客户端ssh服务

i目录1SSH·1-11.
1SSH简介1-11.
1.
1SSH工作过程·1-11.
1.
2SSH认证方式·1-21.
1.
3SSH支持SuiteB1-31.
2配置SSH服务器1-31.
2.
1SSH服务器配置任务简介·1-31.
2.
2生成本地DSA、ECDSA或RSA密钥对1-41.
2.
3开启Stelnet服务器功能·1-51.
2.
4开启SFTP服务器功能1-51.
2.
5开启SCP服务器功能·1-51.
2.
6开启NETCONFoverSSH服务器功能·1-51.
2.
7配置SSH客户端登录时使用的用户线·1-61.
2.
8配置客户端的公钥·1-61.
2.
9配置SSH用户·1-71.
2.
10配置SSH管理功能1-81.
2.
11配置SSH服务器所属的PKI域1-101.
2.
12配置SSH服务端口号1-101.
2.
13释放已建立的SSH连接1-101.
3配置Stelnet客户端1-111.
3.
1Stelnet客户端配置任务简介·1-111.
3.
2生成本地DSA、ECDSA或RSA密钥对1-111.
3.
3配置Stelnet客户端发送SSH报文使用的源IP地址·1-121.
3.
4建立与Stelnet服务器的连接·1-121.
3.
5Stelnet客户端删除保存在公钥文件中的服务器公钥·1-151.
3.
6与远程的Stelnet服务器建立基于SuiteB算法集的连接1-151.
4配置SFTP客户端·1-151.
4.
1SFTP客户端配置任务简介1-151.
4.
2生成本地DSA、ECDSA或RSA密钥对1-161.
4.
3配置SFTP客户端发送SFTP报文使用的源IP地址1-161.
4.
4建立与SFTP服务器的连接1-171.
4.
5SFTP客户端删除保存在公钥文件中的服务器公钥·1-191.
4.
6与远程的SFTP服务器建立基于SuiteB算法集的连接·1-20ii1.
4.
7SFTP目录操作1-201.
4.
8SFTP文件操作1-211.
4.
9显示帮助信息·1-211.
4.
10终止与SFTP服务器的连接·1-211.
5配置SCP客户端1-221.
5.
1生成本地DSA或RSA密钥对·1-221.
5.
2与远程SCP服务器传输文件·1-221.
5.
3SCP客户端删除保存在公钥文件中的服务器公钥1-241.
5.
4与远程的SCP服务器建立基于SuiteB算法集的连接1-251.
6配置SSH2协议算法集1-251.
6.
1配置SSH2协议密钥交换算法优先列表·1-251.
6.
2配置SSH2协议主机签名算法优先列表·1-261.
6.
3配置SSH2协议加密算法优先列表·1-261.
6.
4配置SSH2协议MAC算法优先列表·1-271.
7SSH显示和维护1-271.
8Stelnet典型配置举例1-281.
8.
1设备作为Stelnet服务器配置举例(password认证)1-281.
8.
2设备作为Stelnet服务器配置举例(publickey认证)1-311.
8.
3设备作为Stelnet客户端配置举例(password认证)1-371.
8.
4设备作为Stelnet客户端配置举例(publickey认证)1-411.
8.
5设备支持StelnetSuiteB配置举例(128-bit)1-431.
9SFTP典型配置举例·1-471.
9.
1设备作为SFTP服务器配置举例(password认证)1-471.
9.
2设备作为SFTP客户端配置举例(publickey认证)1-501.
9.
3设备支持SFTPSuiteB配置举例(192-bit)1-531.
10SCP典型配置举例·1-571.
10.
1SCP文件传输配置举例(password认证)1-571.
10.
2设备支持SCPSuiteB配置举例·1-591.
11NETCONFoverSSH典型配置举例·1-651.
11.
1NETCONFoverSSH配置举例(password认证)1-661-11SSH设备运行于FIPS模式时,本特性的相关配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
1.
1SSH简介SSH是SecureShell(安全外壳)的简称,是一种在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输等业务的网络安全协议.
SSH协议采用了典型的客户端/服务器模式,并基于TCP协议协商建立用于保护数据传输的会话通道.
SSH协议有两个版本,SSH1.
x和SSH2.
0(本文简称SSH1和SSH2),两者互不兼容.
SSH2在性能和安全性方面比SSH1有所提高.
设备既可以支持SSH服务器功能,接受多个SSH客户端的连接,也可以支持SSH客户端功能,允许用户通过设备与远程SSH服务器建立SSH连接.
目前,设备支持以下几种SSH应用.
SecureTelnet:简称Stelnet,可提供安全可靠的网络终端访问服务,使得用户可以安全登录到远程设备,且能保护远程设备不受诸如IP地址欺诈、明文密码截取等攻击.
设备可支持Stelnet服务器、Stelnet客户端功能.
SecureFTP:简称SFTP,基于SSH2,可提供安全可靠的网络文件传输服务,使得用户可以安全登录到远程设备上进行文件管理操作,且能保证文件传输的安全性.
设备可支持SFTP服务器、SFTP客户端功能.
SecureCopy:简称SCP,基于SSH2,可提供安全的文件复制功能.
设备可支持SCP服务器、SCP客户端功能.
NETCONFoverSSH:基于SSH2,提供通过SSH连接给设备下发NETCONF指令的功能,使得用户可以安全登录到远程设备并直接进入到设备的NETCONF系统中进行配置和管理操作.
设备仅支持作为NETCONFoverSSH连接的服务器端.
关于NETCONF系统的详细介绍,请参见"网络管理和监控配置指导"中的"NETCONF".
目前,设备作为Stelnet服务器、SFTP服务器、SCP服务器时,非FIPS模式下支持SSH2和SSH1两个版本,FIPS模式下只支持SSH2版本;设备作为SSH客户端时,只支持SSH2版本;设备作为NETCONFoverSSH服务器端时,只支持SSH2版本.
1.
1.
1SSH工作过程本小节以SSH2为例介绍SSH工作的过程,具体分为表1-1所述的几个阶段,关于各阶段的详细介绍,请参见"SSH技术白皮书".
1-2表1-1SSH工作过程阶段说明连接建立SSH服务器在22号端口侦听客户端的连接请求,在客户端向服务器端发起连接请求后,双方建立一个TCP连接版本协商双方通过版本协商确定最终使用的SSH版本号算法协商SSH支持多种算法,双方根据本端和对端支持的算法,协商出最终用于产生会话密钥的密钥交换算法、用于数据信息加密的加密算法、用于进行数字签名和认证的公钥算法,以及用于数据完整性保护的HMAC算法密钥交换双方通过DH(Diffie-HellmanExchange)交换,动态地生成用于保护数据传输的会话密钥和用来标识该SSH连接的会话ID,并完成客户端对服务器端的身份认证用户认证SSH客户端向服务器端发起认证请求,服务器端对客户端进行认证会话请求认证通过后,SSH客户端向服务器端发送会话请求,请求服务器提供某种类型的服务(目前支持Stelnet、SFTP、SCP、NETCONF),即请求与服务器建立相应的会话会话交互会话建立后,SSH服务器端和客户端在该会话上进行数据信息的交互该阶段,用户在客户端可以通过粘贴文本内容的方式执行命令,但文本会话不能超过2000字节,且粘贴的命令最好是同一视图下的命令,否则服务器可能无法正确执行该命令.
如果粘贴的文本会话超过2000字节,可以采用将配置文件通过SFTP方式上传到服务器,利用新的配置文件重新启动的方式执行这些命令1.
1.
2SSH认证方式设备作为SSH服务器可提供以下四种对客户端的认证方式:password认证:利用AAA(Authentication、Authorization、Accounting,认证、授权和计费)对客户端身份进行认证.
客户端向服务器发出password认证请求,将用户名和密码加密后发送给服务器;服务器将认证请求解密后得到用户名和密码的明文,通过本地认证或远程认证验证用户名和密码的合法性,并返回认证成功或失败的消息.
publickey认证:采用数字签名的方式来认证客户端.
目前,设备上可以利用DSA、ECDSA、RSA三种公钥算法实现数字签名.
客户端发送包含用户名、公钥和公钥算法或者携带公钥信息的数字证书的publickey认证请求给服务器端.
服务器对公钥进行合法性检查,如果合法,则发送消息请求客户端的数字签名;如果不合法,则直接发送失败消息;服务器收到客户端的数字签名之后,使用客户端的公钥对其进行解密,并根据计算结果返回认证成功或失败的消息.
password-publickey认证:对于SSH2版本的客户端,要求同时进行password和publickey两种方式的认证,且只有两种认证均通过的情况下,才认为客户端身份认证通过;对于SSH1版本的客户端,只要通过其中任意一种认证即可.
any认证:不指定客户端的认证方式,客户端可采用password认证或publickey认证,且只要通过其中任何一种认证即可.
关于AAA以及公钥相关内容的介绍请分别参考"安全配置指导"中的"AAA"和"公钥管理".
1-3客户端进行password认证时,如果远程认证服务器要求用户进行二次密码认证,则会在发送给服务器端的认证回应消息中携带一个提示信息,该提示信息被服务器端透传给客户端,由客户端输出并要求用户再次输入一个指定类型的密码,当用户提交正确的密码并成功通过认证服务器的验证后,服务器端才会返回认证成功的消息.
SSH1版本的SSH客户端不支持AAA服务器发起的二次密码认证.
1.
1.
3SSH支持SuiteBSuiteB算法集是一种通用的加密和认证算法集,可满足高级别的安全标准要求.
RFC6239(SuiteBCryptographicSuitesforSecureShell(SSH))中定义了SSH支持SuiteB的相关规范,以及SSH服务器和SSH客户端在身份认证时的算法要求、协商过程以及认证过程.
SSH服务器和SSH客户端可基于X.
509v3证书进行身份认证.
1.
2配置SSH服务器1.
2.
1SSH服务器配置任务简介表1-2SSH服务器配置任务简介配置任务说明详细配置生成本地DSA、ECDSA或RSA密钥对必选1.
2.
2开启Stelnet服务器功能仅对于Stelnet服务器必选1.
2.
3开启SFTP服务器功能仅对于SFTP服务器必选1.
2.
4开启SCP服务器功能仅对于SCP服务器必选1.
2.
5开启NETCONFoverSSH服务器功能仅对NETCONFoverSSH服务器必选1.
2.
6配置SSH客户端登录时使用的用户线仅对Stelnet客户端和NETCONFoverSSH客户端必选1.
2.
7配置客户端的公钥采用publickey、password-publickey或any认证方式时必选1.
2.
8配置认证客户端证书的PKI域采用publickey认证方式且客户端使用证书认证时必选该PKI域中必须保存了用于认证客户端证书的CA证书请参见"安全配置指导"中的"PKI配置"配置SSH用户采用publickey、password-publickey或any认证方式时必选采用password认证方式时可选1.
2.
9配置SSH管理功能可选1.
2.
10配置SSH服务器所属的PKI域可选1.
2.
111-4配置任务说明详细配置配置SSH服务端口号可选1.
2.
12释放已建立的SSH连接可选1.
2.
131.
2.
2生成本地DSA、ECDSA或RSA密钥对设备运行于FIPS模式时,服务器端仅支持ECDSA、RSA密钥对,因此请不要生成本地的DSA密钥对,否则会导致用户认证失败.
服务器端的DSA、ECDSA或RSA密钥对有两个用途,其一是用于在密钥交换阶段生成会话密钥和会话ID,另外一个是客户端用它来对连接的服务器进行认证.
客户端验证服务器身份时,首先判断服务器发送的公钥与本地保存的服务器公钥是否一致,确认服务器公钥正确后,再使用该公钥对服务器发送的数字签名进行验证.
虽然一个客户端只会采用DSA、ECDSA或RSA公钥算法中的一种来认证服务器,但是由于不同客户端支持的公钥算法不同,为了确保客户端能够成功登录服务器,建议在服务器上同时生成DSA、ECDSA和RSA三种密钥对.
生成RSA密钥对时,将同时生成两个密钥对——服务器密钥对和主机密钥对.
SSH1利用SSH服务器端的服务器公钥加密会话密钥,以保证会话密钥传输的安全;SSH2通过DH算法在SSH服务器和SSH客户端上生成会话密钥,不需要传输会话密钥,因此SSH2中没有利用服务器密钥对.
生成DSA密钥对时,只生成一个主机密钥对.
SSH1不支持DSA算法.
生成ECDSA密钥对时,只生成一个主机密钥对.
服务器端生成本地DSA、ECDSA或RSA密钥对,需要注意的是:SSH仅支持默认名称的本地DSA或RSA密钥对,不支持指定名称的本地DSA或RSA密钥对.
关于密钥对生成命令的相关介绍请参见"安全命令参考"中的"公钥管理".
生成DSA密钥对时,要求输入的密钥模数的长度必须小于2048比特.
SSH服务器支持secp256r1和secp384r1类型的ECDSA密钥对.
需要注意的是,如果服务器端不存在默认名称的本地RSA密钥对,则在服务器端执行SSH服务器相关命令行时(包括开启Stelnet/SFTP/SCP/NETCONFoverSSH服务器、配置SSH用户、以及配置SSH服务器端的管理功能),系统会自动生成一个默认名称的本地RSA密钥对.
表1-3生成本地DSA、ECDSA或RSA密钥对操作命令说明进入系统视图system-view-生成本地DSA、ECDSA或RSA密钥对public-keylocalcreate{dsa|ecdsa{secp256r1|secp384r1}|rsa}缺省情况下,不存在任何DSA、ECDSA、RSA密钥对1-51.
2.
3开启Stelnet服务器功能该配置任务用于开启设备上的Stelnet服务器功能,使客户端能采用Stelnet的方式登录到设备.
表1-4开启Stelnet服务器功能操作命令说明进入系统视图system-view-开启Stelnet服务器功能sshserverenable缺省情况下,Stelnet服务器功能处于关闭状态1.
2.
4开启SFTP服务器功能该配置任务用于开启设备上的SFTP服务器功能,使客户端能采用SFTP的方式登录到设备.
设备作为SFTP服务器时,不支持SSH1版本的客户端发起的SFTP连接.
表1-5开启SFTP服务器功能操作命令说明进入系统视图system-view-开启SFTP服务器功能sftpserverenable缺省情况下,SFTP服务器处于关闭状态1.
2.
5开启SCP服务器功能该配置任务用于开启设备上的SCP服务器功能,使客户端能采用SCP的方式登录到设备.
设备作为SCP服务器时,不支持SSH1版本的客户端发起的SCP连接.
表1-6开启SCP服务器功能操作命令说明进入系统视图system-view-开启SCP服务器功能scpserverenable缺省情况下,SCP服务器处于关闭状态1.
2.
6开启NETCONFoverSSH服务器功能该配置任务用于开启设备上的NETCONFoverSSH服务器功能,使得客户端能够使用支持NETCONFoverSSH连接的客户端配置工具给设备下发NETCONF指令来实现对设备的访问.
设备作为NETCONFoverSSH服务器时,不支持SSH1版本的客户端发起的SSH连接.
表1-7开启NETCONFoverSSH服务器功能操作命令说明进入系统视图system-view-1-6操作命令说明开启NETCONFoverSSH服务器功能netconfsshserverenable缺省情况下,NETCONFoverSSH服务器处于关闭状态关于NETCONFoverSSH服务器相关命令的详细介绍,请见"网络管理和监控命令参考"中的"NETCONF"1.
2.
7配置SSH客户端登录时使用的用户线设备支持的SSH客户端根据不同的应用可分为:Stelnet客户端、SFTP客户端、SCP客户端和NETCONFoverSSH客户端.
Stelnet客户端和NETCONFoverSSH客户端通过VTY(VirtualTypeTerminal,虚拟类型终端)用户线访问设备.
因此,需要配置客户端登录时采用的VTY用户线,使其支持SSH远程登录协议.
配置将在客户端下次登录时生效.
SFTP客户端和SCP客户端不通过用户线访问设备,不需要配置登录时采用的VTY用户线.
表1-8配置SSH客户端登录时使用的用户线操作命令说明进入系统视图system-view-进入VTY用户线视图linevtynumber[ending-number]-配置登录用户线的认证方式为scheme方式authentication-modescheme缺省情况下,用户线认证为password方式该命令的详细介绍,请参见"基础配置命令参考"中的"登录设备"1.
2.
8配置客户端的公钥服务器在采用publickey方式验证客户端身份时,首先比较客户端发送的SSH用户名、主机公钥是否与本地配置的SSH用户名以及相应的客户端主机公钥一致,在确认用户名和客户端主机公钥正确后,对客户端发送的数字签名进行验证,该签名是客户端利用主机公钥对应的私钥计算出的.
因此,在采用publickey、password-publickey或any认证方式时,需要在服务器端配置客户端的DSA、ECDSA或RSA主机公钥,并在客户端为该SSH用户指定与主机公钥对应的DSA、ECDSA或RSA主机私钥(若设备作为客户端,则在向服务器发起连接时通过指定公钥算法来实现).
服务器端可以通过手工配置和从公钥文件中导入两种方式来配置客户端的公钥:手工配置:事先在客户端上通过显示命令或其它方式查看其公钥信息,并记录客户端主机公钥的内容,然后采用手工输入的方式将客户端的公钥配置到服务器上.
手工输入远端主机公钥时,可以逐个字符输入,也可以一次拷贝粘贴多个字符.
这种方式要求手工输入或拷贝粘贴的主机公钥必须是未经转换的DER(DistinguishedEncodingRules,特异编码规则)公钥编码格式.
从公钥文件中导入:事先将客户端的公钥文件保存到服务器上(例如,通过FTP或TFTP,以二进制方式将客户端的公钥文件保存到服务器),服务器从本地保存的该公钥文件中导入客1-7户端的公钥.
导入公钥时,系统会自动将客户端公钥文件转换为PKCS(PublicKeyCryptographyStandards,公共密钥加密标准)编码形式.
手工配置客户端的公钥时,输入的主机公钥必须满足一定的格式要求.
通过displaypublic-keylocalpublic命令显示的公钥可以作为输入的公钥内容;通过其他方式(如public-keylocalexport命令)显示的公钥可能不满足格式要求,导致主机公钥保存失败.
因此,建议选用从公钥文件导入的方式配置远端主机的公钥.
SSH服务器上配置的SSH客户端公钥数目建议不要超过20个.
表1-9手工配置客户端的公钥操作命令说明进入系统视图system-view-进入公钥视图public-keypeerkeyname-配置客户端的公钥逐个字符输入或拷贝粘贴公钥内容在输入公钥内容时,字符之间可以有空格,也可以按回车键继续输入数据,保存公钥数据时,将删除空格和回车符具体介绍请参见"安全配置指导"中的"公钥管理"退回系统视图peer-public-keyend-表1-10从公钥文件中导入客户端的公钥操作命令说明进入系统视图system-view-从公钥文件中导入远端客户端的公钥public-keypeerkeynameimportsshkeyfilename-1.
2.
9配置SSH用户本配置用于创建SSH用户,并指定SSH用户的服务类型、认证方式以及对应的客户端公钥或数字证书.
SSH用户的配置与服务器端采用的认证方式有关,具体如下:如果服务器采用了publickey认证,则必须在设备上创建相应的SSH用户,以及同名的本地用户(用于下发授权属性:工作目录、用户角色).
如果服务器采用了password认证,则必须在设备上创建相应的本地用户(适用于本地认证),或在远程服务器(如RADIUS服务器,适用于远程认证)上创建相应的SSH用户.
这种情况下,并不需要通过本配置创建相应的SSH用户,如果创建了SSH用户,则必须保证指定了正确的服务类型以及认证方式.
如果服务器采用了password-publickey或any认证,则必须在设备上创建相应的SSH用户,以及在设备上创建同名的本地用户(适用于本地认证)或者在远程认证服务器上创建同名的SSH用户(如RADIUS服务器,适用于远程认证).
配置SSH用户时,需要注意:1-8SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关.
通过publickey或password-publickey认证登录服务器的用户使用的工作目录均为对应的本地用户视图下为该用户设置的工作目录;通过password认证登录服务器的用户,使用的工作目录为通过AAA授权的工作目录.
通过publickey或password-publickey认证登录服务器的SSH用户将被授予对应的本地用户视图下指定的用户角色;通过password认证登录服务器的SSH用户将被授予远程AAA服务器或设备本地授权的用户角色.
对SSH用户配置的修改,不会影响已经登录的SSH用户,仅对新登录的用户生效.
除password认证方式外,其它认证方式下均需要指定客户端的公钥或证书.
{对于使用公钥认证的SSH用户,服务器端必须指定客户端的公钥,且指定的公钥必须已经存在,公钥内容的配置请参见"1.
2.
8配置客户端的公钥".
{对于使用证书认证的SSH用户,服务器端必须指定用于验证客户端证书的PKI域,PKI域的配置请参见"安全配置指导"中的"PKI域配置".
为保证SSH用户可以成功通过认证,通过sshuser或sshserverpki-domain命令指定的PKI域中必须存在用于验证客户端证书的CA证书.
FIPS模式下,设备作为SSH服务器不支持any认证和publickey认证方式.
关于本地用户以及远程认证的相关配置请参见"安全配置指导"中的"AAA".
表1-11配置SSH用户操作命令说明进入系统视图system-view-创建SSH用户,并指定SSH用户的服务类型和认证方式非FIPS模式下:sshuserusernameservice-type{all|netconf|scp|sftp|stelnet}authentication-type{password|{any|password-publickey|publickey}[assign{pki-domaindomain-name|publickeykeyname}]}FIPS模式下:sshuserusernameservice-type{all|netconf|scp|sftp|stelnet}authentication-type{password|password-publickey[assign{pki-domaindomain-name|publickeykeyname}]}SSH服务器上最多可以创建1024个SSH用户1.
2.
10配置SSH管理功能通过配置服务器上的SSH管理功能,可提高SSH连接的安全性.
SSH的管理功能包括:设置SSH服务器是否兼容SSH1版本的客户端.
设置RSA服务器密钥对的最小更新间隔时间,此配置仅对SSH客户端版本为SSH1的用户有效,SSH的核心是密钥的协商和传输,因此密钥的管理是非常重要的,可灵活设置最小更新间隔时间.
1-9设置SSH用户认证的超时时间.
为了防止不法用户建立起TCP连接后,不进行接下来的认证,而是空占着进程,妨碍其它合法用户的正常登录,可以设置验证超时时间,如果在规定的时间内没有完成认证就拒绝该连接.
设置SSH用户请求连接的认证尝试最大次数,限制登录的重试次数,防止非法用户对用户名和密码进行恶意地猜测和破解.
在any认证方式下,SSH客户端通过publickey和password两种方式进行认证尝试的次数总和,不能超过配置的SSH连接认证尝试次数.
设置对SSH客户端的访问控制,使用ACL过滤向SSH服务器发起连接的SSH客户端.
通过对SSH客户端的访问控制,可限制SSH客户端对设备的访问.
此时,通过开启匹配ACLdeny规则后打印日志信息功能,设备可以记录匹配deny规则的IP用户的登录日志,用户可以查看非法登录的地址信息.
设置SSH服务器向SSH客户端发送的报文的DSCP优先级.
DSCP携带在IPv4报文中的ToS字段和IPv6报文中的Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
设置SFTP用户连接的空闲超时时间.
当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作.
设置同时在线的最大SSH用户连接数.
系统资源有限,当前在线SSH用户数超过设定的最大值时,系统会拒绝新的SSH连接请求.
表1-12配置SSH管理功能操作命令说明进入系统视图system-view-设置SSH服务器兼容SSH1版本的客户端sshservercompatible-ssh1xenable缺省情况下,SSH服务器不兼容SSH1版本的客户端FIPS模式下,不支持本命令设置RSA服务器密钥对的最小更新间隔时间sshserverrekey-intervalinterval缺省情况下,系统不更新RSA服务器密钥对FIPS模式下,不支持本命令设置SSH用户的认证超时时间sshserverauthentication-timeouttime-out-value缺省情况下,SSH用户的认证超时时间为60秒设置SSH认证尝试的最大次数sshserverauthentication-retriesretries缺省情况下,SSH连接认证尝试的最大次数为3次设置对IPv4SSH用户的访问控制sshserveracl{advanced-acl-number|basic-acl-number|macmac-acl-number}缺省情况下,允许所有IPv4SSH用户向设备发起SSH访问设置对IPv6SSH用户的访问控制sshserveripv6acl{ipv6{advanced-acl-number|basic-acl-number}|macmac-acl-number}缺省情况下,允许所有IPv6SSH用户向设备发起SSH访问开启匹配ACLdeny规则后打印日志信息功能sshserveracl-deny-logenable缺省情况下,匹配ACLdeny规则后打印日志信息功能处于关闭状态设置Pv4SSH服务器向SSH客户端发送的报文的DSCP优先级sshserverdscpdscp-value缺省情况下,IPv4SSH报文的DSCP优先级为481-10操作命令说明设置IPv6SSH服务器向SSH客户端发送的报文的DSCP优先级sshserveripv6dscpdscp-value缺省情况下,IPv6SSH报文的DSCP优先级为48设置SFTP用户连接的空闲超时时间sftpserveridle-timeouttime-out-value缺省情况下,SFTP用户连接的空闲超时时间为10分钟设置同时在线的最大SSH用户连接数aaasession-limitsshmax-sessions缺省的最大SSH用户连接数为32该值的修改不会对已经在线的用户连接造成影响,只会对新的用户连接生效关于该命令的详细介绍,请参见"安全命令参考"中的"AAA"1.
2.
11配置SSH服务器所属的PKI域SSH服务器利用所属的PKI域在密钥交换阶段发送证书给客户端,并用它来对连接的客户端进行认证.
表1-13配置SSH服务器所属的PKI域操作命令说明进入系统视图system-view-配置SSH服务器所属的PKI域sshserverpki-domaindomain-name缺省情况下,不存在SSH服务器所属的PKI域1.
2.
12配置SSH服务端口号如果修改端口号前SSH服务是开启的,则修改端口号后系统会自动重启SSH服务,正在访问的用户将被断开,用户需要重新建立SSH连接后才可以继续访问.
如果使用1~1024之间的知名端口号,有可能会导致其他服务启动失败.
表1-14配置SSH服务端口号操作命令说明进入系统视图system-view-配置SSH服务端口号sshserverportport-number缺省情况下,SSH服务的端口号为221.
2.
13释放已建立的SSH连接1.
功能简介系统支持多个SSH用户同时对设备进行配置,当管理员在维护设备时,其他在线SSH用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以强制断开该用户的连接.
1-112.
配置步骤表1-15释放已建立的SSH连接操作命令说明强制释放已建立的SSH连接freessh{usernameusername|user-ip{ip-address|ipv6ipv6-address}[portport-number]|user-pidpid-number}该命令在用户视图下执行1.
3配置Stelnet客户端1.
3.
1Stelnet客户端配置任务简介表1-16Stelnet客户端配置任务简介配置任务说明详细配置生成本地DSA、ECDSA或RSA密钥对仅采用publickey、password-publickey或any认证方式时必选1.
3.
2配置Stelnet客户端发送SSH报文使用的源IP地址可选1.
3.
3建立与Stelnet服务器端的连接必选1.
3.
4Stelnet客户端删除保存在公钥文件中的服务器公钥可选1.
3.
5与远程的Stelnet服务器建立基于SuiteB算法集的连接可选1.
3.
61.
3.
2生成本地DSA、ECDSA或RSA密钥对设备运行于FIPS模式时,仅支持ECDSA、RSA密钥对.
客户端采用publickey、password-publickey或any认证方式时,需要生成本地密钥对.
客户端生成本地DSA、ECDSA或RSA密钥对,需要注意的是:SSH仅支持默认名称的本地DSA或RSA密钥对,不支持指定名称的本地DSA、ECDSA或RSA密钥对.
关于密钥对生成命令的相关介绍请参见"安全命令参考"中的"公钥管理".
生成DSA密钥对时,要求输入的密钥模数的长度必须小于2048比特.
SSH客户端支持secp256r1和secp384r1类型的ECDSA密钥对.
表1-17生成本地DSA、ECDSA或RSA密钥对操作命令说明进入系统视图system-view-1-12操作命令说明生成本地DSA、ECDSA或RSA密钥对public-keylocalcreate{dsa|ecdsa{secp256r1|secp384r1}|rsa}缺省情况下,不存在任何DSA、ECDSA、RSA密钥对1.
3.
3配置Stelnet客户端发送SSH报文使用的源IP地址Stelnet客户端与Stelnet服务器通信时,缺省采用路由决定的源IP地址作为发送报文的源地址.
如果使用本配置指定了源IP地址或源接口,则采用该地址与服务器进行通信.
为保证Stelnet客户端与Stelnet服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口的IP地址作为源IP地址.
表1-18配置Stelnet客户端发送SSH报文使用的源IP地址操作命令说明进入系统视图system-view-配置Stelnet客户端发送SSH报文使用的源IP地址配置Stelnet客户端发送SSH报文使用的源IPv4地址sshclientsource{interfaceinterface-typeinterface-number|ipip-address}二者必选其一缺省情况下,IPv4Stelnet客户端采用设备路由指定的SSH报文出接口主IP地址作为源IP地址;IPv6Stelnet客户端采用设备自动选择的IPv4地址作为源IP地址配置Stelnet客户端发送SSH报文使用的源IPv6地址sshclientipv6source{interfaceinterface-typeinterface-number|ipv6ipv6-address}1.
3.
4建立与Stelnet服务器的连接该配置任务用来启动Stelnet客户端程序,与远程Stelnet服务器建立连接,并指定公钥算法、首选加密算法、首选HMAC算法和首选密钥交换算法等.
Stelnet客户端访问服务器时,需要通过本地保存的服务器端的主机公钥来验证服务器的身份.
设备作为Stelnet客户端时,默认支持首次认证,即当Stelnet客户端首次访问服务器,而客户端没有配置服务器端的主机公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器.
首次认证在比较安全的网络环境中可以简化客户端的配置,但由于该方式下客户端完全相信服务器公钥的正确性,因此存在一定的安全隐患.
1-13表1-19建立与Stelnet服务器的连接操作命令说明与Stelnet服务器端建立连接与IPv4Stelnet服务器端建立连接非FIPS模式下:ssh2server[port-number][vpn-instancevpn-instance-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*FIPS模式下:ssh2server[port-number][vpn-instancevpn-instance-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*二者至少选其一请在用户视图下执行本命令1-14操作命令说明与IPv6Stelnet服务器端建立连接非FIPS模式下:ssh2ipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*FIPS模式下:ssh2ipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*1-151.
3.
5Stelnet客户端删除保存在公钥文件中的服务器公钥客户端切换到FIPS模式后,如果已经保存的服务器公钥不符合FIPS模式要求,则无法登录到服务器.
如果客户端想要重新登录该服务器,则需要执行本配置删除本地文件中的指定服务器公钥,并保证服务器上已经生成了符合FIPS模式要求的公钥.
表1-20Stelnet客户端删除保存在公钥文件中的服务器公钥操作命令说明进入系统视图system-view-Stelnet客户端删除保存在公钥文件中的服务器公钥deletesshclientserver-public-key[server-ipip-address]-1.
3.
6与远程的Stelnet服务器建立基于SuiteB算法集的连接该配置任务用来与远程的Stelnet服务器建立基于SuiteB算法集的连接.
表1-21与远程的Stelnet服务器建立基于SuiteB算法集的连接操作命令说明与远程的Stelnet服务器建立基于SuiteB算法集的连接与远程的ipv4Stelnet服务器建立基于SuiteB算法集的连接ssh2server[port-number][vpn-instancevpn-instance-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|escapecharacter|source{interfaceinterface-typeinterface-number|ipip-address}]*二者至少选其一请在用户视图下执行本命令与远程的ipv6Stelnet服务器建立基于SuiteB算法集的连接ssh2ipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|escapecharacter|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*1.
4配置SFTP客户端1.
4.
1SFTP客户端配置任务简介表1-22SFTP客户端配置任务简介配置任务说明详细配置生成本地DSA、ECDSA或RSA密钥对仅采用publickey、password-publickey或any认证方式时必选1.
4.
21-16配置任务说明详细配置配置SFTP客户端发送SFTP报文使用的源IP地址可选1.
4.
3建立与SFTP服务器端的连接必选1.
4.
4SFTP客户端删除保存在公钥文件中的服务器公钥可选1.
4.
5与远程的SFTP服务器建立基于SuiteB算法集的连接可选1.
4.
6SFTP目录操作可选1.
4.
7SFTP文件操作可选1.
4.
8显示帮助信息可选1.
4.
9终止与SFTP服务器端的连接可选1.
4.
101.
4.
2生成本地DSA、ECDSA或RSA密钥对设备运行于FIPS模式时,仅支持RSA、ECDSA密钥对.
客户端采用publickey、password-publickey或any认证方式时,需要生成本地密钥对.
客户端生成本地DSA、ECDSA或RSA密钥对,需要注意的是:SSH仅支持默认名称的本地DSA、ECDSA或RSA密钥对,不支持指定名称的本地DSA、ECDSA或RSA密钥对.
关于密钥对生成命令的相关介绍请参见"安全命令参考"中的"公钥管理".
生成DSA密钥对时,要求输入的密钥模数的长度必须小于2048比特.
SSH客户端支持secp256r1和secp384r1类型的ECDSA密钥对.
表1-23生成本地DSA、ECDSA或RSA密钥对操作命令说明进入系统视图system-view-生成本地DSA、ECDSA或RSA密钥对public-keylocalcreate{dsa|ecdsa{secp256r1|secp384r1}|rsa}缺省情况下,不存在任何DSA、ECDSA和RSA密钥对1.
4.
3配置SFTP客户端发送SFTP报文使用的源IP地址SFTP客户端与SFTP服务器通信时,缺省采用路由决定的源IP地址作为发送报文的源地址.
如果使用本配置指定了源IP地址或源接口,则采用该地址与服务器进行通信.
为保证SFTP客户端与SFTP服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口的IP地址作为源IP地址.
1-17表1-24配置SFTP客户端发送SFTP报文使用的源IP地址操作命令说明进入系统视图system-view-配置SFTP客户端发送SFTP报文使用的源IP地址配置SFTP客户端发送SFTP报文使用的源IPv4地址sftpclientsource{ipip-address|interfaceinterface-typeinterface-number}二者必选其一缺省情况下,IPv4客户端采用设备路由指定的SFTP报文的出接口主iP地址作为源IP地址;IPv6客户端采用设备自动选择的iPv6地址作为源IP地址配置SFTP客户端发送SFTP报文使用的源IPv6地址sftpclientipv6source{ipv6ipv6-address|interfaceinterface-typeinterface-number}1.
4.
4建立与SFTP服务器的连接该配置任务用来启动SFTP客户端程序,与远程SFTP服务器建立连接,并指定公钥算法、首选加密算法、首选HMAC算法和首选密钥交换算法等.
SFTP客户端与服务器成功建立连接之后,用户即可进入到服务器端上的SFTP客户端视图下进行目录、文件等操作.
SFTP客户端访问服务器时,需要通过本地保存的服务器端的主机公钥来验证服务器的身份.
设备作为SFTP客户端时,默认支持首次认证,即当SFTP客户端首次访问服务器,而客户端没有配置服务器端的主机公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器.
首次认证在比较安全的网络环境中可以简化客户端的配置,但由于该方式下客户端完全相信服务器公钥的正确性,因此存在一定的安全隐患.
1-18表1-25建立与SFTP服务器端的连接操作命令说明与SFTP服务器建立连接,并进入SFTP客户端视图与IPv4SFTP服务器建立连接,并进入SFTP客户端视图非FIPS模式下:sftpserver[port-number][vpn-instancevpn-instance-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-addres}]*FIPS模式下:sftpserver[port-number][vpn-instancevpn-instance-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*二者至少选其一请在用户视图下执行此命令1-19操作命令说明与IPv6SFTP服务器建立连接,并进入SFTP客户端视图非FIPS模式下:sftpipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-addres}]*FIPS模式下:sftpipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-addres}]*1.
4.
5SFTP客户端删除保存在公钥文件中的服务器公钥客户端切换到FIPS模式后,如果已经保存的服务器公钥不符合FIPS模式要求,则无法登录到服务器.
如果客户端想要重新登录该服务器,则需要执行本配置删除本地文件中的指定服务器公钥,并保证服务器上已经生成了符合FIPS模式要求的公钥.
表1-26SFTP客户端删除保存在公钥文件中的服务器公钥操作命令说明进入系统视图system-view-1-20操作命令说明SFTP客户端删除保存在公钥文件中的服务器公钥deletesshclientserver-public-key[server-ipip-address]-1.
4.
6与远程的SFTP服务器建立基于SuiteB算法集的连接该配置任务用来与远程的SFTP服务器建立基于SuiteB算法集的连接,并进行文件传输.
表1-27与远程的SFTP服务器建立基于SuiteB算法集的连接操作命令说明与远程的SFTP服务器建立基于SuiteB算法集的连接与远程的ipv4SFTP服务器建立基于SuiteB算法集的连接sftpserver[port-number][vpn-instancevpn-instance-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipip-address}]*二者至少选其一请在用户视图下执行本命令与远程的ipv6SFTP服务器建立基于SuiteB算法集的连接sftpipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*1.
4.
7SFTP目录操作SFTP目录操作包括:改变或显示当前的工作路径、显示指定目录下的文件或目录信息、改变服务器上指定的文件夹的名字、创建或删除目录等操作.
表1-28SFTP目录操作操作命令说明进入SFTP客户端视图具体命令请参考1.
4.
4-改变远程SFTP服务器上的工作路径cd[remote-path]-返回到上一级目录cdup-显示远程SFTP服务器上的当前工作目录pwd-显示指定目录下的文件列表dir[-a|-l][remote-path]ls[-a|-l][remote-path]dir和ls两条命令的作用相同改变SFTP服务器上指定的目录的名字renameold-namenew-name-在远程SFTP服务器上创建新的目录mkdirremote-path-删除SFTP服务器上指定的目录rmdirremote-path-1-211.
4.
8SFTP文件操作SFTP文件操作包括:改变文件名、下载文件、上传文件、显示文件列表和删除文件.
表1-29SFTP文件操作操作命令说明进入SFTP客户端视图具体命令请参考1.
4.
4-改变SFTP服务器上指定的文件的名字renameold-namenew-name-从远程服务器上下载文件并存储在本地getremote-file[local-file]-将本地的文件上传到远程SFTP服务器putlocal-file[remote-file]-显示指定目录下的文件dir[-a|-l][remote-path]ls[-a|-l][remote-path]dir和ls两条命令的作用相同删除SFTP服务器上指定的文件deleteremote-filedelete和remove两条命令的功能相同removeremote-file1.
4.
9显示帮助信息本配置用于显示命令的帮助信息,如命令格式、参数配置等.
表1-30显示客户端命令的帮助信息操作命令说明进入SFTP客户端视图具体命令请参考1.
4.
4-显示SFTP客户端命令的帮助信息help二者选其一help和的功能相同1.
4.
10终止与SFTP服务器的连接表1-31终止与SFTP服务器的连接操作命令说明进入SFTP客户端视图具体命令请参考1.
4.
4-终止与SFTP服务器的连接,并退回用户视图bye三者选其一bye,exit和quit三条命令的功能相同exitquit1-221.
5配置SCP客户端1.
5.
1生成本地DSA或RSA密钥对设备运行于FIPS模式时,仅支持ECDSA、RSA密钥对.
客户端采用publickey、password-publickey或any认证方式时,需要生成本地密钥对.
客户端生成本地DSA或RSA密钥对,需要注意的是:SSH仅支持默认名称的本地DSA、ECDSA或RSA密钥对,不支持指定名称的本地DSA、ECDSA或RSA密钥对.
关于密钥对生成命令的相关介绍请参见"安全命令参考"中的"公钥管理".
生成DSA密钥对时,要求输入的密钥模数的长度必须小于2048比特.
SSH客户端支持secp256r1和secp384r1类型的ECDSA密钥对.
表1-32生成本地DSA、ECDSA或RSA密钥对操作命令说明进入系统视图system-view-生成本地DSA、ECDSA或RSA密钥对public-keylocalcreate{dsa|ecdsa{secp256r1|secp384r1}|rsa}缺省情况下,不存在任何DSA、ECDSA和RSA密钥对1.
5.
2与远程SCP服务器传输文件该配置任务用来启动SCP客户端程序,与远程SCP服务器建立连接,并进行安全的文件传输操作.
SCP客户端访问服务器时,需要通过本地保存的服务器端的主机公钥来验证服务器的身份.
设备作为SCP客户端时,默认支持首次认证,即当SCP客户端首次访问服务器,而客户端没有配置服务器端的主机公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器.
首次认证在比较安全的网络环境中可以简化客户端的配置,但由于该方式下客户端完全相信服务器公钥的正确性,因此存在一定的安全隐患.
1-23表1-33与远程SCP服务器传输文件操作命令说明与远程SCP服务器建立连接,并进行文件传输与远程IPv4SCP服务器建立连接,并进行文件传输非FIPS模式下:scpserver[port-number][vpn-instancevpn-instance-name]{put|get}source-file-name[destination-file-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*[userusername[passwordpassword]]FIPS模式下:scpserver[port-number][vpn-instancevpn-instance-name]{put|get}source-file-name[destination-file-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*[userusername[passwordpassword]]二者至少选其一请在用户视图下执行此命令1-24操作命令说明与远程IPv6SCP服务器建立连接,并进行文件传输非FIPS模式下:scpipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*[userusername[passwordpassword]]FIPS模式下:scpipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*[userusername[passwordpassword]]1.
5.
3SCP客户端删除保存在公钥文件中的服务器公钥客户端切换到FIPS模式后,如果已经保存的服务器公钥不符合FIPS模式要求,则无法登录到服务器.
如果客户端想要重新登录该服务器,则需要执行本配置删除本地文件中的指定服务器公钥,并保证服务器上已经生成了符合FIPS模式要求的公钥.
1-25表1-34SCP客户端删除保存在公钥文件中的服务器公钥操作命令说明进入系统视图system-view-SCP客户端删除保存在公钥文件中的服务器公钥deletesshclientserver-public-key[server-ipip-address]-1.
5.
4与远程的SCP服务器建立基于SuiteB算法集的连接该配置任务用来与远程的SCP服务器建立基于SuiteB算法集的连接,并进行文件传输.
表1-35与远程的SCP服务器建立基于SuiteB算法集的连接操作命令说明与远程的SCP服务器建立基于SuiteB算法集的连接与远程的ipv4SCP服务器建立基于SuiteB算法集的连接scpserver[port-number][vpn-instancevpn-instance-name]{put|get}source-file-name[destination-file-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][source{interfaceinterface-typeinterface-number|ipip-address}]*二者至少选其一请在用户视图下执行本命令与远程的ipv6SCP服务器建立基于SuiteB算法集的连接scpipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*1.
6配置SSH2协议算法集1.
6.
1配置SSH2协议密钥交换算法优先列表设备与对端建立Stelnet、SFTP、SCP会话过程中,将使用指定的密钥交换算法优先列表进行密钥交换协商.
密钥交换协商过程中,客户端采用的算法匹配顺序为优先列表中各算法的配置顺序,服务器根据客户端的算法来匹配和协商.
表1-36配置SSH2协议密钥交换算法优先列表操作命令说明进入系统视图system-view-1-26操作命令说明配置SSH2协议密钥交换算法优先列表非FIPS模式下:ssh2algorithmkey-exchange{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}*FIPS模式下:ssh2algorithmkey-exchange{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}*非FIPS模式下:缺省情况下,SSH2协议所采用的密钥交换算法优先列表为ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group-exchange-sha1、dh-group14-sha1、dh-group1-sha1FIPS模式下:缺省情况下,SSH2协议所采用的密钥交换算法优先列表为ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group14-sha11.
6.
2配置SSH2协议主机签名算法优先列表设备与对端建立Stelnet、SFTP、SCP会话过程中,将使用指定的主机签名算法优先列表进行主机签名算法协商.
主机签名算法协商过程中,客户端采用的算法匹配顺序为优先列表中各算法的配置顺序,服务器根据客户端的算法来匹配和协商.
表1-37配置SSH2协议主机签名算法优先列表操作命令说明进入系统视图system-view-配置SSH2协议主机签名算法优先列表非FIPS模式下:ssh2algorithmpublic-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}*FIPS模式下:ssh2algorithmpublic-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}*非FIPS模式下:缺省情况下,SSH2协议所采用的主机签名算法优先列表为:x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、rsa、dsaFIPS模式下:缺省情况下,SSH2协议所采用的主机签名算法优先列表为:x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、rsa1.
6.
3配置SSH2协议加密算法优先列表设备与对端建立Stelnet、SFTP、SCP会话过程中,将使用指定的加密算法优先列表进行加密算法协商.
加密算法协商过程中,客户端采用的算法匹配顺序为优先列表中各算法的配置顺序,服务器根据客户端的算法来匹配和协商.
1-27表1-38配置SSH2协议加密算法优先列表操作命令说明进入系统视图system-view-配置SSH2协议加密算法优先列表非FIPS模式下:ssh2algorithmcipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}*FIPS模式下:ssh2algorithmcipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}*非FIPS模式下:缺省情况下,SSH2协议所采用的加密算法优先列表为:aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、3des-cbc、aes256-cbc、des-cbcFIPS模式下:缺省情况下,SSH2协议所采用的加密算法优先列表为:aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、aes256-cbc1.
6.
4配置SSH2协议MAC算法优先列表设备与对端建立Stelnet、SFTP、SCP会话过程中,将使用指定的MAC算法优先列表进行MAC算法协商.
MAC算法协商过程中,客户端采用的算法匹配顺序为优先列表中各算法的配置顺序,服务器根据客户端的算法来匹配和协商.
表1-39配置SSH2协议MAC算法优先列表操作命令说明进入系统视图system-view-配置SSH2协议MAC算法优先列表非FIPS模式下:ssh2algorithmmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}*FIPS模式下:ssh2algorithmmac{sha1|sha1-96|sha2-256|sha2-512}*非FIPS模式下:缺省情况下,SSH2协议所采用的MAC算法优先列表为:sha2-256、sha2-512、sha1、md5、sha1-96、md5-96FIPS模式下:缺省情况下,SSH2协议所采用的MAC算法优先列表为:sha2-256、sha2-512、sha1、sha1-961.
7SSH显示和维护在完成上述配置后,在任意视图下执行display命令,可以显示配置后SSH的运行情况,通过查看显示信息验证配置的效果.
1-28表1-40SSH显示和维护操作命令显示SFTP客户端的源IP地址配置displaysftpclientsource显示Stelnet客户端的源IP地址配置displaysshclientsource在SSH服务器端显示该服务器的状态信息或会话信息displaysshserver{session|status}在SSH服务器端显示SSH用户信息displaysshuser-information[username]显示本地密钥对中的公钥部分displaypublic-keylocal{dsa|ecdsa|rsa}public[namepublickey-name]显示SSH客户端公钥文件中的服务器公钥信息displaysshclientserver-public-key[server-ipip-address]显示保存在本地的远端主机的公钥信息displaypublic-keypeer[brief|namepublickey-name]显示设备上配置的SSH2协议使用的算法优先列表displayssh2algorithmdisplaypublic-keylocal和displaypublic-keypeer命令的详细介绍请参见"安全命令参考"中的"公钥管理".
1.
8Stelnet典型配置举例举例中的设备运行于非FIPS模式下.
若设备运行于FIPS模式下,相关的配置和显示信息将有所变化,请以设备的实际情况为准.
设备作为服务器仅支持ECDSA、RSA密钥对,请不要生成DSA密钥对.
1.
8.
1设备作为Stelnet服务器配置举例(password认证)1.
组网需求用户可以通过Host上运行的Stelnet客户端软件(SSH2版本)安全地登录到Switch上,并被授予用户角色network-admin进行配置管理;Switch采用password认证方式对Stelnet客户端进行认证,客户端的用户名和密码保存在本地.
1-292.
组网图图1-1设备作为Stelnet服务器配置组网图3.
配置步骤(1)配置Stelnet服务器#生成RSA密钥对.
system-view[Switch]public-keylocalcreatersaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成DSA密钥对.
[Switch]public-keylocalcreatedsaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成ECDSA密钥对.
[Switch]public-keylocalcreateecdsasecp256r1GeneratingKeys.
.
.
.
Createthekeypairsuccessfully.
#开启Stelnet服务器功能.
[Switch]sshserverenable#配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器.
[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipaddress192.
168.
1.
40255.
255.
255.
0[Switch-Vlan-interface2]quitVlan-int2192.
168.
1.
40/24StelnetclientStelnetserverHost192.
168.
1.
56/24Switch1-30#设置Stelnet客户端登录用户线的认证方式为AAA认证.
[Switch]linevty063[Switch-line-vty0-63]authentication-modescheme[Switch-line-vty0-63]quit#创建设备管理类本地用户client001,并设置密码为明文aabbcc,服务类型为SSH,用户角色为network-admin.
[Switch]local-userclient001classmanage[Switch-luser-manage-client001]passwordsimpleaabbcc[Switch-luser-manage-client001]service-typessh[Switch-luser-manage-client001]authorization-attributeuser-rolenetwork-admin[Switch-luser-manage-client001]quit#配置SSH用户client001的服务类型为Stelnet,认证方式为password认证.
(此步骤可以不配置)[Switch]sshuserclient001service-typestelnetauthentication-typepassword(2)Stelnet客户端建立与Stelnet服务器的连接Stelnet客户端软件有很多,例如PuTTY、OpenSSH等.
本文中仅以客户端软件PuTTY0.
58为例,说明Stelnet客户端的配置方法.
#建立与Stelnet服务器端的连接.
打开PuTTY.
exe程序,出现如图1-2所示的客户端配置界面.
在"HostName(orIPaddress)"文本框中输入Stelnet服务器的IP地址为192.
168.
1.
40.
1-31图1-2Stelnet客户端配置界面在图1-2中,单击按钮.
按提示输入用户名client001及密码aabbcc,即可进入Switch的配置界面.
1.
8.
2设备作为Stelnet服务器配置举例(publickey认证)1.
组网需求用户可以通过Host上运行的Stelnet客户端软件(SSH2版本)安全地登录到Switch上,并被授予用户角色network-admin进行配置管理;Switch采用publickey认证方式对Stelnet客户端进行认证,使用的公钥算法为RSA.
2.
组网图图1-3设备作为Stelnet服务器配置组网图Vlan-int2192.
168.
1.
40/24StelnetclientStelnetserverHost192.
168.
1.
56/24Switch1-323.
配置步骤在服务器的配置过程中需要指定客户端的公钥信息,因此建议首先完成客户端密钥对的配置,再进行服务器的配置.
客户端软件有很多,例如PuTTY、OpenSSH等.
本文中仅以客户端软件PuTTY0.
58为例,说明Stelnet客户端的配置方法.
(1)配置Stelnet客户端#生成RSA密钥对.
在客户端运行PuTTYGen.
exe,在参数栏中选择"SSH-2RSA",点击,产生客户端密钥对.
图1-4生成客户端密钥(步骤1)在产生密钥对的过程中需不停地移动鼠标,鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方,否则进程条的显示会不动,密钥对将停止产生,见图1-5.
1-33图1-5生成客户端密钥(步骤2)密钥对产生后,点击,输入存储公钥的文件名key.
pub,点击按钮.
图1-6生成客户端密钥(步骤3)1-34点击存储私钥,弹出警告框,提醒是否保存没做任何保护措施的私钥,点击,输入私钥文件名为private.
ppk,点击保存.
图1-7生成客户端密钥(步骤4)客户端生成密钥对后,需要将保存的公钥文件key.
pub通过FTP/TFTP方式上传到服务器,具体过程略.
(2)配置Stelnet服务器#生成RSA密钥对.
system-view[Switch]public-keylocalcreatersaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成DSA密钥对.
[Switch]public-keylocalcreatedsaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成ECDSA密钥对.
[Switch]public-keylocalcreateecdsasecp256r1GeneratingKeys.
.
.
.
Createthekeypairsuccessfully.
#开启Stelnet服务器功能.
[Switch]sshserverenable1-35#配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器.
[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipaddress192.
168.
1.
40255.
255.
255.
0[Switch-Vlan-interface2]quit#设置Stelnet客户端登录用户线的认证方式为AAA认证.
[Switch]linevty063[Switch-line-vty0-63]authentication-modescheme[Switch-line-vty0-63]quit#从文件key.
pub中导入远端的公钥,并命名为switchkey.
[Switch]public-keypeerswitchkeyimportsshkeykey.
pub#设置SSH用户client002的认证方式为publickey,并指定公钥为switchkey.
[Switch]sshuserclient002service-typestelnetauthentication-typepublickeyassignpublickeyswitchkey#创建设备管理类本地用户client002,并设置服务类型为SSH,用户角色为network-admin.
[Switch]local-userclient002classmanage[Switch-luser-manage-client002]service-typessh[Switch-luser-manage-client002]authorization-attributeuser-rolenetwork-admin[Switch-luser-manage-client002]quit(3)Stelnet客户端建立与Stelnet服务器的连接#指定私钥文件,并建立与Stelnet服务器的连接.
打开PuTTY.
exe程序,出现如图1-8所示的客户端配置界面.
在"HostName(orIPaddress)"文本框中输入Stelnet服务器的IP地址为192.
168.
1.
40.
图1-8Stelnet客户端配置界面1-36#单击左侧导航栏"Connection->SSH",出现如图1-9的界面.
选择"PreferredSSHprotocolversion"为"2".
图1-9Stelnet客户端配置界面单击左侧导航栏"Connection->SSH"下面的"Auth"(认证),出现如图1-10的界面.
单击按钮,弹出文件选择窗口.
选择与配置到服务器端的公钥对应的私钥文件private.
ppk.
1-37图1-10Stelnet客户端配置界面如图1-10,单击按钮.
按提示输入用户名client002,即可进入Switch的配置界面.
1.
8.
3设备作为Stelnet客户端配置举例(password认证)1.
组网需求配置SwitchA作为Stelnet客户端,用户能够通过SwitchA安全地登录到SwitchB上,并被授予用户角色network-admin进行配置管理.
SwitchB作为Stelnet服务器采用password认证方式对Stelnet客户端进行认证,客户端的用户名和密码保存在SwitchB上.
2.
组网图图1-11设备作为Stelnet客户端配置组网图3.
配置步骤(1)配置Stelnet服务器#生成RSA密钥对.
system-view1-38[SwitchB]public-keylocalcreatersaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成DSA密钥对.
[SwitchB]public-keylocalcreatedsaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成ECDSA密钥对.
[SwitchB]public-keylocalcreateecdsasecp256r1GeneratingKeys.
.
.
.
Createthekeypairsuccessfully.
#开启Stelnet服务器功能.
[SwitchB]sshserverenable#配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器.
[SwitchB]interfacevlan-interface2[SwitchB-Vlan-interface2]ipaddress192.
168.
1.
40255.
255.
255.
0[SwitchB-Vlan-interface2]quit#设置Stelnet客户端登录用户线的认证方式为AAA认证.
[SwitchB]linevty063[SwitchB-line-vty0-63]authentication-modescheme[SwitchB-line-vty0-63]quit#创建设备管理类本地用户client001,并设置密码为明文aabbcc,服务类型为SSH,用户角色为network-admin.
[SwitchB]local-userclient001classmanage[SwitchB-luser-manage-client001]passwordsimpleaabbcc[SwitchB-luser-manage-client001]service-typessh[SwitchB-luser-manage-client001]authorization-attributeuser-rolenetwork-admin[SwitchB-luser-manage-client001]quit#配置SSH用户client001的服务类型为Stelnet,认证方式为password认证.
(此步骤可以不配置)1-39[SwitchB]sshuserclient001service-typestelnetauthentication-typepassword(2)Stelnet客户端建立与Stelnet服务器的连接#配置VLAN接口2的IP地址.
system-view[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipaddress192.
168.
1.
56255.
255.
255.
0[SwitchA-Vlan-interface2]quit[SwitchA]quit客户端本地没有服务器端的主机公钥,首次与服务器建立连接#建立到服务器192.
168.
1.
40的SSH连接,选择在不认证服务器的情况下继续访问服务网,并在客户端保存服务器端的本地公钥.
ssh2192.
168.
1.
40Username:client001PressCTRL+Ctoabort.
Connectingto192.
168.
1.
40port22.
Theserverisnotauthenticated.
Continue[Y/N]:yDoyouwanttosavetheserverpublickey[Y/N]:yclient001@192.
168.
1.
40'spassword:Enteracharacter~andadottoabort.
*Copyright(c)2004-2016HangzhouH3CTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*输入正确的密码之后,即可成功登录到SwitchB上.
由于选择在本地保存服务器端的主机公钥,下次用户登录SwitchB时直接输入正确密码即可成功登录.
客户端配置服务器端的主机公钥后,与服务器建立连接#在客户端配置SSH服务器端的主机公钥.
在公钥视图输入服务器端的主机公钥,即在服务器端通过displaypublic-keylocaldsapublic命令显示的公钥内容.
[SwitchA]public-keypeerkey1Enterpublickeyview.
Returntosystemviewwith"peer-public-keyend"command.
[SwitchA-pkey-public-key-key1]308201B73082012C06072A8648CE3804013082011F02818100D757262C4584C44C211F18BD96E5F0[SwitchA-pkey-public-key-key1]61C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE65BE6C265854889DC1EDBD13EC8B274[SwitchA-pkey-public-key-key1]DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B06FD60FE01941DDD77FE6B12893DA76E[SwitchA-pkey-public-key-key1]EBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B368950387811C7DA33021500C773218C[SwitchA-pkey-public-key-key1]737EC8EE993B4F2DED30F48EDACE915F0281810082269009E14EC474BAF2932E69D3B1F18517AD95[SwitchA-pkey-public-key-key1]94184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD35D021-40492B3959EC6499625BC4FA5082E22C5[SwitchA-pkey-public-key-key1]B374E16DD00132CE71B020217091AC717B612391C76C1FB2E88317C1BD8171D41ECB83E210C03CC9[SwitchA-pkey-public-key-key1]B32E810561C21621C73D6DAAC028F4B1585DA7F42519718CC9B09EEF0381840002818000AF995917[SwitchA-pkey-public-key-key1]E1E570A3F6B1C2411948B3B4FFA256699B3BF871221CC9C5DF257523777D033BEE77FC378145F2AD[SwitchA-pkey-public-key-key1]D716D7DB9FCABB4ADBF6FB4FDB0CA25C761B308EF53009F7101F7C62621216D5A572C379A32AC290[SwitchA-pkey-public-key-key1]E55B394A217DA38B65B77F0185C8DB8095522D1EF044B465E8716261214A5A3B493E866991113B2D[SwitchA-pkey-public-key-key1]485348[SwitchA-pkey-public-key-key1]peer-public-keyend[SwitchA]quit#建立到服务器192.
168.
1.
40的SSH连接,并指定服务器端的主机公钥.
ssh2192.
168.
1.
40public-keykey1Username:client001PressCTRL+Ctoabort.
Connectingto192.
168.
1.
40port22.
client001@192.
168.
1.
40'spassword:Enteracharacter~andadottoabort.
*Copyright(c)2004-2016HangzhouH3CTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*输入正确的密码之后,即可成功登录到SwitchB上.
客户端本地已有服务器端的主机公钥,直接与服务器建立连接ssh2192.
168.
1.
40Username:client001PressCTRL+Ctoabort.
Connectingto192.
168.
1.
40port22.
client001@192.
168.
1.
40'spassword:Enteracharacter~andadottoabort.
*Copyright(c)2004-2016HangzhouH3CTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*输入正确的密码之后,即可成功登录到SwitchB上.
1-411.
8.
4设备作为Stelnet客户端配置举例(publickey认证)1.
组网需求配置SwitchA作为Stelnet客户端,用户能够通过SwitchA安全地登录到SwitchB上,并被授予用户角色network-admin进行配置管理.
SwitchB作为Stelnet服务器采用publickey认证方式对Stelnet客户端进行认证,使用的公钥算法为DSA.
2.
组网图图1-12设备作为Stelnet客户端配置组网图3.
配置步骤在服务器的配置过程中需要指定客户端的公钥信息,因此需要首先完成客户端密钥对的配置,再进行服务器的配置.
(1)配置Stelnet客户端#配置VLAN接口2的IP地址.
system-view[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipaddress192.
168.
1.
56255.
255.
255.
0[SwitchA-Vlan-interface2]quit#生成DSA密钥对.
[SwitchA]public-keylocalcreatedsaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#将生成的DSA主机公钥导出到指定文件key.
pub中.
[SwitchA]public-keylocalexportdsassh2key.
pub[SwitchA]quit客户端生成密钥对后,需要将保存的公钥文件key.
pub通过FTP/TFTP方式上传到服务器,具体过程略.
1-42(2)配置Stelnet服务器#生成RSA密钥对.
system-view[SwitchB]public-keylocalcreatersaTherangeofpublickeymodulusis(512~2048)Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成DSA密钥对.
[SwitchB]public-keylocalcreatedsaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成ECDSA密钥对.
[SwitchB]public-keylocalcreateecdsasecp256r1GeneratingKeys.
.
.
.
Createthekeypairsuccessfully.
#开启Stelnet服务器功能.
[SwitchB]sshserverenable#配置VLAN接口2的IP地址,客户端将通过该地址连接SSH服务器.
[SwitchB]interfacevlan-interface2[SwitchB-Vlan-interface2]ipaddress192.
168.
1.
40255.
255.
255.
0[SwitchB-Vlan-interface2]quit#设置Stelnet客户端登录用户线的认证方式为AAA认证.
[SwitchB]linevty063[SwitchB-line-vty0-63]authentication-modescheme[SwitchB-line-vty0-63]quit#从文件key.
pub中导入远端的公钥,并命名为switchkey.
[SwitchB]public-keypeerswitchkeyimportsshkeykey.
pub#设置SSH用户client002的认证方式为publickey,并指定公钥为switchkey.
[SwitchB]sshuserclient002service-typestelnetauthentication-typepublickeyassignpublickeyswitchkey#创建设备管理类本地用户client002,并设置服务类型为SSH,用户角色为network-admin.
1-43[SwitchB]local-userclient002classmanage[SwitchB-luser-manage-client002]service-typessh[SwitchB-luser-manage-client002]authorization-attributeuser-rolenetwork-admin[SwitchB-luser-manage-client002]quit(3)Stelnet客户端建立与Stelnet服务器的连接#建立到服务器192.
168.
1.
40的SSH连接.
ssh2192.
168.
1.
40identity-keydsaUsername:client002PressCTRL+Ctoabort.
Connectingto192.
168.
1.
40port22.
Theserverisnotauthenticated.
Continue[Y/N]:yDoyouwanttosavetheserverpublickey[Y/N]:nEnteracharacter~andadottoabort.
*Copyright(c)2004-2016HangzhouH3CTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*由于本地未保存服务器端的主机公钥,因此在选择继续访问服务器之后,即可成功登录到SwitchB上.
1.
8.
5设备支持StelnetSuiteB配置举例(128-bit)1.
组网需求配置SwitchA作为StelnetSuiteB客户端,用户能够通过SwitchA安全地登录到SwitchB上SwitchB设备配置为suite-b服务器模式;用户可以通过SwitchA上运行的StelnetSuiteB客户端软件(SSH2版本)安全地登录到SwitchB上,并被授予用户角色network-admin进行配置管理;SwitchB采用publickey认证方式对StelnetSuiteB客户端进行认证.
2.
组网图图1-13设备支持StelnetSuiteB组网图1-443.
配置步骤在服务器的配置过程中需要指定服务器和客户端的证书信息,因此需要首先完成证书的配置,再进行SuiteB相关的服务器配置.
客户端软件支持SuiteB的较少,OpenSSH的pkix版本通过修改可以实现.
本文中仅以我司设备客户端为例,说明StelnetSuiteB客户端的配置方法.
(1)配置StelnetSuiteB客户端#客户端和服务器证书生成后,需要将保存的证书文件ssh-server-ecdsa256.
p12和ssh-client-ecdsa256.
p12通过FTP/TFTP方式上传到客户端设备,具体过程略.
#配置验证服务器证书的PKI域.
system-view[SwitchA]pkidomainserver256#关闭CRL检查.
[SwitchA-pki-domain-server256]undocrlcheckenable[SwitchA-pki-domain-server256]quit#导入CA证书.
[SwitchA]pkiimportdomainserver256p12localfilenamessh-server-ecdsa256.
p12Thesystemisgoingtosavethekeypair.
Youmustspecifyakeypairname,whichisacase-insensitivestringof1to64characters.
Validcharactersincludeatoz,AtoZ,0to9,andhyphens(-).
Pleaseenterthekeypairname[defaultname:server256]:#显示导入CA证书信息.
[SwitchA]displaypkicertificatedomainserver256localCertificate:Data:Version:3(0x2)SerialNumber:3(0x3)SignatureAlgorithm:ecdsa-with-SHA256Issuer:C=CN,ST=Beijing,L=Beijing,O=H3C,OU=Software,CN=SuiteBCAValidityNotBefore:Aug2108:39:512015GMTNotAfter:Aug2008:39:512016GMTSubject:C=CN,ST=Beijing,O=H3C,OU=Software,CN=SSHServersecp256SubjectPublicKeyInfo:PublicKeyAlgorithm:id-ecPublicKeyPublic-Key:(256bit)pub:04:a2:b4:b4:66:1e:3b:d5:50:50:0e:55:19:8d:52:6d:47:8c:3d:3d:96:75:88:2f:9a:ba:a2:a7:f9:ef:0a:a9:20:b7:b6:6a:90:0e:f8:c6:de:15:a2:23:81:3c:9e:a2:b7:83:87:b9:ad:28:c8:2a:5e:58:11:8e:c7:61:4a:52:51ASN1OID:prime256v11-45NISTCURVE:P-256X509v3extensions:X509v3BasicConstraints:CA:FALSENetscapeComment:OpenSSLGeneratedCertificateX509v3SubjectKeyIdentifier:08:C1:F1:AA:97:45:19:6A:DA:4A:F2:87:A1:1A:E8:30:BD:31:30:D7X509v3AuthorityKeyIdentifier:keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22SignatureAlgorithm:ecdsa-with-SHA25630:65:02:31:00:a9:16:e9:c1:76:f0:32:fc:4b:f9:8f:b6:7f:31:a0:9f:de:a7:cc:33:29:27:2c:71:2e:f9:0d:74:cb:25:c9:00:d2:52:18:7f:58:3f:cc:7e:8b:d3:42:65:00:cb:63:f8:02:30:01:a2:f6:a1:51:04:1c:61:78:f6:6b:7e:f9:f9:42:8d:7c:a7:bb:47:7c:2a:85:67:0d:81:12:0b:02:98:bc:06:1f:c1:3c:9b:c2:1b:4c:44:38:5a:14:b2:48:63:02:2b#配置客户端向服务器发送证书所在的PKI域.
[SwitchA]pkidomainclient256#关闭CRL检查.
[SwitchA-pki-domain-client256]undocrlcheckenable[SwitchA-pki-domain-client256]quit#导入CA证书.
[SwitchA]pkiimportdomainclient256p12localfilenamessh-client-ecdsa256.
p12Thesystemisgoingtosavethekeypair.
Youmustspecifyakeypairname,whichisacase-insensitivestringof1to64characters.
Validcharactersincludeatoz,AtoZ,0to9,andhyphens(-).
Pleaseenterthekeypairname[defaultname:client256]:#显示导入CA证书信息.
[SwitchA]displaypkicertificatedomainclient256localCertificate:Data:Version:3(0x2)SerialNumber:4(0x4)SignatureAlgorithm:ecdsa-with-SHA256Issuer:C=CN,ST=Beijing,L=Beijing,O=H3C,OU=Software,CN=SuiteBCAValidityNotBefore:Aug2108:41:092015GMTNotAfter:Aug2008:41:092016GMTSubject:C=CN,ST=Beijing,O=H3C,OU=Software,CN=SSHClientsecp256SubjectPublicKeyInfo:PublicKeyAlgorithm:id-ecPublicKeyPublic-Key:(256bit)pub:04:da:e2:26:45:87:7a:63:20:e7:ca:7f:82:19:f5:96:88:3e:25:46:f8:2f:9a:4c:70:61:35:db:e4:39:1-46b8:38:c4:60:4a:65:28:49:14:32:3c:cc:6d:cd:34:29:83:84:74:a7:2d:0e:75:1c:c2:52:58:1e:22:16:12:d0:b4:8a:92ASN1OID:prime256v1NISTCURVE:P-256X509v3extensions:X509v3BasicConstraints:CA:FALSENetscapeComment:OpenSSLGeneratedCertificateX509v3SubjectKeyIdentifier:1A:61:60:4D:76:40:B8:BA:5D:A1:3C:60:BC:57:98:35:20:79:80:FCX509v3AuthorityKeyIdentifier:keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22SignatureAlgorithm:ecdsa-with-SHA25630:66:02:31:00:9a:6d:fd:7d:ab:ae:54:9a:81:71:e6:bb:ad:5a:2e:dc:1d:b3:8a:bf:ce:ee:71:4e:8f:d9:93:7f:a3:48:a1:5c:17:cb:22:fa:8f:b3:e5:76:89:06:9f:96:47:dc:34:87:02:31:00:e3:af:2a:8f:d6:8d:1f:3a:2b:ae:2f:97:b3:52:63:b6:18:67:70:2c:93:2a:41:c0:e7:fa:93:20:09:4d:f4:bf:d0:11:66:0f:48:56:01:1e:c3:be:37:4e:49:19:cf:c6#配置VLAN接口2的IP地址.
system-view[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipaddress192.
168.
1.
56255.
255.
255.
0[SwitchA-Vlan-interface2]quit(2)配置StelnetSuiteB服务器#服务器上配置证书的PKI域与客户端相同,具体过程略.
#配置服务器suite-b算法集.
system-view[SwitchB]ssh2algorithmkey-exchangeecdh-sha2-nistp256[SwitchB]ssh2algorithmcipheraes128-gcm[SwitchB]ssh2algorithmpublic-keyx509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384#配置服务器证书所在的PKI域.
[SwitchB]sshserverpki-domainserver256#开启Stelnet服务器功能.
[SwitchB]sshserverenable#配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器.
[SwitchB]interfacevlan-interface2[SwitchB-Vlan-interface2]ipaddress192.
168.
1.
40255.
255.
255.
0[SwitchB-Vlan-interface2]quit#设置Stelnet客户端登录用户线的认证方式为AAA认证.
[SwitchB]linevty015[SwitchB-line-vty0-15]authentication-modescheme[SwitchB-line-vty0-15]quit1-47#创建设备管理类本地用户client001,服务类型为SSH,用户角色为network-admin.
[SwitchB]local-userclient001classmanage[SwitchB-luser-manage-client001]service-typessh[SwitchB-luser-manage-client001]authorization-attributeuser-rolenetwork-admin[SwitchB-luser-manage-client001]quit#设置SSH用户client001的认证方式为publickey,并指定认证证书所在PKI域为client256.
[Switch]sshuserclient001service-typestelnetauthentication-typepublickeyassignpki-domainclient256(3)StelnetSuiteB客户端建立与Stelnetsuite-b服务器的连接#建立到服务器192.
168.
1.
40的SSH连接.
ssh2192.
168.
1.
40suite-b128-bitpki-domainclient256server-pki-domainserver256Username:client001PressCTRL+Ctoabort.
Connectingto192.
168.
1.
40port22.
Enteracharacter~andadottoabort.
*Copyright(c)2004-2016HangzhouH3CTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*1.
9SFTP典型配置举例举例中的设备运行于非FIPS模式下.
若设备运行于FIPS模式下,相关的配置和显示信息将有所变化,请以设备的实际情况为准.
设备作为服务器仅支持ECDSA、RSA密钥对,请不要生成DSA密钥对.
1.
9.
1设备作为SFTP服务器配置举例(password认证)1.
组网需求用户可以通过Host上运行的SFTP客户端软件安全地登录到Switch上,并被授予用户角色network-admin进行文件管理和文件传送等操作;Switch采用password认证方式对SFTP客户端进行认证,客户端的用户名和密码保存在本地.
1-482.
组网图图1-14设备作为SFTP服务器配置组网图3.
配置步骤(1)配置SFTP服务器#生成RSA密钥对.
system-view[Switch]public-keylocalcreatersaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成DSA密钥对.
[Switch]public-keylocalcreatedsaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成ECDSA密钥对.
[Switch]public-keylocalcreateecdsasecp256r1GeneratingKeys.
.
.
.
Createthekeypairsuccessfully.
#启动SFTP服务器.
[Switch]sftpserverenable#配置VLAN接口2的IP地址,客户端将通过该地址连接SSH服务器.
[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipaddress192.
168.
1.
45255.
255.
255.
0[Switch-Vlan-interface2]quit1-49#创建设备管理类本地用户client002,并设置密码为明文aabbcc,服务类型为SSH,用户角色为network-admin,工作目录为flash:/.
[Switch]local-userclient002classmanage[Switch-luser-manage-client002]passwordsimpleaabbcc[Switch-luser-manage-client002]service-typessh[Switch-luser-manage-client002]authorization-attributeuser-rolenetwork-adminwork-directoryflash:/[Switch-luser-manage-client002]quit#配置SSH用户认证方式为password,服务类型为SFTP.
(此步骤可以不配置)[Switch]sshuserclient002service-typesftpauthentication-typepassword(2)SFTP客户端建立与SFTP服务器的连接SFTP客户端软件有很多,本文中仅以客户端软件PuTTY0.
58中的PSFTP为例,说明SFTP客户端的配置方法.
PSFTP只支持password认证,不支持publickey认证.
#建立与SFTP服务器的连接.
打开psftp.
exe程序,出现如图1-15所示的客户端配置界面.
输入如下命令:open192.
168.
1.
45根据提示输入用户名client002,密码aabbcc,即可登录SFTP服务器.
图1-15SFTP客户端登录界面1-501.
9.
2设备作为SFTP客户端配置举例(publickey认证)1.
组网需求配置SwitchA作为SFTP客户端,用户能够通过SwitchA安全地登录到SwitchB上,并被授予用户角色network-admin进行文件管理和文件传送等操作.
SwitchB作为SFTP服务器采用publickey认证方式对SFTP客户端进行认证,使用的公钥算法为RSA.
2.
组网图图1-16设备作为SFTP客户端配置组网图3.
配置步骤在服务器的配置过程中需要指定客户端的公钥信息,因此建议首先完成客户端密钥对的配置,再进行服务器的配置.
(1)配置SFTP客户端#配置VLAN接口2的IP地址.
system-view[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipaddress192.
168.
0.
2255.
255.
255.
0[SwitchA-Vlan-interface2]quit#生成RSA密钥对.
[SwitchA]public-keylocalcreatersaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#将生成的RSA主机公钥导出到指定文件pubkey中.
[SwitchA]public-keylocalexportrsassh2pubkey[SwitchA]quit1-51客户端生成密钥对后,需要将保存的公钥文件pubkey通过FTP/TFTP方式上传到服务器,具体过程略.
(2)配置SFTP服务器#生成RSA密钥对.
system-view[SwitchB]public-keylocalcreatersaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成DSA密钥对.
[SwitchB]public-keylocalcreatedsaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成ECDSA密钥对.
[SwitchB]public-keylocalcreateecdsasecp256r1GeneratingKeys.
.
.
.
Createthekeypairsuccessfully.
#启动SFTP服务器.
[SwitchB]sftpserverenable#配置VLAN接口2的IP地址,客户端将通过该地址连接SSH服务器.
[SwitchB]interfacevlan-interface2[SwitchB-Vlan-interface2]ipaddress192.
168.
0.
1255.
255.
255.
0[SwitchB-Vlan-interface2]quit#从文件pubkey中导入远端的公钥,并命名为switchkey.
[SwitchB]public-keypeerswitchkeyimportsshkeypubkey#设置SSH用户client001的服务类型为SFTP,认证方式为publickey,并指定公钥为switchkey.
[SwitchB]sshuserclient001service-typesftpauthentication-typepublickeyassignpublickeyswitchkey#创建设备管理类本地用户client001,并设置服务类型为SSH,用户角色为network-admin,工作目录为flash:/.
[SwitchB]local-userclient001classmanage1-52[SwitchB-luser-manage-client001]service-typessh[SwitchB-luser-manage-client001]authorization-attributeuser-rolenetwork-adminwork-directoryflash:/[SwitchB-luser-manage-client001]quit(3)SFTP客户端建立与SFTP服务器端的连接#与远程SFTP服务器建立连接,进入SFTP客户端视图.
sftp192.
168.
0.
1identity-keyrsaUsername:client001PressCTRL+Ctoabort.
Connectingto192.
168.
0.
1port22.
Theserverisnotauthenticated.
Continue[Y/N]:yDoyouwanttosavetheserverpublickey[Y/N]:nsftp>#显示服务器的当前目录,删除文件z,并检查此文件是否删除成功.
sftp>dir-l-rwxrwxrwx1noonenogroup1759Aug2306:52config.
cfg-rwxrwxrwx1noonenogroup225Aug2408:01pubkey2-rwxrwxrwx1noonenogroup283Aug2407:39pubkeydrwxrwxrwx1noonenogroup0Sep0106:22new-rwxrwxrwx1noonenogroup225Sep0106:55pub-rwxrwxrwx1noonenogroup0Sep0108:00zsftp>deletezRemoving/zsftp>dir-l-rwxrwxrwx1noonenogroup1759Aug2306:52config.
cfg-rwxrwxrwx1noonenogroup225Aug2408:01pubkey2-rwxrwxrwx1noonenogroup283Aug2407:39pubkeydrwxrwxrwx1noonenogroup0Sep0106:22new-rwxrwxrwx1noonenogroup225Sep0106:55pub#新增目录new1,并检查新目录是否创建成功.
sftp>mkdirnew1sftp>dir-l-rwxrwxrwx1noonenogroup1759Aug2306:52config.
cfg-rwxrwxrwx1noonenogroup225Aug2408:01pubkey2-rwxrwxrwx1noonenogroup283Aug2407:39pubkeydrwxrwxrwx1noonenogroup0Sep0106:22new-rwxrwxrwx1noonenogroup225Sep0106:55pubdrwxrwxrwx1noonenogroup0Sep0206:30new1#将目录名new1更名为new2,并查看是否更名成功.
sftp>renamenew1new2sftp>dir-l-rwxrwxrwx1noonenogroup1759Aug2306:52config.
cfg-rwxrwxrwx1noonenogroup225Aug2408:01pubkey2-rwxrwxrwx1noonenogroup283Aug2407:39pubkeydrwxrwxrwx1noonenogroup0Sep0106:22new-rwxrwxrwx1noonenogroup225Sep0106:55pubdrwxrwxrwx1noonenogroup0Sep0206:33new21-53#从服务器上下载文件pubkey2到本地,并更名为public.
sftp>getpubkey2publicFetching/pubkey2topublic/pubkey2100%2251.
4KB/s00:00#将本地文件pu上传到服务器上,更名为puk,并查看上传是否成功.
sftp>putpupukUploadingputo/puksftp>dir-l-rwxrwxrwx1noonenogroup1759Aug2306:52config.
cfg-rwxrwxrwx1noonenogroup225Aug2408:01pubkey2-rwxrwxrwx1noonenogroup283Aug2407:39pubkeydrwxrwxrwx1noonenogroup0Sep0106:22newdrwxrwxrwx1noonenogroup0Sep0206:33new2-rwxrwxrwx1noonenogroup283Sep0206:35pub-rwxrwxrwx1noonenogroup283Sep0206:36puksftp>#退出SFTP客户端视图.
sftp>quit1.
9.
3设备支持SFTPSuiteB配置举例(192-bit)1.
组网需求配置SwitchA作为SFTPSuiteB客户端,用户能够通过SwitchA安全地登录到SwitchB上SwitchB设备配置为SuiteB服务器模式;用户可以通过SwitchA上运行的SFTPSuiteB客户端软件(SSH2版本)安全地登录到SwitchB上,并被授予用户角色network-admin进行配置管理;SwitchB采用publickey认证方式对SFTPSuiteB客户端进行认证.
2.
组网图图1-17设备支持SFTPSuiteB配置组网图1-543.
配置步骤在服务器的配置过程中需要指定服务器和客户端的证书信息,因此需要首先完成证书的配置,再进行SuiteB相关的服务器配置.
客户端软件支持SuiteB的较少,OpenSSH的pkix版本通过修改可以实现.
本文中仅以我司设备客户端为例,说明SFTPSuiteB客户端的配置方法.
(1)配置SFTPSuiteB客户端#客户端和服务器证书生成后,需要将保存的证书文件ssh-server-ecdsa384.
p12和ssh-client-ecdsa384.
p12通过FTP/TFTP方式上传到客户端设备,具体过程略.
#配置验证服务器证书的PKI域.
system-view[SwitchA]pkidomainserver384#关闭CRL检查.
[SwitchA-pki-domain-server384]undocrlcheckenable[SwitchA-pki-domain-server384]quit#导入CA证书.
[SwitchA]pkiimportdomainserver384p12localfilenamessh-server-ecdsa384.
p12Thesystemisgoingtosavethekeypair.
Youmustspecifyakeypairname,whichisacase-insensitivestringof1to64characters.
Validcharactersincludeatoz,AtoZ,0to9,andhyphens(-).
Pleaseenterthekeypairname[defaultname:server384]:#显示导入CA证书信息.
[SwitchA]displaypkicertificatedomainserver384localCertificate:Data:Version:3(0x2)SerialNumber:1(0x1)SignatureAlgorithm:ecdsa-with-SHA384Issuer:C=CN,ST=Beijing,L=Beijing,O=H3C,OU=Software,CN=SuiteBCAValidityNotBefore:Aug2010:08:412015GMTNotAfter:Aug1910:08:412016GMTSubject:C=CN,ST=Beijing,O=H3C,OU=Software,CN=sshserverSubjectPublicKeyInfo:PublicKeyAlgorithm:id-ecPublicKeyPublic-Key:(384bit)pub:04:4a:33:e5:99:8d:49:45:a7:a3:24:7b:32:6a:ed:b6:36:e1:4d:cc:8c:05:22:f4:3a:7c:5d:b7:be:d1:e6:9e:f0:ce:95:39:ca:fd:a0:86:cd:54:ab:49:60:10:be:67:9f:90:3a:18:e2:7d:d9:5f:72:27:09:e7:bf:7e:64:0a:59:bb:b3:7d:ae:88:14:94:45:b9:34:d2:f3:93:e1:ba:b4:50:15:eb:e5:45:24:31:10:c7:1-5507:01:f9:dc:a5:6f:81ASN1OID:secp384r1NISTCURVE:P-384X509v3extensions:X509v3BasicConstraints:CA:FALSENetscapeComment:OpenSSLGeneratedCertificateX509v3SubjectKeyIdentifier:10:16:64:2C:DA:C1:D1:29:CD:C0:74:40:A9:70:BD:62:8A:BB:F4:D5X509v3AuthorityKeyIdentifier:keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22SignatureAlgorithm:ecdsa-with-SHA38430:65:02:31:00:80:50:7a:4f:c5:cd:6a:c3:57:13:7f:e9:da:c1:72:7f:45:30:17:c2:a7:d3:ec:73:3d:5f:4d:e3:96:f6:a3:33:fb:e4:b9:ff:47:f1:af:9d:e3:03:d2:24:53:40:09:5b:02:30:45:d1:bf:51:fd:da:22:11:90:03:f9:d4:05:ec:d6:7c:41:fc:9d:a1:fd:5b:8c:73:f8:b6:4c:c3:41:f7:c6:7f:2f:05:2d:37:f8:52:52:26:99:28:97:ac:6e:f9:c7:01#配置客户端向服务器发送证书所在的PKI域.
[SwitchA]pkidomainclient384#关闭CRL检查.
[SwitchA-pki-domain-client384]undocrlcheckenable[SwitchA-pki-domain-client384]quit#导入CA证书.
[SwitchA]pkiimportdomainclient384p12localfilenamessh-client-ecdsa384.
p12Thesystemisgoingtosavethekeypair.
Youmustspecifyakeypairname,whichisacase-insensitivestringof1to64characters.
Validcharactersincludeatoz,AtoZ,0to9,andhyphens(-).
Pleaseenterthekeypairname[defaultname:client384]:#显示导入CA证书信息.
[SwitchA]displaypkicertificatedomainclient384localCertificate:Data:Version:3(0x2)SerialNumber:2(0x2)SignatureAlgorithm:ecdsa-with-SHA384Issuer:C=CN,ST=Beijing,L=Beijing,O=H3C,OU=Software,CN=SuiteBCAValidityNotBefore:Aug2010:10:592015GMTNotAfter:Aug1910:10:592016GMTSubject:C=CN,ST=Beijing,O=H3C,OU=Software,CN=sshclientSubjectPublicKeyInfo:PublicKeyAlgorithm:id-ecPublicKeyPublic-Key:(384bit)pub:1-5604:85:7c:8b:f4:7a:36:bf:74:f6:7c:72:f9:08:69:d0:b9:ac:89:98:17:c9:fc:89:94:43:da:9a:a6:89:41:d3:72:24:9b:9a:29:a8:d1:ba:b4:e5:77:ba:fc:df:ae:c6:dd:46:72:ab:bc:d1:7f:18:7d:54:88:f6:b4:06:54:7e:e7:4d:49:b4:07:dc:30:54:4b:b6:5b:01:10:51:6b:0c:6d:a3:b1:4b:c9:d9:6c:d6:be:13:91:70:31:2a:92:00:76ASN1OID:secp384r1NISTCURVE:P-384X509v3extensions:X509v3BasicConstraints:CA:FALSENetscapeComment:OpenSSLGeneratedCertificateX509v3SubjectKeyIdentifier:BD:5F:8E:4F:7B:FE:74:03:5A:D1:94:DB:CA:A7:82:D6:F7:78:A1:B0X509v3AuthorityKeyIdentifier:keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22SignatureAlgorithm:ecdsa-with-SHA38430:66:02:31:00:d2:06:fa:2c:0b:0d:f0:81:90:01:c3:3d:bf:97:b3:79:d8:25:a0:e2:0e:ed:00:c9:48:3e:c9:71:43:c9:b4:2a:a6:0a:27:80:9e:d4:0f:f2:db:db:5b:40:b1:a9:0a:e4:02:31:00:ee:00:e1:07:c0:2f:12:3f:88:ea:fe:19:05:ef:56:ca:33:71:75:5e:11:c9:a6:51:4b:3e:7c:eb:2a:4d:87:2b:71:7c:30:64:fe:14:ce:06:d5:0a:e2:cf:9a:69:19:ff#配置VLAN接口2的IP地址.
[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipaddress192.
168.
0.
2255.
255.
255.
0[SwitchA-Vlan-interface2]quit[SwitchA]quit(2)配置StelnetSuiteB服务器#服务器上配置证书的PKI域与客户端相同,具体过程略.
#配置服务器SuiteB算法集.
[SwitchB]ssh2algorithmkey-exchangeecdh-sha2-nistp384[SwitchB]ssh2algorithmcipheraes256-gcm[SwitchB]ssh2algorithmpublic-keyx509v3-ecdsa-sha2-nistp384#配置服务器证书所在的PKI域.
[SwitchB]sshserverpki-domainserver384#开启SFTP服务器功能.
[SwitchB]sftpserverenable#配置VLAN接口2的IP地址,客户端将通过该地址连接SFTP服务器.
[SwitchB]interfacevlan-interface2[SwitchB-Vlan-interface2]ipaddress192.
168.
0.
1255.
255.
255.
0[SwitchB-Vlan-interface2]quit#设置SFTP客户端登录用户线的认证方式为AAA认证.
1-57[SwitchB]linevty015[SwitchB-line-vty0-15]authentication-modescheme[SwitchB-line-vty0-15]quit#创建设备管理类本地用户client001,服务类型为SSH,用户角色为network-admin.
[SwitchB]local-userclient001classmanage[SwitchB-luser-manage-client001]service-typessh[SwitchB-luser-manage-client001]authorization-attributeuser-rolenetwork-admin[SwitchB-luser-manage-client001]quit#设置SSH用户client001的认证方式为publickey,并指定认证证书所在PKI域为client384.
[Switch]sshuserclient001service-typesftpauthentication-typepublickeyassignpki-domainclient384(3)SFTPSuiteB客户端建立与SFTPSuiteB服务器的连接#建立到服务器192.
168.
0.
1的SSH连接.
sftp192.
168.
0.
1suite-b192-bitpki-domainclient384server-pki-domainserver384Username:client001PressCTRL+Ctoabort.
Connectingto192.
168.
0.
1port22.
sftp>1.
10SCP典型配置举例举例中的设备运行于非FIPS模式下.
若设备运行于FIPS模式下,相关的配置和显示信息将有所变化,请以设备的实际情况为准.
设备作为服务器仅支持ECDSA、RSA密钥对,请不要生成DSA密钥对.
1.
10.
1SCP文件传输配置举例(password认证)1.
组网需求如下图所示,SwitchA作为SCP客户端,SwitchB作为SCP服务器.
现有如下具体需求:用户能够通过SwitchA安全地安全地登录到SwitchB上,并被授予用户角色network-admin与SwitchB进行文件传输.
SwitchB采用password认证对SCP客户端进行认证,客户端的用户名和密码保存在SwitchB上.
2.
组网图图1-18SCP文件传输配置组网图1-583.
配置步骤(1)配置SCP服务器#生成RSA密钥对.
system-view[SwitchB]public-keylocalcreatersaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成DSA密钥对.
[SwitchB]public-keylocalcreatedsaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成ECDSA密钥对.
[SwitchB]public-keylocalcreateecdsasecp256r1GeneratingKeys.
.
.
.
Createthekeypairsuccessfully.
#开启SCP服务器功能.
[SwitchB]scpserverenable#配置接口VLAN接口2的IP地址,客户端将通过该地址连接SCP服务器.
[SwitchB]interfacevlan-interface2[SwitchB-Vlan-interface2]ipaddress192.
168.
0.
1255.
255.
255.
0[SwitchB-Vlan-interface2]quit#创建设备管理类本地用户client001,并设置密码为明文aabbcc,服务类型为SSH.
[SwitchB]local-userclient001classmanage[SwitchB-luser-manage-client001]passwordsimpleaabbcc[SwitchB-luser-manage-client001]service-typessh[SwitchB-luser-manage-client001]authorization-attributeuser-rolenetwork-admin[SwitchB-luser-manage-client001]quit#配置SSH用户client001的服务类型为scp,认证方式为password认证.
(此步骤可以不配置)[SwitchB]sshuserclient001service-typescpauthentication-typepassword(2)配置SCP客户端1-59#配置接口VLAN2的IP地址.
system-view[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipaddress192.
168.
0.
2255.
255.
255.
0[SwitchA-Vlan-interface2]quit[SwitchA]quit(3)SCP客户端从SCP服务器下载文件#与远程SCP服务器建立连接,并下载远端的remote.
bin文件,下载到本地后更名为local.
bin.
scp192.
168.
0.
1getremote.
binlocal.
binUsername:client001PressCTRL+Ctoabort.
Connectingto192.
168.
0.
1port22.
Theserverisnotauthenticated.
Continue[Y/N]:yDoyouwanttosavetheserverpublickey[Y/N]:nclient001@192.
168.
0.
1'spassword:remote.
bin100%28752.
8KB/s00:001.
10.
2设备支持SCPSuiteB配置举例1.
组网需求配置SwitchA作为SCPSuiteB客户端,用户能够通过SwitchA安全地登录到SwitchB上SwitchB设备配置为SuiteB服务器模式;用户可以通过SwitchA上运行的SCPSuiteB客户端软件(SSH2版本)安全地登录到SwitchB上,并被授予用户角色network-admin进行配置管理;SwitchB采用publickey认证方式对SCPSuiteB客户端进行认证.
2.
组网图图1-19设备支持SCPSuiteB配置组网图3.
配置步骤在服务器的配置过程中需要指定服务器和客户端的证书信息,因此需要首先完成证书的配置,再进行SuiteB相关的服务器配置.
客户端软件支持SuiteB的较少,OpenSSH的pkix版本通过修改可以实现.
本文中仅以我司设备客户端为例,说明SCPSuiteB客户端的配置方法.
(1)配置SCPSuiteB客户端,导入两种证书1-60#客户端和服务器证书生成后,需要将保存的证书文件ssh-server-ecdsa256.
p12、ssh-client-ecdsa256.
p12、ssh-server-ecdsa384.
p12和ssh-client-ecdsa384.
p12通过FTP/TFTP方式上传到客户端设备,具体过程略.
#配置验证服务器ecdsa256证书的PKI域.
system-view[SwitchA]pkidomainserver256#关闭CRL检查.
[SwitchA-pki-domain-server256]undocrlcheckenable[SwitchA-pki-domain-server256]quit#导入CA证书.
[SwitchA]pkiimportdomainserver256p12localfilenamessh-server-ecdsa256.
p12Thesystemisgoingtosavethekeypair.
Youmustspecifyakeypairname,whichisacase-insensitivestringof1to64characters.
Validcharactersincludeatoz,AtoZ,0to9,andhyphens(-).
Pleaseenterthekeypairname[defaultname:server256]:#显示导入CA证书信息.
[SwitchA]displaypkicertificatedomainserver256localCertificate:Data:Version:3(0x2)SerialNumber:3(0x3)SignatureAlgorithm:ecdsa-with-SHA256Issuer:C=CN,ST=Beijing,L=Beijing,O=H3C,OU=Software,CN=SuiteBCAValidityNotBefore:Aug2108:39:512015GMTNotAfter:Aug2008:39:512016GMTSubject:C=CN,ST=Beijing,O=H3C,OU=Software,CN=SSHServersecp256SubjectPublicKeyInfo:PublicKeyAlgorithm:id-ecPublicKeyPublic-Key:(256bit)pub:04:a2:b4:b4:66:1e:3b:d5:50:50:0e:55:19:8d:52:6d:47:8c:3d:3d:96:75:88:2f:9a:ba:a2:a7:f9:ef:0a:a9:20:b7:b6:6a:90:0e:f8:c6:de:15:a2:23:81:3c:9e:a2:b7:83:87:b9:ad:28:c8:2a:5e:58:11:8e:c7:61:4a:52:51ASN1OID:prime256v1NISTCURVE:P-256X509v3extensions:X509v3BasicConstraints:CA:FALSENetscapeComment:OpenSSLGeneratedCertificateX509v3SubjectKeyIdentifier:08:C1:F1:AA:97:45:19:6A:DA:4A:F2:87:A1:1A:E8:30:BD:31:30:D7X509v3AuthorityKeyIdentifier:keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:221-61SignatureAlgorithm:ecdsa-with-SHA25630:65:02:31:00:a9:16:e9:c1:76:f0:32:fc:4b:f9:8f:b6:7f:31:a0:9f:de:a7:cc:33:29:27:2c:71:2e:f9:0d:74:cb:25:c9:00:d2:52:18:7f:58:3f:cc:7e:8b:d3:42:65:00:cb:63:f8:02:30:01:a2:f6:a1:51:04:1c:61:78:f6:6b:7e:f9:f9:42:8d:7c:a7:bb:47:7c:2a:85:67:0d:81:12:0b:02:98:bc:06:1f:c1:3c:9b:c2:1b:4c:44:38:5a:14:b2:48:63:02:2b#配置客户端向服务器发送ecdsa256证书所在的PKI域.
[SwitchA]pkidomainclient256#关闭CRL检查.
[SwitchA-pki-domain-client256]undocrlcheckenable[SwitchA-pki-domain-client256]quit#导入CA证书.
[SwitchA]pkiimportdomainclient256p12localfilenamessh-client-ecdsa256.
p12Thesystemisgoingtosavethekeypair.
Youmustspecifyakeypairname,whichisacase-insensitivestringof1to64characters.
Validcharactersincludeatoz,AtoZ,0to9,andhyphens(-).
Pleaseenterthekeypairname[defaultname:client256]:#显示导入CA证书信息.
[SwitchA]displaypkicertificatedomainclient256localCertificate:Data:Version:3(0x2)SerialNumber:4(0x4)SignatureAlgorithm:ecdsa-with-SHA256Issuer:C=CN,ST=Beijing,L=Beijing,O=H3C,OU=Software,CN=SuiteBCAValidityNotBefore:Aug2108:41:092015GMTNotAfter:Aug2008:41:092016GMTSubject:C=CN,ST=Beijing,O=H3C,OU=Software,CN=SSHClientsecp256SubjectPublicKeyInfo:PublicKeyAlgorithm:id-ecPublicKeyPublic-Key:(256bit)pub:04:da:e2:26:45:87:7a:63:20:e7:ca:7f:82:19:f5:96:88:3e:25:46:f8:2f:9a:4c:70:61:35:db:e4:39:b8:38:c4:60:4a:65:28:49:14:32:3c:cc:6d:cd:34:29:83:84:74:a7:2d:0e:75:1c:c2:52:58:1e:22:16:12:d0:b4:8a:92ASN1OID:prime256v1NISTCURVE:P-256X509v3extensions:X509v3BasicConstraints:CA:FALSENetscapeComment:OpenSSLGeneratedCertificate1-62X509v3SubjectKeyIdentifier:1A:61:60:4D:76:40:B8:BA:5D:A1:3C:60:BC:57:98:35:20:79:80:FCX509v3AuthorityKeyIdentifier:keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22SignatureAlgorithm:ecdsa-with-SHA25630:66:02:31:00:9a:6d:fd:7d:ab:ae:54:9a:81:71:e6:bb:ad:5a:2e:dc:1d:b3:8a:bf:ce:ee:71:4e:8f:d9:93:7f:a3:48:a1:5c:17:cb:22:fa:8f:b3:e5:76:89:06:9f:96:47:dc:34:87:02:31:00:e3:af:2a:8f:d6:8d:1f:3a:2b:ae:2f:97:b3:52:63:b6:18:67:70:2c:93:2a:41:c0:e7:fa:93:20:09:4d:f4:bf:d0:11:66:0f:48:56:01:1e:c3:be:37:4e:49:19:cf:c6#配置验证服务器ecdsa384证书的PKI域.
[SwitchA]pkidomainserver384#关闭CRL检查.
[SwitchA-pki-domain-server384]undocrlcheckenable[SwitchA-pki-domain-server384]quit#导入CA证书.
[SwitchA]pkiimportdomainserver384p12localfilenamessh-server-ecdsa384.
p12Thesystemisgoingtosavethekeypair.
Youmustspecifyakeypairname,whichisacase-insensitivestringof1to64characters.
Validcharactersincludeatoz,AtoZ,0to9,andhyphens(-).
Pleaseenterthekeypairname[defaultname:server384]:#显示导入CA证书信息.
[SwitchA]displaypkicertificatedomainserver384localCertificate:Data:Version:3(0x2)SerialNumber:1(0x1)SignatureAlgorithm:ecdsa-with-SHA384Issuer:C=CN,ST=Beijing,L=Beijing,O=H3C,OU=Software,CN=SuiteBCAValidityNotBefore:Aug2010:08:412015GMTNotAfter:Aug1910:08:412016GMTSubject:C=CN,ST=Beijing,O=H3C,OU=Software,CN=sshserverSubjectPublicKeyInfo:PublicKeyAlgorithm:id-ecPublicKeyPublic-Key:(384bit)pub:04:4a:33:e5:99:8d:49:45:a7:a3:24:7b:32:6a:ed:b6:36:e1:4d:cc:8c:05:22:f4:3a:7c:5d:b7:be:d1:e6:9e:f0:ce:95:39:ca:fd:a0:86:cd:54:ab:49:60:10:be:67:9f:90:3a:18:e2:7d:d9:5f:72:27:09:e7:bf:7e:64:0a:59:bb:b3:7d:ae:88:14:94:45:b9:34:d2:f3:93:e1:ba:b4:50:15:eb:e5:45:24:31:10:c7:07:01:f9:dc:a5:6f:81ASN1OID:secp384r1NISTCURVE:P-3841-63X509v3extensions:X509v3BasicConstraints:CA:FALSENetscapeComment:OpenSSLGeneratedCertificateX509v3SubjectKeyIdentifier:10:16:64:2C:DA:C1:D1:29:CD:C0:74:40:A9:70:BD:62:8A:BB:F4:D5X509v3AuthorityKeyIdentifier:keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22SignatureAlgorithm:ecdsa-with-SHA38430:65:02:31:00:80:50:7a:4f:c5:cd:6a:c3:57:13:7f:e9:da:c1:72:7f:45:30:17:c2:a7:d3:ec:73:3d:5f:4d:e3:96:f6:a3:33:fb:e4:b9:ff:47:f1:af:9d:e3:03:d2:24:53:40:09:5b:02:30:45:d1:bf:51:fd:da:22:11:90:03:f9:d4:05:ec:d6:7c:41:fc:9d:a1:fd:5b:8c:73:f8:b6:4c:c3:41:f7:c6:7f:2f:05:2d:37:f8:52:52:26:99:28:97:ac:6e:f9:c7:01#配置客户端向服务器发送ecdsa384证书所在的PKI域.
[SwitchA]pkidomainclient384#关闭CRL检查.
[SwitchA-pki-domain-client384]undocrlcheckenable[SwitchA-pki-domain-client384]quit#导入CA证书.
[SwitchA]pkiimportdomainclient384p12localfilenamessh-client-ecdsa384.
p12Thesystemisgoingtosavethekeypair.
Youmustspecifyakeypairname,whichisacase-insensitivestringof1to64characters.
Validcharactersincludeatoz,AtoZ,0to9,andhyphens(-).
Pleaseenterthekeypairname[defaultname:client384]:#显示导入CA证书信息.
[SwitchA]displaypkicertificatedomainclient384localCertificate:Data:Version:3(0x2)SerialNumber:2(0x2)SignatureAlgorithm:ecdsa-with-SHA384Issuer:C=CN,ST=Beijing,L=Beijing,O=H3C,OU=Software,CN=SuiteBCAValidityNotBefore:Aug2010:10:592015GMTNotAfter:Aug1910:10:592016GMTSubject:C=CN,ST=Beijing,O=H3C,OU=Software,CN=sshclientSubjectPublicKeyInfo:PublicKeyAlgorithm:id-ecPublicKeyPublic-Key:(384bit)pub:04:85:7c:8b:f4:7a:36:bf:74:f6:7c:72:f9:08:69:d0:b9:ac:89:98:17:c9:fc:89:94:43:da:9a:a6:89:41:d3:72:24:9b:9a:29:a8:d1:ba:b4:e5:77:ba:fc:1-64df:ae:c6:dd:46:72:ab:bc:d1:7f:18:7d:54:88:f6:b4:06:54:7e:e7:4d:49:b4:07:dc:30:54:4b:b6:5b:01:10:51:6b:0c:6d:a3:b1:4b:c9:d9:6c:d6:be:13:91:70:31:2a:92:00:76ASN1OID:secp384r1NISTCURVE:P-384X509v3extensions:X509v3BasicConstraints:CA:FALSENetscapeComment:OpenSSLGeneratedCertificateX509v3SubjectKeyIdentifier:BD:5F:8E:4F:7B:FE:74:03:5A:D1:94:DB:CA:A7:82:D6:F7:78:A1:B0X509v3AuthorityKeyIdentifier:keyid:5A:BE:85:49:16:E5:EB:33:80:25:EB:D8:91:50:B4:E6:3E:4F:B8:22SignatureAlgorithm:ecdsa-with-SHA38430:66:02:31:00:d2:06:fa:2c:0b:0d:f0:81:90:01:c3:3d:bf:97:b3:79:d8:25:a0:e2:0e:ed:00:c9:48:3e:c9:71:43:c9:b4:2a:a6:0a:27:80:9e:d4:0f:f2:db:db:5b:40:b1:a9:0a:e4:02:31:00:ee:00:e1:07:c0:2f:12:3f:88:ea:fe:19:05:ef:56:ca:33:71:75:5e:11:c9:a6:51:4b:3e:7c:eb:2a:4d:87:2b:71:7c:30:64:fe:14:ce:06:d5:0a:e2:cf:9a:69:19:ff#配置VLAN接口2的IP地址.
[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipaddress192.
168.
0.
2255.
255.
255.
0[SwitchA-Vlan-interface2]quit(2)配置SCPSuiteB服务器,导入两种证书#服务器上配置证书的PKI域与客户端相同,具体过程略.
#配置服务器SuiteB算法集.
system-view[SwitchB]ssh2algorithmkey-exchangeecdh-sha2-nistp256ecdh-sha2-nistp384[SwitchB]ssh2algorithmcipheraes128-gcmaes256-gcm[SwitchB]ssh2algorithmpublic-keyx509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384#开启SCP服务器功能.
[SwitchB]scpserverenable#配置VLAN接口2的IP地址,客户端将通过该地址连接SFTP服务器.
[SwitchB]interfacevlan-interface2[SwitchB-Vlan-interface2]ipaddress192.
168.
0.
1255.
255.
255.
0[SwitchB-Vlan-interface2]quit#设置SCP客户端登录用户线的认证方式为AAA认证.
[SwitchB]linevty015[SwitchB-line-vty0-15]authentication-modescheme[SwitchB-line-vty0-15]quit#创建设备管理类本地用户client001,服务类型为SSH,用户角色为network-admin.
[SwitchB]local-userclient001classmanage1-65[SwitchB-luser-manage-client001]service-typessh[SwitchB-luser-manage-client001]authorization-attributeuser-rolenetwork-admin[SwitchB-luser-manage-client001]quit#创建设备管理类本地用户client002,服务类型为SSH,用户角色为network-admin.
[SwitchB]local-userclient002classmanage[SwitchB-luser-manage-client002]service-typessh[SwitchB-luser-manage-client002]authorization-attributeuser-rolenetwork-admin[SwitchB-luser-manage-client002]quit(3)SCPSuiteB客户端建立与SCPSuiteB服务器的128-bit连接#配置服务器证书所在的PKI域.
[SwitchB]sshserverpki-domainserver256#设置SSH用户client001的认证方式为publickey,并指定认证证书所在PKI域为client256.
[Switch]sshuserclient001service-typescpauthentication-typepublickeyassignpki-domainclient256#建立到服务器192.
168.
0.
1的SSH连接.
scp192.
168.
0.
1getsrc.
cfgsuite-b128-bitpki-domainclient256server-pki-domainserver256Username:client001PressCTRL+Ctoabort.
Connectingto192.
168.
0.
1port22.
src.
cfg100%48144.
7KB/s00:00(4)SCPsuite-b客户端建立与SCPsuite-b服务器的192-bit连接#配置服务器证书所在的PKI域.
[SwitchB]sshserverpki-domainserver384#设置SSH用户client002的认证方式为publickey,并指定认证证书所在PKI域为client384.
[Switch]sshuserclient002service-typescpauthentication-typepublickeyassignpki-domainclient384#建立到服务器192.
168.
0.
1的SSH连接.
scp192.
168.
0.
1getsrc.
cfgsuite-b192-bitpki-domainclient384server-pki-domainserver384Username:client002PressCTRL+Ctoabort.
Connectingto192.
168.
0.
1port22.
src.
cfg100%48144.
7KB/s00:001.
11NETCONFoverSSH典型配置举例举例中的设备运行于非FIPS模式下.
若设备运行于FIPS模式下,相关的配置和显示信息将有所变化,请以设备的实际情况为准.
设备作为服务器仅支持ECDSA、RSA密钥对,请不要生成DSA密钥对.
1-661.
11.
1NETCONFoverSSH配置举例(password认证)1.
组网需求用户可以通过Host上运行的支持NETCONFoverSSH连接的SSH客户端软件(SSH2版本)安全地登录到Switch上,并被授予用户角色network-admin进行配置管理;Switch采用password认证方式对Stelnet客户端进行认证,客户端的用户名和密码保存在本地.
2.
组网图图1-20设备作为NETCONFoverSSH服务器配置组网图3.
配置步骤#生成RSA密钥对.
system-view[Switch]public-keylocalcreatersaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成DSA密钥对.
[Switch]public-keylocalcreatedsaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#生成ECDSA密钥对.
[Switch]public-keylocalcreateecdsasecp256r1GeneratingKeys.
.
.
.
Createthekeypairsuccessfully.
1-67#开启NETCONFoverSSH服务器功能.
[Switch]netconfsshserverenable#配置VLAN接口2的IP地址,客户端将通过该地址连接NETCONFoverSSH服务器.
[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipaddress192.
168.
1.
40255.
255.
255.
0[Switch-Vlan-interface2]quit#设置NETCONFoverSSH客户端登录用户线的认证方式为AAA认证.
[Switch]linevty063[Switch-line-vty0-63]authentication-modescheme[Switch-line-vty0-63]quit#创建设备管理类本地用户client001,并设置密码为明文aabbcc,服务类型为SSH,用户角色为network-admin.
[Switch]local-userclient001classmanage[Switch-luser-manage-client001]passwordsimpleaabbcc[Switch-luser-manage-client001]service-typessh[Switch-luser-manage-client001]authorization-attributeuser-rolenetwork-admin[Switch-luser-manage-client001]quit#配置SSH用户client001的服务类型为NETCONF,认证方式为password认证.
(此步骤可以不配置)[Switch]sshuserclient001service-typenetconfauthentication-typepassword4.
验证配置用户通过支持NETCONFoverSSH连接的客户端软件与Switch建立NETCONFoverSSH连接之后,可直接进入Switch的NETCONF配置模式.