一、文件系统简介
文件系统是指对存储器中文件、目录的管理,包括创建、删除、修改文件和目录,以及显示文件的内容等。
:::success
存储器:
设备支持的存储器为Flash
:::
1.1 文件的命名规则
- 字符串形式,不支持空格,不区分大小写。
- 文件名有两种表示方式:文件名、路径+文件名。
- 文件名
- 如果直接使用文件名,则表示当前工作路径下的文件。文件名的长度范围是1~64。
路径+文件名
- 格式为drive + path + filename,使用这种命名方式可以唯一的标识指定路径下的文件。文件名的长度范围是1~64,路径+文件名的总长度范围是1~160。
- drive是指设备中存储器,有如下命名:
- flash:进入主用主控板Flash存储器根目录。
- slave#flash:进入备用主控板Flash存储器根目录。设备无备用主控板或者备用主控板没有Flash时,则无此驱动器。
- 如果设备在集群情况下,drive的命名如下:
- flash:主用主控板Flash存储器根目录。
- 框号/槽位号#flash:集群系统中Flash存储器根目录所在的框号及槽位号。例如:1/14#flash:是指框号1,槽位号14的Flash卡。
- path是指存储器中目录以及子目录,即路径。目录名使用的字符不可以是空格、“~”、“*”、“/”、“\”、“:”、“’”和“””等字符,不区分大小写。
- 设备支持的路径可以是绝对路径也可以是相对路径。指定根目录(指定drive)的路径是绝对路径,相对路径有相对于根目录(即当前的存储器目录)的路径和相对于当前工作路径的路径,路径以“/”开头,则表示相对于根目录的路径。
- 若路径为“flash:/my/test/”,这是绝对路径。
- 若路径为“/selftest/”,表示根目录下的selftest目录,这是相对于根目录的相对路径。
- 若路径为“selftest/”,表示当前工作路径下的selftest目录,这是相对于当前工作路径的相对路径。 :::success
例如:dir flash:/my/test/mytest.txt,查看flash:/my/test/路径下的mytest.txt文件的信息,这是一种绝对路径。
- 如果用相对于根目录的路径,则可以使用命令:dir /my/test/mytest.txt。
如果用相对于当前工作路径的路径(若当前工作路径是flash:/my/),则使用命令dir test/mytest.txt。 ::: :::warning
说明文件名在文件操作命令格式中统一用filename表示。
- 目录在文件操作命令中统一用directory表示,目录的格式即为drive + path。 :::
二、设备支持的文件管理方式
设备在进行文件管理的过程中,可以分别充当服务器和客户端的角色:
- 设备作为服务器:可以从终端访问设备,实现对本设备文件的管理,以及与终端间的文件传输操作。
- 设备作为客户端访问其他设备(服务器):可以实现管理其他设备上的文件,以及与其他设备间进行文件传输操作。
:::warning
对于TFTP方式,设备只支持客户端功能;对于FTP、SFTP、SCP以及FTPS方式,设备均支持服务器与客户端功能。
:::
| 文件管理方式 | 应用场景 | 优点 | 缺点 |
| —- | —- | —- | —- |
| 直接登录系统 | 通过Console口、Telnet或STelnet方式登录设备,对存储器、目录和文件进行管理。特别是对存储器的操作需要通过此种方式。 | 对存储器、目录和文件的管理直接通过登录设备完成,方便快捷。
在通过Console本地登录时,可通过xmodem get命令从终端向设备传输文件。 | Telnet或STelnet方式登录,只能对本设备进行文件操作,无法进行文件传输。 | | FTP
File Transfer Protocol | 适用于对网络安全性要求不是很高的文件传输场景中,广泛用于版本升级等业务中。 |
- 配置较简单,支持文件传输以及文件目录的操作。
- FTP可以在两个不同文件系统主机之间传输文件。
- 具有授权和认证功能
| 明文传输数据,存在安全隐患。 | | TFTP
Trivial File Transfer Protocol | 在网络条件良好的实验室局域网中,可以使用TFTP进行版本的在线加载和升级。适用于客户端和服务器之间,不需要复杂交互的环境。 | TFTP所占的内存要比FTP小。 |
- 设备只支持TFTP客户端功能。
- TFTP只支持文件传输,不支持交互。
- TFTP没有授权和认证,且是明文传输数据,存在安全隐患,易于网络病毒传输以及被黑客攻击。
| | SFTP
Secure File Transfer Protocol | 适用于网络安全性要求高的场景,目前被广泛用于日志下载、配置文件备份等业务中。 |
- 数据进行了严格加密和完整性保护,安全性高。
- 支持文件传输及文件目录的操作。
- 在设备上可以同时配置SFTP功能和普通FTP功能。(这一点与FTPS方式相比:FTPS是不可以同时提供FTPS和普通FTP功能的。)
| 配置较复杂。 | | SCP
Secure Copy Protocol | 适用于网络安全性要求高,且文件上传下载效率高的场景。 |
- 数据进行了严格加密和完整性保护,安全性高。
- 客户端与服务器连接的同时完成文件的上传下载操作(即连接和拷贝操作使用一条命令完成),效率较高。
| 配置较复杂(与SFTP方式的配置非常类似),且不支持交互。 | | FTPS
(FTP over SSL(Secure Sockets Layer)) | 适用于网络安全性要求高,且不提供普通FTP功能的场景。 | 利用数据加密、身份验证和消息完整性验证机制,为基于TCP可靠连接的应用层协议提供安全性保证。 |
- 配置较复杂,需要预先从CA处获得一套证书。
- 若配置FTPS服务,则普通的FTP服务功能必须关闭。
|
三、管理本地文件
:::warning
说明
在对设备进行版本文件下载等文件操作过程中,请保持设备的正常供电。否则可能会引起文件损坏或文件系统损坏,从而造成设备存储介质损坏或设备不能正常启动等问题。
:::
3.1 通过登录系统进行文件操作
在配置通过登录系统进行文件操作之前,需完成以下任务:
- 终端与设备之间路由可达。
已从终端登录到设备。
对目录进行操作
| 操作项目 | 命令 | 说明 |
|---|---|---|
| 查看当前所处的目录 | pwd | - |
| 改变当前所处的目录 | cd directory | - |
| 显示目录中的文件和子目录的列表 | dir [ /all ] [ filename | directory | /all-filesystems ] | - |
| 创建目录 | mkdir directory | - |
| 删除目录 | rmdir directory | - 被删除的目录必须为空目录。 - 目录被删除后,无法从回收站中恢复,原目录下被删除的文件也彻底从回收站中删除。 |
对文件进行操作
| 操作项目 | 命令 | 说明 |
|---|---|---|
| 显示文件的内容 | morefilename[ offset ] [ all ] | - |
| 拷贝文件 | copy source-filename destination-filename | - 在拷贝文件前,确保存储器有足够的空间。 - 若目标文件名与已经存在的文件名重名,将提示是否覆盖。 |
| 从HTTP服务器下载文件或上传文件到HTTP服务器 | copy { source-http-urlnamedestination-filename | source-filenamedestination-http-urlname } [ usernameuser-namepasswordpassword ] | V200R013C00SPC500及之后版本支持。 |
| 从HTTPS服务器下载文件或上传文件到HTTPS服务器 | copy { source-https-urlnamedestination-filename | source-filenamedestination-https-urlname } [ usernameuser-namepasswordpassword ] ssl-policyssl-policy | V200R013C00SPC500及之后版本支持。 |
| 移动文件 | move source-filename destination-filename | 若目标文件名与已经存在的文件名重名,将提示是否覆盖。 |
| 重新命名文件 | rename old-namenew-name | - |
| 压缩文件 | zip source-filename destination-filename | - |
| 解压缩文件 | unzip source-filename destination-filename | - |
| 删除文件 | delete [ /unreserved ] [ /quiet ] { filename | devicename } | 此命令不能删除目录。 如果使用参数/unreserved,则删除后的文件不可恢复。 |
| 恢复删除的文件 | undelete { filename | devicename } | 执行delete命令(不带/unreserved参数)后,文件将被放入回收站中。可以执行此命令恢复回收站中被删除的文件。 |
| 彻底删除回收站中的文件 | reset recycle-bin [ filename | devicename ] | 需要永久删除回收站中的文件时,可进行此操作。 |
| 进入系统视图 | system-view | - |
| 运行批处理文件 | executebatch-filename | 一次进行多项处理时,可进行此操作。编辑好的批处理文件要预先保存在设备的存储器中。 |
对存储器进行操作
当某存储器上的文件系统出现异常时,终端会给出提示信息,建议修复异常。
当文件系统的异常无法修复或者确认不再需要存储器上的所有数据时,可格式化存储器。格式化会清空存储器中的所有文件和目录。
:::warning
说明
格式化存储器,会导致数据无法恢复,请慎用。 ::: | 操作项目 | 命令 | 说明 | | —- | —- | —- | | 修复文件系统异常的存储器 | fixdisk drive | 执行此命令后,如果仍然收到系统建议修复的信息,则表示存储器可能已经损坏。 | | 格式化存储器 | format drive | 如果执行此命令后,存储器仍然不可用,则可能是物理原因导致的存储器不可用。 |
配置文件系统提示方式
当在设备上进行操作时,系统可以给予提示或警示信息(特别是对于可能导致数据丢失或破坏的操作)。如果需要修改系统对文件操作的提醒方式时,可以进行配置文件系统提示方式的操作。
| 操作步骤 | 命令 | 说明 |
|---|---|---|
| 进入系统视图 | system-view | - |
| 配置文件系统提示方式 | file prompt { alert | quiet } | 缺省情况下,提示方式为alert。 须知: 如果将文件操作的提醒方式设置为quiet,则对由于用户误操作(比如删除文件操作)而导致数据丢失的情况不作提示,请慎用。 |
用XModem协议获取文件(仅支持通过Console口登录)
- 在通过Console登录设备时,可通过xmodem get命令,从终端直接获取所需的文件至设备。 | 操作步骤 | 命令 | 说明 | | —- | —- | —- | | 用XModem获取文件 | xmodem get { filename | devicename } | 用户在进行get操作前,应确认发送文件的具体路径和名称。 |
3.2 通过FTP进行文件操作
在通过FTP进行文件操作之前,需完成以下任务:
- 终端与设备之间路由可达。
- 终端支持FTP客户端软件。
通过FTP进行文件操作的配置流程
| 序号 | 配置任务名称 | 配置任务说明 | 配置流程说明 |
|---|---|---|---|
| 1 | 配置FTP服务器功能及参数 | 包括FTP服务器的使能及参数配置:端口号、源地址、超时断连时间。 | 序号1、2、3之间没有严格的配置顺序。 |
| 2 | 配置FTP本地用户 | 包括配置本地用户的服务类型、用户级别及FTP用户的授权目录等。 | |
| 3 | (可选)配置FTP访问控制 | 包括配置ACL规则及FTP基本访问控制列表,提高FTP访问的安全性。 | |
| 4 | 用户通过FTP访问设备 | 从终端通过FTP访问设备。 | - |
缺省配置
| 参数 | 缺省值 |
|---|---|
| FTP服务器功能 | 关闭 |
| 端口号 | 21 |
| FTP用户 | 没有创建本地用户 |
配置FTP服务器功能及参数
| 操作步骤 | 命令 | 说明 |
|---|---|---|
| 进入系统视图 | system-view | - |
| (可选)指定FTP服务器端口号 | ftp[ ipv6 ] server port port-number |
缺省情况下,FTP服务器端口号是21 如果配置了新的端口号,FTP服务器端先断开当前已经建立的所有FTP连接,然后使用新的端口号开始尝试连接。这样可以有效防止攻击者对FTP服务标准端口的访问。 |
| 指定FTP服务器的源地址 | - ftp server-source { -asource-ip-address | -iinterface-typeinterface-number } - ftp ipv6 server-source-aipv6_address [ -vpn-instancevpn_name ] |
缺省情况下,未指定FTP服务器的源地址。 配置了服务器的源地址后,登录服务器时,所输入的服务器地址必须与该命令中配置的一致,否则无法成功登录。 |
| 使能FTP服务器 | ftp[ ipv6 ] server enable | 缺省情况下,设备的FTP服务器功能是关闭的。 |
| (可选)配置FTP连接空闲时间 | ftp[ ipv6 ] timeout minutes | 缺省情况下,连接空闲时间为10分钟 在设定的时间内,如果FTP连接始终处于空闲状态时,系统将自动断开FTP连接。 |
| (可选)设置FTP服务器支持的最大会话数 | ftp [ ipv6 ] servermax-sessionsmax-sessions-number | 缺省情况下,FTP服务器支持的最大会话数是5。 |
:::warning
说明
- 如果变更端口号前FTP服务已经启动,则不能变更成功。需执行undo ftp[ ipv6 ] server命令关闭FTP服务,再进行端口号变更。
- 当客户端与设备之间的文件操作结束后,请执行undo ftp[ ipv6 ] server命令,及时关闭FTP服务器功能,从而保证设备的安全。 :::
配置FTP本地用户
当用户通过FTP进行文件操作时,需要在作为FTP服务器的设备上配置本地用户名及口令、指定用户的服务类型以及可以访问的目录,否则用户将无法通过FTP访问设备。
| 操作步骤 | 命令 | 说明 |
|---|---|---|
| 进入系统视图 | system-view | - |
| 进入AAA视图 | aaa | - |
| 配置本地用户名和密码 | local-user user-name password irreversible-cipher password | - |
| 配置本地用户级别 | local-user user-name privilege level level |
说明: 必须将用户级别配置在3级或3级以上,否则FTP连接将无法成功。 |
| 配置本地用户的服务类型为FTP | local-user user-name service-type ftp |
缺省情况下,本地用户可以使用所有的接入类型。 |
| 配置FTP用户的授权目录 | local-user user-name ftp-directory directory |
缺省情况下,本地用户的FTP目录为空。 当有多个FTP用户且有相同的授权目录时,可以执行set default ftp-directory directory命令,为FTP用户配置缺省工作目录。此时,不需要通过local-user user-name ftp-directory directory命令为每个用户配置授权目录。 |
| 配置本地用户的FTP权限 | local-user user-name ftp-privilege [ directoryfilename ] { read | write | execute }* | 缺省情况下,本地用户的FTP权限为读、写和执行权限。 |
配置FTP访问控制
| 操作步骤 | 命令 | 说明 |
|---|---|---|
| 进入系统视图 | system-view | - |
| 进入ACL视图 | acl [ number ] acl-number | - |
| 配置ACL规则 | rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | fragment | logging | time-rangetime-name | { vpn-instancevpn-instance-name | public } ] * | - |
| 退回到系统视图 | quit | - |
| 配置FTP基本访问控制列表 | ftp[ ipv6 ] aclacl-number | - |
通过FTP命令进行文件操作
用户访问FTP服务器后,可以通过FTP命令进行文件操作,包括目录操作、文件操作、配置文件传输方式、查看FTP命令在线帮助等。
:::warning
说明
用户的操作权限受限于服务器上对该用户的权限设置。
由于文件系统对根目录下的文件个数有限制,当根目录中文件个数大于50个时,继续在根目录中创建文件可能会失败。
:::
| 操作项目 | 命令 | 说明 |
| —- | —- | —- |
| 改变服务器上的工作路径 | cd remote-directory | - |
| 改变服务器的工作路径到上一级目录 | cd up | - |
| 显示服务器工作路径 | pwd | - |
| 显示或者改变客户端的工作路径 | lcd [ local-directory ] | 与pwd不同的是,lcd命令执行后显示的是客户端的本地工作路径,而pwd显示的则是远端服务器的工作路径。 |
| 在服务器上创建目录 | mkdir remote-directory | 创建的目录可以为字母和数字等的组合,但不可以为<、>、?、\、:等特殊字符。 |
| 在服务器上删除目录 | rmdir remote-directory | - |
| 显示服务器上指定目录或文件的信息 | dir/ls [ remote-filename [ local-filename ] ] |
- ls命令只能显示出目录/文件的名称,而dir命令可以查看目录/文件的详细信息,如大小,创建日期等。
- 如果指定远程文件时没有指定路径名称,那么系统将在用户的授权目录下搜索指定的文件。
|
| 删除服务器上指定文件 | delete remote-filename | - |
| 上传单个或多个文件 | put local-filename [ remote-filename ]
或
mput local-filenames |
- put命令是上传单个文件。
- mput命令是上传多个文件。
|
| 下载单个或多个文件 | get remote-filename [ local-filename ]
或
mgetremote-filenames |
- get命令是下载单个文件。
- mget命令是下载多个文件。
|
| 配置传输文件的数据类型为ASCII模式或二进制模式 | ascii
或
binary | 二选一
- 缺省情况下,文件传输方式为ASCII模式。
- 传输文本文件使用ASCII方式,传输程序、系统软件(如后缀为“.cc”、“.bin”或“.pat”的文件等)、数据库文件等使用二进制模式。
|
| 配置文件传输方式为被动方式或主动方式 | passive
或
undo passive | 二选一
缺省情况下,数据传输方式是主动方式。 |
| 查看FTP命令的在线帮助 | remotehelp [ command ] | - |
| 使能系统的提示功能 | prompt | 缺省情况下,不使能信息提示。 |
| 打开verbose开关 | verbose | 如果打开verbose开关,将显示所有FTP响应,包括FTP协议信息,以及FTP服务器返回的详细信息。 |
3.3 通过SFTP进行文件操作
在配置通过SFTP进行文件操作之前,需完成以下任务:
- 终端与设备之间有可达路由。
- 终端上已安装SSH客户端软件。
通过SFTP进行文件操作的配置流程
| 序号 | 配置任务名称 | 配置任务说明 | 配置流程说明 |
|---|---|---|---|
| 1 | 配置SFTP服务器功能及参数 | 包括服务器本地密钥对生成、SFTP服务器功能的使能及服务器参数的配置:端口号、源地址、密钥对更新时间、SSH认证超时时间、SSH验证重试次数等。 | 序号1、2、3之间没有严格的配置顺序。 |
| 2 | 配置SSH用户登录的用户界面 | 包括VTY用户界面的用户验证方式、VTY用户界面支持SSH协议及其它基本属性。 | |
| 3 | 配置SSH用户 | 包括SSH用户的创建、认证方式、服务方式、SFTP服务授权目录等。 | |
| 4 | 用户通过SFTP协议访问设备 | 从终端通过SSH客户端软件访问设备。 | - |
缺省配置
| 参数 | 缺省值 |
|---|---|
| SFTP服务器功能 | 关闭 |
| 端口号 | 22 |
| 服务器密钥对更新时间 | 0,表示永不更新 |
| SSH认证超时时间 | 60秒 |
| SSH验证重试次数 | 3 |
| SSH用户 | 没有创建 |
| SSH用户的服务方式 | 空,即不支持任何服务方式 |
| SSH用户的SFTP服务授权目录 | flash: |
配置SFTP服务器功能及参数
| 操作步骤 | 命令 | 说明 |
|---|---|---|
| 进入系统视图 | system-view | - |
| 生成本地密钥对 | rsa local-key-pair create、 dsa local-key-pair create 或ecc local-key-pair create |
根据生成的密钥类型,三选一。 密钥对生成后,可以执行display rsa local-key-pair public、display dsa local-key-pair public或display ecc local-key-pair public命令查看本地密钥对中的公钥信息。 说明: 密钥对长度越大,密钥对安全性就越好,建议使用最大的密钥对长度。 |
| 指定SSH服务器端的源地址 | - ssh server-source-i interface-type interface-number - ssh ipv6 server-source-aipv6_address [ -vpn-instancevpn_name ] |
缺省情况下,未指定SSH服务器端的源地址。 |
| 使能SFTP服务器功能 | sftp [ ipv4 | ipv6 ] server enable | 缺省情况下,SFTP服务为关闭状态。 |
| (可选)配置SSH服务器端的密钥交换算法列表 | ssh server key-exchange { dh_group14_sha256 | dh_group15_sha512 | dh_group16_sha512 | dh_group_exchange_sha256 }* | 缺省情况下,SSH服务器支持所有的密钥交换算法。 系统软件中不包含dh_group_exchange_sha1、dh_group14_sha1和dh_group1_sha1参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议使用其它算法。 |
| (可选)配置SSH服务器端的加密算法列表 | ssh server cipher { aes128_ctr | aes256_ctr } * | 缺省情况下,SSH服务器支持所有加密算法。 系统软件中不包含aes256_cbc、aes128_cbc、3des_cbc和des_cbc参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议配置aes256_ctr或aes128_ctr参数。 |
| (可选)配置SSH服务器上的校验算法列表 | ssh server hmacsha2_256 | 缺省情况下,SSH服务器支持所有的校验算法。 系统软件中不包含sha2_256_96、sha1、sha1_96、md5和md5_96参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议配置sha2_256参数。 |
| (可选)配置与SSH客户端进行Diffie-hellman-group-exchange密钥交换时,支持的最小密钥长度 | ssh server dh-exchange min-lenmin-len | 缺省情况下,SSH服务器与客户端进行Diffie-hellman-group-exchange密钥交换时,支持的最小密钥长度为1024字节。 |
| (可选)端口号 | ssh [ ipv4 | ipv6 ] server portport-number | 缺省情况下,SSH服务器的端口号是22 如果配置了新的端口号,SSH服务器端先断开当前已经建立的所有SSH连接,然后使用新的端口号开始尝试连接。这样可以有效防止攻击者对SSH服务标准端口的访问,确保安全性。 |
| (可选)服务器密钥对更新时间 | ssh server rekey-intervalhours | 缺省情况下,SSH服务器密钥对的更新时间间隔为0,表示永不更新。 配置服务器密钥对更新时间,使得当SSH服务器的更新周期到达时,自动更新服务器密钥对,从而可以保证安全性。 该命令只在SSH1.X版本生效。SSH1.X的安全性较低,不推荐使用。 |
| (可选)配置SSH服务器触发密钥重协商时间间隔 | ssh server rekey timerekey-time | 缺省情况下,触发密钥重协商的时间间隔为60分钟。 |
| (可选)指定SSH服务器的公钥算法 | ssh server publickey { dsa | ecc | rsa | rsa_sha2_256 | rsa_sha2_512 } * | 缺省情况下,DSA、ECC、RSA、RSA_SHA2_256、RSA_SHA2_512公钥算法都是开启的。 |
| (可选)SSH认证超时时间 | ssh server timeoutseconds | 缺省情况下,SSH连接认证超时时间为60秒。 |
| (可选)SSH验证重试次数 | ssh server authentication-retriestimes | 缺省情况下,SSH连接的验证重试次数为3。 |
| (可选)使能兼容低版本功能 | ssh server compatible-ssh1x enable | 缺省情况下,SSH服务器兼容低版本功能处于未使能状态。 由低版本升级到高版本的设备,此功能与配置文件中的配置保持一致。 |
| (可选)配置访问控制列表 | ssh [ ipv6 ] server aclacl-number | 缺省情况下,没有配置访问控制列表。 配置了访问控制列表,可控制哪些客户端能以SSH方式访问本设备。 |
- 生成本地RSA密钥对时,将同时生成两个密钥对:服务器密钥对和主机密钥对,二者分别包括一个公钥和一个私钥。服务器密钥对和主机密钥对的长度均为2048位。
- 生成本地DSA密钥对时,只生成一个主机密钥对,长度可为1024、2048。缺省情况下,密钥对的长度为2048位。
- 生成本地ECC密钥对时,只生成一个主机密钥对,长度可为256、384、521。缺省情况下,密钥对的长度为521位。
配置SSH用户登录的用户界面
| 操作步骤 | 命令 | 说明 |
|---|---|---|
| 进入系统视图 | system-view | - |
| 进入VTY用户界面视图 | user-interfacevty first-ui-number [ last-ui-number ] | - |
| 配置VTY用户界面的验证方式为AAA | authentication-mode aaa | 缺省情况下,VTY用户界面没有验证方式 必须配置VTY用户界面验证方式为AAA验证,否则protocol inbound ssh不能配置成功,用户也将无法登录设备。 |
| 配置VTY用户界面支持SSH协议 | protocol inbound ssh | 缺省情况下,用户界面支持的协议是SSH 如果不配置某个或某几个VTY用户界面支持SSH协议,则SSH用户不能登录设备。 |
| 配置VTY用户界面的用户优先级 | user privilegelevel level | 必须将用户级别配置为3级及3级以上,否则连接不成功。 如果是password认证用户,还可以执行local-useruser-nameprivilege levellevel命令配置本地用户的用户级别为3级及3级以上。 |
| (可选)VTY用户界面其他属性 | - | 除配置VTY用户界面的验证方式和用户优先级外,VTY用户界面的其他属性包括: - VTY用户界面的最大个数 - VTY用户界面的呼入呼出限制 - VTY用户界面的终端属性 |
配置SSH用户
| 操作步骤 | 命令 | 说明 |
|---|---|---|
| 进入系统视图 | system-view | - |
| 创建SSH用户 | ssh user user-name | - |
| 配置SSH用户的认证方式 | ssh useruser-name authentication-type { password | rsa | password-rsa | dsa | password-dsa | ecc | password-ecc | all } | 如果没有使用ssh user命令配置相应的SSH用户,则可以直接执行ssh authentication-type default password命令为用户配置SSH认证缺省采用密码认证,在用户数量比较多时,对用户使用缺省密码认证方式可以简化配置,此时只需再配置AAA用户即可。 说明: 当认证方式为all认证时,用户的优先级需根据接入用户选择的认证方式来决定: - 如果接入用户选择的认证方式为password认证,则用户优先级为AAA中设置的用户优先级。 - 如果接入用户选择的认证方式为RSA、DSA或ECC认证,则用户的优先级由用户接入时所采用的VTY界面的优先级决定。 |
如果SSH用户认证方式为all认证,且存在一个同名AAA用户,那通过这两种方式接入时用户优先级可能不同,请根据需要进行部署。 | | 配置SSH用户的服务方式为SFTP或all | ssh user username service-type { sftp | all } | 缺省情况下,SSH用户的服务方式是空,即不支持任何服务方式。 | | 配置SSH用户的SFTP服务授权目录 | ssh user username sftp-directory directoryname | 缺省情况下,SSH用户的SFTP服务授权目录是flash:。 |
:::warning
- password认证依靠AAA实现,当用户使用password、password-rsa、password-dsa或password-ecc认证方式登录设备时,需要在AAA视图下创建同名的本地用户。
如果SSH用户使用password认证,则只需要在SSH服务器端生成本地RSA、DSA或ECC密钥。如果SSH用户使用RSA、DSA或ECC认证,则在服务器端和客户端都需要生成本地RSA、DSA或ECC密钥对,并且服务器端和客户端都需要将对方的公钥配置到本地。 :::
根据上面配置的认证方式,进行选择配置:
- 若对SSH用户进行password认证,请根据表6进行配置。
- 若对SSH用户进行RSA、DSA或ECC认证,请根据表7进行配置。
- 若对SSH用户进行password-rsa、password-dsa或password-ecc认证,则AAA用户和RSA、DSA或ECC公共密钥都需要进行配置,即同时配置表6和表7。
表6
| 操作步骤 | 命令 | 说明 |
|---|---|---|
| 进入系统视图 | system-view | - |
| 进入AAA视图 | aaa | - |
| 配置本地用户名和密码 | local-user user-name password irreversible-cipher password | - |
| 配置本地用户的服务方式 | local-user user-name service-type ssh | - |
| 配置本地用户的级别 | local-user user-name privilege level level | - |
| 退回到系统视图 | quit | - |
表7
| 操作步骤 | 命令 | 说明 |
|---|---|---|
| 进入系统视图 | system-view | - |
| 进入RSA、DSA或ECC公共密钥视图 | rsa peer-public-keykey-name [ encoding-type { der | openssh | pem } ] dsa peer-public-keykey-nameencoding-type { der | openssh | pem } ecc peer-public-keykey-nameencoding-type { der | openssh | pem } |
- |
| 进入公共密钥编辑视图 | public-key-code begin | - |
| 编辑公共密钥 | hex-data | - 键入的公共密钥必须是按公钥格式编码的十六进制字符串,由支持SSH的客户端软件生成。具体操作参见相应的SSH客户端软件的帮助文档。 - 请将RSA、DSA或ECC公钥输入到作为SSH服务器的设备上。 |
| 退出公共密钥编辑视图 | public-key-code end | - 如果未输入合法的密钥编码hex-data,执行本步骤后,将无法生成密钥。 - 如果指定的密钥key-name已经在别的窗口下被删除,再执行本步骤时,系统会提示:密钥已经不存在,此时直接退到系统视图。 |
| 退出公共密钥视图,回到系统视图 | peer-public-key end | - |
| 为SSH用户分配RSA、DSA或ECC公钥 | ssh user user-nameassign { rsa-key | dsa-key | ecc-key } key-name | - |
表8
| 操作项目 | 命令 | 说明 |
|---|---|---|
| 改变用户的当前工作目录 | cd [ remote-directory ] | - |
| 改变用户的工作目录为当前工作目录的上一级目录 | cdup | - |
| 显示用户的当前工作目录 | pwd | - |
| 显示指定目录下的文件列表 | dir/ls [ -l | -a ] [ remote-directory ] | dir与ls执行的效果是一样的。 |
| 删除服务器上目录 | rmdirremote-directory &<1-10> | 一次最多可以删除十个目录。 使用该命令删除目录时,目录中不能有文件,否则会删除失败。 |
| 在服务器上创建新目录 | mkdirremote-directory | - |
| 改变服务器上指定的文件的名字 | renameold-namenew-name | - |
| 下载远程服务器上的文件 | getremote-filename [ local-filename ] | - |
| 上传本地文件到远程服务器 | putlocal-filename [ remote-filename ] | - |
| 删除服务器上文件 | removeremote-filename &<1-10> | 一次最多可以删除十个文件。 |
| SFTP客户端命令帮助 | help [ all | command-name ] | - |
若有收获,就点个赞吧
0 人点赞
