算法ssh服务

ssh服务  时间:2021-04-01  阅读:()
i目录1SSH·1-11.
1SSH服务器端配置命令1-11.
1.
1displaysshserver·1-11.
1.
2displaysshuser-information·1-21.
1.
3scpserverenable1-31.
1.
4sftpserverenable1-41.
1.
5sftpserveridle-timeout·1-41.
1.
6sshserveracl1-51.
1.
7sshserverauthentication-retries1-61.
1.
8sshserverauthentication-timeout·1-71.
1.
9sshservercompatible-ssh1xenable1-81.
1.
10sshserverdscp1-81.
1.
11sshserverenable·1-91.
1.
12sshserveripv6acl1-91.
1.
13sshserveripv6dscp·1-101.
1.
14sshserverpki-domain·1-111.
1.
15sshserverrekey-interval·1-111.
1.
16sshuser·1-121.
2SSH客户端配置命令1-141.
2.
1bye·1-141.
2.
2cd·1-151.
2.
3cdup1-151.
2.
4delete·1-161.
2.
5dir1-161.
2.
6displaysftpclientsource1-171.
2.
7displaysshclientsource1-181.
2.
8exit1-181.
2.
9get·1-191.
2.
10help1-191.
2.
11ls·1-201.
2.
12mkdir·1-211.
2.
13put·1-211.
2.
14pwd·1-22ii1.
2.
15quit1-221.
2.
16remove1-231.
2.
17rename1-231.
2.
18rmdir1-241.
2.
19scp1-241.
2.
20scpipv61-271.
2.
21scpipv6suite-b1-301.
2.
22scpsuite-b·1-321.
2.
23sftp1-341.
2.
24sftpclientipv6source1-361.
2.
25sftpclientsource·1-371.
2.
26sftpipv61-381.
2.
27sftpipv6suite-b1-411.
2.
28sftpsuite-b1-431.
2.
29sshclientipv6source·1-451.
2.
30sshclientsource·1-461.
2.
31ssh2·1-461.
2.
32ssh2ipv61-491.
2.
33ssh2ipv6suite-b·1-521.
2.
34ssh2suite-b1-551.
3SSH2协议配置命令1-571.
3.
1displayssh2algorithm1-571.
3.
2ssh2algorithmcipher1-571.
3.
3ssh2algorithmkey-exchange1-591.
3.
4ssh2algorithmmac·1-601.
3.
5ssh2algorithmpublic-key1-611-11SSH设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
1.
1SSH服务器端配置命令1.
1.
1displaysshserverdisplaysshserver命令用来在SSH服务器端显示该服务器的状态信息或会话信息.
【命令】displaysshserver{session|status}【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】session:显示SSH服务器的会话信息.
status:显示SSH服务器的状态信息.
【举例】#在SSH服务器端显示该服务器的状态信息.
displaysshserverstatusStelnetserver:DisableSSHversion:1.
99SSHauthentication-timeout:60second(s)SSHserverkeygeneratinginterval:0hour(s)SSHauthenticationretries:3time(s)SFTPserver:DisableSFTPserverIdle-Timeout:10minute(s)NETCONFserver:DisableSCPserver:Disable表1-1displaysshserverstatus命令显示信息描述表字段描述StelnetserverStelnet服务器功能的状态1-2字段描述SSHversionSSH协议版本SSH服务器兼容SSH1时,协议版本为1.
99;SSH服务器不兼容SSH1时,协议版本为2.
0SSHauthentication-timeout认证超时时间SSHserverkeygeneratinginterval服务器密钥对更新时间SSHauthenticationretriesSSH用户认证尝试的最大次数SFTPserverSFTP服务器功能的状态SFTPserverIdle-TimeoutSFTP用户连接的空闲超时时间NETCONFserverNETCONFoverSSH服务器功能的状态SCPserverSCP服务器功能的状态#在SSH服务器端显示该服务器的会话信息.
displaysshserversessionUserPidSessIDVerEncryptStateRetriesServUsername18402.
0aes128-cbcEstablished1Stelnetabc@123表1-2displaysshserversession显示信息描述表字段描述UserPid用户进程PIDSessID会话IDVerSSH服务器的协议版本EncryptSSH服务器本端使用的加密算法State会话状态,包括:Init:初始化状态Ver-exchange:版本协商Keys-exchange:密钥交换Auth-request:用户认证Serv-request:服务请求Established:会话已经建立Disconnected:断开会话Retries认证失败的次数Serv服务类型,包括SCP、SFTP、Stelnet、NETCONFUsername客户端登录服务器时采用的用户名1.
1.
2displaysshuser-informationdisplaysshuser-information命令用来在SSH服务器端显示SSH用户的信息.
1-3【命令】displaysshuser-information[username]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】username:SSH用户名,为1~80个字符的字符串,区分大小写.
如果没有指定本参数,则显示所有SSH用户的信息.
【使用指导】本命令仅用来显示SSH服务器端通过sshuser命令配置的SSH用户信息.
【举例】#显示所有SSH用户的信息.
displaysshuser-informationTotalsshusers:2UsernameAuthentication-typeUser-public-key-nameService-typeyemxpasswordnullStelnettestpublickeypubkeySFTP表1-3displaysshuser-information显示信息描述表字段描述TotalsshusersSSH用户的总数Username用户名Authentication-type认证类型,取值包括password、publickey、password-publickey和anyUser-public-key-name用户公钥名称如果认证类型为password,则用户公钥名称显示为nullService-type服务类型,取值包括SCP、SFTP、Stelnet、NETCONF或all【相关命令】sshuser1.
1.
3scpserverenablescpserverenable命令用来使能SCP服务器功能.
undoscpserverenable命令用来关闭SCP服务器功能.
【命令】scpserverenable1-4undoscpserverenable【缺省情况】SCP服务器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【举例】#使能SCP服务器功能.
system-view[Sysname]scpserverenable【相关命令】displaysshserver1.
1.
4sftpserverenablesftpserverenable命令用来使能SFTP服务器功能.
undosftpserverenable命令用来关闭SFTP服务器功能.
【命令】sftpserverenableundosftpserverenable【缺省情况】SFTP服务器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【举例】#使能SFTP服务器功能.
system-view[Sysname]sftpserverenable【相关命令】displaysshserver1.
1.
5sftpserveridle-timeoutsftpserveridle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间.
undosftpserveridle-timeout命令用来恢复缺省情况.
1-5【命令】sftpserveridle-timeouttime-out-valueundosftpserveridle-timeout【缺省情况】SFTP用户连接的空闲超时时间为10分钟.
【视图】系统视图【缺省用户角色】network-admin【参数】time-out-value:超时时间,取值范围为1~35791,单位为分钟.
【使用指导】当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作.
若同一时间内并发的SFTP连接数较多,可适当减小该值,及时释放系统资源给新用户接入.
【举例】#设置SFTP用户连接的空闲超时时间为500分钟.
system-view[Sysname]sftpserveridle-timeout500【相关命令】displaysshserver1.
1.
6sshserveraclsshserveracl命令用来设置对IPv4SSH客户端的访问控制.
undosshserveracl命令用来恢复缺省情况.
【命令】sshserveracl{advanced-acl-number|basic-acl-number|mac-acl-number}undosshserveracl【缺省情况】允许所有IPv4SSH客户端向设备发起SSH访问.
【视图】系统视图【缺省用户角色】network-admin【参数】advanced-acl-number:指定IPv4高级ACL,取值范围为3000~3999.
1-6basic-acl-number:指定IPv4基本ACL,取值范围为2000~2999.
mac-acl-number:指定二层ACL,取值范围为4000~4999.
【使用指导】通过本命令可以过滤IPv4SSH客户端发起的SSH请求报文,具体实现如下:若指定的ACL非空,则只允许匹配ACLpermit规则的客户端访问设备.
若指定的ACL不存在,或者ACL中无任何规则,则允许SSH客户端发起SSH访问.
该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接.
多次执行本配置后,最新的配置生效.
【举例】#只允许IPv4地址为1.
1.
1.
1的SSH客户端向设备发起SSH访问.
system-view[Sysname]aclnumber2001[Sysname-acl-basic-2001]rulepermitsource1.
1.
1.
10[Sysname-acl-basic-2001]quit[Sysname]sshserveracl2001【相关命令】displaysshserver1.
1.
7sshserverauthentication-retriessshserverauthentication-retries命令用来设置允许SSH用户认证尝试的最大次数.
undosshserverauthentication-retries命令用来恢复缺省情况.
【命令】sshserverauthentication-retriestimesundosshserverauthentication-retries【缺省情况】允许SSH用户认证尝试的最大次数为3次.
【视图】系统视图【缺省用户角色】network-admin【参数】times:指定每个SSH用户认证尝试的最大次数,取值范围为1~5.
【使用指导】通过本命令可以限制用户尝试登录的次数,防止非法用户对用户名和密码进行恶意地猜测和破解.
需要注意的是:该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效.
1-7在any认证方式下,SSH客户端通过publickey和password两种方式进行认证尝试的次数总和(可通过命令displaysshserversession查看),不能超过sshserverauthentication-retries命令配置的SSH连接认证尝试的最大次数.
对于password-publickey认证方式,设备首先对SSH用户进行publickey认证,然后进行password认证,这个过程为一次认证尝试,而不是两次认证尝试.
【举例】#指定允许SSH用户认证尝试的最大次数为4.
system-view[Sysname]sshserverauthentication-retries4【相关命令】displaysshserver1.
1.
8sshserverauthentication-timeoutsshserverauthentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间.
undosshserverauthentication-timeout命令用来恢复缺省情况.
【命令】sshserverauthentication-timeouttime-out-valueundosshserverauthentication-timeout【缺省情况】SSH用户的认证超时时间为60秒.
【视图】系统视图【缺省用户角色】network-admin【参数】time-out-value:认证超时时间,取值范围为1~120,单位为秒.
【使用指导】如果SSH用户在设置的认证超时时间内没有完成认证,SSH服务器就拒绝该用户的连接.
为了防止不法用户建立起TCP连接后,不进行接下来的认证,而占用系统资源,妨碍其它合法用户的正常登录,可以适当调小SSH用户认证超时时间.
【举例】#设置SSH用户认证超时时间为10秒.
system-view[Sysname]sshserverauthentication-timeout10【相关命令】displaysshserver1-81.
1.
9sshservercompatible-ssh1xenablesshservercompatible-ssh1xenable命令用来设置SSH服务器兼容SSH1版本的客户端.
undosshservercompatible-ssh1x[enable]命令用来设置SSH服务器不兼容SSH1版本的客户端.
【命令】sshservercompatible-ssh1xenableundosshservercompatible-ssh1x[enable]【缺省情况】缺省情况下,SSH服务器兼容SSH1版本的客户端.
【视图】系统视图【缺省用户角色】network-adminnetwork-operator【使用指导】FIPS模式下,不支持本命令.
该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效.
【举例】#配置服务器兼容SSH1版本的客户端.
system-view[Sysname]sshservercompatible-ssh1xenable【相关命令】displaysshserver1.
1.
10sshserverdscpsshserverdscp命令用来设置IPv4SSH服务器向SSH客户端发送的报文的DSCP优先级.
undosshserverdscp命令用来恢复缺省情况.
【命令】sshserverdscpdscp-valueundosshserverdscp【缺省情况】IPv4SSH报文的DSCP优先级为48.
【视图】系统视图【缺省用户角色】network-admin1-9【参数】dscp-value:IPv4SSH报文的DSCP优先级,取值范围为0~63.
取值越大,优先级越高.
【使用指导】DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本命令可以指定服务器发送的IPv4SSH报文中携带的DSCP优先级的取值.
【举例】#配置IPv4SSH服务器向SSH客户端发送的报文的DSCP优先级为30.
system-view[Sysname]sshserverdscp301.
1.
11sshserverenablesshserverenable命令用来使能Stelnet服务器功能.
undosshserverenable命令用来关闭Stelnet服务器功能.
【命令】sshserverenableundosshserverenable【缺省情况】Stelnet服务器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【举例】#使能Stelnet服务器功能.
system-view[Sysname]sshserverenable【相关命令】displaysshserver1.
1.
12sshserveripv6aclsshserveripv6acl命令用来设置对IPv6SSH客户端的访问控制.
undosshserveripv6acl命令用来恢复缺省情况.
【命令】sshserveripv6acl{ipv6{advanced-acl-number|basic-acl-number}|mac-acl-number}undosshserveripv6acl【缺省情况】允许所有IPv6SSH客户端向设备发起SSH访问.
1-10【视图】系统视图【缺省用户角色】network-admin【参数】ipv6:指定IPv6ACL的编号.
advanced-acl-number:指定IPv6高级ACL,取值范围为3000~3999.
basic-acl-number:指定IPv6基本ACL,取值范围为2000~2999.
mac-acl-number:指定二层ACL,取值范围为4000~4999.
【使用指导】通过本命令可以过滤IPv6SSH客户端发起的SSH请求报文,具体实现如下:若指定的ACL非空,则只允许匹配ACLpermit规则的客户端访问设备.
若指定的ACL不存在,或者ACL中无任何规则,则允许SSH客户端发起SSH访问.
该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接.
多次执行本配置后,最新的配置生效.
【举例】#只允许1::1/64网段内的SSH客户端向设备发起SSH访问.
system-view[Sysname]aclipv6number2001[Sysname-acl6-basic-2001]rulepermitsource1::164[Sysname-acl6-basic-2001]quit[Sysname]sshserveripv6aclipv62001【相关命令】displaysshserver1.
1.
13sshserveripv6dscpsshserveripv6dscp命令用来设置IPv6SSH服务器向SSH客户端发送的报文的DSCP优先级.
undosshserveripv6dscp命令用来恢复缺省情况.
【命令】sshserveripv6dscpdscp-valueundosshserveripv6dscp【缺省情况】IPv6SSH报文的DSCP优先级为48.
【视图】系统视图【缺省用户角色】network-admin1-11【参数】dscp-value:IPv6SSH报文的DSCP优先级,取值范围为0~63.
取值越大,优先级越高.
【使用指导】DSCP携带在IPv6报文中的Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本命令可以指定服务器发送的SSH报文中携带的DSCP优先级的取值.
【举例】#配置IPv6SSH服务器向SSH客户端发送的报文的DSCP优先级为30.
system-view[Sysname]sshserveripv6dscp301.
1.
14sshserverpki-domainsshserverpki-domain命令用来配置服务器所属的PKI域.
undosshserverpki-domain命令用来删除服务器所属的PKI域.
【命令】sshserverpki-domaindomain-nameundosshserverpki-domain【缺省情况】未配置服务器所属的PKI域.
【视图】系统视图【缺省用户角色】network-admin【参数】domain-name:验证服务端的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【举例】#配置SSH服务器所属的PKI域为serverpkidomain.
system-view[Sysname]sshserverpki-domainserverpkidomain1.
1.
15sshserverrekey-intervalsshserverrekey-interval命令用来设置RSA服务器密钥对的更新时间.
undosshserverrekey-interval命令用来恢复缺省情况.
【命令】sshserverrekey-intervalhoursundosshserverrekey-interval1-12【缺省情况】RSA服务器密钥对的更新时间为0,表示系统不更新RSA服务器密钥对.
【视图】系统视图【缺省用户角色】network-admin【参数】hours:服务器密钥对的更新周期,取值范围为1~24,单位为小时.
【使用指导】SSH的核心是密钥对的协商和传输,因此密钥对的管理是非常重要的.
通过定时更新服务器密钥对,可以防止对密钥对的恶意猜测和破解,从而提高了SSH连接的安全性.
需要注意的是,本配置仅对SSH客户端版本为SSH1的用户有效.
FIPS模式下,不支持本命令.
【举例】#设置每3小时更新一次RSA服务器密钥对.
system-view[Sysname]sshserverrekey-interval3【相关命令】displaysshserver1.
1.
16sshusersshuser命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式.
undosshuser命令用来删除SSH用户.
【命令】非FIPS模式下:sshuserusernameservice-type{all|netconf|scp|sftp|stelnet}authentication-type{password|{any|password-publickey|publickey}[assign{pki-domaindomain-name|publickeykeyname}]}undosshuserusernameFIPS模式下:sshuserusernameservice-type{all|netconf|scp|sftp|stelnet}authentication-type{password|password-publickey[assign{pki-domaindomain-name|publickeykeyname}]}undosshuserusername【缺省情况】不存在任何SSH用户.
1-13【视图】系统视图【缺省用户角色】network-admin【参数】username:SSH用户名,为1~80个字符的字符串,区分大小写.
若用户名中携带ISP域名,则其形式为pureusername@domain,其中,pureusername为1~55个字符的字符串,domain为1~24个字符的字符串.
service-type:SSH用户的服务类型.
包括:all:包括scp、sftp、stelnet和netconf.
scp:服务类型为SCP(SecureCopy的简称).
sftp:服务类型为SFTP(SecureFTP的简称).
stelnet:服务类型为Stelnet(SecureTelnet的简称).
netconf:服务类型为NETCONFoverSSH.
authentication-type:SSH用户的认证方式.
包括:password:强制指定该用户的认证方式为password.
该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication,Authorization,Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击.
any:不指定用户的认证方式,用户既可以采用password认证,也可以采用publickey认证.
password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可.
publickey:强制指定该用户的认证方式为publickey.
该认证方式的加密速度相对较慢,但认证强度高,不易受到暴力猜测密码等攻击方式的影响,而且具有较高的易用性.
一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码.
assign:指定用于验证客户端的参数.
pki-domaindomain-name:指定验证客户端证书的PKI域.
domain-name表示PKI域的名称,为1~31个字符的字符串,不区分大小写.
服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查,无需提前保存客户端的公钥,能够灵活满足大数量客户端的认证需求.
publickeykeyname:为SSH客户端的公钥.
keyname表示已经配置的客户端公钥名称,为1~64个字符的字符串,不区分大小写.
服务器端使用提前保存在本地的用户公钥对用户进行合法性检查,如果客户端密钥文件改变,服务器端需要及时更新本地配置.
【使用指导】如果服务器采用publickey方式认证客户端,则必须通过本配置在设备上创建相应的SSH用户,并需要创建同名的本地用户,用于对SSH用户进行本地授权,包括授权用户角色、工作目录;如果服务器采用password方式认证客户端,则必须将SSH用户的账号信息配置在设备(适用于本地认1-14证)或者远程认证服务器(如RADIUS服务器,适用于远程认证)上,而并不要求通过本配置创建相应的SSH用户.
使用该命令为用户指定公钥或PKI域时,以最后一次指定的公钥或PKI域为准.
若不指定pki-domain和publickey,则表示该用户采用证书认证方式登录,服务器使用其PKI域验证客户端的证书.
新配置的服务类型、认证方式和用户公钥或PKI域,不会影响已经登录的SSH用户,仅对新登录的用户生效.
SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关:采用publickey或password-publickey认证方式的用户,使用的工作目录为对应的本地用户视图下通过authorization-attribute命令设置的工作目录.
只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录.
SSH用户登录时拥有的用户角色与用户使用的认证方式有关:采用publickey或password-publickey认证方式的用户,用户角色为对应的本地用户视图下通过authorization-attribute命令设置的用户角色.
采用password认证方式的用户,用户角色为通过AAA授权的用户角色.
【举例】#创建SSH用户user1,配置user1的服务类型为SFTP,认证方式为password-publickey,并指定客户端公钥为key1.
system-view[Sysname]sshuseruser1service-typesftpauthentication-typepassword-publickeyassignpublickeykey1#创建SSH用户user1,配置user1的服务器类型为SFTP,认证方式为password-publickey.
system-view[Sysname]sshuseruser1service-typesftpauthentication-typepassword-publickey#创建设备管理类本地用户user1,配置用户密码为明文123456TESTplat&!
,服务类型为SSH,授权工作目录为flash:,授权用户角色为network-admin.
[Sysname]local-useruser1classmanage[Sysname-luser-manage-user1]passwordsimple123456TESTplat&!
[Sysname-luser-manage-user1]service-typessh[Sysname-luser-manage-user1]authorization-attributework-directoryflash:user-rolenetwork-admin【相关命令】authorization-attribute(安全命令参考/AAA)displaysshuser-informationlocal-user(安全命令参考/AAA)pkidomain(安全命令参考/PKI)1.
2SSH客户端配置命令1.
2.
1byebye命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
1-15【命令】bye【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operator【使用指导】该命令功能与exit、quit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp>bye1.
2.
2cdcd命令用来改变远程SFTP服务器上的工作路径.
【命令】cd[remote-path]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-path:目的工作路径的名称.
【使用指导】命令"cd.
.
"用来返回到上一级目录.
命令"cd/"用来返回到系统的根目录.
【举例】#改变工作路径到new1.
sftp>cdnew1CurrentDirectoryis:/new1sftp>pwdRemoteworkingdirectory:/new1sftp>1.
2.
3cdupcdup命令用来返回到上一级目录.
1-16【命令】cdup【视图】SFTP客户端视图【缺省用户角色】network-admin【举例】#从当前工作目录/test1返回到上一级目录.
sftp>cdtest1CurrentDirectoryis:/test1sftp>pwdRemoteworkingdirectory:/test1sftp>cdupCurrentDirectoryis:/sftp>pwdRemoteworkingdirectory:/sftp>1.
2.
4deletedelete命令用来删除SFTP服务器上指定的文件.
【命令】deleteremote-file【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-file:要删除的文件的名称.
【使用指导】该命令和remove功能相同.
【举例】#删除服务器上的文件temp.
c.
sftp>deletetemp.
cRemoving/temp.
c1.
2.
5dirdir命令用来显示指定目录下文件及文件夹的信息.
1-17【命令】dir[-a|-l][remote-path]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以".
"开头的文件及文件夹的详细信息.
remote-path:查询的目录名.
【使用指导】如果没有指定-a和-l参数,则显示指定目录下文件及文件夹的名称.
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息.
该命令功能与ls相同.
【举例】#以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
sftp>dir-adrwxrwxrwx211512Dec1814:12.
drwxrwxrwx211512Dec1814:12.
.
-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pub#以列表的形式显示当前工作目录下文件及文件夹的详细信息.
sftp>dir-l-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pu1.
2.
6displaysftpclientsourcedisplaysftpclientsource命令用来显示当前为SFTP客户端设置的源IP地址或者源接口.
【命令】displaysftpclientsource【视图】任意视图【缺省用户角色】network-admin1-18network-operator【举例】#显示设置的SFTP客户端的源IP地址或者源接口.
displaysftpclientsourceThesourceIPaddressoftheSFTPclientis192.
168.
0.
1.
ThesourceIPv6addressoftheSFTPclientis2:2::2:2.
【相关命令】sftpclientipv6sourcesftpclientsource1.
2.
7displaysshclientsourcedisplaysshclientsource命令用来显示当前为Stelnet客户端设置的源IP地址或者源接口.
【命令】displaysshclientsource【视图】任意视图【缺省用户角色】network-adminnetwork-operator【举例】#显示设置的Stelnet客户端的源IP地址或者源接口.
displaysshclientsourceThesourceIPaddressoftheSSHclientis192.
168.
0.
1.
ThesourceIPv6addressoftheSSHclientis2:2::2:2.
【相关命令】sshclientipv6sourcesshclientsource1.
2.
8exitexit命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
【命令】exit【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operator1-19【使用指导】该命令功能与bye,quit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp>exit1.
2.
9getget命令用来从远程SFTP服务器上下载文件并存储在本地.
【命令】getremote-file[local-file]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-file:远程SFTP服务器上的文件名.
local-file:本地文件名.
【使用指导】如果没有指定本地文件名,则认为本地保存文件的文件名与服务器上的文件名相同.
【举例】#下载远程服务器上的temp1.
c文件,并以文件名temp.
c在本地保存.
sftp>gettemp1.
ctemp.
cFetching/temp1.
ctotemp.
c/temp.
c100%14241.
4KB/s00:001.
2.
10helphelp命令用来显示SFTP客户端命令的帮助信息.
【命令】help【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operator1-20【使用指导】键入和执行help命令的功能相同.
【举例】#查看帮助信息.
sftp>helpAvailablecommands:byeQuitsftpcd[path]Changeremotedirectoryto'path'cdupChangeremotedirectorytotheparentdirectorydeletepathDeleteremotefiledir[-a|-l][path]Displayremotedirectorylisting-aListallfilenames-lListfilenameincludingthespecificinformationofthefileexitQuitsftpgetremote-path[local-path]DownloadfilehelpDisplaythishelptextls[-a|-l][path]Displayremotedirectory-aListallfilenames-lListfilenameincludingthespecificinformationofthefilemkdirpathCreateremotedirectoryputlocal-path[remote-path]UploadfilepwdDisplayremoteworkingdirectoryquitQuitsftprenameoldpathnewpathRenameremotefileremovepathDeleteremotefilermdirpathDeleteremoteemptydirectorySynonymforhelp1.
2.
11lsls命令用来显示指定目录下文件及文件夹的信息.
【命令】ls[-a|-l][remote-path]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
1-21-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以".
"开头的文件及文件夹的详细信息.
remote-path:查询的目录名.
【使用指导】如果没有指定-a和-l参数,则显示指定目录下文件及文件夹的名称.
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息.
该命令功能与dir相同.
【举例】#以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
sftp>ls-adrwxrwxrwx211512Dec1814:12.
drwxrwxrwx211512Dec1814:12.
.
-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pub#以列表的形式显示当前工作目录下文件及文件夹的详细信息.
sftp>ls-l-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pub1.
2.
12mkdirmkdir命令用来在远程SFTP服务器上创建新的目录.
【命令】mkdirremote-path【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-path:远程SFTP服务器上的目录名.
【举例】#在远程SFTP服务器上建立目录test.
sftp>mkdirtest1.
2.
13putput命令用来将本地的文件上传到远程SFTP服务器.
1-22【命令】putlocal-file[remote-file]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】local-file:本地的文件名.
remote-file:远程SFTP服务器上的文件名.
【使用指导】如果没有指定远程服务器上的文件名,则认为服务器上保存文件的文件名与本地的文件名相同.
【举例】#将本地startup.
bak文件上传到远程SFTP服务器,并以startup01.
bak文件名保存.
sftp>putstartup.
bakstartup01.
bakUploadingstartup.
bakto/startup01.
bakstartup01.
bak100%14241.
4KB/s00:001.
2.
14pwdpwd命令用来显示远程SFTP服务器上的当前工作目录.
【命令】pwd【视图】SFTP客户端视图【缺省用户角色】network-admin【举例】#显示远程SFTP服务器上的当前工作目录.
sftp>pwdRemoteworkingdirectory:/以上显示信息表示当前的工作目录为根目录.
1.
2.
15quitquit命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
【命令】quit1-23【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operator【使用指导】该命令功能与bye,exit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp>quit1.
2.
16removeremove命令用来删除远程SFTP服务器上指定的文件.
【命令】removeremote-file【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-file:要删除的文件的名称.
【使用指导】该命令和delete命令相同.
【举例】#删除远程SFTP服务器上的文件temp.
c.
sftp>removetemp.
cRemoving/temp.
c1.
2.
17renamerename命令用来改变远程SFTP服务器上指定的文件或者文件夹的名字.
【命令】renameold-namenew-name【视图】SFTP客户端视图1-24【缺省用户角色】network-admin【参数】old-name:原文件名或者文件夹名.
new-name:新文件名或者文件夹名.
【举例】#将远程SFTP服务器上的文件temp1.
c改名为temp2.
c.
sftp>diraa.
pubtemp1.
csftp>renametemp1.
ctemp2.
csftp>diraa.
pubtemp2.
c1.
2.
18rmdirrmdir命令用来删除远程SFTP服务器上指定的目录.
【命令】rmdirremote-path【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-path:远程SFTP服务器上的目录名.
【举例】#删除SFTP服务器上当前工作目录下的temp1目录.
sftp>rmdirtemp11.
2.
19scpscp命令用来与远程的SCP服务器建立连接,并进行文件传输.
【命令】非FIPS模式下:scpserver[port-number]{put|get}source-file-name[destination-file-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher1-25{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*FIPS模式下:scpserver[port-number]{put|get}source-file-name[destination-file-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为0~65535,缺省值为22.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称.
destination-file-name:目的文件名称.
不指定该参数时,表示使用源文件名称作为目的文件名称.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
1-26prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
1-27interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SCP客户端采用publickey认证方式,登录地址为200.
1.
1.
1的远程SCP服务器,下载名为abc.
txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;scp200.
1.
1.
1getabc.
txtprefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkey1.
2.
20scpipv6scpipv6命令用来与远程的IPv6SCP服务器建立连接,并进行文件传输.
【命令】非FIPS模式下:scpipv6server[port-number][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*FIPS模式下:scpipv6server[port-number][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|1-28prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号.
此参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必需具有链路本地地址.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称.
destination-file-name:目的文件名称.
不指定该参数时,表示使用源文件名称作为目的文件名称.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
1-29aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IP地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IP地址.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
1-30当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SCP客户端采用publickey认证方式,登录地址为2000::1的远程SCP服务器,下载名为abc.
txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;scpipv62000::1getabc.
txtprefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkey1.
2.
21scpipv6suite-bscpipv6suite-b命令用来与远程的IPv6SCP服务器建立基于SuiteB算法集的连接,并进行文件传输.
【命令】scpipv6server[port-number][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号.
本参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必须具有链路本地地址.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称.
destination-file-name:目的文件名称.
若未指定本参数,则表示使用源文件名称作为目的文件名称.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
1-31192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IPv6地址.
Ipv6ipv6-address:指定源IPv6地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;1-32客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SCP客户端采用安全级别为192-bit的SuiteB算法集,与登录地址为2000::1的远程SCP服务器建立连接,下载名为abc.
txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
scpipv62000::1getabc.
txtsuite-b192-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1.
2.
22scpsuite-bscpsuite-b命令用来与远程的SCP服务器建立基于SuiteB算法集的连接,并进行文件传输.
【命令】scpserver[port-number]{put|get}source-file-name[destination-file-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称.
destination-file-name:目的文件名称.
若未指定本参数,则表示使用源文件名称作为目的文件名称.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、1-33".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
1-34【举例】#SCP客户端采用安全级别为128-bit的SuiteB算法集,与登录地址为200.
1.
1.
1的远程SCP服务器建立连接,下载名为abc.
txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
scp200.
1.
1.
1getabc.
txtsuite-b128-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1.
2.
23sftpsftp命令用来与远程IPv4SFTP服务器建立连接,并进入SFTP客户端视图.
【命令】非FIPS模式下:sftpserver[port-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*FIPS模式下:sftpserver[port-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
1-35identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
1-36ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IP地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将采用该接口的主IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SFTP客户端采用publickey认证方式,连接IP地址为10.
1.
1.
2的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib.
sftp10.
1.
1.
2prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkey1.
2.
24sftpclientipv6sourcesftpclientipv6source命令用来为配置SFTP客户端发送SFTP报文使用的源IPv6地址.
undosftpclientipv6source命令用来恢复缺省情况.
1-37【命令】sftpclientipv6source{interfaceinterface-typeinterface-number|ipv6ipv6-address}undosftpclientipv6source【缺省情况】未配置SFTP客户端使用的源IPv6地址,SFTP客户端发送SFTP报文使用的源IPv6地址为设备路由指定的SFTP报文出接口的IP地址.
【视图】系统视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】多次执行本命令,最新配置生效.
使用该命令指定了源地址后,若SFTP用户使用sftpipv6命令登录时又指定了源地址,则采用sftpipv6命令中指定的源地址.
sftpclientipv6source命令指定的源地址对所有的SFTP连接有效,sftpipv6命令指定的源地址只对当前的SFTP连接有效.
【举例】#指定SFTP客户端发送SFTP报文使用的源IPv6地址为2:2::2:2.
system-view[Sysname]sftpclientipv6sourceipv62:2::2:2【相关命令】displaysftpclientsource1.
2.
25sftpclientsourcesftpclientsource命令用来配置SFTP客户端发送SFTP报文使用的源IPv4地址.
undosftpclientsource命令用来恢复缺省情况.
【命令】sftpclientsource{interfaceinterface-typeinterface-number|ipip-address}undosftpclientsource【缺省情况】SFTP客户端使用设备路由指定的接口地址访问SFTP服务器.
1-38【视图】系统视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:指定接口的主IP地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipip-address:指定源IP地址.
【使用指导】多次执行本命令,最新配置生效.
使用该命令指定了源地址后,若SFTP用户使用sftp命令登录时又指定了源地址,则采用sftp命令中指定的源地址.
sftpclientsource命令指定的源地址对所有的SFTP连接有效,sftp命令指定的源地址只对当前的SFTP连接有效.
【举例】#指定SFTP客户端发送SFTP报文使用的源IP地址为192.
168.
0.
1.
system-view[Sysname]sftpclientsourceip192.
168.
0.
1【相关命令】displaysftpclientsource1.
2.
26sftpipv6sftpipv6命令用来建立SFTP客户端和与远程IPv6SFTP服务器建立连接,并进入SFTP客户端视图.
【命令】非FIPS模式下:sftpipv6server[port-number][-iinterface-typeinterface-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*FIPS模式下:1-39sftpipv6server[port-number][-iinterface-typeinterface-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
1-40aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
dscpdscp-value:指定客户端发送的IPv6SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IP地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IP地址.
ipv6ipv6-address:指定源IPv6地址.
1-41【使用指导】当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SFTP客户端采用publickey认证方式,连接IPv6地址为2000::1的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib.
sftpipv62000::1prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkeyUsername:1.
2.
27sftpipv6suite-bsftpipv6suite-b命令用来与远程的IPv6SFTP服务器建立基于SuiteB算法集的连接,并进入SFTP客户端视图.
【命令】sftpipv6server[port-number][-iinterface-typeinterface-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
1-42192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的IPv6SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Trafficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IPv6地址.
Ipv6ipv6-address:指定源IPv6地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;1-43服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SFTP客户端采用安全级别为192-bit的SuiteB算法集,与登录地址为2000::1的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
sftpipv62000::1suite-b192-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1.
2.
28sftpsuite-bsftpsuite-b命令用来与远程的IPv4SFTP服务器建立基于SuiteB算法集的连接,并进入SFTP客户端视图.
【命令】sftpserver[port-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、1-44".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
1-45当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SFTP客户端采用安全级别为128-bit的SuiteB算法集,与登录地址为10.
1.
1.
2的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
sftp10.
1.
1.
2suite-b128-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1.
2.
29sshclientipv6sourcesshclientipv6source命令用来配置Stelnet客户端发送SSH报文使用的源IPv6地址.
undosshclientipv6source命令用来恢复缺省情况.
【命令】sshclientipv6source{interfaceinterface-typeinterface-number|ipv6ipv6-address}undosshclientipv6source【缺省情况】Stelnet客户端使用设备路由指定的接口地址访问Stelnet服务器.
【视图】系统视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】多次执行本命令,最新配置生效.
使用该命令指定了源地址后,若SSH用户使用ssh2ipv6命令登录时又指定了源地址,则采用ssh2ipv6命令中指定的源地址.
sshclientipv6source命令指定的源地址对所有的IPv6Stelnet连接有效,ssh2ipv6命令指定的源地址只对当前的Stelnet连接有效.
【举例】#指定Stelnet客户端发送SSH报文使用的源IPv6地址为2:2::2:2.
system-view[Sysname]sshclientipv6sourceipv62:2::2:2【相关命令】displaysshclientsource1-461.
2.
30sshclientsourcesshclientsource命令用来配置Stelnet客户端发送SSH报文使用的源IPv4地址.
undosshclientsource命令用来恢复缺省情况.
【命令】sshclientsource{interfaceinterface-typeinterface-number|ipip-address}undosshclientsource【缺省情况】Stelnet客户端使用设备路由指定的接口地址访问Stelnet服务器.
【视图】系统视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:指定接口的主IP地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipip-address:指定源IPv4地址.
【使用指导】多次执行本命令,最新配置生效.
使用该命令指定了源地址后,若SSH用户使用ssh2命令登录时又指定了源地址,则采用ssh2命令中指定的源地址.
sshclientsource命令指定的源地址对所有的Stelnet连接有效,ssh2命令指定的源地址只对当前的Stelnet连接有效.
【举例】#指定Stelnet客户端发送SSH报文使用的源IPv4地址为192.
168.
0.
1.
system-view[Sysname]sshclientsourceip192.
168.
0.
1【相关命令】displaysshclientsource1.
2.
31ssh2ssh2命令用来建立Stelnet客户端和IPv4Stelnet服务器端的连接.
【命令】非FIPS模式下:ssh2server[port-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|1-47prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*FIPS模式下:ssh2server[port-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
1-483des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定一个退出字符,该退出字符与字符".
"配合使用可以强制断开客户端与服务器的连接.
缺省情况下,输入"~.
"可以强制断开与服务端的连接.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
1-49source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,报文源IP地址为根据路由查找的发送报文的出接口的主IP地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将采用该接口的主IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端登录到服务器端后,可以通过输入退出字符加字符".
"的方式快速断开当前连接(这种方式通常用于在服务器重启或发生异常的情况下,快速中断当前连接).
退出字符默认为"~",可以通过escape参数修改.
需要注意的是:必须在一行中首先输入退出字符加字符".
",该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免将登录用户名中的字符指定为退出字符.
【举例】#Stelnet客户端采用publickey认证方式,登录地址为3.
3.
3.
3的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;输入"$.
"时强制断开客户端和服务端的连接.
ssh23.
3.
3.
3prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkeyescape$1.
2.
32ssh2ipv6ssh2ipv6命令用来建立Stelnet客户端和IPv6Stelnet服务器端的连接.
【命令】非FIPS模式下:ssh2ipv6server[port-number][-iinterface-typeinterface-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|1-50prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*FIPS模式下:ssh2ipv6server[port-number][-iinterface-typeinterface-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
1-51zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
dscpdscp-value:指定客户端发送的IPv6SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定一个退出字符,该退出字符与字符".
"配合使用可以强制断开客户端与服务器的连接.
缺省情况下,输入"~.
"可以强制断开与服务端的连接.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
1-52server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IP地址.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端登录到服务器端后,可以通过输入退出字符加字符".
"的方式快速断开当前连接(这种方式通常用于在服务器重启或发生异常的情况下,快速中断当前连接).
退出字符默认为"~",可以通过escape参数修改.
需要注意的是:必须在一行中首先输入退出字符加字符".
",该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免将登录用户名中的字符指定为退出字符.
【举例】#SSH客户端采用publickey认证方式,登录地址为2000::1的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;输入"$.
"时强制断开客户端和服务端的连接.
ssh2ipv62000::1prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkeyescape$1.
2.
33ssh2ipv6suite-bssh2ipv6suite-b命令用来与远程的IPv6Stelnet服务器建立基于SuiteB算法集的连接.
1-53【命令】ssh2ipv6server[port-number][-iinterface-typeinterface-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|escapecharacter|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的IPv6SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Trafficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定退出字符,该退出字符与字符.
配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接).
character为一个字符,区分大小写,缺省为~,即输入~.
可以强制断开与服务端的连接.
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IPv6地址.
1-54Ipv6ipv6-address:指定源IPv6地址.
关于退出字符的使用,需要注意的是:必须在一行中首先输入退出字符和.
,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免退出字符和.
的组合与登录用户名相同.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SSH客户端采用安全级别为192-bit的SuiteB算法集,与登录地址为2000::1的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
ssh2ipv62000::1suite-b192-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1-551.
2.
34ssh2suite-bssh2suite-b命令用来与远程的IPv4Stelnet服务器建立基于SuiteB算法集的连接.
【命令】ssh2server[port-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|escapecharacter|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定退出字符,该退出字符与字符.
配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接).
character为一个字符,区分大小写,缺省为~,即输入~.
可以强制断开与服务端的连接.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
1-56【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
关于退出字符的使用,需要注意的是:必须在一行中首先输入退出字符和.
,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免退出字符和.
的组合与登录用户名相同.
【举例】#Stelnet客户端采用128-bit的SuiteB算法集,与登录地址为3.
3.
3.
3的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
ssh23.
3.
3.
3suite-b128-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1-571.
3SSH2协议配置命令1.
3.
1displayssh2algorithmdisplayssh2algorithm命令用来显示设备上配置的SSH2协议使用的算法优先列表.
【命令】displayssh2algorithm【视图】任意视图【缺省用户角色】network-adminnetwork-operator【举例】#显示设备上配置的SSH2协议使用的算法优先列表.
displayssh2algorithmKeyexchangealgorithms:dh-group-exchange-sha1dh-group14-sha1dh-group1-sha1Publickeyalgorithms:dsarsaecdsaEncryptionalgorithms:aes128-cbc3des-cbcdes-cbcaes256-cbcMACalgorithms:sha1md5md5-96sha1-96表1-4displayssh2algorithm命令显示信息描述表字段描述Keyexchangealgorithms按优先级前后顺序显示当前使用的密钥交换算法列表Publickeyalgorithms按优先级前后顺序显示当前使用的主机算法列表Encryptionalgorithms按优先级前后顺序显示当前使用的加密算法列表MACalgorithms按优先级前后顺序显示当前使用的MAC算法列表【相关命令】ssh2algorithmkey-exchangessh2algorithmpublic-keyssh2algorithmcipherssh2algorithmmac1.
3.
2ssh2algorithmcipherssh2algorithmcipher命令用来配置SSH2协议使用的加密算法列表.
undossh2algorithmcipher命令用来恢复缺省情况.
【命令】非FIPS模式下:1-58ssh2algorithmcipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}*undossh2algorithmcipherFIPS模式下:ssh2algorithmcipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}*undossh2algorithmcipher【缺省情况】SSH2协议采用的缺省加密算法从高到底的优先级列表为aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、3des-cbc、aes256-cbc和des-cbc.
【视图】系统视图【缺省用户角色】network-admin【参数】3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位AES-CBC加密算法.
aes256-cbc:256位AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
【使用指导】当设备运行环境要求SSH2只能采用特定加密算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的加密算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的加密算法为3des-cbc.
system-view[Sysname]ssh2algorithmcipher3des-cbc【相关命令】displayssh2algorithmssh2algorithmkey-exchangessh2algorithmmacssh2algorithmpublic-key1-591.
3.
3ssh2algorithmkey-exchangessh2algorithmkey-exchange命令用来配置SSH2协议使用的密钥交换算法列表.
undossh2algorithmkey-exchange命令用来恢复缺省情况.
【命令】非FIPS模式下:ssh2algorithmkey-exchange{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}*undossh2algorithmkey-exchangeFIPS模式下:ssh2algorithmkey-exchange{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}*undossh2algorithmkey-exchange【缺省情况】SSH2协议采用的缺省密钥交换算法从高到底的优先级列表为ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group-exchange-sha1、dh-group14-sha1、dh-group1-sha1.
【视图】系统视图【缺省用户角色】network-admin【参数】dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
【使用指导】当设备运行环境要求SSH2只能采用特定密钥交换算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的密钥交换算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的密钥交换算法为dh-group1-sha1.
system-view[Sysname]ssh2algorithmkey-exchangedh-group1-sha1【相关命令】displayssh2algorithmssh2algorithmcipherssh2algorithmmac1-60ssh2algorithmpublic-key1.
3.
4ssh2algorithmmacssh2algorithmmac命令用来配置SSH2协议使用的MAC算法列表.
undossh2algorithmmac命令用来恢复缺省情况.
【命令】非FIPS模式下:ssh2algorithmmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}*undossh2algorithmmacFIPS模式下:ssh2algorithmmac{sha1|sha1-96|sha2-256|sha2-512}*undossh2algorithmmac【缺省情况】SSH2协议使用的缺省MAC算法从高到底的优先级列表为sha2-256、sha2-512、sha1、md5、sha1-96和md5-96.
【视图】系统视图【缺省用户角色】network-admin【参数】md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
【使用指导】当设备运行环境要求SSH2只能采用特定MAC算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的MAC算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的MAC算法为md5.
system-view[Sysname]ssh2algorithmmacmd5【相关命令】displayssh2algorithmssh2algorithmcipher1-61ssh2algorithmkey-exchangessh2algorithmpublic-key1.
3.
5ssh2algorithmpublic-keyssh2algorithmpublic-key命令用来配置SSH2协议使用的主机签名算法列表.
undossh2algorithmpublic-key命令用来恢复缺省情况.
【命令】非FIPS模式下:ssh2algorithmpublic-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}*undossh2algorithmpublic-keyFIPS模式下:ssh2algorithmpublic-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}*undossh2algorithmpublic-key【缺省情况】SSH2协议使用的缺省主机签名算法从高到底的优先级列表为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、rsa和dsa.
【视图】系统视图【缺省用户角色】network-admin【参数】dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256证书算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384证书算法.
【使用指导】当设备运行环境要求SSH2只能采用特定主机签名算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的主机签名算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的主机签名算法为dsa.
system-view[Sysname]ssh2algorithmpublic-keydsa1-62【相关命令】displayssh2algorithmssh2algorithmcipherssh2algorithmkey-exchangessh2algorithmmac

CloudCone:$17.99/年KVM-1GB/50GB/1TB/洛杉矶MC机房

CloudCone在月初发了个邮件,表示上新了一个系列VPS主机,采用SSD缓存磁盘,支持下单购买额外的CPU、内存和硬盘资源,最低年付17.99美元起。CloudCone成立于2017年,提供VPS和独立服务器租用,深耕洛杉矶MC机房,最初提供按小时计费随时退回,给自己弄回一大堆中国不能访问的IP,现在已经取消了随时删除了,不过他的VPS主机价格不贵,支持购买额外IP,还支持购买高防IP。下面列...

Dynadot COM特价新注册48元

想必我们有一些朋友应该陆续收到国内和国外的域名注册商关于域名即将涨价的信息。大概的意思是说从9月1日开始,.COM域名会涨价一点点,大约需要单个9.99美元左右一个。其实对于大部分用户来说也没多大的影响,毕竟如今什么都涨价,域名涨一点点也不要紧。如果是域名较多的话,确实增加续费成本和注册成本。今天整理看到Dynadot有发布新的八月份域名优惠活动,.COM首年注册依然是仅需48元,本次优惠活动截止...

限时新网有提供5+个免费域名

有在六月份的时候也有分享过新网域名注册商发布的域名促销活动(这里)。这不在九月份发布秋季域名促销活动,有提供年付16元的.COM域名,同时还有5个+的特殊后缀的域名是免费的。对于新网服务商是曾经非常老牌的域名注册商,早年也是有在他们家注册域名的。我们可以看到,如果有针对新用户的可以领到16元的.COM域名。包括还有首年免费的.XYZ、.SHOP、Space等等后缀的域名。除了.COM域名之外的其他...

ssh服务为你推荐
openeuler手机里的安全性open.wpapsk分别是什么意思2020双十一成绩单2020年的期末卷子出来了吗?2020双十一成绩单2020双十一尾款如何合并付款?梦之队官网史上最强的nba梦之队是哪一年22zizi.comwww 地址 didi22怎么打不开了,还有好看的吗>comwww.7788dy.comwww.tom365.com这个免费的电影网站有毒吗?baqizi.cc讲讲曾子杀猪的主要内容!www.gogo.com祺笑化瘀祛斑胶囊效果。关键词分析关键词分析的考虑思路是怎样的,哪个数据是最重要的dpscycle寻求LR 高输出宏
手机域名注册 优key iisphpmysql win8.1企业版升级win10 嘟牛 好看qq空间 太原联通测速平台 中国电信测速112 asp免费空间申请 腾讯实名认证中心 稳定免费空间 免费测手机号 流媒体加速 厦门电信 工信部icp备案查询 锐速 百度新闻源申请 globalsign qq空间打开很慢 wannacry勒索病毒 更多