举例:配置设备作为SCP服务器

SE_YT 2024-12-30 交换机 5 阅读

组网图形

图1 配置通过SCP进行文件操作组网图
  • 组网需求
  • 配置思路
  • 操作步骤
  • 检查配置结果
  • 配置脚本

组网需求

图1所示,终端PC1与设备连接,10.1.1.5是设备的IP地址。用户希望在终端与设备之间进行安全的文件传输操作。将设备配置为SSH服务器,提供SCP服务,服务器通过对客户端的认证和双向的数据加密,实现用户对安全文件传输操作的要求。配置ACL策略,保证只有PC1才能访问SSH服务器。

本例中interface1代表10GE1/0/1

配置思路

采用如下的思路配置用户通过SCP进行文件操作:

  1. 在SSH服务器端生成本地密钥对及使能SCP服务器功能,实现在服务器端和客户端进行安全地数据交互。
  2. 配置SSH用户,包括认证方式、服务类型、授权目录以及用户名和密码等。
  3. 配置SSH服务器的访问权限,实现对SSH用户的限制。
  4. 从终端通过第三方软件OpenSSH实现访问SSH服务器。

操作步骤

  1. 配置SSH服务器的IP地址。 
    <HUAWEI> system-view
[HUAWEI] sysname SSH Server
[SSH Server] interface 10ge 1/0/1
[SSH Server-10GE1/0/1] undo portswitch
[SSH Server-10GE1/0/1] ip address 10.1.1.5 255.255.255.0
[SSH Server-10GE1/0/1] quit
  2. 在服务器端生成本地密钥对,并使能SCP服务器功能。 
    [SSH Server] rsa local-key-pair create
The key name will be:Host_Server 
The range of public key size is (2048, 4096). 
NOTE: Key pair generation will take a short while. 
Please input the modulus [default = 3072]:3072
[SSH Server] scp server enable
[SSH Server] ssh server-source all-interface
  3. 配置SSH服务器的公钥算法、加密算法、密钥交换算法列表、HMAC认证算法和最小密钥长度。 
    [SSH Server] ssh server cipher aes128_ctr aes256_ctr aes192_ctr aes128_gcm aes256_gcm
[SSH Server] ssh server hmac sha2_256 sha2_512
[SSH Server] ssh server key-exchange dh_group_exchange_sha256 dh_group16_sha512
[SSH Server] ssh server publickey rsa_sha2_256 rsa_sha2_512
[SSH Server] ssh server dh-exchange min-len 3072
  4. 配置SSH用户,包括认证方式、服务类型、授权目录以及用户名和密码等。 
    [SSH Server] ssh user client001 authentication-type password
Info: Succeeded in adding a new SSH user. 
[SSH Server] ssh user client001 service-type all
[SSH Server] aaa
[SSH Server-aaa] local-user client001 password
Please configure the login password (8-128)
It is recommended that the password consist of at least 2 types of characters, including lowercase letters, uppercase letters, numerals and special characters. 
Please enter password:                                      
Please confirm password:                               
Info: Add a new user.
Info: Add a new user.
[SSH Server-aaa] local-user client001 privilege level 3
[SSH Server-aaa] local-user client001 service-type ssh
[SSH Server-aaa] quit
  5. 配置SSH服务器的访问权限。 
    [SSH Server] acl 2001
[SSH Server-acl4-basic-2001] rule permit source 10.1.1.1 0
[SSH Server-acl4-basic-2001] rule deny source 10.1.1.2 0
[SSH Server-acl4-basic-2001] quit
[SSH Server] ssh server acl 2001

检查配置结果

进入Windows的命令行提示符,执行OpenSSH命令,通过SCP方式进行文件操作。(以下显示信息仅为示意)

C:\Documents and Settings\Administrator> scp scpuser@10.1.1.5:flash:/vrpcfg.zip vrpcfg-backup.zip
The authenticity of host '10.1.1.5 (10.1.1.5)' can't be established.
DSA key fingerprint is 46:b2:8a:52:88:42:41:d4:af:8f:4a:41:d9:b8:4f:ee.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.136.23.5' (DSA) to the list of known hosts.
scpuser@10.1.1.5's password:
vrpcfg.zip                                    100% 1257     1.2KB/s   00:00
Read from remote host 10.1.1.5: Connection reset by peer

C:\Documents and Settings\Administrator>

可以看到,用户终端通过SCP方式,在与远端设备建立连接的同时完成了文件上传或下载的操作,最后又回到了用户本地路径。

配置脚本

#
sysname SSH Server
#
acl number 2001
 rule 5 permit source 10.1.1.1 0
 rule 10 deny source 10.1.1.2 0
#
aaa
 local-user client001 password irreversible-cipher $1d$v!=.5/:(q-$xL=\K+if"'S}>k7vGP5$_ox0B@ys7.'DBHL~3*aN$
 local-user client001 service-type terminal ssh
 local-user client001 privilege level 3
#
interface 10GE1/0/1
 undo portswitch
 ip address 10.1.1.5 255.255.255.0
#
sftp server enable
ssh server-source all-interface
ssh server acl 2001
ssh user client001
ssh user client001 authentication-type password
ssh user client001 service-type sftp
ssh user client001 sftp-directory flash:
#
ssh server cipher aes128_ctr aes256_ctr aes192_ctr aes128_gcm aes256_gcm
ssh server hmac sha2_256 sha2_512
ssh server key-exchange dh_group_exchange_sha256 dh_group16_sha512
ssh server publickey rsa_sha2_256 rsa_sha2_512
ssh server dh-exchange min-len 3072
#
return

版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2817.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
打赏
海报
举例:配置设备作为SCP服务器
组网图形 图1 配置通过SCP进行文件操作组网图 组网需求 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,终端PC1与设备连接,10.1.1.5是设备的IP地址。用户希望在终端与设备之间进行安全的文件传输操作。将设备配置为SSH服务器,提供SCP服务,服务器通过对客户端的认证和双向的数据加密,实现用户对安全文件传输操作的要求。配置ACL策略,保证只有PC1才能访问SSH服务器。 本例中interface1代表10GE1/0/1。 配置思路 采用如下的思路配置用户通过SCP进行文件操作: 在SSH服务器端生成本地密钥对及使能SCP服务器功能,实现在服务器端和客户端进行安全地数据交互。 配置SSH用户,包括认证方式、服务类型、授权目录以及用户名和密码等。 配置SSH服务器的访问权限,实现对SSH用户的限制。 从终端通过第三方软件OpenSSH实现访问SSH服务器。 操作步骤 配置SSH服务器的IP地址。 <HUAWEI> system-view [HUAWEI] sysname SSH Server [SSH Server] interface 10ge 1/0/1 [SSH Server-10GE1/0/1] undo portswitch [SSH Server-10GE1/0/1] ip address 10.1.1.5 255.255.255.0 [SSH Server-10GE1/0/1] quit 在服务器端生成本地密钥对,并使能SCP服务器功能。 [SSH Server] rsa local-key-pair create The key name will be:Host_Server The range of public key size is (2048, 4096). NOTE: Key pair generation will take a short while. Please input the modulus [default = 3072]:3072 [SSH Server] scp server enable [SSH Server] ssh server-source all-interface 配置SSH服务器的公钥算法、加密算法、密钥交换算法列表、HMAC认证算法和最小密钥长度。 [SSH Server] ssh server cipher aes128_ctr aes256_ctr aes192_ctr aes128_gcm aes256_gcm [S……
<<上一篇
下一篇>>