• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S3600系列以太网交换机 命令手册-Release 1702(V1.01)

35-SSH命令

本章节下载 35-SSH命令  (324.88 KB)

35-SSH命令


1 SSH命令

1.1  SSH命令

1.1.1  display public-key local

【命令】

display public-key local { dsa | rsa } public

【视图】

任意视图

【参数】

dsa:显示类型为DSA的密钥对的公钥数据。

rsa:显示类型为RSA的密钥对的公钥数据。

【描述】

display public-key local命令用来在交换机上显示当前交换机生成的RSA或DSA密钥对中的公钥部分数据。

在服务器端或客户端上使用display public-key local命令显示的公钥数据,可以作为服务器或客户端的公钥配置到客户端或服务器端,用来进行认证。

相关配置可参考命令public-key local create

【举例】

# 显示RSA本端密钥对中的公钥部分。

<Sysname> display public-key local rsa public

 

=====================================================

Time of Key pair created: 23:48:18  2000/04/03

Key name: Sysname_Host

Key type: RSA encryption Key

=====================================================

Key code:

30819F300D06092A864886F70D010101050003818D0030818902818100C7C4D2E1C59A75908417C660AD1D5EB172AB6EE9AAF994DB7A1C31EB87F750EE12A57832C6070FC008A5EE2B6675FD6A430575D97350E300A20FEB773D93D7C3565467B0CA6B95C07D3338C523743B49D82C5EC2C9458D248955846F9C32F4D25CC92D0E831E564BBA6FAE794EEC6FCDEDB822909CC687BEBF51F3DFC5C30D590203010001

 

=====================================================

Time of Key pair created: 23:48:36  2000/04/03

Key name: Sysname_Server

Key type: RSA encryption Key

=====================================================

Key code:

307C300D06092A864886F70D0101010500036B003068026100BC86D8F08E101461C1231B122777DBE777645C81C569C004EC2FEC03C205CC7E3B5DAA38DD865C6D1FB61C91B85ED63C6F35BAFBF9A6D2D2989C20051FF8FA31A14FCF73EC1485422E5B800B55920FC121329020E82F2945FFAD81BE72663BF70203010001

# 显示DSA本端密钥对中的公钥部分。

<Sysname> display public-key local dsa public

 

=====================================================

Time of Key pair created: 08:01:23  2000/04/02

Key name:

Key type: DSA encryption Key

=====================================================

Key code:

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

表1-1 display public-key local命令显示信息描述表

字段

描述

Time of Key pair created

密钥对产生时间

Key name

密钥名称

Key type

密钥类型

Key code

密钥数据

 

1.1.2  display public-key peer

【命令】

display public-key peer [ brief | name pubkey-name ]

【视图】

任意视图

【参数】

brief:显示所有远端公钥的简明信息。

pubkey-name:公钥名称,为1~64个字符的字符串。

【描述】

display public-key peer命令用来显示在本端保存的远端服务器或客户端的公钥的公钥信息。

如果没有指定任何参数,则显示所有在本端保存的远端公钥的详细信息。

在服务器端通过display public-key peer 命令显示的是客户端的公钥信息,而在客户端通过display public-key peer 命令显示的是服务器端的公钥信息。

通过display public-key peer命令显示公钥位数的大小有时会比实际公钥位数小1位。这是由于生成密钥对时,实际生成的密钥对可能会比所设置的密钥对位数小1位所造成的。例如,生成一个1024位的密钥对,但实际可能生成位数为1024或1023,这也是正确的。

 

可以通过public-key peer命令或public-key peer import sshkey命令将远端公钥配置到本端。

 

相关配置可参考命令public-key peerpublic-key peer import sshkey

【举例】

# 显示所有远端公钥的简明信息。

<Sysname> display public-key peer brief

Type  Module  Name

---------------------------

RSA   1023    idrsa

DSA   1024    127.0.0.1

RSA   1024    18

# 显示远端公钥名为pubkey-name的公钥数据。

<Sysname> display public-key peer name pubkey-name

=====================================

  Key name  : pubkey-name

  Key type  : RSA

  Key module: 1024

=====================================

Key Code:

30819D300D06092A864886F70D010101050003818B00308187028181009C46A8710216CEC0C01C7CE136BA76C79AA6040E79F9E305E453998C7ADE8276069410803D5974F708496947AB39B3F39C5CE56C95B6AB7442D56393BF241F99A639DD02D9E29B1F5C1FD05CC1C44FBD6CFFB58BE6F035FAA2C596B27D1231D159846B7CB9A7757C5800FADA9FD72F65672F4A549EE99F63095E11BD37789955020123

表1-2 display public-key peer name命令显示信息描述表

字段

描述

Key name

密钥名称

Key type

密钥的类型

Key module

密钥模数的长度

Key code

密钥数据

 

1.1.3  display rsa local-key-pair public

【命令】

display rsa local-key-pair public

【视图】

任意视图

【参数】

【描述】

display rsa local-key-pair public命令用来在SSH服务器或SSH客户端上显示服务器或客户端已生成的RSA密钥对中的公钥数据,如果没有生成密钥,则提示没有找到密钥。

相关配置可参考命令rsa local-key-pair create

【举例】

# 显示RSA密钥对的公钥部分。

<Sysname> display rsa local-key-pair public

 

=====================================================

Time of Key pair created: 20:08:35  2000/04/02

Key name: Sysname_Host

Key type: RSA encryption Key

=====================================================

Key code:

3047

  0240

    DE99B540 87B666B9 69C948CD BBCC2B60 997F9C18

    9AA6651C 6066EF76 242DEAD1 DEFEA162 61677BD4

    1A7BFAE7 668EDAA9 FB048C37 A0F1354D 5798C202

    2253F4F5

  0203

    010001

 

=====================================================

Time of Key pair created: 20:08:46  2000/04/02

Key name: Sysname_Server

Key type: RSA encryption Key

=====================================================

Key code:

3067

  0260

    D6D70AE4 D2A900BE AC21B4E7 617CBEFA 2BAED61F

    B637070C 093F43AF 9DB9D644 BCD921EF D056EF36

    26825C2A 1FC0EFC3 E27B5110 3F20F790 6C83274B

    D0FC303F 51072D6C B5D0054D 3673EBA0 A4748984

    5EBF6EBE CF6A13B1 C7858241 A2A9AA79

  0203

    010001   

生成RSA密钥对后:

l    当交换机工作在兼容SSH1模式下时,使用display rsa local-key-pair public命令时会显示两个公钥,包括主机公钥和服务器公钥;

l    当交换机工作在SSH2模式时,使用display rsa local-key-pair public命令只显示一个公钥,即主机公钥。

 

以上显示信息解释请参见表1-1

1.1.4  display rsa peer-public-key

【命令】

display rsa peer-public-key [ brief | name keyname ]

【视图】

任意视图

【参数】

brief:显示所有远端公钥的简明信息。

keyname:公钥名称,为1~64个字符的字符串。

【描述】

display rsa peer-public-key命令用来显示在本端保存的远端服务器或客户端的公钥的公钥信息。

如果没有指定任何参数,则显示在本端保存的所有远端公钥的详细信息。

在服务器端通过display rsa peer-public-key命令显示的是客户端的公钥信息,而在客户端通过display rsa peer-public-key命令显示的是服务器端的公钥信息。

 

通过display rsa peer-public-key命令显示公钥模数的大小有时会比实际公钥模数小1位。这是由于生成密钥对时,实际生成的密钥对可能会比所设置的密钥对位数小1位所造成的。例如,生成一个1024位的密钥对,但实际可能生成位数为1024或1023,这也是正确的。

 

【举例】

# 显示远端的公钥的简明信息。

<Sysname> display rsa peer-public-key brief

Type  Module  Name

---------------------------

DSA   1023    2

DSA   1024    a

# 显示名称为abcd的公钥信息。

<Sysname> display rsa peer-public-key name abcd

 

=====================================

  Key name  : abcd

  Key type  : RSA

  Key module: 1024

=====================================

Key Code:

30819F300D06092A864886F70D010101050003818D0030818902818100B0EEC8768E310AE2EE44D65A2F944E2E6F32290D1ECBBFFF22AA11712151FC29F1C1CD6D7937723F77103576C41A03DB32F32C46DEDA68566E89B53CD4DF8F9899B138C578F7666BFB5E6FE1278A84EC8562A12ACBE2A43AF61394276CE5AAF5AF01DA8B0F33E08335E0C3820911B90BF4D19085CADCE0B50611B9F6696D31930203010001

以上显示信息解释请参见表1-2

1.1.5  display ssh server

【命令】

display ssh server { session | status }

【视图】

任意视图

【参数】

session:显示SSH会话信息。

status:显示SSH状态信息。

【描述】

display ssh server命令用来在SSH服务器端显示该服务器端的状态信息或当前与客户端建立连接的会话信息。

相关配置可参考命令ssh server authentication-retriesssh server timeout、ssh server compatible-ssh1x enablessh server rekey-interval

【举例】

# 显示SSH服务器端的状态信息。

<Sysname> display ssh server status

 SSH version : 1.99

 SSH connection timeout : 60 seconds

 SSH server key generating interval : 0 hours

 SSH Authentication retries : 3 times

 SFTP Server: Disable

 SFTP idle timeout : 10 minutes     

表1-3 display ssh server status命令显示信息描述表

字段

描述

SSH version

SSH协议版本

SSH connection timeout

认证超时时间

SSH server key generating interval

服务器密钥对更新时间

SSH Authentication retries

认证尝试的最大次数

SFTP Server

SFTP服务器功能的状态

SFTP idle timeout

SFTP用户连接的空闲超时时间

 

l    如果通过ssh server compatible-ssh1x enable命令设定服务器端兼容SSH1.x版本的客户端,则显示信息中的SSH version为1.99;

l    如果通过undo ssh server compatible-ssh1x命令设定服务器端不兼容SSH1.x版本的客户端,则显示信息中的SSH version为2.0。

 

# 显示SSH服务器端已建立连接的会话信息。

<Sysname> display ssh server session

 Conn   Ver   Encry    State     Retry    SerType  Username

 VTY 0  2.0   AES      started   0        stelnet  kk

 VTY 1  2.0   AES      started   0        sFTP     abc

表1-4 display ssh server session命令显示信息描述表

字段

描述

Conn

用户登录使用的VTY界面的编号

Ver

SSH版本

Encry

SSH使用的加密算法

State

当前状态

Retry

连接重试次数

SerType

服务类型

Username

用户名

 

1.1.6  display ssh server-info

【命令】

display ssh server-info

【视图】

任意视图

【参数】

【描述】

display ssh server-info命令用来在SSH客户端显示客户端保存的服务器端的主机公钥和服务器的对应关系。

当SSH客户端需要认证服务器端时,就以本端保存的服务器端的主机公钥对连接的服务器进行认证,如果认证不成功,可通过display ssh server-info命令查看指定的公钥是否与服务器对应。

 

相关配置可参考命令ssh client assignssh client first-time enable

【举例】

# 显示客户端保存的服务器端的公钥和服务器端的对应关系。

<Sysname> display ssh server-info

Server Name(IP)                                   Server public key name

_________________________________________________________________________

 

192.168.0.90                                      192.168.0.90

表1-5 display ssh server-info显示信息描述表

字段

描述

Server Name(IP)

服务器名称或者IP地址

Server public key name

服务器端的主机公钥名称

 

1.1.7  display ssh user-information

【命令】

display ssh user-information [ username ]

【视图】

任意视图

【参数】

username:有效的SSH用户名,为不超过184个字符的字符串。该字符串中不能包括“/”、“\”“:”、“*”、“?”、“<”、“>”以及“|”等字符。并且“@”出现的次数不能多于1次;纯用户名(“@”以前部分,即用户标识)不能超过55个字符,域名(“@”以后的部分)不能超过128个字符。

【描述】

display ssh user-information命令用来在SSH服务器端显示已创建的SSH用户的信息,包括:用户名、认证方式、对应的公钥名称、授权的服务类型。如果命令中指定参数username,那么将显示指定用户的用户信息。

相关配置可参考命令ssh authentication-type defaultssh userssh user authentication-typessh user assignssh user service-type

【举例】

# 创建一个用户名为client的SSH用户并指定认证方式为公钥认证。

<Sysname> system-view

System View: return to User View with Ctrl+Z.    

[Sysname] ssh user client authentication-type publickey

# 指定SSH用户client的服务类型为SFTP。

[Sysname] ssh user client service-type sftp

# 为该SSH用户client分配公钥test

[Sysname] ssh user client assign publickey test

# 在SSH服务器端显示已创建的SSH用户信息。

[Sysname] display ssh user-information

 Username            Authentication-type  User-public-key-name  Service-type

 client                 publickey            test                  sftp

1.1.8  display ssh2 source-ip

【命令】

display ssh2 source-ip

【视图】

任意视图

【参数】

【描述】

display ssh2 source-ip命令用来显示当前为SSH客户端设置的源IP地址。如果为SSH客户端指定了源接口,则此命令显示的是该接口的IP地址;如果没有为SSH2客户端指定源地址,则显示0.0.0.0。

相关配置可参考命令ssh2 source-ip

【举例】

# 显示当前为SSH客户端设置的源IP地址。

<Sysname> display ssh2 source-ip

The source IP you specified is 192.168.0.1

1.1.9  display ssh-server source-ip

【命令】

display ssh-server source-ip

【视图】

任意视图

【参数】

【描述】

display ssh-server source-ip命令用来显示当前为SSH服务器指定的源IP地址。如果为SSH服务器指定了源接口,则此命令显示的是该接口的IP地址;如果没有为SSH服务器指定源地址,则显示0.0.0.0。

相关配置可参考命令ssh-server source-ip

【举例】

# 显示当前为SSH服务器设置的源IP地址。

<Sysname> display ssh-server source-ip

The source IP you specified is 192.168.1.1

1.1.10  peer-public-key end

【命令】

peer-public-key end

【视图】

公共密钥视图

【参数】

【描述】

peer-public-key end命令用来从公共密钥视图退回到系统视图。

相关配置可参考命令rsa peer-public-keypublic-key-code beginpublic-key peer

【举例】

# 退出公共密钥视图并回到系统视图。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] rsa peer-public-key Switch003

RSA public key view: return to System View with "peer-public-key end".

[Sysname-rsa-public-key] peer-public-key end

[Sysname]

1.1.11  protocol inbound

【命令】

protocol inbound { all | ssh }

【视图】

VTY类型的用户界面视图

【参数】

all:支持Telnet和SSH协议。

ssh:只支持SSH协议,不支持Telnet协议。

【描述】

protocol inbound命令用来指定当前用户界面支持的协议。

缺省情况下,系统支持所有的协议。

SSH客户端通过VTY用户界面访问设备。因此,需要配置SSH客户端登录时采用的VTY用户界面,使其支持SSH远程登录协议。配置结果在下次登录请求时生效。

 

l    如果在该用户界面上配置支持的协议为SSH,为确保SSH用户登录成功,请您务必配置相应的认证方式为authentication-mode scheme(采用AAA认证)。

l    如果配置认证方式为authentication-mode passwordauthentication-mode none,则protocol inbound ssh配置将失败;反之,如果某用户界面已经配置为支持SSH协议,则在此用户界面上进行authentication-mode passwordauthentication-mode none的配置将失败。

 

【举例】

# 设置VTY0到VTY4只支持SSH协议。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4] authentication-mode scheme

[Sysname-ui-vty0-4] protocol inbound ssh

1.1.12  public-key local create

【命令】

public-key local create { dsa | rsa }

【视图】

系统视图

【参数】

dsa:生成类型为DSA的密钥对。

rsa:生成类型为RSA的密钥对。

【描述】

public-key local create命令用来生成本端的RSA或DSA密钥对。

需要注意的是:

l              生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。

l              输入该命令后,会提示输入密钥模数的位数。密钥模数的最小长度为512位,最大长度为2048位,缺省长度为1024位。当设备上已经有了密钥对,此时如果仍要生成类型与已存在的密钥对类型相同的密钥对,则系统提示是否替换原有类型的密钥对。

l              此命令只需执行一遍,设备重新启动后不必再次执行。

相关配置可参考命令public-key local destroydisplay public-key local

【举例】

# 生成512位RSA密钥对。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

       It will take a few minutes.

Input the bits in the modulus[default = 1024]:512

Generating keys...

..........++++++

.........................++++++

.................................++++++++

....++++++++

.......

#显示本端已生成的RSA密钥对的公钥部分数据。

[Sysname] display public-key local rsa public

 

=====================================================

Time of Key pair created: 03:14:23  2000/04/06

Key name: Sysname_Host

Key type: RSA encryption Key

=====================================================

Key code:

305C300D06092A864886F70D0101010500034B003048024100D6665EFEC14F48A5B42A413E2FACCAA9F02C772AEDC4911E76AAEE55BA49C4A0233D2D80504068BD9C892C0DD9EBBBC7EB8842ED61CDB418A29CA1362BB48C190203010001

 

=====================================================

Time of Key pair created: 03:14:36  2000/04/06

Key name: Sysname_Server

Key type: RSA encryption Key

=====================================================

Key code:

307C300D06092A864886F70D0101010500036B003068026100A3B63F5B0E5470D9FE2005450342011FEDE2A924C71EB19E28D257E43EF7E531D7C37FBB157712A2F2AF0F5BAF3E60595496C5B3EAFF25BFB56F1E1CC7A7004D0FF048654BFEADB21C5AF3E24FB0516393BFEEF65A83B7416F170886904C8BE30203010001

# 生成512位DSA密钥对。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] public-key local create dsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

       It will take a few minutes.

Input the bits in the modulus[default = 1024]:512

Generating keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+..+................

.......+..........+..............+.............+...+.....+...............+..+...

...+.................+..........+...+....+.......+.....+............+.........+.

........................+........+..........+..............+.....+...+..........

..............+.........+..........+...........+........+....+..................

.....+++++++++++++++++++++++++++++++++++++++++++++++++++*

......

#显示本端已生成的DSA密钥对的公钥部分数据。

[Sysname]display public-key local dsa public

 

=====================================================

Time of Key pair created: 03:17:33  2000/04/06

Key name:

Key type: DSA encryption Key

=====================================================

Key code:

3081F03081A806072A8648CE38040130819C0241008DF2A494492276AA3D25759BB06869CBEAC0D83AFB8D0CF7CBB8324F0D7882E5D0762FC5B7210EAFC2E9ADAC32AB7AAC49693DFBF83724C2EC0736EE31C80291021500C773218C737EC8EE993B4F2DED30F48EDACE915F0240626D027839EA0A13413163A55B4CB500299D5522956CEFCB3BFF10F399CE2C2E71CB9DE5FA24BABF58E5B79521925C9CC42E9F6F464B088CC572AF53E6D7880203430002406FBDE6C9BD578722585CDF4F3BFB31DD739865D1EA0312EDF2BAF4841C0A963E400640E467206817292CDFE5D91D86FDB9C3A16141E675E6FFC6C2577E660FF1

以上显示信息解释请参见表1-1

1.1.13  public-key local destroy

【命令】

public-key local destroy { dsa | rsa }

【视图】

系统视图

【参数】

dsa:类型为DSA的密钥对。

rsa:类型为RSA的密钥对。

【描述】

public-key local destroy命令用来销毁已生成的本端DSA或RSA密钥对。

当要销毁的DSA或RSA密钥对不存在时,系统提示没有对应类型的密钥对存在。

相关配置可参考命令public-key local create

【举例】

# 销毁RSA密钥对。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] public-key local destroy rsa

% Confirm to destroy these keys? [Y/N]:y

............                                      

# 销毁DSA密钥对。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] public-key local destroy dsa

% Confirm to destroy these keys? [Y/N]:y

......

1.1.14  public-key local export rsa

【命令】

public-key local export rsa { openssh | ssh1 | ssh2 } [ filename ]

【视图】

系统视图

【参数】

rsa:已生成的本端RSA密钥对。

openssh:导出的文件格式为OpenSSH。

ssh1导出的文件格式为SSH1。

ssh2导出的文件格式为SSH2。

filename:指定导出公钥存储的文件名,取值范围为1~142个字符。有关文件名的具体使用规则请参见“文件系统管理”。

【描述】

public-key local export rsa命令用来根据指定格式导出RSA密钥对的主机公钥部分到指定文件。

当不指定文件名时,则在屏幕上显示本端的RSA密钥对的公钥部分;如果指定了文件名则将本端公钥导出到指定文件并保存。

l    SSH1、SSH2和OpenSSH是三种不同类型的公钥文件格式,根据不同的应用需求生成不同格式的公钥文件。例如,当客户端需要使用SSH1格式的公钥配置到服务器端进行认证时,通过public-key local export rsa ssh1 filename命令导出SSH1格式的RSA密钥对。

l    通过该命令显示在屏幕上的公钥数据是未经转换的公钥编码格式,该公钥数据不能作为配置公钥时的公钥数据。

 

相关配置可参考命令public-key local creatersa local-key-pair create

【举例】

# 生成RSA密钥对。

<Sysname> system-view

[Sysname] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

       It will take a few minutes.

Input the bits in the modulus[default = 1024]:

Generating keys...

...............................................++++++

......++++++

.................++++++++

.....++++++++

.......                

# 以OpenSSH格式显示RSA主机公钥。

[Sysname]public-key local export rsa openssh

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgMSPi+xIkHkAo6E9LwLKWN+eN9EqW/6FIYEIlVKcpIa0

6IT4eSyq4OldeiZ9WorOiDqX3ROo4FmaTR/QCSK3C9whE1qz/4soVL1eHDdgzQCumKKsJCVaM5OdZ2sdNbEnhLucs8ZrfTgEkDB1hmbgzuDpWPokPfkQDD+8dC+hkFVV rsa-key

# 导出RSA密钥的主机公钥部分为OpenSSH格式的文件,文件名设为pub_ssh_file2。

[Sysname] public-key local export rsa openssh pub_ssh_file2

# 导出RSA密钥的主机公钥部分为SSH1格式的文件,文件名设为pub_ssh_file3。

[Sysname] public-key local export rsa ssh1 pub_ssh_file3

1.1.15  public-key local export dsa

【命令】

public-key local export dsa { openssh | ssh2 } [ filename ]

【视图】

系统视图

【参数】

dsa:已生成的本端DSA密钥对

openssh:导出的文件格式为OpenSSH。

ssh2导出的文件格式为SSH2。

filename:指定导出公钥存储的文件名,取值范围为1~142个字符。有关文件名的具体使用规则请参见“文件系统管理”。

【描述】

public-key local export dsa命令用来根据指定格式导出DSA公钥到指定文件。

当不指定文件名时,则在屏幕上显示本端的DSA密钥对的公钥部分;如果指定了文件名则将本端公钥导出到指定文件并保存。

l    SSH2和OpenSSH是两种不同类型的公钥文件格式,根据不同的应用需求生成不同格式的公钥文件。例如,当客户端需要使用SSH2格式的公钥配置到服务器端进行认证时,通过public-key local export dsa ssh2 filename命令导出SSH2格式的DSA密钥对。

l    通过该命令显示在屏幕上的公钥数据是未经转换的公钥编码格式,该公钥数据不能作为配置公钥时的公钥数据。

 

相关配置可参考命令public-key local create

【举例】

# 生成DSA密钥对

<Sysname> system-view

[Sysname]public-key local create dsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

       It will take a few minutes.

Input the bits in the modulus[default = 1024]:

Generating keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+..+.......................+..........+..............+.............+...+.....+...............+..+......+.................+..........+...+....+.......+.....+............+.........+.........................+........+..........+..............+.....+...+........................+.........+..........+...........+........+....+.......................+++++++++++++++++++++++++++++++++++++++++++++++++++*

.......

# 以SSH2格式在屏幕上显示DSA公钥。

[Sysname] public-key local export dsa ssh2

---- BEGIN SSH2 PUBLIC KEY ----

Comment: "dsa-key-20000406"

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

---- END SSH2 PUBLIC KEY ----

# 以OpenSSH格式导出DSA公钥。

<Sysname> system-view

[Sysname] public-key local export dsa openssh key.pub

1.1.16  public-key peer

【命令】

public-key peer keyname

undo public-key peer keyname

【视图】

系统视图

【参数】

keyname:公钥名称,是一个长度为1~64个字符的字符串。

【描述】

public-key peer命令用来进入公共密钥视图。undo public-key peer命令用来删除远端公钥的配置。

输入public-key peer命令后,将进入公共密钥视图,和public-key-code begin一同使用,可以对远端的公钥进行配置。这种方式需要事先获取远端产生的十六进制形式的公钥。

目前设备上对所配置的公钥,只支持位数为512~2048位的公钥。

 

相关配置可参考命令public-key-code beginpublic-key-code end

【举例】

# 进入公共密钥视图,公钥名称为pub.ppk。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] public-key peer pub.ppk

PKEY public key view: return to System View with "peer-public-key end".

[Sysname-peer-public-key]

1.1.17  public-key peer import sshkey

【命令】

public-key peer keyname import sshkey filename

undo public-key peer keyname

【视图】

系统视图

【参数】

keyname:公钥名称,是一个长度为1~64个字符的字符串。

filename:指定导入公钥数据的文件名,取值范围为1~142个字符。有关文件名的具体使用规则请参见“文件系统管理”。

【描述】

public-key peer import sshkey命令用来配置从公钥文件中导入远端的公钥。undo public-key peer命令用来删除远端公钥的配置。

l    公钥文件的格式只支持SSH1、SSH2和OpenSSH格式。

l    目前设备上对从用户公钥文件中导入的公钥,只支持模数为512~2048位的公钥。

l    当需要将远端公钥配置到本端时,可使用该命令。执行本命令后,系统会自动对生成的公钥文件(支持自动识别的公钥格式SSH1、SSH2、OpenSSH)进行格式转换(转换为PKCS标准编码形式),并实现远端公钥的配置。这种方式需要远端事先将公钥文件通过FTP/TFTP方式上传到本端。

 

【举例】

l              在SSH服务器和客户端之间建立SSH连接,并采用公钥认证(仅列举出公钥认证部分的关键配置过程)。

# 在SSH服务器端的配置

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh user client authentication-type publickey

# 在SSH客户端的配置

<Sysname> system-view

[Sysname] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

       It will take a few minutes.

Input the bits in the modulus[default = 1024]:

Generating keys...

...............................................++++++

......++++++

.................++++++++

.....++++++++

.......                

[Sysname] public-key local export rsa ssh2 pub

l              将在SSH客户端导出的公钥文件通过FTP/TFTP传送到SSH服务器端,并继续SSH服务器端的配置。

# 在SSH服务器端的配置

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] public-key peer publick import sshkey pub

[Sysname] ssh user client assign publickey publick

1.1.18  public-key-code begin

【命令】

public-key-code begin

【视图】

公共密钥视图

【参数】

【描述】

public-key-code begin命令用来进入公共密钥编辑视图。

使用public-key peer命令进入公共密钥视图后,再使用public-key-code begin命令进入公共密钥编辑视图,就可以开始输入密钥数据。在输入密钥数据时,可以采用拷贝粘贴的方式输入密钥数据,也可以单独输入密钥数据中的字符。字符之间可以有空格,也可以按回车键继续输入数据。所配置的公钥必须是按PKCS编码的十六进制字符串。

相关配置可参考命令rsa peer-public-keypublic-key peerpublic-key-code end

【举例】

# 进入公共密钥编辑视图,输入公钥数据。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] rsa peer-public-key Switch003

RSA public key view: return to System View with "peer-public-key end".

[Sysname-rsa-public-key] public-key-code begin

RSA key code view: return to last view with "public-key-code end".

[Sysname-rsa-key-code] 308186028180739A291ABDA704F5D93DC8FDF84C427463

[Sysname-rsa-key-code] 1991C164B0DF178C55FA833591C7D47D5381D09CE82913

[Sysname-rsa-key-code] D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4

[Sysname-rsa-key-code] 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DC

[Sysname-rsa-key-code] C48E3306367FE187BDD944018B3B69F3CBB0A573202C16

[Sysname-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125

[Sysname-rsa-key-code] public-key-code end

[Sysname-rsa-public-key]

1.1.19  public-key-code end

【命令】

public-key-code end

【视图】

公共密钥编辑视图

【参数】

【描述】

public-key-code end命令用来从公共密钥编辑视图退回到公共密钥视图,并且保存用户输入的公共密钥。

当执行此命令后,结束公钥的编辑过程,在保存之前,要进行密钥合法性的检测:

l              如果用户输入的公钥字符串中存在非法字符,那么将会显示相关提示信息,用户配置的密钥将被丢弃,本次配置失败;

l              如果输入的密钥合法,将会保存到本端的公钥表中。

相关配置可参考命令rsa peer-public-keypublic-key peerpublic-key-code begin

【举例】

# 退出公共密钥编辑视图,并保存用户配置的公共密钥。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] rsa peer-public-key Switch003

RSA public key view: return to System View with "peer-public-key end".

[Sysname-rsa-public-key] public-key-code begin

RSA key code view: return to last view with "public-key-code end".

[Sysname-rsa-key-code] 308186028180739A291ABDA704F5D93DC8FDF84C427463

[Sysname-rsa-key-code] 1991C164B0DF178C55FA833591C7D47D5381D09CE82913

[Sysname-rsa-key-code] D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4

[Sysname-rsa-key-code] 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DC

[Sysname-rsa-key-code] C48E3306367FE187BDD944018B3B69F3CBB0A573202C16

[Sysname-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125

[Sysname-rsa-key-code] public-key-code end

[Sysname-rsa-public-key]

1.1.20  rsa local-key-pair create

【命令】

rsa local-key-pair create

【视图】

系统视图

【参数】

【描述】

rsa local-key-pair create命令用来生成本端的RSA密钥对。

需要注意的是:

l              输入该命令后,会提示输入密钥模数的位数。密钥模数的最小长度为512位,最大长度为2048位,缺省长度为1024位。当设备上已经有了RSA密钥对,此时如果仍要生成RSA密钥对,则系统提示是否替换原有密钥对。

l              此命令只需执行一遍,设备重新启动后不必再次执行。

配置rsa local-key-pair create命令后:

l    当交换机工作在兼容SSH1模式下时,使用display rsa local-key-pair public命令时会显示两个公钥,包括主机公钥和服务器公钥;

l    当交换机工作在SSH2模式时,使用display rsa local-key-pair public命令只显示一个公钥,即主机公钥。

 

相关配置可参考命令rsa local-key-pair destroydisplay rsa local-key-pair public

【举例】

# 生成1024位RSA密钥对。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] rsa local-key-pair create

The local-key-pair will be created.

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

       It will take a few minutes.

Input the bits in the modulus[default = 1024]:

Generating keys...

........................++++++

.......++++++

.................................++++++++

...++++++++

........Done!

#显示本端已生成的RSA密钥对的公钥部分数据。

[Sysname] display rsa local-key-pair public

 

=====================================================

Time of Key pair created: 02:31:51  2000/04/09

Key name: Sysname_Host

Key type: RSA encryption Key

=====================================================

Key code:

308188

  028180

    F0C0EDA9 FA2E2FAC 4B16CA34 677F1861 A13E89BE

    6AAAC326 4E17268D EFADED1A FCA39047 52F18422

    B8C875DF 3626150D 4057EE12 371D5E62 57D34A16

    5045A403 FA805F72 B2780C9A 041ED99E 2841F600

    AB30DB10 821EF338 1FA54FE5 3DC79E46 74E45127

    3D4CA70F 253645DA 57524DC3 513BAC53 2C1B7F8F

    2481FA79 D4AA15C7

  0203

    010001

 

=====================================================

Time of Key pair created: 02:32:06  2000/04/09

Key name: Sysname_Server

Key type: RSA encryption Key

=====================================================

Key code:

3067

  0260

    C9BEF5C8 1AF3E457 AD007039 DDB21785 28B0204F

    A9ED61A6 AD381860 9491B700 0286568F 4CAF27B1

    1B17B1A2 0D516E74 8DAFA6C1 0F71624B B8BE6FB2

    F550E7B9 BABD5B34 7D3E85C2 126B59DC 93BB4EA5

    6A147737 E9CE41EB 1B31171C 142902AF

  0203

    010001

1.1.21  rsa local-key-pair destroy

【命令】

rsa local-key-pair destroy

【视图】

系统视图

【参数】

【描述】

rsa local-key-pair destroy命令用来销毁本端已生成的RSA密钥对。

当要销毁的RSA密钥对不存在时,系统提示没有对应类型的密钥对存在。

相关配置可参考命令rsa local-key-pair create

【举例】

# 销毁已生成的RSA密钥对。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] rsa local-key-pair destroy

% The local-key-pair will be destroyed.

% Confirm to destroy these keys? [Y/N]:y

.............Done!

1.1.22  rsa peer-public-key

【命令】

rsa peer-public-key keyname

undo rsa peer-public-key keyname

【视图】

系统视图

【参数】

keyname:公钥名称,是一个长度为1~64个字符的字符串。

【描述】

rsa peer-public-key命令用来进入公共密钥视图。undo rsa peer-public-key命令用来删除远端公钥的配置。

输入该命令后,将进入公共密钥视图,和public-key-code begin一同使用,对远端服务器或客户端的公钥进行配置。这种方式需要事先获取远端产生的十六进制形式的公钥。

目前设备上对所配置的公钥,只支持位数为512~2048位的公钥。

 

相关配置可参考命令public-key-code beginpublic-key-code end

【举例】

# 进入名称为Switch002的公共密钥视图。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] rsa peer-public-key Switch002

RSA public key view: return to System View with "peer-public-key end".

[Sysname-rsa-public-key]

1.1.23  rsa peer-public-key import sshkey

【命令】

rsa peer-public-key keyname import sshkey filename

undo rsa peer-public-key keyname

【视图】

系统视图

【参数】

keyname:公钥名称,是一个长度为1~64个字符的字符串。

filename:指定导入公钥数据的文件名,取值范围为1~142个字符。有关文件名的具体使用规则请参见“文件系统管理”。

【描述】

rsa peer-public-key import sshkey命令用来配置从公钥文件中导入远端服务器或客户端的公钥。undo rsa peer-public-key命令用来删除远端公钥的配置。

l    公钥文件的格式只支持SSH1和SSH2格式。

l    目前设备上对从用户公钥文件中导入的公钥,只支持模数为512~2048位的公钥。

l    当需要将远端公钥配置到本端时,可使用该命令。执行本命令后,系统会自动对生成的公钥文件(支持自动识别的公钥格式SSH1、SSH2)进行格式转换(转换为PKCS标准编码形式),并实现远端公钥的配置。这种方式需要远端事先将公钥文件通过FTP/TFTP方式上传到本端。

 

rsa peer-public-key import sshkey只支持对RSA公钥的转换,不支持对DSA公钥的转换,如果需要转换DSA公钥及自动配置,请使用public-key peer import sshkey命令。

 

【举例】

# 将公钥文件abc进行格式转换并进行自动配置,公钥名为123。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] rsa peer-public-key 123 import sshkey abc

1.1.24  ssh authentication-type default

【命令】

ssh authentication-type default { all | password | password-publickey | publickey | rsa }

undo ssh authentication-type default

【视图】

系统视

【参数】

all指定认证方式可以是密码认证也可以是公钥认证,二者满足其一即可。

password:指定认证方式为密码认证。

password-publickey:指定认证方式为密码认证和公钥认证同时满足。

publickey:指定认证方式为公钥认证(可以是RSA或DSA)。

rsa:指定认证方式为公钥认证(可以是RSA或DSA),和publickey实现方式一致。

【描述】

ssh authentication-type default命令用来为SSH用户指定一种缺省的认证方式。配置该命令后,每当增加一个SSH用户时,若没有通过ssh user authentication-type命令单独为这个用户指定认证方式,则该用户采用缺省认证方式。

undo ssh authentication-type default命令用来清除所指定的缺省认证方式,也就是不再指定缺省认证方式。此时每当增加一个SSH用户时,必须同时为其指定认证方式。

缺省情况下,没有指定缺省的认证方式。

密码认证、公钥认证和password-publickey认证方式的区别在于:

l              使用密码认证方式,很容易被攻击。

l              使用公钥认证方式,认证强度高,不易受到暴力猜测”等攻击方式的影响,而且具有较高的易用性。一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码。

l              使用password-publickey,可以很好的利用密码认证和公钥认证的优势。例如,同时要求用户进行两种认证,安全性更高。在公钥上绑定密码,可以防止由于SSH客户端上的安全性隐患,影响到SSH服务器的安全性;可以在一对公私密钥对的基础上,结合AAA实现对用户的认证和授权,方便了管理员的配置。

相关配置可参考命令display ssh user-information

【举例】

# 指定缺省认证方式为公钥认证。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh authentication-type default publickey

# 创建一个SSH用户。

[Sysname] ssh user user1

# 显示已创建的SSH用户信息。

[Sysname] display ssh user-information

 Username            Authentication-type  User-public-key-name  Service-type

 user1               publickey            null                  stelnet

1.1.25  ssh client assign

【命令】

ssh client { server-ip | server-name } assign { publickey | rsa-key } keyname

undo ssh client { server-ip | server-name } assign { publickey | rsa-key }

【视图】

系统视图

【参数】

server-ip:服务器的IP地址。

server-name:服务器的名称,是一个长度为1~184的字符串。

Keyname:指定服务器端公钥名称,是一个长度为1~64个字符的字符串。

publickeyrsa-key参数都表示公钥,并且实现方式一致。

 

【描述】

ssh client assign命令用来在客户端上指定要连接的服务器的公钥名称,以便客户端认证连接的服务器是否为可信赖的服务器。undo ssh client assign命令用来取消该服务器公钥的指定关系。

缺省情况下,客户端不指定要连接的服务器端的主机公钥名称,而是在客户端登录服务器的时候使用登录服务器时所用的IP地址或主机名作其对应的公钥名称。

如果客户端不支持首次认证,客户端将拒绝访问未经认证的服务器。此时,需要在客户端配置服务器端的公钥,并指定该公钥与服务器端的对应关系,以便在客户端对连接的服务器端进行认证时,能够根据该对应关系使用正确的公钥对服务器端进行认证。

 

当作为SSH客户端和SSH服务器端的交换机都支持DSA和RSA时,在配置服务器端的公钥时,应该将服务器端的DSA公钥配置到客户端。

 

相关配置可参考命令ssh client first-time enable

【举例】

# 服务器的IP地址为192.168.0.1,在客户端指定该服务器的DSA公钥名称为pub.ppk。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh client 192.168.0.1 assign publickey pub.ppk

1.1.26  ssh client first-time enable

【命令】

ssh client first-time enable

undo ssh client first-time

【视图】

系统视图

【参数】

【描述】

ssh client first-time enable命令用来在客户端上设置SSH客户端对访问的SSH服务器支持首次认证。undo ssh client first-time命令用来取消SSH客户端对访问的SSH服务器支持首次认证。

支持首次认证与不支持首次认证的区别在于:

l              支持首次认证时,如果用户选择继续访问服务器,该服务器将把自己的主机公钥通过网络自动发送到客户端,客户端将该服务器公钥保存到本地,作为后续认证的依据,但该种方式安全性得不到保障,而且无法确认保存的服务器公钥是真实服务器的公钥。

l              不支持首次认证时,需要用户手工将服务器的主机公钥配置到客户端。该种方式使客户端能够保证服务器公钥的正确性。

有关首次认证的介绍请参见“SSH操作”的相关部分。

缺省情况下,客户端进行首次认证。

【举例】

# 在客户端上设置SSH客户端对访问的SSH服务器不支持首次认证。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] undo ssh client first-time

1.1.27  ssh server authentication-retries

【命令】

ssh server authentication-retries times

undo ssh server authentication-retries

【视图】

系统视图

【参数】

times:认证重试次数,取值范围为1~5。

【描述】

ssh server authentication-retries命令用来设置SSH连接认证重试次数。该配置在用户下次登录时生效。undo ssh server authentication-retries命令用来恢复SSH连接认证重试次数为默认值。

缺省情况下,SSH连接认证重试次数为3次。

如果用户配置认证方式为password-publickey,则SSH连接认证重试次数必须大于等于2。

 

相关配置可参考命令display ssh server

【举例】

# 指定登录认证的重试次数为4次

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh server authentication-retries 4

1.1.28  ssh server compatible-ssh1x enable

【命令】

ssh server compatible-ssh1x enable

undo ssh server compatible-ssh1x

【视图】

系统视图

【参数】

【描述】

ssh server compatible-ssh1x enable命令用来设置服务器端兼容SSH1.x版本的客户端。undo ssh server compatible-ssh1x命令用来设置服务器端不兼容SSH1.x版本的客户端。

缺省情况下,服务器端兼容SSH1.x版本的客户端。

相关配置可参考命令display ssh server

【举例】

# 设置服务器端兼容SSH1.x版本的客户端。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh server compatible-ssh1x enable

1.1.29  ssh server rekey-interval

【命令】

ssh server rekey-interval hours

undo ssh server rekey-interval

【视图】

系统视图

【参数】

hours:服务器密钥的更新周期,单位为小时,取值范围为1~24。

【描述】

ssh server rekey-interval命令用来设置RSA服务器密钥对的更新时间。undo ssh server rekey-interval命令用来恢复为缺省情况。

缺省情况下,服务器密钥对的更新时间为0,表示不更新服务器密钥对。

此命令仅对客户端版本为SSH1.x的用户有效。

 

相关配置可参考命令display ssh server

【举例】

# 设置每3小时更新一次服务器密钥对。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh server rekey-interval 3

1.1.30  ssh server timeout

【命令】

ssh server timeout seconds

undo ssh server timeout

【视图】

系统视图

【参数】

seconds:指定认证超时时间,单位为秒,取值范围为1~120。

【描述】

ssh server timeout命令用来设置SSH连接的认证超时时间。undo ssh server timeout命令用来恢复认证超时时间为缺省值。

缺省情况下,SSH连接的认证超时时间为60秒。

需要注意的是,配置命令将在用户下次登录时生效。

相关配置可参考命令display ssh server

【举例】

# 设定认证超时时间为80秒。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh server timeout 80

1.1.31  ssh user

【命令】

ssh user username

undo ssh user username

【视图】

系统视图

【参数】

username:有效的SSH用户名,为不超过184个字符的字符串。该字符串中不能包括“/”、“\”“:”、“*”、“?”、“<”、“>”以及“|”等字符。并且“@”出现的次数不能多于1次;纯用户名(“@”以前部分,即用户标识)不能超过55个字符,域名(“@”以后的部分)不能超过128个字符。

【描述】

ssh user命令用来创建一个SSH用户。undo ssh user命令用来删除指定的SSH用户。

所谓SSH用户,是指在SSH服务器端设置的一组用户属性的集合。该集合以SSH用户名作为SSH用户的唯一标识。当SSH客户端远程登录到服务器端时,需要在SSH客户端上输入用户名,SSH服务器判断是否存在对应的SSH用户,如果不存在则断开连接,否则采用该用户名对应的认证方式对用户进行认证。

 

通过该命令创建的SSH用户,将采用ssh authentication-type default命令指定的缺省认证方式。但是,如果没有配置SSH用户的缺省认证方式,则必须使用ssh user authentication-type命令创建SSH用户并为这个用户指定认证方式。

 

在SSH服务器上创建SSH用户的目的是为用户指定认证方式、SSH服务类型、用户公钥等信息。对于已创建的SSH用户,当该用户的认证方式、SSH服务类型、用户公钥都不存在时,系统会自动删除该SSH用户。

 

相关配置可参考命令ssh authentication-type defaultssh user authentication-type

【举例】

# 配置缺省的认证方式为password,创建一个SSH用户,用户名为abc。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh authentication-type default password

[Sysname] ssh user abc

# 显示已创建的SSH用户信息。

[Sysname] display ssh user-information abc

 Username            Authentication-type  User-public-key-name  Service-type

 abc                 password             null                  stelnet

1.1.32  ssh user assign

【命令】

ssh user username assign { publickey | rsa-key } keyname

undo ssh user username assign { publickey | rsa-key }

【视图】

系统视

【参数】

username:有效的SSH用户名,为不超过184个字符的字符串。该字符串中不能包括“/”、“\”“:”、“*”、“?”、“<”、“>”以及“|”等字符。并且“@”出现的次数不能多于1次;纯用户名(“@”以前部分,即用户标识)不能超过55个字符,域名(“@”以后的部分)不能超过128个字符。

keyname:公钥名称,是一个长度为1~64的字符串。

【描述】

ssh user assign命令用来在SSH服务器端为SSH用户分配一个已经存在的公共密钥。undo ssh user assign命令用来删除此用户和它的公钥之间的对应关系。

使用该命令为用户分配公钥时,如果此用户已经被分配了公钥,那么以最后一次分配的公钥为准。

新配置的用户公钥下次登录时生效。

l    对于使用公钥认证的SSH用户,必须在服务器端为该SSH用户分配一个公钥。

l    publickeyrsa-key参数都表示公钥,并且实现方式一致。

 

相关配置可参考命令display ssh user-information

【举例】

# 为SSH用户1分配公钥名为127.0.0.1的公钥。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh user 1 assign publickey 127.0.0.1

# 显示已创建的SSH用户信息。

[Sysname] display ssh user-information

 Username            Authentication-type  User-public-key-name  Service-type

1                   publickey            127.0.0.1             stelnet

1.1.33  ssh user authentication-type

【命令】

ssh user username authentication-type { all | password | password-publickey | publickey | rsa }

undo ssh user username authentication-type

【视图】

系统视图

【参数】

username:有效的SSH用户名,为不超过184个字符的字符串。该字符串中不能包括“/”、“\”“:”、“*”、“?”、“<”、“>”以及“|”等字符。并且“@”出现的次数不能多于1次;纯用户名(“@”以前部分,即用户标识)不能超过55个字符,域名(“@”以后的部分)不能超过128个字符。

all:指定认证方式可以是密码认证,也可以是公钥认证。

password:指定认证方式为密码认证。

password-publickey:指定认证方式为密码认证和公钥认证。也就是用户必须通过密码认证和公钥认证,才能登录。

publickey:指定认证方式为公钥认证(可以是RSA或DSA)。

rsa:指定认证方式为公钥认证(可以是RSA或DSA),和publickey实现方式一致。

 

对于password-publickey指定的认证方式,客户端版本为SSH1的用户只要通过其中一种认证即可登录;客户端版本为SSH2的用户必须两种认证都通过才能登录。

 

【描述】

ssh user authentication-type命令用来在服务端指定用户登录时可以选用的认证方式。undo ssh user authentication-type命令用来删除SSH用户登录时使用的认证方式。

密码认证、公钥认证和password-publickey认证方式的区别在于:

l              使用密码认证方式,很容易被攻击。

l              使用公钥认证方式,认证强度高,不易受到暴力猜测等攻击方式的影响,而且具有较高的易用性。一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码。

l              使用password-publickey,可以很好的利用密码认证和公钥认证的优势。例如,同时要求用户进行两种认证,安全性更高。在公钥上绑定密码,可以防止由于SSH客户端上的安全性隐患,影响到SSH服务器的安全性;可以在一对公私密钥对的基础上,结合AAA实现对用户的认证和授权,方便了管理员的配置。

 

对于SSH用户,必须指定其认证方式,否则将无法登录成功。

 

相关配置可参考命令display ssh user-information

【举例】

# 配置SSH用户认证方式为publickey

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh user kk authentication-type publickey

# 显示已创建的SSH用户信息。

[Sysname] display ssh user-information

 Username            Authentication-type  User-public-key-name  Service-type

 kk                  publickey            null                  stelnet

1.1.34  ssh user service-type

【命令】

ssh user username service-type { stelnet | sftp | all }

undo ssh user username service-type

【视图】

系统视图

【参数】

username:有效的SSH用户名,为不超过184个字符的字符串。该字符串中不能包括“/”、“\”“:”、“*”、“?”、“<”、“>”以及“|”等字符。并且“@”出现的次数不能多于1次;纯用户名(“@”以前部分,即用户标识)不能超过55个字符,域名(“@”以后的部分)不能超过128个字符。

stelnet:指定服务类型为stelnet。

sftp:指定服务类型为SFTP。

all:指定服务类型可以是stelnet和SFTP。

【描述】

ssh user service-type命令用来为某一特定用户指定服务类型。undo ssh user service-type命令用来取消为某一特定用户指定的服务类型。

缺省情况下,系统的服务类型为stelnet

相关配置可参考命令display ssh user-information

【举例】

# 为用户kk指定服务类型为SFTP。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh user kk service-type sftp

# 显示已创建的SSH用户信息。

[Sysname] display ssh user-information

 Username            Authentication-type  User-public-key-name  Service-type

 kk                  publickey            null                  sftp

1.1.35  ssh2

【命令】

ssh2 { host-ip | host-name } [ port-num ] [ identity-key { dsa | rsa } | prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher { 3des | des | aes128 } | prefer_stoc_cipher { 3des | des | aes128 } | prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] *

【视图】

系统视图

【参数】

host-ip:服务器IP地址。

host-name:表示服务器名称的字符串,长度为1~20个字符。

port-num:服务器端口号,取值范围为0~65535,缺省值为22。

identity-key公钥认证采用的公共密钥算法,缺省算法为rsa

l              dsa公共密钥算法为DSA。

l              rsa公共密钥算法为RSA。

prefer_kexKey交换首选算法,选择两种算法之间的一种。

l              dh_group1:Key交换算法diffie-hellman-group1-sha1,为缺省Key交换算法。

l              dh_exchange_group:Key交换算法diffie-hellman-group-exchange-sha1。

prefer_ctos_cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。

prefer_stoc_cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。

l              3des3des-cbc加密算法。

l              desdes_cbc加密算法。

l              aes128:aes_128加密算法。

prefer_ctos_hmac:客户端到服务器端的首选HMAC算法,缺省为sha1_96。

prefer_stoc_hmac:服务器端到客户端的首选HMAC算法,缺省为sha1_96。

l              sha1:HMAC算法hmac-sha1。

l              sha1_96:HMAC算法hmac-sha1-96。

l              md5:HMAC算法hmac-md5。

l              md5_96:HMAC算法hmac-md5-96。

l    DES(Data Encryption Standard)为数据加密标准算法;

l    AES(Advanced Encryption Standard)为高级加密标准算法。

 

【描述】

ssh2命令用来启动SSH客户端和服务器端建立连接,并指定客户端和服务器的首选密钥交换算法、首选加密算法和首选HMAC算法。

需要注意的是,如果在服务器端指定客户端的认证方式为公钥认证,当客户端登录服务器端时客户端需要读取本端的私钥进行验证。由于公钥认证可以采用RSA和DSA两种公钥算法,所以需要用identity-key关键字指定采用的公钥算法,才能得到正确的本端私钥数据,否则无法成功登录。

【举例】

# 登录地址为10.214.50.51的远程SSH2服务器,具体加密算法配置如下:

l              首选Key交换算法为dh_exchange_group

l              服务器到客户端的首选加密算法为aes128

l              客户端到服务器的首选HMAC算法为md5

l              服务器到客户端的HMAC算法为sha1_96

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh2 10.214.50.51 prefer_kex dh_exchange_group prefer_stoc_cipher aes128 prefer_ctos_hmac md5 prefer_stoc_hmac sha1_96

1.1.36  ssh2 source-interface

【命令】

ssh2 source-interface interface-type interface-number

undo ssh2 source-interface

【视图】

系统视图

【参数】

interface-type interface-number:源接口的类型编号。

【描述】

ssh2 source-interface命令用来在客户端指定SSH客户端的源接口。当指定接口不存在时,命令提示不成功。undo ssh2 source-interface命令用来取消指定的源接口。

当作为SSH客户端的交换机存在多个IP地址和接口时,用户可以通过指定源接口的方式,为SSH客户端指定源IP地址的接口,这样,当设备作为SSH客户端登录SSH服务器时,源地址为指定接口的IP地址,增加了业务的可管理性。

【举例】

# 为SSH客户端指定源接口为Vlan-interface 1。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh2 source-interface Vlan-interface 1

1.1.37  ssh2 source-ip

【命令】

ssh2 source-ip ip-address

undo ssh2 source-ip

【视图】

系统视图

【参数】

ip-address:需要设置的源IP地址。

【描述】

ssh2 source-ip命令用来在客户端指定SSH客户端的源地址IP。当指定的ip-address不是本设备地址时,命令提示不成功。undo ssh2 source-ip命令用来取消指定的源IP地址。

当作为SSH客户端的交换机存在多个IP地址时,用户可以通过指定源IP地址的方式,为SSH客户端指定源IP地址,这样,当设备作为SSH客户端登录SSH服务器时,源地址为指定的IP地址,增加了业务的可管理性。

【举例】

# 为SSH客户端指定源IP地址192.168.1.1。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh2 source-ip 192.168.1.1

1.1.38  ssh-server source-interface

【命令】

ssh-server source-interface interface-type interface-number

undo ssh-server source-interface

【视图】

系统视图

【参数】

interface-type interface-number:源接口的类型和编号。

【描述】

ssh-server source-interface命令用来在服务器端指定供SSH客户端访问的接口。当指定接口不存在时,命令提示不成功。undo ssh-server source-interface命令用来取消指定的源接口。

当作为SSH服务器的设备存在多个IP地址和接口时,可以对SSH服务器指定供SSH客户端访问的IP地址的接口,这样,当设备作为SSH服务器时,客户端只能通过指定接口的IP地址登录服务器,增加了业务的可管理性。

【举例】

# 为SSH服务器端指定源接口Vlan-interface1。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh-server source-interface Vlan-interface 1

1.1.39  ssh-server source-ip

【命令】

ssh-server source-ip ip-address

undo ssh-server source-ip

【视图】

系统视图

【参数】

ip-address:需要设置的源IP地址。

【描述】

ssh-server source-ip命令用来在服务器端指定供SSH用户访问的IP地址。当指定的ip-address不是本设备地址时,命令提示不成功。undo ssh-server source-ip命令用来取消指定的IP地址。

当作为SSH服务器的设备存在多个IP地址时,可以在服务器端指定一个本地IP地址作为SSH用户访问服务器时使用的IP地址。这样,SSH服务器只接受目的地址为指定IP地址的SSH客户端的连接请求,增加了业务的可管理性。

【举例】

# 为SSH服务器端指定源IP地址192.168.0.1。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ssh-server source-ip 192.168.0.1

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们