所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
E600 V200R010C00 配置指南-基础配置

本文档介绍了如何使用命令行接口、如何登录设备,以及文件操作、系统启动等功能的配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置设备作为FTPS客户端访问其他设备的文件

配置设备作为FTPS客户端访问其他设备的文件

FTPS将FTP和SSL结合,又称安全FTP。通过SSL对服务器身份进行验证,对传输的数据进行加密,为普通FTP服务器提供了安全连接。配置设备作为FTPS客户端,从而实现安全的文件传输以及对服务器上文件及目录的管理,通过此方式访问服务器后的操作与普通FTP是一样的。

前置任务

在配置通过FTPS访问其他设备的文件之前,需完成以下任务:

  • 设备和安全FTP(FTPS)服务器路由可达。
  • FTPS服务器端已加载数字证书,能正常访问。
  • 已获取FTPS服务器的主机名或IP地址、FTP用户名及密码。

配置流程

通过FTPS访问其他设备文件的配置流程如表6-53所示。

表6-53  配置设备作为FTPS客户端访问其他设备的文件配置流程
序号 配置任务名称 配置任务说明 配置流程说明
1 上传CA证书和证书撤销列表(CRL)

通过其他文件上传方式将所需文件上传至设备。

序号1、2、3有序操作,FTPS连接建立后,序号4、5无操作顺序,序号6(断开连接操作)为最后一步。
2 配置SSL策略并加载CA证书和CRL

-

3 使用FTPS连接其他设备

-

4 通过FTP文件操作命令进行文件操作

包括目录操作、文件操作、配置文件传输方式、查看FTP命令在线帮助等。

5 (可选)更改登录用户

-

6 断开与FTP服务器的连接

-

操作步骤

  • 上传CA证书和证书撤销列表(CRL)

    可使用FTP、SFTP或SCP方式将CA证书和CRL文件上传至设备,且要保存至security中,如设备无此目录,可执行命令mkdir security创建。

    说明:
    • 访问FTPS服务器的客户端需要从CA得到CA证书,用来验证服务器数字证书的有效性。

    • CRL也由CA发布,包含了被吊销证书的序列号,若服务器端的数字证书被列入了CRL,则客户端认证服务器不成功,FTPS无法连接。

    证书格式分为PEM格式、ASN1格式和PFX格式。虽然证书的格式不相同,但是证书的内容一样。
    • PEM格式的证书是最常用的一种数字证书格式,文件的扩展名是.pem,适用于系统之间的文本模式传输。

    • ASN1是通用的数字证书格式之一,文件的扩展名是.der,是大多数浏览器的默认格式。

    • PFX是通用的数字证书格式之一,文件的扩展名是.pfx,是可移植的二进制格式。

    CRL文件支持ASN1和PEM两种类型,虽然格式不一样,但是文件的内容一样。

    具体的操作步骤请参考手册中其他文件上传方式的介绍。

  • 配置SSL策略并加载CA证书和CRL

    表6-54  配置SSL策略并加载CA证书和CRL
    操作步骤 命令 说明

    进入系统视图

    system-view

    -

    (可选)定制SSL算法套

    ssl cipher-suite-list customization-policy-name

    创建SSL算法套定制策略并进入定制策略视图。

    缺省情况下,没有配置SSL算法套定制策略。

    set cipher-suite { tls1_ck_rsa_with_aes_256_sha | tls1_ck_rsa_with_aes_128_sha | tls1_ck_rsa_rc4_128_sha | tls1_ck_dhe_rsa_with_aes_256_sha | tls1_ck_dhe_dss_with_aes_256_sha | tls1_ck_dhe_rsa_with_aes_128_sha | tls1_ck_dhe_dss_with_aes_128_sha | tls12_ck_rsa_aes_256_cbc_sha256 }

    配置SSL算法套定制策略中支持的算法套。

    缺省情况下,SSL算法套定制策略中没有配置算法套。

    配置算法套定制策略中支持的算法套后,SSL协商时将使用定制策略中配置的策略进行协商。

    如果算法套定制策略已经被SSL策略引用,可以对算法套进行增加、修改和部分删除,但不能将算法套定制策略中的算法套全部删除。

    quit

    返回系统视图。

    配置SSL策略并进入SSL策略视图

    ssl policy policy-name

    -

    (可选)设置SSL策略所采用的最低SSL版本

    ssl minimum version { ssl3.0 | tls1.0 | tls1.1 | tls1.2 }

    缺省情况下,SSL策略所采用的最低SSL版本为TLS1.1。

    (可选)在SSL策略中绑定指定的SSL算法套定制策略

    binding cipher-suite-customization customization-policy-name

    缺省情况下,SSL策略未绑定算法套定制策略,使用默认的算法套。SSL策略默认支持如下算法套:

    • tls1_ck_rsa_with_aes_256_sha
    • tls1_ck_rsa_with_aes_128_sha
    • tls1_ck_dhe_rsa_with_aes_256_sha
    • tls1_ck_dhe_dss_with_aes_256_sha
    • tls1_ck_dhe_rsa_with_aes_128_sha
    • tls1_ck_dhe_dss_with_aes_128_sha
    • tls12_ck_rsa_aes_256_cbc_sha256

    绑定的SSL算法套定制策略中如果仅有一种类型的算法(RSA或DSS),SSL策略需要加载对应类型的证书,确保SSL协商时能成功。

    加载PEM格式的证书

    trusted-ca load pem-ca ca-filename

    根据证书类型,选其一。

    一个SSL策略最多可以同时加载4个CA证书。如果多次加载不同的CA证书,CA证书会被增加到现有的CA证书列表中。

    加载ASN1格式的证书

    trusted-ca load asn1-ca ca-filename

    加载PFX格式的证书

    trusted-ca load pfx-ca ca-filename auth-code cipher auth-code

    加载CRL

    crl load { pem-crl | asn1-crl } crl-filename

    一个SSL策略最多可以同时加载2个CRL文件。如果多次加载不同的CRL文件,CRL文件会被增加到现有的CRL文件列表中。

    说明:
    • 如果FTPS服务器端配置的证书文件包含的是单个证书,则需要在客户端配置此证书以上的各级CA证书,直接到根证书为止。
    • 如果FTPS服务器端配置的是证书链,则只需在客户端配置根证书即可。
    • 若没有加载CRL,其实是不影响FTPS的正常连接的,但此时客户端无法保证服务器端数字证书的有效性,建议在客户端加载CRL,并定期更新。

  • 使用FTPS连接其他设备

    表6-55  使用FTPS连接其他设备
    操作步骤 命令 说明
    IPv4网络 ftp ssl-policy policy-name [ -a source-ip-address | -i interface-type interface-number ] host [ port-number ]

    根据地址类型,二选一。

    IPv6网络 ftp ssl-policy policy-name ipv6 host-ipv6-address [ port-number ]

    使用FTPS连接其他设备,也可以先执行ftp命令进入FTP客户端视图,然后再执行open命令完成FTP连接操作。

    用户访问服务器时,需要经过验证,输入正确的用户名和密码后,则可以进入FTP客户端视图,对服务器上的文件进行管理和操作。

  • 通过FTP命令进行文件操作

    用户访问FTPS服务器后,可对FTPS服务器中的文件进行操作(与普通FTP方式一样)。

    说明:

    用户的操作权限受限于服务器上对该用户的权限设置。

    由于文件系统对根目录下的文件个数有限制,当根目录中文件个数大于50个时,继续在根目录中创建文件可能会失败。

    以下各操作没有严格顺序,可根据需求选择一种或多种操作项目。

    表6-56  通过FTP命令进行文件操作
    操作项目 命令 说明
    改变服务器上的工作路径 cd remote-directory -
    改变服务器的工作路径到上一级目录 cdup -
    显示服务器工作路径 pwd -
    显示或者改变客户端的工作路径 lcd [ local-directory ]

    pwd不同的是,lcd命令执行后显示的是客户端的本地工作路径,而pwd显示的则是远端服务器的工作路径。

    在服务器上创建目录 mkdir remote-directory

    创建的目录可以为字母和数字等的组合,但不可以为<、>、?、\、:等特殊字符。

    在服务器上删除目录 rmdir remote-directory -
    显示服务器上指定目录或文件的信息 dir/ls [ remote-filename [ local-filename ] ]
    • ls命令只能显示出目录/文件的名称,而dir命令可以查看目录/文件的详细信息,如大小,创建日期等。
    • 如果指定远程文件时没有指定路径名称,那么系统将在用户的授权目录下搜索指定的文件。
    删除服务器上指定文件 delete remote-filename -
    上传单个或多个文件 put local-filename [ remote-filename ]

    mput local-filenames

    • put命令是上传单个文件。
    • mput命令是上传多个文件。
    下载单个或多个文件 get remote-filename [ local-filename ]

    mget remote-filenames

    • get命令是下载单个文件。
    • mget命令是下载多个文件。
    配置传输文件的数据类型为ASCII模式或二进制模式 ascii

    binary

    二选一

    • 缺省情况下,文件传输方式为ASCII模式。

    • 传输文本文件使用ASCII方式,传输程序、系统软件、数据库文件等使用二进制模式。

    配置文件传输方式为被动方式或主动方式 passive

    undo passive

    二选一

    缺省情况下,数据传输方式是主动方式

    查看FTP命令的在线帮助 remotehelp [ command ] -
    使能系统的提示功能 prompt 缺省情况下,不使能信息提示。
    打开verbose开关 verbose

    如果打开verbose开关,将显示所有FTP响应,包括FTP协议信息,以及FTP服务器返回的详细信息。

  • (可选)更改登录用户

    设备可以在不退出FTP客户端视图的情况下,以其他的用户名登录到FTPS服务器。所建立的FTP连接,与执行ftp ssl-policy命令建立的FTP连接完全相同。

    操作步骤 命令 说明

    FTP客户端视图下,更改当前的登录用户

    user user-name [ password ]

    更改当前的登录用户后,原用户与服务器的连接将断开。

  • 断开与FTPS服务器的连接

    用户可以在FTP客户端视图中选择不同的命令断开与FTPS服务器的连接。

    操作步骤 命令 说明

    终止与服务器的连接,并退回到用户视图

    byequit 二选一。

    终止与服务器的连接,并退回到FTP客户端视图

    closedisconnect

检查配置结果

  • 使用display ssl policy命令,查看FTPS客户端配置的SSL策略、加载的CA证书和CRL。
下载文档
更新时间:2018-10-24

文档编号:EDOC1000141359

浏览量:22770

下载量:49

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页