设备支持的文件管理方式
用户可以通过直接登录系统、FTP、TFTP、SFTP和SCP方式进行文件操作,实现对文件的管理。
设备在进行文件管理的过程中,可以分别充当服务器和客户端的角色:
- 设备作为服务器:可以从终端访问设备,实现对本设备文件的管理,以及与终端间的文件传输操作。
- 设备作为客户端访问其他设备(服务器):可以实现管理其他设备上的文件,以及与其他设备间进行文件传输操作。
对于TFTP方式,设备只支持客户端功能;对于FTP、SFTP、SCP方式,设备均支持服务器与客户端功能。
为了保证更好的安全性,建议不要使用长度小于2048位的RSA认证算法。
各种文件管理方式的应用场景,优缺点如表7-2所示,用户可以根据需求选择其中一种方式。
文件管理方式 | 应用场景 | 优点 | 缺点 |
---|---|---|---|
直接登录系统 | 通过Console口、Telnet或STelnet方式登录设备,对存储器、目录和文件进行管理。 |
对目录和文件的管理直接通过登录设备完成,方便快捷。 |
只是对本设备进行文件操作,无法进行文件的传输。 |
FTP(File Transfer Protocol) | 适用于对网络安全性要求不是很高的文件传输场景中,广泛用于版本升级等业务中。 |
|
明文传输数据,存在安全隐患。 |
TFTP(Trivial File Transfer Protocol) | 在网络条件良好的实验室局域网中,可以使用TFTP进行版本的在线加载和升级。适用于客户端和服务器之间,不需要复杂交互的环境。 |
TFTP所占的内存要比FTP小。 |
|
SFTP(Secure File Transfer Protocol) | 适用于网络安全性要求高的场景,目前被广泛用于日志下载、配置文件备份等业务中。 |
|
配置较复杂。 |
SCP(Secure Copy Protocol) | 适用于网络安全性要求高,且文件上传下载效率高的场景。 |
|
配置较复杂(与SFTP方式的配置非常类似),且不支持交互。 |
直接登录系统、FTP、TFTP方式,理解和配置都比较简单,下面主要介绍SFTP和SCP方式。
SFTP方式
SFTP是SSH协议的一部分,利用SSH协议提供的安全通道,使得远程用户可以安全地登录设备进行文件管理和文件传输等操作,为数据传输提供了更高的安全保障。同时,设备支持客户端的功能,用户可以从本地设备安全登录到远程SSH服务器上,进行文件的安全传输。
SSH提供的安全性主要有:
- 密文传输:在SSH连接建立初期,双方会通过协商的方式得出双方通信的加密算法和会话密钥,此后双方的通信就是以密文的方式进行,这样非法用户就很难窃取到合法用户的帐户信息。
- 支持基于公钥的认证:设备支持RSA、DSA和ECC三种公钥认证方式。
- 支持对服务器的认证:SSH协议可以通过验证服务器端公钥的方式来对服务器的身份进行认证,从而可以避免“伪服务器”方式的攻击。
- 支持对交互数据的校验:SSH协议支持对数据的完整性和真实性的校验,使用的校验方法是CRC(SSH1.5版本)和基于MD5的MAC算法(SSH2.0版本)。这样可以有效地防止类似于“中间人”的攻击。
SSH连接的建立过程:
- 协商SSH版本号
客户端与服务器通过发送的标识版本的字符串选择相互通讯所用的SSH协议版本。
- 算法协商
服务器和客户端进行密钥交换算法、加密算法、MAC算法协商的一个交互过程,用于后续的通讯过程。
- 密钥交换
根据前面算法协商过程中确定的密钥交换算法,服务器和客户端通过计算获得相同的会话密钥和会话ID。
- 验证用户身份
客户端向服务器发送用户身份信息。客户端将采用在服务器端配置的用户验证方式向服务器提出验证请求,直到验证通过或连接超时断开。
服务器提供公钥认证和密码认证。
- 在公钥(RSA、DSA或ECC)认证方式下,客户端必须生成RSA、DSA或ECC密钥对(包含公钥和私钥),并将公钥发送给服务器端。用户发起认证请求时,客户端随机生成一段由私钥加密的密文并发送给服务器,服务器利用客户端的公钥对其进行解密,解密成功就认为用户是可信的,对用户授予相应的访问权限。否则,中断连接。
- 密码认证依靠AAA实现,与Telnet和FTP类似,支持本地数据库和远程RADIUS服务器验证,服务器对来自客户端的用户名与密码和预先配置的用户名与密码进行比较,如果完全匹配则验证通过。
- 请求会话
认证完成后,客户端向服务器提交会话请求。服务器则进行等待,处理客户端的请求。
- 交互会话
会话申请成功后,连接进入交互会话模式。在这个模式下,数据在两个方向上双向传送。
在进行SSH连接建立前,需要在服务器端生成本地密钥对(RSA、DSA密钥对或ECC密钥对),这个密钥对不仅用于生成会话密钥和会话ID,还用于客户端验证服务器身份,同时这也是配置SSH服务器的关键步骤。
SCP方式
SCP也是SSH协议的一部分,是基于SSH协议的远程文件拷贝技术,实现文件的拷贝,包括上传和下载。SCP文件拷贝命令简单易用,提高了网络维护的效率。