选择区域语言: EN CN HK

09-安全命令参考

13-SSH命令

本章节下载  (381.32 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S5560/S5560X-EI/Command/Command_Manual/H3C_S5560X-EI_CR-R1118[1118P07]-6W101/09/201906/1191784_30005_0.htm

13-SSH命令


1 SSH

说明

设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

 

1.1  SSH服务器端配置命令

1.1.1  display ssh server

display ssh server命令用来在SSH服务器端显示该服务器的状态信息或会话信息。

【命令】

display ssh server { session | status }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

session:显示SSH服务器的会话信息。

status:显示SSH服务器的状态信息。

【举例】

# 在SSH服务器端显示该服务器的状态信息。

<Sysname> display ssh server status

 Stelnet server: Disable

 SSH version : 2.0

 SSH authentication-timeout : 60 second(s)

 SSH server key generating interval : 0 hour(s)

 SSH authentication retries : 3 time(s)

 SFTP server: Disable

 SFTP server Idle-Timeout: 10 minute(s)

 NETCONF server: Disable

 SCP server: Disable

 SSH Server PKI domain name: aaa

表1-1 display ssh server status命令显示信息描述表

字段

描述

Stelnet server

Stelnet服务器功能的状态

SSH version

SSH协议版本

SSH服务器兼容SSH1时,协议版本为1.99;SSH服务器不兼容SSH1时,协议版本为2.0

SSH authentication-timeout

认证超时时间

SSH server key generating interval

RSA服务器密钥对的最小更新间隔时间

SSH authentication retries

SSH用户认证尝试的最大次数

SFTP server

SFTP服务器功能的状态

SFTP server Idle-Timeout

SFTP用户连接的空闲超时时间

NETCONF server

NETCONF over SSH服务器功能的状态

SCP server

SCP服务器功能的状态

SSH Server PKI domain name

SSH服务器PKI域配置

 

# 在SSH服务器端显示该服务器的会话信息。

<Sysname> display ssh server session

UserPid   SessID Ver   Encrypt    State          Retries  Serv     Username

 184       0     2.0   aes128-cbc Established    1        Stelnet  abc@123

表1-2 display ssh server session显示信息描述表

字段

描述

UserPid

用户进程PID

SessID

会话ID

Ver

SSH服务器的协议版本

Encrypt

SSH服务器本端使用的加密算法

State

会话状态,包括:

·     Init:初始化状态

·     Ver-exchange:版本协商

·     Keys-exchange:密钥交换

·     Auth-request:用户认证

·     Serv-request:服务请求

·     Established:会话已经建立

·     Disconnected:断开会话

Retries

认证失败的次数

Serv

服务类型,包括SCP、SFTP、Stelnet和NETCONF

Username

客户端登录服务器时采用的用户名

 

1.1.2  display ssh user-information

display ssh user-information命令用来在SSH服务器端显示SSH用户的信息。

【命令】

display ssh user-information [ username ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

username:SSH用户名,为1~80个字符的字符串,区分大小写。如果没有指定本参数,则显示所有SSH用户的信息。

【使用指导】

本命令仅用来显示SSH服务器端通过ssh user命令配置的SSH用户信息。

【举例】

# 显示所有SSH用户的信息。

<Sysname> display ssh user-information

 Total ssh users:2

 Username            Authentication-type  User-public-key-name  Service-type

 yemx                password                                   Stelnet|SFTP

 test                publickey            pubkey                SFTP

表1-3 display ssh user-information显示信息描述表

字段

描述

Total ssh users

SSH用户的总数

Username

用户名

Authentication-type

认证类型,取值包括password、publickey、password-publickey和any

User-public-key-name

用户公钥名称

如果认证类型为password,则该字段显示为空

Service-type

服务类型,取值包括SCP、SFTP、Stelnet和NETCONF

如果设备同时显示多个SSH服务类型时用 | 隔开

 

【相关命令】

·     ssh user

1.1.3  free ssh

free ssh命令用来强制释放已建立的SSH连接。

【命令】

free ssh { user-ip { ip-address | ipv6 ipv6-address } [ port port-number ] | user-pid pid-number | username username }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

user-ip:根据IP地址强制释放已建立的SSH连接。

ip-address:待释放的SSH连接的源IPv4地址。

ipv6 ipv6-address:待释放的SSH连接的源IPv6地址。

port port-number:待释放的SSH连接的源端口。port-number为源端口号,取值范围为1~65535。未指定本参数时,表示强制释放对应IP地址建立的所有SSH连接。

user-pid pid-number:根据进程号强制释放已建立的SSH连接。pid-number为待释放的SSH连接进程号,取值范围为1~2147483647。可以通过display ssh server session查看当前SSH连接的进程号。

username username:根据用户名强制释放已建立的SSH连接,可以通过display ssh server session查看当前SSH连接的用户名。

【举例】

# 强制释放通过IPv4地址192.168.15.45建立的SSH连接。

<Sysname> free ssh user-ip 192.168.15.45

Releasing SSH connection. Continue? [Y/N]:y

# 强制释放通过IPv6地址2000::11建立的SSH连接。

<Sysname> free ssh user-ip ipv6 2000::11

Releasing SSH connection. Continue? [Y/N]:y

# 强制释放进程号为417的SSH连接。

<Sysname> free ssh user-pid 417

Releasing SSH connection. Continue? [Y/N]:y

# 强制释放通过用户名sshuser建立的SSH连接。

<Sysname> free ssh username sshuser

Releasing SSH connection. Continue? [Y/N]:y

【相关命令】

·     display ssh server session

1.1.4  scp server enable

scp server enable命令用来开启SCP服务器功能。

undo scp server enable命令用来关闭SCP服务器功能。

【命令】

scp server enable

undo scp server enable

【缺省情况】

SCP服务器功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【举例】

# 开启SCP服务器功能。

<Sysname> system-view

[Sysname] scp server enable

【相关命令】

·     display ssh server

1.1.5  sftp server enable

sftp server enable命令用来开启SFTP服务器功能。

undo sftp server enable命令用来关闭SFTP服务器功能。

【命令】

sftp server enable

undo sftp server enable

【缺省情况】

SFTP服务器功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【举例】

# 开启SFTP服务器功能。

<Sysname> system-view

[Sysname] sftp server enable

【相关命令】

·     display ssh server

1.1.6  sftp server idle-timeout

sftp server idle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间。

undo sftp server idle-timeout命令用来恢复缺省情况。

【命令】

sftp server idle-timeout time-out-value

undo sftp server idle-timeout

【缺省情况】

SFTP用户连接的空闲超时时间为10分钟。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

time-out-value:超时时间,取值范围为1~35791,单位为分钟。

【使用指导】

当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作。若同一时间内并发的SFTP连接数较多,可适当减小该值,及时释放系统资源给新用户接入。

【举例】

# 设置SFTP用户连接的空闲超时时间为500分钟。

<Sysname> system-view

[Sysname] sftp server idle-timeout 500

【相关命令】

·     display ssh server

1.1.7  ssh server acl

ssh server acl命令用来设置对IPv4 SSH客户端的访问控制。

undo ssh server acl命令用来恢复缺省情况。

【命令】

ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }

undo ssh server acl

【缺省情况】

允许所有IPv4 SSH客户端向设备发起SSH访问。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

advanced-acl-number:指定IPv4高级ACL,取值范围为3000~3999。

basic-acl-number:指定IPv4基本ACL,取值范围为2000~2999。

mac acl-number:指定二层ACL。acl-number是二层ACL的编号,取值范围为4000~4999。

【使用指导】

对IPv4 SSH客户端的访问控制通过引用ACL来实现,具体情况如下:

·     当引用的ACL不存在或者引用的ACL为空时,允许所有IPv4 SSH客户端访问设备。

·     当引用的ACL非空时,则只有匹配ACL中permit规则的IPv4 SSH客户端可以访问设备,其他客户端不可以访问设备。

该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 只允许IPv4地址为1.1.1.1的SSH客户端向设备发起SSH访问。

<Sysname> system-view

[Sysname] acl basic 2001

[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0

[Sysname-acl-ipv4-basic-2001] quit

[Sysname] ssh server acl 2001

【相关命令】

·     display ssh server

1.1.8  ssh server authentication-retries

ssh server authentication-retries命令用来设置允许SSH用户认证尝试的最大次数。

undo ssh server authentication-retries命令用来恢复缺省情况。

【命令】

ssh server authentication-retries retries

undo ssh server authentication-retries

【缺省情况】

允许SSH用户认证尝试的最大次数为3次。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

retries:指定每个SSH用户认证尝试的最大次数,取值范围为1~5。

【使用指导】

通过本命令可以限制用户尝试登录的次数,防止非法用户对用户名和密码进行恶意地猜测和破解。

如果用户的认证次数超过了最大认证次数,还未认证成功,则不再允许认证。不同认证方式的认证次数统计方式有所不同,具体统计方式请参考如下:

·     在any认证方式下,认证次数是指SSH客户端通过publickey和password两种方式进行认证尝试的次数总

·     对于password-publickey认证方式,设备首先对SSH用户进行publickey认证,然后进行password认证,这个过程为一次认证尝试,而不是两次认证尝试。

该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效。

【举例】

# 指定允许SSH用户认证尝试的最大次数为4。

<Sysname> system-view

[Sysname] ssh server authentication-retries 4

【相关命令】

·     display ssh server

1.1.9  ssh server authentication-timeout

ssh server authentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间。

undo ssh server authentication-timeout命令用来恢复缺省情况。

【命令】

ssh server authentication-timeout time-out-value

undo ssh server authentication-timeout

【缺省情况】

SSH用户的认证超时时间为60秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

time-out-value:认证超时时间,取值范围为1~120,单位为秒。

【使用指导】

如果SSH用户在设置的认证超时时间内没有完成认证,SSH服务器就拒绝该用户的连接。

为了防止不法用户建立起TCP连接后,不进行接下来的认证,而占用系统资源,妨碍其它合法用户的正常登录,可以适当调小SSH用户认证超时时间。

【举例】

# 设置SSH用户认证超时时间为10秒。

<Sysname> system-view

[Sysname] ssh server authentication-timeout 10

【相关命令】

·     display ssh server

1.1.10  ssh server compatible-ssh1x enable

ssh server compatible-ssh1x enable命令用来设置SSH服务器兼容SSH1版本的客户端。

undo ssh server compatible-ssh1x [ enable ]命令用来恢复缺省情况。

【命令】

ssh server compatible-ssh1x enable

undo ssh server compatible-ssh1x [ enable ]

【缺省情况】

SSH服务器不兼容SSH1版本的客户端。

【视图】

系统视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

FIPS模式下,不支持本命令。

该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效。

执行undo命令时,指定enable和不指定enable均表示恢复缺省情况。

【举例】

# 配置服务器兼容SSH1版本的客户端。

<Sysname> system-view

[Sysname] ssh server compatible-ssh1x enable

【相关命令】

·     display ssh server

1.1.11  ssh server dscp

ssh server dscp命令用来设置IPv4 SSH服务器向SSH客户端发送的报文的DSCP优先级。

undo ssh server dscp命令用来恢复缺省情况。

【命令】

ssh server dscp dscp-value

undo ssh server dscp

【缺省情况】

IPv4 SSH报文的DSCP优先级为48。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

dscp-value:IPv4 SSH报文的DSCP优先级,取值范围为0~63。取值越大,优先级越高。

【使用指导】

DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

【举例】

# 配置IPv4 SSH服务器向SSH客户端发送的报文的DSCP优先级为30。

<Sysname> system-view

[Sysname] ssh server dscp 30

1.1.12  ssh server enable

ssh server enable命令用来开启Stelnet服务器功能。

undo ssh server enable命令用来关闭Stelnet服务器功能。

【命令】

ssh server enable

undo ssh server enable

【缺省情况】

Stelnet服务器功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【举例】

# 开启Stelnet服务器功能。

<Sysname> system-view

[Sysname] ssh server enable

【相关命令】

·     display ssh server

1.1.13  ssh server ipv6 acl

ssh server ipv6 acl命令用来设置对IPv6 SSH客户端的访问控制。

undo ssh server ipv6 acl命令用来恢复缺省情况。

【命令】

ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }

undo ssh server ipv6 acl

【缺省情况】

允许所有IPv6 SSH客户端向设备发起SSH访问。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv6:指定IPv6 ACL。

advanced-acl-number:指定IPv6高级ACL,取值范围为3000~3999。

basic-acl-number:指定IPv6基本ACL,取值范围为2000~2999。

mac acl-number:指定二层ACL。acl-number是二层ACL的编号,取值范围为4000~4999。

【使用指导】

对IPv6 SSH客户端的访问控制通过引用ACL来实现,具体情况如下:

·     当引用的ACL不存在、或者引用的ACL为空时,允许所有IPv6 SSH客户端访问设备。

·     当引用的ACL非空时,则只有匹配ACL中permit规则的IPv6 SSH客户端可以访问设备,其他客户端不可以访问设备。

该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 只允许1::1/64网段内的SSH客户端向设备发起SSH访问。

<Sysname> system-view

[Sysname] acl ipv6 basic 2001

[Sysname-acl-ipv6-basic-2001] rule permit source 1::1 64

[Sysname-acl-ipv6-basic-2001] quit

[Sysname] ssh server ipv6 acl ipv6 2001

【相关命令】

·     display ssh server

1.1.14  ssh server ipv6 dscp

ssh server ipv6 dscp命令用来设置IPv6 SSH服务器向SSH客户端发送的报文的DSCP优先级。

undo ssh server ipv6 dscp命令用来恢复缺省情况。

【命令】

ssh server ipv6 dscp dscp-value

undo ssh server ipv6 dscp

【缺省情况】

IPv6 SSH报文的DSCP优先级为48。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

dscp-value:IPv6 SSH报文的DSCP优先级,取值范围为0~63。取值越大,优先级越高。

【使用指导】

DSCP携带在IPv6报文中的Trafic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

【举例】

# 配置IPv6 SSH服务器向SSH客户端发送的报文的DSCP优先级为30。

<Sysname> system-view

[Sysname] ssh server ipv6 dscp 30

1.1.15  ssh server key-re-exchange enable

ssh server key-re-exchange enable命令用来开启SSH算法重协商和密钥重交换功能。

undo ssh server key-re-exchange enable命令用来关闭SSH算法重协商和密钥重交换功能。

【命令】

ssh server key-re-exchange enable [ interval interval ]

undo ssh server key-re-exchange enable

【视图】

系统视图

【缺省情况】

SSH算法重协商和密钥重交换功能处于关闭状态。

【缺省用户角色】

network-admin

【参数】

interval interval:配置SSH算法重协商和密钥重交换间隔时间。interval取值范围为1~24,单位为小时,缺省值为1。

【使用指导】

FIPS模式下不支持此功能。

配置该命令后,服务器将在客户端和服务器第一次算法协商开始后根据用户设置的时间间隔定时向客户端发起算法协商请求,进行算法协商和密钥交换操作。

本功能的开启和间隔时间变化不影响已存在的SSH连接。

【举例】

# 开启SSH算法重协商和密钥重交换功能。

<Sysname> sysname

[Sysname] ssh server key-re-exchange enable

1.1.16  ssh server pki-domain

ssh server pki-domain命令用来配置服务器所属的PKI域。

undo ssh server pki-domain命令用来恢复缺省情况。

【命令】

ssh server pki-domain domain-name

undo ssh server pki-domain

【缺省情况】

未配置服务器所属的PKI域。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

domain-name:验证服务端的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

【举例】

# 配置SSH服务器所属的PKI域为serverpkidomain。

<Sysname> system-view

[Sysname] ssh server pki-domain serverpkidomain

1.1.17  ssh server rekey-interval

ssh server rekey-interval命令用来设置RSA服务器密钥对的最小更新间隔时间。

undo ssh server rekey-interval命令用来恢复缺省情况。

【命令】

ssh server rekey-interval interval

undo ssh server rekey-interval

【缺省情况】

RSA服务器密钥对的最小更新间隔时间为0,表示系统不更新RSA服务器密钥对。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interval:服务器密钥对的最小更新间隔时间,取值范围为1~24,单位为小时。

【使用指导】

FIPS模式下,不支持本命令。

通过定时更新服务器密钥对,可以防止对密钥对的恶意猜测和破解,从而提高了SSH连接的安全性。

配置该命令后,从首个SSH1用户登录开始,SSH服务器需要等待后续有新的SSH1用户登录,才会更新当前的RSA服务器密钥对,然后使用新的RSA服务器密钥对与新登录的这个SSH1用户进行密钥对的协商,其中等待的最小时长就为此处配置的最小更新间隔时间。之后,重复此过程,直到下一个新的SSH1用户登录才会再次触发RSA服务器密钥的更新。

本配置仅对SSH客户端版本为SSH1的用户有效。

【举例】

# 设置RSA服务器密钥对的最小更新间隔时间为3小时。

<Sysname> system-view

[Sysname] ssh server rekey-interval 3

【相关命令】

·     display ssh server

1.1.18  ssh user

ssh user命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式。

undo ssh user命令用来删除SSH用户。

【命令】

非FIPS模式下:

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | { any | password-publickey | publickey } [ assign { pki-domain domain-name | publickey keyname&<1-6> } ] }

undo ssh user username

FIPS模式下:

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | password-publickey [ assign { pki-domain domain-name | publickey keyname&<1-6> } ] }

undo ssh user username

【缺省情况】

不存在SSH用户。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

username:SSH用户名,为1~80个字符的字符串,区分大小写。用户名不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”、“all”。其中“@”、“\”和“/”仅用于携带ISP域名的如下用户名样式中:pureusername@domainpureusername/domaindomain\pureusername。当创建SCP服务类型的用户时,用户名中请不要包含短横杠-,否则使用此用户名进行SCP登录会失败。

service-type:SSH用户的服务类型。包括:

·     all:包括scpsftpstelnetnetconf四种服务类型。

·     scp:服务类型为SCP(Secure Copy的简称)。

·     sftp:服务类型为SFTP(Secure FTP的简称)。

·     stelnet:服务类型为Stelnet(Secure Telnet的简称)。

·     netconf:服务类型为NETCONF。

authentication-type:SSH用户的认证方式。包括:

·     password:强制指定该用户的认证方式为password。该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication, Authorization, Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击。

·     any:不指定用户的认证方式,用户既可以采用password认证,也可以采用publickey认证。

·     password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可。

·     publickey:强制指定该用户的认证方式为publickey。该认证方式的加密速度相对较慢,但认证强度高,不易受到暴力猜测密码等攻击方式的影响,而且具有较高的易用性。一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码。

assign:指定用于验证客户端的参数。

·     pki-domain domain-name:指定验证客户端证书的PKI域。domain-name表示PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查,无需提前保存客户端的公钥,能够灵活满足大数量客户端的认证需求。

·     publickey keyname&<1-6>:指定SSH客户端的公钥,可以指定多个SSH客户端的公钥。keyname表示已经配置的客户端公钥名称,为1~64个字符的字符串,区分大小写。&<1-6>表示前面的参数最多可以输入6次。服务器端使用提前保存在本地的用户公钥对用户进行合法性检查,如果客户端密钥文件改变,服务器端需要及时更新本地配置。如果指定了多个用户公钥,则在验证SSH用户身份时,按照配置顺序使用指定的公钥依次对其进行验证,只要用户通过任意一个公钥验证即可。

【使用指导】

SSH用户的配置与服务器端采用的认证方式有关,具体如下:

·     如果服务器采用了publickey认证,则必须在设备上创建相应的SSH用户,以及同名的本地用户(用于下发授权属性:工作目录、用户角色)。

·     如果服务器采用了password认证,则必须在设备上创建相应的本地用户(适用于本地认证),或在远程服务器(如RADIUS服务器,适用于远程认证)上创建相应的SSH用户。这种情况下,并不需要通过本配置创建相应的SSH用户,如果创建了SSH用户,则必须保证指定了正确的服务类型以及认证方式。

·     如果服务器采用了password-publickey或any认证,则必须在设备上创建相应的SSH用户,以及在设备上创建同名的本地用户(适用于本地认证)或者在远程认证服务器上创建同名的SSH用户(如RADIUS服务器,适用于远程认证)。

SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关:

·     采用publickey或password-publickey认证方式的用户,使用的工作目录为对应的本地用户视图下通过authorization-attribute命令设置的工作目录。

·     只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录。

SSH用户登录时拥有的用户角色与用户使用的认证方式有关:

·     采用publickey或password-publickey认证方式的用户,用户角色为对应的本地用户视图下通过authorization-attribute命令设置的用户角色。

·     采用password认证方式的用户,用户角色为通过AAA授权的用户角色。

使用该命令为用户指定公钥或PKI域时,以最后一次指定的公钥或PKI域为准。若不指定pki-domainpublickey,则表示该用户采用证书认证方式登录,服务器使用其所属的PKI域来验证客户端的证书。

对SSH用户配置的修改,不会影响已经登录的SSH用户,仅对新登录的用户生效。

【举例】

# 创建SSH用户user1,配置user1的服务类型为SFTP,认证方式为password-publickey,并指定客户端公钥为key1。

<Sysname> system-view

[Sysname] ssh user user1 service-type sftp authentication-type password-publickey assign publickey key1

# 创建设备管理类本地用户user1,配置用户密码为明文123456TESTplat&!,服务类型为SSH,授权工作目录为flash:,授权用户角色为network-admin。

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] password simple 123456TESTplat&!

[Sysname-luser-manage-user1] service-type ssh

[Sysname-luser-manage-user1] authorization-attribute work-directory flash: user-role network-admin

【相关命令】

·     authorization-attribute(安全命令参考/AAA)

·     display ssh user-information

·     local-user(安全命令参考/AAA)

·     pki domain(安全命令参考/PKI)

1.2  SSH客户端配置命令

1.2.1  bye

bye命令用来终止与远程SFTP服务器的连接,并退回到用户视图。

【命令】

bye

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

该命令功能与exitquit相同。

【举例】

# 终止与远程SFTP服务器的连接。

sftp> bye

<Sysname>

1.2.2  cd

cd命令用来改变远程SFTP服务器上的工作路径。

【命令】

cd [ remote-path ]

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

【参数】

remote-path:目的工作路径的名称。

【使用指导】

命令“cd ..”用来返回到上一级目录。

命令“cd /”用来返回到系统的根目录。

【举例】

# 改变工作路径到new1。

sftp> cd new1

Current Directory is:/new1

sftp> pwd

Remote working directory: /new1

sftp>

1.2.3  cdup

cdup命令用来返回到上一级目录。

【命令】

cdup

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

【举例】

# 从当前工作目录/test1返回到上一级目录。

sftp> cd test1

Current Directory is:/test1

sftp> pwd

Remote working directory: /test1

sftp> cdup

Current Directory is:/

sftp> pwd

Remote working directory: /

sftp>

1.2.4  delete

delete命令用来删除SFTP服务器上指定的文件。

【命令】

delete remote-file

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

【参数】

remote-file:要删除的文件的名称。

【使用指导】

该命令和remove功能相同。

【举例】

# 删除服务器上的文件temp.c。

sftp> delete temp.c

Removing /temp.c

1.2.5  dir

dir命令用来显示指定目录下文件及文件夹的信息。

【命令】

dir [ -a | -l ] [ remote-path ]

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

【参数】

-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以“.”开头的文件及文件夹的详细信息。

-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以“.”开头的文件及文件夹的详细信息。

remote-path:查询的目录名。如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。

【使用指导】

如果没有指定-a-l参数,则显示指定目录下文件及文件夹的名称。

该命令功能与ls相同。

【举例】

# 以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以“.”开头的文件及文件夹的详细信息。

sftp> dir -a

drwxrwxrwx    2 1        1               512 Dec 18 14:12 .

drwxrwxrwx    2 1        1               512 Dec 18 14:12 ..

-rwxrwxrwx    1 1        1               301 Dec 18 14:11 010.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 011.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 012.pub

# 以列表的形式显示当前工作目录下文件及文件夹的详细信息,但不包括以“.”开头的文件及文件夹的详细信息。

sftp> dir -l

-rwxrwxrwx    1 1        1               301 Dec 18 14:11 010.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 011.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 012.pu

1.2.6  display scp client source

display scp client source命令用来显示SCP客户端的源IP地址配置。

【命令】

display scp client source

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示SCP客户端的源IP地址配置。

<Sysname> display scp client source

The source IP address of the SCP client is 192.168.0.1.

The source IPv6 address of the SCP client is 2:2::2:2.

【相关命令】

·     scp client ipv6 source

·     scp client source

1.2.7  display sftp client source

display sftp client source命令用来显示SFTP客户端的源IP地址配置。

【命令】

display sftp client source

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示SFTP客户端的源IP地址配置。

<Sysname> display sftp client source

The source IP address of the SFTP client is 192.168.0.1.

The source IPv6 address of the SFTP client is 2:2::2:2.

【相关命令】

·     sftp client ipv6 source

·     sftp client source

1.2.8  display ssh client source

display ssh client source命令用来显示STelnet客户端的源IP地址配置。

【命令】

display ssh client source

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示STelnet客户端的源IP地址配置。

<Sysname> display ssh client source

The source IP address of the SSH client is 192.168.0.1.

The source IPv6 address of the SSH client is 2:2::2:2.

【相关命令】

·     ssh client ipv6 source

·     ssh client source

1.2.9  exit

exit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。

【命令】

exit

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

该命令功能与byequit相同。

【举例】

# 终止与远程SFTP服务器的连接。

sftp> exit

<Sysname>

1.2.10  get

get命令用来从远程SFTP服务器上下载文件并存储在本地。

【命令】

get remote-file [ local-file ]

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

【参数】

remote-file:远程SFTP服务器上的文件名。

local-file:本地文件名。如果没有指定本地文件名,则认为本地保存文件的文件名与服务器上的文件名相同。

【举例】

# 下载远程服务器上的temp1.c文件,并以文件名temp.c在本地保存。

sftp> get temp1.c temp.c

Fetching /temp1.c to temp.c

/temp.c                                                 100% 1424     1.4KB/s   00:00

1.2.11  help

help命令用来显示SFTP客户端命令的帮助信息。

【命令】

help

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

键入和执行help命令的功能相同。

【举例】

# 查看帮助信息。

sftp> help

Available commands:

  bye                          Quit sftp

  cd [path]                    Change remote directory to 'path'

  cdup                         Change remote directory to the parent directory

  delete path                  Delete remote file

  dir [-a|-l][path]            Display remote directory listing

       -a                        List all filenames

       -l                        List filename including the specific

                                 information of the file

  exit                         Quit sftp

  get remote-path [local-path] Download file

  help                         Display this help text

  ls [-a|-l][path]             Display remote directory

       -a                         List all filenames

       -l                         List filename including the specific

                                  information of the file

  mkdir path                   Create remote directory

  put local-path [remote-path] Upload file

  pwd                          Display remote working directory

  quit                         Quit sftp

  rename oldpath newpath       Rename remote file

  remove path                  Delete remote file

  rmdir path                   Delete remote empty directory

  ?                            Synonym for help

1.2.12  ls

ls命令用来显示指定目录下文件及文件夹的信息。

【命令】

ls [ -a | -l ] [ remote-path ]

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

【参数】

-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以“.”开头的文件及文件夹的详细信息。

-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以“.”开头的文件及文件夹的详细信息。

remote-path:查询的目录名。如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。

【使用指导】

如果没有指定-a-l参数,则显示指定目录下文件及文件夹的名称。

该命令功能与dir相同。

【举例】

# 以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以“.”开头的文件及文件夹的详细信息。

sftp> ls -a

drwxrwxrwx    2 1        1               512 Dec 18 14:12 .

drwxrwxrwx    2 1        1               512 Dec 18 14:12 ..

-rwxrwxrwx    1 1        1               301 Dec 18 14:11 010.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 011.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 012.pub

# 以列表的形式显示当前工作目录下文件及文件夹的详细信息,但不包括以“.”开头的文件及文件夹的详细信息。

sftp> ls -l

-rwxrwxrwx    1 1        1               301 Dec 18 14:11 010.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 011.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 012.pub

1.2.13  mkdir

mkdir命令用来在远程SFTP服务器上创建新的目录。

【命令】

mkdir remote-path

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

【参数】

remote-path:远程SFTP服务器上的目录名。

【举例】

# 在远程SFTP服务器上建立目录test。

sftp> mkdir test

1.2.14  put

put命令用来将本地的文件上传到远程SFTP服务器。

【命令】

put local-file [ remote-file ]

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

【参数】

local-file:本地的文件名。

remote-file:远程SFTP服务器上的文件名。如果没有指定远程服务器上的文件名,则认为服务器上保存文件的文件名与本地的文件名相同。

【举例】

# 将本地startup.bak文件上传到远程SFTP服务器,并以startup01.bak文件名保存。

sftp> put startup.bak startup01.bak

Uploading startup.bak to /startup01.bak

startup01.bak                                   100% 1424     1.4KB/s   00:00

1.2.15  pwd

pwd命令用来显示远程SFTP服务器上的当前工作目录。

【命令】

pwd

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

【举例】

# 显示远程SFTP服务器上的当前工作目录。

sftp> pwd

Remote working directory: /

以上显示信息表示当前的工作目录为根目录。

1.2.16  quit

quit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。

【命令】

quit

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

该命令功能与byeexit相同。

【举例】

# 终止与远程SFTP服务器的连接。

sftp> quit

<Sysname>

1.2.17  remove

remove命令用来删除远程SFTP服务器上指定的文件。

【命令】

remove remote-file

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

【参数】

remote-file:要删除的文件的名称。

【使用指导】

该命令和delete命令相同。

【举例】

# 删除远程SFTP服务器上的文件temp.c。

sftp> remove temp.c

Removing /temp.c

1.2.18  rename

rename命令用来改变远程SFTP服务器上指定的文件或者文件夹的名字。

【命令】

rename old-name new-name

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

【参数】

old-name:原文件名或者文件夹名。

new-name:新文件名或者文件夹名。

【举例】

# 将远程SFTP服务器上的文件temp1.c改名为temp2.c。

sftp> dir

aa.pub  temp1.c

sftp> rename temp1.c temp2.c

sftp> dir

aa.pub  temp2.c

1.2.19  rmdir

rmdir命令用来删除远程SFTP服务器上指定的目录。

【命令】

rmdir remote-path

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

【参数】

remote-path:远程SFTP服务器上的目录名。

【举例】

# 删除SFTP服务器上当前工作目录下的temp1目录。

sftp> rmdir temp1

1.2.20  scp

scp命令用来与远程的SCP服务器建立连接,并进行文件传输。

【命令】

非FIPS模式下:

scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] * [ user username [ password password ] ]

FIPS模式下:

scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] * [ user username [ password password ] ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

get:指定下载文件操作。

put:指定上传文件操作。

source-file-name:源文件名称,为1~255个字符的字符串,区分大小写。

destination-file-name:目的文件名称,为1~255个字符的字符串,区分大小写。若未指定该参数,则表示使用源文件的名称作为目的文件名称。

identity-key:客户端publickey认证时采用的公钥算法,非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。如果服务器采用publickey认证,必须指定该参数。客户端使用指定算法的本地私钥生成数字签名或证书。

·     dsa:公钥算法为DSA。

·     ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法。

·     ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法。

·     rsa:公钥算法为RSA。

·     x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法

·     x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。

·     pki-domain domain-name:指定客户端证书的PKI域,为1~31个字符的字符串,不区分大小写,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。

zlib:压缩算法ZLIB。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctrdes-cbc3des-cbcaes128-cbcaes128-ctraes128-gcmaes192-ctraes256-cbcaes256-ctraes256-gcm算法的安全强度和运算花费时间依次递增。

·     3des-cbc:3DES-CBC加密算法。

·     aes128-cbc:128位的AES-CBC加密算法。

·     aes128-ctr:128位AES-CTR加密算法。

·     aes128-gcm:128位AES-GCM加密算法。

·     aes192-ctr:192位AES-CTR加密算法。

·     aes256-cbc:256位的AES-CBC加密算法。

·     aes256-ctr:256位AES-CTR加密算法。

·     aes256-gcm:256位AES-GCM加密算法。

·     des-cbc:DES-CBC加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256md5md5-96sha1sha1-96sha2-256sha2-512算法的安全强度和运算花费时间依次递增。

·     md5:HMAC算法HMAC-MD5。

·     md5-96:HMAC算法HMAC-MD5-96。

·     sha1:HMAC算法HMAC-SHA1。

·     sha1-96:HMAC算法HMAC-SHA1-96。

·     sha2-256:HMAC算法HMAC-SHA2-256。

·     sha2-512:HMAC算法HMAC-SHA2-512。

prefer-kex:密钥交换首选算法,缺省算法为ecdh-sha2-nistp256dh-group-exchange-sha1dh-group1-sha1dh-group14-sha1ecdh-sha2-nistp256ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。

·     dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

·     dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

·     dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

·     ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

·     ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr。支持的加密算法与客户端到服务器端的加密算法相同。

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256。支持的加密算法与客户端到服务器端的HMAC算法相同。

public-key keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。

server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

source:指定与服务器通信的源IPv4地址或者源接口。缺省情况下,报文源IPv4地址为根据路由表项查找的发送此报文的出接口的主IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv4地址作为源IPv4地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。

ip ip-address:指定源IPv4地址。

user username:指定SCP用户名,为1~80个字符的字符串,区分大小写。若用户登录时用户名中携带ISP域名,则其形式为pureusername@domainpureusername/domaindomain\pureusername

password password:指定明文密码,为1~63个字符的字符串,区分大小写。

【使用指导】

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

如果不指定用户名和密码,则表示以交互方式输入用户名和密码。

如果SCP服务器对客户端的认证方式为publickey认证,则本命令指定的密码将被忽略。

【举例】

# SCP客户端采用publickey认证方式,登录地址为200.1.1.1的远程SCP服务器,下载名为abc.txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:

·     首选密钥交换算法为dh-group14-sha1

·     服务器到客户端的首选加密算法为aes128-cbc

·     客户端到服务器的首选HMAC算法为sha1

·     服务器到客户端的HMAC算法为sha1-96

·     服务器与客户端之间的首选压缩算法为zlib

<Sysname> scp 200.1.1.1 get abc.txt prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey

1.2.21  scp client ipv6 source

scp client ipv6 source命令用来配置SCP客户端发送SCP报文使用的源IPv6地址。

undo scp client ipv6 source命令用来恢复缺省情况。

【命令】

scp client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }

undo scp client ipv6 source

【缺省情况】

未配置SCP客户端使用的源IPv6地址,设备自动选择IPv6 SCP报文的源IPv6地址,具体选择原则请参见RFC 3484。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。

ipv6 ipv6-address:指定源IPv6地址。

【使用指导】

scp client ipv6 source命令指定的源地址对所有的IPv6 SCP连接有效,scp ipv6命令指定的源地址只对当前的SCP连接有效,后者优先级高。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 指定SCP客户端发送SCP报文使用的源IPv6地址为2:2::2:2。

<Sysname> system-view

[Sysname] scp client ipv6 source ipv6 2:2::2:2

【相关命令】

·     display scp client source

1.2.22  scp client source

scp client source命令用来配置SCP客户端发送SCP报文使用的源IPv4地址。

undo scp client source命令用来恢复缺省情况。

【命令】

scp client source { interface interface-type interface-number | ip ip-address }

undo scp client source

【缺省情况】

未配置SCP客户端使用的源IPv4地址,SCP客户端发送SCP报文使用的源IPv4地址为设备路由指定的SCP报文出接口的主IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:指定接口的主IP地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。

ip ip-address:指定源IP地址。

【使用指导】

scp client source命令指定的源地址对所有的SCP连接有效,scp命令指定的源地址只对当前的SCP连接有效,后者优先级高。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 指定SCP客户端发送SCP报文使用的源IP地址为192.168.0.1。

<Sysname> system-view

[Sysname] scp client source ip 192.168.0.1

【相关命令】

·     display scp client source

1.2.23  scp ipv6

scp ipv6命令用来与远程的IPv6 SCP服务器建立连接,并进行文件传输。

【命令】

非FIPS模式下:

scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] * [ user username [ password password ] ]

FIPS模式下:

scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number  ] { put | get } source-file-name [ destination-file-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1  | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] * [ user username [ password password ] ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

-i interface-type interface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号。此参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必需具有链路本地地址。

get:指定下载文件操作。

put:指定上传文件操作。

source-file-name:源文件名称,为1~255个字符的字符串,区分大小写。

destination-file-name:目的文件名称,为1~255个字符的字符串,区分大小写。不指定该参数时,表示使用源文件的名称作为目的文件名称。

identity-key:客户端publickey认证时采用的公钥算法,非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。如果服务器采用publickey认证,必须指定该参数。客户端使用指定算法的本地私钥生成数字签名或证书。

·     dsa:公钥算法为DSA。

·     ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法。

·     ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法。

·     rsa:公钥算法为RSA。

·     x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法

·     x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。

·     pki-domain domain-name:指定客户端证书的PKI域,为1~31个字符的字符串,不区分大小写,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。

zlib:压缩算法ZLIB。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctrdes-cbc3des-cbcaes128-cbcaes128-ctraes128-gcmaes192-ctraes256-cbcaes256-ctraes256-gcm算法的安全强度和运算花费时间依次递增。

·     3des-cbc:3DES-CBC加密算法。

·     aes128-cbc:128位的AES-CBC加密算法。

·     aes128-ctr:128位AES-CTR加密算法。

·     aes128-gcm:128位AES-GCM加密算法。

·     aes192-ctr:192位AES-CTR加密算法。

·     aes256-cbc:256位的AES-CBC加密算法。

·     aes256-ctr:256位AES-CTR加密算法。

·     aes256-gcm:256位AES-GCM加密算法。

·     des-cbc:DES-CBC加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256md5md5-96sha1sha1-96sha2-256sha2-512算法的安全强度和运算花费时间依次递增。

·     md5:HMAC算法HMAC-MD5。

·     md5-96:HMAC算法HMAC-MD5-96。

·     sha1:HMAC算法HMAC-SHA1。

·     sha1-96:HMAC算法HMAC-SHA1-96。

·     sha2-256:HMAC算法HMAC-SHA2-256。

·     sha2-512:HMAC算法HMAC-SHA2-512。

prefer-kex:密钥交换首选算法,缺省算法为ecdh-sha2-nistp256dh-group-exchange-sha1dh-group1-sha1dh-group14-sha1ecdh-sha2-nistp256ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。

·     dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

·     dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

·     dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

·     ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

·     ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr。支持的加密算法与客户端到服务器端的加密算法相同。

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256。支持的加密算法与客户端到服务器端的HMAC算法相同。

public-key keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。

server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

source:指定与服务器通信的源IPv6地址或者源接口。缺省情况下,设备根据RFC 3484的规则自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IP地址。

ipv6 ipv6-address:指定源IPv6地址。

user username:指定SCP用户名,为1~80个字符的字符串,区分大小写。若用户登录时用户名中携带ISP域名,则其形式为pureusername@domainpureusername/domaindomain\pureusername

password password:指定明文密码,为1~63个字符的字符串,区分大小写。

【使用指导】

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

如果不指定用户名和密码,则表示以交互方式输入用户名和密码。

如果SCP服务器对客户端的认证方式为publickey认证,则本命令指定的密码将被忽略。

【举例】

# SCP客户端采用publickey认证方式,登录地址为2000::1的远程SCP服务器,下载名为abc.txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:

·     首选密钥交换算法为dh-group14-sha1

·     服务器到客户端的首选加密算法为aes128-cbc

·     客户端到服务器的首选HMAC算法为sha1

·     服务器到客户端的HMAC算法为sha1-96

·     服务器与客户端之间的首选压缩算法为zlib

<Sysname> scp ipv6 2000::1 get abc.txt prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey

1.2.24  scp ipv6 suite-b

scp ipv6 suite-b命令用来与远程的ipv6 SCP服务器建立基于Suite B算法集的连接,并进行文件传输。

【命令】

scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] * [ user username [ password password ] ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

-i interface-type interface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号。本参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必须具有链路本地地址。

get:指定下载文件操作。

put:指定上传文件操作。

source-file-name:源文件名称,为1~255个字符的字符串,区分大小写。

destination-file-name:目的文件名称,为1~255个字符的字符串,区分大小写。若未指定本参数,则表示使用源文件名称作为目的文件名称。

suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。

128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。

pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。

zlib:压缩算法ZLIB。

source:指定与服务器通信的源IPv6地址或者源接口。缺省情况下,设备根据RFC 3484的规则自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IPv6地址。

ipv6 ipv6-address:指定源IPv6地址。

user username:指定SCP用户名,为1~80个字符的字符串,区分大小写。若用户登录时用户名中携带ISP域名,则其形式为pureusername@domainpureusername/domaindomain\pureusername

password password:指定明文密码,为1~63个字符的字符串,区分大小写。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256

·     服务器到客户端的加密算法为aes128-gcm

·     客户端到服务器的加密算法为aes128-gcm

·     服务器到客户端的HMAC算法为aes128-gcm

·     客户端到服务器的HMAC算法为aes128-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端采用安全级别为192-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp384

·     服务器到客户端的加密算法为aes256-gcm

·     客户端到服务器的加密算法为aes256-gcm

·     服务器到客户端的HMAC算法为aes256-gcm

·     客户端到服务器的HMAC算法为aes256-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp384

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256ecdh-sha2-nistp384

·     服务器到客户端的加密算法为aes128-gcmaes256-gcm

·     客户端到服务器的加密算法为aes128-gcmaes256-gcm

·     服务器到客户端的HMAC算法为aes128-gcmaes256-gcm

·     客户端到服务器的HMAC算法为aes128-gcmaes256-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

如果不指定用户名和密码,则表示以交互方式输入用户名和密码。

如果SCP服务器对客户端的认证方式为publickey认证,则本命令指定的密码将被忽略。

【举例】

# SCP客户端采用安全级别为192-bit的Suite B算法集,与登录地址为2000::1的远程SCP服务器建立连接,下载名为abc.txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> scp ipv6 2000::1 get abc.txt suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

Username:

1.2.25  scp suite-b

scp suite-b命令用来与远程的SCP服务器建立基于Suite B算法集的连接,并进行文件传输。

【命令】

scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ip ip-address } ] * [ user username [ password password ] ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

get:指定下载文件操作。

put:指定上传文件操作。

source-file-name:源文件名称,为1~255个字符的字符串,区分大小写。

destination-file-name:目的文件名称,为1~255个字符的字符串,区分大小写。若未指定本参数,则表示使用源文件名称作为目的文件名称。

suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。

128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。

pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。

zlib:压缩算法ZLIB。

source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。

ip ip-address:指定源IPv4地址。

user username:指定SCP用户名,为1~80个字符的字符串,区分大小写。若用户登录时用户名中携带ISP域名,则其形式为pureusername@domainpureusername/domaindomain\pureusername

password password:指定明文密码,为1~63个字符的字符串,区分大小写。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256

·     服务器到客户端的加密算法为aes128-gcm

·     客户端到服务器的加密算法为aes128-gcm

·     服务器到客户端的HMAC算法为aes128-gcm

·     客户端到服务器的HMAC算法为aes128-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端采用安全级别为192-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp384

·     服务器到客户端的加密算法为aes256-gcm

·     客户端到服务器的加密算法为aes256-gcm

·     服务器到客户端的HMAC算法为aes256-gcm

·     客户端到服务器的HMAC算法为aes256-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp384

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256ecdh-sha2-nistp384

·     服务器到客户端的加密算法为aes128-gcmaes256-gcm

·     客户端到服务器的加密算法为aes128-gcmaes256-gcm

·     服务器到客户端的HMAC算法为aes128-gcmaes256-gcm

·     客户端到服务器的HMAC算法为aes128-gcmaes256-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

如果不指定用户名和密码,则表示以交互方式输入用户名和密码。

如果SCP服务器对客户端的认证方式为publickey认证,则本命令指定的密码将被忽略。

【举例】

# SCP客户端采用安全级别为128-bit的Suite B算法集,与登录地址为200.1.1.1的远程SCP服务器建立连接,下载名为abc.txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> scp 200.1.1.1 get abc.txt suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

Username:

1.2.26  sftp

sftp命令用来与远程IPv4 SFTP服务器建立连接,并进入SFTP客户端视图。

【命令】

非FIPS模式下:

sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

FIPS模式下:

sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

identity-key:客户端publickey认证时采用的公钥算法,非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。如果服务器采用publickey认证,必须指定该参数。客户端使用指定算法的本地私钥生成数字签名或证书。

·     dsa:公钥算法为DSA。

·     ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法。

·     ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法。

·     rsa:公钥算法为RSA。

·     x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法

·     x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。

·     pki-domain domain-name:指定客户端证书的PKI域,为1~31个字符的字符串,不区分大小写,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。

zlib:压缩算法ZLIB。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctrdes-cbc3des-cbcaes128-cbcaes128-ctraes128-gcmaes192-ctraes256-cbcaes256-ctraes256-gcm算法的安全强度和运算花费时间依次递增。

·     3des-cbc:3DES-CBC加密算法。

·     aes128-cbc:128位的AES-CBC加密算法。

·     aes128-ctr:128位AES-CTR加密算法。

·     aes128-gcm:128位AES-GCM加密算法。

·     aes192-ctr:192位AES-CTR加密算法。

·     aes256-cbc:256位的AES-CBC加密算法。

·     aes256-ctr:256位AES-CTR加密算法。

·     aes256-gcm:256位AES-GCM加密算法。

·     des-cbc:DES-CBC加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256md5md5-96sha1sha1-96sha2-256sha2-512算法的安全强度和运算花费时间依次递增。

·     md5:HMAC算法HMAC-MD5。

·     md5-96:HMAC算法HMAC-MD5-96。

·     sha1:HMAC算法HMAC-SHA1。

·     sha1-96:HMAC算法HMAC-SHA1-96。

·     sha2-256:HMAC算法HMAC-SHA2-256。

·     sha2-512:HMAC算法HMAC-SHA2-512。

prefer-kex:密钥交换首选算法,缺省算法为ecdh-sha2-nistp256dh-group-exchange-sha1dh-group1-sha1dh-group14-sha1ecdh-sha2-nistp256ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。

·     dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

·     dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

·     dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

·     ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

·     ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr。支持的加密算法与客户端到服务器端的加密算法相同。

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256。支持的加密算法与客户端到服务器端的HMAC算法相同。

dscp dscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

public-key keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。

server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

source:指定与服务器通信的源IPv4地址或者源接口。缺省情况下,报文源IPv4地址为根据路由表项查找的发送此报文的出接口的主IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv4地址作为源IPv4地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将采用该接口的主IPv4地址作为发送报文的源IP地址。

ip ip-address:指定源IPv4地址。

【使用指导】

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

【举例】

# SFTP客户端采用publickey认证方式,连接IP地址为10.1.1.2的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:

·     首选密钥交换算法为dh-group14-sha1

·     服务器到客户端的首选加密算法为aes128-cbc

·     客户端到服务器的首选HMAC算法为sha1

·     服务器到客户端的HMAC算法为sha1-96

·     服务器与客户端之间的首选压缩算法为zlib

<Sysname> sftp 10.1.1.2 prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey

1.2.27  sftp client ipv6 source

sftp client ipv6 source命令用来配置SFTP客户端发送SFTP报文使用的源IPv6地址。

undo sftp client ipv6 source命令用来恢复缺省情况。

【命令】

sftp client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }

undo sftp client ipv6 source

【缺省情况】

未配置SFTP客户端使用的源IPv6地址,设备自动选择IPv6 SFTP报文的源IPv6地址,具体选择原则请参见RFC 3484。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。

ipv6 ipv6-address:指定源IPv6地址。

【使用指导】

sftp client ipv6 source命令指定的源地址对所有的SFTP连接有效,sftp ipv6命令指定的源地址只对当前的SFTP连接有效。

使用该命令指定了源地址后,若SFTP用户使用sftp ipv6命令登录时又指定了源地址,则采用sftp ipv6命令中指定的源地址。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 指定SFTP客户端发送SFTP报文使用的源IPv6地址为2:2::2:2。

<Sysname> system-view

[Sysname] sftp client ipv6 source ipv6 2:2::2:2

【相关命令】

·     display sftp client source

1.2.28  sftp client source

sftp client source命令用来配置SFTP客户端发送SFTP报文使用的源IPv4地址。

undo sftp client source命令用来恢复缺省情况。

【命令】

sftp client source { interface interface-type interface-number | ip ip-address }

undo sftp client source

【缺省情况】

未配置SFTP客户端使用的源IPv4地址,SFTP客户端发送SFTP报文使用的源IPv4地址为根据路由表项查找的发送此报文的出接口的主IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:指定接口的主IP地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。

ip ip-address:指定源IP地址。

【使用指导】

sftp client source命令指定的源地址对所有的SFTP连接有效,sftp命令指定的源地址只对当前的SFTP连接有效。

使用该命令指定了源地址后,若SFTP用户使用sftp命令登录时又指定了源地址,则采用sftp命令中指定的源地址。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 指定SFTP客户端发送SFTP报文使用的源IP地址为192.168.0.1。

<Sysname> system-view

[Sysname] sftp client source ip 192.168.0.1

【相关命令】

·     display sftp client source

1.2.29  sftp ipv6

sftp ipv6命令用来建立SFTP客户端和与远程IPv6 SFTP服务器建立连接,并进入SFTP客户端视图。

【命令】

非FIPS模式下:

sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

FIPS模式下:

sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

-i interface-type interface-number:客户端连接服务器时使用的出接口。其中,interface-type interface-number表示接口类型和接口编号。本参数仅在客户端所连接的服务器的地址是链路本地地址时使用。指定的出接口必须具有链路本地地址。

identity-key:客户端publickey认证时采用的公钥算法,非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。如果服务器采用publickey认证,必须指定该参数。客户端使用指定算法的本地私钥生成数字签名或证书。

·     dsa:公钥算法为DSA。

·     ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法。

·     ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法。

·     rsa:公钥算法为RSA。

·     x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法

·     x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。

·     pki-domain domain-name:指定客户端证书的PKI域,为1~31个字符的字符串,不区分大小写,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。

zlib:压缩算法ZLIB。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctrdes-cbc3des-cbcaes128-cbcaes128-ctraes128-gcmaes192-ctraes256-cbcaes256-ctraes256-gcm算法的安全强度和运算花费时间依次递增。

·     3des-cbc:3DES-CBC加密算法。

·     aes128-cbc:128位的AES-CBC加密算法。

·     aes128-ctr:128位AES-CTR加密算法。

·     aes128-gcm:128位AES-GCM加密算法。

·     aes192-ctr:192位AES-CTR加密算法。

·     aes256-cbc:256位的AES-CBC加密算法。

·     aes256-ctr:256位AES-CTR加密算法。

·     aes256-gcm:256位AES-GCM加密算法。

·     des-cbc:DES-CBC加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256md5md5-96sha1sha1-96sha2-256sha2-512算法的安全强度和运算花费时间依次递增。

·     md5:HMAC算法HMAC-MD5。

·     md5-96:HMAC算法HMAC-MD5-96。

·     sha1:HMAC算法HMAC-SHA1。

·     sha1-96:HMAC算法HMAC-SHA1-96。

·     sha2-256:HMAC算法HMAC-SHA2-256。

·     sha2-512:HMAC算法HMAC-SHA2-512。

prefer-kex:密钥交换首选算法,缺省算法为ecdh-sha2-nistp256dh-group-exchange-sha1dh-group1-sha1dh-group14-sha1ecdh-sha2-nistp256ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。

·     dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

·     dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

·     dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

·     ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

·     ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr。支持的加密算法与客户端到服务器端的加密算法相同。

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256。支持的加密算法与客户端到服务器端的HMAC算法相同。

dscp dscp-value:指定客户端发送的IPv6 SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Trafic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

public-key keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。

server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

source:指定与服务器通信的源IPv6地址或者源接口。缺省情况下,设备根据RFC 3484的规则自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IP地址。

ipv6 ipv6-address:指定源IPv6地址。

【使用指导】

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

【举例】

# SFTP客户端采用publickey认证方式,连接IPv6地址为2000::1的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:

·     首选密钥交换算法为dh-group14-sha1

·     服务器到客户端的首选加密算法为aes128-cbc

·     客户端到服务器的首选HMAC算法为sha1

·     服务器到客户端的HMAC算法为sha1-96

·     服务器与客户端之间的首选压缩算法为zlib

<Sysname> sftp ipv6 2000::1 prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey

Username:

1.2.30  sftp ipv6 suite-b

sftp ipv6 suite-b命令用来与远程的ipv6 SFTP服务器建立基于Suite B算法集的连接,并进入SFTP客户端视图。

【命令】

sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

-i interface-type interface-number:客户端连接服务器时使用的出接口。其中,interface-type interface-number表示接口类型和接口编号。本参数仅在客户端所连接的服务器的地址是链路本地地址时使用。指定的出接口必须具有链路本地地址。

suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。

128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。

pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。

zlib:压缩算法ZLIB。

dscp dscp-value:指定客户端发送的IPv6 SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

source:指定与服务器通信的源IPv6地址或者源接口。缺省情况下,设备根据RFC 3484的规则自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IPv6地址。

ipv6 ipv6-address:指定源IPv6地址。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256

·     服务器到客户端的加密算法为aes128-gcm

·     客户端到服务器的加密算法为aes128-gcm

·     服务器到客户端的HMAC算法为aes128-gcm

·     客户端到服务器的HMAC算法为aes128-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端采用安全级别为192-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp384

·     服务器到客户端的加密算法为aes256-gcm

·     客户端到服务器的加密算法为aes256-gcm

·     服务器到客户端的HMAC算法为aes256-gcm

·     客户端到服务器的HMAC算法为aes256-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp384

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256ecdh-sha2-nistp384

·     服务器到客户端的加密算法为aes128-gcmaes256-gcm

·     客户端到服务器的加密算法为aes128-gcmaes256-gcm

·     服务器到客户端的HMAC算法为aes128-gcmaes256-gcm

·     客户端到服务器的HMAC算法为aes128-gcmaes256-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

【举例】

# SFTP客户端采用安全级别为192-bit的Suite B算法集,与登录地址为2000::1的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> sftp ipv6 2000::1 suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

Username:

1.2.31  sftp suite-b

sftp suite-b命令用来与远程的IPv4 SFTP服务器建立基于Suite B算法集的连接,并进入SFTP客户端视图。

【命令】

sftp server [ port-number ] [ vpn-instance vpn-instance-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ip ip-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。

128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。

pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。

zlib:压缩算法ZLIB。

dscp dscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。

ip ip-address:指定源IPv4地址。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256

·     服务器到客户端的加密算法为aes128-gcm

·     客户端到服务器的加密算法为aes128-gcm

·     服务器到客户端的HMAC算法为aes128-gcm

·     客户端到服务器的HMAC算法为aes128-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端采用安全级别为192-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp384

·     服务器到客户端的加密算法为aes256-gcm

·     客户端到服务器的加密算法为aes256-gcm

·     服务器到客户端的HMAC算法为aes256-gcm

·     客户端到服务器的HMAC算法为aes256-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp384

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256ecdh-sha2-nistp384

·     服务器到客户端的加密算法为aes128-gcmaes256-gcm

·     客户端到服务器的加密算法为aes128-gcmaes256-gcm

·     服务器到客户端的HMAC算法为aes128-gcmaes256-gcm

·     客户端到服务器的HMAC算法为aes128-gcmaes256-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

【举例】

# SFTP客户端采用安全级别为128-bit的Suite B算法集,与登录地址为10.1.1.2的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> sftp 10.1.1.2 suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

Username:

1.2.32  ssh client ipv6 source

ssh client ipv6 source命令用来为配置Stelnet客户端发送SSH报文使用的源IPv6地址。

undo ssh client ipv6 source命令用来恢复缺省情况。

【命令】

ssh client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }

undo ssh client ipv6 source

【缺省情况】

未配置Stelnet客户端使用的源IPv6地址,设备自动选择IPv6 SSH报文的源IPv6地址,具体选择原则请参见RFC 3484。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。

ipv6 ipv6-address:指定源IPv6地址。

【使用指导】

ssh client ipv6 source命令指定的源地址对所有的IPv6 Stelnet连接有效,ssh2 ipv6命令指定的源地址只对当前的Stelnet连接有效。

使用该命令指定了源地址后,若SSH用户使用ssh2 ipv6命令登录时又指定了源地址,则采用ssh2 ipv6命令中指定的源地址。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 指定Stelnet客户端发送SSH报文使用的源IPv6地址为2:2::2:2。

<Sysname> system-view

[Sysname] ssh client ipv6 source ipv6 2:2::2:2

【相关命令】

·     display ssh client source

1.2.33  ssh client source

ssh client source命令用来配置Stelnet客户端发送SSH报文使用的源IPv4地址。

undo ssh client source命令用来恢复缺省情况。

【命令】

ssh client source { interface interface-type interface-number | ip ip-address }

undo ssh client source

【缺省情况】

未配置Stelnet客户端使用的源IPv4地址,Stelnet客户端发送SSH报文使用的源IPv4地址为设备路由指定的SSH报文出接口的主IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:指定接口的主IP地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。

ip ip-address:指定源IPv4地址。

【使用指导】

ssh client source命令指定的源地址对所有的Stelnet连接有效,ssh2命令指定的源地址只对当前的Stelnet连接有效。

使用该命令指定了源地址后,若SSH用户使用ssh2命令登录时又指定了源地址,则采用ssh2命令中指定的源地址。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 指定Stelnet客户端发送SSH报文使用的源IPv4地址为192.168.0.1。

<Sysname> system-view

[Sysname] ssh client source ip 192.168.0.1

【相关命令】

·     display ssh client source

1.2.34  ssh2

ssh2命令用来建立Stelnet客户端和IPv4 Stelnet服务器端的连接。

【命令】

非FIPS模式下:

ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

FIPS模式下:

ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

identity-key:客户端publickey认证时采用的公钥算法,非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。如果服务器采用publickey认证,必须指定该参数。客户端使用指定算法的本地私钥生成数字签名或证书。

·     dsa:公钥算法为DSA。

·     ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法。

·     ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法。

·     rsa:公钥算法为RSA。

·     x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法

·     x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。

·     pki-domain domain-name:指定客户端证书的PKI域,为1~31个字符的字符串,不区分大小写,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。

zlib:压缩算法ZLIB。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctrdes-cbc3des-cbcaes128-cbcaes128-ctraes128-gcmaes192-ctraes256-cbcaes256-ctraes256-gcm算法的安全强度和运算花费时间依次递增。

·     3des-cbc:3DES-CBC加密算法。

·     aes128-cbc:128位的AES-CBC加密算法。

·     aes128-ctr:128位AES-CTR加密算法。

·     aes128-gcm:128位AES-GCM加密算法。

·     aes192-ctr:192位AES-CTR加密算法。

·     aes256-cbc:256位的AES-CBC加密算法。

·     aes256-ctr:256位AES-CTR加密算法。

·     aes256-gcm:256位AES-GCM加密算法。

·     des-cbc:DES-CBC加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256md5md5-96sha1sha1-96sha2-256sha2-512算法的安全强度和运算花费时间依次递增。

·     md5:HMAC算法HMAC-MD5。

·     md5-96:HMAC算法HMAC-MD5-96。

·     sha1:HMAC算法HMAC-SHA1。

·     sha1-96:HMAC算法HMAC-SHA1-96。

·     sha2-256:HMAC算法HMAC-SHA2-256。

·     sha2-512:HMAC算法HMAC-SHA2-512。

prefer-kex:密钥交换首选算法,缺省算法为ecdh-sha2-nistp256dh-group-exchange-sha1dh-group14-sha1ecdh-sha2-nistp256ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。

·     dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

·     dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

·     dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

·     ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

·     ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr。支持的加密算法与客户端到服务器端的加密算法相同。

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256。支持的加密算法与客户端到服务器端的HMAC算法相同。

dscp dscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

escape character:指定退出字符。character为一个字符,区分大小写,缺省为~,即输入~.可以强制断开与服务端的连接。

public-key keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。

server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

source:指定与服务器通信的源IPv4地址或者源接口。缺省情况下,报文源IPv4地址为根据路由表项查找的发送此报文的出接口的主IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv4地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将采用该接口的主IPv4地址作为发送报文的源IP地址。

ip ip-address:指定源IPv4地址。

【使用指导】

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

关于退出字符的使用,需要注意的是:

·     退出字符与字符.配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接)。

·     必须在一行中首先输入退出字符和.,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。

·     一般情况下,建议使用缺省退出字符,避免退出字符和.的组合与登录用户名相同。

【举例】

# Stelnet客户端采用publickey认证方式,登录地址为3.3.3.3的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:

·     首选密钥交换算法为dh-group14-sha1

·     服务器到客户端的首选加密算法为aes128-cbc

·     客户端到服务器的首选HMAC算法为sha1

·     服务器到客户端的HMAC算法为sha1-96

·     服务器与客户端之间的首选压缩算法为zlib

·     输入$.时强制断开客户端和服务端的连接。

<Sysname> ssh2 3.3.3.3 prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey escape $

1.2.35  ssh2 ipv6

ssh2 ipv6命令用来建立Stelnet客户端和IPv6 Stelnet服务器端的连接。

【命令】

非FIPS模式下:

ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

FIPS模式下:

ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

-i interface-type interface-number:客户端连接服务器时使用的出接口。其中,interface-type interface-number表示接口类型和接口编号。本参数仅在客户端所连接的服务器的地址是链路本地地址时使用。指定的出接口必须具有链路本地地址。

identity-key:客户端publickey认证时采用的公钥算法,非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。如果服务器采用publickey认证,必须指定该参数。客户端使用指定算法的本地私钥生成数字签名或证书。

·     dsa:公钥算法为DSA。

·     ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法。

·     ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法。

·     rsa:公钥算法为RSA。

·     x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法

·     x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。

·     pki-domain domain-name:指定客户端证书的PKI域,为1~31个字符的字符串,不区分大小写,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。

zlib:压缩算法ZLIB。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctrdes-cbc3des-cbcaes128-cbcaes128-ctraes128-gcmaes192-ctraes256-cbcaes256-ctraes256-gcm算法的安全强度和运算花费时间依次递增。

·     3des-cbc:3DES-CBC加密算法。

·     aes128-cbc:128位的AES-CBC加密算法。

·     aes128-ctr:128位AES-CTR加密算法。

·     aes128-gcm:128位AES-GCM加密算法。

·     aes192-ctr:192位AES-CTR加密算法。

·     aes256-cbc:256位的AES-CBC加密算法。

·     aes256-ctr:256位AES-CTR加密算法。

·     aes256-gcm:256位AES-GCM加密算法。

·     des-cbc:DES-CBC加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256md5md5-96sha1sha1-96sha2-256sha2-512算法的安全强度和运算花费时间依次递增。

·     md5:HMAC算法HMAC-MD5。

·     md5-96:HMAC算法HMAC-MD5-96。

·     sha1:HMAC算法HMAC-SHA1。

·     sha1-96:HMAC算法HMAC-SHA1-96。

·     sha2-256:HMAC算法HMAC-SHA2-256。

·     sha2-512:HMAC算法HMAC-SHA2-512。

prefer-kex:密钥交换首选算法,缺省算法为ecdh-sha2-nistp256dh-group-exchange-sha1dh-group1-sha1dh-group14-sha1ecdh-sha2-nistp256ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。

·     dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

·     dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

·     dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

·     ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

·     ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr。支持的加密算法与客户端到服务器端的加密算法相同。

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256。支持的加密算法与客户端到服务器端的HMAC算法相同。

dscp dscp-value:指定客户端发送的IPv6 SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Trafic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

escape character:指定退出字符。character为一个字符,区分大小写,缺省为~,即输入~.可以强制断开与服务端的连接。

public-key keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。

server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

source:指定与服务器通信的源IPv6地址或者源接口。缺省情况下,设备根据RFC 3484的规则自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IP地址。

ipv6 ipv6-address:指定源IPv6地址。

【使用指导】

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

关于退出字符的使用,需要注意的是:

·     退出字符与字符.配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接)。

·     必须在一行中首先输入退出字符和.,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。

·     一般情况下,建议使用缺省退出字符,避免退出字符和.的组合与登录用户名相同。

【举例】

# SSH客户端采用publickey认证方式,登录地址为2000::1的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:

·     首选密钥交换算法为dh-group14-sha1

·     服务器到客户端的首选加密算法为aes128-cbc

·     客户端到服务器的首选HMAC算法为sha1

·     服务器到客户端的HMAC算法为sha1-96

·     服务器与客户端之间的首选压缩算法为zlib

·     输入$.时强制断开客户端和服务端的连接。

<Sysname> ssh2 ipv6 2000::1 prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey $

1.2.36  ssh2 ipv6 suite-b

ssh2 ipv6 suite-b命令用来与远程的ipv6 Stelnet服务器建立基于Suite B算法集的连接。

【命令】

ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

-i interface-type interface-number:客户端连接服务器时使用的出接口。其中,interface-type interface-number表示接口类型和接口编号。本参数仅在客户端所连接的服务器的地址是链路本地地址时使用。指定的出接口必须具有链路本地地址。

suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。

128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。

pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。

zlib:压缩算法ZLIB。

dscp dscp-value:指定客户端发送的IPv6 SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

escape character:指定退出字符,该退出字符与字符.配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接)。character为一个字符,区分大小写,缺省为~,即输入~.可以强制断开与服务端的连接。

source:指定与服务器通信的源IPv6地址或者源接口。缺省情况下,设备根据RFC 3484的规则自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IPv6地址。

ipv6 ipv6-address:指定源IPv6地址。

关于退出字符的使用,需要注意的是:

·     必须在一行中首先输入退出字符和.,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。

·     一般情况下,建议使用缺省退出字符,避免退出字符和.的组合与登录用户名相同。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256

·     服务器到客户端的加密算法为aes128-gcm

·     客户端到服务器的加密算法为aes128-gcm

·     服务器到客户端的HMAC算法为aes128-gcm

·     客户端到服务器的HMAC算法为aes128-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端采用安全级别为192-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp384

·     服务器到客户端的加密算法为aes256-gcm

·     客户端到服务器的加密算法为aes256-gcm

·     服务器到客户端的HMAC算法为aes256-gcm

·     客户端到服务器的HMAC算法为aes256-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp384

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256ecdh-sha2-nistp384

·     服务器到客户端的加密算法为aes128-gcmaes256-gcm

·     客户端到服务器的加密算法为aes128-gcmaes256-gcm

·     服务器到客户端的HMAC算法为aes128-gcmaes256-gcm

·     客户端到服务器的HMAC算法为aes128-gcmaes256-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

【举例】

# SSH客户端采用安全级别为192-bit的Suite B算法集,与登录地址为2000::1的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> ssh2 ipv6 2000::1 suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

Username:

1.2.37  ssh2 suite-b

ssh2 suite-b命令用来与远程的IPv4 Stelnet服务器建立基于Suite B算法集的连接。

【命令】

ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ip ip-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。

128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。

pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。

zlib:压缩算法ZLIB。

dscp dscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

escape character:指定退出字符,该退出字符与字符.配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接)。character为一个字符,区分大小写,缺省为~,即输入~.可以强制断开与服务端的连接。

source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。

ip ip-address:指定源IPv4地址。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256

·     服务器到客户端的加密算法为aes128-gcm

·     客户端到服务器的加密算法为aes128-gcm

·     服务器到客户端的HMAC算法为aes128-gcm

·     客户端到服务器的HMAC算法为aes128-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端采用安全级别为192-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp384

·     服务器到客户端的加密算法为aes256-gcm

·     客户端到服务器的加密算法为aes256-gcm

·     服务器到客户端的HMAC算法为aes256-gcm

·     客户端到服务器的HMAC算法为aes256-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp384

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256ecdh-sha2-nistp384

·     服务器到客户端的加密算法为aes128-gcmaes256-gcm

·     客户端到服务器的加密算法为aes128-gcmaes256-gcm

·     服务器到客户端的HMAC算法为aes128-gcmaes256-gcm

·     客户端到服务器的HMAC算法为aes128-gcmaes256-gcm

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

关于退出字符的使用,需要注意的是:

·     必须在一行中首先输入退出字符和.,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。

·     一般情况下,建议使用缺省退出字符,避免退出字符和.的组合与登录用户名相同。

【举例】

# Stelnet客户端采用128-bit的Suite B算法集,与登录地址为3.3.3.3的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> ssh2 3.3.3.3 suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

Username:

1.3  SSH2协议配置命令

1.3.1  display ssh2 algorithm

display ssh2 algorithm命令用来显示设备上配置的SSH2协议使用的算法优先列表。

【命令】

display ssh2 algorithm

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示设备上配置的SSH2协议使用的算法优先列表。

<Sysname> display ssh2 algorithm

 Key exchange algorithms : ecdh-sha2-nistp256 ecdh-sha2-nistp384 dh-group-exchange-sha1 dh-group14-sha1 dh-group1-sha1

 Public key algorithms : x509v3-ecdsa-sha2-nistp256 x509v3-ecdsa-sha2-nistp384 ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 rsa dsa

 Encryption algorithms : aes128-ctr aes192-ctr aes256-ctr aes128-gcm aes256-gcm aes128-cbc 3des-cbc aes256-cbc des-cbc

 MAC algorithms : sha2-256 sha2-512 sha1 md5 sha1-96 md5-96

表1-4 display ssh2 algorithm命令显示信息描述表

字段

描述

Key exchange algorithms

按优先级前后顺序显示当前使用的密钥交换算法列表

Public key algorithms

按优先级前后顺序显示当前使用的主机算法列表

Encryption algorithms

按优先级前后顺序显示当前使用的加密算法列表

MAC algorithms

按优先级前后顺序显示当前使用的HMAC算法列表

 

【相关命令】

·     ssh2 algorithm key-exchange

·     ssh2 algorithm public-key

·     ssh2 algorithm cipher

·     ssh2 algorithm mac

1.3.2  ssh2 algorithm cipher

ssh2 algorithm cipher命令用来配置SSH2协议使用的加密算法列表。

undo ssh2 algorithm cipher命令用来恢复缺省情况。

【命令】

非FIPS模式下:

ssh2 algorithm cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } *

undo ssh2 algorithm cipher

FIPS模式下:

ssh2 algorithm cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } *

undo ssh2 algorithm cipher

【缺省情况】

SSH2协议采用的缺省加密算法从高到底的优先级列表为aes128-ctraes192-ctraes256-ctraes128-gcmaes256-gcmaes128-cbc3des-cbcaes256-cbcdes-cbc

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

3des-cbc:3DES-CBC加密算法。

aes128-cbc:128位AES-CBC加密算法。

aes128-ctr:128位AES-CTR加密算法。

aes128-gcm:128位AES-GCM加密算法。

aes192-ctr:192位AES-CTR加密算法。

aes256-cbc:256位AES-CBC加密算法。

aes256-ctr:256位AES-CTR加密算法。

aes256-gcm:256位AES-GCM加密算法。

des-cbc:DES-CBC加密算法。

【使用指导】

当设备运行环境要求SSH2只能采用特定加密算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的加密算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。

【举例】

# 配置SSH2协议所使用的加密算法为aes256-cbc

<Sysname> system-view

[Sysname] ssh2 algorithm cipher aes256-cbc

【相关命令】

·     display ssh2 algorithm

·     ssh2 algorithm key-exchange

·     ssh2 algorithm mac

·     ssh2 algorithm public-key

1.3.3  ssh2 algorithm key-exchange

ssh2 algorithm key-exchange命令用来配置SSH2协议使用的密钥交换算法列表。

undo ssh2 algorithm key-exchange命令用来恢复缺省情况。

【命令】

非FIPS模式下:

ssh2 algorithm key-exchange { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *

undo ssh2 algorithm key-exchange

FIPS模式下:

ssh2 algorithm key-exchange { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *

undo ssh2 algorithm key-exchange

【缺省情况】

SSH2协议采用的缺省密钥交换算法从高到底的优先级列表为ecdh-sha2-nistp256ecdh-sha2-nistp384dh-group14-sha1dh-group-exchange-sha1dh-group1-sha1

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

【使用指导】

当设备运行环境要求SSH2只能采用特定密钥交换算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的密钥交换算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。

【举例】

# 配置SSH2协议所使用的密钥交换算法为dh-group1-sha1。

<Sysname> system-view

[Sysname] ssh2 algorithm key-exchange dh-group1-sha1

【相关命令】

·     display ssh2 algorithm

·     ssh2 algorithm cipher

·     ssh2 algorithm mac

·     ssh2 algorithm public-key

1.3.4  ssh2 algorithm mac

ssh2 algorithm mac命令用来配置SSH2协议使用的HMAC算法列表。

undo ssh2 algorithm mac命令用来恢复缺省情况。

【命令】

非FIPS模式下:

ssh2 algorithm mac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } *

undo ssh2 algorithm mac

FIPS模式下:

ssh2 algorithm mac { sha1 | sha1-96 | sha2-256 | sha2-512 } *

undo ssh2 algorithm mac

【缺省情况】

SSH2协议使用的缺省HMAC算法从高到底的优先级列表为sha2-256sha2-512sha1md5sha1-96md5-96

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

md5:HMAC算法HMAC-MD5。

md5-96:HMAC算法HMAC-MD5-96。

sha1:HMAC算法HMAC-SHA1。

sha1-96:HMAC算法HMAC-SHA1-96。

sha2-256:HMAC算法HMAC-SHA2-256。

sha2-512:HMAC算法HMAC-SHA2-512。

【使用指导】

当设备运行环境要求SSH2只能采用特定HMAC算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的HMAC算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。

【举例】

# 配置SSH2协议所使用的HMAC算法为md5。

<Sysname> system-view

[Sysname] ssh2 algorithm mac md5

【相关命令】

·     display ssh2 algorithm

·     ssh2 algorithm cipher

·     ssh2 algorithm key-exchange

·     ssh2 algorithm public-key

1.3.5  ssh2 algorithm public-key

ssh2 algorithm public-key命令用来配置SSH2协议使用的主机签名算法列表。

undo ssh2 algorithm public-key命令用来恢复缺省情况。

【命令】

非FIPS模式下:

ssh2 algorithm public-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } *

undo ssh2 algorithm public-key

FIPS模式下:

ssh2 algorithm public-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } *

undo ssh2 algorithm public-key

【缺省情况】

SSH2协议使用的缺省主机签名算法从高到底的优先级列表为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384ecdsa-sha2-nistp256ecdsa-sha2-nistp384rsadsa

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

dsa:公钥算法为DSA。

ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法。

ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法。

rsa:公钥算法为RSA。

x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法。

x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。

【使用指导】

当设备运行环境要求SSH2只能采用特定主机签名算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的主机签名算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。

【举例】

# 配置SSH2协议所使用的主机签名算法为dsa

<Sysname> system-view

[Sysname] ssh2 algorithm public-key dsa

【相关命令】

·     display ssh2 algorithm

·     ssh2 algorithm cipher

·     ssh2 algorithm key-exchange

·     ssh2 algorithm mac

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!