算法ssh服务

i目录1SSH·1-11.
1SSH服务器端配置命令1-11.
1.
1displaysshserver·1-11.
1.
2displaysshuser-information·1-31.
1.
3freessh1-41.
1.
4scpserverenable1-51.
1.
5sftpserverenable1-51.
1.
6sftpserveridle-timeout·1-61.
1.
7sshserveracl1-61.
1.
8sshserveracl-deny-logenable1-71.
1.
9sshserverauthentication-retries1-81.
1.
10sshserverauthentication-timeout1-91.
1.
11sshservercompatible-ssh1xenable·1-101.
1.
12sshserverdscp1-101.
1.
13sshserverenable·1-111.
1.
14sshserveripv6acl1-121.
1.
15sshserveripv6dscp·1-121.
1.
16sshserverpki-domain·1-131.
1.
17sshserverport1-141.
1.
18sshserverrekey-interval·1-141.
1.
19sshuser·1-151.
2SSH客户端配置命令1-181.
2.
1bye·1-181.
2.
2cd·1-181.
2.
3cdup1-191.
2.
4delete·1-191.
2.
5deletesshclientserver-public-key·1-201.
2.
6dir1-201.
2.
7displaysftpclientsource1-211.
2.
8displaysshclientserver-public-key·1-221.
2.
9displaysshclientsource1-231.
2.
10exit1-241.
2.
11get·1-24ii1.
2.
12help1-251.
2.
13ls·1-261.
2.
14mkdir·1-271.
2.
15put·1-271.
2.
16pwd·1-281.
2.
17quit1-281.
2.
18remove1-291.
2.
19rename1-291.
2.
20rmdir1-301.
2.
21scp1-301.
2.
22scpipv61-331.
2.
23scpipv6suite-b1-361.
2.
24scpsuite-b·1-381.
2.
25sftp1-401.
2.
26sftpclientipv6source1-431.
2.
27sftpclientsource·1-441.
2.
28sftpipv61-451.
2.
29sftpipv6suite-b1-481.
2.
30sftpsuite-b1-501.
2.
31sshclientipv6source·1-521.
2.
32sshclientsource·1-531.
2.
33ssh2·1-531.
2.
34ssh2ipv61-561.
2.
35ssh2ipv6suite-b·1-601.
2.
36ssh2suite-b1-621.
3SSH2协议配置命令1-641.
3.
1displayssh2algorithm1-641.
3.
2ssh2algorithmcipher1-651.
3.
3ssh2algorithmkey-exchange1-661.
3.
4ssh2algorithmmac·1-671.
3.
5ssh2algorithmpublic-key1-681-11SSH设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
1.
1SSH服务器端配置命令1.
1.
1displaysshserverdisplaysshserver命令用来在SSH服务器端显示该服务器的状态信息或会话信息.
【命令】displaysshserver{session|status}【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】session:显示SSH服务器的会话信息.
status:显示SSH服务器的状态信息.
【举例】#在SSH服务器端显示该服务器的状态信息.
displaysshserverstatusStelnetserver:DisableSSHversion:2.
0SSHauthentication-timeout:60second(s)SSHserverkeygeneratinginterval:0hour(s)SSHauthenticationretries:3time(s)SFTPserver:DisableSFTPserverIdle-Timeout:10minute(s)NETCONFserver:DisableSCPserver:DisableSSHServerPKIdomainname:aaa1-2表1-1displaysshserverstatus命令显示信息描述表字段描述StelnetserverStelnet服务器功能的状态SSHversionSSH协议版本SSH服务器兼容SSH1时,协议版本为1.
99;SSH服务器不兼容SSH1时,协议版本为2.
0SSHauthentication-timeout认证超时时间SSHserverkeygeneratingintervalRSA服务器密钥对的最小更新间隔时间SSHauthenticationretriesSSH用户认证尝试的最大次数SFTPserverSFTP服务器功能的状态SFTPserverIdle-TimeoutSFTP用户连接的空闲超时时间NETCONFserverNETCONFoverSSH服务器功能的状态SCPserverSCP服务器功能的状态SSHServerPKIdomainnameSSH服务器PKI域配置#在SSH服务器端显示该服务器的会话信息.
displaysshserversessionUserPidSessIDVerEncryptStateRetriesServUsername18402.
0aes128-cbcEstablished1Stelnetabc@123表1-2displaysshserversession显示信息描述表字段描述UserPid用户进程PIDSessID会话IDVerSSH服务器的协议版本EncryptSSH服务器本端使用的加密算法State会话状态,包括:Init:初始化状态Ver-exchange:版本协商Keys-exchange:密钥交换Auth-request:用户认证Serv-request:服务请求Established:会话已经建立Disconnected:断开会话Retries认证失败的次数Serv服务类型,包括SCP、SFTP、Stelnet和NETCONFUsername客户端登录服务器时采用的用户名1-31.
1.
2displaysshuser-informationdisplaysshuser-information命令用来在SSH服务器端显示SSH用户的信息.
【命令】displaysshuser-information[username]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】username:SSH用户名,为1~80个字符的字符串,区分大小写.
如果没有指定本参数,则显示所有SSH用户的信息.
【使用指导】本命令仅用来显示SSH服务器端通过sshuser命令配置的SSH用户信息.
【举例】#显示所有SSH用户的信息.
displaysshuser-informationTotalsshusers:2UsernameAuthentication-typeUser-public-key-nameService-typeyemxpasswordStelnet|SFTPtestpublickeypubkeySFTP表1-3displaysshuser-information显示信息描述表字段描述TotalsshusersSSH用户的总数Username用户名Authentication-type认证类型,取值包括password、publickey、password-publickey和anyUser-public-key-name用户公钥名称如果认证类型为password,则该字段显示为空Service-type服务类型,取值包括SCP、SFTP、Stelnet和NETCONF如果设备同时显示多个SSH服务类型时用|隔开1-4【相关命令】sshuser1.
1.
3freesshfreessh命令用来强制释放已建立的SSH连接.
【命令】freessh{usernameusername|user-ip{ip-address|ipv6ipv6-address}[portport-number]|user-pidpid-number}【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】usernameusername:根据用户名强制释放已建立的SSH连接,可以通过displaysshserversession查看当前SSH连接的用户名.
user-ip:根据IP地址强制释放已建立的SSH连接.
ip-address:待释放的SSH连接的源IPv4地址.
ipv6ipv6-address:待释放的SSH连接的源IPv6地址.
portport-number:待释放的SSH连接的源端口.
port-number为源端口号,取值范围为1~65535.
未指定本参数时,表示强制释放对应IP地址建立的所有SSH连接.
user-pidpid-number:根据进程号强制释放已建立的SSH连接.
pid-number为待释放的SSH连接进程号,取值范围为1~2147483647.
可以通过displaysshserversession查看当前SSH连接的进程号.
【举例】#强制释放通过用户名sshuser建立的SSH连接.
freesshusernamesshuserReleasingSSHconnection.
Continue[Y/N]:y#强制释放通过IPv4地址192.
168.
15.
45建立的SSH连接.
freesshuser-ip192.
168.
15.
45ReleasingSSHconnection.
Continue[Y/N]:y#强制释放通过IPv6地址2000::11建立的SSH连接.
freesshuser-ipipv62000::11ReleasingSSHconnection.
Continue[Y/N]:y#强制释放进程号为417的SSH连接.
freesshuser-pid417ReleasingSSHconnection.
Continue[Y/N]:y1-51.
1.
4scpserverenablescpserverenable命令用来开启SCP服务器功能.
undoscpserverenable命令用来关闭SCP服务器功能.
【命令】scpserverenableundoscpserverenable【缺省情况】SCP服务器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【举例】#开启SCP服务器功能.
system-view[Sysname]scpserverenable【相关命令】displaysshserver1.
1.
5sftpserverenablesftpserverenable命令用来开启SFTP服务器功能.
undosftpserverenable命令用来关闭SFTP服务器功能.
【命令】sftpserverenableundosftpserverenable【缺省情况】SFTP服务器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【举例】#开启SFTP服务器功能.
system-view1-6[Sysname]sftpserverenable【相关命令】displaysshserver1.
1.
6sftpserveridle-timeoutsftpserveridle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间.
undosftpserveridle-timeout命令用来恢复缺省情况.
【命令】sftpserveridle-timeouttime-out-valueundosftpserveridle-timeout【缺省情况】SFTP用户连接的空闲超时时间为10分钟.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】time-out-value:超时时间,取值范围为1~35791,单位为分钟.
【使用指导】当SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作.
若同一时间内并发的SFTP连接数较多,可适当减小该值,及时释放系统资源给新用户接入.
【举例】#设置SFTP用户连接的空闲超时时间为500分钟.
system-view[Sysname]sftpserveridle-timeout500【相关命令】displaysshserver1.
1.
7sshserveraclsshserveracl命令用来设置对IPv4SSH客户端的访问控制.
undosshserveracl命令用来恢复缺省情况.
【命令】sshserveracl{advanced-acl-number|basic-acl-number|macmac-acl-number}undosshserveracl1-7【缺省情况】允许所有IPv4SSH客户端向设备发起SSH访问.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】advanced-acl-number:指定IPv4高级ACL,取值范围为3000~3999.
basic-acl-number:指定IPv4基本ACL,取值范围为2000~2999.
macacl-number:指定二层ACL.
acl-number是二层ACL的编号,取值范围为4000~4999.
【使用指导】对IPv4SSH客户端的访问控制通过引用ACL来实现,具体情况如下:当引用的ACL不存在或者引用的ACL为空时,允许所有IPv4SSH客户端访问设备.
当引用的ACL非空时,则只有匹配ACL中permit规则的IPv4SSH客户端可以访问设备,其他客户端不可以访问设备.
该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接.
多次执行本命令,最后一次执行的命令生效.
【举例】#只允许IPv4地址为1.
1.
1.
1的SSH客户端向设备发起SSH访问.
system-view[Sysname]aclbasic2001[Sysname-acl-ipv4-basic-2001]rulepermitsource1.
1.
1.
10[Sysname-acl-ipv4-basic-2001]quit[Sysname]sshserveracl2001【相关命令】displaysshserver1.
1.
8sshserveracl-deny-logenablesshserveracl-deny-logenable命令用来开启匹配ACLdeny规则后打印日志信息功能.
undosshserveracl-deny-logenable命令用来关闭匹配ACLdeny规则后打印日志信息功能.
【命令】sshserveracl-deny-logenableundosshserveracl-deny-logenable【缺省情况】匹配ACLdeny规则后打印日志信息功能处于关闭状态.
1-8【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】通过配置sshserveracl和sshserveripv6acl命令,可限制SSH客户端对设备的访问.
此时,通过配置sshserveracl-deny-logenable命令,设备可以记录匹配deny规则的IP用户的登录日志,用户可以查看非法登录的地址信息.
执行本配置后,SSH客户端匹配ACLdeny规则时,将产生日志信息.
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向).
【举例】#开启匹配ACLdeny规则后打印日志信息功能.
system-view[Sysname]sshserveracl-deny-logenable【相关命令】sshserveraclsshserveripv6acl1.
1.
9sshserverauthentication-retriessshserverauthentication-retries命令用来设置允许SSH用户认证尝试的最大次数.
undosshserverauthentication-retries命令用来恢复缺省情况.
【命令】sshserverauthentication-retriesretriesundosshserverauthentication-retries【缺省情况】允许SSH用户认证尝试的最大次数为3次.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】retries:指定每个SSH用户认证尝试的最大次数,取值范围为1~5.
1-9【使用指导】通过本命令可以限制用户尝试登录的次数,防止非法用户对用户名和密码进行恶意地猜测和破解.
如果用户的认证次数超过了最大认证次数,还未认证成功,则不再允许认证.
不同认证方式的认证次数统计方式有所不同,具体统计方式请参考如下:在any认证方式下,认证次数是指SSH客户端通过publickey和password两种方式进行认证尝试的次数总对于password-publickey认证方式,设备首先对SSH用户进行publickey认证,然后进行password认证,这个过程为一次认证尝试,而不是两次认证尝试.
该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效.
【举例】#指定允许SSH用户认证尝试的最大次数为4.
system-view[Sysname]sshserverauthentication-retries4【相关命令】displaysshserver1.
1.
10sshserverauthentication-timeoutsshserverauthentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间.
undosshserverauthentication-timeout命令用来恢复缺省情况.
【命令】sshserverauthentication-timeouttime-out-valueundosshserverauthentication-timeout【缺省情况】SSH用户的认证超时时间为60秒.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】time-out-value:认证超时时间,取值范围为1~120,单位为秒.
【使用指导】如果SSH用户在设置的认证超时时间内没有完成认证,SSH服务器就拒绝该用户的连接.
为了防止不法用户建立起TCP连接后,不进行接下来的认证,而占用系统资源,妨碍其它合法用户的正常登录,可以适当调小SSH用户认证超时时间.
【举例】#设置SSH用户认证超时时间为10秒.
1-10system-view[Sysname]sshserverauthentication-timeout10【相关命令】displaysshserver1.
1.
11sshservercompatible-ssh1xenablesshservercompatible-ssh1xenable命令用来设置SSH服务器兼容SSH1版本的客户端.
undosshservercompatible-ssh1x[enable]命令用来恢复缺省情况.
【命令】sshservercompatible-ssh1xenableundosshservercompatible-ssh1x[enable]【缺省情况】SSH服务器不兼容SSH1版本的客户端.
【视图】系统视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【使用指导】FIPS模式下,不支持本命令.
该配置不会影响已经登录的SSH用户,仅对新登录的SSH用户生效.
执行undo命令时,指定enable和不指定enable均表示恢复缺省情况.
【举例】#配置服务器兼容SSH1版本的客户端.
system-view[Sysname]sshservercompatible-ssh1xenable【相关命令】displaysshserver1.
1.
12sshserverdscpsshserverdscp命令用来设置IPv4SSH服务器向SSH客户端发送的报文的DSCP优先级.
undosshserverdscp命令用来恢复缺省情况.
【命令】sshserverdscpdscp-valueundosshserverdscp1-11【缺省情况】IPv4SSH报文的DSCP优先级为48.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】dscp-value:IPv4SSH报文的DSCP优先级,取值范围为0~63.
取值越大,优先级越高.
【使用指导】DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
【举例】#配置IPv4SSH服务器向SSH客户端发送的报文的DSCP优先级为30.
system-view[Sysname]sshserverdscp301.
1.
13sshserverenablesshserverenable命令用来开启Stelnet服务器功能.
undosshserverenable命令用来关闭Stelnet服务器功能.
【命令】sshserverenableundosshserverenable【缺省情况】Stelnet服务器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【举例】#开启Stelnet服务器功能.
system-view[Sysname]sshserverenable【相关命令】displaysshserver1-121.
1.
14sshserveripv6aclsshserveripv6acl命令用来设置对IPv6SSH客户端的访问控制.
undosshserveripv6acl命令用来恢复缺省情况.
【命令】sshserveripv6acl{ipv6{advanced-acl-number|basic-acl-number}|macmac-acl-number}undosshserveripv6acl【缺省情况】允许所有IPv6SSH客户端向设备发起SSH访问.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】ipv6:指定IPv6ACL.
advanced-acl-number:指定IPv6高级ACL,取值范围为3000~3999.
basic-acl-number:指定IPv6基本ACL,取值范围为2000~2999.
macacl-number:指定二层ACL.
acl-number是二层ACL的编号,取值范围为4000~4999.
【使用指导】对IPv6SSH客户端的访问控制通过引用ACL来实现,具体情况如下:当引用的ACL不存在、或者引用的ACL为空时,允许所有IPv6SSH客户端访问设备.
当引用的ACL非空时,则只有匹配ACL中permit规则的IPv6SSH客户端可以访问设备,其他客户端不可以访问设备.
该配置生效后,只会过滤新建立的SSH连接,不会影响已建立的SSH连接.
多次执行本命令,最后一次执行的命令生效.
【举例】#只允许1::1/64网段内的SSH客户端向设备发起SSH访问.
system-view[Sysname]aclipv6basic2001[Sysname-acl-ipv6-basic-2001]rulepermitsource1::164[Sysname-acl-ipv6-basic-2001]quit[Sysname]sshserveripv6aclipv62001【相关命令】displaysshserver1.
1.
15sshserveripv6dscpsshserveripv6dscp命令用来设置IPv6SSH服务器向SSH客户端发送的报文的DSCP优先级.
1-13undosshserveripv6dscp命令用来恢复缺省情况.
【命令】sshserveripv6dscpdscp-valueundosshserveripv6dscp【缺省情况】IPv6SSH报文的DSCP优先级为48.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】dscp-value:IPv6SSH报文的DSCP优先级,取值范围为0~63.
取值越大,优先级越高.
【使用指导】DSCP携带在IPv6报文中的Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
【举例】#配置IPv6SSH服务器向SSH客户端发送的报文的DSCP优先级为30.
system-view[Sysname]sshserveripv6dscp301.
1.
16sshserverpki-domainsshserverpki-domain命令用来配置服务器所属的PKI域.
undosshserverpki-domain命令用来恢复缺省情况.
【命令】sshserverpki-domaindomain-nameundosshserverpki-domain【缺省情况】未配置服务器所属的PKI域.
【视图】系统视图【缺省用户角色】network-adminmdc-admin1-14【参数】domain-name:验证服务端的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【举例】#配置SSH服务器所属的PKI域为serverpkidomain.
system-view[Sysname]sshserverpki-domainserverpkidomain1.
1.
17sshserverportsshserverport命令用来配置SSH服务的端口号.
undosshserverport命令用来恢复缺省情况.
【命令】sshserverportport-numberundosshserverport【缺省情况】SSH服务的端口号为22.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】port-number:SSH服务的端口号,取值范围为1~65535.
【使用指导】如果修改端口号前SSH服务是开启的,则修改端口号后系统会自动重启SSH服务,正在访问的用户将被断开,用户需要重新建立SSH连接后才可以继续访问.
如果使用1~1024之间的知名端口号,有可能会导致其他服务启动失败.
【举例】#配置SSH服务的端口号为1025.
system-view[Sysname]sshserverport10251.
1.
18sshserverrekey-intervalsshserverrekey-interval命令用来设置RSA服务器密钥对的最小更新间隔时间.
undosshserverrekey-interval命令用来恢复缺省情况.
【命令】sshserverrekey-intervalinterval1-15undosshserverrekey-interval【缺省情况】RSA服务器密钥对的最小更新间隔时间为0,表示系统不更新RSA服务器密钥对.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】interval:服务器密钥对的最小更新间隔时间,取值范围为1~24,单位为小时.
【使用指导】FIPS模式下,不支持本命令.
通过定时更新服务器密钥对,可以防止对密钥对的恶意猜测和破解,从而提高了SSH连接的安全性.
配置该命令后,从首个SSH1用户登录开始,SSH服务器需要等待后续有新的SSH1用户登录,才会更新当前的RSA服务器密钥对,然后使用新的RSA服务器密钥对与新登录的这个SSH1用户进行密钥对的协商,其中等待的最小时长就为此处配置的最小更新间隔时间.
之后,重复此过程,直到下一个新的SSH1用户登录才会再次触发RSA服务器密钥的更新.
本配置仅对SSH客户端版本为SSH1的用户有效.
【举例】#设置RSA服务器密钥对的最小更新间隔时间为3小时.
system-view[Sysname]sshserverrekey-interval3【相关命令】displaysshserver1.
1.
19sshusersshuser命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式.
undosshuser命令用来删除SSH用户.
【命令】非FIPS模式下:sshuserusernameservice-type{all|netconf|scp|sftp|stelnet}authentication-type{password|{any|password-publickey|publickey}[assign{pki-domaindomain-name|publickeykeyname&}]}undosshuserusernameFIPS模式下:1-16sshuserusernameservice-type{all|netconf|scp|sftp|stelnet}authentication-type{password|password-publickey[assign{pki-domaindomain-name|publickeykeyname&}]}undosshuserusername【缺省情况】不存在SSH用户.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】username:SSH用户名,为1~80个字符的字符串,区分大小写.
若用户登录时用户名中携带ISP域名,则其形式为pureusername@domain、pureusername/domain、domain\pureusername.
当创建SCP服务类型的用户时,用户名中请不要包含短横杠-,否则使用此用户名进行SCP登录会失败.
service-type:SSH用户的服务类型.
包括:all:包括scp、sftp、stelnet和netconf四种服务类型.
scp:服务类型为SCP(SecureCopy的简称).
sftp:服务类型为SFTP(SecureFTP的简称).
stelnet:服务类型为Stelnet(SecureTelnet的简称).
netconf:服务类型为NETCONF.
authentication-type:SSH用户的认证方式.
包括:password:强制指定该用户的认证方式为password.
该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication,Authorization,Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击.
any:不指定用户的认证方式,用户既可以采用password认证,也可以采用publickey认证.
password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可.
publickey:强制指定该用户的认证方式为publickey.
该认证方式的加密速度相对较慢,但认证强度高,不易受到暴力猜测密码等攻击方式的影响,而且具有较高的易用性.
一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码.
assign:指定用于验证客户端的参数.
pki-domaindomain-name:指定验证客户端证书的PKI域.
domain-name表示PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"和"'".
服务器端使用保存在该PKI域中的CA证书对1-17客户端证书进行合法性检查,无需提前保存客户端的公钥,能够灵活满足大数量客户端的认证需求.
publickeykeyname&:指定SSH客户端的公钥,可以指定多个SSH客户端的公钥.
keyname表示已经配置的客户端公钥名称,为1~64个字符的字符串,区分大小写.
&表示前面的参数最多可以输入6次.
服务器端使用提前保存在本地的用户公钥对用户进行合法性检查,如果客户端密钥文件改变,服务器端需要及时更新本地配置.
如果指定了多个用户公钥,则在验证SSH用户身份时,按照配置顺序使用指定的公钥依次对其进行验证,只要用户通过任意一个公钥验证即可.
【使用指导】本命令用于创建SSH用户,并指定SSH用户的服务类型、认证方式以及对应的客户端公钥或数字证书.
SSH用户的配置与服务器端采用的认证方式有关,具体如下:如果服务器采用了publickey认证,则必须在设备上创建相应的SSH用户,以及同名的本地用户(用于下发授权属性:工作目录、用户角色).
如果服务器采用了password认证,则必须在设备上创建相应的本地用户(适用于本地认证),或在远程服务器(如RADIUS服务器,适用于远程认证)上创建相应的SSH用户.
这种情况下,并不需要通过本配置创建相应的SSH用户,如果创建了SSH用户,则必须保证指定了正确的服务类型以及认证方式.
如果服务器采用了password-publickey或any认证,则必须在设备上创建相应的SSH用户,以及在设备上创建同名的本地用户(适用于本地认证)或者在远程认证服务器上创建同名的SSH用户(如RADIUS服务器,适用于远程认证).
SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关:采用publickey或password-publickey认证方式的用户,使用的工作目录为对应的本地用户视图下通过authorization-attribute命令设置的工作目录.
只采用password认证方式的用户,使用的工作目录为通过AAA授权的工作目录.
SSH用户登录时拥有的用户角色与用户使用的认证方式有关:采用publickey或password-publickey认证方式的用户,用户角色为对应的本地用户视图下通过authorization-attribute命令设置的用户角色.
采用password认证方式的用户,用户角色为通过AAA授权的用户角色.
使用该命令为用户指定公钥或PKI域时,以最后一次指定的公钥或PKI域为准.
若不指定pki-domain和publickey,则表示该用户采用证书认证方式登录,服务器使用其所属的PKI域来验证客户端的证书.
对SSH用户配置的修改,不会影响已经登录的SSH用户,仅对新登录的用户生效.
【举例】#创建SSH用户user1,配置user1的服务类型为SFTP,认证方式为password-publickey,并指定客户端公钥为key1.
system-view[Sysname]sshuseruser1service-typesftpauthentication-typepassword-publickeyassignpublickeykey1#创建设备管理类本地用户user1,配置用户密码为明文123456TESTplat&!
,服务类型为SSH,授权工作目录为flash:,授权用户角色为network-admin.
[Sysname]local-useruser1classmanage1-18[Sysname-luser-manage-user1]passwordsimple123456TESTplat&!
[Sysname-luser-manage-user1]service-typessh[Sysname-luser-manage-user1]authorization-attributework-directoryflash:user-rolenetwork-admin【相关命令】authorization-attribute(安全命令参考/AAA)displaysshuser-informationlocal-user(安全命令参考/AAA)pkidomain(安全命令参考/PKI)1.
2SSH客户端配置命令1.
2.
1byebye命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
【命令】bye【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【使用指导】该命令功能与exit、quit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp>bye1.
2.
2cdcd命令用来改变远程SFTP服务器上的工作路径.
【命令】cd[remote-path]【视图】SFTP客户端视图【缺省用户角色】network-admin1-19mdc-admin【参数】remote-path:目的工作路径的名称.
【使用指导】命令"cd.
.
"用来返回到上一级目录.
命令"cd/"用来返回到系统的根目录.
【举例】#改变工作路径到new1.
sftp>cdnew1CurrentDirectoryis:/new1sftp>pwdRemoteworkingdirectory:/new1sftp>1.
2.
3cdupcdup命令用来返回到上一级目录.
【命令】cdup【视图】SFTP客户端视图【缺省用户角色】network-adminmdc-admin【举例】#从当前工作目录/test1返回到上一级目录.
sftp>cdtest1CurrentDirectoryis:/test1sftp>pwdRemoteworkingdirectory:/test1sftp>cdupCurrentDirectoryis:/sftp>pwdRemoteworkingdirectory:/sftp>1.
2.
4deletedelete命令用来删除SFTP服务器上指定的文件.
【命令】deleteremote-file1-20【视图】SFTP客户端视图【缺省用户角色】network-adminmdc-admin【参数】remote-file:要删除的文件的名称.
【使用指导】该命令和remove功能相同.
【举例】#删除服务器上的文件temp.
c.
sftp>deletetemp.
cRemoving/temp.
c1.
2.
5deletesshclientserver-public-keydeletesshclientserver-public-key命令用来删除SSH客户端公钥文件中的服务器公钥信息.
【命令】deletesshclientserver-public-key[server-ipip-address]【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】server-ipip-address:删除指定IP地址的服务器的公钥信息.
不指定本参数时,删除公钥文件中所有服务器公钥信息.
【举例】#删除所有SSH客户端保存在公钥文件的服务器公钥.
system-view[Sysname]deletesshclientserver-public-keyPublickeysofallSSHserverswillbedeleted.
Continue[Y/N]:y#删除SSH客户端保存的服务器2.
2.
2.
1的公钥.
system-view[Sysname]deletesshclientserver-public-keyserver-ip2.
2.
2.
11.
2.
6dirdir命令用来显示指定目录下文件及文件夹的信息.
1-21【命令】dir[-a|-l][remote-path]【视图】SFTP客户端视图【缺省用户角色】network-adminmdc-admin【参数】-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以".
"开头的文件及文件夹的详细信息.
remote-path:查询的目录名.
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息.
【使用指导】如果没有指定-a和-l参数,则显示指定目录下文件及文件夹的名称.
该命令功能与ls相同.
【举例】#以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
sftp>dir-adrwxrwxrwx211512Dec1814:12.
drwxrwxrwx211512Dec1814:12.
.
-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pub#以列表的形式显示当前工作目录下文件及文件夹的详细信息,但不包括以".
"开头的文件及文件夹的详细信息.
sftp>dir-l-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pu1.
2.
7displaysftpclientsourcedisplaysftpclientsource命令用来显示SFTP客户端的源IP地址配置.
【命令】displaysftpclientsource【视图】任意视图1-22【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【举例】#显示SFTP客户端的源IP地址配置.
displaysftpclientsourceThesourceIPaddressoftheSFTPclientis192.
168.
0.
1.
ThesourceIPv6addressoftheSFTPclientis2:2::2:2.
【相关命令】sftpclientipv6sourcesftpclientsource1.
2.
8displaysshclientserver-public-keydisplaysshclientserver-public-key命令用来显示SSH客户端公钥文件中的服务器公钥信息.
【命令】displaysshclientserver-public-key[server-ipip-address]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】server-ipip-address:显示指定IP地址的服务器的公钥信息.
不指定本参数时,显示公钥文件中所有服务器公钥信息.
【使用指导】设备作为SSH客户端时使用本命令可以显示保存在公钥文件中的服务器公钥.
该部分公钥信息在配置文件中不可见,用户登录未认证过的服务器并选择保存公钥时,对应公钥信息被写入公钥文件.
【举例】#显示SSH客户端保存在公钥文件中所有服务器公钥.
displaysshclientserver-public-keyServeraddress:10.
153.
124.
209Keytype:ecdsa-sha2-nistp256Keylength:256Keycode:1-23AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBAOGpJfwJExKeYb53KKqmrZ0V/XnYZKZEchyN9ax1IBt+toIXHeW5NfBE5ymeklPSNgQNhcndkU/422fT15UmgM=Serveraddress:2.
2.
2.
1Keytype:rsaKeylength:1024Keycode:AAAAB3NzaC1yc2EAAAADAQABAAAAgQDIUrHbeLx/W7xElB1Ny3zeA8/uV9K6sj1pdSlhx5XcOatdNMoD/sioYgSsy9IxKZPqBs+vadqx/wCCB5+T2GLLu2qgaT0P9J+vRR/9Y8fI2b4tS7PoNf/QKDVD7XnoiZ+dqd0tnnRf6GV+74cp8ZEUQdAoTeDzzaAh7t6FbxrNrQ==#显示SSH客户端保存在公钥文件中的服务器2.
2.
2.
1的公钥.
displaysshclientserver-public-keyserver-ip2.
2.
2.
1Serveraddress:2.
2.
2.
1Keytype:rsaKeylength:1024Keycode:AAAAB3NzaC1yc2EAAAADAQABAAAAgQDIUrHbeLx/W7xElB1Ny3zeA8/uV9K6sj1pdSlhx5XcOatdNMoD/sioYgSsy9IxKZPqBs+vadqx/wCCB5+T2GLLu2qgaT0P9J+vRR/9Y8fI2b4tS7PoNf/QKDVD7XnoiZ+dqd0tnnRf6GV+74cp8ZEUQdAoTeDzzaAh7t6FbxrNrQ==表1-4displaysshclientserver-public-key命令显示信息描述表字段描述Serveraddress服务器IP地址Keytype公钥类型:dsa:公钥算法为DSAecdsa-sha2-nistp256:名称为secp256r1的椭圆曲线生成的ECDSA密钥,密钥长度为256比特ecdsa-sha2-nistp384:名称为secp384r1的椭圆曲线生成的ECDSA密钥,密钥长度为384比特rsa:公钥算法为RSAKeylength公钥长度,单位为比特Keycode公钥内容1.
2.
9displaysshclientsourcedisplaysshclientsource命令用来显示STelnet客户端的源IP地址配置.
【命令】displaysshclientsource【视图】任意视图1-24【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【举例】#显示STelnet客户端的源IP地址配置.
displaysshclientsourceThesourceIPaddressoftheSSHclientis192.
168.
0.
1.
ThesourceIPv6addressoftheSSHclientis2:2::2:2.
【相关命令】sshclientipv6sourcesshclientsource1.
2.
10exitexit命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
【命令】exit【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【使用指导】该命令功能与bye、quit相同.
【举例】#终止与远程SFTP服务器的连接.
sftp>exit1.
2.
11getget命令用来从远程SFTP服务器上下载文件并存储在本地.
【命令】getremote-file[local-file]1-25【视图】SFTP客户端视图【缺省用户角色】network-adminmdc-admin【参数】remote-file:远程SFTP服务器上的文件名.
local-file:本地文件名.
如果没有指定本地文件名,则认为本地保存文件的文件名与服务器上的文件名相同.
【举例】#下载远程服务器上的temp1.
c文件,并以文件名temp.
c在本地保存.
sftp>gettemp1.
ctemp.
cFetching/temp1.
ctotemp.
c/temp.
c100%14241.
4KB/s00:001.
2.
12helphelp命令用来显示SFTP客户端命令的帮助信息.
【命令】help【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【使用指导】键入和执行help命令的功能相同.
【举例】#查看帮助信息.
sftp>helpAvailablecommands:byeQuitsftpcd[path]Changeremotedirectoryto'path'cdupChangeremotedirectorytotheparentdirectorydeletepathDeleteremotefiledir[-a|-l][path]Displayremotedirectorylisting-aListallfilenames-lListfilenameincludingthespecific1-26informationofthefileexitQuitsftpgetremote-path[local-path]DownloadfilehelpDisplaythishelptextls[-a|-l][path]Displayremotedirectory-aListallfilenames-lListfilenameincludingthespecificinformationofthefilemkdirpathCreateremotedirectoryputlocal-path[remote-path]UploadfilepwdDisplayremoteworkingdirectoryquitQuitsftprenameoldpathnewpathRenameremotefileremovepathDeleteremotefilermdirpathDeleteremoteemptydirectorySynonymforhelp1.
2.
13lsls命令用来显示指定目录下文件及文件夹的信息.
【命令】ls[-a|-l][remote-path]【视图】SFTP客户端视图【缺省用户角色】network-adminmdc-admin【参数】-a:以列表的形式显示指定目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
-l:以列表的形式显示指定目录下文件及文件夹的详细信息,但不包括以".
"开头的文件及文件夹的详细信息.
remote-path:查询的目录名.
如果没有指定remote-path,则显示当前工作目录下文件及文件夹的信息.
【使用指导】如果没有指定-a和-l参数,则显示指定目录下文件及文件夹的名称.
该命令功能与dir相同.
【举例】#以列表的形式显示当前工作目录下文件及文件夹的详细信息,其中包括以".
"开头的文件及文件夹的详细信息.
sftp>ls-adrwxrwxrwx211512Dec1814:12.
1-27drwxrwxrwx211512Dec1814:12.
.
-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pub#以列表的形式显示当前工作目录下文件及文件夹的详细信息,但不包括以".
"开头的文件及文件夹的详细信息.
sftp>ls-l-rwxrwxrwx111301Dec1814:11010.
pub-rwxrwxrwx111301Dec1814:12011.
pub-rwxrwxrwx111301Dec1814:12012.
pub1.
2.
14mkdirmkdir命令用来在远程SFTP服务器上创建新的目录.
【命令】mkdirremote-path【视图】SFTP客户端视图【缺省用户角色】network-adminmdc-admin【参数】remote-path:远程SFTP服务器上的目录名.
【举例】#在远程SFTP服务器上建立目录test.
sftp>mkdirtest1.
2.
15putput命令用来将本地的文件上传到远程SFTP服务器.
【命令】putlocal-file[remote-file]【视图】SFTP客户端视图【缺省用户角色】network-adminmdc-admin【参数】local-file:本地的文件名.
1-28remote-file:远程SFTP服务器上的文件名.
如果没有指定远程服务器上的文件名,则认为服务器上保存文件的文件名与本地的文件名相同.
【举例】#将本地startup.
bak文件上传到远程SFTP服务器,并以startup01.
bak文件名保存.
sftp>putstartup.
bakstartup01.
bakUploadingstartup.
bakto/startup01.
bakstartup01.
bak100%14241.
4KB/s00:001.
2.
16pwdpwd命令用来显示远程SFTP服务器上的当前工作目录.
【命令】pwd【视图】SFTP客户端视图【缺省用户角色】network-adminmdc-admin【举例】#显示远程SFTP服务器上的当前工作目录.
sftp>pwdRemoteworkingdirectory:/以上显示信息表示当前的工作目录为根目录.
1.
2.
17quitquit命令用来终止与远程SFTP服务器的连接,并退回到用户视图.
【命令】quit【视图】SFTP客户端视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【使用指导】该命令功能与bye、exit相同.
1-29【举例】#终止与远程SFTP服务器的连接.
sftp>quit1.
2.
18removeremove命令用来删除远程SFTP服务器上指定的文件.
【命令】removeremote-file【视图】SFTP客户端视图【缺省用户角色】network-adminmdc-admin【参数】remote-file:要删除的文件的名称.
【使用指导】该命令和delete命令相同.
【举例】#删除远程SFTP服务器上的文件temp.
c.
sftp>removetemp.
cRemoving/temp.
c1.
2.
19renamerename命令用来改变远程SFTP服务器上指定的文件或者文件夹的名字.
【命令】renameold-namenew-name【视图】SFTP客户端视图【缺省用户角色】network-adminmdc-admin【参数】old-name:原文件名或者文件夹名.
new-name:新文件名或者文件夹名.
1-30【举例】#将远程SFTP服务器上的文件temp1.
c改名为temp2.
c.
sftp>diraa.
pubtemp1.
csftp>renametemp1.
ctemp2.
csftp>diraa.
pubtemp2.
c1.
2.
20rmdirrmdir命令用来删除远程SFTP服务器上指定的目录.
【命令】rmdirremote-path【视图】SFTP客户端视图【缺省用户角色】network-adminmdc-admin【参数】remote-path:远程SFTP服务器上的目录名.
【举例】#删除SFTP服务器上当前工作目录下的temp1目录.
sftp>rmdirtemp11.
2.
21scpscp命令用来与远程的SCP服务器建立连接,并进行文件传输.
【命令】非FIPS模式下:scpserver[port-number][vpn-instancevpn-instance-name]{put|get}source-file-name[destination-file-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*[userusername[passwordpassword]]1-31FIPS模式下:scpserver[port-number][vpn-instancevpn-instance-name]{put|get}source-file-name[destination-file-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*[userusername[passwordpassword]]【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN实例.
其中,vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称,为1~255个字符的字符串,区分大小写.
destination-file-name:目的文件名称,为1~255个字符的字符串,区分大小写.
若未指定该参数,则表示使用源文件的名称作为目的文件名称.
identity-key:客户端publickey认证时采用的公钥算法,非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
如果服务器采用publickey认证,必须指定该参数.
客户端使用指定算法的本地私钥生成数字签名或证书.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,为1~31个字符的字符串,不区分大小写,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
1-32zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes128-ctr、aes128-gcm、aes192-ctr、aes256-cbc、aes256-ctr、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes128-gcm:128位AES-GCM加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-cbc:256位的AES-CBC加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
des-cbc:DES-CBC加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5、md5-96、sha1、sha1-96、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法,缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
支持的加密算法与客户端到服务器端的加密算法相同.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
支持的加密算法与客户端到服务器端的HMAC算法相同.
public-keykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
1-33source:指定与服务器通信的源IPv4地址或者源接口.
缺省情况下,报文源IPv4地址为根据路由表项查找的发送此报文的出接口的主IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv4地址作为源IPv4地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
userusername:指定SCP用户名,为1~80个字符的字符串,区分大小写.
若用户名中携带ISP域名,则其形式为pureusername@domain,其中,pureusername为1~55个字符的字符串,domain为1~24个字符的字符串.
passwordpassword:指定明文密码,为1~63个字符的字符串,区分大小写.
【使用指导】当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
如果不指定用户名和密码,则表示以交互方式输入用户名和密码.
如果SCP服务器对客户端的认证方式为publickey认证,则本命令指定的密码将被忽略.
【举例】#SCP客户端采用publickey认证方式,登录地址为200.
1.
1.
1的远程SCP服务器,下载名为abc.
txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib.
scp200.
1.
1.
1getabc.
txtprefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkey1.
2.
22scpipv6scpipv6命令用来与远程的IPv6SCP服务器建立连接,并进行文件传输.
【命令】非FIPS模式下:scpipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|1-34dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*[userusername[passwordpassword]]FIPS模式下:scpipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*[userusername[passwordpassword]]【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN实例.
其中,vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
-iinterface-typeinterface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号.
此参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必需具有链路本地地址.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称,为1~255个字符的字符串,区分大小写.
destination-file-name:目的文件名称,为1~255个字符的字符串,区分大小写.
不指定该参数时,表示使用源文件的名称作为目的文件名称.
identity-key:客户端publickey认证时采用的公钥算法,非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
如果服务器采用publickey认证,必须指定该参数.
客户端使用指定算法的本地私钥生成数字签名或证书.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
1-35ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,为1~31个字符的字符串,不区分大小写,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes128-ctr、aes128-gcm、aes192-ctr、aes256-cbc、aes256-ctr、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes128-gcm:128位AES-GCM加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-cbc:256位的AES-CBC加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
des-cbc:DES-CBC加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5、md5-96、sha1、sha1-96、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法,缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
支持的加密算法与客户端到服务器端的加密算法相同.
1-36prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
支持的加密算法与客户端到服务器端的HMAC算法相同.
public-keykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IP地址.
ipv6ipv6-address:指定源IPv6地址.
userusername:指定SCP用户名,为1~80个字符的字符串,区分大小写.
若用户名中携带ISP域名,则其形式为pureusername@domain,其中,pureusername为1~55个字符的字符串,domain为1~24个字符的字符串.
passwordpassword:指定明文密码,为1~63个字符的字符串,区分大小写.
【使用指导】当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
如果不指定用户名和密码,则表示以交互方式输入用户名和密码.
如果SCP服务器对客户端的认证方式为publickey认证,则本命令指定的密码将被忽略.
【举例】#SCP客户端采用publickey认证方式,登录地址为2000::1的远程SCP服务器,下载名为abc.
txt的文件,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib.
scpipv62000::1getabc.
txtprefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkey1.
2.
23scpipv6suite-bscpipv6suite-b命令用来与远程的ipv6SCP服务器建立基于SuiteB算法集的连接,并进行文件传输.
1-37【命令】scpipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number]{put|get}source-file-name[destination-file-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
其中,vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
-iinterface-typeinterface-number:当前SCP客户端连接所使用的出接口的接口类型和接口编号.
本参数用于SCP服务器的地址是链路本地地址的情况,而且指定的出接口必须具有链路本地地址.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称,为1~255个字符的字符串,区分大小写.
destination-file-name:目的文件名称,为1~255个字符的字符串,区分大小写.
若未指定本参数,则表示使用源文件名称作为目的文件名称.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
1-38interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IPv6地址.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为aes128-gcm;客户端到服务器的加密算法为aes128-gcm;服务器到客户端的HMAC算法为aes128-gcm;客户端到服务器的HMAC算法为aes128-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为aes256-gcm;客户端到服务器的加密算法为aes256-gcm;服务器到客户端的HMAC算法为aes256-gcm;客户端到服务器的HMAC算法为aes256-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为aes128-gcm、aes256-gcm;客户端到服务器的加密算法为aes128-gcm、aes256-gcm;服务器到客户端的HMAC算法为aes128-gcm、aes256-gcm;客户端到服务器的HMAC算法为aes128-gcm、aes256-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
【举例】#SCP客户端采用安全级别为192-bit的SuiteB算法集,与登录地址为2000::1的远程SCP服务器建立连接,下载名为abc.
txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
scpipv62000::1getabc.
txtsuite-b192-bitpki-domainclientpkidomainserver-pki-domainserverpkidomainUsername:1.
2.
24scpsuite-bscpsuite-b命令用来与远程的SCP服务器建立基于SuiteB算法集的连接,并进行文件传输.
1-39【命令】scpserver[port-number][vpn-instancevpn-instance-name]{put|get}source-file-name[destination-file-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
其中,vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
get:指定下载文件操作.
put:指定上传文件操作.
source-file-name:源文件名称,为1~255个字符的字符串,区分大小写.
destination-file-name:目的文件名称,为1~255个字符的字符串,区分大小写.
若未指定本参数,则表示使用源文件名称作为目的文件名称.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
1-40【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为aes128-gcm;客户端到服务器的加密算法为aes128-gcm;服务器到客户端的HMAC算法为aes128-gcm;客户端到服务器的HMAC算法为aes128-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为aes256-gcm;客户端到服务器的加密算法为aes256-gcm;服务器到客户端的HMAC算法为aes256-gcm;客户端到服务器的HMAC算法为aes256-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SCP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为aes128-gcm、aes256-gcm;客户端到服务器的加密算法为aes128-gcm、aes256-gcm;服务器到客户端的HMAC算法为aes128-gcm、aes256-gcm;客户端到服务器的HMAC算法为aes128-gcm、aes256-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
【举例】#SCP客户端采用安全级别为128-bit的SuiteB算法集,与登录地址为200.
1.
1.
1的远程SCP服务器建立连接,下载名为abc.
txt的文件,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
scp200.
1.
1.
1getabc.
txtsuite-b128-bitpki-domainclientpkidomainserver-pki-domainserverpkidomainUsername:1.
2.
25sftpsftp命令用来与远程IPv4SFTP服务器建立连接,并进入SFTP客户端视图.
【命令】非FIPS模式下:sftpserver[port-number][vpn-instancevpn-instance-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp256|1-41x509v3-ecdsa-sha2-nistp384}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*FIPS模式下:sftpserver[port-number][vpn-instancevpn-instance-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN实例.
其中,vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
identity-key:客户端publickey认证时采用的公钥算法,非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
如果服务器采用publickey认证,必须指定该参数.
客户端使用指定算法的本地私钥生成数字签名或证书.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
1-42pki-domaindomain-name:指定客户端证书的PKI域,为1~31个字符的字符串,不区分大小写,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes128-ctr、aes128-gcm、aes192-ctr、aes256-cbc、aes256-ctr、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes128-gcm:128位AES-GCM加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-cbc:256位的AES-CBC加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
des-cbc:DES-CBC加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5、md5-96、sha1、sha1-96、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法,缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
支持的加密算法与客户端到服务器端的加密算法相同.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
支持的加密算法与客户端到服务器端的HMAC算法相同.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
1-43public-keykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
source:指定与服务器通信的源IPv4地址或者源接口.
缺省情况下,报文源IPv4地址为根据路由表项查找的发送此报文的出接口的主IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv4地址作为源IPv4地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将采用该接口的主IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
【举例】#SFTP客户端采用publickey认证方式,连接IP地址为10.
1.
1.
2的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib.
sftp10.
1.
1.
2prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkey1.
2.
26sftpclientipv6sourcesftpclientipv6source命令用来配置SFTP客户端发送SFTP报文使用的源IPv6地址.
undosftpclientipv6source命令用来恢复缺省情况.
【命令】sftpclientipv6source{interfaceinterface-typeinterface-number|ipv6ipv6-address}undosftpclientipv6source【缺省情况】未配置SFTP客户端使用的源IPv6地址,设备自动选择IPv6SFTP报文的源IPv6地址,具体选择原则请参见RFC3484.
【视图】系统视图1-44【缺省用户角色】network-adminmdc-admin【参数】interfaceinterface-typeinterface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】sftpclientipv6source命令指定的源地址对所有的SFTP连接有效,sftpipv6命令指定的源地址只对当前的SFTP连接有效.
使用该命令指定了源地址后,若SFTP用户使用sftpipv6命令登录时又指定了源地址,则采用sftpipv6命令中指定的源地址.
多次执行本命令,最后一次执行的命令生效.
【举例】#指定SFTP客户端发送SFTP报文使用的源IPv6地址为2:2::2:2.
system-view[Sysname]sftpclientipv6sourceipv62:2::2:2【相关命令】displaysftpclientsource1.
2.
27sftpclientsourcesftpclientsource命令用来配置SFTP客户端发送SFTP报文使用的源IPv4地址.
undosftpclientsource命令用来恢复缺省情况.
【命令】sftpclientsource{interfaceinterface-typeinterface-number|ipip-address}undosftpclientsource【缺省情况】未配置SFTP客户端使用的源IPv4地址,SFTP客户端发送SFTP报文使用的源IPv4地址为根据路由表项查找的发送此报文的出接口的主IP地址.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】interfaceinterface-typeinterface-number:指定接口的主IP地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
1-45ipip-address:指定源IP地址.
【使用指导】sftpclientsource命令指定的源地址对所有的SFTP连接有效,sftp命令指定的源地址只对当前的SFTP连接有效.
使用该命令指定了源地址后,若SFTP用户使用sftp命令登录时又指定了源地址,则采用sftp命令中指定的源地址.
多次执行本命令,最后一次执行的命令生效.
【举例】#指定SFTP客户端发送SFTP报文使用的源IP地址为192.
168.
0.
1.
system-view[Sysname]sftpclientsourceip192.
168.
0.
1【相关命令】displaysftpclientsource1.
2.
28sftpipv6sftpipv6命令用来建立SFTP客户端和与远程IPv6SFTP服务器建立连接,并进入SFTP客户端视图.
【命令】非FIPS模式下:sftpipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*FIPS模式下:sftpipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|1-46sha2-256|sha2-512public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN实例.
其中,vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
identity-key:客户端publickey认证时采用的公钥算法,非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
如果服务器采用publickey认证,必须指定该参数.
客户端使用指定算法的本地私钥生成数字签名或证书.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,为1~31个字符的字符串,不区分大小写,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes128-ctr、aes128-gcm、aes192-ctr、aes256-cbc、aes256-ctr、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes128-gcm:128位AES-GCM加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-cbc:256位的AES-CBC加密算法.
aes256-ctr:256位AES-CTR加密算法.
1-47aes256-gcm:256位AES-GCM加密算法.
des-cbc:DES-CBC加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5、md5-96、sha1、sha1-96、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法,缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
支持的加密算法与客户端到服务器端的加密算法相同.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
支持的加密算法与客户端到服务器端的HMAC算法相同.
dscpdscp-value:指定客户端发送的IPv6SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
public-keykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IP地址.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户1-48端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
【举例】#SFTP客户端采用publickey认证方式,连接IPv6地址为2000::1的SFTP服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib.
sftpipv62000::1prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkeyUsername:1.
2.
29sftpipv6suite-bsftpipv6suite-b命令用来与远程的ipv6SFTP服务器建立基于SuiteB算法集的连接,并进入SFTP客户端视图.
【命令】sftpipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
其中,vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
1-49pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的IPv6SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Trafficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IPv6地址.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为aes128-gcm;客户端到服务器的加密算法为aes128-gcm;服务器到客户端的HMAC算法为aes128-gcm;客户端到服务器的HMAC算法为aes128-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为aes256-gcm;客户端到服务器的加密算法为aes256-gcm;服务器到客户端的HMAC算法为aes256-gcm;客户端到服务器的HMAC算法为aes256-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为aes128-gcm、aes256-gcm;1-50客户端到服务器的加密算法为aes128-gcm、aes256-gcm;服务器到客户端的HMAC算法为aes128-gcm、aes256-gcm;客户端到服务器的HMAC算法为aes128-gcm、aes256-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
【举例】#SFTP客户端采用安全级别为192-bit的SuiteB算法集,与登录地址为2000::1的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
sftpipv62000::1suite-b192-bitpki-domainclientpkidomainserver-pki-domainserverpkidomainUsername:1.
2.
30sftpsuite-bsftpsuite-b命令用来与远程的IPv4SFTP服务器建立基于SuiteB算法集的连接,并进入SFTP客户端视图.
【命令】sftpserver[port-number][vpn-instancevpn-instance-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
其中,vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、1-51".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为aes128-gcm;客户端到服务器的加密算法为aes128-gcm;服务器到客户端的HMAC算法为aes128-gcm;客户端到服务器的HMAC算法为aes128-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为aes256-gcm;客户端到服务器的加密算法为aes256-gcm;服务器到客户端的HMAC算法为aes256-gcm;客户端到服务器的HMAC算法为aes256-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的SFTP服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为aes128-gcm、aes256-gcm;客户端到服务器的加密算法为aes128-gcm、aes256-gcm;服务器到客户端的HMAC算法为aes128-gcm、aes256-gcm;客户端到服务器的HMAC算法为aes128-gcm、aes256-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
1-52【举例】#SFTP客户端采用安全级别为128-bit的SuiteB算法集,与登录地址为10.
1.
1.
2的远程SFTP服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
sftp10.
1.
1.
2suite-b128-bitpki-domainclientpkidomainserver-pki-domainserverpkidomainUsername:1.
2.
31sshclientipv6sourcesshclientipv6source命令用来为配置Stelnet客户端发送SSH报文使用的源IPv6地址.
undosshclientipv6source命令用来恢复缺省情况.
【命令】sshclientipv6source{interfaceinterface-typeinterface-number|ipv6ipv6-address}undosshclientipv6source【缺省情况】未配置Stelnet客户端使用的源IPv6地址,设备自动选择IPv6SSH报文的源IPv6地址,具体选择原则请参见RFC3484.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】interfaceinterface-typeinterface-number:指定接口下与报文目的地址最匹配的IPv6地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】sshclientipv6source命令指定的源地址对所有的IPv6Stelnet连接有效,ssh2ipv6命令指定的源地址只对当前的Stelnet连接有效.
使用该命令指定了源地址后,若SSH用户使用ssh2ipv6命令登录时又指定了源地址,则采用ssh2ipv6命令中指定的源地址.
多次执行本命令,最后一次执行的命令生效.
【举例】#指定Stelnet客户端发送SSH报文使用的源IPv6地址为2:2::2:2.
system-view[Sysname]sshclientipv6sourceipv62:2::2:2【相关命令】displaysshclientsource1-531.
2.
32sshclientsourcesshclientsource命令用来配置Stelnet客户端发送SSH报文使用的源IPv4地址.
undosshclientsource命令用来恢复缺省情况.
【命令】sshclientsource{interfaceinterface-typeinterface-number|ipip-address}undosshclientsource【缺省情况】未配置Stelnet客户端使用的源IPv4地址,Stelnet客户端发送SSH报文使用的源IPv4地址为设备路由指定的SSH报文出接口的主IP地址.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】interfaceinterface-typeinterface-number:指定接口的主IP地址作为源地址.
interface-typeinterface-number表示源接口类型与源接口编号.
ipip-address:指定源IPv4地址.
【使用指导】sshclientsource命令指定的源地址对所有的Stelnet连接有效,ssh2命令指定的源地址只对当前的Stelnet连接有效.
使用该命令指定了源地址后,若SSH用户使用ssh2命令登录时又指定了源地址,则采用ssh2命令中指定的源地址.
多次执行本命令,最后一次执行的命令生效.
【举例】#指定Stelnet客户端发送SSH报文使用的源IPv4地址为192.
168.
0.
1.
system-view[Sysname]sshclientsourceip192.
168.
0.
1【相关命令】displaysshclientsource1.
2.
33ssh2ssh2命令用来建立Stelnet客户端和IPv4Stelnet服务器端的连接.
【命令】非FIPS模式下:ssh2server[port-number][vpn-instancevpn-instance-name][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp256|1-54x509v3-ecdsa-sha2-nistp384}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*FIPS模式下:ssh2server[port-number][vpn-instancevpn-instance-name][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】server:服务器IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN实例.
其中,vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
identity-key:客户端publickey认证时采用的公钥算法,非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
如果服务器采用publickey认证,必须指定该参数.
客户端使用指定算法的本地私钥生成数字签名或证书.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
1-55pki-domaindomain-name:指定客户端证书的PKI域,为1~31个字符的字符串,不区分大小写,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes128-ctr、aes128-gcm、aes192-ctr、aes256-cbc、aes256-ctr、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes128-gcm:128位AES-GCM加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-cbc:256位的AES-CBC加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
des-cbc:DES-CBC加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5、md5-96、sha1、sha1-96、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法,缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
支持的加密算法与客户端到服务器端的加密算法相同.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
支持的加密算法与客户端到服务器端的HMAC算法相同.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
1-56escapecharacter:指定退出字符.
character为一个字符,区分大小写,缺省为~,即输入~.
可以强制断开与服务端的连接.
public-keykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
source:指定与服务器通信的源IPv4地址或者源接口.
缺省情况下,报文源IPv4地址为根据路由表项查找的发送此报文的出接口的主IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv4地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将采用该接口的主IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
关于退出字符的使用,需要注意的是:退出字符与字符.
配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接).
必须在一行中首先输入退出字符和.
,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免退出字符和.
的组合与登录用户名相同.
【举例】#Stelnet客户端采用publickey认证方式,登录地址为3.
3.
3.
3的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;输入$.
时强制断开客户端和服务端的连接.
ssh23.
3.
3.
3prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkeyescape$1.
2.
34ssh2ipv6ssh2ipv6命令用来建立Stelnet客户端和IPv6Stelnet服务器端的连接.
1-57【命令】非FIPS模式下:ssh2ipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number][identity-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}]*[dscpdscp-value|escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*FIPS模式下:ssh2ipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number][identity-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|{x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}pki-domaindomain-name}|prefer-compresszlib|prefer-ctos-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-ctos-hmac{sha1|sha1-96|sha2-256|sha2-512}|prefer-kex{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}|prefer-stoc-cipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}|prefer-stoc-hmac{sha1|sha1-96|sha2-256|sha2-512}]*[escapecharacter|{public-keykeyname|server-pki-domaindomain-name}|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN实例.
其中,vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
1-58identity-key:客户端publickey认证时采用的公钥算法,非FIPS模式下,缺省算法为dsa;FIPS模式下,缺省算法为rsa.
如果服务器采用publickey认证,必须指定该参数.
客户端使用指定算法的本地私钥生成数字签名或证书.
dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
pki-domaindomain-name:指定客户端证书的PKI域,为1~31个字符的字符串,不区分大小写,公钥算法为x509v3时,指定客户端证书所在PKI域名称,才能得到正确的本地证书.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省不支持压缩.
zlib:压缩算法ZLIB.
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128-ctr.
des-cbc、3des-cbc、aes128-cbc、aes128-ctr、aes128-gcm、aes192-ctr、aes256-cbc、aes256-ctr、aes256-gcm算法的安全强度和运算花费时间依次递增.
3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位的AES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes128-gcm:128位AES-GCM加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-cbc:256位的AES-CBC加密算法.
aes256-ctr:256位AES-CTR加密算法.
aes256-gcm:256位AES-GCM加密算法.
des-cbc:DES-CBC加密算法.
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha2-256.
md5、md5-96、sha1、sha1-96、sha2-256、sha2-512算法的安全强度和运算花费时间依次递增.
md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
prefer-kex:密钥交换首选算法,缺省算法为ecdh-sha2-nistp256.
dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增.
dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
1-59ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128-ctr.
支持的加密算法与客户端到服务器端的加密算法相同.
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha2-256.
支持的加密算法与客户端到服务器端的HMAC算法相同.
dscpdscp-value:指定客户端发送的IPv6SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定退出字符.
character为一个字符,区分大小写,缺省为~,即输入~.
可以强制断开与服务端的连接.
public-keykeyname:指定服务器端的主机公钥,用于验证服务器端的身份.
其中,keyname表示已经配置的主机公钥名称,为1~64个字符的字符串,不区分大小写.
server-pki-domaindomain-name:指定验证服务端证书的PKI域.
其中,domain-name表示验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IP地址.
ipv6ipv6-address:指定源IPv6地址.
【使用指导】当客户端主机公钥算法协商成功为证书时,需要校验服务端证书是否正确,这样需要通过server-pki-domain指定服务端证书所在的PKI域名称,这样才能获取正确验证服务器证书.
客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查,无需提前保存服务器的公钥.
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
关于退出字符的使用,需要注意的是:退出字符与字符.
配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接).
必须在一行中首先输入退出字符和.
,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免退出字符和.
的组合与登录用户名相同.
【举例】#SSH客户端采用publickey认证方式,登录地址为2000::1的远程Stelnet服务器,采用如下连接策略,并指定服务器端的公钥名称为svkey:首选密钥交换算法为dh-group14-sha1;服务器到客户端的首选加密算法为aes128-cbc;客户端到服务器的首选HMAC算法为sha1;1-60服务器到客户端的HMAC算法为sha1-96;服务器与客户端之间的首选压缩算法为zlib;输入$.
时强制断开客户端和服务端的连接.
ssh2ipv62000::1prefer-kexdh-group14-sha1prefer-stoc-cipheraes128-cbcprefer-ctos-hmacsha1prefer-stoc-hmacsha1-96prefer-compresszlibpublic-keysvkey$1.
2.
35ssh2ipv6suite-bssh2ipv6suite-b命令用来与远程的ipv6Stelnet服务器建立基于SuiteB算法集的连接.
【命令】ssh2ipv6server[port-number][vpn-instancevpn-instance-name][-iinterface-typeinterface-number]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|escapecharacter|source{interfaceinterface-typeinterface-number|ipv6ipv6-address}]*【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】server:服务器的IPv6地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
其中,vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
-iinterface-typeinterface-number:客户端连接服务器时使用的出接口.
其中,interface-typeinterface-number表示接口类型和接口编号.
本参数仅在客户端所连接的服务器的地址是链路本地地址时使用.
指定的出接口必须具有链路本地地址.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
zlib:压缩算法ZLIB.
1-61dscpdscp-value:指定客户端发送的IPv6SSH报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IPv6报文中的Trafficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定退出字符,该退出字符与字符.
配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接).
character为一个字符,区分大小写,缺省为~,即输入~.
可以强制断开与服务端的连接.
source:指定与服务器通信的源IPv6地址或者源接口.
缺省情况下,设备根据RFC3484的规则自动选择一个源IPv6地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IPv6地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv6地址作为发送报文的源IPv6地址.
ipv6ipv6-address:指定源IPv6地址.
关于退出字符的使用,需要注意的是:必须在一行中首先输入退出字符和.
,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免退出字符和.
的组合与登录用户名相同.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为aes128-gcm;客户端到服务器的加密算法为aes128-gcm;服务器到客户端的HMAC算法为aes128-gcm;客户端到服务器的HMAC算法为aes128-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为aes256-gcm;客户端到服务器的加密算法为aes256-gcm;服务器到客户端的HMAC算法为aes256-gcm;客户端到服务器的HMAC算法为aes256-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为aes128-gcm、aes256-gcm;客户端到服务器的加密算法为aes128-gcm、aes256-gcm;服务器到客户端的HMAC算法为aes128-gcm、aes256-gcm;1-62客户端到服务器的HMAC算法为aes128-gcm、aes256-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
【举例】#SSH客户端采用安全级别为192-bit的SuiteB算法集,与登录地址为2000::1的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
ssh2ipv62000::1suite-b192-bitpki-domainclientpkidomainserver-pki-domainserverpkidomainUsername:1.
2.
36ssh2suite-bssh2suite-b命令用来与远程的IPv4Stelnet服务器建立基于SuiteB算法集的连接.
【命令】ssh2server[port-number][vpn-instancevpn-instance-name]suite-b[128-bit|192-bit]pki-domaindomain-name[server-pki-domaindomain-name][prefer-compresszlib][dscpdscp-value|escapecharacter|source{interfaceinterface-typeinterface-number|ipip-address}]*【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】server:服务器的IPv4地址或主机名称,为1~253个字符的字符串,不区分大小写.
port-number:服务器端口号,取值范围为1~65535,缺省值为22.
vpn-instancevpn-instance-name:服务器所属的VPN.
其中,vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
suite-b:指定采用SuiteB算法集.
若未指定128-bit和192-bit参数,则表示同时采用128-bit和192-bit的算法集.
128-bit:指定客户端采用安全级别为128-bit的SuiteB算法集.
192-bit:指定客户端采用安全级别为192-bit的SuiteB算法集.
pki-domaindomain-name:配置客户端证书的PKI域.
domain-name为客户端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
server-pki-domaindomain-name:配置验证服务端证书的PKI域.
domain-name为验证服务端证书的PKI域名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
如果客户端没有指定验证服务端证书所在的PKI域,则缺省使用客户端证书所在的PKI域进行验证.
prefer-compress:服务器与客户端之间的首选压缩算法,缺省情况下,不支持压缩.
1-63zlib:压缩算法ZLIB.
dscpdscp-value:指定客户端发送的SFTP报文中携带的DSCP优先级,取值范围为0~63,缺省值为48.
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
escapecharacter:指定退出字符,该退出字符与字符.
配合使用可以强制断开客户端与服务器连接(该方式通常用于服务器端重启或发生异常的情况下,客户端快速中断当前连接).
character为一个字符,区分大小写,缺省为~,即输入~.
可以强制断开与服务端的连接.
source:指定与服务器通信的源IP地址或者源接口.
缺省情况下,设备根据路由表项自动选择一个源IPv4地址.
为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断,通常建议指定Loopback接口作为源接口,或者接口的IP地址作为源地址.
interfaceinterface-typeinterface-number:指定源接口.
interface-typeinterface-number为接口类型和接口编号.
系统将使用该接口的IPv4地址作为发送报文的源IP地址.
ipip-address:指定源IPv4地址.
【使用指导】当客户端采用安全级别为128-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256;服务器到客户端的加密算法为aes128-gcm;客户端到服务器的加密算法为aes128-gcm;服务器到客户端的HMAC算法为aes128-gcm;客户端到服务器的HMAC算法为aes128-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
当客户端采用安全级别为192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp384;服务器到客户端的加密算法为aes256-gcm;客户端到服务器的加密算法为aes256-gcm;服务器到客户端的HMAC算法为aes256-gcm;客户端到服务器的HMAC算法为aes256-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp384.
当客户端未采用安全级别为128-bit和192-bit的SuiteB算法集与远程的Stelnet服务器建立连接时,客户端算法要求:密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384;服务器到客户端的加密算法为aes128-gcm、aes256-gcm;客户端到服务器的加密算法为aes128-gcm、aes256-gcm;服务器到客户端的HMAC算法为aes128-gcm、aes256-gcm;客户端到服务器的HMAC算法为aes128-gcm、aes256-gcm;主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384.
关于退出字符的使用,需要注意的是:1-64必须在一行中首先输入退出字符和.
,该操作才能生效,若该行中曾经输入过其它字符或执行了其它操作(比如退格),则需要重新换行输入才能生效.
一般情况下,建议使用缺省退出字符,避免退出字符和.
的组合与登录用户名相同.
【举例】#Stelnet客户端采用128-bit的SuiteB算法集,与登录地址为3.
3.
3.
3的远程Stelnet服务器建立连接,采用如下连接策略:指定客户端证书的PKI域名称为clientpkidomain,指定验证服务端证书的PKI域名称为serverpkidomain.
ssh23.
3.
3.
3suite-b128-bitpki-domainclientpkidomainserver-pki-domainserverpkidomainUsername:1.
3SSH2协议配置命令1.
3.
1displayssh2algorithmdisplayssh2algorithm命令用来显示设备上配置的SSH2协议使用的算法优先列表.
【命令】displayssh2algorithm【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【举例】#显示设备上配置的SSH2协议使用的算法优先列表.
displayssh2algorithmKeyexchangealgorithms:ecdh-sha2-nistp256ecdh-sha2-nistp384dh-group-exchange-sha1dh-group14-sha1dh-group1-sha1Publickeyalgorithms:x509v3-ecdsa-sha2-nistp256x509v3-ecdsa-sha2-nistp384ecdsa-sha2-nistp256ecdsa-sha2-nistp384rsadsaEncryptionalgorithms:aes128-ctraes192-ctraes256-ctraes128-gcmaes256-gcmaes128-cbc3des-cbcaes256-cbcdes-cbcMACalgorithms:sha2-256sha2-512sha1md5sha1-96md5-96表1-5displayssh2algorithm命令显示信息描述表字段描述Keyexchangealgorithms按优先级前后顺序显示当前使用的密钥交换算法列表Publickeyalgorithms按优先级前后顺序显示当前使用的主机算法列表Encryptionalgorithms按优先级前后顺序显示当前使用的加密算法列表1-65字段描述MACalgorithms按优先级前后顺序显示当前使用的MAC算法列表【相关命令】ssh2algorithmkey-exchangessh2algorithmpublic-keyssh2algorithmcipherssh2algorithmmac1.
3.
2ssh2algorithmcipherssh2algorithmcipher命令用来配置SSH2协议使用的加密算法列表.
undossh2algorithmcipher命令用来恢复缺省情况.
【命令】非FIPS模式下:ssh2algorithmcipher{3des-cbc|aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm|des-cbc}*undossh2algorithmcipherFIPS模式下:ssh2algorithmcipher{aes128-cbc|aes128-ctr|aes128-gcm|aes192-ctr|aes256-cbc|aes256-ctr|aes256-gcm}*undossh2algorithmcipher【缺省情况】SSH2协议采用的缺省加密算法从高到底的优先级列表为aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、3des-cbc、aes256-cbc和des-cbc.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】3des-cbc:3DES-CBC加密算法.
aes128-cbc:128位AES-CBC加密算法.
aes128-ctr:128位AES-CTR加密算法.
aes128-gcm:128位AES-GCM加密算法.
aes192-ctr:192位AES-CTR加密算法.
aes256-cbc:256位AES-CBC加密算法.
aes256-ctr:256位AES-CTR加密算法.
1-66aes256-gcm:256位AES-GCM加密算法.
des-cbc:DES-CBC加密算法.
【使用指导】当设备运行环境要求SSH2只能采用特定加密算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的加密算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的加密算法为aes256-cbc.
system-view[Sysname]ssh2algorithmcipheraes256-cbc【相关命令】displayssh2algorithmssh2algorithmkey-exchangessh2algorithmmacssh2algorithmpublic-key1.
3.
3ssh2algorithmkey-exchangessh2algorithmkey-exchange命令用来配置SSH2协议使用的密钥交换算法列表.
undossh2algorithmkey-exchange命令用来恢复缺省情况.
【命令】非FIPS模式下:ssh2algorithmkey-exchange{dh-group-exchange-sha1|dh-group1-sha1|dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}*undossh2algorithmkey-exchangeFIPS模式下:ssh2algorithmkey-exchange{dh-group14-sha1|ecdh-sha2-nistp256|ecdh-sha2-nistp384}*undossh2algorithmkey-exchange【缺省情况】SSH2协议采用的缺省密钥交换算法从高到底的优先级列表为ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group14-sha1、dh-group-exchange-sha1和dh-group1-sha1.
【视图】系统视图【缺省用户角色】network-adminmdc-admin1-67【参数】dh-group-exchange-sha1:密钥交换算法diffie-hellman-group-exchange-sha1.
dh-group1-sha1:密钥交换算法diffie-hellman-group1-sha1.
dh-group14-sha1:密钥交换算法diffie-hellman-group14-sha1.
ecdh-sha2-nistp256:密钥交换算法ecdh-sha2-nistp256.
ecdh-sha2-nistp384:密钥交换算法ecdh-sha2-nistp384.
【使用指导】当设备运行环境要求SSH2只能采用特定密钥交换算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的密钥交换算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的密钥交换算法为dh-group1-sha1.
system-view[Sysname]ssh2algorithmkey-exchangedh-group1-sha1【相关命令】displayssh2algorithmssh2algorithmcipherssh2algorithmmacssh2algorithmpublic-key1.
3.
4ssh2algorithmmacssh2algorithmmac命令用来配置SSH2协议使用的MAC算法列表.
undossh2algorithmmac命令用来恢复缺省情况.
【命令】非FIPS模式下:ssh2algorithmmac{md5|md5-96|sha1|sha1-96|sha2-256|sha2-512}*undossh2algorithmmacFIPS模式下:ssh2algorithmmac{sha1|sha1-96|sha2-256|sha2-512}*undossh2algorithmmac【缺省情况】SSH2协议使用的缺省MAC算法从高到底的优先级列表为sha2-256、sha2-512、sha1、md5、sha1-96和md5-96.
【视图】系统视图【缺省用户角色】network-admin1-68mdc-admin【参数】md5:HMAC算法HMAC-MD5.
md5-96:HMAC算法HMAC-MD5-96.
sha1:HMAC算法HMAC-SHA1.
sha1-96:HMAC算法HMAC-SHA1-96.
sha2-256:HMAC算法HMAC-SHA2-256.
sha2-512:HMAC算法HMAC-SHA2-512.
【使用指导】当设备运行环境要求SSH2只能采用特定MAC算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的MAC算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的MAC算法为md5.
system-view[Sysname]ssh2algorithmmacmd5【相关命令】displayssh2algorithmssh2algorithmcipherssh2algorithmkey-exchangessh2algorithmpublic-key1.
3.
5ssh2algorithmpublic-keyssh2algorithmpublic-key命令用来配置SSH2协议使用的主机签名算法列表.
undossh2algorithmpublic-key命令用来恢复缺省情况.
【命令】非FIPS模式下:ssh2algorithmpublic-key{dsa|ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}*undossh2algorithmpublic-keyFIPS模式下:ssh2algorithmpublic-key{ecdsa-sha2-nistp256|ecdsa-sha2-nistp384|rsa|x509v3-ecdsa-sha2-nistp256|x509v3-ecdsa-sha2-nistp384}*undossh2algorithmpublic-key【缺省情况】SSH2协议使用的缺省主机签名算法从高到底的优先级列表为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、rsa和dsa.
1-69【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】dsa:公钥算法为DSA.
ecdsa-sha2-nistp256:指定公钥长度为256的ECDSA算法.
ecdsa-sha2-nistp384:指定公钥长度为384的ECDSA算法.
rsa:公钥算法为RSA.
x509v3-ecdsa-sha2-nistp256:x509v3-ecdsa-sha2-nistp256公钥算法.
x509v3-ecdsa-sha2-nistp384:x509v3-ecdsa-sha2-nistp384公钥算法.
【使用指导】当设备运行环境要求SSH2只能采用特定主机签名算法的情况下,可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的主机签名算法限定在配置的范围内.
算法的配置顺序即为算法的优先级顺序.
【举例】#配置SSH2协议所使用的主机签名算法为dsa.
system-view[Sysname]ssh2algorithmpublic-keydsa【相关命令】displayssh2algorithmssh2algorithmcipherssh2algorithmkey-exchangessh2algorithmmac