所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置用户登录命令

配置用户登录命令

configuration exclusive

命令功能

configuration exclusive命令用来锁定系统当前配置。在锁定期间,执行锁定配置的用户可以进行查询、配置等动作,其他用户只能进行查询动作。

undo configuration exclusive命令用来解除锁定的配置权限。

缺省情况下,配置权限不锁定。

命令格式

configuration exclusive

undo configuration exclusive

参数说明

视图

所有视图

缺省级别

2:配置级

使用指南

应用场景

设备允许多用户接入进行配置,但是在多用户登录的情况下,如果用户同时进行配置,很可能会出现配置冲突问题,导致业务异常。此时,可执行configuration exclusive命令实现一个用户锁定配置并进行配置动作,其他用户只能查询而不能修改配置。从而保证业务正常。

如果用户需要解除当前锁定的配置权限,可通过如下两种方式实现:
  • 执行undo configuration exclusive命令,解除当前锁定的配置权限。
  • 如果在允许锁定的最长时间间隔内没有任何配置更新,系统将自行解除锁定。允许锁定的最长时间间隔可通过configuration exclusive timeout命令设置。

注意事项

  • 执行configuration exclusive后,其他用户将无法进行配置操作,需慎用。
  • 执行configuration exclusive前,推荐通过configuration exclusive timeout命令配置合适的系统自行解锁时间,以便不影响其他用户正常配置。
  • 同一时刻只能一个会话锁定系统配置,会话登出后会自动解除配置锁定。

使用实例

# 配置加锁。
<HUAWEI> configuration exclusive
# 配置解锁。
<HUAWEI> undo configuration exclusive

client ssl-policy(HTTP视图)

命令功能

client ssl-policy命令用来为HTTP客户端配置SSL(Secure Sockets Layer)策略。

undo client ssl-policy命令用来删除HTTP客户端配置的SSL策略。

缺省情况下,HTTP客户端未配置SSL策略。

命令格式

client ssl-policy policy-name

undo client ssl-policy

参数说明

参数 参数说明 取值
policy-name 指定SSL策略名称。

必须是已存在的SSL策略名称。

视图

HTTP视图

缺省级别

3:管理级

使用指南

应用场景

传统的HTTP不具备安全机制,采用明文的形式传输数据,不能验证通信双方的身份,无法防止传输的数据被篡改等,导致HTTP无法满足电子商务和网上银行等应用的安全性要求。可执行本命令,在客户端上部署SSL策略提高安全性。

配置影响

成功执行本命令后,HTTP通过SSL提供的数据加密、身份验证和消息完整性验证等安全机制,提高安全性。

前置条件

执行本命令前,必须已经成功完成以下步骤:
  1. 在系统视图下执行命令ssl policy,创建SSL策略,并进入SSL策略视图。

  2. 在SSL策略视图下执行命令certificate load,加载数字证书或证书链。

注意事项

HTTP客户端只能配置一个SSL策略,以最后一次配置的SSL策略为准。

使用实例

# 在HTTP客户端配置SSL策略policy1。

<HUAWEI> system-view
[~HUAWEI] ssl policy policy1
[*HUAWEI-ssl-policy-policy1] certificate load pem-cert a_servercertchain2_pem_dsa.pem key-pair dsa key-file a_serverkeychain2_pem_dsa.pem auth-code cipher 123456
[*HUAWEI-ssl-policy-policy1] commit
[~HUAWEI-ssl-policy-policy1] quit
[~HUAWEI] http
[*HUAWEI-http] client ssl-policy policy1

client ssl-verify peer(HTTP视图)

命令功能

client ssl-verify peer命令用来配置HTTP客户端对服务器端进行SSL(Secure Sockets Layer)校验。

undo client ssl-verify命令用来取消HTTP客户端对服务器的SSL校验。

缺省情况下,HTTP客户端不对服务器端进行SSL校验。

命令格式

client ssl-verify peer

undo client ssl-verify

参数说明

视图

HTTP视图

缺省级别

3:管理级

使用指南

应用场景

采用安全HTTP协议,服务端给客户端颁发了SSL数字证书后,客户端就可以通过执行本命令来校验服务器端的合法性,防止客户端访问不合法的服务器,提高安全性。

注意事项

需要同时配置client ssl-policy命令配置客户端的SSL策略本命令才能生效。

使用实例

# 配置HTTP客户端对服务器端进行SSL校验。

<HUAWEI> system-view
[~HUAWEI] http
[*HUAWEI-http] client ssl-verify peer

configuration exclusive timeout

命令功能

configuration exclusive timeout命令用来设置自行解锁时间间隔。

undo configuration exclusive timeout命令用来将自行解锁时间间隔恢复到缺省值。

缺省情况下,锁定间隔为30秒。

命令格式

configuration exclusive timeout timeout-value

undo configuration exclusive timeout

参数说明

参数 参数说明 取值
timeout-value 指定锁定用户无配置下发解锁秒数。 整数形式,单位是秒,取值范围是1~7200。缺省情况下,锁定间隔为30秒。

视图

系统视图

缺省级别

3:管理级

使用指南

执行configuration exclusive timeout命令可以设置锁定配置集权限用户在无配置命令下发情况下,允许锁定的最长时间间隔,超过这个时间间隔系统就自行解锁,其他用户可以正常配置。

执行configuration exclusive timeout命令的操作场景如下:
  • 如果用户没有配置权限,则提示错误。
  • 如果配置已经被其它用户加锁,则设置失败,提示错误。
  • 如果配置已经被加锁,但正是当前设置定时时间的用户锁定的,则可以配置。
说明:
使用configuration exclusive timeout命令要注意:
  • 如该时间设置的过短,则会造成锁定配置集的用户很短时间内没有下发配置命令就会被系统解除锁定。
  • 如该时间设置的过长,则会造成锁定配置集的用户很长时间不下发配置命令也还锁定着配置集,其他用户一直无法取得配置权。
  • 该命令的设定对所有用户有效,用户在锁定配置集时都会受到此约束。

使用实例

# 设置配置解锁时间间隔为120秒。
<HUAWEI> system-view
[~HUAWEI] configuration exclusive timeout 120

display configuration exclusive user

命令功能

display configuration exclusive user命令用来查看当前锁定配置集用户的信息。

命令格式

display configuration exclusive user

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

可以通过display configuration exclusive user命令查询哪个用户当前拥有配置权限。

使用实例

# 查看当前锁定配置级的用户。
<HUAWEI> display configuration exclusive user
User Index: 34
User Session Name: VTY 0
User Name: root
IP Address: 10.135.38.234
Locked Time: 2013-03-06 21:09:36
Last Configuration Time: 2013-03-06 21:09:36
The configuration right was locked and timeout duration is: 30 second(s)
表3-18  display configuration exclusive user命令输出信息描述
项目 描述

User Index

用户索引。

User Session Name

用户的会话名,VTY0~VTY20。

User Name

登录用户名称。

IP Address

用户IP地址,只对VTY连接用户有效。

Locked Time

锁定配置集的时间。

Last Configuration Time

该用户最后一次下发配置命令的时间。

The configuration right was locked and timeout duration is

配置权限锁定的时间。

display dsa key-pair

命令功能

display dsa key-pair命令用来查看设备中带标签的DSA密钥对信息。

命令格式

display dsa key-pair [ brief | label label-name ]

参数说明

参数 参数说明 取值
brief 查看设备中所有带标签的DSA密钥对简要信息。 -
label label-name 查看设备中指定标签的DSA密钥对信息。 设备上密钥对的标签名。

视图

所有视图

缺省级别

3:管理级

使用指南

该命令用来查看带标签的DSA密钥对的信息。命令参数的选择规则如下:

  • 如果指定了参数brief,则可以查看设备中所有带标签的DSA密钥对的简要信息。

  • 如果指定了参数label label-name,则可以查看设备中指定标签的DSA密钥对信息。

  • 如果参数labelbrief均未指定,则显示所有带标签的DSA密钥对信息。

使用实例

# 查看所有带标签的DSA密钥对信息。

<HUAWEI> display dsa key-pair
=====================================                                           
Label name: abc                                                                 
Modulus: 2048                                                                   
Time of Key pair created: 2014-01-13 07:41:46                                   
=====================================                                           
Key :                                                                           
30820325                                                                        
  02820101                                                                      
    00DEDEBA 5C8244DC B8E69691 7CEFEBC0 B3E6FB60                                
    BE8B9E36 D3E4EB9C D6EB7FD2 10219AC0 F41AD47B                                
    F1EACD43 5D39AFA8 FACB6A78 19305EE1 47E42891                                
    2E60452B 37CA17D6 11C2EE4C 46B4BC77 2654C268                                
    56A99ECF A5D80036 7B31A905 22F13949 6F4182DB                                
    FDAAB599 739AB021 85856A88 1F919736 8B92DBF6                                
    849D1C74 6BA27E12 F98A28E4 B6D0587D 655979A7                                
    505413E9 1EFC961C 3F792096 25CFA8D7 D469FA35                                
    A39E37B6 14047D53 5DCD63AF 3058B3A2 5B79C714                                
    B6326B7D B6067EBF 153CC1A7 20B0E1A7 E39C13FE                                
    B3BA26E6 B052DC5B FFEE7C5C 52148FE6 C240738F                                
    BB8F05D4 16B2B5DD 72E3629B B59244BF 9FA29C4F                                
    CD4EA0EE 501FC669 5D03D68D 519324E4 93                                      
  0215                                                                          
    00C6C484 E1F0076B 8AFCAD30 2B98B50A 3A542ABE                                
    BB                                                                          
  02820100                                                                      
    3AC11746 EE959CBD 30F669C5 7E290BC4 7CB5BBFD                                
    96AE9215 7A29C723 72FE8A02 EBED3B76 BE810B42                                
    21AD8D32 F7723F83 59F46B66 FF7805CC 3F86D5D6                                
    5BD424BD 70677EFF 1ACF9B3C CE02CD40 46560DA4                                
    2036205C 6EFAB148 66E6A106 0DF6258B EE31CFE7                                
    4B6C59B4 6FE59A9F BE64F982 EC36A669 FF597FB7                                
    9A56E32E C15A0659 3D17C407 29F587C7 74959017                                
    62B08070 24564B2E E79C6E1D 86793548 76CC662A                                
    1D3DE1D1 2C79E102 C0B10E5C 9C4428B3 AEB93278                                
    26D4CDE5 189A93EA 531E0FF8 2199EF35 DF038976                                
    4538434F F39924F0 5BF17AC8 8E340991 B5EA0A62                                
    A915EE63 F660C092 360C5D2D 796AF230 DB7461F7                                
    C15B6DBA 65C9EFAB 247DB13D 4942E2FF                                         
  02820101                                                                      
    00D34DAC 0A625592 F93D3107 E4CBD1BD 731B1EFD                                
    A537588A 206E7B76 8826EE11 EBE93BA2 D2EF9211                                
    32912326 3F274FAF 5953DFB3 19EF77DD 4AE1D3BB                                
    90A2E56B AE20C8A5 37B5F1F8 0EE4609B D8AEB111                                
    5AF138DF F044FEC8 E05DF127 875B228E 3347B0CE                                
    A60B607C A4F16C2B 52D7A330 13F9FD2F EE24C90E                                
    DC387478 3180115D A60BD22E 12E35B1B 1BFD1523                                
    04C1013E CD2D3EAF D235E191 7DDADB79 824481FA                                
    A312B43F 9B5DB808 63BC6A91 4A184E82 AC46262C                                
    01D9D6A7 33331DF4 BF7DD29C 324437C3 670176D6                                
    EBDE8C83 4A0D8BD6 666637C3 C4CE68FB C184CA27                                
    520506BC BC6F523C 2D00F21E 1D73AB4D 5759D577                                
    E5C90287 ABC97B64 91C3BB8D E24116C6 FD                                      
=====================================     
表3-19  display dsa key-pair命令的输出信息描述
表项 描述
Label name 标签名。通过dsa key-pair label命令配置。
Modulus 密钥对模数。通过dsa key-pair label命令配置。
Time of Key pair created 密钥对的创建时间。
Key 公钥的编码。
相关主题

display dsa local-key-pair public

命令功能

display dsa local-key-pair public命令用来查看设备中本地DSA密钥中的公钥部分信息。

命令格式

display dsa local-key-pair public

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

通过此命令可以查看客户端DSA密钥中的公钥信息,用户可以将执行此命令后的显示信息复制后作为SSH服务器端的DSA公钥对中的内容,以保证客户端和服务器两端公钥保持一致,最终实现验证通过。

使用实例

# 查看客户端DSA密钥中的公钥信息。

<HUAWEI> display dsa local-key-pair public
========================================================
Time of key pair created : 2017-08-02 16:45:00
Key name                 : HUAWEI_Host_DSA
Key modulus              : 2048
Key type                 : DSA encryption key
========================================================
Key code:
30820324
  02820101
    00DEDEBA 5C8244DC B8E69691 7CEFEBC0 B3E6FB60
    BE8B9E36 D3E4EB9C D6EB7FD2 10219AC0 F41AD47B
    F1EACD43 5D39AFA8 FACB6A78 19305EE1 47E42891
    2E60452B 37CA17D6 11C2EE4C 46B4BC77 2654C268
    56A99ECF A5D80036 7B31A905 22F13949 6F4182DB
    FDAAB599 739AB021 85856A88 1F919736 8B92DBF6
    849D1C74 6BA27E12 F98A28E4 B6D0587D 655979A7
    505413E9 1EFC961C 3F792096 25CFA8D7 D469FA35
    A39E37B6 14047D53 5DCD63AF 3058B3A2 5B79C714
    B6326B7D B6067EBF 153CC1A7 20B0E1A7 E39C13FE
    B3BA26E6 B052DC5B FFEE7C5C 52148FE6 C240738F
    BB8F05D4 16B2B5DD 72E3629B B59244BF 9FA29C4F
    CD4EA0EE 501FC669 5D03D68D 519324E4 93
  0215
    00C6C484 E1F0076B 8AFCAD30 2B98B50A 3A542ABE
    BB
  02820100
    3AC11746 EE959CBD 30F669C5 7E290BC4 7CB5BBFD
    96AE9215 7A29C723 72FE8A02 EBED3B76 BE810B42
    21AD8D32 F7723F83 59F46B66 FF7805CC 3F86D5D6
    5BD424BD 70677EFF 1ACF9B3C CE02CD40 46560DA4
    2036205C 6EFAB148 66E6A106 0DF6258B EE31CFE7
    4B6C59B4 6FE59A9F BE64F982 EC36A669 FF597FB7
    9A56E32E C15A0659 3D17C407 29F587C7 74959017
    62B08070 24564B2E E79C6E1D 86793548 76CC662A
    1D3DE1D1 2C79E102 C0B10E5C 9C4428B3 AEB93278
    26D4CDE5 189A93EA 531E0FF8 2199EF35 DF038976
    4538434F F39924F0 5BF17AC8 8E340991 B5EA0A62
    A915EE63 F660C092 360C5D2D 796AF230 DB7461F7
    C15B6DBA 65C9EFAB 247DB13D 4942E2FF
  02820100
    067A64DE A6D47E2D 6D21BD8D C5C630D8 3FE16268
    CAA42061 7D1A73E6 F6397EAF 1B0B88E9 035AFDE8
    5F4387FA 364CD8E1 BD473BC4 7BE75D0A 8EA6A92E
    5B763B53 B97019C0 EDA050B0 A832EC2C 62DB5718
    265093E9 DF2C1F75 B8549280 89E496B4 1B2D1A83
    07C04723 6ECE953F B51F4A31 8B9E9EED 5293E8AA
    44C4E6F1 F6A36949 02350580 4BA4DA38 C8BFADD0
    CBBDD72F 2E6681B1 FA7D7853 E1A3D191 6CA323C3
    A6FF726F F1777D76 BB7C630A 5A4892A1 C78694CF
    C17C07AD 6F640640 A65F22F4 AD2A4FE6 6C6232B1
    FF354D22 8E77C44A E112196F 7FC60365 2B5C6793
    4C132057 C69E2656 0E180446 AA7AE6AA 6D4FA2D8
    18E431D6 ECA1502C 074D0C01 290B5FE2

Host public key for PEM format code:
---- BEGIN SSH2 PUBLIC KEY ----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---- END SSH2 PUBLIC KEY ----

Public key code for pasting into OpenSSH authorized_keys file:
ssh-dss AAAAB3NzaC1kc3MAAAEBAN7eulyCRNy45paRfO/rwLPm+2C+i5420+TrnNbrf9IQIZrA9BrUe/HqzUNdOa+o+stqeBkwXuFH5CiRLmBFKzfKF9YRwu5MRrS8dyZU
wmhWqZ7PpdgANnsxqQUi8TlJb0GC2/2qtZlzmrAhhYVqiB+RlzaLktv2hJ0cdGuifhL5iijkttBYfWVZeadQVBPpHvyWHD95IJYlz6jX1Gn6NaOeN7YUBH1TXc1jrzBYs6Jb
eccUtjJrfbYGfr8VPMGnILDhp+OcE/6zuibmsFLcW//ufFxSFI/mwkBzj7uPBdQWsrXdcuNim7WSRL+fopxPzU6g7lAfxmldA9aNUZMk5JMAAAAVAMbEhOHwB2uK/K0wK5i1
CjpUKr67AAABADrBF0bulZy9MPZpxX4pC8R8tbv9lq6SFXopxyNy/ooC6+07dr6BC0IhrY0y93I/g1n0a2b/eAXMP4bV1lvUJL1wZ37/Gs+bPM4CzUBGVg2kIDYgXG76sUhm
5qEGDfYli+4xz+dLbFm0b+Wan75k+YLsNqZp/1l/t5pW4y7BWgZZPRfEByn1h8d0lZAXYrCAcCRWSy7nnG4dhnk1SHbMZiodPeHRLHnhAsCxDlycRCizrrkyeCbUzeUYmpPq
Ux4P+CGZ7zXfA4l2RThDT/OZJPBb8XrIjjQJkbXqCmKpFe5j9mDAkjYMXS15avIw23Rh98Fbbbplye+rJH2xPUlC4v8AAAEABnpk3qbUfi1tIb2NxcYw2D/hYmjKpCBhfRpz
5vY5fq8bC4jpA1r96F9Dh/o2TNjhvUc7xHvnXQqOpqkuW3Y7U7lwGcDtoFCwqDLsLGLbVxgmUJPp3ywfdbhUkoCJ5Ja0Gy0agwfARyNuzpU/tR9KMYuenu1Sk+iqRMTm8faj
aUkCNQWAS6TaOMi/rdDLvdcvLmaBsfp9eFPho9GRbKMjw6b/cm/xd312u3xjClpIkqHHhpTPwXwHrW9kBkCmXyL0rSpP5mxiMrH/NU0ijnfESuESGW9/xgNlK1xnk0wTIFfG
niZWDhgERqp65qptT6LYGOQx1uyhUCwHTQwBKQtf4g== dsa-key
表3-20  display dsa local-key-pair public命令输出信息描述

项目

描述

Time of key pair created

公钥创建的时间。

Key name

密钥名称。

Key modulus

密钥的长度。

Key type

密钥类型。

Key code

密钥内容。

Host public key for PEM format code

客户端对公钥的PEM编码。

Public key code for pasting into OpenSSH authorized_keys file

OpenSSH文件上的公钥格式。

display dsa peer-public-key

命令功能

display dsa peer-public-key命令用来查看已配置的DSA公共密钥信息。

命令格式

display dsa peer-public-key [ brief | name key-name ]

参数说明

参数 参数说明 取值
brief 显示简要信息。 -
name key-name 显示指定名称的DSA公钥信息。 必须是已存在的key-name。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

当用户需要查看DSA公钥的详细信息,或检查对端和本地公钥配置是否相同时,可以通过执行此命令查看DSA公钥详细信息。

注意事项

执行此命令前,必须已经完成DSA公钥的相关配置。

使用实例

# 查看指定名称DSA公钥详细信息。

<HUAWEI> display dsa peer-public-key name dsakey001
=====================================
    Key name      : dsakey001
    Encoding type : DER
=====================================
Key code:
30820324
  02820101
    00DEDEBA 5C8244DC B8E69691 7CEFEBC0 B3E6FB60 BE8B9E36 D3E4EB9C D6EB7FD2
    10219AC0 F41AD47B F1EACD43 5D39AFA8 FACB6A78 19305EE1 47E42891 2E60452B
    37CA17D6 11C2EE4C 46B4BC77 2654C268 56A99ECF A5D80036 7B31A905 22F13949
    6F4182DB FDAAB599 739AB021 85856A88 1F919736 8B92DBF6 849D1C74 6BA27E12
    F98A28E4 B6D0587D 655979A7 505413E9 1EFC961C 3F792096 25CFA8D7 D469FA35
    A39E37B6 14047D53 5DCD63AF 3058B3A2 5B79C714 B6326B7D B6067EBF 153CC1A7
    20B0E1A7 E39C13FE B3BA26E6 B052DC5B FFEE7C5C 52148FE6 C240738F BB8F05D4
    16B2B5DD 72E3629B B59244BF 9FA29C4F CD4EA0EE 501FC669 5D03D68D 519324E4
    93
  0215
    00C6C484 E1F0076B 8AFCAD30 2B98B50A 3A542ABE BB
  02820100
    3AC11746 EE959CBD 30F669C5 7E290BC4 7CB5BBFD 96AE9215 7A29C723 72FE8A02
    EBED3B76 BE810B42 21AD8D32 F7723F83 59F46B66 FF7805CC 3F86D5D6 5BD424BD
    70677EFF 1ACF9B3C CE02CD40 46560DA4 2036205C 6EFAB148 66E6A106 0DF6258B
    EE31CFE7 4B6C59B4 6FE59A9F BE64F982 EC36A669 FF597FB7 9A56E32E C15A0659
    3D17C407 29F587C7 74959017 62B08070 24564B2E E79C6E1D 86793548 76CC662A
    1D3DE1D1 2C79E102 C0B10E5C 9C4428B3 AEB93278 26D4CDE5 189A93EA 531E0FF8
    2199EF35 DF038976 4538434F F39924F0 5BF17AC8 8E340991 B5EA0A62 A915EE63
    F660C092 360C5D2D 796AF230 DB7461F7 C15B6DBA 65C9EFAB 247DB13D 4942E2FF
  02820100
    6D7C4F77 4E3AC516 90D530FE CDC3A3AF BAC2BCBE 8F511D9D 78CA6E48 D5E4F8F0
    9B5C7BBD 49235D79 962893F2 15B55280 F81C7DC1 1DE52FD2 5497ABA1 D7B353A0
    2FB1605E 1CD5DB23 15CA4501 F0775337 E87A1BD7 D91B52C5 DCAEEC72 BABE9022
    D96175B5 A0F0D536 B52D434E 77AEC2AC 690BC2AA CACBE255 C66F5FE5 F8DD55CB
    B2125637 C2F86940 9C014F99 2AB92D09 A632635B E2B2876F E6B8F40B EC1E20F3
    EE85F2FC 7B5DE110 EBCFB823 C483AE53 15C76E62 928E5CD8 9AB59158 212044E3
    6A482039 D9A81187 3653D9A7 9C239E22 7DCAD3F6 BEB8D2F5 032219DC D4C638E5
    B1A59128 74A70340 630057CD D53EE61F A111E3B4 F918B361 11035AC5 2A06EA0C
表3-21  display dsa peer-public-key命令输出信息描述

项目

描述

Key name

公钥名称。

Encoding type

公钥编码格式类型。

Key code

公钥编码。

display ecc key-pair

命令功能

display ecc key-pair命令用来查看设备中带标签的ECC密钥对信息。

命令格式

display ecc key-pair [ brief | label label-name ]

参数说明

参数 参数说明 取值
brief 查看设备中所有带标签的ECC密钥对简要信息。 -
label label-name 查看设备中指定标签的ECC密钥对信息。 设备上密钥对的标签名。

视图

所有视图

缺省级别

3:管理级

使用指南

该命令用来查看带标签的ECC密钥对的信息。命令参数的选择规则如下:

  • 如果指定了参数brief,则可以查看设备中所有带标签的ECC密钥对的简要信息。

  • 如果指定了参数label label-name,则可以查看设备中指定标签的ECC密钥对信息。

  • 如果参数labelbrief均未指定,则显示所有带标签的ECC密钥对信息。

使用实例

# 查看所有带标签的ECC密钥对信息。

<HUAWEI> display ecc key-pair
=====================================                                           
Label name: abc123                                                              
Modulus: 521                                                                    
Time of Key pair created: 2014-01-13 08:01:02                                   
=====================================                                           
Key :                                                                           
    0400B83D B5796B8F 28060F9E 6AA444C6 17F904D5 DE1D25D1 DF86CC94              
    5B30D58B A8BEA1D6 405D7928 AADCF587 ECCCFEE0 AE4235FE 3F78485C              
    BA72121D 5C76B902 34C0BC00 6815A445 F3EE1F36 9E7F9646 8E0EDA8D              
    51EF14B3 164C4742 970A158D 0807FBE6 FC9D9277 31CFF900 75600A8C              
    BA99BE37 366FFFFB 883C73EA 0970553C F2032738 3D                             
=====================================                                
表3-22  display ecc key-pair命令的输出信息描述
表项 描述
Label name 标签名。通过ecc key-pair label命令配置。
Modulus 密钥对模数。通过ecc key-pair label命令配置。
Time of Key pair created 密钥对的创建时间。
Key 公钥的编码。
相关主题

display ecc local-key-pair public

命令功能

display ecc local-key-pair public命令用来查看客户端本地ECC密钥对中的公钥信息。

命令格式

display ecc local-key-pair public

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

当设备作为客户端时,可通过此命令查看ECC密钥对中的公钥信息。并将查看到的公钥信息手动拷贝到服务器端,以实现服务器对登录用户的验证,从而保证合法用户的登录。

使用实例

# 查看客户端ECC密钥对中的公钥信息。

<HUAWEI> display ecc local-key-pair public
========================================================                        
Time of key pair created : 2013-12-30 11:11:20                                  
Key name                 : HUAWEI_Host_ECC                                
Key modulus              : 521                                                  
Key type                 : ECC encryption key                                   
========================================================                        
Key code:                                                                       
    04012998 DFDD74C4 3F58DF73 C9CED003 8BB308ED                                
    8353FD26 BAF2F836 5EFDCC2A D26E185F 6F6E2E19                                
    683FF161 9141A7C2 3EEA52E3 9801E245 D33079A2                                
    B12DAF27 1DF59401 E5068456 C54FE0E0 5DD99CEB                                
    98C527DB B3CE0707 7863DC59 34EE830C 8AACBDB3                                
    5EA697C4 9A660DD8 1049A330 7DC7ED5A 905184AC                                
    0F6D6022 07731458 4DC1CE84 D8                                               
                                                                                
Host public key for PEM format code:                                            
---- BEGIN SSH2 PUBLIC KEY ----                                                 
AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAACFBAEpmN/ddMQ/WN9zyc7QA4uzCO2D                
U/0muvL4Nl79zCrSbhhfb24uGWg/8WGRQafCPupS45gB4kXTMHmisS2vJx31lAHl                
BoRWxU/g4F3ZnOuYxSfbs84HB3hj3Fk07oMMiqy9s16ml8SaZg3YEEmjMH3H7VqQ                
UYSsD21gIgdzFFhNwc6E2A==                                                        
---- END SSH2 PUBLIC KEY ----           
表3-23  display ecc local-key-pair public命令输出信息描述

项目

描述

Time of key pair created

客户端ECC密钥对中的公钥生成的时间。时间显示格式为:YYYY-MM-DD HH:MM:SS。

Key name

客户端ECC密钥对中的公钥的名称。

Key modulus

客户端ECC密钥对中的公钥的长度。

Key type

客户端ECC密钥对中的公钥的类型。

Key code

客户端ECC密钥对中的公钥的编码。通过ecc local-key-pair命令,可以产生本地密钥对。

Host public key for PEM format code

客户端ECC密钥对中公钥的PEM编码。

相关主题

display ecc peer-public-key

命令功能

display ecc peer-public-key命令用来查看远端已配置的ECC公共密钥信息。

命令格式

display ecc peer-public-key [ brief | name key-name ]

参数说明

参数 参数说明 取值
brief 显示所有远端公钥的简要信息。 -
name key-name 显示指定名称的ECC公钥信息。 必须是已存在的key-name。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

当用户需要查看ECC公钥的详细信息,或检查对端和本地公钥配置是否相同时,可以通过执行此命令查看ECC公钥详细信息。

注意事项

执行此命令前,必须已经完成ECC公钥的相关配置。

使用实例

# 查看所有ECC公共密钥的简要信息。

<HUAWEI> display ecc peer-public-key brief
------------------------------------------                                      
      Bits Name                                                                 
------------------------------------------                                      
       521 sat                                                                  
------------------------------------------   

# 查看公共密钥名为sat的ECC公共密钥的详细信息。

<HUAWEI> display ecc peer-public-key name sat
=====================================
    Key name: sat
=====================================
Key code:
    040020D4 5436AC31 BB1501EE 54CB84B6 AD9D5DB5 1B65EA59 9B5409A9 045D12A5
    9133AF2C A7E9E80E 344E95DA D166E270 77B67702 72F9B94F FB78E487 1C2928C9
    5437CE00 93AD2608 0D940547 8D6B84AB DDD30FE1 75B2C790 884B4F91 5DEE668F
    08EE50CE 1CAE6D54 1A1DC28C 1936C451 ECBB7AB0 B7F2F09B 8F699940 CF81C7C7
    906A40F4 7D
表3-24  display ecc peer-public-key命令输出信息描述

项目

描述

Bits

已配置的公钥长度。

Name

已配置的ECC公钥的名称。

Key name

已配置的ECC公钥的名称。

Key code

已配置的ECC公钥的编码。

display rsa key-pair

命令功能

display rsa key-pair命令用来查看设备中带标签的RSA密钥对信息。

命令格式

display rsa key-pair [ brief | label label-name ]

参数说明

参数 参数说明 取值
brief 查看设备中所有带标签的RSA密钥对简要信息。 -
label label-name 查看设备中指定标签的RSA密钥对信息。 设备上密钥对的标签名。

视图

所有视图

缺省级别

3:管理级

使用指南

该命令用来查看带标签的RSA密钥对的信息。命令参数的选择规则如下:

  • 如果指定了参数brief,则可以查看设备中所有带标签的RSA密钥对的简要信息。

  • 如果指定了参数label label-name,则可以查看设备中指定标签的RSA密钥对信息。

  • 如果参数labelbrief均未指定,则显示所有带标签的RSA密钥对信息。

使用实例

# 查看所有带标签的RSA密钥对信息。

<HUAWEI> display rsa key-pair
=====================================                                           
Label name               : a01                                                  
Modulus                  : 2048                                                 
Time of key pair created : 2013-12-31 01:47:14                                  
=====================================                                           
Key :                                                                           
    3082010A 02820101 00E788C5 7BE23271 71E4ACFE 2AC67BD1 5B6F2B1B 98B9B530     
    8C3A5635 2CA667E9 685537FB 7CFC6F7E B6834F92 3EB55305 AC37A137 A797318B     
    164873EE 9E156132 9CE6B060 E737C8EC C6B7B4B8 D79885EB B3710E69 D6420B5A     
    554573B6 B381E159 162601B7 2CA4DFD0 16899329 79EC1DE4 A23B0232 496E3373     
    3408DC0F D4C84A71 7FC821B8 21AD254B 928C1003 FF549929 889FAFA1 AE8AC22E     
    F5BDAD25 ECA8D7C0 EE711AC7 CAB34583 325D1D58 4DBCDE86 BF3DA0C0 BA9D872E     
    6F745D72 0FD66EE0 56F35FB4 5F347405 3E7BDCAF 2F0EFE7E 990AD206 D9DA400E     
    2C380055 8462D6E0 B93B0C73 EB394D01 D83A6B6F 37B64FAF F7DFBAA4 F7073AE1     
    CC1B0C5E 8F735904 19020301 0001                                             
=====================================    
表3-25  display rsa key-pair命令的显示信息描述
表项 描述
Label name 标签名。通过rsa key-pair label命令配置。
Modulus 密钥对模数。通过rsa key-pair label命令配置。
Time of key pair created 密钥对的创建时间。
Key 公钥的编码。
相关主题

display rsa local-key-pair public

命令功能

display rsa local-key-pair public命令用来查看本地密钥对中的公钥信息。

命令格式

display rsa local-key-pair public

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

当设备作为SSH客户端登录其他设备时,在SSH客户端执行此命令,并将回显信息中的客户端公钥配置到SSH服务器端,保证在连接时SSH服务器对SSH客户端有效性检查能够通过,以便在SSH服务器端和SSH客户端间进行安全地数据交互。

使用实例

# 查看本地密钥对中的公钥信息。

<HUAWEI> display rsa local-key-pair public
======================Host key==========================                        
Time of key pair created : 2013-12-30 08:55:13                                  
Key name                 : HUAWEI_Host                                    
Key type                 : RSA encryption key                                   
========================================================                        
Key code:                                                                       
                                                                                
3082010A                                                                        
  02820101                                                                      
    00C4D569 631EC1E2 833E315D 5DED65F3 498F2ED0                                
    9B04F901 DEC806AA 0941AC43 3BB7422B B1D6E754                                
    26B36B48 9F40A1CE AAF31314 5B729DFB 931BDBD8                                
    81EBF078 54D8570D B4BFDCF8 90091546 76CDED0A                                
    5FAAA330 9F4D6186 DE41AFBE A2FA67D7 EB3FC5E9                                
    FD80859D 4E7B1C12 21198FFA 231B8048 A6E6F0D3                                
    205557D6 B0580D81 ADFD2B6D 3256FBAE 9E81ABA6                                
    0E8FA794 5DB0AA13 FB4ACA36 E3D75918 C40E68C6                                
    9F6CA0C8 7FAD471C AF7F0BD5 4469C4A7 CF8BC85B                                
    EA735E02 5FAC972C 7BCD818C 3C8E3EAB DB830026                                
    D6CDBA62 F00C8928 4A04A67C A597207E 23D91EF3                                
    183E2466 F8D06754 CEE5EB2B 937E8516 AA1485D7                                
    79B7CB6B 5AB299AB FFB1E1BF A0353DD3 97                                      
  0203                                                                          
    010001                                                                      
                                                                                
Host public key for PEM format code:                                            
---- BEGIN SSH2 PUBLIC KEY ----                                                 
AAAAB3NzaC1yc2EAAAADAQABAAABAQDE1WljHsHigz4xXV3tZfNJjy7QmwT5Ad7I                
BqoJQaxDO7dCK7HW51Qms2tIn0ChzqrzExRbcp37kxvb2IHr8HhU2FcNtL/c+JAJ                
FUZ2ze0KX6qjMJ9NYYbeQa++ovpn1+s/xen9gIWdTnscEiEZj/ojG4BIpubw0yBV                
V9awWA2Brf0rbTJW+66egaumDo+nlF2wqhP7Sso249dZGMQOaMafbKDIf61HHK9/                
C9VEacSnz4vIW+pzXgJfrJcse82BjDyOPqvbgwAm1s26YvAMiShKBKZ8pZcgfiPZ                
HvMYPiRm+NBnVM7l6yuTfoUWqhSF13m3y2taspmr/7Hhv6A1PdOX                            
---- END SSH2 PUBLIC KEY ----                                                   
                                                                                
Public key code for pasting into OpenSSH authorized_keys file:                  
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDE1WljHsHigz4xXV3tZfNJjy7QmwT5Ad7IBqoJQaxD
O7dCK7HW51Qms2tIn0ChzqrzExRbcp37kxvb2IHr8HhU2FcNtL/c+JAJFUZ2ze0KX6qjMJ9NYYbeQa++
ovpn1+s/xen9gIWdTnscEiEZj/ojG4BIpubw0yBVV9awWA2Brf0rbTJW+66egaumDo+nlF2wqhP7Sso2
49dZGMQOaMafbKDIf61HHK9/C9VEacSnz4vIW+pzXgJfrJcse82BjDyOPqvbgwAm1s26YvAMiShKBKZ8
pZcgfiPZHvMYPiRm+NBnVM7l6yuTfoUWqhSF13m3y2taspmr/7Hhv6A1PdOX rsa-key            
                                                                                
Host public key for SSH1 format code:                                           
2048 65537 248479449894298928294307779358726016363453127732399382240868603696328
38092602580810460413033525882290576141938684323785867753090434139378610895900966
99069400366338221105253327868286329658226300153628555662751480887246101263431835
00691736600459588199818030880967385624775381317439545767556794593852794045844003
34335076114347973757304101202989966991960922618440645983410857662297120846209864
22771028604935279415615054836817431585686417436260033974542999889336079286514057
18228159988733198430380627228312138479579994102250624429597554309014943522876720
35453712256315056983907073654304186669580624268424033646475701244823            
                                                                                
======================Server key========================                        
Time of key pair created : 2013-12-30 08:55:14                                  
Key name                 : HUAWEI_Server                                  
Key type                 : RSA encryption key                                   
========================================================                        
Key code:                                                                       
                                                                                
3081B9                                                                          
  0281B1                                                                        
    00EA73D0 8787CAC7 01F5B1C3 BB526E42 18B4E740                                
    C26250C8 E6453106 A22CC86D 9D702D5A A7192FFA                                
    19ECBEAF C7AD3C56 89900E35 30D11766 4683E827                                
    960AB080 6D1D5403 BB9553FC 57046006 D2A12AEA                                
    086D0066 C7D81278 CC2720A9 7FF3F006 85EB945F                                
    8306A451 D2795842 8FDAC528 0EAE9D23 8E7D0B28                                
    BE4AA3BF 16F8282A 4C087B9E 87FBDF5D 7F2EB809                                
    BC0F278C E5A1D14E C664FD67 C6C48430 ED371D0E                                
    CD97BE6A 0BF06704 53817E6E 1690CEE3 45                                      
  0203                                                                          
    010001                                              
表3-26  display rsa local-key-pair public命令输出信息描述

项目

描述

Time of key pair created

公钥生成的时间和日期。

Key name

公钥的名称,取值包括:主机公钥和服务器公钥(只有密钥类型为RSA时,才会存在服务器公钥)。

Key type

公钥的类型。

Key code

公钥的编码。

display rsa peer-public-key

命令功能

display rsa peer-public-key命令用来查看保存在本地的远端主机公钥信息。如果没有指定任何参数,则显示所有的远端主机公钥的详细信息。

命令格式

display rsa peer-public-key [ brief | name key-name ]

参数说明

参数 参数说明 取值
brief 显示所有远端公钥的简明信息。 -
name key-name 指定要显示的密钥名称。 必须是已存在的key-name。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

当用户需要查看RSA公钥的详细信息,或检查对端和本地公钥配置是否相同时,可以通过执行此命令查看RSA公钥详细信息。

注意事项

执行此命令之前,需要执行rsa peer-public-key命令注册对端的公钥。

使用实例

# 查看所有RSA公共密钥的简要信息。

<HUAWEI> display rsa peer-public-key brief
------------------------------------------
        Bits   Name
------------------------------------------
        1024   rsakey001
------------------------------------------
表3-27  display rsa peer-public-key brief命令输出信息描述

项目

描述

Bits

公钥的位数。

Name

公钥的名称。

# 查看名为rsakey001的RSA公共密钥的详细信息。

<HUAWEI> display rsa peer-public-key name rsakey001
=====================================
    Key name      : rsakey001
    Encoding type : DER
=====================================
Key code:
308188
  028180
    739A291A BDA704F5 D93DC8FD F84C4274 631991C1 64B0DF17 8C55FA83 3591C7D4
    7D5381D0 9CE82913 D7EDF9C0 8511D83C A4ED2B30 B809808E B0D1F52D 045DE408
    61B74A0E 135523CC D74CAC61 F8E58C45 2B2F3F2D A0DCC48E 3306367F E187BDD9
    44018B3B 69F3CBB0 A573202C 16BB2FC1 ACF3EC8F 828D55A3 6F1CDDC4 BB45504F
  0203
    010001
表3-28  display rsa peer-public-key name命令输出信息描述

项目

描述

Key name

公钥的名称。

Encoding type

公钥编码类型。

Key code

公钥的编码。

display ssh server

命令功能

display ssh server命令用来查看SSH服务器的信息。

命令格式

display ssh server { status | session }

参数说明

参数 参数说明 取值
status 显示SSH服务器全局配置信息。 -
session 显示SSH服务器端的当前会话连接信息。 -

视图

所有视图

缺省级别

3:管理级

使用指南

SSH相关属性配置完毕后,可执行本命令查看SSH服务器端的配置信息,还可执行本命令查看会话连接信息,以确认SSH连接建立成功。

使用实例

# 查看SSH服务器的全局配置信息。

<HUAWEI> display ssh server status
SSH Version                                : 2.0
SSH authentication timeout (Seconds)       : 60
SSH authentication retries (Times)         : 3
SSH server key generating interval (Hours) : 0
SSH version 1.x compatibility              : Disable
SSH server keepalive                       : Enable
SFTP IPv4 server                           : Enable
SFTP IPv6 server                           : Enable
STELNET IPv4 server                        : Enable
STELNET IPv6 server                        : Enable
SNETCONF IPv4 server                       : Disable
SNETCONF IPv6 server                       : Disable
SNETCONF IPv4 server port(830)             : Disable
SNETCONF IPv6 server port(830)             : Disable
SCP IPv4 server                            : Enable
SCP IPv6 server                            : Enable
SSH server DES                             : Enable
SSH IPv4 server port                       : 22
SSH IPv6 server port                       : 22
SSH server source address                  : 0.0.0.0
SSH ipv6 server source address             : 0::0
SSH ipv6 server source vpnName             :
ACL name                                   : --
ACL number                                 : --
ACL6 name                                  : --
ACL6 number                                : --
SSH server ip-block                        : Enable
表3-29  display ssh server status命令输出信息描述

项目

描述

SSH Version

SSH会话连接使用的协议版本。

SSH authentication timeout (Seconds)

SSH服务器认证的超时周期,以秒为单位。

通过ssh server timeout命令进行配置。

SSH authentication retries (Times)

建立SSH会话连接的重试次数。

通过ssh server authentication-retries命令进行配置。

SSH server key generating interval (Hours)

SSH服务器密码更新周期,以小时为单位。

通过ssh server rekey-interval命令进行配置。

SSH version 1.x compatibility

SSH 1.x版本兼容性状态,有如下取值:Enable或Disable。

通过ssh server compatible-ssh1x enable命令进行配置。

SSH server keepalive

SSH服务器保持活动特性的状态,有如下取值:Enable或Disable。

通过ssh server keepalive disable命令进行配置。

SFTP IPv4 server/SFTP IPv6 server

SFTP服务器状态,有如下取值:Enable或Disable。

通过sftp server enable命令进行配置。

STELNET IPv4 server/STELNET IPv6 server

STelnet服务器状态,有如下取值:Enable或Disable。

通过stelnet server enable命令进行配置。

SNETCONF IPv4 server/SNETCONF IPv6 server

SNETCONF服务器状态,有如下取值:Enable或Disable。

通过snetconf server enable命令进行配置。

SNETCONF IPv4 server port(830)/SNETCONF IPv6 server port(830)

SNETCONF服务器端口号。

通过protocol inbound ssh port 830命令进行配置。

SCP IPv4 server/SCP IPv6 server

SCP服务器状态,有如下取值:Enable或Disable。

通过scp server enable命令进行配置。

SSH server DES

SSH服务器上的DES加密算法。

通过ssh server cipher命令进行配置。

SSH IPv4 server port/SSH IPv6 server port

SSH服务器端口号。

通过ssh server port命令进行配置。

ACL name

SSH服务器绑定的acl名称。

通过ssh server acl acl-name命令进行配置。

ACL number

SSH服务器绑定的acl号。

通过ssh server acl acl-number命令进行配置。

ACL6 name

SSH服务器绑定的acl6规则名称。

通过ssh ipv6 server acl acl-name命令进行配置。

ACL6 number

SSH服务器绑定的acl6规则号。

通过ssh ipv6 server acl acl-number命令进行配置。

SSH server source address/SSH ipv6 server source address

SSH服务器的源地址。

通过ssh server-source -i interface-type interface-number命令进行配置。

SSH ipv6 server source vpnName

SSH服务器IPv6源VPN实例名称。

SSH server ip-block
SSH服务器上的客户端IP地址锁定功能。可以是:
  • Enable:SSH服务器上的客户端IP地址锁定功能处于使能状态。
  • Disable:SSH服务器上的客户端IP地址锁定功能处于去使能状态。

# 查看SSH服务器端的当前会话连接信息。

<HUAWEI> display ssh server session
--------------------------------------------------------------------------------
Session                       : 1                                               
Connect type                  : VTY 20                                          
Version                       : 2.0                                             
State                         : Started                                         
Username                      : client001                                       
Retry                         : 1                                               
Client to Server cipher       : aes256-cbc                                      
Server to Client cipher       : aes256-cbc                                      
Client to Server HMAC         : hmac-sha2-256                                   
Server to Client HMAC         : hmac-sha2-256                                   
Client to Server compression  : none                                            
Server to Client compression  : none                                            
Key exchange algorithm        : diffie-hellman-group1-sha1                      
Public key                    : RSA 
Service type                  : stelnet                                         
Authentication type           : password                                        
Connection port number        : 22                                              
Idle time                     : 00:00:14                                        
--------------------------------------------------------------------------------
表3-30  display ssh server session命令输出信息描述

项目

描述

Session

SSH会话ID。

Connect type

SSH会话占用的虚拟用户终端接口
  • VTY:STelnet用户占用的连接。
  • NCA:SNetconf用户占用的连接。
  • SFTP:SFTP用户占用的连接。

Version

SSH会话连接使用的协议版本。

State

SSH会话的连接状态。

Username

SSH会话连接使用的用户名。

通过ssh user命令进行配置。

Retry

建立SSH会话连接的重试次数。

通过ssh server authentication-retries命令进行配置。

Client to Server cipher

客户端到服务器的加密算法名。

Server to Client cipher

服务器到客户端的加密算法名。

Client to Server HMAC

客户端到服务器的HMAC算法名。

Server to Client HMAC

服务器到客户端的HMAC算法名。

Client to Server compression

客户端到服务器端的首选压缩算法名。

Server to Client compression

服务器端到客户端的首选压缩算法名。

Key exchange algorithm

交换算法名。

Public key

服务器认证采用的公钥算法,有RSA、DSA和ECC。

说明:

为了保证更好的安全性,建议不要使用RSA算法,建议您使用更安全的ECC认证算法。

Service type

SSH用户的服务方式:
  • sftp:服务方式为SFTP。
  • stelnet:服务方式为STelnet。
  • snetconf:服务方式为SNETCONF。

通过ssh user service-type命令进行配置。

Authentication type

SSH用户的认证方式:
  • password:认证方式为password认证。
  • rsa:认证方式为RSA认证。
  • dsa:认证方式为DSA认证。
  • ecc:认证方式为ECC认证。
  • password-rsa:认证方式为password和RSA两种认证。
  • password-dsa:认证方式为password和DSA两种认证。
  • password-ecc:认证方式为password和ECC两种认证。
  • all:认证方式为password认证、DSA、ECC认证或RSA认证。

通过ssh user authentication-type命令进行配置。

Connection port number

SSH服务器端口号。

通过ssh server port命令进行配置。

Idle time

SSH会话的空闲时间。

display ssh server-info

命令功能

display ssh server-info命令用来查看当前设备作为SSH客户端的情况下,SSH服务器与RSA、DSA或ECC公钥的绑定信息。

命令格式

display ssh server-info

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

SSH客户端需要认证服务器时,以本地保存的服务器端的主机公钥对连接的SSH服务器进行认证。如果认证不成功,可以通过display ssh server-info命令查看服务器是否与正确的公钥对应。

使用实例

# 查看SSH客户端的所有SSH服务器与公钥的绑定信息。

<HUAWEI> display ssh server-info
-----------------------------------------------------------------------------------------------------------------                   
Server Name(IP)                                 Server public key name          Server public key type State                        
-----------------------------------------------------------------------------------------------------------------                   
192.168.1.120                                   192.168.1.120                   RSA                    CONFIGURE                    
192.168.1.110                                   192.168.1.110                   RSA                    CONFIGURE                    
----------------------------------------------------------------------------------------------------------------- 
表3-31  display ssh server-info命令输出信息描述

项目

描述

Server Name(IP)

SSH服务器主机名。

Server Public Key Type

SSH服务器上的公钥类型。

Server public key name

SSH服务器端的主机公钥名。

State

服务器端密钥状态:
  • CONFIGURE:服务器公钥已经保存到数据库。
  • DYNAMIC:服务器公钥未保存到数据库。

display ssh user-information

命令功能

display ssh user-information命令用来查看所有SSH用户的配置信息。

命令格式

display ssh user-information [ username ]

参数说明

参数 参数说明 取值
username 显示SSH用户名。

必须是已存在的SSH。

视图

所有视图

缺省级别

3:管理级

使用指南

执行该命令,可查看SSH用户的用户名、绑定的RSA、DSA或ECC公钥名和服务类型等信息。

使用实例

# 显示所有SSH用户的配置信息。

<HUAWEI> display ssh user-information
--------------------------------------------------------------------------------
User Name             : client001                                               
Authentication type   : password                                                
User public key name  : --                                                      
User public key type  : --                                                      
Sftp directory        : flash:                                                  
Service type          : sftp                                                    
                                                                                
User Name             : client002                                               
Authentication type   : rsa                                                     
User public key name  : --                                                      
User public key type  : --                                                      
Sftp directory        : flash:                                                  
Service type          : sftp  
--------------------------------------------------------------------------------
Total 2, 2 printed 
表3-32  display ssh user-information命令输出信息描述

项目

描述

User Name

SSH用户名。

通过ssh user命令进行配置。

Authentication type

SSH用户的认证方式:
  • password:认证方式为password认证。
  • rsa:认证方式为RSA认证。
  • dsa:认证方式为DSA认证。
  • ecc:认证方式为ECC认证。
  • password-rsa:认证方式为password和RSA两种认证。
  • password-dsa:认证方式为password和DSA两种认证。
  • password-ecc:认证方式为password和ECC两种认证。
  • all:认证方式为password认证、DSA、ECC认证或RSA认证。

通过ssh user authentication-type命令进行配置。

User public key name

为SSH用户分配的对端RSA、DSA或ECC公钥。

通过rsa peer-public-keydsa peer-public-keyecc peer-public-key命令进行配置。

User public key type

为SSH用户分配的公钥类型:
  • RSA:指定公钥类型为RSA。
  • DSA:指定公钥类型为DSA。
  • ECC:指定公钥类型为ECC。
  • --:没有指定具体公钥类型。

Sftp directory

SSH用户的SFTP服务授权目录。

通过ssh user sftp-directory命令进行配置。

Service type

SSH用户的服务方式:
  • sftp:服务方式为SFTP。
  • stelnet:服务方式为STelnet。
  • snetconf:服务方式为SNetconf。
  • --:没有指定具体SSH用户的服务方式。

通过ssh user service-type命令进行配置。

display telnet server

命令功能

display telnet server命令用来查看当前Telnet服务器的所有配置信息。

命令格式

display telnet server

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

当不能通过telnet方式登录服务器时,可以执行display telnet server命令,可以检查Telnet服务器的配置信息,进行故障定位。

使用实例

# 显示Telnet服务器当前的配置信息。

<HUAWEI> display telnet server
Telnet server                     : Enable
Telnet server port                : 23
Telnet IPv6 server                : Disable
Telnet IPv6 server port           : 23
Telnet server source address      : 0.0.0.0
TELNET ipv6 server source address : 0::0
TELNET ipv6 server source vpnName :
ACL name                          : --
ACL number                        : --
ACL6 name                         : --
ACL6 number                       : --
表3-33  display telnet server命令输出信息描述

项目

描述

Telnet server

Telnet服务器的状态,有如下取值:Enable或Disable。

通过telnet server disable命令进行配置。

Telnet server port

Telnet服务器端口号。

通过telnet server port命令进行配置。

Telnet IPv6 server

Telnet Ipv6服务器的状态,有如下取值:Enable或Disable。

通过telnet ipv6 server disable命令进行配置。

Telnet IPv6 server port

Telnet IPv6服务器端口号。

通过telnet server port命令进行配置。

Telnet server source address

Telnet服务器源地址。

通过telnet server-source命令进行配置。

TELNET ipv6 server source address

Telnet IPv6服务器源IP地址。

TELNET ipv6 server source vpnName

Telnet IPv6服务器源VPN实例名称。

ACL name

Telnet服务器绑定的acl名称。

通过telnet server acl acl-name命令进行配置。

ACL number

Telnet服务器绑定的acl号。

通过telnet server acl acl-number命令进行配置。

ACL6 name

Telnet服务器绑定的acl6规则名称。

通过telnet ipv6 server acl acl-name命令进行配置。

ACL6 number

Telnet服务器绑定的acl6规则号。

通过telnet ipv6 server acl acl-number命令进行配置。

display telnet server status

命令功能

display telnet server status命令用来查看Telnet服务器的当前连接信息。

命令格式

display telnet server status

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

用户可以通过本命令查看Telnet服务器的源地址,记录连接请求的地址。

如果Telnet连接不存在,执行该命令后,将不显示任何信息。

使用实例

# 显示Telnet服务的状态。
<HUAWEI> display telnet server status
Session 1:                
Source ip address : 192.168.1.3            
VTY Index         : 0               
Session 2:                           
Source ip address : 192.168.1.4             
VTY Index         : 1                    
Session 3:                           
Source ip address : 192.168.1.5           
VTY Index         : 2                         
Session 4:                               
Source ip address : 192.168.1.6        
VTY Index         : 3                      
Current number of sessions : 4
表3-34  display telnet server status命令输出信息描述

项目

描述

Session

当前连接会话的索引。

Source ip address

Telnet连接的源IP地址。

VTY Index

用户界面的相对编号。

Current number of sessions

当前连接会话的个数。

display telnet client

命令功能

display telnet client命令用来查看当前telnet连接的用户数。

命令格式

display telnet client

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

当管理员需要了解有多少用户通过Telnet方式登录服务器时,可以执行display telnet client命令进行查看。

使用实例

# 显示当前连接的用户数。

<HUAWEI> display telnet client
---------------------------------------
Current user count  : 2
Source IPv4 address : 10.1.1.2    
---------------------------------------
表3-35  display telnet client命令输出信息描述

项目

描述

Current user count

当前连接的用户数。

Source IPv4 address

源IPv4地址。

dsa key-pair label

命令功能

dsa key-pair label命令用来生成带标签的DSA密钥对。

undo dsa key-pair label命令用来删除带标签的DSA密钥对。

缺省情况下,没有配置带标签的DSA密钥对。

命令格式

dsa key-pair label label-name [ modulus modulus-bits ]

dsa key-pair label load private private-key public public-key

undo dsa key-pair label label-name

参数说明

参数 参数说明 取值
label-name

指定DSA密钥对的标签名。

字符串形式,不区分大小写,长度范围是1~35。只能是数字、英文字母或者下划线“_”。

modulus modulus-bits

指定DSA密钥对模数。

整数形式,取值为2048,单位是比特。缺省值为2048。

密钥对的模数越大可以提供越高的安全性,但是生成和使用这样的密钥对将花费更多的时间。

load private private-key

指定加载密钥对中的私钥文件名称。

必须是已存在的private-key。

public public-key

指定加载密钥对中的公钥文件名称。

必须是已存在的public-key。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

DSA密钥是SSH中一种用于用户认证的算法,用于保证用户认证的安全性。通过dsa key-pair label命令可以生成多个DSA密钥对,且这些密钥对通过标签进行区分。

注意事项

通过此命令可以生成多个带标签的RSA密钥对,最多可生成的数量由dsa key-pair maximum命令决定,缺省情况下,最多可生成20个带标签的RSA密钥对。

使用实例

# 生成标签名为ssh_host的DSA密钥对。

<HUAWEI> system-view
[~HUAWEI] dsa key-pair label ssh_host

dsa key-pair maximum

命令功能

dsa key-pair maximum命令用来配置最多可生成带标签的DSA密钥对的个数。

undo dsa key-pair maximum命令用来恢复最多可生成带标签的DSA密钥对的个数为缺省值。

缺省情况下,设备最多可生成20个带标签的DSA密钥对。

命令格式

dsa key-pair maximum max-keys

undo dsa key-pair maximum

参数说明

参数 参数说明 取值
max-keys 指定最多可生成带标签的DSA密钥对的个数。 整数形式,取值范围是1~20。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

DSA的密钥保存,需要占用系统内存和文件资源。用户可以根据需要调整可配置的DSA密钥对的最大值,防止DSA密钥个数过多,而过多的占用系统资源。

配置影响

此命令会影响带标签的DSA密钥对的生成,当达到带标签的DSA密钥个数上限时,此后再生成新的密钥对时将会失败。

使用实例

# 设置带标签的DSA密钥对最大个数为15。

<HUAWEI> system-view
[~HUAWEI] dsa key-pair maximum 15
相关主题

dsa local-key-pair create

命令功能

dsa local-key-pair create命令用来生成本地DSA主机密钥对。

缺省情况下,本地DSA主机密钥对没有配置。

命令格式

dsa local-key-pair create

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

DSA(Digital Signature Algorithm,数字签名算法)相比较于RSA密钥,在SSH协议中拥有更广泛的应用。根据非对称加密体系的加密原则,通过生成公钥和私钥,实现密钥的安全交换,最终实现安全的会话全过程。

使用DSA认证成功完成SSH登录的必要条件是生成DSA本地密钥对。生成的方式有两种:
  • 配置生成:执行命令dsa local-key-pair create生成。

  • 自动生成:当有SSH客户端登录设备,并且SSH服务器没有DSA密钥对时,系统会自动生成一个DSA密钥对。

两种方式生成的密钥对在功能、安全性、查看/销毁等方面无差异。推荐用户通过配置生成。

使用该命令进行配置时,如果DSA密钥已经存在,则系统将提示用户确认是否替换原有密钥。新产生的密钥对的命名方式为“设备名称_Host_DSA”,如:HUAWEI_Host_DSA。

输入该命令后,设备会提示用户输入主机密钥的位数。主机密钥对的长度为2048。

请在登录成功后,执行save命令保存配置,生成的密钥对将保存在设备中,设备重启后不会丢失。

注意事项

该命令不在配置文件中保存,且此命令只需执行一遍即可生效,设备重新启动后不必再次执行。

使用实例

# 在设备上创建DSA密钥。

<HUAWEI> system-view
[~HUAWEI] dsa local-key-pair create
Info: The key name will be: HUAWEI_Host_DSA
Info: The key modulus can be any one of the following : 2048.                                                                       
Info: Key pair generation will take a short while.                                                                                  
Info: Generating keys...                                                                                                            
Info: Succeeded in creating the DSA host keys.

dsa local-key-pair destroy

命令功能

dsa local-key-pair destroy命令用来销毁本地DSA主机密钥对。

命令格式

dsa local-key-pair destroy

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

DSA(Digital Signature Algorithm,数字签名算法)是SSH中最具有广泛应用的验证方式,根据非对称加密体系的加密原则,通过生成公钥和私钥,实现密钥的安全交换,最终实现安全的会话全过程。用户可以通过命令dsa local-key-pair create生成本地DSA密钥。但是如果用户确认无需继续使用本地的DSA密钥,可以通过此命令将设备本地的DSA密钥删除。

前置条件

执行此命令前,需要本地存在可被删除的DSA密钥。

注意事项

由于此命令为一次性操作命令,因此操作不会被保存在配置文件中。

使用实例

# 删除本地的DSA密钥。

<HUAWEI> system-view
[~HUAWEI] dsa local-key-pair destroy
Info: The name of the key which will be destroyed is HUAWEI_Host_DSA.                                                       
Warning: These keys will be destroyed. Continue? Please select [Y/N]:y                                                             
Info: Succeeded in destroying the DSA host keys. 

dsa local-key-pair load

命令功能

dsa local-key-pair load命令用来从指定文件中加载本地DSA密钥对和服务器密钥对信息。

缺省情况下,设备中没有配置本地DSA密钥对和服务器密钥对。

命令格式

dsa local-key-pair load hostkey file-name

参数说明

参数 参数说明 取值
hostkey 指定加载本地DSA客户密钥对。 -
file-name 指定加载密钥的文件名。 必须是已存在的文件名。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当用户从低级别升级到高级别,并且需要继续延用低级别时的DSA密钥配置信息时,可以通过执行此命令,从指定文件中加载密钥对信息。

前提条件

设备上已经含有DSA密钥对的文件。

使用实例

# 加载本地用户DSA密钥对信息。

<HUAWEI> system-view
[~HUAWEI] dsa local-key-pair load hostkey flash:/hostkey_dsa

dsa peer-public-key

命令功能

dsa peer-public-key命令用来配置DSA公共密钥编码格式,并进入DSA公共密钥视图。

undo dsa peer-public-key命令用来删除DSA公共密钥。

缺省情况下,系统没有指定DSA公共密钥编码格式。

命令格式

dsa peer-public-key key-name encoding-type { der | openssh | pem }

undo dsa peer-public-key key-name

参数说明

参数 参数说明 取值
key-name 指定DSA公共密钥名称。 字符串格式,区分大小写,不支持空格,长度范围是1~30
说明:

当输入的字符串两端使用双引号时,可在字符串中输入空格。

encoding-type 指定DSA公共密钥编码格式类型。 -
der

指定DSA公共密钥编码格式是DER(Distinguished Encoding Rules)。

DER格式是将数据进行16进制编码。

-
openssh

指定DSA公共密钥编码格式是OpenSSH。

OpenSSH格式是将数据进行64进制编码。

OpenSSH是基于PEM修改而产生的编码格式。

-
pem

指定DSA公共密钥编码格式是PEM(Privacy Enhanced Mail)。

PEM格式是将数据进行64进制编码。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

采用DSA公共密钥认证时,需要在服务器端为SSH用户指定对应的客户端的公共密钥。当客户端登录服务器时,服务器端就会根据指定SSH用户对应的公共密钥对客户端进行认证。或者在客户端首次登录服务器时,可以将服务器端产生的公钥直接保存至客户端,保证在首次连接时服务器有效性检查能够通过。

目前,华为公司的数据通信设备DSA密钥支持DER、OpenSSH和PEM编码格式。如果用户使用的是其他编码格式的密钥,需要通过第三方工具将其他格式的密钥转换为DER、OpenSSH或PEM格式。

而第三方工具非华为公司工具,不随系统软件发布,用户缺乏获取途径和操作指导,导致用户使用不便。为了提高DSA的易用性,DSA密钥需要同时支持DER、PEM和OpenSSH编码格式。

用户常用SecureCRT、PuTTY、OpenSSH和OpenSSL第三方软件连接设备,通过第三方软件产生的密钥编码格式如下:
  • PEM编码格式的密钥可通过SecureCRT、PuTTY产生。
  • OpenSSH编码格式的密钥可通过OpenSSH产生。
  • DER编码格式的密钥可通过OpenSSL产生。

OpenSSL是一个开源软件,用户可到http://www.openssl.org/上获取相关文档。

通过本命令指定DSA密钥编码格式后,华为公司的数据通信设备会自动生成相应编码格式的密钥,同时进入DSA公共密钥视图,再执行命令public-key-code begin后,用户即可通过手动拷贝的方式将对端设备产生的公共密钥拷贝到本端设备。

后续任务

当成功从对端设备将DSA公共密钥拷贝到本端设备后,用户可执行如下操作退出DSA公共密钥视图。
  1. 执行命令public-key-code end,返回到DSA公共密钥视图。
  2. 执行命令peer-public-key end,退出DSA公共密钥视图,返回到系统视图。

注意事项

执行命令undo dsa peer-public-key删除公共密钥时,如果当前此公共密钥已经分配给某个SSH用户,则需要使用undo ssh user user-name assign dsa-key命令删除SSH用户与此公共密钥之间的对应关系,否则无法删除此公共密钥。

使用实例

# 配置DSA公共密钥编码格式,并进入DSA公共密钥视图。

<HUAWEI> system-view
[~HUAWEI] dsa peer-public-key 23 encoding-type der
[*HUAWEI-dsa-public-key]

ecc key-pair label

命令功能

ecc key-pair label命令用来生成带标签的ECC密钥对。

undo ecc key-pair label命令用来删除带标签的ECC密钥对。

缺省情况下,没有配置带标签的ECC密钥对。

命令格式

ecc key-pair label label-name [ modulus modulus-bits ]

undo ecc key-pair label label-name

参数说明

参数 参数说明 取值
label-name

指定ECC密钥对的标签名。

字符串形式,不区分大小写,长度范围是1~35。只能是数字、英文字母或者下划线“_”。

modulus modulus-bits

指定ECC密钥对模数。

整数形式,取值范围是256、384、521,单位是比特。缺省值是521比特。

密钥对的模数越大可以提供越高的安全性,但是生成和使用这样的密钥对将花费更多的时间。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

ECC算法是SSH中一种用于用户认证的算法,用于保证用户认证的安全性。通过ecc key-pair label命令可以生成多个ECC密钥对,且这些密钥对通过标签进行区分。

注意事项

通过此命令可以生成多个带标签的ECC密钥对,最多可生成的数量由ecc key-pair maximum命令决定,缺省情况下,最多可生成20个带标签的ECC密钥对。

使用实例

# 生成标签名为ecc_key_pair的ECC密钥对。

<HUAWEI> system-view
[~HUAWEI] ecc key-pair label ecc_key_pair

ecc key-pair maximum

命令功能

ecc key-pair maximum命令用来配置最多可生成带标签的ECC密钥对的个数。

undo ecc key-pair maximum命令用来恢复最多可生成带标签的ECC密钥对的个数为缺省值。

缺省情况下,设备最多可生成20个带标签的ECC密钥对。

命令格式

ecc key-pair maximum max-keys

undo ecc key-pair maximum

参数说明

参数 参数说明 取值
max-keys 指定最多可生成带标签的ECC密钥对的个数。 整数形式,取值范围是1~20。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

ECC的密钥保存,需要占用系统内存和文件资源。用户可以根据需要调整可配置的ECC密钥数的最大值,防止ECC密钥个数过多,而过多的占用系统资源。

配置影响

此命令会影响带标签的ECC密钥对生成,当达到带标签的ECC密钥个数上限时,此后再生成新的密钥对时将会失败。

使用实例

# 设置带标签的ECC密钥对最大个数为15。

<HUAWEI> system-view
[~HUAWEI] ecc key-pair maximum 15
相关主题

ecc local-key-pair

命令功能

ecc local-key-pair create命令用来生成本地ECC主机密钥对。

ecc local-key-pair destroy命令用来销毁本地的ECC密钥。

缺省情况下,系统中没有本地ECC主机密钥对。

命令格式

ecc local-key-pair create

ecc local-key-pair destroy

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

产生本地密钥对是成功完成SSH登录的首要操作。与使用rsa local-key-pair create命令产生密钥对的RSA算法相比,ECC算法可以大大减少密钥的长度,加密速度也相对较快,并具有更高的安全性。ECC主机密钥对的长度可为256,384,521。缺省情况下,密钥对的长度为521。

如果用户确认无需继续使用本地的ECC密钥对,可以通过命令ecc local-key-pair destroy销毁本地ECC密钥。

使用ECC认证成功完成SSH登录的必要条件是生成ECC本地密钥对。生成的方式有两种:
  • 配置生成:执行命令ecc local-key-pair create生成。

  • 自动生成:当有SSH客户端登录设备,并且SSH服务器没有ECC密钥对时,系统会自动生成一个ECC密钥对。

两种方式生成的密钥对在功能、安全性、查看/销毁等方面无差异。推荐用户通过配置生成。

请在登录成功后,执行save命令保存配置,生成的密钥对将保存在设备中,设备重启后不会丢失。

注意事项

  • 新产生的密钥对命名方式为“交换机名称_Host_ECC”,如:HUAWEI_Host_ECC。

  • ecc local-key-pair createecc local-key-pair destroy命令为一次性操作指令,因此不会被保存在配置文件中,且只需执行一遍,交换机重新启动后不必再次执行。

  • 用户不能手动删除交换机上的ECC密钥文件。

使用实例

# 配置生成本地主机密钥对。

<HUAWEI> system-view
[~HUAWEI] ecc local-key-pair create
Info: The key name will be: HUAWEI_Host_ECC
Info: The key modulus can be any one of the following: 256, 384, 521.
Info: Key pair generation will take a short while.
Please input the modulus [default=521]:

# 配置销毁主机密钥对。

<HUAWEI> system-view
[~HUAWEI] ecc local-key-pair destroy
Info: The name of the key which will be destroyed is HUAWEI_Host_ECC.     
Warning: These keys will be destroyed. Continue? Please select [Y/N]: Y          
Info: Succeeded in destroying the ECC host keys.

ecc peer-public-key

命令功能

ecc peer-public-key命令用来创建ECC公共密钥并进入ECC公共密钥视图。

undo ecc peer-public-key命令用来删除ECC公共密钥。

缺省情况下,没有创建ECC公共密钥。

命令格式

ecc peer-public-key key-name [ encoding-type der ]

undo ecc peer-public-key key-name

参数说明

参数 参数说明 取值
key-name 指定ECC公共密钥名称。 字符串形式,区分大小写,不支持空格,长度范围是1~30
说明:

当输入的字符串两端使用引号时,可在字符串中输入空格。

encoding-type der

指定ECC公共密钥编码格式类型为DER(Distinguished Encoding Rules)。

DER格式是将数据进行16进制编码。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

采用ECC公共密钥认证时,需要在服务器端为SSH用户指定对应的客户端的公共密钥。当客户端登录服务器时,服务器端就会根据指定SSH用户对应的公共密钥对客户端进行认证。

进入ECC公共密钥视图后,再执行命令public-key-code begin,用户即可通过手动拷贝的方式将客户端产生的公共密钥拷贝到服务器端。

说明:
ECC公共密钥最多只能创建20个。

后续任务

当成功从客户端将ECC公共密钥拷贝到服务器端后,用户可执行如下操作退出ECC公共密钥视图。
  1. 执行命令public-key-code end,返回到ECC公共密钥视图。
  2. 执行命令peer-public-key end,退出ECC公共密钥视图,返回到系统视图。

注意事项

客户端产生的公共密钥是由客户端软件随机生成的。

执行命令undo ecc peer-public-key删除公共密钥时,如果当前此公共密钥已经分配给某个SSH用户,则需要使用undo ssh user user-name assign ecc-key命令删除SSH用户与此公共密钥之间的对应关系,否则无法删除此公共密钥。

使用实例

# 创建并进入ECC公共密钥视图。

<HUAWEI> system-view
[~HUAWEI] ecc peer-public-key ecckey001
[*HUAWEI-ecc-public-key]

ftp server login-failed threshold-alarm

命令功能

ftp server login-failed threshold-alarm命令用来配置在一定时间内通过FTP登录服务器失败次数的告警上报门限和告警恢复门限。

undo ftp server login-failed threshold-alarm命令用来恢复告警的缺省情况。

缺省情况下,在5分钟内发生30次或以上次数的登录失败,即产生告警,在5分钟内登录失败次数小于20,取消告警。

命令格式

ftp server login-failed threshold-alarm upper-limit report-times lower-limit resume-times period period-time

undo ftp server login-failed threshold-alarm [ upper-limit report-times lower-limit resume-times period period-time ]

参数说明

参数 参数说明 取值
upper-limit report-times

指定告警上报门限。

整数形式,取值范围是0~100。缺省值是30。如果指定为0,表示对用户登录失败不上报告警。

lower-limit resume-times

指定告警取消门限。

整数形式,取值范围是0~report-times,随report-times的变化而变化。缺省值是20,最大值是45。如果resume-times为0,则和指定为1的作用相同,即无登录失败情况下告警取消。

period period-time

指定统计周期时长。

整数形式,取值范围为1~120,单位是分钟。缺省值是5分钟。如果report-times取值为0,则period-time的配置实际不生效。

视图

系统视图

缺省级别

3:管理级

使用指南

对于短期内频繁的FTP管理用户登录失败,产生管理安全告警,即时显示给管理员,提醒其介入处理。本命令用来配置判定为“短期内频繁”的FTP管理用户登录失败的告警阈值。

使用实例

# 配置在时间阈值10分钟内的告警上报门限40和告警恢复门限25。
<HUAWEI> system-view
[*HUAWEI] ftp server login-failed threshold-alarm upper-limit 40 lower-limit 25 period 10

http

命令功能

http命令用来使能HTTP客户端功能,并进入HTTP视图。

undo http命令用来删除HTTP视图及其下面的配置。

缺省情况下,未进入HTTP视图。

命令格式

http

undo http

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

HTTP(Hypertext Transfer Protocol)即超文本传输协议,是用于从WWW服务器传输超文本到本地浏览器的传送协议。HTTP是一个应用层协议,由请求和响应构成,是一个标准的客户端/服务器模型。

执行http命令可以使能HTTP功能,并进入HTTP视图,进行HTTP特性的相关配置。

使用实例

# 进入HTTP视图。

<HUAWEI> system-view
[~HUAWEI] http

lock

命令功能

lock命令用来锁住当前用户界面,防止未授权的用户操作该终端界面。

缺省情况下,系统不会自动锁住当前用户界面。

命令格式

lock

参数说明

视图

用户视图

缺省级别

0:参观级

使用指南

应用场景

为了防止别的用户操作设备,可以使用该命令锁住当前用户界面。用户界面包括Console口和VTY虚拟终端用户界面。

用户输入命令lock后,系统提示输入两次屏保密码,如果两次输入的密码相同,则锁定当前用户界面成功。

注意事项

  • 用户输入的密码必须符合特定的要求。

    • 当有密码复杂度检查时,密码输入的要求如下:

      • 输入的密码为字符串形式,区分大小写,长度范围是8~128。

      • 输入的密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。

        特殊字符不包括“?”和空格。

    • 当用户在AAA视图下执行undo local-user policy security-enhance命令,去使能本地用户帐户安全策略后,再执行lock命令,将不再有密码复杂度检查。密码输入的要求如下:

      • 输入的密码为字符串形式,区分大小写,长度范围是1~128。

        不能包括特殊字符“?”和空格。

  • 采用交互方式输入的密码不会在终端屏幕上显示出来。

  • 用户执行本命令锁住当前用户界面设置密码时,可键入CTRL_C取消操作。

  • 系统锁定后,如果想再次进入系统,必须先按“Enter”键,此时提示输入登录密码,用户输入正确的登录密码才可以解除锁定进入系统。

使用实例

# 用户从Console口登录,锁住当前用户界面。

<HUAWEI> lock
Enter Password:
Confirm Password:
Info: The terminal is locked.

# 用户想再进入系统,在界面上按“Enter”键后出现如下提示信息:

Enter Password:

# 输入正确的密码后,回到用户视图。

<HUAWEI>

peer-public-key end

命令功能

peer-public-key end命令用来从公共密钥视图退回到系统视图,同时保存用户配置的公共密钥。

命令格式

peer-public-key end

参数说明

视图

公共密钥视图

缺省级别

3:管理级

使用指南

如果要保证在连接时本地对远端的有效性检查能够通过,需要将远端产生的公钥直接保存至本地。编辑公共密钥后,使用该命令退出公共密钥视图到系统视图。

使用实例

# 从公共密钥视图退回到系统视图。

<HUAWEI> system-view
[~HUAWEI] dsa peer-public-key dsakey001 encoding-type der
[*HUAWEI-dsa-public-key] public-key-code begin
[*HUAWEI-dsa-public-key-dsa-key-code] 308188
[*HUAWEI-dsa-public-key-dsa-key-code] 028180
[*HUAWEI-dsa-public-key-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[*HUAWEI-dsa-public-key-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[*HUAWEI-dsa-public-key-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
[*HUAWEI-dsa-public-key-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[*HUAWEI-dsa-public-key-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[*HUAWEI-dsa-public-key-dsa-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[*HUAWEI-dsa-public-key-dsa-key-code] 171896FB 1FFC38CD
[*HUAWEI-dsa-public-key-dsa-key-code] 0203
[*HUAWEI-dsa-public-key-dsa-key-code] 010001
[*HUAWEI-dsa-public-key-dsa-key-code] public-key-code end
[*HUAWEI-dsa-public-key] peer-public-key end
[*HUAWEI]

public-key-code begin

命令功能

public-key-code begin命令用来进入公共密钥编辑视图。

命令格式

public-key-code begin

参数说明

视图

公共密钥视图

缺省级别

3:管理级

使用指南

应用场景

如果要保证在连接时本地对远端的有效性检查能够通过,需要将远端产生的公钥直接保存至本地。输入public-key-code begin命令后,进入公共密钥编辑视图,在该视图下可以开始输入密钥数据。在输入密钥数据时,字符之间可以有空格,也可以按回车键继续输入数据。

前置条件

使用该命令前,必须使用命令rsa peer-public-keydsa peer-public-keyecc peer-public-key指定一个密钥名称。

为了保证更好的安全性,建议不要使用RSA密钥。

注意事项

  • 密钥内容不支持输入中文字符。
  • 所配置的公钥必须是按公钥格式编码的十六进制字符串,是由支持SSH的客户端或服务器随机生成的。
  • 通过display rsa local-key-pair publicdisplay dsa local-key-pair publicdisplay ecc local-key-pair public命令显示的公钥可以作为输入的密钥数据。
  • 对于公共密钥对,输入服务器密钥对中的公钥或主机密钥对中的公钥,公钥编辑都可以成功。但是,在SSH应用中,输入的密钥数据只能是主机密钥对中的公钥,否则会导致身份验证失败。

使用实例

# 进入公共密钥编辑视图,输入密钥。

<HUAWEI> system-view
[~HUAWEI] dsa peer-public-key dsakey001 encoding-type der
[*HUAWEI-dsa-public-key] public-key-code begin
[*HUAWEI-dsa-public-key-dsa-key-code] 308188
[*HUAWEI-dsa-public-key-dsa-key-code] 028180
[*HUAWEI-dsa-public-key-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[*HUAWEI-dsa-public-key-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[*HUAWEI-dsa-public-key-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
[*HUAWEI-dsa-public-key-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[*HUAWEI-dsa-public-key-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[*HUAWEI-dsa-public-key-dsa-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[*HUAWEI-dsa-public-key-dsa-key-code] 171896FB 1FFC38CD
[*HUAWEI-dsa-public-key-dsa-key-code] 0203
[*HUAWEI-dsa-public-key-dsa-key-code] 010001
[*HUAWEI-dsa-public-key-dsa-key-code] public-key-code end
[*HUAWEI-dsa-public-key] peer-public-key end
[*HUAWEI]

public-key-code end

命令功能

public-key-code end命令可以用来从公共密钥编辑视图退回到公共密钥视图,并且保存用户配置的公共密钥。

命令格式

public-key-code end

参数说明

视图

公共密钥编辑视图

缺省级别

3:管理级

使用指南

应用场景

当执行此命令后,结束公钥编码的编辑过程,在保存之前要进行密钥合法性的检测。
  • 如果用户配置的公钥字符串中存在非法字符或不符合编码规则,那么将会显示相关提示信息,且用户配置的密钥将被丢弃,本次配置失败。
  • 如果配置的密钥合法,将会保存到客户公钥链表中。

注意事项

  • 正常的情况下,在公共密钥视图下,只能通过命令public-key-code end退出公共密钥编辑视图,不能使用quit
  • 如果未输入合法的密钥编码,执行命令public-key-code end后,无法生成密钥,此时系统也会提示:密钥生成失败。
  • 如果此密钥已经在别的视图下被删除,再执行命令public-key-code end时,系统会提示:密钥已经不存在,此时直接退到系统视图。

使用实例

# 退出RSA公共密钥编辑视图,并保留RSA密钥配置。

<HUAWEI> system-view
[~HUAWEI] dsa peer-public-key dsakey001 encoding-type der
[*HUAWEI-dsa-public-key] public-key-code begin
[*HUAWEI-dsa-public-key-dsa-key-code] 308188
[*HUAWEI-dsa-public-key-dsa-key-code] 028180
[*HUAWEI-dsa-public-key-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[*HUAWEI-dsa-public-key-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[*HUAWEI-dsa-public-key-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
[*HUAWEI-dsa-public-key-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[*HUAWEI-dsa-public-key-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[*HUAWEI-dsa-public-key-dsa-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[*HUAWEI-dsa-public-key-dsa-key-code] 171896FB 1FFC38CD
[*HUAWEI-dsa-public-key-dsa-key-code] 0203
[*HUAWEI-dsa-public-key-dsa-key-code] 010001
[*HUAWEI-dsa-public-key-dsa-key-code] public-key-code end
[*HUAWEI-dsa-public-key] peer-public-key end
[*HUAWEI]

rsa key-pair label

命令功能

rsa key-pair label命令用来生成带标签的RSA密钥对。

undo rsa key-pair label命令用来删除带标签的RSA密钥对。

缺省情况下,没有配置带标签的RSA密钥对。

命令格式

rsa key-pair label label-name [ modulus modulus-bits ]

rsa key-pair label load private private-key public public-key

undo rsa key-pair label label-name

参数说明

参数 参数说明 取值
label-name

指定RSA密钥对的标签名。

字符串形式,不区分大小写,长度范围是1~35。只能包含数字、英文字母或者下划线“_”。

modulus modulus-bits

指定RSA密钥对模数。

整数形式,取值为2048,单位是bit。缺省模数为2048。

load private private-key

指定加载密钥对中的私钥。

必须是已存在的private-key。

public public-key

指定加载密钥对中的公钥。

必须是已存在的public-key。

视图

系统视图

缺省级别

3: 管理级

使用指南

应用场景

RSA密钥是SSH中一种用于用户认证的算法,用于保证用户认证的安全性。通过rsa key-pair label命令可以生成多个RSA密钥对,且这些密钥对通过标签进行区分。

注意事项

通过此命令可以生成多个带标签的RSA密钥对,最多可生成的数量由rsa key-pair maximum命令决定,缺省情况下,最多可生成20个带标签的RSA密钥对。
说明:

为了保证更好的安全性,建议不要使用小于2048位的RSA密钥对。

使用实例

# 生成标签名为ssh_host的RSA密钥对。

<HUAWEI> system-view
[~HUAWEI] rsa key-pair label ssh_host

rsa key-pair maximum

命令功能

rsa key-pair maximum命令用来配置最多可生成带标签的RSA密钥对的个数。

undo rsa key-pair maximum命令用来恢复最多可生成带标签的RSA密钥对的个数为缺省值。

缺省情况下,设备最多可生成20个带标签的RSA密钥对。

命令格式

rsa key-pair maximum max-keys

undo rsa key-pair maximum

参数说明

参数 参数说明 取值
max-keys 指定RSA密钥对的最大数量。 整数形式,取值范围是1~20。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

RSA的密钥保存,需要占用系统内存和文件资源。用户可以根据需要调整可配置的RSA密钥数的最大值,防止RSA密钥个数过多,而过多的占用系统资源。

配置影响

此命令会影响带标签的RSA密钥对生成,当达到带标签的RSA密钥个数上限时,此后再生成新的密钥对时将会失败。

使用实例

# 设置RSA密钥对最大数量为15。

<HUAWEI> system-view
[~HUAWEI] rsa key-pair maximum 15
相关主题

rsa local-key-pair create

命令功能

rsa local-key-pair create命令用来生成本地RSA主机密钥对和服务器密钥对。

缺省情况下,没有配置本地RSA主机密钥对和服务器密钥对。

命令格式

rsa local-key-pair create

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果要实现在服务器端和客户端之间进行安全地数据交互,则需要使用该命令生成本地密钥对。

使用RSA认证成功完成SSH登录的必要条件是生成RSA本地密钥对。生成的方式有两种:
  • 配置生成:执行命令rsa local-key-pair create生成。

  • 自动生成:当有SSH客户端登录设备,并且SSH服务器没有RSA密钥对时,系统会自动生成一个RSA密钥对。

两种方式生成的密钥对在功能、安全性、查看/销毁等方面无差异。推荐用户通过配置生成。

请在登录成功后,执行save命令保存配置,生成的密钥对将保存在设备中,设备重启后不会丢失。

注意事项

如果RSA密钥已经存在,则系统将提示用户确认是否替换原有密钥。产生的密钥对命名方式为“设备名称_server”和“设备名称_host”,如:HUAWEI_host、HUAWEI_server。

输入该命令后,会生成位数长度为2048位的主机密钥对。如果已有密钥对存在,则需用户确认是否进行修改。

说明:
小于2048位的RSA密钥对不够安全,不推荐使用。

该命令不在配置文件中保存。

使用实例

# 配置生成本地主机密钥对和服务器密钥对。

<HUAWEI> system-view
[~HUAWEI] rsa local-key-pair create
The key name will be: HUAWEI_Host
The range of public key size is (2048 ~ 2048).
NOTE: Key pair generation will take a short while.

rsa local-key-pair destroy

命令功能

rsa local-key-pair destroy命令用来销毁本地所有的RSA密钥,包括主机密钥对和服务器密钥对。

命令格式

rsa local-key-pair destroy

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当需要删除本地密钥对时,使用rsa local-key-pair destroy命令。如果删除了SSH服务器的主机密钥对和服务密钥,必须使用rsa local-key-pair create命令重新生成SSH服务器的主机密钥对和服务密钥对。

输入该命令后,需要确认是否销毁本地所有的RSA密钥。由于此命令为一次性操作指令,因此不会被保存在配置文件中。

前置条件

执行此命令前,需要本地存在可被删除的RSA密钥。

使用实例

# 销毁服务器端所有的密钥。

<HUAWEI> system-view
[~HUAWEI] rsa local-key-pair destroy
% The name for the keys which will be destroyed is HUAWEI_Host.                   
% Confirm to destroy these keys? Please select [Y/N]: y

rsa local-key-pair load

命令功能

rsa local-key-pair load命令用来从指定文件中加载本地RSA密钥对和服务器密钥对信息。

缺省情况下,设备中没有配置本地RSA密钥对和服务器密钥对。

命令格式

rsa local-key-pair load { hostkey | serverkey } file-name

参数说明

参数 参数说明 取值
hostkey 指定加载本地RSA客户密钥对。 -
serverkey 指定加载服务器密钥对。 -
file-name 指定加载密钥的文件名。 必须是已存在的文件名。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当用户从低级别升级到高级别,并且需要继续延用低级别时的RSA密钥配置信息时,可以通过执行此命令,从指定文件中加载密钥对信息。

前提条件

设备上已经含有RSA密钥对的文件。

使用实例

# 加载本地用户RSA密钥对信息。

<HUAWEI> system-view
[~HUAWEI] rsa local-key-pair load hostkey flash:/rsahostkey.dat

rsa peer-public-key

命令功能

rsa peer-public-key命令用来进入公共密钥视图,并指定公共密钥名称

undo rsa peer-public-key命令用来删除公共密钥。

缺省情况下,没有配置公共密钥。

命令格式

rsa peer-public-key key-name [ encoding-type { der | openssh | pem } ]

undo rsa peer-public-key key-name

参数说明

参数 参数说明 取值
key-name 指定公共密钥名称。 字符串形式,不区分大小写,不支持空格,长度范围是1~30
说明:

当输入的字符串两端使用双引号时,可在字符串中输入空格。

encoding-type 指定RSA公共密钥编码格式类型。 -
der

指定RSA公共密钥编码格式是DER。

DER格式是将数据进行16进制编码。

-
openssh

指定RSA公共密钥编码格式是OpenSSH。

OpenSSH格式是将数据进行64进制编码。

OpenSSH是基于PEM修改而产生的编码格式。

-
pem

指定RSA公共密钥编码格式是PEM。

PEM格式是将数据进行64进制编码。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果需要将远端的公钥保存在本地,保证在连接时有效性检查远端设备的合法性,用户可以使用本命令进入公共密钥视图,保存公钥。

通过本命令指定RSA密钥编码格式后,华为公司的数据通信设备会自动生成相应编码格式的密钥,同时进入RSA公共密钥视图,再执行命令public-key-code begin后,用户即可通过手动拷贝的方式将对端设备产生的公共密钥拷贝到本端设备。

说明:

最多可以配置20个RSA公钥。为了保证更好的安全性,建议不要使用小于2048位的RSA密钥对。

前置条件

用户需要预先获取并记录远端十六进制形式的公钥。

后续任务

当成功从对端设备将RSA公共密钥拷贝到本端设备后,用户可执行如下操作退出RSA公共密钥视图。
  1. 执行命令public-key-code end,返回到RSA公共密钥视图。
  2. 执行命令peer-public-key end,退出RSA公共密钥视图,返回到系统视图。

注意事项

执行命令undo rsa peer-public-key删除公共密钥时,如果当前此公共密钥已经分配给某个SSH用户,则需要使用undo ssh user user-name assign rsa-key命令删除SSH用户与此公共密钥之间的对应关系,否则无法删除此公共密钥。

使用实例

# 进入公共密钥视图。
<HUAWEI> system-view
[~HUAWEI] rsa peer-public-key rsakey001
[*HUAWEI-rsa-public-key]

run

命令功能

run命令用来在系统视图下执行用户视图命令。

缺省情况下,系统视图下不允许执行用户视图命令。

命令格式

run command-line

参数说明

参数 参数说明 取值
command-line

指定需要执行的命令行。

-

视图

系统视图

缺省级别

1:监控级

使用指南

应用场景

对于某些命令只能在用户视图下执行,当用户需要执行该类命令时,必须退出到用户视图才能成功执行。为了便于用户执行用户视图命令,通过run命令,用户在不用切换视图的情况下,可实现在系统视图下执行用户视图命令。

注意事项

  • 执行run命令时,指定的命令行格式必须支持在用户视图下执行。
  • 执行run命令时,当前不支持联想帮助功能。
  • 执行display history-command命令查看终端上保存的历史命令,历史命令中只记录用户实际输入的命令。命令格式是run command-line
  • 查看CLI/5/CMDRECORD日志信息时,日志中只记录实际执行的命令。命令格式是run command-line

使用实例

# 在系统视图下查看设备上.cfg文件。

<HUAWEI> system-view
[~HUAWEI] run dir *.cfg
Directory of flash:/
  Idx  Attr     Size(Byte)  Date        Time       FileName
    0  -rw-         11,970  Mar 14 2012 19:11:22   31.cfg
    1  -rw-         12,033  Apr 22 2012 17:10:30   31_new.cfg
509,256 KB total (118,784 KB free)

ssh authentication-type default password

命令功能

ssh authentication-type default password命令用来配置用户通过SSH方式登录设备时缺省采用密码认证。

undo ssh authentication-type default password命令用来取消配置用户通过SSH方式登录设备时缺省采用密码认证。

缺省情况下,没有配置缺省的本地用户认证类型

命令格式

ssh authentication-type default password

undo ssh authentication-type default password

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在用户数量比较多时,对本地用户使用缺省密码认证方式简化配置。

用户通过SSH方式登录设备时,如果没有执行ssh userssh user authentication-typessh user service-type命令创建SSH用户,则
  • 执行ssh authentication-type default password命令后,用户通过AAA认证接入。
  • 未执行ssh authentication-type default password命令,用户无法接入。

如果用户已经执行ssh userssh user authentication-typessh user service-type命令创建SSH用户,则使用ssh user authentication-type指定的认证方式进行认证,如果未执行ssh user authentication-type命令配置SSH认证方式,则用户无法接入。

注意事项

SSH没有缺省的认证类型,通常情况下,配置SSH用户时必须为该用户指定认证方式。

若要配置对指定SSH用户进行password认证,还可以执行命令ssh user user-name authentication-type password进行配置。二者同时配置时,以ssh user命令配置的认证方式生效。

此命令对IPv4和IPv6用户均生效。

使用实例

# 为用户配置缺省的SSH认证类型为密码认证。

<HUAWEI> system-view
[~HUAWEI] ssh authentication-type default password

ssh authorization-type default

命令功能

ssh authorization-type default命令用来设置SSH连接的授权类型。

undo ssh authorization-type default命令用来恢复SSH连接的授权类型为缺省值。

缺省情况下,SSH连接的授权类型为AAA。

命令格式

ssh authorization-type default { aaa | root }

undo ssh authorization-type default

参数说明

参数 参数说明 取值
aaa

设置SSH连接的授权类型为AAA。

-
root

设置SSH连接的授权类型为Root。

-

视图

系统视图

缺省级别

3:管理级

使用指南

如果用户设置的SSH连接的授权类型为AAA,则SSH用户级别为AAA视图下配置的用户级别。

如果用户设置的SSH连接的授权类型为Root,则SSH用户级别不再是AAA视图下配置的用户级别,而是最大值15或者3。

使用实例

# 设置SSH连接的授权类型为AAA。

<HUAWEI> system-view
[~HUAWEI] ssh authorization-type default aaa

ssh client assign

命令功能

ssh client assign命令用来在SSH客户端上指定要连接的SSH服务器端的主机公钥名称。

undo ssh client assign命令用来取消在客户端上指定要连接的服务器端的主机公钥。

缺省情况下,客户端不指定要连接的服务器端的主机公钥名称。

命令格式

ssh client server-ip-address assign { rsa-key | dsa-key | ecc-key } key-name

undo ssh client server-ip-address assign { rsa-key | dsa-key | ecc-key }

参数说明

参数 参数说明 取值
server-ip-address 指定SSH服务器的主机名或IP地址。 必须是已存在的SSH。
rsa-key 指定RSA公钥。 -
dsa-key 指定DSA公钥。 -
ecc-key 指定ECC公钥。 -
key-name 指定SSH客户端已经配置好的SSH服务器的公钥名。 必须是已存在的SSH服务器公钥名。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果SSH客户端是第一次连接SSH服务器且SSH客户端没有使用命令ssh client first-time enable使能首次认证,SSH客户端将拒绝访问未经认证的SSH服务器。此时,需要在SSH客户端指定要连接的SSH服务器端的主机公钥名称,并指定该公钥与SSH服务器端的对应关系,以便在SSH客户端对连接的服务器端进行认证时,判断服务器是否为可信赖的服务器,能够根据该对应关系使用正确的公钥对服务器端进行认证。

为了保证更好的安全性,建议不要使用RSA密钥。

注意事项

用来给SSH服务器分配的RSA、DSA或ECC公钥名必须是SSH客户端已经配置好的SSH服务器的RSA、DSA或ECC公钥。这个RSA、DSA或ECC公钥,应该是根据SSH服务器通过rsa peer-public-keydsa peer-public-keyecc peer-public-key命令配置的本地RSA、DSA或ECC公钥,否则SSH客户端将对SSH服务器的RSA、DSA或ECC公钥验证失败。

使用实例

# 为SSH服务器分配DSA公钥。
<HUAWEI> system-view
[~HUAWEI] ssh client 10.164.39.120 assign dsa-key sshdsakey01
# 删除SSH服务器DSA公钥。
<HUAWEI> system-view
[~HUAWEI] undo ssh client 10.164.39.120 assign dsa-key

ssh client cipher

命令功能

ssh client cipher命令用来配置SSH客户端的加密算法列表。

undo ssh client cipher命令用来将SSH客户端的加密算法列表恢复为缺省值。

缺省情况下,SSH客户端支持的加密算法为3DES_CBC、AES128_CBC、AES256_CBC、AES128_CTR、AES192_CTR、AES128_GCM、AES256_GCM、AES256_CTR、Arcfour128和Arcfour256。

命令格式

ssh client cipher { des_cbc | 3des_cbc | aes128_cbc | aes256_cbc | aes128_ctr | aes256_ctr | arcfour128 | arcfour256 | aes192_cbc | aes192_ctr | aes128_gcm | aes256_gcm } *

undo ssh client cipher

参数说明

参数 参数说明 取值
des_cbc 指定CBC模式的DES加密算法。 -
3des_cbc 指定CBC模式的3DES加密算法。 -
aes128_cbc 指定CBC模式的AES128加密算法。 -
aes256_cbc 指定CBC模式的AES256加密算法。 -
aes128_ctr 指定CTR模式的AES128加密算法。 -
aes256_ctr 指定CTR模式的AES256加密算法。 -
arcfour128 指定Arcfour128加密算法。 -
arcfour256 指定Arcfour256加密算法。 -
aes192_cbc 指定CBC模式的AES192加密算法。 -
aes192_ctr 指定CTR模式的AES192加密算法。 -
aes128_gcm 指定GCM模式的AES128加密算法。 -
aes256_gcm 指定GCM模式的AES256加密算法。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在客户端与服务器协商的过程中,客户端与服务器会对两者之间报文传输的加密算法进行协商,通过ssh client cipher命令可以配置SSH客户端的加密算法列表。服务器端根据客户端发过来的加密算法列表与自身的加密算法列表进行对比,选择客户端与自己相匹配的第一个加密算法作为报文传输的加密算法,如果客户端的加密算法列表与服务器端的加密算法列表没有相匹配的算法,则协商失败。

注意事项

其中des_cbc、3des_cbc、aes128_cbc、aes192_cbc、aes256_cbc、arcfour128和arcfour256为弱安全的加密算法,建议不配置到加密算法列表中。建议使用以下算法,安全性较高:aes128_ctr、aes256_ctr、aes192_ctr、aes128_gcm、aes256_gcm

此命令对IPv4和IPv6均生效。

使用实例

# 配置SSH客户端的加密算法为CTR加密算法。

<HUAWEI> system-view
[~HUAWEI] ssh client cipher aes128_ctr aes256_ctr
相关主题

ssh client first-time enable

命令功能

ssh client first-time enable命令用来使能SSH客户端首次认证。

undo ssh client first-time enable命令用来关闭SSH客户端首次认证。

缺省情况,SSH客户端首次认证功能是关闭的。

命令格式

ssh client first-time enable

undo ssh client first-time enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

设备作为客户端时,当SSH客户端首次访问SSH服务器,而SSH客户端没有配置SSH服务器端的公钥时,用户可以选择使能SSH客户端首次认证继续访问该SSH服务器,并在SSH客户端保存该主机公钥;当SSH客户端下次访问该SSH服务器时,就以保存的主机公钥来认证该SSH服务器。

注意事项

除了使能SSH客户端首次认证功能之外,如果SSH客户端想第一次就能成功登录SSH服务器,还可以执行命令ssh client assign通过事先在客户端为SSH服务器分配公钥来实现。

此命令对IPv4和IPv6均生效。

使用实例

# 使能SSH客户端首次认证功能。

<HUAWEI> system-view
[~HUAWEI] ssh client first-time enable
相关主题

ssh client hmac

命令功能

ssh client hmac命令用来配置SSH客户端的HMAC认证算法列表。

undo ssh client hmac命令用来将SSH客户端的HMAC认证算法列表恢复为缺省值。

缺省情况下,SSH客户端支持的HMAC认证算法为MD5、MD5_96、SHA1、SHA1_96、SHA2_256、SHA2_512和SHA2_256_96。

命令格式

ssh client hmac { md5 | md5_96 | sha1 | sha1_96 | sha2_256 | sha2_256_96 | sha2_512 } *

undo ssh client hmac

参数说明

参数 参数说明 取值
md5 指定MD5 HMAC认证算法。 -
md5_96 指定MD5_96 HMAC认证算法。 -
sha1 指定SHA1 HMAC认证算法。 -
sha1_96 指定SHA1_96 HMAC认证算法。 -
sha2_256 指定SHA2_256 HMAC认证算法。 -
sha2_256_96 指定SHA2_256_96 HMAC认证算法。 -
sha2_512 指定SHA2_512 HMAC认证算法。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在客户端与服务器协商的过程中,客户端与服务器会对两者之间报文传输的HMAC认证算法进行协商,通过ssh client hmac命令可以配置SSH客户端的HMAC认证算法列表。服务器端根据客户端发过来的HMAC认证算法列表与自身的HMAC认证算法列表进行对比,选择客户端与自己相匹配的第一个HMAC认证算法作为报文传输的HMAC认证算法,如果客户端的HMAC认证算法列表与服务器端的HMAC认证算法列表没有相匹配的算法,则协商失败。

注意事项

sha2_256_96sha1sha1_96md5md5_96为弱安全的HMAC认证算法,建议不要配置到HMAC认证算法列表中。

此命令对IPv4和IPv6均生效。

使用实例

# 配置SSH客户端的HMAC认证算法为SHA2_256

<HUAWEI> system-view
[~HUAWEI] ssh client hmac sha2_256
相关主题

ssh client keepalive-interval

命令功能

ssh client keepalive-interval命令用来配置SSH客户端发送keepalive报文的时间间隔。

undo ssh client keepalive-interval命令用来恢复SSH客户端发送keepalive报文的时间间隔到缺省配置。

缺省情况下,SSH客户端发送keepalive报文的时间间隔为0秒。

命令格式

ssh client keepalive-interval seconds

undo ssh client keepalive-interval

参数说明

参数 参数说明 取值
seconds 指定发送keepalive报文的时间周期,单位为秒。 整数形式,取值范围是0~3600,单位是秒。取值为0表示不发送keepalive报文。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果SSH客户端在周期内没有收到来自SSH服务器的任何数据报文,就会首先向服务器发送keepalive报文。如果客户端收不到服务器的keepalive的响应报文,它就会断开与服务器的连接。

注意事项

如果将发送报文的时间周期复位到0秒,客户端将不会发送任何keepalive报文给服务器。

此命令对IPv4和IPv6均生效。

使用实例

# 配置SSH客户端发送keepalive报文周期间隔为30秒。

<HUAWEI> system-view
[~HUAWEI] ssh client keepalive-interval 30

ssh client keepalive-maxcount

命令功能

ssh client keepalive-maxcount命令用来配置SSH客户端发送的keepalive报文的最大数目。

undo ssh client keepalive-maxcount命令用来恢复SSH客户端发送的keepalive报文的最大数目到缺省配置。

缺省情况下,keepalive报文的最大数目为3。表示客户端在断开连接之前给服务器发送3个keepalive报文。

命令格式

ssh client keepalive-maxcount count

undo ssh client keepalive-maxcount

参数说明

参数 参数说明 取值
count 指定keepalive报文的最大数目。 整数形式,取值范围是1~30。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果SSH客户端在周期内没有收到来自服务器的任何数据报文,客户端就会在周期之后发送keepalive报文给服务器,直到达到配置的最大数目。如果客户端收不到服务器的keepalive的响应报文,它就会断开与服务器的连接。

注意事项

客户端发送keepalive报文的时间间隔必须大于配置的周期间隔(可使用ssh client keepalive-interval命令进行配置)。如果发送报文的时间间隔是0秒(即不发送keepalive报文),那么配置的最大keepalive报文数量将无效。

此命令对IPv4和IPv6客户端均生效。

使用实例

# 配置SSH客户端发送keepalive报文最大数目为5。

<HUAWEI> system-view
[~HUAWEI] ssh client keepalive-maxcount 5

ssh client key-exchange

命令功能

ssh client key-exchange命令用来配置SSH客户端上的密钥交换算法列表。

undo ssh client key-exchange命令用来恢复SSH客户端上的密钥交换算法列表为缺省值。

缺省情况下,SSH客户端支持dh_group14_sha1、dh_group_exchange_sha1、dh_group_exchange_sha256、ecdh_sha2_nistp256、ecdh_sha2_nistp384、ecdh_sha2_nistp521、sm2_kep密钥交换算法。

命令格式

ssh client key-exchange { dh_group14_sha1 | dh_group1_sha1 | dh_group_exchange_sha1 | dh_group_exchange_sha256 | ecdh_sha2_nistp256 | ecdh_sha2_nistp384 | ecdh_sha2_nistp521 | sm2_kep } *

undo ssh client key-exchange

参数说明

参数 参数说明 取值
dh_group14_sha1

指定将Diffie-hellman-group14-sha1算法配置到SSH客户端的密钥交换算法列表中。

-
dh_group1_sha1

指定将Diffie-hellman-group1-sha1算法配置到SSH客户端的密钥交换算法列表中。

-
dh_group_exchange_sha1

指定将Diffie-hellman-group-exchange-sha1算法配置到SSH客户端的密钥交换算法列表中。

-
dh_group_exchange_sha256

指定将Diffie-hellman-group-exchange-sha256算法配置到SSH客户端的密钥交换算法列表中。

-
ecdh_sha2_nistp256

指定将Elliptic curve Diffie-hellman-sha2-nistp256算法配置到SSH客户端的密钥交换算法列表中。

-
ecdh_sha2_nistp384

指定将Elliptic curve Diffie-hellman-sha2-nistp384算法配置到SSH客户端的密钥交换算法列表中。

-
ecdh_sha2_nistp521

指定将Elliptic curve Diffie-hellman-sha2-nistp521算法配置到SSH客户端的密钥交换算法列表中。

-
sm2_kep

指定将SuperMemo 2 Key Exchange Protocol算法配置到SSH客户端的密钥交换算法列表中。

-

视图

系统视图

缺省级别

3:管理级

使用指南

在客户端与服务器协商的过程中,会对两者之间报文传输的密钥交换算法进行协商,通过ssh client key-exchange命令可以配置SSH客户端的密钥交换算法列表。服务器端根据客户端发过来的密钥交换算法列表与自身的密钥交换算法列表进行对比,选择客户端与自己相匹配的第一个密钥交换算法作为报文传输的密钥交换算法,如果客户端的密钥交换算法列表与服务器端的密钥交换算法列表没有相匹配的算法,则协商失败。

说明:

为了保证更好的安全性,建议不要使用dh_group1_sha1风险高不安全的密钥交换算法。

使用实例

# 配置SSH客户端的密钥交换算法协商列表为dh_group_exchange_sha256

<HUAWEI> system-view
[~HUAWEI] ssh client key-exchange dh_group_exchange_sha256

ssh server acl

命令功能

ssh server acl命令用来配置用于SSH服务器的访问控制列表,以便控制SSH客户端的访问权限。

undo ssh server acl命令用来取消SSH服务器的访问控制列表。

缺省情况下,设备没有配置访问控制列表。

命令格式

ssh [ ipv6 ] server acl { acl-number | acl-name }

undo ssh [ ipv6 ] server acl

参数说明

参数 参数说明 取值
acl-number 指定访问控制列表编号。 整数形式,取值范围是2000~3999。
acl-name 指定访问控制列表名称。 字符串形式,不支持空格,区分大小写,长度范围是1~32,以英文字母开始。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果将设备作为下列服务器,可以通过配置访问控制列表,来进行下列访问控制:
  • STelnet服务器:可控制哪些客户端能以STelnet方式登录到本设备。
  • SFTP服务器:可控制哪些客户端能以SFTP方式登录到本设备。
  • SNetconf服务器:可控制哪些客户端能以SNetconf方式登录到本设备。

前置条件

执行本命令前,需要先执行acl(系统视图)命令和rule(ACL视图)命令成功配置访问控制列表。

注意事项

可使用基本访问控制列表限制源地址,使用高级访问控制列表同时限制源地址和目的地址。

ssh server acl { acl-number | acl-name }命令仅对IPv4客户端生效。

使用实例

# 在SSH服务器端配置编号为2000的访问控制列表。

<HUAWEI> system-view
[~HUAWEI] acl 2000
[*HUAWEI-acl4-basic-2000] rule permit source 10.10.10.10 0
[*HUAWEI-acl4-basic-2000] quit
[*HUAWEI] ssh server acl 2000
# 在SSH服务器端配置名称为huawei的访问控制列表。
<HUAWEI> system-view
[~HUAWEI] acl name huawei
[*HUAWEI-acl4-advance-huawei] rule permit tcp
[*HUAWEI-acl4-advance-huawei] quit
[*HUAWEI] ssh server acl huawei

ssh server assign

命令功能

ssh server assign命令用来为SSH服务器分配RSA主机密钥、DSA主机密钥或ECC主机密钥。

undo ssh server assign命令用来取消给SSH服务器分配密钥。

缺省情况下,没有为SSH服务器分配密钥。

命令格式

ssh server assign { rsa-host-key | dsa-host-key | ecc-host-key } label-name

undo ssh server assign { rsa-server-key | rsa-host-key | dsa-host-key | ecc-host-key }

参数说明

参数 参数说明 取值
rsa-server-key 指定RSA服务器密钥。 -
rsa-host-key 指定密钥类型为RSA主机密钥。 -
dsa-host-key 指定密钥类型为DSA主机密钥。 -
ecc-host-key 指定密钥类型为ECC主机密钥。 -
label-name 指定RSA主机密钥、RSA服务器密钥、DSA主机密钥或ECC主机密钥的标签名。

必须是已存在的标签名。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

通过该命令引用已经生成带标签的RSA、DSA或ECC密钥,为SSH服务器提供安全保证。
说明:
为了保证更好的安全性,建议不要使用RSA密钥。

各种认证方式的应用场景如表3-36

表3-36  各种认证方式应用场景

认证方式

应用场景

RSA认证

RSA是一种公开密钥加密体系,是一种非对称加密算法,其原理是基于大整数因子分解这一著名的数学难题,主要用来传递对称加密算法所使用的密钥,通过这种方法可以有效地提高加密的效率并能简化对密钥的管理。服务器必须检查用户是否是合法的SSH用户,检查公钥对于该用户是否合法,用户数字签名是否合法。若三者同时满足,则身份认证通过;若其中任何一项不能验证通过均告验证失败,拒绝该用户的登录请求。

DSA认证

DSA和RSA认证相同,服务器必须检查用户是否是合法的SSH用户,检查公钥对于该用户是否合法,用户数字签名是否合法。若三者同时满足,则身份认证通过;若其中任何一项不能验证通过均告验证失败,拒绝该用户的登录请求。

相比RSA认证,DSA认证采用数字签名算法进行加密,具有更广泛的应用性。
  • 在SSH中,很多工具仅支持使用DSA进行服务器和客户端认证。
  • 按照最新的SSH RFC定义,DSA认证比RSA更优先被选择使用。

ECC认证

与RSA认证一样,服务器必须检查用户是否是合法的SSH用户,检查公钥对于该用户是否合法,用户数字签名是否合法。若三者同时满足,则身份认证通过;若其中任何一项不能验证通过均告验证失败,拒绝该用户的登录请求。但相比RSA认证,ECC认证有如下优势:
  • 相同的安全性,ECC的密钥长度要比RSA短。
  • 计算量小,处理速度快。
  • 存储空间小。
  • 带宽要求低。

前置条件

执行本命令前,必须执行rsa key-pair labeldsa key-pair labelecc key-pair label命令生成带标签RSA、DSA或ECC密钥对。

配置影响

通过本命令为SSH服务器配置已经生成的带标签的RSA、DSA或ECC密钥,其优先级高于rsa local-key-pair createdsa local-key-pair createecc local-key-pair create命令。如果未配置本命令,则SSH服务器以rsa local-key-pair createdsa local-key-pair createecc local-key-pair create命令生成的密钥进行加密。

注意事项

  • 当删除带标签的RSA、DSA或ECC密钥对时,同时删除分配给SSH服务器的密钥。

  • 此命令对IPv4和IPv6均生效。

使用实例

# 指定SSH服务器的ECC主机密钥标签名为ecckey。

<HUAWEI> system-view
[~HUAWEI] ecc key-pair label ecckey
[*HUAWEI] ssh server assign ecc-host-key ecckey

ssh server authentication-retries

命令功能

ssh server authentication-retries命令用来设置SSH连接验证重试次数。

undo ssh server authentication-retries命令用来恢复SSH连接验证重试次数到缺省值。

缺省情况下,SSH连接的验证重试次数是3。

命令格式

ssh server authentication-retries times

undo ssh server authentication-retries

参数说明

参数 参数说明 取值
times 指定SSH连接的验证重试次数。 整数形式,取值范围是1~5。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

为了防止攻击者恶意的对SSH服务器不断尝试访问,造成服务器负荷较大,可以通过本命令配置认证尝试次数来有效控制攻击者不断的恶意访问。当超过认证重试次数时,会提示远端主机关闭连接。

注意事项

配置好的SSH连接验证重试次数在下次登录时生效。

SSH客户端通过RSA、DSA、ECC和password方式进行认证尝试的次数总和,不能超过本命令配置的SSH连接认证尝试的最大次数。

此命令对IPv4和IPv6连接均生效。

使用实例

# 指定登录认证的重试次数为4次。

<HUAWEI> system-view
[~HUAWEI] ssh server authentication-retries 4
相关主题

ssh server compatible-ssh1x enable

命令功能

ssh server compatible-ssh1x enable命令用来使能SSH服务器兼容低版本功能。

undo ssh server compatible-ssh1x enable命令用来去使能SSH服务器兼容低版本功能。

缺省情况下,SSH服务器兼容低版本功能处于去使能状态。

命令格式

ssh server compatible-ssh1x enable

undo ssh server compatible-ssh1x enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

SSH服务器兼容低版本,主要应用于客户端与服务器的版本协商阶段。客户端通过接收到的报文中的协议版本号来协调自己的版本号。当客户端的版本号低于服务器版本号是,客户端将使用自己的低版本号,否则使用高版本号。客户端与服务器建立TCP连接后,开始协议版本协商,与服务器达成一个可以工作的协议版本。

通过比较协议版本号,服务器决定是否能同客户端一起工作:
  • 如果客户端的协议版本号低于1.3或高于2.0,则版本协商失败,断开连接。
  • 如果客户端的协议版本为大于等于1.3并且小于1.99,如果系统配置为兼容SSH1.X方式,则进入SSH1.5 SERVER模块,后续进行SSH1.x协议流程,否则版本协商失败,断开与客户端的连接。
  • 如客户端协议版本为1.99或2.0,则进入SSH2.0 SERVER模块,后续进行SSH2.0协议流程。

注意事项

如果去使能SSH1.3和SSH1.5,那么通过兼容SSH1.X方式连接的客户端都将下线。

如果SSH协议使能兼容低版本功能,系统会提示存在安全风险。

使用实例

# 使能SSH服务器低版本兼容功能。

<HUAWEI> system-view
[~HUAWEI] ssh server compatible-ssh1x enable
Warning: SSHv1 is not a secure protocol, it is recommended to use SSHv2.

ssh server cipher

命令功能

ssh server cipher命令用来配置SSH服务器端的加密算法列表。

undo ssh server cipher命令用来将SSH服务器端的加密算法列表恢复为缺省值。

缺省情况下,
  • 当设备以空配置启动时,SSH服务器端的加密算法为AES256_CTR和AES128_CTR;

  • 当设备加载配置文件启动时(比如采用ZTP方式加载配置文件进行初始配置),且配置文件中不存在ssh server cipher的配置时,则SSH服务器支持的加密算法为3DES_CBC、AES128_CBC、AES256_CBC、AES128_CTR、AES192_CTR、AES128_GCM、AES256_GCM、AES256_CTR、Arcfour128和Arcfour256。

命令格式

ssh server cipher { des_cbc | 3des_cbc | aes128_cbc | aes256_cbc | aes128_ctr | aes256_ctr | arcfour128 | arcfour256 | aes192_cbc | aes192_ctr | aes128_gcm | aes256_gcm | blowfish_cbc } *

undo ssh server cipher

参数说明

参数 参数说明 取值
des_cbc 指定CBC模式的DES加密算法。 -
3des_cbc 指定CBC模式的3DES加密算法。 -
aes128_cbc 指定CBC模式的AES128加密算法。 -
aes256_cbc 指定CBC模式的AES256加密算法。 -
aes128_ctr 指定CTR模式的AES128加密算法。 -
aes256_ctr 指定CTR模式的AES256加密算法。 -
arcfour128 指定Arcfour128加密算法。 -
arcfour256 指定Arcfour256加密算法。 -
aes192_cbc 指定CBC模式的AES192加密算法。 -
aes192_ctr 指定CTR模式的AES192加密算法。 -
aes128_gcm 指定GCM模式的AES128加密算法。 -
aes256_gcm 指定GCM模式的AES256加密算法。 -
blowfish_cbc 指定CBC模式的Blowfish加密算法。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在客户端与服务器协商的过程中,客户端与服务器会对两者之间报文传输的加密算法进行协商,通过ssh server cipher命令可以配置SSH服务器端的加密算法列表。服务器端根据客户端发过来的加密算法列表与自身的加密算法列表进行对比,选择客户端与自己相匹配的第一个加密算法作为报文传输的加密算法,如果客户端的加密算法列表与服务器端的加密算法列表没有相匹配的算法,则协商失败。

注意事项

其中des_cbc、3des_cbc、aes128_cbc、aes192_cbc、aes256_cbc、arcfour128和arcfour256为弱安全的加密算法,建议不配置到加密算法列表中。建议使用以下算法,安全性较高:aes128_ctr、aes256_ctr、aes192_ctr、aes128_gcm、aes256_gcm

此命令对IPv4和IPv6均生效。

使用实例

# 配置SSH服务器端的加密算法为CTR加密算法。

<HUAWEI> system-view
[~HUAWEI] ssh server cipher aes256_ctr aes128_ctr
相关主题

ssh server dh-exchange min-len

命令功能

ssh server dh-exchange min-len命令用来配置SSH服务器与客户端进行Diffie-hellman-group-exchange密钥交换时,支持的最小密钥长度。

undo ssh server dh-exchange min-len命令用来将SSH服务器与客户端进行Diffie-hellman-group-exchange密钥交换时,支持的最小密钥长度恢复为缺省值。

缺省情况下,SSH服务器与客户端进行Diffie-hellman-group-exchange密钥交换时,支持的最小密钥长度为1024bits。

命令格式

ssh server dh-exchange min-len min-len

undo ssh server dh-exchange min-len

参数说明

参数 参数说明 取值
min-len 指定SSH服务器支持的Diffie-hellman-group-exchange密钥的最小长度。 整数形式,取值只能为1024或2048,单位为bit。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当SSH客户端支持大于1024bits的Diffie-hellman-group-exchange密钥交换算法时,建议执行ssh server dh-exchange min-len命令配置最小密钥长度为2048bits,以提高安全性。

注意事项

Diffie-hellman-group-exchange密钥交换算法的最小长度小于2048bits时,存在安全风险。建议将最小长度设置为2048bits。

使用实例

# 配置SSH服务器Diffie-hellman-group-exchange密钥交换算法的最小长度为2048bits。

<HUAWEI> system-view
[~HUAWEI] ssh server dh-exchange min-len 2048

ssh server hmac

命令功能

ssh server hmac命令用来配置SSH服务器端的HMAC认证算法列表。

undo ssh server hmac命令用来将SSH服务器端的HMAC认证算法列表恢复为缺省值。

缺省情况下:
  • 设备以空配置启动时,会默认配置SSH服务器端的HMAC认证算法为SHA2_256_96、SHA2_256和SHA1_96;

  • 当设备加载配置文件启动时(比如采用ZTP方式加载配置文件进行初始配置),且配置文件中不存在ssh server hmac的配置时,SSH服务器端支持的HMAC认证算法为MD5、MD5_96、SHA1、SHA1_96、SHA2_256、SHA2_512和SHA2_256_96。

命令格式

ssh server hmac { md5 | md5_96 | sha1 | sha1_96 | sha2_256 | sha2_256_96 | sha2_512 } *

undo ssh server hmac

参数说明

参数 参数说明 取值
md5 指定MD5 HMAC认证算法。 -
md5_96 指定MD5_96 HMAC认证算法。 -
sha1 指定SHA1 HMAC认证算法。 -
sha1_96 指定SHA1_96 HMAC认证算法。 -
sha2_256 指定SHA2_256 HMAC认证算法。 -
sha2_256_96 指定SHA2_256_96 HMAC认证算法。 -
sha2_512 指定SHA2_512 HMAC认证算法。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在客户端与服务器协商的过程中,客户端与服务器会对两者之间报文传输的HMAC认证算法进行协商,通过ssh server hmac命令可以配置SSH服务器端的HMAC认证算法列表。服务器端根据客户端发过来的HMAC认证算法列表与自身的HMAC认证算法列表进行对比,选择客户端与自己相匹配的第一个HMAC认证算法作为报文传输的HMAC认证算法,如果客户端的HMAC认证算法列表与服务器端的HMAC认证算法列表没有相匹配的算法,则协商失败。

注意事项

sha2_256_96sha1sha1_96md5md5_96为弱安全的HMAC认证算法,建议不要配置到HMAC认证算法列表中。

此命令对IPv4和IPv6均生效。

使用实例

# 配置SSH服务器端的HMAC认证算法为SHA2_256

<HUAWEI> system-view
[~HUAWEI] ssh server hmac sha2_256
相关主题

ssh server keepalive disable

命令功能

ssh server keepalive disable命令用来去使能SSH服务器上的keepalive特性。

undo ssh server keepalive disable命令用来使能SSH服务器上的keepalive特性。

缺省情况下,SSH服务器上的keepalive特性处于使能状态。

命令格式

ssh server keepalive disable

undo ssh server keepalive disable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

为了防止在无数据交互时断开与SSH客户端的连接,造成客户端重新连接服务器浪费服务器资源,SSH服务器可以使能keepalive特性,keepalive特性使能之后,SSH服务器在收到SSH客户端的keepalive报文时,才会进行响应。否则,SSH服务器会直接丢弃接收到的keepalive报文,SSH客户端收不到keepalive响应报文,就会断开与SSH服务器的连接。

使用实例

# 使能SSH服务器上的keepalive特性。

<HUAWEI> system-view
[~HUAWEI] undo ssh server keepalive disable

ssh server key-exchange

命令功能

ssh server key-exchange命令用来配置SSH服务器上的密钥交换算法列表。

undo ssh server key-exchange命令用来恢复SSH服务器上的密钥交换算法列表为缺省值。

缺省情况下:
  • 当设备以空配置启动时,SSH服务器端的密钥交换算法为dh_group_exchange_sha1、dh_group_exchange_sha256、ecdh_sha2_nistp256、ecdh_sha2_nistp384、ecdh_sha2_nistp521和sm2_kep;

  • 当设备加载配置文件启动时(比如采用ZTP方式加载配置文件进行初始配置),且配置文件中不存在ssh server key-exchange的配置时,SSH服务器支持所有的密钥交换算法。

命令格式

ssh server key-exchange { dh_group14_sha1 | dh_group1_sha1 | dh_group_exchange_sha1 | dh_group_exchange_sha256 | ecdh_sha2_nistp256 | ecdh_sha2_nistp384 | ecdh_sha2_nistp521 | sm2_kep } *

undo ssh server key-exchange

参数说明

参数 参数说明 取值
dh_group14_sha1

指定将Diffie-hellman-group14-sha1密钥交换算法配置到SSH服务器的密钥交换算法列表中。

-
dh_group1_sha1

指定将Diffie-hellman-group1-sha1密钥交换算法配置到SSH服务器的密钥交换算法列表中。

-
dh_group_exchange_sha1

指定将Diffie-hellman-group-exchange-sha1密钥交换算法配置到SSH服务器的密钥交换算法列表中。

-
dh_group_exchange_sha256

指定将Diffie-hellman-group-exchange-sha256密钥交换算法配置到SSH服务器的密钥交换算法列表中。

-
ecdh_sha2_nistp256

指定将Elliptic curve Diffie-hellman-sha2-nistp256密钥交换算法配置到SSH服务器的密钥交换算法列表中。

-
ecdh_sha2_nistp384

指定将Elliptic curve Diffie-hellman-sha2-nistp384密钥交换算法配置到SSH服务器的密钥交换算法列表中。

-
ecdh_sha2_nistp521

指定将Elliptic curve Diffie-hellman-sha2-nistp521密钥交换算法配置到SSH服务器的密钥交换算法列表中。

-
sm2_kep

指定将SuperMemo 2 Key Exchange Protocol密钥交换算法配置到SSH服务器的密钥交换算法列表中。

-

视图

系统视图

缺省级别

3:管理级

使用指南

在客户端与服务器协商的过程中,会对两者之间报文传输的密钥交换算法进行协商,通过ssh server key-exchange命令可以配置SSH服务器端的密钥交换算法列表。服务器端根据客户端发过来的密钥交换算法列表与自身的密钥交换算法列表进行对比,选择客户端与自己相匹配的第一个密钥交换算法作为报文传输的密钥交换算法,如果客户端的密钥交换算法列表与服务器端的密钥交换算法列表没有相匹配的算法,则协商失败。

说明:

为了保证更好的安全性,建议不要使用dh_group1_sha1等风险高不安全的密钥交换算法。

使用实例

# 配置SSH服务器的密钥交换算法协商列表为dh_group_exchange_sha1dh_group_exchange_sha256

<HUAWEI> system-view
[~HUAWEI] ssh server key-exchange dh_group_exchange_sha1 dh_group_exchange_sha256

ssh server login-failed threshold-alarm

命令功能

ssh server login-failed threshold-alarm命令用来配置在一定时间内通过SSH登录服务器失败次数的告警上报门限和告警恢复门限。

undo ssh server login-failed threshold-alarm命令用来恢复告警的缺省情况。

缺省情况下,在5分钟内发生30次或30次以上次数登录失败,产生告警;在5分钟内登录失败次数小于20,取消告警。

命令格式

ssh server login-failed threshold-alarm upper-limit report-times lower-limit resume-times period period-time

undo ssh server login-failed threshold-alarm [ upper-limit report-times lower-limit resume-times period period-time ]

参数说明

参数 参数说明 取值
upper-limit report-times

指定告警上报门限。

整数形式,取值范围是0~100。缺省值是30。如果指定为0,表示对用户登录失败不上报告警。

lower-limit resume-times

指定告警取消门限。

整数形式,取值范围是0~report-times,随report-times的变化而变化。缺省值是20,最大值是45。如果resume-times为0,则和指定为1的作用相同,即无登录失败情况下告警取消。

period period-time

指定统计周期时长。

整数形式,取值范围为1~120,单位是分钟。缺省值是5分钟。如果report-times取值为0,则period-time的配置实际不生效。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

通过配置ssh server login-failed threshold-alarm命令,可以对一定时间内频繁的用户登录失败进行管理,通过产生告警,及时显示给高级管理员,提醒其介入处理。period-time时间内,当用户的登录失败次数大于等于report-times时,会产生告警SSH_1.3.6.1.4.1.2011.5.25.207.2.8 hwSSHLoginFailed;在period-time时间内,当用户的登录失败次数小于resume-times时,会产生取消告警SSH_1.3.6.1.4.1.2011.5.25.207.2.10 hwSSHLoginFailedClear。

注意事项

上报告警门限值report-times必须大于等于取消告警门限值resume-times

使用实例

# 配置用户登录失败告警阈值为3分钟内达20次或者超过20次上报告警,小于10次取消告警。

<HUAWEI> system-view
[~HUAWEI] ssh server login-failed threshold-alarm upper-limit 20 lower-limit 10 period 3

ssh server port

命令功能

ssh server port命令用来更改SSH服务器的端口号。

undo ssh server port命令用来恢复SSH服务器端的端口号到缺省值。

缺省情况下,SSH服务器的端口号为22。

命令格式

ssh [ ipv4 | ipv6 ] server port port-number

undo ssh [ ipv4 | ipv6 ] server port

参数说明

参数 参数说明 取值
ipv4 指定SSH服务器的IPv4端口号。 -
ipv6 指定SSH服务器的IPv6端口号。 -
port-number 指定SSH服务器的端口号。 整数形式,取值范围为22或1025~65535

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

为了有效防止攻击者对SSH服务标准端口的访问,确保安全性,用户可以使用本命令配置SSH服务器新的端口号。

执行ssh server port命令可同时更改SSH服务器的IPv4和IPv6端口号。ssh ipv4 server port命令用来更改SSH服务器IPv4端口号。ssh ipv6 server port命令用来更改SSH服务器的IPv6端口号。

注意事项

设置了SSH服务器的端口号以后,只有当服务器正在尝试连接的端口号是22时,SSH客户端登录时可以不指定端口号;否则如果是其他端口号,SSH客户端登录时必须指定端口号。

如果改变当前端口号,在该端口号上的所有连接将断开,服务器开始尝试连接新的端口号。

使用实例

# 配置SSH服务器的端口号为1025。

<HUAWEI> system-view
[~HUAWEI] ssh server port 1025
Warning: The operation will disconnect all online users. Continue? [Y/N]: y 

ssh server rekey-interval

命令功能

ssh server rekey-interval命令用来配置SSH服务器密钥对的更新周期。

undo ssh server rekey-interval命令用来恢复配置的SSH服务器密钥对更新周期到缺省值。

缺省情况下,SSH服务器密钥对的更新时间间隔为0,表示永不更新。

命令格式

ssh server rekey-interval hours

undo ssh server rekey-interval

参数说明

参数 参数说明 取值
hours 指定服务器密钥对更新时间间隔。 整数形式,取值范围为0~24,单位是小时。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

服务器的密钥对长时间不更新,容易造成密钥对被攻击者破解,造成服务器的安全性不高等问题。可以使用本命令配置SSH服务器密钥对的更新周期,在SSH服务器密钥对的更新周期到达时,系统会自动更新SSH服务器密钥对。

注意事项

如果客户端此时与服务器有连接,则客户端的服务器公钥不会被立即更新,只有当客户端重新与服务器建立连接时,客户端的服务器公钥才会被更新。

使用实例

# 配置SSH服务器的服务器密钥对更新周期为2小时。

<HUAWEI> system-view
[~HUAWEI] ssh server rekey-interval 2
相关主题

ssh server timeout

命令功能

ssh server timeout命令用来设置SSH连接认证超时时间。

undo ssh server timeout命令用来恢复SSH连接认证超时时间到缺省值。

缺省情况下,SSH连接认证超时时间为60秒。

命令格式

ssh server timeout seconds

undo ssh server timeout

参数说明

参数 参数说明 取值
seconds 指定SSH连接认证超时时间。 整数形式,取值范围是1~120,单位是秒。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当设置的SSH认证超时时间到达后,如果用户还未登录成功,则终止当前连接,确保安全性。可以使用display ssh server命令查询当前的超时时间。

注意事项

配置的SSH连接认证超时时间在下次登录时生效。

此命令对IPv4和IPv6连接均生效。

使用实例

# 设定SSH认证超时时间为90秒。

<HUAWEI> system-view
[~HUAWEI] ssh server timeout 90
相关主题

ssh server-source

命令功能

ssh server-source命令用来指定SSH服务器端的源接口。

undo ssh server-source命令用来取消指定SSH服务器端的源接口。

缺省情况下,未指定SSH服务器端的源接口。

命令格式

ssh server-source -i interface-type interface-number

undo ssh server-source

ssh ipv6 server-source -a ipv6-address [ -vpn-instance vpn-instance-name ]

undo ssh ipv6 server-source

参数说明

参数 参数说明 取值
-i interface-type interface-number 指定SSH服务器端的源接口。

可以在键入“?”后根据设备的提示信息选取。

-a ipv6-address 指定SSH服务器的IPv6源地址。 总长度为128位,通常分为8组,每组为4个十六进制数的形式。格式为X:X:X:X:X:X:X:X。
ipv6 指定SSH的IPv6服务器。 -
-vpn-instance vpn-instance-name 指定VPN。 字符串形式,区分大小写,不支持空格,长度范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。不能以“_public_”作为VPN实例名称,作为保留使用。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

缺省情况下,SSH服务器端接收来自所有接口登录连接请求,系统安全性比较低。为了提高系统安全性,可通过本命令指定SSH服务器端的源接口,增加登录受限功能,仅授权客户可以登录服务器。

ssh server-source -i interface-type interface-number命令仅对IPv4生效。

前置条件

执行本命令指定源接口前,设备上必须存在该物理接口或者成功创建该逻辑接口,否则会导致本命令无法成功执行。

注意事项

  • 成功指定SSH服务器端的源接口后,系统只允许SSH用户通过指定的源接口登录服务器,通过其他接口登录的SSH用户都将被拒绝。但对于已登录到服务器的SSH用户不会产生影响,只限制后续登录的SSH用户。

  • 通过本命令指定SSH服务器源接口后,为保证授权的SSH用户成功登录SSH服务器,务必保证SSH用户到指定源接口三层互通。

  • 配置成功后,在下次登录时生效,用户根据提示确认是否继续操作。

  • 如果指定的源接口已绑定VPN实例,则此SSH服务器也绑定相应的VPN实例。

  • 如果指定的源接口已绑定VPN实例“vpn1”,且ssh ipv6 server-source -a ipv6-address [ -vpn-instance vpn-instance-name ]命令同时配置了VPN实例“vpn2”,则IPv4用户以指定源接口下绑定的VPN实例“vpn1”为准,IPv6用户以ssh ipv6 server-source命令下配置的VPN实例“vpn2”为准。

  • 绑定的VPN实例被删除之后,该命令中的VPN配置不会被清除,但功能不生效,此时SSH服务器会选择公网,重新配置重名VPN实例,VPN功能恢复。

  • 绑定的源接口被删除之后,该命令中的接口配置不会被清除,但是功能不生效,重新配置重名源接口,功能恢复。

使用实例

# 指定SSH服务器端的源接口是Loopback0。

<HUAWEI> system-view
[~HUAWEI] interface loopback 0
[*HUAWEI-LoopBack0] ip address 10.1.1.1 24
[*HUAWEI-LoopBack0] quit
[*HUAWEI] ssh server-source -i loopback 0

ssh user

命令功能

ssh user命令用来新建SSH用户。

undo ssh user命令用来删除SSH用户。

缺省情况下,没有创建SSH用户。

命令格式

ssh user user-name

undo ssh user [ user-name ]

参数说明

参数 参数说明 取值
user-name 指定SSH用户的用户名。 字符串形式,不区分大小写,不支持空格,长度范围是1~253
说明:

当输入的字符串两端使用引号时,可在字符串中输入空格。

视图

系统视图

缺省级别

3:管理级

使用指南

有两种方式新建用户:

使用实例

# 新建SSH用户testuser。

<HUAWEI> system-view
[~HUAWEI] ssh user testuser

ssh user assign

命令功能

ssh user assign命令用来为用户分配一个已经存在的公钥。

undo ssh user assign命令用来删除此用户和公钥之间的对应关系。

缺省情况下,没有为用户分配公钥。

命令格式

ssh user user-name assign { rsa-key | dsa-key | ecc-key } key-name

undo ssh user user-name assign { rsa-key | dsa-key | ecc-key }

参数说明

参数 参数说明 取值
user-name 指定SSH用户名。

必须是已存在的SSH。

rsa-key 指定RSA公钥。 -
dsa-key 指定DSA公钥。 -
ecc-key 指定ECC公钥。 -
key-name 指定客户端公共密钥名。 必须是已存在的公共密钥名。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当SSH客户端需要以RSA、DSA或ECC方式登录SSH服务器时,使用该命令为用户分配公钥,如果用户已经被分配了公钥,以最后一次分配的公钥为准。

为了保证更好的安全性,建议不要使用RSA密钥。

注意事项

新配置的用户公钥待下次登录时生效。

为用户分配公钥时,如果指定的用户的user-name不存在,则新建一个用户名为user-name的SSH用户,认证方式为所配置的认证方式。

使用实例

# 为用户john分配密钥key1。

<HUAWEI> system-view
[~HUAWEI] ssh user john assign rsa-key key1

ssh user authentication-type

命令功能

ssh user authentication-type命令用来配置SSH用户的认证方式。

undo ssh user authentication-type命令用来取消配置的认证方式。

缺省情况下,SSH用户的认证方式是空,即不支持任何认证方式。

命令格式

ssh user user-name authentication-type { password | rsa | password-rsa | dsa | password-dsa | ecc | password-ecc | all }

undo ssh user user-name authentication-type

参数说明

参数 参数说明 取值
user-name 指定SSH用户名。

必须是已存在的SSH。

password 指定密码认证方式。 -
rsa 指定RSA认证方式。
说明:

为了保证更好的安全性,建议不要使用小于2048位的RSA算法做为SSH用户的认证方式,建议您使用更安全的ECC认证算法。

-
password-rsa 指定需要经过密码和RSA两种认证。 -
dsa 指定DSA认证方式。 -
password-dsa 指定需要经过密码和DSA两种认证。 -
ecc 指定ECC认证方式。 -
password-ecc 指定需要经过密码和ECC两种认证。 -
all

指定密码、ECC、DSA或RSA认证方式。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

配置SSH用户的认证方式时,如果指定的用户的user-name不存在,则新建一个用户名为user-name的SSH用户,认证方式为所配置的认证方式。

为了保证更好的安全性,建议不要使用RSA认证方式。

各种认证方式的应用场景如表3-37

表3-37  各种认证方式应用场景

认证方式

应用场景

RSA认证

RSA是一种公开密钥加密体系,是一种非对称加密算法,其原理是基于大整数因子分解这一著名的数学难题,主要用来传递对称加密算法所使用的密钥,通过这种方法可以有效地提高加密的效率并能简化对密钥的管理。服务器必须检查用户是否是合法的SSH用户,检查公钥对于该用户是否合法,用户数字签名是否合法。若三者同时满足,则身份认证通过;若其中任何一项不能验证通过均告验证失败,拒绝该用户的登录请求。

DSA认证

DSA和RSA认证相同,服务器必须检查用户是否是合法的SSH用户,检查公钥对于该用户是否合法,用户数字签名是否合法。若三者同时满足,则身份认证通过;若其中任何一项不能验证通过均告验证失败,拒绝该用户的登录请求。

相比RSA认证,DSA认证采用数字签名算法进行加密,具有更广泛的应用性。
  • 在SSH中,很多工具仅支持使用DSA进行服务器和客户端认证。
  • 按照最新的SSH RFC定义,DSA认证比RSA更优先被选择使用。

ECC认证

与RSA认证一样,服务器必须检查用户是否是合法的SSH用户,检查公钥对于该用户是否合法,用户数字签名是否合法。若三者同时满足,则身份认证通过;若其中任何一项不能验证通过均告验证失败,拒绝该用户的登录请求。但相比RSA认证,ECC认证有如下优势:
  • 相同的安全性,ECC的密钥长度要比RSA短。
  • 计算量小,处理速度快。
  • 存储空间小。
  • 带宽要求低。

password认证

在服务器端由AAA为每一个合法用户分配一个用于登录时进行身份验证的口令,即在服务器端存在“用户名+口令”的一一对应的关系。当某个用户请求登录时,服务器需要对用户名以及其口令分别进行鉴别,其中任何一项不能验证通过均告验证失败,拒绝该用户的登录请求。

对于使用password认证方式的用户,用户的账号信息可以配置在设备或者远程认证服务器(如RADIUS认证服务器)上。

password-rsa认证、password-dsa认证和password-ecc认证

SSH服务器可以要求客户端进行身份认证的过程中同时进行Publickey身份认证和Password身份认证,只有当两者同时满足的情况下,才认为客户端身份认证通过。

all认证

服务器可以要求客户端进行身份认证的过程中进行公钥认证或密码认证,只要满足其中一个认证,就认为客户端身份认证通过。

注意事项

对于新用户,必须指定其验证方式,否则用户无法登录。新配置的验证方式,待下次登录时生效。

使用实例

# 配置SSH用户john的认证方式为password。

<HUAWEI> system-view
[~HUAWEI] ssh user john authentication-type password
# 配置SSH用户ssh_user1@dom1的认证方式为ECC。
<HUAWEI> system-view
[~HUAWEI] ssh user ssh_user1@dom1 authentication-type ecc

ssh user service-type

命令功能

ssh user service-type命令用来配置SSH用户的服务方式。

undo ssh user service-type命令用来恢复SSH用户的服务方式到缺省情况。

缺省情况下,SSH用户的服务方式是空,即不支持任何服务方式。

命令格式

ssh user user-name service-type { { sftp | stelnet | snetconf } * | all }

undo ssh user user-name service-type

参数说明

参数 参数说明 取值
user-name 指定SSH用户名。

必须是已存在的SSH。

sftp 指定SFTP服务方式。 -
stelnet 指定STelnet服务方式。 -
snetconf 指定SNetconf服务方式。 -
all

指定SFTP服务方式、STelnet服务方式和SNetconf服务方式。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

用户可以执行本命令来确定要以何种服务方式连接设备。执行本命令时,如果用户user-name不存在,则新建一个用户名为user-name的SSH用户,服务方式为所配置的服务方式。

注意事项

如果配置的SSH用户的服务方式为SFTP,则还需要为该用户设置授权目录。缺省情况下,SSH用户的SFTP服务授权目录是flash:,可通过ssh user sftp-directory命令进行设置。

如果执行命令配置ssh user user-name service-type sftp stelnet snetconf,则配置文件中保存为ssh user user-name service-type all

使用实例

# 配置SSH用户john支持所有服务方式。

<HUAWEI> system-view
[~HUAWEI] ssh user john service-type all

stelnet

命令功能

stelnet命令用来从当前设备使用STelnet协议登录到其他设备。

命令格式

# 基于IPv4类型地址。

stelnet [ -a source-ip-address | -i interface-type interface-number ] [ -force-receive-pubkey ] host-ip [ port-number ] [ -vpn-instance vpn-instance-name | prefer_kex kex-type | prefer_ctos_cipher cipher-type | prefer_stoc_cipher cipher-type | prefer_ctos_hmac hmac-type | prefer_stoc_hmac hmac-type | prefer_ctos_compress compress-type | prefer_stoc_compress compress-type | -ki aliveinterval | -kc alivecountmax | identity-key { dsa | ecc | rsa } | user-identity-key { dsa | ecc | rsa } ] *

# 基于IPv6类型地址。

stelnet ipv6 [ -a source-ip-address ] [ -force-receive-pubkey ] host-ipv6 [ -vpn-instance vpn-instance-name ] [ -oi interface-type interface-number ] [ port-number ] [ prefer_kex kex-type | prefer_ctos_cipher cipher-type | prefer_stoc_cipher cipher-type | prefer_ctos_hmac hmac-type | prefer_stoc_hmac hmac-type | prefer_ctos_compress compress-type | prefer_stoc_compress compress-type | -ki aliveinterval | -kc alivecountmax | identity-key { dsa | ecc | rsa } | user-identity-key { dsa | ecc | rsa } ] *

参数说明

参数 参数说明 取值
-a source-ip-address

指定STelnet的源IP地址。

-
-i interface-type interface-number

指定STelnet的源接口。

如果使用参数-i interface-type interface-number指定源接口,则不支持-vpn-instance vpn-instance-name参数。

-
-force-receive-pubkey 指定服务器强制接受公共密钥认证。 -
host-ip 指定远程IPv4 STelnet服务器的IP地址或主机名。 必须是已存在的IPv4 STelnet。
host-ipv6 指定远程IPv6 STelnet服务器的IP地址或主机名。 必须是已存在的IPv6 STelnet。
-oi interface-type interface-number 指定本地设备上的某个接口为出接口。 如果远端主机的IPv6地址是链路本地地址,则必须指定出接口。
port-number 指定SSH服务器正在尝试连接的端口号。 整数形式,取值范围是1~65535。默认值是协议标准端口号22。
prefer_kex kex-type

指定系统的首选交换算法。

交换算法包含如下几种:
  • dh-exchange-group-sha256
  • dh_exchange_group
  • dh_group1
  • ecdh-sha2-nistp256
  • ecdh-sha2-nistp384
  • ecdh-sha2-nistp521
  • sm2_kep
  • DH_Group14_SHA1
缺省交换算法是dh_group1。
说明:
服务器认证设置的公钥算法为ecc时,密钥交换首选算法必须是sm2_kep。
prefer_ctos_cipher cipher-type

指定客户端到服务器端的首选加密算法。

加密算法包含如下几种:
  • 3des
  • aes128
  • aes256
  • arcfour128
  • arcfour256
  • des
  • aes128_ctr
  • aes256_ctr
  • aes192
  • aes128_gcm
  • aes256_gcm
  • aes192_ctr
缺省加密算法是aes256。

加密算法具体支持哪些,取决于用户执行命令ssh client cipher配置的类型。

prefer_stoc_cipher cipher-type

指定服务器端到客户端的首选加密算法。

加密算法包含如下几种:
  • 3des
  • aes128
  • aes256
  • arcfour128
  • arcfour256
  • des
  • aes128_ctr
  • aes256_ctr
  • aes192
  • aes128_gcm
  • aes256_gcm
  • aes192_ctr
缺省加密算法是aes256。

加密算法具体支持哪些,取决于用户执行命令ssh client cipher配置的类型。

prefer_ctos_hmac hmac-type

指定客户端到服务器端的首选HMAC算法。

HMAC算法包含如下几种:
  • md5
  • md5_96
  • sha1
  • sha1_96
  • sha2_256
  • sha2_256_96
  • sha2_512
缺省HMAC算法是sha2_256。
prefer_stoc_hmac hmac-type

指定服务器端到客户端的首选HMAC算法。

HMAC算法包含如下几种:
  • md5
  • md5_96
  • sha1
  • sha1_96
  • sha2_256
  • sha2_256_96
  • sha2_512
缺省HMAC算法是sha2_256。
prefer_ctos_compress compress-type 指定客户端到服务器端的首选压缩算法。 目前只支持zlib
prefer_stoc_compress compress-type 指定服务器端到客户端的首选压缩算法。 目前只支持zlib
-vpn-instance vpn-instance-name 指定服务器端的VPN实例名。 必须是已存在的VPN。
-ki aliveinterval 指定无数据接收时发送keepalive报文的间隔时间。 整数形式,取值范围是1~3600,单位为秒。
-kc alivecountmax 指定keepalive报文的无应答限制次数。 整数形式,取值范围是1~30,缺省值为3次
identity-key

指定服务器认证的公钥算法。

公钥算法包含如下几种:
  • dsa
  • ecc
  • rsa
缺省公钥算法是rsa
说明:

为了保证更好的安全性,建议使用dsa、ecc算法。

user-identity-key 指定用户认证设置的公钥算法。
公钥算法包含如下几种:
  • dsa
  • ecc
  • rsa
缺省公钥算法是rsa
说明:
服务器认证设置的公钥为ecc时,密钥交换首选算法必须是sm2_kep。

视图

用户视图、系统视图

缺省级别

0:参观级

使用指南

应用场景

Telnet缺少安全的认证方式,而且传输过程采用TCP进行明文传输,存在很大的安全隐患。与Telnet相比,SSH提供了在一个传统不安全的网络环境中,服务器通过对客户端的认证及双向的数据加密,为网络终端访问提供了安全的服务。SSH协议支持STelnet,通过本命令可以从当前设备使用STelnet登录到其它设备。

STelnet是一种安全的Telnet服务,SSH用户可以像使用Telnet服务一样操作STelnet服务。

当客户端与服务器端的连接存在故障时,如果客户端需要及时了解故障的存在,并主动断开连接,那么客户端以STelnet方式登录服务器时,应配置无数据接收的情况下发送keepalive报文的间隔时间和服务器端的无应答限制次数。

  • 如果在指定时间间隔内未收到数据,客户端将发送keepalive报文至服务器端。
  • 如果服务端的无应答次数超过配置的次数,客户端将主动断开连接。
注意事项
  • 使用stelnet命令连接SSH服务器之前,SSH服务器端的STelnet服务必须通过命令stelnet server enable使能。

  • 只有当服务器正在尝试连接的端口号是22时,SSH客户端登录时可以不指定端口号,否则如果是其他端口号,SSH客户端登录时必须指定端口号。

使用实例

# 客户端Stelnet方式登录服务器时,指定keepalive相关参数。

<HUAWEI> stelnet 10.164.39.209 -ki 10 -kc 4
# 远程连接使用IPv6地址的STelnet服务器。
<HUAWEI> stelnet ipv6 fc00:2001:db8::1 prefer_ctos_cipher aes128

stelnet server enable

命令功能

stelnet server enable命令用来使能SSH服务器端的STelnet服务。

undo stelnet server enable命令用来关闭SSH服务器端的STelnet服务。

缺省情况下,SSH服务器端的STelnet服务没有使能。

命令格式

stelnet [ ipv4 | ipv6 ] server enable

undo stelnet [ ipv4 | ipv6 ] server enable

参数说明

参数 参数说明 取值
ipv4 使能IPv4 STelnet服务。 -
ipv6 使能IPv6 STelnet服务。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果客户端要以STelnet方式与SSH服务器建立连接,那么SSH服务器端的STelnet服务功能必须使能。

执行stelnet server enable命令可同时使能SSH服务器端的IPv4和IPv6 STelnet服务。执行stelnet ipv4 server enable命令可使能SSH服务器端的IPv4 STelnet服务。执行stelnet ipv6 server enable命令可使能SSH服务器端的IPv6 STelnet服务。

注意事项

去使能SSH服务器的STelnet服务后,以STelnet登录的所有客户端将断开连接。

在V200R002C50版本,用户执行stelnet [ ipv4 | ipv6 ] server enable使能STELNET功能后,如果用户将当前版本降级到V200R001C00版本及之前版本时,会导致该配置丢失,降级后需要重新配置stelnet server enable

使用实例

# 使能STelnet服务功能。

<HUAWEI> system-view
[~HUAWEI] stelnet server enable
相关主题

telnet

命令功能

telnet命令用来从当前设备使用Telnet协议登录到其它设备。

命令格式

# 基于IPv4通过Telnet协议登录到其它设备。

telnet [ [ vpn-instance vpn-instance-name ] -a source-ip-address | -i interface-type interface-number ] host-ip [ port-number ]

# 基于IPv6通过Telnet协议登录到其它设备。

telnet ipv6 [ vpn-instance vpn-instance-name ] host-ipv6 [ -oi interface-type interface-number ] [ port-number ]

参数说明

参数 参数说明 取值
vpn-instance vpn-instance-name

指定通过Telnet协议登录的设备所属的VPN实例名。

如果使用参数vpn-instance vpn-instance-name指定VPN实例,则不支持-i interface-type interface-number参数。

必须是已存在的VPN。
-a source-ip-address

通过指定源地址,用户可以以指定的IP地址与服务端通信,从而达到进行安全校验的目的。如果不指定源地址,Telnet连接时系统将使用本地出接口的IP地址。

-
-i interface-type interface-number 指定本端设备的源接口类型和编号。 -
host-ip 指定远端设备的IPv4地址或主机名 必须是已存在的host-ip。
host-ipv6 指定远端设备的IPv6地址或主机名 必须是已存在的host-ipv6。
-oi interface-type interface-number 指定本地设备上的某个接口为出接口。 如果远端主机的IPv6地址是链路本地地址,则必须指定出接口。
port-number 指定远端设备提供Telnet服务的TCP端口号。 整数形式,取值范围是1~65535,缺省值是23。

视图

用户视图

缺省级别

0:参观级

使用指南

应用场景

如果网络中有一台或多台设备需要配置和管理,用户无需为每一台设备连接用户终端进行本地维护。如果已知待登录设备的IP地址,用户可以通过本命令从用户终端登录需要管理的设备,对设备进行远程配置。用户可以通过此方式在一台用户终端上维护网络中的多台设备,极大地方便了用户的操作。

在连接的过程中,可以使用“Ctrl_K”停止本端设备与远端设备的连接。

前置条件

用户终端和远端设备之间三层互通,且远端设备使能Telnet服务器功能。

注意事项

  • 使用telnet命令连接Telnet服务器之前,Telnet客户端和Telnet服务器之间需要在网络层互通,且Telnet服务器端的Telnet服务必须使能。

  • Telnet缺少安全的认证方式,而且传输过程采用TCP进行明文传输,存在安全隐患。对于安全性较高的网络,建议采用STelnet方式。

使用实例

# 与远端设备建立Telnet连接。

<HUAWEI> telnet 192.168.1.6
# 使用IPv6地址与远端设备建立Telnet连接。
<HUAWEI> telnet ipv6 fc00:0:0:11::158

telnet client source

命令功能

telnet client source命令用来为Telnet客户端指定源,其中包括源地址和源接口。

undo telnet client source命令用于恢复当前配置为缺省情况。

缺省情况下,Telnet客户端的源地址为0.0.0.0。

命令格式

telnet client source { -a source-ip-address | -i interface-type interface-number }

undo telnet client source

参数说明

参数 参数说明 取值
-a source-ip-address 本端交换机的IPv4地址。 -
-i interface-type interface-number 本端交换机的出接口。 -

视图

系统视图

缺省级别

3:管理级

使用指南

如果telnet登录命令不带源选项,则使用该命令配置的默认源,即telnet client source指定的源;如果telnet命令显式指定源,即登录命令带源选项,则使用显式源。从服务器端查看当前Telnet连接,显示的用户IP就是用户指定的源IP或指定接口下的主IP。

绑定的源接口被删除之后,该命令中的接口配置不会被清除,但是功能不生效,重新配置重名源接口,功能恢复。

如果指定的源接口已绑定VPN实例,则此客户端也绑定相应的VPN实例。

使用实例

# 设置Telnet客户端的源地址为10.1.1.1。

<HUAWEI> system-view
[~HUAWEI] telnet client source -a 10.1.1.1 
相关主题

telnet server acl

命令功能

telnet server acl命令用来设置可以访问Telnet服务器的访问控制列表。

undo telnet server acl命令用来取消可以访问Telnet服务器的访问控制列表。

缺省情况下,没有配置访问控制列表。

命令格式

telnet [ ipv6 ] server acl { acl-number | acl-name }

undo telnet [ ipv6 ] server acl

参数说明

参数 参数说明 取值
ipv6 指定Telnet IPv6服务器。 -
acl-number 指定访问控制列表编号。 整数形式,取值范围2000~3999。
acl-name 指定访问控制列表名称。 字符串形式,不支持空格,区分大小写,长度范围是1~32,以英文字母开始。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

设备作为Telnet服务器时,通过在设备上配置访问控制列表,来控制运行哪些Telnet客户端以Telnet方式登录到本设备。

前置条件

执行本命令前,需要先执行acl(系统视图)命令和rule(ACL视图)命令成功配置访问控制列表。

注意事项

  • 若ACL中没有配置rule规则,执行本命令后,将不对呼入呼出进行限制。

  • 可使用基本访问控制列表限制源地址,使用高级访问控制列表同时限制源地址和目的地址。

  • 如果配置了某一网段的访问控制权限为permit或者deny,则其他网段的访问控制权限均为拒绝。例如,配置访问控制列表为允许(permit)某一网段的客户端登录的同时,其他网段将会被拒绝登录;同样的,如果配置访问控制列表为拒绝(deny)某一网段的客户端登录到本设备,则默认所有网段均拒绝登录。

  • telnet server acl { acl-number | acl-name }命令仅对IPv4功能生效。

使用实例

# 在Telnet服务器端配置编号为2000的访问控制列表。

<HUAWEI> system-view
[~HUAWEI] acl 2000
[*HUAWEI-acl4-basic-2000] rule permit source 10.1.1.1 0
[*HUAWEI-acl4-basic-2000] quit
[*HUAWEI] telnet server acl 2000
# 在Telnet服务器端配置名称为huawei的访问控制列表。
<HUAWEI> system-view
[~HUAWEI] acl name huawei
[*HUAWEI-acl4-advance-huawei] rule permit tcp
[*HUAWEI-acl4-advance-huawei] quit
[*HUAWEI] telnet server acl huawei

telnet server login-failed threshold-alarm

命令功能

telnet server login-failed threshold-alarm命令用来配置在一定时间内通过Telnet登录服务器失败次数的告警上报门限和告警恢复门限。

undo telnet server login-failed threshold-alarm命令用来恢复告警的缺省情况。

缺省情况下,在5分钟内发生30次或30次以上次数登录失败,产生告警;在5分钟内登录失败次数小于20,取消告警。

命令格式

telnet server login-failed threshold-alarm upper-limit report-times lower-limit resume-times period period-time

undo telnet server login-failed threshold-alarm [ upper-limit report-times lower-limit resume-times period period-time ]

参数说明

参数 参数说明 取值
upper-limit report-times

指定告警上报门限。

整数形式,取值范围是0~100。缺省值是30。如果指定为0,表示对用户登录失败不上报告警。

lower-limit resume-times

指定告警取消门限。

整数形式,取值范围是0~report-times,随report-times的变化而变化。缺省值是20,最大值是45。如果resume-times为0,则和指定为1的作用相同,即无登录失败情况下告警取消。

period period-time

指定统计周期时长。

整数形式,取值范围是1~120,单位是分钟。缺省值是5分钟。如果report-times取值为0,则period-time的配置实际不生效。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

通过配置telnet server login-failed threshold-alarm命令,可以对一定时间内频繁的用户登录失败进行管理,通过产生告警,及时显示给高级管理员,提醒其介入处理。period-time时间内,当用户的登录失败次数大于等于report-times时,会产生告警TELNET_1.3.6.1.4.1.2011.5.25.207.2.7 hwTelnetLoginFailed;在period-time时间内,当用户的登录失败次数小于resume-times时,会产生取消告警TELNET_1.3.6.1.4.1.2011.5.25.207.2.9 hwTelnetLoginFailedClear。

注意事项

上报告警门限值report-times必须大于等于取消告警门限值resume-times

使用实例

# 配置用户登录失败告警阈值为3分钟内达20次或者超过20次上报告警,小于10次取消告警。

<HUAWEI> system-view
[~HUAWEI] telnet server login-failed threshold-alarm upper-limit 20 lower-limit 10 period 3

telnet server-source

命令功能

telnet server-source命令用来指定Telnet服务器端的源接口。

undo telnet server-source命令用来取消指定Telnet服务器端的源接口。

缺省情况下,未指定Telnet服务器端的源接口。

命令格式

telnet server-source -i loopback interface-number

undo telnet server-source

telnet ipv6 server-source -a ipv6-address [ -vpn-instance vpn-instance-name ]

undo telnet ipv6 server-source

参数说明

参数 参数说明 取值
-i loopback interface-number 指定Telnet服务器端的Loopback接口为源接口。 interface-number表示Loopback接口编号,整数形式,取值范围是0~1023。
-a ipv6-address 指定Telnet服务器的IPv6源地址。

总长度为128位,通常分为8组,每组为4个十六进制数的形式。格式为X:X:X:X:X:X:X:X。

ipv6 指定Telnet的IPv6服务器。 -
-vpn-instance vpn-instance-name 指定VPN。 字符串形式,区分大小写,不支持空格,长度范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。不能以“_public_”作为VPN实例名称,作为保留使用。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

缺省情况下,Telnet服务器端接收来自所有接口登录连接请求,系统安全性比较低。为了提高系统安全性,可通过本命令指定Telnet服务器端的源接口,增加登录受限功能,仅授权客户可以登录服务器。

telnet server-source -i loopback interface-number命令仅对IPv4生效。

前置条件

执行telnet server-source前,必须已经成功创建Loopback接口,否则会导致该命令无法成功执行。

指定SSH服务器端的VPN实例,必须已经成功创建VPN,否则会导致命令无法执行成功。

注意事项

  • 成功指定Telnet服务器端的源接口后,系统只允许Telnet用户通过指定的源接口登录服务器,通过其他接口登录的Telnet用户都将被拒绝。但对于已登录到服务器的Telnet用户不会产生影响,只限制后续登录的Telnet用户。

  • 通过本命令指定Telnet服务器源接口后,为保证授权的Telnet用户成功登录Telnet服务器,务必保证Telnet用户到指定源接口三层互通。

  • 如果指定的源接口已绑定VPN实例,则此Telnet服务器也绑定相应的VPN实例。

  • 绑定的VPN实例被删除之后,该命令中的VPN配置不会被清除,但功能不生效,此时Telnet服务器会选择公网,重新配置重名VPN实例,VPN功能恢复。

  • 绑定的源接口被删除之后,该命令中的接口配置不会被清除,但是功能不生效,重新配置重名源接口,功能恢复。

使用实例

# 指定Telnet服务器端的源接口是Loopback0。

<HUAWEI> system-view
[~HUAWEI] interface loopback 0
[*HUAWEI-LoopBack0] ip address 10.1.1.1 24
[*HUAWEI-LoopBack0] quit
[*HUAWEI] telnet server-source -i loopback 0

telnet server disable

命令功能

telnet server disable命令用来关闭Telnet服务器。

undo telnet server disable命令用来使能Telnet服务器。

缺省情况下:
  • 当设备以空配置启动时,Telnet服务器功能处于关闭状态;

  • 当设备加载配置文件启动时(比如采用ZTP方式加载配置文件进行初始配置),如果配置文件中存在telnet server disable,则Telnet服务器功能处于关闭状态,否则处于开启状态。

命令格式

telnet [ ipv6 ] server disable

undo telnet [ ipv6 ] server disable

参数说明

参数 参数说明 取值
ipv6 指定Telnet IPv6服务器。 -

视图

系统视图

缺省级别

3:管理级

使用指南

执行该命令,可以控制Telnet服务器的状态。只有当Telnet服务器的状态为打开时,才能连接到Telnet服务器。

执行命令telnet [ ipv6 ] server disable关闭Telnet服务器时,新的Telnet连接将不被允许,现有的Telnet连接也会中断。

Telnet服务器关闭后,用户只能通过Console口或者SSH等方式登录设备。

使用Telnet协议存在安全风险,建议使用STelnet V2登录设备。

使用实例

# 使能Telnet服务器。

<HUAWEI> system-view
[~HUAWEI] undo telnet server disable

# 去使能Telnet服务器。

<HUAWEI> system-view
[~HUAWEI] telnet server disable

# 使能Telnet IPv6服务器。

<HUAWEI> system-view
[~HUAWEI] undo telnet ipv6 server disable

telnet server port

命令功能

telnet server port命令用来设置Telnet服务端的端口号。

undo telnet server port命令用来恢复Telnet服务端的端口号到缺省值。

缺省情况下,Telnet服务器的端口号是23。

命令格式

telnet [ ipv6 ] server port port-number

undo telnet [ ipv6 ] server port

参数说明

参数 参数说明 取值
ipv6 指定Telnet IPv6服务器。 -
port-number 指定Telnet服务器的端口号。 整数形式,取值范围是23或1025~65535。缺省值是协议标准端口号23。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

为了有效防止攻击者对Telnet服务标准端口的访问,确保安全性,用户可以使用本命令配置Telnet服务器新的端口号。

telnet server port port-number仅对IPv4生效。

注意事项

设置了Telnet服务器的端口号以后,只有当服务器正在尝试连接的端口号是23时,Telnet客户端登录时可以不指定端口号;否则如果是其他端口号,Telnet客户端登录时必须指定端口号。

如果改变当前端口号,在该端口号上的所有连接将断开,服务器开始尝试连接新的端口号。

使用实例

# 配置端口号是1026。

<HUAWEI> system-view
[~HUAWEI] telnet server port 1026
# 恢复端口号为缺省值。
<HUAWEI> system-view
[~HUAWEI] undo telnet server port
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:20115

下载量:431

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页