組網圖形
通過SFTP進行文件操作簡介
- 配置設備作為SFTP服務器,用戶可以在終端通過SFTP通信方式,利用SSH協議提供的安全通道與遠端設備進行安全連接。通過SFTP進行文件操作的方式對數據進行了嚴格加密和完整性保護,安全性高,而且可以同時在設備上配置SFTP功能和普通FTP功能。
- 通過SFTP進行文件操作適用於對網絡安全性要求高的場景,可以用於日志下載、配置文件備份等業務。
組網需求
- 如圖1所示,終端PC與設備路由可達,10.136.23.4是設備的管理網口IP地址。用戶希望在終端與設備之間進行安全的文件傳輸操作,以防止普通FTP服務帶來的“中間人”攻擊和一些網絡欺騙(DNS欺騙和IP欺騙)。將設備配置為SSH服務器,提供SFTP服務,服務器通過對客戶端的認證和雙向的數據加密,實現用戶對安全文件傳輸操作的要求。
配置思路
- 在SSH服務器端生成本地密鑰對及使能SFTP服務器功能,實現在服務器端和客戶端進行安全地數據交互。
- 配置SSH服務器端的VTY用戶界面。
- 配置SSH用戶,包括認證方式、服務類型、授權目錄以及用戶名和密碼等。
- 從終端通過第三方軟件OpenSSH實現訪問SSH服務器
操作步驟
- 在服務器端生成本地密鑰對,並使能SFTP服務器功能。
<HUAWEI> system-view [HUAWEI] sysname SSH_Server [SSH_Server] dsa local-key-pair create //生成本地DSA密鑰對。 Info: The key name will be: SSH_Server_Host_DSA. Info: The key modulus can be any one of the following : 1024, 2048. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=2048]: //直接回車,使用缺省密鑰對長度(2048位)。 Info: Generating keys... Info: Succeeded in creating the DSA host keys. [SSH_Server] sftp server enable //使能SFTP服務器功能。
- 在服務器端配置VTY用戶界面。
[SSH_Server] user-interface vty 0 14 //進入VTY 0~VTY 14用戶界面視圖。 [SSH_Server-ui-vty0-14] authentication-mode aaa //配置VTY 0~VTY 14的用戶認證方式為AAA認證。 [SSH_Server-ui-vty0-14] protocol inbound ssh //配置VTY 0~VTY 14的用戶界面支持SSH協議。 [SSH_Server-ui-vty0-14] quit
- 配置SSH用戶,包括認證方式、服務類型、授權目錄以及用戶名和密碼等。
[SSH_Server] ssh user client001 authentication-type password //配置SSH用戶的認證方式為密碼認證。 [SSH_Server] ssh user client001 service-type sftp //配置SSH用戶的服務方式為SFTP。 [SSH_Server] ssh user client001 sftp-directory flash: //配置SFTP服務授權目錄為flash:。 [SSH_Server] aaa [SSH_Server-aaa] local-user client001 password irreversible-cipher Helloworld@6789 //配置登錄密碼為Helloworld@6789。 [SSH_Server-aaa] local-user client001 privilege level 15 //配置用戶級別為15級。 [SSH_Server-aaa] local-user client001 service-type SSH //配置用戶的服務方式為SSH。 [SSH_Server-aaa] quit
- 從終端通過OpenSSH軟件實現訪問SFTP服務器。
只有在用戶終端安裝了OpenSSH軟件后,Windows命令行提示符才能識別OpenSSH相關命令
注意:請使用與當前終端操作系統相匹配的OpenSSH版本,否則可能會導致通過SFTP方式訪問交換機失敗。