配置设备作为TFTP客户端访问其他设备的文件
当前设备可以作为TFTP客户端登录远端TFTP服务器,实现文件的上传和下载。
配置流程
使用TFTP协议存在安全风险,建议使用SFTP V2或SCP方式进行文件操作。
通过TFTP访问其他设备文件的配置流程如表7-28所示。
操作步骤
- (可选)配置TFTP客户端源地址
配置源地址需要选择设备上状态稳定的接口,如LoopBack接口。该配置简化了ACL规则和安全策略的配置,只要将ACL规则的源地址或目的地址指定为该地址,就可以屏蔽接口IP地址的差异以及接口状态的影响,实现对设备进出报文的过滤。
TFTP客户端配置的源地址必须为LoopBack地址或LoopBack接口。
表7-29 (可选)配置TFTP客户端源地址操作步骤
命令
说明
进入系统视图
system-view
-
配置TFTP客户端的源地址信息
tftp client source { -a source-ip-address | -i interface-type interface-number }
源地址可以是源IP或源接口,如果是源接口,必须要为该接口配置IP地址,否则会导致TFTP连接建立失败。
提交配置
commit
-
- (可选)配置TFTP访问限制
ACL是一系列有顺序的规则组的集合,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过规则对数据包进行分类,这些规则应用到路由设备,路由设备根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。
每个ACL中可以定义多个规则,根据规则的功能分为基本ACL规则、高级ACL规则和二层ACL规则等。
TFTP只支持基本访问控制列表(编号范围为2000~2999)。
ACL规则:当ACL的rule配置为permit时,则允许本设备与匹配该rule规则的其他设备建立TFTP连接。
当ACL的rule配置为deny时,则拒绝本设备与匹配该rule规则的其他设备建立TFTP连接。
当ACL配置了rule,但来自其他设备的报文没有匹配该rule规则时,则拒绝本设备与其他设备建立TFTP连接。
当ACL未配置rule时,则允许本设备与任何其他设备建立TFTP连接。
表7-30 (可选)配置TFTP访问限制操作步骤
命令
说明
进入系统视图
system-view
-
创建一个ACL访问控制列表,并进入ACL视图
acl { [ number ] acl-number | name acl-name }
缺省情况下,未创建ACL访问控制列表。
配置ACL规则
rule [ rule-id ] [ name rule-name ] { deny | permit } [ fragment-type fragment | source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | time-range time-name | vpn-instance vpn-instance-name | logging ] *
缺省情况下,基本ACL视图下没有规则。
退回到系统视图
quit
-
配置TFTP访问限制
tftp server [ ipv6 ] acl acl-number
-
提交配置
commit
-
- 使用TFTP命令向其他设备上传文件或从其他设备下载文件
操作步骤
命令
说明
IPv4地址
tftp [ -a source-ip-address | -i interface-type interface-number ] tftp-server [ vpn-instance vpn-instance-name | public-net ] { get | put } source-filename [ destination-filename ]
get表示从其他设备下载文件操作。
put表示向其他设备上传文件操作。
IPv6地址
tftp ipv6 [ -a source-ipv6-address ] tftp-server-ipv6 [ vpn-instance vpn-instance-name | public-net ] [ -oi interface-type interface-number ] { get | put } source-filename [ destination-filename ]
此命令中指定的源地址或者接口优先级高于tftp client source命令中指定的源地址或者接口。如果执行命令tftp client source指定了源地址或者接口,又在tftp命令中指定了源地址或者接口,则采用tftp命令中指定的源地址或者接口进行通信。tftp client source命令指定的源地址或者接口对所有的TFTP连接都有效,tftp命令指定的源地址或者接口只对当前的TFTP连接有效。