• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

09-安全命令参考

目录

07-SSH命令

本章节下载 07-SSH命令  (379.33 KB)

07-SSH命令


1 SSH

说明

设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

 

1.1  SSH服务器端配置命令

1.1.1  display ssh server

display ssh server命令用来在SSH服务器端显示该服务器的状态信息或会话信息。

【命令】

display ssh server { session | status }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

session:显示SSH服务器的会话信息。

status:显示SSH服务器的状态信息。

【举例】

# 在SSH服务器端显示该服务器的状态信息。

<Sysname> display ssh server status

 Stelnet server: Disable

 SSH version : 1.99

 SSH authentication-timeout : 60 second(s)

 SSH server key generating interval : 0 hour(s)

 SSH authentication retries : 3 time(s)

 SFTP server: Disable

 SFTP server Idle-Timeout: 10 minute(s)

 NETCONF server: Disable

 SCP server: Disable

表1-1 display ssh server status命令显示信息描述表

字段

描述

Stelnet server

Stelnet服务器功能的状态

SSH version

SSH协议版本

SSH服务器兼容SSH1时,协议版本为1.99;SSH服务器不兼容SSH1时,协议版本为2.0

SSH authentication-timeout

认证超时时间

SSH server key generating interval

服务器密钥对更新时间

SSH authentication retries

SSH用户认证尝试的最大次数

SFTP server

SFTP服务器功能的状态

SFTP server Idle-Timeout

SFTP用户连接的空闲超时时间

NETCONF server

NETCONF over SSH服务器功能的状态

SCP server

SCP服务器功能的状态

 

# 在SSH服务器端显示该服务器的会话信息。

<Sysname> display ssh server session

UserPid   SessID Ver   Encrypt    State          Retries  Serv     Username

 184       0     2.0   aes128-cbc Established    1        Stelnet  abc@123

表1-2 display ssh server session显示信息描述表

字段

描述

UserPid

用户进程PID

SessID

会话ID

Ver

SSH服务器的协议版本

Encrypt

SSH服务器本端使用的加密算法

State

会话状态,包括:

·     Init:初始化状态

·     Ver-exchange:版本协商

·     Keys-exchange:密钥交换

·     Auth-request:用户认证

·     Serv-request:服务请求

·     Established:会话已经建立

·     Disconnected:断开会话

Retries

认证失败的次数

Serv

服务类型,包括SCP、SFTP、Stelnet、NETCONF

Username

客户端登录服务器时采用的用户名

 

1.1.2  display ssh user-information

display ssh user-information命令用来在SSH服务器端显示SSH用户的信息。

【命令】

display ssh user-information [ username ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

username:SSH用户名,为1~80个字符的字符串,区分大小写。如果没有指定本参数,则显示所有SSH用户的信息。

【使用指导】

本命令仅用来显示SSH服务器端通过ssh user命令配置的SSH用户信息。

【举例】

# 显示所有SSH用户的信息。

<Sysname> display ssh user-information

 Total ssh users:2

 Username            Authentication-type  User-public-key-name  Service-type

 yemx                password             null                  Stelnet

 test                publickey            pubkey                SFTP

表1-3 display ssh user-information显示信息描述表

字段

描述

Total ssh users

SSH用户的总数

Username

用户名

Authentication-type

认证类型,取值包括password、publickey、password-publickey和any

User-public-key-name

用户公钥名称

如果认证类型为password,则用户公钥名称显示为null

Service-type

服务类型,取值包括SCP、SFTP、Stelnet、NETCONF或all

 

【相关命令】

·     ssh user

1.1.3  scp server enable

scp server enable命令用来使能SCP服务器功能。

undo scp server enable命令用来关闭SCP服务器功能。

【命令】

scp server enable

undo scp server enable

【缺省情况】

SCP服务器功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【举例】

# 使能SCP服务器功能。

<Sysname> system-view

[Sysname] scp server enable

【相关命令】

·     display ssh server

1.1.4  sftp server enable

sftp server enable命令用来使能SFTP服务器功能。

undo sftp server enable命令用来关闭SFTP服务器功能。

【命令】

sftp server enable

undo sftp server enable

【缺省情况】

SFTP服务器功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【举例】

# 使能SFTP服务器功能。

<Sysname> system-view

[Sysname] sftp server enable

【相关命令】

·     display ssh server

1.1.5  sftp server idle-timeout

sftp server idle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间。

undo sftp server idle-timeout命令用来恢复缺省情况。

【命令】

sftp server idle-timeout time-out-value

undo sftp server idle-timeout

【缺省情况】

SFTP用户连接的空闲超时时间为10分钟。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

time-out-value:超时时间,取值范围为1~35791,单位为分钟。

【使用指导】

当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作。若同一时间内并发的SFTP连接数较多,可适当减小该值,及时释放系统资源给新用户接入。

【举例】

# 设置SFTP用户连接的空闲超时时间为500分钟。

<Sysname> system-view

[Sysname] sftp server idle-timeout 500

【相关命令】

·     display ssh server

1.1.6  ssh server acl

ssh server acl命令用来设置对IPv4 SSH客户端的访问控制。

undo ssh server acl命令用来恢复缺省情况。

【命令】

ssh server acl acl-number

undo ssh server acl

【缺省情况】

允许所有IPv4 SSH客户端向设备发起SSH访问。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

acl-number:指定ACL的编号,取值范围为2000~4999。

【使用指导】

通过本命令可以过滤IPv4 SSH客户端发起的SSH请求报文,具体实现如下:

·     若指定的ACL非空,则只允许匹配ACL permit规则的客户端访问设备。

·     若指定的ACL不存在,或者ACL中无任何规则,则允许SSH客户端发起SSH访问。

该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接。

多次执行本配置后,最新的配置生效。

【举例】

# 只允许IPv4地址为1.1.1.1的SSH客户端向设备发起SSH访问。

<Sysname> system-view

[Sysname] acl number 2001

[Sysname-acl-basic-2001] rule permit source 1.1.1.1 0

[Sysname-acl-basic-2001] quit

[Sysname] ssh server acl 2001

【相关命令】

·     display ssh server

1.1.7  ssh server authentication-retries

ssh server authentication-retries命令用来设置允许SSH用户认证尝试的最大次数。

undo ssh server authentication-retries命令用来恢复缺省情况。

【命令】

ssh server authentication-retries times

undo ssh server authentication-retries

【缺省情况】

允许SSH用户认证尝试的最大次数为3次。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

times:指定每个SSH用户认证尝试的最大次数,取值范围为1~5。

【使用指导】

通过本命令可以限制用户尝试登录的次数,防止非法用户对用户名和密码进行恶意地猜测和破解。

需要注意的是:

·     该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效。

·     在any认证方式下,SSH客户端通过publickey和password两种方式进行认证尝试的次数总和(可通过命令display ssh server session查看),不能超过ssh server authentication-retries命令配置的SSH连接认证尝试的最大次数。

·     对于password-publickey认证方式,设备首先对SSH用户进行publickey认证,然后进行password认证,这个过程为一次认证尝试,而不是两次认证尝试。

【举例】

# 指定允许SSH用户认证尝试的最大次数为4。

<Sysname> system-view

[Sysname] ssh server authentication-retries 4

【相关命令】

·     display ssh server

1.1.8  ssh server authentication-timeout

ssh server authentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间。

undo ssh server authentication-timeout命令用来恢复缺省情况。

【命令】

ssh server authentication-timeout time-out-value

undo ssh server authentication-timeout

【缺省情况】

SSH用户的认证超时时间为60秒。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

time-out-value:认证超时时间,取值范围为1~120,单位为秒。

【使用指导】

如果SSH用户在设置的认证超时时间内没有完成认证,SSH服务器就拒绝该用户的连接。

为了防止不法用户建立起TCP连接后,不进行接下来的认证,而占用系统资源,妨碍其它合法用户的正常登录,可以适当调小SSH用户认证超时时间。

【举例】

# 设置SSH用户认证超时时间为10秒。

<Sysname> system-view

[Sysname] ssh server authentication-timeout 10

【相关命令】

·     display ssh server

1.1.9  ssh server compatible-ssh1x enable

ssh server compatible-ssh1x enable命令用来设置SSH服务器兼容SSH1版本的客户端。

undo ssh server compatible-ssh1x [ enable ]命令用来设置SSH服务器不兼容SSH1版本的客户端。

【命令】

ssh server compatible-ssh1x enable

undo ssh server compatible-ssh1x [ enable ]

【缺省情况】

缺省情况下,SSH服务器兼容SSH1版本的客户端。

【视图】

系统视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【使用指导】

FIPS模式下,不支持本命令。

该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效。

【举例】

# 配置服务器兼容SSH1版本的客户端。

<Sysname> system-view

[Sysname] ssh server compatible-ssh1x enable

【相关命令】

·     display ssh server

1.1.10  ssh server dscp

ssh server dscp命令用来设置IPv4 SSH服务器向SSH客户端发送的报文的DSCP优先级。

undo ssh server dscp命令用来恢复缺省情况。

【命令】

ssh server dscp dscp-value

undo ssh server dscp

【缺省情况】

IPv4 SSH报文的DSCP优先级为48。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

dscp-value:IPv4 SSH报文的DSCP优先级,取值范围为0~63。取值越大,优先级越高。

【使用指导】

DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。通过本命令可以指定服务器发送的IPv4 SSH报文中携带的DSCP优先级的取值。

【举例】

# 配置IPv4 SSH服务器向SSH客户端发送的报文的DSCP优先级为30。

<Sysname> system-view

[Sysname] ssh server dscp 30

1.1.11  ssh server enable

ssh server enable命令用来使能Stelnet服务器功能。

undo ssh server enable命令用来关闭Stelnet服务器功能。

【命令】

ssh server enable

undo ssh server enable

【缺省情况】

Stelnet服务器功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【举例】

# 使能Stelnet服务器功能。

<Sysname> system-view

[Sysname] ssh server enable

【相关命令】

·     display ssh server

1.1.12  ssh server ipv6 acl

ssh server ipv6 acl命令用来设置对IPv6 SSH客户端的访问控制。

undo ssh server ipv6 acl命令用来恢复缺省情况。

【命令】

ssh server ipv6 acl [ ipv6 ] acl-number

undo ssh server ipv6 acl

【缺省情况】

允许所有IPv6 SSH客户端向设备发起SSH访问。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6:指定IPv6 ACL的编号。若不指定该参数,则表示指定二层ACL。

acl-number:指定ACL的编号。

·     指定ipv6关键字时,取值范围为2000~3999。

·     不指定ipv6关键字时,取值范围为4000~4999。

【使用指导】

通过本命令可以过滤IPv6 SSH客户端发起的SSH请求报文,具体实现如下:

·     若指定的ACL非空,则只允许匹配ACL permit规则的客户端访问设备。

·     若指定的ACL不存在,或者ACL中无任何规则,则允许SSH客户端发起SSH访问。

该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接。

多次执行本配置后,最新的配置生效。

【举例】

# 只允许1::1/64网段内的SSH客户端向设备发起SSH访问。

<Sysname> system-view

[Sysname] acl ipv6 number 2001

[Sysname-acl6-basic-2001] rule permit source 1::1 64

[Sysname-acl6-basic-2001] quit

[Sysname] ssh server ipv6 acl ipv6 2001

【相关命令】

·     display ssh server

1.1.13  ssh server ipv6 dscp

ssh server ipv6 dscp命令用来设置IPv6 SSH服务器向SSH客户端发送的报文的DSCP优先级。

undo ssh server ipv6 dscp命令用来恢复缺省情况。

【命令】

ssh server ipv6 dscp dscp-value

undo ssh server ipv6 dscp

【缺省情况】

IPv6 SSH报文的DSCP优先级为48。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

dscp-value:IPv6 SSH报文的DSCP优先级,取值范围为0~63。取值越大,优先级越高。

【使用指导】

DSCP携带在IPv6报文中的Trafic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。通过本命令可以指定服务器发送的SSH报文中携带的DSCP优先级的取值。

【举例】

# 配置IPv6 SSH服务器向SSH客户端发送的报文的DSCP优先级为30。

<Sysname> system-view

[Sysname] ssh server ipv6 dscp 30

1.1.14  ssh server pki-domain

ssh server pki-domain命令用来配置服务器所属的PKI域。

undo ssh server pki-domain命令用来删除服务器所属的PKI域。

【命令】

ssh server pki-domain domain-name

undo ssh server pki-domain

【缺省情况】

未配置服务器所属的PKI域。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

domain-name:验证服务端的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

【举例】

# 配置SSH服务器所属的PKI域为serverpkidomain。

<Sysname> system-view

[Sysname] ssh server pki-domain serverpkidomain

1.1.15  ssh server rekey-interval

ssh server rekey-interval命令用来设置RSA服务器密钥对的更新时间。

undo ssh server rekey-interval命令用来恢复缺省情况。

【命令】

ssh server rekey-interval hours

undo ssh server rekey-interval

【缺省情况】

RSA服务器密钥对的更新时间为0,表示系统不更新RSA服务器密钥对。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

hours:服务器密钥对的更新周期,取值范围为1~24,单位为小时。

【使用指导】

SSH的核心是密钥对的协商和传输,因此密钥对的管理是非常重要的。通过定时更新服务器密钥对,可以防止对密钥对的恶意猜测和破解,从而提高了SSH连接的安全性。

需要注意的是,本配置仅对SSH客户端版本为SSH1的用户有效。

FIPS模式下,不支持本命令。

【举例】

# 设置每3小时更新一次RSA服务器密钥对。

<Sysname> system-view

[Sysname] ssh server rekey-interval 3

【相关命令】

·     display ssh server

1.1.16  ssh user

ssh user命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式。

undo ssh user命令用来删除SSH用户。

【命令】

非FIPS模式下:

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | { any | password-publickey | publickey } [ assign { pki-domain domain-name | publickey keyname } ] }

undo ssh user username

FIPS模式下:

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | password-publickey [ assign { pki-domain domain-name | publickey keyname } ] }

undo ssh user username

【缺省情况】

不存在任何SSH用户。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

username:SSH用户名,为1~80个字符的字符串,区分大小写。若用户名中携带ISP域名,则其形式为pureusername@domain,其中,pureusername为1~55个字符的字符串,domain为1~24个字符的字符串。

service-type:SSH用户的服务类型。包括:

·     all:包括scpsftpstelnetnetconf

·     scp:服务类型为SCP(Secure Copy的简称)。

·     sftp:服务类型为SFTP(Secure FTP的简称)。

·     stelnet:服务类型为Stelnet(Secure Telnet的简称)。

·     netconf:服务类型为NETCONF over SSH。

authentication-type:SSH用户的认证方式。包括:

·     password:强制指定该用户的认证方式为password。该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication, Authorization, Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击。

·     any:不指定用户的认证方式,用户既可以采用password认证,也可以采用publickey认证。

·     password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可。

·     publickey:强制指定该用户的认证方式为publickey。该认证方式的加密速度相对较慢,但认证强度高,不易受到暴力猜测密码等攻击方式的影响,而且具有较高的易用性。一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码。

assign:指定用于验证客户端的参数。

·     pki-domain domain-name:指定验证客户端证书的PKI域。domain-name表示PKI域的名称,为1~31个字符的字符串,不区分大小写。服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查,无需提前保存客户端的公钥,能够灵活满足大数量客户端的认证需求。

·     publickey keynameSSH客户端的公钥。keyname表示已经配置的客户端公钥名称,为1~64个字符的字符串,不区分大小写。服务器端使用提前保存在本地的用户公钥对用户进行合法性检查,如果客户端密钥文件改变,服务器端需要及时更新本地配置。

【使用指导】

如果服务器采用publickey方式认证客户端,则必须通过本配置在设备上创建相应的SSH用户,并需要创建同名的本地用户,用于对SSH用户进行本地授权,包括授权用户角色、工作目录;如果服务器采用password方式认证客户端,则必须将SSH用户的账号信息配置在设备(适用于本地认证)或者远程认证服务器(如RADIUS服务器,适用于远程认证)上,而并不要求通过本配置创建相应的SSH用户。

使用该命令为用户指定公钥或PKI域时,以最后一次指定的公钥或PKI域为准。若不指定pki-domainpublickey,则表示该用户采用证书认证方式登录,服务器使用其PKI域验证客户端的证书。

新配置的服务类型、认证方式和用户公钥或PKI域,不会影响已经登录的SSH用户,仅对新登录的用户生效。

SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关:

·     采用publickey或password-publickey认证方式的用户,使用的工作目录为对应的本地用户视图下通过authorization-attribute命令设置的工作目录。

·     只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录。

SSH用户登录时拥有的用户角色与用户使用的认证方式有关:

·     采用publickey或password-publickey认证方式的用户,用户角色为对应的本地用户视图下通过authorization-attribute命令设置的用户角色。

·     采用password认证方式的用户,用户角色为通过AAA授权的用户角色。

【举例】

# 创建SSH用户user1,配置user1的服务类型为SFTP,认证方式为password-publickey,并指定客户端公钥为key1。

<Sysname> system-view

[Sysname] ssh user user1 service-type sftp authentication-type password-publickey assign publickey key1

# 创建SSH用户user1,配置user1的服务器类型为SFTP,认证方式为password-publickey。

<Sysname> system-view

[Sysname] ssh user user1 service-type sftp authentication-type password-publickey

# 创建设备管理类本地用户user1,配置用户密码为明文123456TESTplat&!, 服务类型为SSH,授权工作目录为flash:,授权用户角色为network-admin。

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] password simple 123456TESTplat&!

[Sysname-luser-manage-user1] service-type ssh

[Sysname-luser-manage-user1] authorization-attribute work-directory flash: user-role network-admin

【相关命令】

·     authorization-attribute(安全命令参考/AAA)

·     display ssh user-information

·     local-user(安全命令参考/AAA)

·     pki domain(安全命令参考/PKI)

1.2  SSH客户端配置命令

1.2.1  bye

bye命令用来终止与远程SFTP服务器的连接,并退回到用户视图。

【命令】

bye

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

该命令功能与exitquit相同。

【举例】

# 终止与远程SFTP服务器的连接。

sftp> bye

<Sysname>

1.2.2  cd

cd命令用来改变远程SFTP服务器上的工作路径。

【命令】

cd [ remote-path ]

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

remote-path:目的工作路径的名称。

【使用指导】

命令“cd ..”用来返回到上一级目录。

命令“cd /”用来返回到系统的根目录。

【举例】

# 改变工作路径到new1。

sftp> cd new1

Current Directory is:/new1

sftp> pwd

Remote working directory: /new1

sftp>

1.2.3  cdup

cdup命令用来返回到上一级目录。

【命令】

cdup

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【举例】

# 从当前工作目录/test1返回到上一级目录。

sftp> cd test1

Current Directory is:/test1

sftp> pwd

Remote working directory: /test1

sftp> cdup

Current Directory is:/

sftp> pwd

Remote working directory: /

sftp>

1.2.4  delete

delete命令用来删除SFTP服务器上指定的文件。

【命令】

delete remote-file

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

remote-file:要删除的文件的名称。

【使用指导】

该命令和remove功能相同。

【举例】

# 删除服务器上的文件temp.c。

sftp> delete temp.c

Removing /temp.c

1.2.5  dir

dir命令用来显示指定目录下文件及文件夹的信息。

【命令】

dir [ -a | -l ] [ remote-path ]

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以“.”开头的文件及文件夹的详细信息。

-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以“.”开头的文件及文件夹的详细信息。

remote-path:查询的目录名。

【使用指导】

如果没有指定-a-l参数,则显示指定目录下文件及文件夹的名称。

如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。

该命令功能与ls相同。

【举例】

# 以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以“.”开头的文件及文件夹的详细信息。

sftp> dir -a

drwxrwxrwx    2 1        1               512 Dec 18 14:12 .

drwxrwxrwx    2 1        1               512 Dec 18 14:12 ..

-rwxrwxrwx    1 1        1               301 Dec 18 14:11 010.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 011.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 012.pub

# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。

sftp> dir -l

-rwxrwxrwx    1 1        1               301 Dec 18 14:11 010.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 011.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 012.pu

1.2.6  display sftp client source

display sftp client source命令用来显示当前为SFTP客户端设置的源IP地址或者源接口。

【命令】

display sftp client source

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【举例】

# 显示设置的SFTP客户端的源IP地址或者源接口。

<Sysname> display sftp client source

The source IP address of the SFTP client is 192.168.0.1.

The source IPv6 address of the SFTP client is 2:2::2:2.

【相关命令】

·     sftp client ipv6 source

·     sftp client source

1.2.7  display ssh client source

display ssh client source命令用来显示Stelnet客户端的源IP地址。

【命令】

display ssh client source

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【举例】

# 显示Stelnet客户端的源IP地址。

<Sysname> display ssh client source

The source IP address of the SSH client is 192.168.0.1.

The source IPv6 address of the SSH client is 2:2::2:2.

【相关命令】

·     ssh client ipv6 source

·     ssh client source

1.2.8  exit

exit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。

【命令】

exit

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

该命令功能与byequit相同。

【举例】

# 终止与远程SFTP服务器的连接。

sftp> exit

<Sysname>

1.2.9  get

get命令用来从远程SFTP服务器上下载文件并存储在本地。

【命令】

get remote-file [ local-file ]

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

remote-file:远程SFTP服务器上的文件名。

local-file:本地文件名。

【使用指导】

如果没有指定本地文件名,则认为本地保存文件的文件名与服务器上的文件名相同。

【举例】

# 下载远程服务器上的temp1.c文件,并以文件名temp.c在本地保存。

sftp> get temp1.c temp.c

Fetching /temp1.c to temp.c

/temp.c                                                 100% 1424     1.4KB/s   00:00

1.2.10  help

help命令用来显示SFTP客户端命令的帮助信息。

【命令】

help

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

键入和执行help命令的功能相同。

【举例】

# 查看帮助信息。

sftp> help

Available commands:

  bye                          Quit sftp

  cd [path]                    Change remote directory to 'path'

  cdup                         Change remote directory to the parent directory

  delete path                  Delete remote file

  dir [-a|-l][path]            Display remote directory listing

       -a                        List all filenames

       -l                        List filename including the specific

                                 information of the file

  exit                         Quit sftp

  get remote-path [local-path] Download file

  help                         Display this help text

  ls [-a|-l][path]             Display remote directory

       -a                         List all filenames

       -l                         List filename including the specific

                                  information of the file

  mkdir path                   Create remote directory

  put local-path [remote-path] Upload file

  pwd                          Display remote working directory

  quit                         Quit sftp

  rename oldpath newpath       Rename remote file

  remove path                  Delete remote file

  rmdir path                   Delete remote empty directory

  ?                            Synonym for help

1.2.11  ls

ls命令用来显示指定目录下文件及文件夹的信息。

【命令】

ls [ -a | -l ] [ remote-path ]

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以“.”开头的文件及文件夹的详细信息。

-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以“.”开头的文件及文件夹的详细信息。

remote-path:查询的目录名。

【使用指导】

如果没有指定-a-l参数,则显示指定目录下文件及文件夹的名称。

如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息。

该命令功能与dir相同。

【举例】

# 以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以“.”开头的文件及文件夹的详细信息。

sftp> ls -a

drwxrwxrwx    2 1        1               512 Dec 18 14:12 .

drwxrwxrwx    2 1        1               512 Dec 18 14:12 ..

-rwxrwxrwx    1 1        1               301 Dec 18 14:11 010.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 011.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 012.pub

# 以列表的形式显示当前工作目录下文件及文件夹的详细信息。

sftp> ls -l

-rwxrwxrwx    1 1        1               301 Dec 18 14:11 010.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 011.pub

-rwxrwxrwx    1 1        1               301 Dec 18 14:12 012.pub

1.2.12  mkdir

mkdir命令用来在远程SFTP服务器上创建新的目录。

【命令】

mkdir remote-path

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

remote-path:远程SFTP服务器上的目录名。

【举例】

# 在远程SFTP服务器上建立目录test。

sftp> mkdir test

1.2.13  put

put命令用来将本地的文件上传到远程SFTP服务器。

【命令】

put local-file [ remote-file ]

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

local-file:本地的文件名。

remote-file:远程SFTP服务器上的文件名。

【使用指导】

如果没有指定远程服务器上的文件名,则认为服务器上保存文件的文件名与本地的文件名相同。

【举例】

# 将本地startup.bak文件上传到远程SFTP服务器,并以startup01.bak文件名保存。

sftp> put startup.bak startup01.bak

Uploading startup.bak to /startup01.bak

startup01.bak                                   100% 1424     1.4KB/s   00:00

1.2.14  pwd

pwd命令用来显示远程SFTP服务器上的当前工作目录。

【命令】

pwd

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【举例】

# 显示远程SFTP服务器上的当前工作目录。

sftp> pwd

Remote working directory: /

以上显示信息表示当前的工作目录为根目录。

1.2.15  quit

quit命令用来终止与远程SFTP服务器的连接,并退回到用户视图。

【命令】

quit

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

该命令功能与byeexit相同。

【举例】

# 终止与远程SFTP服务器的连接。

sftp> quit

<Sysname>

1.2.16  remove

remove命令用来删除远程SFTP服务器上指定的文件。

【命令】

remove remote-file

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

remote-file:要删除的文件的名称。

【使用指导】

该命令和delete命令相同。

【举例】

# 删除远程SFTP服务器上的文件temp.c。

sftp> remove temp.c

Removing /temp.c

1.2.17  rename

rename命令用来改变远程SFTP服务器上指定的文件或者文件夹的名字。

【命令】

rename old-name new-name

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

old-name:原文件名或者文件夹名。

new-name:新文件名或者文件夹名。

【举例】

# 将远程SFTP服务器上的文件temp1.c改名为temp2.c。

sftp> dir

aa.pub  temp1.c

sftp> rename temp1.c temp2.c

sftp> dir

aa.pub  temp2.c

1.2.18  rmdir

rmdir命令用来删除远程SFTP服务器上指定的目录。

【命令】

rmdir remote-path

【视图】

SFTP客户端视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

remote-path:远程SFTP服务器上的目录名。

【举例】

# 删除SFTP服务器上当前工作目录下的temp1目录。

sftp> rmdir temp1

1.2.19  scp

scp命令用来与远程的SCP服务器建立连接,并进行文件传输。

【命令】

非FIPS模式下:

scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher {  3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96  | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

FIPS模式下:

scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] [ identity-key { ecdsa | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

get:指定下载文件操作。

put:指定上传文件操作。

source-file-name:源文件名称。

destination-file-name:目的文件名称。不指定该参数时,表示使用源文件名称作为目的文件名称。

identity-key:客户端采用的公钥算法。非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。该参数仅当服务器端采用publickey认证时才需要指定。

·     dsa:公钥算法为DSA。

·     ecdsa:公钥算法为ECDSA。

·     rsa:公钥算法为RSA。

·     x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法。

·     x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。

pki-domain domain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。

zlib:压缩算法ZLIB。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctrdes-cbc3des-cbcaes128-cbcaes256-cbcaes128-ctraes192-ctraes256-ctraes128-gcmaes256-gcm算法的安全强度和运算花费时间依次递增。

·     3des-cbc:3DES-CBC加密算法。

·     aes128-cbc:128位的AES-CBC加密算法。

·     aes256-cbc:256位的AES-CBC加密算法。

·     des-cbc:DES-CBC加密算法。

·     aes128-ctr:128位AES-CTR加密算法。

·     aes192-ctr:192位AES-CTR加密算法。

·     aes256-ctr:256位AES-CTR加密算法。

·     aes256-gcm:256位AES-GCM加密算法。

·     aes128-gcm:128位AES-GCM加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256md5-96md5sha1-96sha1sha2-256sha2-512算法的安全强度和运算花费时间依次递增。

·     md5:HMAC算法HMAC-MD5。

·     md5-96:HMAC算法HMAC-MD5-96。

·     sha1:HMAC算法HMAC-SHA1。

·     sha1-96:HMAC算法HMAC-SHA1-96。

·     sha2-256:HMAC算法HMAC-SHA2-256。

·     sha2-512:HMAC算法HMAC-SHA2-512。

prefer-kex:密钥交换首选算法。缺省算法为ecdh-sha2-nistp256dh-group-exchange-sha1dh-group1-sha1dh-group14-sha1ecdh-sha2-nistp256ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。

·     dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

·     dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

·     dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

·     ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

·     ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256

publickey keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。

server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。

·     interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。

·     ip ip-address:指定源IPv4地址。

【使用指导】

当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。

【举例】

# SCP客户端采用publickey认证方式,登录地址为200.1.1.1的远程SCP服务器,下载名为abc.txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:

·     首选密钥交换算法为dh-group14-sha1

·     服务器到客户端的首选加密算法为aes128-cbc

·     客户端到服务器的首选HMAC算法为sha1

·     服务器到客户端的HMAC算法为sha1-96

·     服务器与客户端之间的首选压缩算法为zlib

<Sysname> scp 200.1.1.1 get abc.txt prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey

1.2.20  scp ipv6

scp ipv6命令用来与远程的IPv6 SCP服务器建立连接,并进行文件传输。

【命令】

非FIPS模式下:

scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number  ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

FIPS模式下:

scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number  ] { put | get } source-file-name [ destination-file-name ] [ identity-key { ecdsa | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

-i interface-type interface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号。此参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必需具有链路本地地址。

get:指定下载文件操作。

put:指定上传文件操作。

source-file-name:源文件名称。

destination-file-name:目的文件名称。不指定该参数时,表示使用源文件名称作为目的文件名称。

identity-key:客户端采用的公钥算法。非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。该参数仅当服务器端采用publickey认证时才需要指定。

·     dsa:公钥算法为DSA。

·     ecdsa:公钥算法为ECDSA。

·     rsa:公钥算法为RSA。

·     x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法。

·     x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。

pki-domain domain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。

zlib:压缩算法ZLIB。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctrdes-cbc3des-cbcaes128-cbcaes256-cbcaes128-ctraes192-ctraes256-ctraes128-gcmaes256-gcm算法的安全强度和运算花费时间依次递增。

·     3des-cbc:3DES-CBC加密算法。

·     aes128-cbc:128位的AES-CBC加密算法。

·     aes256-cbc:256位的AES-CBC加密算法。

·     des-cbc:DES-CBC加密算法。

·     aes128-ctr:128位AES-CTR加密算法。

·     aes192-ctr:192位AES-CTR加密算法。

·     aes256-ctr:256位AES-CTR加密算法。

·     aes256-gcm:256位AES-GCM加密算法。

·     aes128-gcm:128位AES-GCM加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256md5-96、md5sha1-96sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增。

·     md5:HMAC算法HMAC-MD5。

·     md5-96:HMAC算法HMAC-MD5-96。

·     sha1:HMAC算法HMAC-SHA1。

·     sha1-96:HMAC算法HMAC-SHA1-96。

·     sha2-256:HMAC算法HMAC-SHA2-256。

·     sha2-512:HMAC算法HMAC-SHA2-512。

prefer-kex:密钥交换首选算法。缺省算法为ecdh-sha2-nistp256dh-group-exchange-sha1dh-group1-sha1dh-group14-sha1ecdh-sha2-nistp256ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。

·     dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

·     dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

·     dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

·     ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

·     ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256

publickey keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。

server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IP地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。

·     interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IP地址。

·     ipv6 ipv6-address:指定源IPv6地址。

【使用指导】

当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。

【举例】

# SCP客户端采用publickey认证方式,登录地址为2000::1的远程SCP服务器,下载名为abc.txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:

·     首选密钥交换算法为dh-group14-sha1

·     服务器到客户端的首选加密算法为aes128-cbc

·     客户端到服务器的首选HMAC算法为sha1

·     服务器到客户端的HMAC算法为sha1-96

·     服务器与客户端之间的首选压缩算法为zlib

<Sysname> scp ipv6 2000::1 get abc.txt prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey

1.2.21  scp ipv6 suite-b

scp ipv6 suite-b命令用来与远程的IPv6 SCP服务器建立基于Suite B算法集的连接,并进行文件传输。

【命令】

scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [-i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

-i interface-type interface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号。本参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必须具有链路本地地址。

get:指定下载文件操作。

put:指定上传文件操作。

source-file-name:源文件名称。

destination-file-name:目的文件名称。若未指定本参数,则表示使用源文件名称作为目的文件名称。

suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。

128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。

pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。

zlib:压缩算法ZLIB。

source:指定与服务器通信的源IPv6地址或者源接口。缺省情况下,设备根据RFC 3484的规则自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IPv6地址。

Ipv6 ipv6-address:指定源IPv6地址。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256

·     服务器到客户端的加密算法为AEAD_AES_128_GCM

·     客户端到服务器的加密算法为AEAD_AES_128_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_128_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_128_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端采用安全级别为192-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp384

·     服务器到客户端的加密算法为AEAD_AES_256_GCM

·     客户端到服务器的加密算法为AEAD_AES_256_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_256_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_256_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp384

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256ecdh-sha2-nistp384

·     服务器到客户端的加密算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     客户端到服务器的加密算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。

【举例】

# SCP客户端采用安全级别为192-bit的Suite B算法集,与登录地址为2000::1的远程SCP服务器建立连接,下载名为abc.txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> scp ipv6 2000::1 get abc.txt suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

1.2.22  scp suite-b

scp suite-b命令用来与远程的SCP服务器建立基于Suite B算法集的连接,并进行文件传输。

【命令】

scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ip ip-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

get:指定下载文件操作。

put:指定上传文件操作。

source-file-name:源文件名称。

destination-file-name:目的文件名称。若未指定本参数,则表示使用源文件名称作为目的文件名称。

suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。

128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。

pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。

zlib:压缩算法ZLIB。

source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。

ip ip-address:指定源IPv4地址。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256

·     服务器到客户端的加密算法为AEAD_AES_128_GCM

·     客户端到服务器的加密算法为AEAD_AES_128_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_128_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_128_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端采用安全级别为192-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp384

·     服务器到客户端的加密算法为AEAD_AES_256_GCM

·     客户端到服务器的加密算法为AEAD_AES_256_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_256_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_256_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp384

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SCP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256ecdh-sha2-nistp384

·     服务器到客户端的加密算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     客户端到服务器的加密算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。

【举例】

# SCP客户端采用安全级别为128-bit的Suite B算法集,与登录地址为200.1.1.1的远程SCP服务器建立连接,下载名为abc.txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> scp 200.1.1.1 get abc.txt suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

1.2.23  sftp

sftp命令用来与远程IPv4 SFTP服务器建立连接,并进入SFTP客户端视图。

【命令】

非FIPS模式下:

sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

FIPS模式下:

sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

identity-key:客户端采用的公钥算法。非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。该参数仅当服务器端采用publickey认证时才需要指定。

·     dsa:公钥算法为DSA。

·     ecdsa:公钥算法为ECDSA。

·     rsa:公钥算法为RSA。

·     x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法。

·     x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。

pki-domain domain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。

zlib:压缩算法ZLIB。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctrdes-cbc3des-cbcaes128-cbcaes256-cbcaes128-ctraes192-ctraes256-ctraes128-gcmaes256-gcm算法的安全强度和运算花费时间依次递增。

·     3des-cbc:3DES-CBC加密算法。

·     aes128-cbc:128位的AES-CBC加密算法。

·     aes256-cbc:256位的AES-CBC加密算法。

·     des-cbc:DES-CBC加密算法。

·     aes128-ctr:128位AES-CTR加密算法。

·     aes192-ctr:192位AES-CTR加密算法。

·     aes256-ctr:256位AES-CTR加密算法。

·     aes256-gcm:256位AES-GCM加密算法。

·     aes128-gcm:128位AES-GCM加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256md5-96、md5sha1-96sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增。

·     md5:HMAC算法HMAC-MD5。

·     md5-96:HMAC算法HMAC-MD5-96。

·     sha1:HMAC算法HMAC-SHA1。

·     sha1-96:HMAC算法HMAC-SHA1-96。

·     sha2-256:HMAC算法HMAC-SHA2-256。

·     sha2-512:HMAC算法HMAC-SHA2-512。

prefer-kex:密钥交换首选算法。缺省算法为ecdh-sha2-nistp256 dh-group-exchange-sha1dh-group1-sha1dh-group14-sha1ecdh-sha2-nistp256ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。

·     dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

·     dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

·     dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

·     ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

·     ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256

dscp dscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

publickey keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。

server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IP地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。

·     interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将采用该接口的主IPv4地址作为发送报文的源IP地址。

·     ip ip-address:指定源IPv4地址。

【使用指导】

当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。

【举例】

# SFTP客户端采用publickey认证方式,连接IP地址为10.1.1.2的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:

·     首选密钥交换算法为dh-group14-sha1

·     服务器到客户端的首选加密算法为aes128-cbc

·     客户端到服务器的首选HMAC算法为sha1

·     服务器到客户端的HMAC算法为sha1-96

·     服务器与客户端之间的首选压缩算法为zlib

<Sysname> sftp 10.1.1.2 prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey

1.2.24  sftp client ipv6 source

sftp client ipv6 source命令用来为配置SFTP客户端发送SFTP报文使用的源IPv6地址。

undo sftp client ipv6 source命令用来恢复缺省情况。

【命令】

sftp client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }

undo sftp client ipv6 source

【缺省情况】

未配置SFTP客户端使用的源IPv6地址,SFTP客户端发送SFTP报文使用的源IPv6地址为设备路由指定的SFTP报文出接口的IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。

ipv6 ipv6-address:指定源IPv6地址。

【使用指导】

·     多次执行本命令,最新配置生效。

·     使用该命令指定了源地址后,若SFTP用户使用sftp ipv6命令登录时又指定了源地址,则采用sftp ipv6命令中指定的源地址。

·     sftp client ipv6 source命令指定的源地址对所有的SFTP连接有效,sftp ipv6命令指定的源地址只对当前的SFTP连接有效。

【举例】

# 指定SFTP客户端发送SFTP报文使用的源IPv6地址为2:2::2:2。

 

<Sysname> system-view

[Sysname] sftp client ipv6 source ipv6 2:2::2:2

【相关命令】

·     display sftp client source

1.2.25  sftp client source

sftp client source命令用来配置SFTP客户端发送SFTP报文使用的源IPv4地址。

undo sftp client source命令用来恢复缺省情况。

【命令】

sftp client source { interface interface-type interface-number | ip ip-address }

undo sftp client source

【缺省情况】

SFTP客户端使用设备路由指定的接口地址访问SFTP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:指定接口的主IP地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。

ip ip-address:指定源IP地址。

【使用指导】

·     多次执行本命令,最新配置生效。

·     使用该命令指定了源地址后,若SFTP用户使用sftp命令登录时又指定了源地址,则采用sftp命令中指定的源地址。

·     sftp client source命令指定的源地址对所有的SFTP连接有效,sftp命令指定的源地址只对当前的SFTP连接有效。

【举例】

# 指定SFTP客户端发送SFTP报文使用的源IP地址为192.168.0.1。

<Sysname> system-view

[Sysname] sftp client source ip 192.168.0.1

【相关命令】

·     display sftp client source

1.2.26  sftp ipv6

sftp ipv6命令用来建立SFTP客户端和与远程IPv6 SFTP服务器建立连接,并进入SFTP客户端视图。

【命令】

非FIPS模式下:

sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

FIPS模式下:

sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { ecdsa | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

-i interface-type interface-number:客户端连接服务器时使用的出接口。其中,interface-type interface-number表示接口类型和接口编号。本参数仅在客户端所连接的服务器的地址是链路本地地址时使用。指定的出接口必须具有链路本地地址。

identity-key:客户端采用的公钥算法。非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。该参数仅当服务器端采用publickey认证时才需要指定。

·     dsa:公钥算法为DSA。

·     ecdsa:公钥算法为ECDSA。

·     rsa:公钥算法为RSA。

·     x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法。

·     x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。

pki-domain domain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。

zlib:压缩算法ZLIB。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctrdes-cbc3des-cbcaes128-cbcaes256-cbcaes128-ctraes192-ctraes256-ctraes128-gcmaes256-gcm算法的安全强度和运算花费时间依次递增。

·     3des-cbc:3DES-CBC加密算法。

·     aes128-cbc:128位的AES-CBC加密算法。

·     aes256-cbc:256位的AES-CBC加密算法。

·     des-cbc:DES-CBC加密算法。

·     aes128-ctr:128位AES-CTR加密算法。

·     aes192-ctr:192位AES-CTR加密算法。

·     aes256-ctr:256位AES-CTR加密算法。

·     aes256-gcm:256位AES-GCM加密算法。

·     aes128-gcm:128位AES-GCM加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256md5-96、md5sha1-96sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增。

·     md5:HMAC算法HMAC-MD5。

·     md5-96:HMAC算法HMAC-MD5-96。

·     sha1:HMAC算法HMAC-SHA1。

·     sha1-96:HMAC算法HMAC-SHA1-96。

·     sha2-256:HMAC算法HMAC-SHA2-256。

·     sha2-512:HMAC算法HMAC-SHA2-512。

prefer-kex:密钥交换首选算法。缺省算法为ecdh-sha2-nistp256 dh-group-exchange-sha1dh-group1-sha1dh-group14-sha1ecdh-sha2-nistp256ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。

·     dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

·     dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

·     dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

·     ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

·     ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256

dscp dscp-value:指定客户端发送的IPv6 SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Trafic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

publickey keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。

server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。

·     interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IP地址。

·     ipv6 ipv6-address:指定源IPv6地址。

【使用指导】

当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。

【举例】

# SFTP客户端采用publickey认证方式,连接IPv6地址为2000::1的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:

·     首选密钥交换算法为dh-group14-sha1

·     服务器到客户端的首选加密算法为aes128-cbc

·     客户端到服务器的首选HMAC算法为sha1

·     服务器到客户端的HMAC算法为sha1-96

·     服务器与客户端之间的首选压缩算法为zlib

<Sysname> sftp ipv6 2000::1 prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey

Username:

1.2.27  sftp ipv6 suite-b

sftp ipv6 suite-b命令用来与远程的IPv6 SFTP服务器建立基于Suite B算法集的连接,并进入SFTP客户端视图。

【命令】

sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [-i interface-type interface-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

-i interface-type interface-number:客户端连接服务器时使用的出接口。其中,interface-type interface-number表示接口类型和接口编号。本参数仅在客户端所连接的服务器的地址是链路本地地址时使用。指定的出接口必须具有链路本地地址。

suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。

128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。

pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。

zlib:压缩算法ZLIB。

dscp dscp-value:指定客户端发送的IPv6 SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

source:指定与服务器通信的源IPv6地址或者源接口。缺省情况下,设备根据RFC 3484的规则自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IPv6地址。

Ipv6 ipv6-address:指定源IPv6地址。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256

·     服务器到客户端的加密算法为AEAD_AES_128_GCM

·     客户端到服务器的加密算法为AEAD_AES_128_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_128_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_128_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端采用安全级别为192-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp384

·     服务器到客户端的加密算法为AEAD_AES_256_GCM

·     客户端到服务器的加密算法为AEAD_AES_256_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_256_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_256_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp384

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256ecdh-sha2-nistp384

·     服务器到客户端的加密算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     客户端到服务器的加密算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。

【举例】

# SFTP客户端采用安全级别为192-bit的Suite B算法集,与登录地址为2000::1的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> sftp ipv6 2000::1 suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

1.2.28  sftp suite-b

sftp suite-b命令用来与远程的IPv4 SFTP服务器建立基于Suite B算法集的连接,并进入SFTP客户端视图。

【命令】

sftp server [ port-number ] [ vpn-instance vpn-instance-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ip ip-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。

128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。

pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。

zlib:压缩算法ZLIB。

dscp dscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。

ip ip-address:指定源IPv4地址。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256

·     服务器到客户端的加密算法为AEAD_AES_128_GCM

·     客户端到服务器的加密算法为AEAD_AES_128_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_128_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_128_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端采用安全级别为192-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp384

·     服务器到客户端的加密算法为AEAD_AES_256_GCM

·     客户端到服务器的加密算法为AEAD_AES_256_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_256_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_256_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp384

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SFTP服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256ecdh-sha2-nistp384

·     服务器到客户端的加密算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     客户端到服务器的加密算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。

【举例】

# SFTP客户端采用安全级别为128-bit的Suite B算法集,与登录地址为10.1.1.2的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> sftp 10.1.1.2 suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

1.2.29  ssh client ipv6 source

ssh client ipv6 source命令用来配置Stelnet客户端发送SSH报文使用的源IPv6地址。

undo ssh client ipv6 source命令用来恢复缺省情况。

【命令】

ssh client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }

undo ssh client ipv6 source

【缺省情况】

Stelnet客户端发送SSH报文使用的源IPv6地址为设备自动选择IPv6 SSH报文的源IPv6地址,具体选择原则请参见RFC 3484。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。

ipv6 ipv6-address:指定源IPv6地址。

【使用指导】

·     多次执行本命令,最新配置生效。

·     使用该命令指定了源地址后,若SSH用户使用ssh2 ipv6命令登录时又指定了源地址,则采用ssh2 ipv6命令中指定的源地址。

·     ssh client ipv6 source命令指定的源地址对所有的IPv6 Stelnet连接有效,ssh2 ipv6命令指定的源地址只对当前的Stelnet连接有效。

【举例】

# 指定Stelnet客户端发送SSH报文使用的源IPv6地址为2:2::2:2。

<Sysname> system-view

[Sysname] ssh client ipv6 source ipv6 2:2::2:2

【相关命令】

·     display ssh client source

1.2.30  ssh client source

ssh client source命令用来配置Stelnet客户端发送SSH报文使用的源IPv4地址。

undo ssh client source命令用来恢复缺省情况。

【命令】

ssh client source { interface interface-type interface-number | ip ip-address }

undo ssh client source

【缺省情况】

Stelnet客户端发送SSH报文使用的源IPv4地址为设备路由指定的SSH报文出接口的主IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:指定接口的主IP地址作为源地址。interface-type interface-number表示源接口类型与源接口编号。

ip ip-address:指定源IPv4地址。

【使用指导】

·     多次执行本命令,最新配置生效。

·     使用该命令指定了源地址后,若SSH用户使用ssh2命令登录时又指定了源地址,则采用ssh2命令中指定的源地址。

·     ssh client source命令指定的源地址对所有的Stelnet连接有效,ssh2命令指定的源地址只对当前的Stelnet连接有效。

【举例】

# 指定Stelnet客户端发送SSH报文使用的源IPv4地址为192.168.0.1。

<Sysname> system-view

[Sysname] ssh client source ip 192.168.0.1

【相关命令】

·     display ssh client source

1.2.31  ssh2

ssh2命令用来建立Stelnet客户端和IPv4 Stelnet服务器端的连接。

【命令】

非FIPS模式下:

ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | ecdsa | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

FIPS模式下:

ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { ecdsa | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

identity-key:客户端采用的公钥算法。非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。该参数仅当服务器端采用publickey认证时才需要指定。

·     dsa:公钥算法为DSA。

·     ecdsa:公钥算法为ECDSA。

·     rsa:公钥算法为RSA。

·     x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法。

·     x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。

pki-domain domain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。

zlib:压缩算法ZLIB。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctrdes-cbc3des-cbcaes128-cbcaes256-cbcaes128-ctraes192-ctraes256-ctraes128-gcmaes256-gcm算法的安全强度和运算花费时间依次递增。

·     3des-cbc:3DES-CBC加密算法。

·     aes128-cbc:128位的AES-CBC加密算法。

·     aes256-cbc:256位的AES-CBC加密算法。

·     des-cbc:DES-CBC加密算法。

·     aes128-ctr:128位AES-CTR加密算法。

·     aes192-ctr:192位AES-CTR加密算法。

·     aes256-ctr:256位AES-CTR加密算法。

·     aes256-gcm:256位AES-GCM加密算法。

·     aes128-gcm:128位AES-GCM加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256md5-96、md5sha1-96sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增。

·     md5:HMAC算法HMAC-MD5。

·     md5-96:HMAC算法HMAC-MD5-96。

·     sha1:HMAC算法HMAC-SHA1。

·     sha1-96:HMAC算法HMAC-SHA1-96。

·     sha2-256:HMAC算法HMAC-SHA2-256。

·     sha2-512:HMAC算法HMAC-SHA2-512。

prefer-kex:密钥交换首选算法。缺省算法为ecdh-sha2-nistp256 dh-group-exchange-sha1dh-group1-sha1dh-group14-sha1ecdh-sha2-nistp256ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。

·     dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

·     dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

·     dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

·     ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

·     ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256

dscp dscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

escape character:指定一个退出字符,该退出字符与字符“.”配合使用可以强制断开客户端与服务器的连接。缺省情况下,输入“~.”可以强制断开与服务端的连接。

publickey keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。

server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

source:指定与服务器通信的源IP地址或者源接口。缺省情况下,报文源IP地址为根据路由查找的发送报文的出接口的主IP地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。

·     interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将采用该接口的主IPv4地址作为发送报文的源IP地址。

·     ip ip-address:指定源IPv4地址。

【使用指导】

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。

当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。

当客户端登录到服务器端后,可以通过输入退出字符加字符“.”的方式快速断开当前连接(这种方式通常用于在服务器重启或发生异常的情况下,快速中断当前连接)。退出字符默认为“~”,可以通过escape参数修改。

需要注意的是:

·     必须在一行中首先输入退出字符加字符“.”,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。

·     一般情况下,建议使用缺省退出字符,避免将登录用户名中的字符指定为退出字符。

【举例】

# Stelnet客户端采用publickey认证方式,登录地址为3.3.3.3的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:

·     首选密钥交换算法为dh-group14-sha1

·     服务器到客户端的首选加密算法为aes128-cbc

·     客户端到服务器的首选HMAC算法为sha1

·     服务器到客户端的HMAC算法为sha1-96

·     服务器与客户端之间的首选压缩算法为zlib

·     输入“$.”时强制断开客户端和服务端的连接。

<Sysname> ssh2 3.3.3.3 prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey escape $

1.2.32  ssh2 ipv6

ssh2 ipv6命令用来建立Stelnet客户端和IPv6 Stelnet服务器端的连接。

【命令】

非FIPS模式下:

ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

FIPS模式下:

ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { ecdsa | rsa  | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

-i interface-type interface-number:客户端连接服务器时使用的出接口。其中,interface-type interface-number表示接口类型和接口编号。本参数仅在客户端所连接的服务器的地址是链路本地地址时使用。指定的出接口必须具有链路本地地址。

identity-key:客户端采用的公钥算法。非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa。该参数仅当服务器端采用publickey认证时才需要指定。

·     dsa:公钥算法为DSA。

·     ecdsa:公钥算法为ECDSA。

·     rsa:公钥算法为RSA。

·     x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法。

·     x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法。

pki-domain domain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩。

zlib:压缩算法ZLIB。

prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctrdes-cbc3des-cbcaes128-cbcaes256-cbcaes128-ctraes192-ctraes256-ctraes128-gcmaes256-gcm算法的安全强度和运算花费时间依次递增。

·     3des-cbc:3DES-CBC加密算法。

·     aes128-cbc:128位的AES-CBC加密算法。

·     aes256-cbc:256位的AES-CBC加密算法。

·     des-cbc:DES-CBC加密算法。

·     aes128-ctr:128位AES-CTR加密算法。

·     aes192-ctr:192位AES-CTR加密算法。

·     aes256-ctr:256位AES-CTR加密算法。

·     aes256-gcm:256位AES-GCM加密算法。

·     aes128-gcm:128位AES-GCM加密算法。

prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256md5-96、md5sha1-96sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增。

·     md5:HMAC算法HMAC-MD5。

·     md5-96:HMAC算法HMAC-MD5-96。

·     sha1:HMAC算法HMAC-SHA1。

·     sha1-96:HMAC算法HMAC-SHA1-96。

·     sha2-256:HMAC算法HMAC-SHA2-256。

·     sha2-512:HMAC算法HMAC-SHA2-512。

prefer-kex:密钥交换首选算法。缺省算法为ecdh-sha2-nistp256 dh-group-exchange-sha1dh-group1-sha1dh-group14-sha1ecdh-sha2-nistp256ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。

·     dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

·     dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

·     dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

·     ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

·     ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr

prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256

dscp dscp-value:指定客户端发送的IPv6 SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Trafic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

escape character:指定一个退出字符,该退出字符与字符“.”配合使用可以强制断开客户端与服务器的连接。缺省情况下,输入“~.”可以强制断开与服务端的连接。

publickey keyname:指定服务器端的主机公钥,用于验证服务器端的身份。其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写。

server-pki-domain domain-name:指定验证服务端证书的PKI域。其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。

·     interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IP地址。

·     ipv6 ipv6-address:指定源IPv6地址。

【使用指导】

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。

当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。

当客户端登录到服务器端后,可以通过输入退出字符加字符“.”的方式快速断开当前连接(这种方式通常用于在服务器重启或发生异常的情况下,快速中断当前连接)。退出字符默认为“~”,可以通过escape参数修改。

需要注意的是:

·     必须在一行中首先输入退出字符加字符“.”,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。

·     一般情况下,建议使用缺省退出字符,避免将登录用户名中的字符指定为退出字符。

【举例】

# SSH客户端采用publickey认证方式,登录地址为2000::1的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:

·     首选密钥交换算法为dh-group14-sha1

·     服务器到客户端的首选加密算法为aes128-cbc

·     客户端到服务器的首选HMAC算法为sha1

·     服务器到客户端的HMAC算法为sha1-96

·     服务器与客户端之间的首选压缩算法为zlib

·     输入“$.”时强制断开客户端和服务端的连接。

<Sysname> ssh2 ipv6 2000::1 prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey escape $

1.2.33  ssh2 ipv6 suite-b

ssh2 ipv6 suite-b命令用来与远程的IPv6 Stelnet服务器建立基于Suite B算法集的连接。

【命令】

ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

-i interface-type interface-number:客户端连接服务器时使用的出接口。其中,interface-type interface-number表示接口类型和接口编号。本参数仅在客户端所连接的服务器的地址是链路本地地址时使用。指定的出接口必须具有链路本地地址。

suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。

128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。

pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。

zlib:压缩算法ZLIB。

dscp dscp-value:指定客户端发送的IPv6 SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IPv6报文中的Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

escape character:指定退出字符,该退出字符与字符.配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接)。character为一个字符,区分大小写,缺省为~,即输入~.可以强制断开与服务端的连接。

source:指定与服务器通信的源IPv6地址或者源接口。缺省情况下,设备根据RFC 3484的规则自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IPv6地址。

Ipv6 ipv6-address:指定源IPv6地址。

关于退出字符的使用,需要注意的是:

·     必须在一行中首先输入退出字符和.,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。

·     一般情况下,建议使用缺省退出字符,避免退出字符和.的组合与登录用户名相同。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256

·     服务器到客户端的加密算法为AEAD_AES_128_GCM

·     客户端到服务器的加密算法为AEAD_AES_128_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_128_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_128_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端采用安全级别为192-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp384

·     服务器到客户端的加密算法为AEAD_AES_256_GCM

·     客户端到服务器的加密算法为AEAD_AES_256_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_256_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_256_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp384

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256ecdh-sha2-nistp384

·     服务器到客户端的加密算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     客户端到服务器的加密算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。

【举例】

# SSH客户端采用安全级别为192-bit的Suite B算法集,与登录地址为2000::1的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> ssh2 ipv6 2000::1 suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

1.2.34  ssh2 suite-b

ssh2 suite-b命令用来与远程的IPv4 Stelnet服务器建立基于Suite B算法集的连接。

【命令】

ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ip ip-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写。

port-number:服务器端口号,取值范围为1~65535,缺省值为22。

vpn-instance vpn-instance-name:服务器所属的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

suite-b:指定采用Suite B算法集。若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集。

128-bit:指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit:指定客户端采用安全级别为192-bit的Suite B算法集。

pki-domain domain-name:配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

server-pki-domain domain-name:配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证。

prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩。

zlib:压缩算法ZLIB。

dscp dscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48。DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

escape character:指定退出字符,该退出字符与字符.配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接)。character为一个字符,区分大小写,缺省为~,即输入~.可以强制断开与服务端的连接。

source:指定与服务器通信的源IP地址或者源接口。缺省情况下,设备根据路由表项自动选择一个源IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址。

interface interface-type interface-number:指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。

ip ip-address:指定源IPv4地址。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256

·     服务器到客户端的加密算法为AEAD_AES_128_GCM

·     客户端到服务器的加密算法为AEAD_AES_128_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_128_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_128_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端采用安全级别为192-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp384

·     服务器到客户端的加密算法为AEAD_AES_256_GCM

·     客户端到服务器的加密算法为AEAD_AES_256_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_256_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_256_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp384

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的Stelnet服务器建立连接时,客户端算法要求:

·     密钥交换算法为ecdh-sha2-nistp256ecdh-sha2-nistp384

·     服务器到客户端的加密算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     客户端到服务器的加密算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     服务器到客户端的HMAC算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     客户端到服务器的HMAC算法为AEAD_AES_128_GCMAEAD_AES_256_GCM

·     主机公钥算法为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384

当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥。

关于退出字符的使用,需要注意的是:

·     必须在一行中首先输入退出字符和.,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效。

·     一般情况下,建议使用缺省退出字符,避免退出字符和.的组合与登录用户名相同。

【举例】

# Stelnet客户端采用128-bit的Suite B算法集,与登录地址为3.3.3.3的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> ssh2 3.3.3.3 suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

1.3  SSH2协议配置命令

1.3.1  display ssh2 algorithm

display ssh2 algorithm命令用来显示设备上配置的SSH2协议使用的算法优先列表。

【命令】

display ssh2 algorithm

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【举例】

# 显示设备上配置的SSH2协议使用的算法优先列表。

<Sysname> display ssh2 algorithm

Key exchange algorithms: dh-group-exchange-sha1 dh-group14-sha1 dh-group1-sha1

Public key algorithms: dsa rsa ecdsa

Encryption algorithms: aes128-cbc 3des-cbc des-cbc aes256-cbc

MAC algorithms: sha1 md5 md5-96 sha1-96

表1-4 display ssh2 algorithm命令显示信息描述表

字段

描述

Key exchange algorithms

按优先级前后顺序显示当前使用的密钥交换算法列表

Public key algorithms

按优先级前后顺序显示当前使用的主机算法列表

Encryption algorithms

按优先级前后顺序显示当前使用的加密算法列表

MAC algorithms

按优先级前后顺序显示当前使用的MAC算法列表

 

【相关命令】

·     ssh2 algorithm key-exchange

·     ssh2 algorithm public-key

·     ssh2 algorithm cipher

·     ssh2 algorithm mac

1.3.2  ssh2 algorithm cipher

ssh2 algorithm cipher命令用来配置SSH2协议使用的加密算法列表。

undo ssh2 algorithm cipher命令用来恢复缺省情况。

【命令】

非FIPS模式下:

ssh2 algorithm cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } *

undo ssh2 algorithm cipher

FIPS模式下:

ssh2 algorithm cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } *

undo ssh2 algorithm cipher

【缺省情况】

SSH2协议采用的缺省加密算法从高到底的优先级列表为aes128-ctraes192-ctraes256-ctraes128-gcmaes256-gcmaes128-cbc3des-cbcaes256-cbcdes-cbc

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

3des-cbc:3DES-CBC加密算法。

aes128-cbc:128位AES-CBC加密算法。

aes256-cbc:256位AES-CBC加密算法。

des-cbc:DES-CBC加密算法。

aes128-ctr:128位AES-CTR加密算法。

aes192-ctr:192位AES-CTR加密算法。

aes256-ctr:256位AES-CTR加密算法。

aes256-gcm:256位AES-GCM加密算法。

aes128-gcm:128位AES-GCM加密算法。

【使用指导】

当设备运行环境要求SSH2只能采用特定加密算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的加密算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。

【举例】

# 配置SSH2协议所使用的加密算法为3des-cbc。

<Sysname> system-view

[Sysname] ssh2 algorithm cipher 3des-cbc

【相关命令】

·     display ssh2 algorithm

·     ssh2 algorithm key-exchange

·     ssh2 algorithm mac

·     ssh2 algorithm public-key

1.3.3  ssh2 algorithm key-exchange

ssh2 algorithm key-exchange命令用来配置SSH2协议使用的密钥交换算法列表。

undo ssh2 algorithm key-exchange命令用来恢复缺省情况。

【命令】

非FIPS模式下:

ssh2 algorithm key-exchange { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *

undo ssh2 algorithm key-exchange

FIPS模式下:

ssh2 algorithm key-exchange { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *

undo ssh2 algorithm key-exchange

【缺省情况】

SSH2协议采用的缺省密钥交换算法从高到底的优先级列表为ecdh-sha2-nistp256ecdh-sha2-nistp384dh-group-exchange-sha1dh-group14-sha1dh-group1-sha1

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1。

dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1。

dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1。

ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256。

ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384。

【使用指导】

当设备运行环境要求SSH2只能采用特定密钥交换算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的密钥交换算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。

【举例】

# 配置SSH2协议所使用的密钥交换算法为dh-group1-sha1。

<Sysname> system-view

[Sysname] ssh2 algorithm key-exchange dh-group1-sha1

【相关命令】

·     display ssh2 algorithm

·     ssh2 algorithm cipher

·     ssh2 algorithm mac

·     ssh2 algorithm public-key

1.3.4  ssh2 algorithm mac

ssh2 algorithm mac命令用来配置SSH2协议使用的MAC算法列表。

undo ssh2 algorithm mac命令用来恢复缺省情况。

【命令】

非FIPS模式下:

ssh2 algorithm mac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } *

undo ssh2 algorithm mac

FIPS模式下:

ssh2 algorithm mac { sha1 | sha1-96 | sha2-256 | sha2-512 } *

undo ssh2 algorithm mac

【缺省情况】

SSH2协议使用的缺省MAC算法从高到底的优先级列表为sha2-256sha2-512、sha1md5sha1-96md5-96

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

md5:HMAC算法HMAC-MD5。

md5-96:HMAC算法HMAC-MD5-96。

sha1:HMAC算法HMAC-SHA1。

sha1-96:HMAC算法HMAC-SHA1-96。

sha2-256:HMAC算法HMAC-SHA2-256。

sha2-512:HMAC算法HMAC-SHA2-512。

【使用指导】

当设备运行环境要求SSH2只能采用特定MAC算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的MAC算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。

【举例】

# 配置SSH2协议所使用的MAC算法为md5。

<Sysname> system-view

[Sysname] ssh2 algorithm mac md5

【相关命令】

·     display ssh2 algorithm

·     ssh2 algorithm cipher

·     ssh2 algorithm key-exchange

·     ssh2 algorithm public-key

1.3.5  ssh2 algorithm public-key

ssh2 algorithm public-key命令用来配置SSH2协议使用的主机签名算法列表。

undo ssh2 algorithm public-key命令用来恢复缺省情况。

【命令】

非FIPS模式下:

ssh2 algorithm public-key { dsa | ecdsa | rsa | x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } *

undo ssh2 algorithm public-key

FIPS模式下:

ssh2 algorithm public-key { ecdsa | rsa | x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } *

undo ssh2 algorithm public-key

【缺省情况】

SSH2协议使用的缺省主机签名算法从高到底的优先级列表为x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384ecdsarsadsa

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

dsa:公钥算法为DSA。

ecdsa:公钥算法为ECDSA。

rsa:公钥算法为RSA。

x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256证书算法。

x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384证书算法。

【使用指导】

当设备运行环境要求SSH2只能采用特定主机签名算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的主机签名算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。

【举例】

# 配置SSH2协议所使用的主机签名算法为dsa

<Sysname> system-view

[Sysname] ssh2 algorithm public-key dsa

【相关命令】

·     display ssh2 algorithm

·     ssh2 algorithm cipher

·     ssh2 algorithm key-exchange

·     ssh2 algorithm mac

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们