- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-SSH命令
本章節下載: 08-SSH命令 (262.71 KB)
目 錄
1.1.2 display ssh user-information
1.1.4 sftp server idle-timeout
1.1.7 ssh server authentication-retries
1.1.8 ssh server authentication-timeout
1.1.9 ssh server compatible-ssh1x enable
1.1.11 ssh server rekey-interval
1.2.6 display sftp client source
1.2.7 display ssh client source
1.2.22 sftp client ipv6 source
設備運行於FIPS模式時,本特性的相關配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
display ssh server命令用來在SSH服務器端顯示該服務器的狀態信息或會話信息。
【命令】
display ssh server { session | status }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
session:顯示SSH服務器的會話信息。
status:顯示SSH服務器的狀態信息。
【舉例】
# 在SSH服務器端顯示該服務器的狀態信息。
<Sysname> display ssh server status
SSH server: Disable
SSH version : 1.99
SSH authentication-timeout : 60 second(s)
SSH server key generating interval : 0 hour(s)
SSH authentication retries : 3 time(s)
SFTP server: Disable
SFTP server Idle-Timeout: 10 minute(s)
表1-1 display ssh server status命令顯示信息描述表
|
字段 |
描述 |
|
SSH server |
SSH服務器功能的狀態 |
|
SSH version |
SSH協議版本 SSH服務器兼容SSH1時,協議版本為1.99;SSH服務器不兼容SSH1時,協議版本為2.0 |
|
SSH authentication-timeout |
認證超時時間 |
|
SSH server key generating interval |
服務器密鑰對更新時間 |
|
SSH authentication retries |
SSH用戶認證嚐試的最大次數 |
|
SFTP server |
SFTP服務器功能的狀態 |
|
SFTP server Idle-Timeout |
SFTP用戶連接的空閑超時時間 |
# 在SSH服務器端顯示該服務器的會話信息。
<Sysname> display ssh server session
UserPid SessID Ver Encrypt State Retries Serv Username
184 0 2.0 aes128-cbc Established 1 Stelnet abc@123
表1-2 display ssh server session顯示信息描述表
|
字段 |
描述 |
|
UserPid |
用戶進程PID |
|
SessID |
會話ID |
|
Ver |
SSH服務器的協議版本 |
|
Encrypt |
SSH服務器本端使用的加密算法 |
|
State |
會話狀態,包括: · Init:初始化狀態 · Ver-exchange:版本協商 · Keys-exchange:密鑰交換 · Auth-request:用戶認證 · Serv-request:服務請求 · Established:會話已經建立 · Disconnected:斷開會話 |
|
Retries |
認證失敗的次數 |
|
Serv |
服務類型,包括SCP、SFTP和Stelnet三種類型 |
|
Username |
客戶端登錄服務器時采用的用戶名 |
display ssh user-information命令用來在SSH服務器端顯示SSH用戶的信息。
【命令】
display ssh user-information [ username ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
username:SSH用戶名,為1~80個字符的字符串,區分大小寫。如果沒有指定本參數,則顯示所有SSH用戶的信息。
【使用指導】
本命令僅用來顯示SSH服務器端通過ssh user命令配置的SSH用戶信息。
【舉例】
# 顯示所有SSH用戶的信息。
<Sysname> display ssh user-information
Total ssh users:2
Username Authentication-type User-public-key-name Service-type
yemx password null Stelnet|SFTP
test publickey pubkey SFTP
表1-3 display ssh user-information顯示信息描述表
|
字段 |
描述 |
|
Total ssh users |
SSH用戶的總數 |
|
Username |
用戶名 |
|
Authentication-type |
認證類型,取值包括password、publickey、password-publickey和any 如果認證類型為password,則用戶公鑰名稱顯示為null |
|
User-public-key-name |
用戶公鑰名稱 |
|
Service-type |
服務類型,取值包括SCP、SFTP和Stelnet 若同時顯示多種服務類型則表示支持多種服務類型 |
【相關命令】
· ssh user
sftp server enable命令用來使能SFTP服務器功能。
undo sftp server enable命令用來關閉SFTP服務器功能。
【命令】
sftp server enable
undo sftp server enable
【缺省情況】
SFTP服務器功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【舉例】
# 使能SFTP服務器功能。
<Sysname> system-view
[Sysname] sftp server enable
【相關命令】
· display ssh server
sftp server idle-timeout命令用來在SFTP服務器端設置SFTP用戶連接的空閑超時時間。
undo sftp server idle-timeout命令用來恢複缺省情況。
【命令】
sftp server idle-timeout time-out-value
undo sftp server idle-timeout
【缺省情況】
SFTP用戶連接的空閑超時時間為10分鍾。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-out-value:超時時間,取值範圍為1~35791,單位為分鍾。
【使用指導】
當SFTP用戶連接的空閑時間超過設定的閾值後,係統會自動斷開此用戶的連接,從而有效避免用戶長期占用連接而不進行任何操作。若同一時間內並發的SFTP連接數較多,可適當減小該值,及時釋放係統資源給新用戶接入。
【舉例】
# 設置SFTP用戶連接的空閑超時時間為500分鍾。
<Sysname> system-view
[Sysname] sftp server idle-timeout 500
【相關命令】
· display ssh server
ssh server acl命令用來設置對IPv4 SSH客戶端的訪問控製。
undo ssh server acl命令用來恢複缺省情況。
【命令】
ssh server acl acl-number
undo ssh server acl
【缺省情況】
允許所有IPv4 SSH客戶端向設備發起SSH訪問。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
acl-number:指定ACL的編號,取值範圍為2000~4999。
【使用指導】
通過本命令可以過濾IPv4 SSH客戶端發起的SSH請求報文,具體實現如下:
· 若指定的ACL非空,則隻允許匹配ACL permit規則的客戶端訪問設備。
· 若指定的ACL不存在,或者ACL中無任何規則,則允許SSH客戶端發起SSH訪問。
該配置生效後,隻會過濾新建立的SSH連接,不會影響已建立的SSH連接。
多次執行本配置後,最新的配置生效。
【舉例】
# 隻允許IPv4地址為1.1.1.1的SSH客戶端向設備發起SSH訪問。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-basic-2001] quit
[Sysname] ssh server acl 2001
【相關命令】
· display ssh server
ssh server ipv6 acl命令用來設置對IPv6 SSH客戶端的訪問控製。
undo ssh server ipv6 acl命令用來恢複缺省情況。
【命令】
ssh server ipv6 acl [ ipv6 ] acl-number
undo ssh server ipv6 acl
【缺省情況】
允許所有IPv6 SSH客戶端向設備發起SSH訪問。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:指定IPv6 ACL的編號。若不指定該參數,則表示指定二層ACL。
acl-number:指定ACL的編號。
· 指定ipv6關鍵字時,取值範圍為2000~3999。
· 不指定ipv6關鍵字時,取值範圍為4000~4999。
【使用指導】
通過本命令可以過濾IPv6 SSH客戶端發起的SSH請求報文,具體實現如下:
· 若指定的ACL非空,則隻允許匹配ACL permit規則的客戶端訪問設備。
· 若指定的ACL不存在,或者ACL中無任何規則,則允許SSH客戶端發起SSH訪問。
該配置生效後,隻會過濾新建立的SSH連接,不會影響已建立的SSH連接。
多次執行本配置後,最新的配置生效。
【舉例】
# 隻允許IPv6地址為1::1的SSH客戶端向設備發起SSH訪問。
<Sysname> system-view
[Sysname] acl ipv6 number 2001
[Sysname-acl6-basic-2001] rule permit source 1::1 128
[Sysname-acl6-basic-2001] quit
[Sysname] ssh server ipv6 acl ipv6 2001
【相關命令】
· display ssh server
ssh server authentication-retries命令用來設置允許SSH用戶認證嚐試的最大次數。
undo ssh server authentication-retries命令用來恢複缺省情況。
【命令】
ssh server authentication-retries times
undo ssh server authentication-retries
【缺省情況】
允許SSH用戶認證嚐試的最大次數為3次。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
times:指定每個SSH用戶認證嚐試的最大次數,取值範圍為1~5。
【使用指導】
通過本命令可以限製用戶嚐試登錄的次數,防止非法用戶對用戶名和密碼進行惡意地猜測和破解。
需要注意的是:
· 該配置不會影響已經登錄的SSH用戶,僅對新登錄的SSH用戶生效。
· 在any認證方式下,SSH客戶端通過publickey和password兩種方式進行認證嚐試的次數總和(可通過命令display ssh server session查看),不能超過ssh server authentication-retries命令配置的SSH連接認證嚐試的最大次數。
· 對於password-publickey認證方式,設備首先對SSH用戶進行publickey認證,然後進行password認證,這個過程為一次認證嚐試,而不是兩次認證嚐試。
【舉例】
# 指定允許SSH用戶認證嚐試的最大次數為4。
<Sysname> system-view
[Sysname] ssh server authentication-retries 4
【相關命令】
· display ssh server
ssh server authentication-timeout命令用來在SSH服務器端設置SSH用戶的認證超時時間。
undo ssh server authentication-timeout命令用來恢複缺省情況。
【命令】
ssh server authentication-timeout time-out-value
undo ssh server authentication-timeout
【缺省情況】
SSH用戶的認證超時時間為60秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-out-value:認證超時時間,取值範圍為1~120,單位為秒。
【使用指導】
如果SSH用戶在設置的認證超時時間內沒有完成認證,SSH服務器就拒絕該用戶的連接。
為了防止不法用戶建立起TCP連接後,不進行接下來的認證,而占用係統資源,妨礙其它合法用戶的正常登錄,可以適當調小SSH用戶認證超時時間。
【舉例】
# 設置SSH用戶認證超時時間為10秒。
<Sysname> system-view
[Sysname] ssh server authentication-timeout 10
【相關命令】
· display ssh server
ssh server compatible-ssh1x enable命令用來設置SSH服務器兼容SSH1版本的客戶端。
undo ssh server compatible-ssh1x命令用來設置SSH服務器不兼容SSH1版本的客戶端。
【命令】
ssh server compatible-ssh1x enable
undo ssh server compatible-ssh1x
【缺省情況】
缺省情況下,SSH服務器兼容SSH1版本的客戶端。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
FIPS模式下,不支持本命令。
該配置不會影響已經登錄的SSH用戶,僅對新登錄的SSH用戶生效。
【舉例】
# 配置服務器兼容SSH1版本的客戶端。
<Sysname> system-view
[Sysname] ssh server compatible-ssh1x enable
【相關命令】
· display ssh server
ssh server enable命令用來使能SSH服務器功能。
undo ssh server enable命令用來關閉SSH服務器功能。
【命令】
ssh server enable
undo ssh server enable
【缺省情況】
SSH服務器功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【舉例】
# 使能SSH服務器功能。
<Sysname> system-view
[Sysname] ssh server enable
【相關命令】
· display ssh server
ssh server rekey-interval命令用來設置RSA服務器密鑰對的更新時間。
undo ssh server rekey-interval命令用來恢複缺省情況。
【命令】
ssh server rekey-interval hours
undo ssh server rekey-interval
【缺省情況】
RSA服務器密鑰對的更新時間為0,表示係統不更新RSA服務器密鑰對。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
hours:服務器密鑰對的更新周期,取值範圍為1~24,單位為小時。
【使用指導】
SSH的核心是密鑰對的協商和傳輸,因此密鑰對的管理是非常重要的。通過定時更新服務器密鑰對,可以防止對密鑰對的惡意猜測和破解,從而提高了SSH連接的安全性。
需要注意的是:
· 本配置僅對SSH客戶端版本為SSH1的用戶有效。
· FIPS模式下,不支持本命令。
【舉例】
# 設置每3小時更新一次RSA服務器密鑰對。
<Sysname> system-view
[Sysname] ssh server rekey-interval 3
【相關命令】
· display ssh server
ssh user命令用來創建SSH用戶,並指定SSH用戶的服務類型和認證方式。
undo ssh user命令用來刪除SSH用戶。
【命令】
非FIPS模式下:
ssh user username service-type { all | scp | sftp | stelnet } authentication-type { password | { any | password-publickey | publickey } assign { pki-domain domain-name | publickey keyname } }
undo ssh user username
FIPS模式下:
ssh user username service-type { all | scp | sftp | stelnet } authentication-type { password | password-publickey assign { pki-domain domain-name | publickey keyname } }
undo ssh user username
【缺省情況】
不存在任何SSH用戶。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
username:SSH用戶名,為1~80個字符的字符串,區分大小寫。若用戶名中攜帶ISP域名,則其形式為pureusername@domain,其中,pureusername為1~55個字符的字符串,domain為1~24個字符的字符串。
service-type:SSH用戶的服務類型。包括:
· all:包括scp、sftp和stelnet三種服務類型。
· scp:服務類型為SCP(Secure Copy的簡稱)。
· sftp:服務類型為SFTP(Secure FTP的簡稱)。
· stelnet:服務類型為Stelnet(Secure Telnet的簡稱)。
authentication-type:SSH用戶的認證方式。包括:
· password:強製指定該用戶的認證方式為password。該認證方式的加密機製簡單,加密速度快,可結合AAA(Authentication, Authorization, Accounting,認證、授權、計費)實現對用戶認證、授權和計費,但容易受到攻擊。
· any:不指定用戶的認證方式,用戶既可以采用password認證,也可以采用publickey認證。
· password-publickey:指定客戶端版本為SSH2的用戶認證方式為必須同時進行password和publickey兩種認證,安全性更高;客戶端版本為SSH1的用戶認證方式為隻要進行其中一種認證即可。
· publickey:強製指定該用戶的認證方式為publickey。該認證方式的加密速度相對較慢,但認證強度高,不易受到暴力猜測密碼等攻擊方式的影響,而且具有較高的易用性。一次配置成功後,後續認證過程自動完成,不需要用戶記憶和輸入密碼。
assign :指定用於驗證客戶端的參數。
· pki-domain domain-name:指定驗證客戶端證書的PKI域。pkiname表示PKI域的名稱,為1~31個字符的字符串,不區分大小寫。服務器端使用保存在該PKI域中的CA證書對客戶端證書進行合法性檢查,無需提前保存客戶端的公鑰,能夠靈活滿足大數量客戶端的認證需求。
· publickey keyname:為SSH客戶端的公鑰。keyname表示已經配置的客戶端公鑰名稱,為1~64個字符的字符串,不區分大小寫。服務器端使用提前保存在本地的用戶公鑰對用戶進行合法性檢查,如果客戶端密鑰文件改變,服務器端需要及時更新本地配置。
【使用指導】
如果服務器采用publickey方式認證客戶端,則必須通過本配置在設備上創建相應的SSH用戶,並需要創建同名的本地用戶,用於對SSH用戶進行本地授權,包括授權用戶角色、工作目錄;如果服務器采用password方式認證客戶端,則必須將SSH用戶的賬號信息配置在設備(適用於本地認證)或者遠程認證服務器(如RADIUS服務器,適用於遠程認證)上,而並不要求通過本配置創建相應的SSH用戶。
使用該命令為用戶指定公鑰或PKI域時,以最後一次指定的公鑰或PKI域為準。
新配置的認證方式和用戶公鑰或PKI域,不會影響已經登錄的SSH用戶,僅對新登錄的用戶生效。
SCP或SFTP用戶登錄時使用的工作目錄與用戶使用的認證方式有關:
· 采用publickey或password-publickey認證方式的用戶,使用的工作目錄為對應的本地用戶視圖下通過authorization-attribute命令設置的工作目錄;
· 隻采用password認證方式的用戶,使用的工作目錄為通過AAA授權的工作目錄;
SFTP和Stelnet用戶登錄時擁有的用戶角色與用戶使用的認證方式有關:
· 采用publickey或password-publickey認證方式的用戶,用戶角色為對應的本地用戶視圖下通過authorization-attribute命令設置的用戶角色;
· 采用password認證方式的用戶,用戶角色為通過AAA授權的用戶角色。
【舉例】
# 創建SSH用戶user1,配置user1的服務類型為SFTP,認證方式為publickey,並指定客戶端公鑰為key1。
<Sysname> system-view
[Sysname] ssh user user1 service-type sftp authentication-type publickey assign publickey key1
# 創建設備管理類本地用戶user1,配置用戶密碼為明文123456,服務類型為SSH,授權工作目錄為flash:,授權用戶角色為network-admin。
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456
[Sysname-luser-manage-user1] service-type ssh
[Sysname-luser-manage-user1] authorization-attribute work-directory flash: user-role network-admin
【相關命令】
· authorization-attribute(安全命令參考/AAA)
· display ssh user-information
· local-user(安全命令參考/AAA)
· pki domain(安全命令參考/PKI)
bye命令用來終止與遠程SFTP服務器的連接,並退回到用戶視圖。
【命令】
bye
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【使用指導】
該命令功能與exit、quit相同。
【舉例】
# 終止與遠程SFTP服務器的連接。
sftp> bye
<Sysname>
cd命令用來改變遠程SFTP服務器上的工作路徑。
【命令】
cd [ remote-path ]
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
remote-path:目的工作路徑的名稱。
【使用指導】
命令“cd ..”用來返回到上一級目錄。
命令“cd /”用來返回到係統的根目錄。
【舉例】
# 改變工作路徑到new1。
sftp> cd new1
Current Directory is:/new1
sftp> pwd
Remote working directory: /new1
sftp>
cdup命令用來返回到上一級目錄。
【命令】
cdup
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【舉例】
# 從當前工作目錄/test1返回到上一級目錄。
sftp> cd test1
Current Directory is:/test1
sftp> pwd
Remote working directory: /test1
sftp> cdup
Current Directory is:/
sftp> pwd
Remote working directory: /
sftp>
delete命令用來刪除SFTP服務器上指定的文件。
【命令】
delete remote-file
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
remote-file:要刪除的文件的名稱。
【使用指導】
該命令和remove功能相同。
【舉例】
# 刪除服務器上的文件temp.c。
sftp> delete temp.c
Removing /temp.c
dir命令用來顯示指定目錄下文件及文件夾的信息。
【命令】
dir [ -a | -l ] [ remote-path ]
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
-a:顯示指定目錄下文件及文件夾的名稱。
-l:以列表的形式顯示指定目錄下文件及文件夾的詳細信息。
remote-path:查詢的目錄名。
【使用指導】
如果沒有指定-a和-l參數,則顯示指定目錄下文件及文件夾的名稱。
如果沒有指定remote-path,則顯示當前工作目錄下文件及文件夾的信息。
該命令功能與ls相同。
【舉例】
# 顯示當前工作目錄下文件及文件夾的名稱。
sftp> dir –a
config.cfg
pubkey2
pubkey1
pub1
new1
new2
pub2
# 以列表的形式顯示當前工作目錄下文件及文件夾的詳細信息。
sftp> dir –l
drwxrwxrwx 1 1 1 2048 Jan 1 00:00 diagfile
-rwxrwxrwx 1 1 1 548 Jan 2 00:17 dsakey
-rwxrwxrwx 1 1 1 716 Jan 2 00:17 hostkey
drwxrwxrwx 1 1 1 2048 Jan 1 11:47 logfile
drwxrwxrwx 1 1 1 2048 Jan 2 00:27 new1
drwxrwxrwx 1 1 1 2048 Jan 1 08:49 new2
-rw-rw-rw- 1 1 1 301 Jan 2 00:16 pubkey
drwxrwxrwx 1 1 1 2048 Jan 1 00:00 seclog
-rwxrwxrwx 1 1 1 572 Jan 2 00:17 serverkey
-rwxrwxrwx 1 1 1 4481 Sep 28 10:52 startup.cfg
display sftp client source命令用來顯示當前為SFTP客戶端設置的源IP地址或者源接口。
【命令】
display sftp client source
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示設置的SFTP客戶端的源IP地址或者源接口。
<Sysname> display sftp client source
The source IP address of the SFTP client is 192.168.0.1.
The source IPv6 address of the SFTP client is 2:2::2:2.
【相關命令】
· sftp client ipv6 source
· sftp client source
display ssh client source命令用來顯示當前為Stelnet客戶端設置的源IP地址或者源接口。
【命令】
display ssh client source
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示設置的Stelnet客戶端的源IP地址或者源接口。
<Sysname> display ssh client source
The source IP address of the SSH client is 192.168.0.1.
The source IPv6 address of the SSH client is 2:2::2:2.
【相關命令】
· ssh client ipv6 source
· ssh client source
exit命令用來終止與遠程SFTP服務器的連接,並退回到用戶視圖。
【命令】
exit
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【使用指導】
該命令功能與bye,quit相同。
【舉例】
# 終止與遠程SFTP服務器的連接。
sftp> exit
<Sysname>
get命令用來從遠程SFTP服務器上下載文件並存儲在本地。
【命令】
get remote-file [ local-file ]
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
remote-file:遠程SFTP服務器上的文件名。
local-file:本地文件名。
【使用指導】
如果沒有指定本地文件名,則認為本地保存文件的文件名與服務器上的文件名相同。
【舉例】
# 下載遠程服務器上的temp1.c文件,並以文件名temp.c在本地保存。
sftp> get temp1.c temp.c
Fetching /temp1.c to temp.c
/temp.c 100% 1424 1.4KB/s 00:00
help命令用來顯示SFTP客戶端命令的幫助信息。
【命令】
help
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【使用指導】
鍵入?和執行help命令的功能相同。
【舉例】
# 查看幫助信息。
sftp> help
Available commands:
bye Quit sftp
cd [path] Change remote directory to 'path'
cdup Change remote directory to the parent directory
delete path Delete remote file
dir [-a|-l][path] Display remote directory listing
-a List all filenames
-l List filename including the specific
information of the file
exit Quit sftp
get remote-path [local-path] Download file
help Display this help text
ls [-a|-l][path] Display remote directory
-a List all filenames
-l List filename including the specific
information of the file
mkdir path Create remote directory
put local-path [remote-path] Upload file
pwd Display remote working directory
quit Quit sftp
rename oldpath newpath Rename remote file
remove path Delete remote file
rmdir path Delete remote empty directory
? Synonym for help
ls命令用來顯示指定目錄下文件及文件夾的信息。
【命令】
ls [ -a | -l ] [ remote-path ]
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
-a:顯示指定目錄下文件及文件夾的名稱。
-l:以列表的形式顯示指定目錄下文件及文件夾的詳細信息。
remote-path:查詢的目錄名。
【使用指導】
如果沒有指定-a和-l參數,則顯示指定目錄下文件及文件夾的名稱。
如果沒有指定remote-path,則顯示當前工作目錄下文件及文件夾的信息。
該命令功能與dir相同。
【舉例】
# 顯示當前工作目錄下的文件及文件夾的名稱。
sftp> ls –a
config.cfg
pubkey2
pubkey1
pub1
new1
new2
pub2
# 以列表的形式顯示當前工作目錄下文件及文件夾的詳細信息。
sftp> ls -l
drwxrwxrwx 1 1 1 2048 Jan 1 00:00 diagfile
-rwxrwxrwx 1 1 1 548 Jan 2 00:17 dsakey
-rwxrwxrwx 1 1 1 716 Jan 2 00:17 hostkey
drwxrwxrwx 1 1 1 2048 Jan 1 11:47 logfile
drwxrwxrwx 1 1 1 2048 Jan 2 00:27 new1
drwxrwxrwx 1 1 1 2048 Jan 1 08:49 new2
-rw-rw-rw- 1 1 1 301 Jan 2 00:16 pubkey
drwxrwxrwx 1 1 1 2048 Jan 1 00:00 seclog
-rwxrwxrwx 1 1 1 572 Jan 2 00:17 serverkey
-rwxrwxrwx 1 1 1 4481 Sep 28 10:52 startup.cfg
mkdir命令用來在遠程SFTP服務器上創建新的目錄。
【命令】
mkdir remote-path
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
remote-path:遠程SFTP服務器上的目錄名。
【舉例】
# 在遠程SFTP服務器上建立目錄test。
sftp> mkdir test
put命令用來將本地的文件上傳到遠程SFTP服務器。
【命令】
put local-file [ remote-file ]
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
local-file:本地的文件名。
remote-file:遠程SFTP服務器上的文件名。
【使用指導】
如果沒有指定遠程服務器上的文件名,則認為服務器上保存文件的文件名與本地的文件名相同。
【舉例】
# 將本地startup.bak文件上傳到遠程SFTP服務器,並以startup01.bak文件名保存。
sftp> put startup.bak startup01.bak
Uploading startup.bak to /startup01.bak
startup01.bak 100% 1424 1.4KB/s 00:00
pwd命令用來顯示遠程SFTP服務器上的當前工作目錄。
【命令】
pwd
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【舉例】
# 顯示遠程SFTP服務器上的當前工作目錄。
sftp> pwd
Remote working directory: /
以上顯示信息表示當前的工作目錄為根目錄。
quit命令用來終止與遠程SFTP服務器的連接,並退回到用戶視圖。
【命令】
quit
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【使用指導】
該命令功能與bye,exit相同。
【舉例】
# 終止與遠程SFTP服務器的連接。
sftp> quit
<Sysname>
remove命令用來刪除遠程SFTP服務器上指定的文件。
【命令】
remove remote-file
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
remote-file:要刪除的文件的名稱。
【使用指導】
該命令和delete命令相同。
【舉例】
# 刪除遠程SFTP服務器上的文件temp.c。
sftp> remove temp.c
Removing /temp.c
rename命令用來改變遠程SFTP服務器上指定的文件或者文件夾的名字。
【命令】
rename old-name new-name
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
old-name:原文件名或者文件夾名。
new-name:新文件名或者文件夾名。
【舉例】
# 將遠程SFTP服務器上的文件temp1.c改名為temp2.c。
sftp> dir
aa.pub temp1.c
sftp> rename temp1.c temp2.c
sftp> dir
aa.pub temp2.c
rmdir命令用來刪除遠程SFTP服務器上指定的目錄。
【命令】
rmdir remote-path
【視圖】
SFTP客戶端視圖
【缺省用戶角色】
network-admin
【參數】
remote-path:遠程SFTP服務器上的目錄名。
【舉例】
# 刪除SFTP服務器上當前工作目錄下的temp1目錄。
sftp> rmdir temp1
scp命令用來與遠程的SCP服務器建立連接,並進行文件傳輸。
【命令】
非FIPS模式下:
scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 }] * [ publickey keyname | source { interface interface-type interface-number | ip ip-address } ] *
FIPS模式下:
scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] [ identity-key rsa | prefer-compress zlib | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 }] * [ publickey keyname | source { interface interface-type interface-number | ip ip-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv4地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為0~65535,缺省值為22。
vpn-instance vpn-instance-name:服務器所屬的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名,為1~31個字符的字符串,區分大小寫。
get:指定下載文件操作。
put:指定上傳文件操作。
source-file-path:源文件路徑。
destination-file-path:目的文件路徑。不指定該參數時,表示使用源文件路徑作為目的文件名稱。
identity-key:客戶端采用的公鑰算法,缺省算法為dsa。該參數僅當服務器端采用publickey認證時才需要指定。
· dsa:公鑰算法為DSA。
· rsa:公鑰算法為RSA。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省不支持壓縮。
zlib:壓縮算法ZLIB。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128。des、3des、aes128、aes256算法的安全強度和運算花費時間依次遞增。
· 3des:3DES-CBC加密算法。
· aes128:128位的AES-CBC加密算法。
· aes256:256位的AES-CBC加密算法。
· des:DES-CBC加密算法。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha1。md5、sha1算法的安全強度和運算花費時間依次遞增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
prefer-kex:密鑰交換首選算法。非FIPS模式下,缺省算法為dh-group-exchange;FIPS模式下,缺省算法為dh-group14。dh-group1、dh-group14算法的安全強度和運算花費時間依次遞增。
· dh-group-exchange:密鑰交換算法diffie-hellman-group-exchange-sha1。
· dh-group1:密鑰交換算法diffie-hellman-group1-sha1。
· dh-group14:密鑰交換算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha1。
publickey keyname:指定服務器端的主機公鑰,用於驗證服務器端的身份。其中,keyname表示已經配置的主機公鑰名稱,為1~64個字符的字符串,不區分大小寫。
source:指定與服務器通信的源IP地址或者源接口。缺省情況下,設備根據路由表項自動選擇一個源IP地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者接口的IP地址作為源地址。
· interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv4地址作為發送報文的源IP地址。
· ip ip-address:指定源IPv4地址。
【使用指導】
當服務器端采用publickey認證方式認證客戶端時,客戶端需要讀取本地的私鑰進行數字簽名。由於publickey認證可以采用RSA和DSA兩種公鑰算法,所以需要用identity-key關鍵字指定客戶端采用的公鑰算法,才能得到正確的本地私鑰數據。
【舉例】
# SCP客戶端采用publickey認證方式,登錄地址為200.1.1.1的遠程SCP服務器,下載名為abc.txt的文件,采用如下連接策略,並指定服務器端的公鑰名稱為svkey:
· 首選密鑰交換算法為dh-group14;
· 服務器到客戶端的首選加密算法為aes128;
· 客戶端到服務器的首選HMAC算法為sha1;
· 服務器到客戶端的HMAC算法為sha1-96;
· 服務器與客戶端之間的首選壓縮算法為zlib;
<Sysname> scp 200.1.1.1 get abc.txt prefer-kex dh-group14 prefer-stoc-cipher aes128 prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib publickey svkey
scp ipv6命令用來與遠程的IPv6 SCP服務器建立連接,並進行文件傳輸。
【命令】
非FIPS模式下:
scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 }] * [ publickey keyname | source { interface interface-type interface-number | ipv6 ipv6-address } ] *
FIPS模式下:
scp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] [ identity-key rsa | prefer-compress zlib | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 }] * [ publickey keyname | source { interface interface-type interface-number | ipv6 ipv6-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv6地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
vpn-instance vpn-instance-name:服務器所屬的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名,為1~31個字符的字符串,區分大小寫。
-i interface-type interface-number:當前SCP客戶端連接所使用的出接口的接口類型和接口編號。此參數用於SCP服務器的地址是鏈路本地地址的情況,而且指定的出接口必需具有鏈路本地地址。
get:指定下載文件操作。
put:指定上傳文件操作。
source-file-path:源文件路徑。
destination-file-path:目的文件路徑。不指定該參數時,表示使用源文件路徑作為目的文件名稱。
identity-key:客戶端采用的公鑰算法,缺省算法為dsa。該參數僅當服務器端采用publickey認證時才需要指定。
· dsa:公鑰算法為DSA。
· rsa:公鑰算法為RSA。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省不支持壓縮。
zlib:壓縮算法ZLIB。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128。des、3des、aes128、aes256算法的安全強度和運算花費時間依次遞增。
· 3des:3DES-CBC加密算法。
· aes128:128位的AES-CBC加密算法。
· aes256:256位的AES-CBC加密算法。
· des:DES-CBC加密算法。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha1。md5、sha1算法的安全強度和運算花費時間依次遞增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
prefer-kex:密鑰交換首選算法。非FIPS模式下,缺省算法為dh-group-exchange;FIPS模式下,缺省算法為dh-group14。dh-group1、dh-group14算法的安全強度和運算花費時間依次遞增。
· dh-group-exchange:密鑰交換算法diffie-hellman-group-exchange-sha1。
· dh-group1:密鑰交換算法diffie-hellman-group1-sha1。
· dh-group14:密鑰交換算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha1。
publickey keyname:指定服務器端的主機公鑰,用於驗證服務器端的身份。其中,keyname表示已經配置的主機公鑰名稱,為1~64個字符的字符串,不區分大小寫。
source:指定與服務器通信的源IP地址或者源接口。缺省情況下,設備根據路由表項自動選擇一個源IP地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者接口的IP地址作為源地址。
· interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv6地址作為發送報文的源IP地址。
· ipv6 ipv6-address:指定源IPv6地址。
【使用指導】
當服務器端采用publickey認證方式認證客戶端時,客戶端需要讀取本地的私鑰進行數字簽名。由於publickey認證可以采用RSA和DSA兩種公鑰算法,所以需要用identity-key關鍵字指定客戶端采用的公鑰算法,才能得到正確的本地私鑰數據。
【舉例】
# SCP客戶端采用publickey認證方式,登錄地址為2000::1的遠程SCP服務器,下載名為abc.txt的文件,采用如下連接策略,並指定服務器端的公鑰名稱為svkey:
· 首選密鑰交換算法為dh-group14;
· 服務器到客戶端的首選加密算法為aes128;
· 客戶端到服務器的首選HMAC算法為sha1;
· 服務器到客戶端的HMAC算法為sha1-96;
· 服務器與客戶端之間的首選壓縮算法為zlib;
<Sysname> scp ipv6 2000::1 get abc.txt prefer-kex dh-group14 prefer-stoc-cipher aes128 prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib publickey svkey
sftp命令用來與遠程IPv4 SFTP服務器建立連接,並進入SFTP客戶端視圖。
【命令】
非FIPS模式下:
sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * [ publickey keyname | source { interface interface-type interface-number s | ip ip-addres} ] *
FIPS模式下:
sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key rsa | prefer-compress zlib | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * [ publickey keyname | source { interface interface-type interface-number s | ip ip-addres} ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器IPv4地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
vpn-instance vpn-instance-name:服務器所屬的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名,為1~31個字符的字符串,區分大小寫。
identity-key:客戶端采用的公鑰算法,缺省算法為dsa。該參數僅當服務器端采用publickey認證時才需要指定。
· dsa:公鑰算法為DSA。
· rsa:公鑰算法為RSA。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省不支持壓縮。
zlib:壓縮算法ZLIB。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128。des、3des、aes128、aes256算法的安全強度和運算花費時間依次遞增。
· 3des:3DES-CBC加密算法。
· aes128:128位的AES-CBC加密算法。
· aes256:256位的AES-CBC加密算法。
· des:DES-CBC加密算法。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha1。md5、sha1算法的安全強度和運算花費時間依次遞增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
prefer-kex:密鑰交換首選算法,非FIPS模式下,缺省算法為dh-group-exchange;FIPS模式下,缺省算法為dh-group14。dh-group1、dh-group14算法的安全強度和運算花費時間依次遞增。
· dh-group-exchange:密鑰交換算法diffie-hellman-group-exchange-sha1。
· dh-group1:密鑰交換算法diffie-hellman-group1-sha1。
· dh-group14:密鑰交換算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha1。
publickey keyname:指定服務器端的主機公鑰,用於驗證服務器端的身份。其中,keyname表示已經配置的主機公鑰名稱,為1~64個字符的字符串,不區分大小寫。
source:指定與服務器通信的源IP地址或者源接口。缺省情況下,報文源IP地址為根據路由查找的發送報文的出接口的主IP地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者接口的IP地址作為源地址。
· interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將采用該接口的主IPv4地址作為發送報文的源IP地址。
· ip ip-address:指定源IPv4地址。
【使用指導】
當服務器端采用publickey認證方式認證客戶端時,客戶端需要讀取本地的私鑰進行數字簽名。由於publickey認證可以采用RSA和DSA兩種公鑰算法,所以需要用identity-key關鍵字指定客戶端采用的公鑰算法,才能得到正確的本地私鑰數據。
【舉例】
# SFTP客戶端采用publickey認證方式,連接IP地址為10.1.1.2的SFTP服務器,采用如下連接策略,並指定服務器端的公鑰名稱為svkey:
· 首選密鑰交換算法為dh-group14;
· 服務器到客戶端的首選加密算法為aes128;
· 客戶端到服務器的首選HMAC算法為sha1;
· 服務器到客戶端的HMAC算法為sha1-96;
· 服務器與客戶端之間的首選壓縮算法為zlib。
<Sysname> sftp 10.1.1.2 prefer-kex dh-group14 prefer-stoc-cipher aes128 prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib publickey svkey
sftp client ipv6 source命令用來為SFTP客戶端指定源IPv6地址或源接口。
undo sftp client ipv6 source命令用來清除指定的源IPv6地址或源接口。
【命令】
sftp client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }
undo sftp client ipv6 source
【缺省情況】
未配置SFTP客戶端使用的IPv6源地址,SFTP客戶端使用設備路由指定的接口地址訪問SFTP服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:指定接口下與報文目的地址最匹配的IPv6地址作為源地址。interface-type interface-number表示源接口類型與源接口編號。
ipv6 ipv6-address:指定源IPv6地址。
【使用指導】
源地址是指SFTP客戶端用於與服務器通信的地址。
· 多次執行本命令,最新配置生效。
· 使用該命令指定了源地址後,若SFTP用戶使用sftp ipv6命令登錄時又指定了源地址,則采用sftp ipv6命令中指定的源地址。
· sftp client ipv6 source命令指定的源地址對所有的SFTP連接有效,sftp ipv6命令指定的源地址隻對當前的SFTP連接有效。
【舉例】
# 指定SFTP客戶端的源IPv6地址為2:2::2:2。
<Sysname> system-view
[Sysname] sftp client ipv6 source ipv6 2:2::2:2
【相關命令】
· display sftp client source
sftp client source命令用來為SFTP客戶端指定源IPv4地址或源接口。
undo sftp client source命令用來清除指定的源IPv4地址或源接口。
【命令】
sftp client source { interface interface-type interface-number | ip ip-address }
undo sftp client source
【缺省情況】
未配置SFTP客戶端使用的IPv4源地址,SFTP客戶端使用設備路由指定的接口地址訪問SFTP服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number: 指定接口的主IP地址作為源地址。interface-type interface-number表示源接口類型與源接口編號。
ip ip-address:指定源IP地址。
【使用指導】
源地址是指SFTP客戶端用於與服務器通信的地址,包括源接口和源IP。
· 多次執行本命令,最新配置生效。
· 使用該命令指定了源地址後,若SFTP用戶使用sftp命令登錄時又指定了源地址,則采用sftp命令中指定的源地址。
· sftp client source命令指定的源地址對所有的SFTP連接有效,sftp命令指定的源地址隻對當前的SFTP連接有效。
【舉例】
# 指定SFTP客戶端的源IP地址為192.168.0.1。
<Sysname> system-view
[Sysname] sftp client source ip 192.168.0.1
【相關命令】
· display sftp client source
sftp ipv6命令用來建立SFTP客戶端和與遠程IPv6 SFTP服務器建立連接,並進入SFTP客戶端視圖。
【命令】
非FIPS模式下:
sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { dsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * [ publickey keyname | source { interface interface-type interface-number | ipv6 ipv6-addres} ] *
FIPS模式下:
sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key rsa | prefer-compress zlib | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * [ publickey keyname | source { interface interface-type interface-number | ipv6 ipv6-addres} ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv6地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
vpn-instance vpn-instance-name:服務器所屬的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名,為1~31個字符的字符串,區分大小寫。
-i interface-type interface-number:客戶端連接服務器時使用的出接口。其中,interface-type interface-number表示接口類型和接口編號。本參數僅在客戶端所連接的服務器的地址是鏈路本地地址時使用。指定的出接口必須具有鏈路本地地址。
identity-key:客戶端采用的公鑰算法,缺省算法為dsa。該參數僅當服務器端采用publickey認證時才需要指定。
· dsa:公鑰算法為DSA。
· rsa:公鑰算法為RSA。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省不支持壓縮。
zlib:壓縮算法ZLIB。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128。des、3des、aes128、aes256算法的安全強度和運算花費時間依次遞增。
· 3des:3DES-CBC加密算法。
· aes128:128位的AES-CBC加密算法。
· aes256:256位的AES-CBC加密算法。
· des:DES-CBC加密算法。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha1。md5、sha1算法的安全強度和運算花費時間依次遞增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
prefer-kex:密鑰交換首選算法。非FIPS模式下,缺省算法為dh-group-exchange;FIPS模式下,缺省算法為dh-group14。dh-group1、dh-group14算法的安全強度和運算花費時間依次遞增。
· dh-group-exchange:密鑰交換算法diffie-hellman-group-exchange-sha1。
· dh-group1:密鑰交換算法diffie-hellman-group1-sha1。
· dh-group14:密鑰交換算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha1。
publickey keyname:指定服務器端的主機公鑰,用於驗證服務器端的身份。其中,keyname表示已經配置的主機公鑰名稱,為1~64個字符的字符串,不區分大小寫。
source:指定與服務器通信的源IP地址或者源接口。缺省情況下,設備根據路由表項自動選擇一個源IP地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者接口的IP地址作為源地址。
· interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv6地址作為發送報文的源IP地址。
· ipv6 ipv6-address:指定源IPv6地址。
【使用指導】
當服務器端采用publickey認證方式認證客戶端時,客戶端需要讀取本地的私鑰進行數字簽名。由於publickey認證可以采用RSA和DSA兩種公鑰算法,所以需要用identity-key關鍵字指定客戶端采用的公鑰算法,才能得到正確的本地私鑰數據。
【舉例】
# SFTP客戶端采用publickey認證方式,連接IPv6地址為2000::1的SFTP服務器,采用如下連接策略,並指定服務器端的公鑰名稱為svkey:
· 首選密鑰交換算法為dh-group14;
· 服務器到客戶端的首選加密算法為aes128;
· 客戶端到服務器的首選HMAC算法為sha1;
· 服務器到客戶端的HMAC算法為sha1-96;
· 服務器與客戶端之間的首選壓縮算法為zlib。
<Sysname> sftp ipv6 2000::1 prefer-kex dh-group14 prefer-stoc-cipher aes128 prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib publickey svkey
Username:
ssh client ipv6 source命令用來為Stelnet客戶端指定源IPv6地址或源接口。
undo ssh client ipv6 source命令用來清除指定的源IPv6地址或源接口。
【命令】
ssh client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }
undo ssh client ipv6 source
【缺省情況】
未配置Stelnet客戶端使用的IPv6源地址,Stelnet客戶端使用設備路由指定的接口地址訪問Stelnet服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:指定接口下與報文目的地址最匹配的IPv6地址作為源地址。interface-type interface-number表示源接口類型與源接口編號。
ipv6 ipv6-address:指定源IPv6地址。
【使用指導】
源地址是指Stelnet客戶端用於與服務器通信的本機地址。
· 多次執行本命令,最新配置生效。
· 使用該命令指定了源地址後,若SSH用戶使用ssh2 ipv6命令登錄時又指定了源地址,則采用ssh2 ipv6命令中指定的源地址。
· ssh client ipv6 source命令指定的源地址對所有的IPv6 Stelnet連接有效,ssh2 ipv6命令指定的源地址隻對當前的Stelnet連接有效。
【舉例】
# 指定Stelnet客戶端的源IPv6地址為2:2::2:2。
<Sysname> system-view
[Sysname] ssh client ipv6 source ipv6 2:2::2:2
【相關命令】
· display ssh client source
ssh client source命令用來為Stelnet客戶端指定源IPv4地址或源接口。
undo ssh client source命令用來清除指定的源IPv4地址或源接口。
【命令】
ssh client source { interface interface-type interface-number | ip ip-address }
undo ssh client source
【缺省情況】
未配置Stelnet客戶端使用的IPv4源地址,Stelnet客戶端使用設備路由指定的接口地址訪問Stelnet服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:指定接口的主IP地址作為源地址。interface-type interface-number表示源接口類型與源接口編號。
ip ip-address:指定源IPv4地址。
【使用指導】
源地址是指Stelnet客戶端用於與服務器通信的地址。
· 多次執行本命令,最新配置生效。
· 使用該命令指定了源地址後,若SSH用戶使用ssh2命令登錄時又指定了源地址,則采用ssh2命令中指定的源地址。
· ssh client source命令指定的源地址對所有的Stelnet連接有效,ssh2命令指定的源地址隻對當前的Stelnet連接有效。
【舉例】
# 指定Stelnet客戶端的源IPv4地址為192.168.0.1。
<Sysname> system-view
[Sysname] ssh client source ip 192.168.0.1
【相關命令】
· display ssh client source
ssh2命令用來建立Stelnet客戶端和IPv4 Stelnet服務器端的連接。
【命令】
非FIPS模式下:
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * [ publickey keyname | source { interface interface-type interface-number | ip ip-address } ] *
FIPS模式下:
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key rsa | prefer-compress zlib | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * [ publickey keyname | source { interface interface-type interface-number | ip ip-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器IPv4地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
vpn-instance vpn-instance-name:服務器所屬的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名,為1~31個字符的字符串,區分大小寫。
identity-key:客戶端采用的公鑰算法,缺省算法為dsa。該參數僅當服務器端采用publickey認證時才需要指定。
· dsa:公鑰算法為DSA。
· rsa:公鑰算法為RSA。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省不支持壓縮。
zlib:壓縮算法ZLIB。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128。des、3des、aes128、aes256算法的安全強度和運算花費時間依次遞增。
· 3des:3DES-CBC加密算法。
· aes128:128位的AES-CBC加密算法。
· aes256:256位的AES-CBC加密算法。
· des:DES-CBC加密算法。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha1。md5、sha1算法的安全強度和運算花費時間依次遞增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
prefer-kex:密鑰交換首選算法。非FIPS模式下,缺省算法為dh-group-exchange;FIPS模式下,缺省算法為dh-group14。dh-group1、dh-group14算法的安全強度和運算花費時間依次遞增。
· dh-group-exchange:密鑰交換算法diffie-hellman-group-exchange-sha1。
· dh-group1:密鑰交換算法diffie-hellman-group1-sha1。
· dh-group14:密鑰交換算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha1。
publickey keyname:指定服務器端的主機公鑰,用於驗證服務器端的身份。其中,keyname表示已經配置的主機公鑰名稱,為1~64個字符的字符串,不區分大小寫。
source:指定與服務器通信的源IP地址或者源接口。缺省情況下,報文源IP地址為根據路由查找的發送報文的出接口的主IP地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者接口的IP地址作為源地址。
· interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將采用該接口的主IPv4地址作為發送報文的源IP地址。
· ip ip-address:指定源IPv4地址。
【使用指導】
當服務器端采用publickey認證方式認證客戶端時,客戶端需要讀取本地的私鑰進行數字簽名。由於publickey認證可以采用RSA和DSA兩種公鑰算法,所以需要通過identity-key關鍵字指定客戶端采用的公鑰算法,才能得到正確的本地私鑰數據。
【舉例】
# Stelnet客戶端采用publickey認證方式,登錄地址為3.3.3.3的遠程Stelnet服務器,采用如下連接策略,並指定服務器端的公鑰名稱為svkey:
· 首選密鑰交換算法為dh-group14;
· 服務器到客戶端的首選加密算法為aes128;
· 客戶端到服務器的首選HMAC算法為sha1;
· 服務器到客戶端的HMAC算法為sha1-96;
· 服務器與客戶端之間的首選壓縮算法為zlib。
<Sysname> ssh2 3.3.3.3 prefer-kex dh-group14 prefer-stoc-cipher aes128 prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib publickey svkey
ssh2 ipv6命令用來建立Stelnet客戶端和IPv6 Stelnet服務器端的連接。
【命令】
非FIPS模式下:
ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key { dsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 }] * [ publickey keyname | source { interface interface-type interface-number | ipv6 ipv6-address } ] *
FIPS模式下:
ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ -i interface-type interface-number ] [ identity-key rsa | prefer-compress zlib | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 }] * [ publickey keyname | source { interface interface-type interface-number | ipv6 ipv6-address } ] *
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
server:服務器的IPv6地址或主機名稱,為1~253個字符的字符串,不區分大小寫。
port-number:服務器端口號,取值範圍為1~65535,缺省值為22。
vpn-instance vpn-instance-name:服務器所屬的VPN。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名,為1~31個字符的字符串,區分大小寫。
-i interface-type interface-number:客戶端連接服務器時使用的出接口。其中,interface-type interface-number表示接口類型和接口編號。本參數僅在客戶端所連接的服務器的地址是鏈路本地地址時使用。指定的出接口必須具有鏈路本地地址。
identity-key:客戶端采用的公鑰算法,缺省算法為dsa。該參數僅當服務器端采用publickey認證時才需要指定。
· dsa:公鑰算法為DSA。
· rsa:公鑰算法為RSA。
prefer-compress:服務器與客戶端之間的首選壓縮算法,缺省不支持壓縮。
zlib:壓縮算法ZLIB。
prefer-ctos-cipher:客戶端到服務器端的首選加密算法,缺省算法為aes128。des、3des、aes128、aes256算法的安全強度和運算花費時間依次遞增。
· 3des:3DES-CBC加密算法。
· aes128:128位的AES-CBC加密算法。
· aes256:256位的AES-CBC加密算法。
· des:DES-CBC加密算法。
prefer-ctos-hmac:客戶端到服務器端的首選HMAC算法,缺省算法為sha1。md5、sha1算法的安全強度和運算花費時間依次遞增。
· md5:HMAC算法HMAC-MD5。
· md5-96:HMAC算法HMAC-MD5-96。
· sha1:HMAC算法HMAC-SHA1。
· sha1-96:HMAC算法HMAC-SHA1-96。
prefer-kex:密鑰交換首選算法。非FIPS模式下,缺省算法為dh-group-exchange;FIPS模式下,缺省算法為dh-group14。dh-group1、dh-group14算法的安全強度和運算花費時間依次遞增。
· dh-group-exchange:密鑰交換算法diffie-hellman-group-exchange-sha1。
· dh-group1:密鑰交換算法diffie-hellman-group1-sha1。
· dh-group14:密鑰交換算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服務器端到客戶端的首選加密算法,缺省算法為aes128。
prefer-stoc-hmac:服務器端到客戶端的首選HMAC算法,缺省算法為sha1。
publickey keyname:指定服務器端的主機公鑰,用於驗證服務器端的身份。其中,keyname表示已經配置的主機公鑰名稱,為1~64個字符的字符串,不區分大小寫。
source:指定與服務器通信的源IP地址或者源接口。缺省情況下,設備根據路由表項自動選擇一個源IP地址。為保證客戶端與服務器之間的通信不會因為所指定的接口發生故障而中斷,通常建議指定Loopback接口作為源接口,或者接口的IP地址作為源地址。
· interface interface-type interface-number:指定源接口。interface-type interface-number為接口類型和接口編號。係統將使用該接口的IPv6地址作為發送報文的源IP地址。
· ipv6 ipv6-address:指定源IPv6地址。
【使用指導】
當服務器端采用publickey認證方式認證客戶端時,客戶端需要讀取本地的私鑰進行數字簽名。由於publickey認證可以采用RSA和DSA兩種公鑰算法,所以需要用identity-key關鍵字指定客戶端采用的公鑰算法,才能得到正確的本地私鑰數據。
【舉例】
# SSH客戶端采用publickey認證方式,登錄地址為2000::1的遠程Stelnet服務器,采用如下連接策略,並指定服務器端的公鑰名稱為svkey:
· 首選密鑰交換算法為dh-group14;
· 服務器到客戶端的首選加密算法為aes128;
· 客戶端到服務器的首選HMAC算法為sha1;
· 服務器到客戶端的HMAC算法為sha1-96;
· 服務器與客戶端之間的首選壓縮算法為zlib;
<Sysname> ssh2 ipv6 2000::1 prefer-kex dh-group14 prefer-stoc-cipher aes128 prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib publickey svkey
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
