算法ssh服务
ssh服务 时间:2021-04-01 阅读:()
i目录1SSH·1-11.
1SSH服务器端配置命令1-11.
1.
1displaysshserver·1-11.
1.
2displaysshuser-information·1-21.
1.
3sftpserverenable1-41.
1.
4sftpserveridle-timeout·1-41.
1.
5sshserverauthentication-retries1-51.
1.
6sshserverauthentication-timeout·1-61.
1.
7sshservercompatible-ssh1xenable1-61.
1.
8sshserverenable1-71.
1.
9sshserverrekey-interval1-71.
1.
10sshuser·1-81.
2SSH客户端配置命令1-101.
2.
1bye·1-101.
2.
2cd·1-111.
2.
3cdup1-111.
2.
4delete·1-121.
2.
5dir1-131.
2.
6displaysftpclientsource1-131.
2.
7displaysshclientsource1-141.
2.
8displaysshserver-info1-151.
2.
9exit1-151.
2.
10get·1-161.
2.
11help1-171.
2.
12ls·1-171.
2.
13mkdir·1-181.
2.
14put·1-181.
2.
15pwd·1-191.
2.
16quit1-191.
2.
17remove1-201.
2.
18rename1-201.
2.
19rmdir1-211.
2.
20scp1-21ii1.
2.
21sftp1-241.
2.
22sftpclientipv6source1-261.
2.
23sftpclientsource·1-271.
2.
24sftpipv61-271.
2.
25sshclientauthenticationserver1-301.
2.
26sshclientfirst-timeenable·1-301.
2.
27sshclientipv6source·1-311.
2.
28sshclientsource·1-321.
2.
29ssh2·1-321.
2.
30ssh2ipv61-351-11SSH1.
1SSH服务器端配置命令1.
1.
1displaysshserver【命令】displaysshserver{session|status}[|{begin|exclude|include}regular-expression]【视图】任意视图【缺省级别】1:监控级【参数】session:显示SSH服务器的会话信息.
status:显示SSH服务器的状态信息.
|:使用正则表达式对显示信息进行过滤.
有关正则表达式的详细介绍,请参见"基础配置指导"中的"CLI".
begin:从包含指定正则表达式的行开始显示.
exclude:只显示不包含指定正则表达式的行.
include:只显示包含指定正则表达式的行.
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写.
【描述】displaysshserver命令用来在SSH服务器端显示该服务器的状态信息或会话信息.
相关配置可参考命令sshserverauthentication-retries、sshserverrekey-interval、sshserverauthentication-timeout、sshserverenable和sshservercompatible-ssh1xenable.
【举例】#在SSH服务器端显示该服务器的状态信息.
displaysshserverstatusSSHserver:DisableSSHversion:1.
99SSHauthentication-timeout:60second(s)SSHserverkeygeneratinginterval:0hour(s)SSHauthenticationretries:3time(s)SFTPserver:DisableSFTPserverIdle-Timeout:10minute(s)1-2表1-1displaysshserverstatus命令显示信息描述表字段描述SSHserverSSH服务器功能的状态SSHversionSSH协议版本SSH服务器兼容SSH1时,协议版本为1.
99;SSH服务器不兼容SSH1时,协议版本为2.
0SSHauthentication-timeout认证超时时间SSHserverkeygeneratinginterval服务器密钥对更新时间SSHauthenticationretries认证尝试的最大次数SFTPserverSFTP服务器功能的状态SFTPserverIdle-TimeoutSFTP用户连接的空闲超时时间#在SSH服务器端显示该服务器的会话信息.
displaysshserversessionConnVerEncryStateRetrySerTypeUsernameVTY02.
0DESEstablished0SFTPclient001表1-2displaysshserversession显示信息描述表字段描述Conn用户登录使用的VTY界面的编号VerSSH服务器的协议版本EncrySSH使用的加密算法State会话状态,包括:Init:初始化状态Ver-exchange:版本协商Keys-exchange:密钥交换Auth-request:用户认证Serv-request:服务请求Established:连接已经建立Disconnected:断开连接Retry认证失败的次数SerType服务类型,包括SCP、SFTP和Stelnet三种类型Username客户端登录服务器时采用的用户名1.
1.
2displaysshuser-information【命令】displaysshuser-information[username][|{begin|exclude|include}regular-expression]1-3【视图】任意视图【缺省级别】1:监控级【参数】username:显示指定SSH用户的信息.
username表示SSH用户名,为1~80个字符的字符串.
|:使用正则表达式对显示信息进行过滤.
有关正则表达式的详细介绍,请参见"基础配置指导"中的"CLI".
begin:从包含指定正则表达式的行开始显示.
exclude:只显示不包含指定正则表达式的行.
include:只显示包含指定正则表达式的行.
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写.
【描述】displaysshuser-information命令用来在SSH服务器端显示SSH用户的信息.
需要注意的是:本命令仅用来显示SSH服务器端通过sshuser命令配置的SSH用户信息.
如果没有指定参数username,则显示所有SSH用户的信息.
相关配置可参考命令sshuser.
【举例】#显示所有SSH用户的信息.
displaysshuser-informationTotalsshusers:2UsernameAuthentication-typeUser-public-key-nameService-typeyemxpasswordnullstelnettestpublickeypubkeysftp表1-3displaysshuser-information显示信息描述表字段描述TotalsshusersSSH用户的总数Username用户名Authentication-type认证类型,如果认证类型为password,则用户公钥名称显示为nullUser-public-key-name用户公钥名称或认证客户端证书的PKI域名Service-type服务类型,包括stelnet、sftp、scp以及all,其中all表示支持所有认证类型1-41.
1.
3sftpserverenable【命令】sftpserverenableundosftpserverenable【视图】系统视图【缺省级别】3:管理级【参数】无【描述】sftpserverenable命令用来启动SFTP服务器.
undosftpserverenable命令用来关闭SFTP服务器.
缺省情况下,SFTP服务器处于关闭状态.
可以使用displaysshserver命令来查看SFTP服务器端的相关状态信息或会话信息.
相关配置可参考命令displaysshserver.
【举例】#启动SFTP服务器.
system-view[Sysname]sftpserverenable1.
1.
4sftpserveridle-timeout【命令】sftpserveridle-timeouttime-out-valueundosftpserveridle-timeout【视图】系统视图【缺省级别】3:管理级【参数】time-out-value:超时时间,取值范围为1~35791,单位为分钟.
【描述】sftpserveridle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间.
undosftpserveridle-timeout命令用来恢复缺省情况.
缺省情况下,SFTP用户连接的空闲超时时间为10分钟.
1-5当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作.
若同一时间内并发的SFTP连接数较多,可适当减小该值,及时释放系统资源给新用户接入.
相关配置可参考命令displaysshserver.
【举例】#设置SFTP用户连接的空闲超时时间为500分钟.
system-view[Sysname]sftpserveridle-timeout5001.
1.
5sshserverauthentication-retries【命令】sshserverauthentication-retriestimesundosshserverauthentication-retries【视图】系统视图【缺省级别】3:管理级【参数】times:指定认证尝试的最大次数,取值范围为1~5.
【描述】sshserverauthentication-retries命令用来设置SSH连接认证尝试的最大次数.
undosshserverauthentication-retries命令用来恢复缺省情况.
缺省情况下,SSH连接认证尝试的最大次数为3次.
通过本命令可以限制用户登录的重试次数,防止非法用户对用户名和密码进行恶意地猜测和破解.
需要注意的是:本配置对新登录的用户生效.
SSH客户端通过publickey和password两种方式进行认证尝试的次数总和,不能超过sshserverauthentication-retries命令配置的SSH连接认证尝试的最大次数.
对于password-publickey认证方式,设备首先对SSH用户进行publickey认证,然后进行password认证,这个过程称为一次认证尝试,而不是两次认证尝试.
相关配置可参考命令displaysshserver.
【举例】#指定登录认证尝试的最大次数为4次.
system-view[Sysname]sshserverauthentication-retries41-61.
1.
6sshserverauthentication-timeout【命令】sshserverauthentication-timeouttime-out-valueundosshserverauthentication-timeout【视图】系统视图【缺省级别】3:管理级【参数】time-out-value:认证超时时间,取值范围为1~120,单位为秒.
【描述】sshserverauthentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间,如果用户在规定的时间内没有完成认证就拒绝该连接.
undosshserverauthentication-timeout命令用来恢复缺省情况.
缺省情况下,SSH用户的认证超时时间为60秒.
为了防止不法用户建立起TCP连接后,不进行接下来的认证,而是空占着进程,妨碍其它合法用户的正常登录,可以适当调小SSH用户认证超时时间.
相关配置可参考命令displaysshserver.
【举例】#设置SSH用户认证超时时间为10秒.
system-view[Sysname]sshserverauthentication-timeout101.
1.
7sshservercompatible-ssh1xenable【命令】sshservercompatible-ssh1xenableundosshservercompatible-ssh1x【视图】系统视图【缺省级别】3:管理级【参数】无【描述】sshservercompatible-ssh1xenable命令用来设置SSH服务器兼容SSH1版本的客户端.
undosshservercompatible-ssh1x命令用来设置SSH服务器不兼容SSH1版本的客户端.
1-7缺省情况下,SSH服务器兼容SSH1版本的客户端.
该配置对新登录的用户生效.
相关配置可参考命令displaysshserver.
【举例】#配置服务器兼容SSH1版本的客户端.
system-view[Sysname]sshservercompatible-ssh1xenable1.
1.
8sshserverenable【命令】sshserverenableundosshserverenable【视图】系统视图【缺省级别】3:管理级【参数】无【描述】sshserverenable命令用来使能SSH服务器功能,使客户端能用SSH协议与服务器进行通信.
undosshserverenable命令用来关闭SSH服务器功能.
缺省情况下,SSH服务器功能处于关闭状态.
相关配置可参考命令displaysshserver.
【举例】#使能SSH服务器功能.
system-view[Sysname]sshserverenable1.
1.
9sshserverrekey-interval【命令】sshserverrekey-intervalhoursundosshserverrekey-interval【视图】系统视图【缺省级别】3:管理级1-8【参数】hours:服务器密钥的更新周期,取值范围为1~24,单位为小时.
【描述】sshserverrekey-interval命令用来设置RSA服务器密钥的更新时间.
undosshserverrekey-interval命令用来恢复缺省情况.
缺省情况下,RSA服务器密钥的更新时间为0,表示系统不更新RSA服务器密钥.
SSH的核心是密钥的协商和传输,因此密钥的管理是非常重要的.
通过定时更新服务器密钥,可以防止对密钥的恶意猜测和破解,从而提高了SSH连接的安全性.
相关配置可参考命令displaysshserver.
此命令仅对SSH客户端版本为SSH1的用户有效.
系统不会定期更新DSA密钥对.
【举例】#设置每3小时更新一次RSA服务器密钥.
system-view[Sysname]sshserverrekey-interval31.
1.
10sshuser【命令】在非FIPS模式下:sshuserusernameservice-typestelnetauthentication-type{password|{any|password-publickey|publickey}assign{pki-domainpkiname|publickeykeyname}}sshuserusernameservice-type{all|scp|sftp}authentication-type{password|{any|password-publickey|publickey}assign{pki-domainpkiname|publickeykeyname}work-directorydirectory-name}undosshuserusername在FIPS模式下:sshuserusernameservice-typestelnetauthentication-type{password|password-publickeyassignpublickeykeyname}sshuserusernameservice-type{all|sftp}authentication-type{password|password-publickeyassignpublickeykeynamework-directorydirectory-name}undosshuserusername【视图】系统视图【缺省级别】3:管理级1-9【参数】username:SSH用户名,为1~80个字符的字符串,区分大小写.
service-type:SSH用户的服务类型.
包括:all:包括scp、sftp和stelnet三种服务类型.
scp:服务类型为SCP(SecureCopy的简称).
sftp:服务类型为安全的文件传输.
stelnet:服务类型为Stelnet(SecureTelnet的简称).
authentication-type:SSH用户的认证方式,在FIPS模式下,设备不支持any和publickey认证方式.
包括:password:强制用户使用密码认证.
该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication,Authorization,Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击.
any:不指定用户的认证方式,用户既可以采用password认证,也可以采用publickey认证.
password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可.
publickey:强制用户使用公钥认证.
该认证方式的加密速度相对较慢,但认证强度高,不易受到"暴力猜测"等攻击方式的影响,而且具有较高的易用性.
一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码.
assign:指定用于验证客户端的参数.
pki-domainpkiname:指定验证客户端证书的PKI域.
pkiname表示PKI域的名称,为1~15个字符的字符串,不区分大小写.
服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查,无需提前保存客户端的公钥,能够灵活满足大数量客户端的认证需求.
publickeykeyname:指定SSH用户的公钥.
keyname表示已经配置的客户端公钥名称,为1~64个字符的字符串,区分大小写.
服务器端使用提前保存在本地的用户公钥对用户进行合法性检查,如果客户端密钥文件改变,服务器端需要及时更新本地配置.
work-directorydirectory-name:为SFTP用户设置工作目录.
directory-name表示SFTP用户的工作目录,为1~135个字符的字符串.
【描述】sshuser命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式.
undosshuser命令用来删除SSH用户.
需要注意的是:如果服务器采用publickey方式认证客户端,则必须通过本配置在设备上创建相应的SSH用户;如果服务器采用password方式认证客户端,则必须将SSH用户的账号信息配置在设备(适用于本地认证)或者远程认证服务器(如RADIUS服务器,适用于远程认证)上,而并不要求通过本配置创建相应的SSH用户.
使用该命令指定公钥或PKI域时,则以最后一次指定的参数为准.
对于已经登录的SSH用户的参数修改,仅在该用户重新登录后生效.
如果为SCP或SFTP用户指定了公钥或PKI域,则必须同时为该用户设置工作目录.
1-10SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关.
采用publickey或password-publickey认证方式的用户,使用的工作目录为通过sshuser命令为该用户设置的工作目录;只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录.
相关配置可参考命令displaysshuser-information和"安全命令参考/PKI"中的pkidomain.
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:型号命令描述MSR800FIPS模式不支持MSR900不支持MSR900-E不支持MSR930不支持MSR20-1X不支持MSR20支持MSR30支持,仅MSR3016不支持MSR50支持MSR2600支持MSR3600-51F支持【举例】#创建SSH用户user1,配置user1的服务类型为SFTP,认证方式为publickey,并指定客户端公钥为key1,SFTP服务器工作目录为flash:.
system-view[Sysname]sshuseruser1service-typesftpauthentication-typepublickeyassignpublickeykey1work-directoryflash:1.
2SSH客户端配置命令1.
2.
1bye【命令】bye【视图】SFTP客户端视图【缺省级别】3:管理级【参数】无1-11【描述】bye命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
该命令功能与exit,quit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp-client>byeByeConnectionclosed.
1.
2.
2cd【命令】cd[remote-path]【视图】SFTP客户端视图【缺省级别】3:管理级【参数】remote-path:服务器上的路径名.
【描述】cd命令用来改变远程SFTP服务器上的工作路径.
如果没有指定remote-path,则显示当前工作路径.
命令"cd.
.
"用来返回到上一级目录.
命令"cd/"用来返回到系统的根目录.
【举例】#改变工作路径到new1.
sftp-client>cdnew1CurrentDirectoryis:/new11.
2.
3cdup【命令】cdup1-12【视图】SFTP客户端视图【缺省级别】3:管理级【参数】无【描述】cdup命令用来返回到上一级目录.
【举例】#从当前工作目录/new1返回到上一级目录.
sftp-client>cdupCurrentDirectoryis:/1.
2.
4delete【命令】deleteremote-file&【视图】SFTP客户端视图【缺省级别】3:管理级【参数】remote-file&:服务器上的文件名.
&表示最多可以输入10个文件名,每个文件名之间用空格分隔.
【描述】delete命令用来删除SFTP服务器上指定的文件.
该命令和remove功能相同.
【举例】#删除服务器上的文件temp.
c.
sftp-client>deletetemp.
cThefollowingfileswillbedeleted:/temp.
cAreyousuretodeleteit[Y/N]:yThisoperationmaytakealongtime.
Pleasewait.
.
.
FilesuccessfullyRemoved1-131.
2.
5dir【命令】dir[-a|-l][remote-path]【视图】SFTP客户端视图【缺省级别】3:管理级【参数】-a:显示指定目录下文件及文件夹的名称.
-l:以列表的形式显示指定目录下文件及文件夹的详细信息.
remote-path:查询的目录名.
【描述】dir命令用来显示指定目录下文件及文件夹的信息.
如果没有指定-a和-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息.
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息.
该命令功能与ls相同.
【举例】#以列表的形式显示当前工作目录下文件及文件夹的详细信息.
sftp-client>dir-rwxrwxrwx1noonenogroup1759Aug2306:52config.
cfg-rwxrwxrwx1noonenogroup225Aug2408:01pubkey2-rwxrwxrwx1noonenogroup283Aug2407:39pubkey1-rwxrwxrwx1noonenogroup225Sep2808:28pub1drwxrwxrwx1noonenogroup0Sep2808:24new1drwxrwxrwx1noonenogroup0Sep2808:18new2-rwxrwxrwx1noonenogroup225Sep2808:30pub21.
2.
6displaysftpclientsource【命令】displaysftpclientsource[|{begin|exclude|include}regular-expression]【视图】任意视图【缺省级别】1:监控级【参数】|:使用正则表达式对显示信息进行过滤.
有关正则表达式的详细介绍,请参见"基础配置指导"中的"CLI".
1-14begin:从包含指定正则表达式的行开始显示.
exclude:只显示不包含指定正则表达式的行.
include:只显示包含指定正则表达式的行.
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写.
【描述】displaysftpclientsource命令用来显示当前为SFTP客户端设置的源IP地址或者源接口.
如果没有为SFTP客户端指定源地址和源接口,则提示尚未指定.
相关配置可参考命令sftpclientsource.
【举例】#显示SFTP客户端的源IP地址.
displaysftpclientsourceThesourceIPaddressyouspecifiedis192.
168.
0.
11.
2.
7displaysshclientsource【命令】displaysshclientsource[|{begin|exclude|include}regular-expression]【视图】任意视图【缺省级别】1:监控级【参数】|:使用正则表达式对显示信息进行过滤.
有关正则表达式的详细介绍,请参见"基础配置指导"中的"CLI".
begin:从包含指定正则表达式的行开始显示.
exclude:只显示不包含指定正则表达式的行.
include:只显示包含指定正则表达式的行.
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写.
【描述】displaysshclientsource命令用来显示当前为Stelnet客户端设置的源IP地址或者源接口.
如果没有为Stelnet客户端指定源地址和源接口,则提示尚未指定.
相关配置可参考命令sshclientsource.
【举例】#显示Stelnet客户端的源IP地址或者源接口.
displaysshclientsourceThesourceIPaddressyouspecifiedis192.
168.
0.
11-151.
2.
8displaysshserver-info【命令】displaysshserver-info[|{begin|exclude|include}regular-expression]【视图】任意视图【缺省级别】1:监控级【参数】|:使用正则表达式对显示信息进行过滤.
有关正则表达式的详细介绍,请参见"基础配置指导"中的"CLI".
begin:从包含指定正则表达式的行开始显示.
exclude:只显示不包含指定正则表达式的行.
include:只显示包含指定正则表达式的行.
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写.
【描述】displaysshserver-info命令用来在SSH客户端显示客户端保存的服务器端的主机公钥和服务器的对应关系.
SSH客户端需要认证服务器时,以本地保存的服务器端的主机公钥对连接的服务器进行认证.
如果认证不成功,可以通过displaysshserver-info命令查看服务器是否与正确的公钥对应.
相关配置可参考命令sshclientauthenticationserver.
【举例】#显示客户端保存的服务器端的主机公钥和服务器的对应关系.
displaysshserver-infoServerName(IP)Serverpublickeyname192.
168.
0.
1abc_key01192.
168.
0.
2abc_key02表1-4displaysshserver-info显示信息描述表字段描述ServerName(IP)服务器名称或者IP地址Serverpublickeyname服务器端的主机公钥名称1.
2.
9exit【命令】exit1-16【视图】SFTP客户端视图【缺省级别】3:管理级【参数】无【描述】exit命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
该命令功能与bye,quit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp-client>exitByeConnectionclosed.
1.
2.
10get【命令】getremote-file[local-file]【视图】SFTP客户端视图【缺省级别】3:管理级【参数】remote-file:远程SFTP服务器上的文件名.
local-file:本地文件名.
【描述】get命令用来从远程服务器上下载文件并存储在本地.
如果没有指定本地文件名,则认为本地文件与远程SFTP服务器上的文件同名.
【举例】#下载远程服务器上的temp1.
c文件,并以文件名temp.
c在本地保存.
sftp-client>gettemp1.
ctemp.
cRemotefile:/temp1.
c--->Localfile:temp.
cDownloadingfilesuccessfullyended1-171.
2.
11help【命令】help[all|command-name]【视图】SFTP客户端视图【缺省级别】3:管理级【参数】all:显示所有命令的名字.
command-name:命令名.
【描述】help命令用来显示SFTP客户端命令的帮助信息.
如果没有指定参数,系统将显示所有命令的名字.
【举例】#查看命令get的帮助信息.
sftp-client>helpgetgetremote-path[local-path]Downloadfile.
Defaultlocal-pathisthesameasremote-path1.
2.
12ls【命令】ls[-a|-l][remote-path]【视图】SFTP客户端视图【缺省级别】3:管理级【参数】-a:显示指定目录下文件及文件夹的名称.
-l:以列表的形式显示指定目录下文件及文件夹的详细信息.
remote-path:查询的目录名.
【描述】ls命令用来显示指定目录下文件及文件夹的信息.
如果没有指定-a和-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息.
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息.
该命令功能与dir相同.
1-18【举例】#以列表的形式显示当前工作目录下文件及文件夹的详细信息.
sftp-client>ls-rwxrwxrwx1noonenogroup1759Aug2306:52config.
cfg-rwxrwxrwx1noonenogroup225Aug2408:01pubkey2-rwxrwxrwx1noonenogroup283Aug2407:39pubkey1-rwxrwxrwx1noonenogroup225Sep2808:28pub1drwxrwxrwx1noonenogroup0Sep2808:24new1drwxrwxrwx1noonenogroup0Sep2808:18new2-rwxrwxrwx1noonenogroup225Sep2808:30pub21.
2.
13mkdir【命令】mkdirremote-path【视图】SFTP客户端视图【缺省级别】3:管理级【参数】remote-path:远程SFTP服务器上的目录名.
【描述】mkdir命令用来在远程SFTP服务器上创建新的目录.
【举例】#在远程SFTP服务器上建立目录test.
sftp-client>mkdirtestNewdirectorycreated1.
2.
14put【命令】putlocal-file[remote-file]【视图】SFTP客户端视图【缺省级别】3:管理级【参数】local-file:本地的文件名.
remote-file:远程SFTP服务器上的文件名.
1-19【描述】put命令用来将本地的文件上传到远程SFTP服务器.
如果没有指定远程服务器上的文件名,则认为服务器上的文件与本地文件同名.
【举例】#将本地temp.
c文件上传到远程SFTP服务器,并以temp1.
c文件名保存.
sftp-client>puttemp.
ctemp1.
cLocalfile:temp.
c--->Remotefile:/temp1.
cUploadingfilesuccessfullyended1.
2.
15pwd【命令】pwd【视图】SFTP客户端视图【缺省级别】3:管理级【参数】无【描述】pwd命令用来显示远程SFTP服务器上的当前工作目录.
【举例】#显示远程SFTP服务器上的当前工作目录.
sftp-client>pwd/1.
2.
16quit【命令】quit【视图】SFTP客户端视图【缺省级别】3:管理级【参数】无【描述】quit命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
1-20该命令功能与bye,exit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp-client>quitByeConnectionclosed.
1.
2.
17remove【命令】removeremote-file&【视图】SFTP客户端视图【缺省级别】3:管理级【参数】remote-file&:服务器上的文件名.
&表示最多可以输入10个文件名,每个文件名之间用空格分隔.
【描述】remove命令用来删除SFTP服务器上指定的文件.
该命令和delete功能相同.
【举例】#删除服务器上的文件temp.
c.
sftp-client>removetemp.
cThefollowingfileswillbedeleted:/temp.
cAreyousuretodeleteit[Y/N]:yThisoperationmaytakealongtime.
Pleasewait.
.
.
FilesuccessfullyRemoved1.
2.
18rename【命令】renameoldnamenewname【视图】SFTP客户端视图【缺省级别】3:管理级1-21【参数】oldname:原文件名或者目录名.
newname:新文件名或者目录名.
【描述】rename命令用来改变SFTP服务器上指定的文件或者目录的名字.
【举例】#将SFTP服务器上的文件temp1.
c改名为temp2.
c.
sftp-client>renametemp1.
ctemp2.
cFilesuccessfullyrenamed1.
2.
19rmdir【命令】rmdirremote-path&【视图】SFTP客户端视图【缺省级别】3:管理级【参数】remote-path&:远程SFTP服务器上的目录名.
&表示最多可以输入10个目录名,每个文件名之间用空格分隔.
【描述】rmdir命令用来删除SFTP服务器上指定的目录.
【举例】#删除SFTP服务器上当前工作目录下的temp1目录.
sftp-client>rmdirtemp1Directorysuccessfullyremoved1.
2.
20scp【命令】在非FIPS模式下:scp[ipv6]server[port-number]{get|put}source-file-path[destination-file-path][identity-key{dsa|rsa}|prefer-compress{zlib|zlib-openssh}|prefer-ctos-cipher{3des|aes128|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*在FIPS模式下:scp[ipv6]server[port-number]{get|put}source-file-path[destination-file-path][identity-keyrsa|prefer-compress{zlib|zlib-openssh}|prefer-ctos-cipher{aes128|1-22aes256}|prefer-ctos-hmac{sha1|sha1-96}|prefer-kexdh-group14|prefer-stoc-cipher{aes128|aes256}|prefer-stoc-hmac{sha1|sha1-96}]*【视图】用户视图【缺省级别】3:管理级【参数】ipv6:指定IPv6服务器.
若不指定该参数,则表示指定IPv4服务器.
server:服务器的IP地址或主机名称.
指定为IPv4服务器时,server为1~20个字符的字符串,不区分大小写;指定为IPv6服务器时,server为1~46个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为0~65535,缺省值为22.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-path:源文件路径.
destination-file-path:目的文件路径.
不指定该参数时,表示使用源文件路径作为目的文件名称.
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法.
dsa:公钥算法为DSA.
rsa:公钥算法为RSA.
prefer-compress:首选压缩算法,缺省为无压缩.
zlib:ZLIB压缩算法.
zlib-openssh:ZLIB@openssh.
com压缩算法.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128.
3des:3des-cbc加密算法,FIPS模式下不支持该参数.
aes128:aes128-cbc加密算法.
aes256:aes256-cbc加密算法,仅FIPS模式下支持该参数.
des:des-cbc加密算法,FIPS模式下不支持该参数.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
md5:HMAC算法hmac-md5,FIPS模式下不支持该参数.
md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数.
sha1:HMAC算法hmac-sha1.
sha1-96:HMAC算法hmac-sha1-96.
prefer-kex:密钥交换首选算法,缺省算法为dh-group-exchange.
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数.
dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数.
dh-group14:密钥交换算法diffie-hellman-group14-sha1.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128.
1-23prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96【描述】scp命令用来与远程SCP服务器建立连接,并进行文件传输.
需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名.
在非FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
在非FIPS模式下,缺省的算法如下:公钥缺省算法为dsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group-exchange.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
在FIPS模式下,缺省的算法如下:公钥缺省算法为rsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group14.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:型号特性描述MSR800FIPS配置命令不支持MSR900不支持MSR900-E不支持MSR930不支持MSR20-1X不支持MSR20支持MSR30支持,仅MSR3016不支持MSR50支持MSR2600支持MSR3600-51F支持【举例】#与IP地址为192.
168.
0.
1的远程SCP服务器建立连接,并下载远端的remote.
bin文件,下载到本地后更名为local.
bin.
1-24scp192.
168.
0.
1getremote.
binlocal.
bin1.
2.
21sftp【命令】在非FIPS模式下:sftpserver[port-number][vpn-instancevpn-instance-name][identity-key{dsa|rsa}|prefer-compress{zlib|zlib-openssh}|prefer-ctos-cipher{3des|aes128|aes256|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|aes256|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*在FIPS模式下:sftpserver[port-number][vpn-instancevpn-instance-name][identity-keyrsa|prefer-ctos-cipher{aes128|aes256}|prefer-ctos-hmac{sha1|sha1-96}|prefer-kexdh-group14|prefer-stoc-cipher{aes128|aes256}|prefer-stoc-hmac{sha1|sha1-96}]*【视图】用户视图【缺省级别】3:管理级【参数】server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为0~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果服务器位于公网中,则无需指定本参数.
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法.
dsa:公钥算法为DSA.
rsa:公钥算法为RSA.
prefer-compress:首选压缩算法,缺省为无压缩.
zlib:ZLIB压缩算法.
zlib-openssh:ZLIB@openssh.
com压缩算法.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128.
3des:3des-cbc加密算法,FIPS模式下不支持该参数.
aes128:aes128-cbc加密算法.
aes256:aes256-cbc加密算法,仅FIPS模式下支持该参数.
des:des-cbc加密算法,FIPS模式下不支持该参数.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
md5:HMAC算法hmac-md5,FIPS模式下不支持该参数.
1-25md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数.
sha1:HMAC算法hmac-sha1.
sha1-96:HMAC算法hmac-sha1-96.
prefer-kex:密钥交换首选算法,在非FIPS模式下,缺省算法为dh-group-exchange;在FIPS模式下缺省算法为dh-group14.
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数.
dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数.
dh-group14:密钥交换算法diffie-hellman-group14-sha1.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
【描述】sftp命令用来与远程IPv4SFTP服务器建立连接,并进入SFTP客户端视图.
需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名.
在非FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
在非FIPS模式下,缺省的算法如下:公钥缺省算法为dsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group-exchange.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
在FIPS模式下,缺省的算法如下:公钥缺省算法为rsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group14.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:型号命令描述MSR800FIPS模式不支持MSR900不支持MSR900-E不支持MSR930不支持MSR20-1X不支持1-26型号命令描述MSR20支持MSR30支持,仅MSR3016不支持MSR50支持MSR2600支持MSR3600-51F支持【举例】#连接IP地址为10.
1.
1.
2的SFTP服务器,采用如下连接策略:首选密钥交换算法为dh-group1;服务器到客户端的首选加密算法为aes128;客户端到服务器的首选HMAC算法为md5;服务器到客户端的HMAC算法为sha1-96.
sftp10.
1.
1.
2prefer-kexdh-group1prefer-stoc-cipheraes128prefer-ctos-hmacmd5prefer-stoc-hmacsha1-96InputUsername:1.
2.
22sftpclientipv6source【命令】sftpclientipv6source{interfaceinterface-typeinterface-number|ipv6ipv6-address}undosftpclientipv6source【视图】系统视图【缺省级别】3:管理级【参数】interfaceinterface-typeinterface-number:源接口类型与源接口编号.
ipv6ipv6-address:源IPv6地址.
【描述】sftpclientipv6source命令用来为SFTP客户端指定源IPv6地址或源接口.
undosftpclientipv6source命令用来取消指定的源IPv6地址或源接口.
缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器.
为保证SFTP客户端与SFTP服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口或Dialer接口作为源接口.
相关配置可参考命令displaysftpclientsource.
【举例】#指定SFTP客户端的源IPv6地址为2:2::2:2.
1-27system-view[Sysname]sftpclientipv6sourceipv62:2::2:21.
2.
23sftpclientsource【命令】sftpclientsource{interfaceinterface-typeinterface-number|ipip-address}undosftpclientsource【视图】系统视图【缺省级别】3:管理级【参数】interfaceinterface-typeinterface-number:源接口类型与源接口编号.
ipip-address:源IPv4地址.
【描述】sftpclientsource命令用来为SFTP客户端指定源IPv4地址或源接口.
undosftpclientsource命令用来取消指定的源IPv4地址或源接口.
缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器.
为保证SFTP客户端与SFTP服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口或Dialer接口作为源接口.
相关配置可参考命令displaysftpclientsource.
【举例】#指定SFTP客户端的源IP地址为192.
168.
0.
1.
system-view[Sysname]sftpclientsourceip192.
168.
0.
11.
2.
24sftpipv6【命令】在非FIPS模式下:sftpipv6server[port-number][vpn-instancevpn-instance-name][identity-key{dsa|rsa}|prefer-compress{zlib|zlib-openssh}|prefer-ctos-cipher{3des|aes128|aes256|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|aes256|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*在FIPS模式下:sftpipv6server[port-number][identity-keyrsa|prefer-ctos-cipher{aes128|aes256}|prefer-ctos-hmac{sha1|sha1-96}|prefer-kexdh-group14|prefer-stoc-cipher{aes128|aes256}|prefer-stoc-hmac{sha1|sha1-96}]*1-28【视图】用户视图【缺省级别】3:管理级【参数】server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写.
port-number:服务器的端口号,取值范围为0~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果服务器位于公网中,则无需指定本参数.
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法.
dsa:公钥算法为DSA.
rsa:公钥算法为RSA.
prefer-compress:首选压缩算法,缺省为无压缩.
zlib:ZLIB压缩算法.
zlib-openssh:ZLIB@openssh.
com压缩算法.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128.
3des:3des-cbc加密算法,FIPS模式下不支持该参数.
aes128:aes128-cbc加密算法.
aes256:aes256-cbc加密算法,仅FIPS模式下支持该参数.
des:des-cbc加密算法,FIPS模式下不支持该参数.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
md5:HMAC算法hmac-md5,FIPS模式下不支持该参数.
md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数.
sha1:HMAC算法hmac-sha1.
sha1-96:HMAC算法hmac-sha1-96.
prefer-kex:密钥交换首选算法,在非FIPS模式下,缺省算法为dh-group-exchange;在FIPS模式下缺省算法为dh-group14.
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数.
dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数.
dh-group14:密钥交换算法diffie-hellman-group14-sha1.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
【描述】sftpipv6命令用来与远程IPv6SFTP服务器建立连接,并进入SFTP客户端视图.
1-29需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名.
在非FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
在非FIPS模式下,缺省的算法如下:公钥缺省算法为dsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group-exchange.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
在FIPS模式下,缺省的算法如下:公钥缺省算法为rsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group14.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:型号命令描述MSR800FIPS模式不支持MSR900不支持MSR900-E不支持MSR930不支持MSR20-1X不支持MSR20支持MSR30支持,仅MSR3016不支持MSR50支持MSR2600支持MSR3600-51F支持【举例】#连接IPv6地址为2:5::8:9的SFTP服务器,采用如下连接策略:首选密钥交换算法为dh-group1;服务器到客户端的首选加密算法为aes128;客户端到服务器的首选HMAC算法为md5;服务器到客户端的HMAC算法为sha1-96.
1-30sftpipv62:5::8:9prefer-kexdh-group1prefer-stoc-cipheraes128prefer-ctos-hmacmd5prefer-stoc-hmacsha1-96InputUsername:1.
2.
25sshclientauthenticationserver【命令】sshclientauthenticationserverserverassignpublickeykeynameundosshclientauthenticationserverserverassignpublickey【视图】系统视图【缺省级别】2:系统级【参数】server:服务器的IP地址或名称,为1~80个字符的字符串.
assignpublickeykeyname:指定服务器端的主机公钥.
keyname表示主机公钥名称,为1~64个字符的字符串.
【描述】sshclientauthenticationserver命令用来在客户端上指定要连接的服务器端的主机公钥名称,以便客户端判断认证连接的服务器是否为可信赖的服务器.
undosshclientauthenticationserver命令用来取消在客户端上指定要连接的服务器端的主机公钥.
缺省情况下,客户端不指定要连接的服务器端的主机公钥名称,而是在客户端登录服务器的时候使用登录服务器时所用的IP地址或主机名作其对应的公钥名称.
如果客户端不支持首次认证,客户端将拒绝访问未经认证的服务器.
此时,需要在客户端配置服务器端的公钥,并指定该公钥与服务器端的对应关系,以便在客户端对连接的服务器端进行认证时,能够根据该对应关系使用正确的公钥对服务器端进行认证.
需要注意的是,指定的服务器端的主机公钥必须已经存在.
相关配置可参考命令sshclientfirst-timeenable.
【举例】#服务器的IP地址为192.
168.
0.
1,在客户端指定该服务器的公钥名称为key1.
system-view[Sysname]sshclientauthenticationserver192.
168.
0.
1assignpublickeykey11.
2.
26sshclientfirst-timeenable【命令】sshclientfirst-timeenableundosshclientfirst-time【视图】系统视图1-31【缺省级别】2:系统级【参数】无【描述】sshclientfirst-timeenable命令用来设置SSH客户端支持首次认证.
undosshclientfirst-time命令用来取消SSH客户端对首次认证的支持.
缺省情况下,SSH客户端支持首次认证.
所谓支持首次认证,是指当SSH客户端首次访问服务器,而客户端没有配置服务器端的公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器.
如果不支持首次认证,则当客户端没有配置服务器端的公钥时,客户端将被拒绝访问该服务器.
用户必须事先通过其它途径将要访问的服务器端的主机公钥配置在本地,同时指定要连接的服务器端的主机公钥名称,以便客户端认证连接的服务器是否为可信赖的服务器.
需要注意的是,由于服务器端可能会定期更新密钥对,为保证服务器认证成功,客户端需要及时获取最新的服务器主机公钥.
【举例】#设置SSH客户端对访问的SSH服务器支持首次认证.
system-view[Sysname]sshclientfirst-timeenable1.
2.
27sshclientipv6source【命令】sshclientipv6source{interfaceinterface-typeinterface-number|ipv6ipv6-address}undosshclientipv6source【视图】系统视图【缺省级别】3:管理级【参数】interfaceinterface-typeinterface-number:源接口类型与源接口编号.
ipv6ipv6-address:源IPv6地址.
【描述】sshclientipv6source命令用来为Stelnet客户端指定源IPv6地址或源接口.
undosshclientipv6source命令用来清除指定的源IPv6地址或源接口.
缺省情况下,客户端用设备路由指定的接口地址访问Stelnet服务器.
1-32为保证Stelnet客户端与Stelnet服务器通信链路的可达性,以及增加认证业务对Stelnet客户端的可管理性,通常建议指定Loopback接口或Dialer接口作为源接口.
相关配置可参考命令displaysshclientsource.
【举例】#指定Stelnet客户端的源IPv6地址为2:2::2:2.
system-view[Sysname]sshclientipv6sourceipv62:2::2:21.
2.
28sshclientsource【命令】sshclientsource{interfaceinterface-typeinterface-number|ipip-address}undosshclientsource【视图】系统视图【缺省级别】3:管理级【参数】interfaceinterface-typeinterface-number:源接口类型与源接口编号.
ipip-address:源IPv4地址.
【描述】sshclientsource命令用来为Stelnet客户端指定源IPv4地址或源接口.
undosshclientsource命令用来清除指定的源IPv4地址或源接口.
缺省情况下,客户端用设备路由指定的接口地址访问Stelnet服务器.
为保证Stelnet客户端与Stelnet服务器通信链路的可达性,以及增加认证业务对Stelnet客户端的可管理性,通常建议指定Loopback接口或Dialer接口作为源接口.
相关配置可参考命令displaysshclientsource.
【举例】#指定Stelnet客户端的源IPv4地址为192.
168.
0.
1.
system-view[Sysname]sshclientsourceip192.
168.
0.
11.
2.
29ssh2【命令】在非FIPS模式下:ssh2server[port-number][vpn-instancevpn-instance-name][identity-key{dsa|rsa}|prefer-compress{zlib|zlib-openssh}|prefer-ctos-cipher{3des|aes128|aes256|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|1-33dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|aes256|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*在FIPS模式下:ssh2server[port-number][vpn-instancevpn-instance-name][identity-keyrsa|prefer-ctos-cipher{aes128|aes256}|prefer-ctos-hmac{sha1|sha1-96}|prefer-kexdh-group14|prefer-stoc-cipher{aes128|aes256}|prefer-stoc-hmac{sha1|sha1-96}]*【视图】用户视图【缺省级别】0:访问级【参数】server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为0~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果服务器位于公网中,则无需指定本参数.
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法.
dsa:公钥算法为DSA.
rsa:公钥算法为RSA.
prefer-compress:首选压缩算法,缺省为无压缩.
zlib:ZLIB压缩算法.
zlib-openssh:ZLIB@openssh.
com压缩算法.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128.
3des:3des-cbc加密算法,FIPS模式下不支持该参数.
aes128:aes128-cbc加密算法.
aes256:aes256-cbc加密算法,仅FIPS模式下支持该参数.
des:des-cbc加密算法,FIPS模式下不支持该参数.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
md5:HMAC算法hmac-md5,FIPS模式下不支持该参数.
md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数.
sha1:HMAC算法hmac-sha1.
sha1-96:HMAC算法hmac-sha1-96.
prefer-kex:密钥交换首选算法,在非FIPS模式下,缺省算法为dh-group-exchange;在FIPS模式下缺省算法为dh-group14.
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数.
dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数.
1-34dh-group14:密钥交换算法diffie-hellman-group14-sha1.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
【描述】ssh2命令用来建立Stelnet客户端和IPv4Stelnet服务器端的连接,并指定公钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法.
需要注意的是,当服务器端指定对客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名.
在FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
在非FIPS模式下,缺省的算法如下:公钥缺省算法为dsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group-exchange.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
在FIPS模式下,缺省的算法如下:公钥缺省算法为rsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group14.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:型号命令描述MSR800FIPS模式不支持MSR900不支持MSR900-E不支持MSR930不支持MSR20-1X不支持MSR20支持MSR30支持,仅MSR3016不支持MSR50支持MSR2600支持MSR3600-51F支持1-35【举例】#登录地址为10.
214.
50.
51的远程Stelnet服务器,采用如下连接策略:首选密钥交换算法为dh-group1;服务器到客户端的首选加密算法为aes128;客户端到服务器的首选HMAC算法为md5;服务器到客户端的HMAC算法为sha1-96.
ssh210.
214.
50.
51prefer-kexdh-group1prefer-stoc-cipheraes128prefer-ctos-hmacmd5prefer-stoc-hmacsha1-961.
2.
30ssh2ipv6【命令】在非FIPS模式下:ssh2ipv6server[port-number][vpn-instancevpn-instance-name][identity-key{dsa|rsa}|prefer-compress{zlib|zlib-openssh}|prefer-ctos-cipher{3des|aes128|aes256|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|aes256|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*在FIPS模式下:ssh2ipv6server[port-number][identity-keyrsa|prefer-ctos-cipher{aes128|aes256}|prefer-ctos-hmac{sha1|sha1-96}|prefer-kexdh-group14|prefer-stoc-cipher{aes128|aes256}|prefer-stoc-hmac{sha1|sha1-96}]*【视图】用户视图【缺省级别】0:访问级【参数】server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写.
port-number:服务器的端口号,取值范围为0~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果服务器位于公网中,则无需指定本参数.
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法.
dsa:公钥算法为DSA.
rsa:公钥算法为RSA.
prefer-compress:首选压缩算法,缺省为无压缩.
zlib:ZLIB压缩算法.
zlib-openssh:ZLIB@openssh.
com压缩算法.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128.
1-363des:3des-cbc加密算法,FIPS模式下不支持该参数.
aes128:aes128-cbc加密算法.
aes256:aes256-cbc加密算法,仅FIPS模式下支持该参数.
des:des-cbc加密算法,FIPS模式下不支持该参数.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
md5:HMAC算法hmac-md5,FIPS模式下不支持该参数.
md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数.
sha1:HMAC算法hmac-sha1.
sha1-96:HMAC算法hmac-sha1-96.
prefer-kex:密钥交换首选算法,在非FIPS模式下,缺省算法为dh-group-exchange;在FIPS模式下缺省算法为dh-group14.
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数.
dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数.
dh-group14:密钥交换算法diffie-hellman-group14-sha1.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96【描述】ssh2ipv6命令用来建立Stelnet客户端和IPv6Stelnet服务器端的连接,并指定公钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法.
需要注意的是,当服务器端指定对客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名.
在非FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
在非FIPS模式下,缺省的算法如下:公钥缺省算法为dsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group-exchange.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
在FIPS模式下,缺省的算法如下:公钥缺省算法为rsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group14.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:1-37型号命令描述MSR800FIPS模式不支持MSR900不支持MSR900-E不支持MSR930不支持MSR20-1X不支持MSR20支持MSR30支持,仅MSR3016不支持MSR50支持MSR2600支持MSR3600-51F支持【举例】#登录地址为2000::1的远程Stelnet服务器,采用如下连接策略:首选密钥交换算法为dh-group1;服务器到客户端的首选加密算法为aes128;客户端到服务器的首选HMAC算法为md5;服务器到客户端的HMAC算法为sha1-96.
ssh2ipv62000::1prefer-kexdh-group1prefer-stoc-cipheraes128prefer-ctos-hmacmd5prefer-stoc-hmacsha1-96
1SSH服务器端配置命令1-11.
1.
1displaysshserver·1-11.
1.
2displaysshuser-information·1-21.
1.
3sftpserverenable1-41.
1.
4sftpserveridle-timeout·1-41.
1.
5sshserverauthentication-retries1-51.
1.
6sshserverauthentication-timeout·1-61.
1.
7sshservercompatible-ssh1xenable1-61.
1.
8sshserverenable1-71.
1.
9sshserverrekey-interval1-71.
1.
10sshuser·1-81.
2SSH客户端配置命令1-101.
2.
1bye·1-101.
2.
2cd·1-111.
2.
3cdup1-111.
2.
4delete·1-121.
2.
5dir1-131.
2.
6displaysftpclientsource1-131.
2.
7displaysshclientsource1-141.
2.
8displaysshserver-info1-151.
2.
9exit1-151.
2.
10get·1-161.
2.
11help1-171.
2.
12ls·1-171.
2.
13mkdir·1-181.
2.
14put·1-181.
2.
15pwd·1-191.
2.
16quit1-191.
2.
17remove1-201.
2.
18rename1-201.
2.
19rmdir1-211.
2.
20scp1-21ii1.
2.
21sftp1-241.
2.
22sftpclientipv6source1-261.
2.
23sftpclientsource·1-271.
2.
24sftpipv61-271.
2.
25sshclientauthenticationserver1-301.
2.
26sshclientfirst-timeenable·1-301.
2.
27sshclientipv6source·1-311.
2.
28sshclientsource·1-321.
2.
29ssh2·1-321.
2.
30ssh2ipv61-351-11SSH1.
1SSH服务器端配置命令1.
1.
1displaysshserver【命令】displaysshserver{session|status}[|{begin|exclude|include}regular-expression]【视图】任意视图【缺省级别】1:监控级【参数】session:显示SSH服务器的会话信息.
status:显示SSH服务器的状态信息.
|:使用正则表达式对显示信息进行过滤.
有关正则表达式的详细介绍,请参见"基础配置指导"中的"CLI".
begin:从包含指定正则表达式的行开始显示.
exclude:只显示不包含指定正则表达式的行.
include:只显示包含指定正则表达式的行.
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写.
【描述】displaysshserver命令用来在SSH服务器端显示该服务器的状态信息或会话信息.
相关配置可参考命令sshserverauthentication-retries、sshserverrekey-interval、sshserverauthentication-timeout、sshserverenable和sshservercompatible-ssh1xenable.
【举例】#在SSH服务器端显示该服务器的状态信息.
displaysshserverstatusSSHserver:DisableSSHversion:1.
99SSHauthentication-timeout:60second(s)SSHserverkeygeneratinginterval:0hour(s)SSHauthenticationretries:3time(s)SFTPserver:DisableSFTPserverIdle-Timeout:10minute(s)1-2表1-1displaysshserverstatus命令显示信息描述表字段描述SSHserverSSH服务器功能的状态SSHversionSSH协议版本SSH服务器兼容SSH1时,协议版本为1.
99;SSH服务器不兼容SSH1时,协议版本为2.
0SSHauthentication-timeout认证超时时间SSHserverkeygeneratinginterval服务器密钥对更新时间SSHauthenticationretries认证尝试的最大次数SFTPserverSFTP服务器功能的状态SFTPserverIdle-TimeoutSFTP用户连接的空闲超时时间#在SSH服务器端显示该服务器的会话信息.
displaysshserversessionConnVerEncryStateRetrySerTypeUsernameVTY02.
0DESEstablished0SFTPclient001表1-2displaysshserversession显示信息描述表字段描述Conn用户登录使用的VTY界面的编号VerSSH服务器的协议版本EncrySSH使用的加密算法State会话状态,包括:Init:初始化状态Ver-exchange:版本协商Keys-exchange:密钥交换Auth-request:用户认证Serv-request:服务请求Established:连接已经建立Disconnected:断开连接Retry认证失败的次数SerType服务类型,包括SCP、SFTP和Stelnet三种类型Username客户端登录服务器时采用的用户名1.
1.
2displaysshuser-information【命令】displaysshuser-information[username][|{begin|exclude|include}regular-expression]1-3【视图】任意视图【缺省级别】1:监控级【参数】username:显示指定SSH用户的信息.
username表示SSH用户名,为1~80个字符的字符串.
|:使用正则表达式对显示信息进行过滤.
有关正则表达式的详细介绍,请参见"基础配置指导"中的"CLI".
begin:从包含指定正则表达式的行开始显示.
exclude:只显示不包含指定正则表达式的行.
include:只显示包含指定正则表达式的行.
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写.
【描述】displaysshuser-information命令用来在SSH服务器端显示SSH用户的信息.
需要注意的是:本命令仅用来显示SSH服务器端通过sshuser命令配置的SSH用户信息.
如果没有指定参数username,则显示所有SSH用户的信息.
相关配置可参考命令sshuser.
【举例】#显示所有SSH用户的信息.
displaysshuser-informationTotalsshusers:2UsernameAuthentication-typeUser-public-key-nameService-typeyemxpasswordnullstelnettestpublickeypubkeysftp表1-3displaysshuser-information显示信息描述表字段描述TotalsshusersSSH用户的总数Username用户名Authentication-type认证类型,如果认证类型为password,则用户公钥名称显示为nullUser-public-key-name用户公钥名称或认证客户端证书的PKI域名Service-type服务类型,包括stelnet、sftp、scp以及all,其中all表示支持所有认证类型1-41.
1.
3sftpserverenable【命令】sftpserverenableundosftpserverenable【视图】系统视图【缺省级别】3:管理级【参数】无【描述】sftpserverenable命令用来启动SFTP服务器.
undosftpserverenable命令用来关闭SFTP服务器.
缺省情况下,SFTP服务器处于关闭状态.
可以使用displaysshserver命令来查看SFTP服务器端的相关状态信息或会话信息.
相关配置可参考命令displaysshserver.
【举例】#启动SFTP服务器.
system-view[Sysname]sftpserverenable1.
1.
4sftpserveridle-timeout【命令】sftpserveridle-timeouttime-out-valueundosftpserveridle-timeout【视图】系统视图【缺省级别】3:管理级【参数】time-out-value:超时时间,取值范围为1~35791,单位为分钟.
【描述】sftpserveridle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间.
undosftpserveridle-timeout命令用来恢复缺省情况.
缺省情况下,SFTP用户连接的空闲超时时间为10分钟.
1-5当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作.
若同一时间内并发的SFTP连接数较多,可适当减小该值,及时释放系统资源给新用户接入.
相关配置可参考命令displaysshserver.
【举例】#设置SFTP用户连接的空闲超时时间为500分钟.
system-view[Sysname]sftpserveridle-timeout5001.
1.
5sshserverauthentication-retries【命令】sshserverauthentication-retriestimesundosshserverauthentication-retries【视图】系统视图【缺省级别】3:管理级【参数】times:指定认证尝试的最大次数,取值范围为1~5.
【描述】sshserverauthentication-retries命令用来设置SSH连接认证尝试的最大次数.
undosshserverauthentication-retries命令用来恢复缺省情况.
缺省情况下,SSH连接认证尝试的最大次数为3次.
通过本命令可以限制用户登录的重试次数,防止非法用户对用户名和密码进行恶意地猜测和破解.
需要注意的是:本配置对新登录的用户生效.
SSH客户端通过publickey和password两种方式进行认证尝试的次数总和,不能超过sshserverauthentication-retries命令配置的SSH连接认证尝试的最大次数.
对于password-publickey认证方式,设备首先对SSH用户进行publickey认证,然后进行password认证,这个过程称为一次认证尝试,而不是两次认证尝试.
相关配置可参考命令displaysshserver.
【举例】#指定登录认证尝试的最大次数为4次.
system-view[Sysname]sshserverauthentication-retries41-61.
1.
6sshserverauthentication-timeout【命令】sshserverauthentication-timeouttime-out-valueundosshserverauthentication-timeout【视图】系统视图【缺省级别】3:管理级【参数】time-out-value:认证超时时间,取值范围为1~120,单位为秒.
【描述】sshserverauthentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间,如果用户在规定的时间内没有完成认证就拒绝该连接.
undosshserverauthentication-timeout命令用来恢复缺省情况.
缺省情况下,SSH用户的认证超时时间为60秒.
为了防止不法用户建立起TCP连接后,不进行接下来的认证,而是空占着进程,妨碍其它合法用户的正常登录,可以适当调小SSH用户认证超时时间.
相关配置可参考命令displaysshserver.
【举例】#设置SSH用户认证超时时间为10秒.
system-view[Sysname]sshserverauthentication-timeout101.
1.
7sshservercompatible-ssh1xenable【命令】sshservercompatible-ssh1xenableundosshservercompatible-ssh1x【视图】系统视图【缺省级别】3:管理级【参数】无【描述】sshservercompatible-ssh1xenable命令用来设置SSH服务器兼容SSH1版本的客户端.
undosshservercompatible-ssh1x命令用来设置SSH服务器不兼容SSH1版本的客户端.
1-7缺省情况下,SSH服务器兼容SSH1版本的客户端.
该配置对新登录的用户生效.
相关配置可参考命令displaysshserver.
【举例】#配置服务器兼容SSH1版本的客户端.
system-view[Sysname]sshservercompatible-ssh1xenable1.
1.
8sshserverenable【命令】sshserverenableundosshserverenable【视图】系统视图【缺省级别】3:管理级【参数】无【描述】sshserverenable命令用来使能SSH服务器功能,使客户端能用SSH协议与服务器进行通信.
undosshserverenable命令用来关闭SSH服务器功能.
缺省情况下,SSH服务器功能处于关闭状态.
相关配置可参考命令displaysshserver.
【举例】#使能SSH服务器功能.
system-view[Sysname]sshserverenable1.
1.
9sshserverrekey-interval【命令】sshserverrekey-intervalhoursundosshserverrekey-interval【视图】系统视图【缺省级别】3:管理级1-8【参数】hours:服务器密钥的更新周期,取值范围为1~24,单位为小时.
【描述】sshserverrekey-interval命令用来设置RSA服务器密钥的更新时间.
undosshserverrekey-interval命令用来恢复缺省情况.
缺省情况下,RSA服务器密钥的更新时间为0,表示系统不更新RSA服务器密钥.
SSH的核心是密钥的协商和传输,因此密钥的管理是非常重要的.
通过定时更新服务器密钥,可以防止对密钥的恶意猜测和破解,从而提高了SSH连接的安全性.
相关配置可参考命令displaysshserver.
此命令仅对SSH客户端版本为SSH1的用户有效.
系统不会定期更新DSA密钥对.
【举例】#设置每3小时更新一次RSA服务器密钥.
system-view[Sysname]sshserverrekey-interval31.
1.
10sshuser【命令】在非FIPS模式下:sshuserusernameservice-typestelnetauthentication-type{password|{any|password-publickey|publickey}assign{pki-domainpkiname|publickeykeyname}}sshuserusernameservice-type{all|scp|sftp}authentication-type{password|{any|password-publickey|publickey}assign{pki-domainpkiname|publickeykeyname}work-directorydirectory-name}undosshuserusername在FIPS模式下:sshuserusernameservice-typestelnetauthentication-type{password|password-publickeyassignpublickeykeyname}sshuserusernameservice-type{all|sftp}authentication-type{password|password-publickeyassignpublickeykeynamework-directorydirectory-name}undosshuserusername【视图】系统视图【缺省级别】3:管理级1-9【参数】username:SSH用户名,为1~80个字符的字符串,区分大小写.
service-type:SSH用户的服务类型.
包括:all:包括scp、sftp和stelnet三种服务类型.
scp:服务类型为SCP(SecureCopy的简称).
sftp:服务类型为安全的文件传输.
stelnet:服务类型为Stelnet(SecureTelnet的简称).
authentication-type:SSH用户的认证方式,在FIPS模式下,设备不支持any和publickey认证方式.
包括:password:强制用户使用密码认证.
该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication,Authorization,Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击.
any:不指定用户的认证方式,用户既可以采用password认证,也可以采用publickey认证.
password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可.
publickey:强制用户使用公钥认证.
该认证方式的加密速度相对较慢,但认证强度高,不易受到"暴力猜测"等攻击方式的影响,而且具有较高的易用性.
一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码.
assign:指定用于验证客户端的参数.
pki-domainpkiname:指定验证客户端证书的PKI域.
pkiname表示PKI域的名称,为1~15个字符的字符串,不区分大小写.
服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查,无需提前保存客户端的公钥,能够灵活满足大数量客户端的认证需求.
publickeykeyname:指定SSH用户的公钥.
keyname表示已经配置的客户端公钥名称,为1~64个字符的字符串,区分大小写.
服务器端使用提前保存在本地的用户公钥对用户进行合法性检查,如果客户端密钥文件改变,服务器端需要及时更新本地配置.
work-directorydirectory-name:为SFTP用户设置工作目录.
directory-name表示SFTP用户的工作目录,为1~135个字符的字符串.
【描述】sshuser命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式.
undosshuser命令用来删除SSH用户.
需要注意的是:如果服务器采用publickey方式认证客户端,则必须通过本配置在设备上创建相应的SSH用户;如果服务器采用password方式认证客户端,则必须将SSH用户的账号信息配置在设备(适用于本地认证)或者远程认证服务器(如RADIUS服务器,适用于远程认证)上,而并不要求通过本配置创建相应的SSH用户.
使用该命令指定公钥或PKI域时,则以最后一次指定的参数为准.
对于已经登录的SSH用户的参数修改,仅在该用户重新登录后生效.
如果为SCP或SFTP用户指定了公钥或PKI域,则必须同时为该用户设置工作目录.
1-10SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关.
采用publickey或password-publickey认证方式的用户,使用的工作目录为通过sshuser命令为该用户设置的工作目录;只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录.
相关配置可参考命令displaysshuser-information和"安全命令参考/PKI"中的pkidomain.
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:型号命令描述MSR800FIPS模式不支持MSR900不支持MSR900-E不支持MSR930不支持MSR20-1X不支持MSR20支持MSR30支持,仅MSR3016不支持MSR50支持MSR2600支持MSR3600-51F支持【举例】#创建SSH用户user1,配置user1的服务类型为SFTP,认证方式为publickey,并指定客户端公钥为key1,SFTP服务器工作目录为flash:.
system-view[Sysname]sshuseruser1service-typesftpauthentication-typepublickeyassignpublickeykey1work-directoryflash:1.
2SSH客户端配置命令1.
2.
1bye【命令】bye【视图】SFTP客户端视图【缺省级别】3:管理级【参数】无1-11【描述】bye命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
该命令功能与exit,quit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp-client>byeByeConnectionclosed.
1.
2.
2cd【命令】cd[remote-path]【视图】SFTP客户端视图【缺省级别】3:管理级【参数】remote-path:服务器上的路径名.
【描述】cd命令用来改变远程SFTP服务器上的工作路径.
如果没有指定remote-path,则显示当前工作路径.
命令"cd.
.
"用来返回到上一级目录.
命令"cd/"用来返回到系统的根目录.
【举例】#改变工作路径到new1.
sftp-client>cdnew1CurrentDirectoryis:/new11.
2.
3cdup【命令】cdup1-12【视图】SFTP客户端视图【缺省级别】3:管理级【参数】无【描述】cdup命令用来返回到上一级目录.
【举例】#从当前工作目录/new1返回到上一级目录.
sftp-client>cdupCurrentDirectoryis:/1.
2.
4delete【命令】deleteremote-file&【视图】SFTP客户端视图【缺省级别】3:管理级【参数】remote-file&:服务器上的文件名.
&表示最多可以输入10个文件名,每个文件名之间用空格分隔.
【描述】delete命令用来删除SFTP服务器上指定的文件.
该命令和remove功能相同.
【举例】#删除服务器上的文件temp.
c.
sftp-client>deletetemp.
cThefollowingfileswillbedeleted:/temp.
cAreyousuretodeleteit[Y/N]:yThisoperationmaytakealongtime.
Pleasewait.
.
.
FilesuccessfullyRemoved1-131.
2.
5dir【命令】dir[-a|-l][remote-path]【视图】SFTP客户端视图【缺省级别】3:管理级【参数】-a:显示指定目录下文件及文件夹的名称.
-l:以列表的形式显示指定目录下文件及文件夹的详细信息.
remote-path:查询的目录名.
【描述】dir命令用来显示指定目录下文件及文件夹的信息.
如果没有指定-a和-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息.
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息.
该命令功能与ls相同.
【举例】#以列表的形式显示当前工作目录下文件及文件夹的详细信息.
sftp-client>dir-rwxrwxrwx1noonenogroup1759Aug2306:52config.
cfg-rwxrwxrwx1noonenogroup225Aug2408:01pubkey2-rwxrwxrwx1noonenogroup283Aug2407:39pubkey1-rwxrwxrwx1noonenogroup225Sep2808:28pub1drwxrwxrwx1noonenogroup0Sep2808:24new1drwxrwxrwx1noonenogroup0Sep2808:18new2-rwxrwxrwx1noonenogroup225Sep2808:30pub21.
2.
6displaysftpclientsource【命令】displaysftpclientsource[|{begin|exclude|include}regular-expression]【视图】任意视图【缺省级别】1:监控级【参数】|:使用正则表达式对显示信息进行过滤.
有关正则表达式的详细介绍,请参见"基础配置指导"中的"CLI".
1-14begin:从包含指定正则表达式的行开始显示.
exclude:只显示不包含指定正则表达式的行.
include:只显示包含指定正则表达式的行.
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写.
【描述】displaysftpclientsource命令用来显示当前为SFTP客户端设置的源IP地址或者源接口.
如果没有为SFTP客户端指定源地址和源接口,则提示尚未指定.
相关配置可参考命令sftpclientsource.
【举例】#显示SFTP客户端的源IP地址.
displaysftpclientsourceThesourceIPaddressyouspecifiedis192.
168.
0.
11.
2.
7displaysshclientsource【命令】displaysshclientsource[|{begin|exclude|include}regular-expression]【视图】任意视图【缺省级别】1:监控级【参数】|:使用正则表达式对显示信息进行过滤.
有关正则表达式的详细介绍,请参见"基础配置指导"中的"CLI".
begin:从包含指定正则表达式的行开始显示.
exclude:只显示不包含指定正则表达式的行.
include:只显示包含指定正则表达式的行.
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写.
【描述】displaysshclientsource命令用来显示当前为Stelnet客户端设置的源IP地址或者源接口.
如果没有为Stelnet客户端指定源地址和源接口,则提示尚未指定.
相关配置可参考命令sshclientsource.
【举例】#显示Stelnet客户端的源IP地址或者源接口.
displaysshclientsourceThesourceIPaddressyouspecifiedis192.
168.
0.
11-151.
2.
8displaysshserver-info【命令】displaysshserver-info[|{begin|exclude|include}regular-expression]【视图】任意视图【缺省级别】1:监控级【参数】|:使用正则表达式对显示信息进行过滤.
有关正则表达式的详细介绍,请参见"基础配置指导"中的"CLI".
begin:从包含指定正则表达式的行开始显示.
exclude:只显示不包含指定正则表达式的行.
include:只显示包含指定正则表达式的行.
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写.
【描述】displaysshserver-info命令用来在SSH客户端显示客户端保存的服务器端的主机公钥和服务器的对应关系.
SSH客户端需要认证服务器时,以本地保存的服务器端的主机公钥对连接的服务器进行认证.
如果认证不成功,可以通过displaysshserver-info命令查看服务器是否与正确的公钥对应.
相关配置可参考命令sshclientauthenticationserver.
【举例】#显示客户端保存的服务器端的主机公钥和服务器的对应关系.
displaysshserver-infoServerName(IP)Serverpublickeyname192.
168.
0.
1abc_key01192.
168.
0.
2abc_key02表1-4displaysshserver-info显示信息描述表字段描述ServerName(IP)服务器名称或者IP地址Serverpublickeyname服务器端的主机公钥名称1.
2.
9exit【命令】exit1-16【视图】SFTP客户端视图【缺省级别】3:管理级【参数】无【描述】exit命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
该命令功能与bye,quit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp-client>exitByeConnectionclosed.
1.
2.
10get【命令】getremote-file[local-file]【视图】SFTP客户端视图【缺省级别】3:管理级【参数】remote-file:远程SFTP服务器上的文件名.
local-file:本地文件名.
【描述】get命令用来从远程服务器上下载文件并存储在本地.
如果没有指定本地文件名,则认为本地文件与远程SFTP服务器上的文件同名.
【举例】#下载远程服务器上的temp1.
c文件,并以文件名temp.
c在本地保存.
sftp-client>gettemp1.
ctemp.
cRemotefile:/temp1.
c--->Localfile:temp.
cDownloadingfilesuccessfullyended1-171.
2.
11help【命令】help[all|command-name]【视图】SFTP客户端视图【缺省级别】3:管理级【参数】all:显示所有命令的名字.
command-name:命令名.
【描述】help命令用来显示SFTP客户端命令的帮助信息.
如果没有指定参数,系统将显示所有命令的名字.
【举例】#查看命令get的帮助信息.
sftp-client>helpgetgetremote-path[local-path]Downloadfile.
Defaultlocal-pathisthesameasremote-path1.
2.
12ls【命令】ls[-a|-l][remote-path]【视图】SFTP客户端视图【缺省级别】3:管理级【参数】-a:显示指定目录下文件及文件夹的名称.
-l:以列表的形式显示指定目录下文件及文件夹的详细信息.
remote-path:查询的目录名.
【描述】ls命令用来显示指定目录下文件及文件夹的信息.
如果没有指定-a和-l参数,则以列表的形式显示指定目录下文件及文件夹的详细信息.
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息.
该命令功能与dir相同.
1-18【举例】#以列表的形式显示当前工作目录下文件及文件夹的详细信息.
sftp-client>ls-rwxrwxrwx1noonenogroup1759Aug2306:52config.
cfg-rwxrwxrwx1noonenogroup225Aug2408:01pubkey2-rwxrwxrwx1noonenogroup283Aug2407:39pubkey1-rwxrwxrwx1noonenogroup225Sep2808:28pub1drwxrwxrwx1noonenogroup0Sep2808:24new1drwxrwxrwx1noonenogroup0Sep2808:18new2-rwxrwxrwx1noonenogroup225Sep2808:30pub21.
2.
13mkdir【命令】mkdirremote-path【视图】SFTP客户端视图【缺省级别】3:管理级【参数】remote-path:远程SFTP服务器上的目录名.
【描述】mkdir命令用来在远程SFTP服务器上创建新的目录.
【举例】#在远程SFTP服务器上建立目录test.
sftp-client>mkdirtestNewdirectorycreated1.
2.
14put【命令】putlocal-file[remote-file]【视图】SFTP客户端视图【缺省级别】3:管理级【参数】local-file:本地的文件名.
remote-file:远程SFTP服务器上的文件名.
1-19【描述】put命令用来将本地的文件上传到远程SFTP服务器.
如果没有指定远程服务器上的文件名,则认为服务器上的文件与本地文件同名.
【举例】#将本地temp.
c文件上传到远程SFTP服务器,并以temp1.
c文件名保存.
sftp-client>puttemp.
ctemp1.
cLocalfile:temp.
c--->Remotefile:/temp1.
cUploadingfilesuccessfullyended1.
2.
15pwd【命令】pwd【视图】SFTP客户端视图【缺省级别】3:管理级【参数】无【描述】pwd命令用来显示远程SFTP服务器上的当前工作目录.
【举例】#显示远程SFTP服务器上的当前工作目录.
sftp-client>pwd/1.
2.
16quit【命令】quit【视图】SFTP客户端视图【缺省级别】3:管理级【参数】无【描述】quit命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
1-20该命令功能与bye,exit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp-client>quitByeConnectionclosed.
1.
2.
17remove【命令】removeremote-file&【视图】SFTP客户端视图【缺省级别】3:管理级【参数】remote-file&:服务器上的文件名.
&表示最多可以输入10个文件名,每个文件名之间用空格分隔.
【描述】remove命令用来删除SFTP服务器上指定的文件.
该命令和delete功能相同.
【举例】#删除服务器上的文件temp.
c.
sftp-client>removetemp.
cThefollowingfileswillbedeleted:/temp.
cAreyousuretodeleteit[Y/N]:yThisoperationmaytakealongtime.
Pleasewait.
.
.
FilesuccessfullyRemoved1.
2.
18rename【命令】renameoldnamenewname【视图】SFTP客户端视图【缺省级别】3:管理级1-21【参数】oldname:原文件名或者目录名.
newname:新文件名或者目录名.
【描述】rename命令用来改变SFTP服务器上指定的文件或者目录的名字.
【举例】#将SFTP服务器上的文件temp1.
c改名为temp2.
c.
sftp-client>renametemp1.
ctemp2.
cFilesuccessfullyrenamed1.
2.
19rmdir【命令】rmdirremote-path&【视图】SFTP客户端视图【缺省级别】3:管理级【参数】remote-path&:远程SFTP服务器上的目录名.
&表示最多可以输入10个目录名,每个文件名之间用空格分隔.
【描述】rmdir命令用来删除SFTP服务器上指定的目录.
【举例】#删除SFTP服务器上当前工作目录下的temp1目录.
sftp-client>rmdirtemp1Directorysuccessfullyremoved1.
2.
20scp【命令】在非FIPS模式下:scp[ipv6]server[port-number]{get|put}source-file-path[destination-file-path][identity-key{dsa|rsa}|prefer-compress{zlib|zlib-openssh}|prefer-ctos-cipher{3des|aes128|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*在FIPS模式下:scp[ipv6]server[port-number]{get|put}source-file-path[destination-file-path][identity-keyrsa|prefer-compress{zlib|zlib-openssh}|prefer-ctos-cipher{aes128|1-22aes256}|prefer-ctos-hmac{sha1|sha1-96}|prefer-kexdh-group14|prefer-stoc-cipher{aes128|aes256}|prefer-stoc-hmac{sha1|sha1-96}]*【视图】用户视图【缺省级别】3:管理级【参数】ipv6:指定IPv6服务器.
若不指定该参数,则表示指定IPv4服务器.
server:服务器的IP地址或主机名称.
指定为IPv4服务器时,server为1~20个字符的字符串,不区分大小写;指定为IPv6服务器时,server为1~46个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为0~65535,缺省值为22.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-path:源文件路径.
destination-file-path:目的文件路径.
不指定该参数时,表示使用源文件路径作为目的文件名称.
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法.
dsa:公钥算法为DSA.
rsa:公钥算法为RSA.
prefer-compress:首选压缩算法,缺省为无压缩.
zlib:ZLIB压缩算法.
zlib-openssh:ZLIB@openssh.
com压缩算法.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128.
3des:3des-cbc加密算法,FIPS模式下不支持该参数.
aes128:aes128-cbc加密算法.
aes256:aes256-cbc加密算法,仅FIPS模式下支持该参数.
des:des-cbc加密算法,FIPS模式下不支持该参数.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
md5:HMAC算法hmac-md5,FIPS模式下不支持该参数.
md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数.
sha1:HMAC算法hmac-sha1.
sha1-96:HMAC算法hmac-sha1-96.
prefer-kex:密钥交换首选算法,缺省算法为dh-group-exchange.
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数.
dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数.
dh-group14:密钥交换算法diffie-hellman-group14-sha1.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128.
1-23prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96【描述】scp命令用来与远程SCP服务器建立连接,并进行文件传输.
需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名.
在非FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
在非FIPS模式下,缺省的算法如下:公钥缺省算法为dsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group-exchange.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
在FIPS模式下,缺省的算法如下:公钥缺省算法为rsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group14.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:型号特性描述MSR800FIPS配置命令不支持MSR900不支持MSR900-E不支持MSR930不支持MSR20-1X不支持MSR20支持MSR30支持,仅MSR3016不支持MSR50支持MSR2600支持MSR3600-51F支持【举例】#与IP地址为192.
168.
0.
1的远程SCP服务器建立连接,并下载远端的remote.
bin文件,下载到本地后更名为local.
bin.
1-24scp192.
168.
0.
1getremote.
binlocal.
bin1.
2.
21sftp【命令】在非FIPS模式下:sftpserver[port-number][vpn-instancevpn-instance-name][identity-key{dsa|rsa}|prefer-compress{zlib|zlib-openssh}|prefer-ctos-cipher{3des|aes128|aes256|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|aes256|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*在FIPS模式下:sftpserver[port-number][vpn-instancevpn-instance-name][identity-keyrsa|prefer-ctos-cipher{aes128|aes256}|prefer-ctos-hmac{sha1|sha1-96}|prefer-kexdh-group14|prefer-stoc-cipher{aes128|aes256}|prefer-stoc-hmac{sha1|sha1-96}]*【视图】用户视图【缺省级别】3:管理级【参数】server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为0~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果服务器位于公网中,则无需指定本参数.
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法.
dsa:公钥算法为DSA.
rsa:公钥算法为RSA.
prefer-compress:首选压缩算法,缺省为无压缩.
zlib:ZLIB压缩算法.
zlib-openssh:ZLIB@openssh.
com压缩算法.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128.
3des:3des-cbc加密算法,FIPS模式下不支持该参数.
aes128:aes128-cbc加密算法.
aes256:aes256-cbc加密算法,仅FIPS模式下支持该参数.
des:des-cbc加密算法,FIPS模式下不支持该参数.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
md5:HMAC算法hmac-md5,FIPS模式下不支持该参数.
1-25md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数.
sha1:HMAC算法hmac-sha1.
sha1-96:HMAC算法hmac-sha1-96.
prefer-kex:密钥交换首选算法,在非FIPS模式下,缺省算法为dh-group-exchange;在FIPS模式下缺省算法为dh-group14.
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数.
dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数.
dh-group14:密钥交换算法diffie-hellman-group14-sha1.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
【描述】sftp命令用来与远程IPv4SFTP服务器建立连接,并进入SFTP客户端视图.
需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名.
在非FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
在非FIPS模式下,缺省的算法如下:公钥缺省算法为dsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group-exchange.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
在FIPS模式下,缺省的算法如下:公钥缺省算法为rsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group14.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:型号命令描述MSR800FIPS模式不支持MSR900不支持MSR900-E不支持MSR930不支持MSR20-1X不支持1-26型号命令描述MSR20支持MSR30支持,仅MSR3016不支持MSR50支持MSR2600支持MSR3600-51F支持【举例】#连接IP地址为10.
1.
1.
2的SFTP服务器,采用如下连接策略:首选密钥交换算法为dh-group1;服务器到客户端的首选加密算法为aes128;客户端到服务器的首选HMAC算法为md5;服务器到客户端的HMAC算法为sha1-96.
sftp10.
1.
1.
2prefer-kexdh-group1prefer-stoc-cipheraes128prefer-ctos-hmacmd5prefer-stoc-hmacsha1-96InputUsername:1.
2.
22sftpclientipv6source【命令】sftpclientipv6source{interfaceinterface-typeinterface-number|ipv6ipv6-address}undosftpclientipv6source【视图】系统视图【缺省级别】3:管理级【参数】interfaceinterface-typeinterface-number:源接口类型与源接口编号.
ipv6ipv6-address:源IPv6地址.
【描述】sftpclientipv6source命令用来为SFTP客户端指定源IPv6地址或源接口.
undosftpclientipv6source命令用来取消指定的源IPv6地址或源接口.
缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器.
为保证SFTP客户端与SFTP服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口或Dialer接口作为源接口.
相关配置可参考命令displaysftpclientsource.
【举例】#指定SFTP客户端的源IPv6地址为2:2::2:2.
1-27system-view[Sysname]sftpclientipv6sourceipv62:2::2:21.
2.
23sftpclientsource【命令】sftpclientsource{interfaceinterface-typeinterface-number|ipip-address}undosftpclientsource【视图】系统视图【缺省级别】3:管理级【参数】interfaceinterface-typeinterface-number:源接口类型与源接口编号.
ipip-address:源IPv4地址.
【描述】sftpclientsource命令用来为SFTP客户端指定源IPv4地址或源接口.
undosftpclientsource命令用来取消指定的源IPv4地址或源接口.
缺省情况下,客户端用设备路由指定的接口地址访问SFTP服务器.
为保证SFTP客户端与SFTP服务器通信链路的可达性,以及增加认证业务对SFTP客户端的可管理性,通常建议指定Loopback接口或Dialer接口作为源接口.
相关配置可参考命令displaysftpclientsource.
【举例】#指定SFTP客户端的源IP地址为192.
168.
0.
1.
system-view[Sysname]sftpclientsourceip192.
168.
0.
11.
2.
24sftpipv6【命令】在非FIPS模式下:sftpipv6server[port-number][vpn-instancevpn-instance-name][identity-key{dsa|rsa}|prefer-compress{zlib|zlib-openssh}|prefer-ctos-cipher{3des|aes128|aes256|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|aes256|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*在FIPS模式下:sftpipv6server[port-number][identity-keyrsa|prefer-ctos-cipher{aes128|aes256}|prefer-ctos-hmac{sha1|sha1-96}|prefer-kexdh-group14|prefer-stoc-cipher{aes128|aes256}|prefer-stoc-hmac{sha1|sha1-96}]*1-28【视图】用户视图【缺省级别】3:管理级【参数】server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写.
port-number:服务器的端口号,取值范围为0~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果服务器位于公网中,则无需指定本参数.
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法.
dsa:公钥算法为DSA.
rsa:公钥算法为RSA.
prefer-compress:首选压缩算法,缺省为无压缩.
zlib:ZLIB压缩算法.
zlib-openssh:ZLIB@openssh.
com压缩算法.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128.
3des:3des-cbc加密算法,FIPS模式下不支持该参数.
aes128:aes128-cbc加密算法.
aes256:aes256-cbc加密算法,仅FIPS模式下支持该参数.
des:des-cbc加密算法,FIPS模式下不支持该参数.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
md5:HMAC算法hmac-md5,FIPS模式下不支持该参数.
md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数.
sha1:HMAC算法hmac-sha1.
sha1-96:HMAC算法hmac-sha1-96.
prefer-kex:密钥交换首选算法,在非FIPS模式下,缺省算法为dh-group-exchange;在FIPS模式下缺省算法为dh-group14.
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数.
dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数.
dh-group14:密钥交换算法diffie-hellman-group14-sha1.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
【描述】sftpipv6命令用来与远程IPv6SFTP服务器建立连接,并进入SFTP客户端视图.
1-29需要注意的是,当服务器端指定客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名.
在非FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
在非FIPS模式下,缺省的算法如下:公钥缺省算法为dsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group-exchange.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
在FIPS模式下,缺省的算法如下:公钥缺省算法为rsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group14.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:型号命令描述MSR800FIPS模式不支持MSR900不支持MSR900-E不支持MSR930不支持MSR20-1X不支持MSR20支持MSR30支持,仅MSR3016不支持MSR50支持MSR2600支持MSR3600-51F支持【举例】#连接IPv6地址为2:5::8:9的SFTP服务器,采用如下连接策略:首选密钥交换算法为dh-group1;服务器到客户端的首选加密算法为aes128;客户端到服务器的首选HMAC算法为md5;服务器到客户端的HMAC算法为sha1-96.
1-30sftpipv62:5::8:9prefer-kexdh-group1prefer-stoc-cipheraes128prefer-ctos-hmacmd5prefer-stoc-hmacsha1-96InputUsername:1.
2.
25sshclientauthenticationserver【命令】sshclientauthenticationserverserverassignpublickeykeynameundosshclientauthenticationserverserverassignpublickey【视图】系统视图【缺省级别】2:系统级【参数】server:服务器的IP地址或名称,为1~80个字符的字符串.
assignpublickeykeyname:指定服务器端的主机公钥.
keyname表示主机公钥名称,为1~64个字符的字符串.
【描述】sshclientauthenticationserver命令用来在客户端上指定要连接的服务器端的主机公钥名称,以便客户端判断认证连接的服务器是否为可信赖的服务器.
undosshclientauthenticationserver命令用来取消在客户端上指定要连接的服务器端的主机公钥.
缺省情况下,客户端不指定要连接的服务器端的主机公钥名称,而是在客户端登录服务器的时候使用登录服务器时所用的IP地址或主机名作其对应的公钥名称.
如果客户端不支持首次认证,客户端将拒绝访问未经认证的服务器.
此时,需要在客户端配置服务器端的公钥,并指定该公钥与服务器端的对应关系,以便在客户端对连接的服务器端进行认证时,能够根据该对应关系使用正确的公钥对服务器端进行认证.
需要注意的是,指定的服务器端的主机公钥必须已经存在.
相关配置可参考命令sshclientfirst-timeenable.
【举例】#服务器的IP地址为192.
168.
0.
1,在客户端指定该服务器的公钥名称为key1.
system-view[Sysname]sshclientauthenticationserver192.
168.
0.
1assignpublickeykey11.
2.
26sshclientfirst-timeenable【命令】sshclientfirst-timeenableundosshclientfirst-time【视图】系统视图1-31【缺省级别】2:系统级【参数】无【描述】sshclientfirst-timeenable命令用来设置SSH客户端支持首次认证.
undosshclientfirst-time命令用来取消SSH客户端对首次认证的支持.
缺省情况下,SSH客户端支持首次认证.
所谓支持首次认证,是指当SSH客户端首次访问服务器,而客户端没有配置服务器端的公钥时,用户可以选择继续访问该服务器,并在客户端保存该主机公钥;当用户下次访问该服务器时,就以保存的主机公钥来认证该服务器.
如果不支持首次认证,则当客户端没有配置服务器端的公钥时,客户端将被拒绝访问该服务器.
用户必须事先通过其它途径将要访问的服务器端的主机公钥配置在本地,同时指定要连接的服务器端的主机公钥名称,以便客户端认证连接的服务器是否为可信赖的服务器.
需要注意的是,由于服务器端可能会定期更新密钥对,为保证服务器认证成功,客户端需要及时获取最新的服务器主机公钥.
【举例】#设置SSH客户端对访问的SSH服务器支持首次认证.
system-view[Sysname]sshclientfirst-timeenable1.
2.
27sshclientipv6source【命令】sshclientipv6source{interfaceinterface-typeinterface-number|ipv6ipv6-address}undosshclientipv6source【视图】系统视图【缺省级别】3:管理级【参数】interfaceinterface-typeinterface-number:源接口类型与源接口编号.
ipv6ipv6-address:源IPv6地址.
【描述】sshclientipv6source命令用来为Stelnet客户端指定源IPv6地址或源接口.
undosshclientipv6source命令用来清除指定的源IPv6地址或源接口.
缺省情况下,客户端用设备路由指定的接口地址访问Stelnet服务器.
1-32为保证Stelnet客户端与Stelnet服务器通信链路的可达性,以及增加认证业务对Stelnet客户端的可管理性,通常建议指定Loopback接口或Dialer接口作为源接口.
相关配置可参考命令displaysshclientsource.
【举例】#指定Stelnet客户端的源IPv6地址为2:2::2:2.
system-view[Sysname]sshclientipv6sourceipv62:2::2:21.
2.
28sshclientsource【命令】sshclientsource{interfaceinterface-typeinterface-number|ipip-address}undosshclientsource【视图】系统视图【缺省级别】3:管理级【参数】interfaceinterface-typeinterface-number:源接口类型与源接口编号.
ipip-address:源IPv4地址.
【描述】sshclientsource命令用来为Stelnet客户端指定源IPv4地址或源接口.
undosshclientsource命令用来清除指定的源IPv4地址或源接口.
缺省情况下,客户端用设备路由指定的接口地址访问Stelnet服务器.
为保证Stelnet客户端与Stelnet服务器通信链路的可达性,以及增加认证业务对Stelnet客户端的可管理性,通常建议指定Loopback接口或Dialer接口作为源接口.
相关配置可参考命令displaysshclientsource.
【举例】#指定Stelnet客户端的源IPv4地址为192.
168.
0.
1.
system-view[Sysname]sshclientsourceip192.
168.
0.
11.
2.
29ssh2【命令】在非FIPS模式下:ssh2server[port-number][vpn-instancevpn-instance-name][identity-key{dsa|rsa}|prefer-compress{zlib|zlib-openssh}|prefer-ctos-cipher{3des|aes128|aes256|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|1-33dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|aes256|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*在FIPS模式下:ssh2server[port-number][vpn-instancevpn-instance-name][identity-keyrsa|prefer-ctos-cipher{aes128|aes256}|prefer-ctos-hmac{sha1|sha1-96}|prefer-kexdh-group14|prefer-stoc-cipher{aes128|aes256}|prefer-stoc-hmac{sha1|sha1-96}]*【视图】用户视图【缺省级别】0:访问级【参数】server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为0~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果服务器位于公网中,则无需指定本参数.
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法.
dsa:公钥算法为DSA.
rsa:公钥算法为RSA.
prefer-compress:首选压缩算法,缺省为无压缩.
zlib:ZLIB压缩算法.
zlib-openssh:ZLIB@openssh.
com压缩算法.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128.
3des:3des-cbc加密算法,FIPS模式下不支持该参数.
aes128:aes128-cbc加密算法.
aes256:aes256-cbc加密算法,仅FIPS模式下支持该参数.
des:des-cbc加密算法,FIPS模式下不支持该参数.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
md5:HMAC算法hmac-md5,FIPS模式下不支持该参数.
md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数.
sha1:HMAC算法hmac-sha1.
sha1-96:HMAC算法hmac-sha1-96.
prefer-kex:密钥交换首选算法,在非FIPS模式下,缺省算法为dh-group-exchange;在FIPS模式下缺省算法为dh-group14.
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数.
dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数.
1-34dh-group14:密钥交换算法diffie-hellman-group14-sha1.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
【描述】ssh2命令用来建立Stelnet客户端和IPv4Stelnet服务器端的连接,并指定公钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法.
需要注意的是,当服务器端指定对客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名.
在FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
在非FIPS模式下,缺省的算法如下:公钥缺省算法为dsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group-exchange.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
在FIPS模式下,缺省的算法如下:公钥缺省算法为rsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group14.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:型号命令描述MSR800FIPS模式不支持MSR900不支持MSR900-E不支持MSR930不支持MSR20-1X不支持MSR20支持MSR30支持,仅MSR3016不支持MSR50支持MSR2600支持MSR3600-51F支持1-35【举例】#登录地址为10.
214.
50.
51的远程Stelnet服务器,采用如下连接策略:首选密钥交换算法为dh-group1;服务器到客户端的首选加密算法为aes128;客户端到服务器的首选HMAC算法为md5;服务器到客户端的HMAC算法为sha1-96.
ssh210.
214.
50.
51prefer-kexdh-group1prefer-stoc-cipheraes128prefer-ctos-hmacmd5prefer-stoc-hmacsha1-961.
2.
30ssh2ipv6【命令】在非FIPS模式下:ssh2ipv6server[port-number][vpn-instancevpn-instance-name][identity-key{dsa|rsa}|prefer-compress{zlib|zlib-openssh}|prefer-ctos-cipher{3des|aes128|aes256|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|aes256|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*在FIPS模式下:ssh2ipv6server[port-number][identity-keyrsa|prefer-ctos-cipher{aes128|aes256}|prefer-ctos-hmac{sha1|sha1-96}|prefer-kexdh-group14|prefer-stoc-cipher{aes128|aes256}|prefer-stoc-hmac{sha1|sha1-96}]*【视图】用户视图【缺省级别】0:访问级【参数】server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写.
port-number:服务器的端口号,取值范围为0~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果服务器位于公网中,则无需指定本参数.
identity-key:publickey认证采用的公钥算法,在非FIPS模式下,可以选择DSA或RSA任意一种;在FIPS模式下只支持RSA算法.
dsa:公钥算法为DSA.
rsa:公钥算法为RSA.
prefer-compress:首选压缩算法,缺省为无压缩.
zlib:ZLIB压缩算法.
zlib-openssh:ZLIB@openssh.
com压缩算法.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128.
1-363des:3des-cbc加密算法,FIPS模式下不支持该参数.
aes128:aes128-cbc加密算法.
aes256:aes256-cbc加密算法,仅FIPS模式下支持该参数.
des:des-cbc加密算法,FIPS模式下不支持该参数.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
md5:HMAC算法hmac-md5,FIPS模式下不支持该参数.
md5-96:HMAC算法hmac-md5-96,FIPS模式下不支持该参数.
sha1:HMAC算法hmac-sha1.
sha1-96:HMAC算法hmac-sha1-96.
prefer-kex:密钥交换首选算法,在非FIPS模式下,缺省算法为dh-group-exchange;在FIPS模式下缺省算法为dh-group14.
dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1,FIPS模式下不支持该参数.
dh-group1:密钥交换算法diffie-hellman-group1-sha1,FIPS模式下不支持该参数.
dh-group14:密钥交换算法diffie-hellman-group14-sha1.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96【描述】ssh2ipv6命令用来建立Stelnet客户端和IPv6Stelnet服务器端的连接,并指定公钥算法、客户端和服务器的首选加密算法、首选HMAC算法和首选密钥交换算法.
需要注意的是,当服务器端指定对客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名.
在非FIPS模式下,由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据.
在非FIPS模式下,缺省的算法如下:公钥缺省算法为dsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group-exchange.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
在FIPS模式下,缺省的算法如下:公钥缺省算法为rsa.
客户端到服务器端的首选加密算法,缺省算法为aes128.
客户端到服务器端的首选HMAC算法,缺省算法为sha1-96.
密钥交换首选算法,缺省算法为dh-group14.
服务器端到客户端的首选加密算法,缺省算法为aes128.
服务器端到客户端的首选HMAC算法,缺省算法为sha1-96.
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:1-37型号命令描述MSR800FIPS模式不支持MSR900不支持MSR900-E不支持MSR930不支持MSR20-1X不支持MSR20支持MSR30支持,仅MSR3016不支持MSR50支持MSR2600支持MSR3600-51F支持【举例】#登录地址为2000::1的远程Stelnet服务器,采用如下连接策略:首选密钥交换算法为dh-group1;服务器到客户端的首选加密算法为aes128;客户端到服务器的首选HMAC算法为md5;服务器到客户端的HMAC算法为sha1-96.
ssh2ipv62000::1prefer-kexdh-group1prefer-stoc-cipheraes128prefer-ctos-hmacmd5prefer-stoc-hmacsha1-96
Fiberia.io:$2.9/月KVM-4GB/50GB/2TB/荷兰机房
Fiberia.io是个新站,跟ViridWeb.com同一家公司的,主要提供基于KVM架构的VPS主机,数据中心在荷兰Dronten。商家的主机价格不算贵,比如4GB内存套餐每月2.9美元起,采用SSD硬盘,1Gbps网络端口,提供IPv4+IPv6,支持PayPal付款,有7天退款承诺,感兴趣的可以试一试,年付有优惠但建议月付为宜。下面列出几款主机配置信息。CPU:1core内存:4GB硬盘:...
提速啦(24元/月)河南BGP云服务器活动 买一年送一年4核 4G 5M
提速啦的来历提速啦是 网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑 由赣州王成璟网络科技有限公司旗下赣州提速啦网络科技有限公司运营 投资1000万人民币 在美国Cera 香港CTG 香港Cera 国内 杭州 宿迁 浙江 赣州 南昌 大连 辽宁 扬州 等地区建立数据中心 正规持有IDC ISP CDN 云牌照 公司。公司购买产品支持3天内退款 超过3天步退款政策。提速啦的市场定位提速啦主...
2021年国内/国外便宜VPS主机/云服务器商家推荐整理
2021年各大云服务商竞争尤为激烈,因为云服务商家的竞争我们可以选择更加便宜的VPS或云服务器,这样成本更低,选择空间更大。但是,如果我们是建站用途或者是稳定项目的,不要太过于追求便宜VPS或便宜云服务器,更需要追求稳定和服务。不同的商家有不同的特点,而且任何商家和线路不可能一直稳定,我们需要做的就是定期观察和数据定期备份。下面,请跟云服务器网(yuntue.com)小编来看一下2021年国内/国...
ssh服务为你推荐
-
网罗设计计算机网络设计主要干什么固态硬盘是什么固态硬盘是什么?和原先的有什么差别?有必要买吗?阿丽克丝·布莱肯瑞吉阿丽克斯布莱肯瑞吉演的美国恐怖故事哪两集bbs.99nets.com做一款即时通讯软件难吗 像hi qq这类的www.jjwxc.net在哪个网站看小说?同ip站点同IP网站具体是什么意思,能换独立的吗www.299pp.com免费PP电影哪个网站可以看啊杨丽晓博客明星的最新博文sesehu.com68lolita com是真的吗yinrentangWeichentang正品怎么样,谁知道?