- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
35-SSH终端服务命令
本章节下载 (331.24 KB)
目 录
1.1.1 display rsa local-key-pair public
1.1.2 display rsa peer-public-key
1.1.5 display ssh user-information
1.1.7 display ssh-server source-ip
1.1.12 rsa local-key-pair create
1.1.13 rsa local-key-pair destroy
1.1.15 rsa peer-public-key import sshkey
1.1.16 ssh authentication-type default
1.1.17 ssh client assign rsa-key
1.1.18 ssh client first-time enable
1.1.19 ssh server authentication-retries
1.1.20 ssh server compatible-ssh1x enable
1.1.21 ssh server rekey-interval
1.1.24 ssh user assign rsa-key
1.1.25 ssh user authentication-type
1.1.29 ssh-server source-interface
【命令】
display rsa local-key-pair public
【视图】
任意视图
【参数】
无
【描述】
display rsa local-key-pair public命令用来显示服务器端主机密钥对的公钥部分,如果没有生成密钥,则提示“% RSA Keys not found.”。
相关配置可参考命令rsa local-key-pair create。
【举例】
# 显示服务器端主机密钥对的公钥部分。
<H3C> display rsa local-key-pair public
=====================================================
Time of Key pair created: 20:08:35 2000/04/02
Key name: H3C_Host
Key type: RSA encryption Key
=====================================================
Key code:
3047
0240
DE99B540 87B666B9 69C948CD BBCC2B60 997F9C18
9AA6651C 6066EF76 242DEAD1 DEFEA162 61677BD4
1A7BFAE7 668EDAA9 FB048C37 A0F1354D 5798C202
2253F4F5
0203
010001
Host public key for PEM format code:
---- BEGIN SSH2 PUBLIC KEY ----
AAAAB3NzaC1yc2EAAAADAQABAAAAQQDembVAh7ZmuWnJSM27zCtgmX+cGJqmZRxg
Zu92JC3q0d7+oWJhZ3vUGnv652aO2qn7BIw3oPE1TVeYwgIiU/T1
---- END SSH2 PUBLIC KEY ----
Public key code for pasting into OpenSSH authorized_keys file :
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAQQDembVAh7ZmuWnJSM27zCtgmX+cGJqmZRxgZu92JC3q
0d7+oWJhZ3vUGnv652aO2qn7BIw3oPE1TVeYwgIiU/T1 rsa-key
=====================================================
Time of Key pair created: 20:08:46 2000/04/02
Key name: H3C_Server
Key type: RSA encryption Key
=====================================================
Key code:
3067
0260
D6D70AE4 D2A900BE AC21B4E7 617CBEFA 2BAED61F
B637070C 093F43AF 9DB9D644 BCD921EF D056EF36
26825C2A 1FC0EFC3 E27B5110 3F20F790 6C83274B
D0FC303F 51072D6C B5D0054D 3673EBA0 A4748984
5EBF6EBE CF6A13B1 C7858241 A2A9AA79
0203
010001
& 说明:
配置rsa local-key-pair create命令后:
l 当交换机工作在兼容SSH1.x模式下时,使用display rsa local-key-pair public命令时会显示两个公钥,包括H3C_Host和H3C_Server;
l 当交换机工作在SSH2.0模式时,使用display rsa local-key-pair public命令只显示一个公钥,即H3C_Host。
【命令】
display rsa peer-public-key [ brief | name keyname ]
【视图】
任意视图
【参数】
brief:显示所有客户端公钥的简明信息。
keyname:客户端的公钥名称,是一个长度为1~64个字符的字符串。
【描述】
display rsa peer-public-key命令用来显示客户端的指定RSA密钥对的公钥部分,如果没有指定密钥名称,则显示所有的客户端公钥。
注意:
通过display rsa peer-public-key命令显示用户公钥模数的大小有时会比实际公钥模数小1位。这是由于生成密钥对时,实际生成的密钥对可能会比所设置的密钥对位数小1位所造成的。例如,生成一个1024位的密钥对,但实际可能生成位数为1024或1023,这也是正确的。
【举例】
# 显示客户端上所有的公钥信息。
<H3C> display rsa peer-public-key brief
Address Bits Name
---------------------------
1023 abcd
1024 hq
# 显示客户端上名称为abcd的公钥信息。
<H3C> display rsa peer-public-key name abcd
=====================================
Key name: abcd
Key address:
=====================================
Key Code:
308186
028180
739A291A BDA704F5 D93DC8FD F84C4274 631991C1 64B0DF17 8C55FA83 3591C7D4
7D5381D0 9CE82913 D7EDF9C0 8511D83C A4ED2B30 B809808E B0D1F52D 045DE408
61B74A0E 135523CC D74CAC61 F8E58C45 2B2F3F2D A0DCC48E 3306367F E187BDD9
44018B3B 69F3CBB0 A573202C 16BB2FC1 ACF3EC8F 828D55A3 6F1CDDC4 BB45504F
0201
25
【命令】
display ssh server { status | session }
【视图】
任意视图
【参数】
status:显示SSH状态信息。
session:显示SSH会话信息。
【描述】
display ssh server命令用来显示SSH服务器端的状态信息或会话信息。
相关配置可参考命令ssh server authentication-retries,ssh server timeout。
【举例】
# 显示SSH服务器端的状态信息。
<H3C> display ssh server status
SSH version : 1.99
SSH authentication timeout : 60 seconds
SSH server key generating interval : 0 hours
SSH authentication retries : 3 times
SFTP Server: Enable
SFTP idle timeout : 10 minutes
注意:
l 如果通过ssh server compatible-ssh1x enable命令设定服务器端兼容SSH1.x版本的客户端,则显示信息中的SSH version为1.99;
l 如果通过undo ssh server compatible-ssh1x命令设定服务器端不兼容SSH1.x版本的客户端,则显示信息中的SSH version为2.0。
# 显示SSH服务器端的会话信息。
<H3C> display ssh server session
Conn Ver Encry State Retry SerType Username
VTY 0 2.0 AES started 0 stelnet kk
VTY 1 2.0 AES started 0 sFTP abc
表1-1 display ssh server session命令显示信息描述表
|
字段 |
描述 |
|
Conn |
用户登录使用的VTY界面的编号 |
|
Ver |
SSH版本 |
|
Encry |
SSH使用的加密算法 |
|
State |
当前状态 |
|
Retry |
连接重试次数 |
|
SerType |
服务类型 |
|
Username |
用户名 |
【命令】
display ssh server-info
【视图】
任意视图
【参数】
无
【描述】
display ssh server-info命令用来查看客户端的服务器公钥和服务器的对应关系。
【举例】
# 显示客户端的服务器和公钥的对应关系。
<H3C> display ssh server-info
Server Name(IP) Server public key name
______________________________________________________
192.168.0.1 abc_key01
192.168.0.2 abc_key02
【命令】
display ssh user-information [ username ]
【视图】
任意视图
【参数】
username:有效的SSH用户名,是一个长度为1~80的字符串。
【描述】
display ssh user-information命令用来显示当前SSH用户的信息,包括:用户名、认证方式、对应的公钥名称、授权的服务类型。如果命令中指定参数username,那么将显示指定用户名的用户信息。
【举例】
# 显示当前用户信息。
<H3C> display ssh user-information
Username Authentication-type User-public-key-name Service-type
kk rsa test sftp
【命令】
display ssh2 source-ip
【视图】
任意视图
【参数】
无
【描述】
display ssh2 source-ip命令用来显示当前为SSH2 Client设置的源IP地址。如果为SSH2 Client指定了源接口,则此命令显示的是该接口的IP地址;如果没有为SSH2 Client指定源地址,则显示0.0.0.0。
【举例】
# 显示当前为ssh2 client设置的源IP地址。
<H3C> display ssh2 source-ip
The source IP you specified is 192.168.0.1
【命令】
display ssh-server source-ip
【视图】
任意视图
【参数】
无
【描述】
display ssh-server source-ip命令用来显示当前为SSH Server指定的源IP地址。如果为SSH Server指定了源接口,则此命令显示的是该接口的IP地址;如果没有为SSH Server指定源地址,则显示0.0.0.0。
【举例】
# 显示当前为SSH Server设置的源IP地址。
<H3C> display ssh-server source-ip
The source IP you specified is 192.168.1.1
【命令】
peer-public-key end
【视图】
公共密钥视图
【参数】
无
【描述】
peer-public-key end命令用来从公共密钥视图退回到系统视图。
相关配置可参考命令rsa peer-public-key,public-key-code begin。
【举例】
# 退出公共密钥视图。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] rsa peer-public-key H3C003
[H3C-rsa-public-key] peer-public-key end
[H3C]
【命令】
protocol inbound { all | ssh | telnet }
【视图】
VTY类型的用户界面视图
【参数】
all:支持所有的协议,包括Telnet和SSH。
ssh:只支持SSH协议,不支持Telnet协议。
telnet:只支持Telnet协议,不支持SSH协议。
【描述】
protocol inbound命令用来指定当前用户界面支持的协议。
缺省情况下,系统支持所有的协议。
使用该命令时,在SSH使能的情况下,如果本机RSA密钥没有配置,则仍然不能通过SSH登录。配置结果将在下次登录请求时生效。
注意:
l 如果在该用户界面上配置支持的协议是SSH,为确保登录成功,请您务必配置相应的认证方式为authentication-mode scheme(采用AAA认证)。
l 如果配置认证方式为authentication-mode password或authentication-mode none,则protocol inbound ssh配置将失败;反之,如果某用户界面已经配置为支持SSH协议,则在此用户界面上进行authentication-mode password或authentication-mode none的配置将失败。
相关配置可参考命令user-interface vty。
【举例】
# 设置vty0到vty4只支持SSH协议。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] authentication-mode scheme
[H3C-ui-vty0-4] protocol inbound ssh
【命令】
public-key-code begin
【视图】
公共密钥视图
【参数】
无
【描述】
public-key-code begin命令用来进入公共密钥编辑视图,输入客户端的公钥数据。
在输入公钥数据时,字符之间可以有空格(系统将剔除所有空格),也可以按回车键换行继续输入数据。所配置的客户端公钥必须是按公钥格式编码的十六进制字符串,该公钥是由支持SSH2.0的客户端软件随机生成的。
相关配置可参考命令rsa peer-public-key,public-key-code end。
【举例】
# 进入公共密钥编辑视图,输入客户端的公钥数据。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] rsa peer-public-key H3C003
[H3C-rsa-public-key] public-key-code begin
[H3C-rsa-key-code] 308186028180739A291ABDA704F5D93DC8FDF84C427463
[H3C-rsa-key-code] 1991C164B0DF178C55FA833591C7D47D5381D09CE82913
[H3C-rsa-key-code] D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4
[H3C-rsa-key-code] 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DC
[H3C-rsa-key-code] C48E3306367FE187BDD944018B3B69F3CBB0A573202C16
[H3C-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125
[H3C-rsa-key-code] public-key-code end
[H3C-rsa-public-key]
【命令】
public-key-code end
【视图】
公共密钥编辑视图
【参数】
无
【描述】
public-key-code end命令可以用来从公共密钥编辑视图退回到公共密钥视图,并且保存用户输入的公共密钥。
当执行此命令后,结束公钥的编辑过程,在保存之前,要进行密钥合法性的检测:
l 如果用户输入的公钥字符串中存在非法字符,那么将会显示相关提示信息,用户配置的密钥将被丢弃,本次配置失败;
l 如果输入的密钥合法,将会保存到本地的公钥表中。
相关配置可参考命令rsa peer-public-key,public-key-code begin。
【举例】
# 退出公共密钥编辑视图并保存用户配置的公共密钥。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C]rsa peer-public-key kk
[H3C-rsa-public-key]public-key-code begin
[H3C-rsa-key-code] 308186028180739A291ABDA704F5D93DC8FDF84C427463
[H3C-rsa-key-code] 1991C164B0DF178C55FA833591C7D47D5381D09CE82913
[H3C-rsa-key-code] D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4
[H3C-rsa-key-code] 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DC
[H3C-rsa-key-code] C48E3306367FE187BDD944018B3B69F3CBB0A573202C16
[H3C-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125
[H3C-rsa-key-code] public-key-code end
[H3C-rsa-public-key]
【命令】
rsa local-key-pair create
【视图】
系统视图
【参数】
无
【描述】
rsa local-key-pair create命令用来生成RSA主机密钥对和服务器密钥对。RSA密钥的命名方式为交换机名称加上“_Host”和交换机名称加上“_Server”,如:H3C_Host和H3C_Server。
输入该命令后,系统会提示您输入密钥的长度:
l 在SSH1.x中,密钥的长度范围为512~2048位。
l 在SSH2.0中,密钥的长度范围为1024~2048位。为了兼容SSH1.x,允许客户端使用长度为512~2048位的密钥;但在服务器端生成的密钥长度必须大于或等于1024位,否则客户端无法进行认证。
l 如果RSA密钥已经存在,则系统提示是否需要替换。
& 说明:
配置rsa local-key-pair create命令后:
l 当交换机工作在兼容SSH1.x模式下时,使用display rsa local-key-pair public命令时会显示两个公钥,包括H3C_Host和H3C_Server;
l 当交换机工作在SSH2.0模式时,使用display rsa local-key-pair public命令只显示一个公钥,即H3C_Host。
生成服务器端的RSA密钥是成功完成SSH登录的首要操作。此命令只需执行一遍,交换机重新启动后不必再次执行。
相关配置可参考命令rsa local-key-pair destroy,display rsa local-key-pair public。
【举例】
# 生成本地RSA密钥对。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] rsa local-key-pair create
The local-key-pair will be created.
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Input the bits in the modulus[default = 1024]:
Generating keys...
........................++++++
.......++++++
.................................++++++++
...++++++++
........Done!
【命令】
rsa local-key-pair destroy
【视图】
系统视图
【参数】
无
【描述】
rsa local-key-pair destroy命令用来销毁服务器端所有的RSA密钥。
相关配置可参考命令rsa local-key-pair create。
【举例】
# 销毁服务器端所有的密钥。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] rsa local-key-pair destroy
% The local-key-pair will be destroyed.
% Confirm to destroy these keys? [Y/N]:y
.............Done!
【命令】
rsa peer-public-key keyname
undo rsa peer-public-key keyname
【视图】
系统视图
【参数】
keyname:客户端的公钥名称,是一个长度为1~64个字符的字符串。
【描述】
rsa peer-public-key命令用来进入公共密钥视图。undo rsa peer-public-key命令用来删除远端公钥的配置。
输入该命令后,将进入公共密钥视图,和public-key-code begin一同使用,可以在服务器端配置客户端的公钥。该公钥由客户端软件随机生成。
这种方式需要服务器端事先获取客户端产生的十六进制形式的公钥,然后在服务器端进行手工配置。
相关配置可参考命令public-key-code begin,public-key-code end。
【举例】
# 进入名称为H3C002的公共密钥视图。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] rsa peer-public-key H3C002
[H3C-rsa-public-key]
【命令】
rsa peer-public-key keyname import sshkey filename
undo rsa peer-public-key keyname
【视图】
系统视图
【参数】
keyname:客户端的公钥名称,是一个长度为1~64个字符的字符串。
filename:公钥文件的名称,是一个长度为1~142个字符的字符串。
【描述】
rsa peer-public-key import sshkey命令用来对客户端公钥文件进行格式转换(转换为PKCS标准编码形式)及自动配置。undo rsa peer-public-key命令用来删除远端公钥的配置。
这种方式不需要用户手工配置公钥,只需要客户端提前将RSA密钥的公钥文件通过FTP/TFTP方式上传到服务器端,然后在服务器端通过该命令实现公钥的格式转换及自动配置。
【举例】
# 将客户端公钥文件abc进行格式转换并进行自动配置,公钥名为123。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] rsa peer-public-key 123 import sshkey abc
【命令】
ssh authentication-type default { password | rsa | password-publickey | all }
undo ssh authentication-type default
【视图】
系统视图
【参数】
password:指定SSH用户的认证方式为口令认证。
rsa:指定SSH用户的认证方式为RSA公钥认证。
password-publickey:指定SSH用户的认证方式为口令认证和公钥认证同时满足。
all:指定SSH用户的认证方式可以是口令认证也可以是公钥认证,二者满足其一即可。
【描述】
ssh authentication-type default命令用来为SSH用户指定一种缺省的认证方式。配置该命令后,每当增加一个SSH用户(通过ssh user命令配置)时,若没有通过ssh user authentication-type命令单独为这个用户指定认证方式,则该用户采用缺省认证方式。
undo ssh authentication-type default命令用来清除所指定的缺省认证方式,也就是不再指定缺省认证方式。此时每当增加一个SSH用户时,必须同时为其指定认证方式。
缺省情况下,没有指定缺省的认证方式。
相关配置可参考命令ssh user authentication-type。
& 说明:
l 如果用户配置的缺省认证方式为password,并且采用AAA本地认证,则还需要使用local-user命令在本地数据库中添加用户名和密码。在这种情况下,可以直接使用local-user命令配置的用户名和密码(配置service-type 为ssh)登录SSH服务器,省略掉ssh user命令的配置。
l 如果用户配置的缺省认证方式为password,并且采用远程认证,如RADIUS认证,则可以直接使用远程服务器上的用户名和密码登陆SSH服务器,省略掉ssh user命令的配置。
【举例】
# 配置SSH用户缺省的认证方式为口令认证。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh authentication-type default password
【命令】
ssh client { server-ip | server-name } assign rsa-key keyname
undo ssh client { server-ip | server-name } assign rsa-key
【视图】
系统视图
【参数】
server-ip:服务器的IP地址。
server-name:服务器的名称,是一个长度为1~80的字符串。
keyname:服务器端的公钥名称,是一个长度为1~64个字符的字符串。
【描述】
ssh client assign rsa-key命令用来在客户端上指定要连接的服务器的公钥名称,以便客户端认证连接的服务器是否为可信赖的服务器。undo ssh client assign rsa-key命令用来取消该服务器公钥的指定关系。
缺省情况下,客户端不指定要连接的服务器端的主机公钥名称,而是在客户端登录服务器的时候使用登录服务器时所用的IP地址或主机名作其对应的公钥名称。
【举例】
# 服务器的IP地址为192.168.0.1,在客户端指定该服务器的公钥名称为abc。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh client 192.168.0.1 assign rsa-key abc
【命令】
ssh client first-time enable
undo ssh client first-time
【视图】
系统视图
【参数】
无
【描述】
ssh client first-time enable 命令用来设置SSH客户端对访问的SSH服务器进行首次认证。undo ssh client first-time命令用来取消SSH客户端对访问的SSH服务器进行首次认证。
& 说明:
所谓首次认证,是指当SSH客户端首次访问的服务器公钥在本地不存在时,用户可以选择继续访问该服务器,并在本地保存该服务器的公钥;当用户下次访问该服务器时,就以保存的公钥来认证该服务器。
如果不支持首次认证,那么当连接的服务器公钥在本地不存在时,客户端将拒绝访问该服务器。用户可以事先通过其它途径将要访问的服务器的公钥保存在本地中。
缺省情况下,客户端进行首次认证。
【举例】
# 设置SSH客户端对访问的SSH服务器进行首次认证。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh client first-time enable
【命令】
ssh server authentication-retries times
undo ssh server authentication-retries
【视图】
系统视图
【参数】
times:认证重试次数,取值范围为1~5。缺省值为3。
【描述】
ssh server authentication-retries命令用来设置SSH连接认证重试次数。undo ssh server authentication-retries命令用来恢复SSH连接认证重试次数的默认值。该配置在用户下次登录时生效。
缺省情况下,SSH连接认证重试次数为3次。
相关配置可参考命令display ssh server。
& 说明:
如果用户使用ssh user authentication-type命令配置了password-publickey验证方式,则认证重试次数必须大于等于2。
【举例】
# 指定登录认证的重试次数为4次。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh server authentication-retries 4
【命令】
ssh server compatible-ssh1x enable
undo ssh server compatible-ssh1x
【视图】
系统视图
【参数】
无
【描述】
ssh server compatible-ssh1x enable命令用来设定服务器端兼容SSH1.x版本的客户端。undo ssh server compatible-ssh1x命令用来设定服务器端不兼容SSH1.x版本的客户端。
缺省情况下,服务器端兼容SSH1.x版本的客户端。
【举例】
# 设定服务器端兼容SSH1.x版本的客户端。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh server compatible-ssh1x enable
【命令】
ssh server rekey-interval hours
undo ssh server rekey-interval
【视图】
系统视图
【参数】
hours:服务器密钥的更新周期,单位为小时,取值范围为1~24。
【描述】
ssh server rekey-interval命令用来设置服务器密钥的更新时间。
undo ssh server rekey-interval命令用来取消当前设置。
缺省情况下,服务器密钥对的更新时间为0,表示系统不更新服务器密钥对。
注意:
此命令仅对客户端版本为SSH1.x的用户有效。
【举例】
# 设置每3小时更新一次服务器密钥。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh server rekey-interval 3
【命令】
ssh server timeout seconds
undo ssh server timeout
【视图】
系统视图
【参数】
seconds:指定认证超时时间,单位为秒,取值范围为1~120。缺省值为60。
【描述】
ssh server timeout命令用来设置SSH连接的认证超时时间。undo ssh server timeout命令用来恢复认证超时时间的缺省值。配置命令将在用户下次登录时生效。
缺省情况下,SSH连接的认证超时时间为60秒。
相关配置可参考命令display ssh server。
【举例】
# 设定登录超时时间为80秒。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh server timeout 80
【命令】
ssh user username
undo ssh user username
【视图】
系统视图
【参数】
username:有效的SSH用户名,是一个长度为1~80的字符串。
【描述】
ssh user命令用来创建一个SSH用户。undo ssh user命令用来删除指定的SSH用户。
需要注意的是:通过该方式创建的SSH用户,若没有通过ssh user authentication-type命令单独为这个用户指定认证方式,则该用户采用缺省认证方式。反之,如果不配置SSH的缺省认证方式,则必须单独为这个用户指定认证方式。
& 说明:
在SSH服务器上创建SSH用户的目的是为用户指定认证方式、SSH服务类型、用户公钥等信息。对于已创建的SSH用户,当该用户的认证方式、SSH服务类型、用户公钥都不存在时,系统会自动删除该SSH用户。
【举例】
# 配置缺省的认证方式为password。创建一个SSH用户,用户名为abc。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]ssh authentication-type default password
[H3C]ssh user abc
【命令】
ssh user username assign rsa-key keyname
undo ssh user username assign rsa-key
【视图】
系统视图
【参数】
username:有效的SSH用户名,是一个长度为1~80的字符串。
keyname:客户端的公钥名称,是一个长度为1~64个字符的字符串。
【描述】
ssh user assign rsa-key命令用来设置指定的SSH用户与客户端公钥间的对应关系。undo ssh user assign rsa-key命令用来取消此用户与其公钥间的对应关系。新配置的用户公钥将在下次登录时生效。
如果此前已经为用户分配了公钥,那么以最后一次分配的公钥为准。
相关配置可参考命令display ssh user-information。
【举例】
# 设置用户kk的客户端公钥为key1。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh user kk assign rsa-key key1
【命令】
ssh user username authentication-type { password | rsa | password-publickey | all }
undo ssh user username authentication-type
【视图】
系统视图
【参数】
username:有效的SSH用户名,是一个长度为1~80的字符串。
password:强制指定该用户的认证方式为口令认证。
rsa:强制指定该用户的认证方式为RSA公钥认证。
password-publickey:强制指定该用户的认证方式为口令认证和公钥认证同时满足。
& 说明:
对于password-publickey指定的认证方式:
l 客户端版本为SSH1.x的用户只要通过其中一种认证即可登录;
l 客户端版本为SSH2.0的用户必须两种认证都通过才能登录。
all:指定该用户的认证方式可以是口令认证也可以是公钥认证,二者满足其一即可。
【描述】
ssh user authentication-type命令用来在服务端指定用户登录时可以选用的认证方式。undo ssh user authentication-type命令用来恢复系统默认的无法登录方式。
& 说明:
该命令只是在服务端指定用户登录时可以选用的认证方式,而用户登录时实际采用的认证方式,由用户在客户端上决定。
缺省情况下,系统没有指定用户登录时可以选用的认证方式,即SSH用户无法登录。
对于新用户,服务器端必须通过ssh user authentication-type命令,为其指定可以选用的认证方式,否则该用户将无法登录。新配置的认证方式将在用户下次登录时生效。
相关配置可参考命令display ssh user-information。
& 说明:
配置password认证时,username应与AAA中定义的有效用户名一致;配置RSA认证时,username就是SSH本地用户名,不需要在AAA中配置本地用户。
【举例】
# 指定用户kk的认证方式为口令认证。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh user kk authentication-type password
【命令】
ssh2 { host-ip | host-name } [ port-num ] [ prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher { des | aes128 } | prefer_stoc_cipher { des | aes128 } | prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] *
【视图】
系统视图
【参数】
host-ip:服务器IP地址。
host-name:表示服务器名称的字符串,长度为1~20个字符。
port-num:服务器端口号,取值范围为0~65535,缺省值为22。
prefer_kex:Key交换首选算法,选择两种算法之间的一种。
dh_group1:Key交换算法diffie-hellman-group1-sha1,为缺省Key交换算法。
dh_exchange_group:Key交换算法diffie-hellman-group-exchange-sha1。
prefer_ctos_cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
prefer_stoc_cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
des:des_cbc加密算法。
aes128:aes_128加密算法。
prefer_ctos_hmac:客户端到服务器端的首选HMAC算法,缺省为sha1_96。
prefer_stoc_hmac:服务器端到客户端的首选HMAC算法,缺省为sha1_96。
sha1:HMAC算法hmac-sha1。
sha1_96:HMAC算法hmac-sha1-96。
md5:HMAC算法hmac-md5。
md5_96:HMAC算法hmac-md5-96。
& 说明:
l DES(Data Encryption Standard)为数据加密标准算法;
l AES(Advanced Encryption Standard)为高级加密标准算法。
【描述】
ssh2命令用来启动SSH客户端和服务器端建立连接,并指定客户端和服务器的首选密钥交换算法、首选加密算法和首选HMAC算法。
【举例】
# 登录地址为10.214.50.51的远程SSH2服务器,具体加密算法配置如下:
l 首选KEY交换算法为dh_exchange_group
l 服务器到客户端的首选加密算法为aes128
l 客户端到服务器的首选HMAC算法为md5
l 服务器到客户端的HMAC算法为sha1_96
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh2 10.214.50.51 prefer_kex dh_exchange_group prefer_stoc_cipher aes128 prefer_ctos_hmac md5 prefer_stoc_hmac sha1_96
【命令】
ssh2 source-interface interface-type interface-number
undo ssh2 source-interface
【视图】
系统视图
【参数】
interface-type:源接口的类型,取值可以为LoopBack或Vlan-interface。
interface-number:源接口的编号。
【描述】
ssh2 source-interface命令用来为SSH2 Client指定源接口。当指定接口不存在时,命令提示不成功。undo ssh2 source- interface命令用来取消指定的源接口,取消后,以系统决定的本设备接口访问SSH服务器。
【举例】
# 为SSH2 Client指定源接口为Vlan-interface 1。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh2 source-interface Vlan-interface 1
【命令】
ssh2 source-ip ip-address
undo ssh2 source-ip
【视图】
系统视图
【参数】
ip-address:需要设置的源IP地址。
【描述】
ssh2 source-ip命令用来为SSH2 Client指定源IP地址。undo ssh2 source-ip命令用来取消指定的源IP地址,取消后,以系统决定的本设备地址访问SSH服务器。
当指定的ip-address不是本设备地址时,命令提示不成功。
【举例】
# 为SSH2 Client指定源IP地址192.168.1.1。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh2 source-ip 192.168.1.1
【命令】
ssh-server source-interface interface-type interface-number
undo ssh-server source-interface
【视图】
系统视图
【参数】
interface-type:源接口的类型,取值可以为LoopBack或Vlan-interface。
interface-number:源接口的编号。
【描述】
ssh-server source-interface命令用来为SSH Server指定源接口。当指定接口不存在时,命令提示不成功。undo ssh-server source-interface命令用来取消指定的源接口,取消后,以系统决定的本设备接口供SSH用户访问。
【举例】
# 为SSH Server指定源接口Vlan-interface 1。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh-server source-interface Vlan-interface 1
【命令】
ssh-server source-ip ip-address
undo ssh-server source-ip
【视图】
系统视图
【参数】
ip-address:需要设置的源IP地址。
【描述】
ssh-server source-ip命令用来为SSH Server指定源IP地址。当指定的ip-address不是本设备地址时,命令提示不成功。undo ssh-server source-ip命令用来取消指定的源IP地址,取消后,以系统决定的本设备地址供SSH用户访问。
【举例】
# 为SSH Server指定源IP地址192.168.0.1。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh-server source-ip 192.168.0.1
【命令】
sftp server enable
undo sftp server
【视图】
系统视图
【参数】
无
【描述】
sftp server enable命令用来启动SFTP服务器。undo sftp server命令用来关闭SFTP服务器。
缺省情况下,SFTP服务器处于关闭状态。
【举例】
# 启动SFTP服务器。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] sftp server enable
【命令】
ssh user username service-type { stelnet | sftp | all }
undo ssh user username service-type
【视图】
系统视图
【参数】
username:本地用户名或者远端RADIUS服务器定义的用户名,是一个长度为1~80的字符串。
stelnet:服务类型为安全的Telnet。
sftp:服务类型为SFTP。
all:包括安全的Telnet和SFTP两种服务类型。
【描述】
ssh user service-type命令用来为某一特定用户指定服务类型。undo ssh user service-type命令用来取消为某一特定用户指定的服务类型。
缺省情况下,系统的服务类型为stelnet。
相关配置可参考命令display ssh user-information。
【举例】
# 为用户kk指定服务类型为SFTP。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] ssh user kk service-type sftp
【命令】
sftp timeout time-out-value
undo sftp timeout
【视图】
系统视图
【参数】
time-out-value:超时时间,取值范围为1~35791,单位为分钟。缺省值为10分钟。
【描述】
sftp timeout命令用来在SFTP Server端设置SFTP用户连接的空闲超时时间。undo sftp timeout命令用来恢复SFTP用户连接空闲超时时间的缺省值。
当SFTP用户连接的空闲超时时间超过设定的阈值后,系统会自动断开此用户的连接。
【举例】
# 设置SFTP用户连接的空闲超时时间为500分钟。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] sftp timeout 500
【命令】
bye
【视图】
SFTP Client视图
【参数】
无
【描述】
bye命令用来终止与远程SFTP server的连接,并退回到系统视图。
该命令功能与exit,quit相同。
【举例】
# 终止与远程SFTP server的连接。
sftp-client> bye
Bye
[H3C]
【命令】
cd [ remote-path ]
【视图】
SFTP Client视图
【参数】
remote-path:服务器上的路径名。
【描述】
cd命令用来改变远程SFTP服务器上的工作路径。如果没有指定remote-path,则显示当前工作路径。
& 说明:
命令“cd ..”用来返回到上一级目录;
命令“cd /” 用来返回到系统的根目录,即“flash:/”。
【举例】
# 改变工作路径到new1。
sftp-client> cd new1
Current Directory is:
flash:/new1
【命令】
cdup
【视图】
SFTP Client视图
【参数】
无
【描述】
cdup命令用来改变远程SFTP服务器上的工作路径,返回到上一级目录。
【举例】
# 改变工作路径到上一级目录。
sftp-client> cdup
Current Directory is:
flash:/
【命令】
delete remote-file&<1-10>
【视图】
SFTP Client视图
【参数】
remote-file&<1-10>:服务器上的文件名。&<1-10>表示最多可以输入10个文件名,每个文件名之间用空格分隔。
【描述】
delete命令用来删除远程SFTP服务器上指定的文件。
该命令和remove功能相同。
【举例】
# 删除服务器上的文件test.txt。
sftp-client> delete test.txt
The following files will be deleted:
flash:/test.txt
Are you sure to delete it?(Y/N):y
This operation may take a long time.Please wait...
File successfully Removed
【命令】
dir [ -a | -l ] [ remote-path ]
【视图】
SFTP Client视图
【参数】
-a:显示指定目录下文件及文件夹的名称。
-l:以列表的形式显示指定目录下文件及文件夹的详细信息。
remote-path:查询的目录名。
【描述】
dir命令用来查询远程SFTP服务器上指定目录。
如果没有指定-a和-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息。
如果没有指定remote-path,则查询当前工作目录下的文件。
该命令功能与ls相同。
【举例】
# 查询目录flash:/下的文件。
sftp-client> dir flash:/
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:28 pub1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:24 new1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:18 new2
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:30 pub2
【命令】
display sftp source-ip
【视图】
任意视图
【参数】
无
【描述】
display sftp source-ip命令用来显示当前为SFTP Client指定的源IP地址。
如果为SFTP Client指定了源接口,则此命令显示的是该接口的IP地址;如果没有为SFTP Client指定源地址,则显示0.0.0.0。
【举例】
# 显示当前为SFTP Client设置的源IP地址。
<H3C> display sftp source-ip
The source IP you specified is 192.168.1.1
【命令】
exit
【视图】
SFTP Client视图
【参数】
无
【描述】
exit命令用来终止与远程SFTP server的连接,并退回到系统视图。
该命令功能与bye,quit相同。
【举例】
# 终止与远程SFTP server的连接。
sftp-client> exit
Bye
[H3C]
【命令】
get remote-file [ local-file ]
【视图】
SFTP Client视图
【参数】
remote-file:远程SFTP Server上的文件名。
local-file:本地文件名。
【描述】
get命令用来从远程服务器上下载文件并存储在本地。
缺省情况下,如果没有指定本地文件名,则将该文件按照远程SFTP Server上的文件名保存到本地。
【举例】
# 下载tt.bak文件,并以tt.txt文件名保存。
sftp-client>get tt.bak tt.txt....
This operation may take a long time, please wait...
Remote file:flash:/tt.bak ---> Local file: tt.txt..
Downloading file successfully ended
【命令】
help [ all | command ]
【视图】
SFTP Client视图
【参数】
all:显示所有命令的名字。
command:命令名。
【描述】
help命令用来显示SFTP客户端命令的帮助信息。
如果没有指定command,系统将显示所有命令的名字。
【举例】
# 查看命令get的帮助信息。
sftp-client> help get
get remote-path [local-path] Download file.Default local-path is the same
with remote-path
【命令】
ls [ -a | -l ] [ remote-path ]
【视图】
SFTP Client视图
【参数】
-a:显示指定目录下文件及文件夹的名称。
-l:以列表的形式显示指定目录下文件及文件夹的详细信息。
remote-path:查询的目录名。
【描述】
ls命令用来查询远程SFTP服务器上指定目录下的文件。
如果没有指定-a和-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息。
如果没有指定remote-path,则查询当前工作目录下的文件。
该命令功能与dir相同。
【举例】
# 查询目录flash:/。
sftp-client> ls flash:/
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:28 pub1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:24 new1
drwxrwxrwx 1 noone nogroup 0 Sep 28 08:18 new2
-rwxrwxrwx 1 noone nogroup 225 Sep 28 08:30 pub2
【命令】
mkdir remote-path
【视图】
SFTP Client视图
【参数】
remote-path:远程SFTP server上的目录名。
【描述】
mkdir命令用来在远程SFTP server上建立目录。
【举例】
# 在远程SFTP服务器上建立目录hj。
sftp-client>mkdir hj
New directory created
【命令】
put local-file [ remote-file ]
【视图】
SFTP Client视图
【参数】
local-file:本地的文件名。
remote-file:远程SFTP Server上的文件名。
【描述】
put命令用来将本地的文件上传到远程SFTP Server。
缺省情况下,如果没有指定远程服务器上的文件名,则认为服务器上的文件与本地文件同名。
【举例】
# 将本地config.cfg文件上传到远程SFTP Server,并以1.txt文件名保存。
sftp-client>put config.cfg 1.txt
This operation may take a long time, please wait...
Local file:config.cfg ---> Remote file: flash:/1.txt
Uploading file successfully ended
【命令】
pwd
【视图】
SFTP Client视图
【参数】
无
【描述】
pwd命令用来显示远程SFTP Server上的工作目录。
【举例】
# 显示远程SFTP Server上的工作目录。
sftp-client> pwd
flash:/
【命令】
quit
【视图】
SFTP Client视图
【参数】
无
【描述】
quit命令用来终止与远程SFTP server的连接,并退回到系统视图。
该命令功能与bye,exit相同。
【举例】
# 终止与远程SFTP server的连接。
sftp-client> quit
Bye
[H3C]
【命令】
remove remote-file&<1-10>
【视图】
SFTP Client视图
【参数】
remote-file&<1-10>:服务器上的文件名。&<1-10>表示最多可以输入10个文件名,每个文件名之间用空格分隔。
【描述】
remove命令用来删除远程SFTP服务器上指定的文件。
该命令和delete功能相同。
【举例】
# 删除服务器上的文件temp.c。
sftp-client> remove temp.c
The following files will be deleted:
flash:/test2.txt
Are you sure to delete it?(Y/N):y
This operation may take a long time.Please wait...
File successfully Removed
【命令】
rename oldname newname
【视图】
SFTP Client视图
【参数】
oldname:原文件名。
newname:新文件名。
【描述】
rename命令用来改变SFTP服务器上指定的文件名。
【举例】
# 将SFTP服务器上的文件temp.bat改名为temp.txt。
sftp-client> rename temp.bat temp.txt
File successfully renamed
【命令】
rmdir remote-path&<1-10>
【视图】
SFTP Client视图
【参数】
remote-path&<1-10>:远程SFTP server上的目录名。&<1-10>表示最多可以输入10个文件名,每个文件名之间用空格分隔。
【描述】
rmdir命令用来删除SFTP服务器上指定的目录。
【举例】
# 删除SFTP服务器上的hello目录。
sftp-client>rmdir hello
Directory successfully removed
【命令】
sftp { host-ip | host-name } [ port-num ] [ prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher { des | aes128 } | prefer_stoc_cipher { des | aes128 } | prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] *
【视图】
系统视图
【参数】
host-ip:服务器IP地址。
host-name:表示服务器名称的字符串,长度为1~20个字符。
port-num:服务器端口号,取值范围为0~65535,缺省值为22。
prefer_kex:Key交换首选算法,选择两种算法之间的一种。
dh_group1:Key交换算法diffie-hellman-group1-sha1,为缺省Key交换算法。
dh_exchange_group:Key交换算法diffie-hellman-group-exchange-sha1。
prefer_ctos_cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
prefer_stoc_cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
des:des_cbc加密算法。
aes128:aes_128加密算法。
prefer_ctos_hmac:客户端到服务器端的首选HMAC算法,缺省为sha1_96。
prefer_stoc_hmac:服务器端到客户端的首选HMAC算法,缺省为sha1_96。
sha1:HMAC算法hmac-sha1。
sha1_96:HMAC算法hmac-sha1-96。
md5:HMAC算法hmac-md5。
md5_96:HMAC算法hmac-md5-96。
【描述】
sftp命令用来与远程SFTP服务器建立连接,并进入SFTP Client视图。
【举例】
# 连接IP地址为192.168.0.65的SFTP服务器,加密算法均取缺省值。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C]sftp 192.168.0.65
Input Username: kk
Trying 192.168.0.65 ...
Press CTRL+K to abort
Connected to 192.168.0.65 ...
The Server is not authenticated. Do you continue access it?(Y/N):y
Do you want to save the server's public key?(Y/N):y
Enter password:
sftp-client>
【命令】
sftp source-interface interface-type interface-number
undo sftp source-interface
【视图】
系统视图
【参数】
interface-type:源接口的类型,取值可以为LoopBack或Vlan-interface。
interface-number:源接口的编号。
【描述】
sftp source-interface命令用来为SFTP Client指定源接口。当指定接口不存在时,命令提示不成功。undo sftp source-interface命令用来取消指定的源接口,取消后,以系统决定的本设备接口访问SFTP服务器。
【举例】
# 为SFTP Client指定源接口Vlan-interface 1。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] sftp source-interface Vlan-interface 1
【命令】
sftp source-ip ip-address
undo sftp source-ip
【视图】
系统视图
【参数】
ip-address:需要设置的源IP地址。
【描述】
sftp source-ip命令用来为SFTP Client指定源IP地址。当指定的ip-address不是本设备地址时,命令提示不成功。undo sftp source-ip命令用来取消指定的源IP地址,取消后,以系统决定的本设备地址访问SFTP服务器。
【举例】
# 为SFTP Client指定源IP地址192.168.0.1。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] sftp source-ip 192.168.0.1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
