- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-SSH2.0命令
本章节下载 (227.8 KB)
目 录
1.1.1 display public-key local
1.1.3 display sftp client source
1.1.4 display ssh client source
1.1.7 display ssh user-information
1.1.11 public-key local create
1.1.12 public-key local destroy
1.1.13 public-key local export rsa
1.1.15 public-key peer import sshkey
1.1.17 sftp client ipv6 source
1.1.21 sftp server idle-timeout
1.1.22 ssh client authentication server
1.1.23 ssh client first-time enable
1.1.26 ssh server authentication-retries
1.1.27 ssh server authentication-timeout
1.1.28 ssh server compatible-ssh1x enable
1.1.30 ssh server rekey-interval
【命令】
display public-key local rsa public
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
rsa:显示RSA本地密钥对中的公钥部分。
【描述】
display public-key local命令用来显示本地密钥对中的公钥部分。
相关配置可参考命令public-key local create。
【举例】
# 显示RSA本地密钥对中的公钥部分。
<Sysname> display public-key local rsa public
=====================================================
Time of Key pair created: 19:59:16 2006/10/25
Key name: HOST_KEY
Key type: RSA Encryption Key
=====================================================
Key code:
30819F300D06092A864886F70D010101050003818D0030818902818100BC4C392A97734A63
3BA0F1DB01F84EB51228EC86ADE1DBA597E0D9066FDC4F04776CEA3610D2578341F5D04914
3656F1287502C06D39D39F28F0F5CBA630DA8CD1C16ECE8A7A65282F2407E8757E7937DCCD
B5DB620CD1F471401B7117139702348444A2D8900497A87B8D5F13D61C4DEFA3D14A7DC076
24791FC1D226F62DF3020301
0001
=====================================================
Time of Key pair created: 19:59:17 2006/10/25
Key name: SERVER_KEY
Key type: RSA Encryption Key
=====================================================
Key code:
307C300D06092A864886F70D0101010500036B003068026100C51AF7CA926962284A4654B2
AACC7B2AE12B2B1EABFAC1CDA97E42C3C10D7A70D1012BF23ADE5AC4E7AAB132CFB6453B27
E054BFAA0A85E113FBDE751EE0ECEF659529E857CF8C211E2A03FD8F10C5BEC162B2989ABB
5D299D1E4E27A13C7DD10203010001
表1-1 display public-key local命令显示信息描述表
|
字段 |
描述 |
|
Time of Key pair created |
密钥对产生时间 |
|
Key name |
密钥名称 |
|
Key type |
密钥类型 |
|
Key code |
密钥数据 |
【命令】
display public-key peer [ brief | name publickey-name ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
brief:显示所有远端公钥的简明信息。
name publickey-name:显示指定远端公钥的详细信息,publickey-name为1~64个字符的字符串。
【描述】
display public-key peer命令用来显示保存在本地的远端公钥信息。
如果没有指定任何参数,则显示所有保存在本地的远端公钥的详细信息。
可以通过public-key peer命令或public-key peer import sshkey命令将远端公钥配置到本地。
相关配置可参考命令public-key peer和public-key peer import sshkey。
【举例】
# 显示密钥名称为idrsa的远端公钥详细信息。
<Sysname> display public-key peer name idrsa
=====================================
Key name : idrsa
Key type : RSA
Key module: 1024
=====================================
Key Code:
30819D300D06092A864886F70D010101050003818B00308187028181009C46A8710216CEC0
C01C7CE136BA76C79AA6040E79F9E305E453998C7ADE8276069410803D5974F708496947AB
39B3F39C5CE56C95B6AB7442D56393BF241F99A639DD02D9E29B1F5C1FD05CC1C44FBD6CFF
B58BE6F035FAA2C596B27D1231D159846B7CB9A7757C5800FADA9FD72F65672F4A549EE99F
63095E11BD37789955020123
表1-2 display public-key peer name命令显示信息描述表
|
字段 |
描述 |
|
Key name |
密钥名称 |
|
Key type |
密钥的类型 |
|
Key module |
密钥模数 |
|
Key code |
密钥数据 |
# 显示保存在本地的所有远端公钥的简明信息。
<Sysname> display public-key peer brief
Type Module Name
---------------------------
RSA 1024 idrsa
表1-3 display public-key peer brief命令显示信息描述表
|
字段 |
描述 |
|
Type |
密钥的类型 |
|
Module |
密钥的模数 |
|
Name |
远端公钥的名称 |
【命令】
display sftp client source
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
无
【描述】
display sftp client source命令用来显示当前为SFTP客户端设置的源IP地址或者源接口。
如果没有为SFTP客户端指定源地址和源接口,则提示尚未指定。
相关配置可参考命令sftp client source。
【举例】
# 显示SFTP客户端的源IP地址。
<Syaname> display sftp client source
The source IP address you specified is 192.168.0.1
【命令】
display ssh client source
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
无
【描述】
display ssh client source命令用来显示当前为SSH客户端设置的源IP地址或者源接口。
如果没有为SSH客户端指定源地址和源接口,则提示尚未指定。
相关配置可参考命令ssh client source。
【举例】
# 显示SSH客户端的源IP地址。
<Sysname> display ssh client source
The source IP address you specified is 192.168.0.1
【命令】
display ssh server { session | status }
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
session:显示SSH服务器的会话信息。
status:显示SSH服务器的状态信息。
【描述】
display ssh server命令用来在SSH服务器端显示该服务器的状态信息或会话信息。
相关配置可参考命令ssh server authentication-retries、ssh server rekey-interval、ssh server authentication-timeout、ssh server enable 和ssh server compatible-ssh1x enable。
【举例】
# 在SSH服务器端显示该服务器的状态信息。
<Sysname> display ssh server status
SSH Server: Disable
SSH version : 1.99
SSH authentication-timeout : 60 second(s)
SSH server key generating interval : 0 hour(s)
SSH authentication retries : 3 time(s)
SFTP server: Disable
SFTP server Idle-Timeout: 10 minute(s)
表1-4 display ssh server status命令显示信息描述表
|
字段 |
描述 |
|
SSH Server |
SSH服务器功能的状态 |
|
SSH version |
SSH协议版本 SSH服务器兼容SSH1时,协议版本为1.99;SSH服务器不兼容SSH1时,协议版本为2.0 |
|
SSH authentication-timeout |
认证超时时间 |
|
SSH server key generating interval |
服务器密钥对更新时间 |
|
SSH authentication retries |
认证尝试的最大次数 |
|
SFTP server |
SFTP服务器功能的状态 |
|
SFTP server Idle-Timeout |
SFTP用户连接的空闲超时时间 |
# 在SSH服务器端显示该服务器的会话信息。
<Sysname> display ssh server session
Conn Ver Encry State Retry SerType Username
VTY 0 2.0 DES Established 0 SFTP client001
表1-5 display ssh server session显示信息描述表
|
字段 |
描述 |
|
Conn |
用户登录使用的VTY界面的编号 |
|
Ver |
SSH服务器的协议版本 |
|
Encry |
SSH使用的加密算法 |
|
State |
会话状态,包括: l Init:初始化状态 l Ver-exchange:版本协商 l Keys-exchange:密钥交换 l Auth-request:用户认证 l Serv-request:服务请求 l Established:连接已经建立 l Disconnected:断开连接 |
|
Retry |
认证失败的次数 |
|
SerType |
服务类型,包括SFTP和Stelnet两种类型 |
|
Username |
客户端登录服务器时采用的用户名 |
【命令】
display ssh server-info
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
无
【描述】
display ssh server-info命令用来在SSH客户端显示客户端保存的服务器端的主机公钥和服务器的对应关系。
SSH客户端需要认证服务器时,以本地保存的服务器端的主机公钥对连接的服务器进行认证。如果认证不成功,可以通过display ssh server-info命令查看服务器是否与正确的公钥对应。
相关配置可参考命令ssh client authentication server。
【举例】
# 显示客户端保存的服务器端的主机公钥和服务器的对应关系。
<Sysname> display ssh server-info
Server Name(IP) Server public key name
______________________________________________________
192.168.0.1 abc_key01
192.168.0.2 abc_key02
表1-6 display ssh server-info显示信息描述表
|
字段 |
描述 |
|
Server Name(IP) |
服务器名称或者IP地址 |
|
Server public key name |
服务器端的主机公钥名称 |
【命令】
display ssh user-information [ username ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
username:显示指定SSH用户的信息。username表示SSH用户名,为1~80个字符的字符串。
【描述】
display ssh user-information命令用来在SSH服务器端显示SSH用户的信息。
如果没有指定参数username,则显示所有SSH用户的信息。
相关配置可参考命令ssh user。
【举例】
# 显示所有SSH用户的信息。
<Sysname> display ssh user-information
Total ssh users : 2
Username Authentication-type User-public-key-name Service-type
yemx password null stelnet|sftp
test publickey pubkey sftp
表1-7 display ssh user-information显示信息描述表
|
字段 |
描述 |
|
Total ssh users |
SSH用户的总数 |
|
Username |
用户名 |
|
Authentication-type |
认证类型,如果认证类型为password,则用户公钥名称显示为null |
|
User-public-key-name |
用户公钥名称 |
|
Service-type |
服务类型 |
【命令】
peer-public-key end
【视图】
公共密钥视图
【缺省级别】
2:系统级
【参数】
无
【描述】
peer-public-key end命令用来从公共密钥视图退回到系统视图。
相关配置可参考命令public-key peer。
【举例】
# 退出公共密钥视图。
<Sysname> system-view
[Sysname] public-key peer key1
[Sysname-pkey-public-key] peer-public-key end
[Sysname]
【命令】
public-key-code begin
【视图】
公共密钥视图
【缺省级别】
2:系统级
【参数】
无
【描述】
public-key-code begin命令用来进入公共密钥编辑视图。
进入公共密钥编辑视图后,可以开始输入密钥数据。在输入密钥数据时,字符之间可以有空格,也可以按回车键继续输入数据。所配置的公钥必须是未经转换的DER公钥编码格式的十六进制字符串。
相关配置可参考命令public-key peer和public-key-code end。
【举例】
# 进入公共密钥编辑视图,输入密钥。
<Sysname> system-view
[Sysname] public-key peer key1
[Sysname-pkey-public-key] public-key-code begin
[Sysname-pkey-key-code]30819F300D06092A864886F70D010101050003818D0030818902818100C0EC8014F82515F6335A0A
[Sysname-pkey-key-code]EF8F999C01EC94E5760A079BD73E4F4D97F3500EDB308C29481B77E719D1643135877E13B1C531B4
[Sysname-pkey-key-code]FF1877A5E2E7B1FA4710DB0744F66F6600EEFE166F1B854E2371D5B952ADF6B80EB5F52698FCF3D6
[Sysname-pkey-key-code]1F0C2EAAD9813ECB16C5C7DC09812D4EE3E9A0B074276FFD4AF2050BD4A9B1DDE675AC30CB020301
[Sysname-pkey-key-code]0001
【命令】
public-key-code end
【视图】
公共密钥编辑视图
【缺省级别】
2:系统级
【参数】
无
【描述】
public-key-code end命令用来从公共密钥编辑视图退回到公共密钥视图,并保存用户输入的公共密钥。
执行此命令后,结束公钥的编辑过程,系统自动保存配置的公钥。在存储之前,会进行密钥合法性的检测:
l 如果用户配置的公钥字符串中存在非法字符,那么将会显示相关提示信息,用户配置的密钥将被丢弃,本次配置失败;
l 如果用户配置的公钥字符串合法,则保存该公钥。
相关配置可参考命令public-key peer和public-key-code begin。
【举例】
# 退出公共密钥编辑视图,并保存用户配置的公共密钥。
<Sysname> system-view
[Sysname] public-key peer key1
[Sysname-pkey-public-key] public-key-code begin
[Sysname-pkey-key-code]30819F300D06092A864886F70D010101050003818D0030818902818100C0EC8014F82515F6335A0A
[Sysname-pkey-key-code]EF8F999C01EC94E5760A079BD73E4F4D97F3500EDB308C29481B77E719D1643135877E13B1C531B4
[Sysname-pkey-key-code]FF1877A5E2E7B1FA4710DB0744F66F6600EEFE166F1B854E2371D5B952ADF6B80EB5F52698FCF3D6
[Sysname-pkey-key-code]1F0C2EAAD9813ECB16C5C7DC09812D4EE3E9A0B074276FFD4AF2050BD4A9B1DDE675AC30CB020301
[Sysname-pkey-key-code]0001
[Sysname-pkey-key-code] public-key-code end
[Sysname-pkey-public-key]
【命令】
public-key local create rsa
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
rsa:本地密钥对类型为RSA。
【描述】
public-key local create命令用来生成本地密钥对。
需要注意的是:
l 输入该命令后,会提示输入密钥对的位数。密钥对的最小长度为512位,最大长度为2048位,缺省长度为1024位。如果已有密钥对存在,则需要用户确认是否进行修改。
l 此命令只需执行一遍,设备重新启动后不必再次执行。
相关配置可参考命令public-key local destroy和display public-key local。
【举例】
# 生成RSA本地密钥对。
<Sysname> system-view
[Sysname] public-key local create rsa
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It may take a few minutes.
Press CTRL+C to abort.
Input the bits in the modulus [default = 1024]:
Generating keys...
........++++++
....................................++++++
.......++++++++
......................++++++++
.
【命令】
public-key local destroy rsa
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
rsa:本地密钥对类型为RSA。
【描述】
public-key local destroy命令用来销毁本地密钥对。
相关配置可参考命令public-key local create。
【举例】
# 销毁RSA本地密钥对。
<Sysname> system-view
[Sysname] public-key local destroy rsa
Warning: Confirm to destroy these keys? [Y/N]:y
【命令】
public-key local export rsa { openssh | ssh1 | ssh2 } [ filename ]
【视图】
系统视图
【缺省级别】
1:监控级
【参数】
openssh:导出的文件格式为OpenSSH。
ssh1:导出的文件格式为SSH1.5。
ssh2:导出的文件格式为SSH2.0。
filename:指定导出公钥存储的文件名。文件名的详细介绍,请参见“系统分册”中的“文件系统管理”。
【描述】
public-key local export rsa命令用来根据指定格式在屏幕上显示本地RSA主机公钥或导出本地RSA主机公钥到指定文件。
当不指定文件名时,则在屏幕上显示本地公钥;如果指定了文件名则将本地公钥导出到指定文件并保存。
SSH1、SSH2和OpenSSH是三种不同类型的公钥文件格式,根据不同的应用需求生成不同格式的公钥文件。
相关配置可参考命令public-key local create 和public-key local destroy。
【举例】
# 以OpenSSH格式导出RSA主机公钥,文件名为key.pub。
<Sysname> system-view
[Sysname] public-key local export rsa openssh key.pub
# 以SSH2.0格式在屏幕上显示RSA主机公钥。
<Sysname> system-view
[Sysname] public-key local export rsa ssh2
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-20061105"
AAAAB3NzaC1yc2EAAAADAQABAAAAgKRkxFoZ+T72Srs9c60+j2yrkd0AHBsXBh0Uq+iNvE12PaYR1On4
x+aNlwe9fjW1PYgzH+DRkTpiMrn3j2pIs7gaJXvefTW94rbVWJ94uiSDk1NLX1JcoTtWnQcVhft3mUZ+
J0jBEhAcw4bROe7/qr6l7VTCo9FBZ0XgKuHroovX
---- END SSH2 PUBLIC KEY ----
# 以OpenSSH格式显示RSA主机公钥。
<Sysname> system-view
[Sysname] public-key local export rsa openssh
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgLxMOSqXc0pjO6Dx2wH4TrUSKOyGreHbpZfg2QZv3E8Ed2
zqNhDSV4NB9dBJFDZW8Sh1AsBtOdOfKPD1y6Yw2ozRwW7OinplKC8kB+h1fnk33M2122IM0fRx
QBtxFxOXAjSERKLYkASXqHuNXxPWHE3vo9FKfcB2JHkfwdIm9i3z rsa-key
【命令】
public-key peer keyname
undo public-key peer keyname
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
keyname:公共密钥名,为1~64个字符的字符串。
【描述】
public-key peer命令用来进入公共密钥视图。undo public-key peer命令用来删除远端公钥的配置。
进入公共密钥视图后,配合public-key-code begin和public-key-code end命令,用户可以对远端的公钥进行配置。这种方式需要事先获取远端产生的十六进制形式的公钥。
相关配置可参考命令public-key-code begin和public-key-code end。
【举例】
# 进入公共密钥视图,公钥名称为key1。
<Sysname> system-view
[Sysname] public-key peer key1
[Sysname-pkey-public-key]
【命令】
public-key peer keyname import sshkey filename
undo public-key peer keyname
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
keyname:公共密钥名,为1~64个字符的字符串。
filename:指定导入公钥数据的文件名。文件名的详细介绍,请参见“系统分册”中的“文件系统管理”。
【描述】
public-key peer import sshkey命令用来配置从公钥文件中导入远端的公钥。undo public-key peer命令用来删除远端公钥的配置。
执行本命令后,系统会自动对生成的公钥文件(支持自动识别的公钥格式SSH1、SSH2、OpenSSH)进行格式转换(转换为PKCS标准编码形式),并实现远端公钥的配置。这种方式需要远端事先将公钥文件通过FTP/TFTP方式上传到本端。
【举例】
# 配置从公钥文件key.pub中导入远端公钥,公钥名称为key2。
<Sysname> system-view
[Sysname] public-key peer key2 import sshkey key.pub
【命令】
sftp server [ port-number ] [ prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
【视图】
用户视图
【缺省级别】
3:管理级
【参数】
server:服务器IPv4地址或名称,为1~20个字符的字符串。
port-number:服务器端口号,取值范围为0~65535,缺省值为22。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
l 3des:3des-cbc加密算法。
l aes128:aes128-cbc加密算法。
l des:des-cbc加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1。
l md5:HMAC算法hmac-md5。
l md5-96:HMAC算法hmac-md5-96。
l sha1:HMAC算法hmac-sha1。
l sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,缺省算法为dh-group-exchange。
l dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。
l dh-group1:密钥交换算法diffie-hellman-group1-sha1。
l dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1。
【描述】
sftp命令用来与远程IPv4 SFTP服务器建立连接,并进入SFTP客户端视图。
【举例】
# 连接IP地址为10.1.1.2的SFTP服务器。
<Sysname> sftp 10.1.1.2
Input Username:
【命令】
sftp client ipv6 source { ipv6 ipv6-address | interface interface-type interface-number }
undo sftp client ipv6 source
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
ipv6 ipv6-address:源IPv6地址。
interface interface-type interface-number:源接口类型与源接口编号。
【描述】
sftp client ipv6 source命令用来为SFTP客户端指定源IPv6地址或源接口。undo sftp client ipv6 source命令用来取消指定的源IPv6地址或源接口。
缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器。
【举例】
# 指定SFTP客户端的源IPv6地址为2:2::2:2。
<Sysname> system-view
[Sysname] sftp client ipv6 source ipv6 2:2::2:2
【命令】
sftp client source { ip ip-address | interface interface-type interface-number }
undo sftp client source
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
ip ip-address:源IPv4地址。
interface interface-type interface-number:源接口类型与源接口编号。
【描述】
sftp client source命令用来为SFTP客户端指定源IPv4地址或源接口。undo sftp client source命令用来取消指定的源IPv4地址或源接口。
缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器。
相关配置可参考命令display sftp client source。
【举例】
# 指定SFTP客户端的源IP地址为192.168.0.1。
<Sysname> system-view
[Sysname] sftp client source ip 192.168.0.1
【命令】
sftp ipv6 server [ port-number ] [ prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
【视图】
用户视图
【缺省级别】
3:管理级
【参数】
server:服务器的IPv6地址或名称,为1~46个字符的字符串。
port-number:服务器的端口号,取值范围为0~65535,缺省值为22。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
l 3des:3des-cbc加密算法。
l aes128:aes128-cbc加密算法。
l des:des-cbc加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1。
l md5:HMAC算法hmac-md5。
l md5-96:HMAC算法hmac-md5-96。
l sha1:HMAC算法hmac-sha1。
l sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,缺省算法为dh-group-exchange。
l dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。
l dh-group1:密钥交换算法diffie-hellman-group1-sha1。
l dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1。
【描述】
sftp ipv6命令用来与远程IPv6 SFTP服务器建立连接,并进入SFTP客户端视图。
【举例】
# 连接IPv6地址为2:5::8:9的SFTP服务器。
<Sysname> sftp ipv6 2:5::8:9
Input Username:
【命令】
sftp server enable
undo sftp server enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
sftp server enable命令用来启动SFTP服务器。undo sftp server enable命令用来关闭SFTP服务器。
缺省情况下,SFTP服务器处于关闭状态。
相关配置可参考命令display ssh server。
【举例】
# 启动SFTP服务器。
<Sysname> system-view
[Sysname] sftp server enable
【命令】
sftp server idle-timeout time-out-value
undo sftp server idle-timeout
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
time-out-value:超时时间,取值范围为1~35791,单位为分钟。
【描述】
sftp server idle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间。undo sftp server idle-timeout命令用来恢复缺省情况。
缺省情况下,SFTP用户连接的空闲超时时间为10分钟。
相关配置可参考命令display ssh server。
【举例】
# 设置SFTP用户连接的空闲超时时间为500分钟。
<Sysname> system-view
[Sysname] sftp server idle-timeout 500
【命令】
ssh client authentication server server assign publickey keyname
undo ssh client authentication server server assign publickey
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
server:服务器的IP地址或名称,为1~80个字符的字符串。
assign publickey keyname:指定服务器端的主机公钥。keyname表示主机公钥名称,为1~64个字符的字符串。
【描述】
ssh client authentication server命令用来在客户端上指定要连接的服务器端的主机公钥名称,以便客户端判断认证连接的服务器是否为可信赖的服务器。undo ssh client authentication server命令用来取消在客户端上指定要连接的服务器端的主机公钥。
缺省情况下,客户端不指定要连接的服务器端的主机公钥名称,而是在客户端登录服务器的时候使用登录服务器时所用的IP地址或主机名作其对应的公钥名称。
如果客户端不支持首次认证,客户端将拒绝访问未经认证的服务器。此时,需要在客户端配置服务器端的公钥,并指定该公钥与服务器端的对应关系,以便在客户端对连接的服务器端进行认证时,能够根据该对应关系使用正确的公钥对服务器端进行认证。
需要注意的是,指定的服务器端的主机公钥必须已经存在。
相关配置可参考命令ssh client first-time enable。
【举例】
# 服务器的IP地址为192.168.0.1,在客户端指定该服务器的公钥名称为key1。
<Sysname> system-view
[Sysname] ssh client authentication server 192.168.0.1 assign publickey key1
【命令】
ssh client first-time enable
undo ssh client first-time
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ssh client first-time enable命令用来设置SSH客户端对访问的SSH服务器进行首次认证。undo ssh client first-time命令用来取消SSH客户端对访问的SSH服务器进行首次认证。
缺省情况下,客户端进行首次认证。
所谓首次认证,是指当SSH客户端首次访问服务器,而客户端没有配置服务器端的公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器。
如果不支持首次认证,则当客户端没有配置服务器端的公钥时,客户端将被拒绝访问该服务器。用户必须事先通过其它途径将要访问的服务器端的主机公钥配置在本地,同时指定要连接的服务器端的主机公钥名称,以便客户端认证连接的服务器是否为可信赖的服务器。
需要注意的是,由于服务器端可能会定期更新密钥对,为保证服务器认证成功,客户端需要及时获取最新的服务器主机公钥。
【举例】
# 设置SSH客户端对访问的SSH服务器进行首次认证。
<Sysname> system-view
[Sysname] ssh client first-time enable
【命令】
ssh client ipv6 source { ipv6 ipv6-address | interface interface-type interface-number }
undo ssh client ipv6 source
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
ipv6 ipv6-address:源IPv6地址。
interface interface-type interface-number:源接口类型与源接口编号。
【描述】
ssh client ipv6 source命令用来为SSH客户端指定源IPv6地址或源接口。undo ssh client ipv6 source命令用来清除指定的源IPv6地址或源接口。
缺省情况下,客户端用设备路由指定的接口地址访问SSH服务器。
【举例】
# 指定SSH客户端的源IPv6地址为2:2::2:2。
<Sysname> system-view
[Sysname] ssh client ipv6 source ipv6 2:2::2:2
【命令】
ssh client source { ip ip-address | interface interface-type interface-number }
undo ssh client source
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
ip ip-address:源IPv4地址。
interface interface-type interface-number:源接口类型与源接口编号。
【描述】
ssh client source命令用来为SSH客户端指定源IPv4地址或源接口。undo ssh client source命令用来清除指定的源IPv4地址或源接口。
缺省情况下,客户端用设备路由指定的接口地址访问SSH服务器。
相关配置可参考命令display ssh client source。
【举例】
# 指定SSH客户端的源IPv4地址为192.168.0.1。
<Sysname> system-view
[Sysname] ssh client source ip 192.168.0.1
【命令】
ssh server authentication-retries times
undo ssh server authentication-retries
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
times:指定认证尝试的最大次数,取值范围为1~5。
【描述】
ssh server authentication-retries命令用来设置SSH连接认证尝试的最大次数,配置在下次登录时生效。undo ssh server authentication-retries命令用来恢复缺省情况。
缺省情况下,SSH连接认证尝试的最大次数为3次。
需要注意的是:
l SSH客户端通过publickey和password两种方式进行认证尝试的次数总和,不能超过ssh server authentication-retries命令配置的SSH连接认证尝试的最大次数。
l 如果SSH用户的认证方式为password-publickey时,由于SSH2.0用户需要同时通过password和publickey认证,因此配置的SSH连接认证尝试最大次数必须大于等于2。
相关配置可参考命令display ssh server。
【举例】
# 指定登录认证尝试的最大次数为4次。
<Sysname> system-view
[Sysname] ssh server authentication-retries 4
【命令】
ssh server authentication-timeout time-out-value
undo ssh server authentication-timeout
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
time-out-value:认证超时时间,取值范围为1~120,单位为秒。
【描述】
ssh server authentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间。undo ssh server authentication-timeout命令用来恢复缺省情况。
缺省情况下,SSH用户的认证超时时间为60秒。
相关配置可参考命令display ssh server。
【举例】
# 设置SSH用户认证超时时间为10秒。
<Sysname> system-view
[Sysname] ssh server authentication-timeout 10
【命令】
ssh server compatible-ssh1x enable
undo ssh server compatible-ssh1x
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ssh server compatible-ssh1x命令用来设置SSH服务器兼容SSH1版本的客户端。undo ssh server compatible-ssh1x命令用来设置SSH服务器不兼容SSH1版本的客户端。
缺省情况下,SSH服务器兼容SSH1版本的客户端。
该配置对新登录的用户生效。
相关配置可参考命令display ssh server。
【举例】
# 配置服务器兼容SSH1版本的客户端。
<Sysname> system-view
[Sysname] ssh server compatible-ssh1x enable
【命令】
ssh server enable
undo ssh server enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ssh server enable命令用来使能SSH服务器功能。undo ssh server enable命令用来关闭SSH服务器功能。
缺省情况下,SSH服务器功能处于关闭状态。
【举例】
# 使能SSH服务器功能。
<Sysname> system-view
[Sysname] ssh server enable
【命令】
ssh server rekey-interval hours
undo ssh server rekey-interval
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
hours:服务器密钥的更新周期,取值范围为1~24,单位为小时。
【描述】
ssh server rekey-interval命令用来设置RSA服务器密钥的更新时间。undo ssh server rekey-interval命令用来恢复缺省情况。
缺省情况下,RSA服务器密钥的更新时间为0,表示系统不更新RSA服务器密钥。
相关配置可参考命令display ssh server。
此命令仅对SSH客户端版本为SSH1的用户有效。
【举例】
# 设置每3小时更新一次RSA服务器密钥。
<Sysname> system-view
[Sysname] ssh server rekey-interval 3
【命令】
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname }
ssh user username service-type { all | sftp } authentication-type { password | { any | password-publickey | publickey } assign publickey keyname work-directory directory-name }
undo ssh user username
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
username:SSH用户名,为1~80个字符的字符串。
service-type:SSH用户的服务类型。包括:
l all:包括stelnet和sftp两种服务类型。
l sftp:服务类型为安全的文件传输。
l stelnet:服务类型为安全的Telnet。
authentication-type:SSH用户的认证方式。包括:
l password:强制指定该用户的认证方式为password。
l any:指定该用户的认证方式可以是password,也可以是publickey。
l password-publickey:强制指定该用户的认证方式为password和publickey认证同时满足。客户端版本为SSH1的用户只要通过其中一种认证即可登录;客户端版本为SSH2的用户必须两种认证都通过才能登录。
l publickey:强制指定该用户的认证方式为publickey。
assign publickey keyname:为SSH用户分配一个已经存在的公钥。keyname表示已经配置的客户端公共密钥名,为1~64个字符的字符串。
work-directory directory-name:为SFTP用户设置工作目录。directory-name表示SFTP用户的工作目录,为1~135个字符的字符串。
【描述】
ssh user命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式。undo ssh user命令用来删除SSH用户。
需要注意的是:
l 对于使用publickey认证方式的用户,必须在设备上配置相应的用户及其公钥。对于使用password认证方式的用户,用户的账号信息可以配置在设备或者远程认证服务器(如RADIUS认证服务器)上。
l 使用该命令为用户分配公钥时,如果此用户已经被分配了公钥,则以最后一次分配的公钥为准。
l 新配置的认证方式和用户公钥,对于已经登录的SSH用户不会生效,只在SSH用户下次登录时生效。
l 如果为SFTP用户指定了公钥,则必须同时为该用户设置工作目录。
l SFTP用户登录时使用的工作目录与用户使用的认证方式有关。只采用publickey认证方式的用户,使用的工作目录为通过ssh user命令为该用户设置的工作目录;只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录;同时采用publickey和password两种认证方式的用户,使用的工作目录为通过ssh user命令为该用户设置的工作目录。
相关配置可参考命令display ssh user-information。
【举例】
# 创建SSH用户user1,配置user1的服务类型为sftp,认证方式为publickey,并指定用户公钥为key1,SFTP服务器工作目录为flash:。
<Sysname> system-view
[Sysname] ssh user user1 service-type sftp authentication-type publickey assign publickey key1 work-directory flash:
【命令】
ssh2 server [ port-number ] [ prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
【视图】
用户视图
【缺省级别】
0:访问级
【参数】
server:服务器IPv4地址或名称,为1~20个字符的字符串。
port-number:服务器端口号,取值范围为0~65535,缺省值为22。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
l 3des:3des-cbc加密算法。
l aes128:aes128-cbc加密算法。
l des:des-cbc加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1。
l md5:HMAC算法hmac-md5。
l md5-96:HMAC算法hmac-md5-96。
l sha1:HMAC算法hmac-sha1。
l sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,缺省算法为dh-group-exchange。
l dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。
l dh-group1:密钥交换算法diffie-hellman-group1-sha1。
l dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1。
【描述】
ssh2命令用来建立SSH客户端和IPv4服务器端的连接,并指定公共密钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法。
【举例】
# 登录地址为10.214.50.51的远程SSH2服务器,采用的算法为:
l 首选密钥交换算法为dh-group1;
l 服务器到客户端的首选加密算法为aes128;
l 客户端到服务器的首选HMAC算法为md5;
l 服务器到客户端的HMAC算法为sha1-96。
<Sysname> ssh2 10.214.50.51 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96
【命令】
ssh2 ipv6 server [ port-number ] [ prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
【视图】
用户视图
【缺省级别】
0:访问级
【参数】
server:服务器的IPv6地址或名称,为1~46个字符的字符串。
port-number:服务器的端口号,取值范围为0~65535,缺省值为22。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
l 3des:3des-cbc加密算法。
l aes128:aes128-cbc加密算法。
l des:des-cbc加密算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1。
l md5:HMAC算法hmac-md5。
l md5-96:HMAC算法hmac-md5-96。
l sha1:HMAC算法hmac-sha1。
l sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,缺省算法为dh-group-exchange。
l dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。
l dh-group1:密钥交换算法diffie-hellman-group1-sha1。
l dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1。
【描述】
ssh2 ipv6命令用来建立SSH客户端和IPv6服务器端的连接,并指定公共密钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法。
【举例】
# 登录地址为2000::1的远程SSH2服务器,采用的算法为:
l 首选密钥交换算法为dh-group1;
l 服务器到客户端的首选加密算法为aes128;
l 客户端到服务器的首选HMAC算法为md5;
l 服务器到客户端的HMAC算法为sha1-96。
<Sysname> ssh2 ipv6 2000::1 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96
【命令】
bye
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
无
【描述】
bye命令用来终止与远程SFTP服务器的连接,并退回到用户视图。
该命令功能与exit,quit相同。
【举例】
# 终止与远程SFTP服务器的连接。
sftp-client> bye
Bye
<Sysname>
【命令】
cd [ remote-path ]
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
remote-path:服务器上的路径名。
【描述】
cd命令用来改变远程SFTP服务器上的工作路径。
如果没有指定remote-path,则显示当前工作路径。
l 命令“cd ..”用来返回到上一级目录。
l 命令“cd /”用来返回到系统的根目录。
【举例】
# 改变工作路径到new1。
sftp-client> cd new1
Current Directory is:
/new1
【命令】
cdup
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
无
【描述】
cdup命令用来返回到上一级目录。
【举例】
# 从当前工作目录/new1返回到上一级目录。
sftp-client> cdup
Current Directory is:
/
【命令】
delete remote-file&<1-10>
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
remote-file&<1-10>:服务器上的文件名。&<1-10>表示最多可以输入10个文件名,每个文件名之间用空格分隔。
【描述】
delete命令用来删除SFTP服务器上指定的文件。
该命令和remove功能相同。
【举例】
# 删除服务器上的文件temp.c。
sftp-client> delete temp.c
The following files will be deleted:
/temp.c
Are you sure to delete it? [Y/N]:y
This operation may take a long time.Please wait...
File successfully Removed
【命令】
dir [ -a | -l ] [ remote-path ]
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
-a:显示指定目录下文件及文件夹的名称。
-l:以列表的形式显示指定目录下文件及文件夹的详细信息。
remote-path:查询的目录名。
【描述】
dir命令用来显示指定目录下文件及文件夹的信息。
如果没有指定-a和-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息。
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。
该命令功能与ls相同。
【举例】
# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:28 pub1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:24 new1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:18 new2
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:30 pub2
【命令】
exit
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
无
【描述】
exit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。
该命令功能与bye,quit相同。
【举例】
# 终止与远程SFTP服务器的连接。
sftp-client> exit
Bye
<Sysname>
【命令】
get remote-file [ local-file ]
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
remote-file:远程SFTP服务器上的文件名。
local-file:本地文件名。
【描述】
get命令用来从远程服务器上下载文件并存储在本地。
如果没有指定本地文件名,则认为本地文件与远程SFTP服务器上的文件同名。
【举例】
# 下载temp1.c文件,并以temp.c文件名保存。
sftp-client> get temp1.c temp.c
Remote file:/temp1.c ---> Local file: temp.c
Downloading file successfully ended
【命令】
help [ all | command-name ]
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
all:显示所有命令的名字。
command-name:命令名。
【描述】
help命令用来显示SFTP客户端命令的帮助信息。
如果没有指定参数,系统将显示所有命令的名字。
【举例】
# 查看命令get的帮助信息。
sftp-client> help get
get remote-path [local-path] Download file.Default local-path is the same
as remote-path
【命令】
ls [ -a | -l ] [ remote-path ]
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
-a:显示指定目录下文件及文件夹的名称。
-l:以列表的形式显示指定目录下文件及文件夹的详细信息。
remote-path:查询的目录名。
【描述】
ls命令用来显示指定目录下文件及文件夹的信息。
如果没有指定-a和-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息。
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。
该命令功能与dir相同。
【举例】
# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。
sftp-client> ls
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:28 pub1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:24 new1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:18 new2
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:30 pub2
【命令】
mkdir remote-path
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
remote-path:远程SFTP服务器上的目录名。
【描述】
mkdir命令用来在远程SFTP服务器上创建新的目录。
【举例】
# 在远程SFTP服务器上建立目录test。
sftp-client> mkdir test
New directory created
【命令】
put local-file [ remote-file ]
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
local-file:本地的文件名。
remote-file:远程SFTP服务器上的文件名。
【描述】
put命令用来将本地的文件上传到远程SFTP服务器。
如果没有指定远程服务器上的文件名,则认为服务器上的文件与本地文件同名。
【举例】
# 将本地temp.c文件上传到远程SFTP服务器,并以temp1.c文件名保存。
sftp-client> put temp.c temp1.c
Local file:temp.c ---> Remote file: /temp1.c
Uploading file successfully ended
【命令】
pwd
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
无
【描述】
pwd命令用来显示远程SFTP服务器上的当前工作目录。
【举例】
# 显示远程SFTP服务器上的当前工作目录。
sftp-client> pwd
/
【命令】
quit
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
无
【描述】
quit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。
该命令功能与bye,exit相同。
【举例】
# 终止与远程SFTP服务器的连接。
sftp-client> quit
Bye
<Sysname>
【命令】
remove remote-file&<1-10>
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
remote-file&<1-10>:服务器上的文件名。&<1-10>表示最多可以输入10个文件名,每个文件名之间用空格分隔。
【描述】
remove命令用来删除SFTP服务器上指定的文件。
该命令和delete功能相同。
【举例】
# 删除服务器上的文件temp.c。
sftp-client> remove temp.c
The following files will be deleted:
/temp.c
Are you sure to delete it? [Y/N]:y
This operation may take a long time.Please wait...
File successfully Removed
【命令】
rename oldname newname
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
oldname:原文件名或者目录名。
newname:新文件名或者目录名。
【描述】
rename命令用来改变SFTP服务器上指定的文件或者目录的名字。
【举例】
# 将SFTP服务器上的文件temp1.c改名为temp2.c。
sftp-client> rename temp1.c temp2.c
File successfully renamed
【命令】
rmdir remote-path&<1-10>
【视图】
SFTP客户端视图
【缺省级别】
3:管理级
【参数】
remote-path&<1-10>:远程SFTP服务器上的目录名。&<1-10>表示最多可以输入10个目录名,每个文件名之间用空格分隔。
【描述】
rmdir命令用来删除SFTP服务器上指定的目录。
【举例】
# 删除SFTP服务器上当前工作目录下的temp1目录。
sftp-client> rmdir temp1
Directory successfully removed
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
