所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
E600 V200R010C00 配置指南-基础配置

本文档介绍了如何使用命令行接口、如何登录设备,以及文件操作、系统启动等功能的配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
通过SCP进行文件操作

通过SCP进行文件操作

SCP使得用户终端可以在SSH协议的基础上,与远端设备建立连接的同时完成文件上传和下载的操作。

前置任务

配置通过SCP进行文件操作之前,需完成以下任务:

  • 终端与设备之间路由可达。
  • 终端上已安装支持SCP的SSH客户端软件。

配置流程

通过SCP进行文件操作的配置流程如表6-20所示。

表6-20  通过SCP进行文件操作的配置流程
序号 配置任务名称 配置任务说明 配置流程说明
1 配置SCP服务器功能及参数 包括服务器本地密钥对生成、SCP服务器功能的使能及服务器参数的配置:端口号、密钥对更新时间、SSH认证超时时间、SSH验证重试次数等。 序号1、2、3之间没有严格的配置顺序。
2 配置SSH用户登录的用户界面 包括VTY用户界面的用户验证方式、VTY用户界面支持SSH协议及其它基本属性。
3 配置SSH用户 包括SSH用户的创建、认证方式、服务方式等。
4 用户通过SCP进行文件操作 从终端通过SCP客户端软件实现上传或下载文件的操作。

缺省配置

表6-21  缺省配置
参数 缺省值
SCP服务器功能 关闭

端口号

22

服务器密钥对更新时间

0,表示永不更新

SSH认证超时时间

60秒

SSH验证重试次数

3

SSH用户

没有创建

SSH用户的服务方式

空,即不支持任何服务方式

操作步骤

  • 配置SCP服务器功能及参数

    表6-22  配置SCP服务器功能及参数
    操作步骤 命令 说明

    进入系统视图

    system-view -

    生成本地密钥对

    rsa local-key-pair createdsa local-key-pair createecc local-key-pair create

    根据生成的密钥类型,三选一。

    密钥对生成后,可以执行display rsa local-key-pair publicdisplay dsa local-key-pair publicdisplay ecc local-key-pair public命令查看本地密钥对中的公钥信息。
    说明:

    密钥对长度越大,密钥对安全性就越好,建议使用最大的密钥对长度。

    使能SCP服务器功能

    scp server enable

    缺省情况下,SCP服务为关闭状态。

    (可选)配置SSH服务器端的密钥交换算法列表

    ssh server key-exchange { dh_group_exchange_sha1 | dh_group14_sha1 | dh_group1_sha1 } *

    缺省情况下,SSH服务器支持所有的密钥交换算法。

    (可选)配置SSH服务器端的加密算法列表

    ssh server cipher { 3des_cbc | aes128_cbc | aes128_ctr | aes256_cbc | aes256_ctr | des_cbc } *

    缺省情况下,SSH服务器支持的加密算法为3DES_CBC、AES128_CBC、AES256_CBC、AES128_CTR和AES256_CTR。

    (可选)配置SSH服务器上的校验算法列表

    ssh server hmac { md5 | md5_96 | sha1 | sha1_96 | sha2_256 | sha2_256_96 } *

    缺省情况下,SSH服务器支持的校验算法为md5、md5_96、sha1、sha1_96、sha2_256、sha2_256_96。

    (可选)配置与SSH客户端进行Diffie-hellman-group-exchange密钥交换时,支持的最小密钥长度

    ssh server dh-exchange min-len min-len

    缺省情况下,SSH服务器与客户端进行Diffie-hellman-group-exchange密钥交换时,支持的最小密钥长度为1024字节。

    (可选)端口号

    ssh server port port-number

    缺省情况下,SSH服务器的端口号是22。

    如果配置了新的端口号,SSH服务器端先断开当前已经建立的所有SSH连接,然后使用新的端口号开始尝试连接。这样可以有效防止攻击者对SSH服务标准端口的访问,确保安全性。

    (可选)服务器密钥对更新时间

    ssh server rekey-interval hours

    缺省情况下,SSH服务器密钥对的更新时间间隔为0,表示永不更新。

    配置服务器密钥对更新时间,使得当SSH服务器的更新周期到达时,自动更新服务器密钥对,从而可以保证安全性。

    该命令只在SSH1.X版本生效。SSH1.X的安全性较低,不推荐使用。

    (可选)SSH认证超时时间

    ssh server timeout seconds

    缺省情况下,SSH连接认证超时时间为60秒。

    (可选)配置SSH服务器的源接口

    ssh server-source -i loopback interface-number

    缺省情况下,未指定SSH服务器端的源接口。

    说明:

    指定SSH服务器端的源接口前,必须已经成功创建LoopBack接口,否则会导致本配置无法成功执行。

    (可选)SSH验证重试次数

    ssh server authentication-retries times

    缺省情况下,SSH连接的验证重试次数为3。

    (可选)使能兼容低版本功能

    ssh server compatible-ssh1x enable

    缺省情况下,SSH服务器兼容低版本功能处于未使能状态。

    由低版本升级到高版本的设备,此功能与配置文件中的配置保持一致。

    (可选)配置访问控制列表

    ssh [ ipv6 ] server acl acl-number

    缺省情况下,没有配置访问控制列表。

    配置了访问控制列表,可控制哪些客户端能以SSH方式访问本设备。

    • 生成本地RSA密钥对时,将同时生成两个密钥对:服务器密钥对和主机密钥对,二者分别包括一个公钥和一个私钥。服务器密钥对和主机密钥对的长度均为2048位。
    • 生成本地DSA密钥对时,只生成一个主机密钥对,长度可为1024、2048。缺省情况下,密钥对的长度为2048位。
    • 生成本地ECC密钥对时,只生成一个主机密钥对,长度可为256、384、521。缺省情况下,密钥对的长度为521位。

  • 配置SSH用户登录的用户界面

    使用SCP协议,用户将通过VTY用户界面登录设备,所以需要配置VTY用户界面的相关属性。

    表6-23  配置SSH用户登录的用户界面
    操作步骤 命令 说明

    进入系统视图

    system-view -

    进入VTY用户界面视图

    user-interface vty first-ui-number [ last-ui-number ] -

    配置VTY用户界面的验证方式为AAA

    authentication-mode aaa

    缺省情况下,VTY用户界面没有验证方式。

    必须配置VTY用户界面验证方式为AAA验证,否则protocol inbound ssh不能配置成功,用户也将无法登录设备。

    配置VTY用户界面支持SSH协议

    protocol inbound ssh

    缺省情况下,用户界面支持的协议是SSH。

    如果不配置某个或某几个VTY用户界面支持SSH协议,则SSH用户不能登录设备。

    配置VTY用户界面的用户优先级

    user privilege level level

    必须将用户级别配置为3级及3级以上,否则连接不成功。

    如果是password认证用户,还可以执行local-user user-name privilege level level命令配置本地用户的用户级别为3级及3级以上。

    (可选)VTY用户界面其他属性

    -
    除配置VTY用户界面的验证方式和用户优先级外,VTY用户界面的其他属性包括:
    • VTY用户界面的最大个数
    • VTY用户界面的呼入呼出限制
    • VTY用户界面的终端属性
    请参见(可选)配置VTY用户界面的属性或者(可选)配置VTY用户界面的属性

  • 配置SSH用户

    配置SSH用户包括配置SSH用户的验证方式,设备支持的认证方式包括RSA、password、password-rsa、DSA、password-dsa、ECC、password-ecc和all。其中:
    • password-rsa认证需要同时满足password认证和RSA认证。
    • password-dsa认证需要同时满足password认证和DSA认证。
    • password-ecc认证需要同时满足password认证和ECC认证。
    • all认证是指password认证、RSA、DSA或ECC认证方式满足其中一种即可。
    表6-24  配置SSH用户
    操作步骤 命令 说明

    进入系统视图

    system-view

    -

    创建SSH用户

    ssh user user-name

    -

    配置SSH用户的认证方式

    ssh user user-name authentication-type { password | rsa | password-rsa | dsa | password-dsa | ecc | password-ecc | all }

    如果没有使用ssh user命令配置相应的SSH用户,则可以直接执行ssh authentication-type default password命令为用户配置SSH认证缺省采用密码认证,在用户数量比较多时,对用户使用缺省密码认证方式可以简化配置,此时只需再配置AAA用户即可。

    说明:
    当认证方式为all认证时,用户的优先级需根据接入用户选择的认证方式来决定:
    • 如果接入用户选择的认证方式为password认证,则用户优先级为AAA中设置的用户优先级。
    • 如果接入用户选择的认证方式为RSA、DSA或ECC认证,则用户的优先级由用户接入时所采用的VTY界面的优先级决定。

    如果SSH用户认证方式为all认证,且存在一个同名AAA用户,那通过这两种方式接入时用户优先级可能不同,请根据需要进行部署。

    配置SSH用户的服务方式为all

    ssh user username service-type all

    缺省情况下,SSH用户的服务方式是空,即不支持任何服务方式。

    • password认证依靠AAA实现,当用户使用password、password-rsa、password-dsa或password-ecc认证方式登录设备时,需要在AAA视图下创建同名的本地用户。
    • 如果SSH用户使用password认证,则只需要在SSH服务器端生成本地RSA、DSA或ECC密钥。如果SSH用户使用RSA、DSA或ECC认证,则在服务器端和客户端都需要生成本地RSA、DSA或ECC密钥对,并且服务器端和客户端都需要将对方的公钥配置到本地。
    根据上面配置的认证方式,进行选择配置:
    • 若对SSH用户进行password认证,请根据表6-25进行配置。

    • 若对SSH用户进行RSA、DSA或ECC认证,请根据表6-26进行配置。

    • 若对SSH用户进行password-rsa、password-dsa或password-ecc认证,则AAA用户和RSA、DSA或ECC公共密钥都需要进行配置。即同时配置表6-25表6-26

    表6-25  配置对SSH用户进行password、password-rsa、password-dsa或password-ecc认证
    操作步骤 命令 说明

    进入系统视图

    system-view -

    进入AAA视图

    aaa -

    配置本地用户名和密码

    local-user user-name password irreversible-cipher password

    -

    配置本地用户的服务方式

    local-user user-name service-type ssh -

    配置本地用户的级别

    local-user user-name privilege level level -

    退回到系统视图

    quit -
    表6-26  配置对SSH用户进行dsa、rsa、ecc、password-dsa、password-rsa或password-ecc认证
    操作步骤 命令 说明

    进入系统视图

    system-view -

    进入RSA、DSA或ECC公共密钥视图

    rsa peer-public-key key-name [ encoding-type { der | openssh | pem } ]

    dsa peer-public-key key-name encoding-type { der | openssh | pem }

    ecc peer-public-key key-name encoding-type { der | openssh | pem }

    -

    进入公共密钥编辑视图

    public-key-code begin -

    编辑公共密钥

    hex-data
    • 键入的公共密钥必须是按公钥格式编码的十六进制字符串,由支持SSH的客户端软件生成。具体操作参见相应的SSH客户端软件的帮助文档。
    • 请将RSA、DSA或ECC公钥输入到作为SSH服务器的设备上。

    退出公共密钥编辑视图

    public-key-code end
    • 如果未输入合法的密钥编码hex-data,执行本步骤后,将无法生成密钥。
    • 如果指定的密钥key-name已经在别的窗口下被删除,再执行本步骤时,系统会提示:密钥已经不存在,此时直接退到系统视图。

    退出公共密钥视图,回到系统视图

    peer-public-key end -

    为SSH用户分配RSA、DSA或ECC公钥

    ssh user user-name assign { rsa-key | dsa-key | ecc-key } key-name -

  • 用户通过SCP进行文件操作

    从终端通过SCP方式上传或下载文件,需要在终端上安装支持SCP的SSH客户端软件。此处以使用第三方软件OpenSSH和Windows命令行提示符为例进行配置。

    • OpenSSH软件的安装请参考该软件的安装说明。

    • 使用OpenSSH软件从终端访问设备时,需要使用OpenSSH的命令,命令的使用可以参见该软件的帮助文档。

    • 只有安装了OpenSSH软件后,Windows命令行提示符才能识别OpenSSH相关命令。

    进入Windows的命令行提示符,执行OpenSSH命令,通过SCP方式进行文件操作。(以下显示信息仅为示意)

    C:\Documents and Settings\Administrator> scp scpuser@10.136.23.5:flash:/vrpcfg.zip vrpcfg-backup.zip
    The authenticity of host '10.136.23.5 (10.136.23.5)' can't be established.
    DSA key fingerprint is 46:b2:8a:52:88:42:41:d4:af:8f:4a:41:d9:b8:4f:ee.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '10.136.23.5' (DSA) to the list of known hosts.
    
    User Authentication
    Password:
    vrpcfg.zip                                    100% 1257     1.2KByte(s)/sec   00:00
    Received disconnect from 10.136.23.5: 2: The connection is closed by SSH server
    
    
    C:\Documents and Settings\Administrator>

    可以看到,用户终端通过SCP方式,在与远端设备建立连接的同时完成了文件上传或下载的操作,最后又回到了用户本地路径。

    说明:

    由于文件系统对根目录下的文件个数有限制,当根目录中文件个数大于50个时,继续在根目录中创建文件可能会失败。

检查配置结果

  • 使用display ssh user-information [ username ]命令,在SSH服务器端查看SSH用户信息。

  • 使用display ssh server status命令,查看SSH服务器的全局配置信息。

  • 使用display ssh server session命令,在SSH服务器端查看SSH客户端连接会话信息。

下载文档
更新时间:2018-10-24

文档编号:EDOC1000141359

浏览量:22206

下载量:49

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页