所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
E600 V200R010C00 配置指南-基础配置

本文档介绍了如何使用命令行接口、如何登录设备,以及文件操作、系统启动等功能的配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置设备作为SCP客户端访问其他设备的文件

配置设备作为SCP客户端访问其他设备的文件

SCP是SSH协议的一部分,是基于SSH协议的远程文件拷贝技术,配置设备作为SCP客户端,客户端和服务器之间经过协商,建立安全连接的同时进行文件的上传和下载操作。

前置任务

在配置通过SCP访问其他设备的文件之前,需完成以下任务:

  • 当前设备和SSH服务器路由可达。
  • 已获取SSH服务器的主机名或IP地址以及SSH用户信息。
  • 如果服务器不是使用标准的端口号,则还需获取服务器端设置的端口号。

配置流程

通过SCP访问其他设备文件的配置流程如表6-47所示。

表6-47  配置设备作为SCP客户端访问其他设备文件的配置流程
序号 配置任务名称 配置任务说明 配置流程说明
1 (可选)配置SCP客户端源地址

客户端源地址可以配置为源接口或源IP,达到安全校验的目的。

序号1、2、3之间没有严格的配置顺序。
2 生成本地密钥对

生成本地密钥对,然后将公钥配置到SSH服务器上。

本步骤仅在设备以RSA、DSA或ECC方式登录SSH服务器的时候执行,password方式登录SSH服务器则无需执行。

3 配置设备首次连接SSH服务器的方式

有两种配置方式:使能SSH客户端首次认证功能方式和SSH客户端为SSH服务器分配公钥方式,用户可选择其一进行配置。

4 使用SCP命令连接其他设备

-

操作步骤

  • (可选)配置SCP客户端源地址

    表6-48  (可选)配置SCP客户端源地址
    操作步骤 命令 说明
    进入系统视图 system-view -
    配置SCP客户端的源地址信息

    scp client-source { -a source-ip-address | -i interface-type interface-number }

    缺省情况下,没有配置源地址。

  • 生成本地密钥对

    说明:

    此步骤仅在设备以RSA、DSA或ECC方式登录SSH服务器的时候执行,设备以password方式登录SSH服务器,则无需执行。

    表6-49  生成本地密钥对
    操作步骤 命令 说明

    进入系统视图

    system-view

    -

    生成本地密钥对

    rsa local-key-pair createdsa local-key-pair createecc local-key-pair create

    根据对端密钥的类型,三选一。

    密钥对生成后,可以执行display rsa local-key-pair publicdisplay dsa local-key-pair publicdisplay ecc local-key-pair public命令查看RSA本地密钥对、DSA本地密钥对或ECC密钥对中的公钥部分信息,然后将公钥配置到SSH服务器上。

  • 配置设备首次连接SSH服务器的方式

    作为客户端的设备首次连接SSH服务器时,因为客户端还没有保存过SSH服务器的公钥,无法对SSH服务器有效性进行检查,这样会导致连接不成功。可以通过下面两种方式来解决:

    • 使能SSH客户端首次认证功能方式:不对SSH服务器的公钥进行有效性检查,确保首次连接成功。成功连接后,系统将自动分配并保存公钥,为下次连接时认证使用。具体配置见表6-43。此种方式配置简单。
    • SSH客户端配置服务器公钥方式:将服务器端产生的公钥直接保存至客户端,保证在首次连接时SSH服务器有效性检查能够通过。具体配置见表6-44。此种方式配置较复杂,但比上面那种方式安全性更高。
    表6-50  使能SSH客户端首次认证功能
    操作步骤 命令 说明

    进入系统视图

    system-view

    -

    使能SSH客户端首次认证功能

    ssh client first-time enable

    缺省情况下,SSH客户端首次认证功能是关闭的。
    表6-51  SSH客户端为SSH服务器分配RSA、DSA或ECC公钥方式
    操作步骤 命令 说明

    进入系统视图

    system-view

    -

    进入RSA、DSA或ECC公共密钥视图

    rsa peer-public-key key-name [ encoding-type { der | openssh | pem } ]

    dsa peer-public-key key-name encoding-type { der | openssh | pem }

    ecc peer-public-key key-name encoding-type { der | openssh | pem }

    根据生成的密钥类型,三选一。

    进入公共密钥编辑视图

    public-key-code begin

    -

    编辑公共密钥

    hex-data

    • 键入的公共密钥必须是按公钥格式编码的十六进制字符串,由SSH服务器随机生成。
    • 进入公共密钥编辑视图后,即可将服务器上产生的RSA、DSA或ECC公钥输入到客户端。

    退出公共密钥编辑视图

    public-key-code end

    • 如果输入的密钥编码hex-data不合法,执行本步骤后,将无法生成密钥。
    • 如果指定的密钥key-name已经被删除,再执行本步骤时,系统会提示:密钥已经不存在,此时直接退到系统视图。

    退出公共密钥视图,回到系统视图

    peer-public-key end

    -

    为SSH服务器绑定RSA、DSA或ECC公钥

    ssh client servername assign { rsa-key | dsa-key | ecc-key } keyname

    如果SSH客户端保存的SSH服务器公钥失效,执行命令undo ssh client servername assign { rsa-key | dsa-key | ecc-key },取消SSH服务器与RSA、DSA或ECC公钥的绑定关系,再执行本命令,为SSH服务器重新分配RSA、DSA或ECC公钥。

  • 使用SCP命令连接其他设备

    SCP与SFTP方式不同,当SCP命令执行后,与服务器建立安全连接,客户端可以直接上传文件至服务器或从服务器下载文件至本地。

    表6-52  使用SCP命令连接其他设备
    操作步骤 命令 说明

    进入系统视图

    system-view

    -

    (可选)配置SSH客户端的密钥交换算法列表

    ssh client key-exchange { dh_group_exchange_sha1 | dh_group14_sha1 | dh_group1_sha1 } *

    缺省情况下,SSH客户端支持所有的密钥交换算法。

    (可选)配置SSH客户端的加密算法列表

    ssh client cipher { des_cbc | 3des_cbc | aes128_cbc | aes256_cbc | aes128_ctr | aes256_ctr } *

    缺省情况下,SSH客户端支持的加密算法为3DES_CBC、AES128_CBC、AES256_CBC、AES128_CTR和AES256_CTR。

    (可选)配置SSH客户端上的校验算法列表

    ssh client hmac { md5 | md5_96 | sha1 | sha1_96 | sha2_256 | sha2_256_96 } *

    缺省情况下,SSH客户端支持的校验算法为md5、md5_96、sha1、sha1_96、sha2_256、sha2_256_96。

    IPv4地址

    scp [ -port port-number | identity-key { dsa | rsa | ecc } | user-identity-key { rsa | dsa | ecc } | { -a source-address | -i interface-type interface-number } | -r | -cipher -cipher | -c ] * sourcefile destinationfile

    根据地址类型选其一。

    说明:

    在使用中需要注意,为了安全性考虑,用户选择加密算法时,建议采用aes128或aes256算法。

    IPv6地址

    scp ipv6 [ -port port-number | identity-key { dsa | rsa | ecc } | user-identity-key { rsa | dsa | ecc } | -a source-address | -r | -cipher -cipher | -c ] * sourcefile destinationfile [ -oi interface-type interface-number ]

    说明:

    由于文件系统对根目录下的文件个数有限制,当根目录中文件个数大于50个时,继续在根目录中创建文件可能会失败。

检查配置结果

  • 使用display scp-client命令,在SCP客户端查看源配置信息。
  • 使用display ssh server-info命令,查看客户端所有的SSH服务器与公钥之间的对应关系。
下载文档
更新时间:2018-10-24

文档编号:EDOC1000141359

浏览量:22786

下载量:49

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页