• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C WX3000系列有线无线一体化交换机交换引擎 操作手册-6PW103

29-FTP-SFTP-TFTP操作

本章节下载 29-FTP-SFTP-TFTP操作  (325.43 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Configure/Operation_Manual/H3C_WX3000_OM-6PW103/200907/643536_30005_0.htm

29-FTP-SFTP-TFTP操作


1 FTP与SFTP

l    本文所指的交换机代表了一般意义下的交换设备,以及WX3000系列设备的交换引擎,WX3000系列设备的交换引擎在实际配置中可以作为交换机使用。为提高可读性,在手册的描述中将不另行说明。

l    本文中出现的设备显示信息以WX3024为例,实际使用中请以设备实际情况为准。

l    新增FTP服务器的banner信息特性,请参见1.2.1  6.

 

1.1  FTP与SFTP简介

1.1.1  FTP简介

FTP(File Transfer Protocol,文件传输协议)是IP网络上传输文件的通用协议。在万维网(WWW,World Wide Web)出现以前,用户使用命令行方式传输文件,最通用的应用程序就是FTP。虽然目前大多数用户在通常情况下选择使用E-mail和Web传输文件,但是FTP仍然被广泛使用。

FTP协议在TCP/IP协议族中属于应用层协议,用于在远端服务器和本地客户端之间传输文件,使用TCP端口20和21进行传输。端口20用于数据传输,端口21用于控制命令传输。FTP协议基本操作在RFC959中进行了描述。

FTP有两种文件传输模式:

l              二进制模式,用于传输程序文件;

l              ASCII码模式,用于传输文本文件。

设备在FTP应用中可以作为以下两种角色参与数据传输:

表1-1 设备在FTP应用中的两种角色

 

说明

注意事项

设备做为FTP服务器

设备作为FTP服务器时,为FTP客户端提供文件服务。用户在PC上可以运行FTP客户端程序登录到FTP服务器,访问服务器端的文件。

FTP功能可以正常使用的条件是设备和PC之间路由可达

设备做为FTP客户端

用户在PC上通过终端仿真程序或Telnet程序建立与设备的连接后,输入ftp X.X.X.X命令(X.X.X.X代表远程FTP服务器的IP地址或主机名),并输入正确的用户名和密码后,即可登录到远程FTP服务器。设备作为FTP客户端可以访问远程FTP服务器上的文件。

 

1.1.2  SFTP简介

SFTP(Secure FTP,安全FTP)建立在SSH2连接的基础之上,它使得远程用户可以安全地登录交换引擎,进行文件管理和文件传送等操作,为数据传输提供了更高的安全保障。同时,由于设备支持作为客户端的功能,用户可以从本地设备安全登录到远程设备上,进行文件的安全传输。

1.2  FTP配置

表1-2 FTP配置任务简介

 

配置任务

说明

详细配置

设备做为FTP服务器的配置

创建FTP用户

必选

1.2.1  1.

启动FTP服务器

必选

1.2.1  2.

设置FTP服务器的连接空闲时间

可选

1.2.1  3.

指定FTP服务器的源接口或源IP地址

可选

1.2.1  4.

断开与指定用户的FTP连接

可选

1.2.1  5.

指定FTP服务器的banner信息

可选

1.2.1  6.

查看FTP服务器的配置显示

可选

1.2.1  7.

设备做为FTP客户端的配置

FTP客户端的基本配置

-

1.2.2  1.

指定FTP客户端的源接口或源IP地址

可选

1.2.2  2.

 

1.2.1  设备作为FTP服务器的配置

1. 创建FTP用户

设置FTP用户的用户名、密码,并将服务类型设置为FTP。用户名和密码将作为FTP客户端登录服务器时的验证信息,只有通过验证的用户才可以获得访问服务器的权限。

表1-3 创建FTP用户

操作

命令

说明

进入系统视图

system-view

-

添加本地用户,并进入本地用户视图

local-user user-name

必选

缺省情况下,系统中没有任何本地用户

设置指定用户的密码

password { simple | cipher } password

可选

缺省情况下,未设置指定用户的密码

设置用户可以使用的服务类型为FTP

service-type ftp

必选

缺省情况下,系统不对用户授权任何服务

 

2. 启动FTP服务器

表1-4 启动FTP服务器

操作

命令

说明

进入系统视图

system-view

-

启动FTP服务器

ftp server enable

必选

缺省情况下,FTP服务器功能处于关闭状态

 

l    设备作为FTP服务器时同时只能支持1个用户的访问。

l    当设备作为FTP服务器时,不能接收大于自身剩余存储空间的文件。如果客户端上传过大的文件,将会因服务器存储空间不足而中断FTP连接。

 

设备为防止恶意用户对未使用SOCKET的攻击,提高设备的安全性,提供了如下功能:

l    在启动FTP服务器功能时,才打开FTP使用的TCP 21端口。

l    在关闭FTP服务器功能时,同时关闭TCP 21端口。

 

3. 设置FTP服务器的连接空闲时间

设置该空闲时间后,如果服务器端在一定时间内没有收到客户端发来的服务请求,服务器端会断开与该客户端的连接,从而有效避免某用户长期占用该连接而不进行任何操作。

表1-5 设置FTP服务器的连接空闲时间

操作

命令

说明

进入系统视图

system-view

-

设置FTP服务器的连接空闲时间

ftp timeout minutes

可选

缺省情况下,FTP服务器的连接空闲时间为30分钟

 

4. 指定FTP服务器的源接口或源IP地址

用户可以通过下面的配置,使FTP客户端只能使用FTP服务器提供的指定接口所对应的IP地址或指定IP地址作为目的地址访问FTP服务器,提高FTP服务的安全性。

源接口指设备上已经创建的VLAN接口或LoopBack接口,源IP指设备上已经配置的接口IP地址。源接口与源IP一一对应,指定了FTP服务器使用的源接口,即相当于指定该接口所对应的IP地址作为FTP服务器使用的源IP地址。

 

表1-6 指定FTP服务器的源接口或源IP地址

操作

命令

说明

进入系统视图

system-view

-

指定FTP服务器的源接口

ftp-server source-interface interface-type interface-number

二者选其一

缺省情况下,未指定FTP服务器的源接口或源IP地址

指定FTP服务器的源IP地址

ftp-server source-ip ip-address

 

l    指定的接口必须存在,当指定接口不存在时,命令提示配置不成功。

l    指定的ip-address必须为本设备地址,当指定的ip-address不是本设备地址时,命令提示配置不成功。

l    同一时刻只能对FTP服务器设置一个源接口或源IP地址,即ftp-server source-interfaceftp-server source-ip两条命令中只能有一条生效。当用户使用这两条命令对FTP服务器的源接口或源IP地址进行重复设置时,新的配置会覆盖已有配置。

l    如果设备为集群当中的命令设备或者成员设备,则不要将ftp-server source-ip配置成集群私有IP地址,否则将导致FTP功能不可用。

 

5. 断开与指定用户的FTP连接

通过以下操作,网络管理员可以在FTP服务器上强行断开与指定用户的连接,保障网络的安全运行。

表1-7 断开与指定用户的FTP连接

操作

命令

说明

进入系统视图

system-view

-

在FTP服务器端断开与指定用户的FTP连接

ftp disconnect user-name

必选

 

当设备作为FTP服务器,网络管理员在服务器端强行断开与指定用户的FTP连接时,如果该用户正在进行数据传输,设备将在传输完成之后执行中断操作。

 

6. 指定FTP服务器的banner信息

banner信息的显示:在FTP服务器上设定banner信息后,用户通过FTP协议访问作为FTP服务器的设备时,在FTP客户端会显示设备上配置的banner信息。banner信息分为以下两种:

l              login banner信息:在FTP客户端与服务器端建立连接后,服务器将配置的login banner信息输出到FTP客户端的显示终端。

图1-1 显示login banner信息过程

 

l              shell banner信息:在FTP客户端与服务器端已经建立连接,并通过输入正确的用户名和密码成功登录到FTP服务器后,服务器将配置的shell banner信息输出到FTP客户端的显示终端。

图1-2 显示shell banner信息过程

 

表1-8 配置FTP服务器的banner显示信息

操作

命令

说明

进入系统视图

system-view

-

配置login banner显示信息

header login text

必选,二者选其一,也可同时配置

缺省情况下,没有配置banner信息

配置shell banner显示信息

header shell text

 

有关header命令的具体内容请参见本手册“登录交换引擎”部分的详细介绍。

 

7. 查看FTP服务器的配置显示

完成上述配置后,在任意视图下执行display命令,可以显示配置FTP服务器后的运行情况。通过查看显示信息,用户可以验证配置的效果。

表1-9 查看FTP服务器的配置显示

操作

命令

说明

查看设备上FTP服务器功能的配置信息

display ftp-server

display命令可以在任意视图下执行

查看当前为FTP服务器设置的源IP地址

display ftp-server source-ip

查看当前登录到设备上的FTP用户

display ftp-user

 

1.2.2  设备作为FTP客户端的配置

1. FTP客户端的基本配置

缺省情况下,设备即可充当FTP客户端,此时设备可与FTP服务器连接,并可在设备上通过命令行对自身或服务器端进行相应的操作(如建立、删除目录等),具体请参见表1-10

表1-10 FTP客户端可进行的基本配置

操作

命令

说明

进入FTP客户端视图

ftp [ cluster | remote-server [ port-number ] ]

-

设置文件传输模式为ASCII模式

ascii

二者选其一

缺省情况下,文件传输模式为ASCII模式

设置文件传输模式为二进制模式

binary

设置数据传输方式为被动方式

passive

可选

缺省情况下,数据传输方式为被动方式

进入远程FTP服务器上的另一工作目录

cd pathname

可选

把用户在远程SFTP服务器上的工作目录改变为上一级目录

cdup

获得FTP客户端本地的工作目录

lcd

显示用户在SFTP服务器上的当前工作目录的名称

pwd

在FTP服务器上建立目录

mkdir pathname

删除FTP服务器上的目录

rmdir pathname

删除FTP服务器上指定的文件

delete remotefile

查询FTP服务器上指定的文件

dir [ remotefile ] [ localfile ]

可选

如果不指定文件名参数,将显示当前目录下所有文件。dir与ls的区别在于dir能显示文件的名称、目录和文件属性,ls只能显示文件名称和目录,不能显示文件属性

ls [ remotefile ] [ localfile ]

从FTP服务器下载远程文件,并保存在本地

get remotefile [ localfile ]

可选

上传本地的文件到远程FTP服务器

put localfile [ remotefile ]

重命名FTP服务器上的文件

rename remote-source remote-dest

使用指定的用户名和密码登录

user username [ password ]

与远程FTP服务器建立控制连接

open { ip-address | server-name } [ port ]

在不退出FTP客户端视图的前提下,将FTP客户端与FTP服务器断开

disconnect

close

终止与远程FTP服务器的连接,并退回到用户视图

quit

bye

显示FTP协议命令的帮助

remotehelp [ protocol-command ]

打开verbose开关

verbose

可选

缺省情况下,开启verbose开关

 

2. 指定FTP客户端的源接口或源IP地址

用户可以通过下面的配置,使设备作为FTP客户端只能使用自身的指定接口所对应的IP地址或指定IP地址作为源地址建立与远程FTP服务器的连接。

表1-11 指定FTP客户端的源IP地址和源接口

操作

命令

说明

指定FTP客户端本次连接FTP服务器使用的源接口

ftp { cluster | remote-server } source-interface interface-type interface-number

可选

指定FTP客户端本次连接FTP服务器使用的源IP地址

ftp { cluster | remote-server } source-ip ip-address

可选

进入系统视图

system-view

-

指定FTP客户端连接FTP服务器时固定使用的源接口

ftp source-interface interface-type interface-number

二者选其一

缺省情况下,未指定FTP客户端的源接口或源IP地址

指定FTP客户端连接FTP服务器时固定使用的源IP地址

ftp source-ip ip-address

显示FTP客户端连接FTP服务器时固定使用的源IP地址

display ftp source-ip

display命令可以在任意视图下执行

 

l    指定的接口必须存在,当指定接口不存在时,命令提示配置不成功。

l    指定的ip-address必须为本设备地址,当指定的ip-address不是本设备地址时,命令提示配置不成功。

l    本次连接配置优先级高于固定配置。如果FTP客户端在连接FTP服务器时配置的本次连接使用的源接口或源IP与已经配置的固定使用的源接口或源IP不同,本次连接配置会代替固定配置生效。

l    同一时刻只能对FTP客户端设置一个固定使用的源接口或源IP地址,即ftp source-interfaceftp source-ip两条命令中只能有一条生效。当用户使用这两条命令对FTP客户端固定使用的源接口或源IP地址进行重复设置时,新的配置会覆盖已有配置。

 

1.2.3  设备作为FTP服务器的配置举例

本配置举例所指的交换机和以太网交换机代表了设备的交换引擎。

 

1. 组网需求

将交换引擎设置为FTP服务器,远端的PC作为FTP客户端。交换引擎的配置文件config.cfg保存在PC上,PC通过FTP向远端的交换引擎上传config.cfg,并通过startup saved-configuration 命令指定该config.cfg为下次启动时的主配置文件,重新启动设备。

l              需要在FTP服务器上配置一个FTP用户名为switch,密码为hello。

l              已经配置交换引擎上的一个VLAN接口的IP地址为1.1.1.1,PC的IP地址为2.2.2.2。设备和PC之间路由可达。

2. 组网图

图1-3 设备作为FTP服务器的配置示意图

 

3. 配置步骤

(1)        FTP服务器(SwitchA)上的配置:

网络管理员登录到交换引擎上,在交换引擎上开启FTP服务器功能,并设置用于登录本机FTP服务的用户名和密码,并将服务类型设置为FTP。(网络管理员可以在本地登录到交换引擎上,也可以通过Telnet远程登录到交换引擎上。具体登录方式请参见本手册“登录交换引擎”部分的介绍)

# 设置FTP用户名为switch、密码为hello,并将服务类型设置为FTP。

<device>

<device> system-view

[device] ftp server enable

[device] local-user switch

[device-luser-switch] password simple hello

[device-luser-switch] service-type ftp

(2)        FTP客户端(PC)上的配置:

在PC上运行FTP客户端程序,与设备建立FTP连接。通过上传操作把交换引擎的配置文件config.cfg上传到设备的Flash根目录下。这里以Windows系统的命令行窗口工具为例进行说明。

# 进入命令行窗口,并切换至config.cfg文件所在目录。(假设该文件存放在分区C的根目录下)

C:\>

# 使用ftp功能访问交换引擎,并输入用户名switch、密码hello进行登录,进入FTP视图。

C:\> ftp 1.1.1.1

Connected to 1.1.1.1.

220 FTP service ready.

User (1.1.1.1:(none)): switch

331 Password required for switch.

Password:

230 User logged in.

ftp>

# 上传config.cfg文件。

ftp> put config.cfg

200 Port command okay.

150 Opening ASCII mode data connection for config.cfg.

226 Transfer complete.

上述操作仅以Windows系统的命令行窗口工具作为举例,当用户使用不同的FTP客户端进行登录时,具体操作请参见FTP客户端软件的使用说明。

l    FTP客户端在向设备上传文件时,如果设备的Flash空间不足,请删除Flash中未在使用中的文件,然后再上传新的文件到设备Flash中。正在使用的文件是无法删除的。

l    FTP客户端应用程序由用户自行提供,设备不附带此软件。

 

(3)        FTP服务器(SwitchA)上的配置:

# 在上传完毕后,用户可以通过startup saved-configuration命令来指定已上传的配置文件为下次启动时的主配置文件,然后重启设备。

<device>startup saved-configuration config.cfg main

 Please wait........................................Done!

有关startup saved-configuration命令及指定交换引擎启动主配置文件的内容,请参见本手册“系统维护与调试”部分的详细介绍。

 

1.2.4  FTP服务器的banner信息配置举例

本配置举例所指的交换机和以太网交换机代表了设备的交换引擎。

 

1. 组网需求

设备为FTP服务器,远端的PC为FTP客户端。FTP客户端与FTP服务器建立连接并成功登录后,在FTP客户端显示banner信息。

l              已经在FTP服务器上配置一个FTP用户名为switch,密码为hello。

l              已经配置交换引擎上的一个VLAN接口的IP地址为1.1.1.1,PC的IP地址为2.2.2.2。设备和PC之间路由可达。

l              需要配置交换引擎的login banner信息为“login banner appears”,shell banner信息为“shell banner appears”。

2. 组网图

图1-4 FTP服务器的banner信息配置示意图

 

3. 配置步骤

(1)        FTP服务器(Switch)上的配置:

# 配置交换引擎的login banner信息为“login banner appears”,shell banner信息为“shell banner appears”(组网需求中的需求一和需求二的具体配置请参考“1.2.3  设备作为FTP服务器的配置举例”部分)。

<device> system-view

[device] header login %login banner appears%

[device] header shell %shell banner appears%

[device]

(2)        FTP客户端(PC)上的配置:

# 使用ftp功能访问交换引擎,并输入用户名switch、密码hello进行登录,进入FTP视图。建立FTP连接后显示login banner信息,用户认证通过后显示shell banner信息。

C:\> ftp 1.1.1.1

Connected to 1.1.1.1.

220-login banner appears

 

220 FTP service ready.

User (1.1.1.1:(none)): switch

331 Password required for switch.

Password:

230-shell banner appears

 

230 User logged in.

ftp>

1.2.5  设备作为FTP客户端的配置举例

本配置举例所指的交换机和以太网交换机代表了设备的交换引擎。

 

1. 组网需求

设备作为FTP客户端,远端的PC作为FTP服务器。交换引擎的配置文件config.cfg 保存在PC上。设备通过FTP从远端的FTP服务器上下载config.cfg,并通过startup saved-configuration命令指定config.cfg为下次启动时的主配置文件,重新启动设备。

l              需要在FTP服务器上存在一个FTP用户,其用户名为switch,密码为hello,并且对该用户授权了PC机上switch目录的读写权限。

l              需要配置设备上的一个VLAN接口的IP地址为1.1.1.1,PC的IP地址为2.2.2.2,设备和PC之间路由可达。

2. 组网图

图1-5 设备作为FTP客户端的配置示意图

 

3. 配置步骤

(1)        FTP服务器(PC)上的配置:

(2)        在PC上配置FTP服务器的相关参数:一个FTP用户名为switch,密码为hello。配置步骤请参考FTP服务器软件的使用说明。

(3)        FTP客户端(Switch)上的配置:

# 用户登录到交换引擎上。(用户可以在本地登录到交换引擎上,也可以通过Telnet远程登录到设备上。各种登录方式请参见本手册“登录交换引擎”部分的介绍)

设备在从FTP服务器下载文件时,如果设备的Flash空间不足,请删除Flash中未在使用中的文件,然后再上传新的文件到设备Flash中。正在使用的文件是无法删除的。

 

# 在用户视图下输入ftp命令进行FTP连接,并输入用户名Switch、密码hello进行登陆,进入FTP视图。

<device> ftp 2.2.2.2

Trying ...

Press CTRL+K to abort

Connected.

220 FTP service ready.

User(none):switch

331 Password required for switch.

Password:

230 User logged in.

[ftp]

# 进入FTP服务器的授权路径。

[ftp] cd switch

# 执行get命令将FTP服务器上的文件config.cfg下载到设备的Flash。

[ftp] get config.cfg

# 执行quit命令中断FTP连接,退回到用户视图下。

[ftp] quit

<device>

# 下载完毕后,用户可以通过命令startup saved-configuration来指定下载的配置文件为下次启动时的主配置文件,然后重启设备。

<device>startup saved-configuration config.cfg main

 Please wait........................................Done!

有关startup saved-configuration命令及指定设备启动文件的内容,请参见本手册“系统维护与调试”部分的详细介绍。

 

1.3  SFTP配置

表1-12 SFTP配置任务简介

 

配置任务

说明

详细配置

设备作为SFTP服务器的配置

启动SFTP服务器

必选

1.3.1  1.

设置SFTP服务器的连接空闲时间

可选

1.3.1  2.

支持的SFTP客户端软件

-

1.3.1  3.

设备作为SFTP客户端的配置

SFTP客户端的基本配置

-

1.3.2  1.

指定SFTP客户端的源接口或源IP地址

可选

1.3.2  2.

 

1.3.1  设备作为SFTP服务器的配置

1. 启动SFTP服务器

在启动设备SFTP服务器功能前,需要完成此设备SSH服务器功能的配置,并需将SSH用户的服务类型设置为SFTP或者all,具体配置步骤请参见本手册“SSH操作”中的SSH服务器配置部分。

表1-13 启动SFTP服务器

操作

命令

说明

进入系统视图

system-view

-

启动SFTP服务器

sftp server enable

必选

缺省情况下,设备的SFTP服务器功能处于关闭状态

 

2. 设置SFTP服务器的连接空闲时间

设置该空闲时间后,如果服务器端在一定时间内没有收到客户端发来的服务请求,服务器端会断开与该客户端的连接,从而有效避免某用户长期占用该连接而不进行任何操作。

表1-14 设置SFTP服务器的连接空闲时间

操作

命令

说明

进入系统视图

system-view

-

设置SFTP服务器的连接空闲时间

sftp timeout time-out-value

可选

缺省情况下,SFTP服务器的连接空闲时间为10分钟

 

3. 支持的SFTP客户端软件

设备作为SFTP服务器时支持与SFTP客户端软件互通,例如SSH Tectia Client v4.2.0(SFTP) and V5.0和WINSCP等。

SFTP客户端支持的操作包括:登录设备、上传文件、下载文件、创建目录、修改文件或目录名、浏览目录结构内容、主动断开连接。

对客户端软件的配置操作请参考客户端软件的配置手册。

l    目前设备作为SFTP服务器时只支持一个SFTP用户的连接,多个客户端登录或当一个客户端启用多个SFTP连接时,只有第一个SFTP用户的连接能够成功,后续SFTP用户的连接将会失败。

l    当用WINSCP客户端上传大文件时,如果服务器上已有与此文件同名的文件。建议将客户端报文超时时间置为600秒以上,防止由于设备删除文件时时间过长导致客户端超时无法响应设备端报文。同理,当删除服务器端大文件时,建议也将客户端报文超时时间置为600秒以上。

 

1.3.2  设备作为SFTP客户端的配置

1. SFTP客户端的基本配置

缺省情况下,设备即可充当SFTP客户端,此时设备可与SFTP服务器连接,并可在设备上通过命令行对自身或服务器端进行相应的操作(如建立、删除目录等),具体请参见表1-15

表1-15 SFTP客户端可进行的基本配置

操作

命令

说明

进入系统视图

system-view

-

进入SFTP客户端视图

sftp { host-ip | host-name } [ port-num ] [ identity-key { dsa | rsa } | prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher { des | aes128 } | prefer_stoc_cipher { des | aes128 } | prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] *

必选

进入远程SFTP服务器上的另一工作目录

cd pathname

可选

把用户在远程SFTP服务器上的工作目录改变为上一级目录

cdup

显示用户在SFTP服务器上的当前工作目录的名称

pwd

在SFTP服务器上建立目录

mkdir pathname

删除SFTP服务器上的目录

rmdir pathname

删除SFTP服务器上指定的文

delete remotefile

可选

deleteremove两条命令的功能相同

remove remote-file

查询SFTP服务器上指定的文件

dir [ remotefile ] [ localfile ]

可选

如果不指定文件名参数,将显示当前目录下所有文件。dir与ls的区别在于dir能显示文件的名称、目录和文件属性,ls只能显示文件名称和目录,不能显示文件属性。

查询SFTP服务器上指定的文件

ls [ remotefile ] [ localfile ]

从SFTP服务器下载远程文件,并保存在本地

get remotefile [ localfile ]

可选

上传本地的文件到远程SFTP服务器

put localfile [ remotefile ]

重命名SFTP服务器上的文件

rename remote-source remote-dest

退出SFTP客户端视图到系统视图

bye

byeexitquit三条命令的功能相同

exit

quit

显示相关命令的帮助信息

help [ all | command-name ]

可选

 

如果在服务器端指定客户端的认证方式为公钥认证,当客户端登录SFTP服务器端时客户端需要读取本地的私钥进行验证。由于公钥认证可以采用RSA和DSA两种加密算法,所以需要用identity-key关键字指定采用的加密算法,才能得到正确的本地私钥数据,否则无法登录成功。有关内容请参见本手册“SSH”部分的详细介绍。

 

2. 指定SFTP客户端的源接口或源IP地址

用户可以通过以下配置,使SFTP客户端只能使用自身的指定接口所对应的IP地址或指定IP地址作为源地址建立与SFTP服务器的连接,增加了业务的可管理性。

表1-16 指定SFTP客户端的源接口或源IP地址

操作

命令

说明

进入系统视图

system-view

-

指定SFTP客户端的源接口

sftp source-interface interface-type interface-number

二者选其一

缺省情况下,未指定SFTP业务报文源接口或源IP地址

指定SFTP客户端的源IP地址

sftp source-ip ip-address

显示当前SFTP客户端的源IP地址

display sftp source-ip

可选

display命令可以在任意视图下执行

 

1.3.3  SFTP配置举例

本配置举例所指的交换机和以太网交换机代表了设备的交换引擎。

 

1. 组网需求

图1-6,SFTP客户端(SwitchA)和SFTP服务器(SwitchB)之间建立SSH连接,SFTP客户端(Switch A)登录到SFTP服务器(Switch B),进行文件管理和文件传送等操作,在SFTP服务器上已经存在SFTP用户名为client001、密码为abc。

2. 组网图

图1-6 SFTP配置示意图

 

3. 配置步骤

(1)        SFTP服务器(Switch B)上的配置:

# 生成密钥对

<device> system-view

[device] public-key local create rsa

[device] public-key local create dsa

# 在设备上创建VLAN接口,并为其分配IP地址,此IP地址将作为客户端连接到SFTP服务器时所使用的目的地址。

[device] interface vlan-interface 1

[device-Vlan-interface1] ip address 192.168.0.1 255.255.255.0

[device-Vlan-interface1] quit

# 设置SFTP客户端登录SFTP服务器用户界面的SSH认证方式为AAA认证。

[device] user-interface vty 0 4

[device-ui-vty0-4] authentication-mode scheme

# 设置设备上远程用户登录协议为SSH。

[device-ui-vty0-4] protocol inbound ssh

[device-ui-vty0-4] quit

# 创建本地用户client001。

[device] local-user client001

[device-luser-client001] password simple abc

[device-luser-client001] service-type ssh

[device-luser-client001] quit

# 配置SSH用户认证方式为password。SSH的认证超时时间、尝试次数以及服务器密钥更新时间采用系统默认值。

[device] ssh user client001 authentication-type password

# 指定用户的服务类型为SFTP。

[device] ssh user client001 service-type sftp

# 启动SFTP服务器。

[device] sftp server enable

(2)        SFTP客户端(Switch A)上的配置:

# SwitchA上的VLAN接口的IP地址必须同SwitchB上的VLAN接口的IP地址位于同一个网段,这里设置为“192.168.0.2”。

<device> system-view

[device] interface vlan-interface 1

[device-Vlan-interface1] ip address 192.168.0.2 255.255.255.0

[device-Vlan-interface1] quit

# 与远程SFTP服务器建立连接,并输入用户名client001、密码为abc进行登陆,进入sftp-client视图。

[device] sftp 192.168.0.1

Input Username: client001

Trying 192.168.0.1 ...

Press CTRL+K to abort

Connected to 192.168.0.1 ...

 

The Server is not authenticated. Do you continue to access it?(Y/N):y

Do you want to save the server's public key?(Y/N):n

Enter password:

 

sftp-client>      

# 显示服务器的当前目录,删除文件z,并检查此文件是否删除成功。

sftp-client> dir

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey1

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

-rwxrwxrwx   1 noone    nogroup       225 Sep 01 06:55 pub

-rwxrwxrwx   1 noone    nogroup         0 Sep 01 08:00 z

Received status: End of file

Received status: Success

sftp-client> delete z

The following files will be deleted:

/z

Are you sure to delete it?(Y/N):y

This operation may take a long time.Please wait...

 

Received status: Success

File successfully Removed

sftp-client> dir

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey1

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

-rwxrwxrwx   1 noone    nogroup       225 Sep 01 06:55 pub

Received status: End of file

Received status: Success

# 新增目录new1,并检查新目录是否创建成功。

sftp-client> mkdir new1

Received status: Success

New directory created

sftp-client> dir

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey1

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

-rwxrwxrwx   1 noone    nogroup       225 Sep 01 06:55 pub

drwxrwxrwx   1 noone    nogroup         0 Sep 02 06:30 new1

Received status: End of file

Received status: Success

# 将目录名new1更名为new2,并查看是否更名成功。

sftp-client> rename new1 new2

File successfully renamed

sftp-client> dir

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey1

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

-rwxrwxrwx   1 noone    nogroup       225 Sep 01 06:55 pub

drwxrwxrwx   1 noone    nogroup         0 Sep 02 06:33 new2

Received status: End of file

Received status: Success

# 从服务器上下载文件pubkey2到本地,并更名为public。

sftp-client> get pubkey2 public

This operation may take a long time, please wait...

.                                                  

Remote  file:/pubkey2 --->  Local file: public..

Received status: End of file

Received status: Success

Downloading file successfully ended

# 将本地文件pu上传到服务器上,更名为puk,并查看上传是否成功。

sftp-client> put pu puk

This operation may take a long time, please wait...

Local file: pu --->  Remote file: /puk

Received status: Success  

Uploading file successfully ended

sftp-client> dir

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey1

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

drwxrwxrwx   1 noone    nogroup         0 Sep 02 06:33 new2

-rwxrwxrwx   1 noone    nogroup       283 Sep 02 06:35 pub

-rwxrwxrwx   1 noone    nogroup       283 Sep 02 06:36 puk

Received status: End of file

Received status: Success

sftp-client>

# 退出SFTP

sftp-client> quit

Bye

[device]

 


2 TFTP

2.1  TFTP简介

相对于FTP,TFTP(Trivial File Transfer Protocol,简单文件传输协议)使用更加方便,在连接过程中不需要认证控制,适用于客户端和服务器之间不需要复杂交互的环境。TFTP是基于UDP的应用层协议,使用UDP端口69进行数据传输。TFTP协议基本操作在RFC1986中进行了描述。

TFTP协议传输是由客户端发起的:

l              当TFTP客户端需要从服务器下载文件时,由客户端向TFTP服务器发送读请求包,然后从服务器接收数据,并向服务器发送确认;

l              当TFTP客户端需要向TFTP服务器上传文件时,由客户端向TFTP服务器发送写请求包,然后向服务器发送数据,并接收服务器的确认。

设备只能作为TFTP客户端。

当下载大于设备的flash剩余空间大小的文件时,设备的处理方式分为以下两种:

l              如果TFTP服务器支持文件大小协商的扩展协议,则设备和服务器通过文件大小协商发现设备剩余空间不足,这时直接放弃文件下载操作。

l              如果TFTP服务器不支持文件大小协商的扩展协议,则设备从服务器接收数据。直到设备的flash已满,而还有待下载的数据时,则提示空间不足,并删除这次部分下载完成的文件数据,文件下载失败。

TFTP传输文件有两种模式:

l              二进制模式,用于传输程序文件。

l              ASCII码模式,用于传输文本文件。

配置TFTP之前,网络管理员需要先配置TFTP客户端和服务器的IP地址,并且确保客户端和服务器路由可达。

 

2.2  TFTP配置

表2-1 TFTP配置任务简介

 

配置任务

说明

详细配置

设备作为TFTP客户端的配置

TFTP客户端的基本配置

-

2.2.1  1.

指定TFTP客户端的源接口或源IP地址

可选

2.2.1  2.

TFTP服务器的配置

具体配置请参见相关手册

-

-

 

2.2.1  设备作为TFTP客户端的配置

1. TFTP客户端的基本配置

缺省情况下,设备即可充当TFTP客户端,此时设备可与TFTP服务器连接,并可在设备上通过命令行对自身或服务器端进行相应的操作(如上传、下载文件等),具体请参见表2-2

表2-2 TFTP客户端可进行的基本配置

操作

命令

说明

设备从TFTP服务器获取文件

tftp tftp-server get source-file [ dest-file ]

可选

设备向TFTP服务器上传文件

tftp tftp-server put source-file [ dest-file ]

可选

进入系统视图

system-view

-

设置TFTP传输文件时的传输方式

tftp { ascii | binary }

可选

缺省情况下,数据传输方式为binary

指定TFTP客户端在连接TFTP服务器时所选用的ACL规则

tftp-server acl acl-number

可选

缺省情况下,未指定TFTP客户端在连接TFTP服务器时所选用的ACL规则

 

2. 指定TFTP客户端的源接口或源IP地址

用户可以通过下面的配置,使设备作为TFTP客户端只能使用自身的指定接口所对应的IP地址或指定IP地址作为源地址建立与远程TFTP服务器的连接。

表2-3 指定TFTP客户端使用的源接口和源IP地址

操作

命令

说明

指定TFTP客户端本次连接TFTP服务器使用的源接口

tftp tftp-server source-interface interface-type interface-number { get source-file [ dest-file ] | put source-file-url [ dest-file ] }

可选

缺省情况下,未指定TFTP客户端使用的源接口和源IP地址

指定TFTP客户端本次连接TFTP服务器使用的源IP地址

tftp tftp-server source-ip ip-address { get source-file [ dest-file ] | put source-file-url [ dest-file ] }

可选

进入系统视图

system-view

-

指定TFTP客户端连接TFTP服务器时固定使用的源接口

tftp source-interface interface-type interface-number

二者选其一

缺省情况下,未指定TFTP客户端使用的源接口和源IP地址

指定TFTP客户端连接TFTP服务器时固定使用的源IP地址

tftp source-ip ip-address

查看TFTP客户端连接TFTP服务器时固定使用的源IP地址

display tftp source-ip

可选

display命令可以在任意视图下执行

 

l    指定TFTP客户端使用的源接口时,指定的接口必须存在,当指定接口不存在时,命令提示配置不成功。

l    指定TFTP客户端使用的源IP地址时,指定的ip-address必须为本设备地址,当指定的ip-address不是本设备地址时,命令提示配置不成功。

l    本次连接配置优先级高于固定配置。如果TFTP客户端在连接TFTP服务器时配置的本次连接使用的源接口或源IP与已经配置的固定使用的源接口或源IP不同,本次连接配置会代替固定配置生效。

l    同一时刻只能对TFTP客户端设置一个固定使用的源接口或源IP地址,即tftp source-interfacetftp source-ip两条命令中只能有一条生效。当用户使用这两条命令对TFTP客户端固定使用的源接口或源IP地址进行重复设置时,新的配置会覆盖已有配置。

 

2.2.2  TFTP配置举例

本配置举例所指的交换机和以太网交换机代表了设备的交换引擎。

 

1. 组网需求

设备作为TFTP客户端,PC作为TFTP服务器。设备的配置文件config.cfg保存在PC上。设备通过TFTP从远端的TFTP服务器上下载config.cfg,并通过startup saved-configuration命令指定config.cfg为下次启动时的主配置文件。

l              在TFTP服务器上配置了TFTP服务器的工作目录。

l              需要配置设备上的一个VLAN接口的IP地址为1.1.1.1,设备和PC相连的端口属于该VLAN,PC的IP地址为1.1.1.2。

2. 组网图

图2-1 TFTP配置示意图

 

3. 配置步骤

(1)        TFTP服务器(PC)上的配置:

(2)        在PC上启动了TFTP服务器功能,配置TFTP服务器的工作目录

(3)        TFTP客户端(Switch)上的配置:

# 用户登录到交换引擎上。(用户可以在本地登录到交换引擎上,也可以通过Telnet远程登录到设备上。各种登录方式请参见“登录交换引擎”)

设备在从TFTP服务器下载文件时,如果设备的Flash空间不足,请删除Flash中未在使用中的文件,然后再上传新的文件到设备Flash中。正在使用的文件是无法删除的。

 

# 进入系统视图。

<device> system-view

[device]

# 配置VLAN接口的IP地址为1.1.1.1,同时保证与PC相连的端口属于这个VLAN。(本例中以VLAN 1为例。)

[device] interface Vlan-interface 1

[device-Vlan-interface1] ip address 1.1.1.1 255.255.255.0

[device-Vlan-interface1] quit

# 将设备的配置文件config.cfg从TFTP服务器下载到设备。

<device> tftp 1.1.1.2 get config.cfg config.cfg

# 下载完毕后,用户可以通过命令startup saved-configuration来指定下载的配置文件为下次启动时的主配置文件,然后重启设备。

<device>startup saved-configuration config.cfg main

 Please wait........................................Done!

有关startup saved-configuration命令及指定设备启动文件的内容,请参见本手册“系统维护与调试”部分的介绍。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们