配置设备作为TFTP客户端访问其他设备的文件
配置流程
使用TFTP协议存在安全风险,建议使用SFTP V2、SCP或FTPS方式进行文件操作。
通过TFTP访问其他设备文件的配置流程如表7-32所示。
序号 | 配置任务名称 | 配置任务说明 | 配置流程说明 |
---|---|---|---|
1 | (可选)配置TFTP客户端源地址 | 客户端源地址可以配置为源接口或源IP,达到安全校验的目的。 |
在执行任务3前,任务1、2之间没有严格的配置顺序。 |
2 | (可选)配置TFTP访问限制 | 包括配置ACL(Access Control List)规则及TFTP基本访问控制列表,提高TFTP访问的安全性。 |
|
3 | 使用TFTP命令向其他设备上传或下载文件 | 包括文件的上传和下载操作。 |
操作步骤
- (可选)配置TFTP客户端源地址
配置源地址需要选择设备上状态稳定的接口,如LoopBack接口。该配置简化了ACL规则和安全策略的配置,只要将ACL规则的源地址或目的地址指定为该地址,就可以屏蔽接口IP地址的差异以及接口状态的影响,实现对设备进出报文的过滤。
表7-33 (可选)配置TFTP客户端源地址操作步骤 命令 说明 进入系统视图 system-view - 配置TFTP客户端的源地址信息 tftp client-source { -a source-ip-address | -i interface-type interface-number } 源地址可以是源IP或源接口,如果是源接口,必须要为该接口配置IP地址,否则会导致TFTP连接建立失败。
缺省情况下,TFTP客户端发送报文的源地址为与TFTP服务器通信的出接口的IP地址,显示为0.0.0.0。
- (可选)配置TFTP访问限制
ACL是一系列有顺序的规则组的集合,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过规则对数据包进行分类,这些规则应用到路由设备,路由设备根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。
每个ACL中可以定义多个规则,根据规则的功能分为基本ACL规则、高级ACL规则和二层ACL规则等。
TFTP只支持基本访问控制列表(编号范围为2000~2999)。
ACL规则:当ACL的rule配置为permit时,则允许本设备与匹配该rule规则的其他设备建立TFTP连接。
当ACL的rule配置为deny时,则拒绝本设备与匹配该rule规则的其他设备建立TFTP连接。
表7-34 (可选)配置TFTP访问限制操作步骤 命令 说明 进入系统视图 system-view - 创建一个ACL访问控制列表,并进入ACL视图 acl [ number ] acl-number
缺省情况下,未创建ACL访问控制列表。
配置ACL规则 rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | fragment | logging | time-range time-name ] * 缺省情况下,ACL视图下没有配置规则。
退回到系统视图 quit - 配置TFTP访问限制 tftp-server [ ipv6 ] acl acl-number
- - 使用TFTP命令向其他设备上传文件或从其他设备下载文件
操作步骤 命令 说明 IPv4地址
tftp [ -a source-ip-address | -i interface-type interface-number ] tftp-server [ public-net | vpn-instance vpn-instance-name ] { get | put } source-filename [ destination-filename ] get表示从其他设备下载文件操作。
put表示向其他设备上传文件操作。
IPv6地址
tftp ipv6 [ -a source-ip-address ] tftp-server-ipv6 [ -oi interface-type interface-number ] { get | put } source-filename [ destination-filename ] 由于文件系统对根目录下的文件个数有限制,当根目录中文件个数大于50个时,继续在根目录中创建文件可能会失败。
此命令中指定的源地址或者接口优先级高于tftp client-source命令中指定的源地址或者接口。如果执行命令tftp client-source指定了源地址或者接口,又在tftp命令中指定了源地址或者接口,则采用tftp命令中指定的源地址或者接口进行通信。tftp client-source命令指定的源地址或者接口对所有的TFTP连接都有效,tftp命令指定的源地址或者接口只对当前的TFTP连接有效。