图1 通过SFTP访问其他设备文件组网图
SFTP是SSH协议的一部分,利用SSH协议提供的安全通道,为数据传输提供了更高的安全保障。配置设备作为SFTP客户端,远程服务器通过对客户端的认证及双向的数据加密,为文件传输及对服务器上文件目录的管理提供了安全的服务。
通过SFTP访问其他设备文件适用于网络安全性要求高的场景,可以用于日志上传下载。
配置注意事项
- 在配置通过SFTP进行文件操作之前,需要保证设备与SSH服务器之间路由可达。
- 使用SFTP V1协议存在安全风险,建议使用SFTP V2或FTPS方式进行文件操作。
- 本举例适用于S系列交换机除S5751-L、S5731-L和S5731S-L以外所有产品的所有版本。
以下涉及的命令行及回显信息以V200R008C00版本的S5720-EI交换机为例。
组网需求
如图1所示,SSH服务器与客户端client001、client002路由可达,此例中用华为设备作为SSH服务器。
要求:两个客户端分别使用password方式和DSA方式与SSH服务器连接,实现安全访问服务器上的文件。
配置思路
采用如下思路配置通过SFTP访问其他设备文件功能:
- 在服务器端生成本地密钥对及使能SFTP服务器功能,实现在服务器端和客户端进行安全地数据交互。
- 在SSH服务器上配置用户client001和client002,分别使用password和DSA的认证方式登录SSH服务器。
- 在客户端client002生成本地密钥对,并将客户端生成的DSA公钥配置到SSH服务器上,实现客户端登录服务器端时,对客户端进行验证。
- 用户client001和client002分别以SFTP方式登录SSH服务器,实现访问服务器上的文件。
操作步骤
- 在服务器端生成本地密钥对及使能SFTP服务器功能。
<HUAWEI> system-view
[HUAWEI] sysname SSH Server
[SSH Server] dsa local-key-pair create //生成本地DSA密钥对。
Info: The key name will be: SSH Server_Host_DSA.
Info: The key modulus can be any one of the following : 1024, 2048.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=2048]: //直接回车,使用缺省密钥对长度(2048位)。
Info: Generating keys........
Info: Succeeded in creating the DSA host keys.
[SSH Server] sftp server enable //使能SFTP服务器功能。
[SSH_Server] ssh server-source -i Vlanif 10 //配置服务器端的源接口为10.1.1.1对应的接口,假设该接口为Vlanif 10。
Info: Succeeded in starting the SFTP server.
- 在服务器端创建SSH用户。
# 配置VTY用户界面。
[SSH Server] user-interface vty 0 4 //进入VTY 0~VTY 4用户界面视图。
[SSH Server-ui-vty0-4] authentication-mode aaa //配置VTY 0~VTY 4的用户认证方式为AAA认证。
[SSH Server-ui-vty0-4] protocol inbound ssh //配置VTY 0~VTY 4的用户界面支持SSH协议。
[SSH Server-ui-vty0-4] user privilege level 3 //配置用户级别为3级。
[SSH Server-ui-vty0-4] quit
# 新建用户名为client001的SSH用户,且认证方式为password。
[SSH Server] ssh user client001 //创建SSH用户。
[SSH Server] ssh user client001 authentication-type password //配置SSH用户的认证方式为password。
[SSH Server] ssh user client001 service-type sftp //配置SSH用户的服务方式为SFTP。
[SSH Server] ssh user client001 sftp-directory flash: //配置SFTP服务授权目录为flash:。
[SSH Server] aaa
[SSH Server-aaa] local-user client001 password irreversible-cipher Helloworld@6789 //配置client001的登录密码为Helloworld@6789。
[SSH Server-aaa] local-user client001 service-type ssh //配置client001的服务方式为SSH。
[SSH Server-aaa] local-user client001 privilege level 3 //配置client001用户级别为3级。
[SSH Server-aaa] quit
# 新建用户名为client002的SSH用户,且认证方式为DSA。
[SSH Server] ssh user client002 //创建SSH用户。
[SSH Server] ssh user client002 authentication-type dsa //配置SSH用户的认证方式为DSA。
[SSH Server] ssh user client002 service-type sftp //配置SSH用户的服务方式为SFTP。
[SSH Server] ssh user client002 sftp-directory flash: //配置SFTP服务授权目录为flash:。
- 在客户端client002生成本地密钥对,并将客户端生成的DSA公钥配置到SSH服务器上。
# 生成客户端的本地密钥对。
<HUAWEI> system-view
[HUAWEI] sysname client002
[client002] dsa local-key-pair create //生成本地DSA密钥对。
Info: The key name will be: SSH Server_Host_DSA.
Info: The key modulus can be any one of the following : 1024, 2048.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=2048]: //直接回车,使用缺省密钥对长度(2048位)。
Info: Generating keys........
Info: Succeeded in creating the DSA host keys.
# 查看客户端上生成的DSA公钥。
[client002] display dsa local-key-pair public
=====================================================
Time of Key pair created:2014-08-27 06:35:16+08:00
Key name : client002_Host_DSA
Key modulus : 2048
Key type : DSA encryption Key
Key fingerprint: b7:68:86:90:d8:19:f3:e6:4a:f2:e9:fd:e4:24:ef:a5
=====================================================
Key code: 30820322
02820100
DEDEBA5C 8244DCB8 E696917C EFEBC0B3 E6FB60BE
8B9E36D3 E4EB9CD6 EB7FD210 219AC0F4 1AD47BF1
EACD435D 39AFA8FA CB6A7819 305EE147 E428912E
60452B37 CA17D611 C2EE4C46 B4BC7726 54C26856
A99ECFA5 D800367B 31A90522 F139496F 4182DBFD
AAB59973 9AB02185 856A881F 9197368B 92DBF684
9D1C746B A27E12F9 8A28E4B6 D0587D65 5979A750
5413E91E FC961C3F 79209625 CFA8D7D4 69FA35A3
9E37B614 047D535D CD63AF30 58B3A25B 79C714B6
最低0.47元/天 解锁文章
扫一扫
908
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
