗證服務端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客戶端沒有指定驗證服務端證書所在的PKI域,則缺省使用客戶端證書所在的PKI域進行驗證。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省情況下,不支持壓縮。
zlib:壓縮算法ZLIB。
dscp dscp-value:指定客戶端發送的IPv6 SFTP報文中攜帶的DSCP優先級,取值範圍為0~63,缺省值為48。DSCP攜帶在IPv6報文中的Traffic class字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
source:指定與服務器通信的源IPv6地址或者源接口。缺省情況下,設備根據RFC 3484的規則自動選擇一個源IPv6地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者Loopback接口、Dialer接口的IPv6地址作為源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv6地址作為發送報文的源IPv6地址。
ipv6 ipv6-address:指定源IPv6地址。
【使用指導】
當客戶端采用安全級別為128-bit的Suite B算法集與遠程的SFTP服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp256;
· 服務器到客戶端的加密算法為aes128-gcm;
· 客戶端到服務器的加密算法為aes128-gcm;
· 服務器到客戶端的HMAC算法為aes128-gcm;
· 客戶端到服務器的HMAC算法為aes128-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp256。
當客戶端采用安全級別為192-bit的Suite B算法集與遠程的SFTP服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp384;
· 服務器到客戶端的加密算法為aes256-gcm;
· 客戶端到服務器的加密算法為aes256-gcm;
· 服務器到客戶端的HMAC算法為aes256-gcm;
· 客戶端到服務器的HMAC算法為aes256-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp384。
當客戶端未采用安全級別為128-bit和192-bit的Suite B算法集與遠程的SFTP服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp256、ecdh-sha2-nistp384;
· 服務器到客戶端的加密算法為aes128-gcm、aes256-gcm;
· 客戶端到服務器的加密算法為aes128-gcm、aes256-gcm;
· 服務器到客戶端的HMAC算法為aes128-gcm、aes256-gcm;
· 客戶端到服務器的HMAC算法為aes128-gcm、aes256-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
【舉例】
# SFTP客戶端采用安全級別為192-bit的Suite B算法集,與登錄地址為2000::1的遠程SFTP服務器建立連接,采用如下連接策略:指定客戶端證書的PKI域名稱為clientpkidomain,指定驗證服務端證書的PKI域名稱為serverpkidomain。
<Sysname> sftp ipv6 2000::1 suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain
Username:
sftp suite-b命令用來與遠程的IPv4 SFTP服務器建立基於Suite B算法集的連接,並進入SFTP客戶端視圖。
【命令】
sftp server [ port-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ip ip-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv4地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit參數,則表示同時采用128-bit和192-bit的算法集。
128-bit:指定客戶端采用安全級別為128-bit的Suite B算法集。
192-bit:指定客戶端采用安全級別為192-bit的Suite B算法集。
pki-domain domain-name:配置客戶端證書的PKI域。domain-name為客戶端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
server-pki-domain domain-name:配置驗證服務端證書的PKI域。domain-name為驗證服務端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客戶端沒有指定驗證服務端證書所在的PKI域,則缺省使用客戶端證書所在的PKI域進行驗證。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省情況下,不支持壓縮。
zlib:壓縮算法ZLIB。
dscp dscp-value:指定客戶端發送的SFTP報文中攜帶的DSCP優先級,取值範圍為0~63,缺省值為48。DSCP攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
source:指定與服務器通信的源IP地址或者源接口。缺省情況下,設備根據路由表項自動選擇一個源IPv4地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者Loopback接口、Dialer接口的IP地址作為源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv4地址作為發送報文的源IP地址。
ip ip-address:指定源IPv4地址。
【使用指導】
當客戶端采用安全級別為128-bit的Suite B算法集與遠程的SFTP服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp256;
· 服務器到客戶端的加密算法為aes128-gcm;
· 客戶端到服務器的加密算法為aes128-gcm;
· 服務器到客戶端的HMAC算法為aes128-gcm;
· 客戶端到服務器的HMAC算法為aes128-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp256。
當客戶端采用安全級別為192-bit的Suite B算法集與遠程的SFTP服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp384;
· 服務器到客戶端的加密算法為aes256-gcm;
· 客戶端到服務器的加密算法為aes256-gcm;
· 服務器到客戶端的HMAC算法為aes256-gcm;
· 客戶端到服務器的HMAC算法為aes256-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp384。
當客戶端未采用安全級別為128-bit和192-bit的Suite B算法集與遠程的SFTP服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp256、ecdh-sha2-nistp384;
· 服務器到客戶端的加密算法為aes128-gcm、aes256-gcm;
· 客戶端到服務器的加密算法為aes128-gcm、aes256-gcm;
· 服務器到客戶端的HMAC算法為aes128-gcm、aes256-gcm;
· 客戶端到服務器的HMAC算法為aes128-gcm、aes256-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
【舉例】
# SFTP客戶端采用安全級別為128-bit的Suite B算法集,與登錄地址為10.1.1.2的遠程SFTP服務器建立連接,采用如下連接策略:指定客戶端證書的PKI域名稱為clientpkidomain,指定驗證服務端證書的PKI域名稱為serverpkidomain。
<Sysname> sftp 10.1.1.2 suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain
Username:
ssh client ipv6 source命令用來為配置Stelnet客戶端發送SSH報文使用的源IPv6地址。
undo ssh client ipv6 source命令用來恢複缺省情況。
【命令】
ssh client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }
undo ssh client ipv6 source
【缺省情況】
未配置Stelnet客戶端使用的源IPv6地址,設備自動選擇IPv6 SSH報文的源IPv6地址,具體選擇原則請參見RFC 3484。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:指定接口下與報文目的地址最匹配的IPv6地址作為源地址。interface-type interface-number表示源接口類型與源接口編號。
ipv6 ipv6-address:指定源IPv6地址。
【使用指導】
ssh client ipv6 source命令指定的源地址對所有的IPv6 Stelnet連接有效,ssh2 ipv6命令指定的源地址隻對當前的Stelnet連接有效。
使用該命令指定了源地址後,若SSH用戶使用ssh2 ipv6命令登錄時又指定了源地址,則采用ssh2 ipv6命令中指定的源地址。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 指定Stelnet客戶端發送SSH報文使用的源IPv6地址為2:2::2:2。
<Sysname> system-view
[Sysname] ssh client ipv6 source ipv6 2:2::2:2
【相關命令】
· display ssh client source
ssh client source命令用來配置Stelnet客戶端發送SSH報文使用的源IPv4地址。
undo ssh client source命令用來恢複缺省情況。
【命令】
ssh client source { interface interface-type interface-number | ip ip-address }
undo ssh client source
【缺省情況】
未配置Stelnet客戶端使用的源IPv4地址,Stelnet客戶端發送SSH報文使用的源IPv4地址為設備路由指定的SSH報文出接口的主IP地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:指定接口的主IP地址作為源地址。interface-type interface-number表示源接口類型與源接口編號。
ip ip-address:指定源IPv4地址。
【使用指導】
ssh client source命令指定的源地址對所有的Stelnet連接有效,ssh2命令指定的源地址隻對當前的Stelnet連接有效。
使用該命令指定了源地址後,若SSH用戶使用ssh2命令登錄時又指定了源地址,則采用ssh2命令中指定的源地址。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 指定Stelnet客戶端發送SSH報文使用的源IPv4地址為192.168.0.1。
<Sysname> system-view
[Sysname] ssh client source ip 192.168.0.1
【相關命令】
· display ssh client source
ssh2命令用來建立Stelnet客戶端和IPv4 Stelnet服務器端的連接。
【命令】
ssh2 server [ port-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器IPv4地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
identity-key:客戶端publickey認證時采用的公鑰算法,缺省算法為dsa。如果服務器采用publickey認證,必須指定該參數。客戶端使用指定算法的本地私鑰生成數字簽名或證書。
· dsa:公鑰算法為DSA。
· ecdsa-sha2-nistp256:指定公鑰長度為256的ECDSA算法。
· ecdsa-sha2-nistp384:指定公鑰長度為384的ECDSA算法。
· rsa:公鑰算法為RSA。
· x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公鑰算法。
· x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公鑰算法。
· pki-domain domain-name:指定客戶端證書的PKI域,為1~31個字符的字符串,不區分大小寫,公鑰算法為x509v3時,指定客戶端證書所在PKI域名稱,才能得到正確的本地證書。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省不支持壓縮。
zlib:壓縮算法ZLIB。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128-ctr。des-cbc、3des-cbc、aes128-cbc、aes128-ctr、aes128-gcm、aes192-ctr、aes256-cbc、aes256-ctr、aes256-gcm算法的安全強度和運算花費時間依次遞增。
· 3des-cbc:3DES-CBC加密算法。
· aes128-cbc:128位的AES-CBC加密算法。
· aes128-ctr:128位AES-CTR加密算法。
· aes128-gcm:128位AES-GCM加密算法。
· aes192-ctr:192位AES-CTR加密算法。
· aes256-cbc:256位的AES-CBC加密算法。
· aes256-ctr:256位AES-CTR加密算法。
· aes256-gcm:256位AES-GCM加密算法。
· des-cbc:DES-CBC加密算法。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha2-256。md5、md5-96、sha1、sha1-96、sha2-256、sha2-512算法的安全強度和運算花費時間依次遞增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
· sha2-256:HMAC算法HMAC-SHA2-256。
· sha2-512:HMAC算法HMAC-SHA2-512。
prefer-kex:密鑰交換首選算法,缺省算法為ecdh-sha2-nistp256。dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全強度和運算花費時間依次遞增。
· dh-group-exchange-sha1:密鑰交換算法diffie-hellman-group-exchange-sha1。
· dh-group1-sha1:密鑰交換算法diffie-hellman-group1-sha1。
· dh-group14-sha1:密鑰交換算法diffie-hellman-group14-sha1。
· ecdh-sha2-nistp256:密鑰交換算法ecdh-sha2-nistp256。
· ecdh-sha2-nistp384:密鑰交換算法ecdh-sha2-nistp384。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128-ctr。支持的加密算法與客戶端到服務器端的首選加密算法相同。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha2-256。支持的加密算法與客戶端到服務器端的首選HMAC算法相同。
dscp dscp-value:指定客戶端發送的SFTP報文中攜帶的DSCP優先級,取值範圍為0~63,缺省值為48。DSCP攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
escape character:指定退出字符。character為一個字符,區分大小寫,缺省為~,即輸入~.可以強製斷開與服務端的連接。
public-key keyname:指定服務器端的主機公鑰,用於驗證服務器端的身份。其中,keyname表示已經配置的主機公鑰名稱,為1~64個字符的字符串,不區分大小寫。
server-pki-domain domain-name:指定驗證服務端證書的PKI域。其中,domain-name表示驗證服務端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
source:指定與服務器通信的源IPv4地址或者源接口。缺省情況下,報文源IPv4地址為根據路由表項查找的發送此報文的出接口的主IPv4地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者Loopback接口、Dialer接口的IPv4地址作為源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將采用該接口的主IPv4地址作為發送報文的源IP地址。
ip ip-address:指定源IPv4地址。
【使用指導】
當客戶端采用證書認證時,需要校驗服務端證書是否正確,就需要通過server-pki-domain指定服務端證書所在的PKI域名稱,這樣才能獲取正確驗證服務器證書。客戶端使用保存在該PKI域中的CA證書對服務器證書進行合法性檢查,無需提前保存服務器的公鑰。如果客戶端沒有指定驗證服務端證書所在的PKI域,則缺省使用客戶端證書所在的PKI域進行驗證。
關於退出字符的使用,需要注意的是:
· 退出字符與字符.配合使用可以強製斷開客戶端與服務器連接(該方式通常用於服務器端重啟或發生異常的情況下,客戶端快速中斷當前連接)。
· 必須在一行中首先輸入退出字符和.,該操作才能生效,若該行中曾經輸入過其它字符或執行了其它操作(比如退格),則需要重新換行輸入才能生效。
· 一般情況下,建議使用缺省退出字符,避免退出字符和.的組合與登錄用戶名相同。
【舉例】
# Stelnet客戶端采用publickey認證方式,登錄地址為3.3.3.3的遠程Stelnet服務器,采用如下連接策略,並指定服務器端的公鑰名稱為svkey:
· 首選密鑰交換算法為dh-group14-sha1;
· 服務器到客戶端的首選加密算法為aes128-cbc;
· 客戶端到服務器的首選HMAC算法為sha1;
· 服務器到客戶端的HMAC算法為sha1-96;
· 服務器與客戶端之間的首選壓縮算法為zlib;
· 輸入$.時強製斷開客戶端和服務端的連接。
<Sysname> ssh2 3.3.3.3 prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey escape $
ssh2 ipv6命令用來建立Stelnet客戶端和IPv6 Stelnet服務器端的連接。
【命令】
ssh2 ipv6 server [ port-number ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv6地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
-i interface-type interface-number:客戶端連接服務器時使用的出接口。其中,interface-type interface-number表示接口類型和接口編號。本參數僅在客戶端所連接的服務器的地址是鏈路本地地址時使用。指定的出接口必須具有鏈路本地地址。
identity-key:客戶端publickey認證時采用的公鑰算法,缺省算法為dsa。如果服務器采用publickey認證,必須指定該參數。客戶端使用指定算法的本地私鑰生成數字簽名或證書。
· dsa:公鑰算法為DSA。
· ecdsa-sha2-nistp256:指定公鑰長度為256的ECDSA算法。
· ecdsa-sha2-nistp384:指定公鑰長度為384的ECDSA算法。
· rsa:公鑰算法為RSA。
· x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公鑰算法。
· x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公鑰算法。
· pki-domain domain-name:指定客戶端證書的PKI域,為1~31個字符的字符串,不區分大小寫,公鑰算法為x509v3時,指定客戶端證書所在PKI域名稱,才能得到正確的本地證書。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省不支持壓縮。
zlib:壓縮算法ZLIB。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128-ctr。des-cbc、3des-cbc、aes128-cbc、aes128-ctr、aes128-gcm、aes192-ctr、aes256-cbc、aes256-ctr、aes256-gcm算法的安全強度和運算花費時間依次遞增。
· 3des-cbc:3DES-CBC加密算法。
· aes128-cbc:128位的AES-CBC加密算法。
· aes128-ctr:128位AES-CTR加密算法。
· aes128-gcm:128位AES-GCM加密算法。
· aes192-ctr:192位AES-CTR加密算法。
· aes256-cbc:256位的AES-CBC加密算法。
· aes256-ctr:256位AES-CTR加密算法。
· aes256-gcm:256位AES-GCM加密算法。
· des-cbc:DES-CBC加密算法。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha2-256。md5、md5-96、sha1、sha1-96、sha2-256、sha2-512算法的安全強度和運算花費時間依次遞增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
· sha2-256:HMAC算法HMAC-SHA2-256。
· sha2-512:HMAC算法HMAC-SHA2-512。
prefer-kex:密鑰交換首選算法,缺省算法為ecdh-sha2-nistp256。dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全強度和運算花費時間依次遞增。
· dh-group-exchange-sha1:密鑰交換算法diffie-hellman-group-exchange-sha1。
· dh-group1-sha1:密鑰交換算法diffie-hellman-group1-sha1。
· dh-group14-sha1:密鑰交換算法diffie-hellman-group14-sha1。
· ecdh-sha2-nistp256:密鑰交換算法ecdh-sha2-nistp256。
· ecdh-sha2-nistp384:密鑰交換算法ecdh-sha2-nistp384。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128-ctr。支持的加密算法與客戶端到服務器端的首選加密算法相同。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha2-256。支持的加密算法與客戶端到服務器端的首選HMAC算法相同。
dscp dscp-value:指定客戶端發送的IPv6 SSH報文中攜帶的DSCP優先級,取值範圍為0~63,缺省值為48。DSCP攜帶在IPv6報文中的Trafic class字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
escape character:指定退出字符。character為一個字符,區分大小寫,缺省為~,即輸入~.可以強製斷開與服務端的連接。
public-key keyname:指定服務器端的主機公鑰,用於驗證服務器端的身份。其中,keyname表示已經配置的主機公鑰名稱,為1~64個字符的字符串,不區分大小寫。
server-pki-domain domain-name:指定驗證服務端證書的PKI域。其中,domain-name表示驗證服務端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
source:指定與服務器通信的源IPv6地址或者源接口。缺省情況下,設備根據RFC 3484的規則自動選擇一個源IPv6地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者Loopback接口、Dialer接口的IPv6地址作為源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv6地址作為發送報文的源IP地址。
ipv6 ipv6-address:指定源IPv6地址。
【使用指導】
當客戶端采用證書認證時,需要校驗服務端證書是否正確,就需要通過server-pki-domain指定服務端證書所在的PKI域名稱,這樣才能獲取正確驗證服務器證書。客戶端使用保存在該PKI域中的CA證書對服務器證書進行合法性檢查,無需提前保存服務器的公鑰。如果客戶端沒有指定驗證服務端證書所在的PKI域,則缺省使用客戶端證書所在的PKI域進行驗證。
關於退出字符的使用,需要注意的是:
· 退出字符與字符.配合使用可以強製斷開客戶端與服務器連接(該方式通常用於服務器端重啟或發生異常的情況下,客戶端快速中斷當前連接)。
· 必須在一行中首先輸入退出字符和.,該操作才能生效,若該行中曾經輸入過其它字符或執行了其它操作(比如退格),則需要重新換行輸入才能生效。
· 一般情況下,建議使用缺省退出字符,避免退出字符和.的組合與登錄用戶名相同。
【舉例】
# SSH客戶端采用publickey認證方式,登錄地址為2000::1的遠程Stelnet服務器,采用如下連接策略,並指定服務器端的公鑰名稱為svkey:
· 首選密鑰交換算法為dh-group14-sha1;
· 服務器到客戶端的首選加密算法為aes128-cbc;
· 客戶端到服務器的首選HMAC算法為sha1;
· 服務器到客戶端的HMAC算法為sha1-96;
· 服務器與客戶端之間的首選壓縮算法為zlib;
· 輸入$.時強製斷開客戶端和服務端的連接。
<Sysname> ssh2 ipv6 2000::1 prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey escape $
ssh2 ipv6 suite-b命令用來與遠程的IPv6 Stelnet服務器建立基於Suite B算法集的連接。
【命令】
ssh2 ipv6 server [ port-number ] [ -i interface-type interface-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ipv6 ipv6-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv6地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
-i interface-type interface-number:客戶端連接服務器時使用的出接口。其中,interface-type interface-number表示接口類型和接口編號。本參數僅在客戶端所連接的服務器的地址是鏈路本地地址時使用。指定的出接口必須具有鏈路本地地址。
suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit參數,則表示同時采用128-bit和192-bit的算法集。
128-bit:指定客戶端采用安全級別為128-bit的Suite B算法集。
192-bit:指定客戶端采用安全級別為192-bit的Suite B算法集。
pki-domain domain-name:配置客戶端證書的PKI域。domain-name為客戶端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
server-pki-domain domain-name:配置驗證服務端證書的PKI域。domain-name為驗證服務端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客戶端沒有指定驗證服務端證書所在的PKI域,則缺省使用客戶端證書所在的PKI域進行驗證。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省情況下,不支持壓縮。
zlib:壓縮算法ZLIB。
dscp dscp-value:指定客戶端發送的IPv6 SSH報文中攜帶的DSCP優先級,取值範圍為0~63,缺省值為48。DSCP攜帶在IPv6報文中的Traffic class字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
escape character:指定退出字符,該退出字符與字符.配合使用可以強製斷開客戶端與服務器連接(該方式通常用於服務器端重啟或發生異常的情況下,客戶端快速中斷當前連接)。character為一個字符,區分大小寫,缺省為~,即輸入~.可以強製斷開與服務端的連接。
source:指定與服務器通信的源IPv6地址或者源接口。缺省情況下,設備根據RFC 3484的規則自動選擇一個源IPv6地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者Loopback接口、Dialer接口的IPv6地址作為源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv6地址作為發送報文的源IPv6地址。
ipv6 ipv6-address:指定源IPv6地址。
關於退出字符的使用,需要注意的是:
· 必須在一行中首先輸入退出字符和.,該操作才能生效,若該行中曾經輸入過其它字符或執行了其它操作(比如退格),則需要重新換行輸入才能生效。
· 一般情況下,建議使用缺省退出字符,避免退出字符和.的組合與登錄用戶名相同。
【使用指導】
當客戶端采用安全級別為128-bit的Suite B算法集與遠程的Stelnet服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp256;
· 服務器到客戶端的加密算法為aes128-gcm;
· 客戶端到服務器的加密算法為aes128-gcm;
· 服務器到客戶端的HMAC算法為aes128-gcm;
· 客戶端到服務器的HMAC算法為aes128-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp256。
當客戶端采用安全級別為192-bit的Suite B算法集與遠程的Stelnet服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp384;
· 服務器到客戶端的加密算法為aes256-gcm;
· 客戶端到服務器的加密算法為aes256-gcm;
· 服務器到客戶端的HMAC算法為aes256-gcm;
· 客戶端到服務器的HMAC算法為aes256-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp384。
當客戶端未采用安全級別為128-bit和192-bit的Suite B算法集與遠程的Stelnet服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp256、ecdh-sha2-nistp384;
· 服務器到客戶端的加密算法為aes128-gcm、aes256-gcm;
· 客戶端到服務器的加密算法為aes128-gcm、aes256-gcm;
· 服務器到客戶端的HMAC算法為aes128-gcm、aes256-gcm;
· 客戶端到服務器的HMAC算法為aes128-gcm、aes256-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
【舉例】
# SSH客戶端采用安全級別為192-bit的Suite B算法集,與登錄地址為2000::1的遠程Stelnet服務器建立連接,采用如下連接策略:指定客戶端證書的PKI域名稱為clientpkidomain,指定驗證服務端證書的PKI域名稱為serverpkidomain。
<Sysname> ssh2 ipv6 2000::1 suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain
Username:
ssh2 suite-b命令用來與遠程的IPv4 Stelnet服務器建立基於Suite B算法集的連接。
【命令】
ssh2 server [ port-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ip ip-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv4地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit參數,則表示同時采用128-bit和192-bit的算法集。
128-bit:指定客戶端采用安全級別為128-bit的Suite B算法集。
192-bit:指定客戶端采用安全級別為192-bit的Suite B算法集。
pki-domain domain-name:配置客戶端證書的PKI域。domain-name為客戶端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
server-pki-domain domain-name:配置驗證服務端證書的PKI域。domain-name為驗證服務端證書的PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客戶端沒有指定驗證服務端證書所在的PKI域,則缺省使用客戶端證書所在的PKI域進行驗證。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省情況下,不支持壓縮。
zlib:壓縮算法ZLIB。
dscp dscp-value:指定客戶端發送的SFTP報文中攜帶的DSCP優先級,取值範圍為0~63,缺省值為48。DSCP攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
escape character:指定退出字符,該退出字符與字符.配合使用可以強製斷開客戶端與服務器連接(該方式通常用於服務器端重啟或發生異常的情況下,客戶端快速中斷當前連接)。character為一個字符,區分大小寫,缺省為~,即輸入~.可以強製斷開與服務端的連接。
source:指定與服務器通信的源IP地址或者源接口。缺省情況下,設備根據路由表項自動選擇一個源IPv4地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者Loopback接口、Dialer接口的IP地址作為源地址。
interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv4地址作為發送報文的源IP地址。
ip ip-address:指定源IPv4地址。
【使用指導】
當客戶端采用安全級別為128-bit的Suite B算法集與遠程的Stelnet服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp256;
· 服務器到客戶端的加密算法為aes128-gcm;
· 客戶端到服務器的加密算法為aes128-gcm;
· 服務器到客戶端的HMAC算法為aes128-gcm;
· 客戶端到服務器的HMAC算法為aes128-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp256。
當客戶端采用安全級別為192-bit的Suite B算法集與遠程的Stelnet服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp384;
· 服務器到客戶端的加密算法為aes256-gcm;
· 客戶端到服務器的加密算法為aes256-gcm;
· 服務器到客戶端的HMAC算法為aes256-gcm;
· 客戶端到服務器的HMAC算法為aes256-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp384。
當客戶端未采用安全級別為128-bit和192-bit的Suite B算法集與遠程的Stelnet服務器建立連接時,客戶端算法要求:
· 密鑰交換算法為ecdh-sha2-nistp256、ecdh-sha2-nistp384;
· 服務器到客戶端的加密算法為aes128-gcm、aes256-gcm;
· 客戶端到服務器的加密算法為aes128-gcm、aes256-gcm;
· 服務器到客戶端的HMAC算法為aes128-gcm、aes256-gcm;
· 客戶端到服務器的HMAC算法為aes128-gcm、aes256-gcm;
· 主機公鑰算法為x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。
關於退出字符的使用,需要注意的是:
· 必須在一行中首先輸入退出字符和.,該操作才能生效,若該行中曾經輸入過其它字符或執行了其它操作(比如退格),則需要重新換行輸入才能生效。
· 一般情況下,建議使用缺省退出字符,避免退出字符和.的組合與登錄用戶名相同。
【舉例】
# Stelnet客戶端采用128-bit的Suite B算法集,與登錄地址為3.3.3.3的遠程Stelnet服務器建立連接,采用如下連接策略:指定客戶端證書的PKI域名稱為clientpkidomain,指定驗證服務端證書的PKI域名稱為serverpkidomain。
<Sysname> ssh2 3.3.3.3 suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain
Username:
display ssh2 algorithm命令用來顯示設備上配置的SSH2協議使用的算法優先列表。
【命令】
display ssh2 algorithm
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示設備上配置的SSH2協議使用的算法優先列表。
<Sysname> display ssh2 algorithm
Key exchange algorithms: ecdh-sha2-nistp256 ecdh-sha2-nistp384 dh-group-exchange-sha1 dh-group14-sha1 dh-group1-sha1
Public key algorithms: x509v3-ecdsa-sha2-nistp256 x509v3-ecdsa-sha2-nistp384 ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 rsa dsa
Encryption algorithms: aes128-ctr aes192-ctr aes256-ctr aes128-gcm aes256-gcm aes128-cbc 3des-cbc aes256-cbc des-cbc
MAC algorithms: sha2-256 sha2-512 sha1 md5 sha1-96 md5-96
表1-4 display ssh2 algorithm命令顯示信息描述表
|
字段 |
描述 |
|
按優先級前後順序顯示當前使用的密鑰交換算法列表 |
|
|
按優先級前後順序顯示當前使用的主機算法列表 |
|
|
按優先級前後順序顯示當前使用的加密算法列表 |
|
|
按優先級前後順序顯示當前使用的HMAC算法列表 |
【相關命令】
· ssh2 algorithm cipher
· ssh2 algorithm key-exchange
· ssh2 algorithm mac
· ssh2 algorithm public-key
ssh2 algorithm cipher命令用來配置SSH2協議使用的加密算法列表。
undo ssh2 algorithm cipher命令用來恢複缺省情況。
【命令】
ssh2 algorithm cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } *
undo ssh2 algorithm cipher
【缺省情況】
SSH2協議采用的缺省加密算法從高到底的優先級列表為aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、3des-cbc、aes256-cbc和des-cbc。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
3des-cbc:3DES-CBC加密算法。
aes128-cbc:128位AES-CBC加密算法。
aes128-ctr:128位AES-CTR加密算法。
aes128-gcm:128位AES-GCM加密算法。
aes192-ctr:192位AES-CTR加密算法。
aes256-cbc:256位AES-CBC加密算法。
aes256-ctr:256位AES-CTR加密算法。
aes256-gcm:256位AES-GCM加密算法。
des-cbc:DES-CBC加密算法。
【使用指導】
當設備運行環境要求SSH2隻能采用特定加密算法的情況下,可采用本命令將設備上的SSH2客戶端、SSH2服務器所能使用的加密算法限定在配置的範圍內。算法的配置順序即為算法的優先級順序。
【舉例】
# 配置SSH2協議所使用的加密算法為aes256-cbc。
<Sysname> system-view
[Sysname] ssh2 algorithm cipher aes256-cbc
【相關命令】
· display ssh2 algorithm
· ssh2 algorithm key-exchange
· ssh2 algorithm mac
· ssh2 algorithm public-key
ssh2 algorithm key-exchange命令用來配置SSH2協議使用的密鑰交換算法列表。
undo ssh2 algorithm key-exchange命令用來恢複缺省情況。
【命令】
ssh2 algorithm key-exchange { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *
undo ssh2 algorithm key-exchange
【缺省情況】
SSH2協議采用的缺省密鑰交換算法從高到底的優先級列表為ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group-exchange-sha1、dh-group14-sha1和dh-group1-sha1。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
dh-group-exchange-sha1:密鑰交換算法diffie-hellman-group-exchange-sha1。
dh-group1-sha1:密鑰交換算法diffie-hellman-group1-sha1。
dh-group14-sha1:密鑰交換算法diffie-hellman-group14-sha1。
ecdh-sha2-nistp256:密鑰交換算法ecdh-sha2-nistp256。
ecdh-sha2-nistp384:密鑰交換算法ecdh-sha2-nistp384。
【使用指導】
當設備運行環境要求SSH2隻能采用特定密鑰交換算法的情況下,可采用本命令將設備上的SSH2客戶端、SSH2服務器所能使用的密鑰交換算法限定在配置的範圍內。算法的配置順序即為算法的優先級順序。
【舉例】
# 配置SSH2協議所使用的密鑰交換算法為dh-group1-sha1。
<Sysname> system-view
[Sysname] ssh2 algorithm key-exchange dh-group1-sha1
【相關命令】
· display ssh2 algorithm
· ssh2 algorithm cipher
· ssh2 algorithm mac
· ssh2 algorithm public-key
ssh2 algorithm mac命令用來配置SSH2協議使用的HMAC算法列表。
undo ssh2 algorithm mac命令用來恢複缺省情況。
【命令】
ssh2 algorithm mac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } *
undo ssh2 algorithm mac
【缺省情況】
SSH2協議使用的缺省HMAC算法從高到底的優先級列表為sha2-256、sha2-512、sha1、md5、sha1-96和md5-96。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
md5:HMAC算法HMAC-MD5。
md5-96:HMAC算法HMAC-MD5-96。
sha1:HMAC算法HMAC-SHA1。
sha1-96:HMAC算法HMAC-SHA1-96。
sha2-256:HMAC算法HMAC-SHA2-256。
sha2-512:HMAC算法HMAC-SHA2-512。
【使用指導】
當設備運行環境要求SSH2隻能采用特定HMAC算法的情況下,可采用本命令將設備上的SSH2客戶端、SSH2服務器所能使用的HMAC算法限定在配置的範圍內。算法的配置順序即為算法的優先級順序。
【舉例】
# 配置SSH2協議所使用的HMAC算法為md5。
<Sysname> system-view
[Sysname] ssh2 algorithm mac md5
【相關命令】
· display ssh2 algorithm
· ssh2 algorithm cipher
· ssh2 algorithm key-exchange
· ssh2 algorithm public-key
ssh2 algorithm public-key命令用來配置SSH2協議使用的主機簽名算法列表。
undo ssh2 algorithm public-key命令用來恢複缺省情況。
【命令】
ssh2 algorithm public-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } *
undo ssh2 algorithm public-key
【缺省情況】
SSH2協議使用的缺省主機簽名算法從高到底的優先級列表為x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、rsa和dsa。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
dsa:公鑰算法為DSA。
ecdsa-sha2-nistp256:指定公鑰長度為256的ECDSA算法。
ecdsa-sha2-nistp384:指定公鑰長度為384的ECDSA算法。
rsa:公鑰算法為RSA。
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公鑰算法。
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公鑰算法。
【使用指導】
當設備運行環境要求SSH2隻能采用特定主機簽名算法的情況下,可采用本命令將設備上的SSH2客戶端、SSH2服務器所能使用的主機簽名算法限定在配置的範圍內。算法的配置順序即為算法的優先級順序。
【舉例】
# 配置SSH2協議所使用的主機簽名算法為dsa。
<Sysname> system-view
[Sysname] ssh2 algorithm public-key dsa
【相關命令】
· display ssh2 algorithm
· ssh2 algorithm cipher
· ssh2 algorithm key-exchange
· ssh2 algorithm mac
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
