所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
E600 V200R010C00 配置指南-基础配置

本文档介绍了如何使用命令行接口、如何登录设备,以及文件操作、系统启动等功能的配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
设备支持的文件管理方式

设备支持的文件管理方式

用户可以通过直接登录系统、FTP、TFTP、SFTP、SCP和FTPS方式进行文件操作,实现对文件的管理。

设备在进行文件管理的过程中,可以分别充当服务器和客户端的角色:

  • 设备作为服务器:可以从终端访问设备,实现对本设备文件的管理,以及与终端间的文件传输操作。
  • 设备作为客户端访问其他设备(服务器):可以实现管理其他设备上的文件,以及与其他设备间进行文件传输操作。

对于TFTP方式,设备只支持客户端功能;对于FTP、SFTP、SCP以及FTPS方式,设备均支持服务器与客户端功能。

各种文件管理方式的应用场景,优缺点如表6-1所示,用户可以根据需求选择其中一种方式。

表6-1  文件管理方式
文件管理方式 应用场景 优点 缺点
直接登录系统

通过Console口、Telnet或STelnet方式登录设备,对存储器、目录和文件进行管理。特别是对存储器的操作需要通过此种方式。

存储器、目录和文件的管理直接通过登录设备完成,方便快捷。

只是对本设备进行文件操作,无法进行文件的传输。

FTP(File Transfer Protocol)

适用于对网络安全性要求不是很高的文件传输场景中,广泛用于版本升级等业务中。

  • 配置较简单,支持文件传输以及文件目录的操作。
  • FTP可以在两个不同文件系统主机之间传输文件。
  • 具有授权和认证功能。

明文传输数据,存在安全隐患。

TFTP(Trivial File Transfer Protocol)

在网络条件良好的实验室局域网中,可以使用TFTP进行版本的在线加载和升级。适用于客户端和服务器之间,不需要复杂交互的环境。

TFTP所占的内存要比FTP小。

  • 设备只支持TFTP客户端功能。
  • TFTP只支持文件传输,不支持交互。
  • TFTP没有授权和认证,且是明文传输数据,存在安全隐患,易于网络病毒传输以及被黑客攻击。
SFTP(Secure File Transfer Protocol) 适用于网络安全性要求高的场景,目前被广泛用于日志下载、配置文件备份等业务中。
  • 数据进行了严格加密和完整性保护,安全性高。
  • 支持文件传输及文件目录的操作。
  • 在设备上可以同时配置SFTP功能和普通FTP功能。(这一点与FTPS方式相比:FTPS是不可以同时提供FTPS和普通FTP功能的。)
配置较复杂。
SCP(Secure Copy Protocol) 适用于网络安全性要求高,且文件上传下载效率高的场景。
  • 数据进行了严格加密和完整性保护,安全性高。
  • 客户端与服务器连接的同时完成文件的上传下载操作(即连接和拷贝操作使用一条命令完成),效率较高。
配置较复杂(与SFTP方式的配置非常类似),且不支持交互。
FTPS(FTP over SSL(Secure Sockets Layer)) 适用于网络安全性要求高,且不提供普通FTP功能的场景。 利用数据加密、身份验证和消息完整性验证机制,为基于TCP可靠连接的应用层协议提供安全性保证。
  • 配置较复杂,需要预先从CA处获得一套证书。
  • 若配置FTPS服务,则普通的FTP服务功能必须关闭。

直接登录系统、FTP、TFTP方式,理解和配置都比较简单,下面主要介绍下另外几种文件管理方式

SFTP方式

SFTP是SSH协议的一部分,利用SSH协议提供的安全通道,使得远程用户可以安全地登录设备进行文件管理和文件传输等操作,为数据传输提供了更高的安全保障。同时,设备支持客户端的功能,用户可以从本地设备安全登录到远程SSH服务器上,进行文件的安全传输。

SSH提供的安全性主要有:

  • 密文传输:在SSH连接建立初期,双方会通过协商的方式得出双方通信的加密算法和会话密钥,此后双方的通信就是以密文的方式进行,这样非法用户就很难窃取到合法用户的帐户信息。
  • 支持基于公钥的认证:设备支持RSA、DSA和ECC三种公钥认证方式。
  • 支持对服务器的认证:SSH协议可以通过验证服务器端公钥的方式来对服务器的身份进行认证,从而可以避免“伪服务器”方式的攻击。
  • 支持对交互数据的校验:SSH协议支持对数据的完整性和真实性的校验,使用的校验方法是CRC(SSH1.5版本)和基于MD5的MAC算法(SSH2.0版本)。这样可以有效地防止类似于“中间人”的攻击。

SSH连接的建立过程:

  1. 协商SSH版本号

    客户端与服务器通过发送的标识版本的字符串选择相互通讯所用的SSH协议版本。

  2. 算法协商

    服务器和客户端进行密钥交换算法、加密算法、MAC算法协商的一个交互过程,用于后续的通讯过程。

  3. 密钥交换

    根据前面算法协商过程中确定的密钥交换算法,服务器和客户端通过计算获得相同的会话密钥和会话ID。

  4. 验证用户身份

    客户端向服务器发送用户身份信息。客户端将采用在服务器端配置的用户验证方式向服务器提出验证请求,直到验证通过或连接超时断开。

    服务器提供公钥认证和密码认证。

    • 在公钥(RSA、DSA和ECC三种)认证方式下,客户端必须生成RSA、DSA和ECC三种密钥对(包含公钥和私钥),并将公钥发送给服务器端。用户发起认证请求时,客户端随机生成一段由私钥加密的密文并发送给服务器,服务器利用客户端的公钥对其进行解密,解密成功就认为用户是可信的,对用户授予相应的访问权限。否则,中断连接。
    • 密码认证依靠AAA实现,与Telent和FTP类似,支持本地数据库和远程RADIUS服务器验证,服务器对来自客户端的用户名与密码和预先配置的用户名与密码进行比较,如果完全匹配则验证通过。
  5. 请求会话

    认证完成后,客户端向服务器提交会话请求。服务器则进行等待,处理客户端的请求。

  6. 交互会话

    会话申请成功后,连接进入交互会话模式。在这个模式下,数据在两个方向上双向传送。

说明:

在进行SSH连接建立前,需要在服务器端生成本地密钥对(RSA密钥对、DSA密钥对和ECC密钥对),这个密钥对不仅用于生成会话密钥和会话ID,还用于客户端验证服务器身份,同时这也是配置SSH服务器的关键步骤。

SCP方式

SCP也是SSH协议的一部分,是基于SSH协议的远程文件拷贝技术,实现文件的拷贝,包括上传和下载。SCP文件拷贝命令简单易用,提高了网络维护的效率。

FTPS方式

FTPS将FTP和SSL(Secure Sockets Layer,安全套接层)结合,又称安全FTP。通过SSL对客户端身份和服务器进行验证,对传输的数据进行加密,SSL为普通FTP服务器提供了安全连接,从而很大程度上改善了普通FTP服务器安全性问题,实现了对设备上文件的安全管理。

配置此方式必须要了解的几个概念:

  • CA(Certificate Authority)

    CA是发放、管理、废除数字证书的机构。CA的作用是检查数字证书持有者身份的合法性,并签发数字证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。国际上被广泛信任的CA,被称之为根CA。根CA可授权其它CA为其下级CA。CA的身份也需要证明,而证明信息在信任证书机构文件中描述。

    例如:CA1作为最上级CA也叫根证书,签发下一级CA2证书,CA2又可以给它的下一级CA3签发证书,以此下去,最终由CAn签发服务器的证书。

    如果服务器端的证书由CA3签发,则在客户端验证证书的过程从服务器端的证书有效性验证开始。先由CA3证书验证服务器端证书的有效性,如果通过则再由CA2证书验证CA3证书的有效性,最后由最上级CA1证书验证CA2证书的有效性。只有通过最上级CA证书即根证书的验证,服务器证书才会验证成功。

    证书签发过程与证书验证过程如图6-1所示。

    图6-1  证书签发过程与证书验证过程示意图
  • 数字证书

    数字证书实际上是存于计算机上的一个记录,是由CA签发的一个声明,证明证书主体(证书申请者拥有了证书后即成为证书主体)与证书中所包含的公钥的惟一对应关系。数字证书中包括证书申请者的名称及相关信息、申请者的公钥、签发数字证书的CA的数字签名及数字证书的有效期等内容。数字证书的作用使网上通信双方的身份得到了互相验证,提高了通信的可靠性。

    用户必须事先获取信息发送者的公钥证书,以便对信息进行解码认证,同时还需要CA发送给发送者的证书,以便用户验证发送者的身份。

  • 证书撤销列表CRL(Certificate Revocation List)

    CRL由CA发布,它指定了一套证书发布者认为无效的证书。

    数字证书的寿命是有限的,但CA可通过证书撤销过程缩短证书的寿命。CRL指定的寿命通常比数字证书指定的寿命要短。由CA撤销数字证书,意味着CA在数字证书正常到期之前撤销允许使用密钥对的有关声明。在撤销证书到期后,CRL中的有关数据被删除,以缩短CRL列表的大小。

设备分别作为服务器和客户端的实现方式:

  • 从用户终端访问作为FTP服务器的设备

    在作为FTP服务器的设备上部署SSL策略,加载数字证书并使能安全FTP服务器功能后,用户在终端通过支持SSL的FTP客户端软件访问安全FTP服务器,在终端与服务器之间实现文件的安全管理操作。

  • 设备作为客户端访问FTP服务器

    在作为FTP客户端的设备上部署SSL策略并加载信任证书机构文件,检查证书持有者身份的合法性,以防证书被伪造或篡改。

下载文档
更新时间:2018-10-24

文档编号:EDOC1000141359

浏览量:22361

下载量:49

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页