10-SSH命令
本章节下载: 10-SSH命令 (273.10 KB)
1.1.2 display ssh user-information
1.1.4 sftp server idle-timeout
1.1.5 ssh server authentication-retries
1.1.6 ssh server authentication-timeout
1.1.7 ssh server compatible-ssh1x enable
1.1.9 ssh server rekey-interval
1.2.6 display sftp client source
1.2.7 display ssh client source
1.2.22 sftp client ipv6 source
1.2.25 ssh client authentication server
1.2.26 ssh client first-time enable
display ssh server { session | status } [ | { begin | exclude | include } regular-expression ]
1:监控级
session:显示SSH服务器的会话信息。
status:显示SSH服务器的状态信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display ssh server命令用来在SSH服务器端显示该服务器的状态信息或会话信息。
相关配置可参考命令ssh server authentication-retries、ssh server rekey-interval、ssh server authentication-timeout、ssh server enable 和ssh server compatible-ssh1x enable。
# 在SSH服务器端显示该服务器的状态信息。
<Sysname> display ssh server status
SSH server: Disable
SSH version : 1.99
SSH authentication-timeout : 60 second(s)
SSH server key generating interval : 0 hour(s)
SSH authentication retries : 3 time(s)
SFTP server: Disable
SFTP server Idle-Timeout: 10 minute(s)
表1-1 display ssh server status命令显示信息描述表
SSH服务器功能的状态 |
|
SSH协议版本 SSH服务器兼容SSH1时,协议版本为1.99;SSH服务器不兼容SSH1时,协议版本为2.0 |
|
SFTP服务器功能的状态 |
|
SFTP用户连接的空闲超时时间 |
# 在SSH服务器端显示该服务器的会话信息。
<Sysname> display ssh server session
Conn Ver Encry State Retry SerType Username
VTY 0 2.0 DES Established 0 SFTP client001
表1-2 display ssh server session显示信息描述表
用户登录使用的VTY界面的编号 |
|
SSH服务器的协议版本 |
|
SSH使用的加密算法 |
|
· Init:初始化状态 · Ver-exchange:版本协商 · Keys-exchange:密钥交换 · Auth-request:用户认证 · Serv-request:服务请求 · Established:连接已经建立 · Disconnected:断开连接 |
|
服务类型,包括SCP、SFTP和Stelnet三种类型 |
|
display ssh user-information [ username ] [ | { begin | exclude | include } regular-expression ]
1:监控级
username:显示指定SSH用户的信息。username表示SSH用户名,为1~80个字符的字符串。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display ssh user-information命令用来在SSH服务器端显示SSH用户的信息。
· 本命令仅用来显示SSH服务器端通过ssh user命令配置的SSH用户信息。
· 如果没有指定参数username,则显示所有SSH用户的信息。
# 显示所有SSH用户的信息。
<Sysname> display ssh user-information
Total ssh users : 2
Username Authentication-type User-public-key-name Service-type
yemx password null stelnet
test publickey pubkey sftp
表1-3 display ssh user-information显示信息描述表
SSH用户的总数 |
|
认证类型,如果认证类型为password,则用户公钥名称显示为null |
|
服务类型,包括stelnet、sftp、scp以及all,其中all表示支持所有认证类型 |
3:管理级
sftp server enable命令用来启动SFTP服务器。undo sftp server enable命令用来关闭SFTP服务器。
缺省情况下,SFTP服务器处于关闭状态。
可以使用display ssh server命令来查看SFTP服务器端的相关状态信息或会话信息。
# 启动SFTP服务器。
[Sysname] sftp server enable
sftp server idle-timeout time-out-value
3:管理级
time-out-value:超时时间,取值范围为1~35791,单位为分钟。
sftp server idle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间。undo sftp server idle-timeout命令用来恢复缺省情况。
缺省情况下,SFTP用户连接的空闲超时时间为10分钟。
当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作。若同一时间内并发的SFTP连接数较多,可适当减小该值,及时释放系统资源给新用户接入。
# 设置SFTP用户连接的空闲超时时间为500分钟。
[Sysname] sftp server idle-timeout 500
ssh server authentication-retries times
undo ssh server authentication-retries
3:管理级
times:指定认证尝试的最大次数,取值范围为1~5。
ssh server authentication-retries命令用来设置SSH连接认证尝试的最大次数。undo ssh server authentication-retries命令用来恢复缺省情况。
缺省情况下,SSH连接认证尝试的最大次数为3次。
通过本命令可以限制用户登录的重试次数,防止非法用户对用户名和密码进行恶意地猜测和破解。
· SSH客户端通过publickey和password两种方式进行认证尝试的次数总和,不能超过ssh server authentication-retries命令配置的SSH连接认证尝试的最大次数。
· 对于password-publickey认证方式,设备首先对SSH用户进行publickey认证,然后进行password认证,这个过程称为一次认证尝试,而不是两次认证尝试。
# 指定登录认证尝试的最大次数为4次。
[Sysname] ssh server authentication-retries 4
ssh server authentication-timeout time-out-value
undo ssh server authentication-timeout
3:管理级
time-out-value:认证超时时间,取值范围为1~120,单位为秒。
ssh server authentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间,如果用户在规定的时间内没有完成认证就拒绝该连接。undo ssh server authentication-timeout命令用来恢复缺省情况。
缺省情况下,SSH用户的认证超时时间为60秒。
为了防止不法用户建立起TCP连接后,不进行接下来的认证,而是空占着进程,妨碍其它合法用户的正常登录,可以适当调小SSH用户认证超时时间。
# 设置SSH用户认证超时时间为10秒。
[Sysname] ssh server authentication-timeout 10
ssh server compatible-ssh1x enable
undo ssh server compatible-ssh1x
3:管理级
ssh server compatible-ssh1x enable命令用来设置SSH服务器兼容SSH1版本的客户端。undo ssh server compatible-ssh1x命令用来设置SSH服务器不兼容SSH1版本的客户端。
缺省情况下,SSH服务器兼容SSH1版本的客户端。
# 配置服务器兼容SSH1版本的客户端。
[Sysname] ssh server compatible-ssh1x enable
3:管理级
ssh server enable命令用来使能SSH服务器功能,使客户端能用SSH协议与服务器进行通信。undo ssh server enable命令用来关闭SSH服务器功能。
缺省情况下,SSH服务器功能处于关闭状态。
# 使能SSH服务器功能。
[Sysname] ssh server enable
ssh server rekey-interval hours
undo ssh server rekey-interval
3:管理级
hours:服务器密钥的更新周期,取值范围为1~24,单位为小时。
ssh server rekey-interval命令用来设置RSA服务器密钥的更新时间。undo ssh server rekey-interval命令用来恢复缺省情况。
缺省情况下,RSA服务器密钥的更新时间为0,表示系统不更新RSA服务器密钥。
SSH的核心是密钥的协商和传输,因此密钥的管理是非常重要的。通过定时更新服务器密钥,可以防止对密钥的恶意猜测和破解,从而提高了SSH连接的安全性。
· 此命令仅对SSH客户端版本为SSH1的用户有效。
· 系统不会定期更新DSA密钥对。
# 设置每3小时更新一次RSA服务器密钥。
[Sysname] ssh server rekey-interval 3
3:管理级
username:SSH用户名,为1~80个字符的字符串,区分大小写。
service-type:SSH用户的服务类型。包括:
all:包括scp、sftp和stelnet三种服务类型。
scp:服务类型为SCP(Secure Copy的简称)。
sftp:服务类型为SFTP(Secure FTP的简称)。
stelnet:服务类型为Stelnet(Secure Telnet的简称)。
authentication-type:SSH用户的认证方式。包括:
· password:强制用户使用密码认证。该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication, Authorization, Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击。
· any:不指定用户的认证方式,用户既可以采用password认证,也可以采用publickey认证。
· password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可。
· publickey:强制用户使用公钥认证。该认证方式的加密速度相对较慢,但认证强度高,不易受到“暴力猜测”等攻击方式的影响,而且具有较高的易用性。一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码。
assign:指定用于验证客户端的参数。
· pki-domain pkiname:指定验证客户端证书的PKI域。pkiname表示PKI域的名称,为1~15个字符的字符串,不区分大小写。服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查,无需提前保存客户端的公钥,能够灵活满足大数量客户端的认证需求。
· publickey keyname:指定SSH用户的公钥。keyname表示已经配置的客户端公钥名称,为1~64个字符的字符串,区分大小写。服务器端使用提前保存在本地的用户公钥对用户进行合法性检查,如果客户端密钥文件改变,服务器端需要及时更新本地配置。
work-directory directory-name:为SCP或SFTP用户设置工作目录。directory-name表示SCP或SFTP用户的工作目录,为1~135个字符的字符串。
ssh user命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式。undo ssh user命令用来删除SSH用户。
· 如果服务器采用publickey方式认证客户端,则必须通过本配置在设备上创建相应的SSH用户;如果服务器采用password方式认证客户端,则必须将SSH用户的账号信息配置在设备(适用于本地认证)或者远程认证服务器(如RADIUS服务器,适用于远程认证)上,而并不要求通过本配置创建相应的SSH用户。
· 使用该命令指定公钥或PKI域时,则以最后一次指定的参数为准。
· 对于已经登录的SSH用户的参数修改,仅在该用户重新登录后生效。
· 如果为SCP或SFTP用户指定了公钥或PKI域,则必须同时为该用户设置工作目录。
· SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关。采用publickey或password-publickey认证方式的用户,使用的工作目录为通过ssh user命令为该用户设置的工作目录;只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录。
相关配置可参考命令display ssh user-information和“安全命令参考/PKI”中的pki domain。
# 创建SSH用户user1,配置user1的服务类型为SFTP,认证方式为publickey,并指定客户端公钥为key1,SFTP服务器工作目录为flash:。
[Sysname] ssh user user1 service-type sftp authentication-type publickey assign publickey key1 work-directory flash:
SFTP客户端视图
3:管理级
bye命令用来终止与远程SFTP服务器的连接,并退回到用户视图。
该命令功能与exit,quit相同。
# 终止与远程SFTP服务器的连接。
Bye
Connection closed.
<Sysname>
SFTP客户端视图
3:管理级
remote-path:服务器上的路径名。
cd命令用来改变远程SFTP服务器上的工作路径。
如果没有指定remote-path,则显示当前工作路径。
# 改变工作路径到new1。
Current Directory is:
/new1
SFTP客户端视图
3:管理级
cdup命令用来返回到上一级目录。
# 从当前工作目录/new1返回到上一级目录。
Current Directory is:
/
SFTP客户端视图
3:管理级
remote-file&<1-10>:服务器上的文件名。&<1-10>表示最多可以输入10个文件名,每个文件名之间用空格分隔。
delete命令用来删除SFTP服务器上指定的文件。
该命令和remove功能相同。
# 删除服务器上的文件temp.c。
The following files will be deleted:
/temp.c
Are you sure to delete it? [Y/N]:y
This operation may take a long time.Please wait...
File successfully Removed
dir [ -a | -l ] [ remote-path ]
SFTP客户端视图
3:管理级
-a:显示指定目录下文件及文件夹的名称。
-l:以列表的形式显示指定目录下文件及文件夹的详细信息。
remote-path:查询的目录名。
dir命令用来显示指定目录下文件及文件夹的信息。
如果没有指定-a和-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息。
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。
该命令功能与ls相同。
# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:28 pub1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:24 new1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:18 new2
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:30 pub2
display sftp client source [ | { begin | exclude | include } regular-expression ]
1:监控级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display sftp client source命令用来显示当前为SFTP客户端设置的源IP地址或者源接口。
如果没有为SFTP客户端指定源地址和源接口,则提示尚未指定。
# 显示SFTP客户端的源IP地址。
<Sysname> display sftp client source
The source IP address you specified is 192.168.0.1
display ssh client source [ | { begin | exclude | include } regular-expression ]
1:监控级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display ssh client source命令用来显示当前为Stelnet客户端设置的源IP地址或者源接口。
如果没有为Stelnet客户端指定源地址和源接口,则提示尚未指定。
# 显示Stelnet客户端的源IP地址或者源接口。
<Sysname> display ssh client source
The source IP address you specified is 192.168.0.1
display ssh server-info [ | { begin | exclude | include } regular-expression ]
1:监控级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display ssh server-info命令用来在SSH客户端显示客户端保存的服务器端的主机公钥和服务器的对应关系。
SSH客户端需要认证服务器时,以本地保存的服务器端的主机公钥对连接的服务器进行认证。如果认证不成功,可以通过display ssh server-info命令查看服务器是否与正确的公钥对应。
相关配置可参考命令ssh client authentication server。
该命令也可在SFTP客户端使用。
# 显示客户端保存的服务器端的主机公钥和服务器的对应关系。
<Sysname> display ssh server-info
Server Name(IP) Server public key name
______________________________________________________
192.168.0.1 abc_key01
192.168.0.2 abc_key02
表1-4 display ssh server-info显示信息描述表
SFTP客户端视图
3:管理级
exit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。
该命令功能与bye,quit相同。
# 终止与远程SFTP服务器的连接。
Bye
Connection closed.
<Sysname>
get remote-file [ local-file ]
SFTP客户端视图
3:管理级
remote-file:远程SFTP服务器上的文件名。
local-file:本地文件名。
get命令用来从远程服务器上下载文件并存储在本地。
如果没有指定本地文件名,则认为本地文件与远程SFTP服务器上的文件同名。
# 下载远程服务器上的temp1.c文件,并以文件名temp.c在本地保存。
sftp-client> get temp1.c temp.c
Remote file:/temp1.c ---> Local file: temp.c
Downloading file successfully ended
SFTP客户端视图
3:管理级
all:显示所有命令的名字。
command-name:命令名。
help命令用来显示SFTP客户端命令的帮助信息。
# 查看命令get的帮助信息。
get remote-path [local-path] Download file.Default local-path is the same
as remote-path
ls [ -a | -l ] [ remote-path ]
SFTP客户端视图
3:管理级
-a:显示指定目录下文件及文件夹的名称。
-l:以列表的形式显示指定目录下文件及文件夹的详细信息。
remote-path:查询的目录名。
ls命令用来显示指定目录下文件及文件夹的信息。
如果没有指定-a和-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息。
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。
该命令功能与dir相同。
# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:28 pub1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:24 new1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:18 new2
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:30 pub2
SFTP客户端视图
3:管理级
remote-path:远程SFTP服务器上的目录名。
mkdir命令用来在远程SFTP服务器上创建新的目录。
# 在远程SFTP服务器上建立目录test。
New directory created
put local-file [ remote-file ]
SFTP客户端视图
3:管理级
local-file:本地的文件名。
remote-file:远程SFTP服务器上的文件名。
put命令用来将本地的文件上传到远程SFTP服务器。
如果没有指定远程服务器上的文件名,则认为服务器上的文件与本地文件同名。
# 将本地temp.c文件上传到远程SFTP服务器,并以temp1.c文件名保存。
sftp-client> put temp.c temp1.c
Local file:temp.c ---> Remote file: /temp1.c
Uploading file successfully ended
SFTP客户端视图
3:管理级
pwd命令用来显示远程SFTP服务器上的当前工作目录。
# 显示远程SFTP服务器上的当前工作目录。
/
SFTP客户端视图
3:管理级
quit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。
该命令功能与bye,exit相同。
# 终止与远程SFTP服务器的连接。
Bye
Connection closed.
<Sysname>
SFTP客户端视图
3:管理级
remote-file&<1-10>:服务器上的文件名。&<1-10>表示最多可以输入10个文件名,每个文件名之间用空格分隔。
remove命令用来删除SFTP服务器上指定的文件。
该命令和delete功能相同。
# 删除服务器上的文件temp.c。
The following files will be deleted:
/temp.c
Are you sure to delete it? [Y/N]:y
This operation may take a long time.Please wait...
File successfully Removed
SFTP客户端视图
3:管理级
oldname:原文件名或者目录名。
newname:新文件名或者目录名。
rename命令用来改变SFTP服务器上指定的文件或者目录的名字。
# 将SFTP服务器上的文件temp1.c改名为temp2.c。
sftp-client> rename temp1.c temp2.c
File successfully renamed
SFTP客户端视图
3:管理级
remote-path&<1-10>:远程SFTP服务器上的目录名。&<1-10>表示最多可以输入10个目录名,每个文件名之间用空格分隔。
rmdir命令用来删除SFTP服务器上指定的目录。
# 删除SFTP服务器上当前工作目录下的temp1目录。
Directory successfully removed
在非FIPS模式下:
scp [ ipv6 ] server [ port-number ] { get | put } source-file-path [ destination-file-path ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
在FIPS模式下:
scp [ ipv6 ] server [ port-number ] { get | put } source-file-path [ destination-file-path ] [ identity-key rsa | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
3:管理级
ipv6:指定IPv6服务器。若不指定该参数,则表示指定IPv4服务器。
server:服务器的IP地址或主机名称。指定为IPv4服务器时,server为1~255个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为0~65535,缺省值为22。
get:指定下载文件操作。
put:指定上传文件操作。
source-file-path:源文件路径。
destination-file-path:目的文件路径。不指定该参数时,表示使用源文件路径作为目的文件名称。
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法。
· dsa:公钥算法为DSA。
· rsa:公钥算法为RSA。
prefer-compress:首选压缩算法,缺省为无压缩。
· zlib:ZLIB压缩算法。
· zlib-openssh:ZLIB@openssh.com压缩算法。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
· 3des:3des-cbc加密算法,FIPS模式下不支持该参数。
· aes128:aes128-cbc加密算法。
· aes256:aes256-cbc加密算法,非FIPS模式下不支持该参数。
· des:des-cbc加密算法,FIPS模式下不支持该参数。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· md5:HMAC算法hmac-md5,FIPS模式下不支持该参数。
· md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数。
· sha1:HMAC算法hmac-sha1。
· sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,缺省算法为dh-group-exchange。
· dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数。
· dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数。
· dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96
scp命令用来与远程SCP服务器建立连接,并进行文件传输。
需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行验证。在非FIPS模式下,由于publickey认证可以采用RSA和DSA两种加密算法,所以需要用identity-key关键字指定采用的加密算法,才能得到正确的本地私钥数据。
在非FIPS模式下,缺省的算法如下:
· 公钥缺省算法为dsa。
· 客户端到服务器端的首选加密算法,缺省算法为aes128。
· 客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· 密钥交换首选算法,缺省算法为dh-group-exchange。
· 服务器端到客户端的首选加密算法,缺省算法为aes128。
· 服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
在FIPS模式下,缺省的算法如下:
· 公钥缺省算法为rsa。
· 客户端到服务器端的首选加密算法,缺省算法为aes128。
· 客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· 密钥交换首选算法,缺省算法为dh-group14。
· 服务器端到客户端的首选加密算法,缺省算法为aes128。
· 服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
# 与IP地址为192.168.0.1的远程SCP服务器建立连接,并下载远端的remote.bin文件,下载到本地后更名为local.bin。
<Sysname> scp 192.168.0.1 get remote.bin local.bin
在非FIPS模式下:
sftp server [ port-number ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
在FIPS模式下:
sftp server [ port-number ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
3:管理级
server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为0~65535,缺省值为22。
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法。
· dsa:公钥算法为DSA。
· rsa:公钥算法为RSA。
prefer-compress:首选压缩算法,缺省为无压缩。
· zlib:ZLIB压缩算法。
· zlib-openssh:ZLIB@openssh.com压缩算法。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
· 3des:3des-cbc加密算法,FIPS模式下不支持该参数。
· aes128:aes128-cbc加密算法。
· aes256:aes256-cbc加密算法,非FIPS模式下不支持该参数。
· des:des-cbc加密算法,FIPS模式下不支持该参数。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· md5:HMAC算法hmac-md5,FIPS模式下不支持该参数。
· md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数。
· sha1:HMAC算法hmac-sha1。
· sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,在非FIPS模式下,缺省算法为dh-group-exchange;在FIPS模式下缺省算法为dh-group14。
· dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数。
· dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数。
· dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
sftp命令用来与远程IPv4 SFTP服务器建立连接,并进入SFTP客户端视图。
需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行验证。在非FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要用identity-key关键字指定采用的加密算法,才能得到正确的本地私钥数据。
在非FIPS模式下,缺省的算法如下:
· 公钥缺省算法为dsa。
· 客户端到服务器端的首选加密算法,缺省算法为aes128。
· 客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· 密钥交换首选算法,缺省算法为dh-group-exchange。
· 服务器端到客户端的首选加密算法,缺省算法为aes128。
· 服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
在FIPS模式下,缺省的算法如下:
· 公钥缺省算法为rsa。
· 客户端到服务器端的首选加密算法,缺省算法为aes128。
· 客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· 密钥交换首选算法,缺省算法为dh-group14。
· 服务器端到客户端的首选加密算法,缺省算法为aes128。
· 服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
# 连接IP地址为10.1.1.2的SFTP服务器,采用如下连接策略:
· 服务器到客户端的首选加密算法为aes128;
· 客户端到服务器的首选HMAC算法为md5;
· 服务器到客户端的HMAC算法为sha1-96。
Input Username:
sftp client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }
3:管理级
interface interface-type interface-number:源接口类型与源接口编号。
ipv6 ipv6-address:源IPv6地址。
sftp client ipv6 source命令用来为SFTP客户端指定源IPv6地址或源接口。undo sftp client ipv6 source命令用来取消指定的源IPv6地址或源接口。
缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器。
为保证SFTP客户端与SFTP服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口或Dialer接口作为源接口。
相关配置可参考命令display sftp client source。
# 指定SFTP客户端的源IPv6地址为2:2::2:2。
[Sysname] sftp client ipv6 source ipv6 2:2::2:2
sftp client source { interface interface-type interface-number | ip ip-address }
3:管理级
interface interface-type interface-number:源接口类型与源接口编号。
ip ip-address:源IPv4地址。
sftp client source命令用来为SFTP客户端指定源IPv4地址或源接口。undo sftp client source命令用来取消指定的源IPv4地址或源接口。
缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器。
为保证SFTP客户端与SFTP服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口或Dialer接口作为源接口。
相关配置可参考命令display sftp client source。
# 指定SFTP客户端的源IP地址为192.168.0.1。
[Sysname] sftp client source ip 192.168.0.1
在非FIPS模式下:
sftp ipv6 server [ port-number ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
在FIPS模式下:
sftp ipv6 server [ port-number ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
3:管理级
server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。
port-number:服务器的端口号,取值范围为0~65535,缺省值为22。
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法。
· dsa:公钥算法为DSA。
· rsa:公钥算法为RSA。
prefer-compress:首选压缩算法,缺省为无压缩。
· zlib:ZLIB压缩算法。
· zlib-openssh:ZLIB@openssh.com压缩算法。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
· 3des:3des-cbc加密算法,FIPS模式下不支持该参数。
· aes128:aes128-cbc加密算法。
· aes256:aes256-cbc加密算法,非FIPS模式下不支持该参数。
· des:des-cbc加密算法,FIPS模式下不支持该参数。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· md5:HMAC算法hmac-md5,FIPS模式下不支持该参数。
· md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数。
· sha1:HMAC算法hmac-sha1。
· sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,在非FIPS模式下,缺省算法为dh-group-exchange;在FIPS模式下缺省算法为dh-group14。
· dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数。
· dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数。
· dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
sftp ipv6命令用来与远程IPv6 SFTP服务器建立连接,并进入SFTP客户端视图。
需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行验证。在非FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要用identity-key关键字指定采用的加密算法,才能得到正确的本地私钥数据。
在非FIPS模式下,缺省的算法如下:
· 公钥缺省算法为dsa。
· 客户端到服务器端的首选加密算法,缺省算法为aes128。
· 客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· 密钥交换首选算法,缺省算法为dh-group-exchange。
· 服务器端到客户端的首选加密算法,缺省算法为aes128。
· 服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
在FIPS模式下,缺省的算法如下:
· 公钥缺省算法为rsa。
· 客户端到服务器端的首选加密算法,缺省算法为aes128。
· 客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· 密钥交换首选算法,缺省算法为dh-group14。
· 服务器端到客户端的首选加密算法,缺省算法为aes128。
· 服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
# 连接IPv6地址为2:5::8:9的SFTP服务器,采用如下连接策略:
· 服务器到客户端的首选加密算法为aes128;
· 客户端到服务器的首选HMAC算法为md5;
· 服务器到客户端的HMAC算法为sha1-96。
Input Username:
ssh client authentication server server assign publickey keyname
undo ssh client authentication server server assign publickey
2:系统级
server:服务器的IP地址或名称,为1~80个字符的字符串。
assign publickey keyname:指定服务器端的主机公钥。keyname表示主机公钥名称,为1~64个字符的字符串。
ssh client authentication server命令用来在客户端上指定要连接的服务器端的主机公钥名称,以便客户端判断认证连接的服务器是否为可信赖的服务器。undo ssh client authentication server命令用来取消在客户端上指定要连接的服务器端的主机公钥。
缺省情况下,客户端不指定要连接的服务器端的主机公钥名称,而是在客户端登录服务器的时候使用登录服务器时所用的IP地址或主机名作其对应的公钥名称。
相关配置可参考命令ssh client first-time enable。
# 服务器的IP地址为192.168.0.1,在客户端指定该服务器的公钥名称为key1。
[Sysname] ssh client authentication server 192.168.0.1 assign publickey key1
2:系统级
ssh client first-time enable命令用来设置SSH客户端支持首次认证。undo ssh client first-time命令用来取消SSH客户端对首次认证的支持。
缺省情况下,SSH客户端支持首次认证。
所谓支持首次认证,是指当SSH客户端首次访问服务器,而客户端没有配置服务器端的公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器。
需要注意的是,由于服务器端可能会定期更新密钥对,为保证服务器认证成功,客户端需要及时获取最新的服务器主机公钥。
# 设置SSH客户端支持首次认证。
[Sysname] ssh client first-time enable
ssh client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }
3:管理级
interface interface-type interface-number:源接口类型与源接口编号。
ipv6 ipv6-address:源IPv6地址。
ssh client ipv6 source命令用来为Stelnet客户端指定源IPv6地址或源接口。undo ssh client ipv6 source命令用来清除指定的源IPv6地址或源接口。
缺省情况下,客户端用设备路由指定的接口地址访问Stelnet服务器。
为保证Stelnet客户端与Stelnet服务器通信链路的可达性,以及增加认证业务对Stelnet客户端的可管理性,通常建议指定Loopback接口或Dialer接口作为源接口。
相关配置可参考命令display ssh client source。
# 指定Stelnet客户端的源IPv6地址为2:2::2:2。
[Sysname] ssh client ipv6 source ipv6 2:2::2:2
ssh client source { interface interface-type interface-number | ip ip-address }
3:管理级
interface interface-type interface-number:源接口类型与源接口编号。
ip ip-address:源IPv4地址。
ssh client source命令用来为Stelnet客户端指定源IPv4地址或源接口。undo ssh client source命令用来清除指定的源IPv4地址或源接口。
缺省情况下,客户端用设备路由指定的接口地址访问Stelnet服务器。
为保证Stelnet客户端与Stelnet服务器通信链路的可达性,以及增加认证业务对Stelnet客户端的可管理性,通常建议指定Loopback接口或Dailer接口作为源接口。
相关配置可参考命令display ssh client source。
# 指定Stelnet客户端的源IPv4地址为192.168.0.1。
[Sysname] ssh client source ip 192.168.0.1
在非FIPS模式下:
ssh2 server [ port-number ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
在FIPS模式下:
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
0:访问级
server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为0~65535,缺省值为22。
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法。
· dsa:公钥算法为DSA。
· rsa:公钥算法为RSA。
prefer-compress:首选压缩算法,缺省为无压缩。
· zlib:ZLIB压缩算法。
· zlib-openssh:ZLIB@openssh.com压缩算法。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
· 3des:3des-cbc加密算法,FIPS模式下不支持该参数。
· aes128:aes128-cbc加密算法。
· aes256:aes256-cbc加密算法,非FIPS模式下不支持该参数。
· des:des-cbc加密算法,FIPS模式下不支持该参数。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· md5:HMAC算法hmac-md5,FIPS模式下不支持该参数。
· md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数。
· sha1:HMAC算法hmac-sha1。
· sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,在非FIPS模式下,缺省算法为dh-group-exchange;在FIPS模式下缺省算法为dh-group14。
· dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数。
· dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数。
· dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
ssh2命令用来建立Stelnet客户端和IPv4 Stelnet服务器端的连接,并指定公钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法。
需要注意的是,当服务器端对客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名。在FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。
在非FIPS模式下,缺省的算法如下:
· 公钥缺省算法为dsa。
· 客户端到服务器端的首选加密算法,缺省算法为aes128。
· 客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· 密钥交换首选算法,缺省算法为dh-group-exchange。
· 服务器端到客户端的首选加密算法,缺省算法为aes128。
· 服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
在FIPS模式下,缺省的算法如下:
· 公钥缺省算法为rsa。
· 客户端到服务器端的首选加密算法,缺省算法为aes128。
· 客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· 密钥交换首选算法,缺省算法为dh-group14。
· 服务器端到客户端的首选加密算法,缺省算法为aes128。
· 服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
# 登录地址为10.214.50.51的远程Stelnet服务器,采用如下连接策略:
· 服务器到客户端的首选加密算法为aes128;
· 客户端到服务器的首选HMAC算法为md5;
· 服务器到客户端的HMAC算法为sha1-96。
在非FIPS模式下:
ssh2 ipv6 server [ port-number ] [ identity-key { dsa | rsa } | prefer-compress { zlib | zlib-openssh } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
在FIPS模式下:
ssh2 ipv6 server [ port-number ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *
0:访问级
server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。
port-number:服务器的端口号,取值范围为0~65535,缺省值为22。
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法。
· dsa:公钥算法为DSA。
· rsa:公钥算法为RSA。
prefer-compress:首选压缩算法,缺省为无压缩。
· zlib:ZLIB压缩算法。
· zlib-openssh:ZLIB@openssh.com压缩算法。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
· 3des:3des-cbc加密算法,FIPS模式下不支持该参数。
· aes128:aes128-cbc加密算法。
· aes256:aes256-cbc加密算法,非FIPS模式下不支持该参数。
· des:des-cbc加密算法,FIPS模式下不支持该参数。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· md5:HMAC算法hmac-md5,FIPS模式下不支持该参数。
· md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数。
· sha1:HMAC算法hmac-sha1。
· sha1-96:HMAC算法hmac-sha1-96。
· prefer-kex:密钥交换首选算法,在非FIPS模式下,缺省算法为dh-group-exchange;在FIPS模式下缺省算法为dh-group14。
· dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数。
· dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数。
· dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96
ssh2 ipv6命令用来建立Stelnet客户端和IPv6 Stelnet服务器端的连接,并指定公钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法。
需要注意的是,当服务器端对客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名。在非FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要通过identity-key关键字指定客户端采用的加密算法,才能得到正确的本地私钥数据。
在非FIPS模式下,缺省的算法如下:
· 公钥缺省算法为dsa。
· 客户端到服务器端的首选加密算法,缺省算法为aes128。
· 客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· 密钥交换首选算法,缺省算法为dh-group-exchange。
· 服务器端到客户端的首选加密算法,缺省算法为aes128。
· 服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
在FIPS模式下,缺省的算法如下:
· 公钥缺省算法为rsa。
· 客户端到服务器端的首选加密算法,缺省算法为aes128。
· 客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· 密钥交换首选算法,缺省算法为dh-group14。
· 服务器端到客户端的首选加密算法,缺省算法为aes128。
· 服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
# 登录地址为2000::1的远程Stelnet服务器,采用如下连接策略:
· 首选密钥交换算法为dh-group1;
· 服务器到客户端的首选加密算法为aes128;
· 客户端到服务器的首选HMAC算法为md5;
· 服务器到客户端的HMAC算法为sha1-96。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!