配置设备作为SCP客户端访问其他设备的文件
前置任务
在配置通过SCP访问其他设备的文件之前,需完成以下任务:
- 当前设备和SSH服务器路由可达。
- 已获取SSH服务器的主机名或IP地址以及SSH用户信息。
- 如果服务器不是使用标准的端口号,则还需获取服务器端设置的端口号。
配置流程
通过SCP访问其他设备文件的配置流程如表7-47所示。
操作步骤
- (可选)配置SCP客户端源地址表7-48 (可选)配置SCP客户端源地址
操作步骤
命令
说明
进入系统视图
system-view
-
配置SCP客户端的源地址信息
scp client-source { -a source-ip-address | -i interface-type interface-number }
缺省情况下,没有配置源地址。
- 生成本地密钥对
此步骤仅在设备以RSA、DSA或ECC方式登录SSH服务器的时候执行,设备以password方式登录SSH服务器,则无需执行。
表7-49 生成本地密钥对操作步骤
命令
说明
进入系统视图
system-view
-
生成本地密钥对
rsa local-key-pair create、dsa local-key-pair create或ecc local-key-pair create
根据对端密钥的类型,三选一。
密钥对生成后,可以执行display rsa local-key-pair public、display dsa local-key-pair public或display ecc local-key-pair public命令查看RSA本地密钥对、DSA本地密钥对或ECC密钥对中的公钥部分信息,然后将公钥配置到SSH服务器上。
- 配置设备首次连接SSH服务器的方式
作为客户端的设备首次连接SSH服务器时,因为客户端还没有保存过SSH服务器的公钥,无法对SSH服务器有效性进行检查,这样会导致连接不成功。可以通过下面两种方式来解决:
- 使能SSH客户端首次认证功能方式:不对SSH服务器的公钥进行有效性检查,确保首次连接成功。成功连接后,系统将自动分配并保存公钥,为下次连接时认证使用。具体配置见表7-43。此种方式配置简单。
- SSH客户端配置服务器公钥方式:将服务器端产生的公钥直接保存至客户端,保证在首次连接时SSH服务器有效性检查能够通过。具体配置见表7-44。此种方式配置较复杂,但比上面那种方式安全性更高。
表7-50 使能SSH客户端首次认证功能操作步骤
命令
说明
进入系统视图
system-view
-
使能SSH客户端首次认证功能
ssh client first-time enable
缺省情况下,SSH客户端首次认证功能是关闭的。
表7-51 SSH客户端为SSH服务器分配RSA、DSA或ECC公钥方式操作步骤
命令
说明
进入系统视图
system-view
-
进入RSA、DSA或ECC公共密钥视图
rsa peer-public-key key-name [ encoding-type { der | openssh | pem } ]
、
dsa peer-public-key key-name encoding-type { der | openssh | pem }
或
ecc peer-public-key key-name encoding-type { der | openssh | pem }
根据生成的密钥类型,三选一。
进入公共密钥编辑视图
public-key-code begin
-
编辑公共密钥
hex-data
- 键入的公共密钥必须是按公钥格式编码的十六进制字符串,由SSH服务器随机生成。
- 进入公共密钥编辑视图后,即可将服务器上产生的RSA、DSA或ECC公钥输入到客户端。
退出公共密钥编辑视图
public-key-code end
- 如果输入的密钥编码hex-data不合法,执行本步骤后,将无法生成密钥。
- 如果指定的密钥key-name已经被删除,再执行本步骤时,系统会提示:密钥已经不存在,此时直接退到系统视图。
退出公共密钥视图,回到系统视图
peer-public-key end
-
为SSH服务器绑定RSA、DSA或ECC公钥
ssh client servername assign { rsa-key | dsa-key | ecc-key } keyname
如果SSH客户端保存的SSH服务器公钥失效,执行命令undo ssh client servername assign { rsa-key | dsa-key | ecc-key },取消SSH服务器与RSA、DSA或ECC公钥的绑定关系,再执行本命令,为SSH服务器重新分配RSA、DSA或ECC公钥。
- 使用SCP命令连接其他设备
SCP与SFTP方式不同,当SCP命令执行后,与服务器建立安全连接,客户端可以直接上传文件至服务器或从服务器下载文件至本地。
表7-52 使用SCP命令连接其他设备操作步骤
命令
说明
进入系统视图
system-view
-
(可选)配置SSH客户端的密钥交换算法列表
ssh client key-exchange { dh_group14_sha256 | dh_group15_sha512 | dh_group16_sha512 | dh_group_exchange_sha256 }*
缺省情况下,SSH客户端支持所有的密钥交换算法。
系统软件中不包含dh_group_exchange_sha1、dh_group14_sha1和dh_group1_sha1参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议使用其它算法。
您可以通过华为官网(企业、运营商)搜索“插件使用指南”,请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限,请联系技术支持人员。
(可选)配置SSH客户端的加密算法列表
ssh client cipher { aes128_ctr | aes256_ctr } *
缺省情况下,SSH客户端支持所有加密算法。
系统软件中不包含aes256_cbc、aes128_cbc、3des_cbc和des_cbc参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议配置aes256_ctr或aes128_ctr参数。
您可以通过华为官网(企业、运营商)搜索“插件使用指南”,请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限,请联系技术支持人员。
(可选)配置SSH客户端上的校验算法列表
ssh client hmac sha2_256
缺省情况下,SSH客户端支持所有的校验算法。
系统软件中不包含sha2_256_96、sha1、sha1_96、md5和md5_96参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议配置sha2_256参数。
您可以通过华为官网(企业、运营商)搜索“插件使用指南”,请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限,请联系技术支持人员。
IPv4地址
scp [ -port port-number | { public-net | vpn-instance vpn-instance-name } | identity-key { dsa | rsa | ecc } | user-identity-key { rsa | dsa | ecc } | { -a source-address | -i interface-type interface-number } | -r | -cipher -cipher | -c ] * sourcefile destinationfile
根据地址类型选其一。
说明:在使用中需要注意,为了安全性考虑,用户选择加密算法时,建议采用aes128或aes256算法。
IPv6地址
scp ipv6 [ -port port-number | { public-net | vpn-instance vpn-instance-name } | identity-key { dsa | rsa | ecc } | user-identity-key { rsa | dsa | ecc } | -a source-address | -r | -cipher -cipher | -c ] * sourcefile destinationfile [ -oi interface-type interface-number ]
由于文件系统对根目录下的文件个数有限制,当根目录中文件个数大于50个时,继续在根目录中创建文件可能会失败。
