评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
废弃不安全的访问通道
在业务需求分析的基础上,优先满足业务的访问需求。在同一个访问需求有多种访问通道服务的情况下,废弃不安全的访问通道,而选择安全的访问通道。
下表列出了各种访问通道的安全水平,优先选择高安全等级的访问通道。
表7-1 访问通道安全能力评估
访问需求 |
安全的通道 |
不安全的通道 |
|---|---|---|
远程登录 |
SSH v2 |
Telnet |
文件传输 |
SFTP |
FTP,TFTP |
网管 |
SNMP v3 |
SNMP v1/v2 |
RIP路由 |
RIP v2 |
RIP |
配置通过SFTP进行文件操作举例
组网需求
如图7-2所示,在作为SSH服务器的设备上使能SFTP服务器功能后,SFTP客户端PC可以通过Password、RSA、password-rsa、DSA、password-dsa或all认证的方式连接到SSH服务器端。
配置用户通过password认证方式登录SSH Server。
| 设备名称 | 接口 | IP地址 |
| SSH Server | GE0/1/1 |
10.137.217.225/16 |
配置思路
采用如下的思路配置用户通过SFTP进行文件操作:
- 在SSH服务器端生成本地密钥对,实现在服务器端和客户端进行安全地数据交互。
- 配置SSH用户,包括认证方式,用户名和密码以及授权目录。
- 在SSH服务器端使能SFTP服务器功能以及配置用户的服务类型。
数据准备
为完成此配置举例,需准备如下的数据:
- SSH用户的认证方式为password,用户名为“client001”,密码为“Hello-huawei123”。
- client001的用户级别为3。
- SSH服务器端的IP地址为10.137.217.225。
操作步骤
- 在服务器端生成本地密钥对
<HUAWEI> system-view [~HUAWEI] sysname SSH Server [*HUAWEI] commit [~SSH Server] rsa local-key-pair create The key name will be:HUAWEI_Host The range of public key size is (2048 ~ 2048). NOTE: Key pair generation will take a short while.
- 在服务器端配置SSH用户的用户名和密码
[*SSH Server] aaa [*SSH Server-aaa] local-user client001 password Please configure the password (8-128) Enter Password: Confirm Password: Info: A new user is added. [*SSH Server-aaa] local-user client001 level 3 [*SSH Server-aaa] local-user client001 service-type ssh [*SSH Server-aaa] commit [~SSH Server-aaa] quit
- 使能SFTP功能,并配置用户的服务类型为SFTP
[~SSH Server] sftp server enable [*SSH Server] ssh user client001 authentication-type password [*SSH Server] ssh user client001 service-type sftp [*SSH Server] commit
- 配置SSH用户的授权目录
[~SSH Server] ssh user client001 sftp-directory cfcard: [*SSH Server] commit
- 验证配置结果
# 通过OpenSSH软件实现访问SFTP服务器
图7-3 访问界面
配置文件
- SSH服务器的配置文件
#
sysname SSH Server
#
aaa
local-user client001 password irreversible-cipher $1a$jbB7=)5o.6$::j(W-#|XF&f6"M0>X**1bD0%2_"{4XX!lO="Sn0$
local-user client001 level 3
local-user client001 service-type ssh
#
interface GigabitEthernet0/1/1
undo shutdown
ip address 10.137.217.225 255.255.0.0
#
sftp server enable
ssh user client001
ssh user client001 authentication-type password
ssh user client001 service-type sftp
ssh user client001 sftp-directory cfcard:
#
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
#
return
