• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08-安全命令参考

目录

12-SSH2.0命令

本章节下载 12-SSH2.0命令  (236.65 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S5500/S5500-HI-D/Command/Command_Manual/H3C_S5500-HI-D_CR-Release_5101-6W100/08/201209/754419_30005_0.htm

12-SSH2.0命令


1 SSH2.0配置命令

1.1  SSH2.0服务器端配置命令

1.1.1  display ssh server

【命令】

display ssh server { session | status } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

session:显示SSH服务器的会话信息。

status:显示SSH服务器的状态信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ssh server命令用来在SSH服务器端显示该服务器的状态信息或会话信息。

相关配置可参考命令ssh server authentication-retriesssh server rekey-intervalssh server authentication-timeoutssh server enablessh server compatible-ssh1x enable

该命令也可在SFTP服务器端使用。

 

【举例】

# 在SSH服务器端显示该服务器的状态信息。

<Sysname> display ssh server status

 SSH server: Disable

 SSH version : 1.99

 SSH authentication-timeout : 60 second(s)

 SSH server key generating interval : 0 hour(s)

 SSH authentication retries : 3 time(s)

 SFTP server: Disable

 SFTP server Idle-Timeout: 10 minute(s)

表1-1 display ssh server status命令显示信息描述表

字段

描述

SSH server

SSH服务器功能的状态

SSH version

SSH协议版本

SSH服务器兼容SSH1时,协议版本为1.99;SSH服务器不兼容SSH1时,协议版本为2.0

SSH authentication-timeout

认证超时时间

SSH server key generating interval

服务器密钥对更新时间

SSH authentication retries

SSH用认证尝试的最大次数

SFTP server

SFTP服务器功能的状态

SFTP server Idle-Timeout

SFTP用户连接的空闲超时时间

 

# 在SSH服务器端显示该服务器的会话信息。

<Sysname> display ssh server session

 Conn   Ver   Encry    State         Retry    SerType  Username

 VTY 0  2.0   DES      Established   0        SFTP     client001

表1-2 display ssh server session显示信息描述表

字段

描述

Conn

用户登录使用的VTY界面的编号

Ver

SSH服务器的协议版本

Encry

SSH使用的加密算法

State

会话状态,包括:

Init:初始化状态

Ver-exchange:版本协商

Keys-exchange:密钥交换

Auth-request:用户认证

Serv-request:服务请求

Established:连接已经建立

Disconnected:断开连接

Retry

认证失败的次数

SerType

服务类型,包括SFTP和Stelnet两种类型

Username

客户端登录服务器时采用的用户名

 

1.1.2  display ssh user-information

【命令】

display ssh user-information [ username ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

username:显示指定SSH用户的信息。username表示SSH用户名,为1~80个字符的字符串。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ssh user-information命令用来在SSH服务器端显示SSH用户的信息。

需要注意的是:

l              本命令仅用来显示SSH服务器端通过ssh user命令配置的SSH用户信息。

l              如果没有指定参数username,则显示所有SSH用户的信息。

相关配置可参考命令ssh user

该命令也可在SFTP服务器端使用。

 

【举例】

# 显示所有SSH用户的信息。

<Sysname> display ssh user-information

 Total ssh users : 2

 Username    Authentication-type   User-public-key-name     Service-type

 yemx        password              null                     stelnet|sftp

 test        publickey             pubkey                     sftp

表1-3 display ssh user-information显示信息描述表

字段

描述

Total ssh users

SSH用户的总数

Username

用户名

Authentication-type

认证类型,如果认证类型为password,则用户公钥名称显示为null

User-public-key-name

用户公钥名称

Service-type

服务类型

 

1.1.3  ssh server authentication-retries

【命令】

ssh server authentication-retries times

undo ssh server authentication-retries

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

times:指定每个SSH用户认证尝试的最大次数,取值范围为1~5。

【描述】

ssh server authentication-retries命令用来设置允许SSH用户连接认证尝试的最大次数。undo ssh server authentication-retries命令用来恢复缺省情况。

缺省情况下,允许SSH用户连接认证尝试的最大次数为3次。

需要注意的是:

l              本配置对新登录的用户生效。

l              SSH客户端通过publickey和password两种方式进行认证尝试的次数总和,不能超过ssh server authentication-retries命令配置的SSH连接认证尝试的最大次数。

l              对于password-publickey认证方式,设备首先对SSH用户进行publickey认证,然后进行password认证,这个过程称为一次认证尝试,而不是两次认证尝试。

相关配置可参考命令display ssh server

【举例】

# 指定允许SSH用户认证尝试的最大次数为4次。

<Sysname> system-view

[Sysname] ssh server authentication-retries 4

1.1.4  ssh server authentication-timeout

【命令】

ssh server authentication-timeout time-out-value

undo ssh server authentication-timeout

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

time-out-value:认证超时时间,取值范围为1~120,单位为秒。

【描述】

ssh server authentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间。undo ssh server authentication-timeout命令用来恢复缺省情况。

缺省情况下,SSH用户的认证超时时间为60秒。

相关配置可参考命令display ssh server

【举例】

# 设置SSH用户认证超时时间为10秒。

<Sysname> system-view

[Sysname] ssh server authentication-timeout 10

1.1.5  ssh server compatible-ssh1x enable

【命令】

ssh server compatible-ssh1x enable

undo ssh server compatible-ssh1x

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

【描述】

ssh server compatible-ssh1x enable命令用来设置SSH服务器兼容SSH1版本的客户端。undo ssh server compatible-ssh1x命令用来设置SSH服务器不兼容SSH1版本的客户端。

缺省情况下,SSH服务器兼容SSH1版本的客户端。

该配置对新登录的用户生效。

相关配置可参考命令display ssh server

【举例】

# 配置服务器兼容SSH1版本的客户端。

<Sysname> system-view

[Sysname] ssh server compatible-ssh1x enable

1.1.6  ssh server enable

【命令】

ssh server enable

undo ssh server enable

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

【描述】

ssh server enable命令用来使能SSH服务器功能。undo ssh server enable命令用来关闭SSH服务器功能。

缺省情况下,SSH服务器功能处于关闭状态。

【举例】

# 使能SSH服务器功能。

<Sysname> system-view

[Sysname] ssh server enable

1.1.7  ssh server rekey-interval

【命令】

ssh server rekey-interval hours

undo ssh server rekey-interval

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

hours:服务器密钥的更新周期,取值范围为1~24,单位为小时。

【描述】

ssh server rekey-interval命令用来设置RSA服务器密钥的更新时间。undo ssh server rekey-interval命令用来恢复缺省情况。

缺省情况下,RSA服务器密钥的更新时间为0,表示系统不更新RSA服务器密钥。

相关配置可参考命令display ssh server

l          此命令仅对SSH客户端版本为SSH1的用户有效。

l          系统不会定期更新DSA密钥对。

 

【举例】

# 设置每3小时更新一次RSA服务器密钥。

<Sysname> system-view

[Sysname] ssh server rekey-interval 3

1.1.8  ssh user

【命令】

ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname }

ssh user username service-type { all | sftp } authentication-type { password | { any | password-publickey | publickey } assign publickey keyname work-directory directory-name }

undo ssh user username

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

username:SSH用户名,为1~80个字符的字符串,区分大小写。

service-type:SSH用户的服务类型。包括:

all:包括stelnetsftp两种服务类型。

sftp:服务类型为安全的文件传输。

stelnet:服务类型为安全的Telnet。

authentication-type:SSH用户的认证方式。包括:

l              password:强制用户使用密码认证。该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication, Authorization, Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击。

l              any:不指定用户的认证方式,用户既可以采用password认证,也可以采用publickey认证。

l              password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可。

l              publickey:强制用户使用公钥认证。该认证方式的加密速度相对较慢,但认证强度高,不易受到“暴力猜测”等攻击方式的影响,而且具有较高的易用性。一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码。

assign publickey keyname:为SSH用户分配一个已经存在的公钥。keyname表示已经配置的客户端公钥名,为1~64个字符的字符串。

work-directory directory-name:为SFTP用户设置工作目录。directory-name表示SFTP用户的工作目录,为1~135个字符的字符串。

【描述】

ssh user命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式。undo ssh user命令用来删除SSH用户。

需要注意的是:

l              对于使用publickey认证方式的用户,必须在设备上配置相应的用户及其公钥。对于使用password认证方式的用户,用户的账号信息可以配置在设备或者远程认证服务器(如RADIUS认证服务器)上。

l              使用该命令为用户分配公钥时,如果此用户已经被分配了公钥,则以最后一次分配的公钥为准。

l              新配置的认证方式和用户公钥,对于已经登录的SSH用户不会生效,只在SSH用户下次登录时生效。

l              如果为SFTP用户指定了公钥,则必须同时为该用户设置工作目录。

l              SFTP用户登录时使用的工作目录与用户使用的认证方式有关。只采用publickey认证方式的用户,使用的工作目录为通过ssh user命令为该用户设置的工作目录;只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录;同时采用publickey和password两种认证方式的用户,使用的工作目录为通过ssh user命令为该用户设置的工作目录。

相关配置可参考命令display ssh user-information

【举例】

# 创建SSH用户user1,配置user1的服务类型为sftp,认证方式为publickey,并指定用户公钥为key1,SFTP服务器工作目录为flash:/。

<Sysname> system-view

[Sysname] ssh user user1 service-type sftp authentication-type publickey assign publickey key1 work-directory flash:/

1.2  SSH2.0客户端配置命令

1.2.1  display ssh client source

【命令】

display ssh client source [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ssh client source命令用来显示当前为SSH客户端设置的源IP地址或者源接口。

如果没有为SSH客户端指定源地址和源接口,则提示尚未指定。

相关配置可参考命令ssh client source

【举例】

# 显示SSH客户端的源IP地址或者源接口。

<Sysname> display ssh client source

The source IP address you specified is 192.168.0.1

1.2.2  display ssh server-info

【命令】

display ssh server-info [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ssh server-info命令用来在SSH客户端显示客户端保存的服务器端的主机公钥和服务器的对应关系。

SSH客户端需要认证服务器时,以本地保存的服务器端的主机公钥对连接的服务器进行认证。如果认证不成功,可以通过display ssh server-info命令查看服务器是否与正确的公钥对应。

相关配置可参考命令ssh client authentication server

该命令也可在SFTP客户端使用。

 

【举例】

# 显示客户端保存的服务器端的主机公钥和服务器的对应关系。

<Sysname> display ssh server-info

Server Name(IP)                 Server public key name

______________________________________________________

192.168.0.1                      abc_key01

192.168.0.2                      abc_key02

表1-4 display ssh server-info显示信息描述表

字段

描述

Server Name(IP)

服务器名称或者IP地址

Server public key name

服务器端的主机公钥名称

 

1.2.3  ssh client authentication server

【命令】

ssh client authentication server server assign publickey keyname

undo ssh client authentication server server assign publickey

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

server:服务器的IP地址或名称,为1~80个字符的字符串。

assign publickey keyname:指定服务器端的主机公钥。keyname表示主机公钥名称,为1~64个字符的字符串。

【描述】

ssh client authentication server命令用来在客户端上指定要连接的服务器端的主机公钥名称,以便客户端判断认证连接的服务器是否为可信赖的服务器。undo ssh client authentication server命令用来取消在客户端上指定要连接的服务器端的主机公钥。

缺省情况下,客户端不指定要连接的服务器端的主机公钥名称,而是在客户端登录服务器的时候使用登录服务器时所用的IP地址或主机名作其对应的公钥名称。

如果客户端不支持首次认证,客户端将拒绝访问未经认证的服务器。此时,需要在客户端配置服务器端的公钥,并指定该公钥与服务器端的对应关系,以便在客户端对连接的服务器端进行认证时,能够根据该对应关系使用正确的公钥对服务器端进行认证。

需要注意的是,指定的服务器端的主机公钥必须已经存在。

相关配置可参考命令ssh client first-time enable

【举例】

# 服务器的IP地址为192.168.0.1,在客户端指定该服务器的公钥名称为key1。

<Sysname> system-view

[Sysname] ssh client authentication server 192.168.0.1 assign publickey key1

1.2.4  ssh client first-time enable

【命令】

ssh client first-time enable

undo ssh client first-time

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

ssh client first-time enable命令用来设置SSH客户端对访问的SSH服务器进行首次认证。undo ssh client first-time命令用来取消SSH客户端对访问的SSH服务器进行首次认证。

缺省情况下,客户端进行首次认证。

所谓首次认证,是指当SSH客户端首次访问服务器,而客户端没有配置服务器端的公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器。

如果不支持首次认证,则当客户端没有配置服务器端的公钥时,客户端将被拒绝访问该服务器。用户必须事先通过其它途径将要访问的服务器端的主机公钥配置在本地,同时指定要连接的服务器端的主机公钥名称,以便客户端认证连接的服务器是否为可信赖的服务器。

需要注意的是,由于服务器端可能会定期更新密钥对,为保证服务器认证成功,客户端需要及时获取最新的服务器主机公钥。

【举例】

# 设置SSH客户端对访问的SSH服务器进行首次认证。

<Sysname> system-view

[Sysname] ssh client first-time enable

1.2.5  ssh client ipv6 source

【命令】

ssh client ipv6 source { ipv6 ipv6-address | interface interface-type interface-number }

undo ssh client ipv6 source

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

ipv6 ipv6-address:源IPv6地址。

interface interface-type interface-number:源接口类型与源接口编号。

【描述】

ssh client ipv6 source命令用来为SSH客户端指定源IPv6地址或源接口。undo ssh client ipv6 source命令用来清除指定的源IPv6地址或源接口。

缺省情况下,客户端用设备路由指定的接口地址访问SSH服务器。

相关配置可参考命令display ssh client source

【举例】

# 指定SSH客户端的源IPv6地址为2:2::2:2。

<Sysname> system-view

[Sysname] ssh client ipv6 source ipv6 2:2::2:2

1.2.6  ssh client source

【命令】

ssh client source { ip ip-address | interface interface-type interface-number }

undo ssh client source

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

ip ip-address:源IPv4地址。

interface interface-type interface-number:源接口类型与源接口编号。

【描述】

ssh client source命令用来为SSH客户端指定源IPv4地址或源接口。undo ssh client source命令用来清除指定的源IPv4地址或源接口。

缺省情况下,客户端用设备路由指定的接口地址访问SSH服务器。

相关配置可参考命令display ssh client source

【举例】

# 指定SSH客户端的源IPv4地址为192.168.0.1。

<Sysname> system-view

[Sysname] ssh client source ip 192.168.0.1

1.2.7  ssh2

【命令】

ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *

【视图】

用户视图

【缺省级别】

0:访问级

【参数】

server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为0~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果服务器位于公网中,则无需指定本参数。

identity-key:publickey认证采用的公钥算法,缺省算法为dsa

dsa:公钥算法为DSA。

rsa:公钥算法为RSA。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128

3des:3des-cbc加密算法。

aes128:aes128-cbc加密算法。

des:des-cbc加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96

md5:HMAC算法hmac-md5。

md5-96:HMAC算法hmac-md5-96。

sha1:HMAC算法hmac-sha1。

sha1-96:HMAC算法hmac-sha1-96。

prefer-kex:密钥交换首选算法,缺省算法为dh-group-exchange

dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。

dh-group1:密钥交换算法diffie-hellman-group1-sha1。

dh-group14:密钥交换算法diffie-hellman-group14-sha1。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96

【描述】

ssh2命令用来建立SSH客户端和IPv4服务器端的连接,并指定公钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法。

需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行验证。由于publickey认证可以采用RSA和DSA两种加密算法,所以需要用identity-key关键字指定采用的加密算法,才能得到正确的本地私钥数据。缺省情况下,加密算法为DSA。

【举例】

# 登录地址为10.214.50.51的远程SSH2服务器,采用的算法为:

l              首选密钥交换算法为dh-group1

l              服务器到客户端的首选加密算法为aes128

l              客户端到服务器的首选HMAC算法为md5

l              服务器到客户端的HMAC算法为sha1-96

<Sysname> ssh2 10.214.50.51 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96

1.2.8  ssh2 ipv6

【命令】

ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *

【视图】

用户视图

【缺省级别】

0:访问级

【参数】

server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。

port-number:服务器的端口号,取值范围为0~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果服务器位于公网中,则无需指定本参数。

identity-key:publickey认证采用的公钥算法,缺省算法为dsa

dsa:公钥算法为DSA。

rsa:公钥算法为RSA。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128

3des:3des-cbc加密算法。

aes128:aes128-cbc加密算法。

des:des-cbc加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96

md5:HMAC算法hmac-md5。

md5-96:HMAC算法hmac-md5-96。

sha1:HMAC算法hmac-sha1。

sha1-96:HMAC算法hmac-sha1-96。

prefer-kex:密钥交换首选算法,缺省算法为dh-group-exchange

dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。

dh-group1:密钥交换算法diffie-hellman-group1-sha1。

dh-group14:密钥交换算法diffie-hellman-group14-sha1。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96

【描述】

ssh2 ipv6命令用来建立SSH客户端和IPv6服务器端的连接,并指定公钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法。

需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行验证。由于publickey认证可以采用RSA和DSA两种加密算法,所以需要用identity-key关键字指定采用的加密算法,才能得到正确的本地私钥数据。缺省情况下,加密算法为DSA。

【举例】

# 登录地址为2000::1的远程SSH2服务器,具体加密算法配置如下:

l              首选密钥交换算法为dh-group1

l              服务器到客户端的首选加密算法为aes128

l              客户端到服务器的首选HMAC算法为md5

l              服务器到客户端的HMAC算法为sha1-96

<Sysname> ssh2 ipv6 2000::1 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96

1.3  SFTP服务器端配置命令

1.3.1  sftp server enable

【命令】

sftp server enable

undo sftp server enable

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

【描述】

sftp server enable命令用来启动SFTP服务器。undo sftp server enable命令用来关闭SFTP服务器。

缺省情况下,SFTP服务器处于关闭状态。

相关配置可参考命令display ssh server

【举例】

# 启动SFTP服务器。

<Sysname> system-view

[Sysname] sftp server enable

1.3.2  sftp server idle-timeout

【命令】

sftp server idle-timeout time-out-value

undo sftp server idle-timeout

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

time-out-value:超时时间,取值范围为1~35791,单位为分钟。

【描述】

sftp server idle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间。undo sftp server idle-timeout命令用来恢复缺省情况。

缺省情况下,SFTP用户连接的空闲超时时间为10分钟。

相关配置可参考命令display ssh server

【举例】

# 设置SFTP用户连接的空闲超时时间为500分钟。

<Sysname> system-view

[Sysname] sftp server idle-timeout 500

1.4  SFTP客户端配置命令

1.4.1  bye

【命令】

bye

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

【描述】

bye命令用来终止与远程SFTP服务器的连接,并退回到用户视图。

该命令功能与exitquit相同。

【举例】

# 终止与远程SFTP服务器的连接。

sftp-client> bye

Bye

Connection closed.

<Sysname>

1.4.2  cd

【命令】

cd [ remote-path ]

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

remote-path:服务器上的路径名。

【描述】

cd命令用来改变远程SFTP服务器上的工作路径。

如果没有指定remote-path,则显示当前工作路径。

l          命令“cd ..”用来返回到上一级目录。

l          命令“cd /”用来返回到系统的根目录。

 

【举例】

# 改变工作路径到new1。

sftp-client> cd new1

Current Directory is:

/new1

1.4.3  cdup

【命令】

cdup

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

【描述】

cdup命令用来返回到上一级目录。

【举例】

# 从当前工作目录/new1返回到上一级目录。

sftp-client> cdup

Current Directory is:

/

1.4.4  delete

【命令】

delete remote-file&<1-10>

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

remote-file&<1-10>:服务器上的文件名。&<1-10>表示最多可以输入10个文件名,每个文件名之间用空格分隔。

【描述】

delete命令用来删除SFTP服务器上指定的文件。

该命令和remove功能相同。

【举例】

# 删除服务器上的文件temp.c。

sftp-client> delete temp.c

The following files will be deleted:

/temp.c

Are you sure to delete it? [Y/N]:y

This operation may take a long time.Please wait...

 

File successfully Removed

1.4.5  dir

【命令】

dir [ -a | -l ] [ remote-path ]

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

-a:显示指定目录下文件及文件夹的名称。

-l:以列表的形式显示指定目录下文件及文件夹的详细信息。

remote-path:查询的目录名。

【描述】

dir命令用来显示指定目录下文件及文件夹的信息。

如果没有指定-a-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息。

如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。

该命令功能与ls相同。

【举例】

# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。

sftp-client> dir

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey1

-rwxrwxrwx   1 noone    nogroup       225 Sep 28 08:28 pub1

drwxrwxrwx   1 noone    nogroup         0 Sep 28 08:24 new1

drwxrwxrwx   1 noone    nogroup         0 Sep 28 08:18 new2

-rwxrwxrwx   1 noone    nogroup       225 Sep 28 08:30 pub2

1.4.6  display sftp client source

【命令】

display sftp client source [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display sftp client source命令用来显示当前为SFTP客户端设置的源IP地址或者源接口。

如果没有为SFTP客户端指定源地址和源接口,则提示尚未指定。

相关配置可参考命令sftp client source

【举例】

# 显示SFTP客户端的源IP地址。

<Sysname> display sftp client source

The source IP address you specified is 192.168.0.1

1.4.7  exit

【命令】

exit

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

【描述】

exit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。

该命令功能与byequit相同。

【举例】

# 终止与远程SFTP服务器的连接。

sftp-client> exit

Bye

Connection closed.

<Sysname>

1.4.8  get

【命令】

get remote-file [ local-file ]

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

remote-file:远程SFTP服务器上的文件名。

local-file:本地文件名。

【描述】

get命令用来从远程服务器上下载文件并存储在本地。

如果没有指定本地文件名,则认为本地文件与远程SFTP服务器上的文件同名。

【举例】

# 下载temp1.c文件,并以temp.c文件名保存。

sftp-client> get temp1.c temp.c

Remote  file:/temp1.c --->  Local file: temp.c

Downloading file successfully ended

1.4.9  help

【命令】

help [ all | command-name ]

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

all:显示所有命令的名字。

command-name:命令名。

【描述】

help命令用来显示SFTP客户端命令的帮助信息。

如果没有指定参数,系统将显示所有命令的名字。

【举例】

# 查看命令get的帮助信息。

sftp-client> help get

get remote-path [local-path]  Download file.Default local-path is the same

                              as remote-path

1.4.10  ls

【命令】

ls [ -a | -l ] [ remote-path ]

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

-a:显示指定目录下文件及文件夹的名称。

-l:以列表的形式显示指定目录下文件及文件夹的详细信息。

remote-path:查询的目录名。

【描述】

ls命令用来显示指定目录下文件及文件夹的信息。

如果没有指定-a-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息。

如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。

该命令功能与dir相同。

【举例】

# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。

sftp-client> ls

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey1

-rwxrwxrwx   1 noone    nogroup       225 Sep 28 08:28 pub1

drwxrwxrwx   1 noone    nogroup         0 Sep 28 08:24 new1

drwxrwxrwx   1 noone    nogroup         0 Sep 28 08:18 new2

-rwxrwxrwx   1 noone    nogroup       225 Sep 28 08:30 pub2

1.4.11  mkdir

【命令】

mkdir remote-path

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

remote-path:远程SFTP服务器上的目录名。

【描述】

mkdir命令用来在远程SFTP服务器上创建新的目录。

【举例】

# 在远程SFTP服务器上建立目录test。

sftp-client> mkdir test

New directory created

1.4.12  put

【命令】

put local-file [ remote-file ]

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

local-file:本地的文件名。

remote-file:远程SFTP服务器上的文件名。

【描述】

put命令用来将本地的文件上传到远程SFTP服务器。

如果没有指定远程服务器上的文件名,则认为服务器上的文件与本地文件同名。

【举例】

# 将本地temp.c文件上传到远程SFTP服务器,并以temp1.c文件名保存。

sftp-client> put temp.c temp1.c

Local file:temp.c --->  Remote file: /temp1.c

Uploading file successfully ended

1.4.13  pwd

【命令】

pwd

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

【描述】

pwd命令用来显示远程SFTP服务器上的当前工作目录。

【举例】

# 显示远程SFTP服务器上的当前工作目录。

sftp-client> pwd

/

1.4.14  quit

【命令】

quit

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

【描述】

quit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。

该命令功能与byeexit相同。

【举例】

# 终止与远程SFTP服务器的连接。

sftp-client> quit

Bye

Connection closed.

<Sysname>

1.4.15  remove

【命令】

remove remote-file&<1-10>

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

remote-file&<1-10>:服务器上的文件名。&<1-10>表示最多可以输入10个文件名,每个文件名之间用空格分隔。

【描述】

remove命令用来删除SFTP服务器上指定的文件。

该命令和delete功能相同。

【举例】

# 删除服务器上的文件temp.c。

sftp-client> remove temp.c

The following files will be deleted:

/temp.c

Are you sure to delete it? [Y/N]:y

This operation may take a long time.Please wait...

 

File successfully Removed

1.4.16  rename

【命令】

rename oldname newname

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

oldname:原文件名或者目录名。

newname:新文件名或者目录名。

【描述】

rename命令用来改变SFTP服务器上指定的文件或者目录的名字。

【举例】

# 将SFTP服务器上的文件temp1.c改名为temp2.c。

sftp-client> rename temp1.c temp2.c

File successfully renamed

1.4.17  rmdir

【命令】

rmdir remote-path&<1-10>

【视图】

SFTP客户端视图

【缺省级别】

3:管理级

【参数】

remote-path&<1-10>:远程SFTP服务器上的目录名。&<1-10>表示最多可以输入10个目录名,每个文件名之间用空格分隔。

【描述】

rmdir命令用来删除SFTP服务器上指定的目录。

【举例】

# 删除SFTP服务器上当前工作目录下的temp1目录。

sftp-client> rmdir temp1

Directory successfully removed

1.4.18  sftp

【命令】

sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *

【视图】

用户视图

【缺省级别】

3:管理级

【参数】

server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为0~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。vpn-instance-name表示MPLS L3VPNVPN实例名称,为1~31个字符的字符串,区分大小写。如果服务器位于公网中,则无需指定本参数。

identity-key:publickey认证采用的公钥算法,缺省算法为dsa

dsa:公钥算法为DSA。

rsa:公钥算法为RSA。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128

3des:3des-cbc加密算法。

aes128:aes128-cbc加密算法。

des:des-cbc加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96

md5:HMAC算法hmac-md5。

md5-96:HMAC算法hmac-md5-96。

sha1:HMAC算法hmac-sha1。

sha1-96:HMAC算法hmac-sha1-96。

prefer-kex:密钥交换首选算法,缺省算法为dh-group-exchange

dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。

dh-group1:密钥交换算法diffie-hellman-group1-sha1。

dh-group14:密钥交换算法diffie-hellman-group14-sha1。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96

【描述】

sftp命令用来与远程IPv4 SFTP服务器建立连接,并进入SFTP客户端视图。

需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行验证。由于publickey认证可以采用RSA和DSA两种加密算法,所以需要用identity-key关键字指定采用的加密算法,才能得到正确的本地私钥数据。缺省情况下,加密算法为DSA。

【举例】

# 连接IP地址为10.1.1.2的SFTP服务器,采用的算法为:

首选密钥交换算法为dh-group1

服务器到客户端的首选加密算法为aes128

客户端到服务器的首选HMAC算法为md5

服务器到客户端的HMAC算法为sha1-96

<Sysname> sftp 10.1.1.2 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96

Input Username:

1.4.19  sftp client ipv6 source

【命令】

sftp client ipv6 source { ipv6 ipv6-address | interface interface-type interface-number }

undo sftp client ipv6 source

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

ipv6 ipv6-address:源IPv6地址。

interface interface-type interface-number:源接口类型与源接口编号。

【描述】

sftp client ipv6 source命令用来为SFTP客户端指定源IPv6地址或源接口。undo sftp client ipv6 source命令用来取消指定的源IPv6地址或源接口。

缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器。

相关配置可参考命令display sftp client source

【举例】

# 指定SFTP客户端的源IPv6地址为2:2::2:2。

<Sysname> system-view

[Sysname] sftp client ipv6 source ipv6 2:2::2:2

1.4.20  sftp client source

【命令】

sftp client source { ip ip-address | interface interface-type interface-number }

undo sftp client source

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

ip ip-address:源IPv4地址。

interface interface-type interface-number:源接口类型与源接口编号。

【描述】

sftp client source命令用来为SFTP客户端指定源IPv4地址或源接口。undo sftp client source命令用来取消指定的源IPv4地址或源接口。

缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器。

相关配置可参考命令display sftp client source

【举例】

# 指定SFTP客户端的源IP地址为192.168.0.1。

<Sysname> system-view

[Sysname] sftp client source ip 192.168.0.1

1.4.21  sftp ipv6

【命令】

sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *

【视图】

用户视图

【缺省级别】

3:管理级

【参数】

server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。

port-number:服务器的端口号,取值范围为0~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果服务器位于公网中,则无需指定本参数。

identity-key:publickey认证采用的公钥算法,缺省算法为dsa

dsa:公钥算法为DSA。

rsa:公钥算法为RSA。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128

3des:3des-cbc加密算法。

aes128:aes128-cbc加密算法。

des:des-cbc加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96

md5:HMAC算法hmac-md5。

md5-96:HMAC算法hmac-md5-96。

sha1:HMAC算法hmac-sha1。

sha1-96:HMAC算法hmac-sha1-96。

prefer-kex:密钥交换首选算法,缺省算法为dh-group-exchange

dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。

dh-group1:密钥交换算法diffie-hellman-group1-sha1。

dh-group14:密钥交换算法diffie-hellman-group14-sha1。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96

【描述】

sftp ipv6命令用来与远程IPv6 SFTP服务器建立连接,并进入SFTP客户端视图。

需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行验证。由于publickey认证可以采用RSA和DSA两种加密算法,所以需要用identity-key关键字指定采用的加密算法,才能得到正确的本地私钥数据。缺省情况下,加密算法为DSA。

【举例】

# 连接IPv6地址为2:5::8:9的SFTP服务器,采用的加密算法为:

首选密钥交换算法为dh-group1

服务器到客户端的首选加密算法为aes128

客户端到服务器的首选HMAC算法为md5

服务器到客户端的HMAC算法为sha1-96

<Sysname> sftp ipv6 2:5::8:9 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96

Input Username:

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们