通过SFTP进行文件操作示例
组网需求
如图7-2所示,终端PC1与设备来连接,10.136.23.4是设备的管理网口IP地址。用户希望在终端与设备之间进行安全的文件传输操作。将设备配置为SSH服务器,提供SFTP服务,服务器通过对客户端的认证和双向的数据加密,实现用户对安全文件传输操作的要求。配置安全策略,保证只有PC1才能访问SSH服务器。
配置思路
采用如下的思路配置用户通过SFTP进行文件操作:
在SSH服务器端生成本地密钥对及使能SFTP服务器功能,实现在服务器端和客户端进行安全地数据交互。
配置SSH用户,包括认证方式、服务类型、授权目录以及用户名和密码等。
- 配置SSH服务器的访问权限,实现对SSH用户的限制。
从终端通过第三方软件OpenSSH实现访问SSH服务器。
操作步骤
- 在服务器端生成本地密钥对、指定服务器源接口并使能SFTP服务器功能。
<HUAWEI> system-view [~HUAWEI] sysname SSH Server [*HUAWEI] commit [~SSH Server] dsa local-key-pair create Info: The key name will be: SSH Server_Host_DSA Info: The key modulus can be any one of the following : 2048. Info: Key pair generation will take a short while. Info: Generating keys... Info: Succeeded in creating the DSA host keys. [*SSH Server] sftp server enable [*SSH Server] ssh server-source all-interface
- 配置SSH用户,包括认证方式、服务类型、授权目录以及用户名和密码等。
[*SSH Server] ssh user client001 authentication-type password [*SSH Server] ssh user client001 service-type sftp [*SSH Server] ssh user client001 sftp-directory flash: [*SSH Server] aaa [*SSH Server-aaa] local-user client001 password irreversible-cipher Helloworld@6789 [*SSH Server-aaa] local-user client001 level 3 [*SSH Server-aaa] local-user client001 service-type ssh [*SSH Server-aaa] quit
- 配置SSH服务器的访问权限。
[*SSH Server] acl 2001 [*SSH Server-acl4-basic-2001] rule permit source 10.136.23.10 32 [*SSH Server-acl4-basic-2001] rule deny source 10.136.23.20 32 [*SSH Server-acl4-basic-2001] quit [*SSH Server] ssh server acl 2001 [*SSH Server] commit
- 从终端通过OpenSSH软件实现访问SFTP服务器。
只有在用户终端安装了OpenSSH软件后,Windows命令行提示符才能识别OpenSSH相关命令。
C:/Documents and Settings/Administrator> sftp client001@10.136.23.4 Connecting to 10.136.23.4... The authenticity of host "10.136.23.4 (10.136.23.4)" can't be established. DSA key fingerprint is 0d:48:82:fd:2f:52:1c:f0:c4:22:70:80:8f:7b:fd:78. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added "10.136.23.4" (DSA) to the list of known hosts. client001@10.136.23.4's password: sftp>
通过第三方软件连接设备后,进入SFTP视图,此时可以执行一系列文件操作。
配置文件
SSH_Server的配置文件
#
sysname SSH Server
#
acl number 2001
rule 5 permit source 10.136.23.10 0
rule 10 deny source 10.136.23.20 0
#
aaa
local-user client001 password irreversible-cipher $1c$g8wLJ`LjL!$CyE(V{3qg5DdU:PM[6=6O$UF-.fQ,Q}>^)OBzgoU$
local-user client001 service-type ssh
local-user client001 level 3
#
sftp server enable
ssh server acl 2001
ssh user client001
ssh user client001 authentication-type password
ssh user client001 service-type sftp
ssh user client001 sftp-directory flash:
ssh server-source all-interface
#
return