27-SSH命令
本章节下载: 27-SSH命令 (265.61 KB)
目 录
1.1.1 display public-key local
1.1.3 display rsa local-key-pair public
1.1.4 display rsa peer-public-key
1.1.7 display ssh user-information
1.1.9 display ssh-server source-ip
1.1.12 public-key local create
1.1.13 public-key local destroy
1.1.14 public-key local export rsa
1.1.15 public-key local export dsa
1.1.17 public-key peer import sshkey
1.1.20 rsa local-key-pair create
1.1.21 rsa local-key-pair destroy
1.1.23 rsa peer-public-key import sshkey
1.1.24 ssh authentication-type default
1.1.26 ssh client first-time enable
1.1.27 ssh server authentication-retries
1.1.28 ssh server compatible-ssh1x enable
1.1.29 ssh server rekey-interval
1.1.33 ssh user authentication-type
1.1.38 ssh-server source-interface
【命令】
display public-key local { dsa | rsa } public
【视图】
任意视图
【参数】
dsa:密钥类型为DSA。
rsa:密钥类型为RSA。
【描述】
display public-key local命令用来显示RSA或DSA密钥对中公钥部分数据。
【举例】
# 显示RSA密钥对的公钥部分。
<device> display public-key local rsa public
=====================================================
Time of Key pair created: 15:57:37 2006/04/22
Key name: HOST_KEY
Key type: RSA encryption Key
=====================================================
Key code:
30819F300D06092A864886F70D010101050003818D0030818902818100CC05DE87DB64E89B8391B8
3B4814AE998E4F83F5F7DDAA707DAA892121A9C596CD9235D3E276EAD0212FE43473E0A7A3BF5FCD
10512C985A7F4FC27B352ABE3568F9BD8B9EA833CDC2805A0C40C2AC7343D64B3D3E6368D813346E
5F25A718D79D53AC4B82E41DE882B539CAA8C651D3D24065CAC0BB38D9ED3DBCFE53C09361020301
0001
=====================================================
Time of Key pair created: 15:57:53 2006/04/22
Key name: SERVER_KEY
Key type: RSA encryption Key
=====================================================
Key code:
307C300D06092A864886F70D0101010500036B003068026100C57E697413FDD86D30DF9ED1C98ACC
34794F5662F352C085EC0DBD8C7540B653AE71B174FE95D8147AB4E958FF5033E0F51E8A0EB55B73
EF6575221D0D17D1585301A26AD8DEE9FCFF4345AF4AFAF5E4FBA9A5234C553C7D81EA67710344B2
E90203010001
# 显示DSA密钥对的公钥部分。
<device> display public-key local dsa public
=====================================================
Time of Key pair created: 02:46:43 2000/04/02
Key name: HOST_KEY
Key type: DSA encryption Key
=====================================================
Key code:
308201B73082012C06072A8648CE3804013082011F02818100D757262C4584C44C211F18BD96E5F0
61C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE65BE6C265854889DC1EDBD13EC8B274
DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B06FD60FE01941DDD77FE6B12893DA76E
EBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B368950387811C7DA33021500C773218C
737EC8EE993B4F2DED30F48EDACE915F0281810082269009E14EC474BAF2932E69D3B1F18517AD95
94184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD35D02492B3959EC6499625BC4FA5082E22C5
B374E16DD00132CE71B020217091AC717B612391C76C1FB2E88317C1BD8171D41ECB83E210C03CC9
B32E810561C21621C73D6DAAC028F4B1585DA7F42519718CC9B09EEF038184000281804A87838ABF
D6BE1F766B3395BA4073B3AF648C0548A26A80B236F17D16ED4A0B037607374ED3DF6153D1F383AB
7CBA91D5450F1E9ECD4D6A4E5E52224BF7AC5F25FCB2CEDE773199CC2EA4599CDCC12DFB2478ECC8
C16E8661C79869F0CD29C4DA7DF69E8F1F26B688142332BDD429C8B4ED42D6CA3695D28B32305B9E
AFBACA
【命令】
display public-key peer [ brief | name pubkey-name ]
【视图】
任意视图
【参数】
brief:显示所有远端公钥的简明信息。
pubkey-name:公钥名称,为1~64个字符的字符串。
【描述】
display public-key peer命令用来显示远端的公钥信息。
如果没有指定任何参数,则显示所有的公共密钥的详细信息。
通过display public-key peer命令显示用户公钥位数的大小有时会比实际公钥位数小1位。这是由于生成密钥对时,实际生成的密钥对可能会比所设置的密钥对位数小1位所造成的。例如,生成一个1024位的密钥对,但实际可能生成位数为1024或1023,这也是正确的。
【举例】
# 显示所有远端公钥的简明信息。
<device> display public-key peer brief
Type Module Name
---------------------------
RSA 1024 idrsa
DSA 1024 127.0.0.1
RSA 1024 18
# 显示远端公钥名为pubkey-name的公钥数据。
<device>display public-key peer name pubkey-name
=====================================
Key name : pubkey-name
Key type : RSA
Key module: 1024
=====================================
Key Code:
30819D300D06092A864886F70D010101050003818B00308187028181009C46A8710216CEC0C01C7CE136BA76
C79AA6040E79F9E305E453998C7ADE8276069410803D5974F708496947AB39B3F39C5CE56C95B6AB7442D563
93BF241F99A639DD02D9E29B1F5C1FD05CC1C44FBD6CFFB58BE6F035FAA2C596B27D1231D159846B7CB9A775
7C5800FADA9FD72F65672F4A549EE99F63095E11BD37789955020123
【命令】
display rsa local-key-pair public
【视图】
任意视图
【参数】
无
【描述】
display rsa local-key-pair public命令用来显示RSA主机密钥对和服务器密钥对的公钥部分,如果没有生成密钥,则提示没有找到密钥。
相关配置可参考命令rsa local-key-pair create。
【举例】
# 显示RSA主机密钥对和服务器密钥对的公钥部分。
<device> display rsa local-key-pair public
=====================================================
Time of Key pair created: 20:08:35 2000/04/02
Key name: device_Host
Key type: RSA encryption Key
=====================================================
Key code:
3047
0240
DE99B540 87B666B9 69C948CD BBCC2B60 997F9C18
9AA6651C 6066EF76 242DEAD1 DEFEA162 61677BD4
1A7BFAE7 668EDAA9 FB048C37 A0F1354D 5798C202
2253F4F5
0203
010001
=====================================================
Time of Key pair created: 20:08:46 2000/04/02
Key name: device_Server
Key type: RSA encryption Key
=====================================================
Key code:
3067
0260
D6D70AE4 D2A900BE AC21B4E7 617CBEFA 2BAED61F
B637070C 093F43AF 9DB9D644 BCD921EF D056EF36
26825C2A 1FC0EFC3 E27B5110 3F20F790 6C83274B
D0FC303F 51072D6C B5D0054D 3673EBA0 A4748984
5EBF6EBE CF6A13B1 C7858241 A2A9AA79
0203
010001
配置rsa local-key-pair create命令后:
l 当设备工作在兼容SSH1.x模式下时,使用display rsa local-key-pair public命令时会显示两个公钥,包括主机公钥和服务器公钥;
l 当设备工作在SSH2.0模式时,使用display rsa local-key-pair public命令只显示一个公钥,即主机公钥。
【命令】
display rsa peer-public-key [ brief | name keyname ]
【视图】
任意视图
【参数】
brief:显示所有远端公钥的简明信息。
keyname:公钥名称,为1~64个字符的字符串。
【描述】
display rsa peer-public-key命令用来显示远端的RSA公共密钥。
如果没有指定任何参数,则显示所有的公共密钥的详细信息。
通过display rsa peer-public-key命令显示用户公钥模数的大小有时会比实际公钥模数小1位。这是由于生成密钥对时,实际生成的密钥对可能会比所设置的密钥对位数小1位所造成的。例如,生成一个1024位的密钥对,但实际可能生成位数为1024或1023,这也是正确的。
【举例】
# 显示远端的RSA公钥的简明信息。
<device> display rsa peer-public-key brief
Type Module Name
---------------------------
DSA 1024 2
DSA 1024 a
# 显示客户端上名称为abcd的公钥信息。
<device> display rsa peer-public-key name abcd
=====================================
Key name : abcd
Key type : RSA
Key module: 1024
=====================================
Key Code:
30819F300D06092A864886F70D010101050003818D0030818902818100B0EEC8768E310AE2EE44D6
5A2F944E2E6F32290D1ECBBFFF22AA11712151FC29F1C1CD6D7937723F77103576C41A03DB32F32C
46DEDA68566E89B53CD4DF8F9899B138C578F7666BFB5E6FE1278A84EC8562A12ACBE2A43AF61394
276CE5AAF5AF01DA8B0F33E08335E0C3820911B90BF4D19085CADCE0B50611B9F6696D3193020301
0001
【命令】
display ssh server { session | status }
【视图】
任意视图
【参数】
status:显示SSH状态信息。
session:显示SSH会话信息。
【描述】
display ssh server命令用来显示SSH服务器端的状态信息或会话信息。
相关配置可参考命令ssh server authentication-retries,ssh server timeout。
【举例】
# 显示SSH服务器端的状态信息。
<device> display ssh server status
SSH version : 1.99
SSH connection timeout : 60 seconds
SSH server key generating interval : 0 hours
SSH Authentication retries : 3 times
SFTP Server: Disable
SFTP idle timeout : 10 minutes
表1-1 display ssh server status命令显示信息描述表
字段 |
描述 |
SSH version |
SSH协议版本 |
SSH connection timeout |
认证超时时间 |
SSH server key generating interval |
服务器密钥对更新时间 |
SSH Authentication retries |
认证尝试的最大次数 |
SFTP Server |
SFTP服务器功能的状态 |
SFTP idle timeout |
SFTP用户连接的空闲超时时间 |
l 如果通过ssh server compatible-ssh1x enable命令设定服务器端兼容SSH1.x版本的客户端,则显示信息中的SSH version为1.99;
l 如果通过undo ssh server compatible-ssh1x命令设定服务器端不兼容SSH1.x版本的客户端,则显示信息中的SSH version为2.0。
# 显示SSH服务器端的会话信息。
<device> display ssh server session
Conn Ver Encry State Retry SerType Username
VTY 0 2.0 AES started 0 stelnet kk
VTY 1 2.0 AES started 0 sFTP abc
表1-2 display ssh server session命令显示信息描述表
字段 |
描述 |
Conn |
用户登录使用的VTY界面的编号 |
Ver |
SSH版本 |
Encry |
SSH使用的加密算法 |
State |
当前状态 |
Retry |
连接重试次数 |
SerType |
服务类型 |
Username |
用户名 |
【命令】
display ssh server-info
【视图】
任意视图
【参数】
无
【描述】
display ssh server-info命令用来显示客户端保存的服务器端的主机公钥和服务器的对应关系。
【举例】
# 显示客户端保存的服务器端的公钥和服务器端的对应关系。
<device> display ssh server-info
Server Name(IP) Server public key name
_________________________________________________________________________
192.168.0.90 192.168.0.90
【命令】
display ssh user-information [ username ]
【视图】
任意视图
【参数】
username:有效的SSH用户名,为1~184个字符的字符串。
【描述】
display ssh user-information命令用来显示当前SSH用户的信息,包括:用户名、认证方式、对应的公钥名称、授权的服务类型。如果命令中指定参数username,那么将显示指定用户名的用户信息。
【举例】
# 显示当前用户信息。
<device> display ssh user-information
Username Authentication-type User-public-key-name Service-type
kk publickey test sftp
【命令】
display ssh2 source-ip
【视图】
任意视图
【参数】
无
【描述】
display ssh2 source-ip命令用来显示当前为SSH客户端设置的源IP地址。如果为SSH客户端指定了源接口,则此命令显示的是该接口的IP地址;如果没有为SSH2 客户端指定源地址,则显示0.0.0.0。
【举例】
# 显示当前为SSH客户端设置的源IP地址。
<device> display ssh2 source-ip
The source IP you specified is 192.168.0.1
【命令】
display ssh-server source-ip
【视图】
任意视图
【参数】
无
【描述】
display ssh-server source-ip命令用来显示当前为SSH服务器指定的源IP地址。如果为SSH服务器指定了源接口,则此命令显示的是该接口的IP地址;如果没有为SSH 服务器指定源地址,则显示0.0.0.0。
【举例】
# 显示当前为SSH服务器设置的源IP地址。
<device> display ssh-server source-ip
The source IP you specified is 192.168.1.1
【命令】
peer-public-key end
【视图】
公共密钥视图
【参数】
无
【描述】
peer-public-key end命令用来从公共密钥视图退回到系统视图。
相关配置可参考命令rsa peer-public-key,public-key-code begin。
【举例】
# 退出公共密钥视图并回到系统视图。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] rsa peer-public-key Switch003
RSA public key view: return to System View with "peer-public-key end".
[device-rsa-public-key] peer-public-key end
[device]
【命令】
protocol inbound { all | ssh | telnet }
【视图】
VTY类型的用户界面视图
【参数】
all:支持Telnet和SSH协议。
ssh:只支持SSH协议,不支持Telnet协议。
telnet:只支持Telnet协议,不支持SSH协议。
【描述】
protocol inbound命令用来指定当前用户界面支持的协议。
缺省情况下,系统支持所有的协议。
l 如果在该用户界面上配置支持的协议为SSH,为确保SSH用户登录成功,请您务必配置相应的认证方式为authentication-mode scheme(采用AAA认证)。
l 如果配置认证方式为authentication-mode password或authentication-mode none,则protocol inbound ssh配置将失败;反之,如果某用户界面已经配置为支持SSH协议,则在此用户界面上进行authentication-mode password或authentication-mode none的配置将失败。
【举例】
# 设置VTY0到VTY4只支持SSH协议。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] user-interface vty 0 4
[device-ui-vty0-4] authentication-mode scheme
[device-ui-vty0-4] protocol inbound ssh
【命令】
public-key local create { dsa | rsa }
【视图】
系统视图
【参数】
dsa: 密钥对类型为DSA。
rsa: 密钥对类型为RSA。
【描述】
public-key local create命令用来生成RSA或DSA密钥对。
需要注意的是:
l 输入该命令后,会提示输入密钥对的位数。密钥对的最小长度为512位,最大长度为2048位,缺省长度为1024位。如果已有密钥对存在,则需要用户确认是否进行修改。
l 此命令只需执行一遍,设备重新启动后不必再次执行。
【举例】
# 生成512位RSA密钥对。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] public-key local create rsa
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Input the bits in the modulus[default = 1024]:512
Generating keys...
..........++++++
.........................++++++
.................................++++++++
....++++++++
.......
# 生成512位DSA密钥对。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] public-key local create dsa
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Input the bits in the modulus[default = 1024]:512
Generating keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+..+................
.......+..........+..............+.............+...+.....+...............+..+...
...+.................+..........+...+....+.......+.....+............+.........+.
........................+........+..........+..............+.....+...+..........
..............+.........+..........+...........+........+....+..................
.....+++++++++++++++++++++++++++++++++++++++++++++++++++*
......
【命令】
public-key local destroy { dsa | rsa }
【视图】
系统视图
【参数】
dsa: 密钥对类型为DSA。
rsa: 密钥对类型为RSA。
【描述】
public-key local destroy命令用来销毁已生成的DSA或RSA密钥对数据。
【举例】
# 销毁RSA密钥对。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] public-key local destroy rsa
% Confirm to destroy these keys? [Y/N]:y
............
# 销毁DSA密钥对。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] public-key local destroy dsa
% Confirm to destroy these keys? [Y/N]:y
......
【命令】
public-key local export rsa { openssh | ssh1 | ssh2 } [ filename ]
【视图】
系统视图
【参数】
rsa:密钥类型为RSA。
openssh:导出的文件格式为OpenSSH。
ssh1:导出的文件格式为SSH1。
ssh2:导出的文件格式为SSH2。
filename:指定导出公钥存储的文件名,取值范围为1~142个字符。
【描述】
public-key local export rsa命令用来根据指定格式在屏幕上显示已生成的RSA密钥对的公钥部分或导出RSA密钥对的公钥部分到指定文件。
相关配置可参考命令public-key local create和public-key local destroy。
【举例】
# 导出RSA密钥的公钥部分为OpenSSH格式的文件,文件名设为pub_ssh_file2。
<device> system-view
[device] public-key local export rsa openssh pub_ssh_file2
# 导出RSA密钥的公钥部分为SSH1格式的文件,文件名设为pub_ssh_file3。
<device> system-view
[device] public-key local export rsa ssh1 pub_ssh_file3
# 以OpenSSH格式显示RSA主机公钥。
<device> system-view
[device] public-key local export rsa openssh
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgJp9xSd08CLsjJSP2ns9BezJpbBiT0e62hmPyUdFJXS+ZYywnZ2oofy9lZAm
QrGEqJtkifWpI1gqboM0LAqtGxS145Nlyz+MnVME+NH0XbuMEIa2zI2l3XmwgyEOcMMaJ0RAQ4ui3O3ijAs4Vuec
gANyMy9ShSsvkNluru3ZrW1Z rsa-key
【命令】
public-key local export dsa { openssh | ssh2 } [ filename ]
【视图】
系统视图
【参数】
openssh:导出的文件格式为OpenSSH。
ssh2:导出的文件格式为SSH2。
filename:指定导出公钥存储的文件名,取值范围为1~142个字符。
【描述】
public-key local export dsa命令用来根据指定格式在屏幕上显示已生成的DSA主机公钥或导出DSA主机公钥到指定文件。
相关配置可参考命令public-key local create和public-key local destroy。
【举例】
# 以OpenSSH格式导出DSA主机公钥。
<device> system-view
[device] public-key local export dsa openssh key.pub
# 以SSH2格式在屏幕上显示DSA主机公钥。
<device> system-view
[device] public-key local export dsa ssh2
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "dsa-key-20000410"
AAAAB3NzaC1kc3MAAACA11cmLEWExEwhHxi9luXwYcTwpCP3/mtrhbNM73LOFKDTpSIv4Izs5lvmwmWF
SIncHtvRPsiydNqfdbomzLmHcjYCeH6SK6hEIfIsPInLmwb9YP4BlB3dd/5rEok9p27rwdEo2X8GeNdy
K1NByFBvNYIUsWovrEs2iVA4eBHH2jMAAAAUx3MhjHN+yO6ZO08t7TD0jtrOkV8AAACAgiaQCeFOxHS6
8pMuadOx8YUXrZWUGEzN/OrpbsTV75MTPoS0cJPFKyDNNdAkkrOVnsZJliW8T6UILiLFs3ThbdABMs5x
sCAhcJGscXthI5HHbB+y6IMXwb2BcdQey4PiEMA8ybMugQVhwhYhxz1tqsAo9LFYXaf0JRlxjMmwnu8A
AACAbH2183/ZK8VFW+Auiqwdf9yZEAzrfIsJV5j6znydPocwnDxZUjJmQw0hO3s2+kz5BaHQxG6aouJ9
G1mIY3spBP70ZxjujUblgNpfZIraVUuQbt0Pyvm7vXgk9QD5qAdUtGFDo+QcR7FQ3iiArORC9CrF0ooS
0TOuG4anQ3py2Fk=
---- END SSH2 PUBLIC KEY ----
# 以OpenSSH格式显示DSA主机公钥。
<device> system-view
[device] public-key local export dsa openssh
ssh-dss AAAAB3NzaC1kc3MAAACA11cmLEWExEwhHxi9luXwYcTwpCP3/mtrhbNM73LOFKDTpSIv4Izs
5lvmwmWFSIncHtvRPsiydNqfdbomzLmHcjYCeH6SK6hEIfIsPInLmwb9YP4BlB3dd/5rEok9p27rwdEo
2X8GeNdyK1NByFBvNYIUsWovrEs2iVA4eBHH2jMAAAAUx3MhjHN+yO6ZO08t7TD0jtrOkV8AAACAgiaQ
CeFOxHS68pMuadOx8YUXrZWUGEzN/OrpbsTV75MTPoS0cJPFKyDNNdAkkrOVnsZJliW8T6UILiLFs3Th
bdABMs5xsCAhcJGscXthI5HHbB+y6IMXwb2BcdQey4PiEMA8ybMugQVhwhYhxz1tqsAo9LFYXaf0JRlx
jMmwnu8AAACAbH2183/ZK8VFW+Auiqwdf9yZEAzrfIsJV5j6znydPocwnDxZUjJmQw0hO3s2+kz5BaHQ
xG6aouJ9G1mIY3spBP70ZxjujUblgNpfZIraVUuQbt0Pyvm7vXgk9QD5qAdUtGFDo+QcR7FQ3iiArORC
9CrF0ooS0TOuG4anQ3py2Fk= dsa-key
【命令】
public-key peer keyname
undo public-key peer keyname
【视图】
系统视图
【参数】
keyname: 公共密钥名称,是一个长度为1~64个字符的字符串。
【描述】
public-key peer命令用来进入公共密钥视图。undo public-key peer命令用来删除远端公钥的配置。
输入public-key peer命令后,将进入公共密钥视图,和public-key-code begin一同使用,可以对远端的公钥进行配置。
目前设备上对所配置的公钥,只支持位数为512~2048位的公钥。
【举例】
# 进入公共密钥视图,公钥名称为pub.ppk。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] public-key peer pub.ppk
PKEY public key view: return to System View with "peer-public-key end".
[device-peer-public-key]
【命令】
public-key peer keyname import sshkey filename
undo public-key peer keyname
【视图】
系统视图
【参数】
keyname:公钥名称,是一个长度为1~64个字符的字符串。
filename:公钥数据的文件名,是一个长度为1~142个字符的字符串。
【描述】
public-key peer import sshkey命令用来配置从公钥文件中导入远端的公钥。undo public-key peer命令用来删除远端公钥的配置。
l 公钥文件的格式只支持SSH1、SSH2和OpenSSH格式。
l 目前设备上对从用户公钥文件中导入的公钥,只支持模数为512~2048位的公钥。
【举例】
# 从名为pub.ppk的用户密钥文件中导入用户公钥,定义名为peer.pk。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] public-key peer peek.pk import sshkey pub.ppk
【命令】
public-key-code begin
【视图】
公共密钥视图
【参数】
无
【描述】
public-key-code begin命令用来进入公共密钥编辑视图。
进入公共密钥编辑视图后,可以开始输入密钥数据。在输入密钥数据时,字符之间可以有空格,也可以按回车键继续输入数据。所配置的公钥必须是按PKCS编码的十六进制字符串。
相关配置可参考命令rsa peer-public-key,public-key-code end。
【举例】
# 进入公共密钥编辑视图,输入公钥数据。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] rsa peer-public-key Switch003
RSA public key view: return to System View with "peer-public-key end".
[device-rsa-public-key] public-key-code begin
RSA key code view: return to last view with "public-key-code end".
[device-rsa-key-code] 308186028180739A291ABDA704F5D93DC8FDF84C427463
[device-rsa-key-code] 1991C164B0DF178C55FA833591C7D47D5381D09CE82913
[device-rsa-key-code] D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4
[device-rsa-key-code] 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DC
[device-rsa-key-code] C48E3306367FE187BDD944018B3B69F3CBB0A573202C16
[device-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125
[device-rsa-key-code] public-key-code end
[device-rsa-public-key]
【命令】
public-key-code end
【视图】
公共密钥编辑视图
【参数】
无
【描述】
public-key-code end命令用来从公共密钥编辑视图退回到公共密钥视图,并且保存用户输入的公共密钥。
当执行此命令后,结束公钥的编辑过程,在保存之前,要进行密钥合法性的检测:
l 如果用户输入的公钥字符串中存在非法字符,那么将会显示相关提示信息,用户配置的密钥将被丢弃,本次配置失败;
l 如果输入的密钥合法,将会保存到本地的公钥表中。
相关配置可参考命令rsa peer-public-key,public-key-code begin。
【举例】
# 退出公共密钥编辑视图并保存用户配置的公共密钥。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] rsa peer-public-key Switch003
RSA public key view: return to System View with "peer-public-key end".
[device-rsa-public-key] public-key-code begin
RSA key code view: return to last view with "public-key-code end".
[device-rsa-key-code] 308186028180739A291ABDA704F5D93DC8FDF84C427463
[device-rsa-key-code] 1991C164B0DF178C55FA833591C7D47D5381D09CE82913
[device-rsa-key-code] D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4
[device-rsa-key-code] 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DC
[device-rsa-key-code] C48E3306367FE187BDD944018B3B69F3CBB0A573202C16
[device-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125
[device-rsa-key-code] public-key-code end
[device-rsa-public-key]
【命令】
rsa local-key-pair create
【视图】
系统视图
【参数】
无
【描述】
rsa local-key-pair create命令用来生成RSA主机密钥对和服务器密钥对。RSA公钥的命名方式为设备名称加上“_Host”和设备名称加上“_Server”,如:device_Host和device_Server。
需要注意的是:
l 输入该命令后,会提示输入密钥对的位数。密钥对的最小长度为512位,最大长度为2048位,缺省长度为1024位。如果已有密钥对存在,则需要用户确认是否进行修改。
l 此命令只需执行一遍,设备重新启动后不必再次执行。
配置rsa local-key-pair create命令后:
l 当设备工作在兼容SSH1模式下时,使用display rsa local-key-pair public命令时会显示两个公钥,包括device_Host和device_Server;
l 当设备工作在SSH2模式时,使用display rsa local-key-pair public命令只显示一个公钥,即device_Host。
相关配置可参考命令rsa local-key-pair destroy,display rsa local-key-pair public。
【举例】
# 生成1024位RSA密钥对。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] rsa local-key-pair create
The local-key-pair will be created.
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Input the bits in the modulus[default = 1024]:
Generating keys...
........................++++++
.......++++++
.................................++++++++
...++++++++
........Done!
【命令】
rsa local-key-pair destroy
【视图】
系统视图
【参数】
无
【描述】
rsa local-key-pair destroy命令用来销毁RSA主机密钥对和服务器密钥对。
相关配置可参考命令rsa local-key-pair create。
【举例】
# 销毁RSA主机密钥对和服务器密钥对。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] rsa local-key-pair destroy
% The local-key-pair will be destroyed.
% Confirm to destroy these keys? [Y/N]:y
.............Done!
【命令】
rsa peer-public-key keyname
undo rsa peer-public-key keyname
【视图】
系统视图
【参数】
keyname:公钥名称,是一个长度为1~64个字符的字符串。
【描述】
rsa peer-public-key命令用来进入公共密钥视图。undo rsa peer-public-key命令用来删除远端公钥的配置。
输入该命令后,将进入公共密钥视图,和public-key-code begin一同使用,可以在客户端配置远端公钥。
相关配置可参考命令public-key-code begin,public-key-code end和rsa local-key-pair create。
【举例】
# 进入名称为Switch002的公共密钥视图。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] rsa peer-public-key Switch002
RSA public key view: return to System View with "peer-public-key end".
[device-rsa-public-key]
【命令】
rsa peer-public-key keyname import sshkey filename
undo rsa peer-public-key keyname
【视图】
系统视图
【参数】
keyname:公钥名称,是一个长度为1~64个字符的字符串。
filename:公钥文件的名称,是一个长度为1~142个字符的字符串。
【描述】
rsa peer-public-key import sshkey命令用来配置从公钥文件中导入远端的公钥。undo rsa peer-public-key命令用来删除远端公钥的配置。
执行本命令后,系统会自动对生成的公钥文件进行格式转换(转换为PKCS标准编码形式),并实现远端公钥的配置。这种方式需要远端事先将公钥文件通过FTP/TFTP方式上传到本端。
rsa peer-public-key import sshkey只支持对RSA公钥的转换,不支持对DSA公钥的转换,如果需要转换DSA公钥及自动配置,请使用public-key peer import sshkey命令。
【举例】
# 将公钥文件abc进行格式转换并进行自动配置,公钥名为123。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] rsa peer-public-key 123 import sshkey abc
【命令】
ssh authentication-type default { all | password | password-publickey | publickey | rsa }
undo ssh authentication-type default
【视图】
系统视图
【参数】
all:指定SSH用户的认证方式可以是口令认证也可以是公钥认证,二者满足其一即可。
password:指定该用户的认证方式为口令认证。
password-publickey:指定SSH用户的认证方式为口令认证和公钥认证同时满足。
publickey:指定SSH用户的认证方式为公钥认证(可以是RSA或DSA)。
rsa:指定SSH用户的认证方式为公钥认证(可以是RSA或DSA),和publickey实现方式一致。
publickey和rsa参数都表示公钥认证,并且实现方式一致。
【描述】
ssh authentication-type default命令用来为SSH用户指定一种缺省的认证方式。配置该命令后,每当增加一个SSH用户时,若没有通过ssh user authentication-type命令单独为这个用户指定认证方式,则该用户采用缺省认证方式。
undo ssh authentication-type default命令用来清除所指定的缺省认证方式,也就是不再指定缺省认证方式。此时每当增加一个SSH用户时,必须同时为其指定认证方式。
缺省情况下,没有指定缺省的认证方式。
【举例】
# 指定缺省认证方式为公钥认证。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh authentication-type default publickey
【命令】
ssh client { server-ip | server-name } assign { publickey | rsa-key } keyname
undo ssh client { server-ip | server-name } assign { publickey | rsa-key }
【视图】
系统视图
【参数】
server-ip:服务器的IP地址。
server-name:服务器的名称,是一个长度为1~184的字符串。
Keyname:指定服务器端公钥名称,是一个长度为1~64个字符的字符串。
publickey和rsa-key参数都表示公钥,并且实现方式一致。
【描述】
ssh client assign命令用来在客户端上指定要连接的服务器的公钥名称,以便客户端认证连接的服务器是否为可信赖的服务器。undo ssh client assign命令用来取消该服务器公钥的指定关系。
【举例】
# 服务器的IP地址为192.168.0.1,在客户端指定该服务器的RSA公钥名称为pub.ppk。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh client 192.168.0.1 assign rsa-key pub.ppk
【命令】
ssh client first-time enable
undo ssh client first-time
【视图】
系统视图
【参数】
无
【描述】
ssh client first-time enable命令用来设置SSH客户端对访问的SSH服务器支持首次认证。undo ssh client first-time命令用来取消SSH客户端对访问的SSH服务器支持首次认证。
所谓首次认证,是指当SSH客户端首次访问的服务器公钥在本地不存在时,用户可以选择继续访问该服务器,并在本地保存该服务器的公钥;当用户下次访问该服务器时,就以保存的公钥来认证该服务器。
如果不支持首次认证,那么当连接的服务器公钥在本地不存在时,客户端将拒绝访问该服务器。用户可以事先通过手工配置方式或导入方式将要访问的服务器的公钥保存在本地中。
缺省情况下,客户端进行首次认证。
【举例】
# 设置SSH客户端对访问的SSH服务器支持首次认证。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh client first-time enable
【命令】
ssh server authentication-retries times
undo ssh server authentication-retries
【视图】
系统视图
【参数】
times:认证重试次数,取值范围为1~5。
【描述】
ssh server authentication-retries命令用来设置SSH连接认证重试次数。undo ssh server authentication-retries命令用来恢复SSH连接认证重试次数的默认值。该配置在用户下次登录时生效。
缺省情况下,SSH连接认证重试次数为3次。
相关配置可参考命令display ssh server。
如果用户使用ssh user authentication-type命令配置了password-publickey验证方式,则认证重试次数必须大于等于2。
【举例】
# 指定登录认证的重试次数为4次
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh server authentication-retries 4
【命令】
ssh server compatible-ssh1x enable
undo ssh server compatible-ssh1x
【视图】
系统视图
【参数】
无
【描述】
ssh server compatible-ssh1x enable命令用来设置服务器端兼容SSH1.x版本的客户端。undo ssh server compatible-ssh1x命令用来设置服务器端不兼容SSH1.x版本的客户端。
缺省情况下,服务器端兼容SSH1.x版本的客户端。
【举例】
# 设定服务器端兼容SSH1.x版本的客户端。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh server compatible-ssh1x enable
【命令】
ssh server rekey-interval hours
undo ssh server rekey-interval
【视图】
系统视图
【参数】
hours:服务器密钥的更新周期,单位为小时,取值范围为1~24。
【描述】
ssh server rekey-interval命令用来设置服务器密钥的更新时间。undo ssh server rekey-interval命令用来恢复为缺省情况。
缺省情况下,服务器密钥对的更新时间为0,表示不更新服务器密钥对。
此命令仅对客户端版本为SSH1.x的用户有效。
【举例】
# 设置每3小时更新一次服务器密钥对。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh server rekey-interval 3
【命令】
ssh server timeout seconds
undo ssh server timeout
【视图】
系统视图
【参数】
seconds:指定认证超时时间,单位为秒,取值范围为1~120。
【描述】
ssh server timeout命令用来设置SSH连接的认证超时时间。undo ssh server timeout命令用来恢复认证超时时间为缺省值。
缺省情况下,SSH连接的认证超时时间为60秒。
需要注意的是,配置命令将在用户下次登录时生效。
相关配置可参考命令display ssh server。
【举例】
# 设定认证超时时间为80秒。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh server timeout 80
【命令】
ssh user username
undo ssh user username
【视图】
系统视图
【参数】
username:有效的SSH用户名,是一个长度为1~184的字符串。
【描述】
ssh user命令用来创建一个SSH用户。undo ssh user命令用来删除指定的SSH用户。
需要注意的是:通过该方式创建的SSH用户,若没有通过ssh user authentication-type命令单独为这个用户指定认证方式,则该用户采用ssh authentication-type default命令指定的缺省认证方式。反之,如果不配置SSH的缺省认证方式,则必须单独为这个用户指定认证方式。
在SSH服务器上创建SSH用户的目的是为用户指定认证方式、SSH服务类型、用户公钥等信息。对于已创建的SSH用户,当该用户的认证方式、SSH服务类型、用户公钥都不存在时,系统会自动删除该SSH用户。
【举例】
# 配置缺省的认证方式为password,创建一个SSH用户,用户名为abc。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh authentication-type default password
[device] ssh user abc
【命令】
ssh user username assign { publickey | rsa-key } keyname
undo ssh user username assign { publickey | rsa-key }
【视图】
系统视图
【参数】
username:有效的SSH用户名,是一个长度为1~184的字符串。
keyname:公钥名称,是一个长度为1~64的字符串。
【描述】
ssh user assign命令用来为SSH用户分配一个已经存在的公共密钥。undo ssh user assign命令用来删除此用户和它的公钥之间的对应关系。
使用该命令为用户分配公钥时,如果此用户已经被分配了公钥,那么以最后一次分配的公钥为准。
新配置的用户公钥下次登录时生效。
publickey和rsa-key参数都表示公钥,并且实现方式一致。
【举例】
# 为SSH用户1分配公钥名为127.0.0.1的公钥。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh user 1 assign publickey 127.0.0.1
【命令】
ssh user username authentication-type { all | password | password-publickey | publickey | rsa }
undo ssh user username authentication-type
【视图】
系统视图
【参数】
username:有效的SSH用户名,取值范围为1~184个字符。
all:指定该用户的认证方式可以是口令认证,也可以是公钥认证。
password:指定该用户的认证方式为口令认证。
password-publickey:指定用户的认证方式为口令认证和公钥认证。也就是用户必须通过口令认证和公钥认证,才能登录。
publickey:指定该用户的认证方式为公钥认证(可以是RSA或DSA)。
rsa:指定该用户的认证方式为公钥认证(可以是RSA或DSA),和publickey实现方式一致。
l 对于password-publickey指定的认证方式,客户端版本为SSH1的用户只要通过其中一种认证即可登录;客户端版本为SSH2的用户必须两种认证都通过才能登录。
l publickey和rsa参数都表示公钥认证,并且实现方式一致。
【描述】
ssh user authentication-type命令用来在服务端指定用户登录时可以选用的认证方式。undo ssh user authentication-type命令用来恢复系统默认的无法登录方式。
缺省情况下,系统不指定用户的认证方式。对于新用户,必须指定其认证方式,否则将无法登录。
【举例】
# 配置SSH用户认证方式为publickey。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh user guest authentication-type publickey
【命令】
ssh user username service-type { stelnet | sftp | all }
undo ssh user username service-type
【视图】
系统视图
【参数】
username:有效的SSH用户名,是一个长度为1~184的字符串。
stelnet:服务类型为stelnet。
sftp:服务类型为SFTP。
all:包括stelnet和SFTP两种服务类型。
【描述】
ssh user service-type命令用来为某一特定用户指定服务类型。undo ssh user service-type命令用来取消为某一特定用户指定的服务类型。
缺省情况下,系统的服务类型为stelnet。
相关配置可参考命令display ssh user-information。
【举例】
# 为用户kk指定服务类型为SFTP。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh user kk service-type sftp
【命令】
ssh2 { host-ip | host-name } [ port-num ] [ identity-key { dsa | rsa } | prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher { des | aes128 } | prefer_stoc_cipher { des | aes128 } | prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] *
【视图】
系统视图
【参数】
host-ip:服务器IP地址。
host-name:表示服务器名称的字符串,长度为1~20个字符。
port-num:服务器端口号,取值范围为0~65535,缺省值为22。
identity-key:公钥认证采用的公共密钥算法,缺省算法为rsa。
l dsa:公共密钥算法为DSA。
l rsa:公共密钥算法为RSA。
prefer_kex:Key交换首选算法,选择两种算法之间的一种。
l dh_group1:Key交换算法diffie-hellman-group1-sha1,为缺省Key交换算法。
l dh_exchange_group:Key交换算法diffie-hellman-group-exchange-sha1。
prefer_ctos_cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
prefer_stoc_cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
l des:des_cbc加密算法。
l aes128:aes_128加密算法。
prefer_ctos_hmac:客户端到服务器端的首选HMAC算法,缺省为sha1_96。
prefer_stoc_hmac:服务器端到客户端的首选HMAC算法,缺省为sha1_96。
l sha1:HMAC算法hmac-sha1。
l sha1_96:HMAC算法hmac-sha1-96。
l md5:HMAC算法hmac-md5。
l md5_96:HMAC算法hmac-md5-96。
l DES(Data Encryption Standard)为数据加密标准算法;
l AES(Advanced Encryption Standard)为高级加密标准算法。
【描述】
ssh2命令用来启动SSH客户端和服务器端建立连接,并指定客户端和服务器的首选密钥交换算法、首选加密算法和首选HMAC算法。
需要注意的是,如果在服务器端指定客户端的认证方式为公钥认证,当客户端登录服务器端时客户端需要读取本地的私钥进行验证。由于公钥认证可以采用RSA和DSA两种公钥算法,所以需要用identity-key关键字指定采用的公钥算法,才能得到正确的本地私钥数据,否则无法成功登录。
【举例】
# 登录地址为10.214.50.51的远程SSH2服务器,具体加密算法配置如下:
l 首选Key交换算法为dh_exchange_group
l 服务器到客户端的首选加密算法为aes128
l 客户端到服务器的首选HMAC算法为md5
l 服务器到客户端的HMAC算法为sha1_96
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh2 10.214.50.51 prefer_kex dh_exchange_group prefer_stoc_cipher aes128 prefer_ctos_hmac md5 prefer_stoc_hmac sha1_96
【命令】
ssh2 source-interface interface-type interface-number
undo ssh2 source-interface
【视图】
系统视图
【参数】
interface-type interface-number:源接口的类型和编号。
【描述】
ssh2 source-interface命令用来为SSH客户端指定源接口。当指定接口不存在时,命令提示不成功。undo ssh2 source-interface命令用来取消指定的源接口,取消后,以系统决定的本设备接口访问SSH服务器。
【举例】
# 为SSH客户端指定源接口为Vlan-interface 1。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh2 source-interface Vlan-interface 1
【命令】
ssh2 source-ip ip-address
undo ssh2 source-ip
【视图】
系统视图
【参数】
ip-address:需要设置的源IP地址。
【描述】
ssh2 source-ip命令用来为SSH客户端指定源IP地址。undo ssh2 source-ip命令用来取消指定的源IP地址,取消后,以系统决定的本设备地址访问SSH服务器。
当指定的ip-address不是本设备地址时,命令提示不成功。
【举例】
# 为SSH客户端指定源IP地址192.168.1.1。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh2 source-ip 192.168.1.1
【命令】
ssh-server source-interface interface-type interface-number
undo ssh-server source-interface
【视图】
系统视图
【参数】
interface-type interface-number:源接口的类型和编号。
【描述】
ssh-server source-interface命令用来为SSH服务器端指定源接口。当指定接口不存在时,命令提示不成功。undo ssh-server source-interface命令用来取消指定的源接口,取消后,以系统决定的本设备接口供SSH用户访问。
【举例】
# 为SSH 服务器端指定源接口Vlan-interface1。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh-server source-interface Vlan-interface 1
【命令】
ssh-server source-ip ip-address
undo ssh-server source-ip
【视图】
系统视图
【参数】
ip-address:需要设置的源IP地址。
【描述】
ssh-server source-ip命令用来为SSH 服务器端指定源IP地址。当指定的ip-address不是本设备地址时,命令提示不成功。undo ssh-server source-ip命令用来取消指定的源IP地址,取消后,以系统决定的本设备地址供SSH用户访问。
【举例】
# 为SSH服务器端指定源IP地址192.168.0.1。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] ssh-server source-ip 192.168.0.1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!