所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置用户登录命令

配置用户登录命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

configuration exclusive

命令功能

configuration exclusive命令用来锁定系统当前配置。在锁定期间,执行锁定配置的用户可以进行查询、配置等动作,其他用户只能进行查询动作。

undo configuration exclusive命令用来解除锁定的配置权限。

缺省情况下,配置权限不锁定。

命令格式

configuration exclusive

undo configuration exclusive

参数说明

视图

所有视图

缺省级别

2:配置级

使用指南

应用场景

设备允许多用户接入进行配置,但是在多用户登录的情况下,如果用户同时进行手动配置,很可能会出现配置冲突问题,导致业务异常。此时,可执行本命令实现一个用户锁定配置并进行配置动作,其他用户只能查询而不能修改配置。从而保证业务正常。

如果用户需要解除当前锁定的配置权限,可通过如下两种方式实现:
  • 执行undo configuration exclusive命令,解除当前锁定的配置权限。
  • 如果在允许锁定的最长时间间隔内没有任何配置更新,系统将自行解除锁定。允许锁定的最长时间间隔可通过configuration-occupied timeout命令设置。

注意事项

  • 执行本命令后,其他用户将无法进行配置操作,需慎用。
  • 执行本命令前,推荐通过configuration-occupied timeout命令配置合适的系统自行解锁时间,以便不影响其他用户正常配置。

使用实例

# 配置加锁。
<HUAWEI> configuration exclusive
# 配置解锁。
<HUAWEI> undo configuration exclusive

configuration-occupied timeout

命令功能

configuration-occupied timeout命令用来设置自行解锁时间间隔。

undo configuration-occupied timeout命令用来将自行解锁时间间隔恢复到缺省值。

缺省情况下,锁定间隔为30秒。

命令格式

configuration-occupied timeout timeout-value

undo configuration-occupied timeout

参数说明

参数 参数说明 取值
timeout-value 指定锁定用户无配置下发解锁秒数。 整数形式,单位是秒,取值范围是1~7200。缺省情况下,锁定间隔为30秒。

视图

系统视图

缺省级别

3:管理级

使用指南

执行configuration-occupied timeout命令可以设置锁定配置集权限用户在无配置命令下发情况下,允许锁定的最长时间间隔,超过这个时间间隔系统就自行解锁,其他用户可以正常配置。

执行configuration-occupied timeout命令的操作场景如下:
  • 如果用户没有配置权限,则提示错误。
  • 如果配置已经被其它用户加锁,则设置失败,提示错误。
  • 如果配置已经被加锁,但正是当前设置定时时间的用户锁定的,则可以配置。
说明:
使用configuration-occupied timeout命令要注意:
  • 如该时间设置的过短,则会造成锁定配置集的用户很短时间内没有下发配置命令就会被系统解除锁定。
  • 如该时间设置的过长,则会造成锁定配置集的用户很长时间不下发配置命令也还锁定着配置集,其他用户一直无法取得配置权。
  • 该命令的设定对所有用户有效,用户在锁定配置集时都会受到此约束。

使用实例

# 设置配置解锁时间间隔为120秒。
<HUAWEI> system-view
[HUAWEI] configuration-occupied timeout 120

display configuration-occupied user

命令功能

display configuration-occupied user命令用来查看当前锁定配置集用户的信息。

命令格式

display configuration-occupied user

参数说明

视图

所有视图

缺省级别

2:配置级

使用指南

可以通过display configuration-occupied user命令查询哪个用户当前拥有配置权限。如果没有被占用,则返回提示无用户占有。

使用实例

# 查看当前锁定配置级的用户。
<HUAWEI> display configuration-occupied user
User Index: 34
User Session Name: VTY0
User Name:**
IP Address: 10.135.19.22
Locked Time: 2012-09-16 15:26:32+10:00 DST
Last Configuration Time: 2012-09-16 15:26:32+10:00 DST
The time out value of configuration right locked is: 30 second(s)
表2-35  display configuration-occupied user命令输出信息描述

项目

描述

User Index

用户索引

User Session Name

用户的会话名,CON0或VTY0~VTY14

snmp-agent:表示网管用户的会话名

User Name

登录用户名称
  • 如果登录用户名称为**,表示串口登录或者密码认证方式登录
  • 如果登录用户名称为团体字或者V3用户名,表示为网管用户

IP Address

用户IP地址

Locked Time

锁定配置集的时间

Last Configuration Time

该用户最后一次下发配置命令的时间

The time out value of configuration right locked is

配置权限锁定的时间

通过configuration-occupied timeout命令进行配置

# 查看当前锁定配置级的用户时无用户锁定配置集。

<HUAWEI> display configuration-occupied user
Info: No user locked the current configuration.

display dsa local-key-pair public

命令功能

display dsa local-key-pair public命令用来查看设备中本地DSA密钥中的公钥部分信息。

命令格式

display dsa local-key-pair public

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

通过此命令可以查看客户端DSA密钥中的公钥信息,用户可以将执行此命令后的显示信息复制后作为SSH服务器端的DSA公钥对中的内容,以保证客户端和服务器两端公钥保持一致,最终实现验证通过。

使用实例

# 查看客户端DSA密钥中的公钥信息。

<HUAWEI> display dsa local-key-pair public
=====================================================
Time of Key pair created:2014-08-27 06:35:16+08:00
Key name    : HUAWEI_Host_DSA
Key modulus : 2048
Key type    : DSA encryption Key
Key fingerprint: b5:82:31:f1:65:0f:97:81:dc:27:95:a8:f8:26:68:c4
=====================================================
Key code:
3081DC
  0240
    AE0AE467 2BF3587F 30FE81FF A14D8070 1FC2930B
    A34004C1 B37824BB D3160595 702901CD 53F0EAE0
    6CC46D2D BE78F6A4 3DC4AAEF C7228E01 9C2EF7CE
    87C63485
  0214
    94FC5624 DCEB09DA E9B88293 2AC88508 AB7C813F
  0240
    91FF0F2C 91996828 BAAD5068 CD2FE83E CEFA1CF4
    7BCA4251 9F04FD24 6CFB50A3 AD78CC0D 335DEFD2
    0B4C3530 DAA25592 DEAFA0EB 61225712 E4AF6139
    C986329F
  0240
    26D21FBE 18A9FCB3 C19A7430 A801D8A1 09CFC6E6
    ACB104F4 B398B3B7 83A059EA BE23AE04 5D7AD134
    4279637B 51AD9ADF 80B627EA 9328C95F 3DFF00EE
    84847039

 Host public key for PEM format code:
---- BEGIN SSH2 PUBLIC KEY ----
AAAAB3NzaC1kc3MAAABBAK4K5Gcr81h/MP6B/6FNgHAfwpMLo0AEwbN4JLvTFgWV
cCkBzVPw6uBsxG0tvnj2pD3Equ/HIo4BnC73zofGNIUAAAAVAJT8ViTc6wna6biC
kyrIhQirfIE/AAAAQQCR/w8skZloKLqtUGjNL+g+zvoc9HvKQlGfBP0kbPtQo614
zA0zXe/SC0w1MNqiVZLer6DrYSJXEuSvYTnJhjKfAAAAQCbSH74YqfyzwZp0MKgB
2KEJz8bmrLEE9LOYs7eDoFnqviOuBF160TRCeWN7Ua2a34C2J+qTKMlfPf8A7oSE
cDk=
---- END SSH2 PUBLIC KEY ----
Public key code for pasting into OpenSSH authorized_keys file :
ssh-dss AAAAB3NzaC1kc3MAAABBAK4K5Gcr81h/MP6B/6FNgHAfwpMLo0AEwbN4JLvTFgWVcCkBzVPw
6uBsxG0tvnj2pD3Equ/HIo4BnC73zofGNIUAAAAVAJT8ViTc6wna6biCkyrIhQirfIE/AAAAQQCR/w8s
kZloKLqtUGjNL+g+zvoc9HvKQlGfBP0kbPtQo614zA0zXe/SC0w1MNqiVZLer6DrYSJXEuSvYTnJhjKf
AAAAQCbSH74YqfyzwZp0MKgB2KEJz8bmrLEE9LOYs7eDoFnqviOuBF160TRCeWN7Ua2a34C2J+qTKMlf
Pf8A7oSEcDk= dsa-key
表2-36  display dsa local-key-pair public命令输出信息描述

项目

描述

Time of Key pair created

公钥创建的时间。

Key name

密钥名称。

Key modulus

密钥的长度。

Key type

密钥类型。

Key fingerprint

密钥指纹。

Key code

密钥内容。

Host public key for PEM format code

客户端对公钥的PEM编码。

Public key code for pasting into OpenSSH authorized_keys file

OpenSSH文件上的公钥格式。

display dsa peer-public-key

命令功能

display dsa peer-public-key命令用来查看已配置的DSA公共密钥信息。

命令格式

display dsa peer-public-key [ brief | name key-name ]

参数说明

参数 参数说明 取值
brief 显示简要信息。 -
name key-name 显示指定名称的DSA公钥信息。

字符串形式,不区分大小写,不支持空格,长度范围是1~30。

说明:

当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

当用户需要查看DSA公钥的详细信息,或检查对端和本地公钥配置是否相同时,可以通过执行此命令查看DSA公钥详细信息。

注意事项

执行此命令前,必须已经完成DSA公钥的相关配置。

使用实例

# 查看指定名称DSA公钥详细信息。

<HUAWEI> display dsa peer-public-key name amar
=====================================
    Key name: amar
    Encoding type: DER
=====================================
Key Code:
3081DC
  0240
    AE0AE467 2BF3587F 30FE81FF A14D8070 1FC2930B A34004C1 B37824BB D3160595
    702901CD 53F0EAE0 6CC46D2D BE78F6A4 3DC4AAEF C7228E01 9C2EF7CE 87C63485
  0214
    94FC5624 DCEB09DA E9B88293 2AC88508 AB7C813F
  0240
    91FF0F2C 91996828 BAAD5068 CD2FE83E CEFA1CF4 7BCA4251 9F04FD24 6CFB50A3
    AD78CC0D 335DEFD2 0B4C3530 DAA25592 DEAFA0EB 61225712 E4AF6139 C986329F
  0240
    0E7BEFD5 594ECA9C CE574D9D 369BCD0C 19C94725 5FE8666E 73292AD6 908E4E0C
    7F0EA3AF A02F17F7 3A0B1D15 E22420CB B5EC1D2C 8BA77729 276EDEBB 8DA843C7
表2-37  display dsa peer-public-key命令输出信息描述

项目

描述

Key name

公钥名称。

Encoding type

公钥编码格式类型。

Key code

公钥编码。

display ecc local-key-pair public

命令功能

display ecc local-key-pair public命令用来查看本地ECC(Elliptic Curves Cryptography)密钥对中的公钥部分信息。

命令格式

display ecc local-key-pair public

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

当设备作为客户端时,可通过此命令查看ECC密钥对中的公钥信息。并将查看到的公钥信息手动拷贝到服务器端,作为SSH服务器端的ECC公钥对中的内容,以实现服务器对登录用户的验证,从而保证合法用户的登录。

前置任务

执行此命令之前,需要执行ecc local-key-pair create命令,产生本地密钥对。

使用实例

# 查看客户端ECC密钥对中的公钥信息。

<HUAWEI> display ecc local-key-pair public
=====================================================                           
Time of Key pair created:2016-10-19 11:50:20+00:00                              
Key name    : HUAWEI_Host_ECC         
Key modulus : 521                                                               
Key type    : ECC encryption Key                                                
Key fingerprint:                                                                
=====================================================                           
Key code:                                                                       
    0401CE1E 5EF3B843 CD917648 1D70EF8F CECE8518 5B32ED5F 529E9DC4 D16EDF1A     
    5F6E6389 10AAE2D4 74FD9DA7 F05AB123 9AF3EE64 9F0BAF99 A0CBF55B E319B2D1     
    8EDEBB01 7C63469B C62A2256 3EAEA0BD 486F9524 8559C7EF 24D969D1 11093BBF     
    27F770E7 03E28ABA BB357E5B 28EF04CC EA931C81 C7D7EBD8 5797B1CD 05D9B497     
    56D91126 E9                                                                 
                                                                                
 Host public key for PEM format code:                                           
---- BEGIN SSH2 PUBLIC KEY ----                                                 
AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAHOHl7zuEPN                
kXZIHXDvj87OhRhbMu1fUp6dxNFu3xpfbmOJEKri1HT9nafwWrEjmvPuZJ8Lr5mg                
y/Vb4xmy0Y7euwF8Y0abxioiVj6uoL1Ib5UkhVnH7yTZadERCTu/J/dw5wPiirq7                
NX5bKO8EzOqTHIHH1+vYV5exzQXZtJdW2REm6Q==                                        
---- END SSH2 PUBLIC KEY ----                                                   
                                                                                
Public key code for pasting into OpenSSH authorized_keys file :                 
ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAHOHl7z
uEPNkXZIHXDvj87OhRhbMu1fUp6dxNFu3xpfbmOJEKri1HT9nafwWrEjmvPuZJ8Lr5mgy/Vb4xmy0Y7e
uwF8Y0abxioiVj6uoL1Ib5UkhVnH7yTZadERCTu/J/dw5wPiirq7NX5bKO8EzOqTHIHH1+vYV5exzQXZ
tJdW2REm6Q== ecdsa-key   
表2-38  display ecc local-key-pair public命令输出信息描述

项目

描述

Time of Key pair created

客户端ECC密钥对中的公钥生成的时间。时间显示格式为:HH:MM:SS YYYY/MM/DD。

Key Name

客户端ECC密钥对中的公钥的名称。

Key modulus

客户端ECC密钥对的公钥的长度。

Key Type

客户端ECC密钥对中的公钥的类型。ECC encryption Key表示ECC类型的公钥。

Key Code

客户端ECC密钥对中的公钥的编码。通过ecc local-key-pair create命令可以产生本地密钥对。

Host public key for PEM format code

客户端ECC密钥对中公钥的PEM编码。

Public key code for pasting into OpenSSH authorized_keys file

客户端ECC密钥对中,用于OpenSSH软件认证的公钥,将此信息拷贝到OpenSSH的authorized_keys文件中即可使用。

display ecc peer-public-key

命令功能

display ecc peer-public-key命令用来查看远端已配置的ECC(Elliptic Curves Cryptography)公共密钥信息。

命令格式

display ecc peer-public-key [ brief | name key-name ]

参数说明

参数 参数说明 取值
brief 显示所有远端公钥的简要信息。 -
name key-name 显示指定密钥名称的对端ECC公共密钥信息。 字符串形式,不支持空格,区分大小写,长度范围是1~30。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

当设备作为客户端时,可通过此命令查看远端已配置的ECC密钥对中的公钥信息,此公钥可以实现服务器对登录用户的验证,从而保证合法用户的登录。

使用本命令查看已配置的ECC公钥信息,并可以与对端的主机公钥进行核对,已保证配置数据的正确性。

使用实例

# 查看名称为127.0.0.1的远端ECC公共密钥的信息。

<HUAWEI> display ecc peer-public-key
=====================================                                           
    Key name: 127.0.0.1                                                         
    Encoding type: DER                                                          
=====================================                                           
Key Code:                                                                       
    04013184 A3311697 89DF558B 7F67BF9D BD95DBD5 280D659F 0E29852C AEC2FFBA     
    1913AC2A 88247ADA 46BEBEBE 1829C0DA 3BABC8FC 8F6EAD28 2AE2C6A8 116BAA3A     
    540E6B00 34E033D8 9D84841B 0D33DAD8 DEDD1C09 2B70B3DB 5AF0FCB2 37DF1C82     
    C4C622A6 85B23698 195DA60F 06858ADB DD743937 B4A29C4C FB28B40B BCEEE036     
    1DE61BD2 24     

# 查看所有ECC公共密钥的简要信息。

<HUAWEI> display ecc peer-public-key brief
  Bits   Name                                                                   
----------------------                                                          
  521   127.0.0.1                                                               
  384   192.168.131.203     
表2-39  display ecc peer-public-key命令输出信息描述

项目

描述

Bits

已配置的公钥长度。

Name

已配置的ECC公钥的名称。

Key name

已配置的ECC公钥的名称。

Encoding type

已配置的ECC公钥的编码类型。

  • OPENSSH

    OpenSSH格式是将数据进行64进制编码。

    OpenSSH是基于PEM修改而产生的编码格式。

  • PEM

    PEM格式是将数据进行64进制编码。

  • DER

    DER格式是将数据进行16进制编码。

Key Code

已配置的ECC公钥的编码。通过ecc local-key-pair create命令可以产生本地密钥对。

display http server

命令功能

display http server命令用来查看当前HTTPS服务器信息。

命令格式

display http server

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

可执行本命令查看当前HTTPS服务器信息,包括HTTPS服务功能使能情况、端口号、服务器允许访问的最大用户数以及当前在线用户数等。

使用实例

# 查看HTTPS服务器信息。

<HUAWEI> display http server
   HTTP Server Status              : enabled
   HTTP Server Port                : 80(80)
   HTTP Timeout Interval           : 20
   Current Online Users            : 3
   Maximum Users Allowed           : 5
   HTTP Secure-server Status       : enabled
   HTTP Secure-server Port         : 443(443)
   HTTP SSL Policy                 : ssl_server
   HTTP IPv6 Server Status         : disabled
   HTTP IPv6 Server Port           : 80(80)
   HTTP IPv6 Secure-server Status  : disabled
   HTTP IPv6 Secure-server Port    : 443(443)
   HTTP server source address      : 0.0.0.0
表2-40  display http server命令输出信息描述

项目

描述

HTTP Server Status

HTTP IPv4服务器状态:
  • Enabled:使能HTTP IPv4服务。
  • Disabled:未使能HTTP IPv4服务。

可通过http server enable命令进行配置。

HTTP Server Port

HTTP IPv4服务器的端口号,缺省值为80。

可通过http server port命令进行配置。

HTTP Timeout Interval

HTTP/HTTPS服务器的超时时间,缺省值为20分钟。

可通过http timeout命令进行配置。

Current Online Users

当前在线用户数。

Maximum Users Allowed

服务器允许访问的最大用户数。

HTTP Secure-server Status

HTTPS IPv4服务器状态:
  • Enabled:使能HTTPS IPv4服务。
  • Disabled:未使能HTTPS IPv4服务。

可通过http secure-server enable命令进行配置。

HTTP Secure-server Port

HTTPS IPv4服务器端口号,缺省值为443。

可通过http secure-server port命令进行配置。

HTTP SSL Policy

HTTPS SSL策略。

可通过ssl policy命令进行配置。

HTTP IPv6 Server Status

HTTP IPv6服务器状态:
  • enabled:使能HTTP IPv6服务。
  • disabled:未使能HTTP IPv6服务。

可通过http ipv6 server enable命令进行配置。

HTTP IPv6 Server Port

HTTP IPv6服务器的端口号,缺省值为80。

可通过http ipv6 server port命令进行配置。

HTTP IPv6 Secure-server Status

HTTPS IPv6服务器状态:
  • enabled:使能HTTPS IPv6服务。
  • disabled:未使能HTTPS IPv6服务。

可通过http ipv6 secure-server enable命令进行配置。

HTTP IPv6 Secure-server Port

HTTPS IPv6服务器端口号,缺省值为443。

可通过http ipv6 secure-server port命令进行配置。

HTTP server source address

HTTP服务器源接口地址。

display http user

命令功能

display http user命令用来查看当前在线用户信息。

命令格式

display http user [ username username ]

参数说明

参数 参数说明 取值
username username 指定当前在线用户的用户名。 字符串形式,不支持空格,不区分大小写,长度范围是1~64,不支持通配符。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

所有视图

缺省级别

3:管理级

使用指南

当不指定参数username时,执行命令用于查看当前所有在线用户的概要信息。

当指定参数username时,执行命令用于查看指定在线用户的详细信息。

使用实例

# 查看当前所有在线用户的概要信息。

<HUAWEI> display http user
Total online users: 1
------------------------------------------------------
User name    IP Address            Login Date
------------------------------------------------------
admin        192.168.0.1           2012-03-23 15:30:55+00:00

# 查看当前在线用户admin的详细信息。

<HUAWEI> display http user username admin
Client IP Address: 192.168.0.1
Login Date: 2012-03-19 15:30:55+00:00
User timeouts: 15 minute
表2-41  display http user命令输出信息描述

项目

描述

User name

用户名。

Client IP Address

客户端IP地址。

Login Date

用户登录的日期和时间。

User timeouts

在线用户超时时间。

相关主题

display rsa local-key-pair public

命令功能

display rsa local-key-pair public命令用来查看本地密钥对中的公钥信息。

命令格式

display rsa local-key-pair public

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

当设备作为SSH客户端登录其他设备时,在SSH客户端执行此命令,并将回显信息中的客户端公钥配置到SSH服务器端,保证在连接时SSH服务器对SSH客户端有效性检查能够通过,以便在SSH服务器端和SSH客户端间进行安全地数据交互。

使用实例

# 查看本地密钥对中的公钥信息。

<HUAWEI> display rsa local-key-pair public
=====================================================                                                                               
Time of Key pair created: 2012-08-15 06:41:55+08:00           
Key name: HUAWEI_Host                                                                                                       
Key type: RSA encryption Key                                                                                                        
Key fingerprint: ab:ec:d7:e1:22:5f:e4:e3:6e:f0:d6:1f:99:e4:f2:f3
=====================================================                                                                               
Key code:                                                                                                                           
3047                                                                                                                                
  0240                                                                                                                              
    D8D10BE8 CD41AA43 862B6C2B 637D1A53 1EBB4015                                                                                    
    96A70B13 72B17A16 84E02168 4061A4C2 A1CDB541                                                                                    
    484F71DB D7271E5F E3C75BEA AF853023 0CDCE55D                                                                                    
    ECCB0461                                                                                                                        
  0203                                                                                                                              
    010001                                                                                                                          
                                                                                                                                    
 Host public key for PEM format code:                                                                                               
---- BEGIN SSH2 PUBLIC KEY ----                                                                                                     
AAAAB3NzaC1yc2EAAAADAQABAAAAQQDY0QvozUGqQ4YrbCtjfRpTHrtAFZanCxNy                                                                    
sXoWhOAhaEBhpMKhzbVBSE9x29cnHl/jx1vqr4UwIwzc5V3sywRh                                                                                
---- END SSH2 PUBLIC KEY ----                                                                                                       
                                                                                                                                    
Public key code for pasting into OpenSSH authorized_keys file :                                                                     
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAQQDY0QvozUGqQ4YrbCtjfRpTHrtAFZanCxNysXoWhOAhaEBhpMKhzbVBSE9x29cnHl/jx1vqr4UwIwzc5V3sywRh rsa-key
                                                                                                                                    
                                                                                                                                    
=====================================================                                                                               
Time of Key pair created: 2012-08-15 06:42:03+08:00                                                                                 
Key name: HUAWEI_Server                                                                                                     
Key type: RSA encryption Key                                                                                                        
Key fingerprint: 16:3b:43:4f:74:16:98:b3:5c:51:b5:a3:83:f8:86:19
=====================================================                                                                               
Key code:                                                                                                                           
3067                                                                                                                                
  0260                                                                                                                              
    F31D5536 26C05536 6703885D E8FCDB00 07C45437                                                                                    
    B3D08086 9E25B7B6 CFE375B2 1AA957EE 24D2DC51                                                                                    
    BAA81ECD 6894F71E 20596754 35653808 C8B74ACB                                                                                    
    DE94C584 1E234FED 840900F0 4A4100FB C133DFB7                                                                                    
    12D4B4DB EF0C3E1F E211202A F45DD5DD                                                                                             
  0203                                                                                                                              
    010001 
表2-42  display rsa local-key-pair public命令输出信息描述

项目

描述

Time of Key pair created

公钥生成的时间和日期。

Key Name

公钥的名称,取值包括:主机公钥和服务器公钥(只有密钥类型为RSA时,才会存在服务器公钥)。

Key Type

公钥的类型。

Key fingerprint

公钥指纹。

Key Code

公钥的编码。

display rsa peer-public-key

命令功能

display rsa peer-public-key命令用来查看保存在本地的远端主机公钥信息。如果没有指定任何参数,则显示所有的远端主机公钥的详细信息。

命令格式

display rsa peer-public-key [ brief | name key-name ]

参数说明

参数 参数说明 取值
brief 显示所有远端公钥的简明信息。 -
name key-name 指定要显示的密钥名称。 字符串形式,不区分大小写,不支持空格,长度范围是1~30。
说明:

当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

当用户需要查看RSA公钥的详细信息,或检查对端和本地公钥配置是否相同时,可以通过执行此命令查看RSA公钥详细信息。

注意事项

执行此命令前,必须已经完成RSA公钥的相关配置。

使用实例

# 查看所有RSA公共密钥的简要信息。

<HUAWEI> display rsa peer-public-key brief
Address         Bits   Name
---------------------------
                 768   rsakey001    
表2-43  display rsa peer-public-key brief命令输出信息描述

项目

描述

Address

公钥摘要信息。

Bits

公钥的位数。

Name

公钥的名称。

# 查看名为rsakey001的RSA公共密钥的详细信息。

<HUAWEI> display rsa peer-public-key name rsakey001
=====================================
    Key name: rsakey001
    Key address:
=====================================
Key Code:
3067
  0260
    A3158E6C F252C039 135FFC45 F1E4BA9B 4AED2D88 D99B2463 3E42E13A 92A95A37
    45CDF037 1AF1A910 AAE3601C 2EB70589 91AF1BB5 BD66E31A A9150911 859CAB0E
    1E10548C D70D000C 55A1A217 F4EA2F06 E44BD438 DA472F14 3FB7087B 45E77C05
  0203
    010001 
表2-44  display rsa peer-public-key name命令输出信息描述

项目

描述

Key name

公钥的名称。

Key address

公钥摘要信息。

Key Code

公钥的编码。

display ssh server

命令功能

display ssh server命令用来查看SSH服务器的信息。

命令格式

display ssh server { status | session }

参数说明

参数 参数说明 取值
status 显示SSH服务器全局配置信息。 -
session 显示SSH服务器端的当前会话连接信息。 -

视图

所有视图

缺省级别

3:管理级

使用指南

SSH相关属性配置完毕后,可执行本命令查看SSH服务器端的配置信息,还可执行本命令查看会话连接信息,以确认SSH连接建立成功。

使用实例

# 查看SSH服务器的全局配置信息。

<HUAWEI> display ssh server status
 SSH version                         :2.0
 SSH connection timeout              :60 seconds
 SSH server key generating interval  :0 hours
 SSH authentication retries          :3 times
 SFTP IPv4 server                    :Enable
 SFTP IPv6 server                    :Enable
 STELNET IPv4 server                 :Enable
 STELNET IPv6 server                 :Enable
 SCP IPv4 server                     :Enable
 SCP IPv6 server                     :Enable
 SSH server source                   :0.0.0.0
 ACL4 number                         :0
 ACL6 number                         :0
表2-45  display ssh server status命令输出信息描述

项目

描述

SSH version

SSH会话连接使用的协议版本。

SSH connection timeout

SSH服务器认证的超时周期,以秒为单位。

通过ssh server timeout命令进行配置。

SSH server key generating interval

SSH服务器密码产生周期,以小时为单位。

通过ssh server rekey-interval命令进行配置。

SSH authentication retries

建立SSH会话连接的重试次数。

通过ssh server authentication-retries命令进行配置。

SFTP IPv4 server

SFTP IPv4服务状态。

通过sftp ipv4 server enable命令进行配置。

SFTP IPv6 server

SFTP IPv6服务状态。

通过sftp ipv6 server enable命令进行配置。

STELNET IPv4 server

STelnet IPv4服务状态。

通过stelnet ipv4 server enable命令进行配置。

STELNET IPv6 server

STelnet IPv6服务状态。

通过stelnet ipv6 server enable命令进行配置。

SCP IPv4 server

SCP IPv4服务状态。

通过scp ipv4 server enable命令进行配置。

SCP IPv6 server

SCP IPv6服务状态。

通过scp ipv6 server enable命令进行配置。

SSH server source

SSH服务器端的源地址。

通过ssh server-source -i loopback interface-number命令进行配置。

ACL4 number

基于IPv4协议的ACL编号。

通过ssh server acl acl-number命令进行配置。

ACL6 number

基于IPv6协议的ACL编号。

通过ssh ipv6 server acl acl-number命令进行配置。

# 查看SSH服务器端的当前会话连接信息。

<HUAWEI> display ssh server session
  Session 1:
       Conn                 : VTY 10
       Version              : 2.0
       State                : started
       Username             : client002
       Retry                : 1
       CTOS Cipher          : aes256-cbc
       STOC Cipher          : aes256-cbc
       CTOS Hmac            : hmac-sha2_256
       STOC Hmac            : hmac-sha2_256
       CTOS Compress        : none
       STOC Compress        : none
       Kex                  : diffie-hellman-group1-sha1
       Public Key           : rsa
       Service Type         : sftp
       Authentication Type  : password
  Session 2:
       Conn                 : VTY 14
       Version              : 2.0
       State                : started
       Username             : client001
       Retry                : 1
       CTOS Cipher          : aes256-cbc
       STOC Cipher          : aes256-cbc
       CTOS Hmac            : hmac-sha2_256
       STOC Hmac            : hmac-sha2_256
       CTOS Compress        : none
       STOC Compress        : none
       Kex                  : diffie-hellman-group1-sha1
       Public Key           : dsa
       Service Type         : stelnet
       Authentication Type  : password 
表2-46  display ssh server session命令输出信息描述

项目

描述

Session

SSH会话ID。

Conn

SSH会话占用的虚拟用户终端接口

Version

SSH会话连接使用的协议版本。

State

SSH会话的连接状态。

Username

SSH会话连接使用的用户名。

通过ssh user命令进行配置。

Retry

建立SSH会话连接的重试次数。

通过ssh server authentication-retries命令进行配置。

CTOS Cipher

客户端到服务器的加密算法名。

STOC Cipher

服务器到客户端的加密算法名。

CTOS Hmac

客户端到服务器的HMAC算法名。

STOC Hmac

服务器到客户端的HMAC算法名。

CTOS Compress

客户端到服务器的数据传输是否压缩,在进行SCP连接时,可指定是否压缩。

STOC Compress

服务器到客户端的数据传输是否压缩,在进行SCP连接时,可指定是否压缩。

Kex

交换算法名。

Public Key

服务器认证采用的公钥算法,有RSA、DSA和ECC。

Service Type

SSH用户的服务方式:
  • sftp:服务方式为SFTP。
  • stelnet:服务方式为STelnet。
  • all:服务方式为SCP、SFTP和STelnet。

通过ssh user service-type命令进行配置。

Authentication Type

SSH用户的认证方式:
  • password:认证方式为password认证。
  • rsa:认证方式为RSA认证。
  • dsa:认证方式为DSA认证。
  • ecc:认证方式为ECC认证。
  • password-rsa:认证方式为password和RSA两种认证。
  • password-dsa:认证方式为password和DSA两种认证。
  • password-ecc:认证方式为password和ECC两种认证。
  • all:认证方式为password认证、ECC认证、DSA认证或RSA认证。

通过ssh user authentication-type命令进行配置。

display ssh server-info

命令功能

display ssh server-info命令用来查看当前设备作为SSH客户端的情况下,SSH服务器与RSA、DSA或ECC公钥的绑定信息。

命令格式

display ssh server-info

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

SSH客户端需要认证服务器时,以本地保存的服务器端的主机公钥对连接的SSH服务器进行认证。如果认证不成功,可以通过display ssh server-info命令查看服务器是否与正确的公钥对应。

使用实例

# 查看SSH客户端的所有SSH服务器与公钥的绑定信息。

<HUAWEI> display ssh server-info
Server Name(IP)                  Server Public Key Type  Server public key name
______________________________________________________________________________

192.168.50.207                   RSA                     192.168.50.207
192.168.50.204                   DSA                     192.168.50.204
192.168.50.208                   ECC                     192.168.50.208
表2-47  display ssh server-info命令输出信息描述

项目

描述

Server Name(IP)

SSH服务器主机名。

Server Public Key Type

SSH服务器上的公钥类型。

Server public key name

SSH服务器端的主机公钥名。

display ssh user-information

命令功能

display ssh user-information命令用来查看所有SSH用户的配置信息。

命令格式

display ssh user-information [ username ]

参数说明

参数 参数说明 取值
username 显示SSH用户名。
字符串形式,不支持空格,不区分大小写,长度范围是1~64
说明:

当输入的字符串两端使用引号时,可在字符串中输入空格。

视图

所有视图

缺省级别

3:管理级

使用指南

执行该命令,可查看SSH用户的用户名、绑定的RSA、DSA或ECC公钥名和服务类型等信息。

使用实例

# 显示SSH用户client001的配置信息。

<HUAWEI> display ssh user-information client001
       User Name            : client001
       Authentication-type  : password
       User-public-key-name : -
       User-public-key-type : -
       Sftp-directory       : -
       Service-type         : stelnet
       Authorization-cmd    : No 

# 显示所有SSH用户的配置信息。

<HUAWEI> display ssh user-information
  User 1:
       User Name            : client001
       Authentication-type  : password
       User-public-key-name : -
       User-public-key-type : -
       Sftp-directory       : -
       Service-type         : stelnet
       Authorization-cmd    : No
  User 2:
       User Name            : client002
       Authentication-type  : dsa
       User-public-key-name : dsakey001
       User-public-key-type : dsa
       Sftp-directory       : flash:
       Service-type         : sftp
       Authorization-cmd    : No
表2-48  display ssh user-information命令输出信息描述

项目

描述

User Name

SSH用户名。

通过ssh user命令进行配置。

Authentication-type

SSH用户的认证方式:
  • password:认证方式为password认证。
  • rsa:认证方式为RSA认证。
  • dsa:认证方式为DSA认证。
  • ecc:认证方式为ECC认证。
  • password-rsa:认证方式为password和RSA两种认证。
  • password-dsa:认证方式为password和DSA两种认证。
  • password-ecc:认证方式为password和ECC两种认证。
  • all:认证方式为password认证、ECC认证、DSA认证或RSA认证。

通过ssh user authentication-type命令进行配置。

User-public-key-name

为SSH用户分配的对端RSA、DSA或ECC公钥。

通过rsa peer-public-keydsa peer-public-key、或ecc peer-public-key命令进行配置。

User-public-key-type

为SSH用户分配的公钥类型:RSA、DSA和ECC。

Sftp-directory

SSH用户的SFTP服务授权目录。

通过ssh user sftp-directory命令进行配置。

Service-type

SSH用户的服务方式:
  • sftp:服务方式为SFTP。
  • stelnet:服务方式为STelnet。
  • all:服务方式为SFTP和STelnet。

通过ssh user service-type命令进行配置。

Authorization-cmd

SSH用户配置的命令行授权方式。

通过ssh user authorization-cmd aaa命令进行配置。

display telnet server status

命令功能

display telnet server status命令用来查看Telnet服务器的状态和配置信息。

命令格式

display telnet server status

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

  • 当用户需要查看设备作为Telnet服务器是否使能,可通过本命令查看。
  • 如果用户已经通过命令telnet server port port-number设置了Telnet服务器的端口号,可通过本命令查看Telnet服务器的具体端口号。

使用实例

# 查看Telnet服务器的状态和配置信息。
<HUAWEI> display telnet server status
 TELNET IPv4 server                       :Enable
 TELNET IPv6 server                       :Enable
 TELNET server port                       :23
 TELNET server source address             :0.0.0.0                              
 ACL4 number                              :0                                    
 ACL6 number                              :0 
表2-49  display telnet server status命令输出信息描述

项目

描述

TELNET IPv4 server

基于IPv4协议的Telnet服务器。

TELNET IPv6 server

基于IPv6协议的Telnet服务器。

TELNET server port

Telnet服务器当前使用的端口号。

TELNET Server Source address

Telnet服务器的源地址。

ACL4 number

基于IPv4协议的ACL编号。

ACL6 number

基于IPv6协议的ACL编号。

display telnet-client

命令功能

display telnet-client命令用来查看设备作为Telnet客户端时的源参数。

命令格式

display telnet-client

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

进行Telnet客户端源参数设置后,可通过此命令查看设置结果。若未配置telnet client-source,则默认源为:0.0.0.0。

使用实例

# 显示设备作为Telnet客户端时的源参数。

<HUAWEI> display telnet-client
 The source address of telnet client is 10.1.1.1
表2-50  display telnet-client命令输出信息描述

项目

描述

The source address of telnet client is 10.1.1.1

Telnet客户端的源地址设置为10.1.1.1。

dsa local-key-pair create

命令功能

dsa local-key-pair create命令用来生成本地DSA主机密钥对。

命令格式

dsa local-key-pair create

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

DSA(Digital Signature Algorithm,数字签名算法)相比较于RSA密钥,在SSH协议中拥有更广泛的应用。根据非对称加密体系的加密原则,通过生成公钥和私钥,实现密钥的安全交换,最终实现安全的会话全过程。

使用该命令进行配置时,如果DSA密钥已经存在,则系统将提示用户确认是否替换原有密钥。新产生的密钥对的命名方式为“设备名称_Host_DSA”,如:HUAWEI_Host_DSA。密钥采用PKCS#8格式保存于系统NOR FLASH下的hostkey_dsa文件中。

输入该命令后,设备会提示用户输入主机密钥的位数。主机密钥对的长度可为1024、2048。缺省情况下,密钥对的长度为2048。

注意事项

该命令不在配置文件中保存,且此命令只需执行一遍即可生效,设备重新启动后不必再次执行。

为了设备安全性更高,建议用户使用长度为2048的密钥对。

使用实例

# 在设备上创建DSA密钥。

<HUAWEI> system-view
[HUAWEI] dsa local-key-pair create
Info: The key name will be: HUAWEI_Host_DSA.                                                                                
Info: The key modulus can be any one of the following : 1024, 2048.                                                            
Info: If the key modulus is greater than 512, it may take a few minutes.        
Please input the modulus [default=2048]:                                        
Info: Generating keys...                                                        
Info: Succeeded in creating the DSA host keys.

dsa local-key-pair destroy

命令功能

dsa local-key-pair destroy命令用来销毁本地DSA主机密钥对。

命令格式

dsa local-key-pair destroy

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

DSA(Digital Signature Algorithm,数字签名算法)是SSH中最具有广泛应用的验证方式,根据非对称加密体系的加密原则,通过生成公钥和私钥,实现密钥的安全交换,最终实现安全的会话全过程。用户可以通过命令dsa local-key-pair create生成本地DSA密钥。但是如果用户确认无需继续使用本地的DSA密钥,可以通过此命令将设备本地的DSA密钥删除。

前置条件

执行此命令前,需要本地存在可被删除的DSA密钥。

配置影响

执行此命令后,设备主备主控板上用于存放DSA密钥的“**_DSA”文件将被清空。

注意事项

由于此命令为一次性操作命令,因此操作不会被保存在配置文件中。

使用实例

# 删除本地的DSA密钥。

<HUAWEI> system-view
[HUAWEI] dsa local-key-pair destroy
Info: The name of the key which will be destroyed is HUAWEI_Host_DSA.                                                       
Warning: These keys will be destroyed. Continue? [Y/N]:y                                                             
Info: Succeeded in destroying the DSA host keys. 

dsa peer-public-key

命令功能

dsa peer-public-key命令用来配置DSA公共密钥编码格式,并进入DSA公共密钥视图。

undo dsa peer-public-key命令用来删除DSA公共密钥。

缺省情况下,系统没有指定DSA公共密钥编码格式。

命令格式

dsa peer-public-key key-name encoding-type { der | openssh | pem }

undo dsa peer-public-key key-name

参数说明

参数

参数说明

取值

key-name 指定DSA公共密钥名称。 字符串格式,不区分大小写,不支持空格,长度范围是1~30。
说明:

当输入的字符串两端使用双引号时,可在字符串中输入空格。

encoding-type 指定DSA公共密钥编码格式类型。 -
der

指定DSA公共密钥编码格式是DER(Distinguished Encoding Rules)。

DER格式是将数据进行16进制编码。

-
openssh

指定DSA公共密钥编码格式是OpenSSH。

OpenSSH格式是将数据进行64进制编码。

OpenSSH是基于PEM修改而产生的编码格式。

-
pem

指定DSA公共密钥编码格式是PEM(Privacy Enhanced Mail)。

PEM格式是将数据进行64进制编码。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

采用DSA公共密钥认证时,需要在服务器端为SSH用户指定对应的客户端的公共密钥。当客户端登录服务器时,服务器端就会根据指定SSH用户对应的公共密钥对客户端进行认证。或者在客户端首次登录服务器时,可以将服务器端产生的公钥直接保存至客户端,保证在首次连接时服务器有效性检查能够通过。

目前,华为公司的数据通信设备DSA密钥支持DER、OpenSSH和PEM编码格式。如果用户使用的是其他编码格式的密钥,需要通过第三方工具将其他格式的密钥转换为DER、OpenSSH或PEM格式。

而第三方工具非华为公司工具,不随系统软件发布,用户缺乏获取途径和操作指导,导致用户使用不便。为了提高DSA的易用性,DSA密钥需要同时支持DER、PEM和OpenSSH编码格式。

用户常用SecureCRT、PuTTY、OpenSSH和OpenSSL第三方软件连接设备,通过第三方软件产生的密钥编码格式如下:
  • PEM编码格式的密钥可通过SecureCRT、PuTTY产生。
  • OpenSSH编码格式的密钥可通过OpenSSH产生。
  • DER编码格式的密钥可通过OpenSSL产生。

OpenSSL是一个开源软件,用户可到http://www.openssl.org/上获取相关文档。

通过本命令指定DSA密钥编码格式后,华为公司的数据通信设备会自动生成相应编码格式的密钥,同时进入DSA公共密钥视图,再执行命令public-key-code begin后,用户即可通过手动拷贝的方式将对端设备产生的公共密钥拷贝到本端设备。

后续任务

当成功从对端设备将DSA公共密钥拷贝到本端设备后,用户可执行如下操作退出DSA公共密钥视图。
  1. 执行命令public-key-code end,返回到DSA公共密钥视图。
  2. 执行命令peer-public-key end,退出DSA公共密钥视图,返回到系统视图。

注意事项

执行命令undo dsa peer-public-key删除公共密钥时,如果当前此公共密钥已经分配给某个SSH用户,则需要先使用undo ssh user user-name assign { rsa-key | dsa-key | ecc-key }命令删除SSH用户与此公共密钥之间的对应关系,否则无法删除此公共密钥。

对端公钥支持配置PKCS#1的公钥数据,不支持其他PKCS版本。

使用实例

# 配置DSA公共密钥编码格式,并进入DSA公共密钥视图。

<HUAWEI> system-view
[HUAWEI] dsa peer-public-key 23 encoding-type der
[HUAWEI-dsa-public-key]

ecc local-key-pair create

命令功能

ecc local-key-pair create命令用来生成本地ECC(Elliptic Curves Cryptography)主机密钥对。

命令格式

ecc local-key-pair create

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

产生本地主机密钥对是成功完成SSH登录的首要操作。与使用rsa local-key-pair create命令产生密钥对的RSA算法相比,ECC算法可以大大减少密钥的长度,加密速度也相对较快,并具有更高的安全性。输入该命令后,系统会提示用户输入主机密钥的位数。ECC主机密钥对的长度可为256,384,521比特。缺省情况下,密钥对的长度为521。

注意事项

  • 使用该命令进行配置时,如果ECC密钥已经存在,则系统将提示用户确认是否替换原有密钥。新产生的密钥对命名方式为“交换机名称_Host_ECC”,如:HUAWEI_Host_ECC。

  • ecc local-key-pair createecc local-key-pair destroy命令为一次性操作指令,因此不会被保存在配置文件中,且只需执行一遍,交换机重新启动后不必再次执行。

  • 用户不能使用delete命令手动删除交换机上的ECC密钥文件。如果文件被删除,设备重启后密钥将不能被恢复。

使用实例

# 配置生成本地主机密钥对。

<HUAWEI> system-view
[HUAWEI] ecc local-key-pair create
Info: The key name will be: HUAWEI_Host_ECC.
Info: The ECC host key named HUAWEI_Host_ECC already exists.
Warning: Do you want to replace it ? [Y/N]: Y
Info: The key modulus can be any one of the following : 256, 384, 521.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=521]:521
Info: Generating keys...
Info: Succeeded in creating the ECC host keys.

# 输入错误的密钥长度,并达到尝试次数5次。

<HUAWEI> system-view
[HUAWEI] ecc local-key-pair create
Info: The key name will be: HUAWEI_Host_ECC.
Info: The ECC host key named HUAWEI_Host_ECC already exists.
Warning: Do you want to replace it ?[Y/N]: Y
Info: The key modulus can be any one of the following : 256, 384, 521.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=521]:123
Error: Invalid ECC key modulus.
Please input the modulus [default=521]:1024
Error: Invalid ECC key modulus.
Please input the modulus [default=521]:512
Error: Invalid ECC key modulus.
Please input the modulus [default=521]:2048
Error: Invalid ECC key modulus.
Please input the modulus [default=521]:4096
Error: Invalid ECC key modulus.
Error: The maximum number of retries has reached, and the command has already been canceled.

ecc local-key-pair destroy

命令功能

ecc local-key-pair destroy命令用来销毁本地所有ECC(Elliptic Curves Cryptography)主机密钥对。

命令格式

ecc local-key-pair destroy

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果用户确认无应用需继续使用本地ECC主机密钥对,可以通过命令ecc local-key-pair destroy销毁本地所有的ECC主机密钥。

配置影响

执行ecc local-key-pair destroy命令后,设备上用于存放ECC密钥的文件将被清空,请谨慎使用。

注意事项

  • ecc local-key-pair createecc local-key-pair destroy命令为一次性操作指令,因此不会被保存在配置文件中,且只需执行一遍,交换机重新启动后不必再次执行。

  • 用户不能使用delete命令手动删除交换机上的ECC密钥文件。如果文件被删除,设备重启后密钥将不能被恢复。

使用实例

# 配置销毁本地主机密钥对。

<HUAWEI> system-view
[HUAWEI] ecc local-key-pair destroy
Info: The name of the key which will be destroyed is HUAWEI_Host_ECC.
Warning: These keys will be destroyed. Continue? [Y/N]:Y
Info: Succeeded in destroying the ECC host keys.

ecc peer-public-key

命令功能

ecc peer-public-key命令用来创建ECC(Elliptic Curves Cryptography)公共密钥并进入ECC公共密钥视图。

undo ecc peer-public-key命令用来删除ECC公共密钥。

缺省情况下,没有创建ECC公共密钥。

命令格式

ecc peer-public-key key-name encoding-type { der | pem | openssh }

undo ecc peer-public-key key-name

参数说明

参数 参数说明 取值
key-name 指定ECC公共密钥名称。 字符串形式,区分大小写,不支持空格,长度范围是1~30。
encoding-type 指定ECC公共密钥编码格式类型。 -
der

指定ECC公共密钥编码格式是DER。

DER格式是将数据进行16进制编码。

-
openssh

指定ECC公共密钥编码格式是OpenSSH。

OpenSSH格式是将数据进行64进制编码。

OpenSSH是基于PEM修改而产生的编码格式。

-
pem

指定ECC公共密钥编码格式是PEM。

PEM格式是将数据进行64进制编码。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

采用ECC公共密钥认证时,需要在服务器端为SSH用户指定对应的客户端的公共密钥。当客户端登录服务器时,服务器端就会根据指定SSH用户对应的公共密钥对客户端进行认证。

进入ECC公共密钥视图后,再执行命令public-key-code begin,用户即可通过手动拷贝的方式将客户端产生的公共密钥拷贝到服务器端。

客户端的公共密钥是由客户端软件随机生成的。

执行命令undo ecc peer-public-key删除公共密钥时,如果当前此公共密钥已经分配给某个SSH用户,则需要先使用undo ssh user assign命令删除SSH用户与此公共密钥之间的对应关系,否则无法删除此公共密钥。

后续任务

当成功从客户端将ECC公共密钥拷贝到服务器端后,用户执行如下操作退出ECC公共密钥视图。
  1. 执行命令public-key-code end,返回到ECC公共密钥视图。
  2. 执行命令peer-public-key end,退出ECC公共密钥视图,返回到系统视图。

注意事项

ECC公共密钥最多只能创建20个。

对端公钥支持配置PKCS#1的公钥数据,不支持其他PKCS版本。

使用实例

# 创建并进入ECC公共密钥视图。

<HUAWEI> system-view
[HUAWEI] ecc peer-public-key ecc-peer-key encoding-type pem
Info: Enter "ECC public key" view, return system view with "peer-public-key end".
[HUAWEI-ecc-public-key] public-key-code begin
Info: Enter "ECC key code" view, return the last view with "public-key-code end". 
[HUAWEI-ecc-key-code] ---- BEGIN SSH2 PUBLIC KEY ----
[HUAWEI-ecc-key-code] AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACDBL5J4v3pqi5S
[HUAWEI-ecc-key-code] ALI9lvLw4cdvtpD2AC6sEJXg9GDCD5vGBnkXlKmnOy6d1TyrXx57ZPNnrSdqVkHC
[HUAWEI-ecc-key-code] sMBa63vSwg1XsVW2qZgx8H57+FJiTPY61b1Vfst9GUif1ymfpB7XrbdYZDownoh0
[HUAWEI-ecc-key-code] FZNadZtIf2CRc0OeiKXbCSPP25dfoT/DTcc=
[HUAWEI-ecc-key-code] ---- END SSH2 PUBLIC KEY ----
[HUAWEI-ecc-key-code] public-key-code end
[HUAWEI-ecc-public-key] peer-public-key end

# 删除ECC公共密钥。

<HUAWEI> system-view
[HUAWEI] undo ecc peer-public-key ecc-peer-key
Warning: The public key named ecc-peer-key will be deleted. Continue? [Y/N]:Y

free http user-id

命令功能

free http user-id命令用来手动释放Web用户。

命令格式

free http user-id user-id

参数说明

参数 参数说明 取值
user-id 需要释放的Web用户的VTY编号。可以通过命令display users来查看此编号。 整数形式,取值范围是1~256。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

目前设备只支持登录5个Web用户。当用户异常退出登录的时候,该Web用户还会保持连接直到该用户超时,从而可能导致其它用户无法登录。此时,可以通过执行free http user-id命令来手工释放用户。

注意事项

此命令只用于释放Web用户。目前设备上Web用户的user-id的取值范围在89~93,共支持5个用户同时在线。当输入此范围以外的user-id时,系统会提示“Error: The specified user does not exist or is not a HTTP user.”。

使用实例

# 释放VTY编号为89的Web用户。

<HUAWEI> system-view
[HUAWEI] free http user-id 89

http acl

命令功能

http acl命令用来配置HTTPS服务器的访问控制列表。

undo http acl命令用来删除HTTPS服务器的访问控制列表。

缺省情况下,没有为HTTPS服务器配置访问控制列表。

命令格式

对于HTTPS IPv4:

http acl acl-number

undo http acl

对于HTTPS IPv6:

http ipv6 acl acl6-number

undo http ipv6 acl

参数说明

参数 参数说明 取值
acl-number 指定HTTPS IPv4服务器的访问控制列表编号。 整数形式,取值范围是2000~3999
acl6-number 指定HTTPS IPv6服务器的访问控制列表编号。 整数形式,取值范围是2000~3999

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

出于安全性的考虑,当设备作为HTTPS服务器时,可以在设备上配置访问控制列表,来控制允许哪些客户端以HTTPS方式登录到本设备。

注意事项

  • 必须要使用命令rule配置ACL/ACL6规则后,此命令才能生效。

  • 当修改ACL/ACL6规则后,如果存在已登录并符合过滤条件的用户,HTTPS服务器不会主动将客户端下线,而是等待客户端发送下一次请求时,再按照配置的ACL/ACL6规则过滤用户。

  • 本命令是覆盖式命令,以最后一次配置为准。

使用实例

# 配置HTTPS IPv4服务器的访问控制列表编号为2000。

<HUAWEI> system-view
[HUAWEI] acl 2000
[HUAWEI-acl-basic-2000] rule 1 permit source 10.1.1.1 0
[HUAWEI-acl-basic-2000] quit
[HUAWEI] http acl 2000

# 配置HTTPS IPv6服务器的访问控制列表编号为2000。

<HUAWEI> system-view
[HUAWEI] acl ipv6 2000
[HUAWEI-acl6-basic-2000] rule 1 permit source fc00:1::1 128
[HUAWEI-acl6-basic-2000] quit
[HUAWEI] http ipv6 acl 2000

http secure-server enable

命令功能

http secure-server enable命令用来使能HTTPS服务功能。

undo http secure-server enable命令用来去使能HTTPS服务功能。

http secure-server disable命令用来去使能HTTPS服务功能。

缺省情况下,HTTPS IPv4服务功能处于使能状态,HTTPS IPv6服务功能处于去使能状态

命令格式

http [ ipv6 ] secure-server enable

undo http [ ipv6 ] secure-server enable

http [ ipv6 ] secure-server disable

参数说明

参数 参数说明 取值
ipv6

指定使能或去使能HTTPS IPv6服务功能。

当不选择此参数时,将使能或去使能HTTPS IPv4服务功能。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

HTTPS服务器加载SSL策略后,将提供以SSL为基础的HTTPS服务功能。通过在客户端和HTTPS服务器之间建立SSL连接,可以保证用户的信息不被非法窃取。

前置条件

使能HTTPS服务功能前,必须成功加载Web网页。

注意事项

  • 使能HTTPS服务功能后,用户必须经过认证后才能通过浏览器输入网址访问Web网管系统进行设备管理。

  • 使能HTTPS服务功能后,会触发SSL的握手协商过程。

  • 执行http secure-server enable命令后,默认接收来自所有接口登录连接请求,存在安全风险。建议使用http server-source命令指定HTTP服务器端的源接口。

使用实例

# 使能HTTPS IPv4服务功能。

<HUAWEI> system-view
[HUAWEI] http secure-server enable
# 使能HTTPS IPv6服务功能。
<HUAWEI> system-view
[HUAWEI] http ipv6 secure-server enable

http secure-server port

命令功能

http secure-server port命令用来配置HTTPS服务器的端口号。

undo http secure-server port命令用来恢复HTTPS服务器的端口号为缺省值。

缺省情况下,HTTPS服务器的端口号是443。

命令格式

http [ ipv6 ] secure-server port port-number

undo http [ ipv6 ] secure-server port

参数说明

参数 参数说明 取值
ipv6 指定HTTPS IPv6服务器的端口号。

如果不指定此参数,将配置HTTPS IPv4服务器的端口号。

-
port-number 指定HTTPS服务器的端口号。 整数形式,取值范围是443、1025~55535。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

缺省情况下,HTTPS服务器的端口号是443,此时用户通过Web功能访问和控制设备可以不指定端口号。但如果使用缺省的端口号,可能会有攻击者不断访问此端口,导致带宽和服务器的安全性能下降,造成其他正常用户无法访问。可以执行本命令重新配置HTTPS服务器的端口号,使得攻击者不知道HTTPS服务器端口号的更改,从而有效防止了攻击者对HTTPS服务器标准端口的访问。

注意事项

本命令是覆盖式命令,以最后一次配置为准。

使用实例

# 配置HTTPS IPv4服务器的端口号是8080。

<HUAWEI> system-view
[HUAWEI] http secure-server port 8080
# 配置HTTPS IPv6服务器的端口号是8080。
<HUAWEI> system-view
[HUAWEI] http ipv6 secure-server port 8080

http secure-server ssl-policy

命令功能

http secure-server ssl-policy命令用来为HTTP服务器配置SSL策略。

undo http secure-server ssl-policy命令用来恢复HTTP服务器的SSL策略为缺省策略。

缺省情况下,HTTP服务器已配置默认的SSL策略。

命令格式

http secure-server ssl-policy policy-name

undo http secure-server ssl-policy

参数说明

参数 参数说明 取值
policy-name 指定SSL策略名称。

字符串形式,不支持空格,支持“_”、字母和数字,不区分大小写,长度范围是1~23。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

传统的HTTP不具备安全机制,采用明文的形式传输数据,不能验证通信双方的身份,无法防止传输的数据被篡改等,导致HTTP无法满足电子商务和网上银行等应用的安全性要求。可执行本命令,在设备上部署SSL策略,HTTP通过SSL提供的数据加密、身份验证和消息完整性验证等安全机制,为Web访问提供了安全性保证。

前置条件

执行本命令之前,必须先执行命令ssl policy,为HTTP服务器创建SSL策略。

注意事项

  • 缺省情况下,设备提供默认的SSL策略(Default),当加载Web网页文件后,会自动加载默认的SSL策略,而无需手动配置。但为了设备的安全性,可以重新加载新的数字证书以及手动配置SSL策略。

  • HTTP服务器只能配置一个SSL策略,以最后一次配置的SSL策略为准。

使用实例

# 在HTTP服务器配置SSL策略。

<HUAWEI> system-view
[HUAWEI] http secure-server ssl-policy http_server

http server enable

命令功能

http server enable命令用来使能HTTP服务功能。

undo http server enable命令用来去使能HTTP服务功能。

http server disable命令用来去使能HTTP服务功能。

缺省情况下,HTTP IPv4服务功能处于使能状态,HTTP IPv6服务功能处于去使能状态

命令格式

http [ ipv6 ] server enable

undo http [ ipv6 ] server enable

http [ ipv6 ] server disable

参数说明

参数 参数说明 取值
ipv6

指定使能或去使能HTTP IPv6服务功能。

当不选择此参数时,将使能或去使能HTTP IPv4服务功能。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

执行本命令使能HTTP服务功能后,可以通过浏览器输入设备的IP地址访问Web网管系统管理设备。

如果加载的Web网页不存在,HTTP服务功能将无法使能。

前置条件

在使能此命令前,必须先执行命令http secure-server enable使能HTTPS服务功能。

注意事项

执行http server enable命令后,默认接收来自所有接口登录连接请求,存在安全风险。建议使用http server-source命令指定HTTP服务器端的源接口。

使用实例

# 使能HTTP IPv4服务功能。

<HUAWEI> system-view
[HUAWEI] http secure-server enable
[HUAWEI] http server enable
Warning: HTTP is not a secure protocol, and it is recommended to use HTTPS.     
Info: Succeeded in starting the HTTP server.
# 使能HTTP IPv6服务功能。
<HUAWEI> system-view
[HUAWEI] http ipv6 secure-server enable
[HUAWEI] http ipv6 server enable
Warning: HTTP is not a secure protocol, and it is recommended to use HTTPS.
Info: Succeeded in starting the HTTP IPv6 server.

http server load

命令功能

http server load命令用来加载指定的Web网页文件。

undo http server load命令用来取消加载指定的网页文件。

缺省情况下,设备已加载系统软件中的Web网页文件。

命令格式

http server load { file-name | default }

undo http server load

参数说明

参数 参数说明 取值
file-name

指定加载的网页文件名。

Web网页文件必须保存在存储器根目录下。

字符串形式,必须是“*.web.7z”格式,不支持空格,长度范围是4~64。
default

指定加载当前系统软件中的网页文件。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

用户希望在图形界面下直观地管理和维护设备时,可以通过配置Web网管功能实现。用户使用Web网管功能时,如果需要更新Web网页文件,可以执行该命令加载Web网页文件。

前置条件

使用http server load命令加载Web网页文件时,需要确保网页文件已保存至设备存储器根目录下,否则无法加载。

注意事项

  • 当设备从V200R006及之前版本升级到V200R007及之后版本时,如果升级的目标软件版本与设备下次启动使用的配置文件版本不一致,设备升级后,会将老版本中关于加载Web网页文件的配置取消,默认加载新版本系统软件中集成的Web网页文件。

  • Web网页文件中包含SSL证书,用于HTTP方式登录时进行SSL验证,确保用户信息的安全(当前HTTP登录会跳转至HTTPS登录,登录成功后跳转回HTTP)。此证书也可以用于HTTPS方式的登录,同时确保用户信息及交互数据的安全。另外,用户可以重新加载新的数字证书。

  • 设备重启时,如果重启前加载的Web网页文件不存在,HTTP服务功能将不能使能。

  • 如果要取消当前加载的文件,必须先加载另外一个文件,否则无法被取消。

使用实例

# 加载文件名为web_1.web.7z的Web网页文件。

<HUAWEI> system-view
[HUAWEI] http server load web_1.web.7z

http server port

命令功能

http server port命令用来配置HTTP服务器的端口号。

undo http server port命令用来恢复HTTP服务器的端口号为缺省值。

缺省情况下,HTTP服务器的端口号是80。

命令格式

http [ ipv6 ] server port port-number

undo http [ ipv6 ] server port

参数说明

参数 参数说明 取值
ipv6 指定HTTP IPv6服务器的端口号。

如果不指定此参数,将配置HTTP IPv4服务器的端口号。

-
port-number 指定HTTP服务器的端口号。 整数形式,取值范围是80或1025~55535。缺省值是80

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

缺省情况下,HTTP服务器的端口号是80,此时用户通过Web功能访问和控制设备可以不指定端口号。但如果使用缺省的端口号,可能会有攻击者不断访问此端口,导致带宽和服务器的安全性能下降,造成其他正常用户无法访问。可以执行本命令重新配置HTTP服务器的端口号,使得攻击者不知道HTTP服务器端口号的更改,从而有效防止了攻击者对HTTP服务器标准端口的访问。

注意事项

本命令是覆盖式命令,以最后一次配置为准。

使用实例

# 配置HTTP IPv4服务器的端口号为1025。

<HUAWEI> system-view
[HUAWEI] http server port 1025

# 配置HTTP IPv6服务器的端口号为1500。

<HUAWEI> system-view
[HUAWEI] http ipv6 server port 1500

http server-source

命令功能

http server-source命令用来指定HTTP服务器端的源接口。

undo http server-source命令用来取消HTTP服务器端的源接口。

缺省情况下,未指定HTTP服务器端的源接口。

命令格式

http server-source -i loopback interface-number

undo http server-source

参数说明

参数 参数说明 取值
-i loopback interface-number

指定HTTP服务器端的LoopBack接口为源接口。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

缺省情况下,HTTP服务器端接收来自所有接口登录连接请求,系统安全性比较低。为了提高系统安全性,可以通过本命令指定HTTP服务器端的源接口,增加登录受限功能,仅授权客户可以登录服务器。

前置条件

执行本命令前,必须已经成功创建LoopBack接口,否则会导致本命令无法成功执行。

配置影响

成功指定HTTP服务器端的源接口后,只允许用户通过指定的源接口下的地址登录设备,其它地址的访问将会被拒绝。

执行该命令后,已经登录到服务器的HTTP IPv4用户会被强制下线,需要重新登录。

注意事项

通过本命令指定HTTP服务器源接口后,为保证授权的HTTP用户成功登录HTTP服务器,务必保证HTTP用户到指定源接口三层互通。

使用实例

# 指定HTTP服务器端的源接口是loopback 0。

<HUAWEI> system-view
[HUAWEI] interface loopback 0
[HUAWEI-LoopBack0] quit
[HUAWEI] http server-source -i loopback 0

http timeout

命令功能

http timeout命令用来配置Web服务器的超时时间。

undo http timeout命令用来恢复Web服务器的超时时间到缺省值。

缺省情况下,HTTP服务器的超时时间为20分钟。

命令格式

http timeout timeout

undo http timeout

参数说明

参数 参数说明 取值
timeout 指定在线用户的Web服务器超时时间。 整数形式,取值范围是1~60,单位是分钟。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果Web用户长时间登录设备但不操作,将占用Web通道资源(目前只支持登录5个Web用户),致使其他用户无法登录到设备,设置适当的超时时间,可以及时释放Web通道资源。如果需要较长时间占用Web通道,则可将超时时间设置到最大值。

注意事项

  • 执行本命令后,所有登录系统的Web用户的超时时间都相同。如果用户超时,用户将自动下线,Web服务器不会主动通知用户,而是等待用户发送下一次请求时再通知用户。

  • 本命令是覆盖式命令,以最后一次配置为准。

使用实例

# 配置Web服务器的超时时间为6分钟。

<HUAWEI> system-view
[HUAWEI] http timeout 6

lock

命令功能

lock命令用来锁住当前用户界面,防止未授权的用户操作该终端界面。

缺省情况下,系统不会自动锁住当前用户界面。

命令格式

lock

参数说明

视图

用户视图

缺省级别

0:参观级

使用指南

应用场景

为了防止别的用户操作设备,可以使用该命令锁住当前用户界面。用户界面包括Console口和VTY虚拟终端用户界面。

用户输入命令lock后,系统提示输入两次屏保密码,如果两次输入的密码相同,则锁定当前用户界面成功。

注意事项

  • 用户输入的密码必须符合以下要求:
    • 输入的密码为字符串形式,区分大小写,长度范围是8~16

    • 输入的密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。

      特殊字符不包括“?”和空格。

  • 采用交互方式输入的密码不会在终端屏幕上显示出来。

  • 用户执行本命令锁住当前用户界面设置密码时,可键入CTRL_C取消操作。

  • 系统锁定后,如果想再次进入系统,必须先按“Enter”键,此时提示输入登录密码,用户输入正确的登录密码才可以解除锁定进入系统。

使用实例

# 用户从Console口登录,锁住当前用户界面。

<HUAWEI> lock
Please configure the login password (8-16)
Enter Password:
Confirm Password:
Info: The terminal is locked.

# 用户想再进入系统,在界面上按“Enter”键后出现如下提示信息:

Enter Password:

# 输入正确的密码后,回到用户视图。

<HUAWEI>

matched upper-view

命令功能

matched upper-view命令用来允许undo命令自动到上一级视图进行匹配,并回退到上一级视图。

undo matched upper-view命令用来禁止undo命令自动到上一级视图进行匹配。

缺省情况下,不允许undo命令自动到上一级视图进行匹配。

命令格式

matched upper-view

undo matched upper-view

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

如果允许undo命令自动到上一级视图进行匹配,当用户在某个视图下执行非本视图注册的undo命令时,系统将自动在上一级视图搜索该undo命令,如果搜索成功,则执行上一级视图中的undo命令;当上级视图也没有该undo命令后,会向更上一级视图进行匹配;匹配一直进行到系统视图,不再向上匹配。

执行此命令会造成一定的安全隐患,例如,当用户在接口视图下执行undo ftp server命令时,由于这条命令不是在接口视图下注册的,系统会自动到上一级视图,即系统视图下搜索,从而关闭FTP功能。

matched upper-view命令只对执行此命令的当前登录用户有效。

使用实例

# 允许undo命令到上一级视图匹配。

<HUAWEI> system-view
[HUAWEI] matched upper-view
[HUAWEI] interface gigabitethernet1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo ftp server
Info: Succeeded in closing the FTP server.

# 不允许undo命令到上一级视图匹配。

<HUAWEI> system-view
[HUAWEI] undo matched upper-view
[HUAWEI] interface gigabitethernet1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo ftp server 
                                   ^
Error: Unrecognized command found at '^' position.
相关主题

peer-public-key end

命令功能

peer-public-key end命令用来从公共密钥视图退回到系统视图,同时保存用户配置的公共密钥。

命令格式

peer-public-key end

参数说明

视图

公共密钥视图

缺省级别

3:管理级

使用指南

应用场景

如果要保证在连接时本地对远端的有效性检查能够通过,需要将远端产生的公钥直接保存至本地。编辑公共密钥后,使用该命令退出公共密钥视图到系统视图。

前置条件

执行该命令前,请先执行rsa peer-public-key命令进入RSA公共密钥视图、dsa peer-public-key命令进入DSA公共密钥视图、或执行ecc peer-public-key命令进入ECC公共密钥视图。

使用实例

# 从公共密钥视图退回到系统视图。

<HUAWEI> system-view
[HUAWEI] dsa peer-public-key dsakey001 encoding-type der
[HUAWEI-dsa-public-key] public-key-code begin
[HUAWEI-dsa-key-code] 308188
[HUAWEI-dsa-key-code] 028180
[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[HUAWEI-dsa-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[HUAWEI-dsa-key-code] 171896FB 1FFC38CD
[HUAWEI-dsa-key-code] 0203
[HUAWEI-dsa-key-code] 010001
[HUAWEI-dsa-key-code] public-key-code end
[HUAWEI-dsa-public-key] peer-public-key end
[HUAWEI]

public-key-code begin

命令功能

public-key-code begin命令用来进入公共密钥编辑视图。

命令格式

public-key-code begin

参数说明

视图

公共密钥视图

缺省级别

3:管理级

使用指南

应用场景

如果要保证在连接时本地对远端的有效性检查能够通过,需要将远端产生的公钥直接保存至本地。输入public-key-code begin命令后,进入公共密钥编辑视图,在该视图下可以开始输入密钥数据。在输入密钥数据时,字符之间可以有空格,也可以按回车键继续输入数据。

前置条件

使用该命令前,必须使用命令rsa peer-public-keydsa peer-public-key、或ecc peer-public-key指定一个密钥名称。

注意事项

使用实例

# 进入RSA公共密钥编辑视图,输入密钥。

<HUAWEI> system-view
[HUAWEI] dsa peer-public-key dsakey001 encoding-type der
[HUAWEI-dsa-public-key] public-key-code begin
[HUAWEI-dsa-key-code] 308188
[HUAWEI-dsa-key-code] 028180
[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[HUAWEI-dsa-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[HUAWEI-dsa-key-code] 171896FB 1FFC38CD
[HUAWEI-dsa-key-code] 0203
[HUAWEI-dsa-key-code] 010001
[HUAWEI-dsa-key-code] public-key-code end
[HUAWEI-dsa-public-key] peer-public-key end
[HUAWEI]

public-key-code end

命令功能

public-key-code end命令可以用来从公共密钥编辑视图退回到公共密钥视图,并且保存用户配置的公共密钥。

命令格式

public-key-code end

参数说明

视图

公共密钥编辑视图

缺省级别

3:管理级

使用指南

应用场景

当执行此命令后,结束公钥编码的编辑过程,在保存之前要进行密钥合法性的检测。
  • 如果用户配置的公钥字符串中存在非法字符或不符合编码规则,那么将会显示相关提示信息,且用户配置的密钥将被丢弃,本次配置失败。
  • 如果配置的密钥合法,将会保存到客户公钥链表中。

前置条件

执行该命令前,请先执行public-key-code begin命令进入公共密钥编辑视图。

注意事项

  • 正常的情况下,在公共密钥视图下,只能通过命令public-key-code end退出公共密钥编辑视图,不能使用quit
  • 如果未输入合法的密钥编码,执行命令public-key-code end后,无法生成密钥,此时系统也会提示:密钥生成失败。
  • 如果此密钥已经在别的视图下被删除,再执行命令public-key-code end时,系统会提示:密钥已经不存在,此时直接退到系统视图。

使用实例

# 退出DSA公共密钥编辑视图,并保留DSA密钥配置。

<HUAWEI> system-view
[HUAWEI] dsa peer-public-key dsakey001 encoding-type der
[HUAWEI-dsa-public-key] public-key-code begin
[HUAWEI-dsa-key-code] 308188
[HUAWEI-dsa-key-code] 028180
[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[HUAWEI-dsa-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[HUAWEI-dsa-key-code] 171896FB 1FFC38CD
[HUAWEI-dsa-key-code] 0203
[HUAWEI-dsa-key-code] 010001
[HUAWEI-dsa-key-code] public-key-code end
[HUAWEI-dsa-public-key] peer-public-key end
[HUAWEI]

rsa local-key-pair create

命令功能

rsa local-key-pair create命令用来生成本地RSA主机密钥对和服务器密钥对。

缺省情况下,没有配置本地RSA主机密钥对和服务器密钥对。

命令格式

rsa local-key-pair create

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果要实现在服务器端和客户端之间进行安全地数据交互,则需要使用该命令生成本地密钥对。

注意事项

如果RSA密钥已经存在,则系统将提示用户确认是否替换原有密钥。产生的密钥对命名方式为“设备名称_Server”和“设备名称_Host”,如:HUAWEI_Host、HUAWEI_Server。

执行此命令后,会提示您输入主机密钥的位数。服务器密钥对的位数与主机密钥对的位数至少相差128位。服务器密钥对和主机密钥对允许配置的长度为2048~4096位。

执行此命令后,生成的密钥对将保存在设备中,设备重启后不会丢失。

为了设备安全性更高,建议用户使用长度为4096位的密钥对。

该命令不在配置文件中保存。

使用实例

# 配置生成本地主机密钥对和服务器密钥对。

<HUAWEI> system-view
[HUAWEI] rsa local-key-pair create
The key name will be: HUAWEI_Host
The range of public key size is (2048 ~ 4096).
NOTES: If the key modulus is greater than 512,
       it will take a few minutes.
Input the bits in the modulus[default = 2048]:
Generating keys...
......................++++++++
........................................................++++++++
........+++++++++
.....+++++++++

rsa local-key-pair destroy

命令功能

rsa local-key-pair destroy命令用来销毁本地所有的RSA密钥,包括主机密钥对和服务器密钥对。

命令格式

rsa local-key-pair destroy

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当需要删除本地密钥对时,使用rsa local-key-pair destroy命令。如果删除了SSH服务器的主机密钥对和服务密钥对,必须使用rsa local-key-pair create命令重新生成SSH服务器的主机密钥对和服务密钥对。

输入该命令后,需要确认是否销毁本地所有的RSA密钥。由于此命令为一次性操作指令,因此不会被保存在配置文件中。

前置条件

执行此命令前,需要本地存在可被删除的RSA密钥。

使用实例

# 销毁服务器端所有的密钥。

<HUAWEI> system-view
[HUAWEI] rsa local-key-pair destroy
% The name for the keys which will be destroyed is HUAWEI_Host.                                                             
% Confirm to destroy these keys? [y/n]:y  
Destroying keys.............Succeeded.

rsa peer-public-key

命令功能

rsa peer-public-key命令用来配置RSA公共密钥编码格式,并进入RSA公共密钥视图

undo rsa peer-public-key命令用来删除RSA公共密钥。

缺省情况下,RSA公共密钥编码格式是DER。

命令格式

rsa peer-public-key key-name [ encoding-type { der | openssh | pem } ]

undo rsa peer-public-key key-name

参数说明

参数

参数说明

取值

key-name 指定RSA公共密钥名称。 字符串形式,不区分大小写,不支持空格,长度范围是1~30。
说明:

当输入的字符串两端使用双引号时,可在字符串中输入空格。

encoding-type 指定RSA公共密钥编码格式类型。 -
der

指定RSA公共密钥编码格式是DER。

DER格式是将数据进行16进制编码。

-
openssh

指定RSA公共密钥编码格式是OpenSSH。

OpenSSH格式是将数据进行64进制编码。

OpenSSH是基于PEM修改而产生的编码格式。

-
pem

指定RSA公共密钥编码格式是PEM。

PEM格式是将数据进行64进制编码。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

采用RSA公共密钥认证时,需要在服务器端为SSH用户指定对应的客户端的公共密钥。当客户端登录服务器时,服务器端就会根据指定SSH用户对应的公共密钥对客户端进行认证。或者在客户端首次登录服务器时,可以将服务器端产生的公钥直接保存至客户端,保证在首次连接时服务器有效性检查能够通过。

目前,华为公司的数据通信设备RSA密钥支持DER、OpenSSH和PEM编码格式。如果用户使用的是其他编码格式的密钥,需要通过第三方工具将其他格式的密钥转换为DER、OpenSSH或PEM格式。

而第三方工具非华为公司工具,不随系统软件发布,用户缺乏获取途径和操作指导,导致用户使用不便。为了提高RSA的易用性,RSA密钥需要同时支持DER、PEM和OpenSSH编码格式。

用户常用SecureCRT、PuTTY、OpenSSH和OpenSSL第三方软件连接设备,通过第三方软件产生的密钥编码格式如下:
  • PEM编码格式的密钥可通过SecureCRT、PuTTY产生。
  • OpenSSH编码格式的密钥可通过OpenSSH产生。
  • DER编码格式的密钥可通过OpenSSL产生。

OpenSSL是一个开源软件,用户可到http://www.openssl.org/上获取相关文档。

通过本命令指定RSA密钥编码格式后,华为公司的数据通信设备会自动生成相应编码格式的密钥,同时进入RSA公共密钥视图,再执行命令public-key-code begin后,用户即可通过手动拷贝的方式将对端设备产生的公共密钥拷贝到本端设备。

前置条件

用户需要预先获取并记录远端十六进制形式的公钥。

后续任务

当成功从对端设备将RSA公共密钥拷贝到本端设备后,用户可执行如下操作退出RSA公共密钥视图。
  1. 执行命令public-key-code end,返回到RSA公共密钥视图。
  2. 执行命令peer-public-key end,退出RSA公共密钥视图,返回到系统视图。

注意事项

执行命令undo rsa peer-public-key删除公共密钥时,如果当前此公共密钥已经分配给某个SSH用户,则需要先使用undo ssh user user-name assign { rsa-key | dsa-key | ecc-key }命令删除SSH用户与此公共密钥之间的对应关系,否则无法删除此公共密钥。

对端公钥支持配置PKCS#1的公钥数据,不支持其他PKCS版本。

使用实例

# 进入RSA公共密钥视图。
<HUAWEI> system-view
[HUAWEI] rsa peer-public-key rsakey001
[HUAWEI-rsa-public-key]
# 配置RSA公共密钥编码格式,并进入RSA公共密钥视图。
<HUAWEI> system-view
[HUAWEI] rsa peer-public-key RsaKey001 encoding-type openssh
[HUAWEI-rsa-public-key]

run

命令功能

run命令用来在系统视图下执行用户视图命令。

缺省情况下,系统视图下不允许执行用户视图命令。

命令格式

run command-line

参数说明

参数 参数说明 取值
command-line

指定需要执行的命令行。

-

视图

除用户视图之外的其他视图

缺省级别

1:监控级

使用指南

应用场景

对于某些命令只能在用户视图下执行,当用户需要执行该类命令时,必须退出到用户视图才能成功执行。为了便于用户执行用户视图命令,通过run命令,用户在不用切换视图的情况下,可实现在其他视图下执行用户视图命令。

注意事项

  • 执行run命令时,指定的命令行格式必须支持在用户视图下执行。
  • 执行run命令时,当前不支持联想帮助功能。
  • 执行display history-command命令查看终端上保存的历史命令,历史命令中只记录用户实际输入的命令。命令格式是run command-line
  • 查看SHELL/5/CMDRECORD日志信息时,日志中只记录实际执行的命令。命令格式是run command-line

使用实例

# 在系统视图下查看设备上.cfg文件。

<HUAWEI> system-view
[HUAWEI] run dir *.cfg
Directory of flash:/
  Idx  Attr     Size(Byte)  Date        Time       FileName
    0  -rw-         11,970  Mar 14 2012 19:11:22   31.cfg
    1  -rw-         12,033  Apr 22 2012 17:10:30   31_new.cfg
509,256 KB total (118,784 KB free)

send

命令功能

send命令用来向用户界面发送消息。

命令格式

send { all | ui-number | ui-type ui-number1 }

参数说明

参数 参数说明 取值
all 向所有用户界面发送消息。 -
ui-number 用户界面绝对编号。 最小值为0,最大值比系统支持的用户界面总数小1。
ui-type 用户界面的类型名。 -
ui-number1 用户界面的相对编号。 -

视图

用户视图

缺省级别

1:监控级

使用指南

执行send命令后,系统提示输入要发送的消息的具体内容。确认发送后,从指定用户界面登录的用户就会收到该条消息。

使用实例

# 向用户界面VTY 0发送消息。

<HUAWEI> send vty 0
Enter message, end with CTRL+Z or Enter; abort with CTRL+C:
Hello, good morning!
Warning: Send the message? [Y/N]: y

# 确认要发送后,通过VTY 0登录到HUAWEI的用户就会收到这条信息。

<HUAWEI>
Info: Receive a message from VTY2:Hello, good morning!

ssh authentication-type default password

命令功能

ssh authentication-type default password命令用来配置SSH用户缺省采用密码认证。

undo ssh authentication-type default password命令用来取消SSH用户缺省采用密码认证。

缺省情况下,SSH用户的缺省认证方式为密码认证。

命令格式

ssh authentication-type default password

undo ssh authentication-type default password

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在用户数量比较多时,对SSH用户使用缺省密码认证方式简化配置。

当AAA使用TACACS服务器认证且用户使用SSH接入时,网络管理员需要在服务器上指定SSH用户用于认证。但在很多情况下,SSH服务器很难获知TACACS服务器上的用户信息。在没有TACACS服务器用户信息的情况下,将认证方式设定为password方式,这样用户就可以直接登录到设备,而不必在设备上进行SSH用户相关的配置。

注意事项

若要配置对指定SSH用户进行password认证,还可以执行命令ssh user user-name authentication-type password进行配置。

使用实例

# 为用户配置缺省的SSH认证类型为密码认证。

<HUAWEI> system-view
[HUAWEI] ssh authentication-type default password

ssh authorization-type default aaa

命令功能

ssh authorization-type default aaa命令用来配置SSH公钥认证用户的AAA授权功能。

undo ssh authorization-type default aaa命令用来取消SSH公钥认证用户的AAA授权功能。

缺省情况下,没有配置SSH公钥认证用户的AAA授权功能。

命令格式

ssh authorization-type default aaa

undo ssh authorization-type default aaa

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

SSH公钥认证用户是指使用ECC(Elliptic Curves Cryptography)、RSA(Revest-Shamir-Adleman Algorithm)或DSA(Digital Signature Algorithm)验证方式的SSH用户。

如果没有配置SSH公钥认证用户的AAA授权功能,则SSH公钥认证用户使用登录VTY通道的级别。配置SSH公钥认证用户的AAA授权功能后,如果授权成功则SSH公钥认证用户使用AAA返回的级别,如果授权失败则仍然使用登录VTY通道的级别。

注意事项
SSH公钥认证用户AAA授权成功的条件:
  • AAA管理用户默认域需要配置本地授权方案。
  • 存在本地用户且配置SSH接入类型。

使用实例

# 配置SSH公钥认证用户的AAA授权功能。

<HUAWEI> system-view
[HUAWEI] ssh authorization-type default aaa

ssh client assign

命令功能

ssh client assign命令用来在SSH客户端上指定要连接的SSH服务器端的主机公钥名称。

undo ssh client assign命令用来取消在客户端上指定要连接的服务器端的主机公钥。

缺省情况下,客户端不指定要连接的服务器端的主机公钥名称。

命令格式

ssh client servername assign { rsa-key | dsa-key | ecc-key } keyname

undo ssh client servername assign { rsa-key | dsa-key | ecc-key }

参数说明

参数 参数说明 取值
servername 指定SSH服务器的主机名或IP地址。 字符串形式,不支持空格,长度范围是1~255
rsa-key 指定RSA公钥。 -
dsa-key 指定DSA公钥。 -
ecc-key 指定ECC公钥。 -
keyname 指定SSH客户端已经配置好的SSH服务器的公钥名。 字符串形式,不区分大小写,不支持空格,长度范围是1~30

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果SSH客户端是第一次连接SSH服务器且SSH客户端没有使用命令ssh client first-time enable使能首次认证,SSH客户端将拒绝访问未经认证的SSH服务器。此时,需要在SSH客户端指定要连接的SSH服务器端的主机公钥名称,并指定该公钥与SSH服务器端的对应关系,以便在SSH客户端对连接的服务器端进行认证时,判断服务器是否为可信赖的服务器,能够根据该对应关系使用正确的公钥对服务器端进行认证。

注意事项

用来给SSH服务器分配的RSA、DSA或ECC公钥名必须是SSH客户端已经配置好的SSH服务器的RSA、DSA或ECC公钥。这个RSA、DSA或ECC公钥,应该是根据SSH服务器通过rsa peer-public-keydsa peer-public-key、或ecc peer-public-key命令配置的本地RSA、DSA或ECC公钥,否则SSH客户端将对SSH服务器的RSA、DSA或ECC公钥验证失败。

为了保证更好的安全性,建议不要指定公钥算法为RSA或DSA算法。

使用实例

# 为SSH服务器分配DSA公钥。
<HUAWEI> system-view
[HUAWEI] ssh client 10.164.39.120 assign dsa-key sshdsakey01
# 删除SSH服务器DSA公钥。
<HUAWEI> system-view
[HUAWEI] undo ssh client 10.164.39.120 assign dsa-key

ssh client cipher

命令功能

ssh client cipher命令用来配置SSH客户端的加密算法列表。

undo ssh client cipher命令用来将SSH客户端的加密算法列表恢复为缺省值。

缺省情况下,SSH客户端支持的加密算法为3DES_CBC、AES128_CBC、AES256_CBC、AES128_CTR和AES256_CTR加密算法。

命令格式

ssh client cipher { des_cbc | 3des_cbc | aes128_cbc | aes256_cbc | aes128_ctr | aes256_ctr } *

undo ssh client cipher

参数说明

参数

参数说明

取值

des_cbc 指定CBC模式的DES加密算法。 -
3des_cbc 指定CBC模式的3DES加密算法。 -
aes128_cbc 指定CBC模式的AES128加密算法。 -
aes256_cbc 指定CBC模式的AES256加密算法。 -
aes128_ctr 指定CTR模式的AES128加密算法。 -
aes256_ctr 指定CTR模式的AES256加密算法。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在客户端与服务器协商的过程中,客户端与服务器会对两者之间报文传输的加密算法进行协商,通过ssh client cipher命令可以配置SSH客户端的加密算法列表。服务器端根据客户端发过来的加密算法列表与自身的加密算法列表进行对比,选择客户端与自己相匹配的第一个加密算法作为报文传输的加密算法,如果客户端的加密算法列表与服务器端的加密算法列表没有相匹配的算法,则协商失败。

注意事项

加密算法的安全级别由高到低的顺序为:aes256_ctraes128_ctraes256_cbcaes128_cbc3des_cbcdes_cbc

aes256_cbcaes128_cbc3des_cbcdes_cbc为弱安全的加密算法,建议不配置到加密算法列表中。

使用实例

# 配置SSH客户端的加密算法为CTR加密算法。

<HUAWEI> system-view
[HUAWEI] ssh client cipher aes128_ctr aes256_ctr
相关主题

ssh client first-time enable

命令功能

ssh client first-time enable命令用来使能SSH客户端首次认证。

undo ssh client first-time enable命令用来关闭SSH客户端首次认证。

缺省情况,SSH客户端首次认证功能是关闭的。

命令格式

ssh client first-time enable

undo ssh client first-time enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当SSH客户端首次访问SSH服务器,而SSH客户端没有配置SSH服务器端的公钥时,用户可以选择使能SSH客户端首次认证继续访问该SSH服务器,并在SSH客户端保存该主机公钥;当SSH客户端下次访问该SSH服务器时,就以保存的主机公钥来认证该SSH服务器。

注意事项

除了使能SSH客户端首次认证功能之外,如果SSH客户端想第一次就能成功登录SSH服务器,还可以执行命令ssh client assign通过事先在客户端为SSH服务器分配公钥来实现,此时通过STelnet或SFTP方式连接服务器时,需要指定服务器认证的公钥认证算法为相应的密钥算法。

使用实例

# 使能SSH客户端首次认证功能。

<HUAWEI> system-view
[HUAWEI] ssh client first-time enable
相关主题

ssh client hmac

命令功能

ssh client hmac用来配置SSH客户端上的校验算法列表。

undo ssh client hmac命令用来将SSH客户端上的校验算法列表恢复为缺省值。

缺省情况下,SSH客户端支持所有的校验算法。

命令格式

ssh client hmac { md5 | md5_96 | sha1 | sha1_96 | sha2_256 | sha2_256_96 } *

undo ssh client hmac

参数说明

参数

参数说明

取值

md5 指定MD5校验算法。 -
md5_96 指定MD5_96校验算法。 -
sha1 指定SHA1校验算法。 -
sha1_96 指定SHA1_96校验算法。 -
sha2_256 指定SHA2_256校验算法。 -
sha2_256_96 指定SHA2_256_96校验算法。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在客户端与服务器协商的过程中,客户端与服务器会对两者之间报文传输的校验算法进行协商,通过ssh client hmac命令可以配置SSH客户端的校验算法列表。服务器端根据客户端发过来的校验算法列表与自身的校验算法列表进行对比,选择客户端与自己相匹配的第一个校验算法作为报文传输的校验算法,如果客户端的校验算法列表与服务器端的校验算法列表没有相匹配的算法,则协商失败。

注意事项

校验算法的安全级别由高到低的顺序为:sha2_256sha2_256_96sha1sha1_96md5md5_96

sha2_256_96sha1sha1_96md5md5_96为弱安全的校验算法,建议不要配置到校验算法列表中。

使用实例

# 配置SSH客户端的校验算法为SHA2_256

<HUAWEI> system-view
[HUAWEI] ssh client hmac sha2_256
相关主题

ssh client key-exchange

命令功能

ssh client key-exchange命令用来配置SSH客户端上的密钥交换算法列表。

undo ssh client key-exchange命令用来恢复为缺省情况。

缺省情况下,SSH客户端支持Diffie-hellman-group-exchange-sha1和Diffie-hellman-group14-sha1密钥交换算法。

命令格式

ssh client key-exchange { dh_group_exchange_sha1 | dh_group14_sha1 | dh_group1_sha1 } *

undo ssh client key-exchange

参数说明

参数 参数说明 取值
dh_group_exchange_sha1 指定将Diffie-hellman-group-exchange-sha1密钥交换算法配置到SSH客户端的密钥交换算法列表中。 -
dh_group14_sha1 指定将Diffie-hellman-group14-sha1密钥交换算法配置到SSH客户端的密钥交换算法列表中。 -
dh_group1_sha1 指定将Diffie-hellman-group1-sha1密钥交换算法配置到SSH客户端的密钥交换算法列表中。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在客户端与服务器协商的过程中,会对两者之间报文传输的密钥交换算法进行协商,通过ssh client key-exchange命令可以配置SSH客户端的密钥交换算法列表。服务器端根据客户端发过来的密钥交换算法列表与自身的密钥交换算法列表进行对比,选择客户端与自己相匹配的第一个密钥交换算法作为报文传输的密钥交换算法,如果客户端的密钥交换算法列表与服务器端的密钥交换算法列表没有相匹配的算法,则协商失败。

注意事项

密钥交换算法的安全级别由高到低顺序为:dh_group_exchange_sha1dh_group14_sha1dh_group1_sha1。推荐使用dh_group_exchange_sha1算法。

使用实例

# 配置SSH客户端的密钥交换算法协商列表为dh_group_exchange_sha1dh_group14_sha1

<HUAWEI> system-view
[HUAWEI] ssh client key-exchange dh_group_exchange_sha1 dh_group14_sha1

ssh server acl

命令功能

ssh server acl命令用来配置用于SSH服务器的访问控制列表,以便控制SSH客户端的访问权限。

undo ssh server acl命令用来取消SSH服务器的访问控制列表。

缺省情况下,设备没有配置访问控制列表。

命令格式

ssh [ ipv6 ] server acl acl-number

undo ssh [ ipv6 ] server acl

参数说明

参数 参数说明 取值
acl-number 指定访问控制列表编号。 整数形式,取值范围是2000~3999。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果将设备作为下列服务器,可以通过配置访问控制列表,来进行下列访问控制:
  • STelnet服务器:可控制哪些客户端能以STelnet方式登录到本设备。
  • SFTP服务器:可控制哪些客户端能以SFTP方式登录到本设备。
  • SCP服务器:可控制哪些客户端能以SCP方式登录到本设备。

前置条件

执行本命令前,需要先执行acl(系统视图)命令和rule(基本ACL视图)rule(高级ACL视图)命令成功配置访问控制列表。

注意事项

可使用基本访问控制列表限制源地址,使用高级访问控制列表同时限制源地址和目的地址。

使用实例

# 在SSH服务器端配置编号为2000的访问控制列表。

<HUAWEI> system-view
[HUAWEI] acl 2000
[HUAWEI-acl-basic-2000] rule permit source 10.10.10.10 0
[HUAWEI-acl-basic-2000] quit
[HUAWEI] ssh server acl 2000

ssh server authentication-retries

命令功能

ssh server authentication-retries命令用来设置SSH连接验证重试次数。

undo ssh server authentication-retries命令用来恢复SSH连接验证重试次数到缺省值。

缺省情况下,SSH连接的验证重试次数是3。

命令格式

ssh server authentication-retries times

undo ssh server authentication-retries

参数说明

参数 参数说明 取值
times 指定SSH连接的验证重试次数。 整数形式,取值范围是1~5。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

为了防止攻击者恶意的对SSH服务器不断尝试访问,造成服务器负荷较大,可以通过本命令配置认证尝试次数来有效控制攻击者不断的恶意访问。

注意事项

配置好的SSH连接验证重试次数在下次登录时生效。

使用实例

# 指定登录认证的重试次数为4次。

<HUAWEI> system-view
[HUAWEI] ssh server authentication-retries 4
相关主题

ssh server authentication-type keyboard-interactive enable

命令功能

ssh server authentication-type keyboard-interactive enable命令用来开启SSH服务器的键盘交互认证方式。

undo ssh server authentication-type keyboard-interactive enable命令用来关闭SSH服务器的键盘交互认证方式。

缺省情况下,SSH服务器的键盘交互认证方式开启。

命令格式

ssh server authentication-type keyboard-interactive enable

undo ssh server authentication-type keyboard-interactive enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

使用口令卡认证方式的SSH用户登录,必须开启键盘交互认证方式,可以使用ssh server authentication-type keyboard-interactive enable开启键盘交互认证方式。

限定必须使用密码认证方式的SSH用户登录,如果需要关闭键盘交互认证方式,可以使用undo ssh server authentication-type keyboard-interactive enable关闭键盘交互认证方式。

使用实例

# 配置开启SSH服务器的键盘交互认证方式。

<HUAWEI> system-view
[HUAWEI] ssh server authentication-type keyboard-interactive enable

ssh server compatible-ssh1x enable

命令功能

ssh server compatible-ssh1x enable命令用来使能SSH服务器兼容低版本功能。

undo ssh server compatible-ssh1x enable命令用来去使能SSH服务器兼容低版本功能。

缺省情况下,空配置设备此功能处于未使能状态;由低版本升级到高版本的设备,此功能与配置文件中的配置保持一致。

命令格式

ssh server compatible-ssh1x enable

undo ssh server compatible-ssh1x enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

配置SSH服务器兼容低版本,主要应用于客户端与服务器的版本协商阶段。客户端与服务器建立TCP连接后,开始协议版本协商,以达到与服务器达成一个可以工作的协议版本。

服务器比较客户端发来的版本号,决定是否能同客户端一起工作:

  • 如果客户端的协议版本号低于1.3或高于2.0,则版本协商失败,断开连接。
  • 如果客户端的协议版本为大于等于1.3并且小于1.99,如果系统配置为兼容SSH1.X方式,则进入SSH1.5 SERVER模块,后续进行SSH1.x协议流程,否则版本协商失败,断开与客户端的连接。
  • 如客户端协议版本为1.99或2.0,则进入SSH2.0 SERVER模块,后续进行SSH2.0协议流程。

注意事项

  • 如果SSH服务器使能兼容低版本功能,系统会提示存在安全风险。
  • 设备做SSH客户端时,只能做SSH服务器端版本为2.0的客户端,不能做SSH服务器端版本为1.x的客户端;设备做SSH服务器端时,允许版本号为1.x和2.0的SSH客户端登录该设备。

  • 该配置在下次登录时生效。
  • SSH2.0协议相比SSH1.X协议来说,在结构上做了扩展,可以支持更多的认证方法和密钥交换方法,安全性更高(可以规避SSH1.X存在的安全风险),推荐用户使用SSH2.0。

  • 如果设备是空配置状态,设备启动后系统下发undo ssh server compatible-ssh1x enable命令关闭SSH服务器兼容低版本功能;如果设备是由低版本升级到高版本,SSH服务器兼容低版本功能与配置文件中的配置保持一致。

说明:
目前SSH协议可以应用于以下协议,分别支持SSH版本如下:
  • STelnet:设备支持的SSH版本号是1.99,即支持SSH1(SSH1.x)协议和SSH2(SSH2.0)协议,缺省情况下支持SSH2(SSH2.0)协议。
  • SFTP:仅支持SSH2(SSH2.0)协议。
  • SCP:仅支持SSH2(SSH2.0)协议。

使用实例

# 使能SSH服务器低版本兼容功能。

<HUAWEI> system-view
[HUAWEI] ssh server compatible-ssh1x enable
Warning: SSHv1 is not a secure protocol, and it is recommended to use SSHv2. 
相关主题

ssh server cipher

命令功能

ssh server cipher命令用来配置SSH服务器端的加密算法列表。

undo ssh server cipher命令用来将SSH服务器端的加密算法列表恢复为缺省值。

缺省情况下,SSH服务器支持的加密算法为3DES_CBC、AES128_CBC、AES256_CBC、AES128_CTR和AES256_CTR。

命令格式

ssh server cipher { des_cbc | 3des_cbc | aes128_cbc | aes256_cbc | aes128_ctr | aes256_ctr } *

undo ssh server cipher

参数说明

参数

参数说明

取值

des_cbc 指定CBC模式的DES加密算法。 -
3des_cbc 指定CBC模式的3DES加密算法。 -
aes128_cbc 指定CBC模式的AES128加密算法。 -
aes256_cbc 指定CBC模式的AES256加密算法。 -
aes128_ctr 指定CTR模式的AES128加密算法。 -
aes256_ctr 指定CTR模式的AES256加密算法。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在客户端与服务器协商的过程中,客户端与服务器会对两者之间报文传输的加密算法进行协商,通过ssh server cipher命令可以配置SSH服务器端的加密算法列表。服务器端根据客户端发过来的加密算法列表与自身的加密算法列表进行对比,选择客户端与自己相匹配的第一个加密算法作为报文传输的加密算法,如果客户端的加密算法列表与服务器端的加密算法列表没有相匹配的算法,则协商失败。

注意事项

加密算法的安全级别由高到低的顺序为:aes256_ctraes128_ctraes256_cbcaes128_cbc3des_cbcdes_cbc

aes256_cbcaes128_cbc3des_cbcdes_cbc为弱安全的加密算法,建议不配置到加密算法列表中。

使用实例

# 配置SSH服务器端的加密算法为CTR加密算法。

<HUAWEI> system-view
[HUAWEI] ssh server cipher aes256_ctr aes128_ctr
相关主题

ssh server dh-exchange min-len

命令功能

ssh server dh-exchange min-len命令用来配置SSH服务器与客户端进行Diffie-hellman-group-exchange密钥交换时,支持的最小密钥长度。

undo ssh server dh-exchange min-len命令用来将SSH服务器与客户端进行Diffie-hellman-group-exchange密钥交换时,支持的最小密钥长度恢复为缺省值。

缺省情况下,SSH服务器与客户端进行Diffie-hellman-group-exchange密钥交换时,支持的最小密钥长度为1024字节。

命令格式

ssh server dh-exchange min-len min-len

undo ssh server dh-exchange min-len

参数说明

参数 参数说明 取值
min-len 指定SSH服务器支持的Diffie-hellman-group-exchange密钥的最小长度。 整数形式,取值只能为1024或2048,单位为字节。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

长度为1024字节的Diffie-hellman-group-exchange密钥存在安全风险。当SSH客户端支持大于1024字节的Diffie-hellman-group-exchange密钥交换算法时,建议执行ssh server dh-exchange min-len命令配置最小密钥长度为2048字节,以提高安全性。

注意事项

Diffie-hellman-group-exchange密钥交换算法的最小长度小于2048字节时,存在安全风险。建议将最小长度设置为2048字节。

使用实例

# 配置SSH服务器Diffie-hellman-group-exchange密钥交换算法的最小长度为2048字节。

<HUAWEI> system-view
[HUAWEI] ssh server dh-exchange min-len 2048

ssh server hmac

命令功能

ssh server hmac命令用来配置SSH服务器上的校验算法列表。

undo ssh server hmac命令用来将SSH服务器上的校验算法列表恢复为缺省值。

缺省情况下,SSH服务器支持所有的校验算法。

命令格式

ssh server hmac { md5 | md5_96 | sha1 | sha1_96 | sha2_256 | sha2_256_96 } *

undo ssh server hmac

参数说明

参数

参数说明

取值

md5 指定MD5校验算法。 -
md5_96 指定MD5_96校验算法。 -
sha1 指定SHA1校验算法。 -
sha1_96 指定SHA1_96校验算法。 -
sha2_256 指定SHA2_256校验算法。 -
sha2_256_96 指定SHA2_256_96校验算法。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在客户端与服务器协商的过程中,客户端与服务器会对两者之间报文传输的校验算法进行协商,通过ssh server hmac命令可以配置SSH服务器端的校验算法列表。服务器端根据客户端发过来的校验算法列表与自身的校验算法列表进行对比,选择客户端与自己相匹配的第一个校验算法作为报文传输的校验算法,如果客户端的校验算法列表与服务器端的校验算法列表没有相匹配的算法,则协商失败。

注意事项

校验算法的安全级别由高到低的顺序为:sha2_256sha2_256_96sha1sha1_96md5md5_96

sha2_256_96sha1sha1_96md5md5_96为弱安全的校验算法,建议不要配置到校验算法列表中。

使用实例

# 配置SSH服务器端的校验算法为SHA2_256

<HUAWEI> system-view
[HUAWEI] ssh server hmac sha2_256
相关主题

ssh server key-exchange

命令功能

ssh server key-exchange命令用来配置SSH服务器上的密钥交换算法列表。

undo ssh server key-exchange命令用来恢复为缺省情况。

缺省情况下,SSH服务器支持Diffie-hellman-group-exchange-sha1Diffie-hellman-group14-sha1密钥交换算法。

命令格式

ssh server key-exchange { dh_group_exchange_sha1 | dh_group14_sha1 | dh_group1_sha1 } *

undo ssh server key-exchange

参数说明

参数 参数说明 取值
dh_group_exchange_sha1 指定将Diffie-hellman-group-exchange-sha1密钥交换算法配置到SSH服务器的密钥交换算法列表中。 -
dh_group14_sha1 指定将Diffie-hellman-group14-sha1密钥交换算法配置到SSH服务器的密钥交换算法列表中。 -
dh_group1_sha1 指定将Diffie-hellman-group1-sha1密钥交换算法配置到SSH服务器的密钥交换算法列表中。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在客户端与服务器协商的过程中,会对两者之间报文传输的密钥交换算法进行协商,通过ssh server key-exchange命令可以配置SSH服务器端的密钥交换算法列表。服务器端根据客户端发过来的密钥交换算法列表与自身的密钥交换算法列表进行对比,选择客户端与自己相匹配的第一个密钥交换算法作为报文传输的密钥交换算法,如果客户端的密钥交换算法列表与服务器端的密钥交换算法列表没有相匹配的算法,则协商失败。

注意事项

密钥交换算法的安全级别由高到低顺序为:dh_group_exchange_sha1dh_group14_sha1dh_group1_sha1。推荐使用dh_group_exchange_sha1算法。

使用实例

# 配置SSH服务器的密钥交换算法协商列表为dh_group_exchange_sha1dh_group14_sha1

<HUAWEI> system-view
[HUAWEI] ssh server key-exchange dh_group_exchange_sha1 dh_group14_sha1

ssh server port

命令功能

ssh server port命令用来更改SSH服务器的端口号。

undo ssh server port命令用来恢复SSH服务器端的端口号到缺省值。

缺省情况下,SSH服务器的端口号为22。

命令格式

ssh [ ipv4 | ipv6 ] server port port-number

undo ssh [ ipv4 | ipv6 ] server port

参数说明

参数 参数说明 取值
port-number 指定SSH服务器的端口号。 整数形式,取值范围为22或1025~55535

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

为了有效防止攻击者对SSH服务标准端口的访问,确保安全性,用户可以使用本命令配置SSH服务器新的端口号。

注意事项

设置了SSH服务器的端口号以后,只有当服务器正在尝试连接的端口号是22时,SSH客户端登录时可以不指定端口号;否则如果是其他端口号,SSH客户端登录时必须指定端口号。

如果改变当前端口号,在该端口号上的所有连接将断开,服务器开始尝试连接新的端口号。

配置ssh server port port-number命令,IPv4协议和IPv6协议的端口号都将被更改,如果需要单独控制IPv4协议或IPv6协议的端口号的更改,请配置ssh { ipv4 | ipv6 } server port port-number命令。

使用实例

# 配置SSH服务器的端口号为1025。

<HUAWEI> system-view
[HUAWEI] ssh server port 1025

# 配置SSH服务器IPv4协议的端口号为1025。

<HUAWEI> system-view
[HUAWEI] ssh ipv4 server port 1025

ssh server publickey

命令功能

ssh server publickey命令用来指定SSH服务器公钥算法。

undo ssh server publickey命令用来恢复SSH服务器所有公钥算法为缺省配置。

缺省情况下,DSA、ECC、RSA公钥算法是开启的。

命令格式

ssh server publickey { dsa | ecc | rsa } *

undo ssh server publickey

参数说明

参数 参数说明 取值
dsa SSH服务器的DSA算法。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

执行此命令可以使用指定的公钥算法登录服务器,同时拒绝使用其他公钥算法,从而提升设备安全性。推荐使用ECC公钥算法。

执行命令ssh server publickey + 指定的公钥算法,即允许使用此公钥算法,拒绝使用其他公钥算法。例如,ssh server publickey dsa,意思是允许使用DSA算法,拒绝使用ECC,RSA算法。

注意事项

客户端需要和服务器使能相应的公钥算法,才能使用此公钥算法登录。

为了保证更好的安全性,建议不要使用小于2048位的RSA算法做为SSH用户的认证方式,建议使用更安全的ECC认证算法。

连续执行多次此命令,以最后一次配置的命令情况生效。

使用实例

# 配置允许使用ECC算法,拒绝使用其他算法。

<HUAWEI> system-view
[HUAWEI] ssh server publickey ecc

ssh server rekey-interval

命令功能

ssh server rekey-interval命令用来配置SSH服务器密钥对的更新周期。

undo ssh server rekey-interval命令用来恢复配置的SSH服务器密钥对更新周期到缺省值。

缺省情况下,SSH服务器密钥对的更新时间间隔为0,表示永不更新。

命令格式

ssh server rekey-interval hours

undo ssh server rekey-interval

参数说明

参数 参数说明 取值
hours 指定服务器密钥对更新时间间隔。 整数形式,取值范围为0~24,单位是小时。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

服务器的密钥对长时间不更新,容易造成密钥对被攻击者破解,造成服务器的安全性不高等问题。可以使用本命令配置SSH服务器密钥对的更新周期,在SSH服务器密钥对的更新周期到达时,系统会自动更新SSH服务器密钥对。

注意事项

如果客户端此时与服务器有连接,则客户端的服务器公钥不会被立即更新,只有当客户端重新与服务器建立连接时,客户端的服务器公钥才会被更新。

该命令只在SSH1.X版本生效。SSH1.X的安全性较低,不推荐使用。

使用实例

# 配置SSH服务器的服务器密钥对更新周期为2小时。

<HUAWEI> system-view
[HUAWEI] ssh server rekey-interval 2
相关主题

ssh server timeout

命令功能

ssh server timeout命令用来设置SSH连接认证超时时间。

undo ssh server timeout命令用来恢复SSH连接认证超时时间到缺省值。

缺省情况下,SSH连接认证超时时间为60秒。

命令格式

ssh server timeout seconds

undo ssh server timeout

参数说明

参数 参数说明 取值
seconds 指定SSH连接认证超时时间。 整数形式,取值范围是1~120,单位是秒。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当设置的SSH认证超时时间到达后,如果用户还未登录成功,则终止当前连接,确保安全性。可以使用display ssh server命令查询当前的超时时间。

注意事项

配置的SSH连接认证超时时间在下次登录时生效。

说明:
如果设置的SSH连接认证超时时间过小,可能因SSH连接认证超时导致用户登录失败。建议使用缺省超时时间。

使用实例

# 设定SSH认证超时时间为90秒。

<HUAWEI> system-view
[HUAWEI] ssh server timeout 90
相关主题

ssh server-source

命令功能

ssh server-source命令用来指定SSH服务器端的源接口。

undo ssh server-source命令用来取消指定SSH服务器端的源接口。

缺省情况下,未指定SSH服务器端的源接口。

命令格式

ssh server-source -i loopback interface-number

undo ssh server-source

参数说明

参数 参数说明 取值
-i loopback interface-number 指定SSH服务器端的LoopBack接口为源接口。 interface-number表示Loopback接口编号,整数形式,取值范围是0~1023。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

缺省情况下,SSH服务器端接收来自所有接口登录连接请求,系统安全性比较低。为了提高系统安全性,可通过本命令指定SSH服务器端的源接口,增加登录受限功能,仅授权客户可以登录服务器。

前置条件

执行本命令前,必须已经成功创建LoopBack接口,且接口下已配置IP地址。否则会导致本命令无法成功执行。

注意事项

成功指定SSH服务器端的源接口后,系统只允许SSH用户通过指定的源接口登录服务器,通过其他接口登录的SSH用户都将被拒绝。但对于已登录到服务器的SSH用户不会产生影响,只限制后续登录的SSH用户。

通过本命令指定SSH服务器源接口后,为保证授权的SSH用户成功登录SSH服务器,务必保证SSH用户到指定源接口三层互通。

使用实例

# 指定SSH服务器端的源接口是loopback0。

<HUAWEI> system-view
[HUAWEI] interface loopback 0
[HUAWEI-LoopBack0] ip address 10.1.1.1 24
[HUAWEI-LoopBack0] quit
[HUAWEI] ssh server-source -i loopback 0

ssh user

命令功能

ssh user命令用来新建SSH用户。

undo ssh user命令用来删除SSH用户。

缺省情况下,没有创建SSH用户。

命令格式

ssh user user-name

undo ssh user [ user-name ]

参数说明

参数 参数说明 取值
user-name 指定SSH用户的用户名。
字符串形式,不支持空格,不区分大小写,长度范围是1~64
说明:

当输入的字符串两端使用引号时,可在字符串中输入空格。

视图

系统视图

缺省级别

3:管理级

使用指南

使用下面两种方式创建SSH用户:

使用实例

# 新建SSH用户为testuser。

<HUAWEI> system-view
[HUAWEI] ssh user testuser

ssh user assign

命令功能

ssh user assign命令用来为用户分配一个已经存在的公钥。

undo ssh user assign命令用来删除此用户和公钥之间的对应关系。

缺省情况下,没有为用户分配公钥。

命令格式

ssh user user-name assign { rsa-key | dsa-key | ecc-key } key-name

undo ssh user user-name assign { rsa-key | dsa-key | ecc-key }

参数说明

参数 参数说明 取值
user-name 指定SSH用户名。
字符串形式,不支持空格,不区分大小写,长度范围是1~64
说明:

当输入的字符串两端使用引号时,可在字符串中输入空格。

rsa-key 指定RSA公钥。 -
dsa-key 指定DSA公钥。 -
ecc-key 指定ECC公钥。 -
key-name 指定客户端公共密钥名。 字符串形式,不支持空格,不区分大小写,长度范围是1~30。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当SSH客户端需要以RSA、DSA或ECC方式登录SSH服务器时,使用该命令为用户分配公钥,如果用户已经被分配了公钥,以最后一次分配的公钥为准。

注意事项

新配置的用户公钥待下次登录时生效。

为了保证更好的安全性,建议不要指定公钥算法为RSA或DSA算法。

为用户分配公钥时,如果指定的用户的user-name不存在,则新建一个用户名为user-name的SSH用户,认证方式为所配置的认证方式。

使用实例

# 为用户john分配密钥key1。

<HUAWEI> system-view
[HUAWEI] ssh user john assign rsa-key key1

ssh user authorization-cmd aaa

命令功能

ssh user authorization-cmd aaa命令用来为指定的SSH用户配置按命令行授权。

undo ssh user authorization-cmd aaa命令用来恢复缺省配置。

缺省情况下,不对SSH用户进行按命令行授权。

命令格式

ssh user user-name authorization-cmd aaa

undo ssh user user-name authorization-cmd aaa

参数说明

参数 参数说明 取值
user-name AAA定义的有效SSH用户名。 字符串形式,不支持空格,不区分大小写,长度为1~64。

视图

系统视图

缺省级别

3:管理级

使用指南

当改变按命令行授权的配置后,新的配置将在下一次登录时生效。

该命令只对SSH用户有效。对于采用密码方式登录的用户,由AAA的配置决定是否需要授权。

使用实例

# 配置对用户john按命令行授权。

<HUAWEI> system-view
[HUAWEI] ssh user john authorization-cmd aaa
Info: Please make sure that the command line authorization method has been set for the user.

ssh user authentication-type

命令功能

ssh user authentication-type命令用来配置SSH用户的认证方式。

undo ssh user authentication-type命令用来恢复SSH用户的认证方式到缺省情况。

缺省情况下,SSH用户的认证方式是空,即不支持任何认证方式。

命令格式

ssh user user-name authentication-type { password | rsa | password-rsa | dsa | password-dsa | ecc | password-ecc | all }

undo ssh user user-name authentication-type

参数说明

参数

参数说明

取值

user-name 指定SSH用户名。
字符串形式,不支持空格,不区分大小写,长度范围是1~64
说明:

当输入的字符串两端使用引号时,可在字符串中输入空格。

password 指定密码认证方式。 -
rsa 指定RSA认证方式。 -
password-rsa 指定需要经过密码和RSA两种认证。 -
dsa 指定DSA认证方式。 -
password-dsa 指定需要经过密码和DSA两种认证。 -
ecc 指定ECC认证方式。 -
password-ecc 指定需要经过密码和ECC两种认证。 -
all

指定密码、DSA、RSA或ECC认证方式。

说明:
当认证方式为all认证时,用户的优先级需根据接入用户选择的认证方式来决定:
  • 如果接入用户选择的认证方式为password认证,则用户优先级为AAA中设置的用户优先级。
  • 如果接入用户选择的认证方式为RSA、DSA或ECC认证,则用户的优先级由用户接入时所采用的VTY界面的优先级决定。

如果SSH用户认证方式为all认证,且存在一个同名AAA用户,那通过这两种方式接入时用户优先级可能不同,请根据需要进行部署。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

配置SSH用户的认证方式时,如果指定的用户的user-name不存在,则新建一个用户名为user-name的SSH用户,认证方式为所配置的认证方式。

各种认证方式的应用场景如表2-51

表2-51  各种认证方式应用场景

认证方式

应用场景

RSA认证

RSA是一种公开密钥加密体系,是一种非对称加密算法,其原理是基于大整数因子分解这一著名的数学难题,主要用来传递对称加密算法所使用的密钥,通过这种方法可以有效地提高加密的效率并能简化对密钥的管理。服务器必须检查用户是否是合法的SSH用户,检查公钥对于该用户是否合法,用户数字签名是否合法。若三者同时满足,则身份认证通过;若其中任何一项不能验证通过均告验证失败,拒绝该用户的登录请求。

DSA认证

DSA和RSA认证相同,服务器必须检查用户是否是合法的SSH用户,检查公钥对于该用户是否合法,用户数字签名是否合法。若三者同时满足,则身份认证通过;若其中任何一项不能验证通过均告验证失败,拒绝该用户的登录请求。

相比RSA认证,DSA认证采用数字签名算法进行加密,具有更广泛的应用性。
  • 在SSH中,很多工具仅支持使用DSA进行服务器和客户端认证。
  • 按照最新的SSH RFC定义,DSA认证比RSA更优先被选择使用。

ECC认证

与RSA认证一样,服务器必须检查用户是否是合法的SSH用户,检查公钥对于该用户是否合法,用户数字签名是否合法。若三者同时满足,则身份认证通过;若其中任何一项不能验证通过均告验证失败,拒绝该用户的登录请求。但相比RSA认证,ECC认证有如下优势:
  • 相同的安全性,ECC的密钥长度要比RSA短。
  • 计算量小,处理速度快。
  • 存储空间小。
  • 带宽要求低。

password认证

在服务器端由AAA为每一个合法用户分配一个用于登录时进行身份验证的口令,即在服务器端存在“用户名+口令”的一一对应的关系。当某个用户请求登录时,服务器需要对用户名以及其口令分别进行鉴别,其中任何一项不能验证通过均告验证失败,拒绝该用户的登录请求。

对于使用password认证方式的用户,用户的账号信息可以配置在设备或者远程认证服务器(如RADIUS认证服务器)上。

password-rsa认证、password-dsa认证和password-ecc认证

SSH服务器可以要求客户端进行身份认证的过程中同时进行Publickey身份认证和Password身份认证,只有当两者同时满足的情况下,才认为客户端身份认证通过。

all认证

服务器可以要求客户端进行身份认证的过程中进行公钥认证或密码认证,只要满足其中一个认证,就认为客户端身份认证通过。

注意事项

对于新用户,必须指定其验证方式,否则用户无法登录。新配置的验证方式,待下次登录时生效。

为了保证更好的安全性,建议不要指定公钥算法为RSA或DSA算法。

使用实例

# 配置SSH用户john的认证方式为password。

<HUAWEI> system-view
[HUAWEI] ssh user john authentication-type password

ssh user service-type

命令功能

ssh user service-type命令用来配置SSH用户的服务方式。

undo ssh user service-type命令用来恢复SSH用户的服务方式到缺省情况。

缺省情况下,SSH用户的服务方式是空,即不支持任何服务方式。

命令格式

ssh user user-name service-type { sftp | stelnet | all }

undo ssh user user-name service-type

参数说明

参数 参数说明 取值
user-name 指定SSH用户名。
字符串形式,不支持空格,不区分大小写,长度范围是1~64
说明:

当输入的字符串两端使用引号时,可在字符串中输入空格。

sftp 指定SFTP服务方式。 -
stelnet 指定STelnet服务方式。 -
all

指定SFTP服务方式和STelnet服务方式。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

用户可以执行本命令来确定要以何种服务方式连接设备。执行本命令时,如果用户user-name不存在,则新建一个用户名为user-name的SSH用户,服务方式为所配置的服务方式。

注意事项

如果配置的SSH用户的服务方式为SFTP,则还需要为该用户设置授权目录。缺省情况下,SSH用户的SFTP服务授权目录是flash:,可通过ssh user sftp-directory命令进行设置。

使用实例

# 配置SSH用户john支持所有服务方式。

<HUAWEI> system-view
[HUAWEI] ssh user john service-type all

stelnet

命令功能

stelnet命令用来从当前设备使用STelnet协议登录到其他设备。

命令格式

# 基于IPv4类型地址。

stelnet [ -a source-address | -i interface-type interface-number ] host-ip [ port-number ] [ [ -vpn-instance vpn-instance-name ] | [ identity-key { dsa | rsa | ecc } ] | [ user-identity-key { rsa | dsa | ecc } ] | [ prefer_kex prefer_key-exchange ] | [ prefer_ctos_cipher prefer_ctos_cipher ] | [ prefer_stoc_cipher prefer_stoc_cipher ] | [ prefer_ctos_hmac prefer_ctos_hmac ] | [ prefer_stoc_hmac prefer_stoc_hmac ] | [ -ki aliveinterval ] | [ -kc alivecountmax ] ] *

# 基于IPv6类型地址。

stelnet ipv6 [ -a source-address ] host-ipv6 [ -oi interface-type interface-number ] [ port-number ] [ [ identity-key { dsa | rsa | ecc } ] | [ user-identity-key { rsa | dsa | ecc } ] | [ prefer_kex prefer_key-exchange ] | [ prefer_ctos_cipher prefer_ctos_cipher ] | [ prefer_stoc_cipher prefer_stoc_cipher ] | [ prefer_ctos_hmac prefer_ctos_hmac ] | [ prefer_stoc_hmac prefer_stoc_hmac ] | [ -ki aliveinterval ] | [ -kc alivecountmax ] ] *

参数说明

参数

参数说明

取值

-a source-address

指定STelnet的源IP地址。

-
-i interface-type interface-number

指定STelnet的源接口。

如果使用参数-i interface-type interface-number指定源接口,则不支持-vpn-instance vpn-instance-name参数。

-
host-ip 指定远程IPv4 STelnet服务器的IP地址或主机名。 字符串形式,主机名不区分大小写,不支持空格,长度范围为1~255。当输入的字符串两端使用双引号时,可在字符串中输入空格。
host-ipv6 指定远程IPv6 STelnet服务器的IP地址或主机名。 字符串形式,主机名不区分大小写,不支持空格,长度范围为1~255
-oi interface-type interface-number 指定本地设备上的某个接口为出接口。 如果远端主机的IPv6地址是链路本地地址,则必须指定出接口。
port-number 指定SSH服务器正在尝试连接的端口号。 整数形式,取值范围是1~65535。默认值是协议标准端口号22。
identity-key 指定服务器认证设置的公钥算法。 公钥算法包括DSA、RSA和ECC,缺省情况下,服务器认证采用ECC公钥。
说明:

为了保证更好的安全性,建议不要指定公钥算法为RSA或DSA算法。

user-identity-key 指定客户端认证设置的公钥算法。 公钥算法包括DSA、RSA和ECC,缺省情况下,客户端认证采用RSA公钥。
说明:

为了保证更好的安全性,建议不要指定公钥算法为RSA或DSA算法。

prefer_kex prefer_key-exchange 密钥交换首选算法。

目前支持dh-exchange-group和dh_group14_sha1。

缺省算法为dh_group14_sha1。

说明:

也可以使用ssh server key-exchange { dh_group_exchange_sha1 | dh_group14_sha1 | dh_group1_sha1 } *命令和ssh client key-exchange { dh_group_exchange_sha1 | dh_group14_sha1 | dh_group1_sha1 } *命令,打开缺省情况下不支持的dh_group1算法。

推荐使用dh_exchange_group算法。

prefer_ctos_cipher prefer_ctos_cipher

客户端到服务器端的首选加密算法。目前支持des、3des、aes128、aes256、aes128_ctr、aes256_ctr。

缺省算法为aes256_ctr。

为了保证更好的安全性,建议使用aes128_ctr、aes256_ctr加密算法。

说明:
  • 如果使用ssh client cipher配置了SSH客户端的加密算法列表,加密算法从加密算法列表中选择。
  • 如果未使用ssh client cipher配置SSH客户端的加密算法列表,则从3desaes128aes256aes128_ctraes256_ctr中选择一种。
prefer_stoc_cipher prefer_stoc_cipher

服务器端到客户端的首选加密算法。目前支持des、3des、aes128、aes256、aes128_ctr、aes256_ctr。

缺省算法为aes256_ctr。

为了保证更好的安全性,建议使用aes128_ctr、aes256_ctr加密算法。

说明:
  • 如果使用ssh client cipher配置了SSH客户端的加密算法列表,加密算法从加密算法列表中选择。
  • 如果未使用ssh client cipher配置SSH客户端的加密算法列表,则从3desaes128aes256aes128_ctraes256_ctr中选择一种。
prefer_ctos_hmac prefer_ctos_hmac

客户端到服务器端的首选HMAC算法。目前支持sha1、sha1_96、md5、md5_96、sha2_256和sha2_256_96。

缺省算法为sha2_256。

为了保证更好的安全性,建议使用sha2_256、sha2_256_96算法。

prefer_stoc_hmac prefer_stoc_hmac

服务器端到客户端的首选HMAC算法。目前支持sha1、sha1_96、md5、md5_96、sha2_256和sha2_256_96。

缺省算法为sha2_256。

为了保证更好的安全性,建议使用sha2_256、sha2_256_96算法。

-vpn-instance vpn-instance-name 指定服务器端的VPN实例名。 必须是已存在的VPN实例名称。
-ki aliveinterval 指定无数据接收时发送keepalive报文的间隔时间。 整数形式,取值范围是1~3600,单位为秒。
-kc alivecountmax 指定keepalive报文的无应答限制次数。 整数形式,取值范围是3~10,缺省值为5

视图

系统视图

缺省级别

0:参观级

使用指南

应用场景

Telnet缺少安全的认证方式,而且传输过程采用TCP进行明文传输,存在很大的安全隐患。与Telnet相比,SSH提供了在一个传统不安全的网络环境中,服务器通过对客户端的认证及双向的数据加密,为网络终端访问提供了安全的服务。SSH协议支持STelnet,通过本命令可以从当前设备使用STelnet登录到其它设备。

STelnet是一种安全的Telnet服务,SSH用户可以像使用Telnet服务一样操作STelnet服务。

当客户端与服务器端的连接存在故障时,如果客户端需要及时了解故障的存在,并主动断开连接,那么客户端以STelnet方式登录服务器时,应配置无数据接收的情况下发送keepalive报文的间隔时间和服务器端的无应答限制次数。

  • 如果在指定时间间隔内未收到数据,客户端将发送keepalive报文至服务器端。
  • 如果服务端的无应答次数超过配置的次数,客户端将主动断开连接。
注意事项
  • 使用stelnet命令连接SSH服务器之前,SSH服务器端的STelnet服务必须通过命令stelnet server enable使能。

  • 只有当服务器正在尝试连接的端口号是22时,SSH客户端登录时可以不指定端口号,否则如果是其他端口号,SSH客户端登录时必须指定端口号。

使用实例

# 客户端Stelnet方式登录服务器时,指定keepalive相关参数。

<HUAWEI> system-view
[HUAWEI] stelnet 10.164.39.209 -ki 10 -kc 4
# 远程连接使用IPv6地址的STelnet服务器。
<HUAWEI> system-view
[HUAWEI] stelnet ipv6 fc00:2001:db8::1 prefer_ctos_cipher aes128

stelnet server enable

命令功能

stelnet server enable命令用来使能SSH服务器端的STelnet服务。

undo stelnet server enable命令用来关闭SSH服务器端的STelnet服务。

缺省情况下,SSH服务器端的STelnet服务没有使能。

命令格式

stelnet [ ipv4 | ipv6 ] server enable

undo stelnet [ ipv4 | ipv6 ] server enable

参数说明

参数 参数说明 取值
ipv4 指定设备作为STelnet IPv4服务器。 -
ipv6 指定设备作为STelnet IPv6服务器。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果客户端要以Stelnet方式与SSH服务器建立连接,那么SSH服务器端的STelnet服务功能必须使能。

注意事项

去使能SSH服务器的STelnet服务后,以Stelnet登录的所有客户端将断开连接。

执行stelnet server enable命令后,默认接收来自所有接口登录连接请求,存在安全风险。建议使用ssh server-source命令指定STelnet服务器端的源接口。

配置stelnet server enable命令,IPv4协议和IPv6协议的端口号都将被更改,如果需要单独控制IPv4协议或IPv6协议的端口号的更改,请配置stelnet { ipv4 | ipv6 } server enable命令。

使用实例

# 使能STelnet服务功能。

<HUAWEI> system-view
[HUAWEI] stelnet server enable

# 使能STelnet IPv4服务功能。

<HUAWEI> system-view
[HUAWEI] stelnet ipv4 server enable
相关主题

telnet

命令功能

telnet命令用来从当前设备使用Telnet协议登录到其它设备。

命令格式

# 基于IPv4通过Telnet协议登录到其它设备。

telnet [ vpn-instance vpn-instance-name ] [ -a source-ip-address | -i interface-type interface-number ] host-ip [ port-number ]

# 基于IPv6通过Telnet协议登录到其它设备。

telnet ipv6 [ -a source-ip-address ] [ vpn6-instance vpn6-instance-name ] host-ipv6 [ -oi interface-type interface-number ] [ port-number ]

参数说明

参数

参数说明

取值

vpn-instance vpn-instance-name

指定通过Telnet协议登录的设备所属的VPN4实例名。

必须是已存在的VPN实例名称。
-a source-ip-address

通过指定源地址,用户可以以指定的IP地址与服务端通信,从而达到进行安全校验的目的。如果不指定源地址,Telnet连接时系统将使用本地出接口的IP地址。

-
-i interface-type interface-number 指定本端设备的源接口类型和编号。 -
vpn6-instance vpn6-instance-name 指定通过Telnet协议登录的设备所属的VPN6实例名。 必须是已存在的VPN实例名称。
host-ip 指定远端设备的IPv4地址或主机名 字符串形式,主机名不区分大小写,不支持空格,长度范围为1~255。
说明:

当输入的字符串两端使用引号时,可在字符串中输入空格。

host-ipv6 指定远端设备的IPv6地址或主机名。 字符串形式,主机名不区分大小写,不支持空格,长度范围为1~255
说明:

当输入的字符串两端使用引号时,可在字符串中输入空格。

-oi interface-type interface-number 指定本地设备上的某个接口为出接口。 如果远端主机的IPv6地址是链路本地地址,则必须指定出接口。
port-number 指定远端设备提供Telnet服务的TCP端口号。 整数形式,取值范围是1~65535,缺省值是23。

视图

用户视图

缺省级别

0:参观级

使用指南

应用场景

如果网络中有一台或多台设备需要配置和管理,用户无需为每一台设备连接用户终端进行本地维护。如果已知待登录设备的IP地址,用户可以通过本命令从用户终端登录需要管理的设备,对设备进行远程配置。用户可以通过此方式在一台用户终端上维护网络中的多台设备,极大地方便了用户的操作。

在连接的过程中,可以使用“Ctrl_K”停止本端设备与远端设备的连接。

注意事项

  • 使用telnet命令连接Telnet服务器之前,Telnet客户端和Telnet服务器之间需要在网络层互通,且Telnet服务器端的Telnet服务必须使能。

  • Telnet缺少安全的认证方式,而且传输过程采用TCP进行明文传输,存在安全隐患。对于安全性较高的网络,建议采用STelnet方式。

使用实例

# 与远端设备建立Telnet连接。

<HUAWEI> telnet 192.168.1.6
# 使用IPv6地址与远端设备建立Telnet连接。
<HUAWEI> telnet ipv6 fc00:0:0:11::158

telnet client-source

命令功能

telnet client-source命令用来为Telnet客户端指定源,其中包括源地址和源接口。

undo telnet client-source命令用于恢复当前配置为缺省情况。

缺省情况下,Telnet客户端的源地址为0.0.0.0。

命令格式

telnet client-source { -a source-ip-address | -i interface-type interface-number }

undo telnet client-source

参数说明

参数 参数说明 取值
-a source-ip-address 本端交换机的IPv4地址。 -
-i interface-type interface-number 本端交换机的源接口。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果telnet登录命令不带源选项,则使用该命令配置的默认源,即telnet client-source指定的源;如果telnet命令显式指定源,即登录命令带源选项,则使用显式源。从服务器端查看当前Telnet连接,显示的用户IP就是用户指定的源IP或指定接口下的主IP。

前置条件

通过该命令指定源接口时,指定的源接口必须存在,而且已经配置IP地址。

使用实例

# 设置Telnet客户端的源地址为10.1.1.1。

<HUAWEI> system-view
[HUAWEI] telnet client-source -a 10.1.1.1

telnet server acl

命令功能

telnet server acl命令用来设置可以访问Telnet服务器的访问控制列表。

undo telnet server acl命令用来取消可以访问Telnet服务器的访问控制列表。

缺省情况下,没有配置访问控制列表。

命令格式

telnet [ ipv6 ] server acl acl-number

undo telnet [ ipv6 ] server acl

参数说明

参数 参数说明 取值
ipv6 指定Telnet IPv6服务器。 -
acl-number 指定访问控制列表编号。 整数形式,取值范围2000~3999。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

设备作为Telnet服务器时,通过在设备上配置访问控制列表,来控制运行哪些Telnet客户端以Telnet方式登录到本设备。

前置条件

执行本命令前,需要先执行acl(系统视图)命令和rule(基本ACL视图)rule(高级ACL视图)命令成功配置访问控制列表。

注意事项

使用实例

# 在Telnet服务器端配置编号为2000的访问控制列表。

<HUAWEI> system-view
[HUAWEI] acl 2000
[HUAWEI-acl-basic-2000] rule permit source 10.1.1.1 0
[HUAWEI-acl-basic-2000] quit
[HUAWEI] telnet server acl 2000

telnet server-source

命令功能

telnet server-source命令用来指定Telnet服务器端的源接口。

undo telnet server-source命令用来取消指定Telnet服务器端的源接口。

缺省情况下,未指定Telnet服务器端的源接口。

命令格式

telnet server-source -i loopback interface-number

undo telnet server-source

参数说明

参数 参数说明 取值
-i loopback interface-number 指定Telnet服务器端的LoopBack接口为源接口。 interface-number表示Loopback接口编号,整数形式,取值范围是0~1023。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

缺省情况下,Telnet服务器端接收来自所有接口登录连接请求,系统安全性比较低。为了提高系统安全性,可通过本命令指定Telnet服务器端的源接口,增加登录受限功能,仅授权客户可以登录服务器。

前置条件

执行本命令前,必须已经成功创建LoopBack接口,且接口下已配置IP地址。否则会导致本命令无法成功执行。

注意事项

成功指定Telnet服务器端的源接口后,系统只允许Telnet用户通过指定的源接口登录服务器,通过其他接口登录的Telnet用户都将被拒绝。但对于已登录到服务器的Telnet用户不会产生影响,只限制后续登录的Telnet用户。

通过本命令指定Telnet服务器源接口后,为保证授权的Telnet用户成功登录Telnet服务器,务必保证Telnet用户到指定源接口三层互通。

使用实例

# 指定Telnet服务器端的源接口是loopback0。

<HUAWEI> system-view
[HUAWEI] interface loopback 0
[HUAWEI-LoopBack0] ip address 10.1.1.1 24
[HUAWEI-LoopBack0] quit
[HUAWEI] telnet server-source -i loopback 0

telnet server enable

命令功能

telnet server enable命令用来使能Telnet服务器。

undo telnet server enable命令用来去使能Telnet服务器。

telnet server disable命令用来去使能Telnet服务器。

缺省情况下,Telnet服务器功能处于去使能状态。

命令格式

telnet [ ipv6 ] server enable

undo telnet [ ipv6 ] server enable

telnet [ ipv6 ] server disable

参数说明

参数 参数说明 取值
ipv6 指定Telnet IPv6服务器。 -

视图

系统视图

缺省级别

3:管理级

使用指南

执行该命令,可以控制Telnet服务器的状态。只有当Telnet服务器的状态为打开时,才能连接到Telnet服务器。

执行命令undo telnet [ ipv6 ] server enable关闭Telnet服务器时,如果有通过Telnet登录的用户在线,该命令执行不成功。

Telnet服务器关闭后,用户只能通过Console口或者SSH等方式登录设备。

使用Telnet协议存在安全风险,建议使用STelnet V2登录设备。

执行telnet server enable命令后,默认接收来自所有接口登录连接请求,存在安全风险。建议使用telnet server-source命令指定Telnet服务器端的源接口。

使用实例

# 使能Telnet服务器。

<HUAWEI> system-view
[HUAWEI] telnet server enable
Info: TELNET server has been enabled.

# 去使能Telnet服务器。

<HUAWEI> system-view
[HUAWEI] undo telnet server enable

# 使能Telnet IPv6服务器。

<HUAWEI> system-view
[HUAWEI] telnet ipv6 server enable

telnet server port

命令功能

telnet server port命令用来设置Telnet服务端的端口号。

undo telnet server port命令用来恢复Telnet服务端的端口号到缺省值。

缺省情况下,Telnet服务器的端口号是23。

命令格式

telnet server port port-number

undo telnet server port

参数说明

参数 参数说明 取值
port-number 指定Telnet服务器的端口号。 整数形式,取值范围是23或1025~55535。缺省值是协议标准端口号23。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

为了有效防止攻击者对Telnet服务标准端口的访问,确保安全性,用户可以使用本命令配置Telnet服务器新的端口号。

注意事项

设置了Telnet服务器的端口号以后,只有当服务器正在尝试连接的端口号是23时,Telnet客户端登录时可以不指定端口号;否则如果是其他端口号,Telnet客户端登录时必须指定端口号。

如果改变当前端口号,在该端口号上的所有连接将断开,服务器开始尝试连接新的端口号。

使用实例

# 配置端口号是1026。

<HUAWEI> system-view
[HUAWEI] telnet server port 1026
# 恢复端口号为缺省值。
<HUAWEI> system-view
[HUAWEI] undo telnet server port
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10008

下载量:198

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页