算法ssh服务
ssh服务 时间:2021-04-01 阅读:()
i目录1SSH·1-11.
1SSH服务器端配置命令1-11.
1.
1displaysshserver·1-11.
1.
2displaysshuser-information·1-21.
1.
3scpserverenable1-31.
1.
4sftpserverenable1-41.
1.
5sftpserveridle-timeout·1-41.
1.
6sshserveracl1-51.
1.
7sshserverauthentication-retries1-61.
1.
8sshserverauthentication-timeout·1-71.
1.
9sshservercompatible-ssh1xenable1-81.
1.
10sshserverdscp1-81.
1.
11sshserverenable·1-91.
1.
12sshserveripv6acl1-91.
1.
13sshserveripv6dscp·1-101.
1.
14sshserverpki-domain·1-111.
1.
15sshserverrekey-interval·1-111.
1.
16sshuser·1-121.
2SSH客户端配置命令1-141.
2.
1bye·1-141.
2.
2cd·1-151.
2.
3cdup1-151.
2.
4delete·1-161.
2.
5dir1-161.
2.
6displaysftpclientsource1-171.
2.
7displaysshclientsource1-181.
2.
8exit1-181.
2.
9get·1-191.
2.
10help1-191.
2.
11ls·1-201.
2.
12mkdir·1-211.
2.
13put·1-211.
2.
14pwd·1-22ii1.
2.
15quit1-221.
2.
16remove1-231.
2.
17rename1-231.
2.
18rmdir1-241.
2.
19scp1-241.
2.
20scpipv61-271.
2.
21scpipv6suite-b1-301.
2.
22scpsuite-b·1-321.
2.
23sftp1-341.
2.
24sftpclientipv6source1-361.
2.
25sftpclientsource·1-371.
2.
26sftpipv61-381.
2.
27sftpipv6suite-b1-411.
2.
28sftpsuite-b1-431.
2.
29sshclientipv6source·1-451.
2.
30sshclientsource·1-461.
2.
31ssh2·1-461.
2.
32ssh2ipv61-491.
2.
33ssh2ipv6suite-b·1-521.
2.
34ssh2suite-b1-551.
3SSH2协议配置命令1-571.
3.
1displayssh2algorithm1-571.
3.
2ssh2algorithmcipher1-571.
3.
3ssh2algorithmkey-exchange1-591.
3.
4ssh2algorithmmac·1-601.
3.
5ssh2algorithmpublic-key1-611-11SSH设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
1.
1SSH服务器端配置命令1.
1.
1displaysshserverdisplaysshserver命令用来在SSH服务器端显示该服务器的状态信息或会话信息.
【命令】displaysshserver{session|status}【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】session:显示SSH服务器的会话信息.
status:显示SSH服务器的状态信息.
【举例】#在SSH服务器端显示该服务器的状态信息.
displaysshserverstatusStelnetserver:DisableSSHversion:1.
99SSHauthentication-timeout:60second(s)SSHserverkeygeneratinginterval:0hour(s)SSHauthenticationretries:3time(s)SFTPserver:DisableSFTPserverIdle-Timeout:10minute(s)NETCONFserver:DisableSCPserver:Disable表1-1displaysshserverstatus命令显示信息描述表字段描述StelnetserverStelnet服务器功能的状态1-2字段描述SSHversionSSH协议版本SSH服务器兼容SSH1时,协议版本为1.
99;SSH服务器不兼容SSH1时,协议版本为2.
0SSHauthentication-timeout认证超时时间SSHserverkeygeneratinginterval服务器密钥对更新时间SSHauthenticationretriesSSH用户认证尝试的最大次数SFTPserverSFTP服务器功能的状态SFTPserverIdle-TimeoutSFTP用户连接的空闲超时时间NETCONFserverNETCONFoverSSH服务器功能的状态SCPserverSCP服务器功能的状态#在SSH服务器端显示该服务器的会话信息.
displaysshserversessionUserPidSessIDVerEncryptStateRetriesServUsername18402.
0aes128-cbcEstablished1Stelnetabc@123表1-2displaysshserversession显示信息描述表字段描述UserPid用户进程PIDSessID会话IDVerSSH服务器的协议版本EncryptSSH服务器本端使用的加密算法State会话状态,包括:Init:初始化状态Ver-exchange:版本协商Keys-exchange:密钥交换Auth-request:用户认证Serv-request:服务请求Established:会话已经建立Disconnected:断开会话Retries认证失败的次数Serv服务类型,包括SCP、SFTP、Stelnet、NETCONFUsername客户端登录服务器时采用的用户名1.
1.
2displaysshuser-informationdisplaysshuser-information命令用来在SSH服务器端显示SSH用户的信息.
1-3【命令】displaysshuser-information[username]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】username:SSH用户名,为1~80个字符的字符串,区分大小写.
如果没有指定本参数,则显示所有SSH用户的信息.
【使用指导】本命令仅用来显示SSH服务器端通过sshuser命令配置的SSH用户信息.
【举例】#显示所有SSH用户的信息.
displaysshuser-informationTotalsshusers:2UsernameAuthentication-typeUser-public-key-nameService-typeyemxpasswordnullStelnettestpublickeypubkeySFTP表1-3displaysshuser-information显示信息描述表字段描述TotalsshusersSSH用户的总数Username用户名Authentication-type认证类型,取值包括password、publickey、password-publickey和anyUser-public-key-name用户公钥名称如果认证类型为password,则用户公钥名称显示为nullService-type服务类型,取值包括SCP、SFTP、Stelnet、NETCONF或all【相关命令】sshuser1.
1.
3scpserverenablescpserverenable命令用来使能SCP服务器功能.
undoscpserverenable命令用来关闭SCP服务器功能.
【命令】scpserverenable1-4undoscpserverenable【缺省情况】SCP服务器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【举例】#使能SCP服务器功能.
system-view[Sysname]scpserverenable【相关命令】displaysshserver1.
1.
4sftpserverenablesftpserverenable命令用来使能SFTP服务器功能.
undosftpserverenable命令用来关闭SFTP服务器功能.
【命令】sftpserverenableundosftpserverenable【缺省情况】SFTP服务器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【举例】#使能SFTP服务器功能.
system-view[Sysname]sftpserverenable【相关命令】displaysshserver1.
1.
5sftpserveridle-timeoutsftpserveridle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间.
undosftpserveridle-timeout命令用来恢复缺省情况.
1-5【命令】sftpserveridle-timeouttime-out-valueundosftpserveridle-timeout【缺省情况】SFTP用户连接的空闲超时时间为10分钟.
【视图】系统视图【缺省用户角色】network-admin【参数】time-out-value:超时时间,取值范围为1~35791,单位为分钟.
【使用指导】当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作.
若同一时间内并发的SFTP连接数较多,可适当减小该值,及时释放系统资源给新用户接入.
【举例】#设置SFTP用户连接的空闲超时时间为500分钟.
system-view[Sysname]sftpserveridle-timeout500【相关命令】displaysshserver1.
1.
6sshserveraclsshserveracl命令用来设置对IPv4SSH客户端的访问控制.
undosshserveracl命令用来恢复缺省情况.
【命令】sshserveracl{advanced-acl-number|basic-acl-number|mac-acl-number}undosshserveracl【缺省情况】允许所有IPv4SSH客户端向设备发起SSH访问.
【视图】系统视图【缺省用户角色】network-admin【参数】advanced-acl-number:指定IPv4高级ACL,取值范围为3000~3999.
1-6basic-acl-number:指定IPv4基本ACL,取值范围为2000~2999.
mac-acl-number:指定二层ACL,取值范围为4000~4999.
【使用指导】通过本命令可以过滤IPv4SSH客户端发起的SSH请求报文,具体实现如下:若指定的ACL非空,则只允许匹配ACLpermit规则的客户端访问设备.
若指定的ACL不存在,或者ACL中无任何规则,则允许SSH客户端发起SSH访问.
该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接.
多次执行本配置后,最新的配置生效.
【举例】#只允许IPv4地址为1.
1.
1.
1的SSH客户端向设备发起SSH访问.
system-view[Sysname]aclnumber2001[Sysname-acl-basic-2001]rulepermitsource1.
1.
1.
10[Sysname-acl-basic-2001]quit[Sysname]sshserveracl2001【相关命令】displaysshserver1.
1.
7sshserverauthentication-retriessshserverauthentication-retries命令用来设置允许SSH用户认证尝试的最大次数.
undosshserverauthentication-retries命令用来恢复缺省情况.
【命令】sshserverauthentication-retriestimesundosshserverauthentication-retries【缺省情况】允许SSH用户认证尝试的最大次数为3次.
【视图】系统视图【缺省用户角色】network-admin【参数】times:指定每个SSH用户认证尝试的最大次数,取值范围为1~5.
【使用指导】通过本命令可以限制用户尝试登录的次数,防止非法用户对用户名和密码进行恶意地猜测和破解.
需要注意的是:该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效.
1-7在any认证方式下,SSH客户端通过publickey和password两种方式进行认证尝试的次数总和(可通过命令displaysshserversession查看),不能超过sshserverauthentication-retries命令配置的SSH连接认证尝试的最大次数.
对于password-publickey认证方式,设备首先对SSH用户进行publickey认证,然后进行password认证,这个过程为一次认证尝试,而不是两次认证尝试.
【举例】#指定允许SSH用户认证尝试的最大次数为4.
system-view[Sysname]sshserverauthentication-retries4【相关命令】displaysshserver1.
1.
8sshserverauthentication-timeoutsshserverauthentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间.
undosshserverauthentication-timeout命令用来恢复缺省情况.
【命令】sshserverauthentication-timeouttime-out-valueundosshserverauthentication-timeout【缺省情况】SSH用户的认证超时时间为60秒.
【视图】系统视图【缺省用户角色】network-admin【参数】time-out-value:认证超时时间,取值范围为1~120,单位为秒.
【使用指导】如果SSH用户在设置的认证超时时间内没有完成认证,SSH服务器就拒绝该用户的连接.
为了防止不法用户建立起TCP连接后,不进行接下来的认证,而占用系统资源,妨碍其它合法用户的正常登录,可以适当调小SSH用户认证超时时间.
【举例】#设置SSH用户认证超时时间为10秒.
system-view[Sysname]sshserverauthentication-timeout10【相关命令】displaysshserver1-81.
1.
9sshservercompatible-ssh1xenablesshservercompatible-ssh1xenable命令用来设置SSH服务器兼容SSH1版本的客户端.
undosshservercompatible-ssh1x[enable]命令用来设置SSH服务器不兼容SSH1版本的客户端.
【命令】sshservercompatible-ssh1xenableundosshservercompatible-ssh1x[enable]【缺省情况】缺省情况下,SSH服务器兼容SSH1版本的客户端.
【视图】系统视图【缺省用户角色】network-adminnetwork-operator【使用指导】FIPS模式下,不支持本命令.
该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效.
【举例】#配置服务器兼容SSH1版本的客户端.
system-view[Sysname]sshservercompatible-ssh1xenable【相关命令】displaysshserver1.
1.
10sshserverdscpsshserverdscp命令用来设置IPv4SSH服务器向SSH客户端发送的报文的DSCP优先级.
undosshserverdscp命令用来恢复缺省情况.
【命令】sshserverdscpdscp-valueundosshserverdscp【缺省情况】IPv4SSH报文的DSCP优先级为48.
【视图】系统视图【缺省用户角色】network-admin1-9【参数】dscp-value:IPv4SSH报文的DSCP优先级,取值范围为0~63.
取值越大,优先级越高.
【使用指导】DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本命令可以指定服务器发送的IPv4SSH报文中携带的DSCP优先级的取值.
【举例】#配置IPv4SSH服务器向SSH客户端发送的报文的DSCP优先级为30.
system-view[Sysname]sshserverdscp301.
1.
11sshserverenablesshserverenable命令用来使能Stelnet服务器功能.
undosshserverenable命令用来关闭Stelnet服务器功能.
【命令】sshserverenableundosshserverenable【缺省情况】Stelnet服务器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【举例】#使能Stelnet服务器功能.
system-view[Sysname]sshserverenable【相关命令】displaysshserver1.
1.
12sshserveripv6aclsshserveripv6acl命令用来设置对IPv6SSH客户端的访问控制.
undosshserveripv6acl命令用来恢复缺省情况.
【命令】sshserveripv6acl{ipv6{advanced-acl-number|basic-acl-number}|mac-acl-number}undosshserveripv6acl【缺省情况】允许所有IPv6SSH客户端向设备发起SSH访问.
1-10【视图】系统视图【缺省用户角色】network-admin【参数】ipv6:指定IPv6ACL的编号.
advanced-acl-number:指定IPv6高级ACL,取值范围为3000~3999.
basic-acl-number:指定IPv6基本ACL,取值范围为2000~2999.
mac-acl-number:指定二层ACL,取值范围为4000~4999.
【使用指导】通过本命令可以过滤IPv6SSH客户端发起的SSH请求报文,具体实现如下:若指定的ACL非空,则只允许匹配ACLpermit规则的客户端访问设备.
若指定的ACL不存在,或者ACL中无任何规则,则允许SSH客户端发起SSH访问.
该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接.
多次执行本配置后,最新的配置生效.
【举例】#只允许1::1/64网段内的SSH客户端向设备发起SSH访问.
system-view[Sysname]aclipv6number2001[Sysname-acl6-basic-2001]rulepermitsource1::164[Sysname-acl6-basic-2001]quit[Sysname]sshserveripv6aclipv62001【相关命令】displaysshserver1.
1.
13sshserveripv6dscpsshserveripv6dscp命令用来设置IPv6SSH服务器向SSH客户端发送的报文的DSCP优先级.
undosshserveripv6dscp命令用来恢复缺省情况.
【命令】sshserveripv6dscpdscp-valueundosshserveripv6dscp【缺省情况】IPv6SSH报文的DSCP优先级为48.
【视图】系统视图【缺省用户角色】network-admin1-11【参数】dscp-value:IPv6SSH报文的DSCP优先级,取值范围为0~63.
取值越大,优先级越高.
【使用指导】DSCP携带在IPv6报文中的Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本命令可以指定服务器发送的SSH报文中携带的DSCP优先级的取值.
【举例】#配置IPv6SSH服务器向SSH客户端发送的报文的DSCP优先级为30.
system-view[Sysname]sshserveripv6dscp301.
1.
14sshserverpki-domainsshserverpki-domain命令用来配置服务器所属的PKI域.
undosshserverpki-domain命令用来删除服务器所属的PKI域.
【命令】sshserverpki-domaindomain-nameundosshserverpki-domain【缺省情况】未配置服务器所属的PKI域.
【视图】系统视图【缺省用户角色】network-admin【参数】domain-name:验证服务端的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【举例】#配置SSH服务器所属的PKI域为serverpkidomain.
system-view[Sysname]sshserverpki-domainserverpkidomain1.
1.
15sshserverrekey-intervalsshserverrekey-interval命令用来设置RSA服务器密钥对的更新时间.
undosshserverrekey-interval命令用来恢复缺省情况.
【命令】sshserverrekey-intervalhoursundosshserverrekey-interval1-12【缺省情况】RSA服务器密钥对的更新时间为0,表示系统不更新RSA服务器密钥对.
【视图】系统视图【缺省用户角色】network-admin【参数】hours:服务器密钥对的更新周期,取值范围为1~24,单位为小时.
【使用指导】SSH的核心是密钥对的协商和传输,因此密钥对的管理是非常重要的.
通过定时更新服务器密钥对,可以防止对密钥对的恶意猜测和破解,从而提高了SSH连接的安全性.
需要注意的是,本配置仅对SSH客户端版本为SSH1的用户有效.
FIPS模式下,不支持本命令.
【举例】#设置每3小时更新一次RSA服务器密钥对.
system-view[Sysname]sshserverrekey-interval3【相关命令】displaysshserver1.
1.
16sshusersshuser命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式.
undosshuser命令用来删除SSH用户.
【命令】非FIPS模式下:sshuserusernameservice-type{all|netconf|scp|sftp|stelnet}authentication-type{password|{any|password-publickey|publickey}[assign{pki-domaindomain-name|publickeykeyname}]}undosshuserusernameFIPS模式下:sshuserusernameservice-type{all|netconf|scp|sftp|stelnet}authentication-type{password|password-publickey[assign{pki-domaindomain-name|publickeykeyname}]}undosshuserusername【缺省情况】不存在任何SSH用户.
1-13【视图】系统视图【缺省用户角色】network-admin【参数】username:SSH用户名,为1~80个字符的字符串,区分大小写.
若用户名中携带ISP域名,则其形式为pureusername@domain,其中,pureusername为1~55个字符的字符串,domain为1~24个字符的字符串.
service-type:SSH用户的服务类型.
包括:all:包括scp、sftp、stelnet和netconf.
scp:服务类型为SCP(SecureCopy的简称).
sftp:服务类型为SFTP(SecureFTP的简称).
stelnet:服务类型为Stelnet(SecureTelnet的简称).
netconf:服务类型为NETCONFoverSSH.
authentication-type:SSH用户的认证方式.
包括:password:强制指定该用户的认证方式为password.
该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication,Authorization,Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击.
any:不指定用户的认证方式,用户既可以采用password认证,也可以采用publickey认证.
password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可.
publickey:强制指定该用户的认证方式为publickey.
该认证方式的加密速度相对较慢,但认证强度高,不易受到暴力猜测密码等攻击方式的影响,而且具有较高的易用性.
一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码.
assign:指定用于验证客户端的参数.
pki-domaindomain-name:指定验证客户端证书的PKI域.
domain-name表示PKI域的名称,为1~31个字符的字符串,不区分大小写.
服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查,无需提前保存客户端的公钥,能够灵活满足大数量客户端的认证需求.
publickeykeyname:为SSH客户端的公钥.
keyname表示已经配置的客户端公钥名称,为1~64个字符的字符串,不区分大小写.
服务器端使用提前保存在本地的用户公钥对用户进行合法性检查,如果客户端密钥文件改变,服务器端需要及时更新本地配置.
【使用指导】如果服务器采用publickey方式认证客户端,则必须通过本配置在设备上创建相应的SSH用户,并需要创建同名的本地用户,用于对SSH用户进行本地授权,包括授权用户角色、工作目录;如果服务器采用password方式认证客户端,则必须将SSH用户的账号信息配置在设备(适用于本地认1-14证)或者远程认证服务器(如RADIUS服务器,适用于远程认证)上,而并不要求通过本配置创建相应的SSH用户.
使用该命令为用户指定公钥或PKI域时,以最后一次指定的公钥或PKI域为准.
若不指定pki-domain和publickey,则表示该用户采用证书认证方式登录,服务器使用其PKI域验证客户端的证书.
新配置的服务类型、认证方式和用户公钥或PKI域,不会影响已经登录的SSH用户,仅对新登录的用户生效.
SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关:采用publickey或password-publickey认证方式的用户,使用的工作目录为对应的本地用户视图下通过authorization-attribute命令设置的工作目录.
只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录.
SSH用户登录时拥有的用户角色与用户使用的认证方式有关:采用publickey或password-publickey认证方式的用户,用户角色为对应的本地用户视图下通过authorization-attribute命令设置的用户角色.
采用password认证方式的用户,用户角色为通过AAA授权的用户角色.
【举例】#创建SSH用户user1,配置user1的服务类型为SFTP,认证方式为password-publickey,并指定客户端公钥为key1.
system-view[Sysname]sshuseruser1service-typesftpauthentication-typepassword-publickeyassignpublickeykey1#创建SSH用户user1,配置user1的服务器类型为SFTP,认证方式为password-publickey.
system-view[Sysname]sshuseruser1service-typesftpauthentication-typepassword-publickey#创建设备管理类本地用户user1,配置用户密码为明文123456TESTplat&!
,服务类型为SSH,授权工作目录为flash:,授权用户角色为network-admin.
[Sysname]local-useruser1classmanage[Sysname-luser-manage-user1]passwordsimple123456TESTplat&!
[Sysname-luser-manage-user1]service-typessh[Sysname-luser-manage-user1]authorization-attributework-directoryflash:user-rolenetwork-admin【相关命令】authorization-attribute(安全命令参考/AAA)displaysshuser-informationlocal-user(安全命令参考/AAA)pkidomain(安全命令参考/PKI)1.
2SSH客户端配置命令1.
2.
1byebye命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
1-15【命令】bye【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operator【使用指导】该命令功能与exit、quit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp>bye1.
2.
2cdcd命令用来改变远程SFTP服务器上的工作路径.
【命令】cd[remote-path]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-path:目的工作路径的名称.
【使用指导】命令"cd.
.
"用来返回到上一级目录.
命令"cd/"用来返回到系统的根目录.
【举例】#改变工作路径到new1.
sftp>cdnew1CurrentDirectoryis:/new1sftp>pwdRemoteworkingdirectory:/new1sftp>1.
2.
3cdupcdup命令用来返回到上一级目录.
1-16【命令】cdup【视图】SFTP客户端视图【缺省用户角色】network-admin【举例】#从当前工作目录/test1返回到上一级目录.
sftp>cdtest1CurrentDirectoryis:/test1sftp>pwdRemoteworkingdirectory:/test1sftp>cdupCurrentDirectoryis:/sftp>pwdRemoteworkingdirectory:/sftp>1.
2.
4deletedelete命令用来删除SFTP服务器上指定的文件.
【命令】deleteremote-file【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-file:要删除的文件的名称.
【使用指导】该命令和remove功能相同.
【举例】#删除服务器上的文件temp.
c.
sftp>deletetemp.
cRemoving/temp.
c1.
2.
5dirdir命令用来显示指定目录下文件及文件夹的信息.
1-17【命令】dir[-a|-l][remote-path]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以".
"开头的文件及文件夹的详细信息.
remote-path:查询的目录名.
【使用指导】如果没有指定-a和-l参数,则显示指定目录下文件及文件夹的名称.
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息.
该命令功能与ls相同.
【举例】#以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
sftp>dir-adrwxrwxrwx211512Dec1814:12.
drwxrwxrwx211512Dec1814:12.
.
-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pub#以列表的形式显示当前工作目录下文件及文件夹的详细信息.
sftp>dir-l-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pu1.
2.
6displaysftpclientsourcedisplaysftpclientsource命令用来显示当前为SFTP客户端设置的源IP地址或者源接口.
【命令】displaysftpclientsource【视图】任意视图【缺省用户角色】network-admin1-18network-operator【举例】#显示设置的SFTP客户端的源IP地址或者源接口.
displaysftpclientsourceThesourceIPaddressoftheSFTPclientis192.
168.
0.
1.
ThesourceIPv6addressoftheSFTPclientis2:2::2:2.
【相关命令】sftpclientipv6sourcesftpclientsource1.
2.
7displaysshclientsourcedisplaysshclientsource命令用来显示当前为Stelnet客户端设置的源IP地址或者源接口.
【命令】displaysshclientsource【视图】任意视图【缺省用户角色】network-adminnetwork-operator【举例】#显示设置的Stelnet客户端的源IP地址或者源接口.
displaysshclientsourceThesourceIPaddressoftheSSHclientis192.
168.
0.
1.
ThesourceIPv6addressoftheSSHclientis2:2::2:2.
【相关命令】sshclientipv6sourcesshclientsource1.
2.
8exitexit命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
【命令】exit【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operator1-19【使用指导】该命令功能与bye,quit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp>exit1.
2.
9getget命令用来从远程SFTP服务器上下载文件并存储在本地.
【命令】getremote-file[local-file]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-file:远程SFTP服务器上的文件名.
local-file:本地文件名.
【使用指导】如果没有指定本地文件名,则认为本地保存文件的文件名与服务器上的文件名相同.
【举例】#下载远程服务器上的temp1.
c文件,并以文件名temp.
c在本地保存.
sftp>gettemp1.
ctemp.
cFetching/temp1.
ctotemp.
c/temp.
c100%14241.
4KB/s00:001.
2.
10helphelp命令用来显示SFTP客户端命令的帮助信息.
【命令】help【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operator1-20【使用指导】键入和执行help命令的功能相同.
【举例】#查看帮助信息.
sftp>helpAvailablecommands:byeQuitsftpcd[path]Changeremotedirectoryto'path'cdupChangeremotedirectorytotheparentdirectorydeletepathDeleteremotefiledir[-a|-l][path]Displayremotedirectorylisting-aListallfilenames-lListfilenameincludingthespecificinformationofthefileexitQuitsftpgetremote-path[local-path]DownloadfilehelpDisplaythishelptextls[-a|-l][path]Displayremotedirectory-aListallfilenames-lListfilenameincludingthespecificinformationofthefilemkdirpathCreateremotedirectoryputlocal-path[remote-path]UploadfilepwdDisplayremoteworkingdirectoryquitQuitsftprenameoldpathnewpathRenameremotefileremovepathDeleteremotefilermdirpathDeleteremoteemptydirectorySynonymforhelp1.
2.
11lsls命令用来显示指定目录下文件及文件夹的信息.
【命令】ls[-a|-l][remote-path]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
1-21-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以".
"开头的文件及文件夹的详细信息.
remote-path:查询的目录名.
【使用指导】如果没有指定-a和-l参数,则显示指定目录下文件及文件夹的名称.
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息.
该命令功能与dir相同.
【举例】#以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
sftp>ls-adrwxrwxrwx211512Dec1814:12.
drwxrwxrwx211512Dec1814:12.
.
-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pub#以列表的形式显示当前工作目录下文件及文件夹的详细信息.
sftp>ls-l-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pub1.
2.
12mkdirmkdir命令用来在远程SFTP服务器上创建新的目录.
【命令】mkdirremote-path【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-path:远程SFTP服务器上的目录名.
【举例】#在远程SFTP服务器上建立目录test.
sftp>mkdirtest1.
2.
13putput命令用来将本地的文件上传到远程SFTP服务器.
1-22【命令】putlocal-file[remote-file]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】local-file:本地的文件名.
remote-file:远程SFTP服务器上的文件名.
【使用指导】如果没有指定远程服务器上的文件名,则认为服务器上保存文件的文件名与本地的文件名相同.
【举例】#将本地startup.
bak文件上传到远程SFTP服务器,并以startup01.
bak文件名保存.
sftp>putstartup.
bakstartup01.
bakUploadingstartup.
bakto/startup01.
bakstartup01.
bak100%14241.
4KB/s00:001.
2.
14pwdpwd命令用来显示远程SFTP服务器上的当前工作目录.
【命令】pwd【视图】SFTP客户端视图【缺省用户角色】network-admin【举例】#显示远程SFTP服务器上的当前工作目录.
sftp>pwdRemoteworkingdirectory:/以上显示信息表示当前的工作目录为根目录.
1.
2.
15quitquit命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
【命令】quit1-23【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operator【使用指导】该命令功能与bye,exit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp>quit1.
2.
16removeremove命令用来删除远程SFTP服务器上指定的文件.
【命令】removeremote-file【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-file:要删除的文件的名称.
【使用指导】该命令和delete命令相同.
【举例】#删除远程SFTP服务器上的文件temp.
c.
sftp>removetemp.
cRemoving/temp.
c1.
2.
17renamerename命令用来改变远程SFTP服务器上指定的文件或者文件夹的名字.
【命令】renameold-namenew-name【视图】SFTP客户端视图1-24【缺省用户角色】network-admin【参数】old-name:原文件名或者文件夹名.
new-name:新文件名或者文件夹名.
【举例】#将远程SFTP服务器上的文件temp1.
c改名为temp2.
c.
sftp>diraa.
pubtemp1.
csftp>renametemp1.
ctemp2.
csftp>diraa.
pubtemp2.
c1.
2.
18rmdirrmdir命令用来删除远程SFTP服务器上指定的目录.
【命令】rmdirremote-path【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-path:远程SFTP服务器上的目录名.
【举例】#删除SFTP服务器上当前工作目录下的temp1目录.
sftp>rmdirtemp11.
2.
19scpscp命令用来与远程的SCP服务器建立连接,并进行文件传输.
【命令】非FIPS模式下:scpserver[port-number]{put|get}source-file-name[destination-file-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher1-25{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*FIPS模式下:scpserver[port-number]{put|get}source-file-name[destination-file-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为0~65535,缺省值为22.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称.
destination-file-name:目的文件名称.
不指定该参数时,表示使用源文件名称作为目的文件名称.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
1-26prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
1-27interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SCP客户端采用publickey认证方式,登录地址为200.
1.
1.
1的远程SCP服务器,下载名为abc.
txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;scp200.
1.
1.
1getabc.
txtprefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkey1.
2.
20scpipv6scpipv6命令用来与远程的IPv6SCP服务器建立连接,并进行文件传输.
【命令】非FIPS模式下:scpipv6server[port-number][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*FIPS模式下:scpipv6server[port-number][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|1-28prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号.
此参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必需具有链路本地地址.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称.
destination-file-name:目的文件名称.
不指定该参数时,表示使用源文件名称作为目的文件名称.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
1-29aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IP地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IP地址.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
1-30当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SCP客户端采用publickey认证方式,登录地址为2000::1的远程SCP服务器,下载名为abc.
txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;scpipv62000::1getabc.
txtprefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkey1.
2.
21scpipv6suite-bscpipv6suite-b命令用来与远程的IPv6SCP服务器建立基于SuiteB算法集的连接,并进行文件传输.
【命令】scpipv6server[port-number][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号.
本参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必须具有链路本地地址.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称.
destination-file-name:目的文件名称.
若未指定本参数,则表示使用源文件名称作为目的文件名称.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
1-31192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IPv6地址.
Ipv6ipv6-address:指定源IPv6地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;1-32客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SCP客户端采用安全级别为192-bit的SuiteB算法集,与登录地址为2000::1的远程SCP服务器建立连接,下载名为abc.
txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
scpipv62000::1getabc.
txtsuite-b192-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1.
2.
22scpsuite-bscpsuite-b命令用来与远程的SCP服务器建立基于SuiteB算法集的连接,并进行文件传输.
【命令】scpserver[port-number]{put|get}source-file-name[destination-file-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称.
destination-file-name:目的文件名称.
若未指定本参数,则表示使用源文件名称作为目的文件名称.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、1-33".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
1-34【举例】#SCP客户端采用安全级别为128-bit的SuiteB算法集,与登录地址为200.
1.
1.
1的远程SCP服务器建立连接,下载名为abc.
txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
scp200.
1.
1.
1getabc.
txtsuite-b128-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1.
2.
23sftpsftp命令用来与远程IPv4SFTP服务器建立连接,并进入SFTP客户端视图.
【命令】非FIPS模式下:sftpserver[port-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*FIPS模式下:sftpserver[port-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
1-35identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
1-36ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IP地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将采用该接口的主IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SFTP客户端采用publickey认证方式,连接IP地址为10.
1.
1.
2的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib.
sftp10.
1.
1.
2prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkey1.
2.
24sftpclientipv6sourcesftpclientipv6source命令用来为配置SFTP客户端发送SFTP报文使用的源IPv6地址.
undosftpclientipv6source命令用来恢复缺省情况.
1-37【命令】sftpclientipv6source{interfaceinterface-typeinterface-number|ipv6ipv6-address}undosftpclientipv6source【缺省情况】未配置SFTP客户端使用的源IPv6地址,SFTP客户端发送SFTP报文使用的源IPv6地址为设备路由指定的SFTP报文出接口的IP地址.
【视图】系统视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】多次执行本命令,最新配置生效.
使用该命令指定了源地址后,若SFTP用户使用sftpipv6命令登录时又指定了源地址,则采用sftpipv6命令中指定的源地址.
sftpclientipv6source命令指定的源地址对所有的SFTP连接有效,sftpipv6命令指定的源地址只对当前的SFTP连接有效.
【举例】#指定SFTP客户端发送SFTP报文使用的源IPv6地址为2:2::2:2.
system-view[Sysname]sftpclientipv6sourceipv62:2::2:2【相关命令】displaysftpclientsource1.
2.
25sftpclientsourcesftpclientsource命令用来配置SFTP客户端发送SFTP报文使用的源IPv4地址.
undosftpclientsource命令用来恢复缺省情况.
【命令】sftpclientsource{interfaceinterface-typeinterface-number|ipip-address}undosftpclientsource【缺省情况】SFTP客户端使用设备路由指定的接口地址访问SFTP服务器.
1-38【视图】系统视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:指定接口的主IP地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipip-address:指定源IP地址.
【使用指导】多次执行本命令,最新配置生效.
使用该命令指定了源地址后,若SFTP用户使用sftp命令登录时又指定了源地址,则采用sftp命令中指定的源地址.
sftpclientsource命令指定的源地址对所有的SFTP连接有效,sftp命令指定的源地址只对当前的SFTP连接有效.
【举例】#指定SFTP客户端发送SFTP报文使用的源IP地址为192.
168.
0.
1.
system-view[Sysname]sftpclientsourceip192.
168.
0.
1【相关命令】displaysftpclientsource1.
2.
26sftpipv6sftpipv6命令用来建立SFTP客户端和与远程IPv6SFTP服务器建立连接,并进入SFTP客户端视图.
【命令】非FIPS模式下:sftpipv6server[port-number][-iinterface-typeinterface-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*FIPS模式下:1-39sftpipv6server[port-number][-iinterface-typeinterface-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
1-40aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
dscpdscp-value:指定客户端发送的IPv6SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IP地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IP地址.
ipv6ipv6-address:指定源IPv6地址.
1-41【使用指导】当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SFTP客户端采用publickey认证方式,连接IPv6地址为2000::1的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib.
sftpipv62000::1prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkeyUsername:1.
2.
27sftpipv6suite-bsftpipv6suite-b命令用来与远程的IPv6SFTP服务器建立基于SuiteB算法集的连接,并进入SFTP客户端视图.
【命令】sftpipv6server[port-number][-iinterface-typeinterface-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
1-42192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的IPv6SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Trafficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IPv6地址.
Ipv6ipv6-address:指定源IPv6地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;1-43服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SFTP客户端采用安全级别为192-bit的SuiteB算法集,与登录地址为2000::1的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
sftpipv62000::1suite-b192-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1.
2.
28sftpsuite-bsftpsuite-b命令用来与远程的IPv4SFTP服务器建立基于SuiteB算法集的连接,并进入SFTP客户端视图.
【命令】sftpserver[port-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、1-44".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
1-45当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SFTP客户端采用安全级别为128-bit的SuiteB算法集,与登录地址为10.
1.
1.
2的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
sftp10.
1.
1.
2suite-b128-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1.
2.
29sshclientipv6sourcesshclientipv6source命令用来配置Stelnet客户端发送SSH报文使用的源IPv6地址.
undosshclientipv6source命令用来恢复缺省情况.
【命令】sshclientipv6source{interfaceinterface-typeinterface-number|ipv6ipv6-address}undosshclientipv6source【缺省情况】Stelnet客户端使用设备路由指定的接口地址访问Stelnet服务器.
【视图】系统视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】多次执行本命令,最新配置生效.
使用该命令指定了源地址后,若SSH用户使用ssh2ipv6命令登录时又指定了源地址,则采用ssh2ipv6命令中指定的源地址.
sshclientipv6source命令指定的源地址对所有的IPv6Stelnet连接有效,ssh2ipv6命令指定的源地址只对当前的Stelnet连接有效.
【举例】#指定Stelnet客户端发送SSH报文使用的源IPv6地址为2:2::2:2.
system-view[Sysname]sshclientipv6sourceipv62:2::2:2【相关命令】displaysshclientsource1-461.
2.
30sshclientsourcesshclientsource命令用来配置Stelnet客户端发送SSH报文使用的源IPv4地址.
undosshclientsource命令用来恢复缺省情况.
【命令】sshclientsource{interfaceinterface-typeinterface-number|ipip-address}undosshclientsource【缺省情况】Stelnet客户端使用设备路由指定的接口地址访问Stelnet服务器.
【视图】系统视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:指定接口的主IP地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipip-address:指定源IPv4地址.
【使用指导】多次执行本命令,最新配置生效.
使用该命令指定了源地址后,若SSH用户使用ssh2命令登录时又指定了源地址,则采用ssh2命令中指定的源地址.
sshclientsource命令指定的源地址对所有的Stelnet连接有效,ssh2命令指定的源地址只对当前的Stelnet连接有效.
【举例】#指定Stelnet客户端发送SSH报文使用的源IPv4地址为192.
168.
0.
1.
system-view[Sysname]sshclientsourceip192.
168.
0.
1【相关命令】displaysshclientsource1.
2.
31ssh2ssh2命令用来建立Stelnet客户端和IPv4Stelnet服务器端的连接.
【命令】非FIPS模式下:ssh2server[port-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|1-47prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*FIPS模式下:ssh2server[port-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
1-483des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定一个退出字符,该退出字符与字符".
"配合使用可以强制断开客户端与服务器的连接.
缺省情况下,输入"~.
"可以强制断开与服务端的连接.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
1-49source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,报文源IP地址为根据路由查找的发送报文的出接口的主IP地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将采用该接口的主IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端登录到服务器端后,可以通过输入退出字符加字符".
"的方式快速断开当前连接(这种方式通常用于在服务器重启或发生异常的情况下,快速中断当前连接).
退出字符默认为"~",可以通过escape参数修改.
需要注意的是:必须在一行中首先输入退出字符加字符".
",该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免将登录用户名中的字符指定为退出字符.
【举例】#Stelnet客户端采用publickey认证方式,登录地址为3.
3.
3.
3的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;输入"$.
"时强制断开客户端和服务端的连接.
ssh23.
3.
3.
3prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkeyescape$1.
2.
32ssh2ipv6ssh2ipv6命令用来建立Stelnet客户端和IPv6Stelnet服务器端的连接.
【命令】非FIPS模式下:ssh2ipv6server[port-number][-iinterface-typeinterface-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|1-50prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*FIPS模式下:ssh2ipv6server[port-number][-iinterface-typeinterface-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
1-51zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
dscpdscp-value:指定客户端发送的IPv6SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定一个退出字符,该退出字符与字符".
"配合使用可以强制断开客户端与服务器的连接.
缺省情况下,输入"~.
"可以强制断开与服务端的连接.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
1-52server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IP地址.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端登录到服务器端后,可以通过输入退出字符加字符".
"的方式快速断开当前连接(这种方式通常用于在服务器重启或发生异常的情况下,快速中断当前连接).
退出字符默认为"~",可以通过escape参数修改.
需要注意的是:必须在一行中首先输入退出字符加字符".
",该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免将登录用户名中的字符指定为退出字符.
【举例】#SSH客户端采用publickey认证方式,登录地址为2000::1的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;输入"$.
"时强制断开客户端和服务端的连接.
ssh2ipv62000::1prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkeyescape$1.
2.
33ssh2ipv6suite-bssh2ipv6suite-b命令用来与远程的IPv6Stelnet服务器建立基于SuiteB算法集的连接.
1-53【命令】ssh2ipv6server[port-number][-iinterface-typeinterface-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|escapecharacter|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的IPv6SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Trafficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定退出字符,该退出字符与字符.
配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接).
character为一个字符,区分大小写,缺省为~,即输入~.
可以强制断开与服务端的连接.
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IPv6地址.
1-54Ipv6ipv6-address:指定源IPv6地址.
关于退出字符的使用,需要注意的是:必须在一行中首先输入退出字符和.
,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免退出字符和.
的组合与登录用户名相同.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SSH客户端采用安全级别为192-bit的SuiteB算法集,与登录地址为2000::1的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
ssh2ipv62000::1suite-b192-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1-551.
2.
34ssh2suite-bssh2suite-b命令用来与远程的IPv4Stelnet服务器建立基于SuiteB算法集的连接.
【命令】ssh2server[port-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|escapecharacter|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定退出字符,该退出字符与字符.
配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接).
character为一个字符,区分大小写,缺省为~,即输入~.
可以强制断开与服务端的连接.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
1-56【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
关于退出字符的使用,需要注意的是:必须在一行中首先输入退出字符和.
,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免退出字符和.
的组合与登录用户名相同.
【举例】#Stelnet客户端采用128-bit的SuiteB算法集,与登录地址为3.
3.
3.
3的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
ssh23.
3.
3.
3suite-b128-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1-571.
3SSH2协议配置命令1.
3.
1displayssh2algorithmdisplayssh2algorithm命令用来显示设备上配置的SSH2协议使用的算法优先列表.
【命令】displayssh2algorithm【视图】任意视图【缺省用户角色】network-adminnetwork-operator【举例】#显示设备上配置的SSH2协议使用的算法优先列表.
displayssh2algorithmKeyexchangealgorithms:dh-group-exchange-sha1dh-group14-sha1dh-group1-sha1Publickeyalgorithms:dsarsaecdsaEncryptionalgorithms:aes128-cbc3des-cbcdes-cbcaes256-cbcMACalgorithms:sha1md5md5-96sha1-96表1-4displayssh2algorithm命令显示信息描述表字段描述Keyexchangealgorithms按优先级前后顺序显示当前使用的密钥交换算法列表Publickeyalgorithms按优先级前后顺序显示当前使用的主机算法列表Encryptionalgorithms按优先级前后顺序显示当前使用的加密算法列表MACalgorithms按优先级前后顺序显示当前使用的MAC算法列表【相关命令】ssh2algorithmkey-exchangessh2algorithmpublic-keyssh2algorithmcipherssh2algorithmmac1.
3.
2ssh2algorithmcipherssh2algorithmcipher命令用来配置SSH2协议使用的加密算法列表.
undossh2algorithmcipher命令用来恢复缺省情况.
【命令】非FIPS模式下:1-58ssh2algorithmcipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}*undossh2algorithmcipherFIPS模式下:ssh2algorithmcipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}*undossh2algorithmcipher【缺省情况】SSH2协议采用的缺省加密算法从高到底的优先级列表为aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、3des-cbc、aes256-cbc和des-cbc.
【视图】系统视图【缺省用户角色】network-admin【参数】3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位AES-CBC加密算法.
aes256-cbc:256位AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
【使用指导】当设备运行环境要求SSH2只能采用特定加密算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的加密算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的加密算法为3des-cbc.
system-view[Sysname]ssh2algorithmcipher3des-cbc【相关命令】displayssh2algorithmssh2algorithmkey-exchangessh2algorithmmacssh2algorithmpublic-key1-591.
3.
3ssh2algorithmkey-exchangessh2algorithmkey-exchange命令用来配置SSH2协议使用的密钥交换算法列表.
undossh2algorithmkey-exchange命令用来恢复缺省情况.
【命令】非FIPS模式下:ssh2algorithmkey-exchange{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}*undossh2algorithmkey-exchangeFIPS模式下:ssh2algorithmkey-exchange{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}*undossh2algorithmkey-exchange【缺省情况】SSH2协议采用的缺省密钥交换算法从高到底的优先级列表为ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group-exchange-sha1、dh-group14-sha1、dh-group1-sha1.
【视图】系统视图【缺省用户角色】network-admin【参数】dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
【使用指导】当设备运行环境要求SSH2只能采用特定密钥交换算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的密钥交换算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的密钥交换算法为dh-group1-sha1.
system-view[Sysname]ssh2algorithmkey-exchangedh-group1-sha1【相关命令】displayssh2algorithmssh2algorithmcipherssh2algorithmmac1-60ssh2algorithmpublic-key1.
3.
4ssh2algorithmmacssh2algorithmmac命令用来配置SSH2协议使用的MAC算法列表.
undossh2algorithmmac命令用来恢复缺省情况.
【命令】非FIPS模式下:ssh2algorithmmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}*undossh2algorithmmacFIPS模式下:ssh2algorithmmac{sha1|sha1-96|sha2-256|sha2-512}*undossh2algorithmmac【缺省情况】SSH2协议使用的缺省MAC算法从高到底的优先级列表为sha2-256、sha2-512、sha1、md5、sha1-96和md5-96.
【视图】系统视图【缺省用户角色】network-admin【参数】md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
【使用指导】当设备运行环境要求SSH2只能采用特定MAC算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的MAC算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的MAC算法为md5.
system-view[Sysname]ssh2algorithmmacmd5【相关命令】displayssh2algorithmssh2algorithmcipher1-61ssh2algorithmkey-exchangessh2algorithmpublic-key1.
3.
5ssh2algorithmpublic-keyssh2algorithmpublic-key命令用来配置SSH2协议使用的主机签名算法列表.
undossh2algorithmpublic-key命令用来恢复缺省情况.
【命令】非FIPS模式下:ssh2algorithmpublic-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}*undossh2algorithmpublic-keyFIPS模式下:ssh2algorithmpublic-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}*undossh2algorithmpublic-key【缺省情况】SSH2协议使用的缺省主机签名算法从高到底的优先级列表为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、rsa和dsa.
【视图】系统视图【缺省用户角色】network-admin【参数】dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256证书算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384证书算法.
【使用指导】当设备运行环境要求SSH2只能采用特定主机签名算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的主机签名算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的主机签名算法为dsa.
system-view[Sysname]ssh2algorithmpublic-keydsa1-62【相关命令】displayssh2algorithmssh2algorithmcipherssh2algorithmkey-exchangessh2algorithmmac
1SSH服务器端配置命令1-11.
1.
1displaysshserver·1-11.
1.
2displaysshuser-information·1-21.
1.
3scpserverenable1-31.
1.
4sftpserverenable1-41.
1.
5sftpserveridle-timeout·1-41.
1.
6sshserveracl1-51.
1.
7sshserverauthentication-retries1-61.
1.
8sshserverauthentication-timeout·1-71.
1.
9sshservercompatible-ssh1xenable1-81.
1.
10sshserverdscp1-81.
1.
11sshserverenable·1-91.
1.
12sshserveripv6acl1-91.
1.
13sshserveripv6dscp·1-101.
1.
14sshserverpki-domain·1-111.
1.
15sshserverrekey-interval·1-111.
1.
16sshuser·1-121.
2SSH客户端配置命令1-141.
2.
1bye·1-141.
2.
2cd·1-151.
2.
3cdup1-151.
2.
4delete·1-161.
2.
5dir1-161.
2.
6displaysftpclientsource1-171.
2.
7displaysshclientsource1-181.
2.
8exit1-181.
2.
9get·1-191.
2.
10help1-191.
2.
11ls·1-201.
2.
12mkdir·1-211.
2.
13put·1-211.
2.
14pwd·1-22ii1.
2.
15quit1-221.
2.
16remove1-231.
2.
17rename1-231.
2.
18rmdir1-241.
2.
19scp1-241.
2.
20scpipv61-271.
2.
21scpipv6suite-b1-301.
2.
22scpsuite-b·1-321.
2.
23sftp1-341.
2.
24sftpclientipv6source1-361.
2.
25sftpclientsource·1-371.
2.
26sftpipv61-381.
2.
27sftpipv6suite-b1-411.
2.
28sftpsuite-b1-431.
2.
29sshclientipv6source·1-451.
2.
30sshclientsource·1-461.
2.
31ssh2·1-461.
2.
32ssh2ipv61-491.
2.
33ssh2ipv6suite-b·1-521.
2.
34ssh2suite-b1-551.
3SSH2协议配置命令1-571.
3.
1displayssh2algorithm1-571.
3.
2ssh2algorithmcipher1-571.
3.
3ssh2algorithmkey-exchange1-591.
3.
4ssh2algorithmmac·1-601.
3.
5ssh2algorithmpublic-key1-611-11SSH设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
1.
1SSH服务器端配置命令1.
1.
1displaysshserverdisplaysshserver命令用来在SSH服务器端显示该服务器的状态信息或会话信息.
【命令】displaysshserver{session|status}【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】session:显示SSH服务器的会话信息.
status:显示SSH服务器的状态信息.
【举例】#在SSH服务器端显示该服务器的状态信息.
displaysshserverstatusStelnetserver:DisableSSHversion:1.
99SSHauthentication-timeout:60second(s)SSHserverkeygeneratinginterval:0hour(s)SSHauthenticationretries:3time(s)SFTPserver:DisableSFTPserverIdle-Timeout:10minute(s)NETCONFserver:DisableSCPserver:Disable表1-1displaysshserverstatus命令显示信息描述表字段描述StelnetserverStelnet服务器功能的状态1-2字段描述SSHversionSSH协议版本SSH服务器兼容SSH1时,协议版本为1.
99;SSH服务器不兼容SSH1时,协议版本为2.
0SSHauthentication-timeout认证超时时间SSHserverkeygeneratinginterval服务器密钥对更新时间SSHauthenticationretriesSSH用户认证尝试的最大次数SFTPserverSFTP服务器功能的状态SFTPserverIdle-TimeoutSFTP用户连接的空闲超时时间NETCONFserverNETCONFoverSSH服务器功能的状态SCPserverSCP服务器功能的状态#在SSH服务器端显示该服务器的会话信息.
displaysshserversessionUserPidSessIDVerEncryptStateRetriesServUsername18402.
0aes128-cbcEstablished1Stelnetabc@123表1-2displaysshserversession显示信息描述表字段描述UserPid用户进程PIDSessID会话IDVerSSH服务器的协议版本EncryptSSH服务器本端使用的加密算法State会话状态,包括:Init:初始化状态Ver-exchange:版本协商Keys-exchange:密钥交换Auth-request:用户认证Serv-request:服务请求Established:会话已经建立Disconnected:断开会话Retries认证失败的次数Serv服务类型,包括SCP、SFTP、Stelnet、NETCONFUsername客户端登录服务器时采用的用户名1.
1.
2displaysshuser-informationdisplaysshuser-information命令用来在SSH服务器端显示SSH用户的信息.
1-3【命令】displaysshuser-information[username]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】username:SSH用户名,为1~80个字符的字符串,区分大小写.
如果没有指定本参数,则显示所有SSH用户的信息.
【使用指导】本命令仅用来显示SSH服务器端通过sshuser命令配置的SSH用户信息.
【举例】#显示所有SSH用户的信息.
displaysshuser-informationTotalsshusers:2UsernameAuthentication-typeUser-public-key-nameService-typeyemxpasswordnullStelnettestpublickeypubkeySFTP表1-3displaysshuser-information显示信息描述表字段描述TotalsshusersSSH用户的总数Username用户名Authentication-type认证类型,取值包括password、publickey、password-publickey和anyUser-public-key-name用户公钥名称如果认证类型为password,则用户公钥名称显示为nullService-type服务类型,取值包括SCP、SFTP、Stelnet、NETCONF或all【相关命令】sshuser1.
1.
3scpserverenablescpserverenable命令用来使能SCP服务器功能.
undoscpserverenable命令用来关闭SCP服务器功能.
【命令】scpserverenable1-4undoscpserverenable【缺省情况】SCP服务器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【举例】#使能SCP服务器功能.
system-view[Sysname]scpserverenable【相关命令】displaysshserver1.
1.
4sftpserverenablesftpserverenable命令用来使能SFTP服务器功能.
undosftpserverenable命令用来关闭SFTP服务器功能.
【命令】sftpserverenableundosftpserverenable【缺省情况】SFTP服务器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【举例】#使能SFTP服务器功能.
system-view[Sysname]sftpserverenable【相关命令】displaysshserver1.
1.
5sftpserveridle-timeoutsftpserveridle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间.
undosftpserveridle-timeout命令用来恢复缺省情况.
1-5【命令】sftpserveridle-timeouttime-out-valueundosftpserveridle-timeout【缺省情况】SFTP用户连接的空闲超时时间为10分钟.
【视图】系统视图【缺省用户角色】network-admin【参数】time-out-value:超时时间,取值范围为1~35791,单位为分钟.
【使用指导】当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作.
若同一时间内并发的SFTP连接数较多,可适当减小该值,及时释放系统资源给新用户接入.
【举例】#设置SFTP用户连接的空闲超时时间为500分钟.
system-view[Sysname]sftpserveridle-timeout500【相关命令】displaysshserver1.
1.
6sshserveraclsshserveracl命令用来设置对IPv4SSH客户端的访问控制.
undosshserveracl命令用来恢复缺省情况.
【命令】sshserveracl{advanced-acl-number|basic-acl-number|mac-acl-number}undosshserveracl【缺省情况】允许所有IPv4SSH客户端向设备发起SSH访问.
【视图】系统视图【缺省用户角色】network-admin【参数】advanced-acl-number:指定IPv4高级ACL,取值范围为3000~3999.
1-6basic-acl-number:指定IPv4基本ACL,取值范围为2000~2999.
mac-acl-number:指定二层ACL,取值范围为4000~4999.
【使用指导】通过本命令可以过滤IPv4SSH客户端发起的SSH请求报文,具体实现如下:若指定的ACL非空,则只允许匹配ACLpermit规则的客户端访问设备.
若指定的ACL不存在,或者ACL中无任何规则,则允许SSH客户端发起SSH访问.
该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接.
多次执行本配置后,最新的配置生效.
【举例】#只允许IPv4地址为1.
1.
1.
1的SSH客户端向设备发起SSH访问.
system-view[Sysname]aclnumber2001[Sysname-acl-basic-2001]rulepermitsource1.
1.
1.
10[Sysname-acl-basic-2001]quit[Sysname]sshserveracl2001【相关命令】displaysshserver1.
1.
7sshserverauthentication-retriessshserverauthentication-retries命令用来设置允许SSH用户认证尝试的最大次数.
undosshserverauthentication-retries命令用来恢复缺省情况.
【命令】sshserverauthentication-retriestimesundosshserverauthentication-retries【缺省情况】允许SSH用户认证尝试的最大次数为3次.
【视图】系统视图【缺省用户角色】network-admin【参数】times:指定每个SSH用户认证尝试的最大次数,取值范围为1~5.
【使用指导】通过本命令可以限制用户尝试登录的次数,防止非法用户对用户名和密码进行恶意地猜测和破解.
需要注意的是:该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效.
1-7在any认证方式下,SSH客户端通过publickey和password两种方式进行认证尝试的次数总和(可通过命令displaysshserversession查看),不能超过sshserverauthentication-retries命令配置的SSH连接认证尝试的最大次数.
对于password-publickey认证方式,设备首先对SSH用户进行publickey认证,然后进行password认证,这个过程为一次认证尝试,而不是两次认证尝试.
【举例】#指定允许SSH用户认证尝试的最大次数为4.
system-view[Sysname]sshserverauthentication-retries4【相关命令】displaysshserver1.
1.
8sshserverauthentication-timeoutsshserverauthentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间.
undosshserverauthentication-timeout命令用来恢复缺省情况.
【命令】sshserverauthentication-timeouttime-out-valueundosshserverauthentication-timeout【缺省情况】SSH用户的认证超时时间为60秒.
【视图】系统视图【缺省用户角色】network-admin【参数】time-out-value:认证超时时间,取值范围为1~120,单位为秒.
【使用指导】如果SSH用户在设置的认证超时时间内没有完成认证,SSH服务器就拒绝该用户的连接.
为了防止不法用户建立起TCP连接后,不进行接下来的认证,而占用系统资源,妨碍其它合法用户的正常登录,可以适当调小SSH用户认证超时时间.
【举例】#设置SSH用户认证超时时间为10秒.
system-view[Sysname]sshserverauthentication-timeout10【相关命令】displaysshserver1-81.
1.
9sshservercompatible-ssh1xenablesshservercompatible-ssh1xenable命令用来设置SSH服务器兼容SSH1版本的客户端.
undosshservercompatible-ssh1x[enable]命令用来设置SSH服务器不兼容SSH1版本的客户端.
【命令】sshservercompatible-ssh1xenableundosshservercompatible-ssh1x[enable]【缺省情况】缺省情况下,SSH服务器兼容SSH1版本的客户端.
【视图】系统视图【缺省用户角色】network-adminnetwork-operator【使用指导】FIPS模式下,不支持本命令.
该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效.
【举例】#配置服务器兼容SSH1版本的客户端.
system-view[Sysname]sshservercompatible-ssh1xenable【相关命令】displaysshserver1.
1.
10sshserverdscpsshserverdscp命令用来设置IPv4SSH服务器向SSH客户端发送的报文的DSCP优先级.
undosshserverdscp命令用来恢复缺省情况.
【命令】sshserverdscpdscp-valueundosshserverdscp【缺省情况】IPv4SSH报文的DSCP优先级为48.
【视图】系统视图【缺省用户角色】network-admin1-9【参数】dscp-value:IPv4SSH报文的DSCP优先级,取值范围为0~63.
取值越大,优先级越高.
【使用指导】DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本命令可以指定服务器发送的IPv4SSH报文中携带的DSCP优先级的取值.
【举例】#配置IPv4SSH服务器向SSH客户端发送的报文的DSCP优先级为30.
system-view[Sysname]sshserverdscp301.
1.
11sshserverenablesshserverenable命令用来使能Stelnet服务器功能.
undosshserverenable命令用来关闭Stelnet服务器功能.
【命令】sshserverenableundosshserverenable【缺省情况】Stelnet服务器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【举例】#使能Stelnet服务器功能.
system-view[Sysname]sshserverenable【相关命令】displaysshserver1.
1.
12sshserveripv6aclsshserveripv6acl命令用来设置对IPv6SSH客户端的访问控制.
undosshserveripv6acl命令用来恢复缺省情况.
【命令】sshserveripv6acl{ipv6{advanced-acl-number|basic-acl-number}|mac-acl-number}undosshserveripv6acl【缺省情况】允许所有IPv6SSH客户端向设备发起SSH访问.
1-10【视图】系统视图【缺省用户角色】network-admin【参数】ipv6:指定IPv6ACL的编号.
advanced-acl-number:指定IPv6高级ACL,取值范围为3000~3999.
basic-acl-number:指定IPv6基本ACL,取值范围为2000~2999.
mac-acl-number:指定二层ACL,取值范围为4000~4999.
【使用指导】通过本命令可以过滤IPv6SSH客户端发起的SSH请求报文,具体实现如下:若指定的ACL非空,则只允许匹配ACLpermit规则的客户端访问设备.
若指定的ACL不存在,或者ACL中无任何规则,则允许SSH客户端发起SSH访问.
该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接.
多次执行本配置后,最新的配置生效.
【举例】#只允许1::1/64网段内的SSH客户端向设备发起SSH访问.
system-view[Sysname]aclipv6number2001[Sysname-acl6-basic-2001]rulepermitsource1::164[Sysname-acl6-basic-2001]quit[Sysname]sshserveripv6aclipv62001【相关命令】displaysshserver1.
1.
13sshserveripv6dscpsshserveripv6dscp命令用来设置IPv6SSH服务器向SSH客户端发送的报文的DSCP优先级.
undosshserveripv6dscp命令用来恢复缺省情况.
【命令】sshserveripv6dscpdscp-valueundosshserveripv6dscp【缺省情况】IPv6SSH报文的DSCP优先级为48.
【视图】系统视图【缺省用户角色】network-admin1-11【参数】dscp-value:IPv6SSH报文的DSCP优先级,取值范围为0~63.
取值越大,优先级越高.
【使用指导】DSCP携带在IPv6报文中的Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本命令可以指定服务器发送的SSH报文中携带的DSCP优先级的取值.
【举例】#配置IPv6SSH服务器向SSH客户端发送的报文的DSCP优先级为30.
system-view[Sysname]sshserveripv6dscp301.
1.
14sshserverpki-domainsshserverpki-domain命令用来配置服务器所属的PKI域.
undosshserverpki-domain命令用来删除服务器所属的PKI域.
【命令】sshserverpki-domaindomain-nameundosshserverpki-domain【缺省情况】未配置服务器所属的PKI域.
【视图】系统视图【缺省用户角色】network-admin【参数】domain-name:验证服务端的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【举例】#配置SSH服务器所属的PKI域为serverpkidomain.
system-view[Sysname]sshserverpki-domainserverpkidomain1.
1.
15sshserverrekey-intervalsshserverrekey-interval命令用来设置RSA服务器密钥对的更新时间.
undosshserverrekey-interval命令用来恢复缺省情况.
【命令】sshserverrekey-intervalhoursundosshserverrekey-interval1-12【缺省情况】RSA服务器密钥对的更新时间为0,表示系统不更新RSA服务器密钥对.
【视图】系统视图【缺省用户角色】network-admin【参数】hours:服务器密钥对的更新周期,取值范围为1~24,单位为小时.
【使用指导】SSH的核心是密钥对的协商和传输,因此密钥对的管理是非常重要的.
通过定时更新服务器密钥对,可以防止对密钥对的恶意猜测和破解,从而提高了SSH连接的安全性.
需要注意的是,本配置仅对SSH客户端版本为SSH1的用户有效.
FIPS模式下,不支持本命令.
【举例】#设置每3小时更新一次RSA服务器密钥对.
system-view[Sysname]sshserverrekey-interval3【相关命令】displaysshserver1.
1.
16sshusersshuser命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式.
undosshuser命令用来删除SSH用户.
【命令】非FIPS模式下:sshuserusernameservice-type{all|netconf|scp|sftp|stelnet}authentication-type{password|{any|password-publickey|publickey}[assign{pki-domaindomain-name|publickeykeyname}]}undosshuserusernameFIPS模式下:sshuserusernameservice-type{all|netconf|scp|sftp|stelnet}authentication-type{password|password-publickey[assign{pki-domaindomain-name|publickeykeyname}]}undosshuserusername【缺省情况】不存在任何SSH用户.
1-13【视图】系统视图【缺省用户角色】network-admin【参数】username:SSH用户名,为1~80个字符的字符串,区分大小写.
若用户名中携带ISP域名,则其形式为pureusername@domain,其中,pureusername为1~55个字符的字符串,domain为1~24个字符的字符串.
service-type:SSH用户的服务类型.
包括:all:包括scp、sftp、stelnet和netconf.
scp:服务类型为SCP(SecureCopy的简称).
sftp:服务类型为SFTP(SecureFTP的简称).
stelnet:服务类型为Stelnet(SecureTelnet的简称).
netconf:服务类型为NETCONFoverSSH.
authentication-type:SSH用户的认证方式.
包括:password:强制指定该用户的认证方式为password.
该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication,Authorization,Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击.
any:不指定用户的认证方式,用户既可以采用password认证,也可以采用publickey认证.
password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可.
publickey:强制指定该用户的认证方式为publickey.
该认证方式的加密速度相对较慢,但认证强度高,不易受到暴力猜测密码等攻击方式的影响,而且具有较高的易用性.
一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码.
assign:指定用于验证客户端的参数.
pki-domaindomain-name:指定验证客户端证书的PKI域.
domain-name表示PKI域的名称,为1~31个字符的字符串,不区分大小写.
服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查,无需提前保存客户端的公钥,能够灵活满足大数量客户端的认证需求.
publickeykeyname:为SSH客户端的公钥.
keyname表示已经配置的客户端公钥名称,为1~64个字符的字符串,不区分大小写.
服务器端使用提前保存在本地的用户公钥对用户进行合法性检查,如果客户端密钥文件改变,服务器端需要及时更新本地配置.
【使用指导】如果服务器采用publickey方式认证客户端,则必须通过本配置在设备上创建相应的SSH用户,并需要创建同名的本地用户,用于对SSH用户进行本地授权,包括授权用户角色、工作目录;如果服务器采用password方式认证客户端,则必须将SSH用户的账号信息配置在设备(适用于本地认1-14证)或者远程认证服务器(如RADIUS服务器,适用于远程认证)上,而并不要求通过本配置创建相应的SSH用户.
使用该命令为用户指定公钥或PKI域时,以最后一次指定的公钥或PKI域为准.
若不指定pki-domain和publickey,则表示该用户采用证书认证方式登录,服务器使用其PKI域验证客户端的证书.
新配置的服务类型、认证方式和用户公钥或PKI域,不会影响已经登录的SSH用户,仅对新登录的用户生效.
SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关:采用publickey或password-publickey认证方式的用户,使用的工作目录为对应的本地用户视图下通过authorization-attribute命令设置的工作目录.
只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录.
SSH用户登录时拥有的用户角色与用户使用的认证方式有关:采用publickey或password-publickey认证方式的用户,用户角色为对应的本地用户视图下通过authorization-attribute命令设置的用户角色.
采用password认证方式的用户,用户角色为通过AAA授权的用户角色.
【举例】#创建SSH用户user1,配置user1的服务类型为SFTP,认证方式为password-publickey,并指定客户端公钥为key1.
system-view[Sysname]sshuseruser1service-typesftpauthentication-typepassword-publickeyassignpublickeykey1#创建SSH用户user1,配置user1的服务器类型为SFTP,认证方式为password-publickey.
system-view[Sysname]sshuseruser1service-typesftpauthentication-typepassword-publickey#创建设备管理类本地用户user1,配置用户密码为明文123456TESTplat&!
,服务类型为SSH,授权工作目录为flash:,授权用户角色为network-admin.
[Sysname]local-useruser1classmanage[Sysname-luser-manage-user1]passwordsimple123456TESTplat&!
[Sysname-luser-manage-user1]service-typessh[Sysname-luser-manage-user1]authorization-attributework-directoryflash:user-rolenetwork-admin【相关命令】authorization-attribute(安全命令参考/AAA)displaysshuser-informationlocal-user(安全命令参考/AAA)pkidomain(安全命令参考/PKI)1.
2SSH客户端配置命令1.
2.
1byebye命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
1-15【命令】bye【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operator【使用指导】该命令功能与exit、quit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp>bye1.
2.
2cdcd命令用来改变远程SFTP服务器上的工作路径.
【命令】cd[remote-path]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-path:目的工作路径的名称.
【使用指导】命令"cd.
.
"用来返回到上一级目录.
命令"cd/"用来返回到系统的根目录.
【举例】#改变工作路径到new1.
sftp>cdnew1CurrentDirectoryis:/new1sftp>pwdRemoteworkingdirectory:/new1sftp>1.
2.
3cdupcdup命令用来返回到上一级目录.
1-16【命令】cdup【视图】SFTP客户端视图【缺省用户角色】network-admin【举例】#从当前工作目录/test1返回到上一级目录.
sftp>cdtest1CurrentDirectoryis:/test1sftp>pwdRemoteworkingdirectory:/test1sftp>cdupCurrentDirectoryis:/sftp>pwdRemoteworkingdirectory:/sftp>1.
2.
4deletedelete命令用来删除SFTP服务器上指定的文件.
【命令】deleteremote-file【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-file:要删除的文件的名称.
【使用指导】该命令和remove功能相同.
【举例】#删除服务器上的文件temp.
c.
sftp>deletetemp.
cRemoving/temp.
c1.
2.
5dirdir命令用来显示指定目录下文件及文件夹的信息.
1-17【命令】dir[-a|-l][remote-path]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以".
"开头的文件及文件夹的详细信息.
remote-path:查询的目录名.
【使用指导】如果没有指定-a和-l参数,则显示指定目录下文件及文件夹的名称.
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息.
该命令功能与ls相同.
【举例】#以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
sftp>dir-adrwxrwxrwx211512Dec1814:12.
drwxrwxrwx211512Dec1814:12.
.
-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pub#以列表的形式显示当前工作目录下文件及文件夹的详细信息.
sftp>dir-l-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pu1.
2.
6displaysftpclientsourcedisplaysftpclientsource命令用来显示当前为SFTP客户端设置的源IP地址或者源接口.
【命令】displaysftpclientsource【视图】任意视图【缺省用户角色】network-admin1-18network-operator【举例】#显示设置的SFTP客户端的源IP地址或者源接口.
displaysftpclientsourceThesourceIPaddressoftheSFTPclientis192.
168.
0.
1.
ThesourceIPv6addressoftheSFTPclientis2:2::2:2.
【相关命令】sftpclientipv6sourcesftpclientsource1.
2.
7displaysshclientsourcedisplaysshclientsource命令用来显示当前为Stelnet客户端设置的源IP地址或者源接口.
【命令】displaysshclientsource【视图】任意视图【缺省用户角色】network-adminnetwork-operator【举例】#显示设置的Stelnet客户端的源IP地址或者源接口.
displaysshclientsourceThesourceIPaddressoftheSSHclientis192.
168.
0.
1.
ThesourceIPv6addressoftheSSHclientis2:2::2:2.
【相关命令】sshclientipv6sourcesshclientsource1.
2.
8exitexit命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
【命令】exit【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operator1-19【使用指导】该命令功能与bye,quit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp>exit1.
2.
9getget命令用来从远程SFTP服务器上下载文件并存储在本地.
【命令】getremote-file[local-file]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-file:远程SFTP服务器上的文件名.
local-file:本地文件名.
【使用指导】如果没有指定本地文件名,则认为本地保存文件的文件名与服务器上的文件名相同.
【举例】#下载远程服务器上的temp1.
c文件,并以文件名temp.
c在本地保存.
sftp>gettemp1.
ctemp.
cFetching/temp1.
ctotemp.
c/temp.
c100%14241.
4KB/s00:001.
2.
10helphelp命令用来显示SFTP客户端命令的帮助信息.
【命令】help【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operator1-20【使用指导】键入和执行help命令的功能相同.
【举例】#查看帮助信息.
sftp>helpAvailablecommands:byeQuitsftpcd[path]Changeremotedirectoryto'path'cdupChangeremotedirectorytotheparentdirectorydeletepathDeleteremotefiledir[-a|-l][path]Displayremotedirectorylisting-aListallfilenames-lListfilenameincludingthespecificinformationofthefileexitQuitsftpgetremote-path[local-path]DownloadfilehelpDisplaythishelptextls[-a|-l][path]Displayremotedirectory-aListallfilenames-lListfilenameincludingthespecificinformationofthefilemkdirpathCreateremotedirectoryputlocal-path[remote-path]UploadfilepwdDisplayremoteworkingdirectoryquitQuitsftprenameoldpathnewpathRenameremotefileremovepathDeleteremotefilermdirpathDeleteremoteemptydirectorySynonymforhelp1.
2.
11lsls命令用来显示指定目录下文件及文件夹的信息.
【命令】ls[-a|-l][remote-path]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
1-21-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以".
"开头的文件及文件夹的详细信息.
remote-path:查询的目录名.
【使用指导】如果没有指定-a和-l参数,则显示指定目录下文件及文件夹的名称.
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息.
该命令功能与dir相同.
【举例】#以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
sftp>ls-adrwxrwxrwx211512Dec1814:12.
drwxrwxrwx211512Dec1814:12.
.
-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pub#以列表的形式显示当前工作目录下文件及文件夹的详细信息.
sftp>ls-l-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pub1.
2.
12mkdirmkdir命令用来在远程SFTP服务器上创建新的目录.
【命令】mkdirremote-path【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-path:远程SFTP服务器上的目录名.
【举例】#在远程SFTP服务器上建立目录test.
sftp>mkdirtest1.
2.
13putput命令用来将本地的文件上传到远程SFTP服务器.
1-22【命令】putlocal-file[remote-file]【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】local-file:本地的文件名.
remote-file:远程SFTP服务器上的文件名.
【使用指导】如果没有指定远程服务器上的文件名,则认为服务器上保存文件的文件名与本地的文件名相同.
【举例】#将本地startup.
bak文件上传到远程SFTP服务器,并以startup01.
bak文件名保存.
sftp>putstartup.
bakstartup01.
bakUploadingstartup.
bakto/startup01.
bakstartup01.
bak100%14241.
4KB/s00:001.
2.
14pwdpwd命令用来显示远程SFTP服务器上的当前工作目录.
【命令】pwd【视图】SFTP客户端视图【缺省用户角色】network-admin【举例】#显示远程SFTP服务器上的当前工作目录.
sftp>pwdRemoteworkingdirectory:/以上显示信息表示当前的工作目录为根目录.
1.
2.
15quitquit命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
【命令】quit1-23【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operator【使用指导】该命令功能与bye,exit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp>quit1.
2.
16removeremove命令用来删除远程SFTP服务器上指定的文件.
【命令】removeremote-file【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-file:要删除的文件的名称.
【使用指导】该命令和delete命令相同.
【举例】#删除远程SFTP服务器上的文件temp.
c.
sftp>removetemp.
cRemoving/temp.
c1.
2.
17renamerename命令用来改变远程SFTP服务器上指定的文件或者文件夹的名字.
【命令】renameold-namenew-name【视图】SFTP客户端视图1-24【缺省用户角色】network-admin【参数】old-name:原文件名或者文件夹名.
new-name:新文件名或者文件夹名.
【举例】#将远程SFTP服务器上的文件temp1.
c改名为temp2.
c.
sftp>diraa.
pubtemp1.
csftp>renametemp1.
ctemp2.
csftp>diraa.
pubtemp2.
c1.
2.
18rmdirrmdir命令用来删除远程SFTP服务器上指定的目录.
【命令】rmdirremote-path【视图】SFTP客户端视图【缺省用户角色】network-admin【参数】remote-path:远程SFTP服务器上的目录名.
【举例】#删除SFTP服务器上当前工作目录下的temp1目录.
sftp>rmdirtemp11.
2.
19scpscp命令用来与远程的SCP服务器建立连接,并进行文件传输.
【命令】非FIPS模式下:scpserver[port-number]{put|get}source-file-name[destination-file-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher1-25{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*FIPS模式下:scpserver[port-number]{put|get}source-file-name[destination-file-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为0~65535,缺省值为22.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称.
destination-file-name:目的文件名称.
不指定该参数时,表示使用源文件名称作为目的文件名称.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
1-26prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
1-27interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SCP客户端采用publickey认证方式,登录地址为200.
1.
1.
1的远程SCP服务器,下载名为abc.
txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;scp200.
1.
1.
1getabc.
txtprefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkey1.
2.
20scpipv6scpipv6命令用来与远程的IPv6SCP服务器建立连接,并进行文件传输.
【命令】非FIPS模式下:scpipv6server[port-number][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*FIPS模式下:scpipv6server[port-number][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|1-28prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号.
此参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必需具有链路本地地址.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称.
destination-file-name:目的文件名称.
不指定该参数时,表示使用源文件名称作为目的文件名称.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
1-29aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IP地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IP地址.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
1-30当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SCP客户端采用publickey认证方式,登录地址为2000::1的远程SCP服务器,下载名为abc.
txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;scpipv62000::1getabc.
txtprefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkey1.
2.
21scpipv6suite-bscpipv6suite-b命令用来与远程的IPv6SCP服务器建立基于SuiteB算法集的连接,并进行文件传输.
【命令】scpipv6server[port-number][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号.
本参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必须具有链路本地地址.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称.
destination-file-name:目的文件名称.
若未指定本参数,则表示使用源文件名称作为目的文件名称.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
1-31192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IPv6地址.
Ipv6ipv6-address:指定源IPv6地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;1-32客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SCP客户端采用安全级别为192-bit的SuiteB算法集,与登录地址为2000::1的远程SCP服务器建立连接,下载名为abc.
txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
scpipv62000::1getabc.
txtsuite-b192-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1.
2.
22scpsuite-bscpsuite-b命令用来与远程的SCP服务器建立基于SuiteB算法集的连接,并进行文件传输.
【命令】scpserver[port-number]{put|get}source-file-name[destination-file-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称.
destination-file-name:目的文件名称.
若未指定本参数,则表示使用源文件名称作为目的文件名称.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、1-33".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
1-34【举例】#SCP客户端采用安全级别为128-bit的SuiteB算法集,与登录地址为200.
1.
1.
1的远程SCP服务器建立连接,下载名为abc.
txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
scp200.
1.
1.
1getabc.
txtsuite-b128-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1.
2.
23sftpsftp命令用来与远程IPv4SFTP服务器建立连接,并进入SFTP客户端视图.
【命令】非FIPS模式下:sftpserver[port-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*FIPS模式下:sftpserver[port-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
1-35identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
1-36ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IP地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将采用该接口的主IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SFTP客户端采用publickey认证方式,连接IP地址为10.
1.
1.
2的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib.
sftp10.
1.
1.
2prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkey1.
2.
24sftpclientipv6sourcesftpclientipv6source命令用来为配置SFTP客户端发送SFTP报文使用的源IPv6地址.
undosftpclientipv6source命令用来恢复缺省情况.
1-37【命令】sftpclientipv6source{interfaceinterface-typeinterface-number|ipv6ipv6-address}undosftpclientipv6source【缺省情况】未配置SFTP客户端使用的源IPv6地址,SFTP客户端发送SFTP报文使用的源IPv6地址为设备路由指定的SFTP报文出接口的IP地址.
【视图】系统视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】多次执行本命令,最新配置生效.
使用该命令指定了源地址后,若SFTP用户使用sftpipv6命令登录时又指定了源地址,则采用sftpipv6命令中指定的源地址.
sftpclientipv6source命令指定的源地址对所有的SFTP连接有效,sftpipv6命令指定的源地址只对当前的SFTP连接有效.
【举例】#指定SFTP客户端发送SFTP报文使用的源IPv6地址为2:2::2:2.
system-view[Sysname]sftpclientipv6sourceipv62:2::2:2【相关命令】displaysftpclientsource1.
2.
25sftpclientsourcesftpclientsource命令用来配置SFTP客户端发送SFTP报文使用的源IPv4地址.
undosftpclientsource命令用来恢复缺省情况.
【命令】sftpclientsource{interfaceinterface-typeinterface-number|ipip-address}undosftpclientsource【缺省情况】SFTP客户端使用设备路由指定的接口地址访问SFTP服务器.
1-38【视图】系统视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:指定接口的主IP地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipip-address:指定源IP地址.
【使用指导】多次执行本命令,最新配置生效.
使用该命令指定了源地址后,若SFTP用户使用sftp命令登录时又指定了源地址,则采用sftp命令中指定的源地址.
sftpclientsource命令指定的源地址对所有的SFTP连接有效,sftp命令指定的源地址只对当前的SFTP连接有效.
【举例】#指定SFTP客户端发送SFTP报文使用的源IP地址为192.
168.
0.
1.
system-view[Sysname]sftpclientsourceip192.
168.
0.
1【相关命令】displaysftpclientsource1.
2.
26sftpipv6sftpipv6命令用来建立SFTP客户端和与远程IPv6SFTP服务器建立连接,并进入SFTP客户端视图.
【命令】非FIPS模式下:sftpipv6server[port-number][-iinterface-typeinterface-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*FIPS模式下:1-39sftpipv6server[port-number][-iinterface-typeinterface-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
1-40aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
dscpdscp-value:指定客户端发送的IPv6SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IP地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IP地址.
ipv6ipv6-address:指定源IPv6地址.
1-41【使用指导】当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SFTP客户端采用publickey认证方式,连接IPv6地址为2000::1的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib.
sftpipv62000::1prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkeyUsername:1.
2.
27sftpipv6suite-bsftpipv6suite-b命令用来与远程的IPv6SFTP服务器建立基于SuiteB算法集的连接,并进入SFTP客户端视图.
【命令】sftpipv6server[port-number][-iinterface-typeinterface-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
1-42192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的IPv6SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Trafficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IPv6地址.
Ipv6ipv6-address:指定源IPv6地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;1-43服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SFTP客户端采用安全级别为192-bit的SuiteB算法集,与登录地址为2000::1的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
sftpipv62000::1suite-b192-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1.
2.
28sftpsuite-bsftpsuite-b命令用来与远程的IPv4SFTP服务器建立基于SuiteB算法集的连接,并进入SFTP客户端视图.
【命令】sftpserver[port-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、1-44".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
1-45当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SFTP客户端采用安全级别为128-bit的SuiteB算法集,与登录地址为10.
1.
1.
2的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
sftp10.
1.
1.
2suite-b128-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1.
2.
29sshclientipv6sourcesshclientipv6source命令用来配置Stelnet客户端发送SSH报文使用的源IPv6地址.
undosshclientipv6source命令用来恢复缺省情况.
【命令】sshclientipv6source{interfaceinterface-typeinterface-number|ipv6ipv6-address}undosshclientipv6source【缺省情况】Stelnet客户端使用设备路由指定的接口地址访问Stelnet服务器.
【视图】系统视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】多次执行本命令,最新配置生效.
使用该命令指定了源地址后,若SSH用户使用ssh2ipv6命令登录时又指定了源地址,则采用ssh2ipv6命令中指定的源地址.
sshclientipv6source命令指定的源地址对所有的IPv6Stelnet连接有效,ssh2ipv6命令指定的源地址只对当前的Stelnet连接有效.
【举例】#指定Stelnet客户端发送SSH报文使用的源IPv6地址为2:2::2:2.
system-view[Sysname]sshclientipv6sourceipv62:2::2:2【相关命令】displaysshclientsource1-461.
2.
30sshclientsourcesshclientsource命令用来配置Stelnet客户端发送SSH报文使用的源IPv4地址.
undosshclientsource命令用来恢复缺省情况.
【命令】sshclientsource{interfaceinterface-typeinterface-number|ipip-address}undosshclientsource【缺省情况】Stelnet客户端使用设备路由指定的接口地址访问Stelnet服务器.
【视图】系统视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:指定接口的主IP地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipip-address:指定源IPv4地址.
【使用指导】多次执行本命令,最新配置生效.
使用该命令指定了源地址后,若SSH用户使用ssh2命令登录时又指定了源地址,则采用ssh2命令中指定的源地址.
sshclientsource命令指定的源地址对所有的Stelnet连接有效,ssh2命令指定的源地址只对当前的Stelnet连接有效.
【举例】#指定Stelnet客户端发送SSH报文使用的源IPv4地址为192.
168.
0.
1.
system-view[Sysname]sshclientsourceip192.
168.
0.
1【相关命令】displaysshclientsource1.
2.
31ssh2ssh2命令用来建立Stelnet客户端和IPv4Stelnet服务器端的连接.
【命令】非FIPS模式下:ssh2server[port-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|1-47prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*FIPS模式下:ssh2server[port-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
1-483des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定一个退出字符,该退出字符与字符".
"配合使用可以强制断开客户端与服务器的连接.
缺省情况下,输入"~.
"可以强制断开与服务端的连接.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
1-49source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,报文源IP地址为根据路由查找的发送报文的出接口的主IP地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将采用该接口的主IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端登录到服务器端后,可以通过输入退出字符加字符".
"的方式快速断开当前连接(这种方式通常用于在服务器重启或发生异常的情况下,快速中断当前连接).
退出字符默认为"~",可以通过escape参数修改.
需要注意的是:必须在一行中首先输入退出字符加字符".
",该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免将登录用户名中的字符指定为退出字符.
【举例】#Stelnet客户端采用publickey认证方式,登录地址为3.
3.
3.
3的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;输入"$.
"时强制断开客户端和服务端的连接.
ssh23.
3.
3.
3prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkeyescape$1.
2.
32ssh2ipv6ssh2ipv6命令用来建立Stelnet客户端和IPv6Stelnet服务器端的连接.
【命令】非FIPS模式下:ssh2ipv6server[port-number][-iinterface-typeinterface-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|1-50prefer-ctos-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*FIPS模式下:ssh2ipv6server[port-number][-iinterface-typeinterface-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
identity-key:客户端采用的公钥算法.
非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
该参数仅当服务器端采用publickey认证时才需要指定.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
1-51zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes256-cbc:256位的AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5-96、md5、sha1-96、sha1、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法.
缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
dscpdscp-value:指定客户端发送的IPv6SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定一个退出字符,该退出字符与字符".
"配合使用可以强制断开客户端与服务器的连接.
缺省情况下,输入"~.
"可以强制断开与服务端的连接.
publickeykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
1-52server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IP地址.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
当服务器端采用publickey认证方式认证客户端时,客户端需要读取本地的私钥进行数字签名.
由于publickey认证可以采用DSA(仅非FIPS模式下支持)、RSA或ECDSA公钥算法,所以需要用identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
当客户端登录到服务器端后,可以通过输入退出字符加字符".
"的方式快速断开当前连接(这种方式通常用于在服务器重启或发生异常的情况下,快速中断当前连接).
退出字符默认为"~",可以通过escape参数修改.
需要注意的是:必须在一行中首先输入退出字符加字符".
",该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免将登录用户名中的字符指定为退出字符.
【举例】#SSH客户端采用publickey认证方式,登录地址为2000::1的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;输入"$.
"时强制断开客户端和服务端的连接.
ssh2ipv62000::1prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkeyescape$1.
2.
33ssh2ipv6suite-bssh2ipv6suite-b命令用来与远程的IPv6Stelnet服务器建立基于SuiteB算法集的连接.
1-53【命令】ssh2ipv6server[port-number][-iinterface-typeinterface-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|escapecharacter|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的IPv6SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Trafficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定退出字符,该退出字符与字符.
配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接).
character为一个字符,区分大小写,缺省为~,即输入~.
可以强制断开与服务端的连接.
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IPv6地址.
1-54Ipv6ipv6-address:指定源IPv6地址.
关于退出字符的使用,需要注意的是:必须在一行中首先输入退出字符和.
,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免退出字符和.
的组合与登录用户名相同.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
【举例】#SSH客户端采用安全级别为192-bit的SuiteB算法集,与登录地址为2000::1的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
ssh2ipv62000::1suite-b192-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1-551.
2.
34ssh2suite-bssh2suite-b命令用来与远程的IPv4Stelnet服务器建立基于SuiteB算法集的连接.
【命令】ssh2server[port-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|escapecharacter|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定退出字符,该退出字符与字符.
配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接).
character为一个字符,区分大小写,缺省为~,即输入~.
可以强制断开与服务端的连接.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
1-56【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为AEAD_AES_128_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
关于退出字符的使用,需要注意的是:必须在一行中首先输入退出字符和.
,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免退出字符和.
的组合与登录用户名相同.
【举例】#Stelnet客户端采用128-bit的SuiteB算法集,与登录地址为3.
3.
3.
3的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
ssh23.
3.
3.
3suite-b128-bitpki-domainclientpkidomainserver-pki-domainserverpkidomain1-571.
3SSH2协议配置命令1.
3.
1displayssh2algorithmdisplayssh2algorithm命令用来显示设备上配置的SSH2协议使用的算法优先列表.
【命令】displayssh2algorithm【视图】任意视图【缺省用户角色】network-adminnetwork-operator【举例】#显示设备上配置的SSH2协议使用的算法优先列表.
displayssh2algorithmKeyexchangealgorithms:dh-group-exchange-sha1dh-group14-sha1dh-group1-sha1Publickeyalgorithms:dsarsaecdsaEncryptionalgorithms:aes128-cbc3des-cbcdes-cbcaes256-cbcMACalgorithms:sha1md5md5-96sha1-96表1-4displayssh2algorithm命令显示信息描述表字段描述Keyexchangealgorithms按优先级前后顺序显示当前使用的密钥交换算法列表Publickeyalgorithms按优先级前后顺序显示当前使用的主机算法列表Encryptionalgorithms按优先级前后顺序显示当前使用的加密算法列表MACalgorithms按优先级前后顺序显示当前使用的MAC算法列表【相关命令】ssh2algorithmkey-exchangessh2algorithmpublic-keyssh2algorithmcipherssh2algorithmmac1.
3.
2ssh2algorithmcipherssh2algorithmcipher命令用来配置SSH2协议使用的加密算法列表.
undossh2algorithmcipher命令用来恢复缺省情况.
【命令】非FIPS模式下:1-58ssh2algorithmcipher{3des-cbc|aes128-cbc|aes256-cbc|des-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}*undossh2algorithmcipherFIPS模式下:ssh2algorithmcipher{aes128-cbc|aes256-cbc|aes128-ctr|aes192-ctr|aes256-ctr|aes128-gcm|aes256-gcm}*undossh2algorithmcipher【缺省情况】SSH2协议采用的缺省加密算法从高到底的优先级列表为aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、3des-cbc、aes256-cbc和des-cbc.
【视图】系统视图【缺省用户角色】network-admin【参数】3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位AES-CBC加密算法.
aes256-cbc:256位AES-CBC加密算法.
des-cbc:DES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
aes128-gcm:128位AES-GCM加密算法.
【使用指导】当设备运行环境要求SSH2只能采用特定加密算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的加密算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的加密算法为3des-cbc.
system-view[Sysname]ssh2algorithmcipher3des-cbc【相关命令】displayssh2algorithmssh2algorithmkey-exchangessh2algorithmmacssh2algorithmpublic-key1-591.
3.
3ssh2algorithmkey-exchangessh2algorithmkey-exchange命令用来配置SSH2协议使用的密钥交换算法列表.
undossh2algorithmkey-exchange命令用来恢复缺省情况.
【命令】非FIPS模式下:ssh2algorithmkey-exchange{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}*undossh2algorithmkey-exchangeFIPS模式下:ssh2algorithmkey-exchange{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}*undossh2algorithmkey-exchange【缺省情况】SSH2协议采用的缺省密钥交换算法从高到底的优先级列表为ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group-exchange-sha1、dh-group14-sha1、dh-group1-sha1.
【视图】系统视图【缺省用户角色】network-admin【参数】dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
【使用指导】当设备运行环境要求SSH2只能采用特定密钥交换算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的密钥交换算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的密钥交换算法为dh-group1-sha1.
system-view[Sysname]ssh2algorithmkey-exchangedh-group1-sha1【相关命令】displayssh2algorithmssh2algorithmcipherssh2algorithmmac1-60ssh2algorithmpublic-key1.
3.
4ssh2algorithmmacssh2algorithmmac命令用来配置SSH2协议使用的MAC算法列表.
undossh2algorithmmac命令用来恢复缺省情况.
【命令】非FIPS模式下:ssh2algorithmmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}*undossh2algorithmmacFIPS模式下:ssh2algorithmmac{sha1|sha1-96|sha2-256|sha2-512}*undossh2algorithmmac【缺省情况】SSH2协议使用的缺省MAC算法从高到底的优先级列表为sha2-256、sha2-512、sha1、md5、sha1-96和md5-96.
【视图】系统视图【缺省用户角色】network-admin【参数】md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
【使用指导】当设备运行环境要求SSH2只能采用特定MAC算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的MAC算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的MAC算法为md5.
system-view[Sysname]ssh2algorithmmacmd5【相关命令】displayssh2algorithmssh2algorithmcipher1-61ssh2algorithmkey-exchangessh2algorithmpublic-key1.
3.
5ssh2algorithmpublic-keyssh2algorithmpublic-key命令用来配置SSH2协议使用的主机签名算法列表.
undossh2algorithmpublic-key命令用来恢复缺省情况.
【命令】非FIPS模式下:ssh2algorithmpublic-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}*undossh2algorithmpublic-keyFIPS模式下:ssh2algorithmpublic-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|x509v3-ecdsa-sha2-nistp384|x509v3-ecdsa-sha2-nistp256}*undossh2algorithmpublic-key【缺省情况】SSH2协议使用的缺省主机签名算法从高到底的优先级列表为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、rsa和dsa.
【视图】系统视图【缺省用户角色】network-admin【参数】dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256证书算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384证书算法.
【使用指导】当设备运行环境要求SSH2只能采用特定主机签名算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的主机签名算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的主机签名算法为dsa.
system-view[Sysname]ssh2algorithmpublic-keydsa1-62【相关命令】displayssh2algorithmssh2algorithmcipherssh2algorithmkey-exchangessh2algorithmmac
SugarHosts糖果主机圣诞节促销 美国/香港虚拟主机低至6折
SugarHosts 糖果主机商我们算是比较熟悉的,早年学会建站的时候开始就用的糖果虚拟主机,目前他们家还算是为数不多提供虚拟主机的商家,有提供香港、美国、德国等虚拟主机机房。香港机房CN2速度比较快,美国机房有提供优化线路和普通线路适合外贸业务。德国欧洲机房适合欧洲业务的虚拟主机。糖果主机商一般是不会发布黑五活动的,他们在圣圣诞节促销活动是有的,我们看到糖果主机商发布的圣诞节促销虚拟主机低至6折...
随风云25元/月 ,德阳高防云服务器 2核2G 10M 75元/月 内蒙古三线BGP服务器 2核2G 5M
公司介绍成都随风云科技有限公司成立于2021年,是国内领先的互联网业务平台服务提供商。公司专注为用户提供低价高性能云计算产品,致力于云计算应用的易用性开发,并引导云计算在国内普及。目前公司研发以及运营云服务基础设施服务平台(IaaS),面向全球客户提供基于云计算的IT解决方案与客户服务,拥有丰富的国内BGP、双线高防、香港等优质的IDC资源。公司一直秉承”以人为本、客户为尊、永续创新&...
HostDare($33.79/年)CKVM和QKVM套餐 可选CN2 GIA线路
关于HostDare服务商在之前的文章中有介绍过几次,算是比较老牌的服务商,但是商家背景财力不是特别雄厚,算是比较小众的个人服务商。目前主流提供CKVM和QKVM套餐。前者是电信CN2 GIA,不过库存储备也不是很足,这不九月份发布新的补货库存活动,有提供九折优惠CN2 GIA,以及六五折优惠QKVM普通线路方案。这次活动截止到9月30日,不清楚商家这次库存补货多少。比如 QKVM基础的五个方案都...
ssh服务为你推荐
-
johncusack约翰·库萨克好看的的恐怖片全集微信回应封杀钉钉微信永久封号了!求大神们指点下怎么解封啊!www.kkk.com谁有免费的电影网站,越多越好?www.kkk.comwww.kkk103.com网站产品质量有保证吗www.522av.com现在怎样在手机上看AVwww.e12.com.cn有什么好的高中学习网?www.765.com下载小说地址javmoo.com找下载JAV软件格式的网站5xoy.com求个如月群真汉化版下载地址抓站工具一起来捉妖神行抓妖辅助工具都有哪些?